UTM篇(5.6) 04. 反病毒 - 基础配置 ❀ 飞塔 (Fortinet) 防火墙
【简介】飞塔防火墙UTM包括反病毒功能,反病毒扫描检测文件中的病毒、蠕虫、木马和其他恶意软件。
启用反病毒
反病毒功能需要购买及**UTM才能使用。
① 如果在菜单里没有找到反病毒选项,则需要先选择菜单【系统管理】-【Feature Visibility】,启用【反病毒】。
② 回到菜单【安全配置文件】下,就可以看到有反病毒子菜单了。
基于代理模式下的反病毒
飞塔防火墙支持基于代理和基于流两种操作模式,基于代理的反病毒扫描是功能最多的反病毒扫描模式。这种模式使用代理来管理客户端和服务器之间的通信。当数据流到达时,代理从数据流中提取内容包并缓冲内容,直到完整的文件被组装。一旦文件完整,反病毒扫描将检测文件中的威胁。如果没有找到威胁,则将文件发送到它的目的地。如果发现威胁,文件将被阻断。
① 首先选择菜单【系统管理】-【设定】,将系统操作设置下的〖检测模式〗设置为【代理】。
③ 点击右上角的加号图标,新建一个配置文件,输入一下文件名,默认发现病毒时会阻断,检查协议都选上,这样可以扫描上网、邮件、文件病毒。现在一般邮件里都不会放执行文件,这里将邮件里的执行文件视为病毒。设置完后点击【确认】。
④ 反病毒配置文件建好后,就需要在策略里启用反病毒功能,选择菜单【策略&对象】-【IPv4策略】,双击打开上网策略,找到安全配置文件子项,启用【反病毒】,选择刚刚建立的配置文件。代理选项和SSL/SSH检测会自动启用。基于代理的反病毒配置就完成了。
基于流模式下的反病毒
与基于代理的检测相比,基于流的检测通常需要更少的处理资源,并且不会更改数据包,除非发现了威胁并阻止了数据包。基于流的反病毒使用IPS引擎和反病毒数据库,在多种类型的威胁检测中都是有效的;然而,由于它只能分析单个数据包中的内容,而不能分析完整的文件,因此基于流的扫描不能检测到某些类型的恶意软件,包括多形态的代码文件、压缩文件和一些档案中的恶意软件也不太可能被检测到。
② 选择菜单【安全配置文件】-【反病毒】,右边显示了一个默认反病毒配置文件,我们发现和基于代理模式相比,少了检查协议,但是多了一个扫描模式。
③ 点击右上角的加号图标,新建一个配置文件,输入一下文件名,这里扫描模式选择全部,如果选择快速的话,检查选项内容将不再显示。通常发现病毒时会选择阻断,如果不通确定是否是病毒的文件,可以将文件发送到沙盒,并使用沙盒的数据库去判断文件是否感染病毒。FortiOS 5.6还新加了保护移动端恶意软件功能。
④ 反病毒配置文件建好后,就需要在策略里启用反病毒功能,选择菜单【策略&对象】-【IPv4策略】,双击打开上网策略,找到安全配置文件子项,启用【反病毒】,选择刚刚建立的配置文件。SSL/SSH检测会自动启用。基于流的反病毒配置就完成了。
效果测试
配置完成后,我们可以测试一下病毒阻断效果。但是不正确的操作会让病毒感染网络。为了解决这个问题,欧洲计算机反病毒研究所开发了一个测试文件,可以用来测试反病毒配置。EICAR测试文件不是病毒。它不会感染计算机,也不会传播或造成任何破坏。这是一个包含一系列特征的非常小的文件。飞塔防火墙将EICAR测试文件识别为病毒,这样就可以安全地测试防火墙的反病毒配置。
① 用浏览器打开 www.eicar.org 网站,点击右边地球下载图标。
② 点击左边 DOWNLOAD 菜单。
③ 向下拉窗口,找到一个下载界面,上面一排为标准HTTP协议,下面一排为HTTPS协议。点击上面一排任意一个下载链接。
④ 如果出现了上面显示的报错信息,表明飞塔防火墙的反病毒功能生效了。
⑤ 选择菜单【日志&报表】-【反病毒】,可以看到文件名 eicar.com 的动作是 blocked,并且识别出是病毒。
飞塔技术-老梅子 QQ:57389522