等保建设「网络安全」安全设备篇——防病毒网关
防病毒网关是一种网络设备,用以保护网络内(一般是局域网)进出数据的安全,也称作“防毒墙”。主要体现在病毒杀除、关键字过滤(如色情、反动)、垃圾邮件阻止的功能,同时部分设备也具有一定防火墙(划分Vlan)的功能。如果与互联网相连,就需要网关的防病毒软件。
目前,安全网关类设备在应用层和网络层上面都有防火墙的身影,在第三层上面还能看到VPN作用。而防病毒网关这种安全网关作用在第二层,即数据链路层。
查杀方式
基于代理服务器的方式
依靠代理服务器对数据进行还原,在数据通过代理服务器时将其数据根据不同协议进行还原,再利用其安装在代理服务器内的扫描引擎对其进行病毒的查杀。
基于防火墙协议还原的方式
利用防火墙的协议还原功能,将数据包还原为不同协议的文件,然后传送到相应的病毒扫描服务器进行查杀,扫描后再将该文件传送回防火墙进行数据传输。病毒扫描服务器可以有多个,防火墙内的防病毒代理根据不同协议,将相应的协议数据转送到不同的病毒扫描服务器。
基于邮件服务器的方式
可认为是以邮件服务器为网关,在邮件服务器上安装相应的邮件服务器版防病毒产品。邮件服务器版防病毒产品主要通过将防病毒程序内嵌在邮件系统内,它在进出邮件转发前对邮件及其附件进行扫描并清除,从而防止病毒通过邮件网关进入企业内部。
基于信息渡船产品方式
实现网关处的病毒防护。信息渡船俗称网闸,它采用GAP技术实现,在产品内建立信息孤岛,通过高速电子开关实现数据在信息孤岛的交换。我们只需在信息孤岛内安装防病毒模块,就可实现对数据交换过程的病毒检测与清除。
过滤技术
协议代理
目前,大多数防病毒网关杀毒都采用此协议过滤技术,杀毒在原有物理网关前后形成一层协议代理逻辑网关,所有通过的网络数据都须通过防毒网关,防毒网关将这些内容协议暂时拦截,然后交给杀毒引擎进行内容检查。
透明代理
透明代理网关杀毒是防火墙技术的扩展,一般基于硬件。数据包经过网关不会更改路由信息,一次会话数据经过网关杀毒后直接转发,但暂存在最后一个数据包,利用其组合成杀毒引擎可识别的格式数据,确认数据安全性后则进行转发,否则将抛弃该数据包,并向用户端发送终止信息,以保护内网安全。它能大大提高网关对带宽的影响。
部署模式
透明模式
可通过透明网桥模式串行在网络中,该模式的优点是部署简单,缺点是单点故障。
旁路代理模式
旁路代理模式下,需要强制客户端的流量经过防病毒网关,防火墙可以实现这个强制措施。该模式下,防病毒网关仅仅需要处理要检测的相关协议,不需要处理其他协议的转发,可以较好地提高设备性能。
旁路模式
旁路模式与旁路代来模式部署的拓扑图是一样,不同的是,旁路模式只能起到检测作用,对于已检测的病毒无法做到清除。