趋势科技网络病毒墙 ( NVW ) 解决方案

I概述

如今的网络恶意攻击，诸如网络病毒和互联网蠕虫的四处蔓延已使现有的安全防范措施捉襟见肘。这些网络恶意攻击是危险的，因为它们在网络层传播，无法通过传统的病毒码文件方法来检测，且通常是利用操作系统和软件程序的漏洞发起攻击。虽然厂商们针对这些漏洞发布了补丁程序，但大多数公司通常都无法真正应用这些补丁，因为他们要花很多时间来从众多的设备中确定哪些设备需要打补丁，有时还会怀疑厂商提供的补丁是否可靠。此外，这些网络恶意数据包在传播过程中要使用网络资源，从而造成网络带宽严重拥塞，降低了企业的生产效率。

现有传统防病毒理念无法有效抵御当前的网络病毒恶意攻击，因为它们只能对威胁进行监控而无法及时提供可靠的信息来帮助 IT 管理人员防御或遏制攻击，或在安全威胁渗透进入网络后采取及时的行动。IT 管理人员在遏制这些攻击时遇到的共同问题包括：  

●没有足够的信息来确定相关的漏洞打补丁的优先顺序

●无法准确、快速的获得最新的病毒预警

●无法隔离未安装补丁程序和/或被感染的机器以防止病毒传播

●防毒产品的部署率没有达到100%，某些客户机或服务器没有安装防毒软件

●病毒代码库的更新速度永远赶不上病毒传播的速度

●很难精确定位感染源并管理整个公司网络的远程清除工作

●无法判断移动（笔记本）用户从外部把病毒带到办公室里来

●远程办公用户通过与公司建立的连接（安全或不安全）将病毒带到公司内部

●无法对不符合安全策略要求和已感染设备的网络访问进行控制

因此最新的网络蠕虫传播已经不再需要借助文件系统了，传统的防病毒措施已经不能适应新的网络安全需求，再加上防病毒及安全策略的统一强制实施比较困难，当病毒进入到企业内部会发生:

●内部的网络流量突然暴长，瞬间到达锋值

●没有任何办法将这种网络流量降下来，除非找到染毒的机器并把所有感染病毒的系统都关掉，或将他们从网络中隔离开（把网线拔掉）

●为了避免病毒传播到，只有将邮件服务器或者网关服务器停机

●直到了解了病毒的具体信息才知道该采取什么措施

●费大量人力去手动一台一台的去清除已经感染了病毒的系统（采用病毒专杀工具），将病毒/蠕虫程序或木马程序清除出系统

●如果新的病毒代码或者已知安全漏洞的补丁没有被100%部署的话，第二波病毒爆发很有可能会卷土重来

上述问题造成目前IT 管理人员非常被动与非常没有安全感，如何能够有一个让IT 管理人员放心、安心的网络安全解决方案已经成为越来越重要的课题。针对这些目前传统防病毒产品无法很好解决的问题，趋势科技推出了业界唯一一款在网络层阻挡网络病毒的硬件产品 - 趋势科技™网络病毒墙™（Trend Micro™ VirusWall™） - 这是一款病毒爆发安全防护设备，采用部署在网络层的趋势科技网络病毒墙，可以阻挡网络病毒（如互联网蠕虫），在病毒爆发前和爆发期间识别高危险性的安全漏洞，在病毒进入网络时隔离和清理包括未受保护的设备在内的感染源。网络病毒墙能够在整个企业组织范围内强制实施统一的防毒安全策略，精确地定位和远程自动或本地清除网络中的感染源，帮助 IT 管理人员降低安全风险，最大限度地缩短网络停机时间，减轻病毒爆发带来的管理负担。

II趋势科技网络病毒墙功能特色

A.NVW的价值所在

●防毒产品

规则式的过滤策略         

病毒码比对侦测

清除工具

●入侵检测

监控通讯协议的异常                

检测行为异常

过滤恶性程序造成的流量

●防火墙 

特定端口的紧急封闭

IP网段的阻挡

协议类型的阻挡

●安全管理策略

防毒产品是否安装

防毒产品升级是否到位

补丁(系统补丁/应用补丁)更新是否实时

NVW的价值就是在于可以同时达到这四个方面的功能，能够有效的解决网络蠕虫病毒的问题，更重要的是在不需要变更企业现有的网络架构，就可以轻松的完成这个让人头痛的问题

B.NVW的功能

●网络病毒爆发时的紧急应变处理

IP地址阻挡：能够阻挡特定的IP地址—或者是单一的IP地址或者是一个IP地址段；

各种协议的阻挡：Network Viruswall可以阻挡TCP/UDP/ICMP协议。除此之外，Network Viruswall还可以阻挡特定的端口：或者是一个端口，或者是一个端口范围；

即时通讯工具的阻挡：Network Viruswall可以阻挡MSN/Yahoo/ICQ/AIM；

文件传输的阻挡：Network Viruswall可以阻挡FTP/HTTP/NetBIOS-SSN，可以根据文件名字，也可以根据文件扩展名；

网络病毒的扫描：实时扫描通过网络的每一个数据包来检测网络病毒。采取主动的措施来减轻可能存在的攻击或即将来临的病毒大爆发；

●网络流量异常的监控

Network Viruswall可以监控网络中的异常流量，同时自动的将报警发送给网络管理员；

●强制执行安全管理策略

计算机系统的现有防病毒软件病毒码过期（针对趋势科技的Officescan和ServerProtect）:可以执行的策略：

A.将该计算机或该群计算机与网络隔离；

B.允许该计算机或该群计算机与网络联通，但一旦该计算机或该群计算机与网络联通，会自动转到Network Viruswall设置的特定URL；

计算机系统安装了第三方防病毒软件（针对Norton和MCAfee）: 可以执行的策略：

A.将该计算机或该群计算机与网络隔离；

B.允许该计算机或该群计算机与网络联通，但一旦该计算机或该群计算机与网络联通，会自动转到Network Viruswall设置的特定URL；

计算机系统未安装任何防病毒软件：可以执行的策略：

A.将该计算机或该群计算机与网络隔离；

B.允许该计算机或该群计算机与网络联通，但一旦该计算机或该群计算机与网络联通，会自动转到Network Viruswall设置的特定URL；

计算机系统运行的是非Windows系统：可以执行的策略：

A.将该计算机或该群计算机与网络隔离；

B.允许该计算机或该群计算机与网络联通，但一旦该计算机或该群计算机与网络联通，会自动转到Network Viruswall设置的特定URL；

●紧急情况的网段隔离

当网络处于病毒大爆发的情况下，Network Viruswall能够将已经被感染的计算机群和现有的网络隔离，以确保病毒不至在网络中形成交叉感染而造成网络大面积瘫痪；

●安装简便--即插即用

只需要将Network Viruswall接入到你的网络内部，Network Viruswall既可以发挥防病毒作用；

●自动注册到TMCM控管服务器

Network Viruswall可以自动注册到TMCM控管服务器，只需要在预配置Network Viruswall阶段，在Network Viruswall中设置TMCM控管服务器的信息；

●内嵌防火墙保护自身系统

Network Viruswall内嵌的防火墙可以阻挡外来的针对Network Viruswall自己的攻击；

●组件更新的便捷

Network Viruswall可以通过TMCM控管服务器或者通过自身更新到网络病毒扫描引擎，网络病毒病毒码，病毒爆发防御策略规则；

●Damage Cleanup Service的支持

Network Viruswall可以向TMCM服务器发送清除病毒的请求，通过DCS自动地清除已经被感染的计算机；

●检测系统/应用安全漏洞

针对微软操作系统和应用系统的安全漏洞，对PC机和服务器的系统状态做实时检测，将存在漏洞的计算机隔离并且重定向到安装系统补丁的界面。

III哪些问题可以让我们定义出NVW的价值

A.准备正确的信息

要体现NVW的真正价值，我们一定要先把现今网络安全的情况很清楚而正确的让客户知道，因为NVW是一项全新的网络设备，我们必须让客户用全新的防毒观念来审视NVW那才会是成功的第一步

●了解客户的痛

网络病毒(尤指Worms)的不断骚扰 - 让人觉得永无宁日

没完没了的系统弱点排查和治理工作 - 让人望而却步

安全管理策略的执行往往流于形式，无法发挥效力 - 随时面临旧病复发的风险

●定义客户的期许

完全防护的网络病毒安全解决方案是不存在– 从一次又一次的网络病毒爆发，就可以明白要完全防住网络病毒是不可能的，不管是采用了多少种的安全产品，只要企业的网络有对外的连接，就无法被完全防护，因为这种攻击可能是透过系统/应用的未知漏洞(例如Sasser、MSBlaster、SQL_Slammer)，有可能是透过企业网络对外连接的端口( 例如25、80 )，有可能是外部的计算机连接到企业内网(例如客户/厂商/分公司的出差人员)，有可能是内部员工的有心或无心的不当操作…这一切不管是网络病毒攻击(系统/应用有哪些漏洞?) 、网络骇客的远程攻击(何时有网络大战?) 、外部机器的隐忧(哪里会有外来的计算机?) 、内部管理的困难(为何就是有人不遵守规定?)都是无法确定的未知数，也就是这些未知数造成完全防护的网络病毒安全解决方案是不存在，我们一定要让客户清楚这些事实

可以放心安心就是最优秀的网络病毒安全解决方案 – 那如果没有完全防护的解决方案，客户花钱到底买的是什么呢？我们的能够给客户哪些帮助呢？这时候放心安心就是我们的价值，我们要让客户知道虽然不可能完全防护，但是我们可以让客户发生病毒问题时防止病毒扩散(自动的)、很迅速的处理病毒问题，同时保护企业正常运作，就好像一个医生虽然不能让你都不会生病，但是这个医生可以让你不传染他人同时让你很快的康复，这样的医生就是让大家可以放心安心的医生，让大家可以信任的优秀医生

B.寻找合适的人员

深受网络病毒之苦的人 : 网管员、电子邮件管理员、防火墙管理员、CIO

与Internet接口多的单位 : 

a)IDC,ISP,小区宽带供应商,数据局

b)单位,最好是信息中心,与外单位有多接口

c)所有有大型网络的用户

C.询问下面的问题

透过下面的问题，可以很快的让我们定义出客户的需求是否迫切

您知道网络中,哪台 PC 或是服务器,根本没有安装防毒软件,或是更新病毒码吗？

对那些没有安装防毒软件或更新病毒码的外来机器（如客户、厂商），你有办法立即侦测加以隔离，并强制安装防毒软件吗？

针对那些没有安装补丁程序的机器，你有办法把它隔离吗？

在病毒灾情尚未扩散全公司之前，你能在第一时间部署防范策略/或强行安装吗？

在病毒码尚未制作完成前，你有任何办法预防病毒入侵吗？

在病毒码尚未制作完成前，你有任何办法预防病毒入侵吗？

能否判断网络异常流量，有效识别潜在的网络攻击威胁？

假设你不慎让病毒潜入网络,你可以自动地,清除病毒及其可能植入的后门程序吗？ 

D.保持与大的网络设备集成商的良性互动

NVW是一个部署在公司企业网络设备之间（如：交换机之间或交换机和集线器之间）的网络设备，而且不会影响企业现有的网络架构，也不会对既有的网络设备造成任何影响，与网络设备集成商的利益是相结合的，因此保持与网络设备集成商的良性互动将有多的机会来创造双赢的局面，请让他们明白:

NVW是一个较低维护成本的设备

与交换机配合,能将单子做大

没有同类的竞争对手

不影响网络效能

不存在单点故障

这是有利可图的新利点

E.了解客户的网络架构

NVW的销售数量与客户的网络架构有绝对的关系，要完成一个放心安心的网络解决方案，就必须将NVW部署到所有的网络节点，对于大型企业(1000u以上)这会是一个很大的投资，而被客户质疑，面对这种质疑有下面几种建议: 

先将NVW部署在有公司重要资源的网段 – DMZ区、CEO办公区、机房

先将NVW部署在公司安全策略较难贯彻实施的网段 – 研发部、技术支持部、培训教室

先将NVW部署在公司门卫的网段– 对进入公司内部的机器进行安全检测

先将NVW部署在专门给外部人员使用的网段

先将NVW部署在公司员工通过VPN联入内部网络的拨接区域

先将NVW部署在公司接入Internet的网关处

遇到千兆环境，可告诉客户趋势科技在10月将提供千兆设备

我们要先让客户把NVW放在最迫切需要的网络节点，先把这些地方保护住，当有病毒爆发时，客户能体验到NVW所发挥的效果，这时客户就会把NVW视为必要的网络设备，这时这个投资是大是小就不会是客户所最在意的事情了

F.定义NVW能够帮助用户解决什么问题

了解了用户安全需求及实际网络应用状况，我们需要判断NVW到底能够帮助用户解决现在所面临的何种问题，以增强用户对产品的信心：

用户表现出对网关防御的忧虑，担心网络病毒直接通过Internet连线攻击企业网络。NVW的病毒数据包过滤功能能够有效阻截这类病毒攻击方式，比较适用于企业的Internet连接、VPN拨接、各分支机构和总部的专线连接等

用户对于企业内部出现的安全漏洞的困扰，如病毒码没有更新、系统补丁没有打或根本连防病毒软件都没有安装。可通过PE(Policy Enforcement)及VA(Vulnerability Assessment)对出现安全漏洞的机器进行处理策略的设定

用户对于事后的病毒清除及恢复很关心，希望能够提高此类工作的效率。NVW可结合DCS实现对感染网络病毒的机器自动清除

用户可能会比较担心在病毒大规模爆发的初期对于网络的冲击，如何进行应急处理。NVW可接收趋势科技的病毒爆发防御策略OPP，在病毒码还未更新之前，就能够对此类病毒的传播途径进行拦截

G.如何针对不同的行业用户推荐

由于NVW的特殊性，我们可以针对不同的行业用户所关心的问题，来满足客户的需求

: 可放在下级单位上联的端口,以避免某一部分网络对相关联单位的影响

教育：放在各区教育局信息中心，管理下连各学校网络

电信：所有省局、地市、县的对外接口处

银行：所有对外的接口处（包括内、外）

小区宽带：需求量大，每个小区，配合交换机设计，简化了管理员管理小区用户的复杂程度 

ISP，IDC：不同用户的增值管理

全国性企业/单位：放在各个广域网出口处

IVNVW的特殊之处

●这是业界首款病毒扩散防御网络设备，NVW同时具备处理网络病毒所需要四个安全类别项目(防病毒、入侵检测、防火墙、安全策略管理)的功能，目前没有任何防毒厂家或是安全厂家的产品可以达到这个功能，也就是说就算客户现在是使用其它的防毒产品，我们也可以卖NVW给客户，同时客户不需要变动现有的防毒架构

●NVW是一个完全可以实现透明桥接的网络设备，即插即用，不需变更现有的网络架构

●通过与趋势科技网络安全控管平台TMCM实时联动，确保管理员能够实时了解到网络中的异常情况：包括异常数据包，被病毒感染的客户机的信息以及处理方式等等。整个网络中所有的Network Viruswall都可以通过TMCM来集中管理，以方便管理员及时掌握网络中防病毒的第一手资料

●运用TrendLabsSM所提供的及时、明确特定的防治策略，来实时预防或围堵网络病毒

V销售NVW所要记住的九件事

●网络病毒（互联网蠕虫），比如正在困扰全球组织的Sasser、Blaster 和 Slammer。根据Computer Economics的估算，仅后两种病毒在2003年造成的损失就高达21.5亿美元

●与传统的防毒相比，NVW是一种全新的设备，因此我们的销售对象会发生一些不同，最重要的是我们要联系到对企业网络安全会担心的人进行交流，例如 : 网络管理员、电子邮件管理员、防火墙管理员，如果客户环境中都还没有任何防病毒或是网络安全相关产品，我们可以直接联系CIO进行沟通，将整体的解决方案提供给客户；在介绍NVW时，大家一定意识到；NVW的出现已经打破了目前防病毒体系的格局；传统的防病毒体系是采用以软件为主，主要是部署在易被病毒攻击的“点”上，如：服务器、客户端、网关；这样的部署方式非常被动；因为防毒软件只能够被动的等待病毒攻击，当发现病毒攻击时才能做出对应的防护，所以防护病毒的效率、效果都不会高，一般只能够解决70%的病毒问题；而如果采用NVW的解决方案，我们就将这个防预体系向前移；在网络层实现主动防护。这样才是终极的解决方案

●在网络病毒的危害下，所有传统的防毒解决方案都不能提供完全的安全防护，这也意味着传统的解决方案无法再使人安心放心，NVW的出现，正好解决了这个困境，因为NVW的主动防御功能，可以让客户在网络病毒肆虐下仍然有可以正常使用的网络；在介绍NVW的时，必须要清楚了解趋势科技企业保护战略（EPSIII）；因为NVW是实现EPSIII的重要关键元素，向客户介绍NVW方案时，一定要以EPSIII的安全防护理念为切入点，以“病毒爆发生命周期”所经历的四个阶段，从专业的角度去分析客户处于不同阶段，EPSIII都会有相应的服务，而其中实现关键的功能部分就是NVW；这样才能成功的引导客户，引客户全整体的角度去了解NVW

●NVW一项网络安全设备，是一个硬件产品，可以实现完全透明的模式，不需要变更客户现有的网络架构，不存在单点故障（即使设备断电网络也正常），在正常情况下，NVW对整体网络的吞吐量不会造成影响，当有网络病毒爆发时，NVW虽然会因为处理病毒降低网络效能，但双向180兆的网络性能还是能够正常继续使用，这种情况比起由于病毒爆发而造成网络瘫痪，用户更愿意接受前者

●在介绍NVW时，有一点大家是要切记的，NVW主要的优势是在于当“网络病毒爆发”时，NVW可以主动提供多种关键功能，其中包括：网络病毒扫描、安全漏洞管理、安全策略分发、早期的预警防护等等；而这些关键功能都是客户当发生病毒爆发时，在短时间内都希望得到的；而在介绍方案时必须体现“主动”、“快速”、“协同”、“有效”的工作模式。不要让客户将NVW其中的一项或二项的关键功能与第三方的产品进行比对；这样会丧失优势

●NVW解决方案可以兼容于所有的防病毒或是安全厂商的方案，不论是软件还是硬件，这是NVW非常有利的一点，同时透过NVW的使用，我们还有机会将客户的防毒产品转成使用趋势全线产品，因为全线产品的使用可以让客户有更全面的安心与放心

●NVW在实体网络连接上的建议 :

目前NVW最合适的连接位置是与百兆交换机连接，最好一台交换机配一台NVW，以便管理简单化

千兆交换机的环境我们有升级方案(这个版本的NVW不支持千兆环境) ，所以可以先让客户把NVW部署在百兆交换机的环境，当新版本NVW出来之后就可以升级，不会造成重复投资

使用光纤设备的客户环境，是可以使用NVW的，只要多增加一台转换设备

●NVW所支持的客户环境的建议 : 

一台NVW所支持的用户数为255客户端，这是根据硬件性能所做出的建议

就NVW的硬件特性，无论客户环境是大还是小( 只要有网关的网络环境 )，都是NVW的推广对象，所差别只是销售周期长短，大的客户可能因为环境特殊需要较长时间测试与购买数量的讨论(会是很多台)，小的客户只要明确需求之后很快就可以结单只是数量会是一台两台

●NVW测试建议：

如果客户网络中已经有网络病毒，建议最好在实际网络环境中测试，这样会获得最佳的测试效果（通过病毒日志看到），如果网络内无网络病毒，最好搭建测试环境，病毒模拟攻击测试一定要做