《常见杀毒软件与防火墙的比较.ppt》由会员分享,可在线阅读,更多相关《常见杀毒软件与防火墙的比较.ppt(21页珍藏版)》请在三一文库上搜索。
1、常见杀毒软件与防火墙的比较,一.关于杀毒软件 二.关于防火墙 三.防火墙与杀毒软件的区别 四.用户搭配使用及注意事项,什么是杀毒软件,杀毒软件,也称反病毒软件或防毒软件,是用于消除电脑病毒、特洛伊木马和恶意软件的一类软件。杀毒软件通常集成监控识别、病毒扫描和清除和自动升级等功能,有的杀毒软件还带有数据恢复等功能,是计算机防御系统(包含杀毒软件,防火墙,特洛伊木马和其他恶意软件的查杀程序,入侵预防系统等)的重要组成部分。,杀毒软件的工作原理,在与病毒的对抗中,及早发现病毒很重要。早发现,早处置,可以减少损失。检测病毒方法有:特征代码法、校验和法、行为监测法、启发式查毒技术 等 。这些方法依据的原
2、理不同,实现时所需开销不同,检测范围不同,各有所长。,特征代码法,打开被检测文件,在文件中搜索,检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码,由于特征代码与病毒一一对应,便可以断定,被查文件中患有何种病毒。特征代码法被早期应用于病毒检测工具中。国外专家认为特征代码法是检测已知病毒的最简单、开销最小的方法。 特征代码法的优点是:检测准确快速、可识别病毒的名称、误报警率低、依据检测结果,可做解毒处理。 特征代码法的缺点是:不能检测未知病毒、搜集已知病毒的特征代码,费用开销大、在网络上效率低 返回,校验和法,将正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中保
3、存。在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染,这种方法叫校验和法,它既可发现已知病毒又可发现未知病毒。 校验和法的优点是:方法简单能发现未知病毒、被查文件的细微变化也能发现。 校验和法的缺点是:发布通行记录正常态的校验和、会误报警、不能识别病毒名称、不能对付隐蔽型病毒。 返回,行为监测法,利用病毒的特有行为特征性来监测病毒的方法,称为行为监测法。通过对病毒多年的观察、研究,有一些行为是病毒的共同行为,而且比较特殊。在正常程序中,这些行为比较罕见。当程序运行时,监视其行为,如果发现了病毒行为,立即报警。 行为监测法
4、的优点:可发现未知病毒、可相当准确地预报未知的多数病毒。 行为监测法的缺点:可能误报警、不能识别病毒名称、实现时有一定难度。 返回,启发式查毒技术,启发式指 “自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能”, 是杀毒软件能够分析文件代码的逻辑结构是否含有恶意程序特征,或者通过在一个虚拟的安全环境中前摄性的执行代码来判断其是否有恶意行为。在业界前者被称为静态代码分析,后者被成为动态虚拟机。 启发式查毒技术的优点误报率低,能检测变形病毒和病毒变种。 启发式查毒技术的缺点:对未知病毒的检测能力较低 。 返回,什么是防火墙,所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网
5、之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成, 防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信均要经过此防火墙。,在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人
6、和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。,防火墙的基本类型,网络层防火墙可视为一种 IP 封包过滤器,运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。,应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作,您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属
7、于这一层。应用层防火墙可以拦截进出某应用程序的所有封包,并且封锁其他的封包(通常是直接将封包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。,防火墙的功能,防火墙最基本的功能就是控制在计算机网络中,不同信任程度区域间传送的数据流。例如互联网是不可信任的区域,而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信,与建筑中的防火墙功能相似。它有控制信息基本的任务在不同信任的区域。 典型信任的区域包括互联网(一个没有信任的区域) 和一个内部网络(一个高信任的区域) 。 最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。,防
8、火墙的三种配置,Dual-homed方式最简单。 Dual-homedGateway放置在两个网络之间,这个Dual-omedGateway又称为bastionhost。这种结构成本低,但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力,而它往往是受“黑客”攻击的首选目标,它自己一旦被攻破,整个网络也就暴露了。 Screened-host方式中的Screeningrouter为保护Bastionhost的安全建立了一道屏障。它将所有进入的信息先送往Bastionhost,并且只接受来自Bastionhost的数据作为出去的数据。这种结构依赖Screeningrouter和Basti
9、onhost,只要有一个失败,整个网络就暴露了。 Screened-subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网,称之为”停火区”(DMZ,即DemilitarizedZone),Bastionhost放置在“停火区”内。这种结构安全性好,只有当两个安全单元被破坏后,网络才被暴露,但是成本也很昂贵。,防火墙的作用(1),1.包过滤 具备包过滤的就是防火墙?对,没错!根据对防火墙的定义,凡是能有效阻止网络非法连接的方式,都算防火墙。早期的防火墙一般就是利用设置的条件,监测通过的包的特征来决定放行或者阻止的,包过滤是很重要
10、的一种特性。虽然防火墙技术发展到现在有了很多新的理念提出,但是包过滤依然是非常重要的一环,如同四层交换机首要的仍是要具备包的快速转发这样一个交换机的基本功能一样。通过包过滤,防火墙可以实现阻挡攻击,禁止外部/内部访问某些站点,限制每个 ip的流量和连接数。,2.包的透明转发 事实上,由于防火墙一般架设在提供某些服务的服务器前。如果用示意图来表示就是 ServerFireWallGuest 。用户对服务器的访问的请求与服务器反馈给用户的信息,都需要经过防火墙的转发,因此,很多防火墙具备网关的能力。,防火墙的作用(2),3.阻挡外部攻击 如果用户发送的信息是防火墙设置所不允许的,防火墙会立即将其阻
11、断,避免其进入防火墙之后的服务器中。,4.记录攻击 如果有必要,其实防火墙是完全可以将攻击行为都记录下来的,但是由于出于效率上的考虑,目前一般记录攻击的事情都交给IDS(入侵检测系统)来完成了。 返回,防火墙与杀毒软件的区别,1.防火墙是位于计算机和它所连接的网络之间的软件,安装了防火墙的计算机流入流出的所有网络通信均要经过此防火墙。使用防火墙是保障网络安全的第一步,选择一款合适的防火墙,是保护信息安全不可或缺的一道屏障。 2.因为杀毒软件和防火墙软件本身定位不同,所以在安装反病毒软件之后,还不能阻止黑客攻击,用户需要再安装防火墙类软件来保护系统安全。,3.杀毒软件主要用来防病毒,防火墙软件用
12、来防黑客攻击 4.病毒为可执行代码,黑客攻击为数据包形式。 5.病毒通常自动执行,黑客攻击是被动的。 6.病毒主要利用系统功能,黑客更注重系统漏洞。,7.当遇到黑客攻击时反病毒软件无法对系统进行保护。 8.对于初级用户,可以选择使用防火墙软件配置好的安全级别。 9.防火墙软件需要对具体应用进行规格配置。 10.防火墙不处理病毒,后记,不管是funlove病毒也好,还是CIH也好,在内部网络用户下载外网的带毒文件的时候,防火墙是不为所动的(这里的防火墙不是指单机/企业级的杀毒软件中的实时监控功能,虽然它们不少都叫“病毒防火墙”)。 看到这里,或许您原本心目中的防火墙已经被我拉下了神台。是的,防火
13、墙是网络安全的重要一环,但不代表设置了防火墙就能一定保证网络的安全。“真正的安全是一种意识,而非技术!”请牢记这句话。 不管怎么样,防火墙仍然有其积极的一面。在构建任何一个网络的防御工事时,除了物理上的隔离和目前新近提出的网闸概念外,首要的选择绝对是防火墙。 最后,要说的依然是那句“世界上没有一种技术能真正保证绝对地安全。”安全问题,是从设备到人,从服务器上的每个服务程序到防火墙、IDS等安全产品的综合问题;任何一个环节工作,只是迈向安全的步骤。 返回,用户搭配使用注意事项,1、机器配置 杀软+防火墙的选择,必须符合机器配置情况,不能拖机器速度。 有人说KAVKIS很卡,这叫要看你的内存了,5
14、12M以下的确会卡(当然你也可以关闭一些功能,比如WEB监控来缓解卡机的问题),512M以上则运行比较流畅,本人1G内存,监控全开,运行起来是非常流畅的。 所以选择杀软的时候,一定要注意自己的物理内存究竟有多大。如果你只有256M,而偏要去装个KIS6.0或7.0,那无异于装了一个病毒。严重影响用户使用,这样的杀软装了又有什么意义呢?记住,我们随时都需要系统运行流畅的快感,无论是工作还是上网。,2、互补原则 防护要做到全方位,杀软与防火墙互补不足,功能上尽量少一些重复,以避免未知冲突。(不要用一个强大的杀软去配一个强大的墙,强强组合不一定更强),3、精简原则 一个杀软+一个防火墙+良好的上网习
15、惯+安全意识,不要在机器上装无数个杀软,那无疑是折磨自己的机器。有的人为了电脑安全,喜欢装2到3个甚至更多个杀软。没有一个杀软是万能的,在监控与杀毒之间找一个平衡即可,关键是要提高自己的安全意识,不要去乱七八糟的网站也不要下乱七八糟的东西。对此,我的解决办法是,装一个监控能力超强的杀软,再配一个不带监控的杀毒高手。,5、兼容原则 有套装的,尽量用套装,同一产品的杀软与防火墙的组合才是最严密,兼容性也是最高的。不要一味迷信权威机构的测试,那些最厉害的东西并不一定适合你。 这个问题也很重要,有些软件在说明里就已经指出了和某些软件冲突,可是使用者却根本不看说明直接安装,装玩蓝屏就抱怨软件不稳定。这里特别要注意杀软与防火墙的冲突(强悍的杀软与强悍的防火墙很容易冲突,我一般不会用特别强大的墙,第一占资源,第二怕冲突)及主杀与辅杀(辅助杀软虽然没开监控,但其释放在系统盘的驱动以及自动加载的服务,可能会与主杀冲突)的冲突。 返回,