- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
06-防病毒命令
本章節下載: 06-防病毒命令 (262.21 KB)
目 錄
1.1.3 anti-virus parameter-profile
1.1.4 anti-virus signature auto-update
1.1.5 anti-virus signature auto-update-now
1.1.6 anti-virus signature rollback
1.1.7 anti-virus signature update
1.1.9 display anti-virus signature
1.1.10 display anti-virus signature information
1.1.11 display anti-virus statistics
1.1.15 signature severity enable
anti-virus apply policy命令用來在DPI應用profile中引用防病毒策略。
undo anti-virus apply policy命令用來刪除引用的防病毒策略。
【命令】
anti-virus apply policy policy-name mode { alert | protect }
undo anti-virus apply policy
【缺省情況】
DPI應用profile中未引用防病毒策略。
【視圖】
DPI應用profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
policy-name:表示防病毒策略名稱,為1~63個字符的字符串,不區分大小寫。
mode:表示防病毒策略的模式。
alert:告警模式,表示報文匹配上該防病毒策略中的特征後,僅可以生成日誌,但其他動作均不生效。
protect:保護模式,表示報文匹配上該防病毒策略中的特征後,設備按照特征的動作對該報文進行處理。
【使用指導】
一個DPI應用profile視圖下隻能引用一個防病毒策略。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在名稱為sec的DPI應用profile下引用防病毒策略abc。
<Sysname> system-view
[Sysname] app-profile sec
[Sysname-app-profile-sec] anti-virus apply policy abc mode protect
anti-virus policy命令用來創建防病毒策略,並進入防病毒策略視圖。如果指定的防病毒策略已經存在,則直接進入防病毒策略視圖。
undo anti-virus policy命令用來刪除指定的防病毒策略。
【命令】
anti-virus policy policy-name
undo anti-virus policy policy-name
【缺省情況】
存在一個缺省防病毒策略,名稱為default。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
policy-name:表示防病毒策略的名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
缺省防病毒策略和自定義防病毒策略都使用當前係統中的所有病毒特征。
缺省防病毒策略不能被修改和刪除。
【舉例】
# 創建一個名稱為abc的防病毒策略,並進入防病毒策略視圖。
<Sysname> system-view
[Sysname] anti-virus policy abc
[Sysname-anti-virus-policy-abc]
anti-virus parameter-profile命令用來引用應用層檢測引擎動作參數profile。
undo anti-virus parameter-profile命令用來取消引用應用層檢測引擎動作參數profile。
【命令】
anti-virus { email | logging | redirect } parameter-profile profile-name
undo anti-virus { email | logging | redirect } parameter-profile
【缺省情況】
防病毒未引用應用層檢測引擎動作參數profile。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
email:表示引用應用層檢測引擎郵件動作參數profile。
logging:表示引用應用層檢測引擎日誌動作參數profile。
redirect:表示引用應用層檢測引擎重定向動作參數profile。
parameter-profile parameter-name:指定防病毒動作引用的應用層檢測引擎動作參數profile。parameter-name表示動作參數profile的名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
防病毒動作的具體執行參數(例如,郵件服務器的地址、輸出日誌的方式和對報文重定向的URL)由應用層檢測引擎各動作參數profile來定義,可通過引用各動作參數proflle為防病毒動作提供執行參數。應用層檢測引擎動作參數proflle的具體配置請參見“DPI深度安全配置指導”中的“應用層檢測引擎”。
如果防病毒沒有引用應用層檢測引擎動作參數profile,或者引用的動作參數profile不存在,則使用係統中各動作參數的缺省值。
【舉例】
# 創建名稱為av1的應用層檢測引擎郵件動作參數profile,配置登錄郵件服務器的明文密碼為abc123。
<Sysname> system-view
[Sysname] inspect email parameter-profile av1
[Sysname-inspect-email-av1] password simple abc123
[Sysname-inspect-logging-av1] quit
# 引用名稱為av1的應用層檢查引擎郵件動作參數profile。
[Sysname] anti-virus email parameter-profile av1
【相關命令】
· inspect email parameter-profile(DPI深度安全命令參考/應用層檢測引擎)
· inspect logging parameter-profile(DPI深度安全命令參考/應用層檢測引擎)
· inspect redirect parameter-profile(DPI深度安全命令參考/應用層檢測引擎)
anti-virus signature auto-update命令用來開啟定期自動在線升級病毒特征庫功能,並進入自動升級配置視圖。
undo anti-virus signature auto-update命令用來關閉定期自動在線升級病毒特征庫功能。
【命令】
anti-virus signature auto-update
undo anti-virus signature auto-update
【缺省情況】
定期自動在線升級病毒特征庫功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
如果設備可以訪問H3C官方網站,可以采用定期自動在線升級方式來對設備上的病毒特征庫進行升級。
【舉例】
# 開啟定期自動在線升級病毒特征庫功能,並進入自動升級配置視圖。
<Sysname> system-view
[Sysname] anti-virus signature auto-update
[Sysname-anti-virus-autoupdate]
【相關命令】
· update schedule
anti-virus signature auto-update-now命令用來立即自動在線升級病毒特征庫。
【命令】
anti-virus signature auto-update-now
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
執行此命令後,將立即自動升級設備上的病毒特征庫,且會備份當前的病毒特征庫文件。此命令的生效與否,與是否開啟了定期自動升級病毒特征庫功能無關。
當管理員發現H3C官方網站上的特征庫服務專區中的病毒特征庫有更新時,可以選擇立即自動在線升級方式來及時升級病毒特征庫版本。
【舉例】
# 立即自動在線升級病毒特征庫版本。
<Sysname> system-view
[Sysname] anti-virus signature auto-update-now
anti-virus signature rollback命令用來回滾病毒特征庫。
【命令】
anti-virus signature rollback { factory | last }
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
factory:表示病毒特征庫的出廠版本。
last:表示病毒特征庫的上一版本。
【使用指導】
如果管理員發現設備當前病毒特征庫版本在檢測和防禦網絡攻擊時,誤報率較高或出現異常情況,則可以對當前病毒特征庫版本進行回滾。目前支持將設備中的病毒過濾特征庫版本回滾到出廠版本和上一版本。
病毒特征庫版本每次回滾前,設備都會備份當前版本。多次回滾上一版本的操作將會在當前版本和上一版本之間反複切換。例如,當前病毒特征庫版本是V2,上一版本是V1。第一次執行回滾到上一版本的操作後,特征庫替換成V1版本,再執行回滾上一版本的操作則特征庫重新變為V2版本。
【舉例】
# 配置病毒特征庫回滾到上一版本。
<Sysname> system-view
[Sysname] anti-virus signature rollback last
anti-virus signature update命令用來手動離線升級病毒特征庫。
【命令】
anti-virus signature update file-path
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
file-path:指定病毒特征庫文件的路徑,為1~255個字符的字符串。
【使用指導】
如果設備不能訪問H3C官方網站上的特征庫服務專區,管理員可以采用如下幾種方式手動離線升級病毒特征庫版本。
· 本地升級:使用本地保存的特征庫文件升級係統上的病毒特征庫版本。特征庫文件隻能存儲在當前主用設備上,否則設備升級特征庫會失敗。
· FTP/TFTP升級:通過FTP或TFTP方式下載遠程服務器上保存的特征庫文件,並升級係統上的病毒特征庫版本。
參數file-path的取值與手動離線升級的操作方式有關。本地升級時參數file-path取值請參見表1-1;FTP/TFTP升級時參數file-path取值請參見表1-2。
|
升級場景 |
參數file-path取值 |
說明 |
|
特征庫文件的存儲位置與當前工作路徑一致 |
filename |
可以執行pwd命令查看當前工作路徑 有關pwd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理” |
|
特征庫文件的存儲位置與當前工作路徑不一致,且在相同存儲介質上 |
filename |
需要先執行cd命令將工作路徑切換至特征庫文件所在目錄下 有關cd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理” |
|
特征庫文件的存儲位置與當前工作路徑不在相同存儲介質上 |
path/ filename |
需要先執行cd命令將工作路徑切換至特征庫文件所在存儲介質的根目錄下,再指定特征庫文件的相對路徑 有關cd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理” |
表1-2 FTP/TFTP升級時參數file-path取值說明表
|
升級場景 |
參數file-path取值 |
說明 |
|
特征庫文件存儲在開啟FTP服務的遠程服務器上 |
ftp://username:password@server/filename |
username為登錄FTP服務器的用戶名,password為登錄FTP服務器的密碼,server為FTP服務器的IP地址或主機名 當FTP的用戶名和密碼中使用了“:”、“@”和“/”三種特殊字符時,需要將這三種特殊字符替換為其對應的轉義字符。“:”、“@”和“/”三種特殊字符對應的轉義字符分別為“%3A或%3a”、“%40”和“%2F或%2f” |
|
特征庫文件存儲在開啟TFTP服務的遠程服務器上 |
tftp://server/filename |
server為TFTP服務器的IP地址或主機名 |
當采用FTP/TFTP方式升級特征庫時,如果指定的是服務器的主機名,則需要確保設備能通過靜態或動態域名解析方式獲得FTP/TFTP服務器的IP地址,並與之路由可達。否則設備升級特征庫會失敗。有關域名解析功能的詳細配置請參見“三層技術-IP業務配置指導”中的“域名解析”。
【舉例】
# 配置手動離線升級病毒特征庫,且采用TFTP方式,病毒特征庫文件的遠程路徑為tftp://192.168.0.10/av-1.0.2-en.dat。
<Sysname> system-view
[Sysname] anti-virus signature update tftp://192.168.0.10/av-1.0.2-en.dat
# 配置手動離線升級病毒特征庫,且采用FTP方式,病毒特征庫文件的遠程路徑為ftp://192.168.0.10/av-1.0.2-en.dat,用戶名為user:123,密碼為user@abc/123。
<Sysname> system-view
[Sysname] anti-virus signature update ftp://user%3A123:user%40abc%[email protected]/av-1.0.2-en.dat
# 配置手動離線升級病毒特征庫,且采用本地方式,病毒特征庫文件的本地路徑為cfa0:/av-1.0.23-en.dat,且當前工作路徑為cfa0:。
<Sysname> system-view
[Sysname] anti-virus signature update av-1.0.23-en.dat
# 配置手動離線升級病毒特征庫,且采用本地方式,病毒特征庫文件的本地路徑為cfa0:/dpi/av-1.0.23-en.dat,且當前工作路徑為cfa0:。
<Sysname> cd dpi
<Sysname> system-view
[Sysname] anti-virus signature update av-1.0.23-en.dat
# 配置手動離線升級病毒特征庫,且采用本地方式,病毒特征庫文件的本地路徑為cfb0:/dpi/av-1.0.23-en.dat,當前工作路徑為cfa0:。
<Sysname> cd cfb0:/
<Sysname> system-view
[Sysname] anti-virus signature update dpi/av-1.0.23-en.dat
description命令用來配置防病毒策略描述信息。
undo description命令用來恢複缺省情況。
【命令】
description text
undo description
【缺省情況】
不存在防病毒策略描述信息。
【視圖】
防病毒策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
text:防病毒策略的描述信息,為1~255個字符的字符串,可以包含空格,區分大小寫。
【使用指導】
描述信息便於管理員快速理解和識別本防病毒策略的作用,有利於後期維護。
【舉例】
# 配置防病毒策略abc的描述信息為"RD Department anti-virus policy"。
<Sysname> system-view
[Sysname] anti-virus policy abc
[Sysname-anti-virus-policy-abc] description "RD Department anti-virus policy"
display anti-virus signature命令用來顯示病毒特征信息。
【命令】
display anti-virus signature [ [ signature-id ] [ severity { critical | high | low | medium } ] ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
signature-id:表示病毒特征的ID號,取值範圍為1~4294967294。
severity:指定病毒特征攻擊的嚴重級別。
critical:表示嚴重級別最高。
high:表示嚴重級別比較高。
low:表示嚴重級別最低。
medium:表示嚴重級別中等。
【使用指導】
可以通過本命令來了解病毒特征的嚴重級別,便於更加合理的使用signature severity enable來使相應級別的病毒特征生效。
【舉例】
# 顯示所有病毒特征。
<Sysname> display anti-virus signature
Total count :9206 failed:0
Sig-ID Severity Virus Name
1 LOW Hoax.Win32.ArchSMS.pxm
2 LOW Trojan.Win32.Inject.acwr
3 LOW Virus.Win32.Alman.b
4 LOW Hoax.Win32.ArchSMS.ovq
5 LOW Hoax.Win32.ArchSMS.owa
6 LOW Trojan-PSW.Win32.Dybalom.dhc
7 LOW Trojan.Win32.Llac.has
8 LOW HackTool.Win32.Kiser.tk
9 LOW Trojan-Dropper.Win32.Pincher.hp
10 LOW Trojan.Win32.Agent.cccr
11 LOW Trojan.Win32.VkHost.lz
12 LOW Backdoor.MSIL.Agent.ju
13 LOW Backdoor.Win32.Bifrose.fqv
14 LOW Backdoor.Win32.Bifrose.fwg
15 LOW Backdoor.Win32.Bifrose.uw
---- More ----
表1-3 display anti-virus signature命令顯示信息描述表
|
字段 |
描述 |
|
Total count |
病毒特征的總數 |
|
Failed |
從病毒特征庫下發應用層檢測引擎失敗病毒特征的個數 |
|
Sig-ID |
病毒特征的編號 |
|
Severity |
病毒特征的攻擊嚴重級別屬性,從低到高分為四級:Low、Medium、High、Critical |
|
Virus Name |
病毒特征的名稱 |
display anti-virus signature information命令用來顯示病毒特征庫信息。
【命令】
display anti-virus signature information
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【舉例】
# 顯示病毒特征庫信息。
<Sysname> display anti-virus signature information
Anti-Virus signature library information:
Type SigVersion ReleaseTime Size
Current 1.0.9 Wed Apr 22 09:51:13 2015 976432
Last - - -
Factory 1.0.8 Fri Feb 06 05:48:40 2015 273248
表1-4 display anti-virus signature information命令顯示信息描述表
|
字段 |
描述 |
|
Type |
病毒特征庫版本,包括如下取值: · Current:當前版本 · Last:上一版本 · Factory:出廠版本 |
|
SigVersion |
病毒特征庫版本號 |
|
ReleaseTime |
病毒特征庫發布時間 |
|
Size |
病毒特征庫大小,單位是Bytes |
display anti-virus statistics命令用來顯示防病毒統計信息。
【命令】
display anti-virus statistics [ policy policy-name ] [ slot slot-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
policy policy-name:表示防病毒策略名稱,為1~63個字符的字符串,不區分大小寫。若不指定此參數,則顯示所有防病毒策略的統計信息。
slot slot-number:顯示指定成員設備上的防病毒統計信息。slot-number表示設備在IRF中的成員編號。若不指定該參數,則表示所有成員設備上的防病毒統計信息。
【舉例】
# 顯示防病毒策略aa的統計信息。
<Sysname> display anti-virus statistics policy aa
Slot 1:
Total Block: 0
Total Redirect: 0
Total Alert: 0
Type http ftp smtp pop3 imap
Block 0 0 0 0 0
Redirect 0 0 0 0 0
Alert+Permit 0 0 0 0 0
表1-5 display anti-virus statisic命令顯示信息描述表
|
字段 |
描述 |
|
Total Block |
執行阻斷動作的總數 |
|
Total Redirect |
執行重定向動作的總數 |
|
Total Alert |
執行告警動作的總數 |
|
Type |
動作類型,包括如下取值: · Block:表示阻斷報文並生成日誌。 · Redirect:表示將HTTP連接重定向到指定的URL並生成日誌。 · Alert+Permit:表示僅對報文進行告警,即允許報文通過並生成日誌。 |
|
http |
對HTTP協議類型數據處理的動作計數 |
|
ftp |
對FTP協議類型數據處理的動作計數 |
|
smtp |
對SMTP協議類型數據處理的動作計數 |
|
pop3 |
對POP3協議類型數據處理的動作計數 |
|
imap |
對IMAP協議類型數據處理的動作計數 |
exception application命令用來配置應用例外並為其指定處理動作。
undo exception application命令用來刪除指定的或所有的應用例外。
【命令】
exception application application-name action { alert | block | permit }
undo exception application { application-name | all }
【缺省情況】
不存在應用例外。
【視圖】
防病毒策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
application-name:例外應用的名稱。
action:指定例外應用的動作。
all:表示所有的應用例外。
alert:表示僅對病毒報文進行告警,即允許其通過並生成病毒日誌。
block:表示阻斷病毒報文並生成病毒日誌。
permit:表示允許病毒報文通過。
【使用指導】
缺省情況下,設備基於應用層協議的防病毒動作對符合病毒特征的報文進行處理。當需要對某應用層協議上承載的某一具體應用采取不同的動作時,可以將此應用設置為應用例外。例如,對HTTP協議進行允許通過處理,但是需要對HTTP協議上承載的遊戲類應用采取阻斷動作,這時就可以把所有遊戲類的應用設置為應用例外。
【舉例】
# 配置163Email應用為應用例外並為其指定處理動作為告警。
<Sysname> system-view
[Sysname] anti-virus policy abc
[Sysname-anti-virus-policy-abc] exception application 163Email action alert
exception signature命令用來配置病毒例外。
undo exception signature命令用來刪除指定的或所有的病毒例外。
【命令】
exception signature signature-id
undo exception signature { signature-id | all }
【缺省情況】
不存在病毒例外。
【視圖】
防病毒策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
signature-id:表示病毒特征的ID號,取值範圍為1~4294967294。
all:表示所有的病毒例外。
【使用指導】
如果發現某類檢測出病毒的報文被誤報時,可以通過執行此命令把該報文對應的病毒特征設置為病毒例外。當後續再有檢測出包含此病毒特征的報文通過時,設備將對其執行允許動作。
【舉例】
# 配置ID為95的病毒特征為病毒例外。
<Sysname> system-view
[Sysname] anti-virus policy abc
[Sysname-anti-virus-policy-abc] exception signature 95
【相關命令】
· display anti-virus signature
inspect命令用來配置病毒檢測的應用層協議類型。
undo inspect命令用來取消對指定協議的報文進行病毒檢測。
【命令】
inspect { ftp | http | imap | pop3 | smtp } [ direction { both | download | upload } ] [ action { alert | block | redirect } ]
undo inspect { ftp | http | imap | pop3 | smtp }
【缺省情況】
設備對FTP、HTTP和IMAP協議上傳和下載方向傳輸的報文均進行病毒檢測,對POP3協議下載方向傳輸的報文進行病毒檢測,對SMTP協議上傳方向傳輸的報文進行病毒檢測。設備對FTP、HTTP協議報文的動作為阻斷,對IMAP、SMTP和POP3協議報文的動作為告警。
【視圖】
防病毒策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ftp:表示FTP協議。
http:表示HTTP協議。
imap:表示IMAP協議。
pop3:表示POP3協議。
smtp:表示SMTP協議。
direction:表示對指定方向上的報文進行病毒檢測。
both:表示會話的上傳和下載方向。
download:表示會話的下載方向。
upload:表示會話的上傳方向。
action:指定對報文的處理動作。
alert:表示僅對病毒報文進行告警,即允許其通過並生成病毒日誌。
block:表示阻斷病毒報文並生成病毒日誌。
redirect:表示將攜帶病毒的HTTP連接重定向到指定的URL並生成病毒日誌,僅對上傳方向生效。
【使用指導】
配置此命令後,設備可根據報文的應用層協議類型和傳輸方向來對其進行病毒檢測,如果檢測到病毒,則對此報文執行指定的動作。
因為防病毒模塊所支持協議的連接請求均由客戶端發起,為了使連接可以成功建立並能對此連接上的報文進行病毒檢測,需要管理員在配置安全域間實例時確保客戶端所在的安全域為源安全域、服務器所在的安全域為目的安全域。
因為POP3協議隻有下載方向,SMTP協議隻支持上傳方向,所以對這兩種協議類型不支持配置方向屬性。
IMAP協議隻支持告警動作。
【舉例】
# 配置對基於HTTP協議且是下載方向上的報文進行檢測病毒,動作為告警。
<Sysname> system-view
[Sysname] anti-virus policy abc
[Sysname-anti-virus-policy-abc] inspect http direction download action alert
# 配置不對基於FTP協議的報文進行病毒檢測。
<Sysname> system-view
[Sysname] anti-virus policy abc
[Sysname-anti-virus-policy-abc] undo inspect ftp
signature severity enable命令用來配置有效病毒特征的最低嚴重級別。
undo signature severity enable命令用來恢複缺省情況。
【命令】
signature severity { critical | high | medium } enable
undo signature severity enable
【缺省情況】
所有嚴重級別的病毒特征都處於生效狀態。
【視圖】
防病毒策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
critical:表示嚴重級別最高。
high:表示嚴重級別比較高。
medium:表示嚴重級別中等。
【使用指導】
在僅需要對某類及其以上嚴重級別病毒進行防禦的應用需求中,可通過配置此功能來實現此種應用需求。配置此功能後防病毒策略中隻有指定的及其以上嚴重級別的病毒特征會生效。
【舉例】
# 配置僅使High及其以上嚴重級別的病毒特征生效。
<Sysname> system-view
[Sysname] anti-virus policy abc
[Sysname-anti-virus-policy-abc] signature severity high enable
update schedule命令用來配置定期自動在線升級病毒特征庫的時間。
undo update schedule命令用來恢複缺省情況。
【命令】
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
undo update schedule
【缺省情況】
設備在每天02:01:00至04:01:00之間自動在線升級病毒特征庫。
【視圖】
自動升級配置視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
daily:表示升級周期為每天。
weekly:表示以一周為周期,在指定一天進行自動升級。
fri:表示星期五。
mon:表示星期一。
sat:表示星期六。
sun:表示星期日。
thu:表示星期四。
tue:表示星期二。
wed:表示星期三。
start-time time:指定自動升級開始時間,time的格式為hh:mm:ss,取值範圍為00:00:00~23:59:59。
tingle minutes:指定抖動時間,即實際自動升級開始時間的偏差範圍,取值範圍為0~120,單位為分鍾。在start-time指定時間的前後各偏移抖動時間的一半作為自動升級的時間範圍,例如,指定自動升級的開始時間為01:00:00,抖動時間為60分鍾,則自動升級的時間範圍為00:30:00至01:30:00。
【舉例】
# 配置病毒特征庫的定期自動在線升級時間為每周一20:30:00,抖動時間為10分鍾。
<Sysname> system-view
[Sysname] anti-virus signature auto-update
[Sysname-anti-virus-autoupdate] update schedule weekly mon start-time 20:30:00 tingle 10
【相關命令】
· anti-virus signature auto-update
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
