反垃圾邮件防火墙、防火墙及防毒墙异同

　　目前，计算机安全领域新的名词越来越多，防火墙，防毒墙……随着垃圾邮件越来越猖獗，美国最大的反垃圾邮件厂商博威特网络公司推出了梭子鱼垃圾邮件防火墙产品，这个产品不仅能够准确地阻断垃圾邮件，而且能够很好地实现邮件防毒墙的作用，同时还具有抵御攻击的能力，成为国际上最畅销的反垃圾邮件硬件产品。而这个产品与防火墙及防毒墙到底有何异同呢？

　　垃圾邮件防火墙

　　垃圾邮件防火墙，就是只对邮件数据包进行过滤的防火墙。它关心的只是邮件，只负责侦听25端口（SMTP协议也就是邮件协议的端口）的数据包。有些垃圾邮件防火墙还兼有防病毒功能，跟一般意义上的防毒墙不同的是，这个病毒是作为附件发送的邮件病毒，其它病毒并不在它所关心的范围里面。它的病毒处理机制跟防毒墙类似。梭子鱼垃圾邮件防火墙就是一个具有防病毒功能的垃圾邮件防火墙。 例如：

　　“梭子鱼”垃圾邮件防火墙包括十层防护：

　　拒绝服务攻击和安全防护

　　IP阻挡清单

　　速率控制

　　解压缩文件的病毒防护

　　双层病毒扫描

　　用户自定义规则

　　垃圾邮件指纹检查

　　邮件意图分析

　　贝叶斯智能分析

　　基于规则的评分系统

　　这种过滤架构优化了对每一封邮件的处理过程，成生了每天处理百万封以上邮件的强大处理能力，并且各防护层包含在每个解决方案中的数量和种类是可以根据用户的具体需求而改变的。基于技术的不断改良，帮助客户认识每个反垃圾邮件架构的益处和弊端，以最适当的成本整合这些解决方案。这么做是为了以最合理的价格，最有针对性的解决方案解决客户的问题。

　　梭子鱼垃圾邮件防火墙实现功能

　　主要是帮助企业，邮件运营商处理大量的邮件，并且能够在阻断垃圾邮件和过滤病毒时帮助邮件服务器负载均衡。每天能够处理数百万封到千万封的邮件，在自带的存储区域监控可疑邮件，等待指定的管理人或最终用户进行确认，经过确认的邮件才能进入网络。安装在邮件系统外部的设计，在过滤接收到的邮件和保证持续更新垃圾邮件规则的同时，它不会以任何方式干扰内部硬件和网络本身的工作。

　　防火墙

　　防火墙是为了保护企业内部网络免受外部侵害防护单位，它可以是硬件或者软件。通过不同的防护级别和防护措施对内部网络实行保护。防火墙是一个广义上称呼，根据它所防护的侧重点的不同，防火墙可以分为病毒防火墙，DOS（拒绝服务攻击）防火墙，DDOS（分布式拒绝服务攻击）防火墙，垃圾邮件防火墙等等。还有一些应用型的防火墙只对特定类型的网络连接提供保护（比如SMTP或者HTTP协议等）。还有一些基于硬件的防火墙产品。它们的工作方式都是一样的：分析出入防火墙的数据包，决定放行还是阻断。

　　实现功能

　　防火墙主要实现以下四种功能：

　　防火墙是网络安全的屏障，能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。

　　防火墙可以强化网络安全策略，通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。

　　对网络存取和访问进行监控审计。

　　防止内部信息的外泄，通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。　　

　　防毒墙

　　防毒墙，也就是病毒防火墙，顾名思义就是防护病毒侵害的防火墙。防火墙对穿过的数据包进行解析，对照已有的病毒库特征码，如果发现匹配了特征码，就判定为发现了病毒。由于病毒的不可预知性，对于病毒的防护只能后知后觉，永远慢病毒一拍。当然现在也出现了主动预防病毒的技术，它通过“猜测“未知程序的意图来判定其为病毒的可能性。不过这种技术还远远没有成熟，极易出现误判的现象。　

　　实现功能

　　防毒墙以重点加强某几种常用通讯的安全性为目的，是对防火墙的重要补充。防毒墙的作用在于对所监控的协议通讯中所带文件中是否含有特定的病毒特征，防毒墙并不能象防火墙一样阻止攻击的发生，也不能防止蠕虫型病毒的侵扰，相反，防毒墙本身或所在的系统有可能成为网络入侵的目标。

　　以上我们深入浅出的了解了垃圾邮件防火墙，防火墙和防毒墙的区别之后，相信大家在筑建网络安全屏障的时候，一定能合理安排各类产品，事半功倍。

如何鉴别邮件系统

　　现在市场上的邮件系统有很多，当然质量是参差不齐的，我们应该如何来鉴别一套邮件系统的好坏呢？一般的非专业人士都从Webmail的外观、功能来判断，其实不然，一个邮件系统的质量的好坏，取决于其服务器核心。首先，一套好的邮件系统核心应该是自主开发，而不是采用开源项目，这样的邮件系统在反病毒、反垃圾方面具有很高的可扩展性，而采用开源核心的邮件系统一般都不具有反病毒、反垃圾功能。其次，一套好的邮件系统除了必须的SMTP、POP3之外，还应该具有IMAP4协议(Internet Message Access Protocol version 4)，它的功能比POP3强很多，也比POP3更复杂，主要用于收取邮件，也可以向邮箱中添加、拷贝或者移动邮件等，它的运行效率要比POP3高许多，特别是邮箱中的邮件数量越高，越能显出其优势。

　　那么用户应该如何来窥探邮件服务器的核心信息呢？下面我们就来通过简单的命令来获取这些信息：

　　（1）获取邮件服务器域名，即我们想得到XXX@rootel.com这个邮件地址所使用的邮件服务器的域名，应该在windows命令提示符下输入：

　　nslookup<回车>

　　set type=mx<回车>

　　rootel.com<回车>

　　在输出中，你会看到有这么一行（如果没有，可以重复上个步骤）：

　　rootel.com MX preference=0, mail exchanger = mx.rootel.com

　　这时我们就得到了XXX@rootel.com这个邮件地址所使用的邮件服务器域名为 mx.rootel.com

　　要退出nslookup，输入exit<回车>。

　　（2）登录到邮件服务器

　　（2.1）登录到SMTP服务器，使用以下命令：

　　telnet mx.rootel.com 25<回车>

　　如果登录成功，你会看到一些关于该服务器的说明信息，还可输入"help"(不会显示) 来查看更多信息。退出输入：quit<回车>。

　　如果你看到有关postfix、qmail、imail、sendmail相关的信息就可以知道该系统核心采用的是开源项目。

　　（2.2）登录到POP3服务器，使用以下命令：

　　telnet mx.rootel.com 110<回车>

　　如果登录成功，回看到类似的说明信息。退出输入：quit<回车>。

　　（2.3）登录到IMAP4服务器，使用以下命令：

　　telnet mx.rootel.com 143<回车>

　　如果登录成功，回看到类似的说明信息。退出输入：a1 logout<回车> 。如果没有提供 IMAP4协议，这会连接失败。

行为判别技术成反垃圾邮件新方向

1.垃圾邮件愈演愈烈，发送手段日益多样化

　　自2004年初，公安部、信息产业部、教育部、国务院新闻办公室四大部委联合发文，开展了轰轰烈烈的垃圾邮件专项治理工作，国内很多的企业和政府也安装了相应的反垃圾邮件网关系统，采取了一定的技术手段。但是由于垃圾邮件发送者受到巨大的经济利益驱动，还有很多心存恶意的敏感内容邮件发送者，依然在源源不断地制造垃圾邮件。

　　2004年11月份的数字显示，垃圾邮件的比例接近74%，在发送的垃圾邮件中，钓鱼欺诈性邮件占了24%，这使得它成为了增长速度最快的垃圾邮件类型，其它数量较大的垃圾邮件类型包括广告(23%)、医疗(11%)、色情(14%)。

　　由于根据SMTP协议传输邮件时，服务器不验证发信人的身份，所以垃圾邮件发送者一般只要知道接收方的邮件地址就可以进行发信了，如何大量的得到邮件地址呢？一般会利用几种方法:

　　·利用一些网站的内容吸引普通用户，让用户进行注册，注册时需要填写邮件地址

　　·架设扫描器监听网络上的邮件传输数据包，从中抓取邮件地址

　　·先利用扫描手段找到邮件服务器，再利用穷举法探测用户邮件地址

　　·直接攻击、入侵邮件服务器，获得权限后直接发送

　　目前垃圾邮件发送者大都开始利用专用的垃圾邮件发送软件，这类软件可以达到高度的自动化，可以自动、定时变换发信用户和连接源IP地址。可以轻易的躲过邮件管理员人工的阻断，以及传统的反垃圾邮件技术的控制。

　　在内容方面，为了躲过目前很多垃圾邮件内容过滤技术的设备的过滤，垃圾邮件将会更快的变换内容信息，并不断的加入大量的干扰信息，如:加入干扰字符、利用同音字、将文本转换成图像传播、加密、多种类多层压缩技术等。

　　垃圾邮件的数量也将成倍的增长，逐步成为即病毒之后的又一互联网隐患。对于这种垃圾邮件愈演愈烈，日益泛滥成灾的形势，也给国内外专业从事反垃圾邮件技术研究的公司日益提出新的挑战，反垃圾邮件技术也出现了新的发展方向和趋势。

2. 当前反垃圾邮件产品主要采用的技术

　　垃圾邮件的危害有以下几点:

　　（1）垃圾邮件的存在占用了大量的社会资源，如网络带宽资源、服务器存储资源、邮件用户时间等，可以说是间接地浪费钱财。

　　（2）日益增长的垃圾邮件有淹没正常邮件的趋势，严重干扰了正常信息的传递与流动。

　　（3）由于垃圾邮件附载大量虚假、不健康、甚至危害社会稳定与安全的信息，并且垃圾邮件的发送处于非受控状态，对国家的信息安全造成一定的威胁。

　　国内外主要的反垃圾邮件系统，普遍采用的是关键字内容过滤技术，采取“截获样本、解析特征、生成规则、规则下发、内容过滤”这种类似传统杀病毒系统的原理，存在着许多难以克服的问题:

　　· 垃圾邮件内容变化快，数量远远大于病毒，任何一家安全公司都很难保证样本采集的数量和及时性，也就很难保证反垃圾邮件的使用效果和效果的持久性

　　· 必须比对完所有的关键字规则，一封信才能被确实不是垃圾邮件，导致效率低下，资源消耗大，网关系统不稳定，尤其是在遭受巨量邮件攻击时，可能导致系统崩溃

　　· 信件内容多样模糊，依赖关键字规则判别垃圾邮件，导致误判率举高不下，垃圾邮件识别准确性低，效果差

　　· 系统自维护能力差，管理员维护大量规则库，工作量大

　　· 信件必须接收完整才能进行内容过滤，导致国际网络流量费用高

　　· 通过拆信检查内容的方式进行反垃圾邮件，侵犯了公民电子邮件通信自由权和隐私权，这种内容过滤技术将受到广泛的法律质疑。

　　这种过滤算法往往随着规则设立的越多，产生误判的机率也越来越大，而且往往会将合法邮件当成垃圾邮件来对待;而且处理时需要主机做大量的运算，严重影响过滤器，甚至是邮件服务器的性能。

　　所以说传统反垃圾邮件技术，只能解决上述垃圾邮件危害中的第（2）点，也就是只能提升信噪比，以免垃圾邮件淹没正常邮件，但不能解决第（1）与第（3）个问题。垃圾邮件与病毒邮件仍然占用了大量带宽与存储资源，垃圾邮件的发送仍处于非受控状态。

3. 国内安全厂商首创“行为模式识别”全新的反垃圾邮件技术

　　要想从根本上解决反垃圾邮件的技术难题，必须从事先原理出发，从邮件内容进一步往前提一步，做到主动性垃圾邮件行为模式识别的技术，这样才能做到主动型的邮件攻击行为防御、主动型的垃圾邮件阻断，从而最大程度地提高垃圾邮件识别率、拦截率，降低资源消耗，真正达到电信级的网关处理速度。

　　国内著名的反垃圾邮件技术公司敏讯科技和清华大学联合研究发现，垃圾邮件在发送阶段处于活跃的状态，恶意的行为特征远比内容特征要明显，经过对几千万封垃圾邮件搜集、分类，对各种垃圾邮件的发送行为、方式、邮件特征等进行统计学研究，首创垃圾邮件“行为识别模型”(Spam Behavioral Pattern)、空中截击技术(On-Sky Spam Blocking)以及SMTP-IPS抗邮件攻击模型。

　　这种新一代基于垃圾邮件“行为模式识别”理论的智能反垃圾邮件技术，产生了巨大的社会影响和经济效益，哺一出世，即以其崭新的视角、前瞻的理论在国内反垃圾邮件市场上占据了领先地位。

　　敏讯科技利用概率统计数学模型对垃圾邮件进行分类分析统计，与以往不同我们在分析时不但导入邮件内容本身的特征点，而且最关键的是全面加入了各类行为相关因素。通过两年多对上千万封垃圾邮件样本的分析、统计，并经过大量的统计分析计算，从归纳出了垃圾邮件发送行为模式识别模型。行为模式识别模型包含了邮件发送过程中的各类行为要素，如，时间、频度、发送IP、协议声明特征、发送指纹等。在统计分析中，我们发现行为特征上，垃圾邮件与正常邮件具有极高的区分度，且不论内容如何均相对为固有特征，特别是对大量的采用动态 IP发送的邮件更是如此。

　　垃圾邮件行为模式识别模型在理论计算上有着较高的垃圾邮件区分度(>90)，在实证分析中也暗合“小偷的行为心理异于常人”的道理，禁得起逻辑和哲学理论的推敲。

　　采用垃圾邮件行为模式识别模型不仅大大提高了垃圾邮件辨别的准确率，而且不需要对信件的全部内容进行扫描，所以又可以大大提高计算处理能力，为电信级的邮件过滤打下了坚实的基础。

　　此外，采用垃圾邮件行为模式识别模型识别垃圾邮件，也可以从另一方面给垃圾邮件攻击者以压力，迫使发送者必须按照一定的规范发送邮件。也就是说迫使邮件发送者只能从正常渠道，以正常方式发送邮件，从而使得邮件的发送处于受控状态。

　　垃圾邮件行为模式识别模型是完全不同其他邮件过滤技术或算法的技术，虽说依然是站在巨人的肩膀上，但通过推出这种行为识别技术，可以说是将目前的邮件过滤技术带入到下一代的技术革新中。相信不久的将来，在全球的邮件过滤器上都会应用到行为识别技术。

　　鉴于传统内容过滤型反垃圾邮件技术的弊病和局限性，以及垃圾邮件的发展趋势，将导致其逐渐失去作用，并逐步被淘汰。新一代的垃圾邮件行为识别技术将得到更广泛的应用，并取代传统的内容过滤反垃圾邮件技术。