Firebox 提供的UTM 安全服务

【.com 综合消息】网关防病毒服务（GAV）

WatchGuard 的网关防病毒服务可以识别并拦截病毒、蠕虫、木马、间谍软件等可能会进入到你的网络的那些恶意代码。WatchGuard 建议用户在使用网关防病毒的同时也要使用桌面杀毒系统，这样做有两个好处：

一是由于是网关级别的防御，因此不会象桌面杀毒系统那样被某些新兴病毒关闭而失去安全防御能力；二是两套防病毒系统同时运行，可以提高病毒库升级的平均响应时间，这比只单独依赖一套系统要好很多；

在ILS 里，将网关防病毒与其他安全层结合在一起工作，可以得到更多的益处：效率 —— 网关防病毒只处理那些通过了深度应用检测层处理的数据流，需

要扫描的内容大大减少了；更细化的控制 —— 网关防病毒扫描的文件类型可以订制；

WatchGuard 的网关防病毒服务可以对感染文件进行允许、阻断、锁定操作。文件锁定可以满足那些需要这种有害文件的网络管理员的需求。当系统检测到一个有害文件时，便对其加密并传递给最终用户。这样可以防止用户无疑中执行了该有害文件；如果用户希望去解开压缩并还原原始文件，那么他必须从管理员那里得到正确的工具。当然用户也可以直接删除到这些没有用的文件。

WatchGuard 的网关防病毒签名库的升级是自动的，并且用户可以控制其升级的时间间隔。我们在Internet 上平均每4 小时便会更新一次病毒签名库。

入侵防御服务（IPS）

WatchGuard 的入侵防御服务可以对那些含有恶意攻击脚本的通讯协议作在线检测。在线检测IPS 系统面临两个问题：速度和误报率。与其他ILS 安全层紧密结合在一起的IPS 服务，在这两方面表现相当不错。因为ILS 的其他安全层大约可以拦截60%~70%的攻击行为。那么对于这些攻击的签名库已经不再需要了。这样就降低了IPS 在签名库中的检索数量同时提高了检索时间还有误报率。

深度应用检测层可以明确地知道通讯协议，它会调用IPS 只针对已知的协议作检测。这就意味着IPS 有目的性的检测某协议的签名库子集，而不是在整个签名库中遍历。同样IPS也可以调用ILS 的自动拦截功能。当IPS 发现了第一个攻击行为后，将攻击者的IP 地址传递给自动拦截系统，那么该攻击者的后续任何攻击行为都被阻挡在“外部安全服务层”，从而进一步节省了系统开销。这不像其他的IPS 那样，对每一次攻击都要进行深入分析，而白白浪费系统资源，降低处理能力。

◆ 间谍软件的防御

间谍软件会通过P2P 传播，也会通过感染文件、Cookie 和下载传播。间谍软件会盗取用户的键盘信息、密码文件、认证信息等内容。它也会消耗PC 的资源和网络带宽。WatchGuard 的IPS 引擎可以依据签名特征和独特的意图分析来拦截间谍软件。IPS引擎可以对抗：

拦截站点 —— IPS 引擎会主动拦截通过HTTP 协议对已知间谍主机或下载站点的访问；

基于签名的内容检测 —— IPS 引擎会不断地升级攻击特征签名库，利用特征来拦截间谍软件的下载；

截断配置 —— 间谍软件一般都会向外传递一份安装报告，并下载一份初始化配置文件；IPS 引擎会识别并拦截这种通讯；

自动安装 —— 在一个安全网络中的被感染主机，会利用网络连接建立一个新的通讯通道，用于传输窃取的信息、下载另外的间谍程序或者非法广告；IPS 引擎都可以识别并拦截这些通讯；

反垃圾邮件服务（spamBlocker）

垃圾邮件大约占据了当今邮件总量的63%，这也是绝大多数公司所面临的头痛问题。WatchGuard 的反垃圾邮件服务利用Commtouch 公司的循环模式检测（RPD）技术给予用户实时的保护，对于垃圾邮件、病毒邮件爆发的检测率高达99.95%，而且在设备中还不使用任何签名及过滤。

与评估关键字和内容所不同，这项技术实时分析大量的Internet 流量，并当垃圾邮件爆发的瞬间立刻分析出其特征（或者叫DNA）。每天都对将近500 万条样本信息进行高级运算分析，在1、2 分钟内就可以识别并分类新的具有代表性的垃圾邮件特征。spamBlocker 利用这项技术直接通过Commtouch 检测中心（大约维护2 亿个垃圾邮件特征）比较可疑邮件，给予用户最新的垃圾邮件防御。

这项技术具如下4 项特点：对垃圾邮件、病毒邮件的爆发做出极其快速地反映；几乎为零的误判率 —— 可以很好地从垃圾邮件中识别出正常通讯；高垃圾邮件识别率 —— 拦截97%的无效邮件；与语言无关 —— 对于垃圾邮件的拦截不依赖于语言、内容和信息格式；

spamBlocker 利用邮件通讯的基本特性来鉴别是否为垃圾邮件，并将97%的垃圾邮件阻挡在网关以外，而且这些处理都是瞬间完成的。利用大量的信息特性而不是检索那些单独的内容、语言或格式，spamBlocker 可以实时鉴别全球的垃圾邮件，包括那些邮件钓鱼攻击，同时还保证了其他网络通讯的高处理性能。

为了更好地服务于邮件用户，spamBlocker 支持外部隔离服务器，那些被识别为垃圾或含病毒的邮件，会被发送到指定的邮件服务器中保存，并定期通过邮件通告通知邮件接收人领取隔离的邮件。

URL 分类过滤服务（WebBlocker）

WatchGuard 的WebBlocker URL 分类过滤服务使你不单单可以配置哪些用户能够进行Web 访问，还允许你定义哪些Web 是可以访问的。在WSM 中，使用可视化的配置，你可以对允许访问的Web 类型和什么时间段可以访问这些内容做出快速分类处理。WebBlocker 采用全球Web 过滤技术的领导者 —— SurfControl 公司的数据库和引擎技术，保证了分类的正确性和覆盖的全面性。WebBlocker 使用多种分类来帮助用户拦截那些不希望进入网络的内容：

拦截间谍软件站点和那些已知的存在恶意代码的站点；拦截在工作场所不适宜观看的内容；如色情信息；拦截与工作无关的内容，提高工作效率；

利用客户订制化列表、用户身份认证、基于时间的不同访问策略等技术，WebBlocker可以帮助你有效地执行网络管理政策。WebBlocker 还可以帮助你和你的网络远离那些含有病毒、蠕虫、间谍软件、恶意程序的网站。