【网络安全设备系列】8、防病毒网关（防毒墙）

0x00 定义:

防病毒网关是一种网络设备，用以保护网络内（一般是局域网）进出数据的安全。主要体现在病毒杀除、关键字过滤（如色情、反动）、 垃圾邮件阻止的功能，同时部分设备也具有一定防火墙（划分Vlan）的功能。 

安全网关类设备在应用层和网络层上面都有防火墙的身影，在第三层上面还能看到VPN作用。而防病毒网关这种安全网关作用在第二层，即数据链路层。

0x01 主要功能:
1、病毒杀除 
2、关键字过滤   
3、垃圾邮件阻止的功能   
4、部分设备也具有一定防火墙能够检测进出网络内部的数据，对http、ftp、SMTP、IMAP和POP3五种协议的数据进行病毒扫描，一旦发现病毒就会采取相应的手段进行隔离或查杀，在防护病毒方面起到了非常大的作用。

(author https://www.cnblogs.com/Shepherdzhao/)

0x02 与防火墙的区别:
1、防病毒网关：专注病毒过滤，阻断病毒传输，工作协议层为ISO 2-7层，分析数据包中的传输数据内容，运用病毒分析技术处理病毒体， 具有防火墙访问控制功能模块 
 2、防火墙：专注访问控制，控制非法授权访问，工作协议层为ISO  2-4层，分析数据包中源IP目的IP，对比规则控制访问方向，不具有病毒过滤功能

0x03 与防病毒软件的区别:
1、防病毒网关：基于网络层过滤病毒；阻断病毒体网络传输；网关阻断病毒传输，主动防御病毒于网络之外；网关设备配置病毒过滤策略，方便、扼守咽喉；过滤出入网关的数据；与杀毒软件联动建立多层次反病毒体系。  
2、防病毒软件：基于操作系统病毒清除；清除进入操作系统病毒； 病毒对 系统核心技术滥用导致病毒清除困难，研究主动防御技术；主动防御技术专业性强，普及困难；管理安装杀毒软件终端；病毒发展互联网化需要网关级反病毒技术配合。 
0x04 查杀方式:

对进出防病毒网关数据监测：以特征码匹配技术为主；对监测出病毒数据进行查杀：采取将数据包还原成文件的方式进行病毒处理。  
1、基于代理服务器的方式  
2、基于防火墙协议还原的方式 
3、基于邮件服务器的方式

4、基于信息渡船产品方式

0x05 使用方式:

1、  透明模式：串联接入网络出口处，部署简单，缺点是容易单点故障

2、旁路代理模式：强制客户端的流量经过防病毒网关，防病毒网关仅仅需要处理要检测的相关协议，不需要处理其他协议的转发，可以较 好的提高设备性能。   

3、旁路模式：与旁路代理模式部署的拓扑一样，不同的是，旁路模式只能起到检测作用，对于已检测到的病毒无法做到清除。