论坛: 系统集成 标题: 关于防病毒墙的一点疑惑[疑惑已消,谢谢老A!] 复制本贴地址    
作者: TecZm [teczm]    版主   登录
大家知道防病毒墙部署在网络接入处,在防火墙后。执行防病毒的功能,对网页病毒、文件病毒、邮件病毒和蠕虫病毒进行查杀。

我的疑惑是:

如果它运行在网络层,那么仅仅对包的过滤怎么能查杀病毒?

如果它运行在应用层,那么是否存在以下问题:
1.应用已知协议对包重组成文件再查杀后再分解成包的话,是否意味着相当于一个proxy?
  否则对客户端而言,如何保持客户端与服务器端的tcp连接?

2. 如果客户端与服务器端采用防病毒墙未知的协议通讯,那么防病毒墙如何重组和分解包?

3. 其重组和分解包的过程是否会对网络连接造成的滞后?
  滞后值上限一般为多少?




[此贴被 TecZm(teczm) 在 08月14日12时12分 编辑过]

地主 发表时间: 04-08-13 09:45
回复: bluecat_ [bluecat_]   论坛用户   登录
我也想知道啊..........可惜我太菜了

B1层 发表时间: 04-08-13 11:05
回复: TecZm [teczm]   版主   登录
查了一些厂商的资料,似乎是运行在应用层的,而且管理员可手动增加已知协议,但是还有一个问题:
如果客户端与墙外的服务器端建立VPN的话,是不是只能依赖客户端杀毒软件了?

再说一点:既然防毒墙运行在应用层,那么其包重组、分解算法应该是相对比较先进的了,不知道国内的几款防毒墙(软件墙或硬件墙)在这方面的速度怎么样?
希望了解情况的兄弟们说说。


B2层 发表时间: 04-08-13 11:27
回复: Achieve [achieve]   版主   登录
杀毒软件杀毒是基于应用程序的文件的,所以不可能运行在网络层,这个概念一定要清晰。
互联网上来的数据都是以数据包的形式过来的,不管是防毒墙还是防火墙,对要对数据包进行重组拆分,这个是毋庸置疑的。
客户端访问互联网上的服务器是通过网关的nat功能,在网关上部署防毒墙就是时下比较热门的联动话题,当然,他的数据包重组依然是通过nat流给客户端,客户端与服务器端的tcp连接该怎么连就怎么连。
其重组和分解包肯定会对网络连接造成延迟,这个也是毋庸置疑,这就是时下联动的问题。
延迟上限不可预知,如果防毒墙没响应的话延迟就无限大了
建立VPN以后他的数据已在vpn的endpoint解密,所以照样会被防火墙察看,而此刻联动的防毒墙也趁机察看,所以只能依赖客户端杀毒软件这句话不成立。
国内的几款防毒墙(软件墙或硬件墙)在这方面的速度咱不知道..........

B3层 发表时间: 04-08-13 20:07
回复: kailangq [kailangq]   版主   登录
高,老A就是老A,人不但色,而且回答问题也很经典!

B4层 发表时间: 04-08-13 20:12
回复: lqfrla [lqfrla]   论坛用户   登录
9494

B5层 发表时间: 04-08-13 20:36
回复: TecZm [teczm]   版主   登录
同意B4观点

B6层 发表时间: 04-08-14 11:32
回复: oldmano7 [oldmano7]      登录
我靠,~
都���@灌水呢?
呵呵,俺也��!~

是啊~

你��都是最好的~

B7层 发表时间: 04-08-14 16:43
回复: Class [yaockai]   论坛用户   登录
有些防毒墙工作在网络层,可监听网络流量的变化,当流量异常时,再对数据包做处理,不过只能处理典型的几种蠕虫病毒!

B8层 发表时间: 04-08-22 15:30
回复: TecZm [teczm]   版主   登录
楼上能举几个例子么? 即什么牌子的防毒墙是这样的?

B9层 发表时间: 04-08-23 09:26
回复: Class [yaockai]   论坛用户   登录
趋势科技 NVW1200 就是工作在网络层的一种硬件防毒墙设备.

B10层 发表时间: 04-08-23 21:27
回复: TecZm [teczm]   版主   登录
那么它何以判定流量是否异常呢?

文件是否带毒和流量有什么关系?(我说的不是蠕虫)

B11层 发表时间: 04-08-23 22:00

论坛: 系统集成

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号