【轉貼】防火牆上集成病毒檢測有什麼弊端?



贊助商連結


giogio2000
2002-06-04, 10:21 AM
防火牆上集成病毒檢測有什麼弊端?


--------------------------------------------------------------------------------

http://www.sky.net.cn http://www.skynet-taiwan.net 天網


近日來台灣某大 I S P 業者大力推銷及鼓勵該業者用戶使用 proxy.*****.net 設定,主要是為節省該業者支付對海外之網路頻寬費用及掩飾多年來台灣對海外整體頻寬不足之問題(該I S P業者對海外整體頻寬實際與廣告上公佈之頻寬差據甚大,台灣地區多數ISP業者亦向該公司租用線路,但整體總頻寬卻採用各 I S P業者之總和),案經天網安全實驗室在台灣地區多次抗議,該公司不但未見改善,甚變本加厲封鎖天網安全實驗各網站,此等嚴重影響用戶權益及廣告不實之做風,經天網安全實驗室向監察院、公平交易委員會、各地消費者保護團體舉發該 I S P業者,案經監察院、公平交易委員會、交通部、交通部電信總局等單位要求該業者改善,目前該 I S P業者尚在改善中。

天網安全實驗室強烈建議您不使用PROXY訪問之網站如下:

1、據有消費行為或需輸入個人資料之網站。

2、新聞類網站。

3、即時更新內容之網站。

4、收發電子郵件之網站。

5、涉及個人隱私類之網站。

 

主要原因如下:

1、ISP業者之PROXY代理服務器,雖有較快速讓使用者訪問到欲訪問之網站,但實際看到的是ISP業者之PROXY代理服務器記憶體中之內容(快取記憶可由proxy之設置存放在硬碟中)。

2、ISP業者之PROXY代理服務器中可設置監控程式,任何使用過ISP業者之Proxy代理服務器之數據可轉存檔供日後查看使用,既所謂之網路偷拍針孔。

3、PROXY代理服務器主要用途在公司企業或有內部網路,為節省及避開網路高峰值流量,在下班或網路使用量低時收集常用資訊之網站內容使用,透過PROXY代理服務器可大量減少網路塞車,但內部網路任何使用者無法看到原位置已更新之內容。

4、PROXY代理服務器會記憶任何使用者曾經訪問過之內容包含輸入之任何文字,即使經過加密,透過PROXY代理服務器中設置監控程式暫存檔,猶如偷拍針孔一般全都錄下。

5、ISP業者都會將使用者的E-MAIL帳號銷售給寄送廣告信業者,如此不道德之行為一再上演,誰能保證ISP業者不將其它資訊轉賣給第三者。

 

PS:使用PROXY代理服務器時,您的所有操作均有可能被記錄,包括時間、路由器ROUTER、各種申請、ID、密碼等,因此可能導致私人資訊洩露。對於網上其他用戶和訪問的網站來說您是安全的,可是對於PROXY代理服務器本身來說,您卻被一覽無遺!PROXY代理服務器的管理員或者透過其他方式擁有代理服務器管理權限的人都能夠輕而易舉的擁有你的使用PROXY代理服務器的任何動作!因此強烈建議:非必要不要使用PROXY代理服務器收發涉及個人隱私和秘密的電子郵件﹔不要使用PROXY代理服務器從事違法行為﹔不要使用PROXY代理服務器FTP和進行其他需要提供用戶ID和密碼的操作!

 

 

註記:某 I S P 業者高層與某防毒產品公司係屬同學之關係,該防毒產品公司近日推出之產品嚴重瑕疵,天網安全實驗室於該產品上市前通知該公司,但該公司除無力修正外,卻將瑕疵產品上市提供消費者使用。

眾所周知,防火牆是網路安全政策的有機組成部分,它通過控制和檢測網路之間的資訊交換和訪問行為來實現對網路安全的有效管理。從總體上看,防火牆應具有以下五大基本功能:

1、過濾進出網路的數據。

2、管理進出網路的訪問行為。

3、封堵某些禁止的業務。

4、記錄通過防火牆的資訊內容和活動。

5、對網路攻擊進行檢測和警報。

為實現以上功能,在防火牆產品的開發中,人們廣泛應用網路技術、電腦操作系統技術、路由技術、加密技術、訪問控制技術、安全審核技術等多種方式。

綜觀國內外防火牆產品的發展歷史,世界著名的防火牆廠商的產品,包括Check Point Firewall-1、Cisco的PIX、NetScreen 等等,都沒有在防火牆上直接集成防病毒模組。這是為什麼呢?

稍後總結便知,在防火牆集成病毒檢測模組有極大弊端,主要表現在以下兩個方面:

1、使防火牆性能大幅下降:

防火牆如果內置了防病毒模組,就需要在防火牆核心包過濾模組之前或之後進行病毒代碼的匹配和檢測。匹配的過程要比狀態檢測模組中進行過濾的過程更加消耗系統資源,佔用大量的記憶體和CPU時間,使防火牆性能下降非常明顯,幾乎達到用戶無法接受的程度。這是絕大多數防火牆沒有內置病毒檢測模組的根本原因。

2、加大防火牆的安全隱憂:

防病毒產品需要不斷更新防病毒引擎和防病毒代碼才能真正防毒,如果防火牆內核部分集成了防病毒引擎,同樣也需要不斷更新病毒引擎和病毒代碼。

有的防病毒廠商的軟體升級更新非常快,平均一周要更新一到三次。如此頻繁的更新,升級速度,會使防火牆預留的病毒升級口利用率非常高,它使經常調用病毒升級的APL,這樣對防火牆的安全性,穩定性都是一個極大的挑戰與存疑。

基於以上的分析可知,現在的防火牆體系結構和使用環境,決定了防火牆中不能內置防病毒模組,那些宣稱防火牆可以直接查、殺病毒的產品只不過是一種宣傳的手段罷了。

目前,國際上通用的對網關防毒的做法,都將防火牆上的數據再引導到另外的專門進行病毒檢測的服務器上進行,而不直接在防火牆上進行病毒檢測,此也勢必將用戶之隱私全盤交由該廠商來進行。

資料來源提供:天網重慶分公司(網路安全講座講義)


建議配合防毒軟體廠牌:

台灣地區:Symantec Norton AntiVirus、Zlock 2002、Antiviral Toolkit Pro、McAfee VirusScan

其他地區:瑞星、金山、雄貓衛士、Symantec Norton AntiVirus、Zlock 2002、Antiviral Toolkit Pro、McAfee VirusScan

註記:任何無法至天網各網站進行安全性連接檢測產品,係採用DNS Deny最基本技術,產品安全性尚多缺失未改善,建議消費者勿受品牌、廣告迷失,請自行決定是否採用,並勿再來信詢問。