- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
08-防病毒配置
本章节下载: 08-防病毒配置 (337.08 KB)
防病毒功能是一种通过对报文应用层信息进行检测来识别和处理病毒报文的安全机制。防病毒功能凭借庞大且不断更新的病毒特征库可有效保护网络安全,防止病毒在网络中的传播。将具有防病毒功能的设备部署在企业网入口,可以将病毒隔离在企业网之外,为企业内网的数据安全提供坚固的防御。
如图1-1所示,在如下应用场景中,隔离内网和外网的网关设备上需要部署防病毒策略来保证内部网络安全:
· 内网用户需要访问外网资源,且经常需要从外网下载各种应用数据。
· 内网的服务器需要经常接收外网用户上传的数据。
当在设备上部署防病毒策略后,正常的用户数据可以进入内部网络,携带病毒的报文会被检测出来,并被采取阻断、重定向或生成告警信息等动作。
病毒特征是设备上定义的用于识别应用层信息中是否携带病毒的字符串,由系统中的病毒特征库预定义。
MD5规则是设备上定义的用于识别传输文件是否携带病毒的检测规则,由系统中的病毒特征库预定义。
缺省情况下,设备对所有匹配病毒特征的报文均进行防病毒动作处理。但是,当管理员认为已检测到的某个病毒为误报时,可以将该病毒特征设置为病毒例外,之后携带此病毒特征的报文经过时,设备将对此报文执行允许动作。
缺省情况下,设备基于应用层协议中指定的动作对符合病毒特征的报文进行处理。
当需要对某一具体应用采取的动作与其所属应用层协议的动作不同时,可以将此应用设置为应用例外。例如,对HTTP协议采取的动作是允许,但是需要对HTTP协议上承载的游戏类应用采取阻断动作,这时就可以把所有游戏类的应用均设置为应用例外。
防病毒动作是指对符合病毒特征的报文做出的处理,包括如下几种类型:
· 告警:允许病毒报文通过,同时生成病毒日志。
· 阻断:禁止病毒报文通过,同时生成病毒日志。
· 重定向:将携带病毒的HTTP连接重定向到指定的URL,同时生成病毒日志。仅对上传方向有效。
其中,病毒日志支持输出到信息中心或以邮件的方式发送到指定的收件人邮箱。
设备支持使用以下方式进行防病毒检测:
· 病毒特征匹配:设备将报文与特征库中的病毒特征进行匹配,如果匹配成功,则表示该报文携带病毒。
· MD5值匹配:设备首先对待检测文件进行MD5哈希运算,再将计算出的MD5值与特征库中的MD5规则进行匹配,如果匹配成功,则表示该文件携带病毒。
设备上部署防病毒策略后,对接收到的用户数据报文处理流程如图1-2所示:
防病毒功能是通过在DPI应用profile中引用防病毒策略,并在安全策略中引用DPI应用profile实现的,防病毒处理的整体流程如下:
(1) 设备对应用层协议进行识别,判断协议是否为防病毒功能所支持,如果支持,则进行下一步处理;否则直接允许报文通过,不对其进行防病毒检测。
(2) 设备对报文进行病毒检测,将报文同时与特征库中的病毒特征和MD5规则进行匹配,任意一种匹配成功,则认为该报文携带病毒,并进行下一步处理;如果二者均匹配失败,则放行报文。
(3) 如果报文符合病毒例外,则对此报文执行允许动作,否则继续进行下一步处理。
(4) 如果报文符合应用例外,则执行应用例外的防病毒动作(告警、阻断和允许),否则执行报文所属应用层协议的防病毒动作(告警、阻断和重定向)。
病毒特征库是用来对经过设备的报文进行病毒检测的资源库。随着互联网中病毒的不断变化和发展,需要及时升级设备中的病毒特征库,同时设备也支持病毒特征库回滚功能。
病毒特征库的升级包括如下几种方式:
· 定期自动在线升级:设备根据管理员设置的时间定期自动更新本地的病毒特征库。
· 立即自动在线升级:管理员手工触发设备立即更新本地的病毒特征库。
· 手动离线升级:当设备无法自动获取病毒特征库时,需要管理员先手动获取最新的病毒特征库,再更新设备本地的病毒特征库。
如果管理员发现设备当前的病毒特征库对报文进行病毒检测的误报率较高或出现异常情况,可以将其回滚到出厂版本或上一版本。
防病毒功能支持对基于FTP、HTTP、HTTPS、IMAP、IMAPS、NFS、POP3、POP3S、SMB、SMTP和SMTPS协议传输的报文进行防病毒检测。
防病毒配置任务如下:
(5) 配置防病毒策略
(6) 配置防病毒动作引用应用层检测引擎动作参数profile
(8) (可选)激活防病毒策略和规则配置
(10) 配置病毒特征库升级和回滚
在防病毒策略中可以配置防病毒的检测条件、对病毒报文的处理动作、病毒例外和应用例外等。
设备上的所有防病毒策略均使用当前系统中的病毒特征库对用户数据进行病毒检测和处理。
当设备检测出病毒后,支持向客户端发送告警信息。告警信息的具体内容由应用层检测引擎告警动作参数profile来定义,可通过引用该动作参数profile为告警信息提供显示内容。有关应用层检测引擎动作参数profile的具体配置请参见“DPI深度安全配置指导”中的“应用层检测引擎”。
NFS协议仅支持NFSv3版本;SMB协议支持SMBv1和SMBv2版本。
防病毒日志支持如下两种方式输出。
· 快速日志:此方式生成的日志信息直接发送到管理员指定的日志主机。
· 系统日志:此方式生成的日志信息将发送到信息中心,由信息中心决定日志的输出方向。本业务产生的系统日志不支持输出到控制台和监视终端。如需快速获取日志信息,可通过执行display logbuffer命令进行查看。
系统日志会对设备性能产生影响,建议采用快速日志方式。
有关display logbuffer命令的详细介绍,请参见“设备管理命令参考”中的“信息中心”;有关快速日志的详细介绍,请参见“网络管理和监控配置指导”中的“快速日志输出”。
(1) 进入系统视图。
system-view
(2) 创建防病毒策略,并进入防病毒策略视图。
anti-virus policy policy-name
缺省情况下,存在一个缺省防病毒策略,名称为default,且其不能被修改和删除。
(3) (可选)配置防病毒策略描述信息。
description text
(4) 配置病毒检测的应用层协议类型。
inspect { ftp | http | imap | nfs | pop3 | smb | smtp } direction { both | download | upload } [ cache-file-size file-size ] action { alert | block | redirect }
缺省情况下,设备对FTP、HTTP、IMAP、NFS和SMB协议在上传和下载方向传输的报文均进行病毒检测,对POP3协议在下载方向传输的报文进行病毒检测,对SMTP协议在上传方向传输的报文进行病毒检测。设备对FTP、HTTP、NFS和SMB协议报文的动作为阻断,对IMAP、SMTP和POP3协议报文的动作为告警,支持缓存的检测文件大小上限为1MB。因为POP3协议只有下载方向,SMTP协议只支持上传方向,所以对这两种协议类型不支持配置方向属性。
(5) (可选)开启发送告警信息功能,并引用告警动作参数profile。
warning parameter-profile profile-name
缺省情况下,未引用告警动作参数profile,设备不支持向客户端发送告警信息。
发送告警信息功能仅在病毒检测的应用层协议类型为HTTP,且动作为block时生效。
(6) (可选)配置病毒例外。
exception signature signature-id
(7) (可选)配置应用例外并为其指定处理动作。
exception application application-name action { alert | block | permit }
(8) 配置有效病毒特征的最低严重级别。
signature severity { critical | high | medium } enable
缺省情况下,所有严重级别的病毒特征都处于生效状态。
防病毒动作的具体执行参数(例如,邮件服务器的地址、输出日志的方式和对报文重定向的URL)由应用层检测引擎各动作参数profile来定义,可通过引用各动作参数proflle为防病毒动作提供执行参数。应用层检测引擎动作参数proflle的具体配置请参见“DPI深度安全配置指导”中的“应用层检测引擎”。
如果防病毒动作没有引用应用层检测引擎动作参数profile,或者引用的动作参数profile不存在,则使用系统中各动作参数的缺省值。
(9) 进入系统视图。
system-view
(10) 配置防病毒动作引用应用层检测引擎动作参数profile。
anti-virus { email | logging | redirect } parameter-profile profile-name
缺省情况下,防病毒动作未引用应用层检测引擎动作参数profile。
DPI应用profile是一个安全业务的配置模板,为实现防病毒功能,必须在DPI应用profile中引用指定的防病毒策略。一个DPI应用profile中只能引用一个防病毒策略,如果重复配置,则新的配置会覆盖已有配置。
(11) 进入系统视图。
system-view
(12) 进入DPI应用profile视图。
app-profile profile-name
关于该命令的详细介绍请参见“DPI深度安全命令参考”中的“应用层检测引擎”。
(13) 在DPI应用profile中引用防病毒策略。
anti-virus apply policy policy-name mode { alert | protect }
缺省情况下,DPI应用profile中未引用防病毒策略。
缺省情况下,当防病毒业务发生配置变更时(即策略或规则被创建、修改和删除),系统将会检测在20秒的间隔时间内是否再次发生了配置变更,并根据判断结果执行如下操作:
· 如果间隔时间内未发生任何配置变更,则系统将在下一个间隔时间结束时(即40秒时)执行一次激活操作,使这些策略和规则的配置生效。
· 如果间隔时间内再次发生了配置变更,则系统将继续按照间隔时间周期性地检测是否发生配置变更。
如果用户希望对变更的配置立即进行激活,可执行inspect activate命令手工激活,使配置立即生效。
有关此功能的详细介绍请参见“DPI深度安全配置指导”中的“应用层检测引擎”。
(14) 进入系统视图。
system-view
(15) 激活防病毒策略和规则配置。
inspect activate
缺省情况下,防病毒策略和规则被创建、修改和删除后,系统会自动激活配置使其生效。
执行此命令会暂时中断DPI业务的处理,可能导致其他基于DPI功能的业务同时出现中断。例如,安全策略无法对应用进行访问控制等。
(16) 进入系统视图。
system-view
(17) 进入安全策略视图。
security-policy { ip | ipv6 }
(18) 进入安全策略规则视图。
rule { rule-id | [ rule-id ] name rule-name }
(19) 配置安全策略规则的动作为允许。
action pass
缺省情况下,安全策略规则动作是丢弃。
(20) 配置安全策略规则引用DPI应用profile。
profile app-profile-name
缺省情况下,安全策略规则中未引用DPI应用profile。
· 请勿删除设备存储介质根目录下的/dpi/文件夹,否则设备升级或回滚特征库会失败。
· 当系统内存使用状态处于告警门限状态时,请勿进行特征库升级或回滚,否则易造成设备特征库升级或回滚失败,进而影响防病毒的正常运行。有关内存告警门限状态的详细介绍请参见“设备管理配置指导”中的“设备管理”。
· 自动在线升级(包括定期自动在线升级和立即自动在线升级)防病毒特征库时,需要确保设备能通过静态或动态域名解析方式获得H3C官方网站的IP地址,并与之路由可达,否则设备升级防病毒特征库会失败。有关域名解析功能的配置请参见“网络互通配置指导”中的“域名解析”。
· 同一时刻只能对一个特征库进行升级,如果当前已有其他特征库正在升级,请稍后再试。
如果设备可以访问H3C官方网站,可以采用定期自动在线升级方式来对设备上的病毒特征库进行升级。
(21) 进入系统视图。
system-view
(22) 开启定期自动在线升级病毒特征库功能,并进入自动在线升级配置视图。
anti-virus signature auto-update
缺省情况下,定期自动在线升级病毒特征库功能处于关闭状态。
(23) 配置定期自动在线升级病毒特征库的时间。
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
缺省情况下,设备在每天02:01:00至04:01:00之间自动升级病毒特征库。
当管理员发现H3C官方网站上的特征库服务专区中的病毒特征库有更新时,可以采用立即自动在线升级方式来及时升级病毒特征库版本。
(24) 进入系统视图。
system-view
(25) 立即自动在线升级病毒特征库。
anti-virus signature auto-update-now
如果设备不能访问H3C官方网站上的特征库服务专区,管理员可以采用如下几种方式手动离线升级病毒特征库版本。
· 本地升级:使用本地保存的特征库文件升级系统上的病毒特征库版本。
· FTP/TFTP升级:通过FTP或TFTP方式下载远程服务器上保存的特征库文件,并升级系统上的病毒特征库版本。
(26) 进入系统视图。
system-view
(27) 手动离线升级病毒特征库。
anti-virus signature update file-path
H3C官方网站上的特征库服务专区根据设备的内存大小以及软件版本为用户提供了不同的特征库。管理员需要根据设备实际情况获取相应的特征库,如果为小内存设备(8GB以下)升级了适用于大内存设备(8GB以上)的特征库,可能会导致设备异常,请谨慎操作。
病毒特征库版本每次回滚前,设备都会备份当前版本。多次回滚上一版本的操作将会在当前版本和上一版本之间反复切换。例如,当前病毒特征库版本是V2,上一版本是V1。第一次执行回滚到上一版本的操作后,特征库替换成V1版本,再执行回滚上一版本的操作则特征库重新变为V2版本。
(28) 进入系统视图。
system-view
(29) 回滚病毒特征库。
anti-virus signature rollback { factory | last }
完成上述配置后,在任意视图下执行display命令可以显示配置后防病毒的运行情况,通过查看显示信息验证配置的效果。
表1-1 防病毒显示和维护
|
操作 |
命令 |
|
显示病毒特征信息 |
display anti-virus signature [ [ signature-id ] | [ severity { critical | high | low | medium } ] ] |
|
显示病毒特征家族信息 |
display anti-virus signature family-info |
|
显示病毒特征库版本信息 |
display anti-virus signature library |
|
显示防病毒统计信息 |
display anti-virus statistics [ policy policy-name ] |
如图1-3所示,AC与外网相连。客户端需要通过Internet中的Web服务器和邮件服务器传输文件和邮件。现要求在AC上配置防病毒功能,对客户端下载的文件及传输的邮件进行防病毒检测和防御,保护客户端安全。
(30) 配置AC的接口
# 创建VLAN 100及其对应的VLAN接口,并为该接口配置IP地址。AP将获取该IP地址与AC建立CAPWAP隧道。
<AC> system-view
[AC] vlan 100
[AC-vlan100] quit
[AC] interface vlan-interface 100
[AC-Vlan-interface100] ip address 192.1.1.1 24
[AC-Vlan-interface100] quit
# 创建VLAN 200及其对应的VLAN接口,并为该接口配置IP地址。Client使用该VLAN接入无线网络。
[AC] vlan 200
[AC-vlan200] quit
[AC] interface vlan-interface 200
[AC-Vlan-interface200] ip address 192.2.1.1 24
[AC-Vlan-interface200] quit
# 配置AC和Switch相连的接口GigabitEthernet1/0/1为Trunk类型,允许VLAN 100和VLAN 200通过。
[AC] interface gigabitethernet 1/0/1
[AC-GigabitEthernet1/0/1] port link-type trunk
[AC-GigabitEthernet1/0/1] port trunk permit vlan 100 200
[AC-GigabitEthernet1/0/1] quit
(31) 配置无线服务
# 创建无线服务模板1,并进入无线服务模板视图。
[AC] wlan service-template 1
# 配置SSID为service。
[AC-wlan-st-1] ssid service
# 配置为集中式转发。
[AC-wlan-st-1] client forwarding-location ac
# 配置无线客户端上线后加入到VLAN 200。
[AC-wlan-st-1] vlan 200
# 使能无线服务模板。
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
(32) 配置AP
# 创建手工AP,名称为ap1,型号为WA6320。
[AC] wlan ap ap1 model WA6320
# 设置AP序列号为219801A28N819CE0002T。
[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
# 进入AP的Radio 1视图,并将无线服务模板1绑定到Radio 1上。
[AC-wlan-ap-ap1] radio 1
[AC-wlan-ap-ap1-radio-1] service-template 1
# 开启Radio 1的射频功能。
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] quit
# 进入AP的Radio 2视图,并将无线服务模板1绑定到Radio 2上。
[AC-wlan-ap-ap1] radio 2
[AC-wlan-ap-ap1-radio-2] service-template 1
# 开启Radio 2的射频功能。
[AC-wlan-ap-ap1-radio-2] radio enable
[AC-wlan-ap-ap1-radio-2] quit
[AC-wlan-ap-ap1] quit
(33) 配置对象组
# 创建名为antivirus的IP地址对象组,并定义其子网地址为192.2.1.0/24。
[AC] object-group ip address antivirus
[AC-obj-grp-ip-antivirus] network subnet 192.2.1.0 24
[AC-obj-grp-ip-antivirus] quit
(34) 配置防病毒策略
# 创建防病毒策略down_av,并进入防病毒策略视图。
[AC] anti-virus policy down_av
# 对FTP和SMB协议的下载方向进行病毒检测,并阻断病毒报文。
[AC-anti-virus-policy-down_av] inspect ftp direction download action block
[AC-anti-virus-policy-down_av] inspect smb direction download action block
# 对IMAP协议的下载方向进行病毒检测,只告警不阻断。
[AC-anti-virus-policy-down_av] inspect imap direction download action alert
# 配置“阿里巴巴”为应用例外,并配置例外动作为告警,发现病毒时只告警不阻断。
[AC-anti-virus-policy-down_av] exception application Alibaba action alert
[AC-anti-virus-policy-down_av] quit
(35) 在DPI应用profile中引用防病毒策略
# 创建名为sec的DPI应用profile,并进入DPI应用profile视图。
[AC] app-profile sec
# 在DPI应用profile sec中应用防病毒策略down_av,并指定该防病毒策略的模式为protect。
[AC-app-profile-sec] anti-virus apply policy down_av mode protect
[AC-app-profile-sec] quit
# 激活DPI各业务模块的策略和规则配置。
[AC] inspect activate
(36) 创建防病毒安全策略
# 进入IPv4安全策略视图
[AC] security-policy ip
# 创建名为av的安全策略规则,过滤条件为:源IP地址对象组antivirus、FTP服务、SMB服务、IMAP服务、指定AP、AP组和SSID。
[AC-security-policy-ip] rule name av
[AC-security-policy-ip-10-av] source-ip antivirus
[AC-security-policy-ip-10-av] service ftp
[AC-security-policy-ip-10-av] service smb
[AC-security-policy-ip-10-av] service imap
[AC-security-policy-ip-10-av] ap ap1
[AC-security-policy-ip-10-av] ap-group default-group
[AC-security-policy-ip-10-av] ssid service
# 配置动作为允许,且引用的DPI应用profile为sec。
[AC-security-policy-ip-10-av] action pass
[AC-security-policy-ip-10-av] profile sec
[AC-security-policy-ip-10-av] quit
# 激活安全策略的加速功能。
[AC-security-policy-ip] accelerate enhanced enable
[AC-security-policy-ip] quit
# 在AC上使用display anti-virus statistics命令可以看到防病毒统计信息。
[AC] display anti-virus statistics
Slot 1:
Total Block: 2
Total Redirect: 0
Total Alert: 1
Type http ftp smtp pop3 imap smb nfs
Block 0 1 0 0 0 1 0
Redirect 0 0 0 0 0 0 0
Alert+Permit 0 0 0 0 1 0 0
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
