Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

使用 J-Web UTM 防病毒软件防止病毒攻击

总结 了解统一威胁管理防病毒保护以及如何使用 J-Web 配置 UTM 防病毒以防止 SRX 系列设备上的病毒攻击。SRX 系列设备上的 UTM 防病毒功能可扫描网络流量,保护您的网络免受病毒攻击并防止病毒传播。

UTM 防病毒概述

在当今世界,网络安全威胁不断发展并变得越来越复杂,保护您的网络免受病毒攻击至关重要。病毒、蠕虫和恶意软件执行不需要的恶意行为,例如损坏或删除文件、入侵个人数据、影响系统性能、重新格式化硬盘或使用您的计算机将病毒传播到其他计算机。UTM防病毒软件就像抵御此类安全威胁的第一道防线,可防止病毒传播到您的网络中。它可以保护您的网络免受病毒攻击、不需要的计算机恶意软件、间谍软件、rootkit、蠕虫、网络钓鱼攻击、垃圾邮件攻击、特洛伊木马等的侵害。

注意:

您必须始终确保防病毒软件和病毒码数据库是最新的。

瞻博网络提供以下 UTM 防病毒解决方案:

  • 设备上的防病毒保护

    设备上的防病毒软件是一种现成的解决方案。设备上的防病毒扫描引擎通过访问本地存储在设备上的病毒码数据库来扫描数据。它提供完整的基于文件的防病毒扫描功能,可通过单独许可的订阅服务获得。

    注意:

    • 从 Junos OS 版本 15.1X49-D10 开始,不支持设备上的 Express 或卡巴斯基扫描引擎;但是,它仍然适用于 Junos OS 12.3X48 版。

    • 从 Junos OS 18.4R1 版开始,SRX 系列设备支持 Avira 设备上的防病毒扫描引擎。

    • SRX300、SRX320、SRX340、SRX345、SRX380 和 SRX550 HM 设备不支持 Avira 设备上的防病毒扫描引擎。

  • Sophos 防病毒保护

    Sophos 防病毒是一种云端防病毒解决方案。病毒码和恶意软件数据库位于由 Sophos(Sophos 可扩展列表)服务器维护的外部服务器上。Sophos 防病毒扫描程序还使用本地内部缓存来维护来自外部列表服务器的查询响应。我们提供 Sophos 防病毒扫描作为完整基于文件的防病毒功能的 CPU 密集度较低的替代方案。

UTM 防病毒软件的优势

  • 设备上的防病毒解决方案:

    • 在本地扫描应用程序流量而不连接到服务器,以查询应用程序流量是否有病毒。

    • 最大限度地减少处理延迟,因为模式数据库是本地存储的,并且扫描引擎位于设备上。

  • Sophos 防病毒解决方案:

    • 避免在瞻博网络设备上下载和维护大型病毒码数据库,因为病毒码和恶意软件数据库位于 Sophos 维护的外部服务器上。

    • 提高了查找性能,因为 Sophos 防病毒扫描程序使用本地内部缓存来维护来自外部列表服务器的查询响应。

    • 通过使用统一资源标识符 (URI) 检查功能,有效防止恶意内容到达端点客户端或服务器。

防病毒工作流程

范围

瞻博网络 Web (J-Web) 设备管理器支持 SRX 系列设备上的 UTM 防病毒解决方案。在此示例中,您将使用 Sophos 防病毒保护执行以下操作:

  1. 扫描从服务器 (10.102.70.89) 到计算机的 HTTP 和 FTP 流量是否存在病毒攻击。

  2. 定义在扫描流量时发现病毒时显示的自定义消息 “发现病毒! ”。

  3. 创建跳过 AV 扫描的允许列表 URL (http://10.102.70.89)。

    注意:

    假设您必须能够路由到示例 URL。

开始之前

拓扑

此示例中使用的拓扑包括连接到支持 UTM 的 SRX 系列设备的 PC(可以访问互联网)和服务器。您将使用 J-Web 通过这个简单的设置扫描发送到服务器的 HTTP 和 FTP 请求。然后,您将使用 Sophos 防病毒保护来防止从服务器到您的 PC 的病毒攻击。

Topology

视频

观看以下视频,了解如何使用 J-Web 配置 UTM 防病毒。

先睹为快 – J-Web UTM 防病毒配置步骤

Sneak Peek – J-Web UTM Antivirus Configuration Steps
表 1:J-Web UTM 防病毒配置步骤

行动

步骤 1

在默认配置中配置 Sophos 引擎。

在这里,您首先将默认引擎定义为默认配置中的 Sophos。

步骤 2

配置防病毒自定义对象。

在这里,您可以定义防病毒扫描将绕过的 URL 或地址的 URL 模式列表(允许列表)。创建 URL 模式列表后,您将创建自定义 URL 类别列表并将模式列表添加到其中。

步骤 3

使用 Sophos 引擎配置防病毒功能配置文件。

默认配置后,您可以在防病毒配置文件中定义将用于病毒扫描的参数。

注意:

在创建防病毒配置文件之前,必须配置 DNS 服务器。若要配置 DNS 服务器,请转到 “设备管理 ”>“ 基本设置 ”>“ 系统标识 ”> DNS 服务器

步骤 4

为 Sophos 防病毒创建 UTM 策略,并将防病毒配置文件应用于 UTM 策略。

在这里,您使用 UTM 策略将一组协议(例如 HTTP)绑定到 Sophos UTM 功能配置文件。您也可以通过创建不同的配置文件或向配置文件添加其他协议(如 imap-profile、pop3-profile 和 smtp-profile)来扫描其他协议。

步骤 5

为 Sophos 防病毒软件创建安全策略,并将 UTM 策略分配给该安全策略。

在这里,您可以使用安全防火墙和防病毒配置文件设置扫描从信任区域(信任)到不信任区域(Internet)的流量。

步骤 6

从允许列表 URL (http://10.102.70.89) 访问 URL,然后尝试下载 10.102.70.89 服务器上提供的测试病毒文件 (eicar.txt)。

步骤 1:更新防病毒的默认配置

您在此处:UTM >安全服务>默认配置

在此步骤中,您将 Sophos 引擎设置为默认引擎类型。

要更新默认防病毒配置文件,请执行以下操作:

  1. 在“防病毒”选项卡上,单击编辑图标(铅笔)以编辑默认配置。

    此时将显示“防病毒”页面。参见 图 1

  2. 完成表 2 中“操作”列中列出的任务。
    表 2:默认配置设置

    领域

    行动

    类型

    选择防病毒软件的 Sophos 引擎 类型。

    网址白名单

    选择 “无”。
    MIME 白名单

    列表

    选择 “无”。

    例外

    选择 “无”。
    图1:默认防病毒配置 Default Antivirus Configuration
  3. 单击“确定”保存新的默认配置。

步骤 2:配置防病毒自定义对象

步骤 2a:配置要绕过的 URL 模式列表

在此步骤中,您将定义防病毒扫描将绕过的 URL 或地址的 URL 模式列表(安全列表)。

您在此处(在 J-Web UI 中):UTM >安全服务>自定义对象

要配置 URL 的安全列表,请执行以下操作:

  1. 单击 URL 模式列表选项卡。
  2. 单击添加图标 (+) 以添加 URL 模式列表。

    此时将显示“添加 URL 模式列表”页面。参见 图 2

  3. 完成表 3 中“操作”列中列出的任务。
    表 3:URL 模式列表设置

    领域

    行动

    名字

    类型 av-url-pattern.

    注意:

    使用以字母或下划线开头并由字母数字字符和特殊字符(如短划线和下划线)组成的字符串。您最多可以使用 29 个字符。

    价值

    1. 单击 + 以添加 URL 模式值。

    2. 类型 http://10.102.70.89.

    3. 单击勾号图标

    图 2:添加 URL 模式列表 Add URL Pattern List
  4. 单击确定以保存 URL 模式列表配置。

干得好!以下是配置的结果:

步骤 2b:对要允许的 URL 进行分类

现在,您需要将创建的 URL 模式分配给 URL 类别列表。类别列表定义映射的操作。例如,应允许使用 安全列表 类别。

您在此处: 安全服务 > UTM > 自定义对象

要对网址进行分类:

  1. 点击网址类别列表标签。
  2. 单击添加图标 (+) 以添加 URL 类别列表。

    此时将显示“添加 URL 类别列表”页面。参见 图 3

  3. 完成表 4 中“操作”列中列出的任务。
    表 4:URL 类别列表设置

    领域

    行动

    名字

    键入 av-url 安全列表 URL 模式的 URL 类别列表名称。

    注意:

    使用以字母或下划线开头并由字母数字字符和特殊字符(如短划线和下划线)组成的字符串。您最多可以使用 59 个字符。

    网址模式

    从“可用”列中选择 URL 模式值 av-url-pattern,然后单击向右箭头将 URL 模式值移动到“已选择”列。通过执行此操作,您可以将 URL 模式值 av-url-pattern 与 URL 类别列表 av-url 相关联
    图 3:添加 URL 类别列表 Add URL Category List
  4. 单击“确定”保存类别列表配置。

    干得好!以下是配置的结果:

步骤 3:创建防病毒配置文件

你在这里: 安全服务 > UTM > 防病毒配置文件

在此步骤中,您将创建新的 UTM 防病毒配置文件,将创建的 URL 对象(模式和类别)引用到配置文件,并指定通知详细信息。

要创建新的防病毒配置文件,请执行以下操作:

  1. 单击添加图标 (+) 以添加新的防病毒配置文件。

    此时将显示“创建防病毒配置文件”页。参见 图 4

  2. 完成表 5 中“操作”列中列出的任务。
    表 5:防病毒配置文件设置

    领域

    行动
    一般

    名字

    键入 av-profile 新的防病毒配置文件。

    注意:

    您最多可以使用 29 个字符。

    网址许可名单

    从下拉列表中选择 av-url
    回退选项

    内容大小

    选择 “日志并允许”。

    默认操作

    选择 “日志并允许”。
    通知选项

    病毒检测

    选择 通知邮件发件人

    通知类型

    选择 消息

    自定义消息主题

    类型 ***Antivirus Alert***.

    自定义消息

    类型 Virus Found !.
    图 4:创建防病毒配置文件常规设置 Create Antivirus Profile General Settings
    图 5:创建防病毒配置文件通知设置 Create Antivirus Profile Notification Settings
  3. 单击完成。查看配置摘要,然后单击确定以保存配置。
  4. 看到配置成功消息后,单击关闭

    干得好!以下是配置的结果:

步骤 4:将防病毒配置文件应用于 UTM 策略

创建防病毒功能配置文件后,为防病毒扫描协议配置 UTM 策略,并将此策略附加到 在步骤 3:创建防病毒配置文件中创建的防病毒配置文件。在此示例中,您将扫描 HTTP 和 FTP 流量以查找病毒。

你在这里: 安全服务 > UTM > UTM 策略

要创建 UTM 策略,请执行以下操作:

  1. 单击添加图标 (+)。

    此时将显示创建 UTM 策略页面。

  2. 完成表 6 中“操作”列中列出的任务。
    表 6:创建 UTM 策略设置

    领域

    行动
    一般

    名字

    键入 av-policy UTM 策略的名称,然后单击 下一步

    注意:

    您最多可以使用 29 个字符。
    杀毒

    HTTP

    从列表中选择 av 配置文件

    FTP 上传

    从列表中选择 av 配置文件

    FTP 下载

    从列表中选择 av-profile ,然后单击 下一步 直到页面末尾。
  3. 单击完成。查看配置摘要,然后单击确定以保存更改。
  4. 看到配置成功消息后,单击关闭

    快到了!以下是配置的结果:

步骤 5:将 UTM 策略分配给安全防火墙策略

在此步骤中,您将创建一个防火墙安全策略,该策略将导致 Sophos 防病毒软件使用功能配置文件设置扫描从信任区域(信任)传递到不信任区域(互联网)的流量。

您尚未将 UTM 配置分配给从信任区域到互联网区域的安全策略。只有在将 UTM 策略分配给充当匹配条件的安全策略规则后,才会执行过滤操作。

注意:

当允许安全策略规则时,SRX 系列设备:

  1. 截获 HTTP 连接并提取每个 URL(在 HTTP 请求中)或 IP 地址。

    注意:

    对于 HTTPS 连接,通过 SSL 转发代理支持防病毒。

  2. 在“防病毒(安全服务> UTM>默认配置)下的用户配置的安全列表中搜索 URL。然后,如果 URL 位于用户配置的安全列表中,则设备将允许该 URL。

  3. 根据防病毒配置文件中配置的默认操作允许或阻止 URL(如果未配置类别)。

你在这里: 安全策略和对象 > 安全策略

要为 UTM 策略创建安全策略规则,请执行以下操作:

  1. 单击添加图标 (+)。
  2. 完成表 7 中“操作”列中列出的任务。
    表 7:规则设置

    领域

    行动
    一般

    规则名称

    键入 av-security-policy 作为安全策略规则名称。此规则允许 av-url 类别列表中的 URL。

    规则说明

    输入安全策略规则的描述,然后单击 下一步

    源区域

    1. 单击 +

      此时将显示“选择源”页面。

    2. 区域 - 从列表中选择 信任

    3. 地址 - 将此字段保留为默认值 any

    4. 单击 确定

    目标区域

    1. 单击 +

      此时将显示“选择目标”页面。

    2. 区域 - 从列表中选择 互联网

    3. 地址 - 将此字段保留为默认值 any

    4. 服务 - 将此字段保留为默认值 any

    5. 单击 确定

    行动

    从列表中选择 “允许 ”。

    高级安全性

    1. 单击 +

      此时将显示“选择高级安全性”页。

    2. UTM — 从列表中选择 av 策略

    3. 单击 确定
    注意:

    导航到 “安全策略和对象 ”> “区域/屏幕 ”以创建区域。创建区域超出了本文档的范围。
  3. 单击勾号图标以保存更改。

    干得好!以下是配置的结果:

  4. 单击提交图标(位于顶部横幅的右侧),然后选择提交。

    此时将显示成功提交消息。

    祝贺!现在,我们已准备好扫描流量以查找病毒攻击。

步骤 6:验证 UTM 防病毒软件是否正常工作

目的

验证您配置的 UTM 防病毒是否允许来自允许列表服务器的流量并阻止来自服务器的病毒攻击。

行动

  1. 使用电脑,向 http://10.102.70.89 发送 HTTP 请求。

    干得好!您可以访问 http://10.102.70.89 服务器。

  2. 使用 PC,向 10.102.70.89 服务器发送 FTP 请求以下载 eicar.txt 文件。eicar.txt 文件是一个测试病毒文件,可在 10.102.70.89 服务器上找到。

    对不起!SRX 系列设备已阻止下载文件,并向您发送自定义阻止消息 ***防病毒警报*** - 发现病毒!

    下面是当您尝试下载 eicar.txt 文件并且 SRX 系列防火墙发送病毒警报时的示例输出:

    以下是发现威胁时防病毒统计信息输出的示例:

下一步是什么?

如果你愿意

然后

监控 UTM 防病毒详细信息和统计信息

在 J-Web 中,转至监控 > 安全服务> UTM >防病毒软件

生成和查看有关允许和阻止的网址的报告

要生成和查看报告:

  1. 登录到 J-Web UI,然后单击 监控 > 报告

    此时将显示“报告”页面。

  2. 选择以下任一预定义报告名称。

    • 威胁评估报告

    • 阻止的病毒

    注意:

    不能同时生成多个报告。

  3. 单击 生成报告

    此时将显示“报告标题”页面。

  4. 输入所需信息,然后单击 保存

    将生成报告。

了解有关 UTM 功能的详细信息

请参阅 统一威胁管理用户指南

示例配置输出

在本节中,我们将提供阻止来自此示例中定义的网站的病毒攻击的配置示例。

您可以在层次结构级别配置以下 UTM 配置 [edit security utm]

在层次结构级别创建自定义 [edit security utm] 对象:

[edit security utm] 层次结构级别创建防病毒配置文件:

创建 UTM 策略:

在层次结构级别为 [edit security policies] 安全策略创建规则: