Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Konfigurieren einer ablaufbasierten Antivirenrichtlinie

Überblick

Werfen wir einen Blick auf ein typisches Unternehmensnetzwerk. Ein Endbenutzer besucht unwissentlich eine kompromittierte Website und lädt bösartige Inhalte herunter. Dies führt zu einer Kompromittierung des Endgeräts. Die schädlichen Inhalte auf dem Endgerät werden auch zu einer Bedrohung für andere Hosts innerhalb des Netzwerks. Es ist wichtig, den Download der bösartigen Inhalte zu verhindern.

Sie können eine Firewall der SRX-Serie mit Flow-basiertem Antivirus verwenden, um Benutzer vor Virenangriffen zu schützen und die Verbreitung von Malware in Ihrem Netzwerk zu verhindern. Das ablaufbasierte Antivirenprogramm scannt den Netzwerkverkehr auf Viren, Trojaner, Rootkits und andere Arten von bösartigem Code und blockiert die bösartigen Inhalte sofort, wenn sie entdeckt werden.

Mit der folgenden Konfiguration wird eine ablaufbasierte Antivirenrichtlinie mit den folgenden Eigenschaften erstellt:

  • Der Name der Firewall-Richtlinie lautet firewall-av-policy.

  • Flow Antivirus-Richtlinie ist AV-Richtlinie.

  • Blockieren Sie jede Datei, wenn ihr zurückgegebenes Urteil größer oder gleich 7 ist, und erstellen Sie einen Protokolleintrag.

  • Wenn eine Fehlerbedingung vorliegt, lassen Sie das Herunterladen von Dateien zu und erstellen Sie einen Protokolleintrag.

Anforderungen

Bevor Sie beginnen

Konfiguration

Schritt-für-Schritt-Verfahren

Die folgende Konfiguration erfordert, dass Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Benutzerhandbuch für Junos OS CLI.

  1. Erstellen Sie die Antivirenrichtlinie, und blockieren Sie alle Dateien, wenn das zurückgegebene Urteil größer oder gleich 7 ist.

  2. Standardmäßig wird alle fünf Minuten automatisch das neueste Antiviren-Signaturpaket vom CDN-Server (Content Delivery Network) von Juniper Networks auf Ihr Firewall-Gerät heruntergeladen. Sie können die Signaturdatenbank manuell aktualisieren, indem Sie die URL des CDN-Servers angeben. Sie können die Einstellung auch mithilfe des set services anti-virus update automatic interval <5...60> Befehls anpassen.
    Hinweis:

    Verwenden Sie das Proxyprofil für den Aktualisierungsprozess des Antivirenmusters.

    Verwenden Sie diese Option, falls Ihr internes Netzwerkgerät keinen direkten Zugriff auf das Internet hat und das Gerät das Internet nur über einen Proxyserver erreichen kann.

  3. Konfigurieren Sie die Firewall-Richtlinie und wenden Sie die Antivirenrichtlinie an.

  4. Bestätigen Sie die Konfiguration.

Sie können die Registerkarte KI-PTP auf der Seite Zulassungslisten verwenden, um KI-PTP-Signaturen in den Zulassungslisten hinzuzufügen, zu ersetzen, zusammenzuführen oder zu löschen. Sie können die Dateisignaturen, die als falsch positiv identifiziert wurden, zu den Zulassungslisten hinzufügen. Dieser Prozess schließt die angegebenen Signaturen von der Malware-Prüfung durch die Firewalls der SRX-Serie aus. Weitere Informationen finden Sie unter Erstellen von Zulassungs- und Sperrlisten.

Verwenden Sie den Befehl show services anti-virus signature-exempt-listCLI, um die Liste der Antivirensignaturen anzuzeigen, die den Zulassungslisten der Firewalls der SRX-Serie hinzugefügt wurden.

Um die Zulassungslisten für Dateisignaturen auf den Firewalls der SRX-Serie zu löschen, verwenden Sie den Befehl clear services anti-virus signature-exempt-listCLI .

Sie können auch die folgenden CLI-Befehle auf Ihren Firewalls der SRX-Serie ausführen, um Dateisignaturen hinzuzufügen, zu löschen, zu exportieren und zu importieren:

  • request services anti-virus signature-exempt-list add <signature-id>– Dateisignatur-IDs auf Ihrer Firewall der SRX-Serie hinzufügen. Zum Beispiel request services anti-virus signature-exempt-list add J4660909146742838820.

  • request services anti-virus signature-exempt-list delete <signature-id>– Löschen von Dateisignatur-IDs auf Ihrer Firewall der SRX-Serie. Zum Beispiel request services anti-virus signature-exempt-list delete J4660909146742838820.

  • request services anti-virus signature-exempt-list import <txt-file-with-signature-ids>– Importieren Sie eine TXT-Datei, die Signatur-IDs auf Ihrer Firewall der SRX-Serie enthält. Zum Beispiel request services anti-virus signature-exempt-list import /var/tmp/av-exempt-list.txt.

  • request services anti-virus signature-exempt-list export <txt-file-with-signature-ids>– Exportieren Sie TXT-Dateien, die Signatur-IDs von Ihrer Firewall der SRX-Serie enthalten. Zum Beispiel request services anti-virus signature-exempt-list export /var/tmp/av-exempt-list.txt.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe der show services anti-virus policy av-policy show configuration |display set und-Befehle. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen, um sie zu korrigieren.

Überprüfen Sie die Ergebnisse der Konfiguration:

Verifizierung

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert:

Abrufen von Informationen über die aktuellen Antivirenstatistiken

Zweck

Nachdem ein Teil des Datenverkehrs Ihre Firewall der SRX-Serie passiert hat, überprüfen Sie die Statistik, um zu sehen, wie viele Sitzungen gemäß Ihrem Profil und Ihren Richtlinieneinstellungen zugelassen, blockiert usw. wurden.

Aktion

Geben Sie im Betriebsmodus den show services anti-virus statistics Befehl ein.

Beispielausgabe

show services anti-virus statistics

Bedeutung

Zeigt Statistiken über gescannte, identifizierte, blockierte oder zugelassene Viren an.

Siehe auch