表1 特殊文件处理策略 协议类型 处理策略层压缩文件、格式损坏文件,向客户端推送信息并记录? 拒绝(deny):设备断开与FTP服务器的连接并阻断文说明: 当用户使用Web浏览器进行FTP文件操作时,无法接收到推SMTP/POP3 ? ? 允许(permit):设备不删除邮件附件,在邮件正文中拒绝(deny):设备删除邮件中的附件,在邮件正文中病毒文件处理策略
当文件被检测出病毒时,不同协议的处理策略请参见表2。 表2 病毒文件处理策略 协议类型 HTTP ? 处理策略 告警(alert):设备只产生日志,不对文件进行处理就发送出去。 ? 阻断(block):设备断开与HTTP服务器的连接并阻断文件,向客户端推送Web页面并产生日志。 告警(alert):设备不对文件进行处理,向客户端推送信息并记录日志。 ? 阻断(block):设备断开与FTP服务器的连接并阻断文件,向客户端推送信息并记录日志。 ? FTP 说明: 当使用Web浏览器进行FTP文件操作时,无法接收到推送信息。 SMTP/POP3 ? 告警(alert):设备只产生日志,不对邮件进行处理就发送出去。 ? 添加宣告(declare):设备在邮件正文中添加宣告并产生日志。 ? 删除附件(attachment-detach):设备删除邮件中附件里的内容,在邮件正文中添加宣告并产生日志。 父主题: 配置反病毒(AV)
处理AV过程
通过配置流程,可了解AV的配置过程。
说明: 为确保反病毒的有效性,请确保已经完成AV病毒库升级。具体配置请参见升级病毒库或IPS签名库。 AV功能的配置流程如图1所示。 图1 AV配置流程图
创建AV策略后,缺省对HTTP、FTP、SMTP、POP3协议传输的文件启用病毒扫描,并且针对每种协议的扫描策略均有缺省值。
如果实际组网中有特殊需求,例如只需扫描HTTP协议传输的文件,可以对HTTP协议传输的文件启用病毒扫描,对FTP、SMTP和POP3协议传输的文件禁用病毒扫描,提高扫描效率。
配置AV全局参数
AV全局参数的取值对所有AV策略都有效。全局参数包括AV功能启用状态、病毒扫描等级、扫描文件最大解压层数。 ?
启用AV功能
启用AV功能后,USG按照域间应用的AV策略对经过设备的文件进行病毒扫描。如果禁用AV功能,USG对经过设备的所有文件都不做病毒扫描。
? 配置病毒扫描等级
病毒扫描等级是用来定义病毒扫描深度的值。病毒扫描等级值越大,病毒检测率越高。
? 配置压缩文件最大解压层数
网络上传输的压缩文件需要解压后才能进行病毒扫描。对于压缩层数多的文件,如果无限解压,消耗的系统资源很大,所以需要设置文件最大解压层数。
启用AV功能
启用AV功能后,USG按照域间应用的AV策略对经过设备的文件进行病毒扫描。如果禁用AV功能,USG对经过设备的所有文件都不做病毒扫描。
背景信息
AV功能开关只对新建连接生效,对启用AV功能开关之前已存在的连接不生效。
操作步骤
1. 执行命令system-view,进入系统视图。 2. 执行命令av enable,启用AV功能。
缺省情况下,启用AV功能。
后续处理
执行命令display av global-configuration,查看AV功能是否开启。
Global configuration information about Anti-Virus
------------------------------------------------------------ Anti-Virus global switch : Enable Scan level : 2 Max decompressable layer : 10
------------------------------------------------------------
置病毒扫描等级
病毒扫描等级是用来定义病毒扫描深度的值。病毒扫描等级值越大,病毒检测率越高。
背景信息
注意:
病毒扫描等级值越大,病毒检测率会越高,但产生误报的可能性也越大。请根据实际需要配置病毒扫描等级。
操作步骤
1. 执行命令system-view,进入系统视图。
2. 执行命令av scan-level level-number,配置病毒扫描等级。
缺省情况下,病毒扫描等级为2。推荐使用缺省值。
配置病毒扫描等级后,请根据系统提示输入“y”重新初始化引擎。需要等待约10s后新配置的扫描等级才生效,在此期间不能再次更改扫描等级。由于更改病毒扫描等级需要重新初始化引擎,请不要频繁更改。
后续处理
执行命令display av global-configuration,查看病毒扫描等级。
配置压缩文件最大解压层数
网络上传输的压缩文件需要解压后才能进行病毒扫描。对于压缩层数多的文件,如果无限解压,消耗的系统资源很大,所以需要设置文件最大解压层数。
背景信息
当文件的压缩层数小于或等于最大解压层数时,文件将被解压并进行扫描;当文件的压缩层数大于最大解压层数时,文件的解压过程将中止,USG根据配置AV策略的公共部分中配置的最大解压层数文件策略对报文进行放行或丢弃。
操作步骤
1. 执行命令system-view,进入系统视图。
2. 执行命令av max-decompress-layer layer-number,配置最大解压层数。
缺省情况下,压缩文件的最大解压层数为10层。推荐使用缺省值。
当经过USG的文件压缩层数大于最大解压层数时,USG根据命令deep-compressed-file action { permit | deny }中配置的处理方式丢弃或放行该文件。
说明:
最大解压层数的值越大,设备消耗的资源越多。请根据网络实际情况,合理设置该值。
后续处理
执行命令display av global-configuration,查看压缩文件最大解压层数。
配置AV策略
配置AV策略的公共部分、协议反病毒,并应用AV策略。
? 创建AV策略
启用AV功能后,需要配置AV策略并在域内或域间应用这些策略,USG根据这些策略对经过的报文进行病毒扫描。
? 配置AV策略的公共部分
AV策略的公共部分包括超大文件、受密码保护的文件、压缩层数超过最大解压层数的文件和格式已损坏的文件的处理方式。
? 配置HTTP文件反病毒
配置HTTP文件反病毒的策略,AV根据策略对HTTP协议传输的文件进行病毒扫描。
? 配置FTP文件反病毒
配置FTP文件反病毒的策略,AV根据策略对FTP协议传输的文件进行病毒扫描。
? 配置SMTP文件反病毒
配置SMTP文件反病毒的策略,AV根据策略对SMTP协议传输的文件进行病毒扫描。
? 配置POP3文件反病毒
配置POP3文件反病毒的策略,AV根据策略对POP3协议传输的文件进行病毒扫描。
配置IPS
IPS是一种安全机制,它通过监控或者分析系统事件检测入侵,并通过一定的响应方式实时地中止入侵行为。 ?
IPS简介
随着攻击手段和工具的不断涌现、攻击技术的日趋成熟,传统的防火墙网络层攻击检测已无法满足安全需要。在此背景下,出现了IPS(Intrusion Prevention System)技术。 ?
IPS配置流程
通过配置流程,可了解IPS的配置过程。 ?
配置IPS全局参数
使用IPS签名和策略前,请先配置IPS全局参数。 ?
配置IPS签名
配置IPS签名,USG将报文内容和IPS签名进行比较,当报文内容和IPS签名匹配时,表示该报文存在威胁。 ?
配置IPS策略
配置命中签名的报文的处理策略。 ?
应用IPS策略
配置IPS策略后,把该策略应用到域内或域间后,IPS功能才生效。 ?
配置特权策略
当网络中某一类威胁(如蠕虫)集中爆发时,需要使用一个策略来应对这类威胁;当威胁消失时,需要恢复原来配置的策略。USG通过配置特权策略解决这种情况。 ?
编译IPS策略
IPS策略经过编译后才能生效。