Solution ahn lab scm（4100+1100）－education

XXX 学校防毒墙解决方案

安博士(中国)有限公司

2011-03-07

TEL: 021-60956780

FAX: 021-60956781

安全网络健康中国

1

目录一、应用背景 ...................................................... 2 二、应用优势 ...................................................... 2 三、安全威胁的增加和客户的现况 .................................... 2

1、蠕虫及间谍软件的危害日益增多 ............................................................................................... 2 2、网络故障时间的增加 ................................................................................................................... 3 3、客户端安全产品的缺陷 ............................................................................................................... 3 4、网络版安全产品的缺陷（如图三） ........................................................................................... 3

四、TrusGuard SCM 特点 ............................................ 4 1、世界顶尖的蠕虫 / 间谍软件监测率 .......................................................................................... 4 2、与发表漏洞同步分发拦截策略，有效的对应未知的攻击 ....................................................... 4 3、通过安博士安全应急中心 24 小时*365 日不间断地下载最新的拦截策略和特征码 ............. 5 4、与安博士策略中心 -AhnLab Policy Center 互联 ...................................................................... 5 5、保障业务的持续性，管理的简便性，管理成本的最小化 ....................................................... 5 6、迅速监测并对应内网发生的攻击 ............................................................................................... 5 7、拒绝服务攻击 (Dos/DDos) 的防御，流量整形 (Traffic Shaping), 网络扫描 (Network Scanning) 等安全设备所具备的基本有害流量拦截功能 ............................................................. 5

五、TrusGuard SCM 引进效果 ........................................ 6 1、防止蠕虫危害 ............................................................................................................................... 6 2、保障内部网络的畅通 ................................................................................................................... 6 3、防止信息泄漏 ............................................................................................................................... 6 4、加强End Point安全 ....................................................................................................................... 6 5、保障业务的持续性 ....................................................................................................................... 6 6、保护骨干网 ................................................................................................................................... 6

六、TrusGuard SCM 产品介绍 ........................................ 7 1、配置 ............................................................................................................................................... 7 2、安装位置 ....................................................................................................................................... 8

七、TrusGuard SCM 功能界面 ........................................ 9 1、安博士公司独特的三层蠕虫拦截规则，提前准确的拦截蠕虫 ............................................... 9 2、利用网络入侵拦截规则，从网络攻击中保护内部网络的安全 ............................................... 9 3、自动隔离被感染的系统之后，自动连接到警告网页 ............................................................. 10 4、和APC(AhnLab Policy Center)互连，加强客户端的安全性 ................................................... 10 5、提供实时监测日志及相关网络包的详细记录 ......................................................................... 11 6、提供IP地址/端口过滤 ................................................................................................................ 11 7、提供网址过滤 ............................................................................................................................. 12

八、客户支持 ..................................................... 12 1、客户支持及病毒上报体系 ......................................................................................................... 12 2、产品保修政策 ............................................................................................................................. 13 3、引擎更新方法 ............................................................................................................................. 13

九、解决方案 ..................................................... 13


2

一、应用背景

根据来自国际计算机安全协会的统计，现在全球有99％以上的病毒是通过电子邮件和网页浏

览进入用户的计算机的。在1999 年，由此造成的损失就超过100 亿美元，预计到2007 年全世界

每年由于病毒所造成的损失将高到268 亿。2005年新型蠕虫的入侵占了70%，其余大部分是网络漏

洞，间谍软件的上报量也比2004年增加了27.8倍。近几年来，教育城域网的规划和建设拉开了全

面实施教育信息化工程，实现了区域教育跨越式发展的序幕，极大地促进了国内教育行业的繁荣

和发展，但同时也对教育网络的安全管理提出了更高要求，防病毒就是其中很重要的一项工作，

而在病毒的入口处进行病毒防护是很有优势的一种防病毒模式。

二、应用优势

由于传统的防病毒方案只是在每台客户端计算机上安装防病毒软件，这样是无法在当前病毒

的主要入口处进行防病毒，也就是只有在病毒到达网络中的客户端计算机和服务器后，才通过本

地已经安装的防病毒软件进行病毒查杀，然而根据目前病毒发展的趋势，每天都有大量的新型蠕

虫产生，杀毒软件的引擎更新速度已经远远跟不上新型蠕虫的生成速度，因此对新型蠕虫的防御

显得更加重要，根据用户的网络实际情况，我们认为在网关处进行防病毒保护的实际意义尤为显

著。有效的对应新出现的蠕虫/间谍软件的危害，需要专业的恶性代码对应的能力和产品的不断升

级，并且存在多种应用软件和系统需要相互通信的复杂的内部网络环境中需要基于特征码、低误

诊率、无延迟流量处理、高准确性的防病毒产品，TrusGuard SCM 1100/3100/4100F是安博士公司

凭借高效的蠕虫收集/分析能力和蠕虫出现之前防御能力结合在一起，早期主动防御蠕虫。通过

TrusGuard SCM 1100/3100/4100F，蠕虫和间谍软件进入网络之前进行有效的阻击，提高整个网络

的系统安全性。同时TrusGuard SCM 1100/3100/4100F采用自动24小时*365日不断提供最新的防病

毒策略，实时保障产品的最新的防毒能力。

三、安全威胁的增加和客户的现况

1、蠕虫及间谍软件的危害日益增多

目前最严重的安全威胁是蠕虫和间谍软件（如图一）


图一：

蠕虫的入侵途径的 Top 3 是 E-mail, Network 漏洞（如图二）

图二：

2、网络故障时间的增加

企业内部网络中，蠕虫的泛滥所引起的网络故障时间的增加，加重了企业的经济损失

3、客户端安全产品的缺陷

对零日攻击(Zero Day) 及 Outbreak 蠕虫的攻击比较脆弱

4、网络版安全产品的缺陷（如图三）

在客户端不能有效地防御蠕虫的初期发作和急剧扩散。在客户端无法拦截利用漏洞的攻击。未安装防病毒产品,旧版本的特征码引擎，补丁不全等问题增加蠕虫的危害。通过笔记本，移动终端受到感染的内部蠕虫受害案例日益增加。

3


图三：

四、TrusGuard SCM 特点

1、世界顶尖的蠕虫 / 间谍软件监测率

基于统计及自学 (Self-Learning) 方式的监测的误诊率比较高，增加管理成本。特征码方式是

基于准确的模式进行监测，所以监测率很高，但是并不是采用特征码方式的所有的产品监测

率都是很高。保障监测出 99% 以上高准确率的特征码产品才能称为真正的基于特征码的安全设备。网

络攻击的 70~80% 以上跟蠕虫 / 间谍软件相关。对此确保专业人员，恶性代码的分析能力和

累计经验是决定特征码的准确性。安博士 TrusGuard SCM 中加载的特征码是安博士 18 年以上在安全领域中积累的技术

和人员投入制作的，所以在业内享有高水平的准确率。并且蠕虫和变种蠕虫会在短时间内发

送大量的邮件来试图复制自己，这将导致流量的爆增引发网络瘫痪。安博士 TrusGuard SCM 内置邮件专用处理引擎，出色的拦截蠕虫和变种蠕虫的初期扩散。

2、与发表漏洞同步分发拦截策略，有效的对应未知的攻击

大部分的黑客工具和蠕虫是操作系统和系统漏洞，补丁文件发布之后，通过非法的黑客制作

出来。 AhnLab TrusGuard SCM 与漏洞报告同步预测漏洞可能引发的蠕虫或黑客工具，立即

制作提前拦截策略之后通过升级服务分发到客户端的 TrusGuard SCM 设备中。设备通过自

动升级即时防御将要出现的蠕虫或者黑客工具的攻击。

4


5

3、通过安博士安全应急中心 24 小时*365 日不间断地下载最新的拦截策略和特征码

为了对应频繁发布的安全漏洞和不断进化的蠕虫及间谍软件，最重要的是由专业的安全应急

小组提供实时对应服务。安博士公司的安全应急中心 24 小时 *365 日监控全球互联网，对

新出现的蠕虫 / 间谍软件即时制作特征码，更新安全策略升级服务器。完善的终端用户安全

4、与安博士策略中心 -AhnLab Policy Center 互联

安博士安全产品管理系统 -AhnLab Policy Center3.0 定期监测弱口令账号，共享文件夹等网络

中存在的漏洞。存在漏洞的客户端试图连接网络时通过 TrusGuard SCM 进行拦截，防止通

过漏洞遭受蠕虫或黑客的攻击。并且把没有安装 AhnLab Policy Center 的 Agent 的客户端强

制引导安装 Agent 。 TrusGuard SCM 与 AhnLab Policy Center 相结合，大幅提高终端用户

的安全性。

5、保障业务的持续性，管理的简便性，管理成本的最小化

在网关级安装的在线设备的最大的问题是设备停止运作的时候网络流量也会随即停止。 AhnLab TrusGuard SCM 内置了旁路 (Bypass) 功能，切断电源及其他原因停止设备运行时也

能保证网络的畅通。并且通过即插即用 (Plug&Play) 方式的图形界面 (GUI) 进行配置，并

且通过中央管理系统 (AhnLab TrusGuard SCM Manager) 管理多台设备，节约了大量的设备运营及管理成本。

6、迅速监测并对应内网发生的攻击

通过笔记本，无线 PDA 等终端在内部网络中引发蠕虫等有害流量的可能性越来越增加。多

种应用软件和系统之间的通信并存的内部网络环境中，经过一段时间之内的统计结果之后对

应的策略无法监测 / 拦截大量的多种类型的有害流量。通过精确分析制作的准确的特征码才

能达到高效的监测 / 拦截目的。

7、拒绝服务攻击 (Dos/DDos) 的防御，流量整形 (Traffic Shaping), 网络扫描 (Network

Scanning) 等安全设备所具备的基本有害流量拦截功能

监测异常流量模式及使用网络协议的 Dos/DDos 攻击等网络攻击，保护网络资源的安全。限

制 IP 地址和端口的带宽，即使蠕虫等恶性代码的攻击引发特定 IP 或端口的流量，也能保

障整体网络的服务质量。监测试图入侵的扫描供给进行拦截，阻断未知恶性代码和黑客的入

侵。


五、TrusGuard SCM 引进效果

1、防止蠕虫危害

通过 ASEC(安博士信息安全应急中心)提前升级新蠕虫的拦截规则，预防蠕虫引发的损害

2、保障内部网络的畅通

使用基于特征码的拦截规则，尽量减少把应用程序之间的正常通信误诊为蠕虫的可能性

3、防止信息泄漏

提前拦截间谍软件的网络入侵，防止信息泄漏

4、加强End Point安全

跟踪引发 Traffic 的被蠕虫感染的客户端进行拦截隔离通过 APC 3.0 服务器，对客户端的安全策略进行控制

5、保障业务的持续性

减少蠕虫引发的网络故障时间(Network down time) 从蠕虫保护网络及系统

6、保护骨干网

在内部网络段(N/W Segment)提前拦截引发 Traffic 的蠕虫，整体提高骨干网的稳定性拦截无线用户等内部引发的威胁

6


六、TrusGuard SCM 产品介绍

1、配置

TrusGuard SCM SCM 1100 TrusGuard SCM SCM 3100 TrusGuard SCM SCM 4100F

Pictures

产品级别 SOHO / Branch Office Small / Medium Business Enterprise

H/W AMD LX-800 / 512M Intel P-IV 2.8GB / 1GB Xeon 2.8GB Dual CPU / 1GB

工作模式 In-Line In-Line In-Line

Fast Ethernet(10/100)Port 2 3 -

Giga Ethernet Port (Copper) - - 2

Giga Ethernet Port(Fiber) - - 4

管理接口 1 1 1

Fail Open Support Two Bypass Port Support Two Bypass Port Support Two Bypass Port

(Fiber 2 Port)

吞吐量 25Mpbs 80Mpbs 400Mpbs

并发连接数 300,000 500,000 1,000,000

尺寸 (W×D×H mm) 270 * 180 * 38 426 * 379 * 43 429 * 400 * 44

温度

工作温度 : 0~40℃

存放温度 : -20~80℃

工作温度 : 0~40℃

存放温度 : -20~80℃

工作温度 : 0~40℃

存放温度 : -20~80℃

7


2、安装位置

8


七、TrusGuard SCM 功能界面

1、安博士公司独特的三层蠕虫拦截规则，提前准确的拦截蠕虫

2、利用网络入侵拦截规则，从网络攻击中保护内部网络的安全

9


3、自动隔离被感染的系统之后，自动连接到警告网页

4、和APC(AhnLab Policy Center)互连，加强客户端的安全性

10


5、提供实时监测日志及相关网络包的详细记录

6、提供IP地址/端口过滤

11


7、提供网址过滤

八、客户支持

1、客户支持及病毒上报体系

12


13

2、产品保修政策

安博士防病毒系列产品的售后服务期限为一年，防毒墙硬件设备提供一年包换、三年保修、终身

维护的政策，用户服务期满后，请务必发送相关续约申请或联系相关销售人员，详情请参考安博

士网站（http://www.ahn.com.cn）上的售后服务条款

3、引擎更新方法

安博士 TrusGuard SCM 系列硬件产品采用的是自动更新的方式，不需要人为进行干预，默认每 30

分钟自动升级一次，每天 03:00 分进行补丁升级，同时可以通过手动方式更改默认设置

九、解决方案

由于传统的防病毒方案只是在每台计算机上安装防病毒软件，这样是无法在当前病毒的主要

入口处进行防病毒，也就是只有在病毒到达网络中的客户端计算机和服务器后，才通过本地已经

安装的防病毒软件进行病毒查杀，因此根据 XXX 学校的网络实际情况，我们认为在其网关处进

行防病毒保护的实际意义尤为显著。同时根据实际测试的流量以及并发连接数量，我们认为采用

多台 TrusGuard SCM 安装在不同的网段之间，由于公司主干采用的是千兆电口接入，因此在网关

处安装一台 TrusGuard SCM 4100F，各网段分别安装一台 TrusGuard SCM 1100，来拦截网段之间

的感染，其这样不但可以阻断已知病毒的入侵，而且可以有效地拦截新型蠕虫及广告软件的入侵，

同时保障各子网之间的病毒不会通过 VPN 线路进行传播。


网络结构图如下：

SYST RPS

STRT DUPLXSPEEDUTIL

MODE

Catalyst 2950SERIES3

4

5

6

7

8

9

10

11

12

1

1

2

2

AUX

ACT

LINK100 Mbps

ACT

LINK100 Mbps

FASTETHERNET 0/1 FASTETHERNET 0/0 CONSOLE

W2 W1 W0

Cisco 3725CF1

2 3

SYST RPS

STRT DUPLXSPEEDUTIL

MODE


4

5

6

7

8

9

10

11

12

1

1

2

2

SYST RPS

STRT DUPLXSPEEDUTIL

MODE


4

5

6

7

8

9

10

11

12

1

1

2

2

SYST RPS

STRT DUPLXSPEEDUTIL

MODE


4

5

6

7

8

9

10

11

12

1

1

2

2

14


TrusGuard SCM硬件防毒墙的安装实施非常简单，对于有路由器(防火墙)的局域网而言，只需

将TrusGuard SCM硬件防毒墙WAN的一端接入路由器(防火墙)的出口，LAN端接在网络核心交换机上

就行。网段之间通过TrusGuard SCM防止网段间的病毒感染。

TrusGuard SCM的管理也十分简单，是需要通过WEB页面，就可以对网络上的TrusGuard SCM

设备进行管理，无须安装特殊的管理软件，这样使网络管理员不用在特定的电脑上就可以管理整

个网络上的TrusGuard SCM设备。由于XXX学校的对防毒墙的需求量比较大，因此我们建议在海XXX

学校的网络里安装TrusGuard SCM Manager软件，以便有效的对多台TrusGuard SCM进行管理，

TrusGuard SCM Manager也是一个基于WEB的管理软件，只不过安装以后可以对网络上多台设备进

行管理，不用记住每个TrusGuard SCM设备的IP地址，在浏览器上输入TrusGuard SCM Manager的

IP地址，就可以监控所有网络上的TrusGuard SCM设备。

产品名称数量TrusGuard SCM 4100F 1TrusGuard SCM 1100 3TrusGuard SCM Manager 1

15

Solution ahn lab scm（4100+1100）－education

Documents

Transcript of Solution ahn lab scm（4100+1100）－education