Juniper 防火墙 UTM功能配置手册.docx
《Juniper 防火墙 UTM功能配置手册.docx》由会员分享,可在线阅读,更多相关《Juniper 防火墙 UTM功能配置手册.docx(35页珍藏版)》请在冰点文库上搜索。
Juniper防火墙UTM功能配置手册
HTTPMIME扩展
在缺省情况下,HTTP扫描不扫描由以下任意多用途互联网邮件扩展(MIME)内容
类型和子类型(当跟在一个斜线后出现时)组成的HTTP实体:
Application/x-director
Application/pdf
Image/
Video/
Audio/
Text/css
Text/html
为了改善性能,JuniperNetworks安全设备不扫描上述MIME内容类型。
由于大多
数HTTP实体都由上述内容类型组成,因此HTTP扫描只适用于一小部分HTTP实
体,例如病毒最有可能隐藏在其中的内容类型application/zip和application/exe。
要改变HTTP扫描行为,使得安全设备不考虑MIME内容类型而扫描所有种类的
HTTP信息流,请输入命令:
setavprofilejnpr-profile
(av:
jnpr-profile)->unsetavhttpskipmime
(av:
jnpr-profile)->exit
save
更新防病毒模式文件
内部防病毒扫描时,要求将防病毒模式数据库加载到JuniperNetworks安全设备
上,并定期更新模式文件。
为此,必须注册设备并购买对防病毒特征服务的预订。
该预订允许您加载当前版本的数据库,并且在预订有效期内将数据库更新到可用的
新版本。
启动防病毒特征服务的过程有多种多样:
如果您购买了拥有防病毒功能的安全设备,可以在初始购买后的短时间内加载
防病毒模式文件。
但是,您必须注册该设备并购买对防病毒特征服务的预订,
才能继续获得模式的升级版本。
如果您正在升级目前的安全设备使其使用内部防病毒扫描,则必须注册该设备
并购买对防病毒特征服务的预订,才能开始加载防病毒模式文件。
在完成注册
过程后,必须先等待四个小时,之后才能启动防病毒模式文件下载。
1.在安全设备上,指定模式更新服务器的URL地址。
根据您的防病毒扫描引擎类型,请使用下列两种缺省的模式更新URL之一:
Juniper-Kaspersky防病毒扫描器
http:
//update.juniper-
在本例中,将安全设备配置为每15分钟自动更新一次模式文件。
(缺省的防病毒
模式更新时间间隔是60分钟。
)例如,如果模式更新服务器位于以下URL地址:
http:
//5gt-
自动更新过程:
WebUI
Screening>Antivirus>ScanManager:
输入以下内容,然后单击Apply:
PatternUpdateServer:
http:
//update.juniper-
AutoPatternUpdate:
(选择),Interval:
120minutes(10~10080)
CLI
setavscan-mgrpattern-update-urlhttp:
//update.juniper-
interval120
save
范例:
手动更新
在本例中,将手动更新模式文件。
模式更新服务器位于下列URL地址:
http:
//update.juniper-
WebUI
Screening>Antivirus>ScanManager:
输入以下内容,然后单击Apply:
PatternUpdateServer:
http:
//update.juniper-
UpdateNow:
(选择)
CLI
execavscan-mgrpattern-update
set命令不是必需的,因为URL地址是缺省值。
防病毒扫描器全局性设置
为了满足网络环境的需求,可修改防病毒扫描器设置。
以下各节介绍了防病毒扫描
器的全局性设置:
防病毒资源分配
失败模式行为
最大内容大小和最多消息数
HTTPKeep-Alive
HTTPTrickling
防病毒资源分配
恶意用户可能会同时生成大量的信息流,试图消耗所有可用资源,从而降低了防病
毒扫描器扫描其它信息流的能力。
为了防止这类情况的发生,对于来自单个来源的
信息流在任一时刻可消耗的防病毒资源,JuniperNetworks安全设备可以为其规定
一个最大百分比。
缺省的最大百分比是70%。
可以将此设置更改为介于1%和
100%之间的任意值,其中100%表示对来自单个来源的信息流可消耗的AV资源
不施加任何限制。
WebUI
CLI
setavallresourcesnumber
unsetavallresources
上面的unsetav命令将每个来源的最大防病毒资源百分比恢复为缺省值(70%)。
失败模式行为
失败模式是当安全设备不能完成扫描操作(允许未经检查的信息流或封锁它)时所
应用的行为。
在缺省情况下,如果无法完成扫描,设备将封锁启用了防病毒检查的
策略所允许的信息流。
可以将缺省行为从封锁改为允许。
WebUI
Screening>Antivirus>Global:
选中FailModeTrafficPermit以允许未经检
查的信息流,或清除该选项的复选框以封锁未经检查的信息流,然后单击
Apply。
CLI
setavallfail-modetrafficpermit
unsetavallfail-modetraffic
上面的unsetav命令将失败模式还原为缺省值(封锁未经检查的信息流)。
最大内容大小和最多消息数
在任一时刻,防病毒扫描器最多能检查16条消息以及最大为10兆字节的解压缩
文件内容。
如果接收到的消息总数或内容大小同时超过其限定值,则在缺省情况下
扫描器将丢弃内容而不对病毒进行检查。
例如,扫描器可以同时接收并检查4条大小为4兆字节的消息。
如果同时接收到9
条大小为2兆字节的消息,扫描器将传送该内容而不对其进行扫描。
可以更改此
缺省行为,使得扫描器传送信息流,而不是将其丢弃。
注意:
“最大内容大小”的缺省值为10MB。
但是,如果启用了DI,JuniperNetworks
建议配置的值为6MB。
WebUI
Screening>Antivirus>ScanManager:
选择pass(如果文件大小超过了
10,000KB)
或者
选择pass(如果文件数超过了16个),然后单击Apply。
CLI
setavscan-mgrmax-content-sizedrop
setavscan-mgrmax-msgsdrop
HTTPKeep-Alive
在缺省情况下,安全设备使用HTTP"close"连接选项来指示数据传输的结束。
(必
要时,设备将连接标题字段中的标记从"keep-alive"更改为"close"。
)在此方法
中,当完成其数据传输时,HTTP服务器发送TCPFIN以关闭TCP连接,并因此表
明已发送完数据。
当接收到TCPFIN时,设备就拥有了来自服务器的所有HTTP数
据,并可以指示防病毒扫描器开始扫描。
您可以更改安全设备的缺省行为,以便使用HTTP"keep-alive"连接选项,该选项
不发送TCPFIN来指示数据传输的终止。
HTTP服务器必须用其它方式表明已发送
了所有数据,例如,通过发送HTTP包头中的内容长度,或通过某些形式的编码。
(服务器所使用的方法因服务器类型而异)。
此方法在执行防病毒检查时保持打开
TCP连接,这样就会减少等待时间和改进处理器性能。
但是,它没有"close"连接
方法安全。
如果您发现HTTP连接在防病毒扫描检查时超时,可以更改此行为。
WebUI
Screening>Antivirus>Global:
选中KeepAlive以使用"keep-alive"连接选
项,或清除该选项的复选框以使用"close"连接选项,然后单击Apply。
CLI
setavhttpkeep-alive
unsetavhttpkeep-alive
HTTPTrickling
HTTPtrickling是指将指定数量的未扫描HTTP信息流转发到请求HTTP的客户端,
以防止浏览器窗口在scanmanager检查下载的HTTP文件时发生超时。
(安全设备
在传输整个扫描的文件之前转发小量的数据。
)在缺省情况下禁用HTTPtrickling。
要启用HTTPtrickling并使用缺省的HTTPtrickling参数,请执行下列操作:
WebUI
Screening>Antivirus>Global:
选中TricklingDefault复选框,然后单击
Apply。
CLI
setavhttptricklingdefault
在使用缺省参数时,如果HTTP文件的大小达到3MB以上,则安全设备将采用
trickling。
然后每发送1MB的扫描信息流,设备转发500字节的内容。
要更改HTTPtrickling的参数,请执行下列操作:
WebUI
Screening>Antivirus>Global:
输入以下内容,然后单击Apply:
Trickling:
Custom:
(选择)
MinimumLengthtoStartTrickling:
Enternumber1.
TrickleSize:
Enternumber2.
TrickleforEveryMBSentforScanning:
Enternumber3.
CLI
setavhttptricklingnumber1number3number2
三个数值变量有下列含义:
number1:
触发trickling的最小的HTTP文件大小(单位为兆字节)
number2:
安全设备转发的未扫描信息流量的大小(单位为字节)
number3:
安全设备应用了trickling的信息流块的大小(单位为兆字节)
注意:
细流到客户端硬盘的数据显示为细小的、不可用的文件。
由于trickling是通过不
加扫描地转发小量数据到客户端来实现的,因此病毒代码有可能包含在安全设备
细流到客户端的数据中。
我们建议用户删除这些文件。
您可以在WebUI中禁用HTTPtrickling(Screening>Antivirus:
在Trickling部
分单击Disable)或用CLI命令unsetavhttptricklingenable禁用它。
但是,
如果正在下载的文件大于8MB,并且禁用了HTTPtrickling,则浏览器窗口将
极有可能会超时。
防病毒扫描器配置文件设置
策略使用防病毒配置文件来确定哪些信息流将接受防病毒检查,以及根据该检查结
果所应采取的操作。
注意:
JuniperNetworks安全设备上存在一个名为ns-profile的预定义防病毒配置文件。
必须执行以下操作才能将防病毒配置文件链接至防火墙策略。
防火墙策略只能与一
个防病毒配置文件相链接。
WebUI
策略:
在要链接防病毒配置文件的策略上单击Edit,然后选择AntivirusProfile
下的配置文件。
单击OK。
CLI
ns5gt1->setpolicyidpolicy_numavns-profile
以下各节介绍如何启动防病毒配置文件以及如何配置配置文件设置:
启动防病毒配置文件
范例:
扫描所有信息流类型
范例:
仅对SMTP和HTTP信息流进行防病毒扫描
防病毒配置文件设置
启动防病毒配置文件
以下命令将启动一个名为jnpr-profile的定制防病毒配置文件,该文件在缺省情况下
被配置为扫描FTP、HTTP、IMAP、POP3和SMTP信息流。
WebUI
Screening>Antivirus>Profile:
选择New并输入配置文件名jnpr-profile,然后单击OK。
CLI
setavprofilejnpr-profile
ns5gt(av:
jnpr-profile)->
ns5gt1->setavprofilejnpr-profile
ns5gt(av:
jnpr-profile)->
进入防病毒配置文件环境后,所有后续命令的执行都将修改指定的防病毒配置文件
(jnpr-profile)。
范例:
扫描所有信息流类型
在本例中,将配置防病毒扫描器检查FTP、HTTP、IMAP、POP3和SMTP信息
流。
由于预计扫描器将处理大量信息流,因此还将把超时值从180秒(缺省设置)
增加到300秒。
WebUI
Screening>Antivirus>Profile:
输入profile_name,然后单击OK。
缺省情况下,对全部五种协议(FTP、HTTP、IMAP、POP3和SMTP)的信息流进行
扫描。
注意:
只能使用CLI来更改超时值。
CLI
setavprofilejnpr-profile
(av:
jnpr-profile)->sethttpenable
(av:
jnpr-profile)->sethttptimeout300
(av:
jnpr-profile)->setftpenable
(av:
jnpr-profile)->setftptimeout300
(av:
jnpr-profile)->setimapenable
(av:
jnpr-profile)->setimaptimeout300
(av:
jnpr-profile)->setpop3enable
(av:
jnpr-profile)->setpop3timeout300
(av:
jnpr-profile)->setsmtpenable
(av:
jnpr-profile)->setsmtptimeout300
(av:
jnpr-profile)->exit
save
范例:
仅对SMTP和HTTP信息流进行防病毒扫描
在缺省情况下,防病毒扫描器检查FTP、HTTP、IMAP、POP3和SMTP信息流。
可更改缺省行为,使得扫描器只检查特定类型的网络信息流。
还可更改每个协议的超时值。
在缺省情况下,如果安全设备在收到所有数据后未开
始扫描,则防病毒扫描操作将于180秒后超时。
值的范围是1到1800秒。
在本例中,将对防病毒扫描器进行配置,使其检查所有SMTP和HTTP信息流。
将
两个协议的超时值均恢复为缺省值:
180seconds。
注意:
内部防病毒扫描器仅检查特定的HTTPWeb邮件模式。
Yahoo!
、Hotmail和AOL
邮件服务的模式是预先定义的。
WebUI
Screening>Antivirus>选择New并输入配置文件名jnpr-profile。
输入以下内容,然后单击OK。
Protocolstobescanned:
HTTP:
(选择)
SMTP:
(选择)
POP3:
(清除)
FTP:
(清除)
IMAP:
(清除)
注意:
只能使用CLI来更改超时值。
CLI
setavprofilejnpr-profile
(av:
jnpr-profile)->setsmtptimeout180
(av:
jnpr-profile)->sethttptimeout180
(av:
jnpr-profile)->unsetpop3enable
(av:
jnpr-profile)->unsetftpenable
(av:
jnpr-profile)->unsetimapenable
(av:
jnpr-profile)->exit
unsetavhttpwebmailenable
save
解压缩文件附件
当设备接收到内容时,内部防病毒扫描器解压缩任何压缩的文件。
在缺省情况下扫
描器最多解开2层的压缩文件。
例如,如果扫描器接收到带有附件的文件,并且
该附件是嵌入另一个压缩文件内的压缩文件时,扫描器将会进行两层解压缩以检测
所有病毒。
您可以将内部防病毒扫描器配置为解压缩最多4个嵌入另一个文件内
的压缩文件。
WebUI
Screening>Antivirus>Profile:
选择New或Edit以编辑现有的配置文件。
将
DecompressLayer更新为2,然后单击Apply。
CLI
setavhttpkeep-alive
unsetavhttpkeep-alive
基于文件扩展名的防病毒扫描
文件扩展名列表用于针对特定协议来确定哪些文件将接受防病毒扫描。
每个协议都
有一个包含文件扩展名列表和一个排除文件扩展名列表。
如果某条消息的文件扩展名在包含文件扩展名列表中,则扫描该消息。
如果该文件
扩展名在排除文件扩展名列表中,则不扫描该消息。
如果文件扩展名既不在包含文
件扩展名列表中,也不在排除文件扩展名列表中,则是否扫描取决于缺省文件扩展
名扫描设置。
由于缺省文件扩展名位于扫描引擎数据库中,所以它是只读的。
各协
议没有预定义的文件扩展名列表。
将防病毒扫描器配置为按扩展名扫描IMAP信息流,并排除具有下列扩展名的文件:
.ace、.arj和.chm。
WebUI
Screening>Antivirus>Ext-list>New>输入扩展名列表名称(elist1),然后
输入扩展名列表(ace;arj;chm)。
单击OK。
Antivirus>Profile>选择配置文件以进行Edit>选择IMAP>选择以下
选项,然后单击OK:
Enable
ScanMode:
ScanbyExtension
ExcludeExtensionList:
elist1
CLI
setavextension-listelist1ace;arj;chm
setavprofiletest1
(av:
test1)->setimapscan-modescan-ext
(av:
test1)->setimapextension-listexcludeelist1
基于HTTP内容类型的防病毒扫描
使用此选项可以决定哪些HTTP信息流必须接受防病毒扫描。
HTTP信息流被归类
到缺省的预定义“多用途互联网邮件扩展”(MIME)类型中,如
application/x-director、application/pdf、image等。
可将防病毒配置文件配置为忽
略其中包含特定MIME类型的MIME列表。
缺省的预定义MIME列表是
ns-skip-mime-list。
在本例中,将安全设备配置为扫描所有种类的HTTP信息流,而无论MIME内容类
型如何:
WebUI
Screening>Antivirus>Profile>选择配置文件以进行Edit>选择HTTP并
清除SkipmimeEnable选项。
单击OK。
CLI
setavprofilejnpr-profile
(av:
jnpr-profile)->unsetavhttpskipmime
(av:
jnpr-profile)->exit
save
有关MIME类型的详细信息,请参阅ScreenOSCLIReferenceGuideIPv4
CommandDescriptions。
通过电子邮件通知发送方和接收方
电子邮件通知选项仅适用于IMAP、POP3和SMTP协议。
可将防病毒配置文件配
置为将扫描错误或病毒信息通知给发送方或接收方。
当在电子邮件消息中发现病毒时,警告消息的内容(病毒名称、源/目标IP)将包
含在一条通知级消息中。
该警告级消息将通过SMTP协议经由电子邮件发送。
当在消息中出现扫描错误时,该扫描错误消息的内容应包含在一条警告级消息中。
该消息将通过SMTP协议经由电子邮件发送。
在本例中,将安全设备配置为执行以下操作:
在检测到病毒时通知发送方
在出现扫描错误时通知发送方和接收方
WebUI
Screening>Antivirus>Profile>选择配置文件以进行Edit>选择IMAP,
然后单击OK。
输入以下内容,然后单击OK。
Protocolstobescanned:
EmailNotify>选择VirusSender
EmailNotify>选择Scan-errorSender
EmailNotify>选择Scan-errorRecipient
CLI
setavprofilejnpr-profile
(av:
jnpr-profile)->setimapemail-notifyvirussender
(av:
jnpr-profile)->setimapemail-notifyscan-errorsender
(av:
jnpr-profile)->setimapemail-notifyscan-errorrecipient
(av:
jnpr-profile)->exit
save
范例:
丢弃大文件
在本例中,将对防病毒扫描器进行配置,使其最多可解压缩彼此嵌在一起的三个压
缩文件的HTTP信息流。
也可以这样配置扫描器,使得当同时接收到的消息总数超
过4个或“解压缩的”信息量超过12MB时,扫描器就丢弃该内容。
WebUI
Screening>Antivirus>ScanManager:
输入以下内容,然后单击OK:
Drop:
(选择)fileifitexceeds3000KB(20~10000)
Drop:
(选择)fileifthenumberoffilesexceeds4files(1~16)
Screening>Antivirus>Profile:
选择Edit>HTTP:
输入以下内容,然后单击
O
升级会员 