【网络安全设备系列】8、防病毒网关(防毒墙)
0x00 定义:
防病毒网关是一种网络设备,用以保护网络内(一般是局域网)进出数据的安全。主要体现在病毒杀除、关键字过滤(如色情、反动)、 垃圾邮件阻止的功能,同时部分设备也具有一定防火墙(划分Vlan)的功能。
安全网关类设备在应用层和网络层上面都有防火墙的身影,在第三层上面还能看到VPN作用。而防病毒网关这种安全网关作用在第二层,即数据链路层。
0x01 主要功能:
1、病毒杀除
2、关键字过滤
3、垃圾邮件阻止的功能
4、部分设备也具有一定防火墙能够检测进出网络内部的数据,对http、ftp、SMTP、IMAP和POP3五种协议的数据进行病毒扫描,一旦发现病毒就会采取相应的手段进行隔离或查杀,在防护病毒方面起到了非常大的作用。
(author https://www.cnblogs.com/Shepherdzhao/)
0x02 与防火墙的区别:
1、防病毒网关:专注病毒过滤,阻断病毒传输,工作协议层为ISO 2-7层,分析数据包中的传输数据内容,运用病毒分析技术处理病毒体, 具有防火墙访问控制功能模块
2、防火墙:专注访问控制,控制非法授权访问,工作协议层为ISO 2-4层,分析数据包中源IP目的IP,对比规则控制访问方向,不具有病毒过滤功能
0x03 与防病毒软件的区别:
1、防病毒网关:基于网络层过滤病毒;阻断病毒体网络传输;网关阻断病毒传输,主动防御病毒于网络之外;网关设备配置病毒过滤策略,方便、扼守咽喉;过滤出入网关的数据;与杀毒软件联动建立多层次反病毒体系。
2、防病毒软件:基于操作系统病毒清除;清除进入操作系统病毒; 病毒对 系统核心技术滥用导致病毒清除困难,研究主动防御技术;主动防御技术专业性强,普及困难;管理安装杀毒软件终端;病毒发展互联网化需要网关级反病毒技术配合。
0x04 查杀方式:
对进出防病毒网关数据监测:以特征码匹配技术为主;对监测出病毒数据进行查杀:采取将数据包还原成文件的方式进行病毒处理。
1、基于代理服务器的方式
2、基于防火墙协议还原的方式
3、基于邮件服务器的方式
4、基于信息渡船产品方式
0x05 使用方式:
1、 透明模式:串联接入网络出口处,部署简单,缺点是容易单点故障
2、旁路代理模式:强制客户端的流量经过防病毒网关,防病毒网关仅仅需要处理要检测的相关协议,不需要处理其他协议的转发,可以较 好的提高设备性能。
3、旁路模式:与旁路代理模式部署的拓扑一样,不同的是,旁路模式只能起到检测作用,对于已检测到的病毒无法做到清除。