摘要: 反病毒是信息安全体系中非常特殊的领域,由于其对抗的密度和强度,对资源、对基础依赖的程度远高于其他多数安全领域,因此是多数安全厂商不愿意半路杀入的原因。就连Cisco这样的巨无霸企业在推出自防御网络中也是与trendmacro(趋势)携手,而微软则采用直接购...
反病毒是信息安全体系中非常特殊的领域,由于其对抗的密度和强度,对资源、对基础依赖的程度远高于其他多数安全领域,因此是多数安全厂商不愿意半路杀入的原因。就连Cisco这样的巨无霸企业在推出自防御网络中也是与trendmacro(趋势)携手,而微软则采用直接购买其他反病毒企业的方法。
正因如此,无论是国内的传统防火墙厂商,抑或是新兴的UTM(统一威胁管理厂商)为了即扩展反病毒能力,又不承担庞大的病毒引擎研发分析成本,都在其安全产品中不约而同的嵌入了来自于第三方反病毒厂商的引擎;前者多以新型防火墙为主营业务,后者则以新兴UTM架构为主打,市场上一时间风生水起,一片叫好之声;甚至就连长久以来被人所指责的“网络病毒检测过滤性能瓶颈”也随着ASIC专用芯片、多核NP等硬件技术的应用而号称“已经解决”。
根据比较可靠的资料分析,国内比较有代表性的安全厂商为了迅速扩展产品线,或者提升产品能力,分别采用过OEM国外反病毒厂商成型产品(贴牌),或选择在自身现有产品拟上嵌入第三方反病毒引擎的方法,也有的厂商产品线较长,采用OEM+自身产品嵌入引擎,两条路并举的方式大力扩张产品线。
如下表所列:
国内代表性信息安全厂商—OEM合作伙伴 ————引擎合作伙伴
天融信—————————|Fortinet(飞塔) |Kaspersky(卡巴斯基)
启明星辰————————|—————————| Antiy Labs(安天)
联想网御————————|Fortinet(飞塔) |————————
网御神州————————|Fortinet(飞塔) |————————
方正——————————|———————— |Panda(熊猫)
中兴通信————————|Fortinet(飞塔) |————————
华赛——————————|———————— |Symantec(赛门铁克)
东方华盾————————|———————— |Kaspersky(卡巴斯基)
深信服—————————|———————— |F-Prot
网新易尚————————|Fortinet(飞塔) |————————
交大捷普————————|Fortinet(飞塔) |————————
金山卓尔————————|———————— |Sophos、kingsoft(金山)
由统计可以看出,基本上第一阵营、第二阵营传统信息安全厂商中的一半以上OEM飞塔的防毒墙,而采用嵌入引擎的方式则种类繁多,包括国外的卡巴斯基、赛门铁克、Sophos、F-Prot以及国内的金山、安天等在内,而三线厂商则更有采用廉价但粗糙的开源的反病毒引擎ClamAV的解决方案。
诚然,媒体乃至业界、第三方调研机构对于此类安全产品的推崇有其自身的考虑,但无论何种安全产品形态,最终必须要满足至少两个方面的诉求:一方面使最终客户的安全运维成本进一步下降、投资回报率提升,这是源自于最终客户的安全诉求;另一方面,对于厂商而言,其无形声誉、营销利润等需要稳步上升,走入良性发展道路,这是源自厂商对未来的发展诉求。
那么,是否在一片“歌舞升平”中,上述诉求就得以满足呢?
本文将从三个方面来分析防火墙、UTM产品中嵌入第三方反病毒引擎的利弊之处:
1. 嵌入第三方反病毒引擎的不足之处
2. 新型防火墙、UTM产品的设计及服务流程缺陷
3. 硬件架构的喜忧参半
第一, 嵌入第三方反病毒引擎的不足之处
首先,从反病毒引擎自身来看,其自身一定存在安全漏洞,从来自Securityfocus安全组织的不完全统计来看,其漏洞主要类别包括但不限于以下所列:
l 反病毒引擎在处理特殊文件格式(如:畸形ZIP、ARJ、CHM等)时被欺骗;
l 基于代理方式的反病毒引擎(如:FTP代理、SMTP代理等)可被精心绕过;
l 反病毒引擎在处理特殊报头时(如:MIME、PE等)被拒绝服务攻击DoS;
l 反病毒引擎自身存在缓冲区溢出漏洞(如:Sophos中的veex.dll等)。
那么,引擎自身存在漏洞,对于反病毒厂商而言,其响应、修复往往需要一个周期,短则数日,长则以月来计算;而对于嵌入第三方反病毒引擎的安全产品,其修复补丁的发布与安装势必滞后一段时间;尤其是对于部署在生产环境中的安全设备而言,其所遵循的配置管理、变更管理策略更对升级需要进行多次审核。
因此,对OEM其他产品或者嵌入第三方反病毒引擎自身漏洞的响应不力、无法及时修复,将为该客户以及厂商本身带来一定的风险。
以下为反病毒引擎部分安全漏洞附表:
Fortinet(飞塔) Fortinet Fortigate绕过CRLF字符串URL过滤漏洞
2008-01-15
http://www.securityfocus.com/bid/27276
Fortinet FortiGate绕过URL过滤漏洞
2008-01-04
http://www.securityfocus.com/bid/16599
Fortinet FortiGate绕过FTP代理反病毒引擎漏洞
2006-06-21
http://www.securityfocus.com/bid/18570
Fortinet FortiGate绕过反病毒引擎漏洞
2006-03-02
http://www.securityfocus.com/bid/16597
反病毒引擎魔法字节检测欺骗漏洞
2005-10-25
http://www.securityfocus.com/bid/15189
构造畸形压缩文件包欺骗漏洞
2005-10-08
http://www.securityfocus.com/bid/15046
Kaspersky(卡巴斯基) 卡巴斯基反病毒引擎CHM文件解析远程缓冲区溢出漏洞
2005-10-10
多个卡巴斯基产品中的kl1.sys文件本地栈缓冲区溢出漏洞
2008-06-04
http://www.securityfocus.com/bid/29544
卡巴斯基反病毒引擎ARJ格式远程堆溢出漏洞
2007-04-09
http://www.securityfocus.com/bid/23346
卡巴斯基反病毒扫描引擎PE文件拒绝服务漏洞
2007-01-08
http://www.securityfocus.com/bid/21901
Sophos Spophos MIME附件拒绝服务漏洞
2008-07-10
http://www.securityfocus.com/bid/30110
Sophos CAB、LZH、RAR文件扫描欺骗漏洞
2007-09-06
http://www.securityfocus.com/bid/25574
Sophos多个拒绝服务与内存消耗漏洞
2007-07-27
http://www.securityfocus.com/bid/20816
恶意构造畸形ZIP文件扫描欺骗漏洞2007-02-20
http://www.securityfocus.com/bid/12793
Sophos反病毒引擎中Veex.dll存在多个缓冲区溢出漏洞
2006-12-15
http://www.securityfocus.com/bid/21563
Sophos库Visio扫描远程堆溢出漏洞
2005-07-25
http://www.securityfocus.com/bid/14362
这实际上给所谓的信息安全国产化带来了非常微妙的影响,试想如果在国家保密部门所采用的国货,只是一个国产品牌,而里面的技术内核,有关厂商并不掌握。就算只是在自有防火墙/UTM嵌入国外反病毒引擎,也等于引入了一个安全未知量。
其次,从反病毒引擎的应用环境来看,传统反病毒引擎+防火墙的方法,并非是网络反病毒的有效解决方案。单机版的反病毒产品与网关反病毒产品理应有所不同,单机上以文件
