防病毒(AV)
防病毒(AV) —— 传统的AV防病毒的方式是对文件进行查杀。
-
传统的防病毒的方式是通过将文件缓存之后,再进行特征库的比对,完成检测。但是,因为需
要缓存文件,则将占用设备资源并且,造成转发延迟,一些大文件可能无法缓存,所以,直接
放过可能造成安全风险。
-
代理扫描 ——文件需要全部缓存 — 可以完成更多的如解压,脱壳之类的高级操作,并且,检
测率高,但是,效率较低,占用资源较大。 -
流扫描 —— 基于文件片段进行扫描 — 效率较高,但是这种方法检测率有限。
病毒简介
病毒传播
病毒分类
病毒杀链
病毒的工作原理
C&C服务器
C&C服务器 —— 命令控制服务器
防病毒处理流量
-
进行应用和协议的识别
-
判断这个协议是否支持防病毒的检测,如果不是支持的防病毒协议,则文件将直接通过。
-
之后,需要进行白名单的比对。如果命中白名单,则将不进行防病毒检测,可以同时进行
其他模块的检测。 -
如果没有命中白名单,则将进行特征库的比对。如果比对上了,则需要进行后续处理。
如果没有比对上,则可以直接放行。
这个病毒库也是可以实时对接安全中心进行升级,但是,需要提前购买License进行激
活。 -
如果需要进行后续处理,首先进行“病毒例外“的检测。 — 这个病毒例外,相当于是病
毒的一个白名单,如果是添加在病毒例外当中的病毒,比对上之后,将直接放通。 ---- 过渡
防护 -
之后,进行应用例外的比对。 — 类似于IPS模块中的例外签名。针对例外的应用执行和整
体配置不同的动作。 -
如果没有匹配上前面两种例外,则将执行整体配置的动作。
- 宣告:仅针对邮件文件生效。仅支持SMTP和POP3协议。对于携带病毒的附件,设备允许
文件通过,但是,会在邮件正文中添加病毒的提示,并生成日志。 - 删除附件:仅针对邮件文件生效,仅支持SMTP和POP3协议。对于携带病毒的附件,设备
会删除掉邮件的附件,同时会在邮件正文中添加病毒的提示,并生成日志。
URL过滤
- URL ---- 资源定位符
- 静态网页
- 动态网页 ---- 需要于数据库进行结合
URI ---- 统一资源标识符
URL过滤的方法
- 黑白名单 — 如果匹配白名单,则允许该URL请求;如果匹配黑名单,则将拒绝URL请
求。 - 白名单的优先级高于黑名单。
预定义的URL分类
- 本地缓存查询
- 远程分类服务查询 — 如果进行了远程的查询,则会将查询结果记录在本地的缓存
中,方便后续的查询。 — 需要购买license才能被激活。
自定义的URL分类 ---- 自定义的优先级高于预定义的优先级的
- 如果远程分类服务查询也没有对应分类,则将其归类为“其他”,则按照其他的处理逻
辑执行。
URL的识别方式
- HTTP
DNS过滤