Symantec Scan Engine技术白皮书Word文件下载.docx
《Symantec Scan Engine技术白皮书Word文件下载.docx》由会员分享,可在线阅读,更多相关《Symantec Scan Engine技术白皮书Word文件下载.docx(9页珍藏版)》请在冰点文库上搜索。
⏹NativeProtocol
⏹InternetContentAdaptationProtocol(ICAP)
⏹RemoteProcedureCall(RPC)
SAVSE提供SDK和Connector为第三方应用开发接口程序,实现与SAVSE的无缝集成,如:
BluecoatSecurity,ClearswiftMIMEsweeper,ISA
Server,NetappFiler,NetworkApplianceNetCache,Inktomi等。
SAVSE使用SymantecAntiVirusTMEngine,更适合网络数据量较大的网络使用。
二、产品工作原理、部署和管理方式
1、SAVSE工作原理与集成的网络协议
SAVSE本身是一个病毒扫描处理引擎,通过相应的部署在用户应用服务器上的诸如Socket或Connector等程序把文件在传送到目的地址前先送到SAVSE服务器上进行病毒扫描和处理。
不同的应用系统所使用的调用方式不同,例如,某些网络缓存代理服务器会使用ICAP协议,则这样的网络服务器就可以使用ICAP协议与SAVSE集成;
对于某些用户开发的应用系统,SAVSE提供接口,可被二次开发,完成connector程序的编写。
一个典型的SAVSE服务器工作流程如下图所示:
图1SAVSE服务器工作流程
I)用户使用web-based邮件客户端软件将文件“foo.exe”以附件的形式发送到目标地址;
II)在ISP一端,基于WEB的邮件服务器前端接受到该邮件,并将它传送给相应的CGI脚本处理;
III)由于在WEB服务器上已经安装了SAVSE的相关Connector程序,故在其CGI脚本中添加了要将所有接受的邮件请求立刻送到SAVSE服务器的语句;
IV)CGI程序将文件foo.exe送到SAVSE扫描;
V)SAVSE服务器扫描foo.exe文件,发现病毒并修复;
VI)SAVSE服务器完成病毒扫描和处理后,根据Connector中的定义将干净的文件返回给WEBserver;
VII)WEBserver将该邮件递送给SMTP邮件服务器;
VIII)SMTP邮件服务器将邮件按目的地址进行投递;
SAVSE内置可集成的扫描请求发送协议:
⏹NativeProtocol:
在默认配置中,SAVSE应用了一个简单的TCP/IP协议,它可以对客户应用系统提供病毒扫描和修复功能。
这个协议是基于文本的类似于HTTP或SMTP,使用标准ASCII命令在服务器和客户端之间通信。
客户应用系统的API可以将病毒扫描程序添加到任何C和C++应用程序中。
如果希望使用客户编辑方式,可选择这种协议。
⏹ICAP:
ICAP协议是一种对HTTP信息执行远程过程调用的轻量协议。
该协议可以让ICAP客户端将HTTP信息发送至ICAP服务器。
一个典型的例子是缓存代理服务器可以使用ICAP协议与SAVSE通信,使得缓存代理服务把从互联网上获得的数据送至SAVSE服务器进行病毒扫描。
⏹RPC:
SAVSE支持微软的RPC协议,让客户应用系统将数据送给SAVSE服务器进行病毒扫描和处理。
如:
NetappFiler
2、SAVSE服务器部署模式及举例
SAVSE服务器可以有两种安装位置:
⏹On-box:
当运行客户应用系统的操作平台与SAVSE服务器支持的平台一致时,SAVSE服务器可与客户应用服务器安装在同一台机器上。
⏹Off-box:
当运行客户应用系统的操作平台与SAVSE服务器支持的平台不一致时,SAVSE服务器需要安装在一台单独的机器上,接受客户应用系统发送的病毒扫描请求。
而后根据不同应用系统所使用的不同网络协议,决定了SAVSE服务器与应用系统不同的集成方式。
⏹使用NativeProtocol
⏹使用ICAP
⏹使用RPC
⏹使用Symantec提供的Connector
⏹自定义Connector程序
下面举例说明SAVSE服务器的部署实例
I)与网络存储设备集成,如NetappFiler
当SAVSE服务器与网络存储设备和系统集成时,由于网络存储设备大都内置了特有的操作系统,建议采取off-box的安装模式,即将SAVSE安装在一台单独的机器上。
此外,由于网络存储设备的数据访问量较大,几乎每一次客户端对它的访问请求都要送到SAVSE服务器进行病毒扫描,故建议在SAVSE服务器与网络存储设备间建立一条专门高速的通信链路,用于发送病毒扫描请求和扫描处理后的相应,以提高网络访问存储的速度。
如图2所示:
图2SAVSE与网络存储设备集成
II)部署多台SAVSE服务器与采用负载均衡方案的Cache集成
在数据访问量较大的网络中通常使用四层交换机实现负载均衡,如Alteon。
当使用SAVSE服务器来接受病毒扫描请求时,建议在四层交换机上划分出一个单独的LAN给多个SAVSE服务器,以实现同样的病毒扫描的负载均衡功能。
建议将四层交换机配置在“SESSION-basedBalacing”的模式,即同一个session的数据都由一台SAVSE服务器来完成病毒扫描和处理。
如图3所示:
图3SAVSE与LBCache集成
3、SAVSE服务器管理模式
SAVSE服务器采用基于WEB的管理方式,管理员在网络中的任意一台机器上,打开IE浏览器,输入:
http:
//ipaddress:
8004,然后输入管理员口令即可访问SAVSE的管理界面。
三、产品的主要技术特点
1、适应高数据流量网络下的病毒扫描方案
SAVSE服务器中集成了领先的Symantec的病毒防护技术,可以快速响应网络数据的病毒扫描请求:
⏹BloodhoundHeuristicforexecutableandmacro
⏹NAVEX
⏹Striker
⏹Liveupdate
2、灵活、安全的基于WEB的管理方式
SAVSE服务器可以由任意一台终端通过浏览器和相应的管理员口令进行管理。
它同时提供了完整的日志记录功能、SMTP、SNMP告警能力。
处于安全因素的考虑,SAVSE服务器可以将管理IP地址绑定到某个固定地址。
3、病毒定义码、扫描引擎和软件修正的升级方式
SAVSE服务器使用NAVEX、Liveupdate的升级方式,保证了病毒定义码与扫描引擎的同时更新,且系统无需重启。
赛门铁克的NAVEX技术使其产品不同与其他防病毒软件,当发现一类新型病毒时,赛门铁克会方便地更新NAVEX内部的引擎──而不是重新构建整个NAV引擎──并将它传送到具有新型病毒定义更新的客户手中,对任何平台,都是如此。
由于NAVEX技术是与NAV产品分开的,也与平台无关,为此赛门铁克可以在任何平台上用一套病毒定义码和引擎对新型病毒的威胁作出非常迅速的反馈,无需更新整个产品。
这也使升级变得极为简单,尤其对网络多平台防病毒产品升级更显重要。
4、提供对付邮件DOS的机制
为了对付邮件DOS攻击,SAVSE服务器提供完整的“BlockingPolicy”让管理员设置对文件的病毒检测方式,如:
⏹对文件检测的最长时间
⏹是否对超过一定大小的文件检测
⏹文件的最大内置压缩层数
⏹是否处理Malformed文件
⏹文件名字的长度
⏹是否对带有某些特定的文件扩展名的附件进行检测
⏹同时进行病毒扫描的线程个数
⏹队列中允许扫描请求的个数
⏹SAVSE服务器用来进行病毒扫描的内存使用情况的参数
⏹系统资源达到使用极限时发送日志和告警的时间间隔
此外,SAVSE还提供了多种标准进行邮件过滤,如:
⏹邮件大小
⏹邮件主题
⏹发件人地址或域
⏹附件名称
⏹附件大小
6、
5、灵活的集成性
SAVSE可与多种协议和应用系统相集成,如:
⏹NativeProtocol
⏹ICAP
⏹RPC
⏹BluecoatSecurity
⏹ClearswiftMIMEsweeper
⏹ISAServer
⏹NetappFiler
⏹NetworkApplianceNetCache
⏹Inktomi
⏹Sendmail
⏹Qmail
⏹其它
6、自身安全性的考虑
SAVSE服务器提供对自身SAVSE进程的实时监控,保证了SAVSE对网络数据进行病毒扫描服务的不间断性。
如果发现SAVSE服务器宕机,SAVSEWatchdog会自动重启该服务。
7、对计费功能的支持
SAVSE服务器提供对带宽利用率的统计和文件扫描的统计功能,可以为计费系统提供相关数据。
8、支持与SymantecEnterpriseSecurityArchitecture(SESA)的集成
9、部署的简易灵活性
SAVSE服务器可以根据网络应用的实际情况分别采取on-box和off-box两种方式安装。
随着网络中的数据流量的增多,可以随时将新的SAVSE服务器添加到网络中的四层交换机上,实现病毒扫描请求的负载均衡。
四、产品主要性能指标参数
以SAVSE4.0forISA为例,扫描性能参数可参考如下:
1、ISA配置为Proxy/Firewall模式
表1在Windows2000Server上的扫描结果
表2在SolarisServer同时扫描HTTP和SMTP流量
表3在LinuxServer同时扫描HTTP和SMTP流量
2、ISA配置为ProxyOnly模式
五、系统最低配置要求
⏹Windows2000server,Windows2000AdvancedServer,SP2或更高;
⏹Solaris7或更高;
⏹RedhatLinux7.2或7.3
⏹IE版本不低于6.0
⏹CPU:
PIII600或更高
⏹内存:
512以上
⏹本地硬盘在10G以上
⏹一个网卡并配有静态IP地址
升级会员 