恶意软件攻击防范与应急指导(2)_中国IT运维网www.cnitom.com

　　2.8.1 网络钓鱼

　　网络钓鱼指的是利用欺骗性的基于计算机的方式引诱个人透露敏感的个人信息。为了执行网络钓鱼攻击，攻击者首先需要建立一个与知名企业类似的网站或是假冒知名企业的邮件，譬如网上购物网站，信用卡发行机关或是金融机构。这些假冒的网站和邮件就是为了欺骗用户透露个人数据，特别是金融信息。譬如，网络钓鱼者搜寻网上银行的用户名和密码，还有银行账号。

　　网络钓鱼助长了很多犯罪行为，包括身份盗取和欺骗。在用户系统上安装恶意软件。常见的安装恶意软件的网络钓鱼包括假冒的广告促销和网络上的弹出窗口。用户一不小心点击了这些东西的话，估计键盘记录器就已经安装的到系统了。这些都会令用户受伤。

　　2.8.2 病毒欺骗

　　正如其字面意思所指，病毒欺骗就是错误的病毒警告。这些错误的病毒一般被描述成破坏性极大，并且需要马上采取保护措施。大多数使用电子邮件发送的病毒警报都是骗人的。病毒欺骗影响时间时间长，因为收到邮件的用户都会转发给别人提高警惕。尽管病毒欺骗很少造成破坏，但是有一些病毒欺骗知道用户修改操作系统设置或是删除正常文件导致安全和操作问题。病毒欺骗还会消耗企业的精力，因为很多员工收到这类邮件之后会向技术部门报告，寻求技术支持或是提醒他们。很出名的病毒欺骗是Good Times(好日子)

　　2.9 总结

　　恶意软件已然成为绝大多数系统最大的外部威胁，给企业和个人带来了巨大的损失。要小心防范。在第三部分中，我们将详细介绍。

　　三.恶意软件事件防范

　　恶意软件防范的四个组成部分是政策，警惕性，漏洞处置和威胁处理。确保处置风险的政策是执行防范控制的基础。建立和管理用户对于恶意软件的警惕计划，对于那些直接与恶意软件打交道的IT人员加强警惕性培训，这些都是减少人为失误的重要因素。在漏洞处置上花费时间是减少攻击的重要因素。部署威胁处置技术和工具，譬如说杀毒软件和防火墙，能够成功地阻止对系统和网络的攻击。

　　一旦规划了恶意软件防范方法，企业就应该做到对当前和将来一段时间的攻击因素做到心中有数。他们应该知道系统的控制性能，因为这与防范方法的有效性有很大的相关性。除此之外，企业还应该组合当前的防范措施，譬如杀毒软件部署和补丁管理，融入到恶意软件的防范措施中。尽管如此，企业应该意识到，不管在恶意软件的防范上付出多少努力，最终还是会发生状况。正所谓百密终有一疏。

　　3.1 安全政策

　　企业需要有相应的政策防范恶意软件事件。这些政策应该作为额外的恶意软件防范措施的基础(警惕性，漏洞处置和风险处置)。如果企业不能在安全政策中清晰地表述恶意软件防范需要考虑的事项，那么要想实现恶意软件防范的连贯性和有效性就是空谈。恶意软件防范相关的政策要有较大的灵活性以便减少修改的必要，但是同时在关键措施上也要足够详细。尽管一些企业有单独的恶意软件相关的政策，但是很多是包含在其它措施之中的，因此现行的安全政策有些可以借用相关的内容。恶意软件防范也要把远程工作地员工纳入到考虑范围。

　　一般的恶意软件防范政策考虑的因素包括如下几个方面：

　　■ 邮件附件包括压缩文件在打开之前进行杀毒扫描

　　■ 禁止使用电子邮件收发某些文

　　■ 禁止使用不必要的软件，譬如说那些经常传播恶意软件的应用程序(即时通讯软件，桌面搜索引擎，点对点的文件共享软件)，禁止使用公司已经提供的服务之外的相似软件，譬如说电子邮件功能。

　　■ 限制用户的管理员权限，这样防止用户通过使用管理员权限传播恶意软件

　　■ 操作系统和应用程序的实时更新和下载补丁

　　■ 限制移动媒介的使用，软盘，CD，USB接口闪存的使用

　　■ 对症下药。不同的系统(文件服务器，电子油价服务器，代理服务器，主机，PDA)使用不同的防范软件(杀毒软件，间谍软件检测和移除工具)。保证软件的实时更新。

　　■ 使用企业允许的和安全机制访问外部网络

　　■ 防火墙设置的修改需要通过正式的程序

　　■ 限制移动设备在信任网络上的使用

　　3.2 警惕性

　　一个行之有效的警惕性计划规定了用户使用企业IT系统和信息的行为规范。相应地，警惕性计划应该包括对恶意软件事件防范的指导，这可以减少恶意软件事件的频度和危害性。企业中的所有用户都应该知晓恶意软件入侵，感染，和在系统中传播的渠道;恶意软件造成的风险;恶意软件按防范技术的短板;用户在恶意软件防范中的重要性。警惕性教育要考虑不同系统环境的不同特征，譬如说那些出差的员工。除此之外，警惕性教育计划还应该渗透上面讨论的安全政策中的一些政策。以下列举数例考虑的因素：

　　■ 不要随意下载可疑的邮件附件

　　■ 不要点击可疑的网站漂浮图表

　　■ 不要点击可能包含恶意内容的网站连接

　　■ 不要要打开.bat,.com,.exe,.pif,.vbs,等后缀名的文件，因为它们常常与恶意软件相关

　　■ 不要禁止附加的安全控制机制

　　■ 不要在例行的系统操作中使用管理员账号

　　■ 不要下载或执行来自于非信任网站上的程序

　　总之，企业应该保证用户了解恶意软件处理的政策和程序，包括怎么样确认系统已被感染，怎么样报告可疑的感染，用户在风险处理中可以做些什么(升级杀毒软件，扫描系统中的恶意软件)。用户应该知道在发生风险之后怎么样通过可信任的渠道报告。用户还要知道一些简单的处置风险方法，譬如断开受感染系统的网络，阻止某些邮件附件

　　作为警惕性教育的一部分，企业要教育用户明了犯罪分子常用的欺骗伎俩。还有一些常用的应对网络钓鱼攻击的建议：

　　■ 不要回复询问金融信息和个人信息的邮件。企业最好也不要使用电子邮件询问这些信息，因为电子邮件很可能会被未经授权的第三方监视。你可以电询企业的电话或是访问其官方网站。千万不要使用电子邮件中提供的联系信息。

　　■ 不要在电子邮件中回复密码，PIN(个人身份号码)码或是其他代码。一定要访问企业的官方网站。

　　■ 不要打开可疑的电子邮件附件。如果收到这样的附件，与发件人联系确认。

　　■ 不要回复任何可疑的邮件。直接将其移到黑名单中。

　　尽管用户警惕性教育会减少恶意软件事件发生的频度和危害性，但是其作用与漏洞的技术控制和风险处置相比还是很小的。企业不能仅仅借此来防范恶意软件，它只能作为技术手段的一种补充。

　　不管怎么说，企业IT人员都应该对恶意软件防范有一些基本的常识，对其它员工的教育应该让他们知道其责任以及在恶意软件按防范中做些什么。除此之外，企业IT管理人员需要检查新的安全威胁，评估可能造成的风险，采取防范措施。

　　3.3 漏洞处置

　　一般来说，恶意软件攻击操作系统，服务和应用程序的套路就是利用其漏洞。于是乎，漏洞的处理就成为了恶意软件事故防范中关键的一环，特别是新的漏洞发现之后的恶意软件，甚至在漏洞广为人知之前就发生了恶意软件事故。通过采取综合的防控措施可以有效地处理漏洞，譬如说，升级软件按，或是重新配置软件(禁止有漏洞的服务等等)。

　　由于当前漏洞处置面临的一些挑战，包括处理不断发现的新漏洞，企业应该有记录在案的处理风险的政策，流程，以及建立新的漏洞管理程序。还有需要不断评估漏洞以便确定风险处理的优先顺序。企业要通过各种渠道搜集关于新的漏洞和主要恶意软件的信息，譬如说事故响应小组，安全厂商的公告，以及杀毒软件厂商的恶意软件咨询。企业还需要建立评估新的漏洞和威胁的机制，藉此确定恰当的处置方法，把信息分布到不同的部门。企业还需要跟踪风险处置的进程。

　　企业在风险处置中应该使用多层放防御策略，因为单一的防范措施很难应对绝大多数的漏洞。后面我们将详细讨论三种常用的漏洞处置办法——漏洞管理，最少权限和其它的主机加强方法。除了漏洞处置之外，企业还需要执行威胁处置行动，主要是防止恶意软件有利用漏洞的可能性。杀毒软件等一些安全工具在恶意软件未达到目标之前除之。威胁处置对于不利用漏洞的恶意软件事件处置很重要，譬如说引诱用户运行恶意文件。威胁处置对于企业在面临新的安全威胁的情形下也是很重要的，而企业却没有可行的漏洞处置方案。譬如说，对于新的漏洞还没有补丁出现。以下我们将详解：

　　3.3.1 补丁管理

　　对于处理操作系统和应用程序中已知漏洞的最常见的方法就是系统。一般说来，补丁包括以下几步，评估补丁的紧急性，测试补丁，在小范围之内实验补丁，记录补丁评估和决策过程。现在来说，对于补丁时效性的要求是一大挑战——目前从漏洞的发布到出现漏洞攻击软件的时间已从数月减少到数星期，甚至是一天。由于补丁的测试通常需要花费数周的时间，这就意味着不可能马上就大范围部署补丁。在有些情况下，使用其它的漏洞处置或是威胁处理技术比使用补丁更加安全。除此之外，即使补丁经过测试完全可行，我们也不敢保证所有的计算机安装了补丁，特别是远程系统上。尽管如此，使用补丁依然是减少恶意软件风险最有效的方法。恶意软件事件频发的一个原因就是没有及时安装补丁。补丁管理也是事故处置的关键。

　　3.3.2 最少权限

　　最少权限的准则就是按需分配，各取所需。管理权限的分配应该视需要而定。为什么说最少权限在防止恶意软件事件中很有效呢? 因为恶意软件常常需要管理员权限成功地利用漏洞。一旦恶意软件事件真的发生，先前的拥有最少权限的程序造成的损失也是最少的。最少权限管理可以在服务器，网络设备，以及用户的台式机和笔记本上使用。但是，最少权限会消耗掉大量系统资源;譬如说，用户在未经管理员允许的情况下，能安装操作系统升级。

　　3.3.3 其它主机加强措施

　　除了使用补丁和最少权限原则之外，企业还需要使用其他一些主机加强措施减少恶意软件事件发生的可能性。

　　■ 禁止或是移除可能导致漏洞的不需要的网络服务

　　■ 减少不安全的文件共享，文件共享很容易导致蠕虫的传播

　　■ 删除或是更山操作系统等默认的用户名和密码，恶意软件可以借此获得未经授权的访问

　　■ 访问网络需要获得授权

　　■ 禁止脚本自动运行

　　企业还要考虑使用操作系统和程序配置指导帮助管理员持久和有效地保护主机的安全。配置指导一般包括推荐配置提高默认安全层级。或是手把手教你保护系统安全的指导。企业需要有规律地进行风险评估找出系统中未处置的安全风险，然后加以处理。即使系统上所有的已知漏洞都得到了处理，周期性的风险处理仍然是必要的，因为在平时的不恰当的系统管理和操作活动中会破坏一些安全措施。譬如说，在安装补丁的时候，可能会一不小心删掉其他补丁或是更改安全设置。

　　3.4威胁处置

　　我们主要讨论几种常见的处置恶意软件风险的安全工具：杀毒软件，间谍软件探测和删除工具，入侵防御系统(IPS)，防火墙和路由器。对于每一种软件，我们会介绍其典型功能，针对的恶意软件，检测和处理恶意软件的方法。以及关于这些软件的推荐，指导，软件的缺点。

　　3.4.1 杀毒软件

　　杀毒软件是最常见的对付恶意软件的方法。对于经常被恶意软件光顾的系统来说，杀毒软件显然是必备的。杀毒软件有很多种，大多数的杀毒软件都提供以下功能：

　　■ 扫描关键系统区域，诸如启动文件和启动记录

　　■ 实时监视系统活动检查可疑行为，典型的就是扫描电子邮件附件中的已知病毒，杀毒软件实时扫描文件的下载，打开和执行，这被称作“访问时扫描”。

　　■ 监控常见程序行为，譬如说电子邮件客户端，浏览器，文件传输程序，即时通讯软件。杀毒软件还会监视那些可能被利用的高风险软件。

　　■ 扫描文件中的已知病毒。杀毒软件周期性地扫描硬盘寻找被感染的文件。必要的情况下还可以人工扫描，这被称作“定制扫描”。

　　■ 确认常见的恶意软件—病毒，蠕虫，木马，恶意的移动代码和混合攻击，以及键盘记录器和后门程序等黑客工具包。绝大多数的杀毒软件都新增了检测间谍软件的功能。

　　■ 防止文件的感染，指的是在一个文件夹中删除恶意软件，或是隔离恶意软件。隔离感染文件是常用的方法，但是有一些感染的文件不能被隔离。这时候，就只能直接删除感染文件了

　　以下从3.4.1.1到3.4.1.4主要介绍杀毒软件配置，管理等方面的一些内容，以及杀毒软件的缺陷。

　　3.4.1.1 杀毒软件检测的准确性

　　杀毒软件主要是依据已知的恶意软件特征寻找恶意软件。这些特征叫做特征库。对于寻找已知的恶意软件和确认已知病毒变体，特征库非常有效的。主要的杀毒软件厂商一般都会在数小时之内分析新的病毒的特征，然后编写特征，测试，最后发布病毒特征。

　　由于特征库依据的是已知的威胁，对于全新的恶意软件很难确认。为了解决这一问题，杀毒软件厂商使用了启发式杀毒技术，这种技术就是通过检查大量文件特征寻找恶意软件活动。常见的启发式杀毒技术包括，寻找文件中的可疑代码顺序和或是模拟文件行为寻找异常现象(譬如，在虚拟环境中执行文件，然后监视其行为)。不幸的是，启发式杀毒经常误判，这叫做“假阳性”。由于假阳性会给企业带来很大的不便，所以绝大多数的杀毒软件产品将启发式杀毒设为中等或是低。采用这种方式确实减少了假阳性的发生，但同时也增加了忽略恶意软件的可能性。这被称作“假阴性”。不管使用什么样的启发式杀毒技术，杀毒软件探测新威胁的准确率不可能太高，但是病毒库实时升级后，检测已知恶意软件的成功率还是很高的。所以，杀毒软件应该升级到最新的病毒库以便提高准确率。

　　3.4.1.2 杀毒软件配置和管理

　　鉴于杀毒软件对于恶意软件防范的重要性，权威机构强烈建议所有的系统上都要使用杀毒软件。在安装操作系统之后，应该立马配置杀毒软件并且升级到最新的病毒库。然后使用杀毒软件扫描系统找出潜在的威胁。为了保证系统的持续安全，应该管理好杀毒软件以便持续有效地检测和阻止恶意软件。

　　在一个管理良好的环境中，企业应该使用中央管理杀毒软件。一般来说，在这种环境下，个人不允许阻止和删除杀毒软件，也不允许更改关键设置。杀毒软件管理员要定期检查杀毒软件，确保用户使用杀毒软件以及其更新。这些信息也可以从中央管理杀毒软件上获取，企业可以使用系统扫描，网络登录时的系统检测，和其它方法搜集信息。执行上述建议有助于企业建立一个部署完善，行之有效的杀毒软件。

　　在一个管理不够严密的网络环境中，特别是在那些用户拥有个人系统管理权限的企业中，杀毒软件的管理就不那么连贯了。当面临这种情况的时候，企业就需要逐渐向管理严格的网路环境中转变。特别是要加强警惕性教育。企业要定期发送信息提醒本地系统管理员和用户升级病毒库;提醒用户升级软件的重要性;发布升级系统指导书;出现新的威胁时，提醒本地系统管理人员升级杀毒软件;企业要鼓励系统管理员和员工经常升级病毒库，下载更新

　　使用中央管理杀毒软件的企业应该确保其执行有充分的冗余满足峰值。譬如说，企业应该有多台杀毒软件服务器管理杀毒软件客户端软件和分布更新。如果可能的话，使用多台无关的操作系统平台为杀毒软件服务，以此来减少单一攻击针对杀毒软件服务器造成的全局性伤害。企业使用的杀毒软件操作系统平台与其他服务器操作平台最好是不一样。如果某个漏洞影响了绝大多数的服务器，以及杀毒软件服务器，那么很可能导致杀毒软件服务器的崩盘。

　　另外一个加强恶意软件防范的方法就是在关键系统，譬如电子邮件服务器上，使用多种杀毒软件产品。例如，有的杀毒软件厂商发布病毒库的时间比其它厂商早;还有一种可能性就是如果使用的一款杀毒软件产品本身有漏洞的话，替代的杀毒软件可以继续提供有效的保护。由于在同一系统中同时使用多款杀毒软件，可能会导致产品之间的冲突，要想同时使用多款产品，它们应该安装在不同的系统中。譬如说，杀毒软件可以在内外两个邮件服务器上使用。这样可以更加有效地探测新的威胁，但是同时也会增加培训管理费，以及额外的软硬件花费。

　　3.4.1.3 杀毒软件的缺陷

　　尽管杀毒软件是防范恶意软件必须的工具，但是这并不意味着杀毒软件可以防止所有的恶意软件。正如前面所讨论的那样，杀毒软件在查杀未知恶意软件的表现不尽人意。一旦发现新的威胁，就应该马山有相应的病毒库。然而，安全厂商需要时间获取，测试和发布病毒库。病毒特征的测试很重要，因为病毒特征可能会导致杀毒软件或是操作系统的冲突，或是其它系统和程序之间的冲突。即使是在最好的情况下，从威胁的确认到新的病毒库的发布也需要数小时的时间，这段时间正是病毒发动攻击的窗口时间。此外，病毒库的发布也需要大量的时间;杀毒软件服务器和网络不可能同时处理所有的升级请求。那些没有联网的系统不能升级，很可能沦为攻击的对象(使用移动媒介传播的恶意软件)。

　　杀毒软件的另外一个挑战就是恶意软件传播渠道很多，包括各种各样的网络协议的服务(电子邮件，文件传输，点对点文件共享，网页浏览，聊天室和即时通讯软件)，还有移动媒介(CD，软盘和闪存)。企业需要使用基于主机和基于网络的杀毒软件扫描(从防火墙和电子邮件服务器)，这样的话就可以发现那些试图通过防火墙和防火墙之后的主机发动的攻击。但是，现行的杀毒软件很难监视企业中所有系统的传输机制。譬如说，杀毒软件可能不能分析有新的网络协议，应用程序参与的活动。企业还要关注控制之外的系统访问网络，譬如说，员工在家里使用拨号连接或是VPN(虚拟个人网络)访问网络或是合作伙伴访问网络。这些外部系统可能已经感染了恶意软件，并且恶意软件很可能借此网络传播。

　　3.4.2 间谍软件检测和删除功能

　　间谍软件检测和删除功能主要是用来检测系统上的各种间谍软件，然后隔离或是删除间谍软件文件。与杀毒软件确认恶意软件不同的是，间谍软件按检测和删除功能专门针对各种间谍软件。现在，这种软件在应对间谍软件方面比杀毒软件做的好多了。防止间谍软件很重要，不仅仅是因为间谍软件侵犯了用户的隐私，还因为它经常导致系统功能上的问题，譬如降低系统性能，导致程序的不稳定。尽管有一些间谍软件探测和删除软件只专门针对一种恶意软件，譬如说恶意的浏览器插件，但是绝大多数的还是能够应对很多间谍软件的，譬如说：

　　■ 监视很有可能被间谍软件替代的应用程序的活动，譬如说浏览器和电子邮件服务器

　　■ 定时扫描文件，内存和配置文件寻找间谍软件

　　■ 确认几种形式的间谍软件，包括恶意的移动代码，木马和跟踪cookies

　　■ 隔离和删除间谍软件文件

　　■ 监视网络驱动器和Windows设置

　　■ 监视开机自动运行的的程序

　　■ 阻止间谍软件常用的安装伎俩，譬如，弹出窗口，跟踪cookies，浏览器插件安装和浏览器劫持

　　为了处理间谍软件风险，企业应该使用间谍软件探测和删除软件或是带有这一功能的杀毒软件。所有的系统上都需要使用这些软件。

　　典型的间谍软件探测和删除软件依赖于间谍软件病毒库，这和杀毒软件类似。这些工具在辨别已知威胁及其变体上很有效，但是在确认未知威胁上的能力有些失望。由于间谍软件探测和删除软件依赖于病毒库，间谍软件就需要及时地升级到最新的病毒库。所以这种软件应该配合杀毒软件的使用，双剑合壁，方能战无不胜。企业也需要使用多种间谍软件探测和删除软件提高应对间谍软件安全风险的能力。

　　间谍软件探测和删除软件最近才开始提供中央管理和监视功能。还有一些软件不能提供自动升级，而需要用户手动升级。因此，如果企业选用间谍软件探测和删除软件的时候，要知道其是如何分布，配置和管理的，以及如何监视恶意软件的发生。由于间谍软件探测和删除软件有很多相似的特征，企业应该同等重视这两款产品。

　　3.4.3 入侵防御系统(IPS)

　　IPS使用信息包嗅探工具和网络流量分析确认和制止可疑行为。基于网络的IPS产品是部署在内线的(inline)，也就是类似网络防火墙的功能。IPS接受信息包进行分析，确定那些是允许的，然后放行这些信息包。基于网络的IPS可以防祸乱于未萌。绝大多数的基于网络的IPS使用多种方式分析网络，应用程序协议，也就是说它们通过寻找预期的攻击行为确认潜在的恶意活动。

　　基于网络的IPS产品被用来检测除了恶意软件之外的恶意行为，一般只能探测几种默认的恶意软件，譬如最近的主要蠕虫病毒。尽管如此，一些IPS产品个性化程度很高，这样就允许管理员在短时间之内自己添加和部署病毒库。尽管这样做存在一定的风险，譬如说粗制乱造的病毒库特征编写可能会导致假阳性，但是自己编写的病毒库特征会在厂商发布病毒特征的数小时之前阻止新的攻击。基于网络的IPS产品在阻止已知威胁上很有效，譬如网络蠕虫，电子邮件携带蠕虫，和特征明显的病毒。虽然其功能强大，但是却无法阻止恶意的移动代码或木马。基于网络的IPS可以通过应用程序协议分析检测和阻止未知的网络威胁。

　　有一种特制的基于网络的IPS叫做DDoS攻击处理软件，它是利用异常网络流量的确认阻止攻击。尽管这种产品最早是为了阻止针对企业的DDoS攻击，但是也可以用来也可以用来确认蠕虫活动和其它形式的恶意软件。DDoS攻击处理软件一般通过监视正常的网络流量工作，包括通讯协议，峰流量，等建立基线。如果恶意软件导致了异常的网络流量或是使用网络或是非正常的应用程序协议，DDoS攻击处理软件要能够处理这些活动。另外一个限制恶意软件事件的方法就是配置网络设备限制带宽的最大数量。另外，一些网络流量监控软件可以探测到异常的网络行为。

　　基于主机的IPS产品与基于网络的IPS在原则和目的上是相似的，除了基于主机的IPS产品监视的是单一主机的特征和发生在主机之内的事件。基于主机的IPS监视的活动包括网络流量，系统日志，运行的程序，文件访问和改变，协调和应用程序配置的更改。基于主机的IPS产品一般使用多种方式确认系统上的已知和未知攻击。譬如。基于主机的IPS产品可以监视试图修改文件的行为，以此探测感染文件的病毒和尝试替代文件的木马。一旦基于主机的IPS产品监视了主机的网络流量，就会提供与基于网络的IPS类似的探测能力。

　　与杀毒软件和间谍软件探测删除软件类似的是，基于网络和基于主机的IPS产品可能会导致假阳性和假阴性。IPS可以提供调试功能，借此可以提高探测的准确性;这种调试的有效性视产品和环境而定。由于假阳性可能会导致正常系统活动的停滞，企业要考虑到这点，采取有效措施防止假阳性的发生。绝大多数的IPS产品都可以自行设置病毒库限制。还有一些企业使用默认设置禁止了绝大多数的限制，只有在面对新的主要风险的时候才会启动。

　　对于恶意软件的防范来说，基于主机的IPS软件可以提高企业在面临未知风险时的安全系数。如果企业将IPS设置为高安全等级的话，在很大程度上就可以阻止杀毒软件查杀不出的恶意软件。IPS软件在应对网络服务威胁上相比杀毒软件具有很大的优势。

　　对于那些产生巨大流量的恶意软件来说，譬如说网络服务病毒，部署在网络中的基于主机的IPS产品有效减轻恶意软件造成的网络负担。同时使用杀毒软件和IPS不仅可以从整体上提高恶意软件事件的防范能力，还可以减轻这两种技术在应对恶意软件时的压力。在一次严重的安全事件中，单一的杀毒软件可能会由于恶意软件过多导致过载;使用多种控制方法可以减轻负担。

　　3.4.4 防火墙和路由器

　　基于网络的设备，譬如说防火墙和路由器，还有基于主机的防火墙，可以检查网络流量，并且根据一套规则禁止或是允许这些流量。典型的路由器使用一套名为访问控制清单(ACL)的简单规则，主要是针对最基本的网络流量，而防火墙提供更多的选项。现在有两种防火墙：网络防火墙和基于主机的防火墙。网络防火墙是指部署在网络中限制网络之间流量流通的设备。基于主机的防火墙是部署在单一主机中限制访问主机的入流和出流的软件。这两种防火墙在限制恶意软件上都是很有效的。3.4.4.1和3.4.4.2中将介绍防火强，3.4.4.3会简要介绍路由器。

　　3.4.4.1 网络防火墙

　　一般说来，企业会在网络中部署多种网络防火墙保护网络免于外部攻击。网络防火墙会把网络流量和现行的规则比较，每一个规则对应一种网络协议，以及通讯的来源和终点。譬如说，有一条规则会允许外部邮件到达企业的电子邮件服务器。相应地，网络服务器在阻止针对特定端口的网络服务蠕虫上表现不错，特别是端口使用范围不广的时候。由于网络防火墙既可以限制出流和入流，所以可以阻止蠕虫向外的传播。

　　为了防止恶意软件事件，企业要使用默认阻止设置，也就是说防火墙阻止所有未经允许的出流和入流。如果使用了这一设置，恶意软件就不能使用被认为是不必要的程序传播了。为了减少恶意软件的传播，企业必须严格限制外部系统(电讯系统，合作伙伴系统)发送过来的各种流量。企业要确保网络防火墙可以执行出流量和入流量过滤。入流过滤(ingress filtering)就是限制不适当的入流信息包，譬如说来自于错误IP地址的信息;出流过滤(egress filtering)限制所有不应该存在于系统中的出流信息包。蠕虫在传播的时候会随机产生IP地址，所以限制带有错误IP地址的信息包可以有效防止蠕虫进入内网。还有一点需要切记，实时检查安全规则，调整其设置。

　　网络防火墙本身并不寻找网络通讯中的攻击;但是，防火墙中使用额外的软件可以实现。譬如说，许多防火墙使用入侵防范或是杀毒软件寻找网络通讯中的攻击，电子邮件或是网站流量。还有一些防火墙具有代理功能，代理收到来自客户机的请求，然后代表客户机程序向目标站点发出请求。一旦使用代理，每一次成功的连接实际上是有两次不同的连接：首先是客户机和防火墙之间，然后是防火墙和目标站点之间。一些代理可以执行基本的分析和网络协议的确认，譬如HTTP(超文本传输协议)，或是拒绝不确定的访问请求，因为这可能包括恶意软件。这些代理被称作应用程序层级防火墙。

　　网络防火墙在网络地址转换(NAT)中使用广泛，NAT是将一个网络地址映射到另外一个网络的过程。NAT主要是将内网中的私人地址映射到联网的网络中的地址中。一旦私人地址通过NAT被映射到公网中，外部主机就不能直接访问内部主机，因为私人地址不是通过因特网路由的。这中方式可以有效阻止网络服务蠕虫。

　　一旦发生针对网络服务的新的恶意软件攻击，企业需要使用防火墙阻止它，尤其是杀毒软件和入侵检测不能监视目标服务的时候。为了防范最坏的情况，企业要随时准备更改防火墙规则防止恶意软件事件的发生。防火墙规则在阻止使用IP地址的恶意软件也很有帮助，譬如说，从外部主机上下载木马的蠕虫，这时，只要添加规则限制上述主机的IP地址，就可以阻止木马的下载。

　　3.4.4.2 基于主机的防火墙

　　基于主机的防火墙可以有效限制单一主机上的出流和入流，这样既可以防止主机的感染，也可以防止其传播恶意软件。服务器专用的基于主机的防火墙使用与网络防火墙类似的安全规则。台式机和笔记本上使用的防火墙也使用相似的规则，但是绝大多数都是根据应用程序清单允许或是限制网络活动。为了防范恶意软件，企业可以把防火墙上设置默认阻止入流量。如果可行的加，企业也可以默认阻止出流量。但是，这些规则对于系统可用性和用户满意度有严重的负面影响。

　　除了根据规则限制网络活动之外，在基于主机的防火墙中可以集成杀毒软件和入侵检测功能，还有限制浏览器弹出窗口，限制移动代码，禁止cookies，防止网页和邮件中的潜在隐私问题。集成了这些功能的防火墙不仅在阻止恶意软件上很有效，也会限制恶意软件感染的传播。譬如说，如果防火墙集成了杀毒软件功能就可以监视收发邮件上的海量邮件攻击病毒，如果发现这些活动就可以临时阻断邮件服务。基于主机的防火墙对于未受网络防火墙保护的联网的系统来说相当重要。如果是直接访问网络的话，最好有基于主机的防火墙保护系统。

　　3.4.4.3 路由器

　　一般的防火墙使用多种方式限制入流量和出流量，路由器使用的是更加宽泛的规则。一个企业常常使用多台路由器联网，这些叫做网络边界路由器。这些路由器一般位于企业的主要防火墙前端，检查一些基本的网络活动，譬如说入流和出流过滤。

　　在一个重大的蠕虫病毒事件中，企业需要重新配置路由器限制入流病毒活动，减轻防火墙的负担。内网上的路由器也需要重新配置限制网络中的某些服务;这可以一个网络中感染的主机传播病毒。一旦需要的时候，去企业要及时更改路由器ACL。

　　3.4.5 应用程序设置

　　许多恶意软件利用了常见的应用程序，譬如说电子邮件客户端，浏览器和word处理器。这些程序的默认设置中，功能性超过安全性。相应地，企业需要考虑阻止不需要的功能，尤其是那些可能被恶意软件使用的功能。以下提供一些建议：

　　■ 限制可疑的电子邮件附件。很多企业的邮件服务限制附件下载或是直接阻止带有附件的邮件。这些后缀名的文件很可能被禁止，.txt.vbs, .htm.exe等等。但是在阻断恶意邮件的同时，也阻止了正常的邮件。有些企业直接替换可疑邮件附件的后缀名，在保存和运行之前先重命名。

　　■ 过滤垃圾邮件。垃圾邮件常常用来传播网络钓鱼和间谍软件，有时也包括其它恶意软件。使用垃圾邮件过滤器可以有效减少垃圾邮件，也就直接减少了由于垃圾邮件导致的事故。

　　■ 过滤网站内容。尽管网站内容过滤软件是为了限制不恰当地内容进入工作场所，也可以包括网络钓鱼站点和其它恶意站点清单。还可以限制一些使用危险后缀名的文件。

　　■ 限制移动代码执行。浏览器和电子邮件客户端可以配置只允许某种移动代码(譬如，Java脚本，ActiveX等)和只能执行特定地点的移动代码(譬如，内网站点)。这样可以有效防止恶意代码，但也会限制合法网站的功能。