Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

全面防病毒应用程序协议扫描

全防病毒功能使用扫描引擎和病毒签名数据库来防御通过 POP3、HTTP、SMTP、IMAP 和 FTP 协议感染病毒的文件、蠕虫、木马、间谍软件和其他恶意软件。有关更多信息,请参阅以下主题:

了解完全的防病毒应用程序协议扫描

Junos OS 版本 15.1X49-D10 和 Junos OS 版本 17.3R1 不支持完全防病毒应用程序协议扫描。对于之前的版本,您可以根据协议打开和关闭防病毒扫描。如果防病毒配置文件中禁用了对协议的扫描,则此协议没有应用程序智能。因此,在大多数情况下,不会扫描使用此协议的信息流。但是,如果有关协议基于在防病毒配置文件中启用扫描的另一种协议,则信息流将扫描为启用的协议。

内部防病毒扫描引擎支持扫描特定应用程序层事务,允许您选择要扫描的内容(HTTP、FTP、SMTP、POP3 或 IMAP 信息流)。对于正在扫描的每个内容类型,您有不同的配置选项。

基于配置文件的设置(包括启用/禁用、扫描模式和扫描结果处理设置)可能不适用于所有受支持的协议。下表列出了基于配置文件的设置及其协议支持。

表 1:按协议支持基于配置文件的设置

配置文件设置

协议支持

根据协议启用或禁用扫描

所有协议都支持此功能

了解完全的防病毒扫描模式支持,包括文件扩展扫描

所有协议都支持此功能

了解完全的防病毒内容大小限制

所有协议都支持此功能

了解完全的防病毒解压层限制

所有协议都支持此功能

了解完全防病毒扫描超时

所有协议都支持此功能

了解 HTTP 滴答声

仅 HTTP

了解防病毒扫描回退选项

所有协议都支持此功能

协议特定消息

所有协议都支持此功能

了解电子邮件病毒检测到的通知

仅 SMTP、POP3 和 IMAP

了解自定义消息 病毒检测到的通知

所有协议都支持此功能

了解 HTTP 扫描

Junos OS 版本 15.1X49-D10 和 Junos OS 版本 17.3R1 不支持 HTTP 防病毒扫描。对于前一个版本,如果为内容安全配置文件中的超文本传输协议 (HTTP) 流量启用了防病毒扫描,将监控定义的 HTTP 服务端口(一般为端口 80)的 TCP 流量。对于 HTTP 流量,安全设备会扫描 HTTP 响应和请求(获取、发布和放置命令)。

对于 HTTP 防病毒扫描,支持 HTTP 1.0 和 1.1。如果协议版本为 HTTP 0.x,防病毒扫描仪会尝试扫描流量。未知协议会绕过。例如,某些应用协议使用 HTTP 作为传输,但不遵守 HTTP 1.0 或 1.1。这些被视为未知协议且未扫描。

这是关于 HTTP 流量如何被防病毒扫描仪拦截、扫描和采取行动的常规说明:

  1. HTTP 客户端向 Web 服务器发送 HTTP 请求,或者网络服务商响应 HTTP 请求。

  2. 安全设备会拦截请求并将数据传递到防病毒扫描仪,而防病毒扫描仪会扫描该请求以获取病毒。

  3. 完成扫描后,设备遵循两门课程之一:

    • 如果没有病毒,设备会将请求转发至 Webserver。

    • 如果感染病毒,设备将丢弃请求并发送 HTTP 消息,向客户端报告感染情况。

借助仅脚本扫描,输入对象即脚本文件。它可以是 JavaScript、VBScript、mIRC 脚本、蝙蝠脚本(DOS 蝙蝠文件)和其他文本脚本。该引擎仅将输入内容与脚本文件的签名匹配。脚本扫描仅适用于基于 HTTP 协议的 HTML 内容。此扫描类型有两个标准。首先,此 HTML 文档的内容类型字段必须是文本或 HTML。其次,HTTP 标头中没有内容编码。如果满足这两个标准,则使用 HTML 解析器来解析 HTML 文档。

启用 HTTP 扫描(CLI 过程)

Junos OS 版本 15.1X49-D10 和 Junos OS 版本 17.3R1 不支持 HTTP 防病毒扫描。对于之前的版本,要启用 HTTP 流量的防病毒扫描,请输入以下 CLI 配置语句:

了解 FTP 防病毒扫描

Junos OS 版本 15.1X49-D10 不支持 FTP 防病毒扫描。对于之前的版本,如果为内容安全配置文件中的文件传输协议 (FTP) 信息流启用了防病毒扫描,安全设备将监控控制通道,并且在检测到用于传输数据的 FTP 命令之一时,会扫描通过数据通道发送的数据。

这是关于 FTP 流量如何被防病毒扫描仪拦截、扫描和采取行动的常规说明:

  1. 本地 FTP 客户端将 FTP 控制通道打开至 FTP 服务器,并要求传输某些数据。

  2. FTP 客户端和服务器协商服务器通过其发送请求数据的数据通道。安全设备会拦截数据并将其传递到防病毒扫描引擎,后者会扫描数据以获取病毒。

  3. 完成扫描后,设备遵循两门课程之一:

    • 如果没有病毒,设备会将数据转发给客户端。

    • 如果出现病毒,设备将使用数据通道中的丢弃消息替换数据,并发送一条消息,报告控制通道中的感染情况。

启用 FTP 防病毒扫描(CLI 过程)

Junos OS 版本 15.1X49-D10 不支持 FTP 防病毒扫描。对于之前的版本,要启用对文件传输协议 (FTP) 信息流的防病毒扫描,请输入以下 CLI 配置语句:

注意:

为了扫描 FTP 流量,必须启用 FTP ALG。

了解 SMTP 防病毒扫描

从 Junos OS 15.1X49-D10 版和 Junos OS 17.3R1 版开始,只有 Sophos 防病毒支持 SMTP 防病毒扫描。如果内容安全配置文件中启用了 SMTP(简单邮件传输协议)防病毒扫描,则安全设备会将来自本地 SMTP 客户端的流量重定向到防病毒扫描仪,然后再将其发送到本地邮件服务器。

分段是数据命令的替代项。它提供了一种机制,以小块传输大消息。不受支持。使用分块的消息绕过,不会扫描。

这是对 SMTP 流量如何被防病毒扫描仪拦截、扫描和采取行动的一般描述:

  1. SMTP 客户端向本地邮件服务器发送电子邮件,或者远程邮件服务器通过 SMTP 将电子邮件转发至本地邮件服务器。

  2. 安全设备会拦截电子邮件消息并将数据传递到防病毒扫描仪,防病毒扫描仪会对其进行病毒扫描。

  3. 完成扫描后,设备遵循两门课程之一:

    • 如果没有病毒,设备会将消息转发至本地服务器。

    • 如果出现病毒,设备会向客户端发送更换消息。

本主题包括以下部分:

了解 SMTP 防病毒邮件更换

如果防病毒扫描仪在电子邮件中发现病毒,则丢弃原始消息,截断消息正文,并且内容被如下显示的消息取代:

如果返回扫描错误,故障模式设置为丢弃,则将丢弃原始消息并截断整个消息主体。内容被如下显示的消息取代:

了解 SMTP 防病毒发送方通知

如果 notify-sender-on-virus 设置并因检测到的病毒而丢弃消息,则向邮件发送方发送电子邮件。通知的内容可能如下所示:

如果 notify-sender-on-error-drop 设置并因扫描错误而丢弃消息,则会向扫描的消息的邮件发送者发送电子邮件。电子邮件内容可能显示如下:

注意:

有关 ENVID 参数的信息,请参阅 RFC 3461。

了解 SMTP 防病毒主题标记

如果返回扫描错误并将故障模式设置为 pass,防病毒模块会将消息传递至服务器。如果 notify-recipient-on-error-pass 已设置,则将以下字符串附加到主题字段的末端:

启用 SMTP 防病毒扫描(CLI 过程)

Junos OS 版本 15.1X49-D10 和 Junos OS 版本 17.3R1 不支持 SMTP 防病毒扫描。对于之前的版本,要启用对 SMTP 流量的防病毒扫描,请输入以下 CLI 配置语句:

了解 POP3 防病毒扫描

Junos OS 版本 15.1X49-D10 和 Junos OS 版本 17.3R1 不支持 POP3 防病毒扫描。对于之前的版本,如果内容安全配置文件中启用了邮局协议 3 (POP3) 防病毒扫描,安全设备会将流量从本地邮件服务器重定向到防病毒扫描仪,然后再将其发送至本地 POP3 客户端。

这是有关 POP3 流量如何被防病毒扫描仪拦截、扫描和采取行动的常规说明。

  1. POP3 客户端从本地邮件服务器下载电子邮件。

  2. 安全设备会拦截电子邮件消息并将数据传递到防病毒扫描仪,防病毒扫描仪会对其进行病毒扫描。

  3. 完成扫描后,安全设备遵循两门课程之一:

    • 如果没有病毒,设备会将消息转发给客户端。

    • 如果感染病毒,设备将向客户端发送报告感染的消息。

      有关 IMAP 仅协议通知的信息,请参阅 了解仅协议病毒检测到的通知

本主题包括以下部分:

了解 POP3 防病毒邮件更换

如果防病毒扫描仪在电子邮件中发现病毒,则丢弃原始消息,截断消息正文,并且内容被如下显示的消息取代:

了解 POP3 防病毒发送方通知

如果 notify-sender-on-virus 设置并因检测到的病毒而丢弃消息,则向邮件发送方发送电子邮件。

如果 notify-sender-on-error-drop 设置并因扫描错误而丢弃消息,则会向扫描的消息的邮件发送者发送电子邮件。电子邮件内容可能显示如下:

了解 POP3 防病毒主题标记

如果返回扫描错误并将故障模式设置为 pass,防病毒模块会将消息传递至服务器。如果 notify-recipient-on-error-pass 已设置,以下字符串将附加到主题字段的末端:

启用 POP3 防病毒扫描(CLI 过程)

Junos OS 版本 15.1X49-D10 和 Junos OS 版本 17.3R1 不支持 POP3 防病毒扫描。对于之前的版本,要启用 POP3 流量的防病毒扫描,请输入以下 CLI 配置语句:

了解 IMAP 防病毒扫描

Junos OS 版本 15.1X49-D10 和 Junos OS 版本 17.3R1 不支持 IMAP 防病毒扫描。对于之前的版本,如果内容安全配置文件中启用了 IMAP(互联网消息访问协议)防病毒扫描,安全设备会将流量从本地邮件服务器重定向到内部防病毒扫描仪,然后再将其发送至本地 IMAP 客户端。

这是有关 IMAP 流量如何被防病毒扫描仪拦截、扫描和采取行动的常规说明。

  1. IMAP 客户端从本地邮件服务器下载电子邮件。

  2. 安全设备会拦截电子邮件消息并将数据传递到防病毒扫描仪,防病毒扫描仪会对其进行病毒扫描。

  3. 完成扫描后,安全设备遵循两门课程之一:

    • 如果没有病毒,设备会将消息转发给客户端。

    • 如果感染病毒,设备将向客户端发送报告感染的消息。

      有关 IMAP 仅协议通知的信息,请参阅 了解仅协议病毒检测到的通知

本主题包括以下部分:

了解 IMAP 防病毒邮件更换

如果防病毒扫描仪在电子邮件中发现病毒,则丢弃原始消息,截断消息正文,并且内容被如下显示的消息取代:

了解 IMAP 防病毒发送方通知

如果 notify-sender-on-virus 设置并因检测到的病毒而丢弃消息,则向邮件发送方发送电子邮件。

如果 notify-sender-on-error-drop 设置并因扫描错误而丢弃消息,则会向扫描的消息的邮件发送者发送电子邮件。电子邮件内容可能显示如下:

了解 IMAP 防病毒主题标记

如果返回扫描错误并将故障模式设置为 pass,防病毒模块会将消息传递至服务器。如果 notify-recipient-on-error-pass 已设置,以下字符串将附加到主题字段的末端:

了解 IMAP 防病毒扫描限制

邮件片段 — 可以将一封电子邮件切入多个部分,并通过不同的响应发送每个部分。这称为邮件分片,最常用的邮件客户端支持发送和接收大型电子邮件。防病毒扫描仪不支持扫描邮件片段,在这种情况下,不会扫描邮件正文。

部分内容 — 部分邮件客户端对不同大小的电子邮件处理方式不同。例如,整个下载的小型电子邮件(小于 10 KB)。应 IMAP 服务器的要求,大型电子邮件(例如小于 1 MB)被切成 10 KB 件。防病毒扫描仪不支持扫描任何部分内容请求。

IMAP 上传 — 仅支持对 IMAP 下载进行防病毒扫描。IMAP 上传信息流未扫描。

启用 IMAP 防病毒扫描(CLI 过程)

Junos OS 版本 15.1X49-D10 和 Junos OS 版本 17.3R1 不支持 IMAP 防病毒扫描。对于之前的版本,要启用对 IMAP 流量的防病毒扫描,请输入以下 CLI 配置语句:

发布历史记录表
释放
描述
15.1X49-D10
Junos OS 版本 15.1X49-D10 和 Junos OS 版本 17.3R1 不支持完全防病毒应用程序协议扫描。
15.1X49-D10
Junos OS 版本 15.1X49-D10 和 Junos OS 版本 17.3R1 不支持 HTTP 防病毒扫描。
15.1X49-D10
Junos OS 版本 15.1X49-D10 和 Junos OS 版本 17.3R1 不支持 HTTP 防病毒扫描。
15.1X49-D10
Junos OS 版本 15.1X49-D10 不支持 FTP 防病毒扫描。
15.1X49-D10
Junos OS 版本 15.1X49-D10 不支持 FTP 防病毒扫描。
15.1X49-D10
从 Junos OS 15.1X49-D10 版和 Junos OS 17.3R1 版开始,只有 Sophos 防病毒支持 SMTP 防病毒扫描。
15.1X49-D10
Junos OS 版本 15.1X49-D10 和 Junos OS 版本 17.3R1 不支持 SMTP 防病毒扫描。
15.1X49-D10
Junos OS 版本 15.1X49-D10 和 Junos OS 版本 17.3R1 不支持 POP3 防病毒扫描。
15.1X49-D10
Junos OS 版本 15.1X49-D10 和 Junos OS 版本 17.3R1 不支持 POP3 防病毒扫描。
15.1X49-D10
Junos OS 版本 15.1X49-D10 和 Junos OS 版本 17.3R1 不支持 IMAP 防病毒扫描。
15.1X49-D10
Junos OS 版本 15.1X49-D10 和 Junos OS 版本 17.3R1 不支持 IMAP 防病毒扫描。