防病毒网关（AV）简介

基于网络侧 识别 病毒文件，工作范围2~7层。这里的网关指的是内网和外网之间的一个关口，在此进行病毒的查杀。在深信服中就有一个EDR设备，该设备就是有两种部署，一个部署在网关，一个部署在终端设备上，能最大限度的保障网络安全。

防病毒(AV) -----传统的AV防病毒的方式是对文件进行查杀。
传统的防病毒的方式是通过将文件缓存之后，再进行特征库的比对，完成检测。但是，因为需要缓存文件，则将占用设备资源，并造成转发延迟。一些大文件可能造成无法缓存，无法缓存就不会进行防病毒检测，就会直接将其放过，可能造成安全风险。

两种扫描方式

代理扫描
文件需要全部缓存。可以完成更多的，如：解压，脱壳之类的高级操作，并且检测率高。但是效率较低，占用资源较大。

流扫描
基于文件片段进行扫描。效率较高，但是这种方法检测率有限。

病毒的分类

 病毒杀链

病毒的工作原理

以下是一些病毒的工作原理，大家可以看一看。

为什么需要反病毒？

        病毒是一种恶意代码，一般通过邮件或文件共享的相关协议进行传播，可附着在应用程序或文件中。有些病毒会耗尽主机资源、恶意占用网络带宽，有些病毒会控制主机权限、窃取用户数据，有些病毒甚至会对主机硬件造成破坏，严重威胁用户主机和网络的安全。随着网络技术的不断发展，网络用户越来越频繁地在网络上传输、下载和共享文件，随之而来的病毒威胁也越来越大。

        通过在网络出口处部署网络安全设备（如防火墙或专门的防病毒网关）并配置反病毒功能，设备会放行正常文件进入内部网络，并通过阻断、告警等手段对检测出的病毒文件进行干预或提醒。此外，网络安全设备上的反病毒功能和用户主机上安装的反病毒软件在功能上协作互补，由于部署位置和所用的病毒特征库不同，二者同时使用可以更有力的保障用户主机和网络的安全。

反病毒的工作流程

        华为网络安全设备利用专业高效的智能感知引擎和不断更新的病毒特征库实现对病毒文件的检测和处理，反病毒功能的工作流程大体可以分为3部分。（反病毒的核心就是与病毒特征库进行特征匹配）

反病毒处理流程

1、应用协议识别：病毒一般是通过邮件或文件共享等协议进行传播的，所以病毒检测的前提是识别出病毒文件使用的协议及文件传输的方向

2、病毒检测：设备对传输文件进行特征提取，并将提取后的特征与病毒特征库中的特征进行匹配。如果匹配成功，则判定该文件为病毒文件，并送往反病毒处理模块进行处理；如果特征不匹配，则直接放行该文件

3、响应处理：设备检测出传输的文件为病毒文件后，通常有如下2种处理动作。

        告警：允许病毒文件通过，同时记录病毒日志，供网络管理员分析并采取进一步措施。

        阻断：禁止病毒文件通过，同时记录病毒日志，供网络管理员分析并采取进一步措施。

几类常见的文件协议：

补充：反病毒库是可以进行升级的，但是需要提前购买License进行激活 

如何有效反病毒？

反病毒的关键在于构建完整的反病毒体系和提升网络用户的安全意识。

1. 内网中所有的网络终端包括电脑主机、服务器和接入网络的手机等都需要安装杀毒软件。
2. 网络关键位置如互联网出口和服务器区域出口需要部署网络安全设备（如防火墙或专门的防病毒网关），防止病毒在网络层面的传播和扩散。对安全性要求较高的系统还可以在每个局域网出口都部署网络安全设备，防止病毒在局域网间扩散。
3. 网络管理系统能够集中管理终端的杀毒软件和网络中的网络安全设备，并能够及时更新它们的病毒特征库。
4. 每个人要提升安全意识，不要随意打开外网邮件中的附件和链接，不要访问可能携带病毒的非法网站。