- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
06-防病毒命令
本章节下载: 06-防病毒命令 (202.52 KB)
1.1.3 anti-virus redirect parameter-profile
1.1.4 anti-virus signature auto-update
1.1.5 anti-virus signature auto-update-now
1.1.6 anti-virus signature rollback
1.1.7 anti-virus signature update
1.1.9 display anti-virus signature
1.1.10 display anti-virus signature information
1.1.11 display anti-virus statistics
1.1.15 signature severity enable
对于本节命令中的CPU参数,仅T9006/T9010/T9014产品支持。
anti-virus apply policy命令用来在DPI应用profile中引用防病毒策略。
undo anti-virus apply policy命令用来删除引用的防病毒策略。
【命令】
anti-virus apply policy policy-name mode { alert | protect }
undo anti-virus apply policy
【缺省情况】
DPI应用profile中未引用防病毒策略。
【视图】
DPI应用profile视图
【缺省用户角色】
network-admin
context-admin
【参数】
policy-name:表示防病毒策略名称,为1~63个字符的字符串,不区分大小写。
mode:表示防病毒策略的模式。
alert:告警模式,表示报文匹配上该防病毒策略中的特征后,仅可以生成日志,但其他动作均不生效。
protect:保护模式,表示报文匹配上该防病毒策略中的特征后,设备按照特征的动作对该报文进行处理。
【使用指导】
一个DPI应用profile视图下只能引用一个防病毒策略。多次执行本命令,最后一次执行的命令生效。
【举例】
# 在名称为sec的DPI应用profile下引用防病毒策略abc。
<Sysname> system-view
[Sysname] app-profile sec
[Sysname-app-profile-sec] anti-virus apply policy abc mode protect
anti-virus policy命令用来创建防病毒策略,并进入防病毒策略视图。如果指定的防病毒策略已经存在,则直接进入防病毒策略视图。
undo anti-virus policy命令用来删除指定的防病毒策略。
【命令】
anti-virus policy policy-name
undo anti-virus policy policy-name
【缺省情况】
存在一个缺省防病毒策略,名称为default。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
policy-name:表示防病毒策略的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
缺省防病毒策略和自定义防病毒策略都使用当前系统中的所有病毒特征。
缺省防病毒策略不能被修改和删除。
【举例】
# 创建一个名称为abc的防病毒策略,并进入防病毒策略视图。
<Sysname> system-view
[Sysname] anti-virus policy abc
[Sysname-anti-virus-policy-abc]
anti-virus redirect parameter-profile命令用来配置防病毒引用的应用层检测引擎重定向动作参数profile。
undo anti-virus redirect parameter-profile命令用来取消防病毒引用的应用层检测引擎重定向动作参数profile。
【命令】
anti-virus redirect parameter-profile profile-name
undo anti-virus redirect parameter-profile
【缺省情况】
防病毒未引用应用层检测引擎重定向动作参数profile。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
profile-name:应用层检测引擎动作参数profile的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
此命令引用的重定向动作参数profile是指应用层检测引擎中的重定向动作参数profile。有关此动作参数profile的详细配置请参见“DPI深度安全配置指导”中的“应用层检测引擎”。
【举例】
# 配置防病毒引用的应用层检测引擎重定向动作参数profile为redirect。
<Sysname> system-view
[Sysname] anti-virus redirect parameter-profile redirect
anti-virus signature auto-update命令用来开启定期自动在线升级病毒特征库功能,并进入自动升级配置视图。
undo anti-virus signature auto-update命令用来关闭定期自动在线升级病毒特征库功能。
【命令】
anti-virus signature auto-update
undo anti-virus signature auto-update
【缺省情况】
定期自动在线升级病毒特征库功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
如果设备可以访问H3C官方网站,可以采用定期自动在线升级方式来对设备上的病毒特征库进行升级。
【举例】
# 开启定期自动在线升级病毒特征库功能,并进入自动升级配置视图。
<Sysname> system-view
[Sysname] anti-virus signature auto-update
[Sysname-anti-virus-autoupdate]
【相关命令】
· update schedule
anti-virus signature auto-update-now命令用来立即自动在线升级病毒特征库。
【命令】
anti-virus signature auto-update-now
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
执行此命令后,将立即自动升级设备上的病毒特征库,且会备份当前的病毒特征库文件。此命令的生效与否,与是否开启了定期自动升级病毒特征库功能无关。
当管理员发现H3C官方网站上的特征库服务专区中的病毒特征库有更新时,可以选择立即自动在线升级方式来及时升级病毒特征库版本。
【举例】
# 立即自动在线升级病毒特征库版本。
<Sysname> system-view
[Sysname] anti-virus signature auto-update-now
anti-virus signature rollback命令用来回滚病毒特征库。
【命令】
anti-virus signature rollback { factory | last }
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
factory:表示病毒特征库的出厂版本。
last:表示病毒特征库的上一版本。
【使用指导】
如果管理员发现设备当前病毒特征库版本在检测和防御网络攻击时,误报率较高或出现异常情况,则可以对当前病毒特征库版本进行回滚。目前支持将设备中的病毒过滤特征库版本回滚到出厂版本和上一版本。
病毒特征库版本每次回滚前,设备都会备份当前版本。多次回滚上一版本的操作将会在当前版本和上一版本之间反复切换。例如,当前病毒特征库版本是V2,上一版本是V1。第一次执行回滚到上一版本的操作后,特征库替换成V1版本,再执行回滚上一版本的操作则特征库重新变为V2版本。
【举例】
# 配置病毒特征库回滚到上一版本。
<Sysname> system-view
[Sysname] anti-virus signature rollback last
anti-virus signature update命令用来手动离线升级病毒特征库。
【命令】
anti-virus signature update file-path
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
file-path:指定病毒特征库文件的路径,为1~255个字符的字符串。
【使用指导】
如果设备不能访问H3C官方网站上的特征库服务专区,管理员可以采用如下几种方式手动离线升级病毒特征库版本。
· 本地升级:使用本地保存的特征库文件升级系统上的病毒特征库版本。
¡ 特征库文件只能存储在当前主用设备上,否则设备升级特征库会失败。(集中式IRF设备)
¡ 特征库文件只能存储在当前主用主控板上,否则设备升级特征库会失败。(分布式设备-独立运行模式)
¡ 特征库文件只能存储在当前全局主用主控板上,否则设备升级特征库会失败。(分布式设备-IRF模式)
· FTP/TFTP升级:通过FTP或TFTP方式下载远程服务器上保存的特征库文件,并升级系统上的病毒特征库版本。
参数file-path的取值与手动离线升级的操作方式有关。本地升级时参数file-path取值请参见表1-1;FTP/TFTP升级时参数file-path取值请参见表1-2。
|
升级场景 |
参数file-path取值 |
说明 |
|
特征库文件的存储位置与当前工作路径一致 |
filename |
可以执行pwd命令查看当前工作路径 有关pwd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
|
特征库文件的存储位置与当前工作路径不一致,且在相同存储介质上 |
path/ filename |
- |
|
特征库文件的存储位置与当前工作路径不在相同存储介质上 |
path/ filename |
需要先执行cd命令将工作路径切换至特征库文件所在存储介质的根目录下,再指定特征库文件的相对路径 有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
表1-2 FTP/TFTP升级时参数file-path取值说明表
|
升级场景 |
参数file-path取值 |
说明 |
|
特征库文件存储在开启FTP服务的远程服务器上 |
ftp://username:password@server/filename |
username为登录FTP服务器的用户名,password为登录FTP服务器的密码,server为FTP服务器的IP地址或主机名 当FTP的用户名和密码中使用了“:”、“@”和“/”三种特殊字符时,需要将这三种特殊字符替换为其对应的转义字符。“:”、“@”和“/”三种特殊字符对应的转义字符分别为“%3A或%3a”、“%40”和“%2F或%2f” |
|
特征库文件存储在开启TFTP服务的远程服务器上 |
tftp://server/filename |
server为TFTP服务器的IP地址或主机名 |
当采用FTP/TFTP方式升级特征库时,如果指定的是服务器的主机名,则需要确保设备能通过静态或动态域名解析方式获得FTP/TFTP服务器的IP地址,并与之路由可达。否则设备升级特征库会失败。有关域名解析功能的详细配置请参见“三层技术-IP业务配置指导”中的“域名解析”。
【举例】
# 配置手动离线升级病毒特征库,且采用TFTP方式,病毒特征库文件的远程路径为tftp://192.168.0.10/av-1.0.2-en.dat。
<Sysname> system-view
[Sysname] anti-virus signature update tftp://192.168.0.10/av-1.0.2-en.dat
# 配置手动离线升级病毒特征库,且采用FTP方式,病毒特征库文件的远程路径为ftp://192.168.0.10/av-1.0.2-en.dat,用户名为user:123,密码为user@abc/123。
<Sysname> system-view
[Sysname] anti-virus signature update ftp://user%3A123:user%40abc%2F123@192.168.0.10/av-1.0.2-en.dat
# 配置手动离线升级病毒特征库,且采用本地方式,病毒特征库文件的本地路径为cfa0:/av-1.0.23-en.dat,且当前工作路径为cfa0:。
<Sysname> system
[Sysname] anti-virus signature update av-1.0.23-en.dat
# 配置手动离线升级病毒特征库,且采用本地方式,病毒特征库文件的本地路径为cfa0:/dpi/av-1.0.23-en.dat,且当前工作路径为cfa0:。
<Sysname> system
[Sysname] anti-virus signature update dpi/av-1.0.23-en.dat
# 配置手动离线升级病毒特征库,且采用本地方式,病毒特征库文件的本地路径为cfb0:/dpi/av-1.0.23-en.dat,当前工作路径为cfa0:。
<Sysname> cd cfb0:/
<Sysname> system
[Sysname] anti-virus signature update dpi/av-1.0.23-en.dat
description命令用来配置防病毒策略描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
不存在防病毒策略描述信息。
【视图】
防病毒策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
text:防病毒策略的描述信息,为1~255个字符的字符串,可以包含空格,区分大小写。
【使用指导】
描述信息便于管理员快速理解和识别本防病毒策略的作用,有利于后期维护。
【举例】
# 配置防病毒策略abc的描述信息为“RD Department anti-virus policy”。
<Sysname> system-view
[Sysname] anti-virus policy abc
[Sysname-anti-virus-policy-abc] description RD "Department anti-virus policy"
display anti-virus signature命令用来显示病毒特征信息。
【命令】
display anti-virus signature [ [ signature-id ] [ severity { critical | high | low | medium } ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
signature-id:表示病毒特征的ID号,取值范围为1~4294967294。
severity:指定病毒特征攻击的严重级别。
critical:表示严重级别最高。
high:表示严重级别比较高。
low:表示严重级别最低。
medium:表示严重级别中等。
【使用指导】
可以通过本命令来了解病毒特征的严重级别,便于更加合理的使用signature severity enable来使相应级别的病毒特征生效。
【举例】
# 显示所有病毒特征。
<Sysname> display anti-virus signature
Total count :9206 failed:0
Sig-ID Severity Virus Name
1 LOW Hoax.Win32.ArchSMS.pxm
2 LOW Trojan.Win32.Inject.acwr
3 LOW Virus.Win32.Alman.b
4 LOW Hoax.Win32.ArchSMS.ovq
5 LOW Hoax.Win32.ArchSMS.owa
6 LOW Trojan-PSW.Win32.Dybalom.dhc
7 LOW Trojan.Win32.Llac.has
8 LOW HackTool.Win32.Kiser.tk
9 LOW Trojan-Dropper.Win32.Pincher.hp
10 LOW Trojan.Win32.Agent.cccr
11 LOW Trojan.Win32.VkHost.lz
12 LOW Backdoor.MSIL.Agent.ju
13 LOW Backdoor.Win32.Bifrose.fqv
14 LOW Backdoor.Win32.Bifrose.fwg
15 LOW Backdoor.Win32.Bifrose.uw
---- More ----
表1-3 display anti-virus signature命令显示信息描述表
|
字段 |
描述 |
|
Total count |
病毒特征的总数 |
|
Failed |
从病毒特征库下发应用层检测引擎失败病毒特征的个数 |
|
Sig-ID |
病毒特征的编号 |
|
Severity |
病毒特征的攻击严重级别属性,从低到高分为四级:Low、Medium、High、Critical |
|
Virus Name |
病毒特征的名称 |
display anti-virus signature information命令用来显示病毒特征库信息。
【命令】
display anti-virus signature information
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【举例】
# 显示病毒特征库信息。
<Sysname> display anti-virus signature information
Anti-Virus signature library information:
Type SigVersion ReleaseTime Size
Current 1.0.9 Wed Apr 22 09:51:13 2015 976432
Last - - -
Factory 1.0.8 Fri Feb 06 05:48:40 2015 273248
表1-4 display anti-virus signature information命令显示信息描述表
|
字段 |
描述 |
|
Type |
病毒特征库版本,包括如下取值: · Current:当前版本 · Last:上一版本 · Factory:出厂版本 |
|
SigVersion |
病毒特征库版本号 |
|
ReleaseTime |
病毒特征库发布时间 |
|
Size |
病毒特征库大小,单位是Bytes |
display anti-virus statistics命令用来显示防病毒统计信息。
【命令】
集中式设备:
display anti-virus statistics [ policy policy-name ]
分布式设备-独立运行模式/集中式IRF设备:
display anti-virus statistics [ policy policy-name ] [ slot slot-number [ cpu cpu-number ] ]
分布式设备-IRF设备:
display anti-virus statistics [ policy policy-name ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
policy policy-name:表示防病毒策略名称,为1~63个字符的字符串,不区分大小写。若不指定此参数,则显示所有防病毒策略的统计信息。
slot slot-number:显示指定单板上的防病毒统计信息。slot-number表示单板所在的槽位号。若不指定该参数,则表示所有单板上的防病毒统计信息。(分布式设备-独立运行模式)
slot slot-number:显示指定成员设备上的防病毒统计信息。slot-number表示设备在IRF中的成员编号。若不指定该参数,则表示所有成员设备上的防病毒统计信息。(集中式IRF设备)
chassis chassis-number slot slot-number:显示指定成员设备的指定单板上的防病毒统计信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。若不指定该参数,则表示所有单板上的防病毒统计信息。(分布式设备-IRF模式)
cpu cpu-number:显示指定CPU上的防病毒统计信息。cpu-number表示CPU编号,只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 显示防病毒策略aa的统计信息。
<Sysname> display anti-virus statistics policy aa
Slot 1:
Total Block: 0
Total Redirect: 0
Total Alert: 0
Type http ftp smtp pop3 imap
Block 0 0 0 0 0
Redirect 0 0 0 0 0
Alert+Permit 0 0 0 0 0
表1-5 display anti-virus statisic命令显示信息描述表
|
字段 |
描述 |
|
Total Block |
执行阻断动作的总数 |
|
Total Redirect |
执行重定向动作的总数 |
|
Total Alert |
执行告警动作的总数 |
|
Type |
动作类型,包括如下取值: · Block:表示阻断报文并生成日志。 · Redirect:表示将HTTP连接重定向到指定的URL并生成日志。 · Alert+Permit:表示仅对报文进行告警,即允许报文通过并生成日志。 |
|
http |
对HTTP协议类型数据处理的动作计数 |
|
ftp |
对FTP协议类型数据处理的动作计数 |
|
smtp |
对SMTP协议类型数据处理的动作计数 |
|
pop3 |
对POP3协议类型数据处理的动作计数 |
|
imap |
对IMAP协议类型数据处理的动作计数 |
exception application命令用来配置应用例外并为其指定处理动作。
undo exception application命令用来删除指定的或所有的应用例外。
【命令】
exception application application-name action { alert | block | permit }
undo exception application { application-name | all }
【缺省情况】
不存在应用例外。
【视图】
防病毒策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
application-name:例外应用的名称。
action:指定例外应用的动作。
all:表示所有的应用例外。
alert:表示仅对病毒报文进行告警,即允许其通过并生成病毒日志。
block:表示阻断病毒报文并生成病毒日志。
permit:表示允许病毒报文通过。
【使用指导】
缺省情况下,设备基于应用层协议的防病毒动作对符合病毒特征的报文进行处理。当需要对某应用层协议上承载的某一具体应用采取不同的动作时,可以将此应用设置为应用例外。例如,对HTTP协议进行允许通过处理,但是需要对HTTP协议上承载的游戏类应用采取阻断动作,这时就可以把所有游戏类的应用设置为应用例外。
【举例】
# 配置126_Web_Email_Send_Email_HTTP应用为应用例外并为其指定处理动作为告警。
<Sysname> system-view
[Sysname] anti-virus policy abc
[Sysname-anti-virus-policy-abc] exception application 126_Web_Email_Send_Email_HTTP action alert
exception signature命令用来配置病毒例外。
undo exception signature命令用来删除指定的或所有的病毒例外。
【命令】
exception signature signature-id
undo exception signature { signature-id | all }
【缺省情况】
不存在病毒例外。
【视图】
防病毒策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
signature-id:表示病毒特征的ID号,取值范围为1~4294967294。
all:表示所有的病毒例外。
【使用指导】
如果发现某类检测出病毒的报文被误报时,可以通过执行此命令把该报文对应的病毒特征设置为病毒例外。当后续再有检测出包含此病毒特征的报文通过时,设备将对其执行允许动作。
【举例】
# 配置ID为95的病毒特征为病毒例外。
<Sysname> system-view
[Sysname] anti-virus policy abc
[Sysname-anti-virus-policy-abc] exception signature 95
【相关命令】
· display anti-virus signature
inspect命令用来配置病毒检测的应用层协议类型。
undo inspect命令用来取消对指定协议的报文进行病毒检测。
【命令】
inspect { ftp | http | imap | pop3 | smtp } [ direction { both | download | upload } ] [ action { alert | block | redirect } ]
undo inspect { ftp | http | imap | pop3 | smtp }
【缺省情况】
设备对FTP、HTTP和IMAP协议上传和下载方向传输的报文均进行病毒检测,对POP3协议下载方向传输的报文进行病毒检测,对SMTP协议上传方向传输的报文进行病毒检测。设备对FTP、HTTP协议报文的动作为阻断,对IMAP、SMTP和POP3协议报文的动作为告警。
【视图】
防病毒策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
ftp:表示FTP协议。
http:表示HTTP协议。
imap:表示IMAP协议。
pop3:表示POP3协议。
smtp:表示SMTP协议。
direction:表示对指定方向上的报文进行病毒检测。
both:表示会话的上传和下载方向。
download:表示会话的下载方向。
upload:表示会话的上传方向。
action:指定对报文的处理动作。
alert:表示仅对病毒报文进行告警,即允许其通过并生成病毒日志。
block:表示阻断病毒报文并生成病毒日志。
redirect:表示将携带病毒的HTTP连接重定向到指定的URL并生成病毒日志。
【使用指导】
配置此命令后,设备可根据报文的应用层协议类型和传输方向来对其进行病毒检测,如果检测到病毒,则对此报文执行指定的动作。
因为防病毒模块所支持协议的连接请求均由客户端发起,为了使连接可以成功建立并能对此连接上的报文进行病毒检测,需要管理员在配置安全域间实例时确保客户端所在的安全域为源安全域、服务器所在的安全域为目的安全域。
因为POP3协议只有下载方向,SMTP协议只支持上传方向,所以对这两种协议类型不支持配置方向属性。
IMAP协议只支持告警动作。
【举例】
# 配置对基于HTTP协议且是下载方向上的报文进行检测病毒,动作为告警。
<Sysname> system-view
[Sysname] anti-virus policy abc
[Sysname-anti-virus-policy-abc] inspect http direction download action alert
# 配置不对基于FTP协议的报文进行病毒检测。
<Sysname> system-view
[Sysname] anti-virus policy abc
[Sysname-anti-virus-policy-abc] undo inspect ftp
signature severity enable命令用来配置有效病毒特征的最低严重级别。
undo signature severity enable命令用来恢复缺省情况。
【命令】
signature severity { critical | high | medium } enable
undo signature severity enable
【缺省情况】
所有严重级别的病毒特征都处于生效状态。
【视图】
防病毒策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
critical:表示严重级别最高。
high:表示严重级别比较高。
medium:表示严重级别中等。
【使用指导】
在仅需要对某类及其以上严重级别病毒进行防御的应用需求中,可通过配置此功能来实现此种应用需求。配置此功能后防病毒策略中只有指定的及其以上严重级别的病毒特征会生效。
【举例】
# 配置仅使High及其以上严重级别的病毒特征生效。
<Sysname> system-view
[Sysname] anti-virus policy abc
[Sysname-anti-virus-policy-abc] signature severity high enable
update schedule命令用来配置定期自动在线升级病毒特征库的时间。
undo update schedule命令用来恢复缺省情况。
【命令】
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
undo update schedule
【缺省情况】
设备在每天02:01:00至04:01:00之间自动在线升级病毒特征库。
【视图】
自动升级配置视图
【缺省用户角色】
network-admin
context-admin
【参数】
daily:表示升级周期为每天。
weekly:表示以一周为周期,在指定一天进行自动升级。
fri:表示星期五。
mon:表示星期一。
sat:表示星期六。
sun:表示星期日。
thu:表示星期四。
tue:表示星期二。
wed:表示星期三。
start-time time:指定自动升级开始时间,time的格式为hh:mm:ss,取值范围为00:00:00~23:59:59。
tingle minutes:指定抖动时间,即实际自动升级开始时间的偏差范围,取值范围为0~120,单位为分钟。在start-time指定时间的前后各偏移抖动时间的一半作为自动升级的时间范围,例如,指定自动升级的开始时间为01:00:00,抖动时间为60分钟,则自动升级的时间范围为00:30:00至01:30:00。
【举例】
# 配置病毒特征库的定期自动在线升级时间为每周一20:30:00,抖动时间为10分钟。
<Sysname> system-view
[Sysname] anti-virus signature auto-update
[Sysname-anti-virus-autoupdate] update schedule weekly mon start-time 20:30:00 tingle 10
【相关命令】
· anti-virus signature auto-update
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
