告诉您防火墙和防病毒软件之间的区别

告诉您防火墙和防病毒软件之间的区别:

许，特别是计算机的初学者，对防火墙有错误的了解. 也就是说，我无法区分防火墙和防病毒软件是什么，并且认为防病毒软件可以代替防火墙，因此我轻视它并成为网络的受害者. 实际上，防病毒软件和防火墙是完全不同的. 下面，我将讨论这两个防火墙的工作原理，然后讨论它们的区别和选择.

首先，我将从防病毒软件的原理开始. 防病毒软件主要用于计算机病毒. 它的防病毒原理是: 在病毒进入系统之前，首先要获得系统的控制权并监视所有程序的运行以实山毒霸的kavdex.exe和VRV的bav2000.exe. 基本上，它必须加载两次. （这可以通过在WINDOWS中运行msconfig来查看特定的加载程序来看到）. 我认为这应该分别为DOS和WINDOWS加载（这是我的猜测，如果有问题，请更正我）仅使用Windows就可以了. 例如，我将介绍反病毒软件的加载过程: 实际上，WIN98也是DOS下的应用程序. 它仍然依靠DOS7.0来启动. POST完成后，DOS开始启动. 然后执行config.sys和autoexec.bat. 此时，在autoexec.bat中，要执行的第一个程序是防病毒程序KAVDX.EXE. 这样，可以确保它在DOS下无毒. 然后加载一些DOS应用程序和需要实模式驱动程序的驱动程序. 完成这些步骤之后，将加载Windows启动文件，然后进入Windows界面，然后将再次加载KAVDX.EXE，这是在感染病毒之前获得对系统的控制.

然后加载其他启动程序，例如Explorer. 如何获得对系统的控制权？我只知道VRV使用.VXD（虚拟设备驱动程序）来获得控制权. 我认为其他事情是相似的. Windows启动后，防病毒软件将驻留在内存中，以监视系统的每一个动作. 当我们要运行程序时，将激活防火墙并扫描程序. 如果发现该程序包含病毒签名，则该程序将被阻止以阻止其运行. 然后根据预设内容进行消毒或删除或等待用户确认；如果未检测到病毒签名，则执行智能分析以确定其是否包含未知病毒. 如果包含，请像以前一样进行. 如果没有，只需让程序运行. 这里提到病毒签名和智能分析，以及防病毒程序确定它们是否被感染的方法. 有两种方法: 1.根据病毒签名进行判断: 每种病毒都有不同的病毒签名，并且它们的某种组合形成了一个病毒程序. 防病毒软件通常都有一个称为病毒的文件. 该文件实际上是一个文本文件，其中写入了不同病毒的签名代码. 防病毒软件比较这些签名代码，以确定是否被感染. 但是，一旦此方法遇到新病毒，将无法使用，因此产生了第二种方法: 智能分析，判断该病毒是否被感染，这是通过分析病毒爆发的特征来检查病毒当前的计算机普及率和性能的不断提高，每天都会产生许多新病毒，因此智能判断病毒的功能变得越来越重要. 判断的准确性也是衡量反病毒软件质量的重要依据.

“木马是病毒吗？”这个问题仍在辩论中. 但是据我所知，许多防病毒软件对木马程序无能为力，或者只能杀死少数木马程序. 例如，VRV无法找到“冰川”（至少在进行此实验时我无法杀死它），但是金山毒霸可以. 好了，在讨论防病毒软件这么长时间之后，该让防火墙挺身而出了. 顾名思义，防火墙是面向网络的防火墙. 它是专门为木马和各种攻击开发的防御软件. 它的原理类似于防病毒软件，但也有很大不同. 接下来，我将讨论防火墙的原理. 在这里，我想提到一个概念，它是OSI参考模型，由国家标准组织ISO制定. OSI的全名是开放系统互连. OSI模型将网络通信系统分为几层，从低层通信对象到高层网络应用程序，分别分为七个级别: 第1层，物理层: 指定如何在网络通信中使通信的两端正确medium接收到的比特流； Layer2，数据链路层: 指定获取通信介质的方式. 同时，有必要与通信方建立默契的数据收发方式，以便将数据可靠地发送到接收端. 第三层，网络层: 指定在同一网络中传输路径的选择和建立，以便数据可以从起点通过. 到达终点. 在TCP / IP协议中，网络层中有两种协议: IP（InternatProtocol）和ICMP（InternetControlMessageProtocol），负责建立传输路径（IP协议），并且将第4层TPDU（TransportProtocolDataUnit）切入小段形成数据包（数据包），并在网络路由器或接收端对其进行重组；第4层，传输层: 在TCP / IP中，该层的协议具有TCP（TransmissionControlProtocol. 传输控制协议）和UDP（UserDatagramProtocol）.

负责传输数据. TCP和UDP的区别是: 前者是连接服务，而后者是非连接服务；第5层，会话层: 提供控制功能，将下四层的信息流控制为会话形式；第6层，表示层: 建立连接，传输数据，并控制会话和活动的同步. 防火墙位于此层. 第7层，应用程序层: 提供与底层通信的三种协议，并提供软件应用程序平台. 简要介绍了OSI模型，现在我们继续前面的讨论. 防火墙运行后，它将监视第6层的活动并检测每个通过的数据包，同时还保护每个端口. 该端口位于第4层，因此在传输层中建立的数据传输虚拟通道具有与门相同的功能. 每个程序都需要打开一个“门”（端口）以在网络上传输数据，并以这种方式传递“门”. “门”用于数据传输. 联机数据也通过端口进入计算机. 一台计算机最多具有65536个端口，权重为1到65536. 程序使用此端口进行通信. 例如，OICQ，其默认端口为4000. 当此端口为4000时，当该端口未被其他程序占用时，OICQ将通过该端口发送和接收消息. 如果端口被占用，将选择另一个空闲端口进行通信. 您可以使用netstat -a查看已打开的端口. 当然，您也可以使用软件. 我的主页上有这种类型的软件. 您可以签出（）. 一般.... 例如，端口20是FtpData，端口21是FTPOpenServer，端口23是Telnet服务，端口137〜139用于netbios，依此类推. 防火墙是这些门的保护者，它可以过滤掉一些有害的数据包.

什么是有害小包？在以前的OSI模型的第3层和第4层中，我们提到了几种数据传输协议，即ICMP，TCP，UDP，IGMP等. 这些传输协议存在一些漏洞（准确地说，它们是设计缺陷）. 如果使用这些漏洞进行攻击，则被攻击者有可能泄漏秘密或远程共享等. 使用这些漏洞设计了许多攻击软件，这非常有害. 防火墙拦截这些有害数据后，将对其进行过滤. 由于这些数据包不再进入上层，因此不会损坏计算机. 但是，某些攻击未使用这些漏洞进行攻击，例如古老的PING攻击. 简而言之，这种攻击是连续发送ICMP数据包，并且对方的机器瘫痪，从而造成损害. 让我们将攻击者设置为A，将受害者设置为B. PING的原理是A向B发送一个ICMP数据包，并且B在接收到该数据包时对A做出响应，告诉A已收到该数据包. A可以使用它来确定网络已连接，否则网络会出现问题，因此PING命令是用于监视网络连接的软件. PING攻击是A保留PINGB，以便B继续回复数据，从而B的系统资源被耗尽并耗尽. 这就是PING攻击的原理. 由于linux的速度比win9x快得多，因此PING攻击者经常使用linux. 当然，这对于攻击者的机器也必须足够快，否则攻击者将死，因为他没有时间处理B返回的数据. 某些防火墙也可以过滤掉ICMP数据包，例如Skynet防火墙. 使攻击者收到的是超时（超时），因此无法进行攻击.

防火墙在防止木马连接中也起着重要作用. 因为木马通常由两个程序组成: 客户端和服务器. 受害人的计算机正在运行服务器端程序. 当计算机运行服务器端程序时，该程序将打开一个端口，该端口可以由客户端程序设置. 客户端程序使用木马查找这些计算机的方法是: PING这些计算机的端口（即已设置的木马端口）并发送连接请求. 如果是没有木马的计算机，它将忽略此请求. 将不会与客户端连接. 当被木马攻击的计算机收到此请求时，它将响应并连接到它. 客户端可以共享主机（即装有木马的计算机）的资源，并且权限与NT示例中的管理员相同. 您可以看到所有内容，包括帐号和密码等信息. 这是木马的危险. 防火墙的作用是拦截此请求并将其过滤掉，以使计算机不响应，并且客户端无法连接.

防火墙和防病毒软件正是这些区别. 由于防病毒软件无法监视端口，因此无法阻止木马的连接. 最多只能杀死木马. 而且它不能过滤数据包，也不能阻止对网络的攻击. 因此，防病毒软件不能替代防火墙. 说了这么多，每个人都应该对这两个防火墙有更清楚的了解.

还有一个误解，就是不要认为安装防火墙可以阻止所有入侵. 每个防火墙都有某些弱点，例如众所周知的lockdown2000，这是防火墙中最好的，并且它拥有最多可以预防的木马，但是...国内的精品产品“ Glacier”无法做到被预防，你不相信吗？尝试一下，您会发现. 实际上，“ Glacier”是一个非常好的软件. 它用于很好地管理局域网. 作者为此目的开发了它，但现在它已成为木马中的“精品”. 这对于作者来说真的是出乎意料的. ，其作者也停止了该软件的开发. 天网也是一种国内产品，可以防止“冰川河”的连接. 这可以说是符合中国国情的.

更多

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-290579-1.html