* * 趋势科技网络病毒墙 ( NVW ) 解决方案 I 概述 如今的网络恶意攻击,诸如网络病毒和互联网蠕虫的四处蔓延已使现有的安全防范措施捉襟见肘。这些网络恶意攻击是危险的,因为它们在网络层传播,无法通过传统的病毒码文件方法来检测,且通常是利用操作系统和软件程序的漏洞发起攻击。虽然厂商们针对这些漏洞发布了补丁程序,但大多数公司通常都无法真正应用这些补丁,因为他们要花很多时间来从众多的设备中确定哪些设备需要打补丁,有时还会怀疑厂商提供的补丁是否可靠。此外,这些网络恶意数据包在传播过程中要使用网络资源,从而造成网络带宽严重拥塞,降低了企业的生产效率。
现有传统防病毒理念无法有效抵御当前的网络病毒恶意攻击,因为它们只能对威胁进行监控而无法及时提供可靠的信息来帮助 IT 管理人员防御或遏制攻击,或在安全威胁渗透进入网络后采取及时的行动。IT 管理人员在遏制这些攻击时遇到的共同问题包括: 没有足够的信息来确定相关的漏洞打补丁的优先顺序 无法准确、快速的获得最新的病毒预警 无法隔离未安装补丁程序和/或被感染的机器以防止病毒传播 防毒产品的部署率没有达到100%,某些客户机或服务器没有安装防毒软件 * * 病毒代码库的更新速度永远赶不上病毒传播的速度 很难精确定位感染源并管理整个公司网络的远程清除工作 无法判断移动(笔记本)用户从外部把病毒带到办公室里来 远程办公用户通过与公司建立的连接(安全或不安全)将病毒带到公司内部 无法对不符合安全策略要求和已感染设备的网络访问进行控制
因此最新的网络蠕虫传播已经不再需要借助文件系统了,传统的防病毒措施已经不能适应新的网络安全需求,再加上防病毒及安全策略的统一强制实施比较困难,当病毒进入到企业内部会发生: 内部的网络流量突然暴长,瞬间到达锋值 没有任何办法将这种网络流量降下来,除非找到染毒的机器并把所有感染病毒的系统都关掉,或将他们从网络中隔离开(把网线拔掉) 为了避免病毒传播到外网,只有将邮件服务器或者网关服务器停机 直到了解了病毒的具体信息才知道该采取什么措施 费大量人力去手动一台一台的去清除已经感染了病毒的系统(采用病毒专杀工具),将病毒/蠕虫程序或木马程序清除出系统 如果新的病毒代码或者已知安全漏洞的补丁没有被100%部署的话,第二波病毒爆发很有可能会卷土重来 * * 上述问题造成目前IT 管理人员非常被动与非常没有安全感,如何能够有一个让IT 管理人员放心、安心的网络安全解决方案已经成为越来越重要的课题。针对这些目前传统防病毒产品无法很好解决的问题,趋势科技推出了业界唯一一款在网络层阻挡网络病毒的硬件产品 - 趋势科技™网络病毒墙™(Trend Micro™ VirusWall™) - 这是一款病毒爆发安全防护设备,采用部署在网络层的趋势科技网络病毒墙,可以阻挡网络病毒(如互联网蠕虫),在病毒爆发前和爆发期间识别高危险性的安全漏洞,在病毒进入网络时隔离和清理包括未受保护的设备在内的感染源。网络病毒墙能够在整个企业组织范围内强制实施统一的防毒安全策略,精确地定位和远程自动或本地清除网络中的感染源,帮助 IT 管理人员降低安全风险,最大限度地缩短网络停机时间,减轻病毒爆发带来的管理负担。
II 趋势科技网络病毒墙功能特色 A. NVW的价值所在 防毒产品 ➢ 规则式的过滤策略 ➢ 病毒码比对侦测 ➢ 清除工具 入侵检测 ➢ 监控通讯协议的异常 ➢ 检测行为异常 ➢ 过滤恶性程序造成的流量 * * 防火墙 ➢ 特定端口的紧急封闭 ➢ IP网段的阻挡 ➢ 协议类型的阻挡 安全管理策略 ➢ 防毒产品是否安装 ➢ 防毒产品升级是否到位 ➢ 补丁(系统补丁/应用补丁)更新是否实时 NVW的价值就是在于可以同时达到这四个方面的功能,能够有效的解决网络蠕虫病毒的问题,更重要的是在不需要变更企业现有的网络架构,就可以轻松的完成这个让人头痛的问题 B. NVW的功能 网络病毒爆发时的紧急应变处理 ➢ IP地址阻挡:能够阻挡特定的IP地址—或者是单一的IP地址或者是一个IP地址段; ➢ 各种协议的阻挡:Network Viruswall可以阻挡TCP/UDP/ICMP协议。除此之外,Network Viruswall还可以阻挡特定的端口:或者是一个端口,或者是一个端口范围; ➢ 即时通讯工具的阻挡:Network Viruswall可以阻挡MSN/Yahoo/ICQ/AIM; ➢ 文件传输的阻挡:Network Viruswall可以阻挡FTP/HTTP/NetBIOS-SSN,可以根据文件名字,也可以根据文* * 件扩展名; ➢ 网络病毒的扫描:实时扫描通过网络的每一个数据包来检测网络病毒。采取主动的措施来减轻可能存在的攻击或即将来临的病毒大爆发; 网络流量异常的监控 ➢ Network Viruswall可以监控网络中的异常流量,同时自动的将报警发送给网络管理员; 强制执行安全管理策略 ➢ 计算机系统的现有防病毒软件病毒码过期(针对趋势科技的Officescan和ServerProtect):可以执行的策略: A.将该计算机或该群计算机与网络隔离; B.允许该计算机或该群计算机与网络联通,但一旦该计算机或该群计算机与网络联通,会自动转到Network Viruswall设置的特定URL; ➢ 计算机系统安装了第三方防病毒软件(针对Norton和MCAfee): 可以执行的策略: A.将该计算机或该群计算机与网络隔离; B.允许该计算机或该群计算机与网络联通,但一旦该计算机或该群计算机与网络联通,会自动转到Network Viruswall设置的特定URL; ➢ 计算机系统未安装任何防病毒软件:可以执行的策略: A.将该计算机或该群计算机与网络隔离; * * B.允许该计算机或该群计算机与网络联通,但一旦该计算机或该群计算机与网络联通,会自动转到Network Viruswall设置的特定URL; ➢ 计算机系统运行的是非Windows系统:可以执行的策略: A.将该计算机或该群计算机与网络隔离; B.允许该计算机或该群计算机与网络联通,但一旦该计算机或该群计算机与网络联通,会自动转到Network Viruswall设置的特定URL; 紧急情况的网段隔离 ➢ 当网络处于病毒大爆发的情况下,Network Viruswall能够将已经被感染的计算机群和现有的网络隔离,以确保病毒不至在网络中形成交叉感染而造成网络大面积瘫痪; 安装简便--即插即用 ➢ 只需要将Network Viruswall接入到你的网络内部,Network Viruswall既可以发挥防病毒作用; 自动注册到TMCM中央控管服务器 ➢ Network Viruswall可以自动注册到TMCM中央控管服务器,只需要在预配置Network Viruswall阶段,在Network Viruswall中设置TMCM中央控管服务器的信息; 内嵌防火墙保护自身系统 ➢ Network Viruswall内嵌的防火墙可以阻挡外来的针对Network Viruswall自己的攻击; * * 组件更新的便捷 ➢ Network Viruswall可以通过TMCM中央控管服务器或者通过自身更新到网络病毒扫描引擎,网络病毒病毒码,病毒爆发防御策略规则; Damage Cleanup Service的支持 ➢ Network Viruswall可以向TMCM服务器发送清除病毒的请求,通过DCS自动地清除已经被感染的计算机; 检测系统/应用安全漏洞 ➢ 针对微软操作系统和应用系统的安全漏洞,对PC机和服务器的系统状态做实时检测,将存在漏洞的计算机隔离并且重定向到安装系统补丁的界面。 III 哪些问题可以让我们定义出NVW的价值 A. 准备正确的信息 要体现NVW的真正价值,我们一定要先把现今网络安全的情况很清楚而正确的让客户知道,因为NVW是一项全新的网络设备,我们必须让客户用全新的防毒观念来审视NVW那才会是成功的第一步 了解客户的痛 ➢ 网络病毒(尤指Worms)的不断骚扰 - 让人觉得永无宁日 ➢ 没完没了的系统弱点排查和治理工作 - 让人望而却步 ➢ 安全管理策略的执行往往流于形式,无法发挥效力 - 随时面临旧病复发的风险 * * 定义客户的期许 ➢ 完全防护的网络病毒安全解决方案是不存在– 从一次又一次的网络病毒爆发,就可以明白要完全防住网络病毒是不可能的,不管是采用了多少种的安全产品,只要企业的网络有对外的连接,就无法被完全防护,因为这种攻击可能是透过系统/应用的未知漏洞(例如Sasser、MSBlaster、SQL_Slammer),有可能是透过企业网络对外连接的端口( 例如25、80 ),有可能是外部的计算机连接到企业内网(例如客户/厂商/分公司的出差人员),有可能是内部员工的有心或无心的不当操作…这一切不管是网络病毒攻击(系统/应用有哪些漏洞?) 、网络骇客的远程攻击(何时有网络大战?) 、外部机器的隐忧(哪里会有外来的计算机?) 、内部管理的困难(为何就是有人不遵守规定?)都是无法确定的未知数,也就是这些未知数造成完全防护的网络病毒安全解决方案是不存在,我们一定要让客户清楚这些事实 ➢ 可以放心安心就是最优秀的网络病毒安全解决方案 – 那如果没有完全防护的解决方案,客户花钱到底买的是什么呢?我们的能够给客户哪些帮助呢?这时候放心安心就是我们的价值,我们要让客户知道虽然不可能完全防护,但是我们可以让客户发生病毒问题时防止病毒扩散(自动的)、很迅速的处理病毒问题,同时保护企业正常运作,就好像一个医生虽然不能让你都不会生病,但是这个医生可以让你不传染他人同时让你很快的康复,这样的医生就是让大家可以放心安心的医生,让大家可