Предотвращаемые угрозы
Угрозы, с которыми антивирусы для шлюзов справляются плохо или не справляются вовсе, выяснены. С какими же угрозами антивирусы для шлюзов справляются хорошо?
Во-первых, антивирус для шлюза способен предотвратить загрузку зараженного файла с FTP-севера или веб-сайта. Уже давно не новой является технология распространения червей или троянов, когда пользователь получает сообщение (по почте или по другим каналам), содержащее не сам вредоносный файл, а ссылку на веб-сайт, где этот файл расположен. Антивирус на шлюзе предотвращает загрузку вредоносных файлов, как санкционированную, так и нет.
Пример. При этом есть и ограничения. В частности, если загружается архив, защищенный паролем, антивирус на шлюзе не сможет проверить такой архив. Кроме этого, проверка архивов и вообще составных файлов, как правило, занимает относительно большое время, увеличивая вероятность ошибки превышения времени ожидания на клиенте. Тем не менее, в связи с растущей тенденцией распространения червей в заархивированном виде, отключать проверку архивов на уровне шлюзов не рекомендуется
В контексте архивов есть смысл еще раз вспомнить о проблеме частичного (а не полного) удержания файла на сервере проверки. Если исполняемый модуль, загруженный не полностью, все же редко остается работоспособным, то из неполного архива очень часто можно извлечь часть файлов. В связи с этим, вероятность пропустить вирус в архиве гораздо выше, чем в исполняемом файле.
Нередко в веб-страницы сайтов бывают внедрены опасные скрипты, использующие уязвимости в браузерах для несанкционированной загрузки файлов или для изменения настроек: стартовой страницы, страницы поиска. Эти скрипты также проверяются на антивирусе для шлюзов, и их загрузка на компьютеры пользователей блокируется.
Пример. Как будет рассказано в дальнейшем, Антивирус Касперского для Windows Workstations обладает встроенным модулем, предназначенным для проверки скриптов. И в связи с этим необходимо отметить важный факт. Антивирус для шлюзов (в частности, Антивирус Касперского для Microsoft ISA Server и Антивирус Касперского для CheckPoint Firewall) при проверке скриптов применяет только технологии сигнатурного и эвристического анализа.
В отличие от него, модуль проверки скриптов на рабочей станции следит за выполнением скрипта на компьютере пользователя и блокирует потенциально опасные действия, применяя тем самым технологию поведенческого анализа. Таким образом можно говорить, что средства проверки скриптов на уровне шлюза и на уровне рабочей станции не дублируют, а дополняют друг друга.
Используя SMTP-фильтр, Антивирус для шлюзов защищает также от вредоносных программ, распространяющихся через почту. Правда, только в том случае, если в организации используется почтовый сервер, получающий сообщения по протоколу SMTP. Если почта доставляется по другому протоколу или если пользователи обращаются за почтой на сервер за пределами сети организации, письма проверены не будут.
Необходимо отдельно отметить тот факт, что антивирус для шлюзов защищает от вирусов при работе с веб-почтой. В этом случае и сами почтовые сообщения и вложения к ним пользователь получает по протоколу HTTP, что и позволяет шлюзовому антивирусу осуществлять проверку. Примечателен тот факт, что антивирусы для почтовых систем при таком режиме работы с почтовыми сообщениями (веб-почта) неэффективны.
