诺顿防护组件:入侵防护
接下来,我们一起关注一款和智能防火墙相辅相成的防护组件:入侵防护。如果说防火墙的作用是过滤一切不需要的数据包,并通过允许的数据包,那么入侵防护的作用则是对于被通过的数据包进行再一次的检查。对于有些软件,我们需要为其开启互联网的访问权限。但是,我们都知道,很多软件在推出的时候可能会存在很多安全上的漏洞。这些漏洞毫无疑问为黑客的攻击开启了大门。由于防火墙本身允许此类程序的所有数据,因此,黑客对于此类软件的攻击,可以很轻易地绕开防火墙的监控。这个时候,入侵防护的作用,就显得很有必要了。它和智能防火墙的作用正好是相辅相成,两者缺一不可。
诺顿入侵防护的设计初衷就是帮助用户防护由于软件漏洞而引发的安全隐患。和防火墙一样,它也工作在Internet层。在NIS 2012的高级界面上,点击“漏洞防护”,即可看到目前诺顿入侵防护所能够防范的各类软件漏洞列表。
这里需要指出的是,和病毒定义(Virus definition)相似,在Liveupdate更新中,诺顿还提供入侵防护定义更新(IPS Definition),当然,也有基于网页防护的Web Protection Definition。可见,诺顿是将各种类型的攻击进行分类,然后决定通过哪种组件来防范,最后,再将新的定义做到相应组件中去。
通过漏洞或者网络层的攻击,诺顿一般是通过入侵防护来进行防范的。故此类的样本,诺顿是将其做进入侵防护定义而不是静态的病毒定义。如果用户手动下载该样本并进行静态扫描,自然是扫不出来的。但往往此类样本进入本地后,是无法对用户的本机造成实质性的影响的。既然已经通过入侵防护来防了,就没有必要再将其做进病毒定义中去。这也是为了减少用户的系统开支。
下面再来看看电子邮件防护。可千万不要认为电子邮件防护只是将电子邮件下载到本地后再进行病毒监控。事实上,诺顿电子邮件防护虽然也包含了病毒监控,但是更多的,是通过电子邮件(或者即时消息)客户端,进行端口监控,从而达到和入侵防护一样的拦截效果。
从上图可以看到,最基本的邮件传输协议SMTP和POP3以及其端口已经收到诺顿的监控。当然,电子邮件附件病毒扫描以及即使消息监控也囊括其中。
NIS中的网页防护
讨论完基于Internet层的网络防护后,下面我们把焦点放在基于应用层的诺顿网页防护。
网友评论