安全综述：防火墙与杀毒软件的新关系

安全综述：防火墙与杀毒软件的新关系
--------------------------------------------------------------------------------

　　对于没有安装杀毒软件，或者病毒库文件没有更新为最新版本的PC，防火墙将自动阻断它们与网络的通信。随着具有这种功能的产品不断问世，企业网络的安全有望得到进一步提高。
　　美国Zone Lab于2002年6月发表了面向企业网络的安全产品“Zone Labs Integrity”的最新版本(1.5版)。该产品对公司内部PC安装的个人防火墙及每台PC上的过滤规则进行一元化管理，其关键部分就是与杀毒软件配合使用功能。美国Sygate科技公司的“Sygate Secure Enterprise”(SSE)也是基于个人防火墙的产品，具有与Integrity1.5同样的功能。

　　应用型防火墙中也出现了类似功能的产品。美国SonicWALL在2002年4月发表的适用于该公司防火墙产品的选择性软件“Network Antivirus”就是一例。它同样可与PC上的杀毒软件配合使用，可以将特定的PC从网络中隔离出去。

　　目前实际安装上述功能的产品还很少。但可以说是今后安全产品扩展功能的一个方向。

　　将可能成为感染途径的PC隔离起来

　　在新型病毒的病毒库文件出现之前，要想将病毒的感染途径完全堵住，除了断开与因特网的联接外别无他法。即便提供了新的病毒库文件，让所有客户端PC都安装好也需要一段时间。在这期间，未更新病毒库文件的PC就又可能成为新的感染途径。当然，在所有的PC都更新病毒库文件之前断开与因特网的联接也是不现实的。

　　●强制措施实例

　　强制措施就是将“只允许安装最新版本病毒库文件的PC进行通信”的规则，强制性地发布并安装到各PC的代理服务器(个人防火墙)上。它可以堵住病毒的感染途径和非法入侵的通道。

　　当然，如果在因特网的出入口处设置有防病毒网关的话，这样的问题就不大会出现了。但公司外面的PC感染病毒后与公司内部网络联接的话网关型就无能为力了。例如：使用RAS(远程登录服务)服务器不通过网关进行远程登录的话，在公司外部使用的笔记本电脑就能联接到公司内部网络。

　　在这方面，如果采用了Integrity或SSE的话，由于每台PC都能控制对网络的登录，无论是公司内部还是外部，都堵住了病毒的感染途径。而且在发现新的病毒等情况下，可以适当地改变网络使用规定，通过管理服务器让各PC强制执行。

　　至于Zone Lab的产品，Integrity的代理服务软件以及Zone Lab的部分个人防火墙产品是与日本趋势科技、美国西曼蒂克、美国McAfee的防病毒软件联合使用的。Sygate基本上也采用了同样的做法。

　　VPN与IDS也开始配合使用

　　不仅是防火墙，通过与VPN(虚拟个人网络)设备的配合使用，也能防止远程登录引起的病毒感染。例如Integrity就具有与美国思科系统的VPN产品配合使用的功能。思科已经在与自己的“VPN3000”产品配套的VPN客户端软件中捆绑了Zone Lab的Integrity代理服务。同时，VPN网关也可以通过一定的设置，拒绝没有更新病毒库文件等不符合规定的用户的连接请求。

　　SSE则比Integrity更进一步，在2002年6月发表的新版本(SSE3.0)中，具有检测非法入侵功能的软件等可以像杀毒软件一样配合使用。如攻击模式数据库的更新也可以反映到网络使用规定中来。