瑞星防毒墙产品资料

目录

第一章概述 (1)

1.1 关于瑞星 (1)

1.2 关于瑞星防毒墙产品 (1)

1.3 瑞星客户服务体系 (2)

1.3.1研发团队 (2)

1.3.2技术支持服务 (2)

1.3.3病毒监测网 (2)

1.3.4防毒服务 (2)

第二章瑞星防毒墙产品功能 (3)

2.1 基本系统功能 (3)

2.2 面向对象的系统配置方式 (3)

2.3 灵活的接口配置方式 (3)

2.4 防毒墙的防毒模块 (3)

2.5 防毒墙的防火墙模块 (5)

2.6 防毒墙的入侵防御模块 (7)

2.7 地址转换 (7)

2.8 VPN功能 (7)

2.9 流量统计和控制 (7)

2.10 带宽管理 (7)

2.11 防毒墙的反垃圾模块（可选模块） (8)

2.11.1 基于集中判别技术的反垃圾引擎 (8)

2.11.2 基于关键字过滤的反垃圾邮件引擎 (8)

2.11.3 自定义垃圾邮件分类 (8)

2.11.4 定期的垃圾邮件摘要发送 (8)

2.12 备份与还原 (8)

2.13 双机热备 (8)

2.14 集中管理 (8)

2.15 防毒墙的日志审计模块 (8)

2.15.1 日志存储 (9)

2.15.2 统计信息及报表功能 (9)

2.15.3 日志检索 (9)

第三章瑞星网络防毒整体解决方案 (10)

3.1 瑞星对企业网络结构的划分 (10)

3.2 设计方案 (10)

3.2.1 全方位、多层次防毒 (10)

3.2.2 网关防毒是整体防毒的首要防线 (10)

3.2.3 集中监控管理 (11)

3.2.4 分级监控管理 (11)

3.3 设计达成的目标 (11)

3.4 瑞星网络防毒解决方案拓扑结构 (12)

附录1 技术规范 (13)

第一章概述

1.1关于瑞星

瑞星品牌诞生于1991年刚刚在经济改革中蹒跚起步的中关村，是中国最早的计算机反病毒标志。瑞星公司历史上几经重组，已形成一支中国最大的反病毒队伍。瑞星以研究、开发、生产及销售计算机反病毒产品、网络安全产品和反“黑客”防治产品为主，拥有全部自主知识产权和多项专利技术。

目前，瑞星公司已推出基于多种操作系统的瑞星杀毒软件单机版、网络版软件产品；以及企业防毒墙、防火墙、网络安全预警系统等硬件产品，是全球第三家、也是国内唯一一家可以提供全系列信息安全产品和服务的专业厂商。

在公安部组织的计算机病毒防治产品评测中，“瑞星杀毒软件”单机版、网络版曾双双荣获总分第一的殊荣，并连续5年蝉联至今。公司拥有国内最大、最具实力的反病毒和网络安全研发队伍，并且拥有国内安全行业唯一的“电信级”呼叫服务中心和“在线专家门诊”Online服务系统。

瑞星和政府机构、商业伙伴以及媒体有着广泛而深入的合作关系，借助内外部各种资源，目前已建成五大安全网络体系——全球计算机病毒监测网、全球计算机病毒应急处理网、全国计算机病毒预报网、全国反病毒服务网以及全球病毒疫情监测网。

瑞星公司总部设立在北京，在全国各地设有分支机构。目前公司拥有国内最大的信息安全研发团队、国内最大的客户服务团队，以及销售、市场、网站等部门，并已经建成覆盖全国的庞大的销售和市场体系。

目前瑞星拥有8000万正版个人用户，7万多家企业用户，主要软件产品以中（简、繁体）、英、俄、德、日五种语言版本推向全球市场，销售网络覆盖北美、欧洲、亚太等地区。作为在中关村成长起来的高科技企业，瑞星正逐步走向世界，实现公司的美好愿景——成为全球最具价值的信息安全产品和服务提供商。

1.2关于瑞星防毒墙产品

企业的IT管理者在制定、审查安全策略，防止通过网络后门或社会公共网络对系统的攻击时，对防火墙过度信任而导致网络被攻击的例子屡见不鲜。据相关调查，目前危害网络安全的因素80％来自病毒，近年来，由于软件功能日益复杂，漏洞日益增多，网络病毒已经发展到了难以遏制的阶段。但目前已有的安全解决方案，例如：杀毒软件、防火墙、IPS、IDS等都无法有效的处理这些病毒。据统计，单单在2003年一年，SQL Slammer、MSBlaster.A等网络病毒就已经为全球造成了21.3亿美元的损失。而根据瑞星对企业的安全评估和调查发现，以下两个问题更是为病毒的进一步发展提供了良好的先天条件：首先，越来越多的非安全节点可以从多种途径连接到企业内部网络；其次，从补丁程序出现到发生病毒攻击的时间越来越短，留给系统人员修补安全漏洞的时间更为紧迫。

针对这些问题，瑞星推出了一系列硬件防毒墙产品。可以帮助企业防治网络病毒的威胁。在爆发病毒疫情的时候对网络的敏感环节进行隔离。瑞星防毒墙内部集成了强大的杀毒机制，采用了瑞星最先进杀毒引擎——VUE，其内部集成了先进的商业化虚拟机技术，可以高效识别病毒变种、有效地对抗加壳病毒。另外，通过独有的行为模式分析（BMAT）和脚本判定（SVM）两项查杀病毒技术，可以实现对未知病毒进行有效检测，从而在病毒疫情

暴发的时候最大的保护企业利益。

瑞星防毒墙适用于各种复杂的网络拓扑环境，可以根据用户的不同需要，具备针对HTTP、FTP、SMTP、POP3、IMAP以及MSN协议的内容检查、清除病毒的能力，同时通过实施安全策略可以在网络环境中的内外网之间建立一道功能强大的防火墙体系，不但可以保护内部资源不受外部网络的侵犯，同时可以阻止内部用户对外部不良资源的滥用。瑞星防毒墙从完整意义上解决了企业网络防护和网络边缘杀毒的问题。

1.3瑞星客户服务体系

1.3.1研发团队

瑞星防毒墙项目由八十余位网络安全工程师历时三年共同开发完成，完全本地化的研发团队，充分适应当前国内的网络安全现状和符合中国人的使用习惯，对新的网络安全威胁也能够在最短的时间内进行处理。

1.3.2技术支持服务

瑞星技术支持工程师为您提供7*24小时全天候的服务，并可通过防毒墙远程支持功能，对您的防毒墙设备实施远程排障，在最短的时间内解决防毒墙的故障。

1.3.3病毒监测网

瑞星作为国内反病毒行业的领军企业，在过去的六年中销售量始终保持第一，拥有单机版用户八千万以上。斥巨资建设的病毒监测网，对全国各个区域的病毒发作情况进行实时监测，无论从病毒样本的获取渠道，还是对重大疫情的响应速度，都好于其他安全厂商。

1.3.4防毒服务

瑞星防毒墙计价单位为台，与企业中的工作站点无关，并提供一年防毒引擎免费升级服务。

第二章瑞星防毒墙产品功能

2.1基本系统功能

瑞星防毒墙的基本系统功能，如下图所示。

图2.1防毒墙功能图

2.2面向对象的系统配置方式

对象是防毒墙管理配置中的一个基本概念，用来描述管理策略中的一个基本元素，例如地址、时间、服务以及应用协议等。瑞星防毒墙中的所有策略都直接由这些元素组合而成。用户可以集中统一定义策略中需要的所有对象，而后使用的时候直接选择即可。这样避免了策略设置与策略中的基本元素设置的重叠性；另外，瑞星防毒墙还提供了对象组的概念用来管理同一类的多个对象，简化了防毒墙的管理配置，提高了管理效率。

2.3灵活的接口配置方式

在瑞星防毒墙中，用户可以从两方面来设定一个网口，一个是网口的工作模式；另一个是网口的工作区域。目前，瑞星防毒墙的网口支持透明、PPPoE、静态IP、DHCP以及禁用等工作模式。而网口的工作区则可分为：WAN（外网）、DMZ（中立区）以及LAN（局域网）。需要说明的是，瑞星防毒墙2.0不再对网口所在的工作区域进行限制（1.5版中无法修改网口的工作区域）。

2.4防毒墙的防毒模块

使用了最新的瑞星杀毒引擎

瑞星防毒墙使用拥有自主知识产权第八代VUE虚拟脱壳引擎，可以让病毒在一个

模拟的环境中执行，从而获得它的行为，并对其进行识别。这使得瑞星反病毒引擎拥有更强大的脱壳能力、更准确的病毒识别率以及对于未知病毒更好的查杀效果。支持的病毒种类：引导区病毒、文件型病毒、宏病毒、蠕虫病毒、特洛伊木马、后门程序、恶意脚本、恶作剧程序、键盘记录器、黑客工具、流氓软件(间谍软件、广告软件、浏览器劫持、行为记录软件、恶意共享软件、自动拨号程序)、其它手段的病毒（远程攻击、网络钓鱼、p2p方式传播木马、IM病毒）。截止到2008年6月瑞星防毒墙能够有效查杀70万种以上的病毒，并随着产品的升级能够查杀更多的病毒。

●病毒库升级

提供手动升级和自动升级两种方式，每天都会进行病毒库更新。如果网上爆发了某种恶意病毒，公司的病毒紧急处理小组会在最短的时间内发布病毒特征码。

●全自动无缝升级

瑞星防毒墙的病毒库和杀毒引擎采用了无缝升级技术。升级后，无需重新启动防毒墙边可以使升级生效。

●支持站点白名单

用户可以向瑞星防毒墙中添加白名单，防毒墙将不再对其发送过来的数据包进行杀毒。

●防毒策略

进行病毒查杀时，根据文件内容进行检查，而不是根据文件扩展名进行查杀；支持所有压缩包、复合文档和自解压文件的查杀，更加有效的防止病毒进入网络。

●支持几乎有可能被染毒的文件格式

表2.1 瑞星防毒墙支持查杀的文件类型

●特有的协议识别功能

传统防毒网关设备只能够对协议的标准端口数据进行查杀，而瑞星防毒墙可对通

过的数据进行协议识别，对于某些使用非标准端口的协议也能够进行病毒查杀，

最大限度的满足用户病毒查杀的需求

●支持HTTP / SMTP / FTP / POP3 / MSN / IMAP协议的病毒查杀

除了支持传统的HTTP / SMTP / FTP / POP3协议，瑞星防毒墙还支持MSN和IMAP

协议的病毒查杀。

●可以针对HTTP / FTP协议进一步定制杀毒引擎

表2.2 其他防毒选项

●多链路防毒

?支持使用VPN连接传输数据的病毒查杀

?支持路由模式下进行NAT地址转换后的病毒查杀

?根据数据流的方向进行病毒查杀，并不单单阻止病毒进入企业内部，同时阻

止病毒从内部向外传播

2.5防毒墙的防火墙模块

●状态包过滤

瑞星防火墙采用了最先进的状态包过滤技术，根据状态包过滤的思路，在核心中

维护一个连接链表，记录着相应连接的状态，对请求建立连接的数据包进行更细

粒度的检查，检查通过后记录到状态链表中，从而对后续的或是关联的数据包只

需检查其是否属于已建立的连接，不需全部进行规则匹配，经过这样的状态处理

机制后不仅使安全性得到加强，同时也大大提高了包过滤的效率。

●网络出口管理

瑞星防毒墙采用全新的网络多出口概念，即企业拥有多个网络出口时，可根

据防毒墙的出口管理进行网络流量分流，实现网络访问的负载平衡，更合理

的分配网络出口的带宽。

●策略路由

瑞星防毒墙可以根据某些管理的需求进行策略路由，要求某些地址访问网络

必须经过特定的网络路径，或者只能通过某些特定的协议和段口号进行通讯。

●访问时间控制

瑞星防火墙在网络层过滤技术中引入了时间表的概念。对每一条过滤规则，允许管理员定义一个时间范围，使该条规则只在这一时间范围内起作用。通过这种控制机制，可以为企业提供更加灵活的策略配置。

●MAC地址绑定

瑞星防火墙支持MAC地址绑定，支持将内网每台主机的IP地址与该主机网卡的物理地址进行一对一的绑定，不但具有手工绑定功能，也具有自动绑定功能，同时还提供MAC地址的分组管理等功能，对冲突的地址可进行报警，这样不但有效阻止用户通过修改IP地址所进行的非授权访问，而且降低管理的复杂程度。在使用DHCP服务的网络中，各主机的IP地址是变化的，这时可以在设置安全策略时使用源MAC地址来进行访问控制，系统内核进行包过滤时就只匹配数据包的源MAC地址，从而在设置安全策略时可以忽略主机的动态IP地址，大大提高了管理的灵活性。

●安全策略

通过启用防火墙功能，对企业网络访问加以控制，不但能够有效的合理使用网络资源，而且能够大大提高企业内部网络的安全性。防火墙功能可以从以下几个方面分别进行网络控制：

?数据流方向

?进行访问的源地址和目的地址

?进行源端口和目的端口匹配

?访问时间进行控制

?拒绝某些通用协议、多媒体协议、ＩＭ协议、远程控制协议和Ｐ２Ｐ协议的

访问

另外，也可通过对以上对象进行组合以满足企业网络安全策略的复杂要求，并可通过调整规则优先级别对网络做进一步的优化。

●策略分析

瑞星防火墙还提供了安全策略分析功能，可根据不同的查询条件进行策略分析。

可以列出已经生成的策略详细列表，也可以查询某个IP或是某个时间段的安全策略，方便管理员制定策略时进行参考。（应增加与协议别共用的说明，如在拒绝的时候可以有针对性的对一些协议进行限制）

●网络超时

企业网络中很多无效的连接大量消耗网络资源，降低网络性能，并被很多黑客用于攻击企业网络的手段。利用防火墙的网络超时功能将超时无效的连接予以丢弃，提高网络性能并阻断外部攻击。

●协议识别

瑞星防火墙支持协议识别功能，对一些常用软件或网络传输协议进行识别后加以

控制，能够有效控制内网用户对网络资源的合理利用，并且提高员工的工作效率。

●URL过滤

URL过滤功能可以阻止用户访问有害站点或下载文件，控制网络资源的使用和提

高网络性能。管理员可根据需要进行配置，过滤有害的网站和控制下载内容，进

一步提高网络的安全性。

●URL攻击防御

URL攻击防御功能可根据管理配置阻断网络上的恶意攻击行为，在固定的周期内

统计访问次数，如果超出设置，对其自行进行阻断，保证服务器正常工作。

2.6防毒墙的入侵防御模块

瑞星防毒墙可以识别HTTP / FTP / 邮件服务器/ 数据库服务的漏洞，以及流行的网络蠕虫使用的系统漏洞，从而在网关处对这些数据包进行拦截；针对防毒墙接口可有效的阻断SYN Flood、UDP Flood、ICMP Flood攻击和限制每个用户的连接个数，更加有效的保护内网计算机的安全和有效的保障防毒墙系统性能。

2.7地址转换

瑞星防毒墙支持地址转换功能，满足企业众多用户接入互联网和企业网络安全的需要，分为源地址转换和目的地址转换，并且对非固定IP支持目的地址转换。

2.8VPN功能

瑞星防毒墙支持VPN功能，可以利用互联网（Internet）IP通道为用户提供具有安全、高效、经济、方便的虚拟专网服务。支持IPSec、L2TP、PPTP和SSLVPN方式进行VPN连接，使用DES、3DES等加密算法进行加密传输，企业用户可以通过瑞星防毒墙VPN功能快速建立本地与分支机构和企业部门间的加密通讯，使一些重要数据通过点对点隧道加密传输，确保其他未经授权用户无法读取到传输的数据信息，大大节省了企业使用专用网络和另外购买VPN设备的开销。

2.9流量统计和控制

瑞星防毒墙支持流量管理功能，可以针对指定的网络段或主机进行统计，经过统计的主机也可以有选择的决定是否要进行流量控制，控制周期也很灵活，可以有针对性的分别设置。控制周期分为每小时、每天、每周、每月和每年。在流量管理中，可以实时的查看当前周期下，各被统计的主机使用的网络流量，也可以浏览或是打印当前统计周期内的详细流量记录。支持对指定控制的主机进行锁定或解除锁定的功能，从而控制其在超过额定流量情况下的使用网络的方式：拒绝或是允许。提供的流量分析功能可以分析网际IP数据流动状况，了解需要了解的数据流动状况，方便网络管理员的使用。能够直观、全面的一致性管理网络设备、主机、服务器周边运维环境，深入的数据流分析。

2.10带宽管理

瑞星防毒墙带宽管理对象采用分级分类的方法，在防毒墙的各个网络接口下呈树状控制，并且对源地址、目的地址和端口进行更细度的检查，消除网络访问时各种不安全因素，并且保证企业内各部门和特殊部门的带宽需求。

2.11防毒墙的反垃圾模块（可选模块）

瑞星防毒墙反垃圾模块集成了瑞星先进的基于集中判别技术的反垃圾邮件引擎以及传统的基于关键字过滤的反垃圾邮件引擎。

2.11.1基于集中判别技术的反垃圾引擎

该引擎采用了分布式设计，在全球都有邮件监控服务器，可以根据邮件发送的行为来判定是否是垃圾邮件。因此，垃圾邮件的识别率非常高，在无需认为干预的情况下，可以过滤90%以上的垃圾邮件，且误报率低于0.01%。另外，由于其判定方法与邮件内容和语言无关，该引擎还可以有效的识别图片垃圾邮件。

2.11.2基于关键字过滤的反垃圾邮件引擎

出于效率的考虑，用户可以直接把邮件地址添加到防毒墙的黑白名单中，此时防毒墙便会直接根据用户的配置拦截或放行邮件。另外，用户还可以过滤经常出现在垃圾邮件中的词语，例如：推销、求职、赌博等。

2.11.3自定义垃圾邮件分类

支持用户自定义垃圾邮件的级别，当用户通过防毒墙下载邮件时，会根据用户提供的信息进行识别，大大增加了垃圾邮件判定的灵活性。

2.11.4定期的垃圾邮件摘要发送

被防毒墙过滤掉的邮件，防毒墙会定期向那些邮件的接收者发送其内容的摘要，以防止由于漏报而为用户带来损失。

2.12备份与还原

对防毒墙系统配置可进行加密备份，当防毒墙出现配置错误时，能够通过防毒墙的还原功能恢复到备份状态。防毒墙的备份文件能够上传至同型号的瑞星防毒墙设备。

2.13双机热备

瑞星防毒墙支持双机热备功能，为用户提供不间断网络服务，当主防毒墙因故障原因无法运行时，另一台备用防毒墙会马上接管其所有工作，保证网络安全稳定的运行状态。

2.14集中管理

瑞星防毒墙通过层次化的部署结构进行统一控制，方便管理员进行配置管理。也可通过启用防毒墙的SNMP功能，进行防毒墙的统一管理。防毒墙集中管理功能大大简化了企业网络管理员的工作量，同时，在某个防毒墙出现问题时，通过集中管理功能迅速解决。

2.15防毒墙的日志审计模块

瑞星防毒墙提供的各种功能都提供了日志记录，包括病毒日志、垃圾邮件日志、隔离文件日志、系统日志、管理日志、网络日志、URL日志、可疑文件、入侵日志等，帮助管

理员排查各种网络问题。

2.15.1日志存储

由于一般企业的网络流量很大，系统日志增长较快。为防止日志超出防毒墙设备硬盘容量，瑞星防毒墙允许以本地、远程syslog及mysql三种方式记录日志。如果日志超过防毒墙硬盘设定空间限制，防毒墙采用日志回滚机制，即以最新的日志来替换最旧的日志。

2.15.2统计信息及报表功能

瑞星防毒墙的各种日志都可下载到本地计算机，方便管理员进行统计。其中病毒日志和垃圾邮件日志可以查看统计信息，从防毒墙上就能够直观的看到管理员所关心的网络安全问题。

2.15.3日志检索

由于企业中访问量和客户端众多的原因，日志增长速度较快，当企业网络出现问题时，管理员常常花费较长的时间查找日志，以便定位问题。瑞星防毒墙日志检索功能，通过管理员输入查询条件，缩小查找范围，能够快速的查找相关信息。

第三章瑞星网络防毒整体解决方案

3.1瑞星对企业网络结构的划分

通过长时间的经验积累，瑞星把企业网络按照功能和属性划分为不同的区域。按照功能来分，分为：WAN / LAN / DMZ。其中W AN指的是直接和Internet相连的区域，LAN 指的是企业的内部网络，而DMZ指的是对外提供服务的服务器所在的网络。这些区域的划分主要用来帮助企业去配置和管理瑞星的防毒墙网关设备。而按照属性来分，对于涉及企业机密的网络则属于网络的核心区，而一般的办公网络则属于非核心区。这些区域的划分主要帮助企业来决定安全设备架设的具体位置，其基本关系如图3.1所示。

图 3.1 瑞星对企业网络结构的划分

3.2设计方案

3.2.1全方位、多层次防毒

瑞星根据企业网络的实际情况，在网络的多个层次部署了防毒软件和设备，分别是网关防毒墙、网络安全预警系统以及网络版杀毒软件，从而实现病毒的全面防范。

3.2.2网关防毒是整体防毒的首要防线

在整个防毒解决方案中，网关防毒是整个防毒体系的第一道关卡，它作为整个防毒体系中最重要的组成部分，可以帮助企业拦截90%以上的外部病毒以及垃圾邮件，全面防范垃圾邮件的侵扰以及外部攻击的威胁，在整个防毒系统中起到事半功倍的效果。

3.2.3集中监控管理

在整个防毒解决方案中，瑞星结合了目前主要个网络拓扑结构以及行政管理结构，构建了集中统一管理系统。硬件方面，所有的防毒网关设备支持集中管理，管理员可以通过一台计算机了解所有网关防毒墙的运行状况，并进行统一维护管理；软件方面，杀毒软件的客户端可以从病毒监控管理中心及时得到更新，从而保证整个防毒系统有效、及时地拦截病毒。

3.2.4分级监控管理

在本方案中，瑞星考虑建立分级防毒管理结构。在客户端计算机安装瑞星网络版杀毒软件客户端，在片区内，布置一台网络版的中心，用来统一管理该片区的客户端杀毒软件，在片区的出口，根据具体网络规模部署不同型号的瑞星防毒墙网关，并在出口处设置一条旁路用来架设网络预警系统分中心、病毒探针和攻击探针，监测网络中的病毒和攻击行为。另外，针对不同片区内的网络版管理中心和SDS分中心，在企业的核心网络区中布置一台网络版总中心和一台SDS总中心，用来对其下级的管理中心进行统一维护和管理；最后，在整个网络的出口布置一台防毒墙，高速过滤当前最流行的病毒以及高危病毒。

3.3设计达成的目标

●集成的多重安全功能

瑞星防毒墙不仅提供了杀毒服务，还集成了防火墙、入侵防御、安全审计、集中管理等功能，起到多重安全保护的目的。

●远程、移动用户安全连接内部网络

瑞星防毒墙提供VPN服务，实现远程安全办公。

●实时监控的预警系统

瑞星网络安全预警系统能够实时捕获内外网之间传输的所有数据，实时发现来自于网络内部和外部的非法攻击行为，并实时报警，保护企业信息安全。

●计算机病毒的监控和清除

瑞星网络杀毒软件网络版是专门针对网络病毒传播特点开发的网络防病毒软件，可以实现防病毒体系的统一、集中管理，实时掌握、了解当前网络内计算机病毒事件，并实现对网络内的所有计算机远程反病毒策略设置和安全操作。

●灵活的控制台和Web管理方式

瑞星的系列安全硬件产品都提供控制台管理和Web管理两种方式，通过这两种管理方式管理员可以更灵活、简便地根据自身实际情况设置、修改安全策略。

●完善的日志分析和统计报表能力

瑞星的系列安全硬件产品对网络内的安全事件都作出详细的日志记录，此外，报表系统可以自动生成各种形式的攻击统计报表，以直观、清晰的方式从总体上分析网络上发生的各种安全事件。

●模块化的安全组合

本方案中使用的瑞星网络安全产品分别具有不同的功能，用户可以根据自身企业的实际情况选择不同的产品构建不同安全级别的网络。

集中统一的管理

瑞星网络安全产品提供集中统一管理功能，管理员可以集中统一管理网络内的任何设备，简化了管理员的工作，并保证了网络安全策略实施的统一性、安全性。

图 3.2 实施了网络防毒解决方案后的网络拓扑

附录1 技术规范