防病毒網(wǎng)關(guān)詳解要點

1、防病毒網(wǎng)關(guān),2013年10月,目錄,第一章 什么是防病毒網(wǎng)關(guān) 第二章 防病毒網(wǎng)關(guān)與防火墻區(qū)別 第三章 防病毒網(wǎng)關(guān)與防病毒軟件區(qū)別 第四章 防病毒網(wǎng)關(guān)相關(guān)技術(shù) 第五章 防病毒網(wǎng)關(guān)部署模式,2,1. 什么是防病毒網(wǎng)關(guān)(1/2,3,殺毒產(chǎn)品發(fā)展階段,1. 什么是防病毒網(wǎng)關(guān)（2/2,4,防病毒網(wǎng)關(guān)的概念防病毒網(wǎng)關(guān)是一種網(wǎng)絡(luò)設(shè)備，用以保護網(wǎng)絡(luò)內(nèi)進出數(shù)據(jù)的安全。 主要體現(xiàn)在: 1)病毒殺除2)關(guān)鍵字過濾（如色情、反動） 3)垃圾郵件阻止的功能 4)同時部分設(shè)備也具有一定防火墻的功能 這種網(wǎng)關(guān)防病毒產(chǎn)品能夠檢測進出網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)，對HTTP、FTP、SMTP、IMAP和POP3五種協(xié)議的數(shù)據(jù)進行病毒掃描，一

2、旦發(fā)現(xiàn)病毒就會采取相應(yīng)的手段進行隔離或查殺，在防護病毒方面起到了非常大的作用。 注意:以防火墻為主,輔有防病毒過濾功能的產(chǎn)品,一般不認(rèn)為是防病毒網(wǎng)關(guān),目錄,第一章 什么是防病毒網(wǎng)關(guān) 第二章 防病毒網(wǎng)關(guān)與防火墻區(qū)別 第三章 防病毒網(wǎng)關(guān)與防病毒軟件區(qū)別 第四章 防病毒網(wǎng)關(guān)相關(guān)技術(shù) 第五章 防病毒網(wǎng)關(guān)部署模式,5,2防病毒網(wǎng)關(guān)與防火墻區(qū)別(1/3,防病毒網(wǎng)關(guān)與防火墻區(qū)別,6,防病毒網(wǎng)關(guān) 分析數(shù)據(jù)包中傳輸數(shù)據(jù)內(nèi)容 下載1個文件會被拆分多個數(shù)據(jù)包傳輸 對由數(shù)據(jù)包組成的文件運用反病毒技術(shù)分析是否為病毒 防毒墻對數(shù)據(jù)包分析比防火墻要深入,防火墻 分析數(shù)據(jù)包中原IP目的IP 匹配IP訪問控制規(guī)則 控制訪問,2

3、.1防病毒網(wǎng)關(guān)與防火墻區(qū)別(2/3,防病毒網(wǎng)關(guān)與防火墻區(qū)別,7,防病毒網(wǎng)關(guān),防火墻,2防病毒網(wǎng)關(guān)與防火墻區(qū)別(2/3,防病毒網(wǎng)關(guān)與防火墻關(guān)系,8,部署防火墻的網(wǎng)絡(luò)可部署防病毒網(wǎng)關(guān) 90%病毒從互聯(lián)網(wǎng)下載，病毒發(fā)展為互聯(lián)網(wǎng)化 防火墻不檢查傳輸數(shù)據(jù)內(nèi)容，無法控制病毒體傳輸,1,防病毒網(wǎng)關(guān)與防火墻同時部署 防毒墻開啟病毒過濾功能 防火墻開啟訪問控制功能 產(chǎn)品功能互補共同防御,部分網(wǎng)絡(luò)環(huán)境防毒墻可以替代防火墻 防毒墻具備防火墻功能模塊化 病毒過濾對數(shù)據(jù)包分析的深入度包含訪問控制,3,2,目錄,第一章 什么是防病毒網(wǎng)關(guān) 第二章 防病毒網(wǎng)關(guān)與防火墻區(qū)別 第三章 防病毒網(wǎng)關(guān)與防病毒軟件區(qū)別 第四章 防病毒網(wǎng)

4、關(guān)相關(guān)技術(shù) 第五章 防病毒網(wǎng)關(guān)部署模式,9,3防病毒網(wǎng)關(guān)與防病毒軟件區(qū)別(1/2,10,防毒墻與殺毒軟件共存類比,病毒技術(shù)發(fā)展為互聯(lián)網(wǎng)化需要建立多層次反病毒體系,防毒墻與殺毒軟件配合增強反病毒能力,90%的病毒利用互聯(lián)網(wǎng)下載傳播需要網(wǎng)關(guān)反病毒技術(shù) U盤、局域網(wǎng)共享等方式傳播病毒需要殺毒軟件起到保護,病毒技術(shù)濫用系統(tǒng)底層技術(shù)獲得更高權(quán)限傳播從而導(dǎo)致系統(tǒng)各種異?，F(xiàn)象，批量病毒下載使得殺毒軟件清除病毒遭遇困難 基于操作系統(tǒng)主動防御技術(shù)專業(yè)性強普及差需要網(wǎng)關(guān)主動防御技術(shù). 防毒墻扼守網(wǎng)關(guān)攔截互聯(lián)網(wǎng)傳入病毒，殺毒軟件駐留終端清除進入系統(tǒng)病毒,3防病毒網(wǎng)關(guān)與防病毒軟件區(qū)別(2/2,防病毒網(wǎng)關(guān)與防病毒軟件關(guān)

5、系,11,目錄,第一章 什么是防病毒網(wǎng)關(guān) 第二章 防病毒網(wǎng)關(guān)與防火墻區(qū)別 第三章 防病毒網(wǎng)關(guān)與防病毒軟件區(qū)別 第四章 防病毒網(wǎng)關(guān)相關(guān)技術(shù) 第五章 防病毒網(wǎng)關(guān)部署模式,12,13,4. 防病毒網(wǎng)關(guān)相關(guān)技術(shù)(1/15,防病毒網(wǎng)關(guān)用的相關(guān)技術(shù)主要包括： 一、防病毒網(wǎng)關(guān)查殺方式 二、防病毒網(wǎng)關(guān)過濾技術(shù),14,4.1 防病毒網(wǎng)關(guān)相關(guān)技術(shù)查殺方式(2/15,1、對進出防病毒網(wǎng)關(guān)數(shù)據(jù)檢測 綜觀國外的網(wǎng)關(guān)防病毒產(chǎn)品，其對數(shù)據(jù)的病毒檢測還是以特征碼匹配技術(shù)為主其掃描技術(shù)及病毒庫與其服務(wù)器版防病毒產(chǎn)品是一致的 2、對檢測出病毒數(shù)據(jù)進行查殺 如何對進出網(wǎng)關(guān)的數(shù)據(jù)進行查殺，是網(wǎng)關(guān)防病毒網(wǎng)關(guān)技術(shù)的關(guān)鍵。由于目前國內(nèi)外防

6、病毒產(chǎn)品還無法對數(shù)據(jù)包進行病毒檢測，所以各廠商在網(wǎng)關(guān)處只能采取將數(shù)據(jù)包還原成文件的方式進行病毒處理,15,4.1防病毒網(wǎng)關(guān)相關(guān)技術(shù)-查殺方式(3/15,防病毒網(wǎng)關(guān)查殺方式： 防病毒廠商所采取的方式又各不相同，主要分為以下四種方式： 1、基于代理服務(wù)器的方式 2、基于防火墻協(xié)議還原的方式 3、基于郵件服務(wù)器的方式 4、基于信息渡船產(chǎn)品方式,16,4.1防病毒網(wǎng)關(guān)相關(guān)技術(shù)-查殺方式(4/15,防病毒網(wǎng)關(guān)查殺方式： 1、基于代理服務(wù)器的方式 此種方式主要是依靠代理服務(wù)器對數(shù)據(jù)進行還原，在數(shù)據(jù)通過代理服務(wù)器時將其數(shù)據(jù)根據(jù)不同協(xié)議進行還原，再利用其安裝在代理服務(wù)器內(nèi)的掃描引擎對其進行病毒的查殺,17,4

7、。1防病毒網(wǎng)關(guān)相關(guān)技術(shù)-查殺方式(5/15,防病毒網(wǎng)關(guān)查殺方式： 2、基于防火墻協(xié)議還原的方式 此種方式主要是利用防火墻的協(xié)議還原功能，將數(shù)據(jù)包還原為不同協(xié)議的文件，然后傳送到相應(yīng)的病毒掃描服務(wù)器進行查殺，掃描后再將該文件傳送回防火墻進行數(shù)據(jù)傳輸。病毒掃描服務(wù)器可以有多個，防火墻內(nèi)的防病毒代理根據(jù)不同協(xié)議，將相應(yīng)的協(xié)議數(shù)據(jù)轉(zhuǎn)送到不同的病毒掃描服務(wù)器,18,4.1防病毒網(wǎng)關(guān)相關(guān)技術(shù)(6/15,防病毒網(wǎng)關(guān)查殺方式： 3、基于郵件服務(wù)器的方式 此種方式也可認(rèn)為是以郵件服務(wù)器為網(wǎng)關(guān)，在郵件服務(wù)器上安裝相應(yīng)的郵件服務(wù)器版防病毒產(chǎn)品。郵件服務(wù)器版防病毒產(chǎn)品主要通過將防病毒程序內(nèi)嵌在郵件系統(tǒng)內(nèi)，它在進出郵件

8、轉(zhuǎn)發(fā)前對郵件及其附件進行掃描并清除，從而防止病毒通過郵件網(wǎng)關(guān)進入企業(yè)內(nèi)部,19,4.1防病毒網(wǎng)關(guān)相關(guān)技術(shù)(7/15,防病毒網(wǎng)關(guān)查殺方式： 4、基于信息渡船產(chǎn)品方式 此種方式夠?qū)崿F(xiàn)網(wǎng)關(guān)處的病毒防護。信息渡船俗稱網(wǎng)閘，它采用GAP技術(shù)實現(xiàn)，在產(chǎn)品內(nèi)建立信息孤島，通過高速電子開關(guān)實現(xiàn)數(shù)據(jù)在信息孤島的交換。我們只需在信息孤島內(nèi)安裝防病毒模塊，就可實現(xiàn)對數(shù)據(jù)交換過程的病毒檢測與清除,20,4.1防病毒網(wǎng)關(guān)相關(guān)技術(shù)-查殺方式(8/15,防病毒網(wǎng)關(guān)4種查殺方式共性： 最終對數(shù)據(jù)進行掃描仍是通過各廠商的病毒掃描引擎實現(xiàn)的，也就是說與該廠商其它防病毒產(chǎn)品使用的是相同的掃描引擎和病毒庫,21,4.2防病毒網(wǎng)關(guān)相關(guān)

9、技術(shù)協(xié)議過濾技術(shù)(9/15,防病毒網(wǎng)關(guān)用的過濾技術(shù)主要有： 1、協(xié)議代理 2、透明代理,22,4.2防病毒網(wǎng)關(guān)相關(guān)技術(shù)協(xié)議過濾技術(shù)(10/15,1、協(xié)議代理 目前流行幾款網(wǎng)關(guān)殺毒都采用此協(xié)議過濾技術(shù)，殺毒在原有物理網(wǎng)關(guān)前后形成一層協(xié)議代理邏輯網(wǎng)關(guān)，所有通過的網(wǎng)絡(luò)數(shù)據(jù)都須通過防毒網(wǎng)關(guān)，防毒網(wǎng)關(guān)將這些內(nèi)容協(xié)議暫時攔截，然后交給殺毒引擎進行內(nèi)容檢查,23,4.2防病毒網(wǎng)關(guān)相關(guān)技術(shù)協(xié)議過濾技術(shù)(11/15,2、透明代理 透明代理網(wǎng)關(guān)殺毒是防火墻技術(shù)的擴展，一般基于硬件。數(shù)據(jù)包經(jīng)過網(wǎng)關(guān)不會更改路由信息，一次會話數(shù)據(jù)經(jīng)過網(wǎng)關(guān)殺毒后直接轉(zhuǎn)發(fā)，但暫存在最后一個數(shù)據(jù)包，利用其組合成殺毒引擎可識別的格式數(shù)據(jù)，確認(rèn)

10、數(shù)據(jù)安全性后則進行轉(zhuǎn)發(fā)，否則將拋棄該數(shù)據(jù)包，并向用戶端發(fā)送終止信息，以保護內(nèi)網(wǎng)安全。它能大大提高網(wǎng)關(guān)對帶寬的影響,目錄,第一章 什么是防病毒網(wǎng)關(guān) 第二章 防病毒網(wǎng)關(guān)與防火墻區(qū)別 第三章 防病毒網(wǎng)關(guān)與防病毒軟件區(qū)別 第四章 防病毒網(wǎng)關(guān)相關(guān)技術(shù) 第五章 防病毒網(wǎng)關(guān)部署模式,24,25,5.1防病毒網(wǎng)關(guān)部署模式,防病毒網(wǎng)關(guān)部署模式透明模式,1、透明模式,優(yōu)點：部署簡單 缺點：單點故障,26,5.1防病毒網(wǎng)關(guān)部署模式,防病毒網(wǎng)關(guān)部署模式代理模式旁路代理模式,2、旁路代理模式,27,5.1防病毒網(wǎng)關(guān)部署模式,防病毒網(wǎng)關(guān)部署模式代理模式旁路代理模式,2、旁路代理模式有點,代理模式下，需要強制客戶端的流量經(jīng)過防病毒網(wǎng)關(guān)，防火墻可以實現(xiàn)這個強制措施。 代理模式部署防病毒網(wǎng)關(guān)的好處： 防病毒網(wǎng)關(guān)僅僅需要處理要檢測的相關(guān)協(xié)議，不需要處理其他協(xié)議的轉(zhuǎn)發(fā)，可以較好地提高設(shè)備性能。代理模式下的防病毒網(wǎng)關(guān)要求需要掃