瑞星UTM:
专访:瑞星UTM以防病毒为技术源头
记者:前不久瑞星推出了一个云安全计划,瑞星的硬件级企业级产品是否会融入到这个计划中?瑞星的云安全架构与其他公司提出来的,比如最近趋势科技提出了WEB安全云时代概念,有什么区别?
马杰:首先我们的产品,包括服务,都肯定属于我们整体安全计划的一部分,关于我们的云安全会什么样子,包括与其他公司的对比,现在做这件事情可能为时尚早,云安全是非常新的东西,在这个阶段可能还是在完善和丰富这个概念的阶段,大家都处于丰富安全架构的阶段,包括从GOOGLE推广的云计算,到现在,其实它也在不断把很多新的元素加载进去,在云安全同样也是这样,大家不断把自己的服务各个方面更好的融入这个体系中去。
记者:今天瑞星防毒墙RSW9300的发布,在您的介绍中,我注意到更多的提到了UTM,防毒墙与UTM是完全不同的两种产品,UTM有四大功能,包括防火墙的功能,防毒功能,还有防止入侵功能IPS,还有VPN功能,RSW9300是防毒墙还是UTM?
马杰:首先它是个UTM,所以包含UTM的所有功能,对于UTM必须具备的东西都有,RSW9300为什么叫UTM防毒墙,而不叫UTM网关,为什么突出防毒墙呢?瑞星既有反病毒研发团队,也有防火墙研发团队,瑞星把反病毒功能放到设备中,不是简单把引擎搭上去,通常的UTM是在防火墙上发展UTM产品,怎么做防病毒呢?加个代理,步骤很清晰,一个代理,防火墙负责接收数据,交给代理,然后交给杀毒引擎查杀。但是这样做会对流量的损耗非常大。听很多用户讲,UTM一接上去,当防火墙用速度很好,一开防毒功能速度就不行了,这是技术源头的原因,当然可以做很多优化。
如果这样做的话,延时都是比较大,必须把文件等全交给引擎查,查完再发走,你不可能做的非常快。
瑞星突出防毒墙,因为我们有整个引擎的原代码,我们有防火墙的原代码,我们做的过程不是这样,我们把病毒引擎拆散,首先一个文件进来,文件格式识别,会做解压缩,解码,包括脱壳,这些去完后才会做特征码匹配,这些步骤实际是没有必要等到整个文件完全还原出来做,如果你是OEM返回的引擎是不会提供你这么细致的接口,瑞星自己做的时候优势在这里,文件识别是在你刚刚收到这个数据包时,我们文件格式识别已经做完了,然后做解压缩、脱壳,文件缓存到一定程度就开始做,同时做病毒匹配时,不等文件到达就做了很多事情。因为我们完全掌握了防火墙和反病毒技术,所以可以融合开发。所以叫防毒墙,因为在防毒功能上很有特色。
记者:防火墙具备UTM所有功能,那么对于入侵防护和VPN两个基本功能瑞星是怎么做到的?
马杰:可以看一下瑞星老的产品线,可能一些产品不受大家关注,但是也是长期存在过,瑞星很长一段时间销售产品中有防火墙,也包含VPN防火墙,有入侵监测,我们把这些技术做了更深入的融合。
......[查看详细]
瑞星UTM系列:
瑞星的UTM可以提供七层保护,不但提供防毒墙功能,还提供了防垃圾邮件,入侵监测防御、流量控制等等功能,但是与其他UTM厂商不同的是,瑞星本生是对病毒了解更为深入的厂商。
现在可以看到,大部分厂商都是通过防火墙用户转来的,他们利用自己成熟的防火墙架构,然后与UTM结合起来,形成UTM网关。瑞星不同,瑞星本生是反病毒企业,多年前也收购一家防火墙企业,我们有两队人马,把这两队人马合在一起,不是简单的把病毒引擎加在防火墙之上,而是把病毒引擎拆分放到各个应该放的位置,这样比其他厂商有一些优势,因为引擎我们自己写的,我们有所有代码和知识产权,我们能够拆开来做。同时与其他反病毒软件相比,我们又有防火墙的团队,这方面了解的也比较多。
在瑞星UTM防毒墙中,在防火墙和反病毒深入结合方面,比如我们加了七层协议识别,在开启了流量控制的时候,我们杀毒功能可以不受影响。在一些传统的基于防火墙做的断口流控方案,要想这两方不受影响是比较困难。作为国内最早从事UTM产品研发的企业,我们这方面积累了丰富的研发经验。2004年底,我们就发布了第一批UTM产品,是当时1000、3000、9000,06年9月发布了B2000,基于芯片架构的防火墙。07年推出针对小型企业的320产品,现在我们发布这款RSW9300,这在X86架构上目前为止最高端的产品,就是放在大家眼前的设备。这台设备采用了在X86中目前我们认为最稳定,性价比最高的四合至强CPU,有八个CPU为用户工作。
RSW-9300产品介绍:
在那个测试,他们对性能的要求非常苛刻,他们日常的流量,大概一个总行几千人,假设8千人,每个人在同一瞬间有个HTTP并发,假设八千人同时工作,并且同时激发并发连接,这是比较大的情况,我们测试是4万起步,从4万起步,一直测到32万的并发,理论上来讲,差不多可以维持将近10万人的HTTP应用层的应用,不是网络层的应用了。经过这么严酷的考验,证明我们这款产品可以满足大型企业的应用。
从软件功能来讲,作为本土安全厂商,我们非常了解国内企业的需求,从04年开始与用户打交道,给用户测试,通过他们的反馈做调整,有很多情况并不是设备有问题,也不见得用户问题,而是互相之间的理解和对现场环境的了解。
从功能来讲,我们做了即时通讯的阻断,流量控制,木马识别,这帮助管理员做有效的日常管理工作。从成本来讲,我们也为国内用户进行考虑,基本有的海外产品都是基于按用户计算,比如五千、一万用户,按照这个来定。而国内并不是这样,有一些人员数量很大型的公司,可能一些人简单的上下网,而且上网的时间不长,这样对他们来说不划算,我们按照设备授权,只要在吞吐量之下,你是五千人少量使用,还是五百人大量使用,这我们认为是一样的。只要在吞吐许可的情况下,网络管理员可以灵活的调整。
另外从维护上来说,我们UTM设备支持远程调试,用户许可的条件下,我们工程师可以远程替他进行维护工作,这也是为了解决国内网管对于复杂的网络安全设备,无法进行深入配置的方案。另外在面板上还有个还原键,可以做到一键还原,当他不小心配的不知道该如何恢复的时候,只要按还原键就可以还原到出厂设置。这都是为用户研发的功能。
· 用瑞星2008杀毒引擎,可有效清除70余万种病毒。
· 支持1万用户规模的大型网络,HTTP并发连接数20万,HTTP杀毒吞吐可达600M.
· 支持HTTP/FTP/POP3/SMTP/IMAP和MSN协议杀毒。
· 安全策略支持多种7层协议的数据包过滤(IM工具、P2P、股票、网络游戏、多媒体以及远程控制协议)。
· 支持透明、路由以及混合模式配置,可以适应绝大多数网络环境。
· 支持远程调试,管理员可以在短时间内获得专业服务。
· 提供P2P带宽控制,帮助管理员合理分配企业网络资源。
关于瑞星UTM的关键字:
2008年病毒呈现七大特点:
1.是病毒总数仍旧在快速增长
从柱状图很容易看出来,04到07年,病毒数量增长了至少有15倍,有的时候我们监测网一天收获的样本比以往一个月收获的样本还多,不仅对所有反病毒厂商来说都是非常严峻的考验。为什么在06、07年病毒数量会有如此大规模的增长呢?之后分析中会说明原因。
2.社会工程学日益流行
2008年病毒发展的第二个趋势是社会工程学日益流行,病毒开始利用人自己的弱点来进行破坏活动。所谓社会工程学并不是很新的东西,从很早的黑客开始就开始用这个手段,最典型的社会工程学就是黑客给你打个电话,说我是网关,把密码告诉我,这样获得基本信息。为什么我们现在提这个事情呢?因为以往用这个方法都是人,包括前两年网游盗号也是这种方法,说我是网管,把密码告诉我,你中奖了。现在我们发现病毒本身在利用这种方式。比如“有的病毒在MSN上挂个机器人,上面说我这里有个很好的职位,如果你要跟他说话,他就会自动给你说,我现在忙着,但是我这有产品资料你先看,等会儿再聊,然后发个包,包里是病毒。这是社会工程学的一种应用。”
3.软件漏洞在导致日益严重的经济损失
这里提到的是软件漏洞不是操作系统漏洞,我们知道从红色代码开始的关注操作系统漏洞阶段,包括其后的振荡波、冲击波这些病毒都利用操作系统的漏洞,才导致大规模的泛滥。这里提到的是软件漏洞导致日益严重的损失,是因为操作系统漏洞已经被网管,甚至很多计算机用户所熟知,操作系统上来必须打补丁,不打补丁就很危险。操作系统漏洞,一方面用户重视,另外微软也很重视,把主要安全漏洞都补上。于是,黑客就和病毒制造者把眼光转向了应用软件,包括微软自己的应用软件IE、OFFICE系列的东西,包括常用的Firefox,以及苹果的很多软件,很多知名软件都存在漏洞。包括现在大网站曾经也出现过漏洞。
现在网上漏洞,最流行的漏洞包括realplayer漏洞,联众游戏空间的漏洞,包括很多播放功能软件的漏洞等,这些软件的漏洞其实都很快做了修补,但是用户群如此太广,还有非常多的用户没有修补这些漏洞,没有升级最新的版本。而且它不像系统,会提示你升级,由此导致软件漏洞被越来越多的利用。
像OFFICE系列,一直爆出各种漏洞,这就导致了很隐蔽的攻击方式。比如之前有计算机基本经验的用户,打开WORD文档,不含宏就没有问题,随便看,随着漏洞被公开,病毒制造者精心构造一个文档,里面不包含宏,但是你执行后,有个代码会执行,本来觉得没有问题的东西也存在风险了。大部分用户不知道风险,会很放心的打开这些文件,就很容易被病毒所攻击。
4.各种壳被广泛利用
壳的概念在DOS时代就有,壳指磁盘加密软件的一个加密程序,当时设计加壳软件作用有两个,一个是在DOS时代,我们都用磁盘拷贝东西,软件太大,不方便携带,如果打了压缩包,每次用还得解,比较麻烦。这种壳是把软件压缩,压缩完还是EXE,直接可以执行,很方便,能让软件变小。另外一方面,压缩的过程中还可以做一些保护工作,在DOS时代,因为程序比较小,比较容易做这项工程,也是保护软件自身知识产权的方式。到了WINDOWS后,现在大家不在乎文件大小了,但是被发现了这种壳会很容易做成加壳病毒,用了加壳工具后,这个事情很简单,基本操作命令加个壳就可以产生新的病毒,在网络上很容易可以找到不同公司出的不同版本的加壳工具,至少可以很容易做出上百个变种。形象的说,加壳就像穿马甲,还可以互相重叠,先加A再加B,也可以先加B再加A,就导致有无数可能性,在不费任何精力改病毒原始程序的情况下,可以做出无数种病毒,这也是这两年病毒数量上升如此之快的原因之一。
很多年前,大家说病毒的时候都在说病毒自身的加密技术,现在有了被病毒利用的加壳工具,相当于把这做的更专业化,做病毒的只做病毒部分,对于加秘,反跟踪部分,还包括动态加解秘,这部分技术有很专业人给做好,而且有一些软件还是商业级别的,所以加壳被广泛利用,给所有反病毒厂商提出很大的挑战,就是如何应对壳的问题。
5.传播手段的日益多样化
刚才提到的软盘是载体,以前很多病毒通过软盘来传播,CIH当时很大程度借助盗版光盘传播,在往后通过邮件方式。从现在来讲,至少30%以上病毒是通过移动存储来传播,当们有一些封闭的政务网、官网,往往通过移动存储设备传播的更高,因为与网络不连通的。另外即时通讯工具,WEB浏览器,只要有用户聚集的群体,就有传播手段。如果把手机这些东西包括起来,那么传播手段更多样化,包括彩信、蓝牙,都可以传播病毒。另外短信是不会传播病毒的。
6.ARP攻击频繁
2008年ARP攻击呈下降趋势,但在学校,仍然经常会发生这类事件,随着对IP管理技术的日益成熟,已经受到很好的控制。
7.僵尸网络遍布互联网
所有僵尸网络都在使用一些木马软件,用僵尸软件去感染用户,感染用户之后,主要目标不是为了从你机子上窃取木马,主要是控制你的机器,把你当成傀儡机使用。僵尸网络能干什么呢?基本有组织犯罪都是利用僵尸网络来做。现在被报道的DDOS攻击事件不是很多,其实这类案件非常多,比如黑客威胁某一些网站,也有竞争对手互相之间的攻击,都在利用DDOS攻击。包括大规模发送垃圾邮件也是利用DDOS。因为背后有很强的经济利益驱动,这些事情屡禁不止。
这两张统计图比较有意思,蓝色这张是僵尸网络相关的病毒总的数量统计,可以看出来,从2006到2007年,病毒总的数量呈下降趋势。右面这图是BOT类病毒家族数,从2006到2007年,包括前几年呈稳步增长趋势。也就是说病毒家族数在增加,但是病毒总量反而下降了。说明什么问题呢?每个家族病毒数变少了。僵尸网络偏向于小家族。为什么这样呢?也好理解,这类病毒背后的趋势是有直接经济利益的,为了达到经济利益,目的并不是造成轰动,是越隐蔽越好,所以做到家族小型化,不但隐蔽,当被反病毒查到时,只要放弃这个家族就好了。所以黑客宁可多控制几个家族,这样有更多存活的机会。