天融信网络卫士过滤网关系统一、产品概述天融信网络卫士过滤网关系统 TopFilter(简称:TopFilter)采取了一个与单机防护不同的基于网络的病毒防护方案。它被设计成安装在网络边缘,在病毒侵入网络之前实时的阻止它们,并且没有传统解决方案通常都有的延时。TopFilter 具有真正的即插即用能力,只要部署好之后就可以进行网络协议数据的病毒过滤功能;目前 TopFilter 基本可以支持主要的网络协议,SMTP、IMAP4、POP3、HTTP 以及 FTP 协议。TopFilter 采用业界先进的扫描技术,所以具有优秀的扫描性能,对各协议的处理性能表现优越。二、产品特点介绍1、独创的 TCP 粘合技术天融信网络卫士过滤网关系统基于透明代理技术实现。透明代理技术的优点是可以在应用层实现复杂的过滤。缺点是降低设备的吞吐,并且造成较大的网络延迟。TCP 粘合技术显著的提升了透明代理的性能,大大降低了通信延时。连接粘合后的性能接近内核的路由转发。TCP 粘合连接的原理如下图所示。该结构与应用级代理的最大不同在于:客户端和服务器之间的连接在操作系统的核心层进行连接粘合。TCP 粘合避免了数据包从核心空间到用户空间的拷贝和多次 socket 系统调用导致的上下文切换,显著提高了转发的性能,并且大大降低了通信延迟。由于 TCP 粘合技术需要对两个连接上的报文进行处理,所以有很多 TCP 协议的细节需要注意。包括:对 TCP 报文序号的处理;对校验和的重新计算;对常见的 TCP 选项的协商和转换。如果客户端和服务器不是同一类型的系统,可能在 TCP 协议栈的实现上有所差异。因此必须要考虑协议兼容性,以保证双向通信的正确性。图 1 TCP 粘合技术示意2、透明扫描大多数传统的解决方案工作在 OSI 的应用层,以代理的方式截获数据进行扫描:客户机首先连接到防病毒网关,防病毒网关再连接到真正的服务器,转发并扫描通过的数据流,这种方法丢失了很多有用的客户端及服务器的信息。邮件服务器往往需要知道客户机的地址来决定是否允许客户端通过它发送邮件,特别是现在的垃圾邮件实在是泛滥成灾,这一点尤其重要。网络卫士过滤网关工作在 3-7 层,它能够完整地保留这些信息,使企业的网络更安全。表 1 网络层的扫描OSI 网络层次7.应用6. 表示5. 会话4. 传输3. 网络2. 数据链路1. 物理传统的防病毒软件覆盖面天融信网络卫士过滤网关3、同时支持单双通道的病毒扫描网络卫士过滤网关系统提供灵活的部署方案,根据客户的需要,它可...
