防病毒网关详解要点完整版

1、 2 目录 第一章第一章 什么是防病毒网关什么是防病毒网关 第二章第二章 防病毒网关与防火墙区别防病毒网关与防火墙区别 第三章第三章 防病毒网关与防病毒软件区别防病毒网关与防病毒软件区别 第四章第四章 防病毒网关相关技术防病毒网关相关技术 第五章第五章 防病毒网关部署模式防病毒网关部署模式 3 1. 什么是防病毒网关(1/2) 单机版单机版 杀毒软件杀毒软件 网络版网络版 杀毒软件杀毒软件 第一阶段第一阶段 第二阶段第二阶段 杀毒软件杀毒软件 + +防毒墙防毒墙 第三阶段第三阶段 杀毒产品发展阶段：杀毒产品发展阶段： 4 1. 什么是防病毒网关（2/2） 防病毒网关的概念防病毒网关的概念 防病

2、毒网关是一种网络设备，用以保护网络内进出数据的安全。 主要体现在: 1)病毒杀除 2)关键字过滤（如色情、反动） 3)垃圾邮件阻止的功能 4)同时部分设备也具有一定防火墙的功能 这种网关防病毒产品能够检测进出网络内部的数据，对HTTP、FTP、 SMTP、IMAP和POP3五种协议的数据进行病毒扫描，一旦发现病毒就 会采取相应的手段进行隔离或查杀，在防护病毒方面起到了非常大的作 用。 注意:以防火墙为主,辅有防病毒过滤功能的产品,一般不认为是防病毒网 关 5 目录 第一章第一章 什么是防病毒网关什么是防病毒网关 第二章第二章 防病毒网关与防火墙区别防病毒网关与防火墙区别 第三章第三章 防病毒网

3、关与防病毒软件区别防病毒网关与防病毒软件区别 第四章第四章 防病毒网关相关技术防病毒网关相关技术 第五章第五章 防病毒网关部署模式防病毒网关部署模式 6 2防病毒网关与防火墙区别(1/3) 防病毒网关与防火墙区别防病毒网关与防火墙区别 防病毒网关防病毒网关防火墙防火墙 专注病毒过滤专注访问控制 阻断病毒传输控制非法授权访问 工作协议层：ISO 2- 7层工作协议层：ISO 2-4层 识别数据包IP并还远传输文件识别数据包IP 运用病毒分析技术处理病毒体对比规则控制访问方向 具有防火墙访问控制功能模块不具有病毒过滤功能 7 防病毒网关防病毒网关 分析数据包中传输数据内容 下载1个文件会被拆分多个

4、数据包传 输 对由数据包组成的文件运用反病毒技 术分析是否为病毒 防毒墙对数据包分析比防火墙要深入 版本位 | 包头长度 | 服务类型 | 总长度 标识号 | Flag | 片偏移 生存时间 | 协议类型 | 包头校验和 源IP地址 目的IP地址 选项 数据内容 防火墙防火墙 分析数据包中原IP目的IP 匹配IP访问控制规则 控制访问 2.1防病毒网关与防火墙区别防病毒网关与防火墙区别(2/3) 防病毒网关与防火墙区别防病毒网关与防火墙区别 8 2防病毒网关与防火墙区别(2/3) 防病毒网关与防火墙关系防病毒网关与防火墙关系 部署防火墙的网络可部署防病毒网关 u90%病毒从互联网下载，病毒发展

5、为互联网化 u防火墙不检查传输数据内容，无法控制病毒体传输。 1 防病毒网关与防火墙同时部署 u防毒墙开启病毒过滤功能 u防火墙开启访问控制功能 u产品功能互补共同防御 部分网络环境防毒墙可以替代防火墙 u防毒墙具备防火墙功能模块化 u病毒过滤对数据包分析的深入度包含访问控制 3 2 9 目录 第一章第一章 什么是防病毒网关什么是防病毒网关 第二章第二章 防病毒网关与防火墙区别防病毒网关与防火墙区别 第三章第三章 防病毒网关与防病毒软件区别防病毒网关与防病毒软件区别 第四章第四章 防病毒网关相关技术防病毒网关相关技术 第五章第五章 防病毒网关部署模式防病毒网关部署模式 10 3防病毒网关与防病

6、毒软件区别防病毒网关与防病毒软件区别(1/2) 11 防毒墙与杀毒软件共存类比防毒墙与杀毒软件共存类比 病毒技术发展为 互联网化需要建 立多层次反病毒 体系 防毒墙与杀毒软 件配合增强反病 毒能力 90%的病毒利用互联网下载传播需要网关反 病毒技术 U盘、局域网共享等方式传播病毒需要杀毒软件起 到保护. . 病毒技术滥用系统底层技术获得更高权限传播从 而导致系统各种异常现象，批量病毒下载使得杀毒 软件清除病毒遭遇困难 基于操作系统主动防御技术专业性强普及差需要 网关主动防御技术. 防毒墙扼守网关拦截互联网传入病毒，杀毒软件 驻留终端清除进入系统病毒 3防病毒网关与防病毒软件区别防病毒网关与防病

7、毒软件区别(2/2) 防病毒网关与防病毒软件关系防病毒网关与防病毒软件关系 12 目录 第一章第一章 什么是防病毒网关什么是防病毒网关 第二章第二章 防病毒网关与防火墙区别防病毒网关与防火墙区别 第三章第三章 防病毒网关与防病毒软件区别防病毒网关与防病毒软件区别 第四章第四章 防病毒网关相关技术防病毒网关相关技术 第五章第五章 防病毒网关部署模式防病毒网关部署模式 13 4. 防病毒网关相关技术防病毒网关相关技术(1/15) 防病毒网关用的相关技术主要包括： 一、防病毒网关查杀方式 二、防病毒网关过滤技术 14 4.1 防病毒网关相关技术防病毒网关相关技术查杀方式查杀方式(2/15) 1、对进

8、出防病毒网关数据检测 综观国外的网关防病毒产品，其对数据的病毒检测还是以 特征码匹配技术为主其扫描技术及病毒库与其服务器版防病毒 产品是一致的 2、对检测出病毒数据进行查杀 如何对进出网关的数据进行查杀，是网关防病毒网关技术 的关键。由于目前国内外防病毒产品还无法对数据包进行病毒 检测，所以各厂商在网关处只能采取将数据包还原成文件的方 式进行病毒处理。 15 4.1防病毒网关相关技术防病毒网关相关技术-查杀方式查杀方式(3/15) 防病毒网关查杀方式： 防病毒厂商所采取的方式又各不相同，主要分为以下四种方式： 1、基于代理服务器的方式 2、基于防火墙协议还原的方式 3、基于邮件服务器的方式 4

9、、基于信息渡船产品方式 16 4.1防病毒网关相关技术防病毒网关相关技术-查杀方式查杀方式(4/15) 防病毒网关查杀方式： 1、基于代理服务器的方式 此种方式主要是依靠代理服务器对数据进行还原，在数据 通过代理服务器时将其数据根据不同协议进行还原，再利用其 安装在代理服务器内的扫描引擎对其进行病毒的查杀 17 4。1防病毒网关相关技术防病毒网关相关技术-查杀方式查杀方式(5/15) 防病毒网关查杀方式： 2、基于防火墙协议还原的方式 此种方式主要是利用防火墙的协议还原功能，将数据包还 原为不同协议的文件，然后传送到相应的病毒扫描服务器进行 查杀，扫描后再将该文件传送回防火墙进行数据传输。病毒

10、扫 描服务器可以有多个，防火墙内的防病毒代理根据不同协议， 将相应的协议数据转送到不同的病毒扫描服务器。 18 4.1防病毒网关相关技术防病毒网关相关技术(6/15) 防病毒网关查杀方式： 3、基于邮件服务器的方式 此种方式也可认为是以邮件服务器为网关，在邮件服务器 上安装相应的邮件服务器版防病毒产品。邮件服务器版防病毒 产品主要通过将防病毒程序内嵌在邮件系统内，它在进出邮件 转发前对邮件及其附件进行扫描并清除，从而防止病毒通过邮 件网关进入企业内部。 。 19 4.1防病毒网关相关技术防病毒网关相关技术(7/15) 防病毒网关查杀方式： 4、基于信息渡船产品方式 此种方式够实现网关处的病毒防

11、护。信息渡船俗称网闸， 它采用GAP技术实现，在产品内建立信息孤岛，通过高速电 子开关实现数据在信息孤岛的交换。我们只需在信息孤岛内安 装防病毒模块，就可实现对数据交换过程的病毒检测与清除。 。 20 4.1防病毒网关相关技术防病毒网关相关技术-查杀方式查杀方式(8/15) 防病毒网关4种查杀方式共性： 最终对数据进行扫描仍是通过各厂商的病毒扫描引擎实 现的，也就是说与该厂商其它防病毒产品使用的是相同 的扫描引擎和病毒库 21 4.2防病毒网关相关技术防病毒网关相关技术协议过滤技术协议过滤技术(9/15) 防病毒网关用的过滤技术主要有： 1、协议代理 2、透明代理 22 4.2防病毒网关相关技

12、术防病毒网关相关技术协议过滤技术协议过滤技术(10/15) 1、协议代理 目前流行几款网关杀毒都采用此协议过滤技术，杀毒在原 有物理网关前后形成一层协议代理逻辑网关，所有通过的网 络数据都须通过防毒网关，防毒网关将这些内容协议暂时拦 截，然后交给杀毒引擎进行内容检查。 23 4.2防病毒网关相关技术防病毒网关相关技术协议过滤技术协议过滤技术(11/15) 2、透明代理 透明代理网关杀毒是防火墙技术的扩展，一般基于硬件。 数据包经过网关不会更改路由信息，一次会话数据经过网关 杀毒后直接转发，但暂存在最后一个数据包，利用其组合成 杀毒引擎可识别的格式数据，确认数据安全性后则进行转发， 否则将抛弃该

13、数据包，并向用户端发送终止信息，以保护内 网安全。它能大大提高网关对带宽的影响。 24 目录 第一章第一章 什么是防病毒网关什么是防病毒网关 第二章第二章 防病毒网关与防火墙区别防病毒网关与防火墙区别 第三章第三章 防病毒网关与防病毒软件区别防病毒网关与防病毒软件区别 第四章第四章 防病毒网关相关技术防病毒网关相关技术 第五章第五章 防病毒网关部署模式防病毒网关部署模式 25 5.1防病毒网关部署模式防病毒网关部署模式 防病毒网关部署模式透明模式 1、透明模式 优点：部署简单 缺点：单点故障 26 5.1防病毒网关部署模式防病毒网关部署模式 防病毒网关部署模式代理模式旁路代理模式 2、旁路代理模式 27 5.1防病毒网关部署模式防病毒网关部署模式 防病毒网关部署模式代理模式旁路代理模式 2、旁路代理模式有点： 代理模式下，需要强制客户端的流量经过防病毒网关， 防火墙可以实现这个强制措施。 代理模式部署防病毒网关的好处： 防病毒网关仅仅需要处理要检测的相关协议，不需要处理 其他协议的转发，可以较好地