防毒牆的概念,早在幾年前Trend Micro就推出了,并且就此在美國申請了“概念專利”。顧名思義,防毒牆與防火牆類似,是指位于網絡入口處(網關),用于對網絡傳輸中的病毒進行過濾的網絡安全裝置。通俗的說,防毒牆可以部署在企業區域網路和網際網路交界的地方,阻止病毒從網際網路侵入内網。
凡是病毒都有一定的特征。防毒牆會掃描通過網關的資料包,然後對這些資料進行病毒掃描,如果是病毒,則将其清除。理論上講,防毒牆可以阻止任何病毒從網關處侵入企業内部網絡。
防火牆對網絡資料流連接配接的合法性進行分析,它對從正常電腦上發送過來的病毒資料流是無能為力的,因為它無法識别合法資料包中是否存在病毒這一情況;防毒牆則是為了解決防火牆天生的防毒缺陷而産生的一種安全裝置。它可以進行網關處的查毒工作,對病毒的界定則更準确、更可靠。
防火牆是一個或一組系統,它在網絡之間執行通路控制政策。實作防火牆的實際方式各不相同,但是在原則上,防火牆可以被認為是這樣一對機制:一種機制是攔阻傳輸流通行,另一種機制是允許傳輸流通過。一些防火牆偏重攔阻傳輸流的通行,而另一些防火牆則偏重允許傳輸流通過。了解有關防火牆的最重要的概念可能就是它實作了一種通路控制政策。如果你不太清楚你需要允許或否決哪類通路,你可以讓其他人或某些産品根據他(它)們認為應當做的事來配置防火牆,然後他(它)們會為你的機構全面地制定通路政策。
同其它任何社會一樣,Internet也受到某些無聊之人的困擾,這些人喜愛在網上做這類的事,像在現實中向其他人的牆上噴染塗鴉、将他人的郵箱推倒或者坐在大街上按汽車喇叭一樣。一些人試圖通過Internet完成一些真正的工作,而另一些人則擁有敏感或專有資料需要保護。一般來說,防火牆的目是将那些無聊之人擋在你的網絡之外,同時使你仍可以完成工作。
許多傳統風格的企業和資料中心都制定了計算安全政策和必須遵守的慣例。在一家公司的安全政策規定資料必須被保護的情況下,防火牆更顯得十分重要,因為它是這家企業安全政策的具體展現。如果你的公司是一家大企業,連接配接到Internet上的最難做的工作經常不是費用或所需做的工作,而是讓管理層信服上網是安全的。防火牆不僅提供了真正的安全性,而且還起到了為管理層蓋上一條安全的毯子的重要作用。
防毒牆即通常所說的防病毒網關。目前市場上對防毒牆的概念仍未達到共識。一般認為,防毒牆包括以病毒掃描為首要目的的代理伺服器;以及需要與防火牆配合使用的專用防毒牆;而以防火牆功能為主,輔有部分防病毒過濾功能的産品,一般不認為是防毒牆。是以,包括象Fortigate和德科安軟的圖騰防火牆,以至它們的OEM衍生防火牆産品,都不算是正式的防毒牆産品。
如此分割的一部分原因,是因為這種以防火牆功能為主的防火牆,不可能因為需要防病毒而改做專門的病毒牆,在經濟上不劃算;而且,使用防病毒功能後,防火牆的性能會遭受大幅度的削弱,也使這部分功能隻适合在較小的網絡範圍内使用。 防毒牆與防火牆的最大差別在于,前者主要基于協定棧工作,或稱工作在OSI的第七層;而後者基于IP棧工作,即OSI的第三層。是以決定了防火牆必須以管理所有的TCP/IP通訊為己任,而防毒牆卻是以重點加強某幾種常用通訊的安全性為目的。是以,對于使用者而言,兩種産品并不存在着互相取代的問題,防毒牆是對防火牆的重要補充,而防火牆是更為基本的安全裝置。
在實際應用中,防毒牆的作用在于對所監控的協定通訊中所帶檔案中是否含有特定的病毒特征,防毒牆并不能象防火牆一樣阻止攻擊的發生,也不能防止蠕蟲型病毒的侵擾,相反,防毒牆本身或所在的系統有可能成為網絡入侵的目标(如趨勢的Interscan安裝在windows上的時侯);而這一切的保護,必須由防火牆完成。
防毒牆和防火牆的共同之處是兩者都是工作在網關。在小範圍的網絡中,與網際網路聯網的需求相對簡單,一般就是SMTP和HTTP等少數幾種協定,這時,防毒牆隻要所基于的作業系統沒有明顯的漏洞,作用與防火牆基本相同。