Juniper 防火墙 UTM功能配置手册.docx

1、Juniper 防火墙 UTM功能配置手册HTTP MIME 扩展在缺省情况下，HTTP 扫描不扫描由以下任意多用途互联网邮件扩展 (MIME) 内容类型和子类型 ( 当跟在一个斜线后出现时) 组成的 HTTP 实体:􀂄 Application/x-director􀂄 Application/pdfImage/􀂄 Video/􀂄 Audio/􀂄 Text/css􀂄 Text/html为了改善性能，Juniper Networks 安全设备不扫描上述 MIME 内容类型。由于大多数 HTT

2、P 实体都由上述内容类型组成，因此 HTTP 扫描只适用于一小部分 HTTP 实体，例如病毒最有可能隐藏在其中的内容类型 application/zip 和 application/exe。要改变 HTTP 扫描行为，使得安全设备不考虑 MIME 内容类型而扫描所有种类的HTTP 信息流，请输入命令:set av profile jnpr-profile(av:jnpr-profile)- unset av http skipmime(av:jnpr-profile)- exitsave更新防病毒模式文件内部防病毒扫描时，要求将防病毒模式数据库加载到 Juniper Networks 安全设备

3、上，并定期更新模式文件。为此，必须注册设备并购买对防病毒特征服务的预订。该预订允许您加载当前版本的数据库，并且在预订有效期内将数据库更新到可用的新版本。启动防病毒特征服务的过程有多种多样:􀂄 如果您购买了拥有防病毒功能的安全设备，可以在初始购买后的短时间内加载防病毒模式文件。但是，您必须注册该设备并购买对防病毒特征服务的预订，才能继续获得模式的升级版本。􀂄 如果您正在升级目前的安全设备使其使用内部防病毒扫描，则必须注册该设备并购买对防病毒特征服务的预订，才能开始加载防病毒模式文件。在完成注册过程后，必须先等待四个小时，之后才能启动防病毒模式文件下载。1. 在

4、安全设备上，指定模式更新服务器的 URL 地址。根据您的防病毒扫描引擎类型，请使用下列两种缺省的模式更新 URL 之一:􀂄 Juniper-Kaspersky 防病毒扫描器http:/update.juniper-在本例中，将安全设备配置为每 15 分钟自动更新一次模式文件。( 缺省的防病毒模式更新时间间隔是 60 分钟。) 例如，如果模式更新服务器位于以下 URL 地址:http:/5gt-自动更新过程:WebUIScreening Antivirus Scan Manager: 输入以下内容，然后单击 Apply:Pattern Update Server: http:/

5、update.juniper-Auto Pattern Update: ( 选择), Interval: 120 minutes (1010080)CLIset av scan-mgr pattern-update-url http:/update.juniper-interval 120save范例: 手动更新在本例中，将手动更新模式文件。模式更新服务器位于下列 URL 地址:http:/update.juniper-WebUIScreening Antivirus Scan Manager: 输入以下内容，然后单击 Apply:Pattern Update Server: http:/up

6、date.juniper-Update Now: ( 选择)CLIexec av scan-mgr pattern-updateset 命令不是必需的，因为 URL 地址是缺省值。防病毒扫描器全局性设置为了满足网络环境的需求，可修改防病毒扫描器设置。以下各节介绍了防病毒扫描器的全局性设置:􀂄 防病毒资源分配􀂄 失败模式行为􀂄 最大内容大小和最多消息数􀂄 HTTP Keep-Alive􀂄 HTTP Trickling防病毒资源分配恶意用户可能会同时生成大量的信息流，试图消耗所有可用资源，从而降低了防病毒扫描

7、器扫描其它信息流的能力。为了防止这类情况的发生，对于来自单个来源的信息流在任一时刻可消耗的防病毒资源，Juniper Networks 安全设备可以为其规定一个最大百分比。缺省的最大百分比是 70%。可以将此设置更改为介于 1% 和100% 之间的任意值，其中 100% 表示对来自单个来源的信息流可消耗的 AV 资源不施加任何限制。WebUICLIset av all resources numberunset av all resources上面的 unset av 命令将每个来源的最大防病毒资源百分比恢复为缺省值 (70%)。失败模式行为失败模式是当安全设备不能完成扫描操作 ( 允许未经检

8、查的信息流或封锁它) 时所应用的行为。在缺省情况下，如果无法完成扫描，设备将封锁启用了防病毒检查的策略所允许的信息流。可以将缺省行为从封锁改为允许。WebUIScreening Antivirus Global: 选中 Fail Mode Traffic Permit 以允许未经检查的信息流，或清除该选项的复选框以封锁未经检查的信息流，然后单击Apply。CLIset av all fail-mode traffic permitunset av all fail-mode traffic上面的 unset av 命令将失败模式还原为缺省值 ( 封锁未经检查的信息流)。最大内容大小和最多消息数

9、在任一时刻，防病毒扫描器最多能检查 16 条消息以及最大为 10 兆字节的解压缩文件内容。如果接收到的消息总数或内容大小同时超过其限定值，则在缺省情况下扫描器将丢弃内容而不对病毒进行检查。例如，扫描器可以同时接收并检查 4 条大小为 4 兆字节的消息。如果同时接收到 9条大小为 2 兆字节的消息，扫描器将传送该内容而不对其进行扫描。可以更改此缺省行为，使得扫描器传送信息流，而不是将其丢弃。注意: “最大内容大小”的缺省值为 10 MB。但是，如果启用了 DI，Juniper Networks建议配置的值为 6 MB。WebUIScreening Antivirus Scan Manager:

10、选择 pass ( 如果文件大小超过了10,000KB)或者选择 pass ( 如果文件数超过了 16 个)，然后单击 Apply。CLIset av scan-mgr max-content-size dropset av scan-mgr max-msgs dropHTTP Keep-Alive在缺省情况下，安全设备使用 HTTP close 连接选项来指示数据传输的结束。( 必要时，设备将连接标题字段中的标记从 keep-alive 更改为 close。) 在此方法中，当完成其数据传输时，HTTP 服务器发送 TCP FIN 以关闭 TCP 连接，并因此表明已发送完数据。当接收到 TCP

11、 FIN 时，设备就拥有了来自服务器的所有 HTTP 数据，并可以指示防病毒扫描器开始扫描。您可以更改安全设备的缺省行为，以便使用 HTTP keep-alive 连接选项，该选项不发送 TCP FIN 来指示数据传输的终止。HTTP 服务器必须用其它方式表明已发送了所有数据，例如，通过发送 HTTP 包头中的内容长度，或通过某些形式的编码。( 服务器所使用的方法因服务器类型而异)。此方法在执行防病毒检查时保持打开TCP 连接，这样就会减少等待时间和改进处理器性能。但是，它没有 close 连接方法安全。如果您发现 HTTP 连接在防病毒扫描检查时超时，可以更改此行为。WebUIScreeni

12、ng Antivirus Global: 选中 Keep Alive 以使用 keep-alive 连接选项，或清除该选项的复选框以使用 close 连接选项，然后单击 Apply。CLIset av http keep-aliveunset av http keep-aliveHTTP TricklingHTTP trickling 是指将指定数量的未扫描 HTTP 信息流转发到请求 HTTP 的客户端，以防止浏览器窗口在 scan manager 检查下载的 HTTP 文件时发生超时。( 安全设备在传输整个扫描的文件之前转发小量的数据。) 在缺省情况下禁用 HTTP trickling。要

13、启用 HTTP trickling 并使用缺省的 HTTP trickling 参数，请执行下列操作:WebUIScreening Antivirus Global: 选中 Trickling Default 复选框，然后单击Apply。CLIset av http trickling default在使用缺省参数时，如果 HTTP 文件的大小达到 3MB 以上，则安全设备将采用trickling。然后每发送 1MB 的扫描信息流，设备转发 500 字节的内容。要更改 HTTP trickling 的参数，请执行下列操作:WebUIScreening Antivirus Global: 输入以

14、下内容，然后单击 Apply:Trickling:Custom: ( 选择)Minimum Length to Start Trickling: Enter number1.Trickle Size: Enter number2.Trickle for Every MB Sent for Scanning: Enter number3.CLIset av http trickling number1 number3 number2三个数值变量有下列含义:􀂄 number1: 触发 trickling 的最小的 HTTP 文件大小 ( 单位为兆字节)􀂄 num

15、ber2: 安全设备转发的未扫描信息流量的大小 ( 单位为字节)􀂄 number3: 安全设备应用了 trickling 的信息流块的大小 ( 单位为兆字节)注意: 细流到客户端硬盘的数据显示为细小的、不可用的文件。由于 trickling 是通过不加扫描地转发小量数据到客户端来实现的，因此病毒代码有可能包含在安全设备细流到客户端的数据中。我们建议用户删除这些文件。您可以在 WebUI 中禁用 HTTP trickling (Screening Antivirus: 在 Trickling 部分单击 Disable) 或用 CLI 命令 unset av http trick

16、ling enable 禁用它。但是，如果正在下载的文件大于 8 MB，并且禁用了 HTTP trickling，则浏览器窗口将极有可能会超时。防病毒扫描器配置文件设置策略使用防病毒配置文件来确定哪些信息流将接受防病毒检查，以及根据该检查结果所应采取的操作。注意: Juniper Networks 安全设备上存在一个名为 ns-profile 的预定义防病毒配置文件。必须执行以下操作才能将防病毒配置文件链接至防火墙策略。防火墙策略只能与一个防病毒配置文件相链接。WebUI策略: 在要链接防病毒配置文件的策略上单击 Edit，然后选择 Antivirus Profile下的配置文件。单击 OK。

17、CLIns5gt1- set policy id policy_num av ns-profile以下各节介绍如何启动防病毒配置文件以及如何配置配置文件设置:􀂄 启动防病毒配置文件􀂄 范例: 扫描所有信息流类型􀂄 范例: 仅对 SMTP 和 HTTP 信息流进行防病毒扫描􀂄 防病毒配置文件设置启动防病毒配置文件以下命令将启动一个名为 jnpr-profile 的定制防病毒配置文件，该文件在缺省情况下被配置为扫描 FTP、HTTP、IMAP、POP3 和 SMTP 信息流。WebUIScreening Antivirus P

18、rofile: 选择 New 并输入配置文件名 jnpr-profile，然后单击 OK。CLIset av profile jnpr-profilens5gt(av:jnpr-profile)-ns5gt1- set av profile jnpr-profilens5gt(av:jnpr-profile)-进入防病毒配置文件环境后，所有后续命令的执行都将修改指定的防病毒配置文件(jnpr-profile)。范例: 扫描所有信息流类型在本例中，将配置防病毒扫描器检查 FTP、HTTP、IMAP、POP3 和 SMTP 信息流。由于预计扫描器将处理大量信息流，因此还将把超时值从 180 秒 (

19、 缺省设置)增加到 300 秒。WebUIScreening Antivirus Profile: 输入 profile_name，然后单击 OK。缺省情况下，对全部五种协议 (FTP、HTTP、IMAP、POP3 和 SMTP) 的信息流进行扫描。注意: 只能使用 CLI 来更改超时值。CLIset av profile jnpr-profile(av:jnpr-profile)- set http enable(av:jnpr-profile)- set http timeout 300(av:jnpr-profile)- set ftp enable(av:jnpr-profile)-

20、set ftp timeout 300(av:jnpr-profile)- set imap enable(av:jnpr-profile)- set imap timeout 300(av:jnpr-profile)- set pop3 enable(av:jnpr-profile)- set pop3 timeout 300(av:jnpr-profile)- set smtp enable(av:jnpr-profile)- set smtp timeout 300(av:jnpr-profile)- exitsave范例: 仅对 SMTP 和 HTTP 信息流进行防病毒扫描在缺省情况下

21、，防病毒扫描器检查 FTP、HTTP、IMAP、POP3 和 SMTP 信息流。可更改缺省行为，使得扫描器只检查特定类型的网络信息流。还可更改每个协议的超时值。在缺省情况下，如果安全设备在收到所有数据后未开始扫描，则防病毒扫描操作将于 180 秒后超时。值的范围是 1 到 1800 秒。在本例中，将对防病毒扫描器进行配置，使其检查所有 SMTP 和 HTTP 信息流。将两个协议的超时值均恢复为缺省值: 180 seconds。注意: 内部防病毒扫描器仅检查特定的 HTTP Web 邮件模式。Yahoo!、Hotmail 和 AOL邮件服务的模式是预先定义的。WebUIScreening Ant

22、ivirus 选择 New 并输入配置文件名 jnpr-profile。输入以下内容，然后单击 OK。Protocols to be scanned:HTTP: ( 选择)SMTP: ( 选择)POP3: ( 清除)FTP: ( 清除)IMAP: ( 清除)注意: 只能使用 CLI 来更改超时值。CLIset av profile jnpr-profile(av:jnpr-profile)- set smtp timeout 180(av:jnpr-profile)- set http timeout 180(av:jnpr-profile)- unset pop3 enable(av:jnp

23、r-profile)- unset ftp enable(av:jnpr-profile)- unset imap enable(av:jnpr-profile)- exitunset av http webmail enablesave解压缩文件附件当设备接收到内容时，内部防病毒扫描器解压缩任何压缩的文件。在缺省情况下扫描器最多解开 2 层的压缩文件。例如，如果扫描器接收到带有附件的文件，并且该附件是嵌入另一个压缩文件内的压缩文件时，扫描器将会进行两层解压缩以检测所有病毒。您可以将内部防病毒扫描器配置为解压缩最多 4 个嵌入另一个文件内的压缩文件。WebUIScreening Antivir

24、us Profile: 选择 New 或 Edit 以编辑现有的配置文件。将Decompress Layer 更新为 2，然后单击 Apply。CLIset av http keep-aliveunset av http keep-alive基于文件扩展名的防病毒扫描文件扩展名列表用于针对特定协议来确定哪些文件将接受防病毒扫描。每个协议都有一个包含文件扩展名列表和一个排除文件扩展名列表。如果某条消息的文件扩展名在包含文件扩展名列表中，则扫描该消息。如果该文件扩展名在排除文件扩展名列表中，则不扫描该消息。如果文件扩展名既不在包含文件扩展名列表中，也不在排除文件扩展名列表中，则是否扫描取决于缺省文

25、件扩展名扫描设置。由于缺省文件扩展名位于扫描引擎数据库中，所以它是只读的。各协议没有预定义的文件扩展名列表。将防病毒扫描器配置为按扩展名扫描 IMAP 信息流，并排除具有下列扩展名的文件:.ace、.arj 和 .chm。WebUIScreening Antivirus Ext-list New 输入扩展名列表名称 (elist1)，然后输入扩展名列表 (ace;arj;chm)。单击 OK。Antivirus Profile 选择配置文件以进行 Edit 选择 IMAP 选择以下选项，然后单击 OK:EnableScan Mode: Scan by ExtensionExclude Exte

26、nsion List: elist1CLIset av extension-list elist1 ace;arj;chmset av profile test1(av:test1)- set imap scan-mode scan-ext(av:test1)- set imap extension-list exclude elist1基于 HTTP 内容类型的防病毒扫描使用此选项可以决定哪些 HTTP 信息流必须接受防病毒扫描。HTTP 信息流被归类到缺省的预定义“多用途互联网邮件扩展”(MIME) 类型中，如application/x-director、application/pdf、i

27、mage 等。可将防病毒配置文件配置为忽略其中包含特定 MIME 类型的 MIME 列表。缺省的预定义 MIME 列表是ns-skip-mime-list。在本例中，将安全设备配置为扫描所有种类的 HTTP 信息流，而无论 MIME 内容类型如何:WebUIScreening Antivirus Profile 选择配置文件以进行 Edit 选择 HTTP 并清除 Skipmime Enable 选项。单击 OK。CLIset av profile jnpr-profile(av:jnpr-profile)- unset av http skipmime(av:jnpr-profile)- e

28、xitsave有关 MIME 类型的详细信息，请参阅 ScreenOS CLI Reference Guide IPv4Command Descriptions。通过电子邮件通知发送方和接收方电子邮件通知选项仅适用于 IMAP、POP3 和 SMTP 协议。可将防病毒配置文件配置为将扫描错误或病毒信息通知给发送方或接收方。当在电子邮件消息中发现病毒时，警告消息的内容 ( 病毒名称、源/ 目标 IP) 将包含在一条通知级消息中。该警告级消息将通过 SMTP 协议经由电子邮件发送。当在消息中出现扫描错误时，该扫描错误消息的内容应包含在一条警告级消息中。该消息将通过 SMTP 协议经由电子邮件发送。

29、在本例中，将安全设备配置为执行以下操作:􀂄 在检测到病毒时通知发送方􀂄 在出现扫描错误时通知发送方和接收方WebUIScreening Antivirus Profile 选择配置文件以进行 Edit 选择 IMAP，然后单击 OK。输入以下内容，然后单击 OK。Protocols to be scanned:Email Notify 选择 Virus SenderEmail Notify 选择 Scan-error SenderEmail Notify 选择 Scan-error RecipientCLIset av profile jnpr-profil

30、e(av:jnpr-profile)- set imap email-notify virus sender(av:jnpr-profile)- set imap email-notify scan-error sender(av:jnpr-profile)- set imap email-notify scan-error recipient(av:jnpr-profile)- exitsave范例: 丢弃大文件在本例中，将对防病毒扫描器进行配置，使其最多可解压缩彼此嵌在一起的三个压缩文件的 HTTP 信息流。也可以这样配置扫描器，使得当同时接收到的消息总数超过 4 个或“解压缩的”信息量超过 12 MB 时，扫描器就丢弃该内容。WebUIScreening Antivirus Scan Manager: 输入以下内容，然后单击 OK:Drop: ( 选择) file if it exceeds 3000 KB (2010000)Drop: ( 选择) file if the number of files exceeds 4 files (116)Screening Antivirus Profile: 选择 Edit HTTP: 输入以下内容，然后单击O