- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
05-防病毒
本章节下载: 05-防病毒 (419.25 KB)
本帮助主要介绍以下内容:
· 特性简介
¡ 应用场景
¡ 基本概念
¡ 防病毒检测方式
· 配置指南
|
|
防病毒功能需要安装License才能使用。License过期后,防病毒功能可以采用设备中已有的病毒特征库正常工作,但无法升级特征库。关于License的详细介绍请参见“License联机帮助”。 |
防病毒功能是一种通过对报文应用层信息进行检测来识别和处理病毒报文的安全机制。防病毒功能凭借庞大且不断更新的病毒特征库可有效保护网络安全,防止病毒在网络中的传播。将具有防病毒功能的设备部署在企业网入口,可以将病毒隔离在企业网之外,为企业内网的数据安全提供坚固的防御。目前,该功能支持对基于以下应用层协议传输的报文进行防病毒检测:
· FTP(File Transfer Protocol,文件传输协议)
· HTTP(Hypertext Transfer Protocol,超文本传输协议)
· IMAP(Internet Mail Access Protocol,Internet邮件访问协议)
· NFS(Network File System Protocol,网络文件系统协议)
· POP3(Post Office Protocol-Version 3,邮局协议的第3个版本)
· SMB(Server Message Block Protocol,服务器信息块协议)
· SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)
如图-1所示,在如下应用场景中,隔离内网和外网的网关设备上需要部署防病毒策略来保证内部网络安全:
· 内网用户需要访问外网资源,且经常需要从外网下载各种应用数据。
· 内网的服务器需要经常接收外网用户上传的数据。
当在设备上部署防病毒策略后,正常的用户数据可以进入内部网络,携带病毒的报文会被检测出来,并被采取阻断、重定向或生成告警信息等动作。
病毒特征是设备上定义的用于识别应用层信息中是否携带病毒的字符串,由系统中的病毒特征库预定义。
MD5规则是设备上定义的用于识别传输文件是否携带病毒的检测规则,由系统中的病毒特征库预定义。
缺省情况下,设备对所有匹配病毒特征的报文均进行防病毒动作处理。但是,当管理员认为已检测到的某个病毒为误报时,可以将该病毒特征设置为病毒例外,之后携带此病毒特征的报文经过时,设备将对此报文执行允许动作。
缺省情况下,设备基于应用层协议的防病毒动作对符合病毒特征的报文进行处理。当需要对某应用层协议上承载的某一具体应用采取不同的动作时,可以将此应用设置为应用例外。例如,对HTTP协议采取的动作是允许,但是需要对HTTP协议上承载的游戏类应用采取阻断动作,这时就可以把所有游戏类的应用均设置为应用例外。
防病毒动作是指对符合病毒特征的报文做出的处理,包括如下几种类型:
· 告警:允许病毒报文通过,同时生成病毒日志。
· 阻断:禁止病毒报文通过,同时生成病毒日志。
· 重定向:将携带病毒的HTTP连接重定向到指定的URL,同时生成病毒日志。
· 允许:允许病毒报文通过。
设备支持使用以下方式进行防病毒检测:
· 病毒特征匹配:设备将报文与特征库中的病毒特征进行匹配,如果匹配成功,则表示该报文携带病毒。
· MD5值匹配:设备首先对待检测文件进行MD5哈希运算,再将计算出的MD5值与特征库中的MD5规则进行匹配,如果匹配成功,则表示该文件携带病毒。
设备上部署防病毒策略后,对接收到的用户数据报文处理流程如图-2所示:
防病毒处理的整体流程如下:
1. 如果报文匹配了某个安全策略,且此策略的动作是允许并引用了防病毒策略,则设备将继续识别此报文的应用层协议。
2. 如果报文的应用层协议为防病毒功能所支持,则设备使用病毒特征库中的病毒特征对此报文进行匹配,否则不对其进行防病毒处理。
3. 设备将报文同时与特征库中的病毒特征和MD5规则进行匹配,任意一种匹配成功,则认为该报文携带病毒,并进行下一步处理;如果二者均匹配失败,则对该报文执行允许动作。
4. 如果病毒报文符合病毒例外,则对此报文执行允许动作,否则继续判断其是否符合应用例外。
5. 如果病毒报文符合应用例外,则执行应用例外的防病毒动作(告警、阻断和允许),否则执行所属应用层协议的防病毒动作(告警、阻断和重定向)。
防病毒功能的配置思路如下图所示:
图-3 防病毒功能配置指导图
设备上存在一个名称为default的防病毒配置文件,不可对其进行修改和删除操作。管理员可以根据实际需求新建自定义的防病毒配置文件。
因为防病毒模块所支持协议的连接请求均由客户端发起,为了使连接可以成功建立并能对此连接上的报文进行病毒检测,需要管理员在配置安全策略时确保客户端所在的安全域为源安全域、服务器所在的安全域为目的安全域。
1. 选择“对象 > 应用安全 > 防病毒 > 配置文件”。
2. 在“防病毒配置文件”页面单击<新建>按钮,进入“新建防病毒配置文件”页面。
3. 新建防病毒配置文件,具体配置内容如下:
表-1 防病毒配置文件配置
|
参数 |
说明 |
|
名称 |
防病毒配置文件的名称 |
|
描述 |
通过合理编写描述信息,便于管理员快速理解和识别防病毒配置文件的作用,有利于后期维护 |
|
上传 |
对HTTP、FTP、SMTP、IMAP、NFS和SMB协议上传方向的报文进行病毒检测。其中,SMTP协议只支持上传方向 |
|
下载 |
对HTTP、FTP、POP3、IMAP、NFS和SMB协议下载方向的报文进行病毒检测。其中,POP3协议只支持下载方向 |
|
动作 |
设备可根据报文的应用层协议类型和传输方向来对其进行病毒检测,如果检测到病毒,则对此报文执行此处指定的动作。动作包括:告警、阻断、重定向。IMAP协议只支持告警动作 |
|
应用例外 |
缺省情况下,设备基于应用层协议的防病毒动作对符合病毒特征的报文进行处理。当需要对某应用层协议上承载的某一具体应用采取不同的动作时,可以将此应用设置为应用例外。例如,对HTTP协议进行允许通过处理,但是需要对HTTP协议上承载的游戏类应用采取阻断动作,这时就可以把所有游戏类的应用设置为应用例外 |
|
病毒例外 |
如果发现某类检测出病毒的报文被误报时,可以通过执行此命令把该报文对应的病毒特征设置为病毒例外。当后续再有检测出包含此病毒特征的报文通过时,设备将对其执行允许动作 |
4. 单击<确定>按钮,新建防病毒配置文件成功,且会在“防病毒配置文件”页面中显示。
5. 在安全策略的内容安全配置中引用此防病毒配置文件,有关安全策略的详细配置介绍请参见“安全策略联机帮助”
6. 单击<提交>按钮,激活防病毒配置文件的配置内容。配置此功能会暂时中断DPI业务的处理,为避免重复配置此功能对DPI业务造成影响,请完成部署DPI各业务模块的配置文件后统一配置此功能。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
