全面防病毒应用程序协议扫描
全防病毒功能使用扫描引擎和病毒签名数据库来防御通过 POP3、HTTP、SMTP、IMAP 和 FTP 协议感染病毒的文件、蠕虫、木马、间谍软件和其他恶意软件。有关更多信息,请参阅以下主题:
了解完全的防病毒应用程序协议扫描
Junos OS 版本 15.1X49-D10 和 Junos OS 版本 17.3R1 不支持完全防病毒应用程序协议扫描。对于之前的版本,您可以根据协议打开和关闭防病毒扫描。如果防病毒配置文件中禁用了对协议的扫描,则此协议没有应用程序智能。因此,在大多数情况下,不会扫描使用此协议的信息流。但是,如果有关协议基于在防病毒配置文件中启用扫描的另一种协议,则信息流将扫描为启用的协议。
内部防病毒扫描引擎支持扫描特定应用程序层事务,允许您选择要扫描的内容(HTTP、FTP、SMTP、POP3 或 IMAP 信息流)。对于正在扫描的每个内容类型,您有不同的配置选项。
基于配置文件的设置(包括启用/禁用、扫描模式和扫描结果处理设置)可能不适用于所有受支持的协议。下表列出了基于配置文件的设置及其协议支持。
配置文件设置 |
协议支持 |
---|---|
根据协议启用或禁用扫描 |
所有协议都支持此功能 |
了解完全的防病毒扫描模式支持,包括文件扩展扫描 |
所有协议都支持此功能 |
所有协议都支持此功能 |
|
所有协议都支持此功能 |
|
所有协议都支持此功能 |
|
仅 HTTP |
|
所有协议都支持此功能 |
|
协议特定消息 |
所有协议都支持此功能 |
仅 SMTP、POP3 和 IMAP |
|
所有协议都支持此功能 |
另请参阅
了解 HTTP 扫描
Junos OS 版本 15.1X49-D10 和 Junos OS 版本 17.3R1 不支持 HTTP 防病毒扫描。对于前一个版本,如果为内容安全配置文件中的超文本传输协议 (HTTP) 流量启用了防病毒扫描,将监控定义的 HTTP 服务端口(一般为端口 80)的 TCP 流量。对于 HTTP 流量,安全设备会扫描 HTTP 响应和请求(获取、发布和放置命令)。
对于 HTTP 防病毒扫描,支持 HTTP 1.0 和 1.1。如果协议版本为 HTTP 0.x,防病毒扫描仪会尝试扫描流量。未知协议会绕过。例如,某些应用协议使用 HTTP 作为传输,但不遵守 HTTP 1.0 或 1.1。这些被视为未知协议且未扫描。
这是关于 HTTP 流量如何被防病毒扫描仪拦截、扫描和采取行动的常规说明:
HTTP 客户端向 Web 服务器发送 HTTP 请求,或者网络服务商响应 HTTP 请求。
安全设备会拦截请求并将数据传递到防病毒扫描仪,而防病毒扫描仪会扫描该请求以获取病毒。
完成扫描后,设备遵循两门课程之一:
如果没有病毒,设备会将请求转发至 Webserver。
如果感染病毒,设备将丢弃请求并发送 HTTP 消息,向客户端报告感染情况。
借助仅脚本扫描,输入对象即脚本文件。它可以是 JavaScript、VBScript、mIRC 脚本、蝙蝠脚本(DOS 蝙蝠文件)和其他文本脚本。该引擎仅将输入内容与脚本文件的签名匹配。脚本扫描仅适用于基于 HTTP 协议的 HTML 内容。此扫描类型有两个标准。首先,此 HTML 文档的内容类型字段必须是文本或 HTML。其次,HTTP 标头中没有内容编码。如果满足这两个标准,则使用 HTML 解析器来解析 HTML 文档。
另请参阅
启用 HTTP 扫描(CLI 过程)
Junos OS 版本 15.1X49-D10 和 Junos OS 版本 17.3R1 不支持 HTTP 防病毒扫描。对于之前的版本,要启用 HTTP 流量的防病毒扫描,请输入以下 CLI 配置语句:
user@host# set security utm utm-policy policy-name anti-virus http
了解 FTP 防病毒扫描
Junos OS 版本 15.1X49-D10 不支持 FTP 防病毒扫描。对于之前的版本,如果为内容安全配置文件中的文件传输协议 (FTP) 信息流启用了防病毒扫描,安全设备将监控控制通道,并且在检测到用于传输数据的 FTP 命令之一时,会扫描通过数据通道发送的数据。
这是关于 FTP 流量如何被防病毒扫描仪拦截、扫描和采取行动的常规说明:
本地 FTP 客户端将 FTP 控制通道打开至 FTP 服务器,并要求传输某些数据。
FTP 客户端和服务器协商服务器通过其发送请求数据的数据通道。安全设备会拦截数据并将其传递到防病毒扫描引擎,后者会扫描数据以获取病毒。
完成扫描后,设备遵循两门课程之一:
如果没有病毒,设备会将数据转发给客户端。
如果出现病毒,设备将使用数据通道中的丢弃消息替换数据,并发送一条消息,报告控制通道中的感染情况。
启用 FTP 防病毒扫描(CLI 过程)
Junos OS 版本 15.1X49-D10 不支持 FTP 防病毒扫描。对于之前的版本,要启用对文件传输协议 (FTP) 信息流的防病毒扫描,请输入以下 CLI 配置语句:
user@host# security utm utm-policy policy-name anti-virus ftp
为了扫描 FTP 流量,必须启用 FTP ALG。
另请参阅
了解 SMTP 防病毒扫描
从 Junos OS 15.1X49-D10 版和 Junos OS 17.3R1 版开始,只有 Sophos 防病毒支持 SMTP 防病毒扫描。如果内容安全配置文件中启用了 SMTP(简单邮件传输协议)防病毒扫描,则安全设备会将来自本地 SMTP 客户端的流量重定向到防病毒扫描仪,然后再将其发送到本地邮件服务器。
分段是数据命令的替代项。它提供了一种机制,以小块传输大消息。不受支持。使用分块的消息绕过,不会扫描。
这是对 SMTP 流量如何被防病毒扫描仪拦截、扫描和采取行动的一般描述:
SMTP 客户端向本地邮件服务器发送电子邮件,或者远程邮件服务器通过 SMTP 将电子邮件转发至本地邮件服务器。
安全设备会拦截电子邮件消息并将数据传递到防病毒扫描仪,防病毒扫描仪会对其进行病毒扫描。
完成扫描后,设备遵循两门课程之一:
如果没有病毒,设备会将消息转发至本地服务器。
如果出现病毒,设备会向客户端发送更换消息。
本主题包括以下部分:
了解 SMTP 防病毒邮件更换
如果防病毒扫描仪在电子邮件中发现病毒,则丢弃原始消息,截断消息正文,并且内容被如下显示的消息取代:
nContent-Type: text/plain Your mail <src_ip> : <src_port> — <dst_port>: <dst_port> contains contaminated file <filename> with virus <virusname>, so it is dropped.
如果返回扫描错误,故障模式设置为丢弃,则将丢弃原始消息并截断整个消息主体。内容被如下显示的消息取代:
nContent-Type: text/plain Your mail <src_ip> : <src_port> — <dst_port>: <dst_port> is dropped for <reason>.
了解 SMTP 防病毒发送方通知
如果 notify-sender-on-virus
设置并因检测到的病毒而丢弃消息,则向邮件发送方发送电子邮件。通知的内容可能如下所示:
From: <admin>@<gateway_ip> To: <sender_e-mail> Subject: Mail Delivery Failure This message is created automatically by mail delivery software. A message that you sent could not be delivered to one or more of its recipients for the reason: <src_ip> : <src_port> — <dst_port>: <dst_port> <ENVID> contaminated file <filename> with virus <virusname>. e-mail Header is: <header of scanned e-mail>
如果 notify-sender-on-error-drop
设置并因扫描错误而丢弃消息,则会向扫描的消息的邮件发送者发送电子邮件。电子邮件内容可能显示如下:
From: <admin>@<gateway_ip> To: <sender_e-mail> Subject: Mail Delivery Failure This message is created automatically by mail delivery software. A message that you sent could not be delivered to one or more of its recipients for the reason: <src_ip> : <src_port> — <dst_port>: <dst_port> <ENVID> <reason>. e-mail Header is: <header of scanned e-mail>
有关 ENVID 参数的信息,请参阅 RFC 3461。
了解 SMTP 防病毒主题标记
如果返回扫描错误并将故障模式设置为 pass
,防病毒模块会将消息传递至服务器。如果 notify-recipient-on-error-pass
已设置,则将以下字符串附加到主题字段的末端:
(No virus check: <reason>)
另请参阅
启用 SMTP 防病毒扫描(CLI 过程)
Junos OS 版本 15.1X49-D10 和 Junos OS 版本 17.3R1 不支持 SMTP 防病毒扫描。对于之前的版本,要启用对 SMTP 流量的防病毒扫描,请输入以下 CLI 配置语句:
user@host# set security utm utm-policy policy-name anti-virus smtp-profile
了解 POP3 防病毒扫描
Junos OS 版本 15.1X49-D10 和 Junos OS 版本 17.3R1 不支持 POP3 防病毒扫描。对于之前的版本,如果内容安全配置文件中启用了邮局协议 3 (POP3) 防病毒扫描,安全设备会将流量从本地邮件服务器重定向到防病毒扫描仪,然后再将其发送至本地 POP3 客户端。
这是有关 POP3 流量如何被防病毒扫描仪拦截、扫描和采取行动的常规说明。
POP3 客户端从本地邮件服务器下载电子邮件。
安全设备会拦截电子邮件消息并将数据传递到防病毒扫描仪,防病毒扫描仪会对其进行病毒扫描。
完成扫描后,安全设备遵循两门课程之一:
如果没有病毒,设备会将消息转发给客户端。
如果感染病毒,设备将向客户端发送报告感染的消息。
有关 IMAP 仅协议通知的信息,请参阅 了解仅协议病毒检测到的通知 。
本主题包括以下部分:
了解 POP3 防病毒邮件更换
如果防病毒扫描仪在电子邮件中发现病毒,则丢弃原始消息,截断消息正文,并且内容被如下显示的消息取代:
nContent-Type: text/plain Your mail <src_ip> : <src_port> — <dst_port>: <dst_port> contains contaminated file <filename> with virus <virusname>, so it is dropped.
了解 POP3 防病毒发送方通知
如果 notify-sender-on-virus
设置并因检测到的病毒而丢弃消息,则向邮件发送方发送电子邮件。
From: <admin>@<gateway_ip> To: <sender_e-mail> Subject: Mail Delivery Failure This message is created automatically by mail delivery software. A message that you sent could not be delivered to one or more of its recipients for the reason: <src_ip> : <src_port> — <dst_port>: <dst_port> contaminated file <filename> with virus <virusname>. e-mail Header is: <header of scanned e-mail>
如果 notify-sender-on-error-drop
设置并因扫描错误而丢弃消息,则会向扫描的消息的邮件发送者发送电子邮件。电子邮件内容可能显示如下:
From: <admin>@<gateway_ip> To: <sender_e-mail> Subject: Mail Delivery Failure This message is created automatically by mail delivery software. A message that you sent could not be delivered to one or more of its recipients for the reason: <src_ip> : <src_port> — <dst_port>: <dst_port> <reason>. e-mail Header is: <header of scanned e-mail>
了解 POP3 防病毒主题标记
如果返回扫描错误并将故障模式设置为 pass
,防病毒模块会将消息传递至服务器。如果 notify-recipient-on-error-pass
已设置,以下字符串将附加到主题字段的末端:
(No virus check: <reason>)
另请参阅
启用 POP3 防病毒扫描(CLI 过程)
Junos OS 版本 15.1X49-D10 和 Junos OS 版本 17.3R1 不支持 POP3 防病毒扫描。对于之前的版本,要启用 POP3 流量的防病毒扫描,请输入以下 CLI 配置语句:
user@host# set security utm utm-policy policy-name anti-virus pop3-profile
了解 IMAP 防病毒扫描
Junos OS 版本 15.1X49-D10 和 Junos OS 版本 17.3R1 不支持 IMAP 防病毒扫描。对于之前的版本,如果内容安全配置文件中启用了 IMAP(互联网消息访问协议)防病毒扫描,安全设备会将流量从本地邮件服务器重定向到内部防病毒扫描仪,然后再将其发送至本地 IMAP 客户端。
这是有关 IMAP 流量如何被防病毒扫描仪拦截、扫描和采取行动的常规说明。
IMAP 客户端从本地邮件服务器下载电子邮件。
安全设备会拦截电子邮件消息并将数据传递到防病毒扫描仪,防病毒扫描仪会对其进行病毒扫描。
完成扫描后,安全设备遵循两门课程之一:
如果没有病毒,设备会将消息转发给客户端。
如果感染病毒,设备将向客户端发送报告感染的消息。
有关 IMAP 仅协议通知的信息,请参阅 了解仅协议病毒检测到的通知 。
本主题包括以下部分:
了解 IMAP 防病毒邮件更换
如果防病毒扫描仪在电子邮件中发现病毒,则丢弃原始消息,截断消息正文,并且内容被如下显示的消息取代:
nContent-Type: text/plain Your mail <src_ip> : <src_port> — <dst_port>: <dst_port> contains contaminated file <filename> with virus <virusname>, so it is dropped.
了解 IMAP 防病毒发送方通知
如果 notify-sender-on-virus
设置并因检测到的病毒而丢弃消息,则向邮件发送方发送电子邮件。
From: <admin>@<gateway_ip> To: <sender_e-mail> Subject: Mail Delivery Failure This message is created automatically by mail delivery software. A message that you sent could not be delivered to one or more of its recipients for the reason: <src_ip> : <src_port> — <dst_port>: <dst_port> contaminated file <filename> with virus <virusname>. e-mail Header is: <header of scanned e-mail>
如果 notify-sender-on-error-drop
设置并因扫描错误而丢弃消息,则会向扫描的消息的邮件发送者发送电子邮件。电子邮件内容可能显示如下:
From: <admin>@<gateway_ip> To: <sender_e-mail> Subject: Mail Delivery Failure This message is created automatically by mail delivery software. A message that you sent could not be delivered to one or more of its recipients for the reason: <src_ip> : <src_port> — <dst_port>: <dst_port> <reason>. e-mail Header is: <header of scanned e-mail>
了解 IMAP 防病毒主题标记
如果返回扫描错误并将故障模式设置为 pass
,防病毒模块会将消息传递至服务器。如果 notify-recipient-on-error-pass
已设置,以下字符串将附加到主题字段的末端:
(No virus check: <reason>)
了解 IMAP 防病毒扫描限制
邮件片段 — 可以将一封电子邮件切入多个部分,并通过不同的响应发送每个部分。这称为邮件分片,最常用的邮件客户端支持发送和接收大型电子邮件。防病毒扫描仪不支持扫描邮件片段,在这种情况下,不会扫描邮件正文。
部分内容 — 部分邮件客户端对不同大小的电子邮件处理方式不同。例如,整个下载的小型电子邮件(小于 10 KB)。应 IMAP 服务器的要求,大型电子邮件(例如小于 1 MB)被切成 10 KB 件。防病毒扫描仪不支持扫描任何部分内容请求。
IMAP 上传 — 仅支持对 IMAP 下载进行防病毒扫描。IMAP 上传信息流未扫描。
启用 IMAP 防病毒扫描(CLI 过程)
Junos OS 版本 15.1X49-D10 和 Junos OS 版本 17.3R1 不支持 IMAP 防病毒扫描。对于之前的版本,要启用对 IMAP 流量的防病毒扫描,请输入以下 CLI 配置语句:
user@host# security utm utm-policy policy-name anti-virus imap-profile