回顾2004年,病毒流行趋势是以冲击波、震荡波、安哥Bot、MyDoom等蠕虫与木马病毒为主的网络化病毒,同时其他利用网络协议以及应用漏洞进行攻击与入侵也造成巨大的破坏,据风险管理公司mi2g的调查结果,仅2004年,病毒等恶意程序就给全球造成了1690亿美元的经济损失。你可能会问,既然大部分接通互联网的企业都安装了防火墙和VPN设备,客户网络上的PC和服务器也大多有防病毒软件,为什么还会遭受如此大的损失呢?答案很简单,因为这些方案并不完善,因为内网PC和服务器安全策略更新不是一件轻松的事,此外PC防病毒软件也不能防掉所有的病毒,尤其是传播迅速的蠕虫类病毒,同时防病毒软件对黑客入侵无能为力。
顺应市场需求,UTM设备应运而生。一般来讲,UTM包括防火墙,VPN,网关防病毒和IPS,做到应用层数据扫描以检测病毒和入侵。然而很多UTM设备是在现有防火墙上增加网关病毒扫描和入侵检测功能,无疑对主处理器是一个沉重的负担,因为现有的基于ASIC芯片的硬件防火墙也不可能利用ASIC实现应用层数据的扫描。为了平衡性能与功能的需求,通常网关防病毒引擎扫描的协议种类非常有限,通常只支持POP3、SMTP、IMAP、HTTP和FTP等5种协议。而且,它们对同时扫描的文件的数目和大小都依硬件平台的不同而有明显的限制,其主要原因在于它们把待扫描的文件缓存在从有限的内存空间所分配的缓冲区内,这样,硬件资源的受限就限制了同时下载和扫描的文件的数目和大小。另外,随着网络应用的飞速发展,各种各样的新威胁,如即时消息和对等应用软件层出不穷,同时,广泛应用的Windows文件共享也是病毒扩散的一个途径。而不幸的是,现有的很多网关防病毒方案不支持对Windows文件共享所采用的协议NetBIOS over TCP/IP的扫描。
为此,美国SonicWALL公司推出了全新设计的PRO系列和TZ系列UTM网络安全设备。SonicWALL采用独一无二的逐个包扫描深度包检测引擎专利技术(美国专利申请中),无需对数据包重组及对文件进行缓存就可以实现对病毒和入侵的扫描和防护,所以SonicWALL对同时下载的文件数目和文件的大小没有任何限制。SonicWALL直接在安全网关上匹配全面的签名库,对网页下载、邮件传输及压缩文件的潜在威胁进行安全扫描。SonicWALL UTM设备能够并行扫描超过50种协议上的25000种病毒,检测并阻断(根据管理员的设置)超过2000种入侵威胁。
另外,SonicWALL还支持对100多种即时消息(如MSN、QQ)和对等应用(P2P,如BT下载、eMule下载)的通信控制,能够扫描NetBIOS over TCP/IP,防止病毒通过Windows文件共享进行扩散。同时,SonicWALL解决方案还可以限制带有宏的Office文件、密码保护的压缩文件和"加壳"的可执行文件的传输。
采用DEA 架构,SonicWALL的安全设备做到了每个小时自动更新病毒签名库和入侵签名库。SonicWALL的UTM设备还能阻止病毒在内部网络扩散,防止内部的黑客入侵行为。此外,SonicWALL的UTM设备即将支持反间谍软件功能,通过简单的软件升级,现有的网关防病毒和IPS用户可直接享用反间谍软件服务。
上述功能适用于SonicWALL全部PRO系列和TZ系列产品。
