2023年5月15日 星期一

為什麼防火牆的防毒功能不能取代電腦上的防毒軟體:Fortigate v7 防火牆的閘道防毒

現在的 UTM 防火牆都有提供閘道防毒的功能,但是為什麼買了防火牆且訂閱的閘道防毒,卻還是有需要在電腦與伺服器上再安裝額外的防毒軟體? 到底閘道防毒功能達到甚麼效果? 又有甚麼缺點? 本文以 Fortigate v7 防火牆做為範例說明。


示範設備:Fortigate 61F,韌體版本:7.2.4


最常見的說明是閘道防毒設備可以在網路閘道位置先行代理個人端、伺服器或特定網路區域的防毒處理,提升防禦縱深,減輕企業內部的防毒負擔。

但是防火牆的閘道防毒並不能達到對所有網路上的病毒或惡意程式的進入途徑進行過濾,甚至可以說大部分都有可能不被過濾,為什麼這樣說呢? 

下面是 Fortigate v7 在 Flow Mode 下能過濾的傳輸協定。

HTTP:超文本傳輸協定 ( HyperText Transfer Protocol )

FTP:檔案傳輸協定 ( File Transfer Protocol )

IMAP:網際網路資訊存取協定 ( Internet Message Access Protocol )

POP3:郵局協議 ( Post Office Protocol )

SMTP:簡單郵件傳送協定 ( Simple Mail Transfer Protocol )

CIFS:網路檔案分享系統 ( Common Internet File System )


可以注意到一個重點,都不支援 SSL 加密的通訊協定,例如 HTTPs / FTPs / POP3s / SMTPs 等,也就是說只要加密過的流量都不會進行防火牆閘道端病毒過濾,更不要說那些全程加密的自有協定,例如 Skype / Line / WeChat / Telegram 這些透過即時通訊軟體傳輸的檔案都經過加密,這時防火牆是不能夠解開加密進行過濾,也就失去了防毒過濾的能力。

至於惡意郵件,其實現在大多是提供了惡意連結的方式,只要點擊了惡意連結,就可能會下載惡意程式或木馬病毒,如果這個連結是透過 HTTPs 加密的,防火牆的防毒過濾也是無能為力。

再來則是閘道防毒設備無法阻止隨身碟的攜出入與檔案交換,這些過程都有可能會造成病毒的傳染,而且,閘道防毒設備也有效能瓶頸和穩定性的問題,如果網路流量過大或設備停機,可能導致服務中斷或病毒入侵。

惡意連結通常是透過防火牆的網頁過濾與 DNS 過濾功能去將連結的行為進行阻擋,補強這部分的缺陷。

綜上所述,想要有效保護企業內的電子資產,還是需要在電腦與伺服器中安裝端點防護程式,做為防毒防護的其中一道防線,在選擇電腦或伺服器端防毒防護時,建議考慮不要選擇與防火牆使用同一個防毒引擎的產品,甚至辦公電腦端與伺服器端也最好可以選擇不同品牌的防毒軟體,可以達到多重防護的效果。


沒有留言:

張貼留言