本文详细介绍了网络防恶意代码的两种主要设备——嵌入反病毒引擎的防火墙和防病毒网关的工作流程和处理机制。华为USG6000系列防火墙的病毒检测依赖智能感知引擎,对特定协议和传输方向的文件进行特征匹配,匹配到病毒特征库则执行预设响应。防病毒网关则通过拦截内容协议并使用杀毒引擎检查,提供透明、旁路代理等部署方式,确保网络数据安全。
恶意代码(malware)指的是使计算机按照攻击者的意图执行以达到恶意目标的指令集。目前,网络层面的防恶意代码的设备主要有两种,一种是嵌入了反病毒引擎的防火墙设备,另一种是防病毒网关设备。
一.嵌入了反病毒引擎的防火墙设备
对于华为的USG6000系列防火墙V100R001及之后版本下面分别对检测和处理过程进行描述:
1.病毒检测
病毒检测是依靠智能感知引擎来进行的。流量进入智能感知引擎后:
(1)首先智能感知引擎对流量进行深层分析,识别出流量对应的协议类型和文件传输的方向。
(2)判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。
防火墙支持对使用以下协议传输的文件进行病毒检测:FTP、HTTP、POP3、SMTP、IMAP、NFS、SMB
防火墙支持对不同传输方向上的文件进行病毒检测:
① 上传:指客户端向服务器发送文件。
② 下载:指服务器向客户端发送文件。
(3)病毒检测。
智能感知引擎对符合病毒检测的文件进行特征提取,提取后的特征与病毒特征库中的特征进行匹配。如果匹配,则认为该文件为病毒文件,并按照配置文件中的响应动作进行处理。如果不匹配,则允许该文件通过。
病毒特征库是通过分析各种常见病毒特征而形成的。该特征库对各种常见的病毒特征进行了定义,同时为每种病毒特征都分配了一个唯一的病毒ID。当设备加载病毒特征库后,即可识别出特征库里已经定义过的病毒。同时,为了能够及时识别出最新的病毒,设备上的病毒特征库需要不断地从安全中心平台(sec.huawei.com)进行升级。
2.反病毒处理
当检测出传输文件为病毒文件时,需要进行如下处理:
(1)判断该病毒文件是否命中病毒例外。如果是病毒例外,则允许该文件通过。
(2)如果不是病毒例外,则判断该病毒文件是否命中应用例外。如果是应用例外,则按照应用例外的响应动作(放行、告警和阻断)进行处理。
(3)如果病毒文件既没命中病毒例外,也没命中应用例外,则按照配置文件中配置的协议和传输方向对应的响应动作进行处理。
二.防病毒网关
1.工作流程
第一种工作流程是所有网络数据在通过防病毒网关时,防病毒网关将这些内容协议暂时拦截,然后交给杀毒引擎进行检查。(主要采用)
第二种工作流程是所有网络数据经过防病毒网关时,一次会话数据经过防病毒网关后会直接转发,但是暂存最后一个数据包,利用其组合成杀毒引擎可以识别的格式,经过杀毒引擎查杀确认安全后,在进行转发。
2.部署方式
(1)透明模式
优点:部署简单;
缺点:单点故障。
(2)旁路代理模式
需要强制客户端的流量经过防病毒网关,防火墙可以实现这个强制措施。
代理模式部署防病毒网关的好处:防病毒网关仅仅需要处理要检测的相关协议,不需要处理其他协议的转发,可以较好地提高设备性能。
(3)旁路模式
旁路模式与旁路代来模式部署的拓扑图是一样,不同的是,旁路模式只能起到检测作用,对于已检测的病毒无法做到清除。
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
