04-DPI深度安全命令参考

06-防病毒命令

本章节下载  (262.17 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Command/Command_Manual/H3C_CR(V7)(R9514_R9323)-6W203/04/201912/1249013_30005_0.htm

06-防病毒命令


1 防病毒

1.1  防病毒配置命令

1.1.1  anti-virus apply policy

anti-virus apply policy命令用来在DPI应用profile中引用防病毒策略。

undo anti-virus apply policy命令用来删除引用的防病毒策略。

【命令】

anti-virus apply policy policy-name mode { alert | protect }

undo anti-virus apply policy

【缺省情况】

DPI应用profile中未引用防病毒策略。

【视图】

DPI应用profile视图

【缺省用户角色】

network-admin

context-admin

【参数】

policy-name:表示防病毒策略名称,为1~63个字符的字符串,不区分大小写。

mode:表示防病毒策略的模式。

alert:告警模式,表示报文匹配上该防病毒策略中的特征后,仅可以生成日志,但其他动作均不生效。

protect:保护模式,表示报文匹配上该防病毒策略中的特征后,设备按照特征的动作对该报文进行处理。

【使用指导】

一个DPI应用profile视图下只能引用一个防病毒策略。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 在名称为sec的DPI应用profile下引用防病毒策略abc。

<Sysname> system-view

[Sysname] app-profile sec

[Sysname-app-profile-sec] anti-virus apply policy abc mode protect

1.1.2  anti-virus policy

anti-virus policy命令用来创建防病毒策略,并进入防病毒策略视图。如果指定的防病毒策略已经存在,则直接进入防病毒策略视图。

undo anti-virus policy命令用来删除指定的防病毒策略。

【命令】

anti-virus policy policy-name

undo anti-virus policy policy-name

【缺省情况】

存在一个缺省防病毒策略,名称为default。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

policy-name:表示防病毒策略的名称,为1~63个字符的字符串,不区分大小写。

【使用指导】

缺省防病毒策略和自定义防病毒策略都使用当前系统中的所有病毒特征。

缺省防病毒策略不能被修改和删除。

【举例】

# 创建一个名称为abc的防病毒策略,并进入防病毒策略视图。

<Sysname> system-view

[Sysname] anti-virus policy abc

[Sysname-anti-virus-policy-abc]

1.1.3  anti-virus parameter-profile

anti-virus parameter-profile命令用来引用应用层检测引擎动作参数profile。

undo anti-virus parameter-profile命令用来取消引用应用层检测引擎动作参数profile。

【命令】

anti-virus { email | logging | redirect } parameter-profile profile-name

undo anti-virus { email | logging | redirect } parameter-profile

【缺省情况】

防病毒未引用应用层检测引擎动作参数profile。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

email:表示引用应用层检测引擎邮件动作参数profile。

logging:表示引用应用层检测引擎日志动作参数profile。

redirect:表示引用应用层检测引擎重定向动作参数profile。

parameter-profile parameter-name:指定防病毒动作引用的应用层检测引擎动作参数profile。parameter-name表示动作参数profile的名称,为1~63个字符的字符串,不区分大小写。

【使用指导】

防病毒动作的具体执行参数(例如,邮件服务器的地址、输出日志的方式和对报文重定向的URL)由应用层检测引擎各动作参数profile来定义,可通过引用各动作参数proflle为防病毒动作提供执行参数。应用层检测引擎动作参数proflle的具体配置请参见“DPI深度安全配置指导”中的“应用层检测引擎”。

如果防病毒没有引用应用层检测引擎动作参数profile,或者引用的动作参数profile不存在,则使用系统中各动作参数的缺省值。

【举例】

# 创建名称为av1的应用层检测引擎邮件动作参数profile,配置登录邮件服务器的明文密码为abc123。

<Sysname> system-view

[Sysname] inspect email parameter-profile av1

[Sysname-inspect-email-av1] password simple abc123

[Sysname-inspect-logging-av1] quit

# 引用名称为av1的应用层检查引擎邮件动作参数profile。

[Sysname] anti-virus email parameter-profile av1

【相关命令】

·            inspect email parameter-profile(DPI深度安全命令参考/应用层检测引擎)

·            inspect logging parameter-profile(DPI深度安全命令参考/应用层检测引擎)

·            inspect redirect parameter-profile(DPI深度安全命令参考/应用层检测引擎)

1.1.4  anti-virus signature auto-update

anti-virus signature auto-update命令用来开启定期自动在线升级病毒特征库功能,并进入自动升级配置视图。

undo anti-virus signature auto-update命令用来关闭定期自动在线升级病毒特征库功能。

【命令】

anti-virus signature auto-update

undo anti-virus signature auto-update

【缺省情况】

定期自动在线升级病毒特征库功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

如果设备可以访问H3C官方网站,可以采用定期自动在线升级方式来对设备上的病毒特征库进行升级。

【举例】

# 开启定期自动在线升级病毒特征库功能,并进入自动升级配置视图。

<Sysname> system-view

[Sysname] anti-virus signature auto-update

[Sysname-anti-virus-autoupdate]

【相关命令】

·            update schedule

1.1.5  anti-virus signature auto-update-now

anti-virus signature auto-update-now命令用来立即自动在线升级病毒特征库。

【命令】

anti-virus signature auto-update-now

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

执行此命令后,将立即自动升级设备上的病毒特征库,且会备份当前的病毒特征库文件。此命令的生效与否,与是否开启了定期自动升级病毒特征库功能无关。

当管理员发现H3C官方网站上的特征库服务专区中的病毒特征库有更新时,可以选择立即自动在线升级方式来及时升级病毒特征库版本。

【举例】

# 立即自动在线升级病毒特征库版本。

<Sysname> system-view

[Sysname] anti-virus signature auto-update-now

1.1.6  anti-virus signature rollback

anti-virus signature rollback命令用来回滚病毒特征库。

【命令】

anti-virus signature rollback { factory | last }

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

factory:表示病毒特征库的出厂版本。

last:表示病毒特征库的上一版本。

【使用指导】

如果管理员发现设备当前病毒特征库版本在检测和防御网络攻击时,误报率较高或出现异常情况,则可以对当前病毒特征库版本进行回滚。目前支持将设备中的病毒过滤特征库版本回滚到出厂版本和上一版本。

病毒特征库版本每次回滚前,设备都会备份当前版本。多次回滚上一版本的操作将会在当前版本和上一版本之间反复切换。例如,当前病毒特征库版本是V2,上一版本是V1。第一次执行回滚到上一版本的操作后,特征库替换成V1版本,再执行回滚上一版本的操作则特征库重新变为V2版本。

【举例】

# 配置病毒特征库回滚到上一版本。

<Sysname> system-view

[Sysname] anti-virus signature rollback last

1.1.7  anti-virus signature update

anti-virus signature update命令用来手动离线升级病毒特征库。

【命令】

anti-virus signature update file-path

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

file-path:指定病毒特征库文件的路径,为1~255个字符的字符串。

【使用指导】

如果设备不能访问H3C官方网站上的特征库服务专区,管理员可以采用如下几种方式手动离线升级病毒特征库版本。

·            本地升级:使用本地保存的特征库文件升级系统上的病毒特征库版本。特征库文件只能存储在当前主用设备上,否则设备升级特征库会失败。

·            FTP/TFTP升级:通过FTP或TFTP方式下载远程服务器上保存的特征库文件,并升级系统上的病毒特征库版本。

参数file-path的取值与手动离线升级的操作方式有关。本地升级时参数file-path取值请参见表1-1;FTP/TFTP升级时参数file-path取值请参见表1-2

表1-1 本地升级时参数file-path取值说明表

升级场景

参数file-path取值

说明

特征库文件的存储位置与当前工作路径一致

filename

可以执行pwd命令查看当前工作路径

有关pwd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理”

特征库文件的存储位置与当前工作路径不一致,且在相同存储介质上

path/ filename

-

特征库文件的存储位置与当前工作路径不在相同存储介质上

path/ filename

需要先执行cd命令将工作路径切换至特征库文件所在存储介质的根目录下,再指定特征库文件的相对路径

有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理”

 

表1-2 FTP/TFTP升级时参数file-path取值说明表

升级场景

参数file-path取值

说明

特征库文件存储在开启FTP服务的远程服务器上

ftp://username:password@server/filename

username为登录FTP服务器的用户名,password为登录FTP服务器的密码,server为FTP服务器的IP地址或主机名

当FTP的用户名和密码中使用了“:”、“@”和“/”三种特殊字符时,需要将这三种特殊字符替换为其对应的转义字符。“:”、“@”和“/”三种特殊字符对应的转义字符分别为“%3A或%3a”、“%40”和“%2F或%2f”

特征库文件存储在开启TFTP服务的远程服务器上

tftp://server/filename

server为TFTP服务器的IP地址或主机名

 

说明

当采用FTP/TFTP方式升级特征库时,如果指定的是服务器的主机名,则需要确保设备能通过静态或动态域名解析方式获得FTP/TFTP服务器的IP地址,并与之路由可达。否则设备升级特征库会失败。有关域名解析功能的详细配置请参见“三层技术-IP业务配置指导”中的“域名解析”。

 

【举例】

# 配置手动离线升级病毒特征库,且采用TFTP方式,病毒特征库文件的远程路径为tftp://192.168.0.10/av-1.0.2-en.dat。

<Sysname> system-view

[Sysname] anti-virus signature update tftp://192.168.0.10/av-1.0.2-en.dat

# 配置手动离线升级病毒特征库,且采用FTP方式,病毒特征库文件的远程路径为ftp://192.168.0.10/av-1.0.2-en.dat,用户名为user:123,密码为user@abc/123。

<Sysname> system-view

[Sysname] anti-virus signature update ftp://user%3A123:user%40abc%2F123@192.168.0.10/av-1.0.2-en.dat

# 配置手动离线升级病毒特征库,且采用本地方式,病毒特征库文件的本地路径为cfa0:/av-1.0.23-en.dat,且当前工作路径为cfa0:。

<Sysname> system

[Sysname] anti-virus signature update av-1.0.23-en.dat

# 配置手动离线升级病毒特征库,且采用本地方式,病毒特征库文件的本地路径为cfa0:/dpi/av-1.0.23-en.dat,且当前工作路径为cfa0:。

<Sysname> system

[Sysname] anti-virus signature update dpi/av-1.0.23-en.dat

# 配置手动离线升级病毒特征库,且采用本地方式,病毒特征库文件的本地路径为cfb0:/dpi/av-1.0.23-en.dat,当前工作路径为cfa0:。

<Sysname> cd cfb0:/

<Sysname> system

[Sysname] anti-virus signature update dpi/av-1.0.23-en.dat

1.1.8  description

description命令用来配置防病毒策略描述信息。

undo description命令用来恢复缺省情况。

【命令】

description text

undo description

【缺省情况】

不存在防病毒策略描述信息。

【视图】

防病毒策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

text:防病毒策略的描述信息,为1~255个字符的字符串,可以包含空格,区分大小写。

【使用指导】

描述信息便于管理员快速理解和识别本防病毒策略的作用,有利于后期维护。

【举例】

# 配置防病毒策略abc的描述信息为"RD Department anti-virus policy"。

<Sysname> system-view

[Sysname] anti-virus policy abc

[Sysname-anti-virus-policy-abc] description "RD Department anti-virus policy"

1.1.9  display anti-virus signature

display anti-virus signature命令用来显示病毒特征信息。

【命令】

display anti-virus signature [ [ signature-id ] [ severity { critical | high | low | medium } ] ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

signature-id:表示病毒特征的ID号,取值范围为1~4294967294。

severity:指定病毒特征攻击的严重级别。

critical:表示严重级别最高。

high:表示严重级别比较高。

low:表示严重级别最低。

medium:表示严重级别中等。

【使用指导】

可以通过本命令来了解病毒特征的严重级别,便于更加合理的使用signature severity enable来使相应级别的病毒特征生效。

【举例】

# 显示所有病毒特征。

<Sysname> display anti-virus signature

 Total count       :9206      failed:0

 

Sig-ID    Severity Virus Name

1         LOW      Hoax.Win32.ArchSMS.pxm

2         LOW      Trojan.Win32.Inject.acwr

3         LOW      Virus.Win32.Alman.b

4         LOW      Hoax.Win32.ArchSMS.ovq

5         LOW      Hoax.Win32.ArchSMS.owa

6         LOW      Trojan-PSW.Win32.Dybalom.dhc

7         LOW      Trojan.Win32.Llac.has

8         LOW      HackTool.Win32.Kiser.tk

9         LOW      Trojan-Dropper.Win32.Pincher.hp

10        LOW      Trojan.Win32.Agent.cccr

11        LOW      Trojan.Win32.VkHost.lz

12        LOW      Backdoor.MSIL.Agent.ju

13        LOW      Backdoor.Win32.Bifrose.fqv

14        LOW      Backdoor.Win32.Bifrose.fwg

15        LOW      Backdoor.Win32.Bifrose.uw

---- More ----

表1-3 display anti-virus signature命令显示信息描述表

字段

描述

Total count

病毒特征的总数

Failed

从病毒特征库下发应用层检测引擎失败病毒特征的个数

Sig-ID

病毒特征的编号

Severity

病毒特征的攻击严重级别属性,从低到高分为四级:Low、Medium、High、Critical

Virus Name

病毒特征的名称

 

1.1.10  display anti-virus signature information

display anti-virus signature information命令用来显示病毒特征库信息。

【命令】

display anti-virus signature information

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【举例】

# 显示病毒特征库信息。

<Sysname> display anti-virus signature information

Anti-Virus signature library information:

Type      SigVersion         ReleaseTime               Size

Current   1.0.9              Wed Apr 22 09:51:13 2015  976432

Last      -                  -                         -

Factory   1.0.8              Fri Feb 06 05:48:40 2015  273248

表1-4 display anti-virus signature information命令显示信息描述表

字段

描述

Type

病毒特征库版本,包括如下取值:

·         Current:当前版本

·         Last:上一版本

·         Factory:出厂版本

SigVersion

病毒特征库版本号

ReleaseTime

病毒特征库发布时间

Size

病毒特征库大小,单位是Bytes

 

1.1.11  display anti-virus statistics

display anti-virus statistics命令用来显示防病毒统计信息。

【命令】

display anti-virus statistics [ policy policy-name ] [ slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

policy policy-name:表示防病毒策略名称,为1~63个字符的字符串,不区分大小写。若不指定此参数,则显示所有防病毒策略的统计信息。

slot slot-number:显示指定成员设备上的防病毒统计信息。slot-number表示设备在IRF中的成员编号。若不指定该参数,则表示所有成员设备上的防病毒统计信息。

【举例】

# 显示防病毒策略aa的统计信息。

<Sysname> display anti-virus statistics policy aa

Slot 1:

Total Block:    0

Total Redirect: 0

Total Alert:    0

Type           http      ftp       smtp      pop3      imap

Block           0         0         0         0         0

Redirect        0         0         0         0         0

Alert+Permit    0         0         0         0         0

表1-5 display anti-virus statisic命令显示信息描述表

字段

描述

Total Block

执行阻断动作的总数

Total Redirect

执行重定向动作的总数

Total Alert

执行告警动作的总数

Type

动作类型,包括如下取值:

·         Block:表示阻断报文并生成日志。

·         Redirect:表示将HTTP连接重定向到指定的URL并生成日志。

·         Alert+Permit:表示仅对报文进行告警,即允许报文通过并生成日志。

http

对HTTP协议类型数据处理的动作计数

ftp

对FTP协议类型数据处理的动作计数

smtp

对SMTP协议类型数据处理的动作计数

pop3

对POP3协议类型数据处理的动作计数

imap

对IMAP协议类型数据处理的动作计数

 

1.1.12  exception application

exception application命令用来配置应用例外并为其指定处理动作。

undo exception application命令用来删除指定的或所有的应用例外。

【命令】

exception application application-name action { alert | block | permit }

undo exception application { application-name | all }

【缺省情况】

不存在应用例外。

【视图】

防病毒策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

application-name:例外应用的名称。

action:指定例外应用的动作。

all:表示所有的应用例外。

alert:表示仅对病毒报文进行告警,即允许其通过并生成病毒日志。

block:表示阻断病毒报文并生成病毒日志。

permit:表示允许病毒报文通过。

【使用指导】

缺省情况下,设备基于应用层协议的防病毒动作对符合病毒特征的报文进行处理。当需要对某应用层协议上承载的某一具体应用采取不同的动作时,可以将此应用设置为应用例外。例如,对HTTP协议进行允许通过处理,但是需要对HTTP协议上承载的游戏类应用采取阻断动作,这时就可以把所有游戏类的应用设置为应用例外。

【举例】

# 配置163Email应用为应用例外并为其指定处理动作为告警。

<Sysname> system-view

[Sysname] anti-virus policy abc

[Sysname-anti-virus-policy-abc] exception application 163Email action alert

1.1.13  exception signature

exception signature命令用来配置病毒例外。

undo exception signature命令用来删除指定的或所有的病毒例外。

【命令】

exception signature signature-id

undo exception signature { signature-id | all }

【缺省情况】

不存在病毒例外。

【视图】

防病毒策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

signature-id:表示病毒特征的ID号,取值范围为1~4294967294。

all:表示所有的病毒例外。

【使用指导】

如果发现某类检测出病毒的报文被误报时,可以通过执行此命令把该报文对应的病毒特征设置为病毒例外。当后续再有检测出包含此病毒特征的报文通过时,设备将对其执行允许动作。

【举例】

# 配置ID为95的病毒特征为病毒例外。

<Sysname> system-view

[Sysname] anti-virus policy abc

[Sysname-anti-virus-policy-abc] exception signature 95

【相关命令】

·            display anti-virus signature

1.1.14  inspect

inspect命令用来配置病毒检测的应用层协议类型。

undo inspect命令用来取消对指定协议的报文进行病毒检测。

【命令】

inspect { ftp | http | imap | pop3 | smtp } [ direction { both | download | upload } ] [ action { alert | block | redirect } ]

undo inspect { ftp | http | imap | pop3 | smtp }

【缺省情况】

设备对FTP、HTTP和IMAP协议上传和下载方向传输的报文均进行病毒检测,对POP3协议下载方向传输的报文进行病毒检测,对SMTP协议上传方向传输的报文进行病毒检测。设备对FTP、HTTP协议报文的动作为阻断,对IMAP、SMTP和POP3协议报文的动作为告警。

【视图】

防病毒策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

ftp:表示FTP协议。

http:表示HTTP协议。

imap:表示IMAP协议。

pop3:表示POP3协议。

smtp:表示SMTP协议。

direction:表示对指定方向上的报文进行病毒检测。

both:表示会话的上传和下载方向。

download:表示会话的下载方向。

upload:表示会话的上传方向。

action:指定对报文的处理动作。

alert:表示仅对病毒报文进行告警,即允许其通过并生成病毒日志。

block:表示阻断病毒报文并生成病毒日志。

redirect:表示将携带病毒的HTTP连接重定向到指定的URL并生成病毒日志。

【使用指导】

配置此命令后,设备可根据报文的应用层协议类型和传输方向来对其进行病毒检测,如果检测到病毒,则对此报文执行指定的动作。

因为防病毒模块所支持协议的连接请求均由客户端发起,为了使连接可以成功建立并能对此连接上的报文进行病毒检测,需要管理员在配置安全域间实例时确保客户端所在的安全域为源安全域、服务器所在的安全域为目的安全域。

因为POP3协议只有下载方向,SMTP协议只支持上传方向,所以对这两种协议类型不支持配置方向属性。

IMAP协议只支持告警动作。

【举例】

# 配置对基于HTTP协议且是下载方向上的报文进行检测病毒,动作为告警。

<Sysname> system-view

[Sysname] anti-virus policy abc

[Sysname-anti-virus-policy-abc] inspect http direction download action alert

# 配置不对基于FTP协议的报文进行病毒检测。

<Sysname> system-view

[Sysname] anti-virus policy abc

[Sysname-anti-virus-policy-abc] undo inspect ftp

1.1.15  signature severity enable

signature severity enable命令用来配置有效病毒特征的最低严重级别。

undo signature severity enable命令用来恢复缺省情况。

【命令】

signature severity { critical | high | medium } enable

undo signature severity enable

【缺省情况】

所有严重级别的病毒特征都处于生效状态。

【视图】

防病毒策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

critical:表示严重级别最高。

high:表示严重级别比较高。

medium:表示严重级别中等。

【使用指导】

在仅需要对某类及其以上严重级别病毒进行防御的应用需求中,可通过配置此功能来实现此种应用需求。配置此功能后防病毒策略中只有指定的及其以上严重级别的病毒特征会生效。

【举例】

# 配置仅使High及其以上严重级别的病毒特征生效。

<Sysname> system-view

[Sysname] anti-virus policy abc

[Sysname-anti-virus-policy-abc] signature severity high enable

1.1.16  update schedule

update schedule命令用来配置定期自动在线升级病毒特征库的时间。

undo update schedule命令用来恢复缺省情况。

【命令】

update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes

undo update schedule

【缺省情况】

设备在每天02:01:00至04:01:00之间自动在线升级病毒特征库。

【视图】

自动升级配置视图

【缺省用户角色】

network-admin

context-admin

【参数】

daily:表示升级周期为每天。

weekly:表示以一周为周期,在指定一天进行自动升级。

fri:表示星期五。

mon:表示星期一。

sat:表示星期六。

sun:表示星期日。

thu:表示星期四。

tue:表示星期二。

wed:表示星期三。

start-time time:指定自动升级开始时间,time的格式为hh:mm:ss,取值范围为00:00:00~23:59:59。

tingle minutes:指定抖动时间,即实际自动升级开始时间的偏差范围,取值范围为0~120,单位为分钟。在start-time指定时间的前后各偏移抖动时间的一半作为自动升级的时间范围,例如,指定自动升级的开始时间为01:00:00,抖动时间为60分钟,则自动升级的时间范围为00:30:00至01:30:00。

【举例】

# 配置病毒特征库的定期自动在线升级时间为每周一20:30:00,抖动时间为10分钟。

<Sysname> system-view

[Sysname] anti-virus signature auto-update

[Sysname-anti-virus-autoupdate] update schedule weekly mon start-time 20:30:00 tingle 10

【相关命令】

·            anti-virus signature auto-update

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们