Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

使用 J-Web UTM 防病毒软件防止病毒攻击

总结 了解统一威胁管理防病毒保护,以及如何配置 UTM 防病毒软件,以防止使用 J-Web 对 SRX 系列防火墙进行病毒攻击。SRX 系列防火墙上的 UTM 防病毒功能可扫描网络流量,以保护您的网络免受病毒攻击并防止病毒传播。

UTM 防病毒软件概述

在当今世界,网络安全威胁不断演变并变得越来越复杂,保护您的网络免受病毒攻击极为重要。病毒、蠕虫和恶意软件会执行不需要的恶意行为,例如损坏或删除文件、黑客入侵个人数据、影响系统性能、重新格式化硬盘或使用您的计算机将病毒传播到其他计算机。UTM 防病毒软件充当抵御此类安全威胁的第一道防线,并防止病毒传播到您的网络中。它可以保护您的网络免受病毒攻击、有害计算机恶意软件、间谍软件、rootkit、蠕虫、网络钓鱼攻击、垃圾邮件攻击、特洛伊木马等。

注意:

您必须始终确保防病毒软件和病毒模式数据库是最新的。

瞻博网络提供以下 UTM 防病毒解决方案:

  • 设备防病毒保护

    设备上的防病毒软件是本机解决方案。设备上的防病毒扫描引擎通过访问本地存储在设备上的病毒模式数据库来扫描数据。它提供完整的基于文件的防病毒扫描功能,可通过单独许可的订阅服务获得。

    注意:

    • 从 Junos OS 15.1X49-D10 版开始,不支持设备上的 Express 或 Kaspersky 扫描引擎;但是,它仍然适用于 Junos OS 12.3X48 版。

    • 从 Junos OS 18.4R1 版开始,SRX 系列防火墙支持 Avira 设备上的防病毒扫描引擎。

    • SRX300、SRX320、SRX340、SRX345、SRX380 和 SRX550 HM 设备不支持 Avira 设备上防病毒扫描引擎。

  • Sophos 防病毒保护

    Sophos 防病毒软件是一种云中防病毒解决方案。病毒模式和恶意软件数据库位于由 Sophos (Sophos Extensible List) 服务器维护的外部服务器上。Sophos 防病毒扫描程序还使用本地内部缓存来维护来自外部列表服务器的查询响应。我们提供 Sophos 防病毒扫描,作为完整的基于文件的防病毒功能的 CPU 密集度较低的替代方案。

UTM 防病毒软件的优势

  • 设备上的防病毒解决方案:

    • 在不连接服务器的情况下,在本地扫描应用流量,查询应用流量是否有病毒。

    • 将处理延迟降至最低,因为模式数据库存储在本地,扫描引擎在设备上。

  • Sophos 防病毒解决方案:

    • 避免在瞻博网络设备上下载和维护大型模式数据库,因为病毒模式和恶意软件数据库位于 Sophos 维护的外部服务器上。

    • 改进查找性能,因为 Sophos 防病毒扫描程序使用本地内部缓存来维护来自外部列表服务器的查询响应。

    • 通过使用统一资源标识符 (URI) 检查功能,有效防止恶意内容到达端点客户端或服务器。

防病毒工作流程

范围

瞻博网络 Web (J-Web) 设备管理器支持 SRX 系列防火墙上的 UTM 防病毒解决方案。在此示例中,您将使用 Sophos 防病毒保护执行以下作:

  1. 扫描从服务器 (10.102.70.89) 到计算机的 HTTP 和 FTP 流量以查找病毒攻击。

  2. 定义自定义消息 Virus Found! ,以便在扫描流量时发现病毒时显示。

  3. 创建跳过 AV 扫描的白名单 URL (http://10.102.70.89)。

    注意:

    假设您必须能够路由到示例 URL。

准备工作

拓扑学

此示例中使用的拓扑包括连接到支持 UTM 的 SRX 系列防火墙的 PC 和服务器。通过这个简单的设置,您将使用 J-Web 扫描发送到服务器的 HTTP 和 FTP 请求。然后,您将使用 Sophos 防病毒保护来防止从服务器到 PC 的病毒攻击。

Topology

视频

请观看以下视频,了解如何使用 J-Web 配置 UTM 防病毒软件。

先睹为快 – J-Web UTM 防病毒配置步骤

Sneak Peek – J-Web UTM Antivirus Configuration Steps
表 1:J-Web UTM 防病毒配置步骤

行动

步骤 1

在默认配置中配置 Sophos 引擎。

在这里,您首先在默认配置中将默认引擎定义为 Sophos。

步骤 2

配置防病毒自定义对象。

在这里,您可以定义防病毒扫描将绕过的 URL 或地址的 URL 模式列表(允许列表)。创建 URL 模式列表后,您将创建自定义 URL 类别列表并将模式列表添加到其中。

步骤 3

使用 Sophos 引擎配置防病毒功能配置文件。

默认配置后,在防病毒配置文件中定义将用于病毒扫描的参数。

注意:

在创建防病毒配置文件之前,必须配置 DNS 服务器。要配置 DNS 服务器,请转到 “设备管理 ”>“ 基本设置 ”>“系统 标识 ”> DNS 服务器

步骤 4

为 Sophos 防病毒软件创建 UTM 策略,并将防病毒配置文件应用于 UTM 策略。

在这里,您使用 UTM 策略将一组协议(例如 HTTP)绑定到 Sophos UTM 功能配置文件。您也可以通过创建不同的配置文件或向配置文件中添加其他协议(如 imap-profile、pop3-profile 和 smtp-profile)来扫描其他协议。

步骤 5

为 Sophos 防病毒软件创建安全策略,并将 UTM 策略分配给安全策略。

在这里,您可以使用安全防火墙和防病毒配置文件设置扫描从信任区域(信任)到不信任区域(Internet)的流量。

步骤 6

从允许列表 URL (http://10.102.70.89) 访问 URL,并尝试下载 10.102.70.89 服务器上提供的测试病毒文件 (eicar.txt)。

步骤 1:更新防病毒软件的默认配置

您的位置: 安全服务 > UTM >默认配置

在此步骤中,您需要将 Sophos Engine 设置为默认引擎类型。

要更新默认防病毒配置文件,请执行以下作:

  1. “防病毒”选项卡上,单击编辑图标(铅笔)以编辑默认配置。

    此时将显示“防病毒”页面。请参阅 图 1

  2. 完成表 2 中作列中列出的任务。
    表 2:默认配置设置

    行动

    类型

    为防病毒软件选择 Sophos Engine 类型。

    URL 白名单

    选择 “无”
    MIME 白名单

    列表

    选择 “无”

    例外

    选择 “无”
    图 1:默认防病毒配置 Default Antivirus Configuration
  3. 单击“确定”保存新的默认配置。

步骤 2:配置防病毒自定义对象

步骤 2a:配置要绕过的 URL 模式列表

在此步骤中,您将定义防病毒扫描将绕过的 URL 或地址的 URL 模式列表(安全列表)。

您在此处(在 J-Web UI 中): 安全服务 > UTM > 自定义对象

要配置 URL 安全列表,请执行以下作:

  1. 单击“URL 模式列表”选项卡。
  2. 单击添加图标 (+) 以添加 URL 模式列表。

    此时将显示“Add URL Pattern List(添加 URL 模式列表)”页面。请参阅 图 2

  3. 完成表 3 中作列中列出的任务。
    表 3:URL 模式列表设置

    行动

    名字

    键入 av-url-pattern

    注意:

    使用以字母或下划线开头且由字母数字字符和特殊字符(如破折号和下划线)组成的字符串。最多可使用 29 个字符。

    价值

    1. 单击 + 添加 URL 模式值。

    2. 键入 http://10.102.70.89

    3. 单击勾选图标

    图 2:添加 URL 模式列表 Add URL Pattern List
  4. 单击“确定”保存 URL 模式列表配置。

干得好!下面是您的配置结果:

步骤 2b:对要允许的 URL 进行分类

现在,您需要将创建的 URL 模式分配给 URL 类别列表。类别列表定义映射作。例如,应允许 使用“安全列表 ”类别。

您的位置: 安全服务 > UTM > 自定义对象

要对 URL 进行分类,请执行以下作:

  1. 单击 URL 类别列表选项卡。
  2. 单击添加图标 (+) 以添加 URL 类别列表。

    此时将显示“添加 URL 类别列表”页面。请参阅 图 3

  3. 完成表 4 中作列中列出的任务。
    表 4:URL 类别列表设置

    行动

    名字

    键入 av-url 作为安全列出的 URL 模式的 URL 类别列表名称。

    注意:

    使用以字母或下划线开头且由字母数字字符和特殊字符(如破折号和下划线)组成的字符串。最多可使用 59 个字符。

    URL 模式

    从“可用”列中选择 URL 模式值 av-url-pattern ,然后单击向右箭头将 URL 模式值移动到“所选”列。通过执行此作,可将 URL 模式值 av-url-pattern 与 URL 类别列表 av-url 相关联。
    图 3:添加 URL 类别列表 Add URL Category List
  4. 单击“确定”保存类别列表配置。

    干得好!下面是您的配置结果:

步骤 3:创建防病毒配置文件

您的位置: 安全服务> UTM >防病毒配置文件。

在此步骤中,您将创建新的 UTM 防病毒配置文件,将创建的 URL 对象(模式和类别)引用到配置文件,并指定通知详细信息。

要创建新的防病毒配置文件,请执行以下作:

  1. 单击添加图标 (+) 以添加新的防病毒配置文件。

    此时将显示“创建防病毒配置文件”页面。请参阅 图 4

  2. 完成表 5 中作 列中列出的任务。
    表 5:防病毒配置文件设置

    行动
    常规

    名字

    键入 av-profile 新的防病毒配置文件。

    注意:

    最多可使用 29 个字符。

    URL 允许列表

    从下拉列表中选择 av-url
    回退选项

    内容大小

    选择“ 记录并允许”

    默认作

    选择“ 记录并允许”
    通知选项

    病毒检测

    选择 通知邮件发件人

    通知类型

    选择 “消息”

    自定义邮件主题

    键入 ***Antivirus Alert***

    自定义消息

    键入 Virus Found !
    图 4:创建防病毒配置文件常规设置 Create Antivirus Profile General Settings
    图 5:创建防病毒配置文件通知设置 Create Antivirus Profile Notification Settings
  3. 单击 Finish。查看配置摘要,然后单击确定保存配置
  4. 看到配置成功消息后,单击关闭

    干得好!下面是您的配置结果:

步骤 4:将防病毒配置文件应用于 UTM 策略

创建防病毒功能配置文件后,为防病毒扫描协议配置 UTM 策略,并将此策略附加到 在步骤 3:创建防病毒配置文件中创建的防病毒配置文件。在此示例中,您将扫描 HTTP 和 FTP 流量以查找病毒。

您的位置: 安全服务 > UTM > UTM 策略

要创建 UTM 策略,请执行以下作:

  1. 单击添加图标 (+)。

    此时将显示 Create UTM Policies (创建 UTM 策略) 页面。

  2. 完成表 6 中“作”列中列出的任务。
    表 6:创建 UTM 策略设置

    行动
    常规

    名字

    键入 av-policy 作为 UTM 策略的名称,然后单击 下一步

    注意:

    最多可使用 29 个字符。
    防毒

    HTTP

    从列表中选择 av-profile

    FTP 上传

    从列表中选择 av-profile

    FTP 下载

    从列表中选择 av-profile ,然后单击 “下一步 ”直到页面末尾。
  3. 单击 Finish。查看配置摘要,然后单击“确定”以保存更改。
  4. 看到配置成功消息后,单击关闭

    快到了!下面是您的配置结果:

步骤 5:将 UTM 策略分配给安全防火墙策略

在此步骤中,您将创建一个防火墙安全策略,使 Sophos 防病毒软件使用功能配置文件设置扫描从信任区(信任)传递到不信任区(互联网)的流量。

尚未将 UTM 配置分配给从信任区域到 Internet 区域的安全策略。仅将 UTM 策略分配给充当匹配标准的安全策略规则后,才会执行过滤作。

注意:

当安全策略规则允许时,SRX 系列防火墙:

  1. 拦截 HTTP 连接并提取每个 URL(在 HTTP 请求中)或 IP 地址。

    注意:

    对于 HTTPS 连接,通过 SSL 转发代理支持防病毒。

  2. 在“防病毒”(安全服务 > UTM > 默认配置)下的用户配置的安全列表中搜索 URL。然后,如果 URL 在用户配置的安全列表中,设备将允许该 URL。

  3. 根据防病毒配置文件中配置的默认作,允许或阻止 URL(如果未配置类别)。

你在这里: 安全策略和对象 > 安全策略

要为 UTM 策略创建安全策略规则,请执行以下作:

  1. 单击添加图标 (+)。
  2. 完成表 7 中作 列中列出的任务。
    表 7:规则设置

    行动
    常规

    规则名称

    键入 av-security-policy 作为安全策略规则名称。此规则允许 av-url 类别列表中的 URL。

    规则说明

    输入安全策略规则的描述,然后单击 下一步

    源区

    1. 单击 +

      此时将显示“选择源”页面。

    2. 区域 - 从列表中选择 信任

    3. 地址 - 将此字段的默认值保留 为 any

    4. 单击“确定

    目标区域

    1. 单击 +

      此时将显示“选择目标”页面。

    2. 区域 - 从列表中选择 internet

    3. 地址 - 将此字段的默认值保留 为 any

    4. 服务 - 将此字段保留为默认值 any

    5. 单击“确定

    行动

    从列表中选择 “允许”

    高级安全

    1. 单击 +

      此时将显示“选择高级安全性”页面。

    2. UTM - 从列表中选择 av-policy

    3. 单击“确定
    注意:

    导航到 安全策略和对象 > 区域/屏幕以 创建区域。创建区域不在本文档的讨论范围之内。
  3. 单击勾号图标以保存更改。

    干得好!下面是您的配置结果:

  4. 单击顶部横幅右侧的“提交”图标,然后选择“提交”。

    将会显示 successful-commit 消息。

    祝贺!现在,我们已准备好扫描流量以防病毒攻击。

步骤 6:验证 UTM 防病毒软件是否正常工作

目的

验证您配置的 UTM 防病毒软件是否允许来自允许列表服务器的流量并阻止来自服务器的病毒攻击。

行动

  1. 使用 PC 向 http://10.102.70.89 发送 HTTP 请求。

    干得好!您可以访问 http://10.102.70.89 服务器。

  2. 使用 PC 向 10.102.70.89 服务器发送 FTP 请求以下载eicar.txt文件。eicar.txt 文件是 10.102.70.89 服务器上提供的测试病毒文件。

    不好意思!SRX 系列防火墙已阻止下载该文件,并向您发送了自定义阻止消息 防病毒警报***- 发现病毒!

    下面是尝试下载 eicar.txt 文件并且 SRX 系列 防火墙发送病毒警报时的示例输出:

    下面是发现威胁时的防病毒统计信息输出示例:

下一步是什么?

如果您想

然后

监控 UTM 防病毒详细信息和统计信息

在 J-Web 中,转至监控>安全服务> UTM >防病毒软件

生成和查看有关允许和阻止的 URL 的报告

要生成和查看报告,请执行以下作:

  1. 登录 J-Web UI 并 单击监控 > 报告

    此时将显示“报告”页面。

  2. 选择以下任一预定义报表名称。

    • 威胁评估报告

    • 病毒拦截

    注意:

    您不能同时生成多个报告。

  3. 单击 生成报告

    此时将显示“报表标题”页。

  4. 输入所需信息,然后单击 保存

    将生成报告。

详细了解 UTM 功能

请参阅 《统一威胁管理用户指南

配置输出示例

在本节中,我们将提供阻止来自此示例中定义的网站的病毒攻击的配置示例。

您可以在 [edit security utm] 层次结构级别配置以下 UTM 配置。

[edit security utm] 层次结构级别创建自定义对象:

[edit security utm] 层次结构级别创建防病毒配置文件:

创建 UTM 策略:

[edit security policies] 层次结构级别为安全策略创建规则: