目录
UTM
反病毒概念
病毒:
反病毒:
病毒威胁场景
常见病毒传播途径
计算机病毒分类
病毒蠕虫木马对比
常见病毒行为特征
反病毒技术原理
单机反病毒
网关反病毒应用场景:
智能感知引擎(IAE)
防火墙反病毒检测技术
反病毒处理流程
应用例外和病毒例外
FW支持的协议及详细内容
UTM
统一威胁管理(Unified Threat Management),将防病毒、入侵检测和防火墙安全设备划归统一威胁管理(Unified Threat Management,简称UTM)新类别. 目前,UTM常定义为由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能,同时将多种安全特性集成于一个硬件设备里,形成标准的统一威胁管理平台。UTM设备应该具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。
虽然UTM集成了多种功能,但却不一定要同时开启。根据不同用户的不同需求以及不同的网络规模,UTM产品分为不同的级别。也就是说,如果用户需要同时开启多项功能,则需要配置性能比较高、功能比较丰富的产品。
反病毒概念
病毒:
病毒是一种恶意代码,可感染或附着在应用程序或文件中,一般通过邮件或文件共享等协议进行传播,威胁用户主机和网络的安全。有些病毒会耗尽主机资源、占用网络带宽;有些病毒会控制主机权限、窃取用户数据;有些病毒甚至会对主机硬件造成破坏。
反病毒:
反病毒是一种安全机制,它可以通过识别和处理病毒文件来保证网络安全,避免由病毒文件而引起的数据破坏、权限更改和系统崩溃等情况的发生。
病毒威胁场景
- 内网用户可以访问外网,且经常需要从外网下载文件。
- 内网部署的服务器经常接收外网用户上传的文件。
常见病毒传播途径
1.电子邮件:HTML正文可能被嵌入恶意脚本;邮件附件携带病毒压缩文件;
2.网络共享:病毒会搜索本地网络中存在的共享,包括默认共享,如ADMINS、IPC$、E$、D$、C$;
3.p2p共享软件:将自身复制到P2P共享文件夹;
4.系统漏洞:由于操作系统固有的一些设计缺陷,导致被恶意用户通过畸形的方式利用后,可执行任意代码。病毒往往利用系统漏洞进入系统,达到传播的目的。
5。广告软件/灰色软件:灰色软件是指不被认为是病毒木马,但对用户的计算机会造成负面影响的软件。比如说广告软件,它们有时候是由用户主动安装,更多的是与其他正常软件进行绑定而被安装。
计算机病毒分类
- 按照恶意代码功能分类:病毒、蠕虫、木马;
- 按照传播机制分类:可移动媒体、网络共享、网络扫描、电子邮件、P2P网络;
- 按照感染对象分类:操作系统、应用程序、设备;
- 按照携带者对象分类:可执行文件、脚本、宏、引导区。
病毒蠕虫木马对比
常见病毒行为特征
- 下载与后门
- 信息收集
- 自身隐藏
- 文件感染
- 网络攻击
反病毒技术原理
单机反病毒
单机反病毒可以通过安装杀毒软件实现,也可以通过专业的防病毒工具实现。
网关反病毒应用场景:
智能感知引擎(IAE)
传统UTM是把多个盒子的功能,放在了一个盒子里面。物理上,盒子少了;但是逻辑上仍然是全串行处理,一个盒子里面还是多个盒子的处理流程,每一个安全检测都由一个单独的引擎来处理,每一个报文流都要经过多次检测,每一次检测都必然增加了网络延迟。
NGFW使用高性能的智能感知引擎(IntelligentAwareness Engine,简称IAE),实现一体化检测,一体化处理。对于上送的流量,IAE引擎会识别出准确的协议和应用,然后由对应的协议解码模块深度解码,并把解码以后的各个字段和内容分类送给后续的环节,不同类型的内容,检测项也不尽相同,但是多种检测是并行的,速度更快。
NGFW采用了基于流的文件处理机制,能够接收文件片段并执行安全检测。IAE引擎的安全检测是并行的,这样文件传输时延小,整体性能更高,用户体验也比较好。
防火墙反病毒检测技术
白名单由白名单规则组成,管理员可以为信任的域名、URL、IP地址或IP地址段配置白名单规则,以此提高反病毒的检测效率。白名单规则的生效范围仅限于所在的反病毒配置文件,每个反病毒配置文件都拥有自己的白名单。
反病毒处理流程
NGFW支持对使用以下协议传输的文件进行病毒检测:
- FTP(File Transfer Protocol):文件传输协议
- HTTP(Hypertext Transfer Protocol):超文本传输协议
- POP3(Post Office Protocol - Version 3):邮局协议的第3个版本
- SMTP(Simple Mail Transfer Protocol):简单邮件传输协议
- IMAP(Internet Message Access Protocol):因特网信息访问协议
- NFS(Network File System):网络文件系统
- SMB(Server Message Block):文件共享服务器
NGFW支持对不同传输方向上的文件进行病毒检测。
- 上传:指客户端向服务器发送文件。
- 下载:指服务器向客户端发送文件。
应用例外和病毒例外
如果要为协议中的某个应用配置不同的响应动作,可以在应用例外中完成。
如果用户认为某个病毒为误报,可以根据病毒ID配置病毒例外。
FW支持的协议及详细内容