Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Proteção contra antivírus Sophos

O scanner antivírus Sophos usa um cache interno local para manter as respostas de consulta do servidor da lista externa para melhorar o desempenho da pesquisa. A varredura de antivírus Sophos é oferecida como uma alternativa menos intensiva em CPU ao recurso completo de antivírus baseado em arquivo. Para obter mais informações, veja os seguintes tópicos:

Visão geral do Sophos Antivirus Protection

O antivírus Sophos é uma solução antivírus na nuvem. O padrão de vírus e o banco de dados de malware estão localizados em servidores externos mantidos pelos servidores sophos (Sophos Extensible List), portanto não há necessidade de baixar e manter grandes bancos de dados padrão no dispositivo juniper. Antes do Junos OS Release 23.1R1, o scanner antivírus Sophos também usou um cache interno local para manter respostas de consulta do servidor da lista externa para melhorar o desempenho da pesquisa.

Como uma quantidade significativa de tráfego processada pela Juniper Content Security é baseada em HTTP, a verificação do Uniform Resource Identifier (URI) é usada para impedir efetivamente que conteúdo malicioso chegue ao cliente ou servidor de endpoint. As verificações a seguir são realizadas para tráfego HTTP: busca de URI, detecção de tipo de arquivo verdadeira e busca de checkum de arquivo. Os seguintes protocolos de camada de aplicativos são suportados: HTTP, FTP, SMTP, POP3 e IMAP.

O recurso completo de antivírus baseado em arquivo não tem suporte do Junos OS Release 15.1X49-D10 e do Junos OS Release 17.3R1 em diante. Para versões anteriores, a varredura de antivírus sophos é oferecida como uma alternativa menos intensiva em CPU ao recurso completo de antivírus baseado em arquivo. A Sophos oferece suporte aos mesmos protocolos que o antivírus e as funções completas da mesma maneira; no entanto, ele tem uma base de memória menor e é compatível com dispositivos inferiores que têm menos memória.

Começando pelo Junos OS Release 15.1X49-D100, o tráfego de passagem IPv6 para HTTP, HTTPS, FTP, SMTP, POP3, protocolos IMAP tem suporte para os recursos de segurança de filtragem de conteúdo, antivírus Sophos, filtragem de Web e filtragem de conteúdo.

Começando com o Junos OS Release 12.3X48-D35 e o Junos OS Release 17.3R1, a taxa de transferência única do sophos antivírus sophos (SAV) de segurança de conteúdo é aumentada para otimizar o encaminhamento de proxy de tcp.

A partir do Junos OS Release 19.4R1, o recurso antivírus oferece suporte a SMTPS, IMAPS e protocolo POP3S implícitos e explícitos, e oferece suporte apenas a FTPS de modo passivo explícito.

Modo implícito — Conecte-se à porta criptografada SSL/TLS usando um canal seguro.

Modo explícito — primeiro conecte-se a um canal não seguro e proteja a comunicação emitindo o comando STARTTLS. Para POP3S, use o comando STLS.

A partir do Junos OS Release 23.1R1, a segurança de conteúdo oferece suporte ao novo antivírus Sophos Live Protection versão 2.0. A nova versão do antivírus Sophos usa uma conexão HTTPS para a comunicação entre dispositivos e servidores. Para a conexão HTTPS, você deve criar um perfil de iniciação SSL e adicionar o perfil à configuração padrão do mecanismo Sophos.

Recursos do Sophos Antivírus

O antivírus Sophos tem os seguintes recursos principais:

  • Sophos antivirus expanded MIME decoding support— O sophos antivírus oferece suporte de decodagem para HTTP, POP3, SMTP e IMAP. O suporte de decodagem do MIME inclui o seguinte para cada protocolo suportado:

    • Decodagem multiparte e cabeçalho aninhado

    • Decodificação base64, decodificação impressa de cotações e decodificação de palavras codificadas no campo de assunto

  • Sophos antivirus supports HTTPS traffic— Começando pelo Junos OS Release 12.3X48-D25 e o Junos OS Release 17.3R1, o antivírus Sophos por proxy de encaminhamento SSL oferece suporte ao tráfego HTTPS. O sophos antivírus sobre o proxy de encaminhamento SSL faz isso interceptando o tráfego HTTPS que passa pelo firewall da Série SRX. O canal de segurança do firewall da Série SRX é dividido como um canal SSL entre o cliente e o firewall da Série SRX e outro canal SSL entre o firewall da Série SRX e o servidor HTTPS. O proxy de encaminhamento SSL atua como o terminal para ambos os canais e encaminha o tráfego de texto claro para a segurança de conteúdo. A Segurança de Conteúdo extrai a URL e as informações de verificação de arquivo do tráfego cleartext. O scanner antivírus Sophos determina se bloqueia ou permite as solicitações.

    O proxy de encaminhamento SSL não oferece suporte à autenticação do cliente. Se a autenticação do cliente for necessária pelo servidor, a Segurança de Conteúdo ignora o tráfego. A segurança de conteúdo ignora o tráfego HTTPS nas seguintes condições:

    • Se o proxy SSL não analisar o primeiro pacote de aperto de mão do cliente, o proxy de encaminhamento SSL ignora o tráfego.

    • Se o aperto de mão de proxy SSL com o cliente e o servidor estiver incompleto devido a problemas de compatibilidade, a conexão cai.

    • Se o recurso do sistema estiver baixo, o proxy de encaminhamento SSL não pode lidar com a nova conexão e o antivírus Sophos ignora o tráfego.

    • Se o tráfego HTTPS atingir a lista de permitidores do proxy de encaminhamento SSL, o proxy de encaminhamento SSL e o antivírus Sophos burlam o tráfego.

  • Sophos antivirus scan result handling— Com o antivírus Sophos, o TCP, o tráfego é fechado graciosamente quando um vírus é encontrado e o conteúdo dos dados é descartado.

    As seguintes opções de modo de falha são suportadas: tamanho de conteúdo, padrão, mecanismo não pronto, sem recursos, tempo limite e solicitações demais. Você pode definir as seguintes ações: bloquear, registrar e permitir. O manuseio do modo fail de opções suportadas com Sophos é o mesmo que com o antivírus completo.

  • Sophos Uniform Resource Identifier checking— A Sophos fornece verificação do Uniform Resource Identifier (URI), que é semelhante às buscas da lista de rotas nulas em tempo real (RBL) antispam. A verificação da URI é uma maneira de analisar o conteúdo da URI no tráfego HTTP em relação ao banco de dados Sophos para identificar malware ou conteúdo malicioso. Como o malware é predominantemente estático, um mecanismo de checkum é usado para identificar malwares para melhorar o desempenho. Os arquivos capazes de usar um checksum incluem .exe, .zip, .rar, .swf, .pdf e .ole2 (doc e xls).

    Se você tem um dispositivo juniper networks protegendo uma rede interna que não tem tráfego HTTP ou tem webservers que não são acessíveis ao mundo exterior, você pode querer desativar a verificação da URI. Se os webservers não estiverem acessíveis ao mundo exterior, é improvável que eles contenham informações de URI que estejam no banco de dados sophos URI. A verificação da URI está ativada por padrão.

    A partir da versão 18.4R1 do Junos OS, a verificação da URI está inadimplente.

Entenda a atualização do arquivo de dados do Sophos Antivirus

O sophos antivírus usa um pequeno conjunto de arquivos de dados que precisam ser atualizados periodicamente. Esses arquivos de dados contêm apenas informações sobre como orientar a lógica de digitalização e não contêm o banco de dados de padrão completo. O banco de dados de padrões principais, que inclui proteção contra vírus críticos, verificações de URI, malwares, worms, trojans e spyware, está localizado em servidores remotos da Lista Extensível Sophos mantidos pela Sophos.

Os arquivos de dados do Sophos são atualizados em HTTP ou HTTPS e podem ser atualizados manualmente ou programados para serem atualizados automaticamente. Com o antivírus Sophos:

  • O intervalo de atualização automática do banco de dados de assinatura é uma vez por dia por padrão. Esse intervalo pode ser alterado.

  • Não há interrupção no recurso de digitalização de vírus durante a atualização do arquivo de dados. Se a atualização falhar, os arquivos de dados existentes continuarão a ser usados.

  • Por padrão, a URL para atualização de arquivo de dados antivírus Sophos é http://update.juniper-updates.net/SAV/.

Nota:

O recurso de digitalização de antivírus Sophos é um serviço de assinatura licenciado separadamente. Quando sua chave de licença antivírus expirar, a funcionalidade não funcionará mais porque o banco de dados de pesquisa de padrões está localizado em servidores sophos remotos. Você tem um período de carência de 30 dias para atualizar sua licença.

Comparação do Sophos Antivírus com o Antivírus Davós

O recurso Antivírus Da Kaspersky e Express não tem suporte do Junos OS Release 15.1x49-D10 e do Junos OS Release 17.3R1 em diante. Para versões anteriores, o Sophos Antivirus é muito parecido com o Juniper Express Antivirus e também tem semelhanças com o recurso Full Antivirus:

  • Ao contrário das soluções Juniper Express e Full Antivirus, o banco de dados de antivírus e malware para Sophos é armazenado em um grupo de servidores remotos da Lista Extensível Sophos. Consultas são realizadas usando o protocolo DNS. A Sophos mantém esses servidores para que não haja necessidade de baixar e manter grandes bancos de dados padrão no dispositivo Juniper. Como o banco de dados é remoto, e há uma resposta mais rápida a novos surtos de vírus. O banco de dados antivírus não tem limitação de tamanho, mas há uma limitação com o tamanho do arquivo de varredura.

    Nota:

    O sophos antivírus usa um conjunto de arquivos de dados que precisam ser atualizados regularmente. Não são arquivos típicos de padrão de vírus; eles são um conjunto de arquivos pequenos que ajudam a orientar a lógica de digitalização de vírus. Você pode baixar manualmente os arquivos de dados ou configurar o download automático.

  • A Sophos não oferece a mesma detecção de pré-triagem que o Antivírus Desinfetante. A Sophos fornece uma solução semelhante que faz parte do mecanismo Sophos e não pode ser ligada e desativada.

  • O recurso de digitalização de antivírus Sophos é um serviço de assinatura licenciado separadamente. Além disso, o banco de dados de busca de padrões está localizado em servidores remotos mantidos pela Sophos, portanto, quando sua chave de licença antivírus expirar, a funcionalidade não funcionará mais. Você tem um período de carência de 30 dias para atualizar sua licença.

Visão geral da configuração do Sophos Antivirus

O antivírus Sophos faz parte do conjunto de recursos de segurança de conteúdo, para que você configure primeiro as opções de segurança de conteúdo (objetos personalizados), configure o recurso Sophos e crie uma política de segurança de conteúdo e uma política de segurança. A política de segurança controla todo o tráfego encaminhado pelo dispositivo, e a política de segurança de conteúdo especifica quais parâmetros usar para digitalizar o tráfego. A política de segurança de conteúdo também é usada para vincular um conjunto de protocolos a um ou mais perfis de recursos de segurança de conteúdo, incluindo o sophos antivírus neste caso.

Você deve completar as seguintes tarefas para configurar o antivírus Sophos:

  1. Configure objetos personalizados de segurança de conteúdo e listas MIME. Veja exemplo: configuração de objetos personalizados do Sophos Antivírus,
  2. Configure o perfil do recurso antivírus Sophos. Veja exemplo: configuração do perfil do recurso Sophos Antivirus.
  3. Configure uma política de segurança de conteúdo. Veja exemplo: configuração de políticas de segurança de conteúdo antivírus Sophos
  4. Configure uma política de segurança. Veja exemplo: configuração de políticas de segurança de firewall antivírus Sophos.

Exemplo: configurar objetos personalizados do Sophos Antivirus

Este exemplo mostra como criar objetos personalizados globais de segurança de conteúdo a serem usados com o antivírus Sophos.

Requisitos

Antes de começar, leia sobre objetos personalizados da Segurança de Conteúdo. Veja a visão geral da segurança do conteúdo.

Visão geral

Configure listas MIME. Isso inclui a criação de uma lista de permitidores MIME e uma lista de exceção MIME para a digitalização de antivírus. Neste exemplo, você ignora a digitalização de vídeos quicktime, a menos que eles contenham o tipo MIME inadequado para o tempo rápido.

Configuração

Procedimento

Configuração rápida da GUI
Procedimento passo a passo

Para configurar uma lista MIME:

  1. Clique na guia Configurar na barra de tarefas e selecione Objetos > Segurança>Custom.

  2. Clique na guia Lista de Padrões MIME e clique em Adicionar.

  3. Na caixa MIME Pattern Name, digite avmime2.

  4. Na caixa de valor de padrão MIME, digite vídeo/tempo rápido e clique em Adicionar.

  5. Na caixa de valor de padrão MIME, digite a imagem/x-portátil-anympa e clique em Adicionar.

  6. Na caixa de valor de padrão MIME, digite x-world/x-vrml e clique em Adicionar.

Procedimento passo a passo

Para configurar uma lista de exceção mime:

  1. Clique na guia Configurar na barra de tarefas e selecione Objetos > Segurança>Custom.

  2. Clique na guia Lista de Padrões MIME e selecione Adicionar.

  3. Na caixa MIME Pattern Name, digite exception-avmime2.

  4. Na caixa de valor de padrão MIME, digite vídeo/rapidez inadequada e clique em Adicionar.

Procedimento passo a passo

Configure uma lista de padrões de URL (allowlist) de URLs ou endereços que serão ignorados pela digitalização de antivírus. Depois de criar a lista de padrões de URL, você criará uma lista de categorias de URL personalizada e adicionará a lista de padrões a ela.

Nota:

Como você usa listas de padrões de URL para criar listas personalizadas de categoria de URL, você deve configurar objetos personalizados da lista de padrões de URL antes de configurar listas de categorias de URL personalizadas.

Para configurar uma lista de permitidores de padrão de URL:

  1. Clique na guia Configurar na barra de tarefas e selecione Objetos >Custom > Segurança.

  2. Clique na guia Lista de Padrões de URL e clique em Adicionar.

  3. Na caixa de nome de padrão de URL, insira a urlist2.

  4. Na caixa de valor de padrão de URL, insira http://example.net. (Você também pode nos dar o endereço IP do servidor em vez do URL.)

Procedimento passo a passo

Reserve sua configuração:

  1. Clique em OK para verificar sua configuração e salvá-la como uma configuração de candidato.

  2. Se você terminar de configurar o dispositivo, clique em Ações>Commit.

Nota:

Suporte curinga padrão de URL — A regra curinga é a seguinte: \*\.[] \?* e você deve preceder todos os URLs curingas com http://. Você só pode usar "*" se estiver no início do URL e for seguido por um ".". Você só pode usar "?" ao final da URL.

A seguinte sintaxe curinga é suportada: http://*. example.net, http://www.example.ne?, http://www.example.n?? A sintaxe curinga a seguir não tem suporte: *.example.net, www.example.ne?, http://*example.net, http://*.

Procedimento passo a passo

Para configurar a proteção contra antivírus usando a CLI, você deve criar seus objetos personalizados na ordem a seguir:

  1. Crie a lista de permitidores MIME.

    Crie a lista de exceção mime.

  2. Configure uma lista de padrões de URL (allowlist) de URLs ou endereços que você deseja ignorar. Depois de criar a lista de padrões de URL, você cria uma lista de categorias de URL personalizada e adiciona a lista de padrões a ela. Configure um objeto personalizado da lista de padrões de URL criando o nome da lista e adicionando valores a ele da seguinte forma. Ao usar listas de padrões de URL para criar listas personalizadas de categoria de URL, você deve configurar objetos personalizados da lista de padrões de URL antes de configurar listas de categorias de URL personalizadas.

    Nota:

    Suporte curinga padrão de URL — A regra curinga é a seguinte: \*\.[] \?* e você deve preceder todos os URLs curingas com http://. Você só pode usar "*" se estiver no início do URL e for seguido por um ".". Você só pode usar "?" ao final da URL.

    A seguinte sintaxe curinga é suportada: http://*. example.net, http://www.example.ne?, http://www.example.n?? A sintaxe curinga a seguir não tem suporte: *.example.net, www.example.ne?, http://*example.net, http://*.

  3. Configure um objeto personalizado da lista de categoria de URL personalizado usando o urllist2 da lista de padrões de URL que você criou anteriormente:

Verificação

Verifique a configuração de objetos personalizados do Sophos Antivirus

Propósito

Para verificar a configuração de objetos personalizados do Sophos Antivirus., entre no show security utm custom-objects comando.

Ação

A partir do modo operacional, entre no show security utm custom-objects comando para verificar a configuração de objetos personalizados do Sophos Antivirus.

Exemplo: Configuração do perfil do recurso Sophos Antivirus

Este exemplo mostra como configurar um perfil antivírus Sophos que define os parâmetros que serão usados para a digitalização de vírus.

Requisitos

Antes de começar:

Visão geral

A configuração a seguir define o Sophos como o mecanismo antivírus e define parâmetros, como o intervalo de atualização do arquivo de dados, opções de notificação para administradores, opções de recuo e limites de tamanho de arquivo.

Nota:

O [edit security utm feature-profile] nível de hierarquia é preterido no Junos OS Release 18.2R1. Para obter mais informações, consulte a visão geral da segurança do conteúdo.

Configuração

Procedimento

Configuração rápida da GUI
Procedimento passo a passo

O exemplo a seguir mostra como criar um perfil personalizado do Sophos. Se você quiser usar o perfil pré-configurado da Juniper Networks, use o perfil chamado junos-sophos-av-defaults em sua política de segurança de conteúdo. Veja exemplo: configuração de políticas de segurança de conteúdo Antivírus Sophos.

  1. Selecione e configure o tipo de motor. Como você está configurando o antivírus Sophos, você configura o sophos-engine:

    Procedimento passo a passo
    1. Clique na guia Configurar na barra de tarefas e selecione Segurança>UTM>Anti-Virus.

    2. Clique na guia Opções Globais e clique em Sophos.

    3. Clique em OK e comprometa suas alterações.

  2. Volte à tela do antivírus Global Options como você fez na etapa 1 e defina os seguintes parâmetros:

    Procedimento passo a passo
    1. Na lista de permitlist do MIME, selecione exception-avmime2.

    2. Na lista de permitidores de URL, selecione custurl2.

    3. Na caixa de intervalo de atualização padrão (sec), tipo 2880.

    4. Na caixa, digite o endereço de e-mail que receberá notificações de atualização de arquivos de e-mail do SophosAdmin. Por exemplo, admin@ example.net.

    5. Na caixa de assunto de mensagem personalizada, digite o arquivo de dados sophos atualizado.

    6. Clique em OK para verificar sua configuração e salvá-la como uma configuração de candidato.

  3. Configure um perfil para o mecanismo de sophos e defina parâmetros.

    Procedimento passo a passo
    1. Clique na guia Configurar na barra de tarefas e selecione Segurança>UTM>Anti-Virus. Clique em Adicionar.

    2. Na caixa de perfil Adicionar, clique na guia Principal .

    3. Na caixa de nomes de perfil, digite sophos-prof1.

    4. Na caixa de tempo limite Trickling, tipo 180.

      Ao habilitar a opção de traição, é importante entender que o truque pode enviar parte do arquivo ao cliente durante a varredura antivírus. É possível que parte do conteúdo possa ser recebido pelo cliente e que o cliente possa ser infectado antes que o arquivo seja totalmente digitalizado.

    5. A verificação da URI está ativada por padrão. Para desativar, libere sim na caixa de verificação URI.

    6. Na caixa limite de tamanho de conteúdo, tipo 20000.

    7. Na caixa de tempo limite do mecanismo Scan, tipo 1800.

  4. Configure as configurações de fallback clicando na guia de configurações de Fallback . Neste exemplo, todas as opções de recuo estão definidas para registrar e permitir. Clique em Registrar e permitir os seguintes itens: ação padrão, tamanho do conteúdo, Mecanismo não pronto, Tempo limite, sem recursos, muitas solicitações.

  5. Configure opções de notificação clicando na guia opções de notificação . Você pode configurar notificações para ações de bloqueio e não bloqueio de quedas e para detecção de vírus.

    Procedimento passo a passo

    Para configurar notificações para configurações de Fallback:

    1. Para o tipo de notificação, clique em Protocolo.

    2. Para notificar o remetente de e-mail, clique em sim.

    3. Na caixa de mensagens Personalizada, ocorreu a ação do bloco Fallback.

    4. Na caixa de assunto de mensagem personalizada, tipo ***Alerta de retorno de antivírus**.

  6. Para configurar opções de notificação para detecção de vírus, clique na guia opções de notificação cont...

    Procedimento passo a passo
    1. Para o botão de opção de tipo de notificação, selecione Protocolo.

    2. Para o botão Notificar a opção de remetente de e-mail, selecione sim.

    3. Na caixa de mensagens personalizada, o tipo Vírus foi detectado.

    4. Na caixa de assunto de mensagem personalizada, tipo ***Virus detectou***.

  7. Clique em OK para verificar sua configuração e salvá-la como uma configuração de candidato.

  8. Se você terminar de configurar o dispositivo, clique em Ações>Commit.

Procedimento passo a passo

Para configurar o perfil do recurso antivírus Sophos usando a CLI:

O exemplo a seguir mostra como criar um perfil personalizado do Sophos. Se você quiser usar o perfil pré-configurado da Juniper Networks, use o perfil chamado junos-sophos-av-defaults em sua política de segurança de conteúdo. Veja exemplo: configuração de políticas de segurança de conteúdo Antivírus Sophos.

  1. Selecione e configure o tipo de motor. Como você está configurando o antivírus Sophos, você configura o sophos-engine.

  2. Confirmar a configuração.

  3. Selecione um intervalo de tempo para atualizar os arquivos de dados. O intervalo padrão de atualização de padrão de antivírus é de 1440 minutos (a cada 24 horas). Você pode optar por deixar esse padrão ou alterá-lo. Você também pode forçar uma atualização manual, se necessário. Para alterar o padrão de cada 24 horas para cada 48 horas:

  4. Configure o dispositivo de rede com os detalhes do servidor proxy para baixar a atualização de padrão de um servidor remoto:

  5. Na maioria das circunstâncias, você não precisará alterar a URL para atualizar o banco de dados de padrões. Se você precisar mudar essa opção, use o seguinte comando:

  6. Você pode configurar o dispositivo para notificar um administrador especificado quando os arquivos de dados forem atualizados. Esta é uma notificação de e-mail com uma mensagem personalizada e uma linha de assunto personalizada.

  7. Configure uma lista de opções de recuo como bloqueio, log e permissão ou permissão. A configuração padrão é log-and-permit. Você pode usar as configurações padrão ou alterá-las.

    Configure a ação do tamanho do conteúdo. Neste exemplo, se o tamanho do conteúdo for excedido, as medidas tomadas são bloqueadas.

    Primeiro crie o perfil chamado sophos-prof1.

    Configure a opção de retorno do tamanho do conteúdo para bloquear.

    Configure a opção de recuo padrão para log-and-permit.

    Configure log-and-permit se o mecanismo antivírus não estiver pronto.

    Configure o log-and-permit se o dispositivo estiver sem recursos.

    Configure o log-and-permit se ocorrer um tempo limite de varredura de vírus.

    Configure o log-and-permit se houver muitas solicitações para o mecanismo do vírus lidar.

  8. Configure opções de notificação. Você pode configurar notificações para bloqueio de fallback, ações sem bloqueio de quedas e detecção de vírus.

    Nesta etapa, configure uma mensagem personalizada para a ação de bloqueio de recuo e envie uma notificação para ações somente de protocolo para o administrador e o remetente.

  9. Configure uma notificação para detecção de vírus somente por protocolo e envie uma notificação.

  10. Configure parâmetros de tamanho de conteúdo.

    Quando você configurar o valor do tamanho do conteúdo, tenha em mente que, em determinados casos, o tamanho do conteúdo está disponível nos cabeçalhos de protocolo, de modo que o recuo em tamanho máximo do conteúdo seja aplicado antes que uma solicitação de varredura seja enviada. No entanto, em muitos casos, o tamanho do conteúdo não é fornecido nos cabeçalhos de protocolo. Nesses casos, a carga de TCP é enviada para o scanner antivírus e se acumula até o fim da carga. Se a carga acumulada exceder o valor máximo do tamanho do conteúdo, a recaída do tamanho máximo do conteúdo será aplicada. A ação padrão de recuo é log e permissão, portanto, você pode querer alterar essa opção para bloquear, nesse caso esse pacote é descartado e uma mensagem em bloco é enviada ao cliente.

    Neste exemplo, se o tamanho do conteúdo exceder 20 MB, o pacote será descartado.

  11. A verificação da URI está ativada por padrão. Para desativar a verificação da URI:

  12. Configure a configuração de tempo limite para a operação de digitalização para 1800 segundos.

  13. Os servidores da Lista Extensível Sophos contêm o banco de dados de vírus e malware para operações de digitalização. Defina o tempo de resposta para esses servidores em 3 segundos (o padrão é de 2 segundos).

  14. Configure a opção de retraímento do servidor da Lista Extensível sophos para 2 retries (o padrão é 1).

  15. Configure a configuração de truques para 180 segundos. Se você usar truques, você também pode definir parâmetros de tempo limite. O truque se aplica apenas ao HTTP. O truque de HTTP é um mecanismo usado para impedir que o cliente ou servidor HTTP cronometre durante uma transferência de arquivos ou durante a digitalização de antivírus.

    Quando você habilitar a opção de traição, tenha em mente que o truque pode enviar parte de um arquivo ao cliente durante sua varredura antivírus. Portanto, é possível que parte do conteúdo possa ser recebido pelo cliente antes que o arquivo seja totalmente digitalizado.

  16. Configure o módulo antivírus para usar listas de bypass MIME e listas de exceção. Você pode usar suas próprias listas de objetos personalizadas ou usar a lista padrão que é fornecida com o dispositivo chamado junos-default-bypass-mime. Neste exemplo, você usa as listas que criou anteriormente.

  17. Configure o módulo antivírus para usar listas de desvio de URL. Se você estiver usando uma lista de permitidores de URL, esta é uma categoria de URL personalizada que você já configurou como um objeto personalizado. As listas de habilitação de URL são válidas apenas para tráfego HTTP. Neste exemplo, você usa as listas que criou anteriormente.

Verificação

Obtenção de informações sobre o status atual do antivírus

Propósito
Ação

Do modo operacional, entre no show security utm anti-virus status comando para ver o status do antivírus.

Significado
  • Data de expiração da chave do antivírus — A data de expiração da chave da licença.

  • Atualize o servidor — URL para o servidor de atualização de arquivos de dados.

    • Intervalo — o período de tempo, em minutos, quando o dispositivo atualizará o arquivo de dados do servidor de atualização.

    • Status de atualização de padrão — quando o arquivo de dados será atualizado em seguida, exibido em minutos.

    • Último resultado — Resultado da última atualização. Se você já tiver a versão mais recente, ela será exibida already have latest database.

  • Versão de assinatura do antivírus — versão do arquivo de dados atual.

  • Escaneie o tipo de mecanismo — o tipo de mecanismo antivírus que está em execução no momento.

  • Escaneie as informações do mecanismo — Resultado da última ação que ocorreu com o mecanismo de varredura atual.

Exemplo: configuração de políticas de segurança de conteúdo antivírus Sophos

Este exemplo mostra como criar uma política de segurança de conteúdo para o antivírus Sophos.

Requisitos

Antes de criar a política de segurança de conteúdo, crie objetos personalizados e o perfil do recurso Sophos.

  1. Configure objetos personalizados de segurança de conteúdo e listas MIME. Veja exemplo: configuração de objetos personalizados sophos antivírus.

  2. Configure o perfil do recurso antivírus Sophos. Veja exemplo: configuração do perfil do recurso Sophos Antivirus.

Visão geral

Depois de criar um perfil de recurso antivírus, você configura uma política de segurança de conteúdo para um protocolo de digitalização de antivírus e anexa esta política a um perfil de recurso. Neste exemplo, o HTTP será escaneado para vírus, conforme indicado pela http-profile declaração. Você também pode digitalizar outros protocolos criando perfis diferentes ou adicionando outros protocolos ao perfil, como: perfil imap, pop3-profile e smtp-profile.

Configuração

Procedimento

Configuração rápida da GUI
Procedimento passo a passo

Para configurar uma política de segurança de conteúdo para o antivírus Sophos:

  1. Clique na guia Configurar na barra de tarefas e selecione Políticas de Segurança>Policy>UTM. Em seguida, clique em Adicionar.

  2. Clique na guia Principal . Na caixa de nomes da Política, digite utmp3.

  3. Clique na guia de perfis antivírus . Na lista de perfis HTTP, selecione sophos-prof1.

  4. Clique em OK para verificar sua configuração e salvá-la como uma configuração de candidato.

  5. Se você terminar de configurar o dispositivo, selecione Ações>Commit.

Procedimento passo a passo

Para configurar uma política de segurança de conteúdo para o antivírus Sophos:

  1. Vá para a hierarquia de segurança de edição Segurança de conteúdo.

  2. Crie a política de segurança de conteúdo utmp3 e conecte-a ao http-profile sophos-prof1. Você pode usar as configurações padrão do perfil do recurso Sophos substituindo o sophos-prof1 na declaração acima por junos-sophos-av-defaults.

Verificação

Verifique a configuração da política de segurança de conteúdo

Propósito

Para verificar a configuração da política de segurança de conteúdo.

Ação

A partir do modo operacional, entre no show security utm utm-policy utmp3 comando.

Exemplo: configuração de políticas de segurança de firewall sophos antivírus

Este exemplo mostra como criar uma política de segurança para o antivírus Sophos.

Requisitos

Antes de criar a política de segurança, crie objetos personalizados, o perfil do recurso Sophos e a política de segurança de conteúdo.

  1. Configure objetos personalizados de segurança de conteúdo e listas MIME. Veja exemplo: configuração de objetos personalizados sophos antivírus.

  2. Configure o perfil do recurso antivírus Sophos. Veja exemplo: configuração do perfil do recurso Sophos Antivirus.

  3. Configure uma política de segurança de conteúdo. Veja exemplo: configuração de políticas de segurança de conteúdo Antivírus Sophos.

Visão geral

Crie uma política de segurança de firewall que fará com que o tráfego da zona não confiável até a zona de confiança seja escaneado pelo antivírus Sophos usando as configurações de perfil do recurso definidas em Exemplo: Configuração do perfil de recursos do Sophos Antivirus. Como a configuração do aplicativo compatível é definida para qualquer um, todos os tipos de aplicativos serão digitalizados.

Configuração

Procedimento

Configuração rápida da GUI
Procedimento passo a passo

Para configurar uma política de segurança para o sophos antivírus:

  1. Configure a política de confiança não confiável para combinar com qualquer endereço de origem ou endereço de destino, e selecione os aplicativos a serem digitalizados para any.

    Procedimento passo a passo
    1. Clique na guia Configurar na barra de tarefas e selecione Políticas de Segurança> Política>FW. Em seguida, selecione Adicionar.

    2. Na caixa de nome da política, tipo p3.

    3. Na caixa de ação de políticas, selecione a permissão.

    4. Na lista Da Zona, selecione não confiável.

    5. Na lista To Zone, selecione confiança.

    6. Nas caixas de endereço de origem e destino, certifique-se de que o Matched está definido para qualquer.

    7. Nas caixas de aplicativos, selecione qualquer uma da lista de aplicativos/conjuntos e mova-a para a lista Combinada.

  2. Anexe a política de segurança de conteúdo nomeada utmp3 à política de segurança do firewall. Isso fará com que o tráfego combinado seja escaneado pelo recurso antivírus Sophos.

    Procedimento passo a passo
    1. Na caixa De política de edição, clique na guia Serviços de aplicação .

    2. Na lista de políticas de segurança de conteúdo, selecione utmp3.

  3. Clique em OK para verificar sua configuração e salvá-la como uma configuração de candidato.

  4. Se você terminar de configurar o dispositivo, selecione Ações>Commit.

Procedimento passo a passo

Para configurar uma política de segurança para o sophos antivírus:

  1. Configure a política de confiança não confiável para combinar com qualquer endereço de origem.

  2. Configure a política de confiança não confiável para combinar com qualquer endereço de destino.

  3. Configure a política de confiança não confiável para atender a qualquer tipo de aplicativo.

  4. Anexe a política de segurança de conteúdo nomeada utmp3 à política de segurança do firewall. Isso fará com que o tráfego combinado seja escaneado pelo recurso antivírus Sophos.

Verificação

Para verificar a configuração, entre no show security policies comando.

Verifique a configuração da política de segurança

Propósito

Para verificar a configuração da política de segurança, entre no show security policies comando.

Ação

A partir do modo operacional, entre no show security policies comando.

Exemplo: Configure o Sophos Antivirus Live Protection Versão 2.0

Use este exemplo de configuração para configurar e verificar a proteção ao vivo sophos antivírus versão 2.0 em seu dispositivo. O sophos antivírus é uma solução antivírus na nuvem. O padrão de vírus e o banco de dados de malware nos servidores externos mantidos pelos servidores Sophos (Sophos Extensible List) isolam e protegem seu dispositivo. A partir do Junos OS Release 23.1R1, a segurança de conteúdo oferece suporte à proteção ao vivo sophos antivírus versão 2.0. A nova versão antivírus usa o protocolo HTTPS para se comunicar entre o firewall da Série SRX e o servidor Sophos.

Ponta:
Tabela 1: Temporizadores estimados

Pontuação de leitura

  • Facilidade de leitura de Flesch: 34

  • Nível de leitura de Flesch-Kincaid: 11,9

Tempo de leitura

Menos de 15 minutos.

Tempo de configuração

Menos de uma hora.

Pré-requisitos de exemplo

Requisitos de hardware Firewall da Série SRX e firewall virtual vSRX
Requisitos de software Junos OS Versão 23.1R1 ou posterior
Requisitos de licenciamento

Licença de proteção ao vivo sophos antivírus versão 2.0

Use o show system license comando para garantir que você tenha uma licença antivírus Sophos válida instalada em seu dispositivo. Quando sua chave de licença antivírus expirar, a funcionalidade não funcionará mais porque o banco de dados de pesquisa de padrões está nos servidores sophos remotos.

Antes de começar

Benefícios

O padrão de vírus e o banco de dados de malware nos servidores externos mantidos pelos servidores Sophos (Sophos Extensible List) isolam e protegem seu dispositivo.

Oferece conexão segura baseada em HTTPS entre o firewall da Série SRX e o servidor Sophos.

Recursos úteis:

Saiba mais

Proteção contra antivírus Sophos

Experiência prática

sandbox vLab: zonas / políticas

Saiba Mais

Antivírus de segurança de conteúdo

Visão geral funcional

A Tabela 2 fornece um resumo rápido dos componentes de configuração implantados neste exemplo.

Tabela 2: Visão geral funcional do Sophos Antivírus

Perfis

Perfil de iniciação

A configuração do servidor Sophos no firewall da Série SRX inclui o perfil de iniciação SSL ().ssl_init_prof

O perfil de iniciação é obrigatório para permitir que o Firewall da Série SRX inicie uma sessão HTTPS com o servidor Sophos para verificar os pacotes. O perfil de iniciação SSL também criptografa e descriptografa pacotes de e para o servidor Sophos.

Perfil de proxy

O perfil ssl_pr1de proxy SSL permite que o firewall da Série SRX descriptografe os pacotes para processamento adicional de serviços de aplicativos quando o cliente inicia a sessão HTTPS para o servidor Web.

Perfil do recurso

O perfil do recurso, content_security_sav_fpaplica-se à política de segurança de firewall (p1) usando políticas de segurança de conteúdo diferentes e critérios de correspondência.

Você pode ter mais de um perfil de recurso para diferentes políticas de segurança de conteúdo.

Políticas

Política de segurança de conteúdo

A política de segurança de conteúdo, content_security_p1define os protocolos antivírus (HTTP, FTP, SMTP, POP3 e IMAP) e anexa essa política a um perfil de recurso de segurança, content_security_sav_fppara implementá-la.

Políticas de segurança

Duas políticas de segurança (p1 e trust_to_internet) têm um critério de correspondência simples para aplicar no tráfego entre as zonas de segurança.

Anexamos a content_security_p1 política de segurança de conteúdo e o ssl_pr1 perfil de proxy aos serviços de aplicação da p1 política de segurança.

Zonas de segurança

trust

Segmento de rede na zona de host (Cliente).

untrust

Segmento de rede na zona de servidor de destino (serviço Web).

internet

Segmento de rede pelo qual o firewall da Série SRX interage com o servidor Sophos.

Protocolos

HTTPS

As sessões de HTTPS estabelecem entre o cliente e o servidor Web, e o firewall da Série SRX e o servidor Sophos.
Tarefas de verificação primária
  • Verifique o tipo de mecanismo de varredura antivírus instalado em seu dispositivo.

  • Confirme a operação do mecanismo antivírus Sophos.

Visão geral da topologia

Neste exemplo, o cliente inicia uma solicitação ao serviço web por meio do firewall da Série SRX. Quando o firewall da Série SRX recebe a solicitação, ele entra em contato com o servidor Sophos para verificar a autenticidade do serviço Web. O sophos antivírus versão 2.0 usa a conexão HTTPS para a comunicação do servidor da Série SRX com o Sophos. Com base na resposta recebida do servidor Sophos, o firewall da Série SRX permite ou bloqueia o tráfego conforme definido na política de segurança de conteúdo.

Função dos componentes de topologia
Cliente Solicitações de serviço Web Inicia a sessão HTTPS com o servidor Web por meio do firewall da Série SRX.
Firewall da Série SRX Firewall da Juniper Network Inicia a sessão HTTPS com o servidor antivírus Sophos. Ele também criptografa e descriptografa os pacotes para o cliente.
Servidor Sophos Servidor antivírus Autentica o conteúdo recebido do firewall da Série SRX.
Servidor Web Provedor de serviços web Responde à solicitação do cliente.

Ilustração da topologia

Figura 1: Topologia de proteção ao vivo sophos antivírus Sophos Antivirus Live Protection Topology

Configuração passo a passo no dispositivo sob teste (DUT)

Nota:

Para obter configurações de amostra completas no DUT, consulte:

  1. Configure as interfaces do dispositivo.

  2. Habilite o antivírus Sophos no dispositivo. Configure o modo de encaminhamento e o tipo de tráfego que o antivírus Sophos deve verificar.

  3. Defina um perfil de iniciação SSL para adicionar à configuração do servidor Sophos no firewall da Série SRX.

  4. Inclua o perfil de iniciação SSL na configuração do servidor Sophos. Essa configuração é obrigatória para permitir que o firewall da Série SRX inicie uma sessão HTTPS com o servidor Sophos para verificar os pacotes. O perfil de iniciação também criptografa e descriptografa pacotes de e para o servidor Sophos.

  5. Defina um perfil de proxy SSL para aplicar às políticas de segurança. O perfil de proxy SLL permite que o firewall da Série SRX descriptografe os pacotes para processamento adicional de aplicativos.

  6. Defina o perfil do recurso para indicar o tipo de tráfego que o antivírus Sophos deve verificar anexando o perfil às políticas de segurança de conteúdo. Você pode definir mais de um perfil de recurso para diferentes políticas de segurança de conteúdo.

  7. Defina zonas de segurança.

  8. Defina uma política de segurança de conteúdo e anexe um perfil de recurso a ele para indicar o tipo de tráfego que o servidor Sophos deve verificar.

  9. Defina políticas de segurança e configure critérios de correspondência para aplicar ao tráfego entre as diferentes zonas de segurança.

Verificação

Forneça uma lista de comandos de show usados para verificar o recurso neste exemplo.

Tarefa de verificação de comando
mostrar o status antivírus utm de segurança

Exibe o tipo e o status do antivírus instalado em seu dispositivo.

mostrar estatísticas antivírus de utm de segurança

Exibe as estatísticas de desempenho do antivírus em seu dispositivo.

Verificação do tipo de mecanismo de varredura antivírus

Propósito

Verifique o tipo de mecanismo de varredura antivírus instalado em seu dispositivo.

Ação

Do modo operacional, entre no show security utm anti-virus status modo de visualização do status do antivírus instalado.

Significado

A saída de amostra confirma que o antivírus Sophos está disponível em seu dispositivo.

Verificação de desempenho do mecanismo de varredura antivírus

Propósito

Verifique o desempenho do mecanismo de varredura antivírus em seu dispositivo.

Ação

Do modo operacional, entre show security utm anti-virus statistics para ver as estatísticas de desempenho do antivírus em seu dispositivo.

Significado

O valor de saída Threat-found da amostra mostra que o antivírus detectou 1 ameaça. Os outros valores das estatísticas são seguros.

Apêndice 1: definir comandos em todos os dispositivos

Defina a saída de comando em todos os dispositivos.

Apêndice 2: mostrar saída de configuração no DUT

Mostre a saída de comando no DUT.

A partir do modo de configuração, confirme sua configuração entrando nosshow security utm, show interfacesshow security zonese show security policiesshow services ssl comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Exemplo: configurar o Sophos Antivirus Scanner com proxy SSL forward

Este exemplo mostra como configurar o antivírus Sophos pelo proxy de encaminhamento SSL para oferecer suporte ao tráfego HTTPS que passa pelos firewalls da Série SRX.

Nota:

Começando com o Junos OS Release 12.3X48-D25 e o Junos OS Release 17.3R1, o antivírus Sophos por proxy avançado SSL oferece suporte ao tráfego HTTPS.

Requisitos

Antes de começar, entenda os recursos antivírus Sophos. Veja os recursos do Sophos Antivirus.

Visão geral

Neste exemplo, você configura o antivírus Sophos por proxy de encaminhamento SSL para oferecer suporte ao tráfego HTTPS. Você carrega o certificado PKI, gera um certificado CA auto-assinado, configura uma lista ca confiável, configura um perfil de proxy SSL usando o certificado raiz e permite o proxy de encaminhamento SSL. Para configurar a segurança de conteúdo por proxy de encaminhamento SSL, primeiro combine com a origem/destino/aplicativo, configure o serviço de proxy SSL e realize a digitalização para determinar se bloqueia ou permite as solicitações.

Nota:

O [edit security utm feature-profile] nível de hierarquia é preterido no Junos OS Release 18.2R1. Para obter mais informações, consulte a visão geral da segurança do conteúdo.

Configuração

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos na CLI no nível de edit hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do editor de CLI no modo de configuração no guia de usuário da CLI.

Para configurar o Sophos Antivirus pelo proxy de encaminhamento SSL:

  1. Gere um certificado de CA auto-assinado no dispositivo.

  2. Configure uma lista de CA confiável.

  3. Configure um perfil de proxy SSL usando um certificado raiz.

  4. Habilite o proxy de encaminhamento SSL.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security utme show servicesshow security policies nos comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Para confirmar se a configuração está funcionando corretamente, execute essas tarefas:

Verificando o certificado local PKI de segurança

Propósito

Verifique o certificado local PKI de segurança.

Ação

A partir do modo de configuração, entre no show security pki local-certificate comando.

Significado

A saída da amostra confirma que o ceritificado local PKI ssl-inspect-ca está configurado.

Verificação de estatísticas de antivírus de segurança de conteúdo

Propósito

Verifique as estatísticas de antivírus de segurança de conteúdo.

Ação

Do modo operacional, entre no show security utm anti-virus statistics comando.

Significado

A saída de amostra mostra a lista de estatísticas de antivírus de segurança de conteúdo.

Verificando detalhes das estatísticas de segurança de conteúdo

Propósito

Verifique os detalhes das estatísticas de antivírus de segurança de conteúdo.

Ação

Do modo operacional, entre no show security utm anti-virus statistics detail comando.

Significado

A saída de amostra mostra a lista de detalhes das estatísticas de antivírus.

Verificando o status do antivírus de segurança de conteúdo

Propósito

Verifique o status do antivírus de segurança de conteúdo.

Ação

Do modo operacional, entre no show security utm anti-virus status comando para ver o status do antivírus.

Significado
  • Data de expiração da chave do antivírus — A data de expiração da chave da licença.

  • Atualize o servidor — URL para o servidor de atualização de arquivos de dados.

    • Intervalo — o período de tempo, em minutos, quando o dispositivo atualiza o arquivo de dados do servidor de atualização.

    • Atualização automática do status — exibe a próxima atualização automática do arquivo de dados em minutos.

    • Último resultado — Resultado da última atualização do banco de dados.

  • Versão de assinatura antivírus — versão do arquivo de dados de assinatura antivírus atual.

  • Escaneie o tipo de mecanismo — o tipo de mecanismo de varredura antivírus que está em execução no momento.

  • Escaneie as informações do mecanismo — Resultado da última ação que ocorreu com o mecanismo de varredura atual.

Gerenciamento de arquivos de dados do Sophos Antivirus

Antes de começar:

  • Instale uma licença antivírus Sophos. Veja o Installation and Upgrade Guide.

  • Configure o Sophos como o recurso antivírus para o dispositivo. Veja exemplo: configuração do perfil do recurso Sophos Antivirus. Para definir o tipo de mecanismo antivírus, você executa a set security utm feature-profile anti-virus type sophos-engine declaração.

Neste exemplo, você configura o dispositivo de segurança para atualizar os arquivos de dados automaticamente a cada 4320 minutos (a cada 3 dias). O intervalo de atualização padrão do arquivo de dados é de 1440 minutos (a cada 24 horas).

Para atualizar automaticamente os arquivos de dados do Sophos:

Nota:

Os seguintes comandos são executados a partir do modo operacional CLI.

Para atualizar manualmente os arquivos de dados:

Para recarga manual de arquivos de dados:

Para excluir arquivos de dados manualmente:

Para verificar o status do antivírus, que também mostra a versão dos arquivos de dados:

Para verificar o status do servidor proxy:

Tabela de histórico de lançamento
Lançamento
Descrição
23.1R1
A partir do Junos OS Release 23.1R1, a segurança de conteúdo oferece suporte ao novo antivírus Sophos Live Protection versão 2.0. A nova versão do antivírus Sophos usa uma conexão HTTPS para a comunicação entre dispositivos e servidores. Para a conexão HTTPS, você deve criar um perfil de iniciação SSL e adicionar o perfil à configuração padrão do mecanismo Sophos.
15.1X49-D100
Começando pelo Junos OS Release 15.1X49-D100, o tráfego de passagem IPv6 para HTTP, HTTPS, FTP, SMTP, POP3, protocolos IMAP tem suporte para os recursos de segurança de filtragem de conteúdo, antivírus Sophos, filtragem de Web e filtragem de conteúdo.
15.1X49-D10
O recurso completo de antivírus baseado em arquivo não tem suporte do Junos OS Release 15.1X49-D10 e do Junos OS Release 17.3R1 em diante.
15.1X49-D10
O recurso Antivírus Da Kaspersky e Express não tem suporte do Junos OS Release 15.1x49-D10 e do Junos OS Release 17.3R1 em diante.
12,3X48-D35
Começando com o Junos OS Release 12.3X48-D35 e o Junos OS Release 17.3R1, a taxa de transferência única do sophos antivírus sophos (SAV) de segurança de conteúdo é aumentada para otimizar o encaminhamento de proxy de tcp.
12,3X48-D25
Começando com o Junos OS Release 12.3X48-D25 e o Junos OS Release 17.3R1, o antivírus Sophos por proxy avançado SSL oferece suporte ao tráfego HTTPS.
12,3X48-D25
Começando com o Junos OS Release 12.3X48-D25 e o Junos OS Release 17.3R1, o antivírus Sophos por proxy avançado SSL oferece suporte ao tráfego HTTPS.