- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
07-防病毒
本章節下載: 07-防病毒 (428.28 KB)
本幫助主要介紹以下內容:
· 特性簡介
○ 應用場景
○ 基本概念
○ 防病毒檢測方式
○ 雲端查詢
· 配置指南
○ 配置雲端服務器
防病毒功能是一種通過對報文應用層信息進行檢測來識別和處理病毒報文的安全機製。防病毒功能憑借龐大且不斷更新的病毒特征庫可有效保護網絡安全,防止病毒在網絡中的傳播。將具有防病毒功能的設備部署在企業網入口,可以將病毒隔離在企業網之外,為企業內網的數據安全提供堅固的防禦。
如圖-1所示,在如下應用場景中,隔離內網和外網的網關設備上需要部署防病毒配置文件來保證內部網絡安全:
· 內網用戶需要訪問外網資源,且經常需要從外網下載各種應用數據。
· 內網的服務器需要經常接收外網用戶上傳的數據。
當在設備上部署防病毒配置文件後,正常的用戶數據可以進入內部網絡,攜帶病毒的報文會被檢測出來,並被采取阻斷、重定向或生成告警信息等動作。
病毒特征是設備上定義的用於識別應用層信息中是否攜帶病毒的字符串,由係統中的病毒特征庫預定義。
MD5規則是設備上定義的用於識別傳輸文件是否攜帶病毒的檢測規則,由係統中的病毒特征庫預定義。
缺省情況下,設備對所有匹配病毒特征的報文均進行防病毒動作處理。但是,當管理員認為已檢測到的某個病毒為誤報時,可以將該病毒特征設置為病毒例外,之後攜帶此病毒特征的報文經過時,設備將對此報文執行允許動作。
缺省情況下,設備基於應用層協議的防病毒動作對符合病毒特征的報文進行處理。當需要對某應用層協議上承載的某一具體應用采取不同的動作時,可以將此應用設置為應用例外。例如,對HTTP協議采取的動作是允許,但是需要對HTTP協議上承載的遊戲類應用采取阻斷動作,這時就可以把所有遊戲類的應用均設置為應用例外。
如果發現某類檢測出病毒的報文被誤報時,用戶可以通過查看威脅日誌獲取病毒的MD5值,並將該MD5值設置為例外。當後續再有檢測出符合該MD5值的報文通過時,設備將對其執行允許動作。
防病毒動作是指對符合病毒特征的報文做出的處理,包括如下幾種類型:
· 告警:允許病毒報文通過,同時生成病毒日誌。
· 阻斷:禁止病毒報文通過,同時生成病毒日誌。
· 重定向:將攜帶病毒的HTTP連接重定向到指定的URL,同時生成病毒日誌。
· 允許:允許病毒報文通過。
設備支持使用以下方式進行防病毒檢測:
· 病毒特征匹配:設備將報文與特征庫中的病毒特征進行匹配,如果匹配成功,則表示該報文攜帶病毒。
· MD5值匹配:設備首先對待檢測文件進行MD5哈希運算,再將計算出的MD5值與特征庫中的MD5規則進行匹配,如果匹配成功,則表示該文件攜帶病毒。
在防病毒配置文件中開啟防病毒MD5值雲端查詢功能後,當設備無法識別出病毒時,會將未識別出的文件的MD5值發往雲端服務器進行查詢。雲端服務器響應該請求,並向設備發送查詢結果,該結果中包含了MD5值並確認其是否為病毒,設備根據該結果執行相應的處理動作。如果雲端未查詢到該MD5值,或查詢結果為非病毒,則設備將放行此報文。
設備上部署防病毒配置文件後,對接收到的用戶數據報文處理流程如圖-2所示:
防病毒處理的整體流程如下:
1. 如果報文匹配了某個安全策略,且此策略的動作是允許並引用了防病毒配置文件,則設備將繼續識別此報文的應用層協議。
2. 設備對應用層協議進行識別,判斷協議是否為防病毒功能所支持,如果支持,則進行下一步處理;否則直接允許報文通過,不對其進行防病毒檢測。
3. 設備對報文進行病毒檢測,將報文同時與特征庫中的病毒特征和MD5規則進行匹配,任意一種匹配成功,則認為該報文攜帶病毒,並進行下一步處理;如果二者均匹配失敗,則判斷是否匹配MD5值例外,如果符合,則允許報文通過;如果不符合,則上送到雲端服務器檢測(即進入步驟(6)處理);如果未開啟雲端查詢功能或雲端服務器不可用,則對該報文執行允許動作。
4. 如果報文符合病毒例外,則對此報文執行允許動作,否則繼續進行下一步處理。
5. 如果報文符合應用例外,則執行應用例外的防病毒動作(告警、阻斷和允許),否則執行報文所屬應用層協議的防病毒動作(告警、阻斷和重定向)。
6. 如果雲端服務器檢測到病毒,則判斷是否符合應用例外。如果報文符合應用例外,則執行應用例外的動作(告警、阻斷和允許);如果不符合,則執行報文所屬應用層協議的防病毒動作(告警、阻斷和重定向)。
· 配置文件變更後(包括新建、編輯和刪除),需要激活才能生效。如需立即激活,請單擊<提交>按鈕。否則,設備默認40秒後自動激活。激活會暫時中斷DPI業務的處理,可能導致其他基於DPI功能的業務同時出現中斷。例如,安全策略無法對應用進行訪問控製等。
· 執行“提交”操作後,界麵上會提示設置成功,但是配置文件此時可能尚未完成激活,如果此時報文經過設備,可能會出現暫時無法識別的情況。
· 防病毒功能需要購買並正確安裝License才能使用。License過期後,防病毒功能可以采用設備中已有的病毒特征庫正常工作,但無法升級特征庫且雲端查詢功能以及聯動沙箱阻斷功能無法使用。關於License的詳細介紹請參見“License配置聯機幫助”。
· 雲端查詢功能僅支持HTTP、IMAP、NFS(僅支持read操作)、POP3和SMTP協議。
· 配置防病毒告警信息模板後,入侵防禦功能對HTTP協議報文的抓包動作將失效。
· 本功能的支持情況與設備型號有關,請以設備實際情況為準。
防病毒功能的配置思路如下圖所示:
圖-3 防病毒功能配置指導圖
設備上存在一個名稱為default的防病毒配置文件,不可對其進行修改和刪除操作。管理員可以根據實際需求新建自定義的防病毒配置文件。
因為防病毒模塊所支持協議的連接請求均由客戶端發起,為了使連接可以成功建立並能對此連接上的報文進行病毒檢測,需要管理員在配置安全策略時確保客戶端所在的安全域為源安全域、服務器所在的安全域為目的安全域。
1. 選擇“對象 > 應用安全 > 防病毒 > 配置文件”。
2. 在“防病毒配置文件”頁麵單擊<新建>按鈕,進入“新建防病毒配置文件”頁麵。
3. 新建防病毒配置文件,具體配置內容如下:
表-1 防病毒配置文件配置
|
參數 |
說明 |
|
名稱 |
防病毒配置文件的名稱 |
|
描述 |
通過合理編寫描述信息,便於管理員快速理解和識別防病毒配置文件的作用,有利於後期維護 |
|
開啟雲端查詢功能 |
開啟此功能後,當設備無法識別出病毒時,會將未識別出的文件的MD5值發往雲端服務器進行查詢 |
|
告警信息模板 |
配置本模板後,當設備檢測出病毒時,支持向客戶端返回告警信息 此功能僅在配置HTTP協議的上傳或下載方向的動作為阻斷時支持 可在新建或引用告警信息模板後,單擊右側的<配置>按鈕,導入告警信息 告警信息僅支持以TXT和HTML類型文件的方式導入 開啟本功能後,入侵防禦功能對HTTP協議報文的抓包動作將失效 本功能的支持情況與設備型號有關,請以設備實際情況為準 |
|
上傳 |
對HTTP、FTP、SMTP、NFS、SMB和IMAP協議上傳方向的報文進行病毒檢測。其中,SMTP協議隻支持上傳方向 |
|
下載 |
對HTTP、FTP、POP3、NFS、SMB和IMAP協議下載方向的報文進行病毒檢測。其中,POP3協議隻支持下載方向 |
|
動作 |
設備可根據報文的應用層協議類型和傳輸方向來對其進行病毒檢測,如果檢測到病毒,則對此報文執行此處指定的動作。動作包括:告警、阻斷、重定向。IMAP協議隻支持告警動作 |
|
緩存文件上限 |
表示緩存的待檢測文件大小 僅當配置HTTP協議的上傳或下載方向的動作為阻斷時支持 |
|
應用例外 |
缺省情況下,設備基於應用層協議的防病毒動作對符合病毒特征的報文進行處理。當需要對某應用層協議上承載的某一具體應用采取不同的動作時,可以將此應用設置為應用例外。例如,對HTTP協議進行允許通過處理,但是需要對HTTP協議上承載的遊戲類應用采取阻斷動作,這時就可以把所有遊戲類的應用設置為應用例外 |
|
病毒例外 |
如果發現某類檢測出病毒的報文被誤報時,可以通過執行此命令把該報文對應的病毒特征設置為病毒例外。當後續再有檢測出包含此病毒特征的報文通過時,設備將對其執行允許動作 |
|
MD5值例外 |
如果發現某類檢測出病毒的報文被誤報時,用戶可以通過查看威脅日誌獲取病毒的MD5值,並將該MD5值設置為例外。當後續再有檢測出符合該MD5值的報文通過時,設備將對其執行允許動作 |
4. 單擊<確定>按鈕,新建防病毒配置文件成功,且會在“防病毒配置文件”頁麵中顯示。
5. 在安全策略的內容安全配置中引用此防病毒配置文件,有關安全策略的詳細配置介紹請參見“安全策略聯機幫助”。
6. 新建配置文件後,需要激活才能生效。如需立即激活,請單擊<提交>按鈕。否則,設備默認40秒後自動激活。
雲端服務器的具體配置步驟如下:
1. 選擇“對象 > 應用安全 > 防病毒 > 配置文件”。
2. 在“配置文件”頁麵單擊<配置>按鈕,進入“配置雲端服務器”頁麵。
3. 雲端服務器的具體配置內容如下:
表-2 雲端服務器配置內容
|
參數 |
說明 |
|
服務器地址 |
雲端服務器的地址,支持輸入IP地址或者域名。目前,僅支持配置我司雲端服務器 |
|
緩存MD5條數 |
設備會將雲端服務器返回的查詢結果緩存在防病毒緩存中,緩存中分為命中列表和非命中列表: · 非命中列表:表示該MD5值不屬於病毒或不確定是否屬於病毒 · 命中列表:表示該MD5值屬於病毒 本參數用於配置兩個列表中分別可以緩存的MD5條數 |
|
緩存最短保留時間 |
本參數用於配置MD5緩存的最短保留時長,未達到最短保留時間的MD5緩存不會被刪除 當配置的MD5緩存條數小於當前已緩存的數目時,設備將從防病毒緩存中刪除最老的MD5緩存,即使該MD5緩存未達到最短保留時間,也將被刪除 |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
