31
4.2防病毒网关相关技术—协议过滤技术(12/15)
防病毒网关面临的三大技术问题
任务处理
32
4.2防病毒网关相关技术—协议过滤技术(13/15)
防病毒网关面临的三大技术问题—任务处理 传统防病毒网关一般是基于X86或者单一的ASIC、NP架构的， 其单处理器的模式无法同时处理多个任务流，而其基于Proxy
具有防火墙访问控制功能模块
不具有病毒过滤功能
14
2.1防病毒网关与防火墙区别(2/3)
防病毒网关与防火墙区别
网络传输的IP数据包结构
防病毒网关
｛
版本位 | 包头长度 | 服务类型 | 总长度 标识号 生存时间
| Flag | 片偏移 | 协议类型 | 包头校验和
源IP地址
目的IP地址 选项 数据内容
11
1. 什么是防病毒网关(6/6)
防病毒网关的概念 防病毒网关是一种网络设备，用以保护网络内进出数据的安全。
主要体现在:
1)病毒杀除 2)关键字过滤（如色情、反动）
3)垃圾邮件阻止的功能
4)同时部分设备也具有一定防火墙的功能 这种网关防病毒产品能够检测进出网络内部的数据，对HTTP、FTP、
SMTP、IMAP四种协议的数据进行病毒扫描，一旦发现病毒就会采取相
走在安全的道路上
网络安全知识普及——防病毒
培训人： 时间：
目录
• 什么是防病毒产品？ （包括作用、工作基本原理、防火墙的基本功能、部署位置等） • 防病毒产品的种类。（硬件防火墙 和 主机防火墙） • 防病毒技术的发展阶段及特点。 • 主要的防毒墙厂商及产品型号。（一个厂商1-2页） • WatchGuard网关防病毒的技术特点。
34
4.2防病毒网关相关技术—协议过滤技术(15/15)
防病毒网关面临的三大技术问题—WEB趋势划
网络应用的Web化趋势也给传统反病毒网关也带来了新的挑战。如今
网络应用越来越复杂多样，同时呈现出Web化的趋势，用户每天在网络上 要使用的诸多网络应用，如QQ、MSN等即时通讯工具，各种音频视频应
用，各种CS（Client/Server)客户端，还有文件下载等，都通过Web化的形
1、对进出防病毒网关数据检测
综观国外的网关防病毒产品，其对数据的病毒检测还是以
特征码匹配技术为主其扫描技术及病毒库与其服务器版防病毒 产品是一致的 2、对检测出病毒数据进行查杀 如何对进出网关的数据进行查杀，是网关防病毒网关技术 的关键。由于目前国内外防病毒产品还无法对数据包进行病毒 检测，所以各厂商在网关处只能采取将数据包还原成文件的方
目录 • • • • • 第一章 什么是防病毒网关 第二章防病毒网关与防火墙区别 第三章 防病毒网关与防病毒软件区别 第四章防病毒网关相关技术 第五章 防病毒网关部署模式
3
防病毒产品的形态和种类？
主机防病毒
• 主机防病毒，即防病毒软件。 装在PC主机、服务器主机及各种终端设备上的防病毒软件产品。
13
2防病毒网关与防火墙区别(1/3)
防病毒网关与防火墙区别 防病毒网关 专注病毒过滤 阻断病毒传输 工作协议层：ISO 2- 7层 识别数据包IP并还远传输文件 运用病毒分析技术处理病毒体 防火墙 专注访问控制 控制非法授权访问 工作协议层：ISO 2-4层 识别数据包IP 对比规则控制访问方向
防病毒软件提供在当前工作环境下的反病毒程序所需的一系列功能。 • 实时文件系统扫描， • 按要求的文件系统检查， • 实时电子邮件的扫描， • 实时应用程序的保护， • 对恶意脚本的实时防卫， • 周期性的更新反病毒库， • 作为整个反病毒防卫程序的一部分进行工作，以及存储可疑对象和更改的对 象复本。
1、协议代理
2、透明代理
29
4.2防病毒网关相关技术—协议过滤技术(10/15) 1、协议代理
目前流行几款网关杀毒都采用此协议过滤技术，杀毒在原
有物理网关前后形成一层协议代理逻辑网关，所有通过的网 络数据都须通过防毒网关，防毒网关将这些内容协议暂时拦 截，然后交给杀毒引擎进行内容检查。
30
4.2防病毒网关相关技术—协议过滤技术(11/15) 2、透明代理
病毒对系统核心技术滥用导 致病毒清除困难 研究主动防御技术
网关阻断病毒传输，主 动防御病毒于网络之外 网关设备配置病毒过滤 策略，方便、扼守咽喉
主动防御技术专业性强, 普及困难
过滤出入网关的数据
管理安装杀毒软件终端
与杀毒软件联动建立多 层次反病毒体系
病毒发展互联网化需要 网关级反病毒技术配合
18
3防病毒网关与防病毒软件区别(2/2)
什么是ARP病毒 ARP病毒就是指ARP欺骗，是一种木马病毒。它可以不定的变换IP
或MAC地址来向网络里的计算机发送欺骗数据包，造成受影响的计
算机不能正常访问网络，同时它还会截取复制数据包数据来盗取用户 传输的数据。
9
1什么是防病毒网关(4/6)
与防病毒网关有关的名词解释
什么是蠕虫病毒 蠕虫是一段完整的程序代码（有时为一组程序），能够利用操作系统
式进行病毒处理。
22
4.1防病毒网关相关技术--查杀方式(3/15) 防病毒网关查杀方式：
防病毒厂商所采取的方式又各不相同，主要分为以下四种方式：
1、基于代理服务器的方式 2、基于防火墙协议还原的方式 3、基于邮件服务器的方式 4、基于信息渡船产品方式
23
4.1防病毒网关相关技术--查杀方式(4/15) 防病毒网关查杀方式： 1、基于代理服务器的方式 此种方式主要是依靠代理服务器对数据进行还原，在数据 通过代理服务器时将其数据根据不同协议进行还原，再利用其
应的手段进行隔离或查杀，在防护病毒方面起到了非常大的作用。 注意:以防火墙为主,辅有防病毒过滤功能的产品,一般不认为是方病毒网
关
12
目录 • • • • • 第一章 什么是防病毒网关 第二章防病毒网关与防火墙区别 第三章 防病毒网关与防病毒软件区别 第四章防病毒网关相关技术 第五章 防病毒网关部署模式
网关防病毒
• 网关防病毒，也叫防毒墙。
•
• • • •
指安装在网络出入口处，对网络进出流量进行病毒及恶意代码的扫描检测， 并将带有病毒和恶意代码的流量进行阻断。 是对病毒等恶意软件进行防御的硬件网络防护设备， 可以协助企业防护各类病毒和恶意软件，对其进行隔离和清除 当企业在网络的Internet出口部署防病毒网关系统后 可大幅度降低因恶意软件传播带来的安全威胁，及时发现并限制网络病毒爆 发疫情
描服务器可以有多个，防火墙内的防病毒代理根据不同协议，
将相应的协议数据转送到不同的病毒扫描服务器。
25
4.1防病毒网关相关技术(6/15)
防病毒网关查杀方式： 3、基于邮件服务器的方式 此种方式也可认为是以邮件服务器为网关，在邮件服务器 上安装相应的邮件服务器版防病毒产品。邮件服务器版防病毒 产品主要通过将防病毒程序内嵌在邮件系统内，它在进出邮件
透明代理网关杀毒是防火墙技术的扩展，一般基于硬件。
数据包经过网关不会更改路由信息，一次会话数据经过网关 杀毒后直接转发，但暂存在最后一个数据包，利用其组合成 杀毒引擎可识别的格式数据，确认数据安全性后则进行转发， 否则将抛弃该数据包，并向用户端发送终止信息，以保护内
网安全。它能大大提高网关对带宽的影响。
1. 什么是防病毒网关(1/6) 杀毒产品发展阶段：
网络版 杀毒软件 单机版 杀毒软件 杀毒软件 +防毒墙
• 第三阶段 • 第二阶段
• 第一阶段
7
1. 什么是防病毒网关(2/6)
与防病毒网关有关的名词解释
什么是ARP病毒 什么是蠕虫病毒 什么是网站被挂马
1. 什么是防病毒网关(3/6)
与防病毒网关有关的名词解释
目录 • • • • • 第一章 什么是防病毒网关 第二章防病毒网关与防火墙区别 第三章 防病毒网关与防病毒软件区别 第四章防病毒网关相关技术 第五章 防病毒网关部署模式
17
3防病毒网关与防病毒软件区别(1/2)
防病毒网关
基于网络层过滤病毒
防病毒软件
基于操作系统病毒清除
阻断病毒体网络传输
清除进入操作系统病毒
部署防火墙的网络可部署防病毒网关
90%病毒从互联网下载，病毒发展为互联网化 防火墙不检查传输数据内容，无法控制病毒体传输。
防病毒网关与防火墙同时部署
防毒墙开启病毒过滤功能 防火墙开启访问控制功能 产品功能互补共同防御
部分网络环境防毒墙可以替代防火墙
防毒墙具备防火墙功能模块化 病毒过滤对数据包分析的深入度包含访问控制
转发前对邮件及其附件进行扫描并清除，从而防止病毒通过邮
件网关进入企业内部。 。
26
4.1防病毒网关相关技术(7/15) 防病毒网关查杀方式： 4、基于信息渡船产品方式 此种方式够实现网关处的病毒防护。信息渡船俗称网闸， 它采用GAP技术实现，在产品内建立信息孤岛，通过高速电 子开关实现数据在信息孤岛的交换。我们只需在信息孤岛内安
安装在代理服务器内的扫描引擎对其进行病毒的查杀
24
4。1防病毒网关相关技术--查杀方式(5/15)
防病毒网关查杀方式： 2、基于防火墙协议还原的方式 此种方式主要是利用防火墙的协议还原功能，将数据包还 原为不同协议的文件，然后传送到相应的病毒扫描服务器进行 查杀，扫描后再将该文件传送回防火墙进行数据传输。病毒扫
（软件系统）漏洞将其自身的部分或完整拷贝散布到系统中去，甚至
是网络上的其他系统中去。常被蠕虫利用的传播途径包括：网络共享， 电子邮件，聊天程序等
10
1 什么是防病毒网关(5/6)
与防病毒网关有关的名词解释
什么是网站被挂马 网站挂马是指黑客通过网站的漏洞攻击网站，把已经编写好的木马放 在被攻陷的网站上，以致当用户访问该网站时，感染木马