一段时间以来，一类利用ARP欺骗原理的病毒把网络折腾得血雨腥风，几乎没有哪个连网的单位企业没有受到波及，病毒爆发时，局域网基本陷于瘫痪状态。尤其值得注意的是，最近病毒已经远远不能满足于ARP欺骗了，以“AV终结者”这种将当前大量主流杀毒软件玩弄于掌股之间的新代病毒已经从ARP欺骗快速发展为DNS欺骗！对此，卓尔UTM综合安全网关可以提供完整的硬件级别的安全解决方案。 

　　当局域网中有任何一台机器系统中了“AV终结者”及其变种时，病毒会采取DNS欺骗行动，修改应答包和重建虚假应答包，用户打开无毒的正常网站时，将被病毒欺骗为访问带有恶意程序的URL，并且自动下载zxarps.exe等病毒文件到本机，这些新的病毒程序进一步提升了病毒的攻击能力，比如病毒如果嗅探到目标下载文件后缀是exe等，则更改Location:为http://??.net/test???.exe（这里的链接进行了处理），从而让用户的正常下载动作变成了下载病毒。 

　　通过DNS欺骗结合ARP欺骗，病毒能够嗅探到局域网内包括http和ftp等常见协议的信息传输，局域网用户的网络通讯在病毒面前没有丝毫秘密可言，电子邮箱账户口令、FTP账户、WEB浏览等全部处于病毒的监控之下，不但对中毒者个人，而且对整个局域网用户的安全都带来极其严重的威胁，特别是企业网络中的重要信息如果被病毒后台操控者掌握，其后果将不堪设想！ 

　　值得高度警惕的是，当前大量用户将病毒防范的所有希望都寄托在杀毒软件身上，“AV终结者”病毒的出现已经彻底打碎了用户依赖杀毒软件解决一切病毒和后门威胁的黄粱美梦，据赛迪网报道（http://tech.ccidnet.com/art/1102/20070612/1109861_1.html）“AV终结者”病毒呈现如下险恶特征： 

　　1、禁用所有杀毒软件以相关安全工具，让用户电脑失去安全保障； 

　　2、破坏安全模式，致使用户根本无法进入安全模式清除病毒； 

　　3、强行关闭带有病毒字样的网页，只要在网页中输入“病毒”相关字样，网页遂被强行关闭，即使是一些安全论坛也无法登陆，用户无法通过网络寻求解决办法； 

　　4、格式化系统盘重装后很容易被再次感染。用户格式化后，只要双击其他盘符，病毒将再次运行。 

　　经过“AV终结者”的精心“策划”，用户电脑的安全防御体系被彻底摧毁，安全性几乎为零，而“AV终结者”并未就此罢手，自动连接到某网站，大量下载数百种木马病毒，各类盗号木马、广告木马、风险程序用用户电脑毫无抵抗力的情况下，鱼贯而来，用户的网银、网游、QQ帐号密码以及机密文件都处于极度危险之中。 
　　鉴于病毒已经大量利用网络漏洞采取欺骗行为，并且公开针对主流杀毒软件采取对抗和防杀措施，卓尔UTM能够充分利用其网关防毒、内容过滤、上网管理和防火墙策略等综合能力，将传统杀毒软件不好对付的网络欺骗一类的病毒威胁轻松化解于无形： 

　　网关防毒：当带毒的数据流经过卓尔UTM安全网关时，网关内置的自动升级的杀毒系统会在病毒进入用户机器之前，就对病毒进行查杀，从而从企业入口处把住了第一道关； 

　　内容过滤：到病毒可能采取加密、打包的形式绕过网关病毒检测，卓尔UTM的内容过滤功能可针对病毒欺骗网络的行为采取针对性措施，比如病毒采取嵌入0大小的iframe框架以实施破坏行为时，卓尔UTM内容过滤系统可以从网关处有效检测并拦截，从而让常见病毒的行为即使在本地系统中得逞，但无法通过卓尔UTM网关的检查，最终让病毒行为失效，避免个人或企业遭受损失； 

　　上网管理：针对病毒的ARP欺骗和DNS欺骗主要只能在相同网段内有效，卓尔UTM允许根据权限划分不同的用户组，各组既可用DHCP分配不同段的IP 地址，又可分别根据工作需要指派不同的上网权限。这样对用户的限制也就是对病毒的限制，能够将病毒的影响范围最小化，而且科学化的上网管理也使问题的排查解决更加容易； 

　　防火墙：卓尔UTM内嵌的防火墙组件具有专业防火墙的所有高级特性，利用防火墙的管理功能，管理员可以在发现新的网络欺骗类型的病毒后，检测出病毒自动要连接的域名或IP，然后将这些具有安全威胁的域名或IP 地址添加到防火墙的阻止列表中，从而让病毒根本没有办法继续下载其他病毒模块和病毒包，从网络层有效阻止了病毒的进一步蔓延。 

　　通过卓尔UTM的层层设防和科学化高效管理，网络欺骗和在线下载型病毒基本上难以有用武之地，同时其内置的在线正版杀毒功能不需要任何额外投资即可在企业内使用，提供应用层查杀病毒的辅助解决方案。因此，如果我们在换了一套又一套杀毒软件后仍然频繁中毒，如果你的杀毒软件只能保护自己而不能保护整个企业网络，如果你认为杀毒软件只是安全的一部分而不是安全的全部，那么，卓尔UTM综合安全网关将是我们的明智选择！

下一篇：曙光防火墙为河北电力量身打造网络安全