第5章 防病毒

随着网络的发展，病毒的传播也具备了越来越依赖于网络传播的特点。据国际计算机安全委员会（ICSA）统计，企业用户感染的病毒中，有超过20%的病毒与Internet上下载文件有关。此外，还有87%的病毒是通过电子邮件进入企业网络的。Internet大大加快了病毒在世界范围内的传播速度并使很多公司陷于瘫痪。因此，在企业的网关设置防病毒系统，以防止通过Internet传播的病毒进入企业网内部并对企业网络造成危害就成为当今一项刻不容缓的工作。

5.1 UTM为什么需要承载防病毒模块

5.1.1 病毒的发展与危害

究竟什么是病毒？“计算机病毒”最早是由美国计算机病毒研究专家F.Cohen博士提出的。“计算机病毒”有很多种定义，国外最流行的定义为：计算机病毒，是一段附着在其他程序上的可以实现自我繁殖的程序代码。在《中华人民共和国计算机信息系统安全保护条例》中的定义为：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。也就是说，具有自复制、自传播特性的程序就是病毒。但这是计算机病毒的狭义的定义，随着病毒种类和数量的增多，越来越多的恶意程序被纳入病毒的范畴，如木马、间谍软件等。至此，业界又衍生出计算机病毒的广义定义：凡是对计算机具有破坏作用的程序就是计算机病毒。总之，计算机病毒的定义也不是一成不变的，是与计算机的发展过程密切相关的。

在现今的网络时代，病毒的发展呈现出病毒技术与黑客攻击技术相结合、蠕虫病毒更加泛滥、病毒破坏性更大、病毒的制作方法更简单、病毒传播速度更快，传播渠道更多、病毒感染对象越来越广的新的趋势，如图5-1所示。因此，一个完善的安全体系应该包含从桌面到服务器、从内部用户到网络边界的全面解决方案，以抵御来自黑客攻击和病毒泛滥的威胁。

病毒的传染性是计算机病毒最基本的特性，病毒的传染性是病毒赖以生存繁殖的条件，如果病毒没有传播渠道，则其破坏性小、扩散面窄、难以造成大面积流行。病毒通常的传播途径有以下几种。

1）邮件系统。随着因特网的不断普及，国内的用户数呈指数级增长。其中电子邮件是Internet所有服务中最基本的服务，超过80%的用户都使用电子邮件服务。然而，在享受电子邮件为大家带来方便、快捷、高效的同时，也在忍受着大量的垃圾信件、邮件炸弹和邮件病毒以及公司内部信息通过E-mail泄露的极大困扰，这些困扰在不知不觉中带来了极大的经济损失。很多病毒在侵入用户电脑后，都会自动向外发送带毒邮件，用户打开这些邮件后就会中毒。因此，电子邮件已经成为黑客传播病毒最重要的渠道之一。

2）局域网。主要是指在小范围内由服务器和多台电脑组成的工作组互联网络，属于计算机网络应用的一个分支。由于局域网通过服务器把网内每一台电脑连接，因此其信息的传输速率比较高，同样也给病毒传播提供了有效的通道。目前通过该渠道传输病毒主要是由于局域网中的共享资源以及系统中存在的漏洞而造成被攻击从而感染病毒的。

3）浏览器。如今，浏览器满足了广大网民的需求，如果电脑没有了浏览器，有很多人不知道上网还能做什么；正因为浏览器的使用频率高，IE等浏览器已经逐渐成为各种病毒和木马程序进入个人电脑的最佳入口、成了出卖自己网络信息的间接罪犯，故IE等浏览器的安全性备受争议。

4）移动介质。这主要包括软盘、U盘、移动硬盘、光盘等，因为复制染毒文件或者AutoRun.inf自动播放的原因，致使病毒自动执行从染毒系统复制入移动介质或者从移动介质把病毒感染入计算机。近年来由此类移动介质传播病毒的现象明显增多，据统计，目前通过U盘传播的病毒占据病毒数的比例已超过35%。

5）即时通信软件。如QQ、MSN等，早些年的性感烤鸡病毒、近年的MSN病毒等往往通过一个诱人的链接或图片便造成病毒被传播，以致泛滥成灾。当然也有很多病毒是利用这些即时聊天软件本身的漏洞来进行传播的。

6）常用应用软件漏洞。如今病毒的传播与植入已趋向于多样化与复杂化，往往一些常用软件的漏洞会成为病毒传播的切入点。

病毒所产生的后果经常是不可预见的，轻则导致文件系统损坏、系统资源耗尽，重则导致敏感数据丢失、业务系统瘫痪、甚至导致整个互联网络崩溃。随着信息化建设突飞猛进的发展，信息系统已经越来越成为企业经济发展建设的基础性平台，病毒的巨大危害对于信息时代而言是完全不可接受的，因此迫切需要寻找一种简捷、高效的病毒防范机制来控制病毒，尤其是控制病毒的传播。

5.1.2 防病毒与UTM结合的意义

病毒自身的破坏性固然可怕，但最让人们“谈毒色变”的恐惧感还在于病毒的自我繁衍能力和传播能力。如果将计算机病毒的传播与人类的疾病传染相比，那么病毒的自我繁衍和传播能力就类似于人类疾病的扩散和传染。

扩散是指在一个系统内的发散，例如癌症，它之所以让人们望而生畏就是因为它强大的自我繁衍和扩散能力。病毒就如癌细胞的扩散一样，迅速地发散到整个业务系统，从而导致业务系统崩溃的严重后果。

传染是指在不同系统间的传播，例如传染病SARS，不但可以借助直接接触进行传播，而且可以借助于水、空气等转播，SARS给人们带来的恐惧不仅来源于病毒体本身，而且还来源于广泛的传播，只有有效地控制传播途径才是安全之本。

· 防病毒与安全网关结合的重要性

通过将计算机病毒的传播与人类疾病的传染相对比，可以更直观地了解计算机病毒对信息系统甚至整个互联网危害的严重性。然而不幸的是，计算机病毒就是一种扩散性与传染性相结合的“信息化”疾病，要使病毒对信息系统的危害最小化，就必须既要做到对病毒查杀又要做到对病毒的隔离，这就自然而然地需要在业务系统的关键位置设置病毒查杀与控制的“关卡”，即防病毒网关。

防病毒网关充当着“一夫当关，万夫莫开”的角色，通过对网络数据流进行病毒扫描，可以有效地阻止病毒借助网络流量在网络中的扩散。一方面，通过将防病毒网关部署于企业网络的互联网出口处，在病毒到达企业网之前就将其扼杀掉，可以有效地提高整个网络主机的病毒免疫力，还可以避免网络内部的主机成为网络病毒的跳板，把病毒传播到网络外部的主机；另一方面，还可将防病毒网关部署在企业内部的各个关键业务区域的边界，避免病毒在内网中的扩散，保护关键系统资源，将病毒危害降低到最小。

随着安全威胁的不断细化，安全网关的种类不断增加，包括防火墙、防垃圾邮件网关、防DDoS网关、VPN网关，UTM（统一威胁管理）等，那么究竟防病毒与哪种网关结合才能发挥防病毒的最大优势呢？

· 防病毒与UTM结合才能使优势最大化

防病毒引擎与不同的单一网关产品结合均可以满足一个层面的网关防病毒需求，如与防垃圾邮件网关结合可以实现邮件防病毒功能；与防火墙结合可以实现HTTP网页浏览的病毒过滤。那么，有没有一种方法可以让防病毒引擎与网关产品的结合能够满足多个层面的网关防病毒需求，可更好地防范来自于互联网浏览、文件共享、电子邮件等各种途径的病毒、蠕虫、木马及混合攻击的危害呢？

UTM是集多项安全功能于一体的统一威胁管理设备，防病毒引擎只有与UTM的结合才能使网关防病毒的优势最大化，才能最大地发挥网关防病毒的功效。下面将从几个方面来详细分析防病毒引擎与UTM设备结合的优势。

· 从病毒传播的途径看

病毒与防病毒的博弈从病毒产生的那一刻起就从未停止过，并且愈演愈烈，病毒技术发展呈现技术深入化和制作简单化的特点，即病毒的技术越来越深入，危害越来越大，但是病毒的制作却越来越工具化，借助于编译好的病毒生成工具，任何人都有可能生产并传播病毒。对病毒而言，其赖以生存的基础是“传播”性，“传播”已成为病毒发展的新的核心技术，因此对病毒的防范，首先要从其传播途径来考虑。

病毒的传播除了基本的HTTP网页浏览，还可通过电子邮件系统、即时通信软件（IM）、局域网共享、应用系统漏洞或移动介质（U盘）等多种方式进行传播，甚至可以通过VPN隧道将病毒传播到企业内网的核心服务器上。可以说，什么样的网络应用，就会有什么样的病毒传播途径，因此防病毒技术与网关的结合必须满足对多种途径病毒传播的控制，而UTM具备防火墙功能，VPN功能、邮件过滤功能，IM/P2P控制功能等多项功能，因此防病毒与UTM的结合才能最完善地控制病毒传播的途径。

· 从病毒技术的发展看

病毒作为危害系统安全的“黑势力”，它在自身不断发展壮大的同时也在积极寻求与其他“黑势力”的融合形成“黑势力联盟”，目的就在于加深威胁的破坏性。目前，病毒技术与黑客攻击技术的融合是病毒发展的技术趋势，因而需要一种防病毒技术与入侵防御技术相结合的网关产品来遏制这种趋势。而入侵防御功能（IPS）本身就是UTM的一个基本模块，因此，防病毒与UTM的结合才最符合网关病毒防御技术的方向。

· 从病毒分析的有效性看

安全建设是一个“发现问题→分析问题→安全改造→降低风险”的轮回过程，因此网关防病毒的目标也不仅仅是为了能够发现并过滤病毒，而且还要通过对病毒的种类、传播方式、病毒源、病毒目标等一系列信息进行综合的分析，从而得出病毒防范的措施、指导安全改造建设。

对病毒的分析，主要依赖于病毒日志的分析，但仅仅依赖于病毒日志来分析安全威胁是远远不够的，病毒日志还需要与防火墙访问控制日志、入侵防御日志、垃圾邮件过滤日志、VPN日志及IM/P2P控制日志等进行综合的交叉分析才能得到详细的关于病毒的类型、传播途径、病毒源、病毒目标，高风险资产等详细的安全信息。因此，从病毒分析的有效性来看，防病毒与UTM的结合才最有利于网关安全防护的整体需求。

通过本节的分析得出，在当前病毒技术发展的前提下，防病毒与网关结合势在必行。而UTM是承载防病毒模块最为理想的网关平台，防病毒与UTM网关的结合具备天然的优势。另外，当防病毒与UTM结合之后，还需要借助精确的病毒检测技术才能使作为防病毒网关的UTM发挥最大的优势。