SUR CETTE PAGE
Comprendre la mise à jour du fichier de données antivirus Sophos
Comparaison de l’antivirus Sophos et de l’antivirus Kaspersky
Exemple : configuration des objets personnalisés Sophos Antivirus
Exemple : configuration du profil de fonctionnalités de l’antivirus Sophos
Exemple : Configuration des stratégies de sécurité du contenu de Sophos Antivirus
Exemple : configuration des stratégies de sécurité du pare-feu de l’antivirus Sophos
Exemple : Configurer Sophos Antivirus Live Protection version 2.0
Configurer les groupes de réputation de fichiers antivirus Sophos
Configurer Sophos Antivirus Live Protection version 2.0 avec le proxy Web
Sophos Antivirus Protection
L’analyseur antivirus Sophos utilise un cache interne local pour conserver les réponses aux requêtes du serveur de liste externe afin d’améliorer les performances de recherche. L’analyse antivirus Sophos est proposée comme une alternative moins gourmande en ressources CPU à la fonction antivirus basée sur des fichiers complets. Pour plus d’informations, consultez les rubriques suivantes :
Présentation de la protection antivirus Sophos
Sophos antivirus est une solution antivirus dans le cloud. La base de données de modèles de virus et de logiciels malveillants est située sur des serveurs externes gérés par des serveurs Sophos (Sophos Extensible List), de sorte qu’il n’est pas nécessaire de télécharger et de gérer de grandes bases de données de modèles sur l’appareil Juniper. Avant Junos OS version 23.1R1, l’analyseur antivirus Sophos utilisait également un cache interne local pour conserver les réponses aux requêtes du serveur de liste externe afin d’améliorer les performances de recherche.
Étant donné qu’une grande partie du trafic traité par Juniper Content Sécurité est basée sur HTTP, la vérification URI (Uniform Resource Identifier) est utilisée pour empêcher efficacement les contenus malveillants d’atteindre le client ou le serveur de terminaison. Les vérifications suivantes sont effectuées pour le trafic HTTP : recherche d’URI, détection de type de fichier réel et recherche de somme de contrôle de fichier. Les protocoles de couche applicative suivants sont pris en charge : HTTP, FTP, SMTP, POP3 et IMAP.
La fonctionnalité antivirus basée sur les fichiers complets n’est pas prise en charge à partir de Junos OS version 15.1X49-D10 et de Junos OS version 17.3R1. Pour les versions précédentes, l’analyse antivirus Sophos est proposée comme une alternative moins gourmande en ressources CPU à la fonctionnalité antivirus basée sur des fichiers complets. Sophos prend en charge les mêmes protocoles que l’antivirus complet et fonctionne à peu près de la même manière ; Cependant, il a une empreinte mémoire plus petite et est compatible avec les appareils bas de gamme qui ont moins de mémoire.
À partir de Junos OS version 15.1X49-D100, le trafic IPv6 pass-through pour les protocoles HTTP, HTTPS, FTP, SMTP, POP3 et IMAP est pris en charge pour les fonctionnalités de sécurité antivirus Sophos, filtrage Web et de filtrage de contenu de Content Sécurité.
À partir de Junos OS version 12.3X48-D35 et Junos OS version 17.3R1, le débit de session unique de l’antivirus Sophos (SAV) de Sécurité du contenu est augmenté pour optimiser le transfert tcp-proxy.
À partir de la version 19.4R1 de Junos OS, la fonctionnalité antivirus prend en charge les protocoles SMTPS, IMAPS et POP3S implicites et explicites, et ne prend en charge que les FTPS en mode passif explicite.
Mode implicite : connectez-vous au port chiffré SSL/TLS à l’aide d’un canal sécurisé.
Mode explicite : connectez-vous d’abord au canal non sécurisé, puis sécurisez la communication en exécutant la commande STARTTLS. Pour POP3S, utilisez la commande STLS.
À partir de Junos OS version 23.1R1, Content Sécurité prend en charge le nouvel antivirus Sophos Live Protection version 2.0. La nouvelle version de l’antivirus Sophos utilise une connexion HTTPS pour la communication appareil-serveur. Pour la connexion HTTPS, vous devez créer un profil d’initiation SSL et ajouter le profil à la configuration par défaut du moteur Sophos.
À partir de la version 24.4R1 de Junos OS, nous introduisons la prise en charge du proxy Web pour Content Sécurité Antivirus Sophos 2.0. En outre, nous introduisons les groupes de réputation des fichiers basés sur la valeur de réputation des fichiers pour contrôler le trafic et fournir plus de contrôle sur la sécurité.
Voir aussi
Fonctionnalités antivirus de Sophos
L’antivirus Sophos présente les principales fonctionnalités suivantes :
Sophos antivirus expanded MIME decoding support: l’antivirus Sophos prend en charge le décodage HTTP, POP3, SMTP et IMAP. La prise en charge du décodage MIME comprend les éléments suivants pour chaque protocole pris en charge :
Décodage d’en-têtes multi-parties et imbriqués
Décodage Base64, décodage de citations imprimées et décodage de mots codés dans le champ d’objet
Sophos antivirus supports HTTPS traffic—À partir de Junos OS version 12.3X48-D25 et Junos OS version 17.3R1, l’antivirus Sophos sur proxy de transfert SSL prend en charge le trafic HTTPS. L’antivirus Sophos sur proxy de transfert SSL le fait en interceptant le trafic HTTPS passant par le pare-feu SRX Series. Le canal de sécurité du pare-feu SRX Series est divisé en un canal SSL entre le client et le pare-feu SRX Series et un autre canal SSL entre le pare-feu SRX Series et le serveur HTTPS. Le proxy de transfert SSL agit comme terminal pour les deux canaux et transmet le trafic en texte clair à Content Sécurité. Content Sécurité extrait l’URL et les informations de somme de contrôle du fichier à partir du trafic en clair. L’analyseur antivirus Sophos détermine s’il faut bloquer ou autoriser les requêtes.
Le proxy de transfert SSL ne prend pas en charge l’authentification du client. Si l’authentification du client est requise par le serveur, Content Sécurité contourne le trafic. La Sécurité du contenu contourne le trafic HTTPS dans les conditions suivantes :
Si le proxy SSL n’analyse pas le premier paquet d’établissement de liaison du client, le proxy de transfert SSL contourne le trafic.
Si l’établissement de liaison du proxy SSL avec le client et le serveur est incomplète en raison de problèmes de compatibilité, la connexion est interrompue.
Si la ressource système est faible, le proxy de transfert SSL ne peut pas gérer la nouvelle connexion et l’antivirus Sophos contourne le trafic.
Si le trafic HTTPS atteint la liste d’autorisation du proxy de transfert SSL, le proxy de transfert SSL et l’antivirus Sophos contournent le trafic.
Sophos antivirus scan result handling: avec l’antivirus Sophos, le protocole TCP, le trafic est fermé sans perturbation lorsqu’un virus est détecté et que le contenu des données est abandonné.
Les options de mode échec suivantes sont prises en charge : taille du contenu, valeur par défaut, moteur non prêt, manque de ressources, délai d’attente et trop-nombreux-demandes. Vous pouvez définir les actions suivantes : bloquer, enregistrer et autoriser et autoriser. La gestion en mode échec des options prises en charge avec Sophos est à peu près la même qu’avec l’antivirus complet.
Sophos Uniform Resource Identifier checking: Sophos effectue la vérification des URI (Uniform Resource Identifier), ce qui est similaire aux recherches RBL (RealTime Null Route List) antispam. La vérification des URI consiste à analyser le contenu de l’URI dans le trafic HTTP par rapport à la base de données Sophos afin d’identifier les logiciels malveillants ou les contenus malveillants. Les programmes malveillants étant principalement statiques, un mécanisme de somme de contrôle est utilisé pour identifier les logiciels malveillants afin d’améliorer les performances. Les fichiers capables d’utiliser une somme de contrôle incluent .exe, .zip, .rar, .swf, .pdf et .ole2 (doc et xls).
Si vous disposez d’un appareil Juniper Networks protégeant un réseau interne qui n’a pas de trafic HTTP ou dont les serveurs Web ne sont pas accessibles au monde extérieur, vous pouvez désactiver la vérification des URI. Si les serveurs Web ne sont pas accessibles au monde extérieur, il est peu probable qu’ils contiennent des informations d’URI qui se trouvent dans la base de données URI de Sophos. La vérification de l’URI est activée par défaut.
À partir de la version 18.4R1 de Junos OS, la vérification de l’URI est désactivée par défaut.
Voir aussi
Comprendre la mise à jour du fichier de données antivirus Sophos
L’antivirus Sophos utilise un petit ensemble de fichiers de données qui doivent être mis à jour périodiquement. Ces fichiers de données ne contiennent que des informations sur la logique de balayage de guidage et ne contiennent pas la base de données complète des modèles. La base de données de modèles principale, qui comprend la protection contre les virus critiques, les vérifications URI, les logiciels malveillants, les vers, les chevaux de Troie et les logiciels espions, est située sur des serveurs distants Sophos Extensible List gérés par Sophos.
Les fichiers de données Sophos sont mis à jour via HTTP ou HTTPS et peuvent être mis à jour manuellement ou programmés pour être mis à jour automatiquement. Avec l’antivirus Sophos :
L’intervalle de mise à jour automatique de la base de données de signatures est d’une fois par jour par défaut. Cet intervalle peut être modifié.
Il n’y a pas d’interruption de la fonction d’analyse antivirus pendant la mise à jour du fichier de données. En cas d’échec de la mise à jour, les fichiers de données existants continueront d’être utilisés.
Par défaut, l’URL de mise à jour du fichier de données antivirus Sophos est http://update.juniper-updates.net/SAV/.
La fonction d’analyse antivirus de Sophos est un service d’abonnement sous licence distincte. Lorsque votre clé de licence antivirus expire, la fonctionnalité ne fonctionnera plus car la base de données de recherche de modèles est située sur des serveurs Sophos distants. Vous disposez d’un délai de grâce de 30 jours pour mettre à jour votre licence.
Voir aussi
Comparaison de l’antivirus Sophos et de l’antivirus Kaspersky
La fonction Kaspersky et Express Antivirus n’est pas prise en charge à partir de Junos OS version 15.1x49-D10 et de Junos OS version 17.3R1. Pour les versions précédentes, Sophos Antivirus ressemble beaucoup à Juniper Express Antivirus et présente également des similitudes avec la fonctionnalité Full Antivirus :
Contrairement aux solutions Juniper Express et Full Antivirus, la base de données antivirus et de logiciels malveillants de Sophos est stockée sur un groupe de serveurs distants Sophos Extensible List. Les requêtes sont effectuées à l’aide du protocole DNS. Sophos assure la maintenance de ces serveurs, il n’est donc pas nécessaire de télécharger et de gérer de grandes bases de données de modèles sur l’équipement Juniper. Parce que la base de données est distante et qu’il y a une réponse plus rapide aux nouvelles épidémies de virus. La base de données antivirus n’a pas de limite de taille, mais il y a une limitation de la taille du fichier d’analyse.
Remarque :L’antivirus Sophos utilise un ensemble de fichiers de données qui doivent être mis à jour régulièrement. Ce ne sont pas des fichiers de modèles de virus typiques ; Il s’agit d’un ensemble de petits fichiers qui aident à guider la logique d’analyse des virus. Vous pouvez télécharger manuellement les fichiers de données ou configurer le téléchargement automatique.
Sophos ne fournit pas la même détection de préfiltrage que Kaspersky Antivirus. Sophos fournit une solution similaire qui fait partie du moteur Sophos et ne peut pas être activée et désactivée.
La fonction d’analyse antivirus de Sophos est un service d’abonnement sous licence distincte. De plus, la base de données de recherche de modèles est située sur des serveurs distants gérés par Sophos, de sorte que lorsque votre clé de licence antivirus expire, la fonctionnalité ne fonctionnera plus. Vous disposez d’un délai de grâce de 30 jours pour mettre à jour votre licence.
Voir aussi
Présentation de la configuration de l’antivirus Sophos
L’antivirus Sophos fait partie de l’ensemble des fonctionnalités de Sécurité du contenu, vous pouvez donc d’abord configurer les options de Sécurité du contenu (objets personnalisés), configurer la fonctionnalité Sophos, puis créer une stratégie de Sécurité du contenu et une stratégie de sécurité. La stratégie de sécurité contrôle tout le trafic transféré par l’appareil, et la stratégie de sécurité du contenu spécifie les paramètres à utiliser pour analyser le trafic. La stratégie de Sécurité du contenu est également utilisée pour lier un ensemble de protocoles à un ou plusieurs profils de fonctionnalités de Sécurité du contenu, y compris l’antivirus Sophos dans ce cas.
Vous devez effectuer les tâches suivantes pour configurer l’antivirus Sophos :
- Configurez les objets personnalisés et les listes MIME de Sécurité du contenu. Voir Exemple : Configuration des objets personnalisés Sophos Antivirus,
- Configurez le profil des fonctionnalités antivirus Sophos. Voir Exemple : Configuration du profil de fonctionnalités de Sophos Antivirus.
- Configurez une stratégie de Sécurité du contenu. Voir Exemple : Configuration des stratégies de sécurité du contenu de Sophos Antivirus
- Configurez une stratégie de sécurité. Voir Exemple : Configuration des stratégies de sécurité de pare-feu de Sophos Antivirus.
Pour configurer Sophos antivirus Live Protection version 2.0, reportez-vous à Exemple : Configurer Sophos Antivirus Live Protection version 2.0.
Pour utiliser l’antivirus Sophos lors d’une mise à niveau logicielle en service (ISSU), supprimez les options de configuration suivantes. Cette mise en garde s’applique uniquement aux mises à niveau ISSU et non aux mises à niveau autonomes. Une fois l’ISSU terminé, vous pouvez réactiver les configurations. La fonction antivirus de Sophos fonctionne comme d’habitude lorsque les deux appareils apparaissent.
-
edit security utm default-configuration anti-virus forwarding-mode holdset -
edit security utm default-configuration anti-virus forwarding-mode inline-tap
Pour configurer l’antivirus Sophos sur proxy de transfert SSL afin de prendre en charge le trafic HTTPS, consultez Configurer le proxy SSL avec Content Sécurité.
Exemple : configuration des objets personnalisés Sophos Antivirus
Cet exemple vous montre comment créer des objets personnalisés globaux de Sécurité du contenu à utiliser avec l’antivirus Sophos.
Exigences
Avant de commencer, lisez l’article sur les objets personnalisés de la Sécurité du contenu. Voir Présentation de la sécurité du contenu.
Vue d’ensemble
Configurez des listes MIME. Cela inclut la création d’une liste d’autorisation MIME et d’une liste d’exceptions MIME pour l’analyse antivirus. Dans cet exemple, vous évitez l’analyse des vidéos QuickTime, sauf si elles contiennent le type MIME quicktime-inappropriate.
La configuration
Procédure
Configuration rapide de l’interface graphique
Procédure étape par étape
Pour configurer une liste MIME :
Cliquez sur l’onglet Configurer dans la barre des tâches, puis sélectionnez Sécurité>UTM>Objets personnalisés.
Cliquez sur l’onglet Liste de modèles MIME , puis sur Ajouter.
Dans la zone Nom du modèle MIME, tapez avmime2.
Dans la zone Valeur du modèle MIME, saisissez video/quicktime, puis cliquez sur Ajouter.
Dans la zone Valeur du modèle MIME, tapez image/x-portable-anympa, puis cliquez sur Ajouter.
Dans la zone Valeur du modèle MIME, tapez x-world/x-vrml, puis cliquez sur Ajouter.
Procédure étape par étape
Pour configurer une liste d’exceptions MIME :
Cliquez sur l’onglet Configurer dans la barre des tâches, puis sélectionnez Sécurité>UTM>Objets personnalisés.
Cliquez sur l’onglet Liste de modèles MIME , puis sélectionnez Ajouter.
Dans la zone Nom du modèle MIME, tapez exception-avmime2.
Dans la zone Valeur du modèle MIME, tapez video/quicktime-inappropriate et cliquez sur Ajouter.
Procédure étape par étape
Configurez une liste de modèles d’URL (liste d’autorisation) d’URL ou d’adresses qui seront contournées par l’analyse antivirus. Après avoir créé la liste de modèles d’URL, vous allez créer une liste de catégories d’URL personnalisée et y ajouter la liste de modèles.
Étant donné que vous utilisez des listes de modèles d’URL pour créer des listes de catégories d’URL personnalisées, vous devez configurer des objets personnalisés de liste de modèles d’URL avant de configurer des listes de catégories d’URL personnalisées.
Pour configurer une liste autorisée de modèles d’URL :
Cliquez sur l’onglet Configurer dans la barre des tâches, puis sélectionnez Sécurité>UTM>Objets personnalisés.
Cliquez sur l’onglet Liste de modèles d’URL , puis sur Ajouter.
Dans la zone Nom du modèle d’URL, entrez urlist2.
Dans la zone Valeur du modèle d’URL, entrez http://example.net. (Vous pouvez également utiliser l’adresse IP du serveur au lieu de l’URL.)
Procédure étape par étape
Enregistrez votre configuration :
Cliquez sur OK pour vérifier votre configuration et l’enregistrer en tant que configuration candidate.
Si vous avez terminé de configurer l’appareil, cliquez sur Actions>Valider.
Prise en charge des caractères génériques des modèles d’URL : la règle générique est la suivante : \*\.[]\ ?* et vous devez faire précéder toutes les URL génériques de http://. Vous ne pouvez utiliser « * » que s’il se trouve au début de l’URL et qu’il est suivi d’un « . ». Vous ne pouvez utiliser « ? » qu’à la fin de l’URL.
La syntaxe générique suivante est prise en charge : http://*. example.net, http://www.example.ne ?, http://www.example.n ??. La syntaxe générique suivante n’est pas prise en charge : *.example.net , www.example.ne ?, http ://*example.net, http://*.
Procédure étape par étape
Pour configurer la protection antivirus à l’aide de la CLI, vous devez créer vos objets personnalisés dans l’ordre suivant :
-
Créez la liste d’autorisation MIME.
[edit security utm] user@host# set custom-objects mime-pattern avmime2 value [video/quicktime image/x-portable-anymap x-world/x-vrml]
Créez la liste d’exceptions MIME.
[edit security utm] user@host# set custom-objects mime-pattern exception-avmime2 value [video/quicktime-inappropriate]
Configurez une liste de modèles d’URL (liste autorisée) d’URL ou d’adresses que vous souhaitez contourner. Après avoir créé la liste de modèles d’URL, vous créez une liste de catégories d’URL personnalisée et ajoutez-y la liste de modèles. Configurez un objet personnalisé de liste de modèles d’URL en créant le nom de la liste et en y ajoutant des valeurs comme suit. Comme vous utilisez des listes de modèles d’URL pour créer des listes de catégories d’URL personnalisées, vous devez configurer des objets personnalisés de liste de modèles d’URL avant de configurer des listes de catégories d’URL personnalisées.
[edit security utm] user@host# set custom-objects url-pattern urllist2 value [http://www. example.net 192.168.1.5]
Remarque :Prise en charge des caractères génériques des modèles d’URL : la règle générique est la suivante : \*\.[]\ ?* et vous devez faire précéder toutes les URL génériques de http://. Vous ne pouvez utiliser « * » que s’il se trouve au début de l’URL et qu’il est suivi d’un « . ». Vous ne pouvez utiliser « ? » qu’à la fin de l’URL.
La syntaxe générique suivante est prise en charge : http://*. example.net, http://www.example.ne ?, http://www.example.n ??. La syntaxe générique suivante n’est pas prise en charge : *.example.net , www.example.ne ?, http ://*example.net, http://*.
Configurez un objet personnalisé de liste de catégories d’URL personnalisée à l’aide du modèle d’URL liste urllist2 que vous avez créé précédemment :
[edit security utm] user@host# set custom-objects custom-url-category custurl2 value urllist2
Vérification
Vérifiez la configuration des objets personnalisés de Sophos Antivirus
Objet
Pour vérifier la configuration des objets personnalisés Sophos Antivirus., entrez la show security utm custom-objects commande.
Mesures à prendre
En mode opérationnel, entrez la show security utm custom-objects commande pour vérifier la configuration des objets personnalisés Sophos Antivirus.
Exemple : configuration du profil de fonctionnalités de l’antivirus Sophos
Cet exemple vous montre comment configurer un profil antivirus Sophos qui définit les paramètres qui seront utilisés pour l’analyse antivirus.
Exigences
Avant de commencer :
Installez une licence antivirus Sophos. Voir le guide d’installation et de mise à niveau.
Configurez des objets personnalisés pour Content Sécurité. Voir Exemple : Configuration des objets personnalisés Sophos Antivirus.
Vue d’ensemble
La configuration suivante définit Sophos comme moteur antivirus et définit des paramètres, tels que l’intervalle de mise à jour des fichiers de données, les options de notification pour les administrateurs, les options de secours et les limites de taille des fichiers.
Le [edit security utm feature-profile] niveau hiérarchique est déconseillé dans Junos OS version 18.2R1. Pour plus d’informations, consultez Présentation de la sécurité du contenu.
La configuration
Procédure
Configuration rapide de l’interface graphique
Procédure étape par étape
L’exemple suivant vous montre comment créer un profil Sophos personnalisé. Si vous souhaitez utiliser le profil préconfiguré de Juniper Networks, utilisez le profil nommé junos-sophos-av-defaults dans votre stratégie de Sécurité du contenu. Voir Exemple : Configuration des stratégies de sécurité du contenu de Sophos Antivirus.
Sélectionnez et configurez le type de moteur. Comme vous configurez l’antivirus Sophos, vous configurez sophos-engine :
Procédure étape par étape
Cliquez sur l’onglet Configurer dans la barre des tâches, puis sélectionnez Sécurité>UTM>Antivirus.
Cliquez sur l’onglet Options globales , puis sur Sophos.
Cliquez sur OK et validez vos modifications.
Revenez à l’écran Options globales de l’antivirus comme vous l’avez fait à l’étape 1 et définissez les paramètres suivants :
Procédure étape par étape
Dans la liste d’autorisation MIME, sélectionnez exception-avmime2.
Dans la liste des URL autorisées, sélectionnez custurl2.
Dans la zone Intervalle de mise à jour du modèle (sec), tapez 2880.
Dans la zone, saisissez l’adresse e-mail qui recevra les notifications de mise à jour du fichier de données par e-mail SophosAdmin. Par exemple - admin@ example.net.
Dans la zone Objet du message personnalisé, tapez Sophos Data File Updated.
Cliquez sur OK pour vérifier votre configuration et l’enregistrer en tant que configuration candidate.
Configurez un profil pour le moteur sophos et définissez les paramètres.
Procédure étape par étape
Cliquez sur l’onglet Configurer dans la barre des tâches, puis sélectionnez Sécurité>UTM>Antivirus. Cliquez sur Ajouter.
Dans la zone Ajouter un profil, cliquez sur l’onglet Principal .
Dans la zone Nom du profil, tapez sophos-prof1.
Dans la zone Délai d’attente de ruissellement, tapez 180.
Lorsque vous activez l’option de ruissellement, il est important de comprendre que le ruissellement peut envoyer une partie du fichier au client pendant l’analyse antivirus. Il est possible qu’une partie du contenu soit reçue par le client et que le client soit infecté avant que le fichier ne soit entièrement analysé.
La vérification de l’URI est activée par défaut. Pour le désactiver, désactivez oui dans la case à cocher URI.
Dans la zone Limite de taille de contenu, tapez 20000.
Dans la zone Délai d’expiration du moteur d’analyse, tapez 1800.
Configurez les paramètres de secours en cliquant sur l’onglet Paramètres de secours . Dans cet exemple, toutes les options de secours sont définies pour enregistrer et autoriser. Cliquez sur Consigner et autoriser pour les éléments suivants : Action par défaut, Taille du contenu, Moteur non prêt, Délai d’expiration, Manque de ressources, Trop de demandes.
Configurez les options de notification en cliquant sur l’onglet Options de notification . Vous pouvez configurer des notifications pour les actions de secours bloquantes et non bloquantes et pour la détection de virus.
Procédure étape par étape
Pour configurer les notifications pour les paramètres de secours :
Pour Type de notification, cliquez sur Protocole.
Pour Notifier l’expéditeur du courrier, cliquez sur oui.
Dans la zone de message personnalisée, tapez L’action de blocage de secours s’est produite.
Dans la zone Objet du message personnalisé, tapez Alerte de secours antivirus***.
Pour configurer les options de notification pour la détection de virus, cliquez sur l’onglet Options de notification cont...
Procédure étape par étape
Pour le bouton d’option Type de notification, sélectionnez Protocole.
Pour le bouton d’option Notifier l’expéditeur du courrier, sélectionnez Oui.
Dans la zone de message personnalisée, tapez Virus a été détecté.
Dans la zone Objet du message personnalisé, tapez Virus détecté***.
Cliquez sur OK pour vérifier votre configuration et l’enregistrer en tant que configuration candidate.
Si vous avez terminé de configurer l’appareil, cliquez sur Actions>Valider.
Procédure étape par étape
Pour configurer le profil de fonctionnalités antivirus Sophos à l’aide de la CLI :
L’exemple suivant vous montre comment créer un profil Sophos personnalisé. Si vous souhaitez utiliser le profil préconfiguré de Juniper Networks, utilisez le profil nommé junos-sophos-av-defaults dans votre stratégie de Sécurité du contenu. Voir Exemple : Configuration des stratégies de sécurité du contenu de Sophos Antivirus.
Sélectionnez et configurez le type de moteur. Puisque vous configurez l’antivirus Sophos, vous configurez sophos-engine.
[edit] user@host# set security utm default-configuration anti-virus type sophos-engine
Validez la configuration.
Sélectionnez un intervalle de temps pour la mise à jour des fichiers de données. L’intervalle par défaut de mise à jour du modèle antivirus est de 1440 minutes (toutes les 24 heures). Vous pouvez choisir de conserver cette valeur par défaut ou de la modifier. Vous pouvez également forcer une mise à jour manuelle, si nécessaire. Pour modifier la valeur par défaut de toutes les 24 heures à toutes les 48 heures :
[edit security utm default-configuration anti-virus] user@host# set sophos-engine pattern-update interval 2880
Configurez le périphérique réseau avec les détails du serveur proxy, pour télécharger la mise à jour du modèle à partir d’un serveur distant :
[edit security utm default-configuration anti-virus] user@host# set sophos-engine pattern-update proxy
Vous pouvez également activer le moteur Sophos pour qu’il se connecte en toute sécurité à des serveurs externes via un proxy. En outre, vous pouvez configurer l’authentification par proxy dans le profil proxy. En définissant un nom d’utilisateur et un mot de passe, vous pouvez activer un accès sécurisé aux flux et services externes.
[edit] user@host# set services proxy profile proxy-profile protocol http host x.x.x.x port xxxx user@host# set services proxy profile proxy-profile protocol http username <username> user@host# set services proxy profile proxy-profile protocol http password <password> user@host# set security utm default-configuration anti-virus sophos-engine server proxy-profile proxy-profile
Dans la plupart des cas, vous n’aurez pas besoin de modifier l’URL pour mettre à jour la base de données de motifs. Si vous devez modifier cette option, utilisez la commande suivante :
[edit security utm default-configuration anti-virus] user@host# set sophos-engine pattern-update url http://www.example.net/test-download
Vous pouvez configurer l’appareil pour qu’il avertisse un administrateur spécifié lorsque les fichiers de données sont mis à jour. Il s’agit d’une notification par e-mail avec un message personnalisé et une ligne d’objet personnalisée.
[edit security utm default-configuration anti-virus] user@host# set sophos-engine pattern-update email-notify admin-email admin@example.net custom-message “Sophos antivirus data file was updated” custom-message-subject “AV data file updated”
Configurez une liste d’options de secours comme bloquer, consigner et autoriser ou autoriser. Le paramètre par défaut est journaliser et autoriser. Vous pouvez utiliser les paramètres par défaut ou les modifier.
Configurez l’action de taille de contenu. Dans cet exemple, si la taille du contenu est dépassée, l’action entreprise est bloquée.
Créez d’abord le profil nommé sophos-prof1.
[edit security utm feature-profile anti-virus] user@host# set profile sophos-prof1
Configurez l’option de repli de la taille du contenu à bloquer.
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set fallback-options content-size block
Configurez l’option de secours par défaut sur journaliser et autoriser.
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set fallback-options default log-and-permit
Configurez la fonction journaliser et autoriser si le moteur antivirus n’est pas prêt.
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set fallback-options engine-not-ready log-and-permit
Configurez l’enregistrement et l’autorisation si l’appareil est à court de ressources.
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set fallback-options out-of-resources log-and-permit
Configurez l’enregistrement et l’autorisation si un délai d’analyse antivirus se produit.
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set fallback-options timeout log-and-permit
Configurez log-and-allow s’il y a trop de requêtes à traiter par le moteur de virus.
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set fallback-options too-many-requests log-and-permit
Configurez les options de notification. Vous pouvez configurer des notifications pour le blocage de secours, les actions de secours non bloquantes et la détection de virus.
Dans cette étape, configurez un message personnalisé pour l’action de blocage de secours et envoyez une notification pour les actions de protocole uniquement à l’administrateur et à l’expéditeur.
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set notification-options fallback-block custom-message ***Fallback block action occurred*** custom-message-subject Antivirus Fallback Alert notify-mail-sender type protocol-only allow email administrator-email admin@example.net
Configurez une notification pour la détection des virus sur le protocole uniquement et envoyez une notification.
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host#set notification-options virus-detection type protocol-only notify-mail-sender custom-message-subject ***Virus detected*** custom-message Virus has been detected
Configurez les paramètres de taille de contenu.
Lorsque vous configurez la valeur content-size, gardez à l’esprit que dans certains cas, la taille du contenu est disponible dans les en-têtes du protocole, de sorte que la solution de secours max-content-size est appliquée avant l’envoi d’une demande d’analyse. Cependant, dans de nombreux cas, la taille du contenu n’est pas fournie dans les en-têtes du protocole. Dans ce cas, la charge utile TCP est envoyée à l’analyseur antivirus et s’accumule jusqu’à la fin de la charge utile. Si la charge utile accumulée dépasse la valeur de taille maximale du contenu, la solution de secours max-content-size est appliquée. L’action de secours par défaut est enregistrer et autoriser, vous pouvez donc modifier cette option en bloquer, auquel cas un tel paquet est abandonné et un message de blocage est envoyé au client.
Dans cet exemple, si la taille du contenu dépasse 20 Mo, le paquet est abandonné.
[edit security utm default-configuration anti-virus] user@host# set scan-options content-size-limit 20000
La vérification de l’URI est activée par défaut. Pour désactiver la vérification des URI :
[edit security utm default-configuration anti-virus] user@host# set scan-options no-uri-check
Configurez le paramètre de délai d’expiration pour l’opération d’analyse sur 1800 secondes.
[edit security utm default-configuration anti-virus] user@host# set scan-options timeout 1800
Les serveurs Sophos Extensible List contiennent la base de données de virus et de logiciels malveillants pour les opérations d’analyse. Définissez le délai de réponse de ces serveurs sur 3 secondes (la valeur par défaut est de 2 secondes).
[edit security utm default-configuration anti-virus] user@host# set scan-options sxl-timeout 3
Configurez l’option de nouvelle tentative du serveur Sophos Extensible List sur 2 nouvelles tentatives (la valeur par défaut est 1).
[edit security utm default-configuration anti-virus] user@host# set scan-options sxl-retry 2
Configurez le paramètre de ruissellement sur 180 secondes. Si vous utilisez le ruissellement, vous pouvez également définir des paramètres de délai d’expiration. Le ruissellement s’applique uniquement au protocole HTTP. HTTP Trickling est un mécanisme utilisé pour empêcher le client ou le serveur HTTP d’expirer lors d’un transfert de fichiers ou d’une analyse antivirus.
Lorsque vous activez l’option de percolation, gardez à l’esprit que la percolation peut envoyer une partie d’un fichier au client pendant son analyse antivirus. Il est donc possible qu’une partie du contenu soit reçue par le client avant que le fichier n’ait été entièrement numérisé.
[edit security utm default-configuration anti-virus] user@host# set trickling timeout 180
Configurez le module antivirus pour utiliser des listes de contournement MIME et des listes d’exceptions. Vous pouvez utiliser vos propres listes d’objets personnalisées ou la liste par défaut fournie avec le périphérique appelée junos-default-bypass-mime. Dans cet exemple, vous utilisez les listes que vous avez configurées précédemment.
[edit security utm default-configuration anti-virus] user@host# set mime-whitelist list avmime2 [edit security utm feature-profile anti-virus] user@host# set mime-whitelist list exception-avmime2
Configurez le module antivirus pour utiliser des listes de contournement d’URL. Si vous utilisez une liste d’URL autorisées, il s’agit d’une catégorie d’URL personnalisée que vous avez précédemment configurée en tant qu’objet personnalisé. Les listes d’URL autorisées ne sont valides que pour le trafic HTTP. Dans cet exemple, vous utilisez les listes que vous avez configurées précédemment.
[edit security utm default-configuration anti-virus] user@host# set url-whitelist custurl2
Vérification
Obtenir des informations sur l’état actuel de l’antivirus
Objet
Mesures à prendre
En mode opérationnel, entrez la show security utm anti-virus status commande pour afficher l’état de l’antivirus.
user@host>show security utm anti-virus status
Signification
Date d’expiration de la clé antivirus : date d’expiration de la clé de licence.
Serveur de mise à jour : URL du serveur de mise à jour du fichier de données.
Intervalle : période, en minutes, pendant laquelle l’appareil met à jour le fichier de données à partir du serveur de mise à jour.
État de mise à jour du modèle : lors de la prochaine mise à jour du fichier de données, affiché en minutes.
Dernier résultat : résultat de la dernière mise à jour. Si vous avez déjà la dernière version, cela affichera
already have latest database.
Version de la signature antivirus : version du fichier de données actuel.
Type de moteur d’analyse : type de moteur antivirus en cours d’exécution.
Informations du moteur d’analyse : résultat de la dernière action effectuée avec le moteur d’analyse actuel.
Exemple : Configuration des stratégies de sécurité du contenu de Sophos Antivirus
Cet exemple montre comment créer une stratégie de Sécurité du contenu pour l’antivirus Sophos.
Exigences
Avant de créer la stratégie de Sécurité du contenu, créez des objets personnalisés et le profil de fonctionnalités Sophos.
-
Configurez les objets personnalisés et les listes MIME de Sécurité du contenu. Voir Exemple : Configuration des objets personnalisés Sophos Antivirus.
Configurez le profil des fonctionnalités antivirus Sophos. Voir Exemple : Configuration du profil de fonctionnalités de Sophos Antivirus.
Vue d’ensemble
Après avoir créé un profil de fonctionnalité antivirus, vous configurez une stratégie de sécurité du contenu pour un protocole d’analyse antivirus et joignez cette stratégie à un profil de fonctionnalité. Dans cet exemple, HTTP sera analysé à la recherche de virus, comme indiqué par l’instruction http-profile . Vous pouvez également analyser d’autres protocoles en créant différents profils ou en ajoutant d’autres protocoles au profil, tels que : imap-profile, pop3-profile et smtp-profile.
La configuration
Procédure
Configuration rapide de l’interface graphique
Procédure étape par étape
Pour configurer une stratégie de Sécurité du contenu pour l’antivirus Sophos :
Cliquez sur l’onglet Configurer dans la barre des tâches, puis sélectionnez Sécurité>Stratégie>UTM Stratégies. Cliquez ensuite sur Ajouter.
Cliquez sur l’onglet Principal . Dans la zone Nom de la stratégie, tapez utmp3.
Cliquez sur l’onglet Profils antivirus . Dans la liste Profil HTTP, sélectionnez sophos-prof1.
Cliquez sur OK pour vérifier votre configuration et l’enregistrer en tant que configuration candidate.
Si vous avez terminé de configurer l’appareil, sélectionnez Actions>Valider.
Procédure étape par étape
Pour configurer une stratégie de Sécurité du contenu pour l’antivirus Sophos :
-
Accédez à la hiérarchie de sécurité d’édition de la Sécurité du contenu.
[edit] user@host# edit security utm
-
Créez la politique de sécurité du contenu utmp3 et attachez-la au profil http sophos-prof1. Vous pouvez utiliser les paramètres par défaut du profil de fonctionnalité Sophos en remplaçant sophos-prof1 dans l’instruction ci-dessus par junos-sophos-av-defaults.
[edit security utm] user@host# set utm-policy utmp3 anti-virus http-profile sophos-prof1
Vérification
Vérifiez la configuration de la stratégie de Sécurité du contenu
Objet
Pour vérifier la configuration de la stratégie de Sécurité du contenu.
Mesures à prendre
Depuis le mode opérationnel, entrez la show security utm utm-policy utmp3 commande.
Exemple : configuration des stratégies de sécurité du pare-feu de l’antivirus Sophos
Cet exemple montre comment créer une stratégie de sécurité pour l’antivirus Sophos.
Exigences
Avant de créer la stratégie de sécurité, créez des objets personnalisés, le profil de fonctionnalités Sophos et la stratégie de sécurité du contenu.
-
Configurez les objets personnalisés et les listes MIME de Sécurité du contenu. Voir Exemple : Configuration des objets personnalisés Sophos Antivirus.
Configurez le profil des fonctionnalités antivirus Sophos. Voir Exemple : Configuration du profil de fonctionnalités de Sophos Antivirus.
-
Configurez une stratégie de Sécurité du contenu. Voir Exemple : Configuration des stratégies de sécurité du contenu de Sophos Antivirus.
Vue d’ensemble
Créez une stratégie de sécurité de pare-feu qui entraînera l’analyse du trafic de la zone non approuvée vers la zone approuvée par l’antivirus Sophos à l’aide des paramètres de profil de fonctionnalités définis dans Exemple : Configuration du profil de fonctionnalités de Sophos Antivirus. Étant donné que la configuration de l’application correspondante est définie sur any, tous les types d’applications seront analysés.
La configuration
Procédure
Configuration rapide de l’interface graphique
Procédure étape par étape
Pour configurer une stratégie de sécurité pour l’antivirus Sophos :
Configurez la stratégie « ne pas faire confiance à l’approbation » pour qu’elle corresponde à une adresse source ou une adresse de destination, puis sélectionnez les applications à analyser vers
any.Procédure étape par étape
Cliquez sur l’onglet Configurer dans la barre des tâches, puis sélectionnez Sécurité>Stratégie>Stratégies FW. Sélectionnez ensuite Ajouter.
Dans la zone Nom de la stratégie, tapez p3.
Dans la zone Action de stratégie, sélectionnez Autoriser.
Dans la liste Zone d’origine, sélectionnez Ne pas faire confiance.
Dans la liste Zone de destination, sélectionnez Approuver.
Dans les zones Adresse source et Adresse de destination, assurez-vous que Correspondant est défini sur any.
Dans les zones Applications, sélectionnez-en une dans la liste Application/Ensembles et déplacez-la vers la liste Correspondant.
-
Attachez la stratégie de Sécurité de contenu nommée utmp3 à la stratégie de sécurité du pare-feu. Le trafic correspondant sera alors analysé par la fonction antivirus de Sophos.
Procédure étape par étape
-
Dans la zone Modifier la stratégie, cliquez sur l’onglet Services d’application .
-
Dans la liste Stratégie de sécurité du contenu, sélectionnez utmp3.
-
Cliquez sur OK pour vérifier votre configuration et l’enregistrer en tant que configuration candidate.
Si vous avez terminé de configurer l’appareil, sélectionnez Actions>Valider.
Procédure étape par étape
Pour configurer une stratégie de sécurité pour l’antivirus Sophos :
Configurez la stratégie de non-confiance à confiance pour qu’elle corresponde à n’importe quelle adresse source.
[edit security] user@host# set policies from-zone untrust to-zone trust policy p3 match source-address any
Configurez la stratégie « ne pas faire confiance à approuver » pour qu’elle corresponde à n’importe quelle adresse de destination.
[edit security] user@host# set policies from-zone untrust to-zone trust policy p3 match destination-address any
Configurez la stratégie « ne pas faire confiance à approuver » pour qu’elle corresponde à n’importe quel type d’application.
[edit security] user@host# set policies from-zone untrust to-zone trust policy p3 match application any
-
Attachez la stratégie de Sécurité de contenu nommée utmp3 à la stratégie de sécurité du pare-feu. Le trafic correspondant sera alors analysé par la fonction antivirus de Sophos.
[edit security] user@host# set policies from-zone untrust to-zone trust policy p3 then permit application-services utm-policy utmp3
Vérification
Pour vérifier la configuration, entrez la show security policies commande.
Vérifiez la configuration de la stratégie de Sécurité
Objet
Pour vérifier la configuration de la stratégie de sécurité, entrez la show security policies commande.
Mesures à prendre
Depuis le mode opérationnel, entrez la show security policies commande.
Exemple : Configurer Sophos Antivirus Live Protection version 2.0
Utilisez cet exemple de configuration pour configurer et vérifier la version 2.0 de la protection en direct de l’antivirus Sophos sur votre appareil. Sophos antivirus est une solution antivirus dans le cloud. Les modèles de virus et la base de données de logiciels malveillants sur les serveurs externes gérés par les serveurs Sophos (Sophos Extensible List) isolent et protègent votre appareil. À partir de la version 23.1R1 de Junos OS, la sécurité du contenu prend en charge la protection en direct de l’antivirus Sophos version 2.0. La nouvelle version de l’antivirus utilise le protocole HTTPS pour communiquer entre le pare-feu SRX Series et le serveur Sophos.
| Score de lisibilité |
|
| Temps de lecture |
Moins de 15 minutes. |
| Temps de configuration |
Moins d’une heure. |
- Exemples de prérequis
- Avant de commencer
- Aperçu fonctionnel
- Présentation de la topologie
- Illustration de la topologie
- Configuration étape par étape sur l’équipement sous test (DUT)
- Vérification
- Annexe 1 : Définir des commandes sur tous les appareils
- Annexe 2 : Afficher la sortie de configuration sur l’ASE
Exemples de prérequis
| Exigences matérielles | Pare-feu SRX Series et Pare-feu virtuel vSRX |
| Logiciels exigences | Junos OS version 23.1R1 ou ultérieure |
| Exigences en matière de licence | Licence Sophos antivirus live protection version 2.0 Utilisez la |
Avant de commencer
| Avantages |
Les modèles de virus et la base de données de logiciels malveillants sur les serveurs externes gérés par les serveurs Sophos (Sophos Extensible List) isolent et protègent votre appareil. Fournit une connexion sécurisée basée sur HTTPS entre le pare-feu SRX Series et le serveur Sophos. |
| Ressources utiles : |
|
| En savoir plus |
|
| Expérience pratique |
|
| Pour en savoir plus |
|
Aperçu fonctionnel
Le Tableau 2 fournit un résumé rapide des composants de configuration déployés dans cet exemple.
| Profils |
|
| Profil d’initiation | La configuration du serveur Sophos sur le pare-feu SRX Series inclut le profil de lancement SSL ( Le profil d’initiation est obligatoire pour permettre au pare-feu SRX Series d’initier une session HTTPS avec le serveur Sophos pour vérifier les paquets. Le profil d’initiation SSL chiffre et déchiffre également les paquets à destination et en provenance du serveur Sophos. |
| Profil de proxy | Le profil proxy SSL, |
| Profil des fonctionnalités |
Le profil Vous pouvez avoir plusieurs profils de fonctionnalités pour différentes stratégies de sécurité du contenu. |
| Politiques |
|
| Politique de sécurité du contenu |
La stratégie content_security_p1de sécurité du contenu , , définit les protocoles antivirus (HTTP, FTP, SMTP, POP3 et IMAP) et attache cette stratégie à un profil de fonctionnalité de sécurité, |
| Politiques de sécurité |
Deux stratégies de sécurité ( Nous joignons la |
| Zones de sécurité |
|
|
|
Segment réseau dans la zone hôte (Client). |
|
|
Segment réseau dans la zone du serveur de destination (service Web). |
|
|
Segment réseau par lequel le pare-feu SRX Series interagit avec le serveur Sophos. |
| Protocoles |
|
| HTTPS |
Des sessions HTTPS sont établies entre le client et le serveur Web, entre le pare-feu SRX Series et le serveur Sophos. |
| Tâches de vérification primaire |
|
Présentation de la topologie
Dans cet exemple, le client initie une demande au service Web via le pare-feu SRX Series. Lorsque le pare-feu SRX Series reçoit la demande, il contacte le serveur Sophos pour vérifier l’authenticité du service Web. L’antivirus Sophos version 2.0 utilise la connexion HTTPS pour la communication entre le pare-feu SRX Series et le serveur Sophos. En fonction de la réponse reçue du serveur Sophos, le pare-feu SRX Series autorise ou bloque le trafic tel que défini dans la stratégie de sécurité du contenu.
| rôle | des composants de topologie | |
|---|---|---|
| Maître d’ouvrage | Service Web des demandes | Initie une session HTTPS avec le serveur Web via le pare-feu SRX Series. |
| Pare-feu SRX Series | Pare-feu de Juniper Network | Initie une session HTTPS avec le serveur antivirus Sophos. Il chiffre et déchiffre également les paquets pour le client. |
| Serveur Sophos | Serveur antivirus | authentifie le contenu reçu du pare-feu SRX Series. |
| Serveur Web | Fournisseur de services Web | Répond à la demande du client. |
Illustration de la topologie
Configuration étape par étape sur l’équipement sous test (DUT)
Pour obtenir des exemples complets de configurations sur le DUT, voir :
-
Configurez les interfaces des appareils.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet address 192.0.2.254/24 user@host# set ge-0/0/1 unit 0 family inet address 203.0.113.254/24 -
Activez l’antivirus Sophos sur l’appareil. Configurez le mode de transfert et le type de trafic que l’antivirus Sophos doit vérifier.
[edit security] user@host# set utm default-configuration anti-virus type sophos-engine user@host# set utm default-configuration anti-virus forwarding-mode inline-tap user@host# set utm default-configuration anti-virus scan-options no-uri-check -
Définissez un profil d’initiation SSL à ajouter à la configuration du serveur Sophos sur le pare-feu SRX Series.
[edit services] user@host# set ssl initiation profile ssl_init_prof client-certificate content_security_cert user@host# set ssl initiation profile ssl_init_prof actions ignore-server-auth-failure -
Incluez le profil d’initiation SSL dans la configuration du serveur Sophos. Cette configuration est obligatoire pour permettre au pare-feu SRX Series d’initier une session HTTPS avec le serveur Sophos pour vérifier les paquets. Le profil d’initiation chiffre et déchiffre également les paquets à destination et en provenance du serveur Sophos.
[edit security] user@host# set utm default-configuration anti-virus sophos-engine server ssl-profile ssl_init_prof -
Définissez un profil de proxy SSL à appliquer aux stratégies de sécurité. Le profil de proxy SLL permet au pare-feu SRX Series de déchiffrer les paquets en vue d’un traitement ultérieur des demandes.
[edit services] user@host# set ssl proxy profile ssl_pr1 root-ca content_security_cert user@host# set ssl proxy profile ssl_pr1 actions ignore-server-auth-failure -
Définissez le profil de fonctionnalité pour indiquer le type de trafic que l’antivirus Sophos doit vérifier en joignant le profil aux politiques de sécurité du contenu. Vous pouvez définir plusieurs profils de fonctionnalités pour différentes stratégies de sécurité du contenu.
[edit security] user@host# set utm feature-profile anti-virus profile content_security_sav_fp -
Définir des zones de sécurité.
[edit security zones] user@host# set security-zone untrust description untrust user@host# set security-zone untrust host-inbound-traffic system-services all user@host# set security-zone untrust host-inbound-traffic protocols all user@host# set security-zone untrust interfaces ge-0/0/1.0 user@host# set security-zone trust description trust user@host# set security-zone trust host-inbound-traffic system-services all user@host# set security-zone trust host-inbound-traffic protocols all user@host# set security-zone trust interfaces ge-0/0/0.0 user@host# set security-zone internet description internet -
Définissez une politique de sécurité du contenu et joignez-y un profil de fonctionnalités pour indiquer le type de trafic que le serveur Sophos doit vérifier.
[edit security utm] user@host# set utm-policy content_security_p1 anti-virus http-profile content_security_sav_fp user@host# set utm-policy content_security_p1 anti-virus ftp upload-profile content_security_sav_fp user@host# set utm-policy content_security_p1 anti-virus ftp download-profile content_security_sav_fp user@host# set utm-policy content_security_p1 anti-virus smtp-profile content_security_sav_fp user@host# set utm-policy content_security_p1 anti-virus pop3-profile content_security_sav_fp user@host# set utm-policy content_security_p1 anti-virus imap-profile content_security_sav_fp -
Définissez des stratégies de sécurité et configurez des critères de correspondance à appliquer au trafic entre les différentes zones de sécurité.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match source-address any user@host# set from-zone trust to-zone trust policy p1 match destination-address any user@host# set from-zone trust to-zone trust policy p1 match application any user@host# set from-zone trust to-zone trust policy p1 then permit application-services ssl-proxy profile-name ssl_pr1 user@host# set from-zone trust to-zone trust policy p1 then permit application-services utm-policy content_security_p1 user@host# set from-zone trust to-zone trust policy trust_to_internet match source-address any user@host# set from-zone trust to-zone trust policy trust_to_internet match destination-address any user@host# set from-zone trust to-zone trust policy trust_to_internet match application any user@host# set from-zone trust to-zone trust policy trust_to_internet then permit user@host# set default-policy permit-all
Vérification
Fournissez une liste des commandes show utilisées pour vérifier la fonctionnalité dans cet exemple.
| Tâche de vérification | des commandes |
|---|---|
| Afficher l’état de l’antivirus UTM de sécurité | Affiche le type et l’état de l’antivirus installé sur votre appareil. |
| Afficher les statistiques de l’antivirus UTM de sécurité | Affiche les statistiques de performances de l’antivirus sur votre appareil. |
- Vérification du type de moteur d’analyse antivirus
- Vérification des performances du moteur d’analyse antivirus
Vérification du type de moteur d’analyse antivirus
Objet
Vérifiez le type de moteur d’analyse antivirus installé sur votre appareil.
Mesures à prendre
En mode opérationnel, entrez le show security utm anti-virus status pour afficher l’état de l’antivirus installé.
user@host> show security utm anti-virus status
UTM anti-virus status:
Anti-virus key expire date: 2024-02-23 16:00:00
Forwarding-mode: continuous delivery
Scan engine type: sophos-engine
Scan engine information: running
Signification
L’exemple de sortie confirme que l’antivirus Sophos est disponible sur votre appareil.
Vérification des performances du moteur d’analyse antivirus
Objet
Vérifiez les performances du moteur d’analyse antivirus sur votre appareil.
Mesures à prendre
En mode opérationnel, entrez le show security utm anti-virus statistics pour afficher les statistiques de performance de l’antivirus sur votre appareil.
user@host> show security utm anti-virus statistics
UTM Anti Virus statistics:
Intelligent-prescreening passed: 0
MIME-whitelist passed: 0
URL-whitelist passed: 0
Session abort: 0
Scan Request:
Total Clean Threat-found Fallback
2 1 1 0
Fallback:
Log-and-Permit Block Permit
Engine not ready: 0 0 0
Out of resources: 0 0 0
Timeout: 0 0 0
Maximum content size: 0 0 0
Too many requests: 0 0 0
Decompress error: 0 0 0
Others: 0 0 0
Signification
L’exemple de valeur de sortie Threat-found montre que l’antivirus a détecté 1 menace. Les autres valeurs statistiques sont sûres.
Annexe 1 : Définir des commandes sur tous les appareils
Définir la sortie de commande sur tous les appareils.
set security utm default-configuration anti-virus type sophos-engine set security utm default-configuration anti-virus forwarding-mode inline-tap set security utm default-configuration anti-virus scan-options no-uri-check set security utm default-configuration anti-virus sophos-engine server ssl-profile ssl_init_prof set security utm feature-profile anti-virus profile content_security_sav_fp set security utm utm-policy content_security_p1 anti-virus http-profile content_security_sav_fp set security utm utm-policy content_security_p1 anti-virus ftp upload-profile content_security_sav_fp set security utm utm-policy content_security_p1 anti-virus ftp download-profile content_security_sav_fp set security utm utm-policy content_security_p1 anti-virus smtp-profile content_security_sav_fp set security utm utm-policy content_security_p1 anti-virus pop3-profile content_security_sav_fp set security utm utm-policy content_security_p1 anti-virus imap-profile content_security_sav_fp set security zones security-zone untrust description untrust set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust description trust set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone internet description internet set security policies from-zone trust to-zone untrust policy p1 match source-address any set security policies from-zone trust to-zone untrust policy p1 match destination-address any set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 then permit application-services ssl-proxy profile-name ssl_pr1 set security policies from-zone trust to-zone untrust policy p1 then permit application-services utm-policy content_security_p1 set security policies from-zone trust to-zone internet policy trust_to_internet match source-address any set security policies from-zone trust to-zone internet policy trust_to_internet match destination-address any set security policies from-zone trust to-zone internet policy trust_to_internet match application any set security policies from-zone trust to-zone internet policy trust_to_internet then permit set security policies default-policy permit-all set services ssl initiation profile ssl_init_prof client-certificate content_security-cert set services ssl initiation profile ssl_init_prof actions ignore-server-auth-failure set services ssl proxy profile ssl_pr1 root-ca content_security-cert set services ssl proxy profile ssl_pr1 actions ignore-server-auth-failure
Annexe 2 : Afficher la sortie de configuration sur l’ASE
Afficher la sortie de commande sur le DUT.
En mode configuration, confirmez votre configuration en entrant les show security utmcommandes , , show security policiesshow interfacesshow security zones, , et .show services ssl Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
user@host# show security utm
default-configuration {
anti-virus {
type sophos-engine;
forwarding-mode {
inline-tap;
}
scan-options {
no-uri-check;
}
sophos-engine {
server {
ssl-profile ssl_init_prof;
}
}
}
}
utm-policy P1 {
anti-virus {
http-profile junos-sophos-av-defaults;
}
}
utm-policy content_security_p1 {
anti-virus {
http-profile content_security_sav_fp;
ftp {
upload-profile content_security_sav_fp;
download-profile content_security_sav_fp;
}
smtp-profile content_security_sav_fp;
pop3-profile content_security_sav_fp;
imap-profile content_security_sav_fp;
}
}
user@host# show show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.0.2.254/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 203.0.113.254/24;
}
}
}
user@host# show security zones
security-zone untrust {
description untrust;
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone trust {
description trust;
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone internet {
description internet;
}
user@host# show security policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
ssl-proxy {
profile-name ssl_pr1;
}
utm-policy content_security_p1;
}
}
}
}
}
from-zone trust to-zone internet {
policy trust_to_internet {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
default-policy {
permit-all;
}
user@host# show services ssl
initiation {
profile ssl_init_prof {
client-certificate content_security-cert;
actions {
ignore-server-auth-failure;
}
}
}
proxy {
profile ssl_pr1 {
root-ca content_security-cert;
actions {
ignore-server-auth-failure;
}
}
}
Configurer les groupes de réputation de fichiers antivirus Sophos
L’antivirus Sophos classe le trafic entrant en quatre groupes de réputation de fichiers, ce qui vous permet de contrôler le trafic et de mieux contrôler la sécurité. Le Tableau 3 répertorie les quatre groupes de réputation de fichiers.
| Groupe de réputation des fichiers |
Valeur de la réputation des fichiers |
Action sur la réputation des fichiers |
|---|---|---|
| Malwares |
≤19 |
Bloquer |
| Applications potentiellement indésirables |
Du 20 au 29 |
Vous pouvez configurer pour autoriser, enregistrer et autoriser, ou bloquer le trafic selon vos besoins. |
| Inconnu |
30 à 69 |
Vous pouvez configurer pour autoriser, enregistrer et autoriser, ou bloquer le trafic selon vos besoins. |
| Bon connu/Propre |
≥70 |
Permis |
Pour configurer l’action de réputation de fichier, utilisez les commandes suivantes :
-
Configurer l’action de réputation de fichier pour le trafic d’applications potentiellement indésirables :
[edit] user@host# set security utm default-configuration anti-virus sophos-engine file-reputation-action potentially-unwanted-applications (block | log-and-permit | permit)
-
Configurer l’action de réputation de fichier pour le trafic inconnu :
[edit] user@host# set security utm default-configuration anti-virus sophos-engine file-reputation-action unknown (block | log-and-permit | permit)
Vous pouvez afficher l’état de l’action de réputation des fichiers à l’aide de la commande show security utm anti-virus statistics .
Voir aussi
Configurer Sophos Antivirus Live Protection version 2.0 avec le proxy Web
Vous pouvez utiliser un serveur proxy pour établir une connexion sécurisée entre votre équipement de sécurité et le serveur Sophos. Lorsque vous configurez un serveur proxy, votre appareil établit une connexion avec le serveur proxy, puis le serveur proxy initie une nouvelle connexion avec le serveur Sophos.
Pour configurer le serveur proxy :
-
Créez un profil d’initiation SSL, voir profil (Initiation SSL).
-
Attachez le profil d’initiation SSL à la configuration par défaut de Sophos :
[edit] user@host# set security utm default-configuration anti-virus sophos-engine server ssl-profile ssl-profile-name
-
Configurez le profil de proxy :
[edit] user@host# set services proxy profile proxy-profile-name protocol http host host-name user@host# set services proxy profile proxy-profile-name protocol http port port-number
-
Attachez le profil de proxy Web à la configuration par défaut de Sophos :
[edit] user@host# set security utm default-configuration anti-virus sophos-engine server proxy-profile proxy-profile-name
Vous pouvez afficher l’état du serveur proxy à l’aide de la commande show security utm anti-virus status .
Voir aussi
Gestion des fichiers de données de l’antivirus Sophos
Avant de commencer :
Installez une licence antivirus Sophos. Voir le Installation and Upgrade Guide.
Configurez Sophos comme fonctionnalité antivirus pour l’appareil. Voir Exemple : Configuration du profil de fonctionnalités de Sophos Antivirus. Pour définir le type de moteur antivirus, vous exécutez l’instruction
set security utm feature-profile anti-virus type sophos-engine.
Dans cet exemple, vous configurez le périphérique de sécurité pour mettre à jour automatiquement les fichiers de données toutes les 4320 minutes (tous les 3 jours). L’intervalle de mise à jour par défaut du fichier de données est de 1440 minutes (toutes les 24 heures).
Pour mettre à jour automatiquement les fichiers de données Sophos :
[edit security utm feature-profile anti-virus] user@host# set sophos-engine pattern-update interval 4320
Les commandes suivantes sont exécutées à partir du mode opérationnel de la CLI.
Pour mettre à jour manuellement les fichiers de données :
user@host> request security utm anti-virus sophos-engine pattern-update
Pour recharger manuellement les fichiers de données :
user@host> request security utm anti-virus sophos-engine pattern-reload
Pour supprimer manuellement des fichiers de données :
user@host> request security utm anti-virus sophos-engine pattern-delete
Pour vérifier l’état de l’antivirus, qui indique également la version des fichiers de données :
user@host> show security utm anti-virus status
Pour vérifier l’état du serveur proxy :
user@host> show security utm anti-virus status
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.