淺析諾頓網(wǎng)絡安全特警的網(wǎng)絡防護

net-boy

從各大民間愛好者論壇網(wǎng)友的反饋來看，很多網(wǎng)友對于靜態(tài)查殺比較關注。筆者曾經(jīng)也提到過，對于NIS 2012的網(wǎng)絡套裝來說，靜態(tài)查殺只是其眾多防護武器中的冰山一角。相比之下，NIS 2012基于web和互聯(lián)網(wǎng)的防護組件則更是其幫助用戶抵御網(wǎng)絡攻擊的拿手好戲。今天，就讓我們把關注的焦點集中在NIS網(wǎng)絡防護和網(wǎng)頁防護上，一起來領略其更大的魅力。

OSI參考模型和TCP/IP模型簡介

在正式討論基于網(wǎng)絡的防護組件之前，我們先花幾分鐘時間討論互聯(lián)網(wǎng)協(xié)議的工作規(guī)則，這有助于之后更好地理解本文。說起互聯(lián)網(wǎng)，相信很多讀者都知道，我們每日進行所有的網(wǎng)絡活動，都是基于TCP/IP協(xié)議進行的。那么，究竟TCP/IP協(xié)議是什么？它是如何幫助我們進行互聯(lián)網(wǎng)通信的呢？

說起TCP/IP協(xié)議，有一相對于學術界來說不容忽視的參考模型：開放式系統(tǒng)互聯(lián) (OSI) 模型。OSI模型最初是由國際標準化組織 (ISO) 設計，旨在提供一套開放式系統(tǒng)協(xié)議的構建框架。其初衷是希望使用這套協(xié)議開發(fā)一個獨立于私有系統(tǒng)的國際網(wǎng)絡。作為一種參考模型，OSI 模型詳細羅列了每一層可以實現(xiàn)的功能和服務。它還描述了各層與其上、下層之間的交互。每當我們連上互聯(lián)網(wǎng)并且與對方主機進行通訊時，其所有操作都位于OSI模型的第七層（應用層）。



經(jīng)過之后每一層的轉換，加密，封裝等操作后，通過第一層（物理層）傳輸?shù)綄Ψ侥康亩�，再由對方網(wǎng)絡設備將數(shù)據(jù)包進行解封，解密等操作，傳輸?shù)綄Ψ降牡谄邔硬⑾驅Ψ街鳈C發(fā)送服務請求。



在對方得到請求后，以相同的方式將回應傳輸給源端，至此，一次網(wǎng)絡交互結束。



相對于OSI參考模型來說，TCP/IP則是客觀存在并且為所有互聯(lián)網(wǎng)用戶提供通信的協(xié)議。在該協(xié)議在分層和職能上和OSI參考模型類似。



在用戶實際的互聯(lián)網(wǎng)通信過程中，數(shù)據(jù)的封裝，傳輸過程與OSI參考模型是一致的。以下是TCP/IP模型每一層的作用。



通常，我們提及 TCP/IP 模型的各層時只使用其名稱，而提及 OSI 模型的七個層時則通常使用編號而非名稱。

對于我們今天所討論的主角：諾頓網(wǎng)頁防護和網(wǎng)絡防護。它們分別工作在TCP/IP協(xié)議中的應用層和Internet層。而靜態(tài)查殺，SONAR主動防護以及諾頓信譽分級等功能，都是基于主機的本地防護。其實，對于一款網(wǎng)絡防護套裝來說，能夠在數(shù)據(jù)通過TCP/IP進入本地之前就將其攔截，是最好的防護手段。本地防護再強，終究是亡羊補牢。

諾頓網(wǎng)絡安全特警的四道防線

NIS在防護設計思路上的理念相信各位讀者都知道：“防大于殺”。確實，從NIS包含的各類防護組件來看，該理念被展現(xiàn)得淋漓盡致。當前，在國內安全市場里“云”的概念被炒作得天翻地覆的時候，諾頓卻堅持自身的防御體系。雖然諾頓安全軟件中也包含了云，但是，賽門鐵克并沒有忽視其他層面的防護。對于網(wǎng)絡層防護，雖然每年的改進沒有其他組件那么大，但是，它們在諾頓安全軟件的防御體系里，所扮演的角色是其他組件不能替代的。這也是NIS和其他安全軟件與眾不同的地方。這里介紹一下NIS的四道強而有力的防護體系：

首先，對于網(wǎng)絡威脅攻入本地之前，諾頓的網(wǎng)絡防護組件（如智能防火墻，入侵防護，瀏覽器主動防護）會將其攔截在外。

其次，對于用戶主動下載的文件，諾頓的文件信譽分級功能會幫助用戶判斷該文件的詳細可信程度�；�于該功能的不斷完善，其信譽值的評分規(guī)則也日趨成熟，判斷結果也愈發(fā)精準（通常，文件簽名，版本以及附加規(guī)則位評分引擎的有力參考依據(jù)）。對于一些由于信息不足而無法立刻做出判斷的文件，諾頓最終會將選擇權留給了用戶。用戶可以選擇運行或者刪除。那么如果用戶一旦選擇運行未知信譽文件，該文件卻包含惡意代碼，如何是好？

接下來，諾頓文件保護則是下一道關卡。傳統(tǒng)特征碼，查毒引擎等，都是為用戶提供保障的利器。

最后，基于行為的判定也是非常重要的一環(huán)，SONAR主動防護便是最后一道有力的關卡。當然，在用戶的計算機受到極大程度的破壞之時，NPE，NBRT都是幫助用戶恢復計算機的最終利器。

接下來，讓我們一起來領略這四道防線里的首道防線之風采。雖然每年它們受到的關注不多，但是，它們卻是在默默無聞地保護著大家的網(wǎng)上安全。

NIS中的網(wǎng)絡防護


首先，讓我們先討論一下NIS中的網(wǎng)絡防護。

網(wǎng)絡防護工作在TCP/IP中的Internet層。

從2009版NIS起，基于Internet層的防護由三大防護組件構成：智能防火墻，入侵防護和電子郵件防護。首先，我們先來關注諾頓智能防火墻。

說起防火墻，很多用戶能夠明白防火墻主要的作用。防火墻是根據(jù)其中包含的規(guī)則，對于通過網(wǎng)絡進入本地的數(shù)據(jù)包進行檢查，阻止被規(guī)則禁止的數(shù)據(jù)包并通過允許的數(shù)據(jù)。從而防止用戶本地被網(wǎng)絡黑客攻擊。以往根據(jù)防護的規(guī)則種類，防火墻被分為兩種。一是默認情況下允許所有數(shù)據(jù)包進入，而由用戶自行配置需要禁止的網(wǎng)絡協(xié)議和端口。另一種則相反。默認安裝完畢后禁止所有數(shù)據(jù)包，而每當用戶需要通過某個程序訪問互聯(lián)網(wǎng)時，再通過彈窗等方式詢問用戶是否允許為該程序開啟互聯(lián)網(wǎng)的訪問權限。對于家庭環(huán)境來說，后者是更適合的。畢竟家庭用戶并不熟悉每一款網(wǎng)絡協(xié)議的工作特點以及端口號碼。但是，諾頓的智能防火墻則可說是吸取了以上兩種防火墻的所有精華。之所以取名為“智能防火墻”，相信很多用戶都能夠體會到其獨特。確實，在默認配置下，諾頓防火墻是可以自行判斷應用程序的數(shù)據(jù)出站以及入站規(guī)則。無需用戶自行配置。如下圖：



當然，如果用戶對某個應用程序有特定的需求，亦可更改其中的配置。當然，諾頓對于網(wǎng)絡知識相對豐富且對于當前網(wǎng)絡有特定需求的用戶提供了設置余地更大的高級設置。在“智能防火墻”設置中，找到“高級設置”，點擊“配置”，即可開啟配置對話框。



在該窗口中，若要啟用高級配置，請先關閉“自動程序控制”，然后開啟“高級事件監(jiān)控”，之后的全局配置即可開啟。

另外，NIS智能防火墻對于一般數(shù)據(jù)進出戰(zhàn)規(guī)則以及一些非常用的Internet層協(xié)議，也提供了保護。對于非常用協(xié)議，用戶可考慮取消諾頓對其的監(jiān)控，這樣可以減少防火墻本身對于系統(tǒng)和網(wǎng)絡帶寬的占用，不過防護的效果會被削弱。性能和防護之間的選擇，還是取決于用戶自身了。



對于每一款協(xié)議的作用，這里不詳細介紹，有興趣的讀者可參閱計算機網(wǎng)絡的相關書籍。

接下來，我們一起關注一款和智能防火墻相輔相成的防護組件：入侵防護。如果說防火墻的作用是過濾一切不需要的數(shù)據(jù)包，并通過允許的數(shù)據(jù)包，那么入侵防護的作用則是對于被通過的數(shù)據(jù)包進行再一次的檢查。對于有些軟件，我們需要為其開啟互聯(lián)網(wǎng)的訪問權限。但是，我們都知道，很多軟件在推出的時候可能會存在很多安全上的漏洞。這些漏洞毫無疑問為黑客的攻擊開啟了大門。由于防火墻本身允許此類程序的所有數(shù)據(jù)，因此，黑客對于此類軟件的攻擊，可以很輕易地繞開防火墻的監(jiān)控。這個時候，入侵防護的作用，就顯得很有必要了。它和智能防火墻的作用正好是相輔相成，兩者缺一不可。

諾頓入侵防護的設計初衷就是幫助用戶防護由于軟件漏洞而引發(fā)的安全隱患。和防火墻一樣，它也工作在Internet層。在NIS 2012的高級界面上，點擊“漏洞防護”，即可看到目前諾頓入侵防護所能夠防范的各類軟件漏洞列表。



這里需要指出的是，和病毒定義（Virus definition）相似，在Liveupdate更新中，諾頓還提供入侵防護定義更新（IPS Definition），當然，也有基于網(wǎng)頁防護的Web Protection Definition�？梢�，諾頓是將各種類型的攻擊進行分類，然后決定通過哪種組件來防范，最后，再將新的定義做到相應組件中去。



通過漏洞或者網(wǎng)絡層的攻擊，諾頓一般是通過入侵防護來進行防范的。故此類的樣本，諾頓是將其做進入侵防護定義而不是靜態(tài)的病毒定義。如果用戶手動下載該樣本并進行靜態(tài)掃描，自然是掃不出來的。但往往此類樣本進入本地后，是無法對用戶的本機造成實質性的影響的。既然已經(jīng)通過入侵防護來防了，就沒有必要再將其做進病毒定義中去。這也是為了減少用戶的系統(tǒng)開支。

下面再來看看電子郵件防護。可千萬不要認為電子郵件防護只是將電子郵件下載到本地后再進行病毒監(jiān)控。事實上，諾頓電子郵件防護雖然也包含了病毒監(jiān)控，但是更多的，是通過電子郵件（或者即時消息）客戶端，進行端口監(jiān)控，從而達到和入侵防護一樣的攔截效果。


最基本的郵件傳輸協(xié)議SMTP和POP3以及其端口已經(jīng)受到諾頓的監(jiān)控。當然，電子郵件附件病毒掃描以及即時消息監(jiān)控也囊括其中。

NIS中的網(wǎng)頁防護

討論完基于Internet層的網(wǎng)絡防護后，下面我們把焦點放在基于應用層的諾頓網(wǎng)頁防護。

NIS網(wǎng)頁防護由四個組件組成：身份安全，瀏覽器主動防護，安全上網(wǎng)和下載智能分析。

我們首先討論身份防護。和入侵防護，智能防火墻以及瀏覽器主動防護不同的是，如果把前三者比作“嚴防死守”，那么身份防護則是“主動出擊”。在用戶進行相應配置后，身份防護會在用戶需要的時候，主動幫助用戶填寫網(wǎng)頁的相關身份信息，從而避免黑客通過擊鍵記錄來盜取用戶賬號，以及對于釣魚假冒網(wǎng)站也有很好的防護。并且，需要指出的是，對于有問題的站點，即便用戶配置了登錄信息，身份安全也不會自動登錄，而是在向用戶確認之后才會填寫登錄表單。對于登錄密碼的可靠性，身份防護也會給出相應的參考信息。

在NIS 2012中，身份防護2.0被引入。用戶可將自己的身份信息與諾頓賬戶綁定，并傳送到云端。以后只要登錄裝有NIS 2012（未來可與諾頓360 6.0兼容）的PC上，便可登錄諾頓賬戶，直接調用身份配置文件。免去了重復配置的麻煩，同時，由于數(shù)據(jù)存儲在賽門鐵克云端服務器，安全性也有了保障。身份安全2.0未來會有專門的文章進行討論。

對于瀏覽器主動防護，其主要作用是防范基于網(wǎng)頁本身的攻擊以及由瀏覽器的漏洞引起的網(wǎng)絡攻擊。可能有些用戶會將其和入侵防護相混淆。確實，在某些場合，它們的工作原理有類似之處，對于軟件的漏洞，它們都具備一定的防護能力。但不同的是：瀏覽器防護是基于應用層防護。和IPS的Internet層是不一樣的。瀏覽器防護的側重點是防護基于網(wǎng)頁，以及植入瀏覽器中的插件所發(fā)起的攻擊。而IPS是防護通過網(wǎng)絡層發(fā)起的，基于軟件漏洞（不僅僅是瀏覽器漏洞）的攻擊。無論如何，它們都是除了特征碼之外保護用戶上網(wǎng)安全的強大武器。

安全上網(wǎng)的作用是檢測欺詐站點，并開啟諾頓搜索防護。該功能在以往可能并不引人注目，但是現(xiàn)今賽門鐵克收購Verisign認證后，該功能的可靠性大大增強。在用戶開啟網(wǎng)頁后，如果諾頓工具欄上出現(xiàn)如下圖標：

則表明該站點受到Verisign安全認證，用戶可放心訪問。

同樣，該技術也集成到了諾頓搜索防護中，對于當今主流的搜索引擎，諾頓對于搜索的結果，也提供了網(wǎng)頁可信認證的標志，以供用戶參考。

該功能后臺的定義更新也會隨著Liveupdate提供。

這樣設計的意圖也可以說是“防大于殺”在用戶點擊惡意網(wǎng)站之前就提醒用戶該站點的安全信息，以防止威脅攻入主機本地。

對于下載智能分析。同樣的，請勿將其理解為下載文件后通過特征碼對其進行檢測。之所以要將下載文件單獨列出并提供防護，是因為用戶從互聯(lián)網(wǎng)上下載的文件，其面臨的風險會大于從其他介質輸入的文件。智能下載分析除了對下載的文件進行常規(guī)的特征碼檢測外，還要對其進行信譽評分，穩(wěn)定性檢查，以確保該文件對于用戶主機的影響是積極的。

不過，筆者倒是認為，下載智能防護嚴格地說并不能算作網(wǎng)絡防護，和云一樣，它是將文件放入本地之后再提供相關驗證信息。應該說，它只能算是本地防護的一種。

綜上所述，諾頓基于TCP/IP應用層和網(wǎng)絡層的防護組件，再加上強大的本地防護，構成了一道立體式的防御體系。正如前面所述，對于不同的威脅類型以及攻擊目標，諾頓都會將其做進不同的防護組件中。很多時候，靜態(tài)掃描樣本的方法并不能完全體現(xiàn)出NIS的整體防護能力。之所以寫下本文，是為了幫助大家對于諾頓安全軟件有一個更加全面的認識。請記住，諾頓網(wǎng)絡安全特警，是一款強而有力的網(wǎng)絡防護套裝。它除了能夠提供本地的靜態(tài)防護外，更多的是，在威脅侵入本地之前，將其攔截在外，“防大于殺”一直是諾頓在追求的目標。

kongfei02

好文！精彩！