在网络技术不断发展的今天,网络安全问题正日益变得重要。如何使网络和主机不受病毒的入侵,已经成为网络建设和应用部署过程中迫切需要解决的问题。对于病毒的防范和隔离,过去常规的做法是在主机上安装防病毒软件。大部分病毒威胁来自外网,在各个主机上安装防病毒软件虽然能防止病毒对本机的攻击,但并不能阻止病毒在网络上的传播。在这种背景下,防病毒卡应运而生。它通过MSR系列路由器来防范和隔离病毒,在网关处就对病毒进行有效地查杀,很好地弥补了防毒软件的不足,具有很强的可用性,并且易于部署。
H3C公司根据企业用户的这种对于深度安全风险的防护需求,和国内著名的防病毒厂商瑞星合作,在H3C公司系列化MSR系列路由器上推出了MSR路由器ASM(Anti-Virus Security Module)防病毒卡,将瑞星企业级防毒引擎集成到网络产品的OAP模块中来提供查杀病毒的功能。ASM结合了MSR路由器开放式业务平台和业界防毒领域最强厂商的网络防毒产品的集成解决方案,即将基于通用操作系统(如Linux)的软件防毒墙产品集成到MSR路由器的OAP模块中来提供网络防毒墙的功能。MSR的开放式业务平台OAP模块具有强大的处理能力并依托MSR路由器强势的网络通信功能来提供业界独特灵活的业务集成能力,而国内瑞星公司目前是全球防毒领域获得前三的厂家之一,其防毒产品当然是业界功能和性能是首屈一指的,因此基于MSR路由器的这个防毒墙解决方案应该说是一个强强联合的产品和结晶,不论是从产品的品牌还是功能和性能方面都具有很强的优势。
2 MSR路由器ASM防病毒卡应用背景
随着互联网的发展,网络安全事件层出不穷。近年来,计算机病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。对于企业级用户,每当遭遇这些威胁时,往往会造成数据破坏、系统异常、网络瘫痪、信息失窃,工作效率下降,直接或间接的经济损失也很大。如今,用户在上网浏览、FTP下载、收发邮件都会成为病毒传播的手段,传统的计算机病毒防范是在需要保护的计算机内部建立反病毒系统,但随着网络病毒的日益严重,传统的模式已经不适应当前的状况,因为当网络中一个计算机受感染的时候,整个网络的计算机都处于一个不安全的状态,这是一种被动的解决方案,每当这时,网络管理员疲于奔波在网络每个计算机前,确保每台网络中的计算机都升级到了最新的病毒库,并查杀网络中所有的机器,确保在网络中没有不安全的环节,这种出现问题再解决的做法,使企业长期处于一个十分不安全的状态下。
另外,企业不断发展的同时其网络规模也在不断的扩大,由于其自身业务的需要,公司在不同的地区建有分公司或分支机构,总部和这些分支机构之间形成一个庞大的网络。同样,这样复杂的网络在为企业提高竞争力的同时,也会面临更多的安全问题。首先本地网络的安全需要保证,同时总部与分支机构、分支机构之间的机密信息传输问题,以及集团的设备管理问题,这样的企业信息化环境一般存在下列安全隐患和需求:
l 计算机病毒在企业内部网络传播
l 内部网络可能被外部黑客攻击
l 对外的服务器(如:www、ftp、邮件服务器等)没有安全防护,容易被黑客攻击
l 内部某些重要的服务器或网络被非法访问,造成信息泄密
l 内部网络用户上网行为没有有效监控管理,影响日常工作效率,容易形成内部网络的安全隐患
l 分支机构网络安全问题
l 大量的垃圾邮件占用网络和系统资源,影响正常的工作
l 分支机构网络和总部网络连接安全和之间数据交换的安全问题
l 远程、移动用户对公司内部网络的安全访问
ASM(Anti-virus Security Module,防病毒卡)模块是针对企业网络的上述问题设计的,ASM作为一个插卡插在MSR路由器设备中,其应用场合是企业网络,中小企业网络、大中型企业的分支机构以及其它需要进行病毒防护的网络出入口,例如企业内部的应用服务器出口、DMZ区出入口等等。在具体的网络方案中,可以首先考虑如下几个位置:
l 应用在企业内网与Internet或其他非安全网络的出入口,防止病毒通过Internet应用传播到内部网络。
l 应用在企业内网与Internet或其他非安全网络的出入口,防止外部用户对内网和对外服务器的非法访问和攻击。
l 应用在不同企业内网与Internet的出入口,实现企业网之间的安全连接和数据交换。
l 应用在企业内网的分支机构与Internet的出入口,实现移动、远程用户对企业网的安全连接访问和数据交换。
l 限制内网用户对网络资源的滥用。
3 MSR路由器ASM防病毒卡技术特点和优势
H3C MSR(多业务开放路由器)路由器是H3C公司推出的多业务集成路由器产品系列,该系列产品通过新的硬件架构和结构化的软件系统的有机结合,在多业务集成和扩展、提供增值的业务开放平台、灵活和方便的业务部署等方面为客户提供更高性价比的解决方案和最优的投资保护能力。该产品最突出的一个特点是能够提供开放的应用体系架构(OAA—Open Application Architecture),它公开软硬件接口及标准规范,提供一个开放平台,第三方厂商在此基础上可开发出更为丰富的业务,形成优势互补、深度集成、合作共赢。
采用了OAA架构的ASM防病毒卡功能强大,可以安装在H3C公司生产的多种MSR系列路由器上,适用于各类复杂的网络环境,具有灵活的配置管理方式,集成瑞星最新的VUE杀毒引擎、未知病毒查杀技术、详细的日志分析等多个模块,方便管理、易于操作、查杀病毒准确快速,为用户提供了一套完整的信息安全解决方案。
MSR路由器ASM防病毒卡可以很好地防御目前流行的混合型数据攻击的威胁,目前来看, 绝大多数网络的风险来自于几种常见的网络应用报文,比如:FTP文件传输协议,http网络超文本协议报文,SMTP邮件发送报文协议,POP邮件接收协议等。这些协议报文所传送的信息报文中隐藏着各种病毒,蠕虫,木马等。通过MSR路由器ASM防病毒卡,对这些协议报文进行深度的安全检测,识别应用层信息、协议命令入侵检测、阻断蠕虫病毒。这些特性和技术使得IT管理人员可以很容易地控制如各种蠕虫网络攻击、木马进程,、垃圾邮件扫描,并且阻断来自内部的数据攻击以及垃圾数据流的泛滥。同时,该防病毒卡的病毒库可以支持动态的更新,具备7层的数据包检测能力。完全克服了目前市场上深度包检测比较薄弱的技术弱点。
MSR路由器ASM防病毒卡的技术应用优势可以总结为以下几点:
(1) 统一的硬件形态
l 防病毒引擎非常巧妙地嵌入到系列的H3C公司的MSR系列路由器中,配合在每一台主机上安装的防病毒软件,二者共同进行查杀病毒的任务,显著提高了杀毒效率。
l 可以基于H3C公司的系列MSR系列路由器管理界面进行统一管理和设备监控;防病毒卡使用专门的硬件平台。它既不占用MSR系列路由器的硬件资源,也不影响MSR系列路由器的性能,保证了MSR系列路由器的正常工作和数据转发。
(2) 透明地嵌入到网络转发中,实现在线式地对各种病毒、蠕虫等地检测;集成瑞星多年积累的具有深刻国内特色的病毒特征码和病毒扫描引擎;组网完全对于以往H3C的MSR系列路由器没有任何影响;
(3) 灵活的配置方式
l 提供针对HTTP、FTP、SMTP、POP3四种协议的数据流进行查毒和杀毒的功能,可以分为按文件大小、性能优先或者准确性优先、文件类型、自定义策略等等各种条件进行查杀病毒,满足用户多种需求。
l 病毒特征库支持动态更新,具有自动升级和手动升级两种方式,保证了杀毒引擎对新型病毒的查杀。
(4) 强大的日志审计功能:
l 完善的安全审计。提供了完整的日志记录及审计功能,可提供详细的日志分析统计报告,帮助管理员发现网络被入侵的痕迹,以便及时采取弥补措施,或追踪入侵者
l 报文流在网络产品处理主板中进行报文的过滤以及DOS/DDOS攻击检测和相关的内容过滤检测;
l 报文流还通过内部高速总线进入到MSR路由器ASM防病毒卡中,实现报文流及其内容的深度过滤,检查报文是否包含;病毒、木马、蠕虫等。
可以根据网络产品部署的网络位置和支持的应用类型,灵活地部署防病毒卡;防病毒卡可以放在企业网络internet的出口位置;也可以部署在企业网络数据中心等地方,针对企业的应用实际情况,对于一些关键重要的流量进行深度检测,确保一些关键流量不会对企业重要的信息财产造成伤害。
可以通过多插MSR路由器ASM防病毒卡,实现对病毒的扫描检测的吞吐量。在系统中,具有两个插槽;都可以插上MSR路由器ASM防病毒卡,实现对防病毒的吞吐量的线性增大,提高用户数和吞吐量。
通过MSR路由器ASM防病毒卡,可以直接将网络产品升级到UTM产品,弥补了过去网络产品不能够对于报文载荷进行深度检测的技术缺陷,可以实现对于流经网络内部的报文载荷进行防病毒、防垃圾邮件以及木马、蠕虫等攻击的检测。企业使用了该防病毒卡,可以避免再购买防毒墙、UTM等系列设备,减少了投资,降低了管理成本。
4 MSR系列路由器软件中的相关模块
在MSR系列路由器的软件体系中,存在有特定的软件模块,来实现对ASM防病毒卡进行基本的管理和设置。
ASM防病毒卡和MSR系列路由器互相协作,共同完成查杀病毒的任务。用户在防毒软件的管理界面上进行配置,使得MSR系列路由器将特定的报文流上送到MSR路由器ASM防病毒卡。这两者的协作过程是由ACFP联动实现的。
ACFP(Application control forward protocol)即应用控制转发协议,是一种设备间的C/S(客户端/服务端)模式的联动框架。它主要描述了ASM防病毒卡和H3C公司的MSR系列路由器之间联动的具体实现规范。ASM防病毒卡被称为ACFP Client,MSR系列路由器被称为ACFP Server。
根据报文通过ACFP Server和ACFP Client的方式,ACFP联动的工作模式分为以下四类:主机模式、透传模式、镜像模式和重定向模式。
ASM防病毒卡的工作模式是重定向模式,如图所示:
图4-1 ASM防病毒卡ACFP协议结构
防毒软件读取数据后,首先进行自定义杀毒策略规则匹配,如果符合自定义杀毒策略则转交协议识别模块的协议匹配,如果不符合自定义杀毒策略则直接进行数据包转发。当数据包转交到协议识别模块时,会进行协议检查,如果属于防毒引擎支持的协议则进行杀毒,反之,则直接进行数据转发。
ACSEI协议作为ACFP联动提供的支撑协议,保障ACFP client与ACFP server之间有效交互信息、协作运行某种业务,同时也是MSR系列路由器和ASM防病毒卡之间的私有板间协议。
在MSR系列路由器中运行着ACSEI Server,在ASM防病毒卡中则启动ACSEI Client。通过ACSEI ,可以实现路由器对于ASM防病毒卡的实时心跳检测,同时用户也可配置ASM防病毒卡自动同步MSR系列路由器的系统时间,并且通过MSR系列路由器可以查看ASM防病毒卡的状态、启动或者关闭ASM防病毒卡系统。
5 MSR路由器ASM防病毒卡系统框架
H3C公司在设计MSR路由器ASM防病毒卡上,进行了具有非常新颖的硬件和软件设计,有机的将网络产品的硬件平台和MSR路由器ASM防病毒卡集成在一起,形成了独特的安全流转发的技术思路。在对报文的转发和深度安全处理中,使用了多个引擎技术。如图所示:
图5-1 ASM防病毒卡系统框架
一条完整的深度安全流转发过程是这样的:
l 报文从IO以太网端口进入;
l 在网络产品中进行网络产品的流分类,过滤,防DOS/DDOS等;
l 在网络产品中按照预先设定的规则,将特定的报文流经过高速总线,送到MSR路由器ASM防病毒卡;
l MSR路由器ASM防病毒卡中的高性能处理器将报整合成为安全流,并调用防病毒卡中的深度安全搜索引擎,对报文流进行扫描;如果发现具有风险的报文流,在防病毒卡中直接将报文流进行阻断,并记录日志。
l 如果报文流没有被检测出异常,就将报文经高速总线,送交给网络产品网络处理器转发引擎,然后在网络产品中将报文转发出去。
6 ASM防病毒卡介绍
H3C推出的ASM防病毒卡,它就是捆绑了OAP硬件模块和防毒引擎软件的统一体。用户采购的模块即包括了一个OAP模块和安装好了防毒软件的产品,用户只要直接对模块做一些策略配置就可以实际应用,这样免去了安装等烦琐的工作,大大方面了用户的使用。目前模块规格和类型有如下几种,可以应用在H3C MSR系列路由器中。
图6-1 ASM防病毒卡外观
日志审计
ASM防病毒卡的基本系统功能,如下图所示。
图6-2 H3C ASM防病毒卡功能图
为了保证ASM防病毒卡的管理安全,H3C ASM防病毒卡采用了管理员分级原则,共分为超级管理员、配置管理员和审计管理员三种。
l 超级管理员:对ASM防病毒卡拥有最大权限的用户,可以查看并修改全部ASM防病毒卡设置
l 配置管理员:可以查看全部ASM防病毒卡设置并进行部分修改
l 审计管理员:拥有最低管理权限,只可以查看ASM防病毒卡设置
H3C ASM防病毒卡采用远程Web界面管理和远程ssh命令行管理,管理员必须通过用户认证才能登录到ASM防病毒卡,对ASM防病毒卡上的配置文件进行修改。管理主机(可以放置在内外网任何地方,包括拨号网络)与ASM防病毒卡之间的通信采用加密传输,以防止黑客利用网络嗅探器对数据的窃取。利用这种机制,可以杜绝黑客假冒管理员对ASM防病毒卡文件进行篡改和获取敏感信息。同时严格限制了管理员能够登录系统的途径,除允许的接口或IP外其他任何企图登录ASM防病毒卡都将遭到拒绝,并且采用了锁定多次失败登录的用户和IP地址的方式,确保登录系统的用户是可信的。
H3C ASM防病毒卡提供和MSR系列路由器一致的终端命令行管理基本上可以实现Web管理的所有命令,且所有的命令字段能够自动补全,所有的配置效果与Web配置的结果一样,为网络访问不方便的情况下提供了最完美的配置解决方案。简洁明快的配置管理界面也可使熟悉命令行的管理员迅速管理ASM防病毒卡的配置。
H3C ASM防病毒卡支持在线实时升级功能,能够实时升级病毒特征库及病毒引擎等相关的内容,从而不断提高ASM防病毒卡的防病毒能力和查杀能力。
H3C ASM防病毒卡内集成了瑞星最新的杀毒引擎,能够查杀多种类型的病毒,查杀效率更高,运行更稳定。目前,H3C ASM防病毒卡支持HTTP、SMTP、POP3、FTP等常用协议,当匹配的数据流通过ASM防病毒卡的时候,ASM防病毒卡会截获其中的数据,并根据用户的配置实现查毒、杀毒以及隔离病毒处理方式。对于HTTP协议,当用户通过IE下载的时候,ASM防病毒卡会一边传送数据,一边检查数据中是否存在病毒,如果发现病毒,那么ASM防病毒卡就主动断开与客户的连接,此时用户就无法得到完整的数据,已经下载的数据同时会自动删除。对于SMTP和POP3邮件协议不但提供强大的病毒查杀处理,并且提供病毒告警功能,使得用户在接受到邮件的时候明确的知道邮件中有什么病毒,ASM防病毒卡又做了什么工作。同时ASM防病毒卡针对协议数据中出现的病毒做详细的日志记录,以便管理员和用户查询。在HTTP、SMTP、POP3、FTP协议中可以灵活定制查杀数据的大小、文件类型、查杀方式等多种策略保证在不影响处理功能的前提下提高处理的性能。
H3C ASM防病毒卡支持快速有效的阻断蠕虫王、冲击波、麦托、尼姆达、震荡波和高波等网络蠕虫病毒的渗透,在保证网络不被蠕虫感染的同时,也充分保证了网络带宽的正常使用。
l 可执行格式:对通过的后缀为EXE、SRC、PIF、BAT、COM格式的文件进行查杀
l 库格式:对通过的后缀为DLL、SYS、VXD、DRV、BIN、OVL、386、SHS、MAI、SCR、LNK格式的库文件进行查杀
l 邮件格式:对通过的后缀为MSG、DBX、IDX、IND、SNM、EML、NWS、MHT格式的邮件文件进行查杀
l 脚本格式:对通过的后缀为FON、DOC、DOT、XLS、XLT、VBS、VBE、JS、JSE、WSH、SCT、HTA、HTT、CHM格式的脚本文件进行查杀
l 压缩格式:对通过的后缀为ZIP、ARJ、CAB、RAR、ZOO、ARC、LZH、PKZIP、GZ、TGZ、PKPAK格式的压缩文件进行查杀
l 网页格式:对通过的后缀为HTM、HTML、ASP、CSS、PHP、ASPX、DHTML、JHTML、CGI、JSP、XML格式的网页文件进行查杀
l 图片格式:对通过的后缀为JPG、BMP、GIF、PNG、PCX、TGA、TIFF格式的图片文件进行查杀
l 自定义文件类型:用户还可以根据需要定义其他格式文件的病毒查杀
H3C ASM防病毒卡利用了多种技术保证系统自身的安全性和稳定性,例如:
l 针对专门的硬件设备的自定义内核
l 安装了针对产品功能用到的服务,抛弃了其他不必要的服务。这些服务通过研发的编译,优化,从完整意义上把服务本身的问题降到了最低点
l 程序软件从各个层面进行了防止入侵和破坏的入口,一个功能在不同的接口中对输入参数进行了严格检查
l 系统默认屏蔽了所有的端口,而只放开了网络畅通的基本端口,如DNS
l 软件在对管理IP,管理用户,管理超时等用户层面上做了严格的限制,没有指定用户,系统无法进行登录和系统配置,修改,等维护功能
l 系统本身管理采用了SSL加密传输协议,从根本上保证用户数据不被监听
H3C ASM防病毒卡提供了强大的日志审计功能,并可提供详细的日志分析统计报告。系统管理员可以在管理主机上实时查看ASM防病毒卡的运行状态和浏览各类报告。为避免系统硬盘空间耗尽,ASM防病毒卡保存的日志文件定时滚动,最长保存时间可由用户设置。同时,可选的日志实时备份模块,能够实现日志异地存储。仔细阅读日志,可以帮助管理员发现被入侵的痕迹,以便及时采取弥补措施,或追踪入侵者。
ASM防病毒卡日志支持本地syslog、本地mysql和远程syslog、远程mysql等多种记录方式。H3C ASM防病毒卡安全审计日志功能分成事件日志、管理日志、系统日志和日志保存设置。
l 事件日志:记录包括HTTP、FTP、SMTP、POP3协议不同时间段病毒的查询,以及病毒日志的详细信息
l 管理日志:支持查询任何时间所有用户登录的具体信息
l 系统日志:记录用户对系统的修改
l 日志保存设置:配置ASM防病毒卡日志的保存及备份方式
参见4.1 ACFP。
首先需要在模块上启动杀毒服务和做好配置策略。当客户端发起访问服务器的HTTP,SMTP,POP3和FTP业务的时候,杀毒服务先和客户端建立连接,同时和服务器建立连接,当数据流从服务器向客户端发送并经过模块的时候,系统从内核层把数据交互到应用层,由应用层对杀毒数据库进行缓存,当文件缓存到完备以后,调用反病毒引擎将数据进行查杀,然后将查杀结果返回客户端,同时将查杀的结果返回记录日志,供审计人员进行审计。其中SMTP,POP3,FTP杀毒机制和HTTP有所不同,前者先将所有数据缓存,杀毒系统然后将数据发送给客户端,而后者HTTP也是缓存所有的数据,但同时将数据包转发给客户端,保留文件的最后一段数据,当文件缓存结束发现有病毒的时候,主动让客户端关闭,根据IE的特性,客户端会放弃缓存的数据,从而达到防病毒的目的。对于客户端向服务器端上传数据的原理和实现的过程完全相同。
ASM防病毒卡的配置与它所在的路由器融合,界面统一,配置方式一致。可以通过命令行、telnet、SNMP网管以及WEB等方式进行配置。ASM防病毒卡的配置主要有以下几项:
l 在路由器上配置acl规则,匹配需要保护的协议和数据流;
l 在路由器上配置策略路由,将满足acl规则的数据流转发的防病毒毒插卡;
l 分别在内网和外网的接口上应用策略路由;
l 防病毒插卡默认路由指向路由器;
l 配置防毒插卡防毒策略,对异常数据流阻断、查杀和隔离;
7 ASM防病毒卡典型组网
配合H3C MSR系列的网络设备,作为中小型企业的公网接入防护设备。
在这种应用情况下,ASM防火墙主要实现以下功能:
l 外网威胁防护:保护未来得及更新病毒库的主机;
l 恶意威胁防护:在线阻挡恶意木马、蠕虫等,防止主机病毒无法杀掉的情况出现;
l 服务器保护:在线、实时保护服务器不受病毒感染,减轻服务器杀毒负担
l 出口监控:监控网络出口病毒状况
配合H3C MSR系列的网络设备,为大中型企业或者需要进行严格分区的行业分支机构,进行实时保护。
在这种应用中,ASM防火墙主要实现以下功能:
l 外网威胁防护:保护未来得及更新病毒库的主机和服务器;
l 交叉感染防护:防止内部各区域间病毒交叉感染;
l 内网监控:监控网内病毒状况;
本解决方案主要实现以下功能:
l 负载分担:实现在设备上防病毒功能的负载分担,成倍提升了病毒检测效率。
l 基于管理方面的考虑,在核心路由上布署防病毒卡便于升级及统一管理。
配合H3C MSR系列的网络设备,在行业纵向网的分支节点上进行病毒过滤。
在这种应用情况下,ASM防火墙主要实现以下功能:
l 在线过滤:阻断分支感染的蠕虫、木马、间谍软件等垃圾流量向总部扩散;
l 统一升级:病毒库通过总部病毒服务器统一升级,利于管理;
l 统一监控:对分支机构上行流量提供实时监控;
l 基于性能方面的考虑,对于特大型行业或企业用户,建议在分之节点的设备上部署MSR ASM防病毒功能。
H3C公司和瑞星公司联手合作,推出的基于系列网络产品的ASM防病毒卡,能够无缝地嵌入到网络产品设备中;可以针对日益严重地企业网络安全风险进行深度的检测和防护,使网络产品的应用深入到企业应用的深度防护中,可以很好地保护企业的网络资产和信息资源设备资产,降低企业网络的安全风险。
