NESTA PÁGINA
Compreensão da digitalização completa do protocolo de aplicativos antivírus
Habilitação da verificação de antivírus FTP (procedimento de CLI)
Habilitação da digitalização de antivírus SMTP (procedimento de CLI)
Habilitação da digitalização de antivírus POP3 (procedimento de CLI)
Habilitação da digitalização de antivírus IMAP (procedimento de CLI)
Digitalização completa do protocolo de aplicativos antivírus
O Full Antivirus usa um mecanismo de digitalização e bancos de dados de assinatura de vírus para proteger contra arquivos infectados por vírus, worms, trojans, spyware e outros malwares nos protocolos POP3, HTTP, SMTP, IMAP e FTP. Para obter mais informações, veja os seguintes tópicos:
Compreensão da digitalização completa do protocolo de aplicativos antivírus
A verificação completa do protocolo de aplicativos antivírus não é compatível com o Junos OS Release 15.1X49-D10 e o Junos OS Release 17.3R1 em diante. Para versões anteriores, você pode ativar e desligar a digitalização de antivírus por protocolo. Se a digitalização de um protocolo for desativada em um perfil de antivírus, não há inteligência de aplicativos para este protocolo. Portanto, na maioria dos casos, o tráfego que usa esse protocolo não é escaneado. Mas se o protocolo em questão for baseado em outro protocolo para o qual a digitalização está habilitada em um perfil de antivírus, então o tráfego é escaneado como esse protocolo habilitado.
O mecanismo de varredura interna de antivírus oferece suporte à digitalização para transações específicas da Camada de Aplicativos, permitindo que você selecione o conteúdo (HTTP, FTP, SMTP, POP3 ou tráfego IMAP) para digitalizar. Para cada tipo de conteúdo que você está digitalizando, você tem diferentes opções de configuração.
Configurações baseadas em perfil, incluindo ativação/desativação, modo de varredura e configurações de tratamento de resultados de digitalização, podem não ser aplicáveis a todos os protocolos suportados. A tabela a seguir lista as configurações baseadas em perfil e o suporte ao protocolo.
Configuração de perfil |
Suporte ao protocolo |
|---|---|
Habilitar ou desativar a digitalização por protocolo |
Todos os protocolos oferecem suporte a esse recurso |
Entender o suporte completo ao modo de varredura de antivírus, incluindo a digitalização de extensão de arquivo |
Todos os protocolos oferecem suporte a esse recurso |
Entender os limites completos do tamanho do conteúdo do antivírus |
Todos os protocolos oferecem suporte a esse recurso |
Entender os limites completos da camada de descompressão por antivírus |
Todos os protocolos oferecem suporte a esse recurso |
Entendendo os intervalos completos de digitalização de antivírus |
Todos os protocolos oferecem suporte a esse recurso |
Somente HTTP |
|
Entender as opções de fallback de digitalização de antivírus |
Todos os protocolos oferecem suporte a esse recurso |
Protocolo de mensagens específicas |
Todos os protocolos oferecem suporte a esse recurso |
Somente SMTP, POP3 e IMAP |
|
Entender notificações personalizadas detectadas por vírus por vírus |
Todos os protocolos oferecem suporte a esse recurso |
Veja também
Entender a digitalização de HTTP
A varredura de antivírus HTTP não tem suporte do Junos OS Release 15.1X49-D10 e do Junos OS Release 17.3R1 em diante. Para versões anteriores, se a digitalização de antivírus estiver habilitada para o tráfego hypertext Transfer Protocol (HTTP) em um perfil de segurança de conteúdo, o tráfego TCP para portas de serviço HTTP definidas (geralmente porta 80) é monitorado. Para tráfego HTTP, o dispositivo de segurança escaneia as respostas e solicitações de HTTP (obtenha, poste e coloque comandos).
Para a digitalização do antivírus HTTP, tanto o HTTP 1.0 quanto o 1.1 são compatíveis. Se a versão de protocolo for HTTP 0.x, o scanner antivírus tenta escanear o tráfego. Protocolos desconhecidos são ignorados. Por exemplo, alguns protocolos de aplicativos usam HTTP como transporte, mas não cumprem o HTTP 1.0 ou 1.1. Estes são considerados protocolos desconhecidos e não são escaneados.
Esta é uma descrição geral de como o tráfego HTTP é interceptado, escaneado e agindo pelo scanner antivírus:
Um cliente de HTTP envia uma solicitação HTTP a um webserver ou um webserver responde a uma solicitação de HTTP.
O dispositivo de segurança intercepta a solicitação e passa os dados para o scanner antivírus, que os escaneia em busca de vírus.
Após a conclusão da varredura, o dispositivo segue um dos dois cursos:
Se não houver vírus, o dispositivo encaminha a solicitação ao webserver.
Se houver um vírus, o dispositivo derruba a solicitação e envia uma mensagem HTTP relatando a infecção ao cliente.
Com a digitalização somente de script, o objeto de entrada é um arquivo de script. Pode ser JavaScript, VBScript, script mIRC, scripts de morcego (arquivos DOS bat) e outros scripts de texto. O mecanismo combina o conteúdo de entrada apenas com assinaturas para arquivos de script. A digitalização de scripts é aplicável apenas para conteúdo HTML no protocolo HTTP. Existem dois critérios para esse tipo de digitalização. Primeiro, o campo do tipo de conteúdo deste documento HTML deve ser texto ou HTML. Segundo, não há codificação de conteúdo no cabeçalho HTTP. Se esses dois critérios forem atendidos, um analisador HTML é usado para analisar o documento HTML.
Veja também
Habilitação de verificação de HTTP (procedimento de CLI)
A varredura de antivírus HTTP não tem suporte do Junos OS Release 15.1X49-D10 e do Junos OS Release 17.3R1 em diante. Para versões anteriores, para habilitar a digitalização de antivírus para tráfego HTTP, insira a seguinte declaração de configuração de CLI:
user@host# set security utm utm-policy policy-name anti-virus http
Entender a digitalização de antivírus FTP
A digitalização do antivírus FTP não é compatível com o Junos OS Release 15.1X49-D10 em diante. Para versões anteriores, se a digitalização de antivírus estiver habilitada para o tráfego FTP (File Transfer Protocol, protocolo de transferência de arquivos) em um perfil de segurança de conteúdo, o dispositivo de segurança monitora o canal de controle e, quando detecta um dos comandos FTP para a transferência de dados, ele escaneia os dados enviados pelo canal de dados.
Esta é uma descrição geral de como o tráfego FTP é interceptado, escaneado e agindo pelo scanner antivírus:
Um cliente FTP local abre um canal de controle FTP para um servidor FTP e solicita a transferência de alguns dados.
O cliente e o servidor FTP negociam um canal de dados sobre o qual o servidor envia os dados solicitados. O dispositivo de segurança intercepta os dados e os passa para o mecanismo de varredura de antivírus, que os escaneia em busca de vírus.
Após a conclusão da varredura, o dispositivo segue um dos dois cursos:
Se não houver vírus, o dispositivo encaminha os dados ao cliente.
Se houver um vírus, o dispositivo substitui os dados por uma mensagem de queda no canal de dados e envia uma mensagem relatando a infecção no canal de controle.
Habilitação da verificação de antivírus FTP (procedimento de CLI)
A digitalização do antivírus FTP não é compatível com o Junos OS Release 15.1X49-D10 em diante. Para versões anteriores, para permitir a digitalização de antivírus para tráfego FTP (File Transfer Protocol, protocolo de transferência de arquivos), insira a seguinte declaração de configuração de CLI:
user@host# security utm utm-policy policy-name anti-virus ftp
Para escanear o tráfego FTP, o FTP ALG deve ser habilitado.
Veja também
Entender a digitalização de antivírus SMTP
A partir do Junos OS Release 15.1X49-D10 e do Junos OS Release 17.3R1, apenas o Sophos Antivírus oferece suporte ao antivírus SMTP. Se a digitalização do antivírus SMTP (Simple Mail Transfer Protocol) for habilitada em um perfil de segurança de conteúdo, o dispositivo de segurança redireciona o tráfego de clientes locais de SMTP para o scanner antivírus antes de enviá-lo ao servidor de e-mail local.
O chunking é uma alternativa ao comando de dados. Ele fornece um mecanismo para transmitir uma grande mensagem em pequenos pedaços. Não é compatível. As mensagens que usam chunking são ignoradas e não são escaneadas.
Esta é uma descrição geral de como o tráfego SMTP é interceptado, escaneado e agindo pelo scanner antivírus:
Um cliente da SMTP envia uma mensagem de e-mail para um servidor de e-mail local ou um servidor de e-mail remoto encaminha uma mensagem de e-mail via SMTP para o servidor de e-mail local.
O dispositivo de segurança intercepta a mensagem de e-mail e passa os dados para o scanner antivírus, que os escaneia em busca de vírus.
Após a conclusão da varredura, o dispositivo segue um dos dois cursos:
Se não houver vírus, o dispositivo encaminha a mensagem para o servidor local.
Se houver um vírus, o dispositivo envia uma mensagem de substituição ao cliente.
Este tópico inclui as seguintes seções:
- Entender a substituição de mensagens de e-mail do SMTP Antivírus
- Entender a notificação do remetente de antivírus SMTP
- Entender a marcação de assuntos de antivírus SMTP
Entender a substituição de mensagens de e-mail do SMTP Antivírus
Se o scanner antivírus encontrar um vírus em uma mensagem de e-mail, a mensagem original for retirada, o corpo da mensagem estiver truncado e o conteúdo for substituído por uma mensagem que pode aparecer da seguinte forma:
nContent-Type: text/plain Your mail <src_ip> : <src_port> — <dst_port>: <dst_port> contains contaminated file <filename> with virus <virusname>, so it is dropped.
Se um erro de verificação for devolvido e o modo de falha estiver definido para cair, a mensagem original será retirada e todo o corpo de mensagem estiver truncado. O conteúdo é substituído por uma mensagem que pode aparecer da seguinte forma:
nContent-Type: text/plain Your mail <src_ip> : <src_port> — <dst_port>: <dst_port> is dropped for <reason>.
Entender a notificação do remetente de antivírus SMTP
Se notify-sender-on-virus estiver definido e a mensagem for retirada devido a um vírus detectado, um e-mail é enviado ao remetente de e-mail. O conteúdo da notificação pode aparecer da seguinte forma:
From: <admin>@<gateway_ip> To: <sender_e-mail> Subject: Mail Delivery Failure This message is created automatically by mail delivery software. A message that you sent could not be delivered to one or more of its recipients for the reason: <src_ip> : <src_port> — <dst_port>: <dst_port> <ENVID> contaminated file <filename> with virus <virusname>. e-mail Header is: <header of scanned e-mail>
Se notify-sender-on-error-drop estiver definido e a mensagem for retirada devido a um erro de digitalização, um e-mail é enviado ao remetente de e-mail da mensagem digitalizada. O conteúdo do e-mail pode aparecer da seguinte forma:
From: <admin>@<gateway_ip> To: <sender_e-mail> Subject: Mail Delivery Failure This message is created automatically by mail delivery software. A message that you sent could not be delivered to one or more of its recipients for the reason: <src_ip> : <src_port> — <dst_port>: <dst_port> <ENVID> <reason>. e-mail Header is: <header of scanned e-mail>
Para obter informações sobre o parâmetro ENVID, consulte RFC 3461.
Entender a marcação de assuntos de antivírus SMTP
Se um erro de varredura for devolvido e o modo de falha for definido, passo módulo antivírus passa a mensagem para o servidor. Se notify-recipient-on-error-pass estiver definido, a seqüência a seguir é anexada ao final do campo de assunto:
(No virus check: <reason>)
Veja também
Habilitação da digitalização de antivírus SMTP (procedimento de CLI)
A varredura de antivírus SMTP não tem suporte do Junos OS Release 15.1X49-D10 e do Junos OS Release 17.3R1 em diante. Para versões anteriores, para permitir a digitalização de antivírus para tráfego SMTP, insira a seguinte declaração de configuração de CLI:
user@host# set security utm utm-policy policy-name anti-virus smtp-profile
Entender a digitalização de antivírus POP3
O antivírus POP3 não é compatível com o Junos OS Release 15.1X49-D10 e o Junos OS Release 17.3R1 em diante. Para versões anteriores, se a digitalização de antivírus do Protocolo 3 (POP3) dos Correios for ativada em um perfil de segurança de conteúdo, o dispositivo de segurança redireciona o tráfego de um servidor de e-mail local para o scanner antivírus antes de enviá-lo ao cliente POP3 local.
Esta é uma descrição geral de como o tráfego POP3 é interceptado, escaneado e agindo pelo scanner antivírus.
O cliente POP3 baixa uma mensagem de e-mail do servidor de e-mail local.
O dispositivo de segurança intercepta a mensagem de e-mail e passa os dados para o scanner antivírus, que os escaneia em busca de vírus.
Após a conclusão da varredura, o dispositivo de segurança segue um dos dois cursos:
Se não houver vírus, o dispositivo encaminha a mensagem ao cliente.
Se houver um vírus, o dispositivo envia uma mensagem relatando a infecção ao cliente.
Consulte a compreensão das notificações detectadas por vírus somente por protocolo para obter informações sobre notificações somente de protocolo para IMAP.
Este tópico inclui as seguintes seções:
- Entendendo a substituição de mensagens de e-mail do antivírus POP3
- Entender a notificação do remetente de antivírus POP3
- Entender a marcação de assunto do antivírus POP3
Entendendo a substituição de mensagens de e-mail do antivírus POP3
Se o scanner antivírus encontrar um vírus em uma mensagem de e-mail, a mensagem original for retirada, o corpo da mensagem estiver truncado e o conteúdo for substituído por uma mensagem que pode aparecer da seguinte forma:
nContent-Type: text/plain Your mail <src_ip> : <src_port> — <dst_port>: <dst_port> contains contaminated file <filename> with virus <virusname>, so it is dropped.
Entender a notificação do remetente de antivírus POP3
Se notify-sender-on-virus estiver definido e a mensagem for retirada devido a um vírus detectado, um e-mail é enviado ao remetente de e-mail.
From: <admin>@<gateway_ip> To: <sender_e-mail> Subject: Mail Delivery Failure This message is created automatically by mail delivery software. A message that you sent could not be delivered to one or more of its recipients for the reason: <src_ip> : <src_port> — <dst_port>: <dst_port> contaminated file <filename> with virus <virusname>. e-mail Header is: <header of scanned e-mail>
Se notify-sender-on-error-drop estiver definido e a mensagem for retirada devido a um erro de digitalização, um e-mail é enviado ao remetente de e-mail da mensagem digitalizada. O conteúdo do e-mail pode aparecer da seguinte forma:
From: <admin>@<gateway_ip> To: <sender_e-mail> Subject: Mail Delivery Failure This message is created automatically by mail delivery software. A message that you sent could not be delivered to one or more of its recipients for the reason: <src_ip> : <src_port> — <dst_port>: <dst_port> <reason>. e-mail Header is: <header of scanned e-mail>
Entender a marcação de assunto do antivírus POP3
Se um erro de varredura for devolvido e o modo de falha for definido, passo módulo antivírus passa a mensagem para o servidor. Se notify-recipient-on-error-pass estiver definido, a seqüência a seguir é anexada ao campo final do assunto:
(No virus check: <reason>)
Veja também
Habilitação da digitalização de antivírus POP3 (procedimento de CLI)
O antivírus POP3 não é compatível com o Junos OS Release 15.1X49-D10 e o Junos OS Release 17.3R1 em diante. Para versões anteriores, para permitir a digitalização de antivírus para o tráfego POP3, insira a seguinte declaração de configuração de CLI:
user@host# set security utm utm-policy policy-name anti-virus pop3-profile
Entender a digitalização de antivírus IMAP
A varredura de antivírus IMAP não é compatível com o Junos OS Release 15.1X49-D10 e o Junos OS Release 17.3R1 em diante. Para versões anteriores, se o antivírus IMAP (Internet Message Access Protocol) for habilitado em um perfil de segurança de conteúdo, o dispositivo de segurança redireciona o tráfego de um servidor de e-mail local para o scanner interno de antivírus antes de enviá-lo ao cliente IMAP local.
Esta é uma descrição geral de como o tráfego IMAP é interceptado, escaneado e agindo pelo scanner antivírus.
O cliente do IMAP baixa uma mensagem de e-mail do servidor de e-mail local.
O dispositivo de segurança intercepta a mensagem de e-mail e passa os dados para o scanner antivírus, que os escaneia em busca de vírus.
Após a conclusão da varredura, o dispositivo de segurança segue um dos dois cursos:
Se não houver vírus, o dispositivo encaminha a mensagem ao cliente.
Se houver um vírus, o dispositivo envia uma mensagem relatando a infecção ao cliente.
Consulte a compreensão das notificações detectadas por vírus somente por protocolo para obter informações sobre notificações somente de protocolo para IMAP.
Este tópico inclui as seguintes seções:
- Entender a substituição de mensagens de e-mail do IMAP Antivírus
- Entender a notificação do remetente de antivírus IMAP
- Entendendo a marcação do assunto IMAP Antivírus
- Entendendo as limitações de digitalização de antivírus IMAP
Entender a substituição de mensagens de e-mail do IMAP Antivírus
Se o scanner antivírus encontrar um vírus em uma mensagem de e-mail, a mensagem original for retirada, o corpo da mensagem estiver truncado e o conteúdo for substituído por uma mensagem que pode aparecer da seguinte forma:
nContent-Type: text/plain Your mail <src_ip> : <src_port> — <dst_port>: <dst_port> contains contaminated file <filename> with virus <virusname>, so it is dropped.
Entender a notificação do remetente de antivírus IMAP
Se notify-sender-on-virus estiver definido e a mensagem for retirada devido a um vírus detectado, um e-mail é enviado ao remetente de e-mail.
From: <admin>@<gateway_ip> To: <sender_e-mail> Subject: Mail Delivery Failure This message is created automatically by mail delivery software. A message that you sent could not be delivered to one or more of its recipients for the reason: <src_ip> : <src_port> — <dst_port>: <dst_port> contaminated file <filename> with virus <virusname>. e-mail Header is: <header of scanned e-mail>
Se notify-sender-on-error-drop estiver definido e a mensagem for retirada devido a um erro de digitalização, um e-mail é enviado ao remetente de e-mail da mensagem digitalizada. O conteúdo do e-mail pode aparecer da seguinte forma:
From: <admin>@<gateway_ip> To: <sender_e-mail> Subject: Mail Delivery Failure This message is created automatically by mail delivery software. A message that you sent could not be delivered to one or more of its recipients for the reason: <src_ip> : <src_port> — <dst_port>: <dst_port> <reason>. e-mail Header is: <header of scanned e-mail>
Entendendo a marcação do assunto IMAP Antivírus
Se um erro de varredura for devolvido e o modo de falha for definido, passo módulo antivírus passa a mensagem para o servidor. Se notify-recipient-on-error-pass estiver definido, a seqüência a seguir é anexada ao campo final do assunto:
(No virus check: <reason>)
Entendendo as limitações de digitalização de antivírus IMAP
Fragmentos de correio — é possível cortar um e-mail em várias partes e enviar cada parte por uma resposta diferente. Isso é chamado de fragmentação de e-mails e os clientes de correio mais populares dão suporte a ele para enviar e receber grandes e-mails. A digitalização de fragmentos de correio não é suportada pelo scanner antivírus e, nesses casos, o corpo de mensagens não é escaneado.
Conteúdo parcial — Alguns clientes de e-mail tratam o e-mail de diferentes tamanhos de maneira diferente. Por exemplo, pequenos e-mails (menos de 10 KB) são baixados como um todo. E-mails grandes (por exemplo, menos de 1 MB) são cortados em 10 pedaços de KB mediante solicitação do servidor IMAP. A digitalização de quaisquer solicitações de conteúdo parcial não é compatível com o scanner antivírus.
Uploads IMAP — Apenas a digitalização de antivírus dos downloads do IMAP é compatível. O tráfego de upload do IMAP não é escaneado.
Habilitação da digitalização de antivírus IMAP (procedimento de CLI)
A varredura de antivírus IMAP não é compatível com o Junos OS Release 15.1X49-D10 e o Junos OS Release 17.3R1 em diante. Para versões anteriores, para permitir a digitalização de antivírus para tráfego IMAP, insira a seguinte declaração de configuração de CLI:
user@host# security utm utm-policy policy-name anti-virus imap-profile