中国网通（集团）河北省通信公司是以经营固定电话、小灵通、数据通信和网元出租等基础电信业务和增值电信业务为主的国有大型骨干电信企业，是河北省境内网络规模最大、客户数量最多、服务范围最广的综合信息业务运营商。

用户需求

为保障河北省内网的安全运营提供了必要的网络技术条件，如修改重要主机的网络服务配置文件、修改访问控制策略、封堵源IP地址等等，网通河北省分公司专门实施了采用MPLS BGP VPN技术的ICN网络建设工程。但是，由于全网缺少安全防护措施和网络安全监控的手段，各种相关的服务器、路由器、网络交换机需要更安全的保护，避免网络受到病毒、黑客攻击，消除安全隐患。尤其是目前蠕虫和病毒泛滥，一直严重影响着河北网通的正常业务运营。

需求分析

冠群金辰的安全工程师通过对河北网通网络实际情况的充分了解，终于发现其网络中存在的几个病毒可能侵入的途径：一是通过HTTP，FTP等把病毒和一些恶意的移动代码带入网络；二是病毒在网络间传播的过程中还经常会利用操作系统、应用系统的漏洞来对网络中关键设备进行恶意攻击。因此，冠群金辰依据“从引入威胁的最薄弱环节进行控制”的原则，对河北通信网络防病毒系统的建设提出了以下的目标：首先，采取更为有力的手段从边界入手，切断网络传播途径，在边界位置进行网关级的过滤，在需要重点保护的网段之前，或者两个安全等级不同的网段之间进行边界过滤，阻断蠕虫传播，防止造成更大的破坏；其次，利用漏洞检测机制被保护网段，发现被蠕虫或病毒感染的计算机遗留下的后门，消除安全隐患；最后还要监控蠕虫传播和异常流量，发现蠕虫来源和传播途径，再结合网络防病毒的广泛部署，这样才能对防治蠕虫具有特殊功效。最终，冠群金辰决定利用KILL过滤网关为河北通信网络构建一个有效的蠕虫防御体系，以保护网络内部资源。

此外，基于安全保障的需要，河北网通在考察市场中常见的网关过滤系统后，提出了一些更具体的要求，包括：产品需要是电信级独立硬件方式，说明其可行性和电信级特性。产品必须通过国际权威的安全组织和中国公安部等多个认证；过滤网关安全措施应支持SMTP、POP3、HTTP、FTP等主要协议的病毒过滤。病毒码和过滤策略可以自动升级，也可以通过手动方式升级；网关过滤系统应可以支持对动态蠕虫的过滤，不仅能够过滤静态蠕虫代码，而且能够阻断诸如SQL Slammer和冲击波此类的蠕虫动态攻击。

解决之道

在河北网通的项目中，冠群金辰将一台高端的KSG5000型过滤网关部署在省ICN互联网访问的防火墙之后，负责过滤通过网关的蠕虫、病毒等恶意代码；另将一台KSG3000型过滤网关部署在邮件服务器之前，专门设计用来解决ICN网络病毒邮件和垃圾邮件的问题。

在河北网通中，冠群金辰的安全专家将KILL过滤网关以透明方式（Bridge模式）接入用户网络（同时也支持非透明方式即Router模式，旁路并联接入）。透明方式接入的好处在于，管理员基本不需要修改其它网络设备的配置，只须接入到需要保护的网络边界即可。KILL过滤网关会自动对所有通过它的网络流量进行识别分析，过滤普通病毒、电子邮件病毒、静态蠕虫、恶意网页代码、非法内容、垃圾邮件、敏感信息等，同时阻击蠕虫动态攻击行为。

利用KILL过滤网关截取网络数据进行过滤处理，将过滤后的数据传递给目的地，以确保信息安全。对于蠕虫和动态攻击，KILL过滤网关则能将其彻底阻断，防止其在内网扩散。

实施效果

实践证明，冠群金辰通过配置KILL过滤网关，使河北网通的网络系统获得了最大程度的安全防护，它不仅保护了企业内部计算机系统资源免遭来自外部病毒、蠕虫等混合型威胁的攻击，还保护企业内部网络资源免受垃圾邮件干扰和DoS/DDoS等动态攻击以致使网络阻塞和瘫痪，同时也有效保护了企业内部的信息资产，过滤敏感信息，及时发现木马行为，并切断其非法扩散的途径。