一、SGS5400概述

　　2001年7月，红色代码的出现震撼了整个Internet世界，它首次将传统病毒原理和传统黑客攻击原理巧妙的结合在一起，将病毒复制、蠕虫蔓延、漏洞攻击、DDoS攻击、遗留后门等等攻击技术综合在一起，开创了一类新型网络威胁模式――混合威胁（Blended Threats ）。混合威胁标志了网络威胁发展的新阶段。近期，以冲击波为代表的一系列混合威胁又表现出一个新的发展趋势，即传播非常迅速。混合威胁的攻击手段多样决定了我们选择的防护手段必须全面，必须防病毒、防黑客多技术综合。而混合威胁传播速度迅速，将让所有基于响应的安全技术的防护效果变得越来越差，甚至失去作用，因此必须要有智能而不基于响应的防护技术。

　　　Symantec Gateway Security 5400 是赛门铁克最新一代的防火墙设备（如下图示），它正是为了满足用户应对当前网络威胁的需求而推出的力作。作为业界最全面的防火墙设备，它将全封包检查防火墙、基于协议异常和基于特征的入侵防御及入侵检测引擎、获奖的病毒防护、基于 URL 的内容过滤、反垃圾邮件以及符合 IPsec 的VPN技术无缝地集成在一起。

　　当数据包通过Symantec Gateway Security 5400时，Symantec Gateway Security 5400运用各项安全防护技术对其进行检查、处理和控制。首先如果有活动的 VPN 会话，VPN技术会先解密数据包并将其放入数据流；接着，基于协议异常和基于特征的入侵检测技术能够迅速检测出各种攻击企图，其中基于协议异常的入侵检测技术能够检测出新出的未命名的未知攻击（即具备了不基于响应的防护能力），并立即阻止该数据包；然后，全封包检查防火墙执行深入的数据包检查，防火墙应用代理打开并检查应用层协议数据包，对这些数据包进行检查的目的是确保其符合适用的 RFC 和有效语法，这种应用层的深入检查可以检查出许多新出的未知的蠕虫和混合威胁（也是一种不基于响应的防护行为）；随后内容过滤技术会将源 IP 与禁止的网站列表加以比较进行URL过滤，如果是SMTP数据包还按照主题行文本、附件文件名类型和邮件大小以及垃圾邮件黑名单来主动禁止电子邮件实现反垃圾邮件；如果数据包基于 HTTP、FTP 或 SMTP 协议，最后将文件和附件发送给病毒扫描引擎，该扫描引擎如果发现病毒，则对文件进行修复或将其丢弃。如果通过上述所有检查，Symantec Gateway Security 5400将允许该数据包进入或离开网络。处理过程如下图所示：
　　　
（图： SGS5400各组件结构）
另外，Symantec Gateway Security 5400 提供了强大安全防护能力的同时还提供了管理简易、扩展方便等特性，更有吞吐量高达千兆级的卓越处理性能。参考附录《SGS5400设备各型号参数对照表》。
一旦有了这样的一个先进防火墙设备就能够将病毒、蠕虫、黑客攻击、混合威胁统统阻挡在网络之外，象一把大大的安全伞给内部网络用户撑出一片宁静的天空。

二、SGS5400之防火墙、VPN功能说明

首先，Symantec Gateway Security 5400提供全封包检查防火墙功能和基于 IPSec协议簇 的VPN功能，且都通过 ICSA 认证．
首先，作为防火墙，Symantec Gateway Security 5400通过为速度和安全设计的独特的混合架构——具有包过滤、状态检测和应用代理三种工作模式，对进出网关的数据实施7层的全面检查和控制。管理员可以配置使其运行于应用代理、状态检测、包过滤之一的单一模式下，也可以运行在多模式混合应用的状态下。这种全封包检测防火墙可以在网络协议层的多层提供安全检测，对数据包进行包头、包内容的全面检测，比起绝大多数防火墙更加安全。Symantec Gateway Security 5400的其他6项功能均是在此基础上使用的。

　　包过滤和状态检测技术是较为常见的两种防火墙技术，它们对数据包的安全检查都只看包头部分，而不深入检查数据包的协议负载内容，因此相对来讲它们的特点是处理速度较快但安全性较低。

　　应用代理技术是安全性最高的一种防火墙技术，Symantec Gateway Security 5400的首选工作模式就是应用代理工作模式，应用代理打开并检查应用层协议数据包，对这些数据包进行检查的目的是确保其符合适用的 RFC 和有效语法，否则阻止其通过。此外，灵活的协议实施使您能够在支持某些命令的同时禁止其他命令（如支持 HTTP 读操作，但禁止 HTTP 写操作），这种应用层的深入检查可以检查出许多新出的未知的蠕虫和混合威胁（是一种不基于响应的防护行为）。

　　Symantec Gateway Security 5400提供6到8个网卡，可以同时控制多个网络之间的数据流量，为确保安全，它默认使用应用代理工作模式，而为提高处理速度可以将一些内部网络之间的控制改为由包过滤或状态检测工作模式来处理。

　　Symantec Gateway Security 5400大大简化管理负担，对防火墙访问控制规则采用特殊的自动最佳匹配技术，这样无需严格安排各条规则的先后次序，从而大大降低管理员配置规则的出错率。同时， Symantec Gateway Security 5400防火墙功能提供多种身份认证方法供管理员选择，如：OOBA （带外认证）、LDAP服务器、BellCore Skey、Gateway Password、CryptoCard,及SecureID等。它还支持TACAS+ 及Radius认证协议。

　　Symantec Gateway Security 5400的VPN功能基于IPSec协议簇，支持“网关到网关”VPN连接和“客户端到网关” VPN连接。其中，加密算法支持安全的 128、192 和 256 位高级加密标准 (AES) 、168 位数据加密标准 (3DES) 和 56 位数据加密标准 (DES) ；完整性校验算法支持MD5和SHA-1。

　　VPN技术直接将加密过的数据通过公网传送，有助于降低远程通信成本，但VPN隧道只保证了数据不被通信双方以外的人偷看，并不能阻止通信一方发送有威胁的数据包到通信的另一方。为此，Symantec Gateway Security 5400特别提供一个叫“VPN ProxySecured”的技术，对通过VPN隧道传输的数据包再其被解密后，继续接受全面的安全检查，通过检查的数据包才最终被送到目标地址。这样就解决了VPN隧道的安全隐患问题。

三、SGS5400之防病毒功能说明

　　Symantec Gateway Security 5400同时提供对企业至关重要的网关防病毒功能。病毒一旦进入企业网络内部往往会四处蔓延、互相传播，从而极大消耗网络带宽和用户系统资源，所以在网络与外界的网关位置检测处理病毒，不让病毒流入企业网络，网络内部资源将得到最大的保护。

　　Symantec Gateway Security 5400中集成了著名的赛门铁克病毒扫描引擎，对需要扫描的流量直接做到“盒中（On-Box）” 扫描，无需调用任何外接的扫描服务程序，因此处理效率很高。集成其中的赛门铁克病毒扫描引擎采用了大量屡获国际性大奖的赛门铁克的防病毒独有技术。例如：

1. Bloodhound（侦探）启发式扫描技术
2. 神经网络技术－检测和修复引导型未知病毒技术
3. 宏病毒自动分析修复技术
4. Striker32（打击）检测处理多态病毒技术
5. NAVEX模块化升级技术

　　Symantec Gateway Security 5400在网关位置主要针对HTTP、SMTP和FTP数据流进行病毒处理。因为HTTP、SMTP和FTP数据流几乎占了企业数据流总量的80％以上，而且这三种数据流也是病毒传播的主要载体。当然，用户可以在Symantec Gateway Security 5400中指定这三种数据流中的哪些文件类型需要做病毒扫描，而哪些类型不需要做病毒扫描，默认情况是“除了排除列表中所列的类型文件不扫描，其他类型的文件都要扫描”。对于SMTP数据流，Symantec Gateway Security 5400的防病毒功能更可以提供细化的控制处理，例如对最大邮件整体大小、最大邮件附件大小、邮件附件名称等等。而病毒扫描发现病毒后的后续响应可以选择“修复感染病毒的文件”或者“删除感染病毒的文件”。

　　Symantec Gateway Security 5400内置了LiveUpdate技术模块，通过LiveUpdate技术可以手动执行或者自动调度执行病毒定义码的升级，由于使用了NAVEX模块化升级技术，每次LiveUpdate执行时，能够同时升级病毒定义码和病毒扫描引擎。这样，大大简化了用户的防病毒维护工作量，使得用户可轻松保持最新最强的病毒防护能力。

　　Symantec Gateway Security 5400的防病毒功能由全球最大的赛门铁克防病毒研究中心（SARC）提供后端支持。在SARC有全球计算机防病毒最具权威的专家队伍在不间断的工作。SARC采用数字免疫系统不间断地在世界范围内主动搜索，或收集来自用户的病毒样本，然后立即开发病毒定义和修复方法，以便在网络用户遭病毒侵害之前，发现病毒并消除其危害，给全球用户提供最快、最强大的病毒防护能力。

四、SGS5400之内容过滤及反垃圾邮件功能说明

　　Symantec Gateway Security 5400提供可选择的内容过滤功能。基于一些重要的原因，内容过滤功能成了网关安全的一种需要，例如：内容过滤可以节约网络带宽、内容过滤可以避免员工访问危险的网站、内容过滤可以保障机密信息的安全等等。

　　Symantec Gateway Security 5400的内容过滤功能分为动态和静态内容过滤。Symantec Gateway Security 5400提供WEB站点分类，用户可以根据这些分类进行有针对性的允许或限制访问，从而达到内容过滤效果，例如在上班时间限制访问在线游戏类WEB站点，而这些分类中具体的WEB站点名单则是以Liveupdate自动方式从赛门铁克不断获得更新。这种功能称为动态内容过滤。

　　同时，Symantec Gateway Security 5400提供用户可自定义的静态内容过滤机制，可以基于以下条件进行手工指定来实现内容过滤：

1. URL地址
2. MI ME类型
3. 文件扩展名
4. 新闻组
5. 新闻组分类

　　Symantec Gateway Security 5400还提供反垃圾邮件功能。近年来，垃圾邮件是一个日益突出的安全问题。垃圾邮件是指不请自来的邮件，轻的说它是让人烦的东西；重的说它会消耗网络带宽和服务器资源并传播不良甚至攻击性的内容而造成网络用户的重大损失。

　　首先，Symantec Gateway Security 5400可以根据已知的垃圾邮件发送者黑名单进行发送者检查，一旦发送来自黑名单上的来源立即采取拒绝操作。
其次，Symantec Gateway Security 5400的SMTP协议安全代理模块具备内置的深入的SMTP控制功能，例如，SMTP命令检查、ESMTP命令检查、硬或软接收限制、畸形邮件头处理等等。通过这些强制控制可以限制许多潜在垃圾邮件的进入。
最后，通过邮件控制高级选项也能够迅速的达到反垃圾邮件的效果。邮件控制高级选项包括了：

1. 邮件大小
2. 邮件附件大小
3. 邮件附件扩展名
4. 邮件主题
5. 邮件正文信息

适当的指定这些高级选项，直接对邮件的这些主要属性进行检查，对蠕虫或混合威胁爆发时发出的大量有害垃圾邮件特别有效果。

五、SGS5400之入侵检测及入侵防护功能说明

　　Symantec Gateway Security 5400提供可选择的入侵检测及入侵防护功能。网关是抵御外部网络攻击的第一道防线，因此网关应该具备能够识别网络攻击并且及时阻止网络攻击的能力，这对整个企业网络安全都很重要。

　　Symantec Gateway Security 5400在整个设备对数据包的处理流程中也的确是排在最靠前的。当一个数据包到达网卡后，首先必须有入侵检测的各个模块对其进行分析，一旦发现其中带有攻击企图立即让入侵防护模块采取响应措施。只有经过了“入侵检测及入侵防护”这一关的数据包才继续进行后续的防火墙规则的应用处理。这种“IDS/IPS和防火墙串行”的方式解决了传统网络入侵检测的缺陷，即传统网络入侵检测只能旁路监听响应不力，传统入侵检测与防火墙联动常有误操作的问题。

　　基本的，Symantec Gateway Security 5400的网卡由于绑上了一个特别的驱动程序，这样可以直接配置网卡使其能够检测和阻止SYN Flood、IP碎片攻击、端口扫描、IP地址欺骗等攻击行为。

　　Symantec Gateway Security 5400的高级入侵检测及入侵防护技术则使用的是与Symantec Manhunt相同的技术，因此具备同样卓越的检测能力和处理效率。它使用了综合智能检测技术，包括了协议异常检测、流量异常检测和攻击签名比对等6种检测技术。协议异常检测技术是最先进的最高效的入侵检测技术，它可以检测各种违反RFC协议规定的攻击，甚至于未知的“0天”新攻击。流量异常检测技术可以通过统计分析技术检测“DoS”攻击和各种“Flood”攻击。同时，Symantec Gateway Security 5400还提供常规的攻击签名比对技术，可以准确记录攻击类型和名称。而且，协议异常检测技术用到的协议状态机和攻击签名比对技术用到的攻击签名都可以方便的通过赛门铁克独有的Liveupdate机制进行自动智能升级。IDS/IPS配置菜单示意图如下：
　　
（图：IDS/IPS配置菜单示意图）

　　Symantec Gateway Security 5400的入侵防护提供的响应方式有：阻止、通告和黑名单等三种。Symantec Gateway Security 5400根据安全专家经验对一些类型的攻击默认使用“阻止”响应方式，而对另外一些类型的攻击默认没使用“阻止”响应方式，当然用户随时都可以修改这些攻击响应方式。例如，可以使用EMAIL、Pager信息、Log记录等通告方式，也可以使用黑名单方式将攻击者信息传递到网络中其他的Symantec Gateway Security 5400上，让它们能够及时阻止其攻击。

　　Symantec Gateway Security 5400专门提供了“IDS Alert”界面来快速搜索和查看入侵检测事件，甚至提供捕获的攻击包的详细内容以供安全人员分析。另外，Symantec Gateway Security 5400提供了方便的IDS/IPS配置报告，可以让用户一目了然当前IDS/IPS的配置情况；Symantec Gateway Security 5400还提供了IDS/IPS检测到的事件报告，这样对入侵事件的详细内容可以备份和打印 ．

六、SGS5400之管理特性说明

　　Symantec Gateway Security 5400提供了许多方便的、实用的管理功能。
Symantec Gateway Security 5400提供了一个新的、基于 Web 的安全接口 (SSL) 实现的控制台： Symantec Gateway Management Interface （以下简称SGMI），使管理任务变得更轻松、更方便，几乎可以随时随地对Symantec Gateway Security 5400设备进行管理。此外，Symantec Gateway Security 5400还可以与赛门铁克安全管理系统控制台（SESA）无缝集成，从而在SESA控制台上集中使用一系列针对Symantec Gateway Security 5400的高级管理和报告功能。当然，Symantec Gateway Security 5400同样提供通过设备串口或通过SRL安全的TELNET远程访问工具来执行的命令行管理方式，以备某些特殊情况下使用。两种管理界面示意图如下：
　　
　　
（图：SGS5400管理界面示意图）

通过SGMI管理界面中一个专门的License管理菜单，用户可以很方便的管理Symantec Gateway Security 5400中的各种安全功能License文件。由于Symantec Gateway Security 5400已预装了所有的安全功能模块，用户通过增加或更换License就可以方便的扩展和维护安全功能，而无需增加部署和维护工作量。

　　Symantec Gateway Security 5400使用了赛门铁克成熟的应用广泛的Liveupdate技术来自动获取Symantec Gateway Security 5400各种功能组件的最新安全更新，例如病毒定义码、URL列表、入侵检测特征等等，这样不仅方便、而及时，更能够做到对新的安全威胁的全面响应。

　　在SGMI管理界面中，管理员可以直观的查看当前活跃的连接以及每个连接的详细属性；在“当前日志”界面中，可以自动动态显示最新的一屏日志记录，并且提供日志过滤按键来快速查看各种分类的日志；每天的日志会自动按日期归档保存，以便将来随时调出查看；每条日志都会有详细信息，例如出自哪一个功能模块、具体时间、源与目标地址、事件轻重级别等等；对于严重级别的事件还可以配置通知功能，使用EMAIL、SNMP Trap等方式来通知其他安全设备或通知管理员。

　　Symantec Gateway Security 5400使用两种方式来备份当前配置信息，一种是使用配置报告，即Symantec Gateway Security 5400自动将各种功能的菜单配置项汇总成一页或多页文本格式的报告，可以让用户方便的打印到纸面来保存；另一种是将当前配置信息用“备份”菜单导出成为一个“* . bk”的文件，此文件无法阅读，但是只要它被“恢复”菜单重新导入Symantec Gateway Security 5400，那么Symantec Gateway Security 5400立刻恢复成备份时的那种配置。
如果Symantec Gateway Security 5400整个系统遭受破坏，用户也可以快速恢复系统，用随机附带的系统恢复光盘和简单的恢复步骤指导，在10分钟内即可完成。

七、SGS5400实际应用案例研究

　　SGS5400上市以来，已经在很多用户网络中使用，对企业网络边界防护和提高全网安全级别做出了很大贡献。以下就一个典型的实际应用进行案例研究。
XYZ公司，总部设在北京，在全国有3个分公司。网络现状是：仅在总公司的Internet出口部署了一个简单的包过滤防火墙，各分公司没有防火墙，总公司和分公司之间没有安全的互相访问机制，网络中蠕虫病毒和垃圾邮件很多，WEB和邮件服务器时常遭受外部黑客攻击，而财务服务器也遇到内部的攻击企图，整体安全情况很不理想。

　　根据以上情况，安全专家做了如下建议：
对于总部，在Interne连接处用一台SGS5400（包括防火墙、VPN、入侵检测及防护、防病毒、反垃圾邮件功能）替换原有的包过滤防火墙，同时用它建立一个DMZ区，将一些需要对外公开的服务器放入DMZ区。另外，对财务部门和其他内部重要的服务器也使用一台SGS5400来单独重点保护，此SGS5400包括防火墙、入侵检测及防护功能。此建议方案的效果是：控制Internet通讯，阻止各种外来黑客攻击和病毒、蠕虫以及垃圾邮件；提供和分公司的VPN连接，提供移动用户的VPN接入；对DMZ区和内部网络区别看待，使用不同的安全控制规则；而专职保护财务部门和重要服务器群的SGS5400可以抵挡来自企业内部的不恰当访问请求和攻击企图。

　　对于分公司，在Interne连接处部署一台SGS5400,包括防火墙、VPN、入侵检测及防护、防病毒功能。此建议方案的效果是：控制Internet通讯，阻止各种外来黑客攻击和病毒、蠕虫；和公司总部建立VPN连接实现廉价又安全的内部资源访问。

　　由于SGS5400数量较少，而且各分公司没有专职的安全管理人员，因此SGS5400的管理则由公司总部的安全管理员集中负责，公司总部的安全管理员可以统一规划和实施本地及远程的SGS5400的安全配置，并随时监控它们的运行状态。
建议方案的整体部署示意图如下：
　　
( 图：整体部署示意图 )

采用这样的建议方案后，XYZ公司的网络整体安全状况大大提高，网络运作稳定，病毒蠕虫事件骤减，全公司各机构资源共享畅通且安全。

附一、SGS5400主要技术特点列表

• 顺序无关的最佳匹配防火墙规则设定

　　Symantec Gateway Security 5400系列的防火墙功能独到之处在于采用“最佳适配”规则系统。管理员可以按任意顺序创建访问控制规则（顺序无关），防火墙会自动按照最安全的策略选择并解释执行规则。

• 自行进行系统安全配置

　　大部分防火墙对自身安全性考虑的很少。Symantec Gateway Security 5400系列的特别在于不仅在系统初安装时自动进行加强系统自身安全性的工作，同时实行持续安全性检查，不断的发现并终止、记录不安全行为。在安装以及运行时自动进行系统自身安全配置与监控，可以减少因系统管理员的失误而带来的威胁。

• 智能应用代理技术

　　多数具有较强破坏力的复杂攻击是对应用数据流的攻击，而不是仅仅在IP层，所以对应用数据和协议命令的控制是非常必要的。Symantec Gateway Security 5400系列使用智能安全代理，对IP应用（例如FTP，SMTP，SQL*NET）独立控制，保证只有合法的协议命令和数据才能通过。例如Symantec Gateway Security 5400系列防火墙可以抵制SMTP 后门命令和FTP、 SMTP和HTTP 数据流中存在的缓冲区溢出攻击。
在四种防火墙技术中，应用代理技术的安全性远高于包过滤、状态检测、链路型网关，示意图如下：
　　

• VPN中的ProxySecured技术

在VPN功能中增加ProxySecured安全技术，Symantec Gateway Security 5400系列可以为VPN用户提供增强的用户认证、同时为VPN通道制定更加安全和复杂的安全策略，确保及时阻止来自VPN通道的各种攻击企图和违反策略行为。

• 综合型（Hybrid）入侵检测技术

由于攻击和漏洞变得越来越诡秘，侵入性越来越小，传统的IDS产品无法识别相互协调、秘密探察的策略。Symantec Gateway Security 5400系列综合检测结构提供了一系列检查方法来增强攻击识别功能，Symantec Gateway Security 5400系列结合协议异常检查、流量速率监控、协议状态跟踪和IP数据包重组、第三方信息获取等功能，来达到最佳的检测效果。

• 及时全面的入侵防护

根据需要配置入侵防护响应，可以选择阻止 （ Gating ）、使用黑名单（Blacklisting）、通知（Notification）等响应模式轻松完成入侵防护。

• 赛门铁克著名的防病毒技术

1. 防病毒最权威评测--病毒公告板连续19次荣获“VB 100% 奖”。
2. 数字免疫系统 – 全球范围自动化的响应
3. 未知病毒的防护– 启发式侦测技术

•  多种机制的内容过滤

通过多种机制，提供功能全面的内容过滤

• HTTP内容分类控制
• URL列表
• MIME类型
• 新闻组
• 文件扩展名

•  主要特点概括：

1. 具有七种必要的企业安全功能，集成了防火墙、基于协议异常和基于攻击特征的入侵防御及入侵检测、著名的病毒防护、基于 URL 的内容过滤、反垃圾邮件以及符合 IPSec 标准的 VPN 技术。
2. 提供全面的网络防护，既能保护连接Internet的网络，又能保护连接广域网或局域网的子网。
3. 提供集中式管理，通过集中的日志记录、警报、报告和策略配置简化网络安全的管理
4. 具有集成的高可用性和负载均衡选件，能够满足任何规模的组织的性能要求
5. 具有三种高性能的型号，可提供从 200 Mbps 到 3.5 Gbps 以上的吞吐量范围
6. 通过赛门铁克安全响应中心－世界领先的互联网安全研究和支持组织的 LiveUpdate技术，提供自动安全更新

SGS5400各型号设备参数对照表