目录
Ⅰ 启用防病毒功能
应用场景:
随着互联网的飞速发展,网络环境也变得越来越复杂,恶意攻击、木马、蠕虫病毒等混合威胁不断增大,企业需要对网络进行多层、深层的防护来有效保证其网络安全,入侵防御系统(IPS)功能正是为网络提供深层防护。如果内网的服务器存在这一些漏洞不及时修补,漏洞就有可能会被入侵者利用,造成不可避免的后果,此时可在出口防火墙上开启病毒、漏洞、木马等事件过滤功能.
功能原理:
数据包首先通过协议分析模块,进行协议识别,包括TCP、UDP、ICMP,常见应用协议可识别为:HTTP、FTP、SMTP、POP3、IMAP等,识别完成后上报告警信息。
说明:
NGFW的入侵防御、防病毒、应用控制三个功能需要有相应特征库才能使用,NGFW出厂已有当前最新的特征库版本,但要想让此功能效果保持理想,需要实时更新特征库的版本,若没有购买正式授权,则特征库无法更新,功能将会不理想,若有购买授权,并将lisence导入设备,则系统会自动更新到最新版本。
一、组网需求
内网用户需要上互联网,需防止病毒通过网页浏览,邮件收发传播到内网,对相关协议内的文件进行病毒检查。
二、组网拓扑
三、配置要点
1、初始化上网配置
2、配置反病毒功能
3、配置代理选项
4、在策略中开启防病毒功能
四、配置步骤
1、初始化上网配置
配置详细过程请参照 “路由模式典型功能"--"单线上网"--"静态地址线路上网配置"“一节:
2、配置反病毒功能
菜单: 安全配置--反病毒--配置。
可以看到系统内置2个反病毒配置脚本:
AV-flow: 流模式的处理脚本,该模式下病毒扫描速度快,准确率略低于代理模式。
default: 代理模式的处理脚本,该模式下将文件缓存在内存内进行扫描,准确率高,但速度较慢。
可以直接使用该配置文件,对其进行编辑。也可以直接建立新的配置文件,本例以新建一个配置文件为例:
名称: 配置文件名称,myantivirus
注释: 自定义添加对该脚本的描述
检测模式: 选择使用哪种模式对病毒文件进行扫描, 选择时参考当前网络流量和所选购的设备类型。选择代理模式
阻止到bonet服务器的连接: 勾选;效果:选择阻止连接至僵尸网络服务器来启用反病毒配置文件的僵尸网络和网络钓鱼保护;
协议: 选择需要进行病毒扫描的协议类型, 勾选http,smtp,pop3 三种协议。
3、配置代理选项(可选)
该选项设备到部分高级参数,一般默认不需要更改,使用默认的 default即可。
菜单: 防火墙--策略--代理选项。
编辑"default"
协议端口映射:
启用,协议,检测端口: 针对不同协议的代理选项进行配置, 如开启http协议的80端口扫描,如果需要对多个端口进行扫描,用空格隔开,如80 .则会对这个端口进行病毒扫描。
通用选项(仅对代理模式病毒检测有效)
用户舒适:进行代理模式病毒扫描的时候,需要文件缓冲到防火墙内部,扫描并确认文件安全后再发送给用户。这期间在用户看来,没有收到任何文件数据数据。如果文件较大,则用户需要等待的时间也长。为了缓解这种给用户带来的不好的体验,防火墙会在扫描期间给用户以较慢的速度发送文件,然用户能够感知到该文件请求已经被相应,并在处理中。
间隔(秒): 10, 每10秒发送一次数据。
总数:(字节):1,每次发送的字节数。
阻断超大文件/邮件: 对于超过病毒扫描缓冲区10M的文件,进行阻断。否则超大文件将不做病毒扫描而被放行。 注意:启用阻断后,超过阀值的文件将直接被删除,会对客户业务产生一定影响。所以启用前需和用户确认。
启用大型文件的放过:
编辑后点“确定”按钮确认生效。
4、在策略中开启防病毒功能
编辑第1步骤中访问互联网的策略:
在策略中勾选“UTM”按钮, 勾选“启用病毒检测”并选择之前新建“myantivirus”,代理选项选择“default”。配置完成。
5、开启防病毒日志
说明(P3及后续版本):防病毒日志可在web界面配置
安全配置--反病毒--配置--编辑 具体策略
选择UTM LOG,开启防病毒日志
说明(P3之前版本):执行操作前,建议先升级到P2版本,如在P1版本下操作,需先输入print cliovrd enabl4e并回车,同时用户登出再登录后才可执行下列命令
RG-WALL # config antivirus profile
RG-WALL (profile) # edit myantirus
RG-WALL (default) # set extended-utm-log enable
RG-WALL (default) # set av-virus-log enable
RG-WALL (default) # set av-block-log enable
RG-WALL (default) # end
五、检查配置效果
1.http网页病毒拦截
访问http://www.eicar.org/85-0-Download.html,下载病毒测试文件(需采用左键点击的方式,右键另存为或者通过迅雷等第三方软件下载则不会阻断拦截),
病毒文件成功被拦截。
病毒拦截日志如下:
2.FTP病毒拦截
flashfxp软件界面
防火墙界面日志提示
3.邮件拦截
邮箱提示(发件)
邮箱提示(收件)
防火墙提示
Ⅱ 防病毒高级选项
一、病毒库种类
病毒库种类有三种
标准库:当前传播比较广泛的病毒,威胁性较大。 // 一般建议使用标准库。
扩展库:包含标准库的内容,还包括近期不再活跃的病毒特征库。 //对防病毒要求非常高的场景使用。
终极库: 包括所有的病毒特征库,包括早已消失不在活跃的病毒特征库。 //主要用于病毒功能测试。
通过命令行可以修改默认使用哪种病毒库类型
说明:执行操作前,建议先升级到P2版本,如在P1版本下操作,需先输入print cliovrd enabl4e并回车,同时用户登出再登录后才可执行下列命令
RG-WALL #config antivirus settings
RG-WALL (settings) # set default-db normal [extended, extreme] 选择病毒扫描默认使用的病毒库,建议使用normal库。
RG-WALL (settings) end
二、对灰色软件进行扫描
灰色软件(Greyware或Grayware)用来泛指所有不被认为是电脑病毒或木马程序,但会对你所在机构的网络上所使用的电脑的效能造成负面影响、并引致网络的保安受损的软件。分为:1.间谍软件 (Spyware) ;2.广告软件 (Adware) ;3.拨号软件 (Dialer) ;4.搞笑软件 (Joke program) ;5.入侵软件 (“Hacker” tools) ;6.遥控软件 (Remote access tools)。
说明:执行操作前,建议先升级到P2版本,如在P1版本下操作,需先输入print cliovrd enabl4e并回车,同时用户登出再登录后才可执行下列命令
RG-WALL #config antivirus settings
RG-WALL (settings) # set grayware enable //默认为开启,增强防毒效果。
RG-WALL (settings) end
三、开启启发模式
对于一些不在现有病毒库、或者灰色软件类别的文件,但又具备一定的病毒特征,开启启发模式后可对这些文件进行查杀
说明:执行操作前,建议先升级到P2版本,如在P1版本下操作,需先输入print cliovrd enabl4e并回车,同时用户登出再登录后才可执行下列命令
RG-WALL # config antivirus heuristic
RG-WALL (heuristic) # set mode
pass Enable heuristics but detected files are passed. //未知类型记录但不阻断
block Enable heuristics and detected files are blocked. //未知类型记录且阻断
disable Turn off heuristics. //关闭启发模式
RG-WALL (heuristic) # set mode pass
RG-WALL (heuristic) #end
四、针对协议定义扫描缓冲区大小
说明:执行操作前,建议先升级到P2版本,如在P1版本下操作,需先输入print cliovrd enabl4e并回车,同时用户登出再登录后才可执行下列命令
RG-WALL #config antivirus service http //针对不同的协议定义,可以http, ftp,smtp等
RG-WALL (http)#set uncompsizelimit 10 //解压后文件后的大小不超过10M 的文件进行扫描。默认建议值。减小该参数可提高防护墙防病毒性能。
RG-WALL (http)#end
五、针对协议定义扫描深度
说明:执行操作前,建议先升级到P2版本,如在P1版本下操作,需先输入print cliovrd enabl4e并回车,同时用户登出再登录后才可执行下列命令
RG-WALL #config antivirus service http
RG-WALL (http)#set uncompnestlimit 12 // 扫描文件的深度,2-100层。 一般不用修改,很少有超过12层压缩。
RG-WALL (http)#end
六、设置防病毒模块默认动作
说明:执行操作前,建议先升级到P2版本,如在P1版本下操作,需先输入print cliovrd enabl4e并回车,同时用户登出再登录后才可执行下列命令
Web界面无法配置防病毒对病毒采取的动作,如阻断或者记录,默认为阻断;需在命令行下配置
以http协议为例,防病毒动作为只记录不阻断;令
RG-WALL # config antivirus profile
RG-WALL (profile) #edit default
RG-WALL (default) #config http
RG-WALL (http) # set options scan avmonitor //1. avmonitor No blocking for scan, file block or oversize (log only).只记录,不阻断
2. RuijieGuard - AV Query service.
3. quarantine Quarantine.
RG-WALL (http) # end //结尾一定要输入end,命令才生效
其他的ftp、imap、pop3、smtp、mapi、nntp、im协议参照http协议即可;
如果没加avmonitor,set options scan,则防病毒模块会对病毒记录并阻断,可根据实际情况进行调整。
查看防病毒动作
RG-WALL # config antivirus profile
RG-WALL (profile) # edit default
RG-WALL (default) # get
name : default
comment : scan and delete virus
replacemsg-group :
inspection-mode : proxy
block-botnet-connections: disable
extended-utm-log : enable
ftgd-analytics : disable
http:
options : scan avmonitor //只记录,不阻断
archive-block :
archive-log :
ftp:
options : scan //记录且阻断
archive-block :
archive-log :
imap:
options : scan avmonitor
archive-block :
archive-log :
pop3:
options : scan avmonitor
archive-block :
archive-log :
smtp:
options : scan avmonitor
archive-block :
archive-log :
mapi:
options : scan avmonitor
archive-block :
archive-log :
nntp:
options :
archive-block :
archive-log :
im:
options : scan
archive-block :
archive-log :
nac-quar:
infected : none
log : disable
av-virus-log : enable
av-block-log : enable