您的位置:首页精文荟萃安全相关 → 告诉你防火墙和杀毒软件区别

告诉你防火墙和杀毒软件区别

时间:2010/4/15 11:32:00来源:本站整理作者:不详我要评论(0)

告诉你防火墙和杀毒软件区别:

  在许多人的思想中,特别是电脑的初学者,都对防火墙有一种错误的认识。即分不清什么是防火墙以及杀毒软件,认为杀毒软件就可以代替防火墙,所以就掉以轻心,成了网络的受害者。其实杀毒软件和防火墙有很大的不同。下面,我就从这两种防火墙的工作原理谈起,再谈谈它们的区别和选择。

  首先,我从杀毒软件的原理谈起。杀毒软件主要是针对计算机病毒而设计的,它的防毒原理是:在病毒进入系统前,先取得系统的控制权,并监视一切程序的运行,做到实时监控。正是因为这个原理,所以在安装了杀毒软件的系统里,最先被加载的程序往往就是杀毒软件程序。例如金山毒霸的kavdex.exe和VRV的bav2000.exe等。而且基本上都要加载两次。(这可以在WINDOWS里运行msconfig就可以看见具体加载的程序)我想这应该是对DOS和WINDOWS分别加载的吧(这是我的猜测,如果有不正确的地方还请各位指正)就以windows和金山毒霸为例,我对杀毒软件的加载流程作一个介绍:其实WIN98也是DOS下的应用程序。它还是要靠DOS7.0来启动。在开机自检完成后,DOS开始启动。然后执行config.sys和autoexec.bat。这时,在autoexec.bat中,第一个被执行的就是KAVDX.EXE这个防毒程序。这样,就保证了DOS下无毒。然后再加载一些DOS下的应用程序和需要实模式驱动的驱动程序,在这些程序完成后,Windows的启动文件Win.com才被加载,随后就进入了Windows的界面,这时KAVDX.EXE又会被加载一遍,此时就是为了在病毒之前获得系统的控制权。然后再加载其它的启动程序,比如Explorer等。怎样获得系统的控制权?我只知道VRV是以.VXD(虚拟设备驱动)这种方式来取得控制权的。其他的我想也是类似这样。在Windows启动后,杀毒软件便常驻内存,监视系统的一举一动。当我们要运行一个程序时,防火墙便被激活,对这个程序进行扫描,如果发现这个程序含有病毒特征码,就拦截该程序,使之不能运行。然后根据预先设定的内容进行杀毒或删除或等待用户确认等;如果没有检测到病毒特征码,就进行智能分析,以判断是否含有未知病毒,若含有,就按前面那样处理,若没有,就让该程序运行。这里提到了病毒特征码和智能分析,也就顺带说说杀毒程序判断是否染毒的方法。其方法有两种:1、根据病毒特征码判断:每一种病毒都有不同的病毒特征码,这些通过一定的组合就形成了病毒程序。杀毒软件多有一个叫病毒库的文件,这个文件其实是一个文本文件,里面就写着不同病毒的特征码,杀毒软件就是通过对比这些特征码来判断是否带毒的。但是,这种方法一旦遇到新病毒就不行了,于是就产生了第二种方法:智能分析、判断是否带毒,这是通过分析病毒发作特征来查毒的,由于现在计算机的普及率及性能的不断提高,每天都有很多新病毒被制造出来,所以智能判断病毒这个功能也越来越重要,其判断的准确程度也是衡量一个防毒软件好坏的重要依据。

  "木马算病毒吗?"这个问题至今还在争论中。可据我所知,许多杀毒软件对木马却无能为力,或者只杀得了几种木马。比如VRV查不出"冰河"(至少我做这个实验时杀不了),金山毒霸就可以。好了,谈了那么久的杀毒软件后,也该让防火墙出面了,防火墙,顾名思义,就是面向网络的防火墙,它使专门针对木马和各种攻击而开发出来的防御软件。其原理和杀毒软件有类似的地方,但也有很大的不同。下面,我就谈谈防火墙的原理,在这里要提到一个概念,就是OSI参考模型,它是由国标标准组织ISO所制定的,OSI的全称是开放系统连接(OpenSystemInterconnection)。OSI模型将网络通信系统作层次划分,由低层的通信物件到高层的网络应用,分为七个层次,分别使:Layer1,物理层:规定在网络通信介质中,如何使通信的两端得以正确的接收比特流;Layer2,数据链路层:规定取得通信介质的方式。同时也必须与通信的对方建立起收发数据的默契,以便数据能可靠地传至接收端;Layer3,网络层:规定在同一网络中,传输路径的选择及建立方式,以便数据能由起点通过可能的中间点而到达终点。在TCP/IP协议中,网络层中的协议有两个:IP(InternatProtocol)和ICMP(InternetControlMessageProtocol),负责传输路径的建立(IP协议),并将Layer4的TPDU(TransportProtocolDataUnit)切成小段,形成数据包(packet),并在网络路由器或接收端,将其重组起来;Layer4,传输层:在TCP/IP中,该层的协议有TCP(TransmissionControlProtocol.传输控制协议)和UDP(UserDatagramProtocol)两种。负责传送数据。TCP与UDP的区别是:前者是连接式服务,而后者是非连接式服务;Layer5,会话层:提供控制机能,将下四层的信息流控制成会话形式;Layer6,表示层:以建立连接,传送数据,控制会话及活动的同步为主,防火墙就位于这一层;Layer7,应用层:提供三种协议以便与下层通信,并提供软件的应用的平台。OSI模型就简单地介绍完了,现在继续接着前面谈,防火墙运行后,其会监视Layer6的活动,对每一个通过的数据包进行检测,同时也会守住每一个端口。端口位于Layer4,使在传输层中建立的数据传输虚拟通道,作用和门一样,每一个程序要在网络上传送数据,就要开一个"门"(端口),就这样通过"门"对"门"进行数据传输的。网上的额数据也是通过端口进入计算机的,一个计算机最多有65536个端口,重1到65536,程序就是通过这即端口进行一对一的通信,例如OICQ,其默认的端口就是4000,当4000这个端口没有被其它程序占用时,OICQ就通过这个端口收发讯息,如果该端口被占用了,就会另外选一个空闲的断口进行通讯。用netstat-a就可以看见开了那些端口,当然也可以用软件来看,我的主页上就有这一类的软件,大家可以来看看(http://networms.yeah.net/)。一般...。比如20端口就是FtpData、21端口就是FTPOpenServer、23端口就是Telnet服务、137~139端口是用于netbios的,等等。防火墙就是守住这些门的卫士,它可以过滤掉一些有害的数据包。

  什么是有害的数据包?在前面的OSI模型中的Layer3和Layer4中,我们提到了几种数据传输协议,分别是ICMP、TCP、UDP、IGMP等,这些传输协议都有一些漏洞(准确地说是设计时的缺陷),如果利用这些漏洞进行攻击,则有可能让被攻击者泄密,或者远程共享等,许多攻击软件就是利用这些漏洞来设计的,危害很大。防火墙拦截到这些有害数据后,就会把它过滤掉。是这些数据包不再进入上层中去,也就不会对计算机形成危害了。但是,有些攻击也不是利用这些漏洞来攻击的,比如古老的PING攻击。这种攻击简单地说就是不断地发送ICMP数据包,是对方的机器瘫痪从而造成破坏我们设攻击者为A,被攻击者为B。PING的原理是A向B发送一个ICMP数据包,B在受到这个数据包时给A一个回应,告诉A该数据包已收到。A就可以以此判断出网络已经连通,否则网络就有问题,所以PING这个命令是用来监测网络连通的软件。而PING攻击就是A不断地PINGB,使B不断地回复数据,从而是B的系统资源耗尽而死掉,这就是PING攻击的原理。因为linux的发包速度比win9x快得多,所以PING攻击者常常是用的linux。当然这也要攻击者的机器够快才行,否则他也会因为来不及处理B返回的数据而死掉。有的防火墙也能过滤掉ICMP数据包,比如天网防火墙。使攻击者收到的是TimeOut(超时),从而也就无法攻击了。

  防火墙还有一个重要的作用,就是防止木马的连接。因为木马通常由两个程序组成:客户端和服务器端。受害者的电脑上运行的就是服务器端的程序。当计算机运行了服务器端的程序后,这个程序就会打开一个端口,这个端口可以用客户端的程序设置。客户端程序找这些中了木马的计算机的方法是:PING这些计算机的端口(就是设定的木马端口),并发送一个连接请求,如果是没有中木马的计算机,就不会理会这个请求,也就不会与客户端连接。而中了木马的计算机,在收到这个请求时,就会产生回应,并于之相连。使客户端可以共享主机(也就是中了木马的计算机)的资源,权限就和NT例的Administrator一样。可以看到一切东西,包括帐号和密码等信息。这也就是木马的危害之处。防火墙的作用就是拦截这个请求,并过滤掉,使计算机不响应,也就不能连接上客户端了。

  防火墙与杀毒软件也正是这些区别,由于杀毒软件不具有端口监控的能力,所以不能防止木马的连接,最多也就是杀木马而已。而且也不能对数据包进行过滤,并不能防止网络上的攻击。所以,杀毒软件并不能代替防火墙。说了这么多,大家也应该对这两种防火墙有一个比较清醒的认识了。

  还有一点错误的认识,就是不要以为装了一个防火墙就可以防止一切入侵。各个防火墙都有一定的弱点,比如大名鼎鼎的lockdown2000,它可是防火墙中的佼佼者,能防的木马也最多,但是…………"冰河"这个国产精品,它就不能防,不信吗?试试就知道了。其实"冰河"这个软件做得可真不错,用来作局域网的管理好得很,作者也正是基于这个目的而开发的,现在却成了木马中的"精品",真实令作者始料不及,其作者也停止了对这个软件的开发。天网,也是国货精品,就能防止"冰河"的连接。这也算是符合中国国情吧。

 

相关阅读 Mac防火墙需要打开吗 Mac防火墙设置教程360安全卫士防火墙在哪 360安全卫士防火墙怎么设置瑞星防火墙规则教程 瑞星防火墙规则设置方法windows安全警报怎么关闭 为什么总是弹出安全警告网络防火墙怎么设置 网络防火墙在哪里设置瑞星个人防火墙怎么样瑞星个人防火墙怎么卸载QQ电脑管家4.6 Beta2新增网速保护、ARP防火墙功能

文章评论
发表评论

热门文章 没有查询到任何记录。

最新文章 金山游戏盒子怎么卸载警惕网络陷阱:新型病毒 NOD32用户名和密码最新(2013.09.11)忘记密保答案怎么办bitdefender 2011激活码及注册码集合卡巴斯基Pure数据加密最佳首选

人气排行 如何关闭xp防火墙金山游戏盒子怎么卸载 如何卸载金山游戏盒子什么杀毒软件的资源占用最少忘记密保答案怎么办如何关闭win7防火墙诺顿杀毒软件的使用技巧安装NOD32后无法上网的解决方法如何卸载瑞星防火墙