广州北大青鸟网络工程师培训学校
广州市二宫地铁D出口.天一文化广场
网站首页
培训课程
Benet2.0
Benet教材
特色优势
招生简章
证书查询
中心优势
中心新闻
业界动态
青鸟集团
招聘信息
免费讲座
师资力量
就业感言
网络招聘
高中就业
大专就业
跳槽就业
女生就业
就业明星
就业广场
高薪就业
中心班级
学习园地
招生问答
咨询报名
技术论坛
您现在的位置:
北大青鸟广州湘计立德培训中心
>>
学习园地
>>
网络安全
>>
网络攻防
>> 正文
企业级HTTP病毒网关实时扫描可行性
根据一些防毒厂商的多层次全方位的立体防毒系统的设想,企业网除了做好桌面/服务器的防毒工作,邮件的防毒工作以外,还需要在网络的边界部署网关防毒设施。其中网关防毒产品一般包括http、smtp、ftp的实时病毒过滤。
各厂商都有自己的软、硬件的针对以上提到的三种协议病毒过滤的产品。想法和理念都很好,可实际碰到的问题,效果又如何呢?
我可以很负责的告诉大家,非常差!通过我下面的分析,大家可以明确一个观点,从目前的技术水平来说对http协议进行实时的病毒扫描得不偿失。
首先,大家先要了解病毒检测的机理。病毒是一段代码,最终的形态是一个文件。任何在网上传播的数据流必须重组成文件,才能被防毒扫描引擎所检测。大家在浏览网页的时候其实是通过http协议get了许多的html文件、gif图标以及脚本文件,最终到达用 户处都是文件。网关防毒产品要实现http的病毒过滤,必须把http流量中的数据重组为文件,也就是OSI7层的还原。要做到这步,目前所有的解决办法都是利用proxy技术,无论是self-proxy还是icap方式,都是在用户发起对某个网页进行浏览请求的时候,由网关防毒设备先把这个网页上所有的页面文件以及gif先下载下来,经过扫描再给用户。我们要明确,通过proxy方式把http流量还原成文件是一个过程,把这个文件进行病毒扫 描是另外一个过程,这两个过程可以分开进行。
这就凸现了第一个问题,基于局域网的企业内部用户,并不愿意为了进行http的病毒扫描而在IE浏览器中设置代理,而且如果设置代理,许多不支持代理的应用将无法进行。要实现http的病毒扫描,又要对用户表现为透明,我在早前的文章中有过介绍,这里就不多说了,请详见企业网关透明HTTP扫毒解决方案
第二个问题就直接反映了进过http病毒扫描后,用户处会感到非常严重的延迟。
一般我们可以忍受的页面延迟为不超过5秒钟,同时http timeout的默认时间为60秒(还是30秒?)。我们下面可以来算一下进过http扫描后的理论延迟。假设一个公司的因特网出口为10Mb(先不管是独享还是共享,已经蛮可以的了),理论的下载速度为1MB/S多,我们必须要考虑到电信和网通互联,以及网站限速等其他因素的影响,一般从随机网站单线下载可以达到100KB/S已经很好了。根据前面已经介绍过的病毒扫描方式,需要由网关防毒设备先下载这个文件扫描后再给用户,我们不考虑ttl的延时,访问页面上的小gif等只有几k的文件的延迟小于1S,但是如果用户要下载补丁或者文件时,文件为10MB,那怎么办呢?10M B的文件以100KB/S的速度理论要下载100S再加上对10MB文件的病毒扫描,其中必定需要花费时间进行解压缩,代码匹配等扫描时间。100S对于http都已经timeout了,也就是连接都断了。面对这种情况,防毒厂商给出的折中解决方法是,增加了病毒扫描的文件的大 小限制,这样大文件直接pass,小文件意思意思扫扫算了。不可否认这个的确是个好办法。病毒扫描这块的延迟可以去掉了,但是通过代理的方式获取文件的矛盾无法解决,更进一步的是,多线程的http下载文件的工具在这种proxy模式无法使用或者使用不正 常。面对代理上出现的这种问题,代理厂商又给出了新的解决办法,就是代理在替用户下载文件的时候,给用户不停的发送保持连接的数据包,使用户的http连接不至于断掉。这个是所有代理都碰的到的问题,这样的解决方式表面上的确避免了矛盾。
第三个问题就显得很难克服了。
随着互联网技术的发展,多协议的应用软件越来越多,特别是IM程序,为了保证强大的通用性和网络连接性能,都可以通过http进行连接和通讯。这就造成了很多很多的msn的聊天数据,因为走的是http协议而转到代理又由病毒 网关进行扫描,不但msn无法使用或者使用不顺畅,同时也加重了病毒网关的负担。同时,现在的网络病毒的横行,许多的病毒僵尸会在局域网内不停的发送大量的对外散射的连接请求,有许多用的恰恰是80端口的访问请求,大量的对外不存在的地址的80请求,代理 和病毒网关不可能不理睬,但是花费了大量的资源去应答这些不存在的请求,却没有任何效果,网络病毒的网络层攻击是不可能被还原成文件的,网关http的病毒扫描对此是无能为力的。面对这个突出的矛盾,我们能够想到什么对策呢?那就是在http流量经过代理 ,经过防毒网关之前,先由可以检测网络层网络病毒攻击的设备过滤一次,drop掉大量的非正常http请求,再交给网关来处理。对,这样可以把以上这些问题都解决了,但是我们花费了多少设备、多少资金呢?有可以检测网络病毒的设备,我们还要http代理网 关干什么?就算http页面中有恶意代码,我们装在客户端的防毒client完全可以检测的,或者通过黑白名单屏蔽一些不良网站就可以很大幅度的降低
上一篇文章:
安全保障:网络入侵证据的收集与分析
下一篇文章:
Chinaitlab来稿:城域网安全建议――汇聚层
相关文章
没有相关文章
更多>>
开班信息
更多>>
免费讲座
更多>>
最新文章
解析木马攻击案例
DDOS攻防实战案例
看看黑客如何入侵网站
病毒最喜欢的几个注册表键值
教你当一次“黑客”
防止黑客入侵的有效手段
你知道吗,一根天线就能偷窥电脑
有效防范ARP攻击
小心提防七种WindowsXP被入侵的方
洪水与“拒绝服务”攻击
更多>>
推荐文章
小心提防七种WindowsXP被入侵的方
详解DDoS攻击
揭示CRLF注入攻击的原理以及防范
利用远程控制以访问内部局域网 的
看看无线网络攻击工具的进攻方法
攻击网络打印机
Web安全认证架构成型 PDF阅读器存
关于我们
|
招贤纳士
|
友情连接
|
学校位置
|
网站地图
|
在线留言
|
地址:
广州市海珠区同福东路644号天一酒店5楼全层(市二宫正门旁)
咨询老师QQ:喻老师
QQ:245784660
曾老师
QQ:91080062
电话:020-34330086 39862039(24小时热线) 传真:020 - 34351700
Copyright@2009 gz-benet.com.Cn All Rights Reserved 版权所有· 北大青鸟APTECH(湘计立德)授权培训中心
