07-防病毒
本章节下载: 07-防病毒 (428.28 KB)
本帮助主要介绍以下内容:
· 特性简介
○ 应用场景
○ 基本概念
○ 防病毒检测方式
○ 云端查询
· 配置指南
○ 配置云端服务器
防病毒功能是一种通过对报文应用层信息进行检测来识别和处理病毒报文的安全机制。防病毒功能凭借庞大且不断更新的病毒特征库可有效保护网络安全,防止病毒在网络中的传播。将具有防病毒功能的设备部署在企业网入口,可以将病毒隔离在企业网之外,为企业内网的数据安全提供坚固的防御。
如图-1所示,在如下应用场景中,隔离内网和外网的网关设备上需要部署防病毒配置文件来保证内部网络安全:
· 内网用户需要访问外网资源,且经常需要从外网下载各种应用数据。
· 内网的服务器需要经常接收外网用户上传的数据。
当在设备上部署防病毒配置文件后,正常的用户数据可以进入内部网络,携带病毒的报文会被检测出来,并被采取阻断、重定向或生成告警信息等动作。
病毒特征是设备上定义的用于识别应用层信息中是否携带病毒的字符串,由系统中的病毒特征库预定义。
MD5规则是设备上定义的用于识别传输文件是否携带病毒的检测规则,由系统中的病毒特征库预定义。
缺省情况下,设备对所有匹配病毒特征的报文均进行防病毒动作处理。但是,当管理员认为已检测到的某个病毒为误报时,可以将该病毒特征设置为病毒例外,之后携带此病毒特征的报文经过时,设备将对此报文执行允许动作。
缺省情况下,设备基于应用层协议的防病毒动作对符合病毒特征的报文进行处理。当需要对某应用层协议上承载的某一具体应用采取不同的动作时,可以将此应用设置为应用例外。例如,对HTTP协议采取的动作是允许,但是需要对HTTP协议上承载的游戏类应用采取阻断动作,这时就可以把所有游戏类的应用均设置为应用例外。
如果发现某类检测出病毒的报文被误报时,用户可以通过查看威胁日志获取病毒的MD5值,并将该MD5值设置为例外。当后续再有检测出符合该MD5值的报文通过时,设备将对其执行允许动作。
防病毒动作是指对符合病毒特征的报文做出的处理,包括如下几种类型:
· 告警:允许病毒报文通过,同时生成病毒日志。
· 阻断:禁止病毒报文通过,同时生成病毒日志。
· 重定向:将携带病毒的HTTP连接重定向到指定的URL,同时生成病毒日志。
· 允许:允许病毒报文通过。
设备支持使用以下方式进行防病毒检测:
· 病毒特征匹配:设备将报文与特征库中的病毒特征进行匹配,如果匹配成功,则表示该报文携带病毒。
· MD5值匹配:设备首先对待检测文件进行MD5哈希运算,再将计算出的MD5值与特征库中的MD5规则进行匹配,如果匹配成功,则表示该文件携带病毒。
在防病毒配置文件中开启防病毒MD5值云端查询功能后,当设备无法识别出病毒时,会将未识别出的文件的MD5值发往云端服务器进行查询。云端服务器响应该请求,并向设备发送查询结果,该结果中包含了MD5值并确认其是否为病毒,设备根据该结果执行相应的处理动作。如果云端未查询到该MD5值,或查询结果为非病毒,则设备将放行此报文。
设备上部署防病毒配置文件后,对接收到的用户数据报文处理流程如图-2所示:
防病毒处理的整体流程如下:
1. 如果报文匹配了某个安全策略,且此策略的动作是允许并引用了防病毒配置文件,则设备将继续识别此报文的应用层协议。
2. 设备对应用层协议进行识别,判断协议是否为防病毒功能所支持,如果支持,则进行下一步处理;否则直接允许报文通过,不对其进行防病毒检测。
3. 设备对报文进行病毒检测,将报文同时与特征库中的病毒特征和MD5规则进行匹配,任意一种匹配成功,则认为该报文携带病毒,并进行下一步处理;如果二者均匹配失败,则判断是否匹配MD5值例外,如果符合,则允许报文通过;如果不符合,则上送到云端服务器检测(即进入步骤(6)处理);如果未开启云端查询功能或云端服务器不可用,则对该报文执行允许动作。
4. 如果报文符合病毒例外,则对此报文执行允许动作,否则继续进行下一步处理。
5. 如果报文符合应用例外,则执行应用例外的防病毒动作(告警、阻断和允许),否则执行报文所属应用层协议的防病毒动作(告警、阻断和重定向)。
6. 如果云端服务器检测到病毒,则判断是否符合应用例外。如果报文符合应用例外,则执行应用例外的动作(告警、阻断和允许);如果不符合,则执行报文所属应用层协议的防病毒动作(告警、阻断和重定向)。
· 配置文件变更后(包括新建、编辑和删除),需要激活才能生效。如需立即激活,请单击<提交>按钮。否则,设备默认40秒后自动激活。激活会暂时中断DPI业务的处理,可能导致其他基于DPI功能的业务同时出现中断。例如,安全策略无法对应用进行访问控制等。
· 执行“提交”操作后,界面上会提示设置成功,但是配置文件此时可能尚未完成激活,如果此时报文经过设备,可能会出现暂时无法识别的情况。
· 防病毒功能需要购买并正确安装License才能使用。License过期后,防病毒功能可以采用设备中已有的病毒特征库正常工作,但无法升级特征库且云端查询功能以及联动沙箱阻断功能无法使用。关于License的详细介绍请参见“License配置联机帮助”。
· 云端查询功能仅支持HTTP、IMAP、NFS(仅支持read操作)、POP3和SMTP协议。
· 配置防病毒告警信息模板后,入侵防御功能对HTTP协议报文的抓包动作将失效。
· 本功能的支持情况与设备型号有关,请以设备实际情况为准。
防病毒功能的配置思路如下图所示:
图-3 防病毒功能配置指导图
设备上存在一个名称为default的防病毒配置文件,不可对其进行修改和删除操作。管理员可以根据实际需求新建自定义的防病毒配置文件。
因为防病毒模块所支持协议的连接请求均由客户端发起,为了使连接可以成功建立并能对此连接上的报文进行病毒检测,需要管理员在配置安全策略时确保客户端所在的安全域为源安全域、服务器所在的安全域为目的安全域。
1. 选择“对象 > 应用安全 > 防病毒 > 配置文件”。
2. 在“防病毒配置文件”页面单击<新建>按钮,进入“新建防病毒配置文件”页面。
3. 新建防病毒配置文件,具体配置内容如下:
表-1 防病毒配置文件配置
参数 |
说明 |
名称 |
防病毒配置文件的名称 |
描述 |
通过合理编写描述信息,便于管理员快速理解和识别防病毒配置文件的作用,有利于后期维护 |
开启云端查询功能 |
开启此功能后,当设备无法识别出病毒时,会将未识别出的文件的MD5值发往云端服务器进行查询 |
告警信息模板 |
配置本模板后,当设备检测出病毒时,支持向客户端返回告警信息 此功能仅在配置HTTP协议的上传或下载方向的动作为阻断时支持 可在新建或引用告警信息模板后,单击右侧的<配置>按钮,导入告警信息 告警信息仅支持以TXT和HTML类型文件的方式导入 开启本功能后,入侵防御功能对HTTP协议报文的抓包动作将失效 本功能的支持情况与设备型号有关,请以设备实际情况为准 |
上传 |
对HTTP、FTP、SMTP、NFS、SMB和IMAP协议上传方向的报文进行病毒检测。其中,SMTP协议只支持上传方向 |
下载 |
对HTTP、FTP、POP3、NFS、SMB和IMAP协议下载方向的报文进行病毒检测。其中,POP3协议只支持下载方向 |
动作 |
设备可根据报文的应用层协议类型和传输方向来对其进行病毒检测,如果检测到病毒,则对此报文执行此处指定的动作。动作包括:告警、阻断、重定向。IMAP协议只支持告警动作 |
缓存文件上限 |
表示缓存的待检测文件大小 仅当配置HTTP协议的上传或下载方向的动作为阻断时支持 |
应用例外 |
缺省情况下,设备基于应用层协议的防病毒动作对符合病毒特征的报文进行处理。当需要对某应用层协议上承载的某一具体应用采取不同的动作时,可以将此应用设置为应用例外。例如,对HTTP协议进行允许通过处理,但是需要对HTTP协议上承载的游戏类应用采取阻断动作,这时就可以把所有游戏类的应用设置为应用例外 |
病毒例外 |
如果发现某类检测出病毒的报文被误报时,可以通过执行此命令把该报文对应的病毒特征设置为病毒例外。当后续再有检测出包含此病毒特征的报文通过时,设备将对其执行允许动作 |
MD5值例外 |
如果发现某类检测出病毒的报文被误报时,用户可以通过查看威胁日志获取病毒的MD5值,并将该MD5值设置为例外。当后续再有检测出符合该MD5值的报文通过时,设备将对其执行允许动作 |
4. 单击<确定>按钮,新建防病毒配置文件成功,且会在“防病毒配置文件”页面中显示。
5. 在安全策略的内容安全配置中引用此防病毒配置文件,有关安全策略的详细配置介绍请参见“安全策略联机帮助”。
6. 新建配置文件后,需要激活才能生效。如需立即激活,请单击<提交>按钮。否则,设备默认40秒后自动激活。
云端服务器的具体配置步骤如下:
1. 选择“对象 > 应用安全 > 防病毒 > 配置文件”。
2. 在“配置文件”页面单击<配置>按钮,进入“配置云端服务器”页面。
3. 云端服务器的具体配置内容如下:
表-2 云端服务器配置内容
参数 |
说明 |
服务器地址 |
云端服务器的地址,支持输入IP地址或者域名。目前,仅支持配置我司云端服务器 |
缓存MD5条数 |
设备会将云端服务器返回的查询结果缓存在防病毒缓存中,缓存中分为命中列表和非命中列表: · 非命中列表:表示该MD5值不属于病毒或不确定是否属于病毒 · 命中列表:表示该MD5值属于病毒 本参数用于配置两个列表中分别可以缓存的MD5条数 |
缓存最短保留时间 |
本参数用于配置MD5缓存的最短保留时长,未达到最短保留时间的MD5缓存不会被删除 当配置的MD5缓存条数小于当前已缓存的数目时,设备将从防病毒缓存中删除最老的MD5缓存,即使该MD5缓存未达到最短保留时间,也将被删除 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!