防病毒网关

1. 什么是恶意软件？

恶意软件是指那些破坏系统正常运行、同时具备正常功能和恶意行为的软件的统称。

恶意软件可以包括病毒软件和其他类型的恶意软件，它们会给用户带来实质危害。

恶意软件的表现形式可以包括强行安装、无法卸载、修改主页并锁定、自动弹出广告等。

恶意软件的总体目标是破坏设备的正常运行，例如显示广告、获得计算机的root访问权限等。

恶意软件还存在一些免杀技术，旨在绕过安全系统的检测和防御措施。类似病毒。

2. 恶意软件有哪些特征？

下载特征（能够从远程服务器下载其他恶意软件或更新自身）、

后门特征（在受感染的系统上开启一个隐藏的通道，使攻击者能够远程访问和控制系统）、

信息收集特征（收集用户的敏感信息并发送给攻击者）、

自身隐藏特征（通过修改文件属性、进程名或注册表项等方式隐藏自身）、

文件感染特征（能够感染其他文件并扩散传播）、

网络攻击特征（利用漏洞或弱点攻击网络上的其他系统或设备）。

3. 恶意软件的可分为哪几类？

按照传播方式分类

病毒：感染文件传播
蠕虫：通过网络发送攻击数据包
木马：捆绑、利用网页

按照功能分类

后门：具有感染设备全部操作权限的恶意代码
勒索：通过加密文件，敲诈用户缴纳赎金
挖矿：攻击者通过向被感染设备植入挖矿工具，消耗被感染设备的计算资源进行挖矿，以获取数字货币收益的恶意代码

4. 恶意软件的免杀技术有哪些？

修改文件特征码

修改内存特征码

行为免查技术

5. 反病毒技术有哪些？

首包检测技术

启发式检测技术

文件信誉检测技术

6. 反病毒网关的工作原理是什么？

通过首包检测技术、启发式检测技术、文件信誉检测技术来检测带病毒的文件，然后采取阻断或警告的手段进行干预，从而保证内网用户和服务器接收文件的安全

7. 反病毒网关的工作过程是什么？

1、网络流量进入智能感知引擎后，首先智能感知引擎对流量进行深层分析，识别出流量对应的协议类型和文件传输的方向。

2、判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。

3、判断是否命中白名单。命中白名单后，FW将不对文件做病毒检测。

针对域名和URL，白名单规则有以下4种匹配方式:

前缀匹配
后缀匹配
关键字匹配
精确匹配
4、病毒检测：设备对传输文件进行特征提取，并将提取后的特征与病毒特征库中的特征进行匹配。如果匹配成功，则判定该文件为病毒文件，并送往反病毒处理模块进行处理；如果特征不匹配，则直接放行该文件

5、响应处理：设备检测出传输的文件为病毒文件后，通常有如下处理动作。

告警：允许病毒文件通过，同时记录病毒日志，供网络管理员分析并采取进一步措施。
阻断：禁止病毒文件通过，同时记录病毒日志，供网络管理员分析并采取进一步措施。

8. 反病毒网关的配置流程是什么？

1.新建安全策略

 2.新建反病毒配置文件

 3.全局配置