病毒初探
提到病毒�����,大家馬上就會想到人類世界的病毒���,這些病毒寄生在人體內(nèi)���,輕則損壞健康,如流感病毒�����;重則危害生命�����,如近期爆發(fā)的MERS病毒�����。同樣����,網(wǎng)絡(luò)世界中也存在病毒,網(wǎng)絡(luò)世界中的病毒是一種惡意代碼���,附著在應(yīng)用程序或文件中���,一般通過郵件或文件共享等協(xié)議進行傳播。這些病毒具有破壞性�、隱蔽性����、傳染性等特點��,嚴重威脅主機系統(tǒng)和網(wǎng)絡(luò)安全����。可見�����,無論是人類世界的病毒還是網(wǎng)絡(luò)世界的病毒�,都需要有應(yīng)對方法才能確保安全。
對于人類世界的病毒��,我們可以通過藥物來處理���;對于網(wǎng)絡(luò)世界的病毒��,我們可以在主機上安裝殺毒軟件����,也可以在防火墻上部署反病毒功能�。防火墻上提供的反病毒特性和主機上的殺毒軟件在功能上是互補和協(xié)作的關(guān)系�����,由于部署位置和病毒檢測機制的不同����,兩者可以同時使用����,更好地保障主機和網(wǎng)絡(luò)的安全��。
病毒載體識別
防火墻要想檢測病毒����,前提是必須能識別出報文中的文件。傳統(tǒng)防火墻只關(guān)注報文的網(wǎng)絡(luò)層信息�,像我們在第一季技術(shù)貼中介紹過的NAT、IPSec等特性���,無論是轉(zhuǎn)換IP地址還是封裝新的IP地址�,都只是在網(wǎng)絡(luò)層這個層面做文章����。傳統(tǒng)防火墻就好比是外科醫(yī)生�,檢測深度有限����,對報文應(yīng)用層信息中攜帶的文件無能為力。
而對于NGFW來說���,天生就擁有應(yīng)用識別這一強大的基因��,能夠識別報文的應(yīng)用層信息�����,這就為檢測病毒打好了基礎(chǔ)��。NGFW更像是內(nèi)科醫(yī)生���,深度檢測使病毒無所遁形,正所謂“流量穿墻過����,病毒不放行”。
病毒一般通過郵件或文件共享等協(xié)議進行傳播�,下面我們就來看看都有哪些文件傳輸協(xié)議:
- FTP
最常見的文件傳輸協(xié)議,F(xiàn)TP協(xié)議中存在客戶端和服務(wù)器兩種角色,客戶端可以從服務(wù)器下載文件���,也可以向服務(wù)器上傳文件�。所以對于FTP來說��,文件(病毒)傳播的方向有下載和上傳兩種�����。
- HTTP
瀏覽網(wǎng)頁時常用到的協(xié)議��,也可以傳輸文件����。HTTP協(xié)議傳輸文件時也有兩個方向�����,客戶端即瀏覽器可以向服務(wù)器上傳文件���,也可以從服務(wù)器下載文件�。
- SMTP
最常用的郵件傳輸協(xié)議���,用于電子郵件從客戶端傳輸?shù)洁]件服務(wù)器�����,以及從某一個郵件服務(wù)器傳輸?shù)搅硪粋€郵件服務(wù)器�。通過SMTP協(xié)議發(fā)送郵件是一個“推”的過程,所以文件傳輸方向就只有上傳(發(fā)送郵件)這一個方向�。
- POP3
郵局協(xié)議第三版,用于客戶端從郵件服務(wù)器讀取郵件��。通過POP3協(xié)議讀取郵件是一個“拉”的過程�,所以文件傳輸方向就只有下載(接收郵件)這一個方向。
- IMAP
交互式郵件存取協(xié)議��,可用于客戶端從郵件服務(wù)器收發(fā)郵件���,還支持客戶端直接對郵件服務(wù)器上的郵件進行操作�,因此IMAP協(xié)議的文件傳輸方向包括下載(接收郵件)和上傳(發(fā)送郵件)兩個方向�����。
- NFS
網(wǎng)絡(luò)文件系統(tǒng)�,常用于Linux系統(tǒng)中的一種文件共享協(xié)議,文件的傳輸方向包括上傳和下載兩種�����。
- SMB
常用于Windows操作系統(tǒng)的一種文件共享協(xié)議,文件的傳輸方向也包括上傳和下載兩種����。
病毒檢測
解決了病毒載體的識別問題后,接下來就是如何判斷一個文件是否為病毒文件�����,NGFW采用的是特征對比的方式���。NGFW提取文件特征與病毒特征庫中的特征進行匹配�,如果特征一致�,則認為該文件為病毒文件����;如果特征不一致,則認為該文件為正常文件���。病毒特征庫中的特征是否全面���、精準、有效,決定著病毒檢測的效果�。網(wǎng)絡(luò)世界中,每天都在產(chǎn)生新的病毒�,原有的病毒也會出現(xiàn)變種,所以必須定期更新特征庫����,才能夠更好地保證網(wǎng)絡(luò)安全。
下面我們再來看看反病毒特性的內(nèi)部處理流程����。按理說,反病毒的處理流程應(yīng)該很簡單���,發(fā)現(xiàn)病毒然后阻斷病毒就可以了呀�����。但是����,就像人生充滿了意外一樣�,病毒的處理過程也包含很多例外的情況。比如�,有時候不需要對某條流量檢測病毒����、有時候識別出來的文件并不是病毒�����,需要放行等等��。我們要積極面對人生的意外�,NGFW也要考慮各種例外情況。
處理流程的簡要介紹如下:
1�、經(jīng)過應(yīng)用協(xié)議識別后,流量已經(jīng)顯出真容��,如果流量的類型屬于上面介紹過的七種文件傳輸協(xié)議���,進行下一環(huán)節(jié)處理���;否則不進行病毒檢測����。
2、流量是否命中白名單(包括域名����、URL�、源/目的IP地址或IP地址段規(guī)則)���,如果沒有命中��,進行下一環(huán)節(jié)處理�;如果命中�,則不進行病毒檢測。如果想對某個IP的流量不進行病毒檢測����,就可以把該IP地址添加到白名單中。
3���、對流量中的文件進行病毒檢測�,將文件特征與病毒特征庫中的特征進行匹配���。檢測病毒時��,NGFW還支持高危特征(啟發(fā)式)檢測模式���,即發(fā)現(xiàn)文件存在潛在風(fēng)險����,就認為該文件是病毒文件���。該模式寧可錯殺三千�����,絕不漏過一個����,能夠消除安全隱患���,但會降低病毒檢測的性能�,且存在誤報風(fēng)險����,一般情況下不建議開啟。
4�����、檢測到病毒后�,NGFW會判斷該病毒文件是否屬于病毒例外,如果不屬于病毒例外�,進行下一環(huán)節(jié)處理;如果屬于病毒例外����,則直接放行。
5�、接下來判斷病毒文件的應(yīng)用是否屬于應(yīng)用例外,這里的應(yīng)用指的是承載于HTTP協(xié)議的一些應(yīng)用��,如網(wǎng)盤���、云盤等���,通過應(yīng)用例外可以為應(yīng)用配置不同于HTTP協(xié)議的處理動作。如果屬于應(yīng)用例外���,按照應(yīng)用例外定義的動作進行處理��;如果不屬于應(yīng)用例外�����,則按照協(xié)議定義的動作進行處理�����。
協(xié)議及其支持的處理動作如下表所示���。
|
協(xié)議
|
傳輸方向
|
動作
|
說明
|
|
FTP
|
上傳/下載
|
告警/阻斷
|
告警:允許病毒文件通過
阻斷:禁止病毒文件通過
宣告:允許病毒文件通過����,但會在郵件正文中添加發(fā)現(xiàn)病毒的提示信息
刪除附件:允許郵件通過���,但會刪除郵件中的附件并在郵件正文中添加提示信息
|
|
HTTP
|
上傳/下載
|
告警/阻斷
|
|
SMTP
|
上傳
|
告警/宣告/刪除附件
|
|
POP3
|
下載
|
告警/宣告/刪除附件
|
|
IMAP
|
上傳/下載
|
告警
|
|
NFS
|
上傳/下載
|
告警
|
|
SMB
|
上傳/下載
|
告警/阻斷
|
NGFW對不同協(xié)議支持的動作差異情況���,這里再解釋一下:
1、NFS協(xié)議只有告警動作����,沒有阻斷動作,是因為阻斷文件后�����,NFS文件系統(tǒng)變慢���,用戶體驗很差����,所以NGFW對NFS協(xié)議就只保留了告警動作��。
2���、SMTP和POP3協(xié)議沒有阻斷動作���,是因為病毒檢測應(yīng)該只限于郵件中的附件,不能影響用戶正常閱讀郵件內(nèi)容的權(quán)利�,所以NGFW對SMTP和POP3協(xié)議沒有做阻斷動作,而是提供宣告或刪除附件動作��。
3�、IMAP協(xié)議沒有阻斷動作,除了不能影響用戶閱讀郵件之外���,還因為IMAP協(xié)議工作原理是連續(xù)收取所有郵件���,如果一封郵件檢測出病毒被阻斷,將會影響后續(xù)郵件的接收�����。另外,IMAP協(xié)議也沒有宣告和刪除附件動作����,是因為IMAP協(xié)議不同于SMTP和POP3協(xié)議,對于SMTP和POP3協(xié)議���,NGFW可以通過代理方式運用小手段“篡改”郵件內(nèi)容�����;而對于IMAP協(xié)議�,修改郵件內(nèi)容實現(xiàn)起來難度較大�����,所以NGFW就沒有提供宣告和刪除附件動作�����。
反病毒配置邏輯
學(xué)習(xí)了反病毒特性的實現(xiàn)原理后��,接下來我們介紹反病毒的配置�����。反病毒特性涉及多個功能模塊,需要這些模塊之間相互配合協(xié)作�����。
反病毒特性的主體配置是反病毒配置文件和安全策略����。反病毒配置文件中定義了協(xié)議�、傳輸方向和動作,以及病毒例外和應(yīng)用例外���;安全策略中定義了匹配條件(對哪些流量進行病毒檢測)��、動作(必須為允許)�����,然后引用反病毒配置文件���。其它幾個功能模塊的作用如下:
A 升級特征庫可以提升病毒檢測能力和檢測效率,關(guān)于特征庫升級的內(nèi)容我們將在后續(xù)的貼子中介紹��。
B 推送信息的設(shè)置將會影響郵件正文中添加的提示信息,NGFW提供了缺省的提示信息���,也可以通過設(shè)置推送信息來定制個性化的信息���。
C 文件過濾特性中的全局參數(shù)包括最大解壓層數(shù)、最大解壓文件大小等��,合理設(shè)置這些參數(shù)將會提高病毒檢測效率�。文件過濾也是內(nèi)容安全中的一個特性,我們將在后續(xù)貼子中介紹�。
D 查看威脅日志,如果發(fā)現(xiàn)某個文件被誤報為病毒文件�,實際上該文件是安全的,此時可以將該病毒的ID填寫到病毒例外中�����,后續(xù)NGFW再檢測到這個文件時就會直接放行��。
E 在反病毒配置文件中開啟抓包功能后���,可以在威脅日志中下載病毒數(shù)據(jù)包���,進一步分析病毒特征����。
接下來我們看一下反病毒配置文件的配置界面(以USG6000 V100R001C30SPC100版本為例)�。對于內(nèi)容安全的一系列特性,我們一般采用Web界面來配置�,因為Web界面直觀便捷,不用記憶很多命令�。使用Web界面無法配置的功能,才使用命令行來配置���。
反病毒配置文件的配置界面分為3個區(qū)域���,1是基本配置區(qū)域�,在該區(qū)域中指定協(xié)議�、傳輸方向和動作�;2是病毒例外配置區(qū)域�,在該區(qū)域中添加病毒ID��;3是應(yīng)用例外配置區(qū)域�,在該區(qū)域中添加應(yīng)用例外和動作�。有一點需要注意,Web界面上不支持配置白名單�����,所以反病毒的白名單只能用命令行來配置。
