При использовании антивирусных систем, анализирующих поведение программ, всегда существует риск «пропустить удар» от вируса, в результате которого по ошибке будет выполнена команда вирусного кода, способная нанести ущерб защищаемому компьютеру или сети.
Для устранения этого недостатка был разработан другой метод, который тоже строит работу по распознаванию вирусов на основе анализа выполнения программ, однако тестируемая программа выполняется в искусственно созданной (виртуальной) вычислительной среде, которую иногда называют песочницей (sandbox). Такой способ называют эмуляцией. При эмуляции так же, как и при реальном выполнении, фиксируются все подозрительные действия программы, однако в этом случае отсутствует риск повреждения информационного окружения.
Принцип работы антивирусных средств, построенных на основе анализа поведения программ, показывает, что эти средства могут использоваться для обнаружения не только известных, но и не известных вредоносных программ.
Сетевые экраны
Сетевой, или межсетевой, экран — это комплекс программно-аппаратных средств, осуществляющий информационную защиту одной части компьютерной сети от другой путем анализа проходящего между ними трафика.
Для сетевых экранов существуют и другие термины, хорошо отражающие функциональное назначение средств защиты этого типа:
□ Брандмауэр — это слово много лет назад пришло в русский язык из немецкого. Изначально оно обозначало перегородку в поезде, отделяющую область топки паровоза от пассажирского отделения.
□ Файервол и другие транслитерации английского слова firewall, хотя официально не приняты, можно встретить в литературе достаточно часто. Исходным значением этого термина является элемент конструкции дома, а именно стена, сделанная из огнеупорного материала и препятствующая распространению огня между частями дома (обычно принадлежащими разным собственникам).
Для сетевого экрана одна часть сети является внутренней, другая — внешней (рис. 24.21). Сетевой экран защищает внутреннюю сеть (например, локальную сеть предприятия или, как вырожденный случай, отдельный компьютер пользователя) от угроз, исходящих из внешней сети (мы будем, как правило, подразумевать под такой сетью Интернет).
Защиту границ между локальными сетями предприятия и Интернетом обеспечивают корпоративные сетевые экраны, те же функции, но на границе между домашним компьютером и Интернетом, выполняют персональные сетевые экраны.
Для эффективного выполне^я сетевым экраном его главной функции — защиты — необходимо, чтобы через него проходил весь трафик, которым обмениваются узлы защищаемой части сети с узлами Интернета.