直接把浏览器设置运行于comodo沙盒可以替代网络防护或网页防护的概念么？

sunself

直接把浏览器设置运行于comodo沙盒可以替代网络防护或网页防护的概念么？

伯夷叔齐

1、网页防护是基于http（超文本传输）协议和https（安全超文本传输）协议与web服务器的通讯，比如浏览器网页浏览，www服务器基于这两个协议的访问开放的端口常规情况下，分别是80、443、3128、8080等端口，而HTML（Hyper Text Mark-up Language）即超文本标记语言或超文本链接标示语言，是目前网络上应用最为广泛的语言，也是构成网页文档的主要语言。

当然http协议和https协议不仅仅只局限于浏览web资源，比如QQ的聊天通讯，游戏、炒金炒汇等各种运用软件大量使用上述两种协议访问各种资源。还有许多软件公司在自己的服务器所分配的实现http、https协议的端口，以及对用户下载的该公司软件以固定访问这些端口。它们相对于浏览器实现在各个web页面的冲浪，通讯显得更单一和固定，也相对处于更安全的环境，比如升级软件，更新病毒库等。

红伞的webguard、NOD32的“Web访问保护”就是通过这两个应用层协议对网页和网络通讯的监控和防护。但https协议的通讯难以监控，因为它基于SSL（安全套接字层），合法数字签名下的一种加密传输，比如通过网银支付和转账、系统补丁下载、程序升级、QQ的加密通讯等，所以对https协议下的通讯，杀软无法直接监控，只能通过SSL（安全套接字层）来检查证书的合法性，除此外，只有等数据包解包成文件后，进行实时监控（实时扫描）。NOD32采取的前期办法就是验证其证书的安全性，如果没有根证书颁发机构验证的，跳出提示框，并由用户选择是否信任，来做到间接监控https协议所传输的内容；而红伞网页监控也没有对其像监控为http协议分配的80、8080（代-理服务器常用端口）端口那样，采取代-理转发机制，只能等文件解包后进行第一时间监控文件（实时扫描）。

因此上述杀软的基于http、https协议通讯的防护，包含了对网页的防护，严格说来应该叫http、https防护，也许不能称之为流行意义上的“网页防护”吧。

还有就是如前期的金山网盾（里面的最主要单项功能）、AVG LinkScaner等现在流行意义下的网页防护软件，它们就是针对各个浏览器访问web页面时的监控与防护，通过软件收集的网页地址作为黑白名单地址数据库，以防止用户被带入钓鱼网站和挂马网站，以及主要针对不同计算机汇编语言编写的通过系统漏洞攻击PC的恶意脚本，如后缀名为JS、VS、VBS的恶意脚本等，以防止计算机被制造漏洞攻击。但不管怎样，这样的软件都是通过http协议、https协议下对web页面的监控，所以统称为网页防护，相比上述的传统意义上的杀软，更突出了网页的普通认知，针对性更强。

2、所谓网络防护可以从两方面来理解

（1）对整个internet网络通讯的过滤，监控

上面说到的基于http、https协议对web服务器之间通讯的防护、和与其他资源服务器通讯的防护，仅仅是其中之一，但internet上的资源和通讯协议还有很多很多，包括基于FTP（文件传输）协议的服务端FTP服务器、以及客户端与提供电子邮件服务的基于STMP协议、POP3、POP3S（加密）、IMAPS（加密）协议的STMP、POP3服务器的通讯等，他们都有对应的访问端口，比如就杀软可以通过对基于STMP和POP3协议的对邮件下载发送进行监控，同理，对于加密通讯的POP3S协议（对应有995端口）、IMAPS协议(993端口)、SMTPS协议（465端口），也是通过对SSL层的监控，但难以进行完善的监控措施，这取决于加密证书加密算法的强度，否则，只有等解包为文件后进行实时扫描。如果采取强度很高的监控，可能会造成通讯障碍和邮件发送接收的出错。而为什么基于对https协议下的通讯很多是基于浏览网页，感受急速的效果，所以没有采用同样的监控级别措施吧。这里个人感觉，不讨论病毒特征码，NOD32更适合于作为企业公司的安全方案。

（2）防火墙针对传输层和网络层以及链路层的网络过滤，当然也包括应用层，不在应用层上进行对数据包过滤的管理，就会让个人防火墙中级用户使用个人防火墙异常的麻烦，毫无程序通讯内容和过程的反馈。作为客户端的个人电脑，目的就是阻止一切非请自来的数据包。干这个事的就是纯粹的个人防火墙。

总之，凡是涉及到对互联网通讯，基于对OSI网络模型中各层的防护和过滤统称之为网络防护。

3、就是否把浏览器放入沙盒而言。有很多值得讨论的东西，我这里就不班门弄斧了。由于严重影响浏览器稳定、功能和冲浪速度，我现在是基于自己习惯和品格良好的前提下，把浏览器作为正常程序来执行，个人认为，对浏览器的除注册表和文件夹文件限制之外的其他行为限制，是多此一举和不明智的。

但从安全角度来看，我个人更倾向于把浏览器也加入沙盒，能保证浏览器执行文件本身不干坏事，但不能保证它加载到缓存的东西都不干坏事。单纯考虑下载到恶意程序到电脑，我反倒不是太担心，因为只要被人为的执行，comodo就会采取措施，且浏览器现在本身也有沙箱技术。怕就怕像所有恶意脚本那样，只要下载到浏览器缓存，就会被script.exe、wscript.exe这些脚本解释器所执行，这是最让人头疼的，且一个网页，这样的脚本文件多得骇人。所以，这里不仅仅是comodo对于未识别执行文件都要监控的问题，还有一个是否虚拟化文件夹文件和注册表的原因。

现在回答主题，把浏览器放入沙盒，不完全能代替网页防护，当然根本谈不上代替网络防护。它仅仅是对本级程序，或已下载或传输到个人PC的程序或恶意程序虚拟一个空间，或降低权限，以让其运行，并监控其行为，过程是非手动的傻瓜式的。
他们之间的关系是相互弥补不足。

一江秋

楼上的老师解释的真详细，谢谢，学习了

sunself

谢谢阿 ，真的好详细哦。那么把浏览器放到沙盘里，能起到防止病毒下载到本地的作用吧。至少关闭以后就清空了。
恩恩，还是长了很多知识，不管有没有网络监控，个人隐私或重要数据仍然需要自己小心，养成良好的上网习惯和安全意识蛮重要。
谢谢。

sunself

谢谢阿 ，真的好详细哦。那么把浏览器放到沙盘里，能起到防止病毒下载到本地的作用吧。至少关闭以后就清空了。
恩恩，还是长了很多知识，不管有没有网络监控，个人隐私或重要数据仍然需要自己小心，养成良好的上网习惯和安全意识蛮重要。
谢谢。

伯夷叔齐

刚才的回复由于匆忙回复，出了点点差错，为避免误导各位，我现在做出了点点修改，忘见谅。

chncwk

网页防护主要运用黑白链接名单，防木马、钓鱼之类的，防止你被诱骗输入个人敏感数据。
沙盒是限制可执行文件在本机的非法运行，监控本地注册表、系统文件、可执行文件等。
前者是诈骗，后者是偷盗抢劫。

伯夷叔齐

chncwk 发表于 2011-4-14 00:04
网页防护主要运用黑白链接名单，防木马、钓鱼之类的，防止你被诱骗输入个人敏感数据。
沙盒是限制可执行文 ...

简明扼要，一针见血。

支持一下。