1、KILL Shield Gateway White PaperCA-JinChen Software Co.,Ltd.KILL過濾網(wǎng)關（KILL Shield Gateway）技術白皮書冠群金辰軟件有限公司CA-Jinchen Software Co.,Ltd目錄版權說明 - Copy Right4文檔說明4閱讀對象41.網(wǎng)絡的安全風險和防御策略5互聯(lián)網(wǎng)帶來網(wǎng)絡病毒威脅5更大的危害 - 蠕蟲5混合型威脅6垃圾郵件的危害6網(wǎng)絡安全的積極防御策略72.KILL過濾網(wǎng)關（KILL Shield Gateway）概述83.保護原理9保護的資產(chǎn)9應用協(xié)議的完整支持9OSI多層次過濾10簡單靈活的接入10

2、參考標準114.主要功能11蠕蟲過濾11病毒過濾11垃圾郵件過濾12內(nèi)容過濾125.產(chǎn)品特性13獨立的硬件平臺13專有的安全操作系統(tǒng)13國際技術、本地化開發(fā)13友好的中文管理界面13安全管理方式14用戶權限控制14SMTP認證14訪問控制和入侵阻斷14簡單靈活的配置策略15實時過濾和報警15完整的日志、豐富的報表15高效的處理能力15資源自適應控制16帶寬保護16雙機容錯（Spanning Tree）16特征碼自動升級166.典型部署方式17典型部署方式1 - 保護關鍵網(wǎng)絡17典型部署方式2 - 保護內(nèi)部網(wǎng)絡17典型部署方式3 - 保護郵件系統(tǒng)18版權說明 - Copy Right版權所有 (

3、c) 2002-2005，冠群金辰軟件有限公司（CA-JinChen Software Co.,Ltd）。本文件中涉及的所有產(chǎn)品、文字描述和圖片，除特別注明，版權均屬冠群金辰軟件有限公司所有，受國家知識產(chǎn)權和版權有關法律保護。未經(jīng)冠群金辰軟件有限公司授權，任何組織和個人不得以任何方式對本文件的內(nèi)容進行散發(fā)、復制或引用。如果使用該文檔，必須標明文檔出處。文檔說明本文件對網(wǎng)絡邊界的安全風險進行了分析，提出積極防御的策略。同時，重點介紹了KILL過濾網(wǎng)關（KILL Shield Gateway）產(chǎn)品的功能特性、工作原理和典型應用，目的是使企業(yè)用戶能夠針對網(wǎng)絡存在的安全風險，找到有效的應對措

4、施。此外，對于關心信息安全的讀者，本文也將提供有價值的參考。閱讀對象期望了解網(wǎng)關過濾技術和KILL過濾網(wǎng)關（KILL Shield Gateway）產(chǎn)品功能特性的用戶、系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等。1. 網(wǎng)絡的安全風險和防御策略互聯(lián)網(wǎng)帶來網(wǎng)絡病毒威脅隨著計算機網(wǎng)絡技術的飛速發(fā)展和應用，大量的計算機病毒已將網(wǎng)絡作為其主要的傳播途徑和攻擊目標。其中，電子郵件、Web方式是其最直接的傳播方式。據(jù)ICSA的病毒流行性調(diào)查結果，電子郵件和Internet互聯(lián)網(wǎng)已成為病毒傳播的絕對主要途徑。由于互聯(lián)網(wǎng)的普及，世界上任何一個角落發(fā)起的病毒傳播和網(wǎng)絡攻擊事件都可能在極短的時間內(nèi)蔓延到全球，全球每年因此

5、造成的經(jīng)濟損失高達幾十億到幾百億美元。對于企業(yè)和政府事業(yè)部門，帶來的直接損失是數(shù)據(jù)破壞、系統(tǒng)異常、網(wǎng)絡癱瘓，還有由此造成的信譽損失。我們很可能在收發(fā)電子郵件、Internet沖浪、文件傳輸?shù)臅r候引入各種威脅。只要我們與外界相連，便時刻面臨著威脅。更大的危害 - 蠕蟲人們對計算機病毒已經(jīng)不再陌生，幾乎每一個計算機用戶都品嘗過被病毒侵害的苦果。計算機病毒是一段有破壞作用的程序，可以導致系統(tǒng)異常和數(shù)據(jù)破壞。目前公眾乃至業(yè)界對計算機病毒的理解還不統(tǒng)一，常常將破壞性的計算機程序統(tǒng)稱為病毒。但嚴格來講，應該根據(jù)危害事件的特點進行區(qū)別定義，這樣，更有利于采用不同的技術各個擊破。隨著近年來蠕蟲危害的加劇，在概

6、念和技術控制手段上加以區(qū)分就顯得更為必要。計算機病毒和蠕蟲有多種定義。根據(jù)RFC以及Eugene Spafford的定義，蠕蟲的特點是：可以獨立運行，并能把自身的一個包含所有功能的版本傳播到另外的計算機上。而計算機病毒則是一段代碼，能把自身加到其它程序包括操作系統(tǒng)上，不能獨立運行，需要由它的宿主程序運行來激活。我們可以將病毒進一步細分為郵件病毒和普通計算機病毒。例如：蠕蟲：Morris，Codered，Nimda，SQL Slammer，MS Blaster，Sasser；郵件病毒：Mellisa，Loveletter，Sircam，Sobig，Mydoom；普通計算機病毒：CIH。蠕蟲和郵件

7、病毒的共同特征就是具有極強的傳染性、設置后門程序、發(fā)動拒絕服務攻擊（DoS/DDoS）等。蠕蟲主要利用系統(tǒng)漏洞進行主動傳播和攻擊，電子郵件病毒主要利用社會工程學（Social Engineering）方式進行欺騙傳播。這些特點，與傳統(tǒng)的病毒有很大不同。從近幾年發(fā)生的大范圍危害事件來看，蠕蟲的危害性更大（例如沖擊波、震蕩波）。混合型威脅目前網(wǎng)絡面臨的主要威脅包括：普通病毒、電子郵件病毒、蠕蟲病毒、特洛伊木馬、入侵攻擊、以及由這些威脅導致的具有黑客性質的非法入侵行為等。混合型威脅集成了以上各種威脅行為，以多種方式進行入侵破壞，造成的危害非常巨大。由于網(wǎng)絡傳播的快速性，利用網(wǎng)絡傳播的混合型威脅也更加

8、難以防范，影響的范圍也更大。蠕蟲是混合型威脅的典型代表（比如沖擊波、蠕蟲王等），它具備病毒的傳播特性，可以種植木馬，利用系統(tǒng)漏洞進行入侵，通過拒絕服務攻擊（DoS/DDoS）造成網(wǎng)絡癱瘓。我們已經(jīng)不能單從防病毒角度考慮安全，而應該根據(jù)新的威脅發(fā)展趨勢進行綜合防范。為了應對混合型威脅，需要根據(jù)混合型威脅的不同特點，采用相應的安全控制技術分別加以抵御，做到全面防范。垃圾郵件的危害按照公安部、教育部、信息產(chǎn)業(yè)部、國務院新聞辦公室關于垃圾電子郵件專項治理工作的定義，垃圾郵件是指用戶未主動請求或同意接收的電子刊物、電子廣告和各種形式的電子宣傳品等電子郵件，沒有明確發(fā)信人、發(fā)信地址、退信方法的電子郵件，含

9、有虛假發(fā)信源、發(fā)信地址、路由信息或收件人不存在的電子郵件。在互聯(lián)網(wǎng)業(yè)務中，電子郵件已成為最基本的一項服務。大多數(shù)網(wǎng)絡用戶都會使用電子郵件處理公務或進行個人交流。隨著互聯(lián)網(wǎng)用戶的逐漸增多，商家、政治文化團體、犯罪分子等通過電子郵件方式進行大量的商業(yè)宣傳、政治宣傳、色情傳播、詐騙等活動，不管人們是否情愿，都只能被動地接收。某些來歷不明的垃圾郵件甚至很可能攜帶病毒，損害用戶的系統(tǒng)安全。垃圾郵件成為了社會公害，這已是不爭的事實。垃圾郵件占用戶收發(fā)電子郵件的比例呈不斷上升趨勢，嚴重干擾了人們的正常工作和生活，已經(jīng)引起人們的極大反感。同時，垃圾郵件還消耗用戶的網(wǎng)絡和郵件系統(tǒng)資源。用戶不但要花費許多精力來識

10、別和處理垃圾郵件，而且還可能在思想上遭受蒙騙和侵蝕。國家政府部門已開始制定反垃圾郵件的政策法規(guī)，力求從政策、法律上起到制裁和威懾作用。作為安全廠商，我們根據(jù)目前反垃圾郵件的迫切要求，按照垃圾郵件的特征和用戶的定義方式，從技術措施上加以控制，最大限度地控制垃圾郵件的危害。網(wǎng)絡安全的積極防御策略傳統(tǒng)的網(wǎng)絡防病毒控制體系沒有從引入威脅的最薄弱環(huán)節(jié)進行控制。面對外界的動態(tài)攻擊，即便采取一些簡單控制手段加以解決，也仍然不能消除來自外界的繼續(xù)攻擊，短期消滅的危害仍然會再次出現(xiàn)。如果形成拒絕服務攻擊和分布式拒絕服務攻擊（DoS/DDoS），往往會造成網(wǎng)絡堵塞或癱瘓。我們面臨的威脅已不僅僅是單純的病毒，而是更

11、多形式的威脅。為了實現(xiàn)全面的控制，除了防御病毒外，還必須對蠕蟲、垃圾郵件以及非法內(nèi)容傳播進行安全控制。一個更為有效的控制手段是從網(wǎng)絡邊界入手，切斷傳播途徑，進行網(wǎng)關級的過濾控制。這樣，變被動防御為積極主動防御，將混合型威脅、垃圾郵件等阻止在受保護網(wǎng)絡之外。根據(jù)IATF信息安全技術框架，網(wǎng)絡安全是信息安全的重要組成部分。我們按照 “參考監(jiān)視器”（Reference Monitor）安全模型，針對企業(yè)、政府、事業(yè)單位等擁有獨立網(wǎng)絡的機構來構建這樣一個網(wǎng)絡安全體系： 來自主體的數(shù)據(jù)流除了合法信息外，還可能有非法連接、惡意代碼、非法信息。“防火墻”主要實現(xiàn)對連接的控制，從網(wǎng)絡層阻擋非法連接；“惡意代碼

12、過濾”對病毒、蠕蟲、以及由蠕蟲造成的入侵攻擊等破壞行為進行控制，可以從網(wǎng)絡層、傳輸層、應用層分別處理；“信息內(nèi)容過濾”實現(xiàn)對垃圾郵件、敏感信息等非法內(nèi)容的過濾。經(jīng)過多種手段控制，最后保證只有合法的信息能夠到達客體。根據(jù)CERT CC發(fā)布的關于最新入侵者攻擊方式的趨勢分析結果，網(wǎng)絡攻擊呈現(xiàn)攻擊過程自動化、攻擊技術復雜化、漏洞發(fā)現(xiàn)的更快、以及滲透防火墻的趨勢。采用蠕蟲攻擊、病毒擴散等混合型威脅的復雜攻擊事件越來越多。這幾年來多起大范圍的網(wǎng)絡安全事件（如：SQL Slammer、MSBlaster、Sobig、MyDoom等），都是屬于這種類型的攻擊。而傳統(tǒng)的防火墻依靠對IP 地址、端口號來過濾數(shù)據(jù)

13、的方式，顯然不能有效地攔截住這些攻擊。為了彌補防火墻的不足，過濾惡意代碼和非法信息，實現(xiàn)全方位的邊界控制，采用網(wǎng)關過濾技術是非常必要的。冠群金辰的KILL過濾網(wǎng)關（KILL Shield Gateway）就是一個同時具備惡意代碼過濾和信息內(nèi)容過濾功能的產(chǎn)品，主要針對電子郵件、互聯(lián)網(wǎng)訪問等途徑帶來的混合型威脅進行安全控制。2. KILL過濾網(wǎng)關（KILL Shield Gateway）概述KILL過濾網(wǎng)關（KILL Shield Gateway，簡稱KSG）是冠群金辰公司新一代網(wǎng)絡過濾專用設備，能夠同時在網(wǎng)絡層、傳輸層、應用層對病毒、蠕蟲、垃圾郵件、非法內(nèi)容分別進行過濾。KILL Shield

14、Gateway是一個獨立的硬件產(chǎn)品，針對通過SMTP、POP3、HTTP、FTP等協(xié)議傳輸?shù)膬?nèi)容進行過濾處理，使有害數(shù)據(jù)無法通過郵件、Internet訪問、文件傳輸?shù)确绞竭M入到受保護網(wǎng)絡。KILL Shield Gateway除了可以有效地實現(xiàn)電子郵件病毒過濾、內(nèi)容過濾、垃圾郵件過濾外，更重要的是可以實現(xiàn)蠕蟲過濾（過濾靜態(tài)蠕蟲擴散、阻斷蠕蟲動態(tài)攻擊）。KILL Shield Gateway獨有的抗蠕蟲攻擊技術（Anti-Worm）能夠全方位抵御所有已知蠕蟲病毒的攻擊和傳播，可以阻斷后門程序、DoS/DDoS等動態(tài)入侵攻擊行為。3. 保護原理保護的資產(chǎn)由于Kill Shield Gateway是

15、網(wǎng)關級的過濾系統(tǒng)，在網(wǎng)絡的邊界實施保護，因而，它實際上保護了網(wǎng)絡內(nèi)部資源。主要包括： 保護企業(yè)內(nèi)部網(wǎng)絡，相應地起到保護內(nèi)部網(wǎng)絡相關資源的作用。 保護企業(yè)內(nèi)部關鍵網(wǎng)段，例如DMZ區(qū)或關鍵服務器所在區(qū)域。 保護企業(yè)內(nèi)部郵件系統(tǒng)，切斷病毒、蠕蟲、垃圾郵件、非法內(nèi)容等危害的最大來源。應用協(xié)議的完整支持KILL Shield Gateway完整地實現(xiàn)了對SMTP、HTTP、POP3、FTP等協(xié)議的支持。對于其它特殊協(xié)議數(shù)據(jù)，KILL Shield Gateway不加任何處理，使其透明通過，保證通訊數(shù)據(jù)的完整性。由于是基于協(xié)議進行過濾的，和用戶使用的Email、WWW、FTP等服務器具體細節(jié)不直接相關。即

16、使用戶更換了新的服務器系統(tǒng)，KILL Shield Gateway也無需修改或替換，這樣可以有效地保護用戶的已有投資。OSI多層次過濾根據(jù)蠕蟲、病毒、垃圾郵件、非法內(nèi)容過濾的不同特點，KILL Shield Gateway從OSI七層協(xié)議的網(wǎng)絡層、傳輸層、應用層分別進行過濾處理。網(wǎng)絡層：實現(xiàn)了基于IP地址、端口號等網(wǎng)絡層特征的過濾功能。傳輸層：傳輸層恰恰是蠕蟲攻擊、黑客攻擊數(shù)據(jù)的理想識別位置，KILL過濾網(wǎng)關根據(jù)數(shù)據(jù)包的特征，在傳輸層有效地攔截蠕蟲攻擊和動態(tài)入侵攻擊數(shù)據(jù)。應用層：能夠對多種常用的網(wǎng)絡協(xié)議（HTTP、SMTP、POP3、FTP等）進行深度分析并還原出的原始的傳輸數(shù)據(jù)，進行病毒檢查

17、、蠕蟲檢查、垃圾郵件處理和內(nèi)容檢查。簡單靈活的接入KILL Shield Gateway的接入非常簡單，主要使用透明（Bridge模式，串聯(lián)）方式接入用戶網(wǎng)絡。透明模式接入時，用戶基本不需要修改其它網(wǎng)絡設備的配置，而且，KILL過濾網(wǎng)關是基于協(xié)議進行過濾的，和用戶使用的Email、WWW、FTP等服務器具體細節(jié)不直接相關，即使用戶更換了新的服務器軟件，也無需修改或替換KILL過濾網(wǎng)關，保護用戶的已有投資。KILL Shield Gateway會自動對所有通過它的網(wǎng)絡流量進行識別分析，過濾普通病毒、電子郵件病毒、蠕蟲代碼、惡意網(wǎng)頁代碼、非法內(nèi)容、垃圾郵件等，同時阻擊蠕蟲動態(tài)攻擊行為。KILL S

18、hield Gateway截取網(wǎng)絡數(shù)據(jù)進行過濾處理，將過濾后的數(shù)據(jù)傳遞給目的地，確保信息安全。對于蠕蟲和動態(tài)攻擊，KILL Shield Gateway將其徹底阻斷，使其不能擴散。此外，KILL過濾網(wǎng)關也支持非透明（Router模式，旁路并聯(lián)）方式的接入。這種情況下，主要用于對用戶自身的郵件系統(tǒng)進行病毒過濾。參考標準 SMTP - RFC821 POP3 - RFC1939 HTTP - RFC1945，RFC 2616，RFC 2617 FTP - FTP - RFC959，F(xiàn)TP OVER HTTP4. 主要功能蠕蟲過濾蠕蟲可以利用電子郵件、文件傳輸?shù)确绞竭M行擴散，也可以利用系統(tǒng)的漏洞發(fā)起

19、動態(tài)攻擊。近幾年蠕蟲造成的危害越來越大，可以導致系統(tǒng)嚴重損壞和網(wǎng)絡癱瘓。如尼姆達（Nimda）、紅色代碼（CodeRed）、蠕蟲王（Slammer）、沖擊波（Blaster）等。根據(jù)蠕蟲的特點，Kill Shield Gateway從OSI的多個層次進行處理。在網(wǎng)絡層和傳輸層過濾蠕蟲利用漏洞的動態(tài)攻擊數(shù)據(jù)，在應用層過濾利用正常協(xié)議（SMTP、HTTP、POP3、FTP等）傳輸?shù)撵o態(tài)蠕蟲代碼。Kill Shield Gateway所獨有的抗蠕蟲攻擊技術（Anti-Worm）處于國際領先地位，能夠全方位抵御所有已知蠕蟲病毒的攻擊，彌補了國內(nèi)同類產(chǎn)品空白。這一技術標志著，Kill Shield Ga

20、teway不僅可以過濾靜態(tài)蠕蟲代碼，而且能夠阻斷蠕蟲的動態(tài)攻擊（包括所引發(fā)的病毒傳播、后門漏洞、DoS/DDoS攻擊等）。這樣，可以實現(xiàn)全面防御蠕蟲的目的。病毒過濾這里的病毒過濾是指普通病毒（例如CIH）、郵件病毒（例如求職信、美麗殺手、愛蟲、Mydoom）、特洛伊木馬、網(wǎng)頁惡意代碼的過濾等。對于網(wǎng)頁瀏覽（HTTP協(xié)議）、文件傳輸（FTP協(xié)議）、郵件傳輸（SMTP、POP3協(xié)議）等病毒，基于專門的病毒引擎進行查殺。對郵件病毒，可以定義對病毒的處理方式，決定清除病毒、刪除附件、丟棄等操作，發(fā)現(xiàn)病毒時通知管理員、收件人、發(fā)件人等操作。Kill Shield Gateway具有卓越的病毒查殺能力，能

21、夠對多種應用協(xié)議（SMTP、HTTP、POP3、FTP等）所傳遞的數(shù)據(jù)進行病毒過濾，其反病毒引擎獲得了ICSA（國際計算機安全協(xié)會）實驗室的查殺病毒認證，能夠100%地檢測出目前“流行病毒名單”上的病毒。該反病毒引擎還憑借其卓越的病毒查殺功能榮獲“Virus Bulletin”（病毒公告牌）授予的“VB 100%”獎，這是自1998年設立該獎項以來，該引擎第19次獲得此殊榮。垃圾郵件過濾垃圾郵件過濾是KILL Shield Gateway的一個獨立模塊，采用國際先進技術，依據(jù)公安部反垃圾郵件技術標準開發(fā)。KILL Shield Gateway既可以將反垃圾郵件模塊采用嵌入方式進行過濾處理，也可

22、以劃分出單獨的反垃圾郵件產(chǎn)品獨立工作。垃圾郵件類型大致可以分為：郵件頭部包含垃圾郵件特征的郵件；郵件內(nèi)容包含垃圾郵件特征的郵件；使用Open Relay主機發(fā)送的垃圾郵件（Open Relay方式的SMTP郵件服務器被利用向任何地址發(fā)送的垃圾郵件）；郵件頭部和內(nèi)容都無法提取特征的垃圾郵件。Kill Shield Gateway使用連接限制技術、關鍵字過濾技術、黑名單技術、貝葉斯智能分析技術，對垃圾郵件進行全面高效過濾。過濾的協(xié)議支持SMTP、POP3協(xié)議。KILL Shield Gateway的反垃圾郵件技術按照協(xié)議特征對數(shù)據(jù)包進行分析、重組及解碼，按照安全規(guī)則通過智能分析對SMTP連接、IP

23、地址、郵件地址、數(shù)據(jù)內(nèi)容進行處理。KILL Shield Gateway可以限制IP地址、郵件地址、郵件數(shù)量、郵件大小；對郵件標題、正文、附件、包含特定關鍵字的郵件進行過濾；對特定郵件頭信息、郵件發(fā)送者地址、郵件接收者地址、域名等進行過濾；支持HELO/EHLO標志過濾；可以基于RFC821信封規(guī)范進行檢查；支持對偽裝郵件過濾。這樣，以多種過濾方式最大限度防止垃圾郵件的泛濫。內(nèi)容過濾Kill Shield Gateway基于SBPH/BCR（Sparse Binary Polynomial Hashing/Bayesian Chain Rule）技術進行內(nèi)容檢查。這是一種基于稀疏多項哈希和貝葉

24、斯鏈的評定系統(tǒng)，具有高度準確的內(nèi)容識別能力。Kill Shield Gateway支持對郵件的關鍵字、附件文件類型進行過濾，通過定義可信或不可信的URL并進行過濾，可以選擇對網(wǎng)頁腳本進行過濾，對傳輸?shù)男畔⑦M行智能識別過濾，防止敏感信息的侵擾和擴散。5. 產(chǎn)品特性獨立的硬件平臺硬件平臺不易被發(fā)現(xiàn)和攻擊，安全性比較高，在很大程度上可以達到自我保護目的。專有的安全操作系統(tǒng)KILL Shield Gateway采用專有的安全操作系統(tǒng)，比常規(guī)的商用操作系統(tǒng)具備更高的安全級別。國際技術、本地化開發(fā)KILL Shield Gateway采用國際最先進的網(wǎng)關過濾技術，本地化開發(fā)。能夠提供本地化的技術支持和面向

25、用戶特定需求的專門定制開發(fā)。安全控制技術和策略完全符合國家信息安全的政策。友好的中文管理界面KILL Shield Gateway的配置管理采用B/S方式，用戶可使用瀏覽器遠程查看、修改系統(tǒng)配置及各項過濾策略，用戶界面中文顯示，界面友好，操作簡單。安全管理方式KILL Shield Gateway提供HTTPS、SSH等方式的安全管理。https不同于http，配置頁面?zhèn)鬟f過程經(jīng)過加密，不會泄漏配置信息（如密碼）；SSH遠程管理方式，比telnet方式安全，配置頁面?zhèn)鬟f過程加密。用戶權限控制管理用戶在第一次使用Kill Shield Gateway產(chǎn)品時，對管理用戶設置自己的口令。以后只有授權

26、用戶才可以瀏覽和修改KILL Shield Gateway的配置。SMTP認證KILL Shield Gateway支持SMTP認證，認證的過程完全遵循ESMTP的認證協(xié)議標準。如果用戶的RELAY郵件服務器支持并要求用戶認證，可使用KILL Shield Gateway作為RELAY服務器進行SMTP認證，KILL Shield Gateway會將認證過程的數(shù)據(jù)流重新定向給用戶的RELAY郵件服務器，根據(jù)認證的結果來決定是否接收發(fā)信請求。如果用戶的RELAY郵件服務器不支持SMTP認證，可使用KILL Shield Gateway的SMTP認證擴展模塊，將SMTP認證協(xié)議轉變?yōu)閷OP3用戶

27、的認證協(xié)議，這樣用戶就可以使用KILL Shield Gateway進行發(fā)信認證了。Kill Shield Gateway通過將郵件地址和SMTP認證用戶進行綁定來識別并過濾偽裝郵件，阻止假冒發(fā)信人的郵件。管理員不僅可以通過配置保護企業(yè)內(nèi)部網(wǎng)，對于出差在外的員工，也可以通過用戶認證來使用KILL Shield Gateway進行病毒和內(nèi)容檢查。垃圾郵件隔離只有最終用戶才有權決定一封郵件是否屬于垃圾郵件。為避免過濾后丟失郵件現(xiàn)象的發(fā)生，保護用戶權益，我們設置了垃圾郵件隔離功能。隔離的“垃圾郵件”保存在過濾網(wǎng)關的隔離區(qū)，用戶在及時得到隔離郵件的通知消息后，可登錄到隔離區(qū)找回需要的郵件，對不需要的郵

28、件徹底刪除。訪問控制和入侵阻斷KILL Shield Gateway可以根據(jù)IP地址和端口號進行訪問控制，還可以根據(jù)入侵特征對動態(tài)入侵攻擊進行阻斷。 防火墻控制策略 基于IP地址、TCP端口號等網(wǎng)絡層特征設置控制策略。 入侵阻斷策略 采用專門的入侵防御（IPS）規(guī)則庫，啟用該策略時，可以對入侵行為進行阻斷，可以體現(xiàn)為入侵防御系統(tǒng)的功能。簡單靈活的配置策略KILL Shield Gateway可以根據(jù)過濾對象的不同，通過直觀的管理界面靈活配置定義各種過濾策略。例如，可以分別定義是否過濾HTTP、FTP、SMTP、POP3內(nèi)容；對郵件病毒、垃圾郵件的處理方式；報警時如何通知等。配置定義十分豐富。實時過濾和報警KILL Shield Gateway實時過濾蠕蟲、病毒、垃圾郵件、入侵攻擊事件，阻止它們進入到用戶的網(wǎng)絡，并可根據(jù)系統(tǒng)安全管理的記錄日志并發(fā)出報警，通知發(fā)送方、接收方或管理員，幫助管理員及時了解安全事件，掌握安全狀態(tài)。完整的日志、豐富的報表KILL Shield Gateway采用獨立的日志和報表分析系統(tǒng)，提供詳盡完整的過濾日志報告，還可根據(jù)這些數(shù)據(jù)生成圖形化統(tǒng)計報表并支持數(shù)據(jù)挖掘，形象直觀，幫助管理員查看，調(diào)整相應的過濾策略。例如：病毒過濾報告、垃圾郵件報表、內(nèi)容過濾報表、入侵阻斷報表等。