- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
32-防病毒FAQ
本章节下载: 32-防病毒FAQ (158.08 KB)
防病毒通过深度包检测(DPI)技术对报文的载荷做协议分析、特征查找、内容提取来进行策略匹配并执行告警、阻断、重定向动作。防病毒需要创建和引用app-profile,同时可配置自定义的防病毒策略,也有系统预定义的default策略;且与应用层检测引擎有关,域间策略需引用防病毒策略。
目前我司防病毒实现是,支持FTP/HTTP/IMAP/POP3/SMTP等协议传输的报文进行检测。HTTP协议仅能对body部分进行检测,ftp协议对传输的文件内容进行检测,3种邮件协议能对正文和附件内容进行检测,NFS协议仅支持NFS v3的协议识别。
初步认为有两个原因:
· 首先查看设备有无license,若无license设备则无法正常命中病毒报文;
· 防病毒的命中规则没有下发到应用层检测引擎内核,在域间引用防病毒策略以后,下发配置生效,设备会将引用的防病毒策略的规则下发应用层检测引擎内核;若防病毒规则未能正常下发,应用层检测引擎内核中没有防病毒的命中规则,当设备接收到病毒报文时,没有对应的规则命中匹配,病毒报文也就无法正常匹配了。
病毒报文经过设备首先会被检测是否匹配病毒例外,若符合病毒例外,则直接按病毒例外的动作执行;当不匹配病毒例外时,再去检测是否匹配应用例外的动作,如果匹配则执行应用例外的动作,若不匹配则按照防病毒策略的规则动作执行。
在域间不引用任何防病毒策略,回放防病毒规则匹配的病毒报文,防病毒无命中统计信息,但应用层检测引擎中有防病毒的命中统计;因为只要配置中存在app-profile引用防病毒策略,防病毒的规则就会在应用层检测引擎中生效,所以应用层检测引擎中有命中统计。
配置协议的检测方向为上传或下载时,打流后发现防病毒的命中统计信息和应用层检测引擎中防病毒的命中统计不一致。
因为防病毒模块设置了方向过滤,配置了检测方向,就只命中检测方向的报文,应用层检测引擎是全局统计没有设置方向过滤,对报文进行双向检测。所以二者的统计结果不一致。
可能原因包括如下:
· ntopd进程异常
· 设备日志的存储空间满
· 设备内存进入内存门限
双主聚合组网需要开启双主功能,且在设备的上下行交换机均配置相应的聚合才能正常识别。开启双主命令后,来回流量不一致的流量会通过堆叠口将流量上送到主机,保证流量能在同一台设备进行DPI业务处理,从而保障了识别率,但由于通过堆叠口上送流量,流量会受到堆叠口带宽的限制。
检测MD5病毒前需要配置inspect md5-verify all-files命令,开启设备对所有文件进行MD5哈希运算功能。
目前只支持可执行文件、office文件和压缩文件的MD5哈希运算。
当设备上的特征库较小或者无法识别病毒时,需要开启云端查杀功能。云端查询功能生效的标志是使用display anti-virus cache命令,可以看到Cloud-query state 的状态是enable,当有流量经过时,在这个命令下也可以看到命中记录。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
