AUF DIESER SEITE
Grundlegendes zur Aktualisierung von Sophos Antivirus-Datendateien
Beispiel: Konfigurieren von benutzerdefinierten Sophos Antivirus-Objekten
Beispiel: Konfigurieren des Funktionsprofils von Sophos Antivirus
Beispiel: Konfigurieren von Sophos Antivirus Content Security-Richtlinien
Beispiel: Konfigurieren der Sicherheitsrichtlinien der Sophos Antivirus Firewall
Beispiel: Sophos Antivirus Live Protection Version 2.0 konfigurieren
Sophos Virenschutz
Der Sophos Antivirus-Scanner verwendet einen lokalen internen Cache, um Abfrageantworten vom externen Listenserver zu verwalten und so die Suchleistung zu verbessern. Das Sophos Antivirus-Scanning wird als weniger rechenintensive Alternative zur vollständigen dateibasierten Antivirus-Funktion angeboten. Weitere Informationen finden Sie in den folgenden Themen:
Sophos Virenschutz – Übersicht
Sophos Antivirus ist eine In-the-Cloud-Antivirus-Lösung. Die Virenmuster- und Malware-Datenbank befindet sich auf externen Servern, die von Sophos-Servern verwaltet werden (Sophos Extensible List), sodass keine großen Musterdatenbanken auf dem Juniper-Gerät heruntergeladen und gepflegt werden müssen. Vor Junos OS Version 23.1R1 nutzte der Sophos Antivirus-Scanner auch einen lokalen internen Cache, um Abfrageantworten vom externen Listenserver zu verwalten und so die Suchleistung zu verbessern.
Da ein erheblicher Teil des von Juniper Content Security verarbeiteten Datenverkehrs HTTP-basiert ist, wird die URI-Prüfung (Uniform Resource Identifier) verwendet, um effektiv zu verhindern, dass schädliche Inhalte den Endpunkt-Client oder -Server erreichen. Für HTTP-Datenverkehr werden die folgenden Überprüfungen durchgeführt: URI-Suche, echte Dateityperkennung und Datei-Prüfsummensuche. Die folgenden Protokolle der Anwendungsschicht werden unterstützt: HTTP, FTP, SMTP, POP3 und IMAP.
Die vollständige dateibasierte Antivirusfunktion wird ab Junos OS Version 15.1X49-D10 und Junos OS Version 17.3R1 nicht mehr unterstützt. In früheren Versionen wurde das Sophos Antivirus-Scannen als weniger rechenintensive Alternative zur vollständigen dateibasierten Antivirenfunktion angeboten. Sophos unterstützt die gleichen Protokolle wie Full Antivirus und funktioniert auf die gleiche Weise. Es hat jedoch einen geringeren Speicherbedarf und ist mit Geräten der unteren Endklasse kompatibel, die über weniger Speicher verfügen.
Ab Junos OS Version 15.1X49-D100 wird IPv6-Passthrough-Datenverkehr für die Protokolle HTTP, HTTPS, FTP, SMTP, POP3 und IMAP für die Sicherheitsfunktionen Sophos Antivirus, Webfilterung und Inhaltsfilterung von Content Security unterstützt.
Ab Junos OS Version 12.3X48-D35 und Junos OS Version 17.3R1 wird der Content Security Sophos Antivirus (SAV) Single-Session-Durchsatz zur Optimierung der TCP-Proxy-Weiterleitung erhöht.
Ab Junos OS Version 19.4R1 unterstützt die Antivirusfunktion implizite und explizite SMTPS-, IMAPS- und POP3S-Protokolle und unterstützt nur explizites FTPS im passiven Modus.
Impliziter Modus: Stellen Sie über einen sicheren Kanal eine Verbindung zu einem SSL/TLS-verschlüsselten Port her.
Expliziter Modus: Stellen Sie zuerst eine Verbindung zu einem ungesicherten Kanal her und sichern Sie dann die Kommunikation, indem Sie den Befehl STARTTLS eingeben. Verwenden Sie für POP3S den STLS-Befehl.
Ab Junos OS Version 23.1R1 unterstützt Content Security das neue Antivirenprogramm Sophos Live Protection Version 2.0. Die neue Version von Sophos Antivirus verwendet eine HTTPS-Verbindung für die Device-to-Server-Kommunikation. Für die HTTPS-Verbindung müssen Sie ein SSL-Initiierungsprofil erstellen und das Profil zur Standardkonfiguration der Sophos-Engine hinzufügen.
Siehe auch
Funktionen von Sophos Antivirus
Sophos Antivirus hat die folgenden Hauptfunktionen:
Sophos antivirus expanded MIME decoding support—Sophos Antivirus bietet Dekodierungsunterstützung für HTTP, POP3, SMTP und IMAP. Die MIME-Decodierungsunterstützung umfasst für jedes unterstützte Protokoll Folgendes:
Mehrteilige und verschachtelte Header-Decodierung
Base64-Dekodierung, Dekodierung gedruckter Anführungszeichen und Dekodierung von kodierten Wörtern im Betrefffeld
Sophos antivirus supports HTTPS traffic—Ab Junos OS Version 12.3X48-D25 und Junos OS Version 17.3R1 unterstützt Sophos Antivirus over SSL Forward Proxy HTTPS-Datenverkehr. Sophos Antivirus over SSL Forward Proxy fängt dazu den HTTPS-Datenverkehr ab, der durch die Firewall der SRX-Serie geleitet wird. Der Sicherheitskanal der Firewall der SRX-Serie ist unterteilt in einen SSL-Kanal zwischen dem Client und der Firewall der SRX-Serie und einen weiteren SSL-Kanal zwischen der Firewall der SRX-Serie und dem HTTPS-Server. Der SSL-Forward-Proxy fungiert als Terminal für beide Kanäle und leitet den Klartext-Datenverkehr an Content Security weiter. Content Security extrahiert die URL- und Dateiprüfsummeninformationen aus dem Klartext-Datenverkehr. Der Sophos Virenscanner entscheidet, ob die Anfragen blockiert oder zugelassen werden.
Der SSL-Forward-Proxy unterstützt keine Clientauthentifizierung. Wenn der Server eine Clientauthentifizierung erfordert, umgeht Content Security den Datenverkehr. Content Security umgeht den HTTPS-Datenverkehr unter den folgenden Bedingungen:
Wenn der SSL-Proxy das erste Handshake-Paket vom Client nicht analysiert, umgeht der SSL-Forward-Proxy den Datenverkehr.
Wenn der SSL-Proxy-Handshake mit dem Client und dem Server aufgrund von Kompatibilitätsproblemen unvollständig ist, wird die Verbindung unterbrochen.
Wenn die Systemressource niedrig ist, kann der SSL-Forward-Proxy die neue Verbindung nicht verarbeiten und Sophos Antivirus umgeht den Datenverkehr.
Wenn HTTPS-Datenverkehr auf die Zulassungsliste des SSL-Forward-Proxys trifft, umgehen SSL Forward-Proxy und Sophos Antivirus den Datenverkehr.
Sophos antivirus scan result handling—Mit Sophos Antivirus, dem TCP, wird der Datenverkehr ordnungsgemäß geschlossen, wenn ein Virus gefunden wird, und der Dateninhalt wird verworfen.
Die folgenden Optionen für den Fehlermodus werden unterstützt: content-size, default, engine-not-ready, out-of-resource, timeout und too-many-requests. Sie können die folgenden Aktionen festlegen: Blockieren, Protokollieren und Zulassen und Zulassen. Die Handhabung der unterstützten Optionen im Fail-Modus mit Sophos ist ähnlich wie bei vollständigem Virenschutz.
Sophos Uniform Resource Identifier checking—Sophos bietet eine URI-Prüfung (Uniform Resource Identifier), die der Antispam-Echtzeit-RBL-Suche (NULL Route List) ähnelt. Die URI-Prüfung ist eine Möglichkeit, URI-Inhalte im HTTP-Datenverkehr mit der Sophos-Datenbank abzugleichen, um Malware oder bösartige Inhalte zu identifizieren. Da Malware überwiegend statisch ist, wird ein Prüfsummenmechanismus verwendet, um Malware zu identifizieren und so die Leistung zu verbessern. Zu den Dateien, die eine Prüfsumme verwenden können, gehören .exe, .zip, .rar, .swf, .pdf und .ole2 (doc und xls).
Wenn Sie ein Gerät von Juniper Networks haben, das ein internes Netzwerk schützt, das keinen HTTP-Datenverkehr aufweist oder über Webserver verfügt, die für die Außenwelt nicht zugänglich sind, sollten Sie die URI-Prüfung deaktivieren. Wenn die Webserver für die Außenwelt nicht zugänglich sind, ist es unwahrscheinlich, dass sie URI-Informationen enthalten, die sich in der Sophos URI-Datenbank befinden. Die URI-Prüfung ist standardmäßig aktiviert.
Ab Junos OS Version 18.4R1 ist die URI-Prüfung standardmäßig deaktiviert.
Siehe auch
Grundlegendes zur Aktualisierung von Sophos Antivirus-Datendateien
Sophos Antivirus verwendet eine kleine Gruppe von Datendateien, die regelmäßig aktualisiert werden müssen. Diese Datendateien enthalten nur Informationen zur leitenden Scanlogik und nicht die vollständige Musterdatenbank. Die Hauptmusterdatenbank, die Schutz vor kritischen Viren, URI-Prüfungen, Malware, Würmern, Trojanern und Spyware bietet, befindet sich auf Remote-Servern der Sophos Extensible List, die von Sophos verwaltet werden.
Die Sophos-Datendateien werden über HTTP oder HTTPS aktualisiert und können manuell aktualisiert oder für die automatische Aktualisierung geplant werden. Mit Sophos Antivirus:
Das Intervall für die automatische Aktualisierung der Signaturdatenbank beträgt standardmäßig einmal täglich. Dieses Intervall kann geändert werden.
Während der Aktualisierung der Datendatei gibt es keine Unterbrechung der Virenscanfunktion. Wenn das Update fehlschlägt, werden die vorhandenen Datendateien weiterhin verwendet.
Standardmäßig lautet die URL für die Aktualisierung der Sophos Antivirus-Datendatei http://update.juniper-updates.net/SAV/.
Die Antivirus-Scan-Funktion von Sophos ist ein separat lizenzierter Abonnementdienst. Wenn Ihr Antiviren-Lizenzschlüssel abläuft, funktioniert die Funktionalität nicht mehr, da sich die Pattern-Lookup-Datenbank auf Remote-Sophos-Servern befindet. Sie haben eine Nachfrist von 30 Tagen, um Ihre Lizenz zu aktualisieren.
Siehe auch
Vergleich von Sophos Antivirus mit Kaspersky Antivirus
Die Funktion Kaspersky und Express Antivirus wird ab Junos OS Version 15.1x49-D10 und Junos OS Version 17.3R1 nicht mehr unterstützt. In früheren Versionen ähnelt Sophos Antivirus Juniper Express Antivirus und weist auch Ähnlichkeiten mit der vollständigen Antivirus-Funktion auf:
Im Gegensatz zu den Juniper Express- und Full Antivirus-Lösungen wird die Antiviren- und Malware-Datenbank für Sophos auf einer Gruppe von Remote-Sophos Extensible List-Servern gespeichert. Abfragen werden über das DNS-Protokoll durchgeführt. Sophos verwaltet diese Server, sodass es nicht erforderlich ist, große Musterdatenbanken auf das Juniper-Gerät herunterzuladen und zu pflegen. Weil die Datenbank remote ist und es eine schnellere Reaktion auf neue Virenausbrüche gibt. Die Antivirus-Datenbank hat keine Größenbeschränkung, aber es gibt eine Beschränkung bei der Größe der Scandatei.
Anmerkung:Sophos Antivirus verwendet eine Reihe von Datendateien, die regelmäßig aktualisiert werden müssen. Dabei handelt es sich nicht um typische Virenmusterdateien. Dabei handelt es sich um eine Reihe kleiner Dateien, die bei der Steuerung der Virenscanlogik helfen. Sie können die Datendateien manuell herunterladen oder den automatischen Download einrichten.
Sophos bietet nicht die gleiche Vorabprüfung wie Kaspersky Antivirus. Sophos bietet eine ähnliche Lösung, die Teil der Sophos-Engine ist und nicht ein- und ausgeschaltet werden kann.
Die Antivirus-Scan-Funktion von Sophos ist ein separat lizenzierter Abonnementdienst. Außerdem befindet sich die Pattern-Lookup-Datenbank auf Remote-Servern, die von Sophos verwaltet werden, sodass die Funktionalität nach Ablauf Ihres Antiviren-Lizenzschlüssels nicht mehr funktioniert. Sie haben eine Nachfrist von 30 Tagen, um Ihre Lizenz zu aktualisieren.
Siehe auch
Sophos Antivirus-Konfiguration – Übersicht
Sophos Antivirus ist Teil des Content Security-Funktionsumfangs, d. h. Sie konfigurieren zuerst Content Security-Optionen (benutzerdefinierte Objekte), konfigurieren das Sophos Feature und erstellen dann eine Content Security-Richtlinie und eine Sicherheitsrichtlinie. Die Sicherheitsrichtlinie steuert den gesamten Datenverkehr, der vom Gerät weitergeleitet wird, und die Inhaltssicherheitsrichtlinie gibt an, welche Parameter zum Scannen des Datenverkehrs verwendet werden sollen. Die Content Security-Richtlinie wird auch verwendet, um eine Reihe von Protokollen an ein oder mehrere Content Security-Funktionsprofile zu binden, in diesem Fall einschließlich Sophos Antivirus.
Um Sophos Antivirus zu konfigurieren, müssen Sie die folgenden Schritte ausführen:
- Konfigurieren Sie benutzerdefinierte Content Security-Objekte und MIME-Listen. Siehe Beispiel: Konfigurieren von benutzerdefinierten Sophos Antivirus-Objekten,
- Konfigurieren Sie das Funktionsprofil Sophos Antivirus. Siehe Beispiel: Konfigurieren des Funktionsprofils von Sophos Antivirus.
- Konfigurieren Sie eine Content Security-Richtlinie. Siehe Beispiel: Konfigurieren von Sophos Antivirus Content Security-Richtlinien
- Konfigurieren Sie eine Sicherheitsrichtlinie. Siehe Beispiel: Konfigurieren von Sophos Antivirus Firewall-Sicherheitsrichtlinien.
Informationen zur Konfiguration von Sophos Antivirus Live Protection Version 2.0 finden Sie unter Beispiel: Konfigurieren von Sophos Antivirus Live Protection Version 2.0.
Informationen zum Konfigurieren von Sophos Antivirus over SSL Forward Proxy zur Unterstützung von HTTPS-Datenverkehr finden Sie unter Konfigurieren des SSL-Proxys mit Content Security.
Beispiel: Konfigurieren von benutzerdefinierten Sophos Antivirus-Objekten
In diesem Beispiel erfahren Sie, wie Sie globale benutzerdefinierte Content Security-Objekte erstellen, die mit Sophos Antivirus verwendet werden sollen.
Anforderungen
Bevor Sie beginnen, lesen Sie mehr über benutzerdefinierte Content Security-Objekte. Weitere Informationen finden Sie unter Inhaltssicherheit – Übersicht.
Überblick
Konfigurieren Sie MIME-Listen. Dazu gehört das Erstellen einer MIME-Zulassungsliste und einer MIME-Ausnahmeliste für Antivirenscans. In diesem Beispiel umgehen Sie das Scannen von QuickTime-Videos, es sei denn, sie enthalten den MIME-Typ quicktime-inappropriate.
Konfiguration
Verfahren
GUI-Schnellkonfiguration
Schritt-für-Schritt-Anleitung
So konfigurieren Sie eine MIME-Liste:
Klicken Sie in der Taskleiste auf die Registerkarte Konfigurieren , und wählen Sie dann Sicherheit>UTM>Benutzerdefinierte Objekte aus.
Klicken Sie auf die Registerkarte MIME-Musterliste , und klicken Sie dann auf Hinzufügen.
Geben Sie im Feld MIME-Mustername avmime2 ein.
Geben Sie im Feld MIME-Musterwert video/quicktime ein, und klicken Sie auf Hinzufügen.
Geben Sie im Feld MIME-Musterwert image/x-portable-anympa ein, und klicken Sie auf Hinzufügen.
Geben Sie im Feld MIME-Musterwert x-world/x-vrml ein, und klicken Sie auf Hinzufügen.
Schritt-für-Schritt-Anleitung
So konfigurieren Sie eine MIME-Ausnahmeliste:
Klicken Sie in der Taskleiste auf die Registerkarte Konfigurieren , und wählen Sie dann Sicherheit>UTM>Benutzerdefinierte Objekte aus.
Klicken Sie auf die Registerkarte MIME-Musterliste , und wählen Sie dann Hinzufügen aus.
Geben Sie im Feld MIME-Mustername exception-avmime2 ein.
Geben Sie im Feld MIME-Musterwert video /quicktime-inappropriate ein, und klicken Sie auf Hinzufügen.
Schritt-für-Schritt-Anleitung
Konfigurieren Sie eine URL-Musterliste (Zulassungsliste) von URLs oder Adressen, die von der Antivirenüberprüfung umgangen werden. Nachdem Sie die URL-Musterliste erstellt haben, erstellen Sie eine benutzerdefinierte URL-Kategorieliste und fügen ihr die Musterliste hinzu.
Da Sie URL-Musterlisten verwenden, um benutzerdefinierte URL-Kategorielisten zu erstellen, müssen Sie benutzerdefinierte URL-Musterlistenobjekte konfigurieren, bevor Sie benutzerdefinierte URL-Kategorielisten konfigurieren.
So konfigurieren Sie eine Zulassungsliste für URL-Muster:
Klicken Sie in der Taskleiste auf die Registerkarte Konfigurieren , und wählen Sie dann Sicherheit>UTM>Benutzerdefinierte Objekte aus.
Klicken Sie auf die Registerkarte URL-Musterliste , und klicken Sie dann auf Hinzufügen.
Geben Sie im Feld URL-Mustername urlist2 ein.
Geben Sie im Feld URL-Musterwert http://example.net ein. (Sie können auch die IP-Adresse des Servers anstelle der URL verwenden.)
Schritt-für-Schritt-Anleitung
Speichern Sie Ihre Konfiguration:
Klicken Sie auf OK , um Ihre Konfiguration zu überprüfen und als Kandidatenkonfiguration zu speichern.
Wenn Sie mit der Konfiguration des Geräts fertig sind, klicken Sie auf Aktionen>Commit.
Unterstützung von URL-Muster-Platzhaltern: Die Platzhalterregel lautet wie folgt: \*\.[] \?* und Sie müssen allen Platzhalter-URLs http:// voranstellen. Sie können "*" nur verwenden, wenn es am Anfang der URL steht und von einem "." gefolgt wird. Sie können nur "?" am Ende der URL verwenden.
Die folgende Platzhaltersyntax wird unterstützt: http://*. example.net, http://www.example.ne?, http://www.example.n??. Die folgende Platzhaltersyntax wird nicht unterstützt: *.example.net , www.example.ne?, http://*example.net, http://*.
Schritt-für-Schritt-Anleitung
Um den Virenschutz mithilfe der CLI zu konfigurieren, müssen Sie Ihre benutzerdefinierten Objekte in der folgenden Reihenfolge erstellen:
Erstellen Sie die MIME-Zulassungsliste.
[edit security utm] user@host# set custom-objects mime-pattern avmime2 value [video/quicktime image/x-portable-anymap x-world/x-vrml]
Erstellen Sie die MIME-Ausnahmeliste.
[edit security utm] user@host# set custom-objects mime-pattern exception-avmime2 value [video/quicktime-inappropriate]
Konfigurieren Sie eine URL-Musterliste (Zulassungsliste) mit URLs oder Adressen, die Sie umgehen möchten. Nachdem Sie die URL-Musterliste erstellt haben, erstellen Sie eine benutzerdefinierte URL-Kategorieliste und fügen ihr die Musterliste hinzu. Konfigurieren Sie ein benutzerdefiniertes URL-Musterlistenobjekt, indem Sie den Listennamen erstellen und ihm wie folgt Werte hinzufügen. Wenn Sie URL-Musterlisten verwenden, um benutzerdefinierte URL-Kategorielisten zu erstellen, müssen Sie benutzerdefinierte URL-Musterlistenobjekte konfigurieren, bevor Sie benutzerdefinierte URL-Kategorielisten konfigurieren.
[edit security utm] user@host# set custom-objects url-pattern urllist2 value [http://www. example.net 192.168.1.5]
Anmerkung:Unterstützung von URL-Muster-Platzhaltern: Die Platzhalterregel lautet wie folgt: \*\.[] \?* und Sie müssen allen Platzhalter-URLs http:// voranstellen. Sie können "*" nur verwenden, wenn es am Anfang der URL steht und von einem "." gefolgt wird. Sie können nur "?" am Ende der URL verwenden.
Die folgende Platzhaltersyntax wird unterstützt: http://*. example.net, http://www.example.ne?, http://www.example.n??. Die folgende Platzhaltersyntax wird nicht unterstützt: *.example.net , www.example.ne?, http://*example.net, http://*.
Konfigurieren Sie ein benutzerdefiniertes Objekt für die URL-Kategorieliste, indem Sie die zuvor erstellte URL-Musterliste urllist2 verwenden:
[edit security utm] user@host# set custom-objects custom-url-category custurl2 value urllist2
Verifizierung
Überprüfen der Konfiguration von benutzerdefinierten Objekten von Sophos Antivirus
Zweck
Geben Sie den show security utm custom-objects Befehl ein, um die Konfiguration der benutzerdefinierten Objekte von Sophos Antivirus zu überprüfen.
Aktion
Geben Sie im Betriebsmodus den show security utm custom-objects Befehl ein, um die Konfiguration der benutzerdefinierten Objekte von Sophos Antivirus zu überprüfen.
Beispiel: Konfigurieren des Funktionsprofils von Sophos Antivirus
In diesem Beispiel erfahren Sie, wie Sie ein Sophos Antivirus-Profil konfigurieren, das die Parameter definiert, die für die Virenprüfung verwendet werden.
Anforderungen
Bevor Sie beginnen:
Installieren Sie eine Sophos Antivirus-Lizenz. Weitere Informationen finden Sie im Installations- und Upgrade-Handbuch.
Konfigurieren Sie benutzerdefinierte Objekte für Content Security. Siehe Beispiel: Konfigurieren von benutzerdefinierten Sophos Antivirus-Objekten.
Überblick
Die folgende Konfiguration definiert Sophos als Antivirus-Engine und legt Parameter wie das Aktualisierungsintervall für Datendateien, Benachrichtigungsoptionen für Administratoren, Fallback-Optionen und Dateigrößenbeschränkungen fest.
Die [edit security utm feature-profile] Hierarchieebene ist in Junos OS Version 18.2R1 veraltet. Weitere Informationen finden Sie unter Content Security – Übersicht.
Konfiguration
Verfahren
GUI-Schnellkonfiguration
Schritt-für-Schritt-Anleitung
Das folgende Beispiel zeigt Ihnen, wie Sie ein benutzerdefiniertes Sophos-Profil erstellen. Wenn Sie das vorkonfigurierte Profil von Juniper Networks verwenden möchten, verwenden Sie das Profil mit dem Namen junos-sophos-av-defaults in Ihrer Content Security-Richtlinie. Siehe Beispiel: Konfigurieren von Sophos Antivirus Content Security-Richtlinien.
Wählen und konfigurieren Sie den Motortyp. Da Sie Sophos Antivirus konfigurieren, konfigurieren Sie sophos-engine:
Schritt-für-Schritt-Anleitung
Klicken Sie in der Taskleiste auf die Registerkarte Konfigurieren , und wählen Sie dann Sicherheit>UTM>Anti-Virus aus.
Klicken Sie auf die Registerkarte "Globale Optionen " und dann auf "Sophos".
Klicken Sie auf OK , und bestätigen Sie Ihre Änderungen.
Kehren Sie wie in Schritt 1 zum Bildschirm "Globale Optionen" des Antivirenprogramms zurück, und legen Sie die folgenden Parameter fest:
Schritt-für-Schritt-Anleitung
Wählen Sie in der Liste der MIME-Zulassungsliste die Option exception-avmime2 aus.
Wählen Sie in der Liste URL-Zulassungsliste die Option custurl2 aus.
Geben Sie im Feld Musteraktualisierungsintervall (Sek.) den Wert 2880 ein.
Geben Sie in das Feld die E-Mail-Adresse ein, an die SophosAdmin-Benachrichtigungen zur Aktualisierung der Datendatei per E-Mail gesendet werden soll. Zum Beispiel - admin@ example.net.
Geben Sie im Feld Benutzerdefinierter Nachrichtenbetreff Sophos Data File Updated ein.
Klicken Sie auf OK , um Ihre Konfiguration zu überprüfen und als Kandidatenkonfiguration zu speichern.
Konfigurieren Sie ein Profil für die Sophos-Engine und legen Sie die Parameter fest.
Schritt-für-Schritt-Anleitung
Klicken Sie in der Taskleiste auf die Registerkarte Konfigurieren und wählen Sie dann Sicherheit>UTM>Anti-Virus aus. Klicken Sie auf Hinzufügen.
Klicken Sie im Feld Profil hinzufügen auf die Registerkarte Haupteinstellungen .
Geben Sie im Feld Profilname sophos-prof1 ein.
Geben Sie im Feld Trickling-Timeout den Wert 180 ein.
Wenn Sie die Trickling-Option aktivieren, ist es wichtig zu verstehen, dass Trickling während des Antivirenscans einen Teil der Datei an den Client senden kann. Es ist möglich, dass ein Teil des Inhalts vom Client empfangen wird und der Client infiziert wird, bevor die Datei vollständig gescannt wurde.
Die URI-Prüfung ist standardmäßig aktiviert. Um es zu deaktivieren, deaktivieren Sie das Kontrollkästchen Ja im URI-Kontrollkästchen.
Geben Sie im Feld Beschränkung der Inhaltsgröße den Wert 20000 ein.
Geben Sie im Feld Zeitüberschreitung des Scanmoduls den Wert 1800 ein.
Konfigurieren Sie die Fallback-Einstellungen, indem Sie auf die Registerkarte Fallback-Einstellungen klicken. In diesem Beispiel sind alle Fallback-Optionen auf "Protokoll" und "Zulassen" festgelegt. Klicken Sie für die folgenden Elemente auf Protokollieren und zulassen : Standardaktion, Inhaltsgröße, Engine nicht bereit, Zeitüberschreitung, Keine Ressourcen mehr, Zu viele Anforderungen.
Konfigurieren Sie die Benachrichtigungsoptionen, indem Sie auf die Registerkarte Benachrichtigungsoptionen klicken. Sie können Benachrichtigungen sowohl für Fallback-Blockierungs- und Fallback-Nichtblockierungsaktionen als auch für die Virenerkennung konfigurieren.
Schritt-für-Schritt-Anleitung
So konfigurieren Sie Benachrichtigungen für Fallback-Einstellungen:
Klicken Sie für Benachrichtigungstyp auf Protokoll.
Klicken Sie für E-Mail-Absender benachrichtigen auf Ja.
Geben Sie im Feld Benutzerdefinierte Meldung den Text Fallback-Blockaktion aufgetreten ein.
Geben Sie im Feld Benutzerdefinierter Nachrichtenbetreff den Text Antivirus-Fallbackwarnung*** ein.
Um die Benachrichtigungsoptionen für die Virenerkennung zu konfigurieren, klicken Sie auf die Registerkarte Benachrichtigungsoptionen weiter.
Schritt-für-Schritt-Anleitung
Wählen Sie für das Optionsfeld Benachrichtigungstyp die Option Protokoll aus.
Wählen Sie für die Optionsschaltfläche E-Mail-Absender benachrichtigen die Option Ja aus.
Geben Sie im Feld Benutzerdefinierte Meldung den Text Virus wurde erkannt ein.
Geben Sie im Feld Benutzerdefinierter Nachrichtenbetreff den Text Virus detected *** ein.
Klicken Sie auf OK , um Ihre Konfiguration zu überprüfen und als Kandidatenkonfiguration zu speichern.
Wenn Sie mit der Konfiguration des Geräts fertig sind, klicken Sie auf Aktionen>Commit.
Schritt-für-Schritt-Anleitung
So konfigurieren Sie das Sophos Antivirus-Funktionsprofil mithilfe der CLI:
Das folgende Beispiel zeigt Ihnen, wie Sie ein benutzerdefiniertes Sophos-Profil erstellen. Wenn Sie das vorkonfigurierte Profil von Juniper Networks verwenden möchten, verwenden Sie das Profil mit dem Namen junos-sophos-av-defaults in Ihrer Content Security-Richtlinie. Siehe Beispiel: Konfigurieren von Sophos Antivirus Content Security-Richtlinien.
Wählen und konfigurieren Sie den Motortyp. Da Sie Sophos Antivirus konfigurieren, konfigurieren Sie auch sophos-engine.
[edit] user@host# set security utm default-configuration anti-virus type sophos-engine
Bestätigen Sie die Konfiguration.
Wählen Sie ein Zeitintervall für die Aktualisierung der Datendateien aus. Das standardmäßige Intervall für die Aktualisierung von Antivirusmustern beträgt 1440 Minuten (alle 24 Stunden). Sie können diese Standardeinstellung beibehalten oder ändern. Sie können bei Bedarf auch ein manuelles Update erzwingen. So ändern Sie die Standardeinstellung von alle 24 Stunden auf alle 48 Stunden:
[edit security utm default-configuration anti-virus] user@host# set sophos-engine pattern-update interval 2880
Konfigurieren Sie das Netzwerkgerät mit den Proxy-Server-Details, um die Musteraktualisierung von einem Remote-Server herunterzuladen:
[edit security utm default-configuration anti-virus] user@host# set sophos-engine pattern-update proxy
In den meisten Fällen müssen Sie die URL nicht ändern, um die Musterdatenbank zu aktualisieren. Wenn Sie diese Option ändern müssen, verwenden Sie den folgenden Befehl:
[edit security utm default-configuration anti-virus] user@host# set sophos-engine pattern-update url http://www.example.net/test-download
Sie können das Gerät so konfigurieren, dass ein bestimmter Administrator benachrichtigt wird, wenn Datendateien aktualisiert werden. Hierbei handelt es sich um eine E-Mail-Benachrichtigung mit einer benutzerdefinierten Nachricht und einer benutzerdefinierten Betreffzeile.
[edit security utm default-configuration anti-virus] user@host# set sophos-engine pattern-update email-notify admin-email admin@example.net custom-message “Sophos antivirus data file was updated” custom-message-subject “AV data file updated”
Konfigurieren Sie eine Liste von Fallback-Optionen wie "Blockieren", "Protokollieren" und "Zulassen" oder "Zulassen". Die Standardeinstellung ist log-and-permit. Sie können die Standardeinstellungen verwenden oder ändern.
Konfigurieren Sie die Aktion für die Inhaltsgröße. Wenn in diesem Beispiel die Inhaltsgröße überschritten wird, wird die Aktion blockiert.
Erstellen Sie zunächst das Profil mit dem Namen sophos-prof1.
[edit security utm feature-profile anti-virus] user@host# set profile sophos-prof1
Konfigurieren Sie die Fallback-Option für die Inhaltsgröße, die blockiert werden soll.
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set fallback-options content-size block
Konfigurieren Sie die standardmäßige Fallbackoption auf log-and-permit.
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set fallback-options default log-and-permit
Konfigurieren Sie log-and-permit, wenn das Antivirenmodul nicht bereit ist.
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set fallback-options engine-not-ready log-and-permit
Konfigurieren Sie Log-and-Permit, wenn dem Gerät die Ressourcen ausgehen.
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set fallback-options out-of-resources log-and-permit
Konfigurieren Sie Log-and-Permit, wenn eine Zeitüberschreitung bei der Virenscan auftritt.
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set fallback-options timeout log-and-permit
Konfigurieren Sie log-and-permit, wenn es zu viele Anforderungen gibt, die von der Viren-Engine verarbeitet werden können.
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set fallback-options too-many-requests log-and-permit
Konfigurieren Sie die Benachrichtigungsoptionen. Sie können Benachrichtigungen für Fallback-Blockierung, Fallback-Aktionen ohne Blockierung und Virenerkennung konfigurieren.
Konfigurieren Sie in diesem Schritt eine benutzerdefinierte Nachricht für die Fallbackblockierungsaktion und senden Sie eine Benachrichtigung für reine Protokollaktionen an den Administrator und den Absender.
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set notification-options fallback-block custom-message ***Fallback block action occurred*** custom-message-subject Antivirus Fallback Alert notify-mail-sender type protocol-only allow email administrator-email admin@example.net
Konfigurieren Sie eine Benachrichtigung für die reine Protokoll-Virenerkennung, und senden Sie eine Benachrichtigung.
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host#set notification-options virus-detection type protocol-only notify-mail-sender custom-message-subject ***Virus detected*** custom-message Virus has been detected
Konfigurieren Sie die Parameter für die Inhaltsgröße.
Beachten Sie beim Konfigurieren des content-size-Werts, dass in bestimmten Fällen die Inhaltsgröße in den Protokollheadern verfügbar ist, sodass der Fallback max-content-size angewendet wird, bevor eine Scananforderung gesendet wird. In vielen Fällen wird die Inhaltsgröße jedoch nicht in den Protokollheadern angegeben. In diesen Fällen wird die TCP-Nutzlast an den Antivirenscanner gesendet und sammelt sich bis zum Ende der Nutzlast an. Wenn die kumulierte Nutzlast den Wert für die maximale Inhaltsgröße überschreitet, wird das Fallback max-content-size angewendet. Die standardmäßige Fallback-Aktion ist log and permit, daher sollten Sie diese Option in blockieren ändern, in diesem Fall wird ein solches Paket verworfen und eine Blockierungsnachricht an den Client gesendet.
Wenn in diesem Beispiel die Inhaltsgröße 20 MB überschreitet, wird das Paket verworfen.
[edit security utm default-configuration anti-virus] user@host# set scan-options content-size-limit 20000
Die URI-Prüfung ist standardmäßig aktiviert. So deaktivieren Sie die URI-Überprüfung:
[edit security utm default-configuration anti-virus] user@host# set scan-options no-uri-check
Konfigurieren Sie die Timeout-Einstellung für den Scanvorgang auf 1800 Sekunden.
[edit security utm default-configuration anti-virus] user@host# set scan-options timeout 1800
Die Sophos Extensible List-Server enthalten die Viren- und Malware-Datenbank für Scanvorgänge. Legen Sie das Antwort-Timeout für diese Server auf 3 Sekunden fest (der Standardwert ist 2 Sekunden).
[edit security utm default-configuration anti-virus] user@host# set scan-options sxl-timeout 3
Konfigurieren Sie die Wiederholungsoption für den Sophos Extensible List-Server auf 2 Wiederholungen (der Standardwert ist 1).
[edit security utm default-configuration anti-virus] user@host# set scan-options sxl-retry 2
Konfigurieren Sie die Tröpfcheneinstellung auf 180 Sekunden. Wenn Sie Trickling verwenden, können Sie auch Timeout-Parameter festlegen. Trickling gilt nur für HTTP. HTTP-Trickling ist ein Mechanismus, der verhindert, dass der HTTP-Client oder -Server während einer Dateiübertragung oder während eines Antivirenscans eine Zeitüberschreitung aufweist.
Wenn Sie die Trickling-Option aktivieren, denken Sie daran, dass Trickling während des Antivirenscans einen Teil einer Datei an den Client senden kann. Es ist daher möglich, dass ein Teil des Inhalts vom Client empfangen wird, bevor die Datei vollständig gescannt wurde.
[edit security utm default-configuration anti-virus] user@host# set trickling timeout 180
Konfigurieren Sie das Antivirenmodul für die Verwendung von MIME-Umgehungslisten und Ausnahmelisten. Sie können Ihre eigenen benutzerdefinierten Objektlisten oder die im Lieferumfang des Geräts enthaltene Standardliste mit dem Namen junos-default-bypass-mime verwenden. In diesem Beispiel verwenden Sie die Listen, die Sie zuvor eingerichtet haben.
[edit security utm default-configuration anti-virus] user@host# set mime-whitelist list avmime2 [edit security utm feature-profile anti-virus] user@host# set mime-whitelist list exception-avmime2
Konfigurieren Sie das Antivirus-Modul für die Verwendung von URL-Bypass-Listen. Wenn Sie eine URL-Zulassungsliste verwenden, handelt es sich um eine benutzerdefinierte URL-Kategorie, die Sie zuvor als benutzerdefiniertes Objekt konfiguriert haben. URL-Zulassungslisten sind nur für HTTP-Datenverkehr gültig. In diesem Beispiel verwenden Sie die Listen, die Sie zuvor eingerichtet haben.
[edit security utm default-configuration anti-virus] user@host# set url-whitelist custurl2
Verifizierung
Abrufen von Informationen über den aktuellen Antivirus-Status
Zweck
Aktion
Geben Sie im Betriebsmodus den show security utm anti-virus status Befehl ein, um den Antivirenstatus anzuzeigen.
user@host>show security utm anti-virus status
Bedeutung
Ablaufdatum des Antivirenschlüssels: Das Ablaufdatum des Lizenzschlüssels.
Update-Server: URL für den Datendatei-Update-Server.
Intervall: Der Zeitraum in Minuten, in dem das Gerät die Datendatei vom Aktualisierungsserver aktualisiert.
Status der Musteraktualisierung: Wann die Datendatei das nächste Mal aktualisiert wird, wird in Minuten angezeigt.
Letztes Ergebnis: Ergebnis der letzten Aktualisierung. Wenn Sie bereits über die neueste Version verfügen, wird
already have latest databaseangezeigt.
Antivirus-Signaturversion: Version der aktuellen Datendatei.
Scan-Engine-Typ: Der Antivirus-Engine-Typ, der derzeit ausgeführt wird.
Scanmodulinformationen: Ergebnis der letzten Aktion, die mit dem aktuellen Scanmodul ausgeführt wurde.
Beispiel: Konfigurieren von Sophos Antivirus Content Security-Richtlinien
Dieses Beispiel zeigt, wie Sie eine Content Security-Richtlinie für Sophos Antivirus erstellen.
Anforderungen
Bevor Sie die Content Security-Richtlinie erstellen, erstellen Sie benutzerdefinierte Objekte und das Sophos Feature-Profil.
-
Konfigurieren Sie benutzerdefinierte Content Security-Objekte und MIME-Listen. Siehe Beispiel: Konfigurieren von benutzerdefinierten Sophos Antivirus-Objekten.
Konfigurieren Sie das Funktionsprofil Sophos Antivirus. Siehe Beispiel: Konfigurieren des Funktionsprofils von Sophos Antivirus.
Überblick
Nachdem Sie ein Antivirus-Featureprofil erstellt haben, konfigurieren Sie eine Content Security-Richtlinie für ein Antivirus-Scanprotokoll und fügen diese Richtlinie einem Featureprofil hinzu. In diesem Beispiel wird HTTP auf Viren gescannt, wie in der http-profile Anweisung angegeben. Sie können auch andere Protokolle scannen, indem Sie verschiedene Profile erstellen oder dem Profil andere Protokolle hinzufügen, z. B.: imap-profile, pop3-profile und smtp-profile.
Konfiguration
Verfahren
GUI-Schnellkonfiguration
Schritt-für-Schritt-Anleitung
So konfigurieren Sie eine Content Security-Richtlinie für Sophos Antivirus:
Klicken Sie in der Taskleiste auf die Registerkarte Konfigurieren , und wählen Sie dann Sicherheits>Richtlinien>UTM-Richtlinien aus. Klicken Sie dann auf Hinzufügen.
Klicken Sie auf die Registerkarte Haupteinstellungen . Geben Sie im Feld Richtlinienname utmp3 ein.
Klicken Sie auf die Registerkarte Anti-Virus-Profile . Wählen Sie in der Liste HTTP-Profil die Option sophos-prof1 aus.
Klicken Sie auf OK , um Ihre Konfiguration zu überprüfen und als Kandidatenkonfiguration zu speichern.
Wenn Sie mit der Konfiguration des Geräts fertig sind, wählen Sie Aktionen>Commit aus.
Schritt-für-Schritt-Anleitung
So konfigurieren Sie eine Content Security-Richtlinie für Sophos Antivirus:
-
Wechseln Sie zur Hierarchie der Inhaltssicherheit für die Bearbeitungssicherheit.
[edit] user@host# edit security utm
-
Erstellen Sie die Content Security-Richtlinie utmp3 und hängen Sie sie an das http-Profil sophos-prof1 an. Sie können die Standardeinstellungen des Sophos-Funktionsprofils verwenden, indem Sie sophos-prof1 in der obigen Anweisung durch junos-sophos-av-defaults ersetzen.
[edit security utm] user@host# set utm-policy utmp3 anti-virus http-profile sophos-prof1
Beispiel: Konfigurieren der Sicherheitsrichtlinien der Sophos Antivirus Firewall
Dieses Beispiel zeigt, wie Sie eine Sicherheitsrichtlinie für Sophos Antivirus erstellen.
Anforderungen
Bevor Sie die Sicherheitsrichtlinie erstellen, erstellen Sie benutzerdefinierte Objekte, das Sophos Funktionsprofil und die Content Security-Richtlinie.
-
Konfigurieren Sie benutzerdefinierte Content Security-Objekte und MIME-Listen. Siehe Beispiel: Konfigurieren von benutzerdefinierten Sophos Antivirus-Objekten.
Konfigurieren Sie das Funktionsprofil Sophos Antivirus. Siehe Beispiel: Konfigurieren des Funktionsprofils von Sophos Antivirus.
-
Konfigurieren Sie eine Content Security-Richtlinie. Siehe Beispiel: Konfigurieren von Sophos Antivirus Content Security-Richtlinien.
Überblick
Erstellen Sie eine Firewall-Sicherheitsrichtlinie, die bewirkt, dass der Datenverkehr von der nicht vertrauenswürdigen Zone zur vertrauenswürdigen Zone von Sophos Antivirus gescannt wird, indem Sie die in Beispiel: Konfigurieren des Sophos Antivirus-Funktionsprofils definierten Funktionsprofileinstellungen verwenden. Da die entsprechende Anwendungskonfiguration auf "Beliebig" festgelegt ist, werden alle Anwendungstypen gescannt.
Konfiguration
Verfahren
GUI-Schnellkonfiguration
Schritt-für-Schritt-Anleitung
So konfigurieren Sie eine Sicherheitsrichtlinie für Sophos Antivirus:
Konfigurieren Sie die Richtlinie "Nicht vertrauenswürdig für Vertrauen" so, dass sie mit einer beliebigen Quell- oder Zieladresse übereinstimmt, und wählen Sie die Anwendungen aus, auf
anydie gescannt werden soll.Schritt-für-Schritt-Anleitung
Klicken Sie in der Taskleiste auf die Registerkarte Konfigurieren , und wählen Sie dann Sicherheits>Richtlinien>FW-Richtlinien aus. Wählen Sie dann Hinzufügen aus.
Geben Sie im Feld Richtlinienname den Wert p3 ein.
Wählen Sie im Feld Richtlinienaktion die Option Zulassen aus.
Wählen Sie in der Liste "Von-Zone" die Option "Nicht vertrauenswürdig" aus.
Wählen Sie in der Liste "Bis Zone" die Option "Vertrauen" aus.
Vergewissern Sie sich, dass in den Feldern "Quelladresse" und "Zieladresse" die Option "Übereinstimmend" auf "Beliebig" festgelegt ist.
Wählen Sie in den Feldern "Anwendungen" eine beliebige Anwendung aus der Liste "Anwendungen/Sätze" aus und verschieben Sie sie in die Liste "Übereinstimmend".
-
Hängen Sie die Inhaltssicherheitsrichtlinie mit dem Namen utmp3 an die Firewallsicherheitsrichtlinie an. Dies führt dazu, dass übereinstimmender Datenverkehr von der Sophos Antivirus-Funktion gescannt wird.
Schritt-für-Schritt-Anleitung
-
Klicken Sie im Feld "Richtlinie bearbeiten" auf die Registerkarte "Anwendungsdienste ".
-
Wählen Sie in der Liste Inhaltssicherheitsrichtlinie die Option utmp3 aus.
-
Klicken Sie auf OK , um Ihre Konfiguration zu überprüfen und als Kandidatenkonfiguration zu speichern.
Wenn Sie mit der Konfiguration des Geräts fertig sind, wählen Sie Aktionen>Commit aus.
Schritt-für-Schritt-Anleitung
So konfigurieren Sie eine Sicherheitsrichtlinie für Sophos Antivirus:
Konfigurieren Sie die Richtlinie "Nicht vertrauenswürdig für Vertrauen" so, dass sie mit einer beliebigen Quelladresse übereinstimmt.
[edit security] user@host# set policies from-zone untrust to-zone trust policy p3 match source-address any
Konfigurieren Sie die Richtlinie "Nicht vertrauenswürdig zu vertrauen", sodass sie mit einer beliebigen Zieladresse übereinstimmt.
[edit security] user@host# set policies from-zone untrust to-zone trust policy p3 match destination-address any
Konfigurieren Sie die Richtlinie "Nicht vertrauenswürdig zu vertrauen", sodass sie mit einem beliebigen Anwendungstyp übereinstimmt.
[edit security] user@host# set policies from-zone untrust to-zone trust policy p3 match application any
-
Hängen Sie die Inhaltssicherheitsrichtlinie mit dem Namen utmp3 an die Firewallsicherheitsrichtlinie an. Dies führt dazu, dass übereinstimmender Datenverkehr von der Sophos Antivirus-Funktion gescannt wird.
[edit security] user@host# set policies from-zone untrust to-zone trust policy p3 then permit application-services utm-policy utmp3
Verifizierung
Um die Konfiguration zu überprüfen, geben Sie den show security policies Befehl ein.
Beispiel: Sophos Antivirus Live Protection Version 2.0 konfigurieren
Verwenden Sie dieses Konfigurationsbeispiel, um Sophos Antivirus Live Protection Version 2.0 auf Ihrem Gerät zu konfigurieren und zu überprüfen. Sophos Antivirus ist eine In-the-Cloud-Antivirenlösung. Das Virenmuster und die Malware-Datenbank auf den externen Servern, die von Sophos-Servern verwaltet werden (Sophos Extensible List), isolieren und schützen Ihr Gerät. Ab Junos OS Version 23.1R1 unterstützt Content Security Sophos Antivirus Live Protection Version 2.0. Die neue Antivirus-Version verwendet das HTTPS-Protokoll für die Kommunikation zwischen der Firewall der SRX-Serie und dem Sophos-Server.
| Bewertung der Lesbarkeit |
|
| Lesezeit |
Weniger als 15 Minuten. |
| Konfigurationszeit |
Weniger als eine Stunde. |
- Beispiele für Voraussetzungen
- Vorbereitungen
- Funktionsübersicht
- Topologieübersicht
- Topologie-Illustration
- Schritt-für-Schritt-Konfiguration für das zu testende Gerät (DUT)
- Verifizierung
- Anhang 1: Festlegen von Befehlen auf allen Geräten
- Anhang 2: Anzeige der Konfigurationsausgabe auf dem Prüfling
Beispiele für Voraussetzungen
| Hardwareanforderungen | Firewall der SRX-Serie und virtuelle vSRX-Firewall |
| Softwareanforderungen | Junos OS Version 23.1R1 oder höher |
| Lizenzierungsvoraussetzungen | Sophos Antivirus Live Protection Version 2.0 Lizenz Verwenden Sie den |
Vorbereitungen
| Nützt |
Das Virenmuster und die Malware-Datenbank auf den externen Servern, die von Sophos-Servern verwaltet werden (Sophos Extensible List), isolieren und schützen Ihr Gerät. Bietet eine HTTPS-basierte, sichere Verbindung zwischen der Firewall der SRX-Serie und dem Sophos-Server. |
| Nützliche Ressourcen: |
|
| Mehr erfahren |
|
| Praktische Erfahrung |
|
| Weitere Informationen |
|
Funktionsübersicht
Tabelle 2 enthält eine kurze Zusammenfassung der in diesem Beispiel bereitgestellten Konfigurationskomponenten.
| Profile |
|
| Einführungsprofil | Die Sophos Serverkonfiguration auf der Firewall der SRX-Serie enthält das SSL-Initiierungsprofil ( Das Initiierungsprofil ist zwingend erforderlich, damit die Firewall der SRX-Serie eine HTTPS-Sitzung mit dem Sophos-Server zur Überprüfung der Pakete initiieren kann. Das SSL-Initiierungsprofil verschlüsselt und entschlüsselt auch Pakete zum und vom Sophos-Server. |
| Proxy-Profil | Das SSL-Proxyprofil ermöglicht es der Firewall der SRX-Serie, die Pakete für die weitere Verarbeitung durch den Anwendungsservice zu entschlüsseln, |
| Funktionsprofil |
Das Funktionsprofil Sie können mehr als ein Funktionsprofil für verschiedene Inhaltssicherheitsrichtlinien haben. |
| Politik |
|
| Richtlinie zur Inhaltssicherheit |
Die Inhaltssicherheitsrichtlinie content_security_p1definiert die Antivirenprotokolle (HTTP, FTP, SMTP, POP3 und IMAP) und fügt diese Richtlinie an ein Sicherheitsfunktionsprofil an, |
| Sicherheitsrichtlinien |
Zwei Sicherheitsrichtlinien ( Wir hängen die |
| Sicherheitszonen |
|
|
|
Netzwerksegment in der Hostzone (Client-Zone). |
|
|
Netzwerksegment in der Zone des Zielservers (Webdienst). |
|
|
Netzwerksegment, über das die Firewall der SRX-Serie mit dem Sophos-Server interagiert. |
| Protokolle |
|
| HTTPS |
Es werden HTTPS-Sitzungen zwischen dem Client und dem Webserver, der Firewall der SRX-Serie und dem Sophos-Server eingerichtet. |
| Primäre Verifizierungsaufgaben |
|
Topologieübersicht
In diesem Beispiel initiiert der Client eine Anforderung an den Webdienst über die Firewall der SRX-Serie. Wenn die Firewall der SRX-Serie die Anfrage empfängt, kontaktiert sie den Sophos-Server, um die Authentizität des Webdienstes zu überprüfen. Die Sophos Antivirus-Version 2.0 verwendet eine HTTPS-Verbindung für die Kommunikation zwischen der SRX-Firewall und dem Sophos-Server. Basierend auf der vom Sophos-Server empfangenen Antwort lässt die Firewall der SRX-Serie den Datenverkehr zu oder blockiert ihn, wie in der Content Security Policy definiert.
| Rollenfunktion für Topologiekomponenten | ||
|---|---|---|
| Kunde | Anforderungs-Webdienst | Initiiert eine HTTPS-Sitzung mit dem Webserver über die Firewall der SRX-Serie. |
| Firewall der SRX-Serie | Firewall von Juniper Network | Startet eine HTTPS-Sitzung mit dem Sophos Antivirus-Server. Außerdem werden die Pakete für den Client verschlüsselt und entschlüsselt. |
| Sophos Server | Antivirus-Server | Authentifiziert die von der Firewall der SRX-Serie empfangenen Inhalte. |
| Webserver | Web-Service-Provider | Antwortet auf die Anfrage des Kunden. |
Topologie-Illustration
Schritt-für-Schritt-Konfiguration für das zu testende Gerät (DUT)
Vollständige Beispielkonfigurationen für den Prüfling finden Sie unter:
-
Konfigurieren Sie die Geräteschnittstellen.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet address 192.0.2.254/24 user@host# set ge-0/0/1 unit 0 family inet address 203.0.113.254/24
-
Aktivieren Sie Sophos Antivirus auf dem Gerät. Konfigurieren Sie den Weiterleitungsmodus und die Art des Datenverkehrs, den Sophos Antivirus überprüfen soll.
[edit security] user@host# set utm default-configuration anti-virus type sophos-engine user@host# set utm default-configuration anti-virus forwarding-mode inline-tap user@host# set utm default-configuration anti-virus scan-options no-uri-check
-
Definieren Sie ein SSL-Initiierungsprofil für das Hinzufügen zur Sophos Serverkonfiguration auf der Firewall der SRX-Serie.
[edit services] user@host# set ssl initiation profile ssl_init_prof client-certificate content_security_cert user@host# set ssl initiation profile ssl_init_prof actions ignore-server-auth-failure
-
Fügen Sie das SSL-Initiierungsprofil in die Sophos Serverkonfiguration ein. Diese Konfiguration ist zwingend erforderlich, damit die Firewall der SRX-Serie eine HTTPS-Sitzung mit dem Sophos-Server zur Überprüfung der Pakete initiieren kann. Das Initiierungsprofil verschlüsselt und entschlüsselt auch Pakete zum und vom Sophos-Server.
[edit security] user@host# set utm default-configuration anti-virus sophos-engine server ssl-profile ssl_init_prof
-
Definieren Sie ein SSL-Proxyprofil, das auf die Sicherheitsrichtlinien angewendet werden soll. Das SLL-Proxy-Profil ermöglicht es der Firewall der SRX-Serie, die Pakete für die weitere Anwendungsverarbeitung zu entschlüsseln.
[edit services] user@host# set ssl proxy profile ssl_pr1 root-ca content_security_cert user@host# set ssl proxy profile ssl_pr1 actions ignore-server-auth-failure
-
Definieren Sie das Funktionsprofil, um die Art des Datenverkehrs anzugeben, den Sophos Antivirus überprüfen soll, indem Sie das Profil an die Inhaltssicherheitsrichtlinien anhängen. Sie können mehr als ein Funktionsprofil für verschiedene Inhaltssicherheitsrichtlinien definieren.
[edit security] user@host# set utm feature-profile anti-virus profile content_security_sav_fp
-
Definieren Sie Sicherheitszonen.
[edit security zones] user@host# set security-zone untrust description untrust user@host# set security-zone untrust host-inbound-traffic system-services all user@host# set security-zone untrust host-inbound-traffic protocols all user@host# set security-zone untrust interfaces ge-0/0/1.0 user@host# set security-zone trust description trust user@host# set security-zone trust host-inbound-traffic system-services all user@host# set security-zone trust host-inbound-traffic protocols all user@host# set security-zone trust interfaces ge-0/0/0.0 user@host# set security-zone internet description internet
-
Definieren Sie eine Content Security Policy und fügen Sie ein Funktionsprofil hinzu, um anzugeben, welche Art von Datenverkehr der Sophos Server überprüfen soll.
[edit security utm] user@host# set utm-policy content_security_p1 anti-virus http-profile content_security_sav_fp user@host# set utm-policy content_security_p1 anti-virus ftp upload-profile content_security_sav_fp user@host# set utm-policy content_security_p1 anti-virus ftp download-profile content_security_sav_fp user@host# set utm-policy content_security_p1 anti-virus smtp-profile content_security_sav_fp user@host# set utm-policy content_security_p1 anti-virus pop3-profile content_security_sav_fp user@host# set utm-policy content_security_p1 anti-virus imap-profile content_security_sav_fp
-
Definieren Sie Sicherheitsrichtlinien und konfigurieren Sie Übereinstimmungskriterien, die auf den Datenverkehr zwischen den verschiedenen Sicherheitszonen angewendet werden sollen.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match source-address any user@host# set from-zone trust to-zone trust policy p1 match destination-address any user@host# set from-zone trust to-zone trust policy p1 match application any user@host# set from-zone trust to-zone trust policy p1 then permit application-services ssl-proxy profile-name ssl_pr1 user@host# set from-zone trust to-zone trust policy p1 then permit application-services utm-policy content_security_p1 user@host# set from-zone trust to-zone trust policy trust_to_internet match source-address any user@host# set from-zone trust to-zone trust policy trust_to_internet match destination-address any user@host# set from-zone trust to-zone trust policy trust_to_internet match application any user@host# set from-zone trust to-zone trust policy trust_to_internet then permit user@host# set default-policy permit-all
Verifizierung
Geben Sie eine Liste der show-Befehle an, die zum Überprüfen der Funktion in diesem Beispiel verwendet werden.
| Task zur Befehlsüberprüfung | |
|---|---|
| UTM-Virenschutzstatus anzeigen | Zeigt den Typ und den Status des auf Ihrem Gerät installierten Antivirenprogramms an. |
| UTM-Virenschutzstatistiken anzeigen | Zeigt die Leistungsstatistiken des Antivirenprogramms auf Ihrem Gerät an. |
Verifizierung des Virenschutz-Scanmodultyps
Zweck
Überprüfen Sie, welcher Typ der Antiviren-Scan-Engine auf Ihrem Gerät installiert ist.
Aktion
Rufen Sie im Betriebsmodus die show security utm anti-virus status auf, um den Status des installierten Antivirenprogramms anzuzeigen.
user@host> show security utm anti-virus status
UTM anti-virus status:
Anti-virus key expire date: 2024-02-23 16:00:00
Forwarding-mode: continuous delivery
Scan engine type: sophos-engine
Scan engine information: running
Bedeutung
Die Beispielausgabe bestätigt, dass Sophos Antivirus auf Ihrem Gerät verfügbar ist.
Leistungsüberprüfung der Antivirus-Scan-Engine
Zweck
Überprüfen Sie die Leistung des Antiviren-Scanmoduls auf Ihrem Gerät.
Aktion
Rufen Sie im Betriebsmodus die show security utm anti-virus statistics auf, um die Leistungsstatistiken des Antivirenprogramms auf Ihrem Gerät anzuzeigen.
user@host> show security utm anti-virus statistics
UTM Anti Virus statistics:
Intelligent-prescreening passed: 0
MIME-whitelist passed: 0
URL-whitelist passed: 0
Session abort: 0
Scan Request:
Total Clean Threat-found Fallback
2 1 1 0
Fallback:
Log-and-Permit Block Permit
Engine not ready: 0 0 0
Out of resources: 0 0 0
Timeout: 0 0 0
Maximum content size: 0 0 0
Too many requests: 0 0 0
Decompress error: 0 0 0
Others: 0 0 0
Bedeutung
Der Beispielausgabewert Threat-found zeigt, dass das Antivirenprogramm 1 Bedrohung erkannt hat. Die anderen Statistikwerte sind sicher.
Anhang 1: Festlegen von Befehlen auf allen Geräten
Legen Sie die Befehlsausgabe auf allen Geräten fest.
set security utm default-configuration anti-virus type sophos-engine set security utm default-configuration anti-virus forwarding-mode inline-tap set security utm default-configuration anti-virus scan-options no-uri-check set security utm default-configuration anti-virus sophos-engine server ssl-profile ssl_init_prof set security utm feature-profile anti-virus profile content_security_sav_fp set security utm utm-policy content_security_p1 anti-virus http-profile content_security_sav_fp set security utm utm-policy content_security_p1 anti-virus ftp upload-profile content_security_sav_fp set security utm utm-policy content_security_p1 anti-virus ftp download-profile content_security_sav_fp set security utm utm-policy content_security_p1 anti-virus smtp-profile content_security_sav_fp set security utm utm-policy content_security_p1 anti-virus pop3-profile content_security_sav_fp set security utm utm-policy content_security_p1 anti-virus imap-profile content_security_sav_fp set security zones security-zone untrust description untrust set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust description trust set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone internet description internet set security policies from-zone trust to-zone untrust policy p1 match source-address any set security policies from-zone trust to-zone untrust policy p1 match destination-address any set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 then permit application-services ssl-proxy profile-name ssl_pr1 set security policies from-zone trust to-zone untrust policy p1 then permit application-services utm-policy content_security_p1 set security policies from-zone trust to-zone internet policy trust_to_internet match source-address any set security policies from-zone trust to-zone internet policy trust_to_internet match destination-address any set security policies from-zone trust to-zone internet policy trust_to_internet match application any set security policies from-zone trust to-zone internet policy trust_to_internet then permit set security policies default-policy permit-all set services ssl initiation profile ssl_init_prof client-certificate content_security-cert set services ssl initiation profile ssl_init_prof actions ignore-server-auth-failure set services ssl proxy profile ssl_pr1 root-ca content_security-cert set services ssl proxy profile ssl_pr1 actions ignore-server-auth-failure
Anhang 2: Anzeige der Konfigurationsausgabe auf dem Prüfling
Befehlsausgabe auf dem Prüfling anzeigen.
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security utmBefehle , show interfaces, show security zones, show security policiesund show services ssl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
user@host# show security utm
default-configuration {
anti-virus {
type sophos-engine;
forwarding-mode {
inline-tap;
}
scan-options {
no-uri-check;
}
sophos-engine {
server {
ssl-profile ssl_init_prof;
}
}
}
}
utm-policy P1 {
anti-virus {
http-profile junos-sophos-av-defaults;
}
}
utm-policy content_security_p1 {
anti-virus {
http-profile content_security_sav_fp;
ftp {
upload-profile content_security_sav_fp;
download-profile content_security_sav_fp;
}
smtp-profile content_security_sav_fp;
pop3-profile content_security_sav_fp;
imap-profile content_security_sav_fp;
}
}
user@host# show show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.0.2.254/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 203.0.113.254/24;
}
}
}
user@host# show security zones
security-zone untrust {
description untrust;
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone trust {
description trust;
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone internet {
description internet;
}
user@host# show security policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
ssl-proxy {
profile-name ssl_pr1;
}
utm-policy content_security_p1;
}
}
}
}
}
from-zone trust to-zone internet {
policy trust_to_internet {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
default-policy {
permit-all;
}
user@host# show services ssl
initiation {
profile ssl_init_prof {
client-certificate content_security-cert;
actions {
ignore-server-auth-failure;
}
}
}
proxy {
profile ssl_pr1 {
root-ca content_security-cert;
actions {
ignore-server-auth-failure;
}
}
}
Verwalten von Sophos Antivirus-Datendateien
Bevor Sie beginnen:
Installieren Sie eine Sophos Antivirus-Lizenz. Weitere Informationen finden Sie unter Installation and Upgrade Guide.
Konfigurieren Sie Sophos als Antivirus-Funktion für das Gerät. Siehe Beispiel: Konfigurieren des Funktionsprofils von Sophos Antivirus. Um den Typ der Antivirus-Engine festzulegen, führen Sie die
set security utm feature-profile anti-virus type sophos-engineAnweisung aus.
In diesem Beispiel konfigurieren Sie das Sicherheitsgerät so, dass die Datendateien automatisch alle 4320 Minuten (alle 3 Tage) aktualisiert werden. Das standardmäßige Aktualisierungsintervall für Datendateien beträgt 1440 Minuten (alle 24 Stunden).
So aktualisieren Sie Sophos-Datendateien automatisch:
[edit security utm feature-profile anti-virus] user@host# set sophos-engine pattern-update interval 4320
Die folgenden Befehle werden im CLI-Betriebsmodus ausgeführt.
So aktualisieren Sie Datendateien manuell:
user@host> request security utm anti-virus sophos-engine pattern-update
So laden Sie Datendateien manuell neu:
user@host> request security utm anti-virus sophos-engine pattern-reload
So löschen Sie Datendateien manuell:
user@host> request security utm anti-virus sophos-engine pattern-delete
Gehen Sie wie folgt vor, um den Status des Antivirenprogramms zu überprüfen, das auch die Version der Datendateien anzeigt:
user@host> show security utm anti-virus status
So überprüfen Sie den Status des Proxy-Servers:
user@host> show security utm anti-virus status
Tabelle "Änderungshistorie"
Die Funktionsunterstützung hängt von der Plattform und der Version ab, die Sie verwenden. Verwenden Sie den Feature-Explorer , um festzustellen, ob ein Feature auf Ihrer Plattform unterstützt wird.