浅析诺顿网络安全特警的网络防护

net-boy

从各大民间爱好者论坛网友的反馈来看，很多网友对于静态查杀比较关注。笔者曾经也提到过，对于NIS 2012的网络套装来说，静态查杀只是其众多防护武器中的冰山一角。相比之下，NIS 2012基于web和互联网的防护组件则更是其帮助用户抵御网络攻击的拿手好戏。今天，就让我们把关注的焦点集中在NIS网络防护和网页防护上，一起来领略其更大的魅力。

OSI参考模型和TCP/IP模型简介

在正式讨论基于网络的防护组件之前，我们先花几分钟时间讨论互联网协议的工作规则，这有助于之后更好地理解本文。说起互联网，相信很多读者都知道，我们每日进行所有的网络活动，都是基于TCP/IP协议进行的。那么，究竟TCP/IP协议是什么？它是如何帮助我们进行互联网通信的呢？

说起TCP/IP协议，有一相对于学术界来说不容忽视的参考模型：开放式系统互联 (OSI) 模型。OSI模型最初是由国际标准化组织 (ISO) 设计，旨在提供一套开放式系统协议的构建框架。其初衷是希望使用这套协议开发一个独立于私有系统的国际网络。作为一种参考模型，OSI 模型详细罗列了每一层可以实现的功能和服务。它还描述了各层与其上、下层之间的交互。每当我们连上互联网并且与对方主机进行通讯时，其所有操作都位于OSI模型的第七层（应用层）。



经过之后每一层的转换，加密，封装等操作后，通过第一层（物理层）传输到对方目的端，再由对方网络设备将数据包进行解封，解密等操作，传输到对方的第七层并向对方主机发送服务请求。



在对方得到请求后，以相同的方式将回应传输给源端，至此，一次网络交互结束。



相对于OSI参考模型来说，TCP/IP则是客观存在并且为所有互联网用户提供通信的协议。在该协议在分层和职能上和OSI参考模型类似。



在用户实际的互联网通信过程中，数据的封装，传输过程与OSI参考模型是一致的。以下是TCP/IP模型每一层的作用。



通常，我们提及 TCP/IP 模型的各层时只使用其名称，而提及 OSI 模型的七个层时则通常使用编号而非名称。

对于我们今天所讨论的主角：诺顿网页防护和网络防护。它们分别工作在TCP/IP协议中的应用层和Internet层。而静态查杀，SONAR主动防护以及诺顿信誉分级等功能，都是基于主机的本地防护。其实，对于一款网络防护套装来说，能够在数据通过TCP/IP进入本地之前就将其拦截，是最好的防护手段。本地防护再强，终究是亡羊补牢。

诺顿网络安全特警的四道防线

NIS在防护设计思路上的理念相信各位读者都知道：“防大于杀”。确实，从NIS包含的各类防护组件来看，该理念被展现得淋漓尽致。当前，在国内安全市场里“云”的概念被炒作得天翻地覆的时候，诺顿却坚持自身的防御体系。虽然诺顿安全软件中也包含了云，但是，赛门铁克并没有忽视其他层面的防护。对于网络层防护，虽然每年的改进没有其他组件那么大，但是，它们在诺顿安全软件的防御体系里，所扮演的角色是其他组件不能替代的。这也是NIS和其他安全软件与众不同的地方。这里介绍一下NIS的四道强而有力的防护体系：

首先，对于网络威胁攻入本地之前，诺顿的网络防护组件（如智能防火墙，入侵防护，浏览器主动防护）会将其拦截在外。

其次，对于用户主动下载的文件，诺顿的文件信誉分级功能会帮助用户判断该文件的详细可信程度。基于该功能的不断完善，其信誉值的评分规则也日趋成熟，判断结果也愈发精准（通常，文件签名，版本以及附加规则位评分引擎的有力参考依据）。对于一些由于信息不足而无法立刻做出判断的文件，诺顿最终会将选择权留给了用户。用户可以选择运行或者删除。那么如果用户一旦选择运行未知信誉文件，该文件却包含恶意代码，如何是好？

接下来，诺顿文件保护则是下一道关卡。传统特征码，查毒引擎等，都是为用户提供保障的利器。

最后，基于行为的判定也是非常重要的一环，SONAR主动防护便是最后一道有力的关卡。当然，在用户的计算机受到极大程度的破坏之时，NPE，NBRT都是帮助用户恢复计算机的最终利器。

接下来，让我们一起来领略这四道防线里的首道防线之风采。虽然每年它们受到的关注不多，但是，它们却是在默默无闻地保护着大家的网上安全。

NIS中的网络防护


首先，让我们先讨论一下NIS中的网络防护。

网络防护工作在TCP/IP中的Internet层。

从2009版NIS起，基于Internet层的防护由三大防护组件构成：智能防火墙，入侵防护和电子邮件防护。首先，我们先来关注诺顿智能防火墙。

说起防火墙，很多用户能够明白防火墙主要的作用。防火墙是根据其中包含的规则，对于通过网络进入本地的数据包进行检查，阻止被规则禁止的数据包并通过允许的数据。从而防止用户本地被网络黑客攻击。以往根据防护的规则种类，防火墙被分为两种。一是默认情况下允许所有数据包进入，而由用户自行配置需要禁止的网络协议和端口。另一种则相反。默认安装完毕后禁止所有数据包，而每当用户需要通过某个程序访问互联网时，再通过弹窗等方式询问用户是否允许为该程序开启互联网的访问权限。对于家庭环境来说，后者是更适合的。毕竟家庭用户并不熟悉每一款网络协议的工作特点以及端口号码。但是，诺顿的智能防火墙则可说是吸取了以上两种防火墙的所有精华。之所以取名为“智能防火墙”，相信很多用户都能够体会到其独特。确实，在默认配置下，诺顿防火墙是可以自行判断应用程序的数据出站以及入站规则。无需用户自行配置。如下图：



当然，如果用户对某个应用程序有特定的需求，亦可更改其中的配置。当然，诺顿对于网络知识相对丰富且对于当前网络有特定需求的用户提供了设置余地更大的高级设置。在“智能防火墙”设置中，找到“高级设置”，点击“配置”，即可开启配置对话框。



在该窗口中，若要启用高级配置，请先关闭“自动程序控制”，然后开启“高级事件监控”，之后的全局配置即可开启。

另外，NIS智能防火墙对于一般数据进出战规则以及一些非常用的Internet层协议，也提供了保护。对于非常用协议，用户可考虑取消诺顿对其的监控，这样可以减少防火墙本身对于系统和网络带宽的占用，不过防护的效果会被削弱。性能和防护之间的选择，还是取决于用户自身了。



对于每一款协议的作用，这里不详细介绍，有兴趣的读者可参阅计算机网络的相关书籍。

接下来，我们一起关注一款和智能防火墙相辅相成的防护组件：入侵防护。如果说防火墙的作用是过滤一切不需要的数据包，并通过允许的数据包，那么入侵防护的作用则是对于被通过的数据包进行再一次的检查。对于有些软件，我们需要为其开启互联网的访问权限。但是，我们都知道，很多软件在推出的时候可能会存在很多安全上的漏洞。这些漏洞毫无疑问为黑客的攻击开启了大门。由于防火墙本身允许此类程序的所有数据，因此，黑客对于此类软件的攻击，可以很轻易地绕开防火墙的监控。这个时候，入侵防护的作用，就显得很有必要了。它和智能防火墙的作用正好是相辅相成，两者缺一不可。

诺顿入侵防护的设计初衷就是帮助用户防护由于软件漏洞而引发的安全隐患。和防火墙一样，它也工作在Internet层。在NIS 2012的高级界面上，点击“漏洞防护”，即可看到目前诺顿入侵防护所能够防范的各类软件漏洞列表。



这里需要指出的是，和病毒定义（Virus definition）相似，在Liveupdate更新中，诺顿还提供入侵防护定义更新（IPS Definition），当然，也有基于网页防护的Web Protection Definition。可见，诺顿是将各种类型的攻击进行分类，然后决定通过哪种组件来防范，最后，再将新的定义做到相应组件中去。



通过漏洞或者网络层的攻击，诺顿一般是通过入侵防护来进行防范的。故此类的样本，诺顿是将其做进入侵防护定义而不是静态的病毒定义。如果用户手动下载该样本并进行静态扫描，自然是扫不出来的。但往往此类样本进入本地后，是无法对用户的本机造成实质性的影响的。既然已经通过入侵防护来防了，就没有必要再将其做进病毒定义中去。这也是为了减少用户的系统开支。

下面再来看看电子邮件防护。可千万不要认为电子邮件防护只是将电子邮件下载到本地后再进行病毒监控。事实上，诺顿电子邮件防护虽然也包含了病毒监控，但是更多的，是通过电子邮件（或者即时消息）客户端，进行端口监控，从而达到和入侵防护一样的拦截效果。


最基本的邮件传输协议SMTP和POP3以及其端口已经受到诺顿的监控。当然，电子邮件附件病毒扫描以及即时消息监控也囊括其中。

NIS中的网页防护

讨论完基于Internet层的网络防护后，下面我们把焦点放在基于应用层的诺顿网页防护。

NIS网页防护由四个组件组成：身份安全，浏览器主动防护，安全上网和下载智能分析。

我们首先讨论身份防护。和入侵防护，智能防火墙以及浏览器主动防护不同的是，如果把前三者比作“严防死守”，那么身份防护则是“主动出击”。在用户进行相应配置后，身份防护会在用户需要的时候，主动帮助用户填写网页的相关身份信息，从而避免黑客通过击键记录来盗取用户账号，以及对于钓鱼假冒网站也有很好的防护。并且，需要指出的是，对于有问题的站点，即便用户配置了登录信息，身份安全也不会自动登录，而是在向用户确认之后才会填写登录表单。对于登录密码的可靠性，身份防护也会给出相应的参考信息。

在NIS 2012中，身份防护2.0被引入。用户可将自己的身份信息与诺顿账户绑定，并传送到云端。以后只要登录装有NIS 2012（未来可与诺顿360 6.0兼容）的PC上，便可登录诺顿账户，直接调用身份配置文件。免去了重复配置的麻烦，同时，由于数据存储在赛门铁克云端服务器，安全性也有了保障。身份安全2.0未来会有专门的文章进行讨论。

对于浏览器主动防护，其主要作用是防范基于网页本身的攻击以及由浏览器的漏洞引起的网络攻击。可能有些用户会将其和入侵防护相混淆。确实，在某些场合，它们的工作原理有类似之处，对于软件的漏洞，它们都具备一定的防护能力。但不同的是：浏览器防护是基于应用层防护。和IPS的Internet层是不一样的。浏览器防护的侧重点是防护基于网页，以及植入浏览器中的插件所发起的攻击。而IPS是防护通过网络层发起的，基于软件漏洞（不仅仅是浏览器漏洞）的攻击。无论如何，它们都是除了特征码之外保护用户上网安全的强大武器。

安全上网的作用是检测欺诈站点，并开启诺顿搜索防护。该功能在以往可能并不引人注目，但是现今赛门铁克收购Verisign认证后，该功能的可靠性大大增强。在用户开启网页后，如果诺顿工具栏上出现如下图标：

则表明该站点受到Verisign安全认证，用户可放心访问。

同样，该技术也集成到了诺顿搜索防护中，对于当今主流的搜索引擎，诺顿对于搜索的结果，也提供了网页可信认证的标志，以供用户参考。

该功能后台的定义更新也会随着Liveupdate提供。

这样设计的意图也可以说是“防大于杀”在用户点击恶意网站之前就提醒用户该站点的安全信息，以防止威胁攻入主机本地。

对于下载智能分析。同样的，请勿将其理解为下载文件后通过特征码对其进行检测。之所以要将下载文件单独列出并提供防护，是因为用户从互联网上下载的文件，其面临的风险会大于从其他介质输入的文件。智能下载分析除了对下载的文件进行常规的特征码检测外，还要对其进行信誉评分，稳定性检查，以确保该文件对于用户主机的影响是积极的。

不过，笔者倒是认为，下载智能防护严格地说并不能算作网络防护，和云一样，它是将文件放入本地之后再提供相关验证信息。应该说，它只能算是本地防护的一种。

综上所述，诺顿基于TCP/IP应用层和网络层的防护组件，再加上强大的本地防护，构成了一道立体式的防御体系。正如前面所述，对于不同的威胁类型以及攻击目标，诺顿都会将其做进不同的防护组件中。很多时候，静态扫描样本的方法并不能完全体现出NIS的整体防护能力。之所以写下本文，是为了帮助大家对于诺顿安全软件有一个更加全面的认识。请记住，诺顿网络安全特警，是一款强而有力的网络防护套装。它除了能够提供本地的静态防护外，更多的是，在威胁侵入本地之前，将其拦截在外，“防大于杀”一直是诺顿在追求的目标。

kongfei02

好文！精彩！