- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
15-防病毒配置
本章节下载: 15-防病毒配置 (479.82 KB)
防病毒功能是一种通过对报文应用层信息进行检测来识别和处理病毒报文的安全机制。防病毒功能凭借庞大且不断更新的病毒特征库可有效保护网络安全,防止病毒在网络中的传播。将具有防病毒功能的设备部署在企业网入口,可以将病毒隔离在企业网之外,为企业内网的数据安全提供坚固的防御。
如图1所示,在如下应用场景中,隔离内网和外网的网关设备上需要部署防病毒策略来保证内部网络安全:
· 内网用户需要访问外网资源,且经常需要从外网下载各种应用数据。
· 内网的服务器需要经常接收外网用户上传的数据。
当在设备上部署防病毒策略后,正常的用户数据可以进入内部网络,携带病毒的报文会被检测出来,并被采取阻断、重定向或生成告警信息等动作。
病毒特征是设备上定义的用于识别应用层信息中是否携带病毒的字符串,由系统中的病毒特征库预定义。
MD5规则是设备上定义的用于识别传输文件是否携带病毒的检测规则,由系统中的病毒特征库预定义。
缺省情况下,设备对所有匹配病毒特征的报文均进行防病毒动作处理。但是,当管理员认为某个检测到的病毒是误报时,可以将该病毒特征设置为病毒例外,之后携带此病毒特征的报文经过时,设备将对此报文执行允许动作。
缺省情况下,设备基于应用层协议中指定的动作对符合病毒特征的报文进行处理。
当需要对某一具体应用采取的动作与其所属应用层协议的动作不同时,可以将此应用设置为应用例外。例如,对HTTP协议采取的动作是允许,但是需要对HTTP协议上承载的游戏类应用采取阻断动作,这时就可以把所有游戏类的应用均设置为应用例外。
缺省情况下,设备对所有MD5值匹配防病毒规则的报文进行防病毒动作处理。但是,当管理员发现某类检测出病毒的报文被误报时,可以通过查看防病毒日志获取MD5值并设置为例外。当后续再有检测出符合该MD5值的报文通过时,设备将对其执行允许动作。
防病毒动作是指对符合病毒特征的报文做出的处理,包括如下几种类型:
· 告警:允许病毒报文通过,同时生成病毒日志。
· 阻断:禁止病毒报文通过,同时生成病毒日志。
· 重定向:将携带病毒的HTTP连接重定向到指定的URL,同时生成病毒日志。仅对上传方向有效。
其中,病毒日志支持输出到信息中心或以邮件的方式发送到指定的收件人邮箱。
设备支持使用以下方式进行防病毒检测:
· 病毒特征匹配:设备将报文与特征库中的病毒特征进行匹配,如果匹配成功,则表示该报文携带病毒。
· MD5值匹配:设备首先对待检测文件进行MD5哈希运算,再将计算出的MD5值与特征库中的MD5规则进行匹配,如果匹配成功,则表示该文件携带病毒。其中,设备支持仅对文件头部进行MD5值匹配,当文件头部计算出的MD5值与特征库中的MD5规则匹配成功(即检测到病毒)时,设备将不再对剩余文件内容进行检测,可降低对系统性能的影响以及减少对设备内存的占用。
设备上部署防病毒策略后,对接收到的用户数据报文处理流程如图2所示:
防病毒功能是通过在DPI应用profile中引用防病毒策略,并在安全策略中引用DPI应用profile来实现的,防病毒处理的整体流程如下:
(2) 设备对应用层协议进行识别,判断协议是否为防病毒功能所支持,如果支持,则进行下一步处理;否则直接允许报文通过,不对其进行防病毒检测。
(3) 设备对报文进行病毒检测,将报文同时与特征库中的病毒特征和MD5规则进行匹配,任意一种匹配成功,则认为该报文携带病毒,并进行下一步处理;如果二者均匹配失败,则判断是否匹配MD5值例外,如果符合,则允许报文通过;如果不符合,进入步骤(5)处理。
(4) 如果报文符合病毒例外,则对此报文执行允许动作,否则继续进行下一步处理。
(5) 如果报文符合应用例外,则执行应用例外的防病毒动作(告警、阻断和允许),否则执行报文所属应用层协议的防病毒动作(告警、阻断和重定向)。
(6) 设备将报文与MD5值缓存进行匹配,缓存中保存着云端服务器的历史检测结果,包括标识为“病毒”和“非病毒”的MD5值。设备将根据报文与MD5值缓存的匹配结果进行如下判断:
a. 如果匹配到标识为“病毒”的缓存,则继续判断报文是否符合应用例外。如果符合,则执行应用例外的动作(告警、阻断和允许),如果不符合,则执行报文所属应用层协议的防病毒动作(告警、阻断和重定向)。
b. 如果匹配到标识为“非病毒”的缓存,则允许报文通过。
c. 如果未与任何MD5值缓存匹配成功,则判断设备是否开启了云端查询功能。
- 如果开启了云端查询功能,则放行报文,并同时将MD5值上送云端服务器进行病毒检测。检测完成后,设备会将服务器返回的检测结果保存到MD5值缓存中,便于后续报文在本地进行病毒检测,而不必再上送云端。
- 如果未开启云端查询功能,则直接放行报文。
病毒特征库是用来对经过设备的报文进行病毒检测的资源库。随着互联网中病毒的不断变化和发展,需要及时升级设备中的病毒特征库,同时设备也支持病毒特征库回滚功能。
病毒特征库的升级包括如下几种方式:
· 定期自动在线升级:设备根据管理员设置的时间定期自动更新本地的病毒特征库。
· 立即自动在线升级:管理员手工触发设备立即更新本地的病毒特征库。
· 手动离线升级:当设备无法自动获取病毒特征库时,需要管理员先手动获取最新的病毒特征库,再更新设备本地的病毒特征库。
如果管理员发现设备当前的病毒特征库对报文进行病毒检测的误报率较高或出现异常情况,可以将其回滚到出厂版本。
防病毒功能需要购买并正确安装License后才能使用。License过期后,防病毒功能可以采用设备中已有的病毒特征库正常工作,但无法升级特征库,且MD5值云端查询功能无法使用。关于License的详细介绍请参见“基础配置指导”中的“License管理”。
防病毒功能支持对基于FTP、HTTP、HTTPS、IMAP、IMAPS、NFS、POP3、POP3S、SMB、SMTP和SMTPS协议传输的报文进行防病毒检测。其中,HTTPS、IMAPS、POP3S和SMTPS协议需要配合SSL代理功能使用,有关SSL代理功能的详细介绍,请参见“DPI深度安全配置指导”中的“代理策略”。
防病毒配置任务如下:
(1) 配置防病毒策略
(2) (可选)配置MD5值云端查询功能
(3) (可选)配置基于文件引擎的增强检测功能
(4) 配置防病毒动作引用应用层检测引擎动作参数profile
(6) (可选)激活防病毒策略和规则配置
(8) 配置病毒特征库升级和回滚
在防病毒策略中可以配置防病毒的检测条件、对病毒报文的处理动作、病毒例外和应用例外等。
设备上的所有防病毒策略均使用当前系统中的病毒特征库对用户数据进行病毒检测和处理。
当设备检测出病毒后,支持向客户端发送告警信息。告警信息的具体内容由应用层检测引擎告警动作参数profile来定义,可通过引用该动作参数profile为告警信息提供显示内容。有关应用层检测引擎动作参数profile的具体配置请参见“DPI深度安全配置指导”中的“应用层检测引擎”。
NFS协议仅支持NFSv3版本;SMB协议支持SMBv1和SMBv2版本。
防病毒日志支持如下两种方式输出。
· 快速日志:此方式生成的日志信息直接发送到管理员指定的日志主机。
· 系统日志:此方式生成的日志信息将发送到信息中心,由信息中心决定日志的输出方向。本业务产生的系统日志不支持输出到控制台和监视终端。如需快速获取日志信息,可通过执行display logbuffer命令进行查看。
系统日志会对设备性能产生影响,建议采用快速日志方式。
有关display logbuffer命令的详细介绍,请参见“网络管理和监控命令参考”中的“信息中心”;有关快速日志的详细介绍,请参见“网络管理和监控配置指导”中的“快速日志输出”。
在RBM双机热备的非对称组网环境中(即同一条流量的报文来回路径不一致),不支持发送告警信息功能,即使配置了本命令,其功能也不会生效。有关RBM双机热备的详细介绍,请参见“高可靠性配置指导”中的“双机热备(RBM)”。
开启发送告警信息功能后,设备会对匹配防病毒策略的HTTP流量进行代理,将对设备性能产生较大影响,请根据实际情况判断是否需要开启上述功能。
(1) 进入系统视图。
system-view
(2) 创建防病毒策略,并进入防病毒策略视图。
anti-virus policy policy-name
缺省情况下,存在一个缺省防病毒策略,名称为default,且其不能被修改和删除。
(3) (可选)配置防病毒策略描述信息。
description text
(4) 配置病毒检测的应用层协议类型。
inspect { ftp | http | imap | nfs | pop3 | smb | smtp } direction { both | download | upload } [ cache-file-size file-size ] action { alert | block | redirect }
缺省情况下,设备对FTP、HTTP、IMAP、NFS和SMB协议在上传和下载方向传输的报文均进行病毒检测,对POP3协议在下载方向传输的报文进行病毒检测,对SMTP协议在上传方向传输的报文进行病毒检测。设备对FTP、HTTP、NFS和SMB协议报文的动作为阻断,对IMAP、SMTP和POP3协议报文的动作为告警,支持缓存的检测文件大小上限为1MB。因为POP3协议只有下载方向,SMTP协议只支持上传方向,所以对这两种协议类型不支持配置方向属性。
(5) (可选)开启发送告警信息功能,并引用告警动作参数profile。
warning parameter-profile profile-name
缺省情况下,未引用告警动作参数profile,设备不支持向客户端发送告警信息。
发送告警信息功能仅在病毒检测的应用层协议类型为HTTP,且动作为block时生效。
(6) (可选)配置病毒例外。
exception signature signature-id
(7) (可选)配置应用例外并为其指定处理动作。
exception application application-name action { alert | block | permit }
(8) (可选)配置MD5值例外。
exception md5 md5-value
(9) 配置有效病毒特征的最低严重级别。
signature severity { critical | high | medium } enable
缺省情况下,所有严重级别的病毒特征都处于生效状态。
开启防病毒MD5值云端查询功能后,当设备未检测到病毒时,可将文件的MD5值发往云端服务器进行查询。云端服务器响应该请求,并向设备发送查询结果,该结果中包含了MD5值并确认其是否为病毒。防病毒模块会将云端服务器返回的查询结果保存到MD5值缓存中,便于后续报文在本地进行病毒检测。有关云端服务器的详细介绍,请参见“DPI深度安全配置指导”中的“应用层检测引擎”。
对于压缩文件,设备会先对其进行解压缩,直到达到最大解压缩文件层数(通过inspect file-uncompr-layer命令设置)为止。设备会将压缩文件的MD5值以及所有解压缩后子文件的MD5值上送云端查询。有关最大解压缩文件层数的详细介绍,请参见“DPI深度安全配置指导”中的“应用层检测引擎”。
(1) 进入系统视图。
system-view
(2) 配置云端服务器的主机名。
inspect cloud-server host-name
缺省情况下,云端服务器主机名为sec.h3c.com。
(3) (可选)配置防病毒MD5值缓存中可缓存记录的上限。
anti-virus cache size cache-size
缺省情况下,防病毒MD5值缓存中可缓存记录的上限为10万条。
(4) (可选)配置防病毒MD5值缓存条目的最短保留时间。
anti-virus cache min-time value
缺省情况下,防病毒MD5值缓存条目的最短保留时间为10分钟。
(5) 进入防病毒策略视图。
anti-virus policy policy-name
(6) 开启MD5值云端查询功能。
cloud-query enable
缺省情况下,MD5值云端查询功能处于关闭状态。
开启本功能后,设备会对报文中识别出的文件进行缓存,当防病毒业务未识别出病毒时,会将缓存的待检测文件发往智能业务平台继续进行病毒检测,从而提高病毒识别成功率。当缓存文件超出配置的缓存大小上限时,则不上送文件至平台检测。
设备上不能同时配置文件引擎增强检测功能和智能业务平台增强检测功能。
(1) 进入系统视图。
system-view
(2) 开启防病毒增强检测功能。
enhanced-inspect anti-virus enable
缺省情况下,防病毒增强检测功能处于关闭状态。
(3) 配置增强检测服务的IP地址。
intelligent-inspect ip ip-address
缺省情况下,未配置增强检测服务地址。
本命令配置的IP地址为智能业务平台的内联口IP地址,设备将根据此IP地址将待检测文件上送到智能业务平台进行检测。
关于该命令的详细介绍,请参见“DPI深度安全命令参考”中的“智能业务平台”。
(4) (可选)配置防病毒增强检测缓存文件大小上限。
enhanced-inspect anti-virus cache-file-size file-size
缺省情况下,防病毒增强检测缓存文件大小上限为1MB。
(5) (可选)配置防病毒增强检测的文件类型。
enhanced-inspect anti-virus file-type { all | name &<1-8> }
缺省情况下,防病毒增强检测的文件类型为PE、ELF、OFFICE和压缩包文件。
开启基于文件引擎的增强检测功能后,设备会对报文中识别出的文件进行缓存,当防病毒业务未识别出病毒时,会将缓存的待检测文件发往文件引擎继续进行病毒检测,文件引擎响应该请求并完成检测,会将检测结果发送给设备,设备会将检测结果保存到本地各业务的缓存中,便于后续报文直接在本地进行业务检测,而不必再上送文件引擎查询。当缓存文件超出配置的缓存大小上限时,则不上送文件至文件引擎进行检测。
设备上不能同时配置文件引擎增强检测功能和智能业务平台增强检测功能。
配置本功能前,请确保已经导入文件引擎安装包和正确安装防病毒增强检测文件引擎特征库。
(1) 进入系统视图。
system-view
(2) 安装防病毒增强检测文件引擎文件。
enhanced-inspect anti-virus file-engine install type { all | module } file-path
缺省情况下,未安装防病毒增强检测文件引擎文件。
(3) 开启防病毒文件引擎增强检测功能。
enhanced-inspect anti-virus file-engine enable
缺省情况下,防病毒文件引擎增强检测功能处于关闭状态。
(4) (可选)配置防病毒文件引擎增强检测缓存文件大小上限。
enhanced-inspect anti-virus file-engine cache-file-size file-size
缺省情况下,防病毒增强检测缓存文件大小上限为1MB。
(5) (可选)配置防病毒增强检测的文件类型。
enhanced-inspect anti-virus file-type { all | name &<1-8> }
缺省情况下,防病毒增强检测的文件类型为PE、ELF、OFFICE和压缩包文件。
防病毒动作的具体执行参数(例如,邮件服务器的地址、输出日志的方式和对报文重定向的URL)由应用层检测引擎各动作参数profile来定义,可通过引用各动作参数profile为防病毒动作提供执行参数。应用层检测引擎动作参数profile的具体配置请参见“DPI深度安全配置指导”中的“应用层检测引擎”。
如果防病毒动作没有引用应用层检测引擎动作参数profile,或者引用的动作参数profile不存在,则使用系统中各动作参数的缺省值。
(1) 进入系统视图。
system-view
(2) 配置防病毒动作引用应用层检测引擎动作参数profile。
anti-virus { email | logging | redirect } parameter-profile profile-name
缺省情况下,防病毒动作未引用应用层检测引擎动作参数profile。
DPI应用profile是一个安全业务的配置模板,为实现防病毒功能,必须在DPI应用profile中引用指定的防病毒策略。一个DPI应用profile中只能引用一个防病毒策略,如果重复配置,则新的配置会覆盖已有配置。
(1) 进入系统视图。
system-view
(2) 进入DPI应用profile视图。
app-profile profile-name
关于该命令的详细介绍请参见“DPI深度安全命令参考”中的“应用层检测引擎”。
(3) 在DPI应用profile中引用防病毒策略。
anti-virus apply policy policy-name mode { alert | protect }
缺省情况下,DPI应用profile中未引用防病毒策略。
缺省情况下,当防病毒业务发生配置变更时(即策略或规则被创建、修改和删除),系统将会检测在20秒的间隔时间内是否再次发生了配置变更,并根据判断结果执行如下操作:
· 如果间隔时间内未发生任何配置变更,则系统将在下一个间隔时间结束时(即40秒时)执行一次激活操作,使这些策略和规则的配置生效。
· 如果间隔时间内再次发生了配置变更,则系统将继续按照间隔时间周期性地检测是否发生配置变更。
如果用户希望对变更的配置立即进行激活,可执行inspect activate命令手工激活,使配置立即生效。
有关此功能的详细介绍请参见“DPI深度安全配置指导”中的“应用层检测引擎”。
(1) 进入系统视图。
system-view
(2) 激活防病毒策略和规则配置。
inspect activate
缺省情况下,防病毒策略和规则被创建、修改和删除后,系统会自动激活配置使其生效。
执行此命令会暂时中断DPI业务的处理,可能导致其他基于DPI功能的业务同时出现中断。例如,安全策略无法对应用进行访问控制等。
(1) 进入系统视图。
system-view
(2) 进入安全策略视图。
security-policy { ip | ipv6 }
(3) 进入安全策略规则视图。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略规则的动作为允许。
action pass
缺省情况下,安全策略规则动作是丢弃。
(5) 配置安全策略规则引用DPI应用profile。
profile app-profile-name
缺省情况下,安全策略规则中未引用DPI应用profile。
· 请勿删除设备存储介质根目录下的/dpi/文件夹,否则设备升级或回滚特征库会失败。
· 当系统内存使用状态处于告警门限状态时,请勿进行特征库升级或回滚,否则易造成设备特征库升级或回滚失败,进而影响防病毒的正常运行。有关内存告警门限状态的详细介绍请参见“基础配置指导”中的“设备管理”。
· 自动在线升级(包括定期自动在线升级和立即自动在线升级)防病毒特征库时,需要确保设备能通过静态或动态域名解析方式获得H3C官方网站的IP地址,并与之路由可达,否则设备升级防病毒特征库会失败。有关域名解析功能的配置请参见“三层技术-IP业务配置指导”中的“域名解析”。
· 同一时刻只能对一个特征库进行升级,如果当前已有其他特征库正在升级,请稍后再试。
如果设备可以访问H3C官方网站,可以采用定期自动在线升级方式来对设备上的病毒特征库进行升级。
(1) 进入系统视图。
system-view
(2) 开启定期自动在线升级病毒特征库功能,并进入自动在线升级配置视图。
anti-virus signature auto-update
缺省情况下,定期自动在线升级病毒特征库功能处于关闭状态。
(3) 配置定期自动在线升级病毒特征库的时间。
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
缺省情况下,设备在每天02:01:00至04:01:00之间自动升级病毒特征库。
当管理员发现H3C官方网站上的特征库服务专区中的病毒特征库有更新时,可以采用立即自动在线升级方式来及时升级病毒特征库版本。
(1) 进入系统视图。
system-view
(2) 立即自动在线升级病毒特征库。
anti-virus signature auto-update-now
如果设备不能访问H3C官方网站上的特征库服务专区,管理员可以采用如下几种方式手动离线升级病毒特征库版本。
· 本地升级:使用本地保存的特征库文件升级系统上的病毒特征库版本。
· FTP/TFTP升级:通过FTP或TFTP方式下载远程服务器上保存的特征库文件,并升级系统上的病毒特征库版本。
使用本地升级方式离线升级特征库版本时,特征库文件只能存储在当前主用设备上,否则设备升级特征库会失败。
如果管理员希望手动离线升级特征库时发送给TFTP、FTP服务器的请求报文的源IP地址是一个特定的地址时,可配置source参数。例如,当组网环境中设备发出的报文需要经过NAT地址转换后才能访问TFTP、FTP服务器时,则需要管理员通过source参数指定一个符合NAT地址转换规则的源IP地址(其中,如果设备需要经过一台独立的NAT设备进行地址转换时,本命令指定的IP地址必须可以与NAT设备三层路由可达),使设备发出的报文可以进行NAT地址转换等处理,正常访问TFTP、FTP服务器。
当同时配置了source和vpn-instance参数时,需要保证source中指定的源IP地址或接口所属VPN实例与vpn-instance中配置的VPN实例相同。
(1) 进入系统视图。
system-view
(2) 手动离线升级病毒特征库。
anti-virus signature update file-path [ vpn-instance vpn-instance-name ] [ source { ip | ipv6 } { ip-address | interface interface-type interface-number } ]
H3C官方网站上的特征库服务专区根据设备的内存大小以及软件版本为用户提供了不同的特征库。管理员需要根据设备实际情况获取相应的特征库,如果为小内存设备(8GB以下)升级了适用于大内存设备(8GB以上)的特征库,可能会导致设备异常,请谨慎操作。
(1) 进入系统视图。
system-view
(2) 回滚病毒特征库。
anti-virus signature rollback factory
· 请勿删除设备存储介质根目录下的/dpi/文件夹,否则设备升级或删除特征库会失败。
· 当系统内存使用状态处于告警门限状态时,请勿进行特征库升级或回滚,否则易造成设备特征库升级或回滚失败,进而影响防病毒的正常运行。有关内存告警门限状态的详细介绍请参见“基础配置指导”中的“设备管理”。
· 自动在线升级(包括定期自动在线升级和立即自动在线升级)防病毒增强检测文件引擎特征库时,需要确保设备能通过静态或动态域名解析方式获得H3C官方网站的IP地址,并与之路由可达,否则设备升级防病毒特征库会失败。有关域名解析功能的配置请参见“三层技术-IP业务配置指导”中的“域名解析”。
· 同一时刻只能对一个特征库进行升级,如果当前已有其他特征库正在升级,请稍后再试。
如果设备可以访问H3C官方网站,可以采用定期自动在线升级方式来对设备上的防病毒增强检测文件引擎特征库进行升级。
(1) 进入系统视图。
system-view
(2) 开启定期自动在线升级防病毒增强检测文件引擎特征库功能,并进入自动在线升级配置视图。
enhanced-inspect anti-virus signature auto-update
缺省情况下,定期自动在线升级防病毒增强检测文件引擎特征库功能处于关闭状态。
(3) 配置定期自动在线升级防病毒增强检测文件引擎特征库的时间。
update schedule { weekly { fri | mon | sat | sun | thu | tue | wed } | daily } start-time time
缺省情况下,设备在每天的02:00:00自动在线升级防病毒增强检测文件引擎特征库。
当管理员发现H3C官方网站上的特征库服务专区中的防病毒增强检测文件引擎特征库有更新时,可以采用立即自动在线升级方式来及时升级防病毒增强检测文件引擎特征库版本。
(1) 进入系统视图。
system-view
(2) 立即自动在线升级防病毒增强检测文件引擎特征库。
enhanced-inspect anti-virus signature auto-update-now
如果设备不能访问H3C官方网站上的特征库服务专区,管理员可以采用如下几种方式手动离线升级防病毒增强检测文件引擎特征库版本。
· 文件升级:使用文件保存的特征库文件升级系统上的防病毒增强检测文件引擎特征库版本。
· FTP/TFTP升级:通过FTP或TFTP方式下载远程服务器上保存的特征库文件,并升级系统上的防病毒增强检测文件引擎特征库版本。
使用文件升级方式离线升级特征库版本时,特征库文件只能存储在当前主用设备上,否则设备升级特征库会失败。
如果管理员希望手动离线升级特征库时发送给TFTP、FTP服务器的请求报文的源IP地址是一个特定的地址时,可配置source参数。例如,当组网环境中设备发出的报文需要经过NAT地址转换后才能访问TFTP、FTP服务器时,则需要管理员通过source参数指定一个符合NAT地址转换规则的源IP地址(其中,如果设备需要经过一台独立的NAT设备进行地址转换时,本命令指定的IP地址必须可以与NAT设备三层路由可达),使设备发出的报文可以进行NAT地址转换等处理,正常访问TFTP、FTP服务器。
当同时配置了source和vpn-instance参数时,需要保证source中指定的源IP地址或接口所属VPN实例与vpn-instance中配置的VPN实例相同。
(1) 进入系统视图。
system-view
(2) 手动离线升级防病毒增强检测文件引擎特征库。
enhanced-inspect anti-virus signature update file-path [ vpn-instance vpn-instance-name ][ source { ip | ipv6 } { ip-address | interface interface-type interface-number }]
H3C官方网站上的特征库服务专区根据设备的内存大小以及软件版本为用户提供了不同的特征库。管理员需要根据设备实际情况获取相应的特征库,如果为小内存设备(8GB以下)升级了适用于大内存设备(8GB以上)的特征库,可能会导致设备异常,请谨慎操作。
如果管理员发现设备当前内存不足或不需要防病毒增强检测文件引擎特征库时,可以执行本命令对当前防病毒增强检测文件引擎特征库版本进行删除,以释放内存空间。
(1) 进入系统视图。
system-view
(2) 删除防病毒增强检测文件引擎特征库。
enhanced-inspect anti-virus signature rollback factory
开启防病毒文件引擎增强检测日志功能后,日志信息将被输出到缺省dpi/av/enhanced-inspectlog目录中,请不要删除该目录,以免影响日志存储。此文件最多存储5MB,当数据超过5MB时,系统将按照创建时间删除较早的日志文件。
在企业环境中,当设备检测到可疑活动或潜在威胁时,详细的日志记录能够及时提供关键信息,帮助快速定位问题源头。通过深入分析日志,可以提前发现和修复潜在漏洞,保障企业敏感数据的安全,降低运营风险。
(1) 进入系统视图。
system-view
(2) 开启防病毒文件引擎增强检测日志功能。
enhanced-inspect anti-virus file-engine log enable
缺省情况下,防病毒文件引擎增强检测日志功能处于关闭状态。
完成上述配置后,在任意视图下执行display命令可以显示配置后防病毒的运行情况,通过查看显示信息验证配置的效果。
表1 防病毒显示和维护
|
操作 |
命令 |
|
显示防病毒缓存信息 |
display anti-virus cache [ slot slot-number ] |
|
显示病毒特征信息 |
display anti-virus signature [ [ signature-id ] | [ severity { critical | high | low | medium } ] ] |
|
显示病毒特征家族信息 |
display anti-virus signature family-info |
|
显示病毒特征库版本信息 |
display anti-virus signature library |
|
显示防病毒统计信息 |
display anti-virus statistics [ policy policy-name ] [ slot slot-number ] |
|
显示防病毒文件引擎增强检测统计信息 |
display enhanced-inspect anti-virus file-engine statistics [ slot slot-number ] |
|
显示防病毒文件引擎增强检测状态 |
display enhanced-inspect anti-virus file-engine status [ slot slot-number ] |
|
显示防病毒增强检测文件引擎特征库信息 |
display enhanced-inspect anti-virus signature library |
如2. 图3所示,Device分别通过Trust安全域和Untrust安全域与局域网和Internet相连。现要求使用设备上的缺省防病毒策略对用户数据报文进行防病毒检测和防御。
表2 组网图示例接口与设备实际接口对应关系
|
组网图示例接口 |
设备实际接口 |
|
Interface1 |
GigabitEthernet1/0/1 |
|
Interface2 |
GigabitEthernet1/0/2 |
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Sysname> system-view
[Sysname] sysname Device
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] ip address 2.2.2.1 255.255.255.0
[Device-GigabitEthernet1/0/2] quit
(2) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设到达外网Web Server的下一跳IP地址为2.2.2.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 5.5.5.0 24 2.2.2.2
(3) 配置接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置DPI应用profile并激活防病毒策略配置
# 创建名为sec的DPI应用profile,在DPI应用profile sec中引用缺省防病毒策略default,并指定该防病毒策略的模式为protect。
[Device] app-profile sec
[Device-app-profile-sec] anti-virus apply policy default mode protect
[Device-app-profile-sec] quit
# 激活防病毒策略配置。
[Device] inspect activate
(5) 配置安全策略
# 配置名称为trust-untrust的安全策略规则,使内网用户可以访问外网,并对交互报文进行防病毒检测。具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-10-trust-untrust] source-zone trust
[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-10-trust-untrust] destination-zone untrust
[Device-security-policy-ip-10-trust-untrust] action pass
[Device-security-policy-ip-10-trust-untrust] profile sec
[Device-security-policy-ip-10-trust-untrust] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
以上配置生效后,使用缺省防病毒策略可以对已知攻击类型的网络攻击进行防御。
interface GigabitEthernet1/0/1
ip address 192.168.1.1 255.255.255.0
#
interface GigabitEthernet1/0/2
ip address 2.2.2.1 255.255.255.0
#
security-zone name Trust
import interface GigabitEthernet1/0/1
#
security-zone name Untrust
import interface GigabitEthernet1/0/2
#
ip route-static 5.5.5.0 24 2.2.2.2
#
app-profile sec
anti-virus apply policy default mode protect
#
inspect activate
#
security-policy ip
accelerate enhanced enable
rule 10 name trust-untrust
action pass
profile sec
source-zone trust
destination-zone untrust
source-ip-subnet 192.168.1.0 255.255.255.0
#
如2. 图4所示,Device分别通过Trust安全域和Untrust安全域与局域网和Internet相连。现有组网需求如下:
· 将编号为2的预定义病毒特征设置为病毒例外。
· 将名称为139Email的应用设置为应用例外。
表3 组网图示例接口与设备实际接口对应关系
|
组网图示例接口 |
设备实际接口 |
|
Interface1 |
GigabitEthernet1/0/1 |
|
Interface2 |
GigabitEthernet1/0/2 |
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Sysname> system-view
[Sysname] sysname Device
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] ip address 2.2.2.1 255.255.255.0
[Device-GigabitEthernet1/0/2] quit
(2) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设到达外网Web Server的下一跳IP地址为2.2.2.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 5.5.5.0 24 2.2.2.2
(3) 配置接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置防病毒策略
# 创建一个名称为antivirus1的防病毒策略,将编号为2的预定义病毒特征设置为病毒例外,将名称为139Email的应用设置为应用例外,并设置其动作为告警。
[Device] anti-virus policy antivirus1
[Device-anti-virus-policy-antivirus1] exception signature 2
[Device-anti-virus-policy-antivirus1] exception application 139Email action alert
[Device-anti-virus-policy-antivirus1] quit
(5) 配置DPI应用profile并激活防病毒策略配置
# 创建名为sec的DPI应用profile,在DPI应用profile sec中应用防病毒策略antivirus1,并指定该防病毒策略的模式为protect。
[Device] app-profile sec
[Device-app-profile-sec] anti-virus apply policy antivirus1 mode protect
[Device-app-profile-sec] quit
# 激活防病毒策略配置。
[Device] inspect activate
(6) 配置安全策略
# 配置名称为trust-untrust的安全策略规则,使内网用户可以访问外网,并对交互报文进行防病毒检测。具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-10-trust-untrust] source-zone trust
[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-10-trust-untrust] destination-zone untrust
[Device-security-policy-ip-10-trust-untrust] action pass
[Device-security-policy-ip-10-trust-untrust] profile sec
[Device-security-policy-ip-10-trust-untrust] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
以上配置生效后,在防病毒策略antivirus1中可看到以上有关防病毒策略的配置。
#
interface GigabitEthernet1/0/1
ip address 192.168.1.1 255.255.255.0
#
interface GigabitEthernet1/0/2
ip address 2.2.2.1 255.255.255.0
#
security-zone name Trust
import interface GigabitEthernet1/0/1
#
security-zone name Untrust
import interface GigabitEthernet1/0/2
#
ip route-static 5.5.5.0 24 2.2.2.2
#
anti-virus policy antivirus1
exception signature 2
exception application 139Email action alert
#
app-profile sec
anti-virus apply policy antivirus1 mode protect
#
inspect activate
#
security-policy ip
accelerate enhanced enable
rule 10 name trust-untrust
action pass
profile sec
source-zone trust
destination-zone untrust
source-ip-subnet 192.168.1.0 255.255.255.0
#
如2. 图5所示,位于Trust安全域的局域网用户通过Device可以访问Untrust安全域的Internet资源,以及DMZ安全域的FTP服务器。FTP服务器根目录下保存了最新的病毒特征库文件anti-virus-1.0.8-encrypt.dat,FTP服务器的登录用户名和密码分别为anti-virus和123。现需要手动离线升级病毒特征库,加载最新的病毒特征。
表4 组网图示例接口与设备实际接口对应关系
|
组网图示例接口 |
设备实际接口 |
|
Interface1 |
GigabitEthernet1/0/1 |
|
Interface2 |
GigabitEthernet1/0/2 |
|
Interface |
GigabitEthernet1/0/3 |
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Sysname> system-view
[Sysname] sysname Device
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] ip address 2.2.2.1 255.255.255.0
[Device-GigabitEthernet1/0/2] quit
[Device] interface gigabitethernet 1/0/3
[Device-GigabitEthernet1/0/3] ip address 192.168.2.1 255.255.255.0
[Device-GigabitEthernet1/0/3] quit
(2) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设到达外网Web Server的下一跳IP地址为2.2.2.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 5.5.5.0 24 2.2.2.2
(3) 配置接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/3
[Device-security-zone-DMZ] quit
(4) 配置安全策略
¡ 配置安全策略规则放行Trust到Untrust安全域的流量,使内网用户可以访问外网资源
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-10-trust-untrust] source-zone trust
[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-10-trust-untrust] destination-zone untrust
[Device-security-policy-ip-10-trust-untrust] action pass
[Device-security-policy-ip-10-trust-untrust] quit
¡ 配置安全策略规则放行Trust到DMZ安全域的流量,使内网用户可以访问DMZ安全域中的服务器
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-dmz
[Device-security-policy-ip-11-trust-dmz] source-zone trust
[Device-security-policy-ip-11-trust-dmz] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-11-trust-dmz] destination-zone dmz
[Device-security-policy-ip-11-trust-dmz] action pass
[Device-security-policy-ip-11-trust-dmz] quit
¡ 配置安全策略规则放行设备与FTP服务器之间的流量,使设备可以访问FTP服务器,获取特征库文件
[Device] security-policy ip
[Device-security-policy-ip] rule name downloadlocalout
[Device-security-policy-ip-12-downloadlocalout] source-zone local
[Device-security-policy-ip-12-downloadlocalout] destination-zone dmz
[Device-security-policy-ip-12-downloadlocalout] destination-ip-subnet 192.168.2.0 24
[Device-security-policy-ip-12-downloadlocalout] application ftp
[Device-security-policy-ip-12-downloadlocalout] application ftp-data
[Device-security-policy-ip-12-downloadlocalout] action pass
[Device-security-policy-ip-12-downloadlocalout] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
(5) 手动升级防病毒特征库
# 采用FTP方式手动离线升级设备上的病毒特征库,被加载的病毒特征库文件名为anti-virus-1.0.8-encrypt.dat。
[Device] anti-virus signature update ftp:// anti-virus:[email protected]/anti-virus-1.0.8-encrypt.dat
病毒特征库升级后,可以通过display anti-virus signature library命令查看当前特征库的版本信息。
#
interface GigabitEthernet1/0/1
ip address 192.168.1.1 255.255.255.0
#
interface GigabitEthernet1/0/2
ip address 2.2.2.1 255.255.255.0
#
interface GigabitEthernet1/0/3
ip address 192.168.2.1 255.255.255.0
#
security-zone name Trust
import interface GigabitEthernet1/0/1
#
security-zone name DMZ
import interface GigabitEthernet1/0/3
#
security-zone name Untrust
import interface GigabitEthernet1/0/2
#
ip route-static 5.5.5.0 24 2.2.2.2
#
security-policy ip
accelerate enhanced enable
rule 10 name trust-untrust
action pass
source-zone trust
destination-zone untrust
source-ip-subnet 192.168.1.0 255.255.255.0
rule 11 name trust-dmz
action pass
source-zone trust
destination-zone dmz
source-ip-subnet 192.168.1.0 255.255.255.0
rule 12 name downloadlocalout
action pass
source-zone local
destination-zone dmz
destination-ip-subnet 192.168.2.0 255.255.255.0
application ftp
application ftp-data
#
anti-virus signature update ftp:// anti-virus:[email protected]/anti-virus-1.0.8-encrypt.dat
#
如2. 图6所示,位于Trust安全域的局域网用户通过Device可以访问Untrust安全域的Internet资源。现要求每周六上午九点前后半小时内,开始定期自动在线升级设备的病毒特征库。
表5 组网图示例接口与设备实际接口对应关系
|
组网图示例接口 |
设备实际接口 |
|
Interface1 |
GigabitEthernet1/0/1 |
|
Interface2 |
GigabitEthernet1/0/2 |
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Sysname> system-view
[Sysname] sysname Device
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] ip address 2.2.2.1 255.255.255.0
[Device-GigabitEthernet1/0/2] quit
(2) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设到达外网Web Server的下一跳IP地址为2.2.2.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 5.5.5.0 24 2.2.2.2
(3) 配置接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置DNS服务器地址
# 指定DNS服务器的IP地址为10.72.66.36,确保Device可以获取到官网的IP地址,具体配置步骤如下。
[Device] dns server 10.72.66.36
(5) 配置安全策略
¡ 配置安全策略规则放行Trust到Untrust安全域的流量,使内网用户可以访问外网资源
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-10-trust-untrust] source-zone trust
[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-10-trust-untrust] destination-zone untrust
[Device-security-policy-ip-10-trust-untrust] action pass
[Device-security-policy-ip-10-trust-untrust] quit
¡ 配置安全策略规则放行Local到Untrust安全域的流量,使设备可以访问官网的特征库服务专区,获取特征库文件
[Device] security-policy ip
[Device-security-policy-ip] rule name downloadlocalout
[Device-security-policy-ip-11-downloadlocalout] source-zone local
[Device-security-policy-ip-11-downloadlocalout] destination-zone untrust
[Device-security-policy-ip-11-downloadlocalout] action pass
[Device-security-policy-ip-11-downloadlocalout] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
(6) 配置定期自动在线升级病毒特征库
# 设置定时自动升级病毒特征库计划为:每周六上午9:00:00前后30分钟内,开始自动升级。
[Device] anti-virus signature auto-update
[Device-anti-virus-autoupdate] update schedule weekly sat start-time 9:00:00 tingle 60
[Device-anti-virus-autoupdate] quit
设置的定期自动在线升级病毒特征库时间到达后,可以通过display anti-virus signature library命令查看当前特征库的版本信息
#
dns server 10.72.66.36
#
interface GigabitEthernet1/0/1
ip address 192.168.1.1 255.255.255.0
#
interface GigabitEthernet1/0/2
ip address 2.2.2.1 255.255.255.0
#
security-zone name Trust
import interface GigabitEthernet1/0/1
#
security-zone name Untrust
import interface GigabitEthernet1/0/2
#
ip route-static 5.5.5.0 24 2.2.2.2
#
dns server 10.72.66.36
#
security-policy ip
accelerate enhanced enable
rule 10 name trust-untrust
action pass
source-zone trust
destination-zone untrust
source-ip-subnet 192.168.1.0 255.255.255.0
rule 11 name downloadlocalout
action pass
source-zone local
destination-zone untrust
anti-virus signature auto-update
update schedule weekly sat start-time 9:00:00 tingle 60
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
