防病毒网关、防火墙与防病毒软件功能及部署对比
一、防病毒网关
防病毒网关就是针对网络安全所面临的新挑战应运而生的。对病毒等恶意软件进行防御的硬件网络防护设备,可以协助企业防护各类病毒和恶意软件,对其进行隔离和清除。当企业在网络的Internet出口部署防病毒网关系统后,可大幅度降低因恶意软件传播带来的安全威胁,及时发现并限制网络病毒爆发疫情,同时它还集成了完备的防火墙,为用户构建立体的网络安全保护机制提供了完善的技术手段。广泛适用于政府、公安、军队、金融、证券、保险等多个领域。
部署位置:网络的网关处,也可以说是网络的出口。如图1所示:
图1
防病毒网关应具有以下特性:
防病毒网关产品应该采用独特的虚拟并行系统 检测技术,在对网络数据进行网络病毒等恶意软件扫描的同时,会实时同步传送数据。这一技术的在系统中的应用,从根本上解决了以往对Web数据进行扫描操作时,普遍存在的性能瓶颈,在实际使用效果上远远超出了“存储-扫描-转发”的传统技术模式。由于采用了虚拟并行系统技术,在保证不放过任何一个可能的恶意软件同时,大大减小了网络应用的请求响应时间,改善了用户体验效果。用户在使用防病毒网关对网络数据流量进行检测时,基本感觉不到数据扫描操作所带来的响应延迟,更不用担心错过精彩的网络实况播报
防病毒网关系统吸收了业界多年来在防火墙领域的设计经验和先进技术,支持众多网络协议和应用协议,如802.1Q VLAN、PPPoE、802.1Q、Spanning tree等协议,适用的范围更广泛,确保了用户的网络的“无缝部署”、“无缝防护”、“无缝升级”。当防病毒网关设备处于透明工作模式时,相当于一台二层交换机。这种特性使防病毒网关产品具有了极佳的环境适应能力,用户无需改变网络拓扑,就可以零操作、零配置的升级到更全面的网络安全解决方案,同时也降低了因新增网络设备而导致的部署、维护和管理开销。
防病毒网关应该基于先进的安全区段概念实施安全策略的定制和部署,将从接口层面的访问控制提升到安全区段概念。防病毒网关从概念上继承了传统防火墙的网络安全区域概念,也实现了很多突破。它默认各个安全区段间的安全级别是一样的,相互间的安全需求差异交由用户定制,为安全策略的定制和部署提供了很大的灵活性,同时也避免了机械的将网络划分为Internal,External和DMZ的传统安全概念,能够完备灵活的表达不同网络、网段间的安全需求。
防病毒网关系统还应该提供丰富的网络地址转换(NAT)功能支持,支持映像IP地址(MIP)、动态地址池的正向地址转换、反向地址转换。
防病毒网关提供了功能强大的图形化管理系统,该系统基于Windows平台运行。使用图形化管理系统,可以对多台不同地域的防病毒网关系统设备进行统一管理和配置,收集并审计分析多台防病毒网关设备发送的日志信息,包括事件日志,配置日志,安全日志和负载日志,对多台防病毒网关系统设备进行统一的固件升级,病毒库升级;实时监控多台防病毒网关设备的运行状态和负载信息。
防病毒网关应该具备完善的网络访问日志记录和审计功能,网络管理员在定制安全策略时,可根据需要,对网络行为、资源访问情况进行有选择地审计。当系统监测到有异常行为,病毒访问等事件时,将自动对其进行审计分析,以帮助管理员定制更完善的网络系统安全规则。


二、防火墙
防火墙系统是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。在逻辑上,它是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
部署位置:保护网络的关键位置;可以是互联网,也可以是一个服务器区,也可以是另外一个局域网。如图2所示:
2
使用防火墙(防火墙)的益处
v     保护脆弱的服务
通过过滤不安全的服务,防火墙可以极大地提高网络安全和减少子网中主机的风险。例如, 防火墙可以禁止NIS、NFS服务通过,防火墙同时可以拒绝源路由和ICMP重定向封包。
v     控制对系统的访问
防火墙可以提供对系统的访问控制。如允许从外部访问某些主机,同时禁止访问另外的主机。例如, 防火墙允许外部访问特定的Mail Server和Web Server。
v     集中的安全管理
防火墙对企业内部网实现集中的安全管理,在防火墙定义的安全规则可以运行于整个内部网络系统, 而无须在内部网每台机器上分别设立安全策略。防火墙可以定义不同的认证方法,而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。
v     增强的保密性
使用防火墙可以阻止***者获取***网络系统的有用信息,如Figer和DNS。  记录和统计网络利用数据以及非法使用数据   防火墙可以记录和统计通过防火墙的网络通讯,提供关于网络使用的统计数据,并且,防火墙可以提供统计数据, 来判断可能的***和探测。
v     策略执行
防火墙提供了制定和执行网络安全策略的手段。未设置防火墙时,网络安全取决于每台主机的用户。


三、防病毒软件
计算机病毒是一种能够自身进行复制,并传染其他程序而起破坏作用的程序。防病毒软件提供在当前工作环境下的反病毒程序所需的一系列功能。包括实时文件系统扫描,按要求的文件系统检查,实时电子邮件的扫描,实时办公应用程序的保护,对恶意脚本的实时防卫,周期性的更新反病毒库,作为整个反病毒防卫程序的一部分进行工作,以及存储可疑对象和更改的对象复本。
衡量一种杀毒软件优劣或者技术性能如何主要包括:
¨     查杀率:
病毒的查杀率是衡量杀毒软件性能的最主要指标。影响病毒查杀率的关键是它的引擎以及病毒库的大小。比如说虚拟机技术、杀壳技术等等。查杀率在国际上一般是通过大量的病毒样本进行测试的。
¨     病毒库的更新速度:
也就是对新病毒的反应速度,反应速度的快慢直接影响到客户业务。
引擎
引擎应有业界最高的水准,反病毒引擎和病毒库,一直以其严谨的结构、彻底的查杀能力为业界称道。
病毒库的大小
病毒库应是病毒最全的病毒库,但是由于其独特的结构,病毒样本数目应该是最高的。
病毒库的更新速度
即对新病毒的反应速度。病毒库的更新频率越高,系统得到的保护就越可靠。反病毒数据库常规3小时更新数据库(必要时1小时更新),每次更新的数据库仅有3-20KB。用户可以通过更新模块自动下载病毒数据库,也可以手动从网站下载病毒库后本地更新。
部署位置:每台客户端和服务器均应安装防病毒软件,并专门设置一台防病毒服务器作为整个系统管理使用。
防病毒软件应具有的功能特性:
¨     文件系统对象的实时保护
¨     文件系统对象检测与病毒清除
¨     电子邮件的检测和病毒清除
¨     Microsoft Office 应用程序的实时保护
¨     VB Script 或 JavaScript创建的恶意动态脚本的实时防护
¨     隔离可疑对象
¨     在清除染毒对象前先将其保存
¨     更新反病毒库和应用程序
¨     联接操作作为整个反病毒保护系统的一部分
¨     应用程序安装
¨     用户界面
¨     性能与资源消耗