防病毒

特性简介

防病毒功能是一种通过对报文应用层信息进行检测来识别和处理病毒报文的安全机制。防病毒功能凭借庞大且不断更新的病毒特征库可有效保护网络安全，防止病毒在网络中的传播。将具有防病毒功能的设备部署在企业网入口，可以将病毒隔离在企业网之外，为企业内网的数据安全提供坚固的防御。

应用场景

图-1 防病毒典型应用场景

如图-1所示，在如下应用场景中，隔离内网和外网的网关设备上需要部署防病毒配置文件来保证内部网络安全：

• 内网用户需要访问外网资源，且经常需要从外网下载各种应用数据。

• 内网的服务器需要经常接收外网用户上传的数据。

当在设备上部署防病毒配置文件后，正常的用户数据可以进入内部网络，携带病毒的报文会被检测出来，并被采取阻断、重定向或生成告警信息等动作。

基本概念

病毒特征

病毒特征是设备上定义的用于识别应用层信息中是否携带病毒的字符串，由系统中的病毒特征库预定义。

MD5规则

MD5规则是设备上定义的用于识别传输文件是否携带病毒的检测规则，由系统中的病毒特征库预定义。

病毒例外

缺省情况下，设备对所有匹配病毒特征的报文均进行防病毒动作处理。但是，当管理员认为已检测到的某个病毒为误报时，可以将该病毒特征设置为病毒例外，之后携带此病毒特征的报文经过时，设备将对此报文执行允许动作。

应用例外

缺省情况下，设备基于应用层协议的防病毒动作对符合病毒特征的报文进行处理。当需要对某应用层协议上承载的某一具体应用采取不同的动作时，可以将此应用设置为应用例外。例如，对HTTP协议采取的动作是允许，但是需要对HTTP协议上承载的游戏类应用采取阻断动作，这时就可以把所有游戏类的应用均设置为应用例外。

MD5值例外

如果发现某类检测出病毒的报文被误报时，用户可以通过查看威胁日志获取病毒的MD5值，并将该MD5值设置为例外。当后续再有检测出符合该MD5值的报文通过时，设备将对其执行允许动作。

防病毒动作

防病毒动作是指对符合病毒特征的报文做出的处理，包括如下几种类型：

• 告警：允许病毒报文通过，同时生成病毒日志。

• 阻断：禁止病毒报文通过，同时生成病毒日志。

• 重定向：将携带病毒的HTTP连接重定向到指定的URL，同时生成病毒日志。

• 允许：允许病毒报文通过。

防病毒检测方式

设备支持使用以下方式进行防病毒检测：

• 病毒特征匹配：设备将报文与特征库中的病毒特征进行匹配，如果匹配成功，则表示该报文携带病毒。

• MD5值匹配：设备首先对待检测文件进行MD5哈希运算，再将计算出的MD5值与特征库中的MD5规则进行匹配，如果匹配成功，则表示该文件携带病毒。

云端查询

在防病毒配置文件中开启防病毒MD5值云端查询功能后，当设备无法识别出病毒时，会将未识别出的文件的MD5值发往云端服务器进行查询。云端服务器响应该请求，并向设备发送查询结果，该结果中包含了MD5值并确认其是否为病毒，设备根据该结果执行相应的处理动作。如果云端未查询到该MD5值，或查询结果为非病毒，则设备将放行此报文。

DTLS协议:表示（Datagram Transport Layer Security，数据报传输层安全）是一种用于保护数据报协议的安全协议。适用于低延迟的场景，如实时通信（VoIP、视频会议）、物联网设备（无线传感器网络）和流媒体服务。

HTTPS协议:表示（HyperText Transfer Protocol Secure）是一种用于通过安全通信通道传输超文本数据的协议。适用于所有需要保护数据传输安全的场景，如在线银行、社交媒体平台、邮件服务和任何需要用户身份验证和数据加密的Web应用。

防病毒数据处理流程

设备上部署防病毒配置文件后，对接收到的用户数据报文处理流程如图-2所示：

图-2 防病毒数据处理流程图

防病毒处理的整体流程如下：

1. 如果虚服务器引用了防病毒配置文件，则设备将继续识别此报文的应用层协议。

2. 设备对应用层协议进行识别，判断协议是否为防病毒功能所支持，如果支持，则进行下一步处理；否则直接允许报文通过，不对其进行防病毒检测。

3. 设备对报文进行病毒检测，将报文同时与特征库中的病毒特征和MD5规则进行匹配，任意一种匹配成功，则认为该报文携带病毒，并进行下一步处理；如果二者均匹配失败，则判断是否匹配MD5值例外，如果符合，则允许报文通过；如果不符合，则上送到云端服务器检测（即进入步骤（6）处理）；如果未开启云端查询功能或云端服务器不可用，则对该报文执行允许动作。

4. 如果报文符合病毒例外，则对此报文执行允许动作，否则继续进行下一步处理。

5. 如果报文符合应用例外，则执行应用例外的防病毒动作（告警、阻断和允许），否则执行报文所属应用层协议的防病毒动作（告警、阻断和重定向）。

6. 如果云端服务器检测到病毒，则判断是否符合应用例外。如果报文符合应用例外，则执行应用例外的动作（告警、阻断和允许）；如果不符合，则执行报文所属应用层协议的防病毒动作（告警、阻断和重定向）。

vSystem相关说明

非缺省vSystem对于本特性的支持情况，请以页面的实际显示为准。

License支持情况

防病毒功能需要购买并正确安装License才能使用。License过期后，防病毒功能可以采用设备中已有的病毒特征库正常工作，但无法升级特征库且云端查询功能无法使用。关于License的详细介绍请参见“License配置”。

使用限制和注意事项

• 执行“提交”操作会暂时中断DPI业务的处理，可能导致其他基于DPI功能的业务同时出现中断。例如，服务器负载均衡业务无法基于应用进行负载分担等。

• 执行“提交”操作后，界面上会提示设置成功，但是配置文件此时可能尚未完成激活，如果此时报文经过设备，可能会出现暂时无法识别的情况。

• 设备支持对压缩文件以及解压缩后的最终子文件进行云端查询。

• 配置告警信息模板后，设备会对匹配防病毒配置文件的HTTP流量进行代理，将对设备性能产生较大影响，请根据实际情况判断是否需要配置告警信息模板。

• 云端查询功能的支持情况与设备型号有关，请以页面的实际显示为准。

配置指南

配置思路

防病毒功能的配置思路如下图所示：

图-3 防病毒功能配置指导图

配置准备

缺省防病毒配置任务

设备上存在一个名称为default的防病毒配置文件，不可对其进行修改和删除操作，缺省防病毒配置文件使用当前系统中的所有病毒特征。如果需要检测当前系统中的所有病毒特征，可使用缺省防病毒配置文件，从而简化操作并节省时间。

1. 选择“负载均衡 > 应用安全 > 防病毒 > 配置文件”。default的防病毒配置文件不可编辑。

   图-4 default防病毒配置文件

   

2. 在虚服务器中引用此防病毒配置文件，有关虚服务器的详细配置介绍请参见“应用负载均衡”。

   图-5 虚服务器中引用配置文件

   

定制化防病毒配置任务

当缺省防病毒配置文件不满足需求时，管理员可以根据业务环境和安全要求，灵活调整自定义防病毒配置文件中的病毒设置，以更好地适应实际情况。

1. 选择“负载均衡 > 应用安全 > 防病毒 > 配置文件”。

2. 在“防病毒配置文件”页面单击<新建>按钮，进入“新建防病毒配置文件”页面。具体配置内容如下：

   图-6 新建防病毒配置文件

   

   

   表-1 防病毒配置文件配置

   参数	说明
   名称	防病毒配置文件的名称
   描述	通过合理编写描述信息，便于管理员快速理解和识别防病毒配置文件的作用，有利于后期维护
   开启云端查询功能	开启此功能后，当设备无法识别出病毒时，会将未识别出的文件的MD5值发往云端服务器进行查询
   告警信息模板	配置本模板后，当设备检测出病毒时，支持向客户端返回告警信息 此功能仅在配置HTTP协议的上传或下载方向的动作为阻断时支持 可在新建或引用告警信息模板后，单击右侧的<配置>按钮，导入告警信息 告警信息仅支持以TXT和HTML类型文件的方式导入 配置本功能后，入侵防御功能对HTTP协议报文的抓包动作将失效
   上传	对HTTP、FTP、SMTP、NFS、SMB和IMAP协议上传方向的报文进行病毒检测。其中，SMTP协议只支持上传方向
   下载	对HTTP、FTP、POP3、NFS、SMB和IMAP协议下载方向的报文进行病毒检测。其中，POP3协议只支持下载方向
   动作	设备可根据报文的应用层协议类型和传输方向来对其进行病毒检测，如果检测到病毒，则对此报文执行此处指定的动作。动作包括：告警、阻断、重定向。IMAP协议只支持告警动作
   缓存文件上限	表示缓存的待检测文件大小 仅当配置HTTP协议的上传或下载方向的动作为阻断时支持
   应用例外	缺省情况下，设备基于应用层协议的防病毒动作对符合病毒特征的报文进行处理。当需要对某应用层协议上承载的某一具体应用采取不同的动作时，可以将此应用设置为应用例外。例如，对HTTP协议进行允许通过处理，但是需要对HTTP协议上承载的游戏类应用采取阻断动作，这时就可以把所有游戏类的应用设置为应用例外
   病毒例外	如果发现某类检测出病毒的报文被误报时，可以通过执行此命令把该报文对应的病毒特征设置为病毒例外。当后续再有检测出包含此病毒特征的报文通过时，设备将对其执行允许动作
   MD5值例外	如果发现某类检测出病毒的报文被误报时，用户可以通过查看威胁日志获取病毒的MD5值，并将该MD5值设置为例外。当后续再有检测出符合该MD5值的报文通过时，设备将对其执行允许动作

3. 单击<确定>按钮，新建防病毒配置文件成功，且会在“防病毒配置文件”页面中显示。

4. 在虚服务器中引用此防病毒配置文件，具体配置步骤请参见“缺省防病毒配置任务”章节。

5. 单击<提交>按钮，激活防病毒配置文件的配置内容。配置此功能会暂时中断DPI业务的处理，为避免重复配置此功能对DPI业务造成影响，请完成部署DPI各业务模块的配置文件后统一配置此功能。

配置病毒检测扩展功能

配置云端服务器

在防病毒配置文件中开启防病毒MD5值云端查询功能后，当设备无法识别出病毒时，会将未识别出的文件的MD5值发往云端服务器进行查询。

1. 选择“负载均衡 > 应用安全 > 防病毒 > 配置文件”。

2. 在“配置文件”页面单击“云端服务器连接状态”右边的<配置>按钮，进入“配置云端服务器”页面。

   图-7 云端服务器配置

   

3. 云端服务器的具体配置内容如下：

   图-8 云端服务器配置参数

   

   表-2 云端服务器配置内容

   参数	说明
   服务器地址	云端服务器的地址，支持输入IP地址或者域名。目前，仅支持配置我司云端服务器
   缓存MD5条数	设备会将云端服务器返回的查询结果缓存在防病毒缓存中，缓存中分为命中列表和非命中列表： 非命中列表：表示该MD5值不属于病毒或不确定是否属于病毒 命中列表：表示该MD5值属于病毒 本参数用于配置两个列表中分别可以缓存的MD5条数
   缓存最短保留时间	本参数用于配置MD5缓存的最短保留时长，未达到最短保留时间的MD5缓存不会被删除 当配置的MD5缓存条数小于当前已缓存的数目时，设备将从防病毒缓存中删除最老的MD5缓存，即使该MD5缓存未达到最短保留时间，也将被删除
   协议	云端服务器的协议，支持DTLS和HTTPS协议 DTLS协议：适用于低延迟的场景。如实时通信（VoIP、视频会议）、物联网设备（无线传感器网络）和流媒体服务 HTTPS协议：适用于所有需要保护数据传输安全的场景。如在线银行、社交媒体平台、邮件服务和任何需要用户身份验证和数据加密的Web应用
   配置代理服务器	配置代理服务器的地址、端口和登录代理服务器使用的用户名及密码。仅设置云端服务器协议为HTTPS时支持此参数

4. 单击<确定>按钮，完成云端服务器的配置。

查看病毒家族信息

病毒家族是指具有相似特征和行为的一组病毒样本的集合。病毒家族通常由同一作者或团队开发，它们共享相似的代码、传播方式和攻击目标。病毒家族的命名通常基于其特征或首次发现的样本。通过对病毒家族进行研究和分析，安全厂商可以开发相应的病毒特征库，以便及时识别和阻止这些病毒的传播。

1. 选择“负载均衡 > 应用安全 > 防病毒 > 病毒家族”。

2. 进入“病毒家族”页面，查看病毒家族ID及病毒家族名称信息，支持输入病毒家族ID或名称检索病毒家族信息。

   图-9 病毒家族