|
作者: TecZm [teczm] 版主 | 登录 |
大家知道防病毒墙部署在网络接入处,在防火墙后。执行防病毒的功能,对网页病毒、文件病毒、邮件病毒和蠕虫病毒进行查杀。 我的疑惑是: 如果它运行在网络层,那么仅仅对包的过滤怎么能查杀病毒? 如果它运行在应用层,那么是否存在以下问题: 1.应用已知协议对包重组成文件再查杀后再分解成包的话,是否意味着相当于一个proxy? 否则对客户端而言,如何保持客户端与服务器端的tcp连接? 2. 如果客户端与服务器端采用防病毒墙未知的协议通讯,那么防病毒墙如何重组和分解包? 3. 其重组和分解包的过程是否会对网络连接造成的滞后? 滞后值上限一般为多少? [此贴被 TecZm(teczm) 在 08月14日12时12分 编辑过] |
地主 发表时间: 04-08-13 09:45 |
回复: bluecat_ [bluecat_] 论坛用户 | 登录 |
我也想知道啊..........可惜我太菜了 |
B1层 发表时间: 04-08-13 11:05 |
回复: TecZm [teczm] 版主 | 登录 |
查了一些厂商的资料,似乎是运行在应用层的,而且管理员可手动增加已知协议,但是还有一个问题: 如果客户端与墙外的服务器端建立VPN的话,是不是只能依赖客户端杀毒软件了? 再说一点:既然防毒墙运行在应用层,那么其包重组、分解算法应该是相对比较先进的了,不知道国内的几款防毒墙(软件墙或硬件墙)在这方面的速度怎么样? 希望了解情况的兄弟们说说。 |
B2层 发表时间: 04-08-13 11:27 |
回复: Achieve [achieve] 版主 | 登录 |
杀毒软件杀毒是基于应用程序的文件的,所以不可能运行在网络层,这个概念一定要清晰。 互联网上来的数据都是以数据包的形式过来的,不管是防毒墙还是防火墙,对要对数据包进行重组拆分,这个是毋庸置疑的。 客户端访问互联网上的服务器是通过网关的nat功能,在网关上部署防毒墙就是时下比较热门的联动话题,当然,他的数据包重组依然是通过nat流给客户端,客户端与服务器端的tcp连接该怎么连就怎么连。 其重组和分解包肯定会对网络连接造成延迟,这个也是毋庸置疑,这就是时下联动的问题。 延迟上限不可预知,如果防毒墙没响应的话延迟就无限大了 建立VPN以后他的数据已在vpn的endpoint解密,所以照样会被防火墙察看,而此刻联动的防毒墙也趁机察看,所以只能依赖客户端杀毒软件这句话不成立。 国内的几款防毒墙(软件墙或硬件墙)在这方面的速度咱不知道.......... |
B3层 发表时间: 04-08-13 20:07 |
回复: kailangq [kailangq] 版主 | 登录 |
高,老A就是老A,人不但色,而且回答问题也很经典! |
B4层 发表时间: 04-08-13 20:12 |
回复: lqfrla [lqfrla] 论坛用户 | 登录 |
9494 |
B5层 发表时间: 04-08-13 20:36 |
回复: TecZm [teczm] 版主 | 登录 |
同意B4观点 |
B6层 发表时间: 04-08-14 11:32 |
回复: oldmano7 [oldmano7] | 登录 |
我靠,~ 都���@灌水呢? 呵呵,俺也��!~ 是啊~ 你��都是最好的~ |
B7层 发表时间: 04-08-14 16:43 |
回复: Class [yaockai] 论坛用户 | 登录 |
有些防毒墙工作在网络层,可监听网络流量的变化,当流量异常时,再对数据包做处理,不过只能处理典型的几种蠕虫病毒! |
B8层 发表时间: 04-08-22 15:30 |
回复: TecZm [teczm] 版主 | 登录 |
楼上能举几个例子么? 即什么牌子的防毒墙是这样的? |
B9层 发表时间: 04-08-23 09:26 |
回复: Class [yaockai] 论坛用户 | 登录 |
趋势科技 NVW1200 就是工作在网络层的一种硬件防毒墙设备. |
B10层 发表时间: 04-08-23 21:27 |
回复: TecZm [teczm] 版主 | 登录 |
那么它何以判定流量是否异常呢? 文件是否带毒和流量有什么关系?(我说的不是蠕虫) |
B11层 发表时间: 04-08-23 22:00 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号