病毒初探
提到病毒��,大家馬上就會(huì)想到人類世界的病毒,這些病毒寄生在人體內(nèi)�����,輕則損壞健康�,如流感病毒;重則危害生命��,如近期爆發(fā)的MERS病毒�。同樣,網(wǎng)絡(luò)世界中也存在病毒��,網(wǎng)絡(luò)世界中的病毒是一種惡意代碼�����,附著在應(yīng)用程序或文件中���,一般通過(guò)郵件或文件共享等協(xié)議進(jìn)行傳播�。這些病毒具有破壞性��、隱蔽性、傳染性等特點(diǎn)�����,嚴(yán)重威脅主機(jī)系統(tǒng)和網(wǎng)絡(luò)安全����。可見�����,無(wú)論是人類世界的病毒還是網(wǎng)絡(luò)世界的病毒�����,都需要有應(yīng)對(duì)方法才能確保安全�����。
對(duì)于人類世界的病毒���,我們可以通過(guò)藥物來(lái)處理��;對(duì)于網(wǎng)絡(luò)世界的病毒����,我們可以在主機(jī)上安裝殺毒軟件�,也可以在防火墻上部署反病毒功能。防火墻上提供的反病毒特性和主機(jī)上的殺毒軟件在功能上是互補(bǔ)和協(xié)作的關(guān)系����,由于部署位置和病毒檢測(cè)機(jī)制的不同,兩者可以同時(shí)使用���,更好地保障主機(jī)和網(wǎng)絡(luò)的安全�����。
病毒載體識(shí)別
防火墻要想檢測(cè)病毒�,前提是必須能識(shí)別出報(bào)文中的文件�����。傳統(tǒng)防火墻只關(guān)注報(bào)文的網(wǎng)絡(luò)層信息����,像我們?cè)诘谝患炯夹g(shù)貼中介紹過(guò)的NAT、IPSec等特性����,無(wú)論是轉(zhuǎn)換IP地址還是封裝新的IP地址����,都只是在網(wǎng)絡(luò)層這個(gè)層面做文章�����。傳統(tǒng)防火墻就好比是外科醫(yī)生����,檢測(cè)深度有限,對(duì)報(bào)文應(yīng)用層信息中攜帶的文件無(wú)能為力����。
而對(duì)于NGFW來(lái)說(shuō),天生就擁有應(yīng)用識(shí)別這一強(qiáng)大的基因����,能夠識(shí)別報(bào)文的應(yīng)用層信息,這就為檢測(cè)病毒打好了基礎(chǔ)�����。NGFW更像是內(nèi)科醫(yī)生,深度檢測(cè)使病毒無(wú)所遁形��,正所謂“流量穿墻過(guò)����,病毒不放行”��。
病毒一般通過(guò)郵件或文件共享等協(xié)議進(jìn)行傳播���,下面我們就來(lái)看看都有哪些文件傳輸協(xié)議:
- FTP
最常見的文件傳輸協(xié)議�����,F(xiàn)TP協(xié)議中存在客戶端和服務(wù)器兩種角色�,客戶端可以從服務(wù)器下載文件��,也可以向服務(wù)器上傳文件���。所以對(duì)于FTP來(lái)說(shuō)���,文件(病毒)傳播的方向有下載和上傳兩種。
- HTTP
瀏覽網(wǎng)頁(yè)時(shí)常用到的協(xié)議�����,也可以傳輸文件。HTTP協(xié)議傳輸文件時(shí)也有兩個(gè)方向��,客戶端即瀏覽器可以向服務(wù)器上傳文件��,也可以從服務(wù)器下載文件�����。
- SMTP
最常用的郵件傳輸協(xié)議�,用于電子郵件從客戶端傳輸?shù)洁]件服務(wù)器,以及從某一個(gè)郵件服務(wù)器傳輸?shù)搅硪粋€(gè)郵件服務(wù)器��。通過(guò)SMTP協(xié)議發(fā)送郵件是一個(gè)“推”的過(guò)程����,所以文件傳輸方向就只有上傳(發(fā)送郵件)這一個(gè)方向。
- POP3
郵局協(xié)議第三版�,用于客戶端從郵件服務(wù)器讀取郵件。通過(guò)POP3協(xié)議讀取郵件是一個(gè)“拉”的過(guò)程����,所以文件傳輸方向就只有下載(接收郵件)這一個(gè)方向。
- IMAP
交互式郵件存取協(xié)議���,可用于客戶端從郵件服務(wù)器收發(fā)郵件���,還支持客戶端直接對(duì)郵件服務(wù)器上的郵件進(jìn)行操作����,因此IMAP協(xié)議的文件傳輸方向包括下載(接收郵件)和上傳(發(fā)送郵件)兩個(gè)方向。
- NFS
網(wǎng)絡(luò)文件系統(tǒng),常用于Linux系統(tǒng)中的一種文件共享協(xié)議��,文件的傳輸方向包括上傳和下載兩種�����。
- SMB
常用于Windows操作系統(tǒng)的一種文件共享協(xié)議�,文件的傳輸方向也包括上傳和下載兩種。
病毒檢測(cè)
解決了病毒載體的識(shí)別問(wèn)題后����,接下來(lái)就是如何判斷一個(gè)文件是否為病毒文件,NGFW采用的是特征對(duì)比的方式�����。NGFW提取文件特征與病毒特征庫(kù)中的特征進(jìn)行匹配�����,如果特征一致,則認(rèn)為該文件為病毒文件�����;如果特征不一致���,則認(rèn)為該文件為正常文件�����。病毒特征庫(kù)中的特征是否全面�����、精準(zhǔn)��、有效�����,決定著病毒檢測(cè)的效果�。網(wǎng)絡(luò)世界中�����,每天都在產(chǎn)生新的病毒,原有的病毒也會(huì)出現(xiàn)變種����,所以必須定期更新特征庫(kù),才能夠更好地保證網(wǎng)絡(luò)安全�����。
下面我們?cè)賮?lái)看看反病毒特性的內(nèi)部處理流程�����。按理說(shuō)�����,反病毒的處理流程應(yīng)該很簡(jiǎn)單��,發(fā)現(xiàn)病毒然后阻斷病毒就可以了呀�。但是���,就像人生充滿了意外一樣����,病毒的處理過(guò)程也包含很多例外的情況。比如���,有時(shí)候不需要對(duì)某條流量檢測(cè)病毒�、有時(shí)候識(shí)別出來(lái)的文件并不是病毒���,需要放行等等����。我們要積極面對(duì)人生的意外�,NGFW也要考慮各種例外情況。
處理流程的簡(jiǎn)要介紹如下:
1�、經(jīng)過(guò)應(yīng)用協(xié)議識(shí)別后,流量已經(jīng)顯出真容�����,如果流量的類型屬于上面介紹過(guò)的七種文件傳輸協(xié)議���,進(jìn)行下一環(huán)節(jié)處理��;否則不進(jìn)行病毒檢測(cè)��。
2����、流量是否命中白名單(包括域名、URL���、源/目的IP地址或IP地址段規(guī)則)���,如果沒(méi)有命中,進(jìn)行下一環(huán)節(jié)處理���;如果命中�����,則不進(jìn)行病毒檢測(cè)。如果想對(duì)某個(gè)IP的流量不進(jìn)行病毒檢測(cè)�,就可以把該IP地址添加到白名單中。
3��、對(duì)流量中的文件進(jìn)行病毒檢測(cè)��,將文件特征與病毒特征庫(kù)中的特征進(jìn)行匹配�����。檢測(cè)病毒時(shí),NGFW還支持高危特征(啟發(fā)式)檢測(cè)模式����,即發(fā)現(xiàn)文件存在潛在風(fēng)險(xiǎn),就認(rèn)為該文件是病毒文件�����。該模式寧可錯(cuò)殺三千�����,絕不漏過(guò)一個(gè)�����,能夠消除安全隱患�����,但會(huì)降低病毒檢測(cè)的性能��,且存在誤報(bào)風(fēng)險(xiǎn),一般情況下不建議開啟����。
4、檢測(cè)到病毒后���,NGFW會(huì)判斷該病毒文件是否屬于病毒例外��,如果不屬于病毒例外���,進(jìn)行下一環(huán)節(jié)處理;如果屬于病毒例外����,則直接放行。
5�、接下來(lái)判斷病毒文件的應(yīng)用是否屬于應(yīng)用例外,這里的應(yīng)用指的是承載于HTTP協(xié)議的一些應(yīng)用�����,如網(wǎng)盤�、云盤等�����,通過(guò)應(yīng)用例外可以為應(yīng)用配置不同于HTTP協(xié)議的處理動(dòng)作。如果屬于應(yīng)用例外�,按照應(yīng)用例外定義的動(dòng)作進(jìn)行處理;如果不屬于應(yīng)用例外�,則按照協(xié)議定義的動(dòng)作進(jìn)行處理。
協(xié)議及其支持的處理動(dòng)作如下表所示����。
|
協(xié)議
|
傳輸方向
|
動(dòng)作
|
說(shuō)明
|
|
FTP
|
上傳/下載
|
告警/阻斷
|
告警:允許病毒文件通過(guò)
阻斷:禁止病毒文件通過(guò)
宣告:允許病毒文件通過(guò),但會(huì)在郵件正文中添加發(fā)現(xiàn)病毒的提示信息
刪除附件:允許郵件通過(guò)�,但會(huì)刪除郵件中的附件并在郵件正文中添加提示信息
|
|
HTTP
|
上傳/下載
|
告警/阻斷
|
|
SMTP
|
上傳
|
告警/宣告/刪除附件
|
|
POP3
|
下載
|
告警/宣告/刪除附件
|
|
IMAP
|
上傳/下載
|
告警
|
|
NFS
|
上傳/下載
|
告警
|
|
SMB
|
上傳/下載
|
告警/阻斷
|
NGFW對(duì)不同協(xié)議支持的動(dòng)作差異情況,這里再解釋一下:
1���、NFS協(xié)議只有告警動(dòng)作���,沒(méi)有阻斷動(dòng)作,是因?yàn)樽钄辔募?��,NFS文件系統(tǒng)變慢���,用戶體驗(yàn)很差,所以NGFW對(duì)NFS協(xié)議就只保留了告警動(dòng)作��。
2、SMTP和POP3協(xié)議沒(méi)有阻斷動(dòng)作���,是因?yàn)椴《緳z測(cè)應(yīng)該只限于郵件中的附件���,不能影響用戶正常閱讀郵件內(nèi)容的權(quán)利,所以NGFW對(duì)SMTP和POP3協(xié)議沒(méi)有做阻斷動(dòng)作����,而是提供宣告或刪除附件動(dòng)作。
3�、IMAP協(xié)議沒(méi)有阻斷動(dòng)作,除了不能影響用戶閱讀郵件之外��,還因?yàn)镮MAP協(xié)議工作原理是連續(xù)收取所有郵件�����,如果一封郵件檢測(cè)出病毒被阻斷����,將會(huì)影響后續(xù)郵件的接收。另外��,IMAP協(xié)議也沒(méi)有宣告和刪除附件動(dòng)作��,是因?yàn)镮MAP協(xié)議不同于SMTP和POP3協(xié)議�����,對(duì)于SMTP和POP3協(xié)議����,NGFW可以通過(guò)代理方式運(yùn)用小手段“篡改”郵件內(nèi)容;而對(duì)于IMAP協(xié)議�,修改郵件內(nèi)容實(shí)現(xiàn)起來(lái)難度較大,所以NGFW就沒(méi)有提供宣告和刪除附件動(dòng)作����。
反病毒配置邏輯
學(xué)習(xí)了反病毒特性的實(shí)現(xiàn)原理后,接下來(lái)我們介紹反病毒的配置�����。反病毒特性涉及多個(gè)功能模塊�����,需要這些模塊之間相互配合協(xié)作�����。
反病毒特性的主體配置是反病毒配置文件和安全策略。反病毒配置文件中定義了協(xié)議�、傳輸方向和動(dòng)作,以及病毒例外和應(yīng)用例外����;安全策略中定義了匹配條件(對(duì)哪些流量進(jìn)行病毒檢測(cè))、動(dòng)作(必須為允許)�,然后引用反病毒配置文件。其它幾個(gè)功能模塊的作用如下:
A 升級(jí)特征庫(kù)可以提升病毒檢測(cè)能力和檢測(cè)效率����,關(guān)于特征庫(kù)升級(jí)的內(nèi)容我們將在后續(xù)的貼子中介紹。
B 推送信息的設(shè)置將會(huì)影響郵件正文中添加的提示信息�����,NGFW提供了缺省的提示信息��,也可以通過(guò)設(shè)置推送信息來(lái)定制個(gè)性化的信息��。
C 文件過(guò)濾特性中的全局參數(shù)包括最大解壓層數(shù)����、最大解壓文件大小等,合理設(shè)置這些參數(shù)將會(huì)提高病毒檢測(cè)效率�����。文件過(guò)濾也是內(nèi)容安全中的一個(gè)特性,我們將在后續(xù)貼子中介紹�。
D 查看威脅日志�����,如果發(fā)現(xiàn)某個(gè)文件被誤報(bào)為病毒文件��,實(shí)際上該文件是安全的���,此時(shí)可以將該病毒的ID填寫到病毒例外中�����,后續(xù)NGFW再檢測(cè)到這個(gè)文件時(shí)就會(huì)直接放行�����。
E 在反病毒配置文件中開啟抓包功能后���,可以在威脅日志中下載病毒數(shù)據(jù)包,進(jìn)一步分析病毒特征���。
接下來(lái)我們看一下反病毒配置文件的配置界面(以USG6000 V100R001C30SPC100版本為例)�。對(duì)于內(nèi)容安全的一系列特性,我們一般采用Web界面來(lái)配置���,因?yàn)閃eb界面直觀便捷�����,不用記憶很多命令����。使用Web界面無(wú)法配置的功能�����,才使用命令行來(lái)配置���。
反病毒配置文件的配置界面分為3個(gè)區(qū)域����,1是基本配置區(qū)域�����,在該區(qū)域中指定協(xié)議、傳輸方向和動(dòng)作����;2是病毒例外配置區(qū)域,在該區(qū)域中添加病毒ID���;3是應(yīng)用例外配置區(qū)域��,在該區(qū)域中添加應(yīng)用例外和動(dòng)作。有一點(diǎn)需要注意����,Web界面上不支持配置白名單,所以反病毒的白名單只能用命令行來(lái)配置�����。
