病毒防火墙有哪些

2016-12-22

我们常说的病毒防火墙指的是什么呢?是防范病毒的吗?下面由小编给你做出详细的病毒防火墙介绍!希望对你有帮助!

病毒防火墙介绍一

防火墙不能有效地防范像病毒这类东西的入侵。在网络上传输二进制文件的编码方式太多了,并且有太多的不同的结构和病毒,因此不可能查找所有的病毒。

换句话说,防火墙不可能将安全意识(security-consciosness)交给用户一方。总之,防火墙不能防止数据驱动的攻击:即通过将某种东西邮寄或拷贝到内部主机中,然后它再在内部主机中运行的攻击。过去曾发生过对不同版本的邮件寄送程序和幻像脚本(ghostscript)和免费PostScript阅读器的这类攻击。

对病毒十分忧虑的机构应当在整个机构范围内采取病毒控制措施。不要试图将病毒挡在防火墙之外,而是保证每个脆弱的桌面系统都安装上病毒扫描软件

只要一引导计算机就对病毒进行扫描。利用病毒扫描软件防护你的网络将可以防止通过软盘、调制解调器和Internet传播的病毒的攻击。试图御病毒于防火墙之外只能防止来自Internet的病毒,而绝大多数病毒是通过软盘传染上的。

尽管如此,还是有越来越多的防火墙厂商正提供“病毒探测”防火墙。这类防火墙只对那种交换Windows-on-Intel执行程序和恶意宏应用文档的毫无经验的用户有用。不要指望这种特性能够对攻击起到任何防范作用。

病毒防火墙介绍二

如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。

第一种:软件防火墙

软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。

第二种:硬件防火墙

这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上"所谓"二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。 值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS(操作系统)本身的安全性影响。

传统硬件防火墙一般至少应具备三个端口,分别接内网,外网和DMZ区(非军事化区),现在一些新的硬件防火墙往往扩展了端口,常见四端口防火墙一般将第四个端口做为配置口、管理端口。很多防火墙还可以进一步扩展端口数目。

第三种:芯片级防火墙

芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。

防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型”和“应用代理型”两大类。前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表,后者以美国NAI公司的Gauntlet防火墙为代表。

(1). 包过滤(Packet filtering)型

包过滤型防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包头源地址,目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。

病毒防火墙介绍三

新一代攻击的特点

1、混合型攻击使用多种技术的混合-—如病毒、蠕虫、木马和后门攻击,往往通过Email和被感染的网站发出,并很快的传递到下一代攻击或攻击的变种,使得对于已知或未知的攻击难以被阻挡。这种混合型攻击的例子有Nimda、CodeRed和Bugbear等。

2、现在针对新漏洞的攻击产生速度比以前要快得多。防止各种被称之为“零小时”(zero-hour)或“零日”(zero-day)的新的未知的威胁变得尤其重要。

3、带有社会工程陷阱元素的攻击,包括间谍软件、网络欺诈、基于邮件的攻击和恶意Web站点等数量明显的增加。攻击者们伪造合法的应用程序和邮件信息来欺骗用户去运行它们。

Gartner发布的漏洞与补丁时间表

传统的安全方法正在失效

如今最流行的安全产品是状态检测防火墙、入侵检测系统和基于主机的防病毒软件。但是它们面对新一代的安全威胁却作用越来越小。状态检测防火墙是通过跟踪会话的发起和状态来工作的。状态检测防火墙通过检查数据包头,分析和监视网络层(L3)和协议层(L4),基于一套用户自定义的防火墙策略来允许、拒绝或转发网络流量。传统防火墙的问题在于黑客已经研究出大量的方法来绕过防火墙策略。这些方法包括:

(1)利用端口扫描器的探测可以发现防火墙开放的端口。

(2)攻击和探测程序可以通过防火墙开放的端口穿越防火墙。

(3)PC上感染的木马程序可以从防火墙的可信任网络发起攻击。由于会话的发起方来自于内部,所有来自于不可信任网络的相关流量

都会被防火墙放过。当前流行的从可信任网络发起攻击应用程序包括后门、木马、键盘记录工具等,它们产生非授权访问或将私密信息发送给攻击者。

较老式的防火墙对每一个数据包进行检查,但不具备检查包负载的能力。病毒、蠕虫、木马和其它恶意应用程序能未经检查而通过。

当攻击者将攻击负载拆分到多个分段的数据包里,并将它们打乱顺序发出时,较新的深度包检测防火墙往往也会被愚弄。

对深度检测的需求

现今为了成功的保护企业网络,安全防御必须部署在网络的各个层面,并采用更新的检测和防护机制。用于增强现有安全防御的一些新型安全策略包括:

设计较小的安全区域来保护关键系统。

增加基于网络的安全平台,以提供在线(“in-line”)检测和防御。

采用统一威胁管理(Unified Threat Management,简称UTM),提供更好的管理、攻击关联,降低维护成本。

研究有效的安全策略,并培训用户。

增加基于网络的安全

基于网络的安全设备能够部署在现有的安全体系中来提高检测率,并在有害流量进入公司网络之前进行拦截。基于网络的安全设备在线(“in-line”)部署,阻挡攻击的能力要比传统的依靠镜像流量的“旁路式”安全设备强得多。基于网络的安全设备的例子包括入侵防御系统(IPS)、防病毒网关、反垃圾邮件网关和统一威胁管理(UTM)设备。UTM设备是将多种安全特性相结合的统一安全平台。除了实时阻挡攻击之外,基于网络的安全还包括以下优点:

减少维护成本。攻击特征、病毒库和探测引擎可以对单台设备而不是上百台主机更新。

升级对于用户、系统或者应用来说是透明的,无需停机,更新可以实时进行——不像操作系统和应用程序打补丁那样需要重启系统。

保护在基于网络的安全设备后面的所有主机,因此减少了基于主机的病毒特征库、操作系统补丁和应用程序补丁升级的急迫性,使IT专业人员在发生问题之前有较充分的时间来测试补丁。

保持以前使用的设备、操作系统和应用,无需将它们都升级到最新的版本。

在网络边界或关键节点上阻挡攻击,在恶意流量进入公司网络之前将其拦截。

不像基于主机的安全应用那样可能被最终用户或恶意程序关闭。

可与已有的安全技术共存并互补。

高级安全检测技术

作为UTM安全设备的领导厂商, Fortinet(飞塔)公司的FortiGate安全平台通过动态威胁防御技术、高级启发式异常扫描引擎提供了较好的检测能力,包括:

集成关键安全组件的状态检测防火墙。

可实时更新病毒和攻击特征的网关防病毒。

IDS和IPS预置一千多个攻击特征,并提供用户定制特征的机制。

VPN(支持PPTP、L2TP、 IPSec,和SSL VPN)。

反垃圾邮件具备多种用户自定义的阻挡机制,包括黑白名单和实时黑名单(RBL)。

Web内容过滤具有用户可定义的过滤和全自动过滤服务。

带宽管理防止带宽滥用。

用户认证,防止非授权的网络访问。

动态威胁防御提供先进的威胁关联技术。

ASIC加速提供比基于PC工控机的安全方案高出4-6倍的性能。

加固的操作系统,不含第三方组件,保证了物理上的安全。

完整的系列支持服务,包括日志和报告生成器、客户端安全组件。

动态威胁防御系统

Fortinet的动态威胁防御系统(DTPS)是超越传统防火墙、针对已知和未知威胁、提升检测能力的技术。它将防病毒、IDS、IPS和防火墙模块中的有关攻击的信息进行关联,并将各种安全模块无缝地集成在一起。DTPS技术使每一个安全功能之间可以互相通信,并关联“威胁索引”信息,以识别可疑的恶意流量,这些流量可能还未被提取攻击特征。通过跟踪每一安全组件的检测活动,DTPS能降低误报率,以提高整个系统的检测精确度。相比之下,由多个不同厂商的安全部件(防病毒、IDS、IPS、防火墙)组合起来的安全方案则缺乏协调检测工作的能力。

更多相关阅读

最新发布的文章