文档介绍：Symantec™ Gateway Security
5600 系列
技术白皮书
2006年2月

Symantec 和 Symantec 徽标是 Symantec 公司和/或其附属机构在美国和其他国家或地区的注册商标。“Symantec”及“赛门铁克”是 Symantec 公司在中国的注册商标。其他公司和产品名称可能是其各自公司的商标或注册商标,特此致谢。版权所有© 2004 Symantec 公司。保留所有权利。
所有产品信息如有更改恕不另行通知。
Symantec™ Gateway Security 5600 系列
目录
第一章 SGS5600概述 3
第二章 SGS5600之防火墙、VPN功能说明 4
第三章 SGS5600之防病毒和客户端策略兼容性检查 6
第四章 SGS5600之内容过滤及反垃圾邮件功能说明 8
第五章 SGS5600之入侵检测及入侵防护功能说明 10
第六章 SGS5600之高可用性及负载均衡说明 12
第七章 SGS5600之管理特性说明 12
第八章 SGS5600实际应用案例研究 14
附录一:SGS5600主要技术特点列表 16
附录二:SGS5600各型号设备参数对照表 19
第一章 SGS5600概述
2001年7月,世界,它首次将传统病毒原理和传统黑客攻击原理巧妙的结合在一起,将病毒复制、蠕虫蔓延、漏洞攻击、DDoS攻击、遗留后门等等攻击技术综合在一起,开创了一类新型网络威胁模式――混合威胁(Blended Threats )。混合威胁标志了网络威胁发展的新阶段。近期,以冲击波为代表的一系列混合威胁又表现出一个新的发展趋势,即传播非常迅速。混合威胁的攻击手段多样决定了我们选择的防护手段必须全面,必须防病毒、防黑客多技术综合。而混合威胁传播速度迅速,将让所有基于响应的安全技术的防护效果变得越来越差,甚至失去作用,因此必须要有智能而不基于响应的防护技术。
Symantec Gateway Security 5600 是赛门铁克最新一代的防火墙设备(如下图示),它正是为了满足用户应对当前网络威胁的需求而推出的力作。作为业界最全面的UTM安全网关设备,它将全封包检查防火墙、基于协议异常和基于特征的入侵防御及入侵检测引擎、获奖的病毒防护、采用专利的动态文档检查技术进行基于 URL 的内容过滤、反垃圾邮件以及符合 IPsec和SSL的VPN技术无缝地集成在一起。
Symantec™ Gateway Security 5600 系列
当数据包通过Symantec Gateway Security 5600时,Symantec Gateway Security 5600运用各项安全防护技术对其进行检查、处理和控制。首先如果有活动的 VPN 会话,VPN技术会先解密数据包并将其放入数据流;接着,基于协议异常和基于特征的入侵检测技术能够迅速检测出各种攻击企图,其中基于协议异常的入侵检测技术能够检测出新出的未命名的未知攻击(即具备了不基于响应的防护能力),并立即阻止该数据包;然后,全封包检查防火墙执行深入的数据包检查,防火墙应用代理打开并检查应用层协议数据包,对这些数据包进行检查的目的是确保其符合适用的 RFC 和有效语法,这种应用层的深入检查可以检查出许多新出的未知的蠕虫和混合威胁(也是一种不基于响应的防护行为);随后内容过滤技术会将源 IP 与禁止的网站列表加以比较进行URL过滤,如果是SMTP或POP3数据包还按照主题行文本、附件文件名类型和邮件大小以及垃圾邮件黑名单来主动禁止电子邮件实现反垃圾邮件;
最后如果数据包基于 HTTP、FTP 或 SMTP 、POP3协议,将文件和附件发送给病毒扫描引擎,该扫描引擎如果发现病毒,则对文件进行修复或将其丢弃等处理。如果通过上述所有检查,Symantec Gateway Security 5600将允许该数据包进入或离开网络。处理过程如下图所示:
(图: SGS5600各组件结构)
另外,Symantec Gateway Security 5600 提供了强大安全防护能力的同时还提供了管理简易、扩展方便等特性,更有吞吐量高达千兆级的卓越处理性能。参考附录《SGS5600设备各型号参数对照表》。
一旦有了这样的一个先进防火墙设备就能够将病毒、蠕虫、黑客攻击、混合威胁统统阻挡在网络之外,象一把大大的安全伞给内部网络用户撑出一片宁静的天空。
第二章 SGS5600之防火墙、VPN功能说明
Symantec Gateway Security 5600提供全封包检查防火墙功能和基于 IPSec协议族以及SSL的VPN功能,且都通过 ICSA 认证。
Symantec™ Gateway Security 5