终端安全与网络威胁防护笔记
一、终端安全基础
1. 端口与漏洞风险
终端端口可能存在提权漏洞等安全隐患,攻击者可通过以下方式利用漏洞实施攻击:
- 绕过安全验证机制,在正常网络流量中掺杂攻击代码
- 通过植入后门程序,长期维持对终端的控制权限
2. 终端防护策略
终端防护策略主要分为两类,核心差异体现在过滤依据和响应速度上:
| 策略类型 | 过滤依据 | 响应特点 |
|---|---|---|
| 基于应用的控制策略 | 匹配数据包特征 | 需一定数量数据包通行后,才能判断应用类型并执行拦截 |
| 基于服务的控制策略 | 匹配数据包五元组(源地址、目的地址、源端口、目的端口、协议号) | 对任何数据包可立即进行拦截判断,响应速度更快 |
3. Web 过滤技术
Web 过滤针对网页访问数据实施精准管控,核心内容包括:
- 过滤对象:符合设定条件的网页访问数据
- 过滤方式:URL 过滤、文件过滤,可根据 HTTP 协议的不同动作(如 GET、POST 等)进行区分
- 扩展能力:支持对 HTTPS URL 进行过滤,覆盖加密网页访问场景
二、计算机病毒及其工作机制
1. 病毒基本特性
计算机病毒是一种潜伏在正常文件或程序中的恶意代码,具有自我复制能力,会通过复制自身到正常文件中扩散,并伺机转移到系统文件的关键位置。
2. 病毒核心模块与破坏阶段
- 引导模块:负责病毒的激活与持久化,通过修改系统配置(如注册表、启动项)或捆绑正常程序,确保病毒在系统启动、文件运行时被触发
- 破坏阶段:执行具体恶意行为,主要分为三类:
- 破坏型:删除系统文件、格式化硬盘、导致系统崩溃
- 窃取型:记录键盘输入(获取密码)、屏幕截图、上传用户数据至黑客服务器
- 控制型:远程操控设备(沦为 “肉鸡” 参与 DDoS 攻击)、加密文件实施勒索
三、网关杀毒技术
1. 网关杀毒定义
网关杀毒(Gateway Antivirus) 是部署在网络网关设备(如防火墙、路由器、UTM 统一威胁管理设备等)上的病毒防护技术。其核心作用是在网络流量进入内部网络前,对数据进行扫描过滤,拦截恶意文件、病毒、蠕虫等威胁,阻止其渗透到内部终端或服务器。
2. 网关杀毒的必要性
- 外部网络(如互联网)是病毒和恶意软件的主要来源,可通过邮件附件、网页下载、文件传输等多种途径侵入内部网络
- 弥补防火墙防护盲区,对防火墙无法识别的恶意代码进行二次拦截,形成网络边界的第一道主动防护屏障