主机防火墙与杀毒软件

916490972

防火墙是指这一种将内部网络个公众访问网络分开的方法。它实际上是一种隔离技术。
防火墙技术是安全技术中的一个具体体现。
 防火墙=硬件+软件+控制策略
 控制策略在表现形式上可分为两种：
          除非明确禁止，否则允许。
          除非明确允许，否则禁止。
分类：
形态
        • 硬件防火墙:系统是嵌入式的系统。一般开源的较多。硬件防火墙是通过硬件和软件的组 合来达到隔离内外部网络的目的。
        • 软件防火墙:一般寄生在操作系统平台。软件防火墙是通过纯软件的的方式实现隔离内外 部网络的目的。
保护对象
        • 单机防火墙：服务范围为为当前主机。
        • 网络防火墙:服务范围为防火墙一侧的网络。

Linux防火墙：

        1. ptables只是防火墙和用户之间的接口，真正起到防火墙作用的是Linux内核中运行的 netfilter。Linux下的防火墙是由netfilter和iptables两个组件构成的。
        2. Netfilter是Linux内核中的一个框架，它提供了一系列的表，每个表又是由若干个链组成， 而每个链又包含若干条规则。
        3. Iptables使我们用户层面的工具，它可以添加、删除和插入规则，这些规则告诉netfilter 组件如何去处理。
iptables的结构：Iptables>表>链>规则
规则：如果数据包符合这样的条件，就这样处理这个数据包（指定五元组信息）

链：

iptables包含五条规则链：
        • prerouting（路由前）
        • input（数据包流入口）
        • forward（转发关卡）
        • output（数据包出口）
        • postrouting（路由后）
这是NetFilter规定的五个规则链，任何一个数据包，只要经过本机，必将经过这五个链 中的其中一个链。
表：

        1. 对于filter来讲一般只能做在3个链上：INPUT ，FORWARD ，OUTPUT。
        2. 对于nat来讲一般也只能做在3个链上：PREROUTING ，OUTPUT ，POSTROUTING。
        3. mangle则是5个链都可以做：PREROUTING，INPUT，FORWARD，OUTPUT， POSTROUTING。
传输过程：

杀毒软件：

杀毒软件一般由扫描器，病毒库和虚拟机组成，并且由主程序将他们结为一体
        • 扫描器是杀毒软件的主体，主要用于扫描病毒，一个杀毒软件的杀毒效果直接取决于扫 描器编译技术和算法的先进程度。所以，多数杀毒软件都不止有一个扫描器。
        • 病毒库是用来存储病毒特征码的，特征码主要分为内存特征码和文件特征码。文件特征 码一般要存在于一些未被执行的文件里。内存特征码一般存在于已经运行的应用程序。
        • 虚拟机可以使病毒在一个由杀毒软件搭建的虚拟环境中执行。
杀毒软件的关键技术
1. 脱壳技术
        • 脱壳技术是杀毒软件中常用的技术，可以对压缩文件，加花文件，加壳文件，分装类文件进行分析的技术。
2. 自我保护技术
        • 自我保护技术主要是防止病毒结束杀毒软件的运行进程或者篡改杀毒软件文件
3. 修复技术
        • 杀毒软件在查杀病毒的时候一般是把被感染的文件直接删除，这样可能会导致文件损坏，而杀毒软件的修复技术可以对损坏的文件进行修复
4. 实时更新技术
        • 病毒的发展比病毒库更加迅速，所以病毒库的实时更新非常重要
5. 主动防御技术
        • 杀毒软件还可以通过仿真反病毒系统对程序的动作和一些文件进行监控，实现自动判断病毒，进行主动防御
6.