- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
05-防病毒命令
本章节下载: 05-防病毒命令 (360.65 KB)
目 录
1.1.2 anti-virus cache min-time
1.1.4 anti-virus parameter-profile
1.1.6 anti-virus signature auto-update
1.1.7 anti-virus signature auto-update-now
1.1.8 anti-virus signature rollback
1.1.9 anti-virus signature update
1.1.11 display anti-virus cache
1.1.12 display anti-virus signature
1.1.13 display anti-virus signature family-info
1.1.14 display anti-virus signature library
1.1.15 display anti-virus statistics
1.1.20 signature severity enable
1.1.22 warning parameter-profile
anti-virus apply policy命令用来在DPI应用profile中引用防病毒策略。
undo anti-virus apply policy命令用来删除引用的防病毒策略。
【命令】
anti-virus apply policy policy-name mode { alert | protect }
undo anti-virus apply policy
【缺省情况】
DPI应用profile中未引用防病毒策略。
【视图】
DPI应用profile视图
【缺省用户角色】
network-admin
【参数】
policy-name:表示防病毒策略名称,为1~63个字符的字符串,不区分大小写。
mode:表示防病毒策略的模式。
alert:告警模式,表示报文匹配上该防病毒策略中的特征后,仅可以生成日志,但其他动作均不生效。
protect:保护模式,表示报文匹配上该防病毒策略中的特征后,设备按照特征的动作对该报文进行处理。
【使用指导】
防病毒策略仅在被DPI应用profile引用后生效。一个DPI应用profile视图下只能引用一个防病毒策略。多次执行本命令,最后一次执行的命令生效。
【举例】
# 在名称为sec的DPI应用profile下引用防病毒策略abc。
<Sysname> system-view
[Sysname] app-profile sec
[Sysname-app-profile-sec] anti-virus apply policy abc mode protect
anti-virus cache min-time命令用来配置防病毒缓存条目的最短保留时间。
undo anti-virus cache min-time命令用来恢复缺省情况。
【命令】
anti-virus cache min-time value
undo anti-virus cache min-time
【缺省情况】
防病毒缓存条目的最短保留时间为10分钟。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
value:指定防病毒缓存条目的最短保留时间,取值范围为10~720,单位为分钟。
【使用指导】
当设备需要进行云端查询时,若当前已缓存的MD5值条目达到配置的防病毒缓存条目的上限时,将进行如下处理:
· 若已缓存的最老的条目未超过最短保留时间,则不删除缓存的条目,不进行云端查询;
· 若已缓存的最老的条目已超过最短保留时间,则删除最老的条目以保存新条目,并进行云端查询。
但是,当用户修改防病毒缓存参数时,配置的MD5缓存条数小于当前已缓存的数目,设备将从防病毒缓存中删除最老的MD5缓存,即使该MD5缓存未达到最短保留时间,也将被删除。
【举例】
# 配置防病毒缓存的最短保留时间为36分钟。
<Sysname> system-view
[Sysname] anti-virus cache min-time 36
【相关命令】
· anti-virus cache size
anti-virus cache size命令用来配置防病毒缓存条目的上限。
undo anti-virus cache size命令用来恢复缺省情况。
【命令】
anti-virus cache size cache-size
undo anti-virus cache size
【缺省情况】
防病毒缓存条目的上限为10万条。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
cache-size:指定防病毒缓存条目的上限,取值范围为100000~200000条。
【使用指导】
云端服务器返回的查询结果将被缓存在防病毒缓存中用于后续报文进行本地匹配,查询结果包含了MD5值并确认其是否为病毒。
当用户修改防病毒缓存参数时,配置的MD5缓存条数小于当前已缓存的数目,设备将从防病毒缓存中删除缓存时间最老的MD5缓存,即使该MD5缓存未达到最短保留时间,也将被删除。
【举例】
# 配置防病毒缓存条目的上限为200000条。
<Sysname> system-view
[Sysname] anti-virus cache size 200000
【相关命令】
· anti-virus cache min-time
anti-virus parameter-profile命令用来配置防病毒动作引用应用层检测引擎动作参数profile。
undo anti-virus parameter-profile命令用来取消配置防病毒动作引用应用层检测引擎动作参数profile。
【命令】
anti-virus { email | logging | redirect } parameter-profile profile-name
undo anti-virus { email | logging | redirect } parameter-profile
【缺省情况】
防病毒动作未引用应用层检测引擎动作参数profile。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
email:表示设置防病毒邮件动作的参数。
logging:表示设置防病毒日志动作的参数。
redirect:表示设置防病毒重定向动作的参数。
parameter-profile parameter-name:表示防病毒动作引用的应用层检测引擎动作参数profile。parameter-name表示动作参数profile的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
防病毒动作的具体执行参数(例如,邮件服务器的地址、输出日志的方式和对报文重定向的URL)由应用层检测引擎各动作参数profile来定义,可通过引用各动作参数proflle为防病毒动作提供执行参数。有关应用层检测引擎动作参数proflle的具体配置,请参见“DPI深度安全配置指导”中的“应用层检测引擎”。
如果防病毒动作没有引用应用层检测引擎动作参数profile,或者引用的动作参数profile不存在,则使用系统中各动作参数的缺省值。
【举例】
# 创建名称为av1的应用层检测引擎邮件动作参数profile,配置登录邮件服务器的明文密码为abc123。
<Sysname> system-view
[Sysname] inspect email parameter-profile av1
[Sysname-inspect-email-av1] password simple abc123
[Sysname-inspect-logging-av1] quit
# 配置防病毒邮件动作引用名称为av1的应用层检查引擎邮件动作参数profile。
[Sysname] anti-virus email parameter-profile av1
【相关命令】
· inspect email parameter-profile(DPI深度安全命令参考/应用层检测引擎)
· inspect logging parameter-profile(DPI深度安全命令参考/应用层检测引擎)
· inspect redirect parameter-profile(DPI深度安全命令参考/应用层检测引擎)
anti-virus policy命令用来创建防病毒策略,并进入防病毒策略视图。如果指定的防病毒策略已经存在,则直接进入防病毒策略视图。
undo anti-virus policy命令用来删除指定的防病毒策略。
【命令】
anti-virus policy policy-name
undo anti-virus policy policy-name
【缺省情况】
存在一个缺省防病毒策略,名称为default。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
policy-name:表示防病毒策略的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
缺省防病毒策略和自定义防病毒策略都使用当前系统中的所有病毒特征。
缺省防病毒策略不能被修改和删除。
【举例】
# 创建一个名称为abc的防病毒策略,并进入防病毒策略视图。
<Sysname> system-view
[Sysname] anti-virus policy abc
[Sysname-anti-virus-policy-abc]
anti-virus signature auto-update命令用来开启定期自动在线升级病毒特征库功能,并进入自动升级配置视图。
undo anti-virus signature auto-update命令用来关闭定期自动在线升级病毒特征库功能。
【命令】
anti-virus signature auto-update
undo anti-virus signature auto-update
【缺省情况】
定期自动在线升级病毒特征库功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
如果设备可以访问H3C官方网站,可以采用定期自动在线升级方式来对设备上的病毒特征库进行升级。
【举例】
# 开启定期自动在线升级病毒特征库功能,并进入自动升级配置视图。
<Sysname> system-view
[Sysname] anti-virus signature auto-update
[Sysname-anti-virus-autoupdate]
【相关命令】
· update schedule
anti-virus signature auto-update-now命令用来立即自动在线升级病毒特征库。
【命令】
anti-virus signature auto-update-now
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
执行此命令后,将立即自动升级设备上的病毒特征库,且会备份当前的病毒特征库文件。此命令的生效与否,与是否开启了定期自动升级病毒特征库功能无关。
当管理员发现H3C官方网站上的特征库服务专区中的病毒特征库有更新时,可以选择立即自动在线升级方式来及时升级病毒特征库版本。
【举例】
# 立即自动在线升级病毒特征库版本。
<Sysname> system-view
[Sysname] anti-virus signature auto-update-now
anti-virus signature rollback命令用来回滚病毒特征库。
【命令】
anti-virus signature rollback { factory | last }
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
factory:表示病毒特征库的出厂版本。
last:表示病毒特征库的上一版本。
【使用指导】
如果管理员发现设备当前病毒特征库版本在检测和防御网络攻击时,误报率较高或出现异常情况,则可以对当前病毒特征库版本进行回滚。目前支持将设备中的病毒特征库版本回滚到出厂版本和上一版本。
病毒特征库版本每次回滚前,设备都会备份当前版本。多次回滚上一版本的操作将会在当前版本和上一版本之间反复切换。例如,当前病毒特征库版本是V2,上一版本是V1。第一次执行回滚到上一版本的操作后,特征库替换成V1版本,再执行回滚上一版本的操作则特征库重新变为V2版本。
【举例】
# 配置病毒特征库回滚到上一版本。
<Sysname> system-view
[Sysname] anti-virus signature rollback last
anti-virus signature update命令用来手动离线升级病毒特征库。
【命令】
anti-virus signature update file-path [ vpn-instance vpn-instance-name ] [ source { ip | ipv6 } { ip-address | interface interface-type interface-number } ]
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
file-path:指定病毒特征库文件的路径,为1~255个字符的字符串。
vpn-instance vpn-instance-name:表示TFTP、FTP服务器所属的VPN实例。vpn-instance-name为MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则表示TFTP、FTP服务器位于公网中。
source:指定手动离线升级特征库时发送给TFTP、FTP服务器的请求报文的源IP地址。如果不指定该参数,则表示使用系统根据路由表项查找到的出接口的地址。
ip ip-address:指定手动离线升级特征库时发送给TFTP、FTP服务器的请求报文的源IPv4地址。
ipv6 ip-address:指定手动离线升级特征库时发送给TFTP、FTP服务器的请求报文的源IPv6地址。
interface interface-type interface-number:指定该接口的主IPv4地址或接口上最小的IPv6地址为源IP地址。
【使用指导】
H3C官方网站上的特征库服务专区根据设备的内存大小以及软件版本为用户提供了不同的特征库。管理员需要根据设备实际情况获取相应的特征库,如果为小内存设备(8GB以下)升级了适用于大内存设备(8GB以上)的特征库,可能会导致设备异常,请谨慎操作。
如果设备不能访问H3C官方网站上的特征库服务专区,管理员可以采用如下几种方式手动离线升级病毒特征库版本。
· 本地升级:使用本地保存的特征库文件升级系统上的病毒特征库版本。
· FTP/TFTP升级:通过FTP或TFTP方式下载远程服务器上保存的特征库文件,并升级系统上的病毒特征库版本。
使用本地升级方式离线升级特征库版本时,特征库文件只能存储在当前主用设备上,否则设备升级特征库会失败。(IRF模式)
参数file-path的取值与手动离线升级的操作方式有关。本地升级时参数file-path取值请参见表1-1;FTP/TFTP升级时参数file-path取值请参见表1-2。
表1-1 本地升级时参数file-path取值说明表
|
升级场景 |
参数file-path取值 |
说明 |
|
特征库文件的存储位置与当前工作路径一致 |
filename |
可以执行pwd命令查看当前工作路径 有关pwd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
|
特征库文件的存储位置与当前工作路径不一致,且在相同存储介质上 |
filename |
需要先执行cd命令将工作路径切换至特征库文件所在目录下 有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
|
特征库文件的存储位置与当前工作路径不在相同存储介质上 |
path/ filename |
需要先执行cd命令将工作路径切换至特征库文件所在存储介质的根目录下,再指定特征库文件的相对路径 有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
表1-2 FTP/TFTP升级时参数file-path取值说明表
|
升级场景 |
参数file-path取值 |
说明 |
|
特征库文件存储在开启FTP服务的远程服务器上 |
ftp://username:password@server/filename |
username为登录FTP服务器的用户名,password为登录FTP服务器的密码,server为FTP服务器的IP地址或主机名 当FTP的用户名和密码中使用了“:”、“@”和“/”三种特殊字符时,需要将这三种特殊字符替换为其对应的转义字符。“:”、“@”和“/”三种特殊字符对应的转义字符分别为“%3A或%3a”、“%40”和“%2F或%2f” |
|
特征库文件存储在开启TFTP服务的远程服务器上 |
tftp://server/filename |
server为TFTP服务器的IP地址或主机名 |
当采用FTP/TFTP方式升级特征库时,如果指定的是服务器的主机名,则需要确保设备能通过静态或动态域名解析方式获得FTP/TFTP服务器的IP地址,并与之路由可达。否则设备升级特征库会失败。有关域名解析功能的详细配置,请参见“三层技术-IP业务配置指导”中的“域名解析”。
如果管理员希望手动离线升级特征库时发送给TFTP、FTP服务器的请求报文的源IP地址是一个特定的地址时,可配置source参数。例如,当组网环境中设备发出的报文需要经过NAT地址转换后才能访问TFTP、FTP服务器时,则需要管理员通过source参数指定一个符合NAT地址转换规则的源IP地址(其中,如果设备需要经过一台独立的NAT设备进行地址转换时,本命令指定的IP地址必须可以与NAT设备三层路由可达),使设备发出的报文可以进行NAT地址转换等处理,正常访问TFTP、FTP服务器。
当同时配置了source和vpn-instance参数时,需要保证source中指定的源IP地址或接口所属VPN实例与vpn-instance中配置的VPN实例相同。
【举例】
# 配置手动离线升级病毒特征库,且采用TFTP方式,病毒特征库文件的远程路径为tftp://192.168.0.10/av-1.0.2-en.dat。
<Sysname> system-view
[Sysname] anti-virus signature update tftp://192.168.0.10/av-1.0.2-en.dat
# 配置手动离线升级病毒特征库,且采用FTP方式,病毒特征库文件的远程路径为ftp://192.168.0.10/av-1.0.2-en.dat,用户名为user:123,密码为user@abc/123。
<Sysname> system-view
[Sysname] anti-virus signature update ftp://user%3A123:user%40abc%[email protected]/av-1.0.2-en.dat
# 配置手动离线升级病毒特征库,且采用本地方式,病毒特征库文件的本地路径为cfa0:/av-1.0.23-en.dat,且当前工作路径为cfa0:。
<Sysname> system-view
[Sysname] anti-virus signature update av-1.0.23-en.dat
# 配置手动离线升级病毒特征库,且采用本地方式,病毒特征库文件的本地路径为cfa0:/dpi/av-1.0.23-en.dat,且当前工作路径为cfa0:。
<Sysname> cd dpi
<Sysname> system-view
[Sysname] anti-virus signature update av-1.0.23-en.dat
# 配置手动离线升级病毒特征库,且采用本地方式,病毒特征库文件的本地路径为cfb0:/dpi/av-1.0.23-en.dat,当前工作路径为cfa0:。
<Sysname> cd cfb0:/
<Sysname> system-view
[Sysname] anti-virus signature update dpi/av-1.0.23-en.dat
description命令用来配置防病毒策略描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
未配置防病毒策略描述信息。
【视图】
防病毒策略视图
【缺省用户角色】
network-admin
【参数】
text:防病毒策略的描述信息,为1~255个字符的字符串,可以包含空格,区分大小写。
【使用指导】
描述信息便于管理员快速理解和识别本防病毒策略的作用,有利于后期维护。
【举例】
# 配置防病毒策略abc的描述信息为"RD Department anti-virus policy"。
<Sysname> system-view
[Sysname] anti-virus policy abc
[Sysname-anti-virus-policy-abc] description "RD Department anti-virus policy"
display anti-virus cache命令用来显示防病毒缓存中的信息。
【命令】
(独立运行模式)
display anti-virus cache
(IRF模式)
display anti-virus cache [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:显示指定成员设备上的防病毒缓存中的信息。slot-number表示设备在IRF中的成员编号。若不指定该参数,则表示所有成员设备。(IRF模式)
【使用指导】
本命令仅在开启云端查询功能后生效。
当设备无法通过病毒特征和MD5规则识别出病毒时,会将未识别出的MD5值发往云端服务器进行查询,并将查询结果缓存到防病毒缓存中。
可通过本命令查看防病毒缓存的信息以及云端查询功能相关信息。其中,防病毒缓存包含命中列表和非命中列表。命中列表表示查询成功的病毒列表,非命中列表表示云端未查询到该MD5值,或查询结果为非病毒的列表。
【举例】
# 显示防病毒缓存中的信息。
<Sysname> display anti-virus cache
Slot 1:
Anti-virus cache information:
Total cached non-hit entries: 0
Total cached hit entries: 0
Non-hit list min update interval: 0 seconds
Non-hit list max update interval: 0 seconds
Hit list min update interval: 0 seconds
Hit list max update interval: 0 seconds
Last query message sent: 0 seconds ago
Last query result received: 0 seconds ago
表1-3 display anti-virus cache命令显示信息描述表
|
字段 |
描述 |
|
Anti-virus cache information |
防病毒缓存信息 |
|
Total cached non-hit entries |
非命中列表中节点的总数目 |
|
Total cached hit entries |
命中列表中节点的总数目 |
|
Non-hit list min update interval |
非命中列表表项中,距离上一次刷新时间最短的时间间隔,单位为秒 |
|
Non-hit list max update interval |
非命中列表表项中,距离上一次刷新时间最长的时间间隔,单位为秒 |
|
Hit list min update interval |
命中列表表项中,距离上一次刷新时间最短的时间间隔,单位为秒 |
|
Hit list max update interval |
命中列表表项中,距离上一次刷新时间最长的时间间隔,单位为秒 |
|
Last query message sent |
最近一次发送查询消息的时间与当前时间的间隔,单位为秒 |
|
Last query result received |
最近一次接收到查询返回的结果的时间与当前时间的间隔,单位为秒 |
display anti-virus signature命令用来显示病毒特征信息。
【命令】
display anti-virus signature [ [ signature-id ] | [ severity { critical | high | low | medium } ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
signature-id:表示病毒特征的ID号,取值范围为1~4294967294。若不指定该参数,则显示病毒特征的总数。
severity:指定病毒特征攻击的严重级别。
critical:表示严重级别最高。
high:表示严重级别比较高。
low:表示严重级别最低。
medium:表示严重级别中等。
【使用指导】
可以通过本命令了解病毒特征的严重级别,便于更加合理的使用signature severity enable来使相应级别的病毒特征生效。
【举例】
# 显示编号为10000001的病毒特征信息。
<Sysname> display anti-virus signature 10000001
Signature ID: 10000001
Name : Trojan [Downloader].VBS.Agent
Severity : Medium
表1-4 display anti-virus signature命令显示信息描述表
|
字段 |
描述 |
|
Signature ID |
病毒特征编号 |
|
Name |
病毒特征的名称或家族名称 |
|
Severity |
病毒特征的攻击严重级别属性,取值包括: · Low · Medium · High · Critical |
# 显示病毒特征总数。
<Sysname> display anti-virus signature
Total count:9206
failed:0
表1-5 display anti-virus signature命令显示信息描述表
|
字段 |
描述 |
|
Total count |
病毒特征的总数 |
|
Failed |
从病毒特征库下发应用层检测引擎失败病毒特征的个数 |
display anti-virus signature family-info命令用来显示病毒特征家族信息。
【命令】
display anti-virus signature family-info
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【使用指导】
可以通过本命令帮助用户了解防病毒特征库中包含的病毒特征家族信息。
【举例】
# 显示病毒特征家族信息。
<Sysname> display anti-virus signature family-info
Total count: 6373
Family ID Family name
1 Virus.Win32.Virut.ce
2 Trojan.Win32.SGeneric
3 Virus.Win32.Nimnul.a
4 Virus.Win32.Virlock.j
表1-6 display anti-virus signature family-info命令显示信息描述表
|
字段 |
描述 |
|
Total count |
病毒特征家族的总数 |
|
Family ID |
病毒特征家族的编号 |
|
Family name |
病毒特征家族的名称 |
display anti-virus signature library命令用来显示病毒特征库信息。
【命令】
display anti-virus signature library
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示病毒特征库信息。
<Sysname> display anti-virus signature library
Anti-Virus signature library information:
Type SigVersion ReleaseTime Size
Current 1.0.9 Wed Apr 22 09:51:13 2015 976432
Last - - -
Factory 1.0.0 Fri Dec 31 16:00:00 1999 20016
表1-7 display anti-virus signature library命令显示信息描述表
|
字段 |
描述 |
|
Type |
病毒特征库版本,包括如下取值: · Current:当前版本 · Last:上一版本 · Factory:出厂版本 |
|
SigVersion |
病毒特征库版本号 |
|
ReleaseTime |
病毒特征库发布时间 |
|
Size |
病毒特征库大小,单位是Bytes |
display anti-virus statistics命令用来显示防病毒统计信息。
【命令】
(独立运行模式)
display anti-virus statistics [ policy policy-name ]
(IRF模式)
display anti-virus statistics [ policy policy-name ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
policy policy-name:表示防病毒策略名称,为1~63个字符的字符串,不区分大小写。若不指定此参数,则显示所有防病毒策略的统计信息。
slot slot-number:显示指定成员设备上的防病毒统计信息。slot-number表示设备在IRF中的成员编号。若不指定该参数,则表示所有成员设备上的防病毒统计信息。(IRF模式)
【举例】
# 显示防病毒统计信息。(独立运行模式)
<Sysname> display anti-virus statistics
Slot 1:
Total Block: 0
Total Redirect: 0
Total Alert: 0
Type http ftp smtp pop3 imap
Block 0 0 0 0 0
Redirect 0 0 0 0 0
Alert+Permit 0 0 0 0 0
# 显示指定slot上的防病毒统计信息。(IRF模式)
<Sysname> display anti-virus statistics slot 4 cpu 1
CPU 1 on slot 4:
Total Block: 0
Total Redirect: 0
Total Alert: 0
Type http ftp smtp pop3 imap
Block 0 0 0 0 0
Redirect 0 0 0 0 0
Alert+Permit 0 0 0 0 0
表1-8 display anti-virus statisic命令显示信息描述表
|
字段 |
描述 |
|
Total Block |
执行阻断动作的总数 |
|
Total Redirect |
执行重定向动作的总数 |
|
Total Alert |
执行告警动作的总数 |
|
Type |
动作类型,包括如下取值: · Block:表示阻断报文并生成日志。 · Redirect:表示将HTTP连接重定向到指定的URL并生成日志。 · Alert+Permit:表示仅对报文进行告警,即允许报文通过并生成日志。 |
|
http |
对HTTP协议类型数据处理的动作计数 |
|
ftp |
对FTP协议类型数据处理的动作计数 |
|
smtp |
对SMTP协议类型数据处理的动作计数 |
|
pop3 |
对POP3协议类型数据处理的动作计数 |
|
imap |
对IMAP协议类型数据处理的动作计数 |
exception application命令用来配置应用例外并为其指定处理动作。
undo exception application命令用来删除指定的或所有的应用例外。
【命令】
exception application application-name action { alert | block | permit }
undo exception application { application-name | all }
【缺省情况】
不存在应用例外。
【视图】
防病毒策略视图
【缺省用户角色】
network-admin
【参数】
application-name:例外应用的名称。
action:指定例外应用的动作。
all:表示所有的应用例外。
alert:表示仅对病毒报文进行告警,即允许其通过并生成病毒日志。
block:表示阻断病毒报文并生成病毒日志。
permit:表示允许病毒报文通过。
【使用指导】
缺省情况下,设备基于应用层协议的防病毒动作对符合病毒特征的报文进行处理。当需要对某应用层协议上承载的某一具体应用采取不同的动作时,可以将此应用设置为应用例外。例如,对HTTP协议进行允许通过处理,但是需要对HTTP协议上承载的游戏类应用采取阻断动作,这时就可以把所有游戏类的应用设置为应用例外。
【举例】
# 配置163Email应用为应用例外并为其指定处理动作为告警。
<Sysname> system-view
[Sysname] anti-virus policy abc
[Sysname-anti-virus-policy-abc] exception application 163Email action alert
exception md5命令用来配置例外MD5值。
undo exception md5命令用来删除例外MD5值。
【命令】
exception md5 md5-value
undo exception md5 { md5-value | all }
【缺省情况】
不存在例外MD5值。
【视图】
防病毒策略视图
【缺省用户角色】
network-admin
【参数】
md5-value:表示例外MD5值。
all:表示所有的例外MD5值。
【使用指导】
如果发现某类检测出病毒的报文被误报时,用户可以通过查看防病毒日志获取MD5值并执行此命令把该报文对应的MD5值设置为例外。当后续再有检测出符合该MD5值的报文通过时,设备将对其执行允许动作。
【举例】
# 在名为abc的防病毒策略中,配置例外MD5值为2b9c5137769b613f0ea11bd51c324afc。
<Sysname> system-view
[Sysname] anti-virus policy abc
[Sysname-anti-virus-policy-abc] exception md5 2b9c5137769b613f0ea11bd51c324afc
exception signature命令用来配置病毒例外。
undo exception signature命令用来删除指定的或所有的病毒例外。
【命令】
exception signature signature-id
undo exception signature { signature-id | all }
【缺省情况】
不存在病毒例外。
【视图】
防病毒策略视图
【缺省用户角色】
network-admin
【参数】
signature-id:表示病毒特征的ID号,取值范围为1~4294967292。
all:表示所有的病毒例外。
【使用指导】
如果发现某类检测出病毒的报文被误报时,可以通过执行此命令把该报文对应的病毒特征设置为病毒例外。当后续再有检测出包含此病毒特征的报文通过时,设备将对其执行允许动作。
【举例】
# 配置ID为101000的病毒特征为病毒例外。
<Sysname> system-view
[Sysname] anti-virus policy abc
[Sysname-anti-virus-policy-abc] exception signature 101000
【相关命令】
· display anti-virus signature
inspect命令用来配置病毒检测的应用层协议类型。
undo inspect命令用来取消对指定协议的报文进行病毒检测。
【命令】
inspect { ftp | http | imap | nfs | pop3 | smb | smtp } direction { both | download | upload } [ cache-file-size file-size ] action { alert | block | redirect }
undo inspect { ftp | http | imap | nfs | pop3 | smb | smtp }
【缺省情况】
设备对FTP、HTTP、SMB、NFS和IMAP协议上传和下载方向传输的报文均进行病毒检测,对POP3协议下载方向传输的报文进行病毒检测,对SMTP协议上传方向传输的报文进行病毒检测。设备对FTP、HTTP、NFS和SMB协议报文的动作为阻断,对IMAP、SMTP和POP3协议报文的动作为告警,支持缓存的检测文件大小上限为1MB。
【视图】
防病毒策略视图
【缺省用户角色】
network-admin
【参数】
ftp:表示FTP协议。
http:表示HTTP协议。
imap:表示IMAP协议。
nfs:表示NFS协议,NFS协议仅支持NFSv3版本。
pop3:表示POP3协议。
smb:表示SMB协议,SMB协议支持SMBv1和SMBv2版本。
smtp:表示SMTP协议。
direction:表示对指定方向上的报文进行病毒检测。因为POP3协议只有下载方向,SMTP协议只支持上传方向,所以对这两种协议类型不支持配置方向属性。
both:表示会话的上传和下载方向。
download:表示会话的下载方向。
upload:表示会话的上传方向。
cache-file-size file-size:表示缓存的待检测文件大小,file-size表示文件大小,取值范围为1~24,单位为MB。仅HTTP协议支持配置此参数。
action:指定对报文的处理动作,IMAP协议只支持告警动作。
alert:表示仅对病毒报文进行告警,即允许其通过并生成病毒日志。
block:表示阻断病毒报文并生成病毒日志。
redirect:表示将携带病毒的HTTP连接重定向到指定的URL并生成病毒日志,仅对上传方向生效。
【使用指导】
配置此命令后,设备可根据报文的应用层协议类型和传输方向来对其进行病毒检测,如果检测到病毒,则对此报文执行指定的动作。
因为POP3协议只有下载方向,SMTP协议只支持上传方向,所以对这两种协议类型不支持配置方向属性。
当配置协议类型为HTTP,动作为block时,设备检测出病毒后,不仅会阻断病毒报文、生成病毒日志,还会向客户端浏览器返回提示窗口并显示告警信息。告警信息可通过导入告警文件的方式进行配置,即通过import block warning-file命令配置。有关告警文件的详细介绍,请参见“DPI深度安全配置指导”中的“应用层检测引擎”。
因为防病毒模块所支持协议的连接请求均由客户端发起,为了使连接可以成功建立并能对此连接上的报文进行病毒检测,需要管理员在配置安全策略或安全域间实例时确保客户端所在的安全域为源安全域、服务器所在的安全域为目的安全域。
【举例】
# 配置对基于HTTP协议且是下载方向上的报文进行检测病毒,动作为告警。
<Sysname> system-view
[Sysname] anti-virus policy abc
[Sysname-anti-virus-policy-abc] inspect http direction download action alert
# 配置不对基于FTP协议的报文进行病毒检测。
<Sysname> system-view
[Sysname] anti-virus policy abc
[Sysname-anti-virus-policy-abc] undo inspect ftp
【相关命令】
· import block warning-file(DPI深度安全命令参考/应用层检测引擎)
signature severity enable命令用来配置有效病毒特征的最低严重级别。
undo signature severity enable命令用来恢复缺省情况。
【命令】
signature severity { critical | high | medium } enable
undo signature severity enable
【缺省情况】
所有严重级别的病毒特征都处于生效状态。
【视图】
防病毒策略视图
【缺省用户角色】
network-admin
【参数】
critical:表示严重级别最高。
high:表示严重级别比较高。
medium:表示严重级别中等。
【使用指导】
在仅需要对某类及其以上严重级别病毒进行防御的应用需求中,可通过配置此功能来实现此需求。配置此功能后防病毒策略中只有指定的及其以上严重级别的病毒特征会生效。
【举例】
# 配置仅使High及其以上严重级别的病毒特征生效。
<Sysname> system-view
[Sysname] anti-virus policy abc
[Sysname-anti-virus-policy-abc] signature severity high enable
update schedule命令用来配置定期自动在线升级病毒特征库的时间。
undo update schedule命令用来恢复缺省情况。
【命令】
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
undo update schedule
【缺省情况】
设备在每天02:01:00至04:01:00之间自动在线升级病毒特征库。
【视图】
自动升级配置视图
【缺省用户角色】
network-admin
【参数】
daily:表示升级周期为每天。
weekly:表示以一周为周期,在指定一天进行自动升级。
fri:表示星期五。
mon:表示星期一。
sat:表示星期六。
sun:表示星期日。
thu:表示星期四。
tue:表示星期二。
wed:表示星期三。
start-time time:指定自动升级开始时间,time的格式为hh:mm:ss,取值范围为00:00:00~23:59:59。
tingle minutes:指定抖动时间,即实际自动升级开始时间的偏差范围,取值范围为0~120,单位为分钟。在start-time指定时间的前后各偏移抖动时间的一半作为自动升级的时间范围,例如,指定自动升级的开始时间为01:00:00,抖动时间为60分钟,则自动升级的时间范围为00:30:00至01:30:00。
【举例】
# 配置病毒特征库的定期自动在线升级时间为每周一20:30:00,抖动时间为10分钟。
<Sysname> system-view
[Sysname] anti-virus signature auto-update
[Sysname-anti-virus-autoupdate] update schedule weekly mon start-time 20:30:00 tingle 10
【相关命令】
· anti-virus signature auto-update
warning parameter-profile命令用来开启发送告警信息功能,并引用告警动作参数profile。
undo warning parameter-profile命令用来恢复缺省情况。
【命令】
warning parameter-profile profile-name
undo warning parameter-profile
【缺省情况】
未引用告警动作参数profile,设备不支持向客户端发送告警信息。
【视图】
防病毒策略视图
【缺省用户角色】
network-admin
【参数】
profile-name:引用的告警动作参数profile名称,为1~63个字符的字符串,不区分大小写,仅支持数字、字母和下划线。
【使用指导】
当设备检测出病毒后,支持向客户端发送告警信息。告警信息的具体内容由应用层检测引擎告警动作参数profile来定义,可通过引用该动作参数profile为告警信息提供显示内容。有关应用层检测引擎动作参数profile的具体配置,请参见“DPI深度安全配置指导”中的“应用层检测引擎”。
【举例】
# 在名为abc的防病毒策略中开启发送告警信息功能,并引用名为av1的告警动作参数profile。
<Sysname> system-view
[Sysname] anti-virus policy abc
[Sysname-anti-virus-policy-abc] warning parameter-profile av1
【相关命令】
· inspect warning parameter-profile(DPI深度安全命令参考/应用层检测引擎)
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
