- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
05-防病毒
本章節下載: 05-防病毒 (419.25 KB)
本幫助主要介紹以下內容:
· 特性簡介
¡ 應用場景
¡ 基本概念
¡ 防病毒檢測方式
· 配置指南
|
|
防病毒功能需要安裝License才能使用。License過期後,防病毒功能可以采用設備中已有的病毒特征庫正常工作,但無法升級特征庫。關於License的詳細介紹請參見“License聯機幫助”。 |
防病毒功能是一種通過對報文應用層信息進行檢測來識別和處理病毒報文的安全機製。防病毒功能憑借龐大且不斷更新的病毒特征庫可有效保護網絡安全,防止病毒在網絡中的傳播。將具有防病毒功能的設備部署在企業網入口,可以將病毒隔離在企業網之外,為企業內網的數據安全提供堅固的防禦。目前,該功能支持對基於以下應用層協議傳輸的報文進行防病毒檢測:
· FTP(File Transfer Protocol,文件傳輸協議)
· HTTP(Hypertext Transfer Protocol,超文本傳輸協議)
· IMAP(Internet Mail Access Protocol,Internet郵件訪問協議)
· NFS(Network File System Protocol,網絡文件係統協議)
· POP3(Post Office Protocol-Version 3,郵局協議的第3個版本)
· SMB(Server Message Block Protocol,服務器信息塊協議)
· SMTP(Simple Mail Transfer Protocol,簡單郵件傳輸協議)
如圖-1所示,在如下應用場景中,隔離內網和外網的網關設備上需要部署防病毒策略來保證內部網絡安全:
· 內網用戶需要訪問外網資源,且經常需要從外網下載各種應用數據。
· 內網的服務器需要經常接收外網用戶上傳的數據。
當在設備上部署防病毒策略後,正常的用戶數據可以進入內部網絡,攜帶病毒的報文會被檢測出來,並被采取阻斷、重定向或生成告警信息等動作。
病毒特征是設備上定義的用於識別應用層信息中是否攜帶病毒的字符串,由係統中的病毒特征庫預定義。
MD5規則是設備上定義的用於識別傳輸文件是否攜帶病毒的檢測規則,由係統中的病毒特征庫預定義。
缺省情況下,設備對所有匹配病毒特征的報文均進行防病毒動作處理。但是,當管理員認為已檢測到的某個病毒為誤報時,可以將該病毒特征設置為病毒例外,之後攜帶此病毒特征的報文經過時,設備將對此報文執行允許動作。
缺省情況下,設備基於應用層協議的防病毒動作對符合病毒特征的報文進行處理。當需要對某應用層協議上承載的某一具體應用采取不同的動作時,可以將此應用設置為應用例外。例如,對HTTP協議采取的動作是允許,但是需要對HTTP協議上承載的遊戲類應用采取阻斷動作,這時就可以把所有遊戲類的應用均設置為應用例外。
防病毒動作是指對符合病毒特征的報文做出的處理,包括如下幾種類型:
· 告警:允許病毒報文通過,同時生成病毒日誌。
· 阻斷:禁止病毒報文通過,同時生成病毒日誌。
· 重定向:將攜帶病毒的HTTP連接重定向到指定的URL,同時生成病毒日誌。
· 允許:允許病毒報文通過。
設備支持使用以下方式進行防病毒檢測:
· 病毒特征匹配:設備將報文與特征庫中的病毒特征進行匹配,如果匹配成功,則表示該報文攜帶病毒。
· MD5值匹配:設備首先對待檢測文件進行MD5哈希運算,再將計算出的MD5值與特征庫中的MD5規則進行匹配,如果匹配成功,則表示該文件攜帶病毒。
設備上部署防病毒策略後,對接收到的用戶數據報文處理流程如圖-2所示:
防病毒處理的整體流程如下:
1. 如果報文匹配了某個安全策略,且此策略的動作是允許並引用了防病毒策略,則設備將繼續識別此報文的應用層協議。
2. 如果報文的應用層協議為防病毒功能所支持,則設備使用病毒特征庫中的病毒特征對此報文進行匹配,否則不對其進行防病毒處理。
3. 設備將報文同時與特征庫中的病毒特征和MD5規則進行匹配,任意一種匹配成功,則認為該報文攜帶病毒,並進行下一步處理;如果二者均匹配失敗,則對該報文執行允許動作。
4. 如果病毒報文符合病毒例外,則對此報文執行允許動作,否則繼續判斷其是否符合應用例外。
5. 如果病毒報文符合應用例外,則執行應用例外的防病毒動作(告警、阻斷和允許),否則執行所屬應用層協議的防病毒動作(告警、阻斷和重定向)。
防病毒功能的配置思路如下圖所示:
圖-3 防病毒功能配置指導圖
設備上存在一個名稱為default的防病毒配置文件,不可對其進行修改和刪除操作。管理員可以根據實際需求新建自定義的防病毒配置文件。
因為防病毒模塊所支持協議的連接請求均由客戶端發起,為了使連接可以成功建立並能對此連接上的報文進行病毒檢測,需要管理員在配置安全策略時確保客戶端所在的安全域為源安全域、服務器所在的安全域為目的安全域。
1. 選擇“對象 > 應用安全 > 防病毒 > 配置文件”。
2. 在“防病毒配置文件”頁麵單擊<新建>按鈕,進入“新建防病毒配置文件”頁麵。
3. 新建防病毒配置文件,具體配置內容如下:
表-1 防病毒配置文件配置
|
參數 |
說明 |
|
名稱 |
防病毒配置文件的名稱 |
|
描述 |
通過合理編寫描述信息,便於管理員快速理解和識別防病毒配置文件的作用,有利於後期維護 |
|
上傳 |
對HTTP、FTP、SMTP、IMAP、NFS和SMB協議上傳方向的報文進行病毒檢測。其中,SMTP協議隻支持上傳方向 |
|
下載 |
對HTTP、FTP、POP3、IMAP、NFS和SMB協議下載方向的報文進行病毒檢測。其中,POP3協議隻支持下載方向 |
|
動作 |
設備可根據報文的應用層協議類型和傳輸方向來對其進行病毒檢測,如果檢測到病毒,則對此報文執行此處指定的動作。動作包括:告警、阻斷、重定向。IMAP協議隻支持告警動作 |
|
應用例外 |
缺省情況下,設備基於應用層協議的防病毒動作對符合病毒特征的報文進行處理。當需要對某應用層協議上承載的某一具體應用采取不同的動作時,可以將此應用設置為應用例外。例如,對HTTP協議進行允許通過處理,但是需要對HTTP協議上承載的遊戲類應用采取阻斷動作,這時就可以把所有遊戲類的應用設置為應用例外 |
|
病毒例外 |
如果發現某類檢測出病毒的報文被誤報時,可以通過執行此命令把該報文對應的病毒特征設置為病毒例外。當後續再有檢測出包含此病毒特征的報文通過時,設備將對其執行允許動作 |
4. 單擊<確定>按鈕,新建防病毒配置文件成功,且會在“防病毒配置文件”頁麵中顯示。
5. 在安全策略的內容安全配置中引用此防病毒配置文件,有關安全策略的詳細配置介紹請參見“安全策略聯機幫助”
6. 單擊<提交>按鈕,激活防病毒配置文件的配置內容。配置此功能會暫時中斷DPI業務的處理,為避免重複配置此功能對DPI業務造成影響,請完成部署DPI各業務模塊的配置文件後統一配置此功能。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
