KILL过滤网关――防蠕虫篇

蠕虫（Worm）不同于计算机病毒，计算机病毒是附着在其它程序之上的，而蠕虫是可以独立运行，并能把自身的一个包含所有功能的代码传播到另外的计算机上的独立程序，有些蠕虫也可以附着在其它程序上。蠕虫既可以利用正常的传输协议进行扩散，也可以利用某些协议的漏洞发起攻击进行扩散。在产生的破坏性上，蠕虫也不是普通病毒所能比拟的，网络的发展使得蠕虫可以在短短的时间内蔓延整个网络，造成网络瘫痪！
蠕虫具有极强的传染性、设置后门程序、发动拒绝服务攻击（DoS/DDoS）等特征，主要利用系统漏洞进行主动传播和攻击。从近几年发生的大范围危害事件来看，蠕虫的危害性比普通病毒更大，以“红色代码”、“尼姆达”以及 “SQL蠕虫王”为代表。

无论是什么样的蠕虫，都有一个共同的特点：通过网络进行传播。因此，网络边界也就成了防御蠕虫的要塞，网关级安全产品显得尤其重要。全球著名的信息安全教育机构SANS Institute将蠕虫(Anti-Worm)解决方案和防火墙、IDS等并列为安全技术中的一大类。冠群金辰公司的KILL过滤网关是国内第一个能够同时实现抗蠕虫和病毒防范的产品。

KILL过滤网关（简称KSG）是冠群金辰公司自主研发的新一代过滤网关，蠕虫过滤是其最主要的功能之一，其独特的抗蠕虫攻击技术(Anti-Worm)，能够全方位抵御所有已知蠕虫的攻击和传播行为，填补了信息安全界的空白。这一技术标志着KILL过滤网关不仅可以过滤静态蠕虫代码，而且能够阻断蠕虫的动态攻击（包括所引发的病毒传播、后门漏洞、DoS/DDoS攻击等）。这样，可以实现全面防御蠕虫的目的。

蠕虫可以利用电子邮件、文件传输等方式进行扩散，也可以利用系统的漏洞发起动态攻击。近几年蠕虫造成的危害越来越大，可以导致系统严重损坏和网络瘫痪，如震荡波(Worm.Sasser)”等。根据蠕虫的特点，KILL过滤网关关从OSI的多个层进行处理。在网络层和传输层过滤蠕虫利用漏洞的动态攻击数据，在应用层过滤利用正常协议（SMTP、HTTP、POP3、FTP等）传输的静态蠕虫代码。

图一 KILL过滤网关系统结构

图一很好地显示了KILL过滤网关的系统结构。其中，在网络层：实现基于IP地址、端口号等网络层特征的过滤，实现了简单的防火墙功能；传输层：实现了基于HTTP、SMTP等应用协议特征的过滤，传输层恰恰是蠕虫攻击、黑客攻击数据的理想识别位置，KILL过滤网关可以有效地拦截蠕虫攻击数据；应用层：KILL过滤网关能够对多种常用的网络协议（HTTP、SMTP、POP3、FTP等）进行深度分析并还原出的原始的传输数据，进行病毒检查、内容检查和蠕虫检查。

去年五一期间，利用微软系统漏洞进行传播的“震荡波”蠕虫在Internet上全面爆发，致使无数终端计算机系统陷入瘫痪。冠群金辰软件有限公司在节前就发布蠕虫攻击预警，并且通过公司技术支持中心专线通知所有的客户进行微软补丁程序下载与安装，公司研发中心于5月1日凌晨，及时升级了病毒代码库、蠕虫特征库，对于使用KILL过滤网关的企业用户来说，只需直接升级KILL过滤网关产品，即可在网络边界处阻断"震荡波"的传播。

针对此次爆发的“震荡波”的特点，冠群金辰提出了“静态传统病毒库”与“动态入侵库”相结合的方式，来实现对用户提供了双重保护。KILL过滤网关在此次的蠕虫风暴中表现出卓越的性能，并立下了汗马功劳。

在去年公安部制定的标准《计算机病毒危害性分级准则》草案中，把计算机病毒按照其危害性划分为五个等级，其中最高级是这样定义的：“五级（特大）：本级别表示计算机病毒可以造成大范围公共网络或者专用网络的拥塞、瘫痪。无法进行数据传输和交换。或者造成计算机系统大范围受到攻击或者专用系统受到攻击，导致系统瘫痪或者严重的信息泄漏。如冲击波、红色代码等。”这个所描述的正是蠕虫的危害。

KILL过滤网关独有的Anti-Worm技术能够主动防范蠕虫攻击，是国内第一家满足公安部“计算机病毒危害”最高级别标准的安全产品！经过多年的开发和应用，KILL过滤网关系列产品已经在金融、电信、军事、教育、政府等多个领域被广泛使用，得到了广泛用户的肯定与支持。