目前，网络安全面临新的挑战。病毒和蠕虫攻击隐藏在大量的网页和邮件中，已成为当前网络攻击的常用手段。基于内容的攻击令传统的防火墙不能抵御，需要引入新一代的防火墙技术，把内容处理和防病毒功能结合贯穿到单纯的防火墙中，这已代表一种发展趋势。

基于这种创新的理念， 新型的防病毒内容过滤防火墙应运而生。这类产品的新颖之处在于， 除了防火墙的基本功能之外， 它还能在数据流到达内网前扫描数据包内容， 并清除有害的数据内容。

防病毒内容过滤安全防御网关技术，可以应用在进行各种网络数据交易的企业或电信网络中， 进行高级别的病毒安全防护, 保护内部的网络安全。值得注意的是，新型防御网关实施方案结合采用专用的高性能硬件体系和ASIC芯片技术, 既增添新的功能，又能保障原有的性能不受过多影响，适合实际应用的需求。

传统技术面临的挑战

传统的防火墙技术能有效地防止一些来自协议层的攻击， 包括欺骗、密码破译、拒绝服务和其他的协议层攻击，例如NAT (网络地址转换)一直提供了对协议层攻击的保护。结合NAT技术，大多数传统防火墙用一种状态检测的技术检查和转发TCP/IP 包。

内容攻击防范

对抗协议层攻击有效的NAT和状态检测技术, 并不能满足基于内容安全的保护需求。状态检测技术只检查数据包头，不检测数据的内容。

每一封邮件的附件都可能嵌入了病毒和蠕虫。来自Internet上的、隐藏在网络数据中的有害代码， 通过病毒、 蠕虫、 动态的Web网页内容和木马程序进行攻击。 当人们从Internet 下载文件时, MS Office 文件中的宏代码成为威胁内部网络的关键。这些病毒和蠕虫不断在增长，并且不断有新的变种，其破坏性是巨大的。要防御隐藏在网络流量内容里病毒和蠕虫的攻击，并有效阻塞包含色情、不健康、政治敏感内容的网页，需要内容过滤防病毒防火墙。

传统的病毒清除技术

一般在数据包内渗入有害内容时， 数据仍可能穿过传统的防火墙进行传播。常规的病毒防御方式是在内部网络中的所有计算机中都装上安全病毒扫描软件，基于主机的防护方法缺点是成本高，维护费时费力，管理者必须保证所有的计算机都安装有最新的防病毒软件，并要保证所有的计算机每周都能及时地进行新病毒库的升级。如果有一台没有升级，病毒就有可能侵入网络。传统的病毒保护不能阻止有害内容在内部网中的传播，不能在网关处拦截，它们一直是活动的。E-mail 用户每天必须花时间去删除那些包含病毒的邮件，一些病毒扫描软件不能对从网上下载的文件进行攻击检测，只能对邮件的附件进行扫描； 而当前的邮件系统很多是基于Web的访问方式的（如Yahoo、Hotmail等）。

新型安全网关的功能

什么是一个可信任的安全网关？ 安全网关应该阻塞病毒和蠕虫的攻击，保护内部的网络安全。要做到这点，网关必须能够扫描邮件和Web 内容，在病毒到达内部网络时及时予以清除。

新一代安全网关在传统的防火墙中加入了病毒和蠕虫的防御功能，可以防御像“Code RED”这样的蠕虫和Nimda 病毒的攻击，能够对内容层进行扫描，提供应用层病毒检测，可以过滤、处理数据包的内容。

Web内容过滤技术功能通过内容过滤能够阻止到特定Web网址的访问，强大的特征匹配和关键字检查可以阻塞包含匹配内容的网页。

内容扫描原理

内容协议数据包括Web流量（HTTP）和 E-mail 流量（SMTP、POP3、IMAP）。

在接收到网络流量后，安全网关进行内容扫描， 定向到TCP/IP 堆栈，其他数据流直接定向到状态检测引擎，按基本检测方式进行处理。 高性能的硬件体系结构协助TCP/IP 堆栈进行协议内容的处理，当接收到内容数据流时，TCP/IP 堆栈建立Client 和Server 的会话，开始数据包的传输。堆栈接收数据包，然后转化成内容数据流。

服务分析器根据数据流服务类型分离内容数据流，传送数据流到一个命令解析器中。

命令解析器定制和分析每一个内容协议， 分析内容数据流，检测病毒和蠕虫。如果检测到信息流是一个HTTP 数据流， 则命令解析器检查上载和下载的文件; 如果数据是Mail 类型，则检查邮件的附件。

如果数据流包含附件或上载/下载文件，附件和文件将传输到病毒扫描引擎，所有其他内容传输到内容过滤引擎。如果内容过滤启动，数据流将根据过滤的设置进行匹配，通过或拒绝数据。

病毒扫描策略

新型防御网关的病毒扫描引擎利用四种病毒扫描策略。

特征扫描: 特征扫描通过已知的标识病毒特征的字符串扫描目标文件, 对一个病毒来说, 如果标识病毒特征的字符串都匹配, 则认为病毒包含在文件中。大部分的病毒可以通过特征扫描检测出来，这可以花费最少的处理时间。

宏扫描: 从MS Office 文件中根据已知的宏病毒字符串对宏进行检测，同时对宏中的代码行为进行分析，如输出代码、输入代码、写寄存器、试图关闭安全特性。如果宏代码测试确定了病毒特征分析，则认为MS Office 中存在宏病毒。

启发式扫描: 也叫做静态启发扫描，根据对标识病毒行为的字符串进行扫描。

模拟式扫描: 即动态的启发式扫描, 模拟一个环境，运行可能含有病毒的文件，让病毒引擎发现该文件可能的、不正常的程序行为，同时跟踪系统调用进程进行分析。

全方位安全保护

作为完整的网络安全体系，新型的安全网关既要提供防病毒、内容过滤等全套的应用层功能, 又要与网络层服务, 例如防火墙、入侵检测、 VPN、 流量监控等功能结合在一起, 保障关键业务的正常运行，从而全方位地对网络实行安全保护。

（计算机世界报 第39期 D23）