赞
踩
介绍反病毒特性的定义和目的。
病毒是一种恶意代码,可感染或附着在应用程序或文件中,一般通过邮件或文件共享等协议进行传播,威胁用户主机和网络的安全。有些病毒会耗尽主机资源、占用网络带宽,有些病毒会控制主机权限、窃取数据,有些病毒甚至会对主机硬件造成破坏。
反病毒是一种安全机制,它可以通过识别和处理病毒文件来保证网络安全,避免由病毒文件而引起的数据破坏、权限更改和系统崩溃等情况的发生。
随着网络的不断发展和应用程序的日新月异,企业用户越来越频繁地开始在网络上传输和共享文件,随之而来的病毒威胁也越来越大。企业只有拒病毒于网络之外,才能保证数据的安全,系统的稳定。因此,保证计算机和网络系统免受病毒的侵害,让系统正常运行便成为企业所面临的一个重要问题。
反病毒功能可以凭借庞大且不断更新的病毒特征库有效地保护网络安全,防止病毒文件侵害系统数据。将病毒检测设备部署在企业网的入口,可以真正将病毒抵御于网络之外,为企业网络提供了一个坚固的保护层。
原理描述
介绍反病毒特性的实现原理和处理流程。
FW利用专业的智能感知引擎和不断更新的病毒特征库实现对病毒文件的检测和处理,其工作原理如图1所示。
FW的病毒检测是依靠智能感知引擎来进行的。流量进入智能感知引擎后:
首先智能感知引擎对流量进行深层分析,识别出流量对应的协议类型和文件传输的方向。
判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。
FW支持对使用以下协议传输的文件进行病毒检测:
FW支持对不同传输方向上的文件进行病毒检测。
介绍入侵防御特性的定义和目的。
入侵防御是一种安全机制,通过分析网络流量,检测入侵(包括缓冲区溢出攻击、木马、蠕虫等),并通过一定的响应方式,实时地中止入侵行为,保护企业信息系统和网络架构免受侵害。
入侵防御是一种既能发现又能阻止入侵行为的新安全防御技术。通过检测发现网络入侵后,能自动丢弃入侵报文或者阻断攻击源,从根本上避免攻击行为。入侵防御的主要优势有如下几点。
总体上说,IDS对那些异常的、可能是入侵行为的数据进行检测和报警,告知使用者网络中的实时状况,并提供相应的解决、处理方法,是一种侧重于风险管理的安全功能。而入侵防御对那些被明确判断为攻击行为,会对网络、数据造成危害的恶意行为进行检测,并实时终止,降低或是减免使用者对异常状况的处理资源开销,是一种侧重于风险控制的安全功能。
入侵防御技术在传统IDS的基础上增加了强大的防御功能:
传统IDS很难对基于应用层的攻击进行预防和阻止。入侵防御设备能够有效防御应用层攻击。
由于重要数据夹杂在过多的一般性数据中,IDS很容易忽视真正的攻击,误报和漏报率居高不下,日志和告警过多。入侵防御功能可以对报文层层剥离,进行协议识别和报文解析,对解析后的报文分类并进行特征匹配,保证了检测的精确性。
IDS设备只能被动检测保护目标遭到的攻击。为阻止进一步攻击行为,它只能通过响应机制报告给FW,由FW来阻断攻击。
入侵防御是一种主动积极的入侵防范阻止系统。检测到攻击企图时会自动将攻击包丢掉或将攻击源阻断,有效地实现了主动防御功能。
入侵防御通过完善的检测机制对所有通过的报文进行检测分析,并实时决定允许通过或阻断。
入侵防御的基本实现机制如下:
重组应用数据
FW首先进行IP分片报文重组以及TCP流重组,确保了应用层数据的连续性,有效检测出逃避入侵防御检测的攻击行为。
协议识别和协议解析
FW根据报文内容识别多种常见应用层协议。
识别出报文的协议后,FW根据具体协议分析方案进行更精细的分析,并深入提取报文特征。
与传统FW只能根据IP地址和端口识别协议相比,大大提高了对应用层攻击行为的检测率。
特征匹配
FW将解析后的报文特征与签名进行匹配,如果命中了签名,则进行响应处理。
签名的匹配顺序可参考入侵防御对数据流的处理。
响应处理
完成检测后,FW根据管理员配置的动作对匹配到签名的报文进行处理。
对报文的响应处理流程请参见图2。
介绍URL过滤特性的概述以及URL过滤与DNS过滤的关系。
随着互联网应用的迅速发展,计算机网络在经济和生活的各个领域迅速普及,使得信息的获取、共享和传播更加方便,但同时也给企业带来了前所未有的威胁:
URL过滤功能可以解决上述问题,URL过滤功能可以对用户访问的URL进行控制,允许或禁止用户访问某些网页资源,达到规范上网行为的目的。URL过滤还可以通过引用时间段或用户/组等配置项,实现针对不同时间段或不同用户/组的URL访问控制,达到更加精细化和准确化控制员工上网权限的需求。
如图1所示,FW作为企业网关部署在网络边界,当企业用户发起HTTP或HTTPS的URL请求时,通过URL过滤功能可以实现对用户的请求进行放行、告警或者阻断。
使用URL过滤后:
除了URL过滤,DNS过滤也可以达到规范上网行为的目的。DNS过滤是对DNS请求报文中的域名进行过滤,允许或禁止用户访问某些网站。两者的区别如表1所示:
介绍文件过滤特性的定义和目的。
文件过滤是一种根据文件类型对文件进行过滤的安全机制。
随着社会和网络技术的不断发展,公司机密信息和用户个人信息的泄露已经成为信息安全的核心问题之一。另外病毒常感染或附着在文件中,且病毒的反检测和渗透防火墙的能力越来越强。因此文件安全已经是人们越来越关注的问题。但传统的防火墙和UTM设备已经不能满足这些需求。在此背景下,文件过滤技术应运而生。文件过滤能根据文件的类型对文件进行过滤。
机密信息和病毒往往存在于特定的文件类型中,例如机密信息一般保存在文档文件中,病毒信息一般附着在可执行文件中。因此文件过滤通过阻断特定类型文件的传输,可以降低机密信息泄露和内网感染病毒的风险。
如果管理员想进一步降低机密信息泄露的风险,可以将文件过滤与内容过滤功能结合使用。
如果管理员想进一步降低内网感染病毒的风险,可以将文件过滤与反病毒功能结合使用。
介绍内容过滤特性的定义和目的。
内容过滤是一种对通过FW的文件或应用的内容进行过滤的安全机制。
随着互联网时代的发展,公司员工办公时越来越多的需要使用Internet。比如员工需要通过Internet浏览网页、搜索信息、收发邮件、发送帖子和微博等。
员工在使用Internet的过程中可能会产生以下问题:
因此越来越多的公司希望拥有一台设备,既能保证公司员工正常访问Internet,又能对员工接收和发送的信息内容进行过滤。
FW的内容过滤功能可以满足这一需求,它对通过FW的包含特定内容的文件或应用进行过滤,主要作用如下:
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。