Anchiva安全网关产品手册

ＲａｐｉｄＲＸ实验室优势 ＷｉｌｄＬｉｓｔ成员及积极贡献者 提供３６５天不间断持续更新服务 每天处理Ｍａｌｗａｒｅ样本数万条 Ｍａｌｗａｒｅ数据库每日常规更新６次 最新爆发，２小时之内响应 ５００多万　Ｍａｌｗａｒｅ特征库 １０００多万的Ｍａｌｗａｒｅ防范能力 领先的数据云ＵＲＬ过滤技术 专业的Ｉｎｔｅｒｎｅｔ应用识别技术 先进的ｗｅｂ应用攻击防御技术全球分布 中国杭州研究中心 亚太、北美、欧洲研究实验室 全球化样本采集网络　全球化Ｉｎｔｅｒｎｅｔ应用安全实验室

Ａｎｃｈｉｖａ　ＲａｐｉｄＲＸ安全实验室成立于２００５年，该实验室是Ａｎｃｈｉｖａ全球Ｉｎｔｅｒｎｅｔ应用安全研究网络和产品支持中心，也是Ａｎｃｈｉｖａ服务基础设施的中枢系统，在亚太、欧洲和北美等地都设有专门的威胁研究中心和样本采集网络，为全球客户提供持续的全天候Ｉｎｔｅｒｎｅｔ应用安全防范服务。该实验室由经验丰富的分析家和研究员组成，他们战略性的分布在全球各个区域，负责采集恶意代码样本，跟踪、发现互联网上ｗｅｂ应用攻击类型及发展趋势，开发网络威胁防御技术和网络威胁监控技术，为Ａｎｃｈｉｖａ全球客户提供不间断的特征库与防护算法的更新，与用户一起应对各类Ｉｎｔｅｒｎｅｔ应用威胁与攻击。多样化的服务包括如下内容： Ｍａｌｗａｒｅ特征库

ＵＲＬ分类数据库

Ｉｎｔｅｒｎｅｔ应用分类库

Ｗｅｂ应用防御特征库

Ｍａｌｗａｒｅ智能分析处理系统

为了防范日益增加的网络威胁，Ａｎｃｈｉｖａ　ＲａｐｉｄＲＸ安全实验室开发了先进的Ｍａｌｗａｒｅ自动化分析处理系统，可对绝大部分样本进行自动分析鉴定并采集合适的特征码，同时Ａｎｃｈｉｖａ　ＲａｐｉｄＲＸ的安全专家将对其中少部分复杂多变的样本进行专门的分析研究，并为其专门编写出更强大的特征程序；所有的Ｍａｌｗａｒｅ特征在经过自动测试系统的严格测试后，将通过Ａｎｃｈｉｖａ服务分发网络ＡＳＤＮ（Ａｎｃｈｉｖａ　Ｓｅｒｖｉｃｅ　Ｄｉｓｔｒｉｂｕｔｉｏｎ　Ｎｅｔｗｏｒｋ）自动分发给Ａｎｃｈｉｖａ的全球客户。从采集到样本到特征发布给客户，整个过程只需２个小时。目前，Ａｎｃｈｉｖａ　ＲａｐｉｄＲＸ安全实验室每天收集处理的样本数万条，每日提供Ｍａｌｗａｒｅ特征库常规更新６次。为中国客户提供本地化的专业服务

Ａｎｃｈｉｖａ在中国杭州设立的威胁监控、分析与响应中心，能够快速的为中国客户提供本地化Ａｎｔｉ－ｍａｌｗａｒｅ与ｗｅｂ攻击防御服务，并配备一流的研究人员以监控、采集与分析恶意代码；无论是病毒、木马、后门、间谍软件、蠕虫还是ｗｅｂ应用攻击，Ａｎｃｈｉｖａ都能第一时间采集到，对于有重大危害的样本，可在两个小时内做出响应，对国内的客户提供及时的本地化服务与支持。　

其实质为风险评估，是否阻挡取决于用户设置的安全访问风险级别，用于网关产品时，管理员难以设定安全级别，由于网关不便与终端用户进行交互，无法解决大量的误拦问题，鉴于其判断标准与病毒检测和恶意网站过滤不同，其相关日志不应用来衡量防病毒网关的病毒拦截率，也不能用防病毒的标准来衡量其误报率。

３、何为云安全，防病毒网关上采用云安全会面临哪些问题？■云安全的特点

●　特征库在服务器上，检查在服务器上进行

●　好处：降低客户端存储要求及计算压力

■防病毒网关采用云安全面临的问题

●　要求将所有ＵＲＬ发送到服务器查询

●　查询结果能否在延时期限内返回

●　大量的并发查询带来的压力

●　文件校验码查询的结果不可靠

●　发送文件到服务器扫描占用更多的带宽资源

●　仍然需要在本地启用非校验码特征再扫描

■防病毒网关可根据自己产品的特点合理的利用云计算 技术

■ＵＲＬ过滤可考虑使用云技术，网关病毒检测的云技术 应用还有较大困难

４、Ａｎｃｈｉｖａ病毒引擎与开源病毒引擎的区别是什么？

●　专注网络，并行扫描

●　支持各种具有潜在风险的文件格式的扫描ＨＴＭＬ／ ＥＸＥ／ＤＯＣ／ＰＤＦ／ＳＷＦ／ＪＰＧ／……

●　支持常用压缩格式ＺＩＰ／ＲＡＲ／ＣＡＢ／ＴＡＲ／ＧＺＩＰ／……

５、为什么ｍａｌｗａｒｅ过滤网关需要深度内容检测与病毒过 滤引擎？

病毒、木马、间谍软件等Ｍａｌｗａｒｅ具有很强的隐蔽特性和复杂的编码结构，单纯的通过ＵＲＬ过滤的方式，并不能完全对其进行识别，必须需要深度的内容检测与过滤才能全面的识别现如今的各类Ｍａｌｗａｒｅ。

６、上网安全网关为什么需要这么多功能？

网络成为应用平台、交流媒介和商业工具后，病毒、木马、间谍软件、网络钓鱼、灰色软件、后门程序等也随ｗｅｂ访问，电子邮件，ＦＴＰ下载，即时通讯软件ＱＱ、ＭＳＮ，员工的网上炒股等途径进入企业内部网络，为了给企业提供多层次复合式的威胁防御服务，Ａｎｃｈｉｖａ上网安全网关除了具有Ａｎｔｉ－ｍａｌｗａｒｅ功能外，还有Ｉｎｔｅｒｎｅｔ应用控制、带宽管理、Ｗｅｂ攻击防御等多种功能，最大程度的掌控Ｉｎｔｅｒｎｅｔ　应用威胁的各个环节，加强企业的网络信息安全。

７、Ａｎｃｈｉｖａ的扫描引擎是采用串流扫描技术吗？性能怎么样？

所谓串流扫描技术更多的是出于市场宣传的说法，串流扫描的主要思路就是不需要收齐整个文件就能进行Ｍａｌｗａｒｅ的扫描，但是实际上网络上传输的文件绝大部分都是经过编码处理的，没有收全的话就无法进行解码，没有解码就无法进行实际内容的扫描。同样，大部分的Ｍａｌｗａｒｅ都是经过加壳的，不收全就无法进行脱壳处理，内容扫描更无从谈起。

Ａｎｃｈｉｖａ设备由于是定制的针对内容扫描的网络设备，加上基于ＡＳＩＣ的硬件扫描引擎和自有的专利加速扫描算法，ＨＴＴＰ扫描性能可以在毫秒级的延迟下做到高达９００Ｍｂｐｓ。

８、媒体对Ａｎｃｈｉｖａ产品的评价如何？

Ａｎｃｈｉｖａ产品在２０１０年４月获得美国ＳＣ　杂志的产品推荐，其中功能五星、易用性四星、性能五星、性价比四星，总体评价五星。