目录
病毒
防病毒处理流量
防病毒的配置
防病毒(AV) --- 传统的AV防病毒的方式是对文件进行查杀。
传统的防病毒的方式是通过将文件缓存之后,再进行特征库的比对,完成检测。但是,因为需 要缓存文件,则将占用设备资源并且,造成转发延迟,一些大文件可能无法缓存,所以,直接 放过可能造成安全风险。
代理扫描 --- 文件需要全部缓存 --- 可以完成更多的如解压,脱壳之类的高级操作,并且,检 测率高,但是,效率较低,占用资源较大。
流扫描 --- 基于文件片段进行扫描 --- 效率较高,但是这种方法检测率有限。
病毒
病毒杀链
病毒的工作原理
防病毒处理流量
1,进行应用和协议的识别
2,判断这个协议是否支持防病毒的检测,如果不是支持的防病毒协议,则文件将直接通过
3,之后,需要进行白名单的比对。如果命中白名单,则将不进行防病毒检测,可以同时进行 其他模块的检测。
4,如果没有命中白名单,则将进行特征库的比对。如果比对上了,则需要进行后续处理。
如果没有比对上,则可以直接放行。 这个病毒库也是可以实时对接安全中心进行升级,但是,需要提前购买License进行激 活。
5,如果需要进行后续处理,首先进行“病毒例外“的检测。 --- 这个病毒例外,相当于是病 毒的一个白名单,如果是添加在病毒例外当中的病毒,比对上之后,将直接放通。 ---- 过渡 防护
6,之后,进行应用例外的比对。 --- 类似于IPS模块中的例外签名。针对例外的应用执行和整 体配置不同的动作。
7,如果没有匹配上前面两种例外,则将执行整体配置的动作。
宣告:仅针对邮件文件生效。仅支持SMTP和POP3协议。对于携带病毒的附件,设备允许 文件通过,但是,会在邮件正文中添加病毒的提示,并生成日志。
删除附件:仅针对邮件文件生效,仅支持SMTP和POP3协议。对于携带病毒的附件,设备 会删除掉邮件的附件,同时会在邮件正文中添加病毒的提示,并生成日志
防病毒的配置
需求:假设内网用户需要通过外网的web服务器和pop3邮件服务器下载文件和邮件,内 网的FTP服务器也需要接受外网用户上传的文件。针对该场景进行防病毒的防护
