防病毒网关详解要点.ppt

目录 第一章 什么是防病毒网关 第二章 防病毒网关与防火墙区别 第三章 防病毒网关与防病毒软件区别 第四章 防病毒网关相关技术 第五章 防病毒网关部署模式 * 3防病毒网关与防病毒软件区别(1/2) * 防毒墙与杀毒软件共存类比 病毒技术发展为互联网化需要建立多层次反病毒体系 防毒墙与杀毒软件配合增强反病毒能力 90%的病毒利用互联网下载传播需要网关反病毒技术 U盘、局域网共享等方式传播病毒需要杀毒软件起到保护. . 病毒技术滥用系统底层技术获得更高权限传播从而导致系统各种异常现象，批量病毒下载使得杀毒软件清除病毒遭遇困难 基于操作系统主动防御技术专业性强普及差需要网关主动防御技术. 防毒墙扼守网关拦截互联网传入病毒，杀毒软件驻留终端清除进入系统病毒 3防病毒网关与防病毒软件区别(2/2) 防病毒网关与防病毒软件关系 * 目录 第一章 什么是防病毒网关 第二章 防病毒网关与防火墙区别 第三章 防病毒网关与防病毒软件区别 第四章 防病毒网关相关技术 第五章 防病毒网关部署模式 * * 4. 防病毒网关相关技术(1/15) 防病毒网关用的相关技术主要包括： 一、防病毒网关查杀方式 二、防病毒网关过滤技术 * 4.1 防病毒网关相关技术—查杀方式(2/15) 1、对进出防病毒网关数据检测 综观国外的网关防病毒产品，其对数据的病毒检测还是以特征码匹配技术为主其扫描技术及病毒库与其服务器版防病毒产品是一致的 2、对检测出病毒数据进行查杀 如何对进出网关的数据进行查杀，是网关防病毒网关技术的关键。由于目前国内外防病毒产品还无法对数据包进行病毒检测，所以各厂商在网关处只能采取将数据包还原成文件的方式进行病毒处理。 * 4.1防病毒网关相关技术--查杀方式(3/15) 防病毒网关查杀方式： 防病毒厂商所采取的方式又各不相同，主要分为以下四种方式： 1、基于代理服务器的方式 2、基于防火墙协议还原的方式 3、基于邮件服务器的方式 4、基于信息渡船产品方式 * 4.1防病毒网关相关技术--查杀方式(4/15) 防病毒网关查杀方式： 1、基于代理服务器的方式 此种方式主要是依靠代理服务器对数据进行还原，在数据通过代理服务器时将其数据根据不同协议进行还原，再利用其安装在代理服务器内的扫描引擎对其进行病毒的查杀 * 4。1防病毒网关相关技术--查杀方式(5/15) 防病毒网关查杀方式： 2、基于防火墙协议还原的方式 此种方式主要是利用防火墙的协议还原功能，将数据包还原为不同协议的文件，然后传送到相应的病毒扫描服务器进行查杀，扫描后再将该文件传送回防火墙进行数据传输。病毒扫描服务器可以有多个，防火墙内的防病毒代理根据不同协议，将相应的协议数据转送到不同的病毒扫描服务器。 * 4.1防病毒网关相关技术(6/15) 防病毒网关查杀方式： 3、基于邮件服务器的方式 此种方式也可认为是以邮件服务器为网关，在邮件服务器上安装相应的邮件服务器版防病毒产品。邮件服务器版防病毒产品主要通过将防病毒程序内嵌在邮件系统内，它在进出邮件转发前对邮件及其附件进行扫描并清除，从而防止病毒通过邮件网关进入企业内部。。 * 4.1防病毒网关相关技术(7/15) 防病毒网关查杀方式： 4、基于信息渡船产品方式 此种方式够实现网关处的病毒防护。信息渡船俗称网闸，它采用GAP技术实现，在产品内建立信息孤岛，通过高速电子开关实现数据在信息孤岛的交换。我们只需在信息孤岛内安装防病毒模块，就可实现对数据交换过程的病毒检测与清除。。 * 4.1防病毒网关相关技术--查杀方式(8/15) 防病毒网关4种查杀方式共性： 最终对数据进行扫描仍是通过各厂商的病毒扫描引擎实现的，也就是说与该厂商其它防病毒产品使用的是相同的扫描引擎和病毒库 * 4.2防病毒网关相关技术—协议过滤技术(9/15) 防病毒网关用的过滤技术主要有： 1、协议代理 2、透明代理 * 4.2防病毒网关相关技术—协议过滤技术(10/15) 1、协议代理 　目前流行几款网关杀毒都采用此协议过滤技术，杀毒在原有物理网关前后形成一层协议代理逻辑网关，所有通过的网络数据都须通过防毒网关，防毒网关将这些内容协议暂时拦截，然后交给杀毒引擎进行内容检查。 * 4.2防病毒网关相关技术—协议过滤技术(11/15) 2、透明代理 透明代理网关杀毒是防火墙技术的扩展，一般基于硬件。数据包经过网关不会更改路由信息，一次会话数据经过网关杀毒后直接转发，但暂存在最后一个数据包，利用其组合成杀毒引擎可识别的格式数据，确认数据安全性后则进行转发，否则将抛弃该数据包，并向用户端发送终止信息，以保护内网安全。它能大大提高网关对带宽的影