国家 / 地区

04-DPI深度安全命令参考

06-防病毒命令

本章节下载  (215.41 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Command/Command_Manual/H3C_(V7)(E9345_E9536_E9602)_CR-6W400/04/201909/1228610_30005_0.htm

06-防病毒命令


1 防病毒

1.1  防病毒配置命令

1.1.1  anti-virus apply policy

anti-virus apply policy命令用来在DPI应用profile中引用防病毒策略。

undo anti-virus apply policy命令用来删除引用的防病毒策略。

【命令】

anti-virus apply policy policy-name mode { alert | protect }

undo anti-virus apply policy

【缺省情况】

DPI应用profile中未引用防病毒策略。

【视图】

DPI应用profile视图

【缺省用户角色】

network-admin

context-admin

【参数】

policy-name:表示防病毒策略名称,为1~63个字符的字符串,不区分大小写。

mode:表示防病毒策略的模式。

alert:告警模式,表示报文匹配上该防病毒策略中的特征后,仅可以生成日志,但其他动作均不生效。

protect:保护模式,表示报文匹配上该防病毒策略中的特征后,设备按照特征的动作对该报文进行处理。

【使用指导】

防病毒策略仅在被DPI应用profile引用后生效。一个DPI应用profile视图下只能引用一个防病毒策略。多次执行本命令,最后一次执行的命令生效。

【举例】

# 在名称为sec的DPI应用profile下引用防病毒策略abc。

<Sysname> system-view

[Sysname] app-profile sec

[Sysname-app-profile-sec] anti-virus apply policy abc mode protect

1.1.2  anti-virus cache min-time

anti-virus cache min-time命令用来配置防病毒缓存条目的最短保留时间。

undo anti-virus cache min-time命令用来恢复缺省情况。

【命令】

anti-virus cache min-time value

undo anti-virus cache min-time

【缺省情况】

防病毒缓存条目的最短保留时间为10分钟。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

value:指定防病毒缓存条目的最短保留时间,取值范围为10~720,单位为分钟。

【使用指导】

当设备需要进行云端查询时,若当前已缓存的MD5值条目达到配置的防病毒缓存条目的上限时,将进行如下处理:

·     若已缓存的最老的条目未超过最短保留时间,则不删除缓存的条目,不进行云端查询;

·     若已缓存的最老的条目已超过最短保留时间,则删除最老的条目以保存新条目,并进行云端查询。

但是,当用户修改防病毒缓存参数时,配置的MD5缓存条数小于当前已缓存的数目,设备将从防病毒缓存中删除最老的MD5缓存,即使该MD5缓存未达到最短保留时间,也将被删除。

【举例】

# 配置防病毒缓存的最短保留时间为36分钟。

<Sysname> system-view

[Sysname] anti-virus cache min-time 36

【相关命令】

·     anti-virus cache size

1.1.3  anti-virus cache size

anti-virus cache size命令用来配置防病毒缓存条目的上限。

undo anti-virus cache size命令用来恢复缺省情况。

【命令】

anti-virus cache size cache-size

undo anti-virus cache size

【缺省情况】

防病毒缓存条目的上限为10万条。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

cache-size:指定防病毒缓存条目的上限,取值范围为100000~200000条。

【使用指导】

云端服务器返回的查询结果将被缓存在防病毒缓存中用于后续报文进行本地匹配,查询结果包含了MD5值并确认其是否为病毒。

当用户修改防病毒缓存参数时,配置的MD5缓存条数小于当前已缓存的数目,设备将从防病毒缓存中删除缓存时间最老的MD5缓存,即使该MD5缓存未达到最短保留时间,也将被删除。

【举例】

# 配置防病毒缓存条目的上限为200000条。

<Sysname> system-view

[Sysname] anti-virus cache size 200000

【相关命令】

·     anti-virus cache min-time

1.1.4  anti-virus policy

anti-virus policy命令用来创建防病毒策略,并进入防病毒策略视图。如果指定的防病毒策略已经存在,则直接进入防病毒策略视图。

undo anti-virus policy命令用来删除指定的防病毒策略。

【命令】

anti-virus policy policy-name

undo anti-virus policy policy-name

【缺省情况】

存在一个缺省防病毒策略,名称为default。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

policy-name:表示防病毒策略的名称,为1~63个字符的字符串,不区分大小写。

【使用指导】

缺省防病毒策略和自定义防病毒策略都使用当前系统中的所有病毒特征。

缺省防病毒策略不能被修改和删除。

【举例】

# 创建一个名称为abc的防病毒策略,并进入防病毒策略视图。

<Sysname> system-view

[Sysname] anti-virus policy abc

[Sysname-anti-virus-policy-abc]

1.1.5  anti-virus parameter-profile

anti-virus parameter-profile命令用来配置防病毒动作引用应用层检测引擎动作参数profile。

undo anti-virus parameter-profile命令用来取消配置防病毒动作引用应用层检测引擎动作参数profile。

【命令】

anti-virus { email | logging | redirect } parameter-profile profile-name

undo anti-virus { email | logging | redirect } parameter-profile

【缺省情况】

防病毒动作未引用应用层检测引擎动作参数profile。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

email:表示设置防病毒邮件动作的参数。

logging:表示设置防病毒日志动作的参数。

redirect:表示设置防病毒重定向动作的参数。

parameter-profile parameter-name:表示防病毒动作引用的应用层检测引擎动作参数profile。parameter-name表示动作参数profile的名称,为1~63个字符的字符串,不区分大小写。

【使用指导】

防病毒动作的具体执行参数(例如,邮件服务器的地址、输出日志的方式和对报文重定向的URL)由应用层检测引擎各动作参数profile来定义,可通过引用各动作参数proflle为防病毒动作提供执行参数。有关应用层检测引擎动作参数proflle的具体配置请参见“DPI深度安全配置指导”中的“应用层检测引擎”。

如果防病毒动作没有引用应用层检测引擎动作参数profile,或者引用的动作参数profile不存在,则使用系统中各动作参数的缺省值。

【举例】

# 创建名称为av1的应用层检测引擎邮件动作参数profile,配置登录邮件服务器的明文密码为abc123。

<Sysname> system-view

[Sysname] inspect email parameter-profile av1

[Sysname-inspect-email-av1] password simple abc123

[Sysname-inspect-logging-av1] quit

# 配置防病毒邮件动作引用名称为av1的应用层检查引擎邮件动作参数profile。

[Sysname] anti-virus email parameter-profile av1

【相关命令】

·     inspect email parameter-profile(DPI深度安全命令参考/应用层检测引擎)

·     inspect logging parameter-profile(DPI深度安全命令参考/应用层检测引擎)

·     inspect redirect parameter-profile(DPI深度安全命令参考/应用层检测引擎)

1.1.6  anti-virus signature auto-update

anti-virus signature auto-update命令用来开启定期自动在线升级病毒特征库功能,并进入自动升级配置视图。

undo anti-virus signature auto-update命令用来关闭定期自动在线升级病毒特征库功能。

【命令】

anti-virus signature auto-update

undo anti-virus signature auto-update

【缺省情况】

定期自动在线升级病毒特征库功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

如果设备可以访问H3C官方网站,可以采用定期自动在线升级方式来对设备上的病毒特征库进行升级。

【举例】

# 开启定期自动在线升级病毒特征库功能,并进入自动升级配置视图。

<Sysname> system-view

[Sysname] anti-virus signature auto-update

[Sysname-anti-virus-autoupdate]

【相关命令】

·     update schedule

1.1.7  anti-virus signature auto-update-now

anti-virus signature auto-update-now命令用来立即自动在线升级病毒特征库。

【命令】

anti-virus signature auto-update-now

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

执行此命令后,将立即自动升级设备上的病毒特征库,且会备份当前的病毒特征库文件。此命令的生效与否,与是否开启了定期自动升级病毒特征库功能无关。

当管理员发现H3C官方网站上的特征库服务专区中的病毒特征库有更新时,可以选择立即自动在线升级方式来及时升级病毒特征库版本。

【举例】

# 立即自动在线升级病毒特征库版本。

<Sysname> system-view

[Sysname] anti-virus signature auto-update-now

1.1.8  anti-virus signature rollback

anti-virus signature rollback命令用来回滚病毒特征库。

【命令】

anti-virus signature rollback { factory | last }

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

factory:表示病毒特征库的出厂版本。

last:表示病毒特征库的上一版本。

【使用指导】

如果管理员发现设备当前病毒特征库版本在检测和防御网络攻击时,误报率较高或出现异常情况,则可以对当前病毒特征库版本进行回滚。目前支持将设备中的病毒特征库版本回滚到出厂版本和上一版本。

病毒特征库版本每次回滚前,设备都会备份当前版本。多次回滚上一版本的操作将会在当前版本和上一版本之间反复切换。例如,当前病毒特征库版本是V2,上一版本是V1。第一次执行回滚到上一版本的操作后,特征库替换成V1版本,再执行回滚上一版本的操作则特征库重新变为V2版本。

【举例】

# 配置病毒特征库回滚到上一版本。

<Sysname> system-view

[Sysname] anti-virus signature rollback last

1.1.9  anti-virus signature update

anti-virus signature update命令用来手动离线升级病毒特征库。

【命令】

anti-virus signature update file-path

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

file-path:指定病毒特征库文件的路径,为1~255个字符的字符串。

【使用指导】

如果设备不能访问H3C官方网站上的特征库服务专区,管理员可以采用如下几种方式手动离线升级病毒特征库版本。

·     本地升级:使用本地保存的特征库文件升级系统上的病毒特征库版本。

·     FTP/TFTP升级:通过FTP或TFTP方式下载远程服务器上保存的特征库文件,并升级系统上的病毒特征库版本。

使用本地升级方式离线升级特征库版本时,特征库文件只能存储在当前主用设备上,否则设备升级特征库会失败。

参数file-path的取值与手动离线升级的操作方式有关。本地升级时参数file-path取值请参见表1-1;FTP/TFTP升级时参数file-path取值请参见表1-2

表1-1 本地升级时参数file-path取值说明表

升级场景

参数file-path取值

说明

特征库文件的存储位置与当前工作路径一致

filename

可以执行pwd命令查看当前工作路径

有关pwd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理”

特征库文件的存储位置与当前工作路径不一致,且在相同存储介质上

filename

需要先执行cd命令将工作路径切换至特征库文件所在目录下

有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理”

特征库文件的存储位置与当前工作路径不在相同存储介质上

path/ filename

需要先执行cd命令将工作路径切换至特征库文件所在存储介质的根目录下,再指定特征库文件的相对路径

有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理”

 

表1-2 FTP/TFTP升级时参数file-path取值说明表

升级场景

参数file-path取值

说明

特征库文件存储在开启FTP服务的远程服务器上

ftp://username:password@server/filename

username为登录FTP服务器的用户名,password为登录FTP服务器的密码,server为FTP服务器的IP地址或主机名

当FTP的用户名和密码中使用了“:”、“@”和“/”三种特殊字符时,需要将这三种特殊字符替换为其对应的转义字符。“:”、“@”和“/”三种特殊字符对应的转义字符分别为“%3A或%3a”、“%40”和“%2F或%2f”

特征库文件存储在开启TFTP服务的远程服务器上

tftp://server/filename

server为TFTP服务器的IP地址或主机名

 

说明

当采用FTP/TFTP方式升级特征库时,如果指定的是服务器的主机名,则需要确保设备能通过静态或动态域名解析方式获得FTP/TFTP服务器的IP地址,并与之路由可达。否则设备升级特征库会失败。有关域名解析功能的详细配置请参见“三层技术-IP业务配置指导”中的“域名解析”。

 

【举例】

# 配置手动离线升级病毒特征库,且采用TFTP方式,病毒特征库文件的远程路径为tftp://192.168.0.10/av-1.0.2-en.dat。

<Sysname> system-view

[Sysname] anti-virus signature update tftp://192.168.0.10/av-1.0.2-en.dat

# 配置手动离线升级病毒特征库,且采用FTP方式,病毒特征库文件的远程路径为ftp://192.168.0.10/av-1.0.2-en.dat,用户名为user:123,密码为user@abc/123。

<Sysname> system-view

[Sysname] anti-virus signature update ftp://user%3A123:user%40abc%2F123@192.168.0.10/av-1.0.2-en.dat

# 配置手动离线升级病毒特征库,且采用本地方式,病毒特征库文件的本地路径为cfa0:/av-1.0.23-en.dat,且当前工作路径为cfa0:。

<Sysname> system-view

[Sysname] anti-virus signature update av-1.0.23-en.dat

# 配置手动离线升级病毒特征库,且采用本地方式,病毒特征库文件的本地路径为cfa0:/dpi/av-1.0.23-en.dat,且当前工作路径为cfa0:。

<Sysname> cd dpi

<Sysname> system-view

[Sysname] anti-virus signature update av-1.0.23-en.dat

# 配置手动离线升级病毒特征库,且采用本地方式,病毒特征库文件的本地路径为cfb0:/dpi/av-1.0.23-en.dat,当前工作路径为cfa0:。

<Sysname> cd cfb0:/

<Sysname> system-view

[Sysname] anti-virus signature update dpi/av-1.0.23-en.dat

1.1.10  cloud-query enable

cloud-query enable命令用来开启防病毒MD5值云端查询功能。

undo cloud-query enable命令用来关闭防病毒MD5值云端查询功能。

【命令】

cloud-query enable

undo cloud-query enable

【缺省情况】

防病毒MD5值云端查询功能处于关闭状态。

【视图】

防病毒策略视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

开启防病毒MD5值云端查询功能后,如果流经设备传输的文件的MD5值与特征库中的MD5规则匹配失败,设备会将文件的MD5值发往云端服务器进行查询。云端服务器响应该请求,并向设备发送查询结果,该结果中包含了MD5值并确认其是否为病毒,设备根据该结果执行相应的处理动作。

【举例】

# 在名为news的防病毒策略中,开启防病毒云端查询功能。

<Sysname> system-view

[Sysname] anti-virus policy news

[Sysname-anti-virus-policy-news] cloud-query enable

1.1.11  description

description命令用来配置防病毒策略描述信息。

undo description命令用来恢复缺省情况。

【命令】

description text

undo description

【缺省情况】

未配置防病毒策略描述信息。

【视图】

防病毒策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

text:防病毒策略的描述信息,为1~255个字符的字符串,可以包含空格,区分大小写。

【使用指导】

描述信息便于管理员快速理解和识别本防病毒策略的作用,有利于后期维护。

【举例】

# 配置防病毒策略abc的描述信息为"RD Department anti-virus policy"。

<Sysname> system-view

[Sysname] anti-virus policy abc

[Sysname-anti-virus-policy-abc] description "RD Department anti-virus policy"

1.1.12  display anti-virus cache

display anti-virus cache命令用来显示防病毒缓存中的信息。

【命令】

display anti-virus cache [ slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

slot slot-number:显示指定成员设备上的防病毒缓存中的信息。slot-number表示设备在IRF中的成员编号。若不指定该参数,则表示所有成员设备。

【使用指导】

本命令仅在开启云端查询功能后生效。

当设备无法通过病毒特征和MD5规则识别出病毒时,会将未识别出的MD5值发往云端服务器进行查询,并将查询结果缓存到防病毒缓存中。

可通过本命令查看防病毒缓存的信息以及云端查询功能相关信息。其中,防病毒缓存包含命中列表和非命中列表。命中列表表示查询成功的病毒列表,非命中列表表示云端未查询到该MD5值,或查询结果为非病毒的列表。

【举例】

# 显示防病毒缓存中的信息。

<Sysname> display anti-virus cache

Slot 1:

Anti-virus cache information:

 Cloud-query state: Disabled

 Total cached non-hit entries: 0

 Total cached hit entries: 0

 Non-hit list min update interval: 0 seconds

 Non-hit list max update interval: 0 seconds

 Hit list min update interval: 0 seconds

 Hit list max update interval: 0 seconds

 Last query message sent: 0 seconds ago

 Last query result received: 0 seconds ago

表1-3 display anti-virus cache命令显示信息描述表

字段

描述

Anti-virus cache information

防病毒缓存信息

Cloud-query state

云端查询功能状态,取值包括:

·     Enabled:表示云端查询功能处于开启状态

·     Disabled:表示云端查询功能处于关闭状态

Total cached non-hit entries

非命中列表中节点的总数目

Total cached hit entries

命中列表中节点的总数目

Non-hit list min update interval

非命中列表表项中,距离上一次刷新时间最短的时间间隔,单位为秒

Non-hit list max update interval

非命中列表表项中,距离上一次刷新时间最长的时间间隔,单位为秒

Hit list min update interval

命中列表表项中,距离上一次刷新时间最短的时间间隔,单位为秒

Hit list max update interval

命中列表表项中,距离上一次刷新时间最长的时间间隔,单位为秒

Last query message sent

最近一次发送查询消息的时间与当前时间的间隔,单位为秒

Last query result received

最近一次接收到查询返回的结果的时间与当前时间的间隔,单位为秒

 

【相关命令】

·     cloud-query enable

1.1.13  display anti-virus signature

display anti-virus signature命令用来显示病毒特征信息。

【命令】

display anti-virus signature [ [ signature-id ] [ severity { critical | high | low | medium } ] ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

signature-id:表示病毒特征的ID号,取值范围为1~4294967294。若不指定该参数,则显示病毒特征的总数。

severity:指定病毒特征攻击的严重级别。

critical:表示严重级别最高。

high:表示严重级别比较高。

low:表示严重级别最低。

medium:表示严重级别中等。

【使用指导】

可以通过本命令了解病毒特征的严重级别,便于更加合理的使用signature severity enable来使相应级别的病毒特征生效。

【举例】

# 显示编号为10000001的病毒特征信息。

<Sysname> display anti-virus signature 10000001

Signature ID: 10000001

Name        : Trojan [Downloader].VBS.Agent

Severity    : Medium

表1-4 display anti-virus signature命令显示信息描述表

字段

描述

Signature ID

病毒特征编号

Name

病毒特征的名称或家族名称

Severity

病毒特征的攻击严重级别属性,取值包括:

·     Low

·     Medium

·     High

·     Critical

 

# 显示病毒特征总数。

<Sysname> display anti-virus signature

 Total count:9206

 failed:0

表1-5 display anti-virus signature命令显示信息描述表

字段

描述

Total count

病毒特征的总数

Failed

从病毒特征库下发应用层检测引擎失败病毒特征的个数

 

1.1.14  display anti-virus signature family-info

display anti-virus signature family-info命令用来显示病毒特征家族信息。

【命令】

display anti-virus signature family-info

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【使用指导】

可以通过本命令帮助用户了解防病毒特征库中包含的病毒特征家族信息。

【举例】

# 显示病毒特征家族信息。

<Sysname> display anti-virus signature family-info

 Total count: 6373

 Family ID  Family name

 1          Virus.Win32.Virut.ce

 2          Trojan.Win32.SGeneric

 3          Virus.Win32.Nimnul.a

 4          Virus.Win32.Virlock.j

表1-6 display anti-virus signature family-info命令显示信息描述表

字段

描述

Total count

病毒特征家族的总数

Family ID

病毒特征家族的编号

Family name

病毒特征家族的名称

 

1.1.15  display anti-virus signature library

display anti-virus signature library命令用来显示病毒特征库信息。

【命令】

display anti-virus signature library

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【举例】

# 显示病毒特征库信息。

<Sysname> display anti-virus signature library

Anti-Virus signature library information:

Type      SigVersion         ReleaseTime               Size

Current   1.0.9              Wed Apr 22 09:51:13 2015  976432

Last      -                  -                         -

Factory   1.0.0              Fri Dec 31 16:00:00 1999  20016

表1-7 display anti-virus signature library命令显示信息描述表

字段

描述

Type

病毒特征库版本,包括如下取值:

·     Current:当前版本

·     Last:上一版本

·     Factory:出厂版本

SigVersion

病毒特征库版本号

ReleaseTime

病毒特征库发布时间

Size

病毒特征库大小,单位是Bytes

 

1.1.16  display anti-virus statistics

display anti-virus statistics命令用来显示防病毒统计信息。

【命令】

display anti-virus statistics [ policy policy-name ] [ slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

policy policy-name:表示防病毒策略名称,为1~63个字符的字符串,不区分大小写。若不指定此参数,则显示所有防病毒策略的统计信息。

slot slot-number:显示指定成员设备上的防病毒统计信息。slot-number表示设备在IRF中的成员编号。若不指定该参数,则表示所有成员设备上的防病毒统计信息。

【举例】

# 显示指定slot上的防病毒统计信息。

<Sysname> display anti-virus statistics slot 4 cpu 1

CPU 1 on slot 4:

Total Block:    0

Total Redirect: 0

Total Alert:    0

Type           http      ftp       smtp      pop3      imap

Block           0         0         0         0         0

Redirect        0         0         0         0         0

Alert+Permit    0         0         0         0         0

表1-8 display anti-virus statisic命令显示信息描述表

字段

描述

Total Block

执行阻断动作的总数

Total Redirect

执行重定向动作的总数

Total Alert

执行告警动作的总数

Type

动作类型,包括如下取值:

·     Block:表示阻断报文并生成日志。

·     Redirect:表示将HTTP连接重定向到指定的URL并生成日志。

·     Alert+Permit:表示仅对报文进行告警,即允许报文通过并生成日志。

http

对HTTP协议类型数据处理的动作计数

ftp

对FTP协议类型数据处理的动作计数

smtp

对SMTP协议类型数据处理的动作计数

pop3

对POP3协议类型数据处理的动作计数

imap

对IMAP协议类型数据处理的动作计数

 

1.1.17  exception application

exception application命令用来配置应用例外并为其指定处理动作。

undo exception application命令用来删除指定的或所有的应用例外。

【命令】

exception application application-name action { alert | block | permit }

undo exception application { application-name | all }

【缺省情况】

不存在应用例外。

【视图】

防病毒策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

application-name:例外应用的名称。

action:指定例外应用的动作。

all:表示所有的应用例外。

alert:表示仅对病毒报文进行告警,即允许其通过并生成病毒日志。

block:表示阻断病毒报文并生成病毒日志。

permit:表示允许病毒报文通过。

【使用指导】

缺省情况下,设备基于应用层协议的防病毒动作对符合病毒特征的报文进行处理。当需要对某应用层协议上承载的某一具体应用采取不同的动作时,可以将此应用设置为应用例外。例如,对HTTP协议进行允许通过处理,但是需要对HTTP协议上承载的游戏类应用采取阻断动作,这时就可以把所有游戏类的应用设置为应用例外。

【举例】

# 配置163Email应用为应用例外并为其指定处理动作为告警。

<Sysname> system-view

[Sysname] anti-virus policy abc

[Sysname-anti-virus-policy-abc] exception application 163Email action alert

1.1.18  exception md5

exception md5命令用来配置例外MD5值。

undo exception md5命令用来删除例外MD5值。

【命令】

exception md5 md5-value

undo exception md5 { md5-value | all }

【缺省情况】

不存在例外MD5值。

【视图】

防病毒策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

md5-value:表示例外MD5值。

all:表示所有的例外MD5值。

【使用指导】

如果发现某类检测出病毒的报文被误报时,用户可以通过查看防病毒日志获取MD5值并执行此命令把该报文对应的MD5值设置为例外。当后续再有检测出符合该MD5值的报文通过时,设备将对其执行允许动作。

【举例】

# 在名为abc的防病毒策略中,配置例外MD5值为2b9c5137769b613f0ea11bd51c324afc。

<Sysname> system-view

[Sysname] anti-virus policy abc

[Sysname-anti-virus-policy-abc] exception md5 2b9c5137769b613f0ea11bd51c324afc

1.1.19  exception signature

exception signature命令用来配置病毒例外。

undo exception signature命令用来删除指定的或所有的病毒例外。

【命令】

exception signature signature-id

undo exception signature { signature-id | all }

【缺省情况】

不存在病毒例外。

【视图】

防病毒策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

signature-id:表示病毒特征的ID号,取值范围为1~4294967294。

all:表示所有的病毒例外。

【使用指导】

如果发现某类检测出病毒的报文被误报时,可以通过执行此命令把该报文对应的病毒特征设置为病毒例外。当后续再有检测出包含此病毒特征的报文通过时,设备将对其执行允许动作。

【举例】

# 配置ID为101000的病毒特征为病毒例外。

<Sysname> system-view

[Sysname] anti-virus policy abc

[Sysname-anti-virus-policy-abc] exception signature 101000

【相关命令】

·     display anti-virus signature

1.1.20  inspect

inspect命令用来配置病毒检测的应用层协议类型。

undo inspect命令用来取消对指定协议的报文进行病毒检测。

【命令】

inspect { ftp | http | imap | nfs | pop3 | smb | smtp } [ direction { both | download | upload } ] [ action { alert | block | redirect } ]

undo inspect { ftp | http | imap | nfs | pop3 | smb | smtp }

【缺省情况】

设备对FTP、HTTP、SMB、NFS和IMAP协议上传和下载方向传输的报文均进行病毒检测,对POP3协议下载方向传输的报文进行病毒检测,对SMTP协议上传方向传输的报文进行病毒检测。设备对FTP、HTTP、NFS和SMB协议报文的动作为阻断,对IMAP、SMTP和POP3协议报文的动作为告警。

【视图】

防病毒策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

ftp:表示FTP协议。

http:表示HTTP协议。

imap:表示IMAP协议。

nfs:表示NFS协议。

pop3:表示POP3协议。

smb:表示SMB协议。

smtp:表示SMTP协议。

direction:表示对指定方向上的报文进行病毒检测。

both:表示会话的上传和下载方向。

download:表示会话的下载方向。

upload:表示会话的上传方向。

action:指定对报文的处理动作。

alert:表示仅对病毒报文进行告警,即允许其通过并生成病毒日志。

block:表示阻断病毒报文并生成病毒日志。

redirect:表示将携带病毒的HTTP连接重定向到指定的URL并生成病毒日志,仅对上传方向生效。

【使用指导】

配置此命令后,设备可根据报文的应用层协议类型和传输方向来对其进行病毒检测,如果检测到病毒,则对此报文执行指定的动作。

因为防病毒模块所支持协议的连接请求均由客户端发起,为了使连接可以成功建立并能对此连接上的报文进行病毒检测,需要管理员在配置安全策略或安全域间实例时确保客户端所在的安全域为源安全域、服务器所在的安全域为目的安全域。

因为POP3协议只有下载方向,SMTP协议只支持上传方向,所以对这两种协议类型不支持配置方向属性。

IMAP协议只支持告警动作。

NFS协议仅支持NFSv3版本;SMB协议支持SMBv1和SMBv2版本。

【举例】

# 配置对基于HTTP协议且是下载方向上的报文进行检测病毒,动作为告警。

<Sysname> system-view

[Sysname] anti-virus policy abc

[Sysname-anti-virus-policy-abc] inspect http direction download action alert

# 配置不对基于FTP协议的报文进行病毒检测。

<Sysname> system-view

[Sysname] anti-virus policy abc

[Sysname-anti-virus-policy-abc] undo inspect ftp

1.1.21  signature severity enable

signature severity enable命令用来配置有效病毒特征的最低严重级别。

undo signature severity enable命令用来恢复缺省情况。

【命令】

signature severity { critical | high | medium } enable

undo signature severity enable

【缺省情况】

所有严重级别的病毒特征都处于生效状态。

【视图】

防病毒策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

critical:表示严重级别最高。

high:表示严重级别比较高。

medium:表示严重级别中等。

【使用指导】

在仅需要对某类及其以上严重级别病毒进行防御的应用需求中,可通过配置此功能来实现此需求。配置此功能后防病毒策略中只有指定的及其以上严重级别的病毒特征会生效。

【举例】

# 配置仅使High及其以上严重级别的病毒特征生效。

<Sysname> system-view

[Sysname] anti-virus policy abc

[Sysname-anti-virus-policy-abc] signature severity high enable

1.1.22  update schedule

update schedule命令用来配置定期自动在线升级病毒特征库的时间。

undo update schedule命令用来恢复缺省情况。

【命令】

update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes

undo update schedule

【缺省情况】

设备在每天02:01:00至04:01:00之间自动在线升级病毒特征库。

【视图】

自动升级配置视图

【缺省用户角色】

network-admin

context-admin

【参数】

daily:表示升级周期为每天。

weekly:表示以一周为周期,在指定一天进行自动升级。

fri:表示星期五。

mon:表示星期一。

sat:表示星期六。

sun:表示星期日。

thu:表示星期四。

tue:表示星期二。

wed:表示星期三。

start-time time:指定自动升级开始时间,time的格式为hh:mm:ss,取值范围为00:00:00~23:59:59。

tingle minutes:指定抖动时间,即实际自动升级开始时间的偏差范围,取值范围为0~120,单位为分钟。在start-time指定时间的前后各偏移抖动时间的一半作为自动升级的时间范围,例如,指定自动升级的开始时间为01:00:00,抖动时间为60分钟,则自动升级的时间范围为00:30:00至01:30:00。

【举例】

# 配置病毒特征库的定期自动在线升级时间为每周一20:30:00,抖动时间为10分钟。

<Sysname> system-view

[Sysname] anti-virus signature auto-update

[Sysname-anti-virus-autoupdate] update schedule weekly mon start-time 20:30:00 tingle 10

【相关命令】

·     anti-virus signature auto-update

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!