垃圾桶比大门重要?
“把倒垃圾当作家中第一大事显然是本末倒置。”
; 曾经有一位网管与笔者探讨垃圾邮件的危害问题,他认为,对于终端用户来说,垃圾邮件的危害永远是有限的,毕竟它影响的只是某一个人的工作效率。但如果从企业网整体安全与效率的平衡来看,垃圾邮件对企业的影响还远没有达到人们所认为的那样,相反,他倒认为现在很多企业对垃圾邮件的态度是反应过度。
笔者虽不完全赞同,但还是觉得这位网管的话有一定的道理。现在很多企业是把反垃圾邮件当成一件非常重要的任务来抓,而同时却忽略了企业网中存在的其他问题。这就好像家里的门锁坏掉了,你却不着急换锁,反而忙着倒垃圾,就算家里再多几个智能垃圾桶,对这个家也没有太大价值,因为整个屋子都已经等同于不设防的了。
事实上,从整体安全的角度来看,企业把反垃圾邮件当作主要任务来抓是本末倒置,反垃圾邮件最恰当的地位应该只是被当做系统中的一个辅助模块。按照这种思路来考虑反垃圾邮件系统的设计,就不难发现,防火墙厂商其实是最应该在反垃圾邮件这个领域有所作为的。
或许是反垃圾邮件的市场还不够大,多数习惯了“技术高难度”的安全厂商似乎并未把这个市场看在眼里,所以现在市场上才会有那么多小厂商纷纷推出自己的反垃圾邮件产品,而对于国内的中小型企业来说,随便选一款基于软件的反垃圾邮件网关,多少都能找到点儿立竿见影的感觉,但长远看来,这真不是什么好事。
垃圾桶怎么放都无所谓?
“10个同样的垃圾桶,不同的摆放方式,最终的环保效果也可能不同。”
笔者所见识过的反垃圾邮件系统中,几乎没有使用单一过滤手段的,这是因为垃圾邮件的表现形式实在太多,单一的技术手段根本无法提供全面的过滤机制。但是否反垃圾邮件系统采用的过滤手段越多越好呢?也未必。
据笔者目前所知的邮件防火墙产品中,对垃圾邮件过滤层次最多的是在美国中小企业市场占有率第一的Barracuda Networks(博威特网络公司)的“梭子鱼”垃圾邮件防火墙,这种硬件防火墙号称有10层过滤。其采用的技术倒是够全面的,但10层过滤机制的背后肯定是对系统资源的大量消耗,对于该产品的设计者而言,恐怕考虑更多的是如何尽可能提升系统的性能,核心的过滤算法由于是业界早已成熟的技术,反倒在其次了。
下面我们就以Barracuda“梭子鱼”垃圾邮件防火墙为例,探讨一下垃圾桶的摆放问题。
“梭子鱼”的所谓10层过滤其实是10个在系统级设置的可选规则,按照数据流的方向,邮件进入后最先遇到的前五个措施分别是:DoS安全防护、IP屏蔽列表、速率控制以及两次病毒检查。这些技术手段都是基于对公网上已知邮件威胁的明文规则,其中的两次病毒检查,第一次是基于公开的病毒库,第二次是基于Barracuda自己开发的杀毒引擎。
由于每一次技术处理都会过滤掉部分邮件,所以多层次过滤的一个表现就是越到后来需要处理的邮件越少,但难度也相应增大。在“梭子鱼”的前5层过滤中,需要进行大量计算的查杀病毒是被安排在最后的,这正是基于多层过滤系统的特点来设计的。显然,如果第一步就进行杀毒,那么本来可以通过IP屏蔽列表过滤掉的邮件就会浪费系统的计算资源,对于电信级的邮件防火墙,这样的情况更要考虑周全。
同样的设计思路在其后几层的分配顺序上也得到了体现,“梭子鱼”的后5层过滤机制依次是:用户自定义规则、指纹识别、行为判别、贝叶斯过滤、基于规则的评分系统。评分系统是最终分拣出正常邮件的出口,而要实现贝叶斯过滤的算法要耗费大量的系统资源,所以,贝叶斯过滤被安排在评分系统之前的最后一道关口。用户自定义规则是所有这几个步骤中最容易实现的,因而被排在最前面。
对整个10层的比较也容易看出,前5层主要是针对“技术上的恶意邮件”的过滤,而后5层是针对逻辑意义上的垃圾邮件来过滤的,显然,前后两个阶段的过滤顺序也是基于这样一个基本判断:技术上的恶意邮件肯定是不能转发给内网用户的,所以设计者将针对恶意邮件的过滤放在整体策略的前端。
有兴趣的读者不妨考虑一下,同样是这10层过滤技术,是否有其他的设计方式,可以更进一步提高系统的效率?
,