安全大讲堂之UTM 网关与主机病毒防范关系

　　病毒与防病毒的博弈几乎贯穿于整个计算机的历史，最初的病毒主要以引导扇区病毒、文件型病毒、脚本病毒等对主机系统进行破坏为主，因此在主机系统饱受病毒的“蹂躏”之后，主机防病毒软件便如雨后春笋般地浮出水面。丰富的主机防病毒技术在一定范围内确保了主机系统免遭病毒的迫害，使人们可以轻松地享受来自互联网的乐趣。

　　然而，病毒经过这么多年的历练，也早已不是当初的病毒了，如今的病毒趋于高速化、复杂化、网络化、多平台化及技术多样化。蠕虫、木马和间谍软件等各类网络病毒层出不穷，这些多种技术、手段交织在一起已成为当今网络安全的一个最大的隐患。而网络环境中的主机防病毒对整个网络中传播的病毒却无能为力，更对网络中越来越多的混合攻击束手无策，因此各个主机防病毒厂商也分别借助于在主机防病毒方面的技术积累而研究网关防病毒产品，并积极促进网关防病毒技术与UTM的结合，以便应对日趋复杂的网络病毒和混合攻击的危害。

　　网关防病毒的产生是否意味着主机防病毒无“用武之地”了呢?解决这个疑问就需要从各自的功能特点和定位以及优劣势的角度来进一步加以描述。

　　1 在防病毒方面的功能定位从功能定位角度来看防病毒，主机防病毒的功能定位在保护主机系统免遭病毒危害。主机防病毒防护的目标是主机系统，包括操作系统、文件系统、管理系统等一切存储于计算机上的软硬件资源;而UTM网关防病毒的功能则定位在保护网络系统免遭病毒危害。网络防病毒防护的目标是关键业务系统、服务器群、终端主机、带宽资源等系统资源。

　　主机防病毒的目的是避免主机受到病毒侵害;UTM网关防病毒的目的是避免网络受到病毒侵害。虽然主机防病毒与网络防病毒在防病毒方面在功能上存在部分的重合，但是两者的功能定位不同决定了它们在防病毒方面的关系是无法互相替代的。主机防病毒与UTM网关防病毒的定位关系如图1所示。

　　图1 主机防病毒与UTM网关防病毒的定位关系

　　面对病毒威胁的不断快速增长，传统的仅部署主机防病毒软件的薄弱性逐渐显现出来。对于企业尤其是大、中型企业而言，因为网络结构的复杂性，网络节点多，业务系统应用复杂，一旦网络中某个节点出现问题，都会影响整个网络上的业务。所以，很多企业是不允许在网络中出现病毒的。

　　但实际的结果却是，很多企业都有同感的一点是：“虽然我们已经部署了主机防病毒软件，但为什么依然频频遭受病毒攻击呢?”其实，主机防病毒软件对于目前依靠多种途径传播的病毒来说，已经无法完成病毒过滤的要求。因为主机防病毒软件只能在病毒进入企业网络之后再采取查杀措施，一旦某些终端计算机没有及时更新病毒库或者没有给系统漏洞打好补丁，当一台计算机的病毒被查杀后，就立即又会被其他计算机上的病毒重复感染，始终处于此消彼长的死循环状态中，不但无法彻底清除病毒，还将耗费企业大量的网络资源。

　　另外，由于病毒具有不可预知性，当有病毒攻击时，企业需要有能够缩短病毒响应时间、快速自动升级等一系列必要措施。所以，应对目前的混合式病毒，利用架设在网关位置的UTM在病毒进入企业网络之前就将其拦截在企业大门之外是非常有效的方法。

　　俗话说病从口入，这句话也同样适用于企业。事实证明，80%以上的安全威胁是从网关进入到企业内部的。将UTM架设在企业网络的入口，可以直接把病毒抵御在企业网络之外，而不必在服务器、终端设备中反复杀毒，从而提高了企业的工作效率;其次，越来越多的网络病毒开始利用操作系统的漏洞进行攻击和传播，如果不及时修补操作系统的漏洞，这些利用漏洞传播的病毒就可以轻松绕过主机防病毒软件而直接感染计算机，使主机防病毒软件的功效大大降低。

　　而UTM设备由于在企业网络的入口处工作，能够杜绝此类事件的发生，直接提高企业网的整体安全水平。

　　另外，传统的防病毒软件无法抵御新型蠕虫的攻击，如果工作站上的主机防病毒软件未及时更新或被禁用了，那么病毒仍然有机会感染工作站。

　　UTM设备在企业网络的入口提供了网关安全保护，病毒在进入网络之前被直接阻断，避免了由于病毒入侵到服务器和工作站所引起的一系列典型问题，为企业网络提供了一个额外保护层。

　　安全建设是最适合采用“木桶理论”的，因安全性直接由网络中最薄弱的环节体现。而主机防病毒仅仅是守护自家的一亩三分地，并不能阻止病毒在内部网络中的传播。就如同一座大楼，即便每家每户都安装有防盗门，但是如果一个小偷在大楼内流窜，那么任何一家都始终处于安全风险之中。

　　在这种情况下，企业如果只依靠“防盗门”是无法达到安全建设要求的。因此需要在在大楼的出口处安装“门禁系统”，让“小偷”根本无法进入楼内。

　　通过这个比喻，UTM网关防病毒与主机防病毒之间的关系更便于理解。UTM网关防病毒与主机防病毒在病毒防护层面的关系是完全互补的，如图2所示。保证网络系统的安全仅仅依靠主机防病毒是远远不够的，应该在网关和主机两个层次上安装病毒防御系统，将病毒威胁阻止在网络大门之外。同时可以通过扫描用户主机，来检查那些通过其他途径进入的威胁。

　　图2 UTM网关防病毒与主机防病毒在防毒防护层面的关系是互补的