- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
04-防病毒配置
本章节下载: 04-防病毒配置 (299.29 KB)
防病毒功能需要安装License才能使用。License过期后,防病毒功能可以采用设备中已有的病毒特征库正常工作,但无法升级特征库。关于License的详细介绍请参见“基础配置指导”中的“License管理”。
防病毒功能是一种通过对报文应用层信息进行检测来识别和处理病毒报文的安全机制。防病毒功能凭借庞大且不断更新的病毒特征库可有效保护网络安全,防止病毒在网络中的传播。将具有防病毒功能的设备部署在企业网入口,可以将病毒隔离在企业网之外,为企业内网的数据安全提供坚固的防御。目前,该功能支持对基于以下应用层协议传输的报文进行防病毒检测:
· FTP(File Transfer Protocol,文件传输协议)
· HTTP(Hypertext Transfer Protocol,超文本传输协议)
· IMAP(Internet Mail Access Protocol,Internet邮件访问协议)
· POP3(Post Office Protocol-Version 3,邮局协议的第3个版本)
· SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)
如图1-1所示,在如下应用场景中,隔离内网和外网的网关设备上需要部署防病毒策略来保证内部网络安全:
· 内网用户需要访问外网资源,且经常需要从外网下载各种应用数据。
· 内网的服务器需要经常接收外网用户上传的数据。
当在设备上部署防病毒策略后,正常的用户数据可以进入内部网络,携带病毒的报文会被检测出来,并被采取阻断、重定向或生成告警信息等动作。
病毒特征是设备上定义的用于识别应用层信息中是否携带病毒的字符串,由系统中的病毒特征库预定义。
缺省情况下,设备对所有匹配病毒特征的报文均进行防病毒动作处理。但是,当管理员认为已检测到的某个病毒为误报时,可以将该病毒特征设置为病毒例外,之后携带此病毒特征的报文经过时,设备将对此报文执行允许动作。
缺省情况下,设备基于应用层协议的防病毒动作对符合病毒特征的报文进行处理。当需要对某应用层协议上承载的某一具体应用采取不同的动作时,可以将此应用设置为应用例外。例如,对HTTP协议采取的动作是允许,但是需要对HTTP协议上承载的游戏类应用采取阻断动作,这时就可以把所有游戏类的应用均设置为应用例外。
防病毒动作是指对符合病毒特征的报文做出的处理,包括如下几种类型:
· 告警:允许病毒报文通过,同时生成病毒日志。
· 阻断:禁止病毒报文通过,同时生成病毒日志。
· 重定向:将携带病毒的HTTP连接重定向到指定的URL,同时生成病毒日志。仅对上传方向有效。
其中,病毒日志支持输出到信息中心或以邮件的方式发送到指定的收件人邮箱。
设备上部署防病毒策略后,对接收到的用户数据报文处理流程如图1-2所示:
防病毒处理的整体流程如下:
(1) 如果报文匹配了规则(即安全策略规则),且引用了防病毒业务,则设备将继续识别此报文的应用层协议。有关安全策略规则的详细介绍请参见“安全配置指导”中的“安全策略”。
(2) 如果报文的应用层协议为防病毒功能所支持,则设备使用病毒特征库中的病毒特征对此报文进行匹配,否则不对其进行防病毒处理。
(3) 如果报文与病毒特征匹配成功,则进一步判断此病毒报文是否符合病毒例外,否则对其执行允许动作。
(4) 如果病毒报文符合病毒例外,则对此报文执行允许动作,否则继续判断其是否符合应用例外。
(5) 如果病毒报文符合应用例外,则执行应用例外的防病毒动作(告警、阻断和允许),否则执行所属应用层协议的防病毒动作(告警、阻断和重定向)。
病毒特征库是用来对经过设备的报文进行病毒检测的资源库。随着互联网中病毒的不断变化和发展,需要及时升级设备中的病毒特征库,同时设备也支持病毒特征库回滚功能。
病毒特征库的升级包括如下几种方式:
· 定期自动在线升级:设备根据管理员设置的时间定期自动更新本地的病毒特征库。
· 立即自动在线升级:管理员手工触发设备立即更新本地的病毒特征库。
· 手动离线升级:当设备无法自动获取病毒特征库时,需要管理员先手动获取最新的病毒特征库,再更新设备本地的病毒特征库。
如果管理员发现设备当前的病毒特征库对报文进行病毒检测的误报率较高或出现异常情况,可以将其回滚到出厂版本或上一版本。
表1-1 防病毒配置任务简介
|
配置任务 |
说明 |
详细配置 |
|
配置防病毒策略 |
必选 |
|
|
引用应用层检测引擎动作参数profile |
可选 |
|
|
在DPI应用profile中引用防病毒策略 |
必选 |
|
|
激活DPI各业务模块的策略和规则配置 |
可选 |
|
|
基于安全策略应用防病毒业务 |
必选 |
|
|
配置病毒特征库升级和回滚 |
可选 |
在防病毒策略中可以配置防病毒的检测条件、对病毒报文的处理动作、病毒例外和应用例外等。
设备上的所有防病毒策略均使用当前系统中的病毒特征库对用户数据进行病毒检测和处理。
表1-2 配置防病毒策略
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建防病毒策略,并进入防病毒策略视图 |
anti-virus policy policy-name |
缺省情况下,存在一个缺省防病毒策略,名称为default,且其不能被修改和删除 |
|
(可选)配置防病毒策略描述信息 |
description text |
缺省情况下,不存在防病毒策略描述信息 |
|
(可选)配置病毒检测的应用层协议类型 |
inspect { ftp | http | imap | pop3 | smtp } [ direction { both | download | upload } ] [ action { alert | block | redirect } ] |
缺省情况下,设备对FTP、HTTP和IMAP协议在上传和下载方向传输的报文均进行病毒检测,对POP3协议在下载方向传输的报文进行病毒检测,对SMTP协议在上传方向传输的报文进行病毒检测。设备对FTP、HTTP协议报文的动作为阻断,对IMAP、SMTP和POP3协议报文的动作为告警 |
|
(可选)配置病毒例外 |
exception signature signature-id |
缺省情况下,不存在病毒例外 |
|
(可选)配置应用例外并为其指定处理动作 |
exception application application-name action { alert | block | permit } |
缺省情况下,不存在应用例外 |
|
(可选)配置有效病毒特征的最低严重级别 |
signature severity { critical | high | medium } enable |
缺省情况下,所有严重级别的病毒特征都处于生效状态 |
防病毒动作的具体执行参数(例如,邮件服务器的地址、输出日志的方式和对报文重定向的URL)由应用层检测引擎各动作参数profile来定义,可通过引用各动作参数proflle为防病毒动作提供执行参数。应用层检测引擎动作参数proflle的具体配置请参见“DPI深度安全配置指导”中的“应用层检测引擎”。
如果防病毒没有引用应用层检测引擎动作参数profile,或者引用的动作参数profile不存在,则使用系统中各动作参数的缺省值。
表1-3 引用应用层检测引擎动作参数profile
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置防病毒引用的应用层检测引擎重定向动作参数profile |
anti-virus { email | logging | redirect } parameter-profile profile-name |
缺省情况下,防病毒未引用应用层检测引擎动作参数profile,使用各参数的缺省值 |
DPI应用profile是一个安全业务的配置模板,为实现防病毒功能,必须在DPI应用profile中引用指定的防病毒策略。一个DPI应用profile中只能引用一个防病毒策略,如果重复配置,则新的配置会覆盖已有配置。
表1-4 在DPI应用profile中引用防病毒策略
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入DPI应用profile视图 |
app-profile profile-name |
关于该命令的详细介绍请参见“DPI深度安全命令参考”中的“应用层检测引擎” |
|
在DPI应用profile中引用防病毒策略 |
anti-virus apply policy policy-name mode { alert | protect } |
缺省情况下,DPI应用profile中未引用防病毒策略 |
当DPI各业务模块的策略和规则被创建、修改和删除后,需要配置此功能使其策略和规则配置生效。
配置此功能会暂时中断DPI业务的处理,为避免重复配置此功能对DPI业务造成影响,请完成部署DPI各业务模块的策略和规则后统一配置此功能。
有关此功能的详细介绍请参见“DPI深度安全配置指导”中的“应用层检测引擎”。
表1-5 激活DPI各业务模块的策略和规则配置
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
激活DPI各业务模块的策略和规则配置 |
inspect activate |
缺省情况下,DPI各业务模块的策略和规则被创建、修改和删除时不生效 |
表1-6 基于安全策略应用防病毒业务
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入安全策略视图 |
security-policy { ip | ipv6 } |
- |
|
进入安全策略规则视图 |
rule { rule-id | name name } * |
- |
|
配置安全策略规则的动作为允许 |
action pass |
缺省情况下,安全策略规则动作是丢弃 |
|
配置安全策略规则引用DPI应用profile |
profile app-profile-name |
缺省情况下,安全策略规则中未引用DPI应用profile |
· 请勿删除设备存储介质根目录下的/dpi/文件夹,否则设备升级或回滚特征库会失败。
· 当系统内存使用状态处于告警门限状态时,请勿进行特征库升级或回滚,否则易造成设备特征库升级或回滚失败,进而影响防病毒的正常运行。有关内存告警门限状态的详细介绍请参见“基础配置指导”中的“设备管理”。
随着网络病毒攻击的不断变化和发展,管理员需要及时升级设备中的病毒特征库,同时设备也支持病毒特征库回滚功能。
如果设备可以访问H3C官方网站,可以采用定期自动在线升级方式来对设备上的病毒特征库进行升级。
该方式下,需要确保设备能通过静态或动态域名解析方式获得H3C官方网站的IP地址,并与之路由可达,否则设备升级病毒特征库会失败。有关域名解析功能的配置请参见“三层技术-IP业务配置指导”中的“域名解析”。
表1-7 配置定期自动在线升级病毒特征库
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启定期自动在线升级病毒特征库功能,并进入自动在线升级配置视图 |
anti-virus signature auto-update |
缺省情况下,定期自动在线升级病毒特征库功能处于关闭状态 |
|
配置定期自动在线升级病毒特征库的时间 |
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes |
缺省情况下,设备在每天02:01:00至04:01:00之间自动升级病毒特征库 |
当管理员发现H3C官方网站上的特征库服务专区中的病毒特征库有更新时,可以采用立即自动在线升级方式来及时升级病毒特征库版本。
该方式下,需要确保设备能通过静态或动态域名解析方式获得H3C官方网站的IP地址,并与之路由可达,否则设备升级病毒特征库会失败。有关域名解析功能的配置请参见“三层技术-IP业务配置指导”中的“域名解析”。
表1-8 立即自动在线升级病毒特征库
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
立即自动在线升级病毒特征库 |
anti-virus signature auto-update-now |
- |
如果设备不能访问H3C官方网站上的特征库服务专区,管理员可以采用如下几种方式手动离线升级病毒特征库版本。
· 本地升级:使用本地保存的特征库文件升级系统上的病毒特征库版本。特征库文件只能存储在当前主用设备上,否则设备升级特征库会失败。
· FTP/TFTP升级:通过FTP或TFTP方式下载远程服务器上保存的特征库文件,并升级系统上的病毒特征库版本。
|
操作 |
命令举例 |
说明 |
|
进入系统视图 |
system-view |
- |
|
手动离线升级病毒特征库 |
anti-virus signature update file-path |
- |
病毒特征库版本每次回滚前,设备都会备份当前版本。多次回滚上一版本的操作将会在当前版本和上一版本之间反复切换。例如,当前病毒特征库版本是V2,上一版本是V1。第一次执行回滚到上一版本的操作后,特征库替换成V1版本,再执行回滚上一版本的操作则特征库重新变为V2版本。
表1-10 回滚病毒特征库
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
回滚病毒特征库 |
anti-virus signature rollback { factory | last } |
- |
完成上述配置后,在任意视图下执行display命令可以显示配置后防病毒的运行情况,通过查看显示信息验证配置的效果。
表1-11 防病毒显示和维护
|
操作 |
命令 |
|
显示病毒特征信息 |
display anti-virus signature [ severity { critical | high | low | medium } ] |
|
显示病毒特征库版本信息 |
display anti-virus signature information |
|
显示防病毒统计信息 |
display anti-virus statistics [ policy policy-name ] [ slot slot-number ] |
如图1-3所示,Device分别通过Trust安全域和Untrust安全域与局域网和Internet相连。现要求使用设备上的缺省防病毒策略对用户数据报文进行防病毒检测和防御。
(1) 配置各接口的IP地址(略)
(2) 创建安全域并将接口加入安全域
# 向安全域Trust中添加接口GigabitEthernet1/0/1。
<Device> system-view
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
# 向安全域Untrust中添加接口GigabitEthernet1/0/2。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(3) 配置对象组
# 创建名为antivirus的IP地址对象组,并定义其子网地址为192.168.1.0/24。
[Device] object-group ip address antivirus
[Device-obj-grp-ip-antivirus] network subnet 192.168.1.0 24
[Device-obj-grp-ip-antivirus] quit
(4) 配置DPI应用profile
# 创建名为sec的DPI应用profile,并进入DPI应用profile视图。
[Device] app-profile sec
# 在DPI应用profile sec中应用缺省防病毒策略default,并指定该防病毒策略的模式为protect。
[Device-app-profile-sec] anti-virus apply policy default mode protect
[Device-app-profile-sec] quit
# 激活DPI各业务模块的策略和规则配置。
[Device] inspect activate
(5) 配置安全策略引用防病毒业务
# 进入IPv4安全策略视图
[Device] security-policy ip
# 创建名为antivirus的安全策略规则,过滤条件为:源安全域Trust、源IP地址对象组antivirus、目的安全域Untrust。动作为允许,且引用的DPI应用profile为sec。
[Device-security-policy-ip] rule name antivirus
[Device-security-policy-ip-10-antivirus] source-zone trust
[Device-security-policy-ip-10-antivirus] source-ip antivirus
[Device-security-policy-ip-10-antivirus] destination-zone untrust
[Device-security-policy-ip-10-antivirus] action pass
[Device-security-policy-ip-10-antivirus] profile sec
[Device-security-policy-ip-10-antivirus] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
以上配置生效后,使用缺省防病毒策略可以对已知攻击类型的网络攻击进行防御。
如图1-4所示,Device分别通过Trust安全域和Untrust安全域与局域网和Internet相连。现有组网需求如下:
· 将编号为2的预定义病毒特征设置为病毒例外。
· 将名称为139Email的应用设置为应用例外。
(1) 配置各接口的IP地址(略)
(2) 创建安全域并将接口加入安全域
# 向安全域Trust中添加接口GigabitEthernet1/0/1。
<Device> system-view
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
# 向安全域Untrust中添加接口GigabitEthernet1/0/2。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(3) 配置对象组
# 创建名为antivirus的IP地址对象组,并定义其子网地址为192.168.1.0/24。
[Device] object-group ip address antivirus
[Device-obj-grp-ip-antivirus] network subnet 192.168.1.0 24
[Device-obj-grp-ip-antivirus] quit
(4) 配置防病毒功能
# 创建一个名称为antivirus1的防病毒策略,并进入防病毒策略视图。
[Device] anti-virus policy antivirus1
# 将编号为2的预定义病毒特征设置为病毒例外。
[Device-anti-virus-policy-antivirus1] exception signature 2
# 将名称为139Email的应用设置为应用例外,并设置其动作为告警。
[Device-anti-virus-policy-antivirus1] exception application 139Email action alert
[Device-anti-virus-policy-antivirus1] quit
(5) 配置DPI应用profile
# 创建名为sec的DPI应用profile,并进入DPI应用profile视图。
[Device] app-profile sec
# 在DPI应用profile sec中应用防病毒策略antivirus1,并指定该防病毒策略的模式为protect。
[Device-app-profile-sec] anti-virus apply policy antivirus1 mode protect
[Device-app-profile-sec] quit
# 激活DPI各业务模块的策略和规则配置。
[Device] inspect activate
(6) 配置安全策略引用防病毒业务
# 进入IPv4安全策略视图
[Device] security-policy ip
# 创建名为antivirus的安全策略规则,过滤条件为:源安全域Trust、源IP地址对象组antivirus、目的安全域Untrust。动作为允许,且引用的DPI应用profile为sec。
[Device-security-policy-ip] rule name antivirus
[Device-security-policy-ip-10-antivirus] source-zone trust
[Device-security-policy-ip-10-antivirus] source-ip antivirus
[Device-security-policy-ip-10-antivirus] destination-zone untrust
[Device-security-policy-ip-10-antivirus] action pass
[Device-security-policy-ip-10-antivirus] profile sec
[Device-security-policy-ip-10-antivirus] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
以上配置生效后,在防病毒策略antivirus1中可看到以上有关防病毒策略的配置。
如图1-5所示,位于Trust安全域的局域网用户通过Device可以访问Untrust安全域的Internet资源,以及DMZ安全域的FTP服务器。FTP服务器根目录下保存了最新的病毒特征库文件anti-virus-1.0.8-encrypt.dat,FTP服务器的登录用户名和密码分别为anti-virus和123。现需要手动离线升级病毒特征库,加载最新的病毒特征。
(1) 配置各接口的IP地址(略)
(2) 配置安全策略保证Device与DMZ安全域之间互通
# 向安全域DMZ中添加接口GigabitEthernet1/0/3。
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/3
[Device-security-zone-DMZ] quit
# 进入IPv4安全策略视图
[Device] security-policy ip
# 创建名为update的安全策略规则,过滤条件为:源安全域Local和DMZ、目的安全域DMZ和Local,动作为允许。
[Device-security-policy-ip] rule name update
[Device-security-policy-ip-11-update] source-zone local
[Device-security-policy-ip-11-update] source-zone dmz
[Device-security-policy-ip-11-update] destination-zone dmz
[Device-security-policy-ip-11-update] destination-zone local
[Device-security-policy-ip-11-update] action pass
[Device-security-policy-ip-11-update] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
(3) 手动升级防病毒特征库
# 采用FTP方式手动离线升级设备上的病毒特征库,被加载的病毒特征库文件名为anti-virus-1.0.8-encrypt.dat。
[Device] anti-virus signature update ftp:// anti-virus:123@192.168.2.4/anti-virus-1.0.8-encrypt.dat
病毒特征库升级后,可以通过display anti-virus signature information命令查看当前特征库的版本信息。
如图1-6所示,位于Trust安全域的局域网用户通过Device可以访问Untrust安全域的Internet资源。现要求每周六上午九点前后半小时内,定期自动在线升级设备的病毒特征库。
(1) 配置各接口的IP地址(略)
(2) 配置设备解析H3C官方网站对应IP地址的域名解析功能(略)
(3) 配置安全策略保证Trust安全域的局域网用户可以访问Untrust安全域的Internet资源(略)
(4) 配置定期自动在线升级病毒特征库
# 开启设备自动升级病毒特征库功能,并进入自动升级配置视图。
<Device> system-view
[Device] anti-virus signature auto-update
# 设置定时自动升级病毒特征库计划为:每周六上午9:00:00自动升级,抖动时间为60分钟。
[Device-anti-virus-autoupdate] update schedule weekly sat start-time 9:00:00 tingle 60
[Device-anti-virus-autoupdate] quit
设置的定期自动在线升级病毒特征库时间到达后,可以通过display anti-virus signature information命令查看当前特征库的版本信息
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
