White paper ahnlab scm

15
安博士 TrusGuard 防毒墙 技术白皮书 总部 / 华东区 地址:上海市普陀区曹杨路 450 号绿地和创大厦 2008 室(200062电话:021-60956780 传真:021-60956781 华北区 地址: 北京海淀区中关村东路 18 号财智国际大厦 A 1508 电话:010-82600932 传真:010-82600931 华南区 地址:广州市天河区中山大道西 61-65 号电子科技大厦 911A 510630电话:020-85260582 /3 传真:020-85260581 西北区 地址: 西安市太白南路 269 号中天国际公寓 B 2905 (710068) 电话:029- 88222488 传真:029- 88220047 西南区 地址: 成都市武侯区洗面桥街 33 号艺墅花乡 508 (610041) 电话:029-85593920 传真:029-85593920-604

Transcript of White paper ahnlab scm

Page 1: White paper ahnlab scm

安博士 TrusGuard 防毒墙

技术白皮书

总部 / 华东区 地址:上海市普陀区曹杨路 450 号绿地和创大厦 2008 室(200062)

电话:021-60956780

传真:021-60956781

华北区 地址: 北京海淀区中关村东路 18 号财智国际大厦 A 座 1508 室

电话:010-82600932

传真:010-82600931

华南区 地址:广州市天河区中山大道西 61-65 号电子科技大厦 911A 室 (510630)

电话:020-85260582 /3

传真:020-85260581

西北区 地址: 西安市太白南路 269 号中天国际公寓 B 座 2905 室(710068)

电话:029- 88222488

传真:029- 88220047

西南区 地址: 成都市武侯区洗面桥街 33 号艺墅花乡 508 室(610041)

电话:029-85593920

传真:029-85593920-604

Page 2: White paper ahnlab scm

安全网络 健康中国

1

文件信息

Copyright ⓒ, 北京安博士信息安全技术有限公司, 2005, All rights reserved.

Ahnlab TrusGuard SCM 此说明书的内容及产品受著作权和计算机软件保护法的保护,此说明书标

记的产品名是各公司的注册商标.

2007 年 12 月第一版发行

Apache 1.3.33 Copyright (C) 2000 The Apache Software Foundation. All rights reserved. "This product includes software developed by the Apache Software Foundation (http://www.apache.org/)." bridge-utils-1.0.4 Copyright (C) 2000 Lennert Buytenhek. All rights reserved. busybox-1.00 Copyright(C) 1999-2005 Erik Andersen. All rights reserved. (http://busybox.net) iproute2-ss 050124 Stephen Hemminger is maintaining and enhancing the original package from Alexey. (http://developer.osdl.org/dev/iproute2)

iptables-1.2.11 Copyright (C) 2000-2001 Netfilter Core Team. All rights reserved. (http://www.netfilter.org) mod_ssl2.8.22 Copyright (C) 1998-2004 Ralf S. Engelschall. All rights reserved. "This product includes software developed by Ralf S. Engelschall <[email protected]> for use in the mod_ssl project (http://www.modssl.org/)." pcre-4.5 Copyright (C) 1997-2003 University of Cambridge. All rights reserved. "Regular expression support is provided by the PCRE library package, which is open source software, written by Philip Hazel, and copyright by the University of Cambridge, England." (ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/) php 4.3.10 Copyright (C) 1999 - 2002 The PHP Group. All rights reserved. "This product includes PHP, freely available from <http://www.php.net/>".

snort-2.3.0

Copyright (C) 1998,1999,2000,2001 Martin Roesch. All rights reserved.

(http://www.snort.org)

Page 3: White paper ahnlab scm

安全网络 健康中国

2

目 录

一、 安博士公司简介 ............................................................................................................................ 3 二、 安博士防毒墙产品线 .................................................................................................................... 3 三、 功能介绍 ........................................................................................................................................ 3

3.1 拦截并监测蠕虫等恶性代码: ........................................................................................................ 4 3.2 早期拦截新变种恶性代码: ............................................................................................................ 5 3.3 拦截网络入侵: ................................................................................................................................ 5 3.4 互联网连接控制(与Ahnlab Policy Center联动): ........................................................................... 5 3.5 实时监视: ........................................................................................................................................ 6 3.6 安全策略应用结果监控: ................................................................................................................ 6 3.7 自动升级: ........................................................................................................................................ 7 3.8 中央控制管理: ................................................................................................................................ 8 3.9 支持硬件Bypass(Fail Open): .................................................................................................... 8 3.10 流量监控 ....................................................................................................................................... 9 3.11 策略例外设置 ............................................................................................................................... 9

四、 安装结构 ...................................................................................................................................... 10 4.1 网关级防护 ................................................................................................................................... 10 4.2 分散结构防护 ............................................................................................................................... 11 4.3 不同网段的防护 ........................................................................................................................... 11

五、 安装注意事项 .............................................................................................................................. 12 5.1 型号选择 ....................................................................................................................................... 12 5.2 连接方式 ....................................................................................................................................... 12

六、 防毒墙产品参数 .......................................................................................................................... 13 七、 安博士技术服务体系 .................................................................................................................. 14

6.1 售后服务期限 ............................................................................................................................... 14 6.2 引擎更新方法 ............................................................................................................................... 14 6.3 技术支持 ....................................................................................................................................... 14

Page 4: White paper ahnlab scm

安全网络 健康中国

3

一、 安博士公司简介

1995 年成立的安博士有限公司是全球首批开展信息安全技术研发的企业之一。安博士安全产

品在韩国的市场占有率已经达到 72% ,远远高于其他国内及国际厂商。公司主打 V3 产品曾多次获

得 Check Mark 和 VB100% 国际权威认证。安博士 2000 年 10 月正式进入中国安全市场,用户已

覆盖政府机关、教育机关、企业、电信、金融、媒体、能源、医疗等各大行业。

目前,安博士拥有杀毒软件、反间谍软件、防火墙、防毒墙、IPS、UTM、在线安全等全系列信

息安全产品,提供从个人信息安全、企业网络安全、在线安全防护到网络游戏防外挂的全面、立体、

整合的网络安全解决方案。并且已经在中国设立了本土化的产品研发中心和 365 天×24 小时病毒监

控和应急响应中心。在信息网络时代,在网络犯罪和新型病毒、间谍软件、网络入侵的威胁日益剧

增的今天,想安全地维护您的计算机和信息,请关注 “安博士有限公司-您身边的网络安全专家”

二、 安博士防毒墙产品线

Ahnlab TrusGuard SCM 是拦截蠕虫等恶性代码及有害程序的攻击,从而保护网络安全的在硬件

设备中搭载的软件工具。特别是为拦截目前的防火墙和 IPS 无法拦截的蠕虫和恶意程序的设备。

安博士防毒墙产品分为以下 3 个档次,SOHO 级产品 1100 系列,中小企业级产品 3100 系列,企

业级产品 4100F 系列产品

三、 功能介绍

安博士防毒墙是一款能够实时拦截恶意程序的一款硬件产品,主要针对未知、已知蠕虫、木马、

恶意程序进行拦截,同时提供对网络流量监控(TrusGuard SCM 1100 不具备此功能)、IP/PORT 过滤、

URL过滤等附属功能 此设备为透明方式安装,用户不要更改网络结构,设备部署时间一般在几分钟之内就可以完成,

由于采用串接方式,内置的软硬件 Bypass 功能可以确保在设备出现问题时网络的畅通

Page 5: White paper ahnlab scm

安全网络 健康中国 Ahnlab TrusGuard SCM 的主要功能如下:

3.1 拦截并监测蠕虫等恶性代码:

Ahnlab TrusGuard SCM 是针对蠕虫等恶性代码通过互联网流入到计算机时,通过三层防御,早

期进行拦截及监测.而且具有对感染恶性代码的系统进行隔离后早期制止其扩散的功能

三层防御的效果

4

Page 6: White paper ahnlab scm

安全网络 健康中国 3.2 早期拦截新变种恶性代码:

现有的防病毒软件或防火墙无法拦截的新变种恶性代码或有害的数据包流入到计算机时,对此

早期进行监测后向管理员发送通知。

3.3 拦截网络入侵:

针对DoS、DDoS攻击等非正常流量型入侵及使用其他协议的网络入侵进行监测后执行拦截功能,

消除这种有害通信量的威胁使网络资源得到安全保护。

安博士公司根据多年的网络安全经验,将误诊率较高的IPS规则进行了筛选,从中挑选出了

1000条规则加入到防毒墙里面,基本的保证零误诊率

同时安博士公司根据事情的网络安全情况,自定义了一些安全策略,如防ARP攻击

策略

参考: 拦截蠕虫的扩散及网络入侵拦截功能是可以对蠕虫等恶性代码及有害数据包进行监测及

拦截,但无法监测病毒. 如果想要诊断并查杀病毒,建议您使用防病毒软件

3.4 互联网连接控制(与Ahnlab Policy Center联动):

如在计算机上未安装防病毒软件的引擎升级,Windows升级或中央控制软件Ahnlab Policy

Center的代理程序时,拦截此计算机与外部网络的连接. 且向隔离系统用户显示特定页面后,提

示所需要的程序升级方法.

5

Page 7: White paper ahnlab scm

安全网络 健康中国 3.5 实时监视:

对于安装 Ahnlab TrusGuard SCM 的系统设置为实时检查系统状态或网络状态后,如发生问题

时,可采取紧急对策。 对安全策略应用结果实时检查后,可以对拦截或被隔离的系统采取相应对

参考: 确认事件记录及安全策略应用记录时,只能查看最新记录. 如想要确认之前的记录或搜

索、保存、打印时请使用 Ahnlab TrusGuard Manager 1.0

3.6 安全策略应用结果监控:

安全策略应用后被拦截/允许/隔离的系统状况都可以实时进行确认。网络警告邮件: 若网络连接

次数超过网络连接默认值时,可以向管理员实时传送警告邮件,管理员对此可及时采取适当对策

参考: 此功能是针对蠕虫等恶性代码及有害数据包进行监测或拦截,但有可能无法监测病毒。 如

想要诊断及查杀病毒时,建议您使用防病毒软件

6

Page 8: White paper ahnlab scm

安全网络 健康中国

3.7 自动升级:

通过 Ahnlab Security Tower(AST)服务器 24 小时 x365 天,实时发布 TrusGuard SCM 的新种蠕虫/恶意程序拦截策略

7

Page 9: White paper ahnlab scm

安全网络 健康中国 3.8 中央控制管理:

使用多个 Ahnlab TrusGuard SCM 设备的企业可以用中央管理系统 Ahnlab TrusGuard SCM Manager 1.0,可以对多台设备同时进行综合管理

3.9 支持硬件Bypass(Fail Open):

即使设备无法正常运行时可以保障正常通过流量

8

Page 10: White paper ahnlab scm

安全网络 健康中国

3.10 流量监控

通过 TrusGuard SCM 的流量监控系统,可以分析出内网用户对网络流量使用的分配情况,并可

以按端口使用情况自动生成饼状图,同时通过IP分析工具,可以分析具体IP的具体流量使用情

注意:Ahnlab TrusGuard SCM 1100 系列不具备此功能

3.11 策略例外设置

根据例外策略设置规则,我们可以将一些关键性设备放入到策略例外设置里面,如用户不需要

进行过滤的服务器等,保证关键业务的持续进行

注意:TrusGuard SCM 中设置的 DNS 以及安博士 AST 服务器默认的设置为例外

9

Page 11: White paper ahnlab scm

安全网络 健康中国

四、 安装结构 作为网关级产品,我们建议将 TrusGuard SCM 安装在路由器/防火墙和内网交换机之间

4.1 网关级防护

10

Page 12: White paper ahnlab scm

安全网络 健康中国 4.2 分散结构防护

4.3 不同网段的防护

11

Page 13: White paper ahnlab scm

安全网络 健康中国

12

五、 安装注意事项

5.1 型号选择

TrusGuard SCM 是通过 LAN、WAN 端口以 inline 模式工作,所以对客户端计算机数量是完全无关

的。但是与通过相关线路的网络流量是有关系的。使用少量计算机但是使用大量的网络流量时可以

达到最大值。如果使用的网络流量允许量是最大值以下,那么下面即使有再多的计算机也不会有影

响。根据不同的网络和应用,确定产品型号,如果可能尽量在 TrusGuard SCM 安装位置进行一下流

量等测试

5.2 连接方式

TrusGuard SCM 的 bypass 模块是 bypass 工作时会交叉。既,如果 TrusGuard SCM 安装前连接

状态是直通线(straight),连接 TrusGuard SCM 时 LAN 或 WAN 的其中一个设置为交叉线。而且如果

连接交叉线的环境中 TrusGuard SCM 连接为 inline,WAN/LAN 要用同一种网线(direct or cross)

连接

参考:连接 TrusGuard SCM 时根据上下段的设备网线设置也可能有所不同。根据连接的设备是

Switch、Router、Firewall、IPS 或其他设备,要选择适当的网线才可以正常使用 bypass 功能。设

置时要留意上述的说明。正常情况下使用直通线进行 bypass 的测试

Page 14: White paper ahnlab scm

安全网络 健康中国

六、 防毒墙产品参数 TrusGuard SCM 1100 TrusGuard SCM 3100 TrusGuard SCM 4100F

Pictures

产品级别 SOHO / Branch Office Small / Medium Business Enterprise

H/W AMD LX-800 / 512M Intel P-IV 2.8GB / 1GB Xeon 2.8GB Dual CPU / 2GB

工作模式 In-Line In-Line In-Line

Fast Ethernet(10/100)Port 2 3 -

Giga Ethernet Port (Copper) - - 2

Giga Ethernet Port(Fiber) - - 4

管理接口 1 1 1

Fail Open S Support Two Bypass Port Support Two Bypass PortSupport Two Bypass Port

(Fiber 2 Port)

吞吐量 40Mpbs 100Mpbs 700Mpbs

并发连接数 300,000 500,000 1,000,000

尺寸 (W×D×H mm) 270 * 180 * 38 426 * 379 * 43 429 * 400 * 44

温度

工作温度 : 0~40℃

存放温度 : -20~80℃

工作温度 : 0~40℃

存放温度 : -20~80℃

工作温度 : 0~40℃

存放温度 : -20~80℃

参考:

吞吐量:

吞吐量是指防毒墙在不丢包的情况下能够达到的最大包转发速率

并发连接数:

最大并发连接数指的是防毒墙能够同时处理的点对点连接的最大数目,是衡量一个防毒墙处理能力的

一个重要参数

13

Page 15: White paper ahnlab scm

安全网络 健康中国

七、 安博士技术服务体系

6.1 售后服务期限

安博士防病毒系列产品的售后服务期限为一年,防毒墙硬件设备提供一年包换、三年保修、终

身维护的政策,用户服务期满后,请务必发送相关续约申请或联系相关销售人员,详情请参考安博

士网站(http://www.ahn.com.cn)上的售后服务条款

6.2 引擎更新方法

安博士 TrusGuard SCM 系列硬件产品采用的是自动更新的方式,不需要人为进行干预,默认每

30 分钟自动升级一次,每天 03:00 分进行补丁升级,同时可以通过手动方式更改默认设置

6.3 技术支持

在安博士 TrusGuard SCM 硬件产品使用过程中,如果出现疑难事项,请您先参考使用说明书。

此外,对于疑难问题,可以通过互联网主页、电子邮件、电话、传真及信件的方式,按下列的联系

方式与我们联系

14