解决蠕虫问题的武器，你用的是哪般？

最近见了一些客户，有政府行业的，也有一些企业的，客户的网络规模有大有小，但令我比较诧异的是，他们都在反馈一个同样的问题，就是蠕虫病毒问题。

而关于蠕虫病毒反馈的却不是它的安全隐患，用户关注更多的是由此导致的网络慢、网络中断问题。面对蠕虫问题，急得焦头烂额，用户确始终拿不出有效对策。

笔者并非专业地网络安全人员，对于这个比较奇异的现象，进行了一些思考，也就由此出现了本文。由于笔者本身技术和接触领域的局限性，观点并不一定准确，希望专家人士来批评指正。

蠕虫病毒其实也是病毒，指的是那些通过网络进行传播、感染的病毒。目前了解的安全产品主要包括：杀毒软件、软硬件防火墙、IPS/IDS，另外还有一些其他的网络产品包括：流控、网管、上网行为管理等。

这些产品的价值极大的满足了用户的需求，所以最近几年这些产品在市场上卖的都不错，基本认为除路由、交换、服务器设备之外的必备的基础网络设备。

下面笔者就对如上产品针对蠕虫病毒方面的能力，进行简单的介绍。

杀毒软件，这绝对是对付病毒的最佳选择，也基本上解决了大部分的病毒，但由于蠕虫病毒的变种太快，病毒库的更新赶不上蠕虫变种更新的速度，所谓道高一尺，魔高一丈，即是此理也。作为杀毒的干将，杀毒软件被寄予厚望，目前国内外杀毒软件的杀毒能力参差不齐，却各有特色，用户基于性价比、厂商国籍等综合考虑，选择适合自己的品牌。不同杀毒产品的杀毒能力，影响了用户网络出现病毒事件的概率，选择一款好的杀毒软件，网管工作就省点事，一旦选择劣质产品，苦的就是网管人员了。相信大家对杀毒厂商的认知都有自己的一杆秤，哪些是一线品牌，哪些是二线的，都大致有谱。

防火墙，有基于主机的、基于网络的，主机上的防火墙一般主要用在服务器上，普通PC上开启防火墙的相对较少，对这些PC的防护更多地放在了硬件防火墙上。硬件防火墙主要实现不同区域间的访问策略，针对病毒需要开启一定的防护组件，比如提出的UTM概念，UTM个人认为是具有病毒防护功能的防火墙。但防火墙一般部署在边界位置，需要高效的处理能力，而防病毒模块的开启直接影响了处理能力，更多地用户并不会在防火墙上开启防病毒功能，除非是一些金融行业或其他安全性较高的网络环境。另外，防火墙的防病毒能力到底有几何，由于笔者了解不多，不敢妄加评判。

IPS/IDS 就是针对网络中出现的安全问题进行报警、阻断而产生的，如果真的能把这款产品用的好，并且进行及时的更新，笔者相信蠕虫病毒事件的发生必将明显减少。但基于目前了解的情况，客户中基本都上了IPS/IDS，但把这款产品用的很好的少之又少，基本是放在那作为摆设了。是什么导致了这种情况发生呢，因为这些设备使用相对复杂，而且缺省配置后出现漏报、误报现象较高，还有就是这些警报参数的合理使用，需要长期的检测。综合以上原因，导致了IPS/IDS的实用效果较差。如果有IPS/IDS厂商能看到本文，笔者建议提高产品的售后支持力度，如果想把市场做起来，就要协助用户去用好产品，让其价值最大化。

流控，对流量进行控制的产品，由蠕虫病毒导致的网络缓慢、网络拥塞，流控产品能进行一定的控制能力，笔者对流控接触不多，相信其对蠕虫有一定的防护能力。

网管，主要是基于网络设备的snmp信息获取设备信息、接口流量信息等，通过对IP或应用流量的分析，相信对比较明显的蠕虫感染会有一定的效果。

行为管理，对用户的网络行为进行管理，如果发现网络中的一些用户有异常行为，则进行控制。其中这个发现过程，是需要人去发现的，貌似没有一个自动的过程，所以也就增加了网管人员的工作强度。目前接触到的用户，基本上都有了行为管理设备，对一些上网流量较高的IP进行限制，能起到部分作用，但对蠕虫病毒导致的网络慢现象是束手无策。因为其管理能力不错，但缺乏分析能力。

综合以上，很多用户把上面的设备上全了，蠕虫病毒问题仍未解决。那笔者就介绍下，一种新的思路，网络分析产品。

科来网络分析系统，号称“国内的sniffer”，相对sniffer增加了蠕虫病毒的分析能力，抓取底层数据包，分析所有结点的网络行为，基于行为特征分析异常，从而定位蠕虫病毒主机。目前接触的一些用户，主要是通过这套产品来定位异常主机，确定其感染主机后进行杀毒处理，因为确确实实的证明了该主机感染了蠕虫病毒，那就杀毒，一款杀毒软件不行就换一款，直到杀出病毒未知。

如果完全靠网络分析设备来解决蠕虫病毒问题，那是不靠谱的，这只是一个分析工具、分析平台，并没有控制、管理能力，必须结合其他产品来有效防护。另外这类产品，对用户的技术水平有一定要求，厂商必须提供强大的售后能力，才能使用户感受其价值。

文章结尾了，不能没有结果。笔者认为针对目前的蠕虫问题，需要以杀毒为主，科来网络分析为分析手段，定位异常，调整IPS/IDS参数使其提供准确报警，行为管理设备对异常主机进行有效管控。抛砖引玉，希望朋友们能提供更好的解决思路，并能共享给大家。

 

 

科来 刘辰

2012.9.29