| 出版日期:2002-05-20 总期号:1118 本年期号:35 |
|
 |
病毒扫描防火墙
“病毒防火墙”这个概念早在两三年前就已经被大肆宣传了,但是那时所谓的病毒防火墙与防火墙的意义还离得很远;它准确地说只是“病毒实时检测和清除系统”,只是反病毒软件的一种工作模式。它在运行时将病毒特征监控的程序驻留内存中,随时查看系统的运行中是否有病毒的迹象,包括下载存盘的文件和从E-mail附件保存下来的文件,以及监控网上邻居的共享目录。这种病毒防护实际上仍然无法防止病毒和恶意代码通过网络传播,E-mail用户可能每天还是要花费大量宝贵的时间去删除那些通过防火墙进入的染毒的E-mail。 传统的防火墙是在受保护网络和外部网络之间建立的屏障,用户通过设定协议层上的规则来决定允许或阻止内网与外网之间的数据传输。防火墙通过NAT和状态检测技术能有效地抵制包括DoS在内的常见黑客攻击,但是它对于隐藏在网页和E-mail通信中的病毒和蠕虫却无能为力。新的网络安全威胁迫使防火墙技术发展进入了新的一代——内容扫描防火墙。 内容扫描防火墙(或称病毒扫描防火墙),通过筛分携带于内容协议的信息来保护网络免受计算机病毒和蠕虫的侵入。内容协议包括网页通信(HTTP)和E-mail通信(SNMP、POP3和IMAP)。内容扫描防火墙从收到的网络通信中区分出内容协议,重定向到TCPIP栈中,并进行内容扫描;而所有其他通信都直接送往状态检测引擎,进行与标准的状态检测防火墙同样的处理;这样分类处理能使得病毒检测基本上不影响防火墙的性能。 高性能的硬件TCPIP栈控制着所有内容协议的处理。在收到第一条内容流时,TCPIP栈就与客户端和服务器建立连接,来传输分组,并将接收的分组转化为内容流。随后,服务区分器将内容流按不同的服务类型区分开,并将每个流发送给命令剖析器。命令剖析器从HTTP流中分离出上载或下载的文件,从E-mail流中分离出附件,转移给病毒扫描引擎分析是否包含病毒或蠕虫,同时将其他内容传给内容过滤引擎,并根据内容过滤的设置来选择阻断或允许该流通过。 由于大多HTTP文件和E-mail附件使用了MIME格式,病毒扫描引擎要能解析MIME文件来查找目标文件;而许多病毒通常在感染时将自身加密,病毒扫描引擎还要能建立一个模拟环境来执行目标文件,同时扫描执行中生成的文件的病毒特征。因此,病毒扫描防火墙不是防病毒软件在网关上的简单应用,它是嵌入了强大的实时解码、解压缩和解密模块的,集病毒扫描和防火墙于一身的一项新技术。利用这些新技术,上海广电应确信有限公司(www.svanetworks.com)提供了一系列分别满足SOHO、大中型企业、到ISP和电信级需求的病毒扫描防火墙,能在病毒进入网络之前就进行扫描,并对已感染病毒的文件加以清除,标记等处理,阻止病毒进入企业网内部。 |
||||||||||||||||||||||||||
