none
求教…… 防病毒网关的概念 RRS feed

  • 问题

  • 与微软不太一样的话题能问么 ……

    我上次看了一下公司的防病毒网关,我很感兴趣。但有一点疑问想求教一下。谁叫这里都很专业呢? o(∩_∩)o...

    在局域网内,数据的传输应该只到数据链路层吧?从英特网传输过来也仅仅是在网络层,那么防病毒网关究竟是不是在数据链路层或网络层杀毒的呢?我一直认为杀毒是第七层应用层的事情,可是,数据链路层或网络层的数据流,又是怎样去杀毒的呢?面对分割的数据包,我郁闷…… 如何扫描病毒特征码的呢?我就是不知道,病毒网关是不是在网络层或数据链路层扫病毒的呢?

    求高手解答一下,本人在研究网络安全。谢谢!

    还有,如果我的提问不合适,也别删除我的,好不?


    蠢驴一头 ……
    2009年4月16日 9:30

答案

  • 您好
          既然叫网关那么就像水闸一样。所有的数据报文都会通过网关中转。我们这里先不讨论究竟在数据层还是在网络层。数据报文通过设备的时候设备会对报文做分析处理。如果通过对比或者行为探测发现数据报文中有类似病毒的行为,那么网关就会阻止对应的数据流通过。也就是说对应的设备只处理报文信息。 报文在发送的过程中肯定会涉及到封装,解封装,检测报文和转发这些过程。安全设备工作在哪个层是由处理方式决定的。
         安全领域常用的就是特征码对比和规则。可以通过这些来做一定限制。保护通过网关数据流或拦截恶意流量。

                                                                      微软中文技术论坛@尚彬


    fantasy over with us 努力 WinExperience & PerformanceMVP 寻找志同道合的兄弟一路前行
    2009年4月16日 13:08
    版主

全部回复

  • 您好
          既然叫网关那么就像水闸一样。所有的数据报文都会通过网关中转。我们这里先不讨论究竟在数据层还是在网络层。数据报文通过设备的时候设备会对报文做分析处理。如果通过对比或者行为探测发现数据报文中有类似病毒的行为,那么网关就会阻止对应的数据流通过。也就是说对应的设备只处理报文信息。 报文在发送的过程中肯定会涉及到封装,解封装,检测报文和转发这些过程。安全设备工作在哪个层是由处理方式决定的。
         安全领域常用的就是特征码对比和规则。可以通过这些来做一定限制。保护通过网关数据流或拦截恶意流量。

                                                                      微软中文技术论坛@尚彬


    fantasy over with us 努力 WinExperience & PerformanceMVP 寻找志同道合的兄弟一路前行
    2009年4月16日 13:08
    版主
  • 谢谢。
    你所指的“特征码”在计算机中可能是底层驱动和汇编语言,可是在网络传输中,这些数据的传输过程是不可能超过第三层网络层的。

    第三层中的数据,应该是没有“特征码”这一概念的,都只是被分割的底层数据包,而且在接收时基本是乱序。只有接收主机接收到后,在第七层重新排序、封装并纠错后,才能合并成完整的数据,也就是各种程序和代码。所以我才郁闷,搞不懂。

    局域网个传输是在数据链路层,是仅次于物理层010101的代码(把0101的代码封装成帧),更不可能具有特征码的概念。网关只是一个网络设备,因此过滤数据应该也是在下三层。我就是不知道是基于什么原理判断出的病毒。

    还是不懂…… 不过还是谢谢你。


    蠢驴一头 ……
    2009年4月17日 15:12
  • 您好
        其实网络防火墙在我的理解上跟多的是拦截数据报文的。也就是类似acl一样的方式。应该很多都是设置好的策略起作用的吧。我的一点理解。
    fantasy over with us 努力 WinExperience & PerformanceMVP 寻找志同道合的兄弟一路前行
    2009年4月23日 12:52
    版主