校园网防毒墙的设计与实现
2018-08-31南京铁道职业技术学院
南京铁道职业技术学院 宣 慧
南京工程学院 陈 行
1 简介
近年来,随着计算机网络的高速发展,计算机病毒爆发的次数和范围也逐年快速上升。计算机病毒的大量传播会造成重大的经济损失,影响人民群众的正常生活和社会稳定。防病毒技术已经成为网络与信息安全中的一个重要部分。
传统杀毒软件一般是部署在网络内部的主机上,是单机防毒产品。它是在病毒侵入网络内部后的被动防御措施。然而只要网络中部分节点已经被病毒感染,就可以将网络资源迅速消耗殆尽,最终导致关键服务器的拒绝服务。所以,仅仅运用杀毒软件保护单机无法保证网咯服务的正常运行。相对于在各个网络节点上安装防病毒产品的传统方案,在病毒进入内部网络前就阻断它们才是保护内部网络不受病毒侵犯的更有效的办法。[1]
防毒墙部署在网关上,对网络中正在传输的病毒进行检测和过滤,阻止病毒从外网侵入内网。病毒被防毒墙阻挡在内网之外,从而降低了内网节点遭受病毒感染的概率,降低网络资源的耗费,减轻服务器的负担,提高了网络的可用性。
2 病毒检验方法
病毒检测的方法有特征匹配法、校验和法、行为监测法、虚拟机技术和启发式杀毒等。这里的特征匹配是指查找病毒特征字段在文本中位置的操作。这里的特征是指定义病毒特征的模式串,文本是指穿越网关的网络报文数据。[2]校验和法是指,当系统中的文件被病毒感染后,文件会发生变化。针对这种情况,杀毒软件事先对系统中的关键核心文件作记录,计算并记录下这些文件内容的校验和。一旦发现当前文件的检验和原校验和不一致,就可以认定该文件已经被病毒感染。行为检测法关注于记录和监测病毒特有的行为特征。一旦发现病毒的行为特征出现,立即报警。一些会对自身进行加密,还有些病毒在每次感染后都会变自身的代码,所以很难找出恒定不变的病毒特征字段。虚拟机技术和启发式杀毒技术的思路是,当发现疑似病毒的程序后,启动软件模拟模块,让疑似病毒程序在虚拟模块中运行。经过诸如脱壳和反编译等虚拟分析后,让疑似病毒程序在虚拟模块中暴露真实代码和行为,再用其他检测方法识别其病毒类型。虚拟机技术对系统资源要求较高。
3 校园防毒墙的设计与实现
网络可能遭到的攻击行为一般有:病毒传播、窃听、报文篡改、电子欺骗、非授权访问等等。网络应用服务本身也可能存在安全漏洞,在缺乏完善安全防护的情况下,受到攻击后造成服务拒绝或失效。用户在浏览网页、接收邮件等过程中,病毒、蠕虫、木马等恶意攻击可能会随着网络应用数据传入内网并破坏操作系统。[2]
3.1 防毒墙的技术方案
防毒墙中的杀毒模块针对经过网关的网络报文中的计算机病毒、蠕虫和木马等进行分析和查杀。防毒墙中的状态检测模块利用网络协议中的校验字段和序号字段等可以发现数据传输中的非授权修改,阻止非法用户在插入TCP连接会话过程。杀毒模块和状态检测模块可以有效拦截网络报文中的恶意代码。而防毒墙中的防火墙模块可以阻止不同网络之间的非法连接,特别会在在边界过滤出恶意的源IP地址和ICMP报文,限制echo流量等。为防止地址欺骗,防毒墙通过记录全局IP地址的应用信息,可以对外部IP地址的假冒行为和钓鱼网站进行识别和拦截。防毒墙还建立一个入侵检测和响应模块来监控网络状态。一旦上述安全防护措施失效,网络遭到入侵,入侵检测模块也能根据网络状态的变化采取响应行动,阻止攻击蔓延,恢复网络状态。
3.2 病毒扫描引擎模块结构
病毒扫描引擎主要包括如下个3个模块:数据解析模块、病毒扫描模块和特征码装载模块。[2]
数据解析模块接收端口传来的数据包,解析其中的数据格式,得到数据结果。数据解析步骤一般包括文件类型检测、解压缩、脱壳,脚本分析,宏预处理等。病毒扫描模块用病毒特征码扫描经过解析的数据。根据病毒特征码和数据的匹配情况,判断数据中是否包含病毒。特征码装载模块则主要负责装载和维护存储毒特征码的病毒库。
病毒特征码是指病毒体数据中特定位置上的一系列特征字节,病毒扫描模块通过检测这些特征字节及位置信息来检验某个文件是否病毒。病毒特征码提取的准确性和及时性直接决定了反病毒引擎的防毒效率。病毒特征码的格式一般有:MD5格式、字符串格式、二段校验和格式。[3]
3.3 部署方案
校园网防毒墙部署在校园网网关上,它能提高网络系统的防毒效率,减小网络遭到病毒入侵的风险。网关防毒系统一经部署便与局域网内部的结构变化基本无关,能够一直起到对外部病毒的防范与过滤的作用,从而简化安全管理,增强整体网络安全性。防毒墙放置在校园网核心交换机的旁路,校园网关防毒墙部署流程:设置校园网连接广域网的接入模式、配置防毒网关地址、部署DNS服务器、配置防火墙规则、配置访问控制规则、配置杀毒模块。
图1 校园网防毒墙部署图
4 结论
防毒墙可以依据需要,针对不同协议和应用的内容进行检查、清除病毒,同时具有防火墙体功能,不但解决了传统防火墙性能低下的问题,而且从根本上解决了网络安全防护的问题,并能够从不同角度上满足各层次对网络安全的需要。[3]