荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: xhjx (回家的感觉真好), 信区: Virus
标 题: 为什么不在防火墙上集成病毒检测
发信站: 荔园晨风BBS站 (Wed Feb 20 16:27:37 2002), 站内信件
综观国内外防火墙产品的发展历史,发现世界著名的防火墙厂商的产品,包括
Check Point的Firewall-1、CISCO的PIX、NetScreen等等,都没有在防火墙上直接
集成防病毒的模块。那么,这是为什么呢?稍稍总结便知,在防火墙上集成病毒检
测的模块会有极大的弊端。其主要表现在以下几个方面:
一、使防火墙性能大幅下降
大家都知道,病毒检测需要对进出的数据进行病毒代码的匹配。防火墙如果内
置了防病毒模块,就需要在防火墙核心包过滤模块之前或之后进行病毒代码的匹配
和检测。这个匹配的过程要比状态检测模块中进行过滤的过程更加消耗系统的资源
,占用大量的内存和CPU等,使防火墙的性能下降非常明显,几乎可以达到用户无
法接受的程度。这一点是绝大多数防火墙没有内置病毒检测模块的根本原因。
二、加大防火墙的安全隐患
大家都使用过防病毒的软件,知道防病毒产品需要不断的更新防病毒引擎和病
毒代码。那么,如果防火墙内核部分集成了防病毒的引擎,同样也需要不断的更新
病毒引擎和病毒代码。
有的防病毒厂商的软件升级更新非常快,平均一周要更新一到三次。如此频繁
的更新、升级速度,会使防火墙预留的病毒升级接口利用非常频繁。它会经常调用
病毒升级的API,这样对防火墙的安全性、稳定性都是一个极大的挑战。反之,如
果不经常升级和更新,或者很久才进行升级和更新,又失去了防病毒的意义。因为
,世界上每天都会有新的病毒产生!
三、总结
基于以上分析可知,现在的防火墙体系结构和使用环境,决定了防火墙中不能
内置防病毒的模块。那些宣称防火墙可以直接查、杀病毒的产品只不过是一种宣传
的手段罢了,请用户选择的时候根据自己的需要仔细考虑。
目前,国际上通用的对网关防病毒的做法是将防火墙上的数据引导到另外的专
门进行病毒检测的服务器上进行,像Firewall-1等等,而不是直接在防火墙上进行
病毒检测。
--
┏─┓ ┏─┓ ┏─┓
│┏┴┓ │邪├┓ ┏─┓ ┏┴┓│
┗┤东├╮ ┗┬┛│ ┏┤西│ │毒├┛
┗─┛╰╮ ┗┬┛ │┗┬┛ ┗┬┛
╭──────╯ ╭──╯ ┗─┛ ╰──╯ xhjx@virus
╰────────╰──────────── ────────── ─ ─
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 203.93.19.1]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店