电信行业熊猫硬件防毒墙解决方案
一、应用背景
根据来自国际计算机安全协会(简称 ICSA)的统计,现在全球有 99%以上的病毒
是通过 SMTP 和 HTTP 协议进入用户的计算机的,因此目前绝大部分的病毒来源于
Internet 和外网,尤其是电子邮件和网页浏览。在 1999 年,由此造成的损失就超过 100 亿
美元,预计到 2007 年全世界每年由于病毒所造成的损失将高到 268 亿。
近几年来,随着电信业务种类的不断增加,中国的电信客户呈爆炸式增长,极大地
促进了国内电信行业的繁荣和发展,但同时也对电信运营商的网络安全管理提出了更高要
求,防病毒就是其中很重要的一项工作,而在病毒的入口处进行病毒防护是很有优势的一
种防病毒模式。
二、解决方案
盼达信息安全(上海)有限公司的熊猫硬件防毒墙就是这样一款无论在性能上还是
功能上都非常强大的网关防病毒产品。以一个省电信公司及其下属分支机构为例,制定网
关病毒防护解决方案,以下是熊猫硬件防毒墙在该解决方案中的实现拓扑图:
熊猫硬件防毒墙的安装实施非常简单,在省公司局域网内只需将熊猫硬件防毒墙
PAA 的一端接入防火墙的出口,另一段接在网络交换机上,如此一来,所有进出省公司
局域网络的数据信息都可以得到防病毒扫描过滤。而在每个地市以及有单独 Internet 出口
的直属单位,则在其防火墙的后端安装熊猫硬件防毒墙。该方案的说明如下:
1、 考虑到省公司内部的所有用户是整个系统中最为关键的防护对象,并
且有独立的 Internet 出口,所以都容易受到来自外部的攻击,因此需
要为其安装网关防毒墙,防护 HTTP、FTP、SMTP/POP3/IMAP4、
NNTP、SOCKS 协议,这样省公司内部的用户无论访问 Internet,还
是访问电信内部、外部的邮件服务器以及内部的 OA 系统都可以得到
防护。考虑到电信公司省公司局域网内部客户端用户数会比较多,而
且数据流量和并发访问量也较大,因此建议在省公司的内部架设两台
熊猫硬件防毒墙,一方面平时可以实现负载均衡,另一方面也可以实
现双机容错,万一有一台设备出现故障,也不会影响整个网络应用。
2、 考虑到省公司、各地市公司以及有些直属单位都有单独的 Internet 出
口,所以都容易受到来自外部的攻击,因此需要为其分别安装网关防
毒墙,防护 HTTP、FTP、SMTP/POP3/IMAP4、 NNTP、SOCKS 协
议,这样所有的地方都可以在病毒入口处解决大部分的病毒问题。
3、 目前主要的病毒来源是用户收发电子邮件和对于网页(包括 FTP 数据
传输)的访问,因此对于这两个应用的防护最重要。因此需要专门在
两种应用前端进行病毒防护。一旦对邮件和网页的访问得到控制,那
么无论是何处的访问都可以杜绝病毒的威胁。从而使内部网络可以对
99%以上的威胁得以控制。
由于传统的防病毒方案只是在每台计算机上安装防病毒软件,这样是无法在当前病
毒的主要入口处进行防病毒,也就是只有在病毒到达网络中的客户端计算机和服务器后,
才通过本地已经安装的防病毒软件进行病毒查杀,因此根据电信的网络实际情况,我们认
为在其网关处进行防病毒保护的实际意义尤为显著。而盼达信息安全技术(上海)有限公
司的熊猫硬件防毒墙在上述推荐的防病毒解决方案应用中,更有着比其它防病毒产品突出
的优势。
