南京鐵道職業(yè)技術(shù)學院 宣 慧

南京工程學院 陳 行

1 簡介

近年來，隨著計算機網(wǎng)絡(luò)的高速發(fā)展，計算機病毒爆發(fā)的次數(shù)和范圍也逐年快速上升。計算機病毒的大量傳播會造成重大的經(jīng)濟損失，影響人民群眾的正常生活和社會穩(wěn)定。防病毒技術(shù)已經(jīng)成為網(wǎng)絡(luò)與信息安全中的一個重要部分。

傳統(tǒng)殺毒軟件一般是部署在網(wǎng)絡(luò)內(nèi)部的主機上，是單機防毒產(chǎn)品。它是在病毒侵入網(wǎng)絡(luò)內(nèi)部后的被動防御措施。然而只要網(wǎng)絡(luò)中部分節(jié)點已經(jīng)被病毒感染，就可以將網(wǎng)絡(luò)資源迅速消耗殆盡，最終導致關(guān)鍵服務(wù)器的拒絕服務(wù)。所以，僅僅運用殺毒軟件保護單機無法保證網(wǎng)咯服務(wù)的正常運行。相對于在各個網(wǎng)絡(luò)節(jié)點上安裝防病毒產(chǎn)品的傳統(tǒng)方案，在病毒進入內(nèi)部網(wǎng)絡(luò)前就阻斷它們才是保護內(nèi)部網(wǎng)絡(luò)不受病毒侵犯的更有效的辦法。[1]

防毒墻部署在網(wǎng)關(guān)上，對網(wǎng)絡(luò)中正在傳輸?shù)牟《具M行檢測和過濾，阻止病毒從外網(wǎng)侵入內(nèi)網(wǎng)。病毒被防毒墻阻擋在內(nèi)網(wǎng)之外，從而降低了內(nèi)網(wǎng)節(jié)點遭受病毒感染的概率，降低網(wǎng)絡(luò)資源的耗費，減輕服務(wù)器的負擔，提高了網(wǎng)絡(luò)的可用性。

2 病毒檢驗方法

病毒檢測的方法有特征匹配法、校驗和法、行為監(jiān)測法、虛擬機技術(shù)和啟發(fā)式殺毒等。這里的特征匹配是指查找病毒特征字段在文本中位置的操作。這里的特征是指定義病毒特征的模式串，文本是指穿越網(wǎng)關(guān)的網(wǎng)絡(luò)報文數(shù)據(jù)。[2]校驗和法是指，當系統(tǒng)中的文件被病毒感染后，文件會發(fā)生變化。針對這種情況，殺毒軟件事先對系統(tǒng)中的關(guān)鍵核心文件作記錄，計算并記錄下這些文件內(nèi)容的校驗和。一旦發(fā)現(xiàn)當前文件的檢驗和原校驗和不一致，就可以認定該文件已經(jīng)被病毒感染。行為檢測法關(guān)注于記錄和監(jiān)測病毒特有的行為特征。一旦發(fā)現(xiàn)病毒的行為特征出現(xiàn)，立即報警。一些會對自身進行加密，還有些病毒在每次感染后都會變自身的代碼，所以很難找出恒定不變的病毒特征字段。虛擬機技術(shù)和啟發(fā)式殺毒技術(shù)的思路是，當發(fā)現(xiàn)疑似病毒的程序后，啟動軟件模擬模塊，讓疑似病毒程序在虛擬模塊中運行。經(jīng)過諸如脫殼和反編譯等虛擬分析后，讓疑似病毒程序在虛擬模塊中暴露真實代碼和行為，再用其他檢測方法識別其病毒類型。虛擬機技術(shù)對系統(tǒng)資源要求較高。

3 校園防毒墻的設(shè)計與實現(xiàn)

網(wǎng)絡(luò)可能遭到的攻擊行為一般有：病毒傳播、竊聽、報文篡改、電子欺騙、非授權(quán)訪問等等。網(wǎng)絡(luò)應(yīng)用服務(wù)本身也可能存在安全漏洞，在缺乏完善安全防護的情況下，受到攻擊后造成服務(wù)拒絕或失效。用戶在瀏覽網(wǎng)頁、接收郵件等過程中，病毒、蠕蟲、木馬等惡意攻擊可能會隨著網(wǎng)絡(luò)應(yīng)用數(shù)據(jù)傳入內(nèi)網(wǎng)并破壞操作系統(tǒng)。[2]

3.1 防毒墻的技術(shù)方案

防毒墻中的殺毒模塊針對經(jīng)過網(wǎng)關(guān)的網(wǎng)絡(luò)報文中的計算機病毒、蠕蟲和木馬等進行分析和查殺。防毒墻中的狀態(tài)檢測模塊利用網(wǎng)絡(luò)協(xié)議中的校驗字段和序號字段等可以發(fā)現(xiàn)數(shù)據(jù)傳輸中的非授權(quán)修改，阻止非法用戶在插入TCP連接會話過程。殺毒模塊和狀態(tài)檢測模塊可以有效攔截網(wǎng)絡(luò)報文中的惡意代碼。而防毒墻中的防火墻模塊可以阻止不同網(wǎng)絡(luò)之間的非法連接，特別會在在邊界過濾出惡意的源IP地址和ICMP報文，限制echo流量等。為防止地址欺騙，防毒墻通過記錄全局IP地址的應(yīng)用信息，可以對外部IP地址的假冒行為和釣魚網(wǎng)站進行識別和攔截。防毒墻還建立一個入侵檢測和響應(yīng)模塊來監(jiān)控網(wǎng)絡(luò)狀態(tài)。一旦上述安全防護措施失效，網(wǎng)絡(luò)遭到入侵，入侵檢測模塊也能根據(jù)網(wǎng)絡(luò)狀態(tài)的變化采取響應(yīng)行動，阻止攻擊蔓延，恢復網(wǎng)絡(luò)狀態(tài)。

3.2 病毒掃描引擎模塊結(jié)構(gòu)

病毒掃描引擎主要包括如下個3個模塊：數(shù)據(jù)解析模塊、病毒掃描模塊和特征碼裝載模塊。[2]

數(shù)據(jù)解析模塊接收端口傳來的數(shù)據(jù)包，解析其中的數(shù)據(jù)格式，得到數(shù)據(jù)結(jié)果。數(shù)據(jù)解析步驟一般包括文件類型檢測、解壓縮、脫殼，腳本分析，宏預處理等。病毒掃描模塊用病毒特征碼掃描經(jīng)過解析的數(shù)據(jù)。根據(jù)病毒特征碼和數(shù)據(jù)的匹配情況，判斷數(shù)據(jù)中是否包含病毒。特征碼裝載模塊則主要負責裝載和維護存儲毒特征碼的病毒庫。

病毒特征碼是指病毒體數(shù)據(jù)中特定位置上的一系列特征字節(jié)，病毒掃描模塊通過檢測這些特征字節(jié)及位置信息來檢驗?zāi)硞€文件是否病毒。病毒特征碼提取的準確性和及時性直接決定了反病毒引擎的防毒效率。病毒特征碼的格式一般有：MD5格式、字符串格式、二段校驗和格式。[3]

3.3 部署方案

校園網(wǎng)防毒墻部署在校園網(wǎng)網(wǎng)關(guān)上，它能提高網(wǎng)絡(luò)系統(tǒng)的防毒效率，減小網(wǎng)絡(luò)遭到病毒入侵的風險。網(wǎng)關(guān)防毒系統(tǒng)一經(jīng)部署便與局域網(wǎng)內(nèi)部的結(jié)構(gòu)變化基本無關(guān)，能夠一直起到對外部病毒的防范與過濾的作用，從而簡化安全管理，增強整體網(wǎng)絡(luò)安全性。防毒墻放置在校園網(wǎng)核心交換機的旁路，校園網(wǎng)關(guān)防毒墻部署流程：設(shè)置校園網(wǎng)連接廣域網(wǎng)的接入模式、配置防毒網(wǎng)關(guān)地址、部署DNS服務(wù)器、配置防火墻規(guī)則、配置訪問控制規(guī)則、配置殺毒模塊。

圖1 校園網(wǎng)防毒墻部署圖

4 結(jié)論

防毒墻可以依據(jù)需要，針對不同協(xié)議和應(yīng)用的內(nèi)容進行檢查、清除病毒，同時具有防火墻體功能，不但解決了傳統(tǒng)防火墻性能低下的問題，而且從根本上解決了網(wǎng)絡(luò)安全防護的問題，并能夠從不同角度上滿足各層次對網(wǎng)絡(luò)安全的需要。[3]