H3C SecPath AVG2000系列防病毒网关 用户FAQ-5W101

手册下载

H3C SecPath AVG2000系列防病毒网关

用户FAQ

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2020技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。



用户FAQ

1.1  防病毒网关针对威胁处理的工作流程

图1 防病毒网关工作流程

图2 防病毒网关威胁处理流程

流量抵达防病毒网关硬件网卡后,硬件网卡将会对流量进行快速抓取功能,然后转向网关数据处理环节,对流量内所支持的协议进行解码,网关对支持的协议做应用层文件还原操作,还原后的文件将会被防病毒引擎进行查杀,利用特征库进行匹配,判断是否具有威胁,如为病毒文件,则进行后续处置动作,如为无害文件数据将继续进行传输。

1.2  防病毒网关恶意代码库更新频率、地址、库数量

·     防病毒网关及时更新恶意代码库可有效防御新型病毒,恶意代码库官网更新频率为1-2/天。

·     请确保防病毒网关在上线时“恶意代码库”为最新版本,位于“系统配置-更新下载”处。

·     防病毒网关部署环境如为互联网环境,网关将自动执行恶意代码库更新,更新频率为1-2/天,恶意代码库更新为增量更新。

·     防病毒网关部署环境如为互联网隔离环境,可通过恶意代码库离线升级包方式进行导入升级,恶意代码库更新为全量更新。恶意代码库离线升级包下载地址(需公网环境):https://avg1.h3c.com/update/amd.3/allinone.amd

·     查看恶意代码库特征数量,进入“系统配置-更新下载”,鼠标放置版本号处悬停2秒将会显示特征库数量“signatures xxx”(xxx为特征库数量)。如无法显示特征库数量,请做一次在线或离线更新即可正常显示。

图3 查看恶意代码库特征数量

1.3  防病毒网关恶意代码库更新失败信息

如防病毒网关为互联网在线更新模式,请确保防病毒网关管理IP、路由、DNS域名解析配置正确,请确保网关访问互联网的权限处于开放状态。

设备间的特征库升级路径,需要将升级域名和升级路进行替换。例如设备默认的升级路径为互联网升级路径,https://avg1.h3c.com/update/amd.3/ 变更为设备IPhttps://设备IP/update/amd/

注意URL最后的amd.3变更为amd

无法获取病毒库升级地址,在升级状态中,会显示ERR信息,以及获取文件失败的failed信息。可排查网关到升级地址的链路畅通性、DNS域名解析情况。

图4 升级信息—无法获取

 

There are no new amd ,表明当前系统恶意代码库版本与升级服务器端版本一致,无新的库更新。

图5 升级信息—无最新病毒库

当设备授权许可到期后,病毒库也将无法升级,出现license expire提示。

图6 升级信息-许可到期

图7 成功升级状态

恶意代码库成功升级后,将会显示百分比和successfully内容。

1.4  防病毒网关病毒引擎扫描超时和扫描尺寸是什么?

图8 监控过滤中病毒引擎默认参数

图片包含 屏幕截图

描述已自动生成

防病毒网关内置自主研发病毒引擎,针对病毒引擎可配置参数有两项,一个为扫描超时时间,一个为扫描最大尺寸。

扫描超时,主要是用于引擎对所传输数据的扫描查杀时间设定,超时时间越长,扫描力度越深,但同时也会对设备性能和网络传输速度带来一定影响。扫描超时默认参数为1,最大可输入值为151100毫秒,输入值110代表1001000毫秒,输入值1115代表15003500毫秒;

扫描最大尺寸,是指只针对这个文件前XX MB进行扫描,如果超过设定大小范围,将不做扫描。举例:网关扫描尺寸为1MB,所传输的病毒文件为10MB,病毒代码位于10MB文件末端,超过了1M扫描范围,网关则无法识别,需加大扫描尺寸10MB覆盖到文件末端病毒代码才可识别处置。扫描最大尺寸出厂默认参数为64MB,最大可输入值为1000MB,扫描尺寸数值越大对设备性能开销也将带来影响。

1.5  关于网络配置点击生效网络中断和网卡汇聚事宜说明。

防病毒网关涉及网络配置界面中的“通用”、“路由”页面的新增、修改、删除均需点击“生效”按钮,使其处于配置保存状态,当点击生效按钮后网卡将会重启,网络将会出现短暂中断(约3-5秒),无论接口形态是电口、光口、bypass口均会出现中断现象。

防病毒网关网卡汇聚模式支持静态LACP的三种模式:802.3AD、轮巡、均衡。不支持动态LACP模式。

图9 网卡汇聚支持模式

802.3AD-LACP模式,LACP协议报文参与活动接口的选择。也就是说,当把一组接口加入汇聚组,这些成员接口中哪些接口作为活动接口,哪些接口作为非活动接口还需要经过LACP 协议报文的协商确定。

均衡模式,链路聚合方式由手工来配置,没有链路聚合控制协议的参与。在链路汇聚的线路上,数据平均分配的各个链路,实现数据的负载均衡。

轮巡模式,链路聚合方式由手工来配置,没有链路聚合控制协议的参与。判断链路汇聚的的各个线路的数据量,哪条线路数据流量少,就用那条线路进行数据传输。

1.6  防病毒网关系统资源中的缓存与交换区作用?

图10 系统资源信息显示说明

图片包含 屏幕截图

描述已自动生成

防病毒网关在系统运行时会利用物理内存建立缓存机制,以保障系统处于高效、稳定的防御或监控状态,应对突发的流量或病毒攻击。物理内存的资源分配包含内存使用和缓存使用。

交换区即SWAP分区,是系统在物理内存不够时,将与交换区进行交换,提升系统资源,也意味着当交换区启用时,表明当前设备负载较高,系统I/O操作将会有影响,造成网关数据查询页面浏览变慢,甚至达到性能瓶颈。当设备负载降低后,交换区数值也会降低。

1.7  防病毒网关防护策略介绍

防病毒网关针对恶意代码威胁的防护策略主要分为两部分:协议层病毒文件过滤和恶意代码通讯威胁防御。

协议层病毒文件过滤,主要是针对通过协议进行传输的病毒文件,例如通过HTTP进行上传、下载的宏病毒文件、可执行病毒文件、包含病毒代码的压缩文件等。

过滤策略包括:报警、破坏、隔离、阻断、不过滤五种处理动作。

·     报警:即发现病毒文件,仅作日志告警,不做任何处置操作。日志字段体现为alert

·     破坏:对病毒文件体内的二进制病毒代码进行字符“V”替换(部分二进制查看工具浏览时,会因编码问题显示为“U”),达到对病毒文件的破坏效果,然后处置后的病毒文件还可继续传输。日志字段体现为destroy

图11 未被网关“破坏”的病毒原始文件代码

图12 被网关进行了“破坏”策略后的病毒文件代码

·     隔离:串行防御模式下的隔离策略是先对病毒文件进行一次默认的“破坏”处理,然后对病毒原始文件进行隔离存储。并行监听模式下的隔离策略是将病毒原始文件进行隔离存储,然后记录告警日志。日志字段体现为quarntn

·     阻断:即发现病毒文件,网关会阻断病毒文件传输连接。过滤策略为阻断情况下,病毒文件无法传输。日志字段体现为reject

·     不过滤:即发现病毒文件,网关也不做任何处置和日志记录。

恶意代码通讯威胁防御,主要是针对病毒已被激活且处于活动阶段、爆发阶段的恶意通讯防护,例如感染了勒索病毒的主机向其它主机发起缓冲区溢出攻击、SHELLCODE代码攻击、恶意外联等恶意网络行为。

过滤策略包括:告警、阻断。

·     报警:即发现恶意通讯,仅作日志告警,不做任何处置操作。日志字段体现为alertonline模式和inline模式均支持报警。

·     阻断:即发现恶意通讯,对此通讯请求进行网络层丢弃操作。日志字段体现为drop。仅inline模式支持阻断。

1.8  防病毒网关支持SNMPSYSLOGRadius协议

支持SNMP V2CV3协议版本,支持SYSLOG日志转发,可配置多个日志服务器IP,支持Radius协议。

1.9  防病毒网关网卡汇聚说明

防病毒网关的网卡汇聚目前仅支持静态的LACP 802.3ad模式、轮巡模式、均衡模式,暂不支持动态LACP模式。

图13 网卡汇聚模式截图

1.10  防病毒网关针对误报情况如何处置

防病毒网关恶意代码库及规则库在发布前会做详尽的测试与验证工作,因此特征匹配误报现象极为少见,如果出现“误报”现象,可将病毒样本提交与我方病毒研究小组,再次人工核查确认,如果确实为误报现象,我们会将误报特征从恶意代码库进行剔除。

在出现“误报”现象时,您可以通过网关以下几种方式进行应急处置。

·     恶意代码库版本回滚:支持最近3个恶意代码库版本的回滚操作。

·     白名单机制:支持协议层病毒过滤白名单、恶意通讯层威胁防护白名单、域名白名单机制。

1.11  防病毒网关自动阻断说明

防病毒网关支持恶意代码威胁的抑制阻断和自动黑名单,此功能作用主要是在网络层将恶意代码持续性攻击进行阻断,而无需进入防护引擎环节,以减少设备开销和性能。防病毒网关自动抑制及阻断参数主要包括:一般威胁、口令探测、认证连接和SMTP病毒。

图14 自动阻断参数

图片包含 屏幕截图

描述已自动生成

一般威胁:包括蠕虫、木马持续性攻击行为。

口令探测:针对具有认证机制的协议所发起的口令认探测、暴力破解行为。

认证连接:针对具有远程连接、远程操控行为的连接请求行为。

SMTP病毒:针对持续性邮件病毒附件攻击行为。

如要实现上述四类威胁的自动阻断,需在串行模式下将监控过滤策略网桥接口设定为inline模式,同时启用勾选上述威胁类型。

当威胁事件产生且攻击持续频率达到了阻断参数时,网关将会把攻击源IP地址进行抑制,放入到“当前被阻IP”列表内,并依据阻断时间进行抑制,时间到达后网关将会对抑制IP进行自动解封,如果解封后此IP仍继续产生威胁行为,将会自动进入“黑名单”列表。

在黑名单列表中,会显示IP地址和活跃时间、威胁类型信息。威胁类型中:tcp.threat表明是命中一般威胁;auth.rdpauth.ssh是命中认证连接;auth.httpauth.smbauth.ftpauth.imapauth.pop3auth.smtp是命中了口令探测;virus.smtp则是命中了SMTP病毒。

图15 自动阻断-当前被阻IP为攻击者IP

图片包含 屏幕截图

描述已自动生成

图16 自动阻断-当前服务器为当前受攻击的服务器和业务端口

图片包含 屏幕截图

描述已自动生成

图17 自动阻断-黑名单列表及命中的威胁类型

图片包含 屏幕截图

描述已自动生成

1.12  SMB协议病毒过滤漏传事宜说明

防病毒网关支持SMB协议病毒过滤双向过滤,目前支持V1V2V3版本。

V1版本主要应用在Windows XP\2003\2000操作系统端,V2V3主要应用在Windows 7\8\10\2008\2012\2016系统端。

目前防病毒网关对于SMB协议层病毒过滤支持较好的为v1版本,而smb V2\V3版本由于其复杂性和本地缓存等特点,因此会存在病毒文件无法每次有效破坏或阻断等处理动作,但可对病毒进行告警。在实际测试或应用中,如要实现每次SMB协议病毒有效拦截和过滤,可通过清除本地缓存连接方式进行操作。Windows CMD命令下清除本地SMB连接步骤如下,清除后SMB协议病毒过滤有效率将会有效提升。

图18 CMD 下查看本地已建立的网络共享连接:net use

图19 CMD下删除已建立的网络共享连接:net use 共享路径 /del

1.13  HTTP口令探测认证说明

防病毒网关支持对HTTP协议层的口令认证结果识别(成功success或失败fail),所支持的HTTP协议认证模式如下图所示,为浏览器弹出窗口模式,而非网页形态中的表单登录形态。

图20 支持的HTTP协议口令探测认证模式

通过上图所进行的认证结果,网关可对其认证结果进行评判,如下图日志。

图21 HTTP协议口令探测认证结果-失败

图22 HTTP协议口令探测认证结果-成功

1.14  防病毒网关浏览器兼容性说明

防病毒网关WEB界面管理,建议采用IE11或谷歌、火狐浏览器,需支持Flash控件,下载地址为:https://get.adobe.com/cn/flashplayer/。防病毒网关涉及Flash图例显示的页面有:状态信息—负载记录、日志分析—类型统计、IP统计、趋势分析。

谷歌浏览器默认对Flash控件为关闭或询问状态,您可通过以下操作对Flash控件进行放行。

图23 谷歌浏览器Flash控件启用步骤

1.15   链路中出现延迟、丢包、数据异常现象,如何排查与防病毒网关是否有关?

防病毒网关串行在链路中运行或上线后出现了延迟、丢包、业务中断异常等现象,防病毒网关排查方式

硬件排查:

·     物理连线排查,确认物理网线(光纤)无异常或更换操作。

·     指示灯排查,确认网口指示灯、电源风扇基础硬件处于正常状态。

软件排查:

·     查看首页面网络接口网卡状态、速率、是否有出错、丢弃包产生。

·     查看首页面系统当前负载情况,如果CPU、内存占比较高且交换区达到60%以上,表明当前设备所处压力较大,可能会成为链路瓶颈。

·     查看过滤日志确认是否有被策略所处置。主要查看自动阻断页面的当前被阻IP、黑名单和详细过滤日志。

快速排查:

当问题出现时需尽快定位问题所在,可通过以下两步进行快速定位。

·     第一步:关闭监控过滤策略、自动阻断策略,并删除自动阻断栏目中的“当前受阻IP”和“黑名单”,使防御策略和已阻断IP处于失效状态。

结果预判:

如果执行了策略关闭和阻断IP删除后,问题不再出现,网络和业务应用访问正常,则说明与策略有关并被网关进行了阻断,可通过查看详细日志进一步确认拦截信息。

如果执行了策略关闭和阻断IP删除后,问题依然存在,则与防病毒网关策略无关,可进入第二步BYPASS排查环节。

·     第二步:开启设备BYPASS,将以数据透传形式运行,此功能开启后意味着链路为直通状态。开启此功能前提条件是设备串联接口需支持BYPASS

结果预判:

如果开启了BYPASS后,问题不再出现,则表明可能与网关底层通讯有关,建议与研发人员进行沟通。

如果开启了BYPASS后,问题依然存在,则表明与网关无关,可能是其它原因造成。

1.16  防病毒网关风险分析报告和安全报告的差别。

防病毒网关支持风险分析报告生成和安全报告的生成。

安全报告是基于威胁类型已产生的数据进行统计排名,用以呈现数据趋势。

风险分析报告是基于已产生的数据,精确定位病毒传播源头、异常探测行为和失窃账户信息,为用户提供更为精准的威胁告警和风险预警。

风险分析报告的生成是基于病毒和口令探测两种威胁类型进行数据分析,风险分析并非是有了威胁数据后就可生成,是需符合风险分析计算模型和风险参数设定才能得出分析结果。

风险分析数据生成条件如下:

网关有产生“病毒”类型数据或有产生“口令探测”类型数据,同时符合下面的风险配置参数。

图24 风险参数配置

1.17  防病毒网关与防火墙、UTMIDS是否冲突?是否还需防病毒网关?

产品定位不同。防病毒网关是针对恶意代码威胁综合防御,涉及协议层、网络层、次生危害的多重防御产品,非病毒引擎模块化产品;产品专注度不同、工作原理不同、处理性能不同、内置病毒库数量不同等因素,会导致用户体验度的不同、防御效果不同。防毒墙为专机、专项恶意代码威胁防御产品,整机资源可全部应用于病毒防护层面,而防病毒模块化产品则只预留少部分资源进行病毒处理。

1.18  终端防病毒软件与防病毒网关是否冲突?

不冲突,两款产品定位、工作层面、防御特点均不相同,依据病毒威胁特点,两款产品同时应用可起到有效的互补,提升防御架构。边界防病毒网关可实现第一道关口防御,减轻内网终端病毒防护压力,提升网络内的威胁防御,对内网脆弱性主机(补丁不全、病毒库未更新、未安装、无法安装)进行第一道关卡防护。两者结合的优势及价值:技术层面病毒多层防御;管理层面结构完善、解决运维压力。

联系我们