硬體閘道防毒設備採購特輯─硬體防毒閘道的防毒技術

除了根據品牌形象選擇商業版防毒引擎，開始原始碼也推出防毒引擎

防毒技術的應用，不出防毒引擎和病毒碼資料庫兩大部分，硬體防毒閘道方面，目前除了趨勢科技、CA和Sophos之外，大部分防毒軟體廠商都推出以本身技術為主體的硬體設備。廠商自備防毒引擎

防毒引擎從靜態與已知病毒的病毒碼特徵比對，一路走向啟發式掃描，能夠針對未知型病毒預先偵測與判斷，不過，總體而言還是偏重靜態式的資料庫比對。

以下我們簡單介紹各家的防毒技術：

賽門鐵克

他們認為本身的防毒掃描引擎，具有主動式病毒疫情爆發防護功能，並且由賽門鐵克的安全機制應變中心提供即時病毒定義檔更新。

McAfee

自認在解毒能力方面較強，只要病毒定義資料庫更新到最新，就可以清除病毒，不需要額外下載專屬的解毒程式。McAfee的啟發式偵測從病毒行為著手，不單只是考慮病毒特徵，還會預測並偵測出變種病毒，只要發佈新的病毒碼，就能夠用來防護相同感染方式的變種病毒。

Panda

他們將防毒資料庫和防毒引擎區分為三塊，包括惡意程式、垃圾郵件防護和網頁過濾等，各自獨立；更新時，系統每2小時會檢查病毒資料庫與防毒引擎，每12小時會檢查攔截引擎的更新狀態。Panda還有另一項智慧型動態掃描技術TruPrevent，雖然未整合在閘道防毒設備Gate Defender內，但也值得注意，因為它能夠偵測具有網路特性的蠕蟲或混合型等未知病毒，不需要特別結合防火牆或入侵偵測比對。硬體防毒閘道的熟面孔與新面孔

Sophos算是市場熟面孔，Kaspersky則是這兩年才開始出現在臺灣市場，而Clam防毒與Wildlist病毒資料庫，因為架構開放或費用考量，網路設備廠商在整合防毒功能時也會考慮加入。

Sophos

許多網路安全設備經常搭配Sophos的掃毒引擎，以強化本身的防毒功能，這些產品通常以Sophos的防毒引擎為基礎，再由加值廠商自行撰寫程式，包裝防毒的使用介面及病毒碼更新工作。趙永華說，Sophos採用獨特的InterCheck技術，可以在掃描檔案同時應用「總和檢查碼（checksum）」技術，減輕系統重複掃描的處理負擔。

Sophos病毒偵測引擎，負責掃描病毒、特洛伊木馬和蠕蟲等惡意程式，提供類似微軟COM的架構，裡面包含許多物件以及定義好的介面，提供所有的作業系統平臺，並且以分別獨立的動態函式庫為基礎，處理不同的檔案格式，讓病毒掃描能夠處理一般資料來源或檔案格式。這些技術能夠增加防毒引擎載入與搜尋資料的速度，另外，Sophos也整合偵測變種病毒的程式碼模擬器、線上解壓縮檔的程式，及偵測與解除巨集病毒的OLE 2引擎。

Kaspersky

Kaspersky先前曾經為其他的廠商代工（OEM）防毒引擎，例如GFI或Alt-N MDaemon Antivirus，後來才推出自己的品牌，目前包括F-Secure、Borderware Mxtreme Firewall及Nokia等，都是合作對象。

Kaspersky有專門提供合作夥伴OEM的防毒引擎，採用模組化設計，提供開放式的工具，讓合作廠商根據功能研發的需求調整。張義淵說，Kaspersky OEM的防毒引擎最大好處是很少改版，更換頻率不大，只需更新病毒碼；桌面防毒軟體的引擎則不太一樣，因為用戶的作業系統環境都會改變，所以也要跟著不停改版。OEM合作廠商大多希望原廠防毒引擎盡量不要改版，如此就不需重新改寫程式碼與除錯。Kaspersky病毒資料庫更新時，還可以選擇分別更新防毒引擎或病毒碼，比較有彈性。

SonicWall Gateway Anti-virus

SonicWall新版的SonicOS 3.0，特別將閘道防毒以IPS的方式整合在防火牆內，深度封包檢測引擎可以在第一時間內，在TCP串流中判斷封包是否為病毒、間諜軟體或P2P傳輸，直接阻擋並破壞掉封包結構。

Clam防毒

Clam AntiVirus是一套開放原始碼郵件防毒軟體，提供線上即時更新病毒碼服務，目前能夠偵測29000隻病毒、蠕蟲和木馬，通常會整合在郵件伺服器的附檔掃描功能。Clam提供命令列的掃描工具，支援的平臺相當廣泛，包括GNU/Linux、Solaris、FreeBSD、OpenBSD、AIX 4.1、HPUX 11.0、SCO Unix、Mac OS X、BeOS、Cobalt MIPS boxes和Windows等作業系統。

Clam組織的運作，由使用者自由贊助，沒有商業機制輔助，然而目前有一組分散在全球各地的病毒專家24小時更新及維護病毒資料庫，已經有越來越多的郵件伺服器使用Clam防毒技術，加上程式碼公開、授權免費，因此研發人員可以親自參與這項專案，協助郵件伺服器與防毒引擎的功能穩定發展。新軟Mail Security Gateway就採用了Sophos加上Clam防毒，提供2種防毒引擎選擇。

Wildlist

病毒名單組織Wildlist，目前負責隨時更新新病毒的特徵及通報。藉由Wildlist所提供的資訊，各家防毒廠商可以更快速收集病毒資訊，不過，Wildlist並不是防毒引擎，所提供的病毒資料庫在硬體防毒閘道產品中也可以發現，Fortinet和SonicWall都是使用他們的資訊。文⊙李宗翰