SANGFOR-AC-V4.0-上網(wǎng)安全桌面解決方案

虛擬化上網(wǎng)構建平安網(wǎng)絡——深信服上網(wǎng)平安桌面解決方案網(wǎng)絡的迅猛發(fā)展給企業(yè)帶來業(yè)務平臺的延長、信息快速的獲得和工作效率的提升，企業(yè)在享受互聯(lián)網(wǎng)帶來的便利時，也受到了來自于互聯(lián)網(wǎng)的困擾和威逼?；ヂ?lián)網(wǎng)網(wǎng)絡現(xiàn)狀分析員工在公司或者單位工作，通過互聯(lián)網(wǎng)保持與外界的溝通，并利用互聯(lián)網(wǎng)完成自己的工作。但是互聯(lián)網(wǎng)的確一個魚龍混雜的地方，潛在了特別多的擔心全因素。目前網(wǎng)絡病毒的種類已經(jīng)達到千萬級別，包含有病毒或者木馬的網(wǎng)頁（即“惡意網(wǎng)址”）也達到了千萬級別。用戶在訪問這些網(wǎng)頁時，卻無法依據(jù)肉眼推斷是平安還是會中招。先看一組權威機構的分析數(shù)據(jù)：——與最熱門新聞和話題相關的被感染搜尋結果為22.4%；——與成人內容相關的受感染搜尋結果為21.8%；——與商業(yè)相關的被感染搜尋結果1%。在過去，色情、賭博、迷信等網(wǎng)頁是包含病毒最多的網(wǎng)頁，但是以上數(shù)據(jù)告知我們，新聞和八卦已經(jīng)成為病毒和木馬新的泛濫目標。在2010年，“二套房”、“閆鳳嬌不雅照”、“英國威廉王子訂婚”，在2011年，“忐忑”、“李剛”等最新網(wǎng)絡熱詞已淪為黑客傳播病毒、捆綁木馬的工具，其在掛馬網(wǎng)頁針對最熱門的搜尋關鍵詞進行優(yōu)化，誘騙大量的熱詞搜尋用戶點擊。用戶一旦點擊帶有此類關鍵詞的掛馬網(wǎng)頁，就會感染病毒。傳統(tǒng)的防護手段存在不足 正因為網(wǎng)絡病毒的出現(xiàn)，殺毒軟件也因此開拓了一個新的市場。病毒和殺軟的關系就像小偷和警察，因為有了病毒出現(xiàn)，所以社會上設立了警察的職位。病毒庫與病毒不是同一量級殺毒軟件的基本防護原理主要是通過病毒特征庫來匹配病毒，從而進行查殺，所以全部的殺軟廠商都須要維護一個病毒庫，大家也會相互比拼病毒庫的大小和殺病毒的實力。但是縱觀現(xiàn)在大多廠商的病毒庫，病毒的級別大多為百萬級，而目前網(wǎng)絡上存在的病毒確是千萬級別的。如此不對等關系，導致各種病毒總是能讓殺毒軟件形成虛設，輕松的攻擊已經(jīng)安裝了殺軟的PC和服務器。病毒庫的更新總是在病毒被發(fā)覺后殺軟產(chǎn)品最核心的競爭力——病毒庫，它與病毒之間的關系，并非雞和蛋之間的關系，而是小偷和警察，因為病毒出現(xiàn)了，而且已經(jīng)造成了影響和危害，所以殺軟的病毒庫才會像警察一樣，把病毒當做須要抓捕和懲處的對象，這時候病毒才進入了病毒庫，殺軟的專家們在了解了病毒的特征后，探討出正對病毒的技術手段勝利后，病毒才會被殺軟給查殺。所以，滯后性是殺軟的先天缺陷。 正因為殺軟對病毒具有無法全部包含性和滯后性，所以用戶在上網(wǎng)過程中，即使安裝了殺毒產(chǎn)品，也無法徹底防止遭受病毒的攻擊。網(wǎng)絡隔離需求的出現(xiàn)但是由于政府、金融、企業(yè)等單位中，用戶在工作時既須要訪問互聯(lián)網(wǎng)，又須要訪問內部的專網(wǎng)，用戶在上網(wǎng)互聯(lián)網(wǎng)訪問網(wǎng)頁，接收郵件時遭受了病毒攻擊，導致PC中毒。由于病毒觸發(fā)后具有快速復制和傳播性，往往內網(wǎng)一個用戶中毒后，其他PC、甚至服務器均有遭受病毒攻擊的可能，比如曾經(jīng)爆發(fā)過的沖擊波病毒、熊貓燒香病毒、SEO病毒等。個人PC癱瘓后須要重裝PC，可能導致PC中原有資料無法復原，這個對于單位和企業(yè)來說可能只是一個小的損失，但是中毒導致的內部系統(tǒng)癱瘓，帶來的將是經(jīng)濟利益的損失、企業(yè)競爭力的下降，對于政府單位來說，更可能上升到政治錯誤的嚴峻性。所以在政府、金融等單位，客戶通過網(wǎng)閘、雙硬盤、兩套主機、網(wǎng)絡隔離卡等方式來實現(xiàn)互聯(lián)網(wǎng)和內網(wǎng)隔離，統(tǒng)一稱為網(wǎng)絡隔離。網(wǎng)絡隔離的第一個目的是愛護內部業(yè)務系統(tǒng)，讓業(yè)務系統(tǒng)不受到互聯(lián)網(wǎng)的攻擊。其次個目的就是防止泄密。 由于內部業(yè)務系統(tǒng)中跑的都是單位內部機密的信息，用戶在上網(wǎng)過程中有意或者無意的把內部的文件發(fā)送到互聯(lián)網(wǎng)上，這種行為就是網(wǎng)絡泄密。從有意和無意兩個角度來分，網(wǎng)絡泄密可以分為主動泄密和被動泄密。主動泄密的方式主要包含：通過發(fā)帖、外發(fā)郵件、QQ閑聊、USB拷貝把單位的機密文件發(fā)送出去，被動泄密主要是用戶在中了病毒或木馬后，病毒程序通過掃描用戶電腦，把有用的資料偷發(fā)出去，或者利用被中毒的PC作為跳板，訪問內部的服務器，從服務器上獲得資料再發(fā)送出去。無論是哪種泄密方式，給單位和企業(yè)帶來的損失將是無法估量的。物理隔離的弊端分析 主要基于上面兩個方面的緣由，IT界出現(xiàn)了網(wǎng)絡隔離的產(chǎn)品。網(wǎng)絡隔離分為物理隔離和邏輯隔離兩種方式。物理隔離從網(wǎng)絡層隔離互聯(lián)網(wǎng)和內網(wǎng)，但往往須要花重金和大力氣部署隔離產(chǎn)品，比如網(wǎng)閘、網(wǎng)絡隔離卡、兩套終端PC，不僅建設成本高、建設周期長，而且維護管理工作量成倍增加，用戶體驗差。由于兩個網(wǎng)絡的數(shù)據(jù)無法交換，而很多的工作須要同時用到兩個網(wǎng)絡，因此導致工作效率下降、用戶須要不斷的在兩個網(wǎng)絡間進入退出。 正因為這種高成本、差的用戶體驗，于是業(yè)界出現(xiàn)了一種新的技術，即虛擬化技術，做邏輯隔離，實現(xiàn)網(wǎng)絡隔離相當?shù)男ЧＫ粌H可以防止病毒，而且可以實現(xiàn)數(shù)據(jù)的隔離，下面我們做具體的介紹。虛擬化技術被IT界廣泛認可 虛擬化技術在IT行業(yè)內儼然已成為新技術的弄潮兒，也被稱為沙盒技術。閱讀器廠商采納沙盒技術愛護用戶訪問網(wǎng)頁的平安性，比如Google的Chrome閱讀器采納沙盒技術隔離javascript的執(zhí)行、HTML分析和插件的安裝，還比如微軟即將推出的win8操作系統(tǒng)自帶虛擬桌面功能；殺毒廠商利用虛擬化沙盒技術來防止病毒攻擊，比如卡巴斯基在2012新品“平安部隊”中特殊將沙盒技術進行改進，將其細分為平安桌面和平安閱讀器兩個功能，操作上也更加直觀和簡便，有效隔離病毒木馬威逼，還比如360推出的殺毒平安桌面和隔離箱；IT時尚引領者蘋果在2012年起全部Mac軟件采納沙盒技術。蘋果要求軟件采納沙盒技術可能會令部分開發(fā)商不滿，但沙盒是一種更好的平安技術。盡管沙盒技術并不完備，但蘋果的要求并不過分。 深信服上網(wǎng)行為管理AC在經(jīng)過對已有的政府、金融、企業(yè)等各行業(yè)8000多家客戶的需求進行分析后發(fā)覺，用戶在滿意了身份認證、網(wǎng)頁過濾、應用限制、流量管理、行為審計后，對上網(wǎng)平安提出了希望和要求。單位和企業(yè)在互聯(lián)網(wǎng)出口或者PC終端部署了企業(yè)級的殺毒網(wǎng)關或者其他殺毒產(chǎn)品，但仍舊無法防衛(wèi)新的病毒和隱藏得更深的掛馬網(wǎng)頁中病毒的攻擊。在沒有部署物理隔離的環(huán)境下，員工運用同一臺PC同時訪問內網(wǎng)和互聯(lián)網(wǎng)，導致內部數(shù)據(jù)泄密的時間層出不窮，嚴峻威逼到企業(yè)的信息平安。針對這兩類需求的出現(xiàn)，深信服上網(wǎng)行為管理引入虛擬化沙盒技術，推出了上網(wǎng)平安桌面。防病毒解決方案 深信服上網(wǎng)平安桌面最核心的功能就是給用戶供應一個全新的虛擬桌面。用戶可以在虛擬桌面訪問危急網(wǎng)站、運行惡意程序，這些都不會給用戶的真實環(huán)境帶來危害。在用戶退出平安桌面以后這些病毒、木馬都會隨之消逝。那么這樣好玩的功能是如何實現(xiàn)的呢。簡潔而言，在平安桌面中，我們給每一個程序都供應了一個虛擬的運行環(huán)境，全部的程序、病毒都在這個虛擬的環(huán)境中運行。這個就似乎你的電腦上安裝了虛擬機一樣，虛擬機供應一個完全虛擬的環(huán)境，可以在這個虛擬環(huán)境中運行程序，而不是影響到外面的物理機器。在Windows系統(tǒng)中，一個運行環(huán)境包括了文件、注冊表、IPC、網(wǎng)絡等等內容。我們會特地針對這些內容，構造特定的虛擬環(huán)境，然后在平安桌面中將他們整合起來。這樣在平安桌面中運行的程序將看到一個完全虛擬的環(huán)境，全部執(zhí)行的操作都不會影響到客戶真實的系統(tǒng)。來看看一個具有傳染性的病毒在平安桌面中運行將是什么樣。首先我們啟動平安桌面，然后病毒運行起來了，這時病毒看到的是環(huán)境是我們特意構造的虛擬環(huán)境。他發(fā)覺機器上好多可以感染的程序，于是瘋狂地進行復制，然后執(zhí)行危急的破壞行動。病毒首先須要發(fā)覺可以感染的程序，然后修改這個程序。這些操作被平安桌面發(fā)覺，并將虛擬環(huán)境中的狀況返回給病毒。病毒這時會修改虛擬環(huán)境對應的程序，讓虛擬環(huán)境的程序中毒。有些病毒不僅僅會修改用戶磁盤上的文件，還會修改運行在內存中的程序。而這些操作也會被上網(wǎng)平安桌面發(fā)覺，假如病毒感染虛擬環(huán)境中的進程，那么它可以勝利感染；假如病毒想要感染虛擬環(huán)境以外的進程，那么全部這些操作都會被攔截。當用戶退出平安桌面以后，全部的這些記錄都將會清除。對于用戶的默認桌面而言，就似乎什么都沒有發(fā)生過一樣。再來看看一個木馬在平安桌面中遇到的麻煩。假如用戶配置了被動防泄密功能，那么啟動平安桌面以后，我們就會將在平安桌面供應一個“干凈”的虛擬環(huán)境。“干凈”意味著在這個虛擬環(huán)境中運行的全部程序，只能訪問到最基本的幾個書目。要供應這種“干凈”的虛擬環(huán)境，我們須要攔截程序的全部文件、注冊表、IPC等操作，然后將這些操作的訪問全部限定到最小。這時假如有木馬在這個環(huán)境中啟動了，那么他所能看到的只有一些最基本的系統(tǒng)文件，用戶的關鍵數(shù)據(jù)將只有在真實環(huán)境才能看到。上網(wǎng)平安桌面防病毒示意圖防病毒方案優(yōu)勢 深信服上網(wǎng)平安桌面利用虛擬化技術防止病毒入侵和攻擊真實PC和內網(wǎng)，這種方案相對于傳統(tǒng)的解決方案具有以下優(yōu)勢：平安穩(wěn)定沙盒技術已經(jīng)是成為業(yè)界公認的一種平安技術，已經(jīng)被各行業(yè)產(chǎn)品應用于平安防護。它不僅能解決傳統(tǒng)殺軟的病毒庫小、查殺病毒滯后性的問題，而且能解決傳統(tǒng)防病毒廠商無法解決的防止網(wǎng)頁掛馬、惡意插件的攻擊。在特殊環(huán)境下，平安桌面剛好中毒，也不會感染到默認桌面，因為病毒木馬在平安桌面關閉后，全部的數(shù)據(jù)都將清除，病毒木馬在虛擬的環(huán)境產(chǎn)生，也將在虛擬的環(huán)境中消逝。輕量級、簡潔易用終端在開啟了上網(wǎng)平安桌面后，僅占用特別小的CPU和內存，不會給終端系統(tǒng)帶來負荷壓力。在終端，平安桌面和默認桌面有任務欄導航條可輕松切換，默認桌面的應用程序可以復制到平安桌面，所以用戶在平安桌面上網(wǎng)時，可正常運用各應用程序，并保留應用程序在上網(wǎng)過程中須要保存的數(shù)據(jù)。統(tǒng)一管理，維護簡便大多的殺軟產(chǎn)品供應的并非企業(yè)級解決方案，像360、卡巴斯基、瑞星、金山等，他們供應的產(chǎn)品針對的是個人用戶，所以在單位和企業(yè)中，要強制每個用戶去安裝和剛好更新殺毒產(chǎn)品，對于單位和企業(yè)的管理員來說，是一件特別困難的事情。但是在深信服上網(wǎng)平安桌面這，管理員可以輕松的解決內網(wǎng)防病毒的問題。上網(wǎng)平安桌面通過深信服上網(wǎng)行為管理策略統(tǒng)一下發(fā)，用戶必需安裝上網(wǎng)平安桌面，否則不允許上網(wǎng)。管理員在上網(wǎng)行為管理設備統(tǒng)一制作策略，統(tǒng)一管理和維護，簡潔便利，能給日常IT管理工作削減很大的一部分工作。惡意網(wǎng)頁過濾圖示： 深信服上網(wǎng)行為管理AC內置惡意網(wǎng)址庫，可以對用戶訪問的網(wǎng)頁進行推斷。在用戶訪問到惡意網(wǎng)頁頁時，會做如下提示，從而幫助員工避開中招。平安桌面防病毒圖示： 網(wǎng)絡隔離解決方案平安桌面另一個核心的功能就是網(wǎng)絡權限限制。這個功能可以配置平安桌面和默認桌面各自可以訪問的網(wǎng)絡。管理員通過設置用戶的平安桌面可以訪問互聯(lián)網(wǎng)，但不允許訪問內網(wǎng)；默認桌面只允許訪問內網(wǎng)，但不允許訪問互聯(lián)網(wǎng)，從而實現(xiàn)了互聯(lián)網(wǎng)和內網(wǎng)的隔離。要進行網(wǎng)絡限制，我們在啟動以后會對整個系統(tǒng)的網(wǎng)絡進行監(jiān)控。隨意程序的網(wǎng)絡訪問我們都會進行推斷，先確認是否為平安桌面的程序，假如是則運用平安桌面的訪問策略來匹配當前的網(wǎng)絡訪問是否合法；反之亦然。在闡述需求階段，我們分過用戶做網(wǎng)絡隔離的兩大主要需求：防病毒和防泄密。防病毒方案在上文中已經(jīng)做了詳解介紹，所以下面我們介紹防泄密。用戶在平安桌面上互聯(lián)網(wǎng)時，由于無法訪問到內部業(yè)務系統(tǒng)，也無法訪問到PC各個盤符的文件，因此即運用戶想泄密，也無從下手。深信服上網(wǎng)平安桌面與上網(wǎng)行為管理形成的一種端到端的解決方案，在用戶終端，平安桌面通過網(wǎng)絡權限的隔離、書目訪問權限的隔離實現(xiàn)防止內部文件的可取途徑，在互聯(lián)網(wǎng)出口，上網(wǎng)行為管理AC通過外發(fā)信息關鍵字過濾、文件類型過濾、審計等方式，防止用戶通過發(fā)帖、發(fā)微博、發(fā)送郵件、QQ/MSN閑聊、發(fā)送文件等方式泄密。上網(wǎng)平安桌面網(wǎng)絡隔離示意圖網(wǎng)絡隔離方案優(yōu)勢深信服上網(wǎng)平安桌面網(wǎng)絡隔離方案具有以下特點：投入成本低、維護成本低傳統(tǒng)解決互聯(lián)網(wǎng)和內網(wǎng)的隔離方案須要終端、服務器和人力的大量投入，而且IT管理員須要同時維護兩套網(wǎng)絡，工作量大，管理麻煩。深信服上網(wǎng)平安桌面網(wǎng)絡隔離方案，不須要再部署終端硬件設備，只須要在原有的PC上安裝上網(wǎng)平安桌面客戶端，管理員在上網(wǎng)行為管理上通過設置策略實現(xiàn)網(wǎng)絡的隔離。因此無論在投入成本還是在維護成本上，相對于物理隔離的方式會成倍的削減。用戶體驗效果好平安桌面在供應嚴密的平安防護基礎上，也給用戶供應了大量易用的功能。例如ActiveX控件的代理安裝、Cookie自動保存、平安桌面文件導出等。ActiveX控件是IE的一個重要特性，在國內運用也是特別廣泛的。在IE發(fā)覺須要安裝控件的時候，平安桌面先進行檢測，看這個控件是否在允許的范圍內。假如在，那么我們將記錄安裝所必需的信息，然后將這些信息發(fā)送給默認桌面的另一個平安桌面組件，讓這個組件來執(zhí)行真正的安裝工作。Cookie自動保存功能可以幫助用戶在退出平安桌面以后，下次再次啟動仍舊可以運用上次記錄的登陸信息等。例如用戶登陸過了新浪微博，然后用戶退出平安桌面，下次啟動以后就可以自動幫助用戶登陸勝利了。 當用戶在平安桌面運用互聯(lián)網(wǎng)，須要將文件保存時，可以向管理員申請文件導出的權限。管理員在AC上做策略后，用戶就可以把文件導出到默認桌面了。端到端解決方案，統(tǒng)一管理上網(wǎng)平安桌面終端和上網(wǎng)行為管理策略這種端到端的解決方案，不僅穩(wěn)定牢靠，而且便利統(tǒng)一管理，是IT管理員最便利的選擇。附件：2011年十大病毒十-----金鎖：病毒類型：廣告木馬危害等級：2.5這是2010年8月份出現(xiàn)的木馬，主要通過網(wǎng)頁掛馬、釣圞魚軟件下載站進行傳播?！敖疰i”木馬是一款利圞用“金山網(wǎng)盾”的設計缺陷篡改并鎖定IE首頁的“廣告木馬”，由于該木馬程序便盜用“Kingsoft”的數(shù)字簽圞名，導致大部分主流殺毒軟件將其視為“平安文件”不報威逼，導致運用“金屬網(wǎng)盾”的受害用戶曾一度因為IE被篡改問題一籌莫展。自“金山網(wǎng)盾”修復漏洞后，該木馬才無影無蹤，不過后期有部分變種還在流行。九-----QQLive偽裝者病毒類型：破壞性程序病毒危害等級：3一款惡意性破壞程序病毒，依據(jù)某個病毒范例源碼改編的病毒。偽裝成《QQLive》的圖標通過QQ或QQ群傳播。結束主流殺毒軟件進程、篡改系統(tǒng)設置、篡改文件關聯(lián)、刪除平安模式、自動重啟電腦等等破壞，病毒運行時還會發(fā)出滲人的說話聲。中招后，對于一般用戶根本不知如何操作，只能是重做系統(tǒng)。八-----文件夾.EXE：病毒類型：蠕蟲病毒危害等級：3“文件夾.EXE”病毒2009年末就出現(xiàn)了，但真正是在2010年起先流行的。它是U盤病毒的又一次變種，當然還是通過U盤傳播。但與U盤病毒不同的是它有點類似于“威金”病毒，但并非是“威金”病毒。這個病毒主要特征是全盤搜尋文件夾并將原有的文件夾隱藏，并仿照這個隱藏的這個文件夾的名稱、圖標創(chuàng)建一個病毒程序，并且設置隱藏已知程序的擴展名。當受圞害圞者在不知情的狀況下點擊病毒偽裝的“文件夾.exe”病毒，會彈出文件夾的窗口，但會重新運行病毒，“文件夾.EXE”病毒因此得名。七-----我的照片：病毒類型：木馬下載器危害等級：3.5這是一個通過QQ或QQ群傳播的“木馬下載器”，出現(xiàn)了也有幾個年頭了，至今流傳著。該病毒主要偽裝成“美圞女圖片”誘圞惑QQ好友下載，受圞害圞者打開“我的照片.exe”會顯示一個特別美麗的美圞女圖片，但是病毒已經(jīng)在后圞臺運行了。替換“QQ.exe”盜取QQ號，然后連接黑圞客網(wǎng)站下載“DNF盜號木馬”、“魔獸世界盜號木馬”、“武林外傳盜號木馬”、“夢幻西游盜號木馬”等等。六-----灰鴿子：病毒類型：后門木馬危害等級：4“灰鴿子”木馬是一個主要通過QQ和QQ群傳播的后門程序，傳播從未間斷過?！痘银澴印吩瓉硎且豢顑?yōu)秀的遠控軟件，但不法分圞子利圞用它來抓“肉雞”，使大部分網(wǎng)圞民對其聞風喪膽，也造成了《灰鴿子》的臭名遠揚。不法分圞子通過《EXE捆綁機》將灰鴿子客戶端安裝包捆綁在某個執(zhí)行程序上發(fā)給QQ好友，使QQ好友被惡意遠控。黑圞客始終再給灰鴿子做免殺、變種，繞過眾多主流善妒軟件。據(jù)說，最新變種的《灰鴿子》會寫入并寄生于CMOS……五-----隱身貓：病毒類型：木馬危害等級：4該木馬主要通過“獸圞獸門”視圞頻欺圞騙用戶下載，首次出現(xiàn)在2010年2月份。它是一款遠程控圞制木馬，僅通過一個DLL利圞用服圞務項隨機啟動并插圞入到一個“svchost.exe”進程中，輕易監(jiān)圞視受害用戶的電腦屏幕、記錄鍵盤操作來盜取網(wǎng)游、網(wǎng)銀以及用戶所裝寬帶的賬號密碼、隨意查看和盜取中招用戶的資料，而且有強大的視圞頻偷圞窺功能，連家庭生活也沒有隱私可言。四-----RPCSS毒圞手-變種b：病毒類型：木馬危害等級：5“RPCSS毒圞手-變種b”木馬主要通過感染大型下載站的“.exe”安裝包進行傳播，假如網(wǎng)編的電腦感染了該病毒，那么意味著大量網(wǎng)圞民就要被感染。這個木馬主要在2009年5月份至2010年5份最為流行，但危害遠遠超過了“犇牛病毒”。該木馬僅替換一個系統(tǒng)重要服圞務須要加載的動態(tài)鏈接庫“rpcss.dll”達到隨機啟動，而且全盤感染“.exe”執(zhí)行程序，只要運行被感染的“.exe”就會使病毒死灰復燃。當檢測到殺毒軟件進程運行時會創(chuàng)建自救啟動項，且連接黑圞客服圞務器隨時快速變種，躲避殺毒軟件的平安識別。三-----鬼影：病毒類型：混合型病毒。危害等級：5“鬼影”病毒