SUR CETTE PAGE
Comprendre la mise à jour du fichier de données de Sophos Antivirus
Exemple : Configuration des objets personnalisés de Sophos Antivirus
Exemple : Configuration du profil de fonctionnalité de Sophos Antivirus
Exemple : Configuration des stratégies de sécurité du contenu de Sophos Antivirus
Exemple : Configuration des stratégies de sécurité du pare-feu Sophos Antivirus
Exemple : Configurer Sophos Antivirus Live Protection version 2.0
Sophos Antivirus Protection
Le scanner antivirus Sophos utilise un cache interne local pour conserver les réponses aux requêtes du serveur de liste externe afin d’améliorer les performances de recherche. L’analyse antivirus de Sophos est proposée comme une alternative moins gourmande en ressources processeur à la fonction antivirus complète basée sur les fichiers. Pour plus d’informations, consultez les rubriques suivantes :
Présentation de Sophos Antivirus Protection
L’antivirus Sophos est une solution antivirus dans le cloud. La base de données de modèles de virus et de logiciels malveillants se trouve sur des serveurs externes gérés par des serveurs Sophos (Sophos Extensible List). Il n’est donc pas nécessaire de télécharger et de gérer de grandes bases de données de modèles sur l’équipement Juniper. Avant Junos OS version 23.1R1, l’analyseur antivirus Sophos utilisait également un cache interne local pour conserver les réponses aux requêtes du serveur de liste externe afin d’améliorer les performances de recherche.
Une grande partie du trafic traité par Juniper Content Security étant basée sur le protocole HTTP, la vérification URI (Uniform Resource Identifier) est utilisée pour empêcher efficacement tout contenu malveillant d’atteindre le client ou le serveur du point de terminaison. Les vérifications suivantes sont effectuées pour le trafic HTTP : recherche d’URI, détection du type de fichier réel et recherche de la somme de contrôle du fichier. Les protocoles de couche applicative suivants sont pris en charge : HTTP, FTP, SMTP, POP3 et IMAP.
La fonctionnalité antivirus complète basée sur les fichiers n’est pas prise en charge à partir de Junos OS version 15.1X49-D10 et de Junos OS version 17.3R1. Pour les versions précédentes, l’analyse antivirus de Sophos est proposée comme une alternative moins gourmande en ressources CPU à la fonction antivirus complète basée sur les fichiers. Sophos prend en charge les mêmes protocoles qu’un antivirus complet et fonctionne à peu près de la même manière ; Cependant, il a une empreinte mémoire plus petite et est compatible avec les appareils bas de gamme qui ont moins de mémoire.
À partir de Junos OS version 15.1X49-D100, le trafic pass-through IPv6 pour les protocoles HTTP, HTTPS, FTP, SMTP, POP3, IMAP est pris en charge pour les fonctionnalités de sécurité de l’antivirus Sophos, du filtrage Web et du filtrage de contenu de Content Security.
À partir de Junos OS version 12.3X48-D35 et de Junos OS version 17.3R1, le débit d’une session unique de l’antivirus Content Security Sophos (SAV) est augmenté pour optimiser le transfert tcp-proxy.
À partir de Junos OS version 19.4R1, la fonctionnalité antivirus prend en charge les protocoles SMTPS, IMAP et POP3S implicites et explicites, et prend uniquement en charge le mode passif explicite FTPS.
Mode implicite : connectez-vous au port chiffré SSL/TLS à l’aide d’un canal sécurisé.
Mode explicite : connectez-vous d’abord au canal non sécurisé, puis sécurisez la communication en émettant la commande STARTTLS. Pour POP3S, utilisez la commande STLS.
À partir de Junos OS version 23.1R1, la sécurité du contenu prend en charge le nouvel antivirus Sophos Live Protection version 2.0. La nouvelle version de l’antivirus Sophos utilise une connexion HTTPS pour la communication entre l’appareil et le serveur. Pour la connexion HTTPS, vous devez créer un profil d’initiation SSL et ajouter le profil à la configuration par défaut du moteur Sophos.
Voir aussi
Fonctionnalités de Sophos Antivirus
L’antivirus Sophos présente les principales caractéristiques suivantes :
Sophos antivirus expanded MIME decoding support—L’antivirus Sophos prend en charge le décodage pour HTTP, POP3, SMTP et IMAP. La prise en charge du décodage MIME inclut les éléments suivants pour chaque protocole pris en charge :
Décodage d’en-têtes en plusieurs parties et imbriqués
Décodage Base64, décodage de citations imprimées et décodage de mots codés dans le champ objet
Sophos antivirus supports HTTPS traffic—À partir de Junos OS version 12.3X48-D25 et Junos OS version 17.3R1, Sophos antivirus sur proxy de transfert SSL prend en charge le trafic HTTPS. Pour ce faire, l’antivirus Sophos sur proxy de transfert SSL intercepte le trafic HTTPS passant par le pare-feu SRX Series. Le canal de sécurité du pare-feu SRX Series est divisé en un canal SSL entre le client et le pare-feu SRX Series et un autre canal SSL entre le pare-feu SRX Series et le serveur HTTPS. Le proxy de transfert SSL fait office de terminal pour les deux canaux et transfère le trafic en clair vers Content Security. Content Security extrait l’URL et les informations de somme de contrôle du fichier du trafic en clair. L’analyseur antivirus Sophos détermine s’il faut bloquer ou autoriser les requêtes.
Le proxy de transfert SSL ne prend pas en charge l’authentification client. Si l’authentification du client est requise par le serveur, Content Security contourne le trafic. La sécurité du contenu contourne le trafic HTTPS dans les conditions suivantes :
Si le proxy SSL n’analyse pas le premier paquet d’établissement de liaison du client, le proxy de transfert SSL contourne le trafic.
Si l’établissement de liaison du proxy SSL avec le client et le serveur est incomplet en raison de problèmes de compatibilité, la connexion est interrompue.
Si les ressources système sont faibles, le proxy de transfert SSL ne peut pas gérer la nouvelle connexion et l’antivirus Sophos contourne le trafic.
Si le trafic HTTPS atteint la liste d’autorisation du proxy de transfert SSL, le proxy de transfert SSL et l’antivirus Sophos contournent le trafic.
Sophos antivirus scan result handling—Avec l’antivirus Sophos, le TCP, le trafic est fermé en douceur lorsqu’un virus est détecté et que le contenu des données est supprimé.
Les options de mode d’échec suivantes sont prises en charge : content-size, default, engine-not-ready, out-of-resource, timeout et too-many-requests. Vous pouvez définir les actions suivantes : bloquer, enregistrer et autoriser et autoriser. La gestion en mode échec des options prises en charge avec Sophos est à peu près la même qu’avec un antivirus complet.
Sophos Uniform Resource Identifier checking—Sophos fournit une vérification URI (Uniform Resource Identifier), qui est similaire aux recherches RBL (Null Route List) en temps réel antispam. La vérification des URI est un moyen d’analyser le contenu des URI dans le trafic HTTP par rapport à la base de données Sophos afin d’identifier les logiciels malveillants ou les contenus malveillants. Étant donné que les programmes malveillants sont principalement statiques, un mécanisme de somme de contrôle est utilisé pour identifier les programmes malveillants afin d’améliorer les performances. Les fichiers capables d’utiliser une somme de contrôle sont .exe, .zip, .rar, .swf, .pdf et .ole2 (doc et xls).
Si vous disposez d’un équipement Juniper Networks protégeant un réseau interne dépourvu de trafic HTTP ou dont les serveurs Web ne sont pas accessibles à l’extérieur, désactivez la vérification des URI. Si les serveurs web ne sont pas accessibles au monde extérieur, il est peu probable qu’ils contiennent des informations d’URI qui se trouvent dans la base de données d’URI de Sophos. La vérification de l’URI est activée par défaut.
À partir de Junos OS version 18.4R1, la vérification de l’URI est désactivée par défaut.
Voir aussi
Comprendre la mise à jour du fichier de données de Sophos Antivirus
L’antivirus Sophos utilise un petit ensemble de fichiers de données qui doivent être mis à jour périodiquement. Ces fichiers de données ne contiennent que des informations sur le guidage de la logique de balayage et ne contiennent pas la base de données complète des motifs. La base de données principale des modèles, qui comprend la protection contre les virus critiques, les vérifications d’URI, les logiciels malveillants, les vers, les chevaux de Troie et les logiciels espions, est située sur les serveurs distants de la liste extensible Sophos gérés par Sophos.
Les fichiers de données Sophos sont mis à jour via HTTP ou HTTPS et peuvent être mis à jour manuellement ou programmés pour être mis à jour automatiquement. Avec l’antivirus Sophos :
Par défaut, l’intervalle de mise à jour automatique de la base de données de signatures est d’une fois par jour. Cet intervalle peut être modifié.
Il n’y a pas d’interruption de la capacité d’analyse antivirus pendant la mise à jour du fichier de données. En cas d’échec de la mise à jour, les fichiers de données existants continueront d’être utilisés.
Par défaut, l’URL de mise à jour du fichier de données de l’antivirus Sophos est http://update.juniper-updates.net/SAV/.
La fonction d’analyse antivirus de Sophos est un service d’abonnement sous licence distincte. Lorsque votre clé de licence antivirus expire, la fonctionnalité ne fonctionnera plus car la base de données de recherche de modèles se trouve sur des serveurs Sophos distants. Vous disposez d’un délai de grâce de 30 jours pour mettre à jour votre licence.
Voir aussi
Comparaison de Sophos Antivirus à Kaspersky Antivirus
La fonctionnalité Kaspersky and Express Antivirus n’est pas prise en charge à partir de Junos OS version 15.1x49-D10 et de Junos OS version 17.3R1. Pour les versions précédentes, Sophos Antivirus ressemble beaucoup à Juniper Express Antivirus et présente également des similitudes avec la fonctionnalité Full Antivirus :
Contrairement aux solutions Juniper Express et Full Antivirus, la base de données antivirus et de logiciels malveillants de Sophos est stockée sur un groupe de serveurs distants de Sophos Extensible List. Les requêtes sont effectuées à l’aide du protocole DNS. Sophos gère ces serveurs, de sorte qu’il n’est pas nécessaire de télécharger et de maintenir de grandes bases de données de modèles sur l’appareil Juniper. Parce que la base de données est distante et qu’il y a une réponse plus rapide aux nouvelles épidémies de virus. La base de données antivirus n’a pas de limite de taille, mais il y a une limitation avec la taille du fichier d’analyse.
Note:L’antivirus Sophos utilise un ensemble de fichiers de données qui doivent être mis à jour régulièrement. Il ne s’agit pas de fichiers de modèles de virus typiques. Il s’agit d’un ensemble de petits fichiers qui aident à guider la logique de l’analyse antivirus. Vous pouvez télécharger manuellement les fichiers de données ou configurer le téléchargement automatique.
Sophos ne fournit pas la même détection de préfiltrage que Kaspersky Antivirus. Sophos fournit une solution similaire qui fait partie du moteur Sophos et ne peut pas être activée et désactivée.
La fonction d’analyse antivirus de Sophos est un service d’abonnement sous licence distincte. De plus, la base de données de recherche de modèles est située sur des serveurs distants gérés par Sophos, de sorte que lorsque votre clé de licence antivirus expire, la fonctionnalité ne fonctionnera plus. Vous disposez d’un délai de grâce de 30 jours pour mettre à jour votre licence.
Voir aussi
Présentation de la configuration de Sophos Antivirus
L’antivirus Sophos fait partie de l’ensemble des fonctionnalités Content Security, vous devez donc d’abord configurer les options Content Security (objets personnalisés), configurer la fonctionnalité Sophos, puis créer une politique Content Security et une politique de sécurité. La stratégie de sécurité contrôle tout le trafic transféré par l’appareil, et la stratégie de sécurité du contenu spécifie les paramètres à utiliser pour analyser le trafic. La stratégie de sécurité du contenu est également utilisée pour lier un ensemble de protocoles à un ou plusieurs profils de fonctionnalités de sécurité du contenu, y compris l’antivirus Sophos dans ce cas.
Pour configurer l’antivirus Sophos, vous devez effectuer les tâches suivantes :
- Configurez les objets personnalisés Content Security et les listes MIME. Voir Exemple : configuration des objets personnalisés de Sophos Antivirus,
- Configurez le profil de fonctionnalités de l’antivirus Sophos. Reportez-vous à la section Exemple : Configuration du profil de fonctionnalité de Sophos Antivirus.
- Configurez une stratégie de sécurité du contenu. Voir Exemple : Configuration des stratégies de sécurité du contenu Sophos Antivirus
- Configurez une stratégie de sécurité. Reportez-vous à la section Exemple : Configuration des stratégies de sécurité du pare-feu Sophos Antivirus.
Pour configurer Sophos antivirus Live Protection version 2.0, reportez-vous à la section Exemple : Configurer Sophos Antivirus Live Protection version 2.0.
Pour configurer l’antivirus Sophos sur le proxy de transfert SSL afin de prendre en charge le trafic HTTPS, consultez Configurer le proxy SSL avec Content Security.
Exemple : Configuration des objets personnalisés de Sophos Antivirus
Cet exemple vous montre comment créer des objets personnalisés globaux Content Security à utiliser avec l’antivirus Sophos.
Exigences
Avant de commencer, découvrez les objets personnalisés Content Security. Reportez-vous à la section Présentation de la sécurité des contenus.
Aperçu
Configurez les listes MIME. Cela inclut la création d’une liste d’autorisation MIME et d’une liste d’exceptions MIME pour l’analyse antivirus. Dans cet exemple, vous ignorez l’analyse des vidéos QuickTime, sauf si elles contiennent le type MIME quicktime-inappropriate.
Configuration
Procédure
Configuration rapide de l’interface graphique
Procédure étape par étape
Pour configurer une liste MIME :
Cliquez sur l’onglet Configurer dans la barre des tâches, puis sélectionnez Sécurité>UTM>Objets personnalisés.
Cliquez sur l’onglet Liste de modèles MIME , puis sur Ajouter.
Dans la zone Nom du modèle MIME, tapez avmime2.
Dans la zone Valeur du modèle MIME, tapez video/quicktime, puis cliquez sur Ajouter.
Dans la zone Valeur du modèle MIME, tapez image/x-portable-anympa, puis cliquez sur Ajouter.
Dans la zone Valeur du modèle MIME, tapez x-world/x-vrml, puis cliquez sur Ajouter.
Procédure étape par étape
Pour configurer une liste d’exceptions MIME :
Cliquez sur l’onglet Configurer dans la barre des tâches, puis sélectionnez Sécurité>UTM>Objets personnalisés.
Cliquez sur l’onglet Liste des modèles MIME , puis sélectionnez Ajouter.
Dans la zone Nom du modèle MIME, tapez exception-avmime2.
Dans la zone Valeur du modèle MIME, tapez video/quicktime-inappropriate et cliquez sur Ajouter.
Procédure étape par étape
Configurez une liste de modèles d’URL (liste d’autorisation) d’URL ou d’adresses qui seront contournées par l’analyse antivirus. Une fois que vous avez créé la liste de modèles d’URL, vous allez créer une liste de catégories d’URL personnalisée et y ajouter la liste de modèles.
Étant donné que vous utilisez des listes de modèles d’URL pour créer des listes de catégories d’URL personnalisées, vous devez configurer des objets personnalisés de liste de modèles d’URL avant de configurer des listes de catégories d’URL personnalisées.
Pour configurer une liste d’autorisation de modèle d’URL :
Cliquez sur l’onglet Configurer dans la barre des tâches, puis sélectionnez Sécurité>UTM>Objets personnalisés.
Cliquez sur l’onglet Liste des modèles d’URL , puis sur Ajouter.
Dans la zone Nom du modèle d’URL, entrez urlist2.
Dans la zone Valeur du modèle d’URL, saisissez http://example.net. (Vous pouvez également utiliser l’adresse IP du serveur au lieu de l’URL.)
Procédure étape par étape
Enregistrez votre configuration :
Cliquez sur OK pour vérifier votre configuration et l’enregistrer en tant que configuration candidate.
Si vous avez terminé de configurer l’appareil, cliquez sur Actions>Valider.
Prise en charge des caractères génériques du modèle d’URL : la règle du caractère générique est la suivante : \*\.[] \ ?* et vous devez faire précéder toutes les URL génériques de http://. Vous ne pouvez utiliser « * » que s’il se trouve au début de l’URL et qu’il est suivi d’un « . ». Vous ne pouvez utiliser que « ? » à la fin de l’URL.
La syntaxe générique suivante est prise en charge : http://*. example.net, http://www.example.ne ?, http://www.example.n ??. La syntaxe générique suivante n’est pas prise en charge : *.example.net , www.example.ne ?, http ://*example.net, http://*.
Procédure étape par étape
Pour configurer la protection antivirus à l’aide de l’interface de ligne de commande, vous devez créer vos objets personnalisés dans l’ordre suivant :
Créez la liste d’autorisation MIME.
[edit security utm] user@host# set custom-objects mime-pattern avmime2 value [video/quicktime image/x-portable-anymap x-world/x-vrml]
Créez la liste d’exceptions MIME.
[edit security utm] user@host# set custom-objects mime-pattern exception-avmime2 value [video/quicktime-inappropriate]
Configurez une liste de modèles d’URL (liste d’autorisation) d’URL ou d’adresses que vous souhaitez ignorer. Une fois que vous avez créé la liste de modèles d’URL, vous créez une liste de catégories d’URL personnalisée et vous y ajoutez la liste de modèles. Configurez un objet personnalisé de liste de modèles d’URL en créant le nom de la liste et en y ajoutant des valeurs comme suit. Comme vous utilisez des listes de modèles d’URL pour créer des listes de catégories d’URL personnalisées, vous devez configurer des objets personnalisés de liste de modèles d’URL avant de configurer des listes de catégories d’URL personnalisées.
[edit security utm] user@host# set custom-objects url-pattern urllist2 value [http://www. example.net 192.168.1.5]
Note:Prise en charge des caractères génériques du modèle d’URL : la règle du caractère générique est la suivante : \*\.[] \ ?* et vous devez faire précéder toutes les URL génériques de http://. Vous ne pouvez utiliser « * » que s’il se trouve au début de l’URL et qu’il est suivi d’un « . ». Vous ne pouvez utiliser que « ? » à la fin de l’URL.
La syntaxe générique suivante est prise en charge : http://*. example.net, http://www.example.ne ?, http://www.example.n ??. La syntaxe générique suivante n’est pas prise en charge : *.example.net , www.example.ne ?, http ://*example.net, http://*.
Configurez un objet personnalisé de liste de catégories d’URL à l’aide de la liste de modèles d’URL urllist2 que vous avez créée précédemment :
[edit security utm] user@host# set custom-objects custom-url-category custurl2 value urllist2
Vérification
Vérifier la configuration des objets personnalisés de Sophos Antivirus
But
Pour vérifier la configuration des objets personnalisés de Sophos Antivirus., entrez la show security utm custom-objects commande.
Action
Depuis le mode opérationnel, entrez la show security utm custom-objects commande pour vérifier la configuration des objets personnalisés de Sophos Antivirus.
Exemple : Configuration du profil de fonctionnalité de Sophos Antivirus
Cet exemple vous montre comment configurer un profil antivirus Sophos qui définit les paramètres qui seront utilisés pour l’analyse antivirus.
Exigences
Avant de commencer :
Installez une licence antivirus Sophos. Reportez-vous au Guide d’installation et de mise à niveau.
Configurez des objets personnalisés pour Content Security. Reportez-vous à la section Exemple : Configuration des objets personnalisés de Sophos Antivirus.
Aperçu
La configuration suivante définit Sophos comme moteur antivirus et définit des paramètres, tels que l’intervalle de mise à jour des fichiers de données, les options de notification pour les administrateurs, les options de secours et les limites de taille des fichiers.
Le [edit security utm feature-profile] niveau hiérarchique est obsolète dans Junos OS version 18.2R1. Pour plus d’informations, reportez-vous à la section Présentation de la sécurité des contenus.
Configuration
Procédure
Configuration rapide de l’interface graphique
Procédure étape par étape
L’exemple suivant vous montre comment créer un profil Sophos personnalisé. Si vous souhaitez utiliser le profil préconfiguré de Juniper Networks, utilisez le profil junos-sophos-av-defaults dans votre stratégie de sécurité des contenus. Voir Exemple : Configuration des stratégies de sécurité du contenu Sophos Antivirus.
Sélectionnez et configurez le type de moteur. Parce que vous configurez Sophos antivirus, vous configurez sophos-engine :
Procédure étape par étape
Cliquez sur l’onglet Configurer dans la barre des tâches, puis sélectionnez Sécurité>UTM>Antivirus.
Cliquez sur l’onglet Options globales , puis sur Sophos.
Cliquez sur OK et validez vos modifications.
Revenez à l’écran Options globales de l’antivirus comme vous l’avez fait à l’étape 1 et définissez les paramètres suivants :
Procédure étape par étape
Dans la liste d’autorisation MIME, sélectionnez exception-avmime2.
Dans la liste d’autorisation des URL, sélectionnez custurl2.
Dans la zone Intervalle de mise à jour du modèle (s), tapez 2880.
Dans la zone, tapez l’adresse e-mail qui recevra les notifications de mise à jour du fichier de données de courrier électronique SophosAdmin. Par exemple - admin@ example.net.
Dans la zone Objet du message personnalisé, saisissez Sophos Data File Updated.
Cliquez sur OK pour vérifier votre configuration et l’enregistrer en tant que configuration candidate.
Configurez un profil pour le sophos-engine et définissez les paramètres.
Procédure étape par étape
Cliquez sur l’onglet Configurer dans la barre des tâches, puis sélectionnez Sécurité>UTM>Antivirus. Cliquez sur Ajouter.
Dans la zone Ajouter un profil, cliquez sur l’onglet Principal .
Dans la zone Nom du profil, tapez sophos-prof1.
Dans la zone Délai d’expiration du ruissellement, tapez 180.
Lors de l’activation de l’option de percolation, il est important de comprendre que la perforation peut envoyer une partie du fichier au client pendant l’analyse antivirus. Il est possible qu’une partie du contenu soit reçue par le client et que celui-ci soit infecté avant que le fichier ne soit entièrement analysé.
La vérification de l’URI est activée par défaut. Pour le désactiver, décochez la case oui dans la case URI.
Dans la zone Limite de taille du contenu, tapez 20000.
Dans la zone Délai d’expiration du moteur d’analyse, tapez 1800.
Configurez les paramètres de secours en cliquant sur l’onglet Paramètres de secours . Dans cet exemple, toutes les options de secours sont définies sur log et allow. Cliquez sur Consigner et autoriser les éléments suivants : Action par défaut, Taille du contenu, Moteur non prêt, Délai d’expiration, Ressource manquante, Trop de demandes.
Configurez les options de notification en cliquant sur l’onglet Options de notification . Vous pouvez configurer des notifications pour les actions de blocage de secours et de repli non bloquantes et pour la détection de virus.
Procédure étape par étape
Pour configurer les notifications pour les paramètres de secours :
Pour Type de notification, cliquez sur Protocole.
Pour Notifier l’expéditeur du message, cliquez sur Oui.
Dans la zone Message personnalisé, tapez Une action de blocage de secours s’est produite.
Dans la zone Objet du message personnalisé, saisissez Alerte de secours antivirus***.
Pour configurer les options de notification pour la détection de virus, cliquez sur l’onglet Options de notification (suite).
Procédure étape par étape
Pour le bouton d’option Type de notification, sélectionnez Protocole.
Pour le bouton d’option Notifier l’expéditeur du courrier, sélectionnez Oui.
Dans la zone Message personnalisé, saisissez Un virus a été détecté.
Dans la zone Objet du message personnalisé, saisissez Virus détecté***.
Cliquez sur OK pour vérifier votre configuration et l’enregistrer en tant que configuration candidate.
Si vous avez terminé de configurer l’appareil, cliquez sur Actions>Valider.
Procédure étape par étape
Pour configurer le profil de fonctionnalité antivirus Sophos à l’aide de l’interface de ligne de commande :
L’exemple suivant vous montre comment créer un profil Sophos personnalisé. Si vous souhaitez utiliser le profil préconfiguré de Juniper Networks, utilisez le profil junos-sophos-av-defaults dans votre stratégie de sécurité des contenus. Voir Exemple : Configuration des stratégies de sécurité du contenu Sophos Antivirus.
Sélectionnez et configurez le type de moteur. Parce que vous configurez l’antivirus Sophos, vous configurez sophos-engine.
[edit] user@host# set security utm default-configuration anti-virus type sophos-engine
Validez la configuration.
Sélectionnez un intervalle de temps pour la mise à jour des fichiers de données. L’intervalle de mise à jour par défaut du modèle antivirus est de 1440 minutes (toutes les 24 heures). Vous pouvez choisir de conserver cette valeur par défaut ou de la modifier. Vous pouvez également forcer une mise à jour manuelle, si nécessaire. Pour passer de toutes les 24 heures à toutes les 48 heures :
[edit security utm default-configuration anti-virus] user@host# set sophos-engine pattern-update interval 2880
Configurez le périphérique réseau avec les détails du serveur proxy pour télécharger la mise à jour du modèle à partir d’un serveur distant :
[edit security utm default-configuration anti-virus] user@host# set sophos-engine pattern-update proxy
Dans la plupart des cas, vous n’aurez pas besoin de modifier l’URL pour mettre à jour la base de données de motifs. Si vous avez besoin de modifier cette option, utilisez la commande suivante :
[edit security utm default-configuration anti-virus] user@host# set sophos-engine pattern-update url http://www.example.net/test-download
Vous pouvez configurer l’appareil pour qu’il avertisse un administrateur spécifié lorsque les fichiers de données sont mis à jour. Il s’agit d’une notification par e-mail avec un message personnalisé et une ligne d’objet personnalisée.
[edit security utm default-configuration anti-virus] user@host# set sophos-engine pattern-update email-notify admin-email admin@example.net custom-message “Sophos antivirus data file was updated” custom-message-subject “AV data file updated”
Configurez une liste d’options de secours en tant que bloc, journal et permis, ou permis. Le paramètre par défaut est log-and-permit. Vous pouvez utiliser les paramètres par défaut ou les modifier.
Configurez l’action de taille du contenu. Dans cet exemple, si la taille du contenu est dépassée, l’action effectuée est bloquer.
Créez d’abord le profil nommé sophos-prof1.
[edit security utm feature-profile anti-virus] user@host# set profile sophos-prof1
Configurez l’option de secours de la taille du contenu à bloquer.
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set fallback-options content-size block
Configurez l’option de secours par défaut pour consigner et autoriser.
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set fallback-options default log-and-permit
Configurez l’enregistrement et l’autorisation si le moteur antivirus n’est pas prêt.
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set fallback-options engine-not-ready log-and-permit
Configurez l’enregistrement et l’autorisation si l’appareil est à court de ressources.
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set fallback-options out-of-resources log-and-permit
Configurez l’enregistrement et l’autorisation en cas d’expiration d’un délai d’analyse antivirus.
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set fallback-options timeout log-and-permit
Configurez l’enregistrement et l’autorisation s’il y a trop de requêtes à traiter par le moteur de virus.
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set fallback-options too-many-requests log-and-permit
Configurez les options de notification. Vous pouvez configurer des notifications pour le blocage de secours, les actions de secours non bloquantes et la détection de virus.
Au cours de cette étape, configurez un message personnalisé pour l’action de blocage de secours et envoyez une notification pour les actions de protocole uniquement à l’administrateur et à l’expéditeur.
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set notification-options fallback-block custom-message ***Fallback block action occurred*** custom-message-subject Antivirus Fallback Alert notify-mail-sender type protocol-only allow email administrator-email admin@example.net
Configurez une notification pour la détection de virus basée uniquement sur le protocole et envoyez une notification.
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host#set notification-options virus-detection type protocol-only notify-mail-sender custom-message-subject ***Virus detected*** custom-message Virus has been detected
Configurez les paramètres de taille du contenu.
Lorsque vous configurez la valeur content-size, gardez à l’esprit que dans certains cas, la taille du contenu est disponible dans les en-têtes de protocole, de sorte que la solution de secours max-content-size est appliquée avant l’envoi d’une demande d’analyse. Cependant, dans de nombreux cas, la taille du contenu n’est pas indiquée dans les en-têtes de protocole. Dans ce cas, la charge utile TCP est envoyée à l’analyseur antivirus et s’accumule jusqu’à la fin de la charge utile. Si la charge utile cumulée dépasse la valeur maximale de la taille du contenu, la solution de secours max-content-size est appliquée. L’action de secours par défaut est log et allow, vous pouvez donc modifier cette option en block, auquel cas un tel paquet est abandonné et un message de blocage est envoyé au client.
Dans cet exemple, si la taille du contenu dépasse 20 Mo, le paquet est abandonné.
[edit security utm default-configuration anti-virus] user@host# set scan-options content-size-limit 20000
La vérification de l’URI est activée par défaut. Pour désactiver la vérification des URI :
[edit security utm default-configuration anti-virus] user@host# set scan-options no-uri-check
Configurez le paramètre de délai d’attente pour l’opération de numérisation sur 1800 secondes.
[edit security utm default-configuration anti-virus] user@host# set scan-options timeout 1800
Les serveurs Sophos Extensible List contiennent la base de données de virus et de logiciels malveillants pour les opérations d’analyse. Définissez le délai d’expiration de la réponse de ces serveurs sur 3 secondes (la valeur par défaut est de 2 secondes).
[edit security utm default-configuration anti-virus] user@host# set scan-options sxl-timeout 3
Configurez l’option de nouvelle tentative du serveur Sophos Extensible List sur 2 tentatives (la valeur par défaut est 1).
[edit security utm default-configuration anti-virus] user@host# set scan-options sxl-retry 2
Configurez le paramètre de ruissellement sur 180 secondes. Si vous utilisez le perquage, vous pouvez également définir des paramètres de délai d’expiration. Le ruissellement ne s’applique qu’au protocole HTTP. Le ruissellement HTTP est un mécanisme utilisé pour empêcher le client ou le serveur HTTP d’expirer lors d’un transfert de fichiers ou d’une analyse antivirus.
Lorsque vous activez l’option de pertricking, gardez à l’esprit que le trickling peut envoyer une partie d’un fichier au client lors de son analyse antivirus. Il est donc possible qu’une partie du contenu soit reçue par le client avant que le fichier n’ait été entièrement analysé.
[edit security utm default-configuration anti-virus] user@host# set trickling timeout 180
Configurez le module antivirus pour qu’il utilise les listes de contournement MIME et les listes d’exceptions. Vous pouvez utiliser vos propres listes d’objets personnalisées, ou vous pouvez utiliser la liste par défaut fournie avec le périphérique appelée junos-default-bypass-mime. Dans cet exemple, vous utilisez les listes que vous avez configurées précédemment.
[edit security utm default-configuration anti-virus] user@host# set mime-whitelist list avmime2 [edit security utm feature-profile anti-virus] user@host# set mime-whitelist list exception-avmime2
Configurez le module antivirus pour qu’il utilise les listes de contournement d’URL. Si vous utilisez une liste d’autorisation d’URL, il s’agit d’une catégorie d’URL personnalisée que vous avez préalablement configurée en tant qu’objet personnalisé. Les listes d’autorisation d’URL ne sont valides que pour le trafic HTTP. Dans cet exemple, vous utilisez les listes que vous avez configurées précédemment.
[edit security utm default-configuration anti-virus] user@host# set url-whitelist custurl2
Vérification
Obtention d’informations sur l’état actuel de l’antivirus
But
Action
À partir du mode opérationnel, entrez la show security utm anti-virus status commande pour afficher l’état de l’antivirus.
user@host>show security utm anti-virus status
Signification
Antivirus key expire date (Date d’expiration de la clé d’antivirus) : date d’expiration de la clé de licence.
Update server (Serveur de mise à jour) : URL du serveur de mise à jour du fichier de données.
Intervalle : période, en minutes, pendant laquelle l’appareil met à jour le fichier de données à partir du serveur de mise à jour.
Pattern update status (État de la mise à jour du modèle) : date à laquelle le fichier de données sera mis à jour, affiché en minutes.
Last result (Dernier résultat) : résultat de la dernière mise à jour. Si vous disposez déjà de la dernière version, cela affichera
already have latest database.
Version de la signature antivirus : version du fichier de données actuel.
Type de moteur d’analyse : type de moteur antivirus en cours d’exécution.
Informations sur le moteur d’analyse : résultat de la dernière action qui s’est produite avec le moteur d’analyse actuel.
Exemple : Configuration des stratégies de sécurité du contenu de Sophos Antivirus
Cet exemple montre comment créer une stratégie Content Security pour l’antivirus Sophos.
Exigences
Avant de créer la stratégie de sécurité du contenu, créez des objets personnalisés et le profil de fonctionnalité Sophos.
-
Configurez les objets personnalisés Content Security et les listes MIME. Reportez-vous à la section Exemple : Configuration des objets personnalisés de Sophos Antivirus.
Configurez le profil de fonctionnalités de l’antivirus Sophos. Reportez-vous à la section Exemple : Configuration du profil de fonctionnalité de Sophos Antivirus.
Aperçu
Une fois que vous avez créé un profil de fonctionnalité antivirus, vous configurez une stratégie de sécurité du contenu pour un protocole d’analyse antivirus et vous attachez cette stratégie à un profil de fonctionnalité. Dans cet exemple, HTTP sera analysé à la recherche de virus, comme indiqué par l’instruction http-profile . Vous pouvez également analyser d’autres protocoles en créant différents profils ou en ajoutant d’autres protocoles au profil, tels que : imap-profile, pop3-profile et smtp-profile.
Configuration
Procédure
Configuration rapide de l’interface graphique
Procédure étape par étape
Pour configurer une stratégie Content Security pour l’antivirus Sophos :
Cliquez sur l’onglet Configurer dans la barre des tâches, puis sélectionnez Sécurité>Stratégie>Stratégies UTM. Cliquez ensuite sur Ajouter.
Cliquez sur l’onglet Principal . Dans la zone Nom de la stratégie, tapez utmp3.
Cliquez sur l’onglet Profils antivirus . Dans la liste des profils HTTP, sélectionnez sophos-prof1.
Cliquez sur OK pour vérifier votre configuration et l’enregistrer en tant que configuration candidate.
Si vous avez terminé de configurer l’appareil, sélectionnez Actions>Valider.
Procédure étape par étape
Pour configurer une stratégie Content Security pour l’antivirus Sophos :
-
Accédez à la hiérarchie Content Security de la sécurité de modification.
[edit] user@host# edit security utm
-
Créez la politique de sécurité du contenu utmp3 et attachez-la au profil http sophos-prof1. Vous pouvez utiliser les paramètres par défaut du profil de fonctionnalité Sophos en remplaçant sophos-prof1 dans l’instruction ci-dessus par junos-sophos-av-defaults.
[edit security utm] user@host# set utm-policy utmp3 anti-virus http-profile sophos-prof1
Exemple : Configuration des stratégies de sécurité du pare-feu Sophos Antivirus
Cet exemple montre comment créer une politique de sécurité pour l’antivirus Sophos.
Exigences
Avant de créer la stratégie de sécurité, créez des objets personnalisés, le profil de fonctionnalité Sophos et la stratégie de sécurité du contenu.
-
Configurez les objets personnalisés Content Security et les listes MIME. Reportez-vous à la section Exemple : Configuration des objets personnalisés de Sophos Antivirus.
Configurez le profil de fonctionnalités de l’antivirus Sophos. Reportez-vous à la section Exemple : Configuration du profil de fonctionnalité de Sophos Antivirus.
-
Configurez une stratégie de sécurité du contenu. Voir Exemple : Configuration des stratégies de sécurité du contenu Sophos Antivirus.
Aperçu
Créez une stratégie de sécurité de pare-feu qui entraînera l’analyse du trafic de la zone d’approbation vers la zone de confiance par Sophos antivirus à l’aide des paramètres de profil de fonctionnalité définis dans Exemple : Configuration du profil de fonctionnalité de Sophos Antivirus. Étant donné que la configuration de l’application de correspondance est définie sur any, tous les types d’application seront analysés.
Configuration
Procédure
Configuration rapide de l’interface graphique
Procédure étape par étape
Pour configurer une stratégie de sécurité pour l’antivirus Sophos :
Configurez la stratégie « ne pas approuver » pour qu’elle corresponde à n’importe quelle adresse source ou adresse de destination, puis sélectionnez les applications vers
anylesquelles effectuer l’analyse.Procédure étape par étape
Cliquez sur l’onglet Configurer dans la barre des tâches, puis sélectionnez Sécurité>Stratégie>Stratégies de micrologiciel. Sélectionnez ensuite Ajouter.
Dans la zone Nom de la stratégie, tapez p3.
Dans la zone Action de stratégie, sélectionnez Autoriser.
Dans la liste Zone de départ, sélectionnez Ne pas faire confiance.
Dans la liste Zone d’arrivée, sélectionnez Approbation.
Dans les zones Adresse source et Adresse de destination, assurez-vous que Matched est défini sur any.
Dans les zones Applications, sélectionnez-en une dans la liste Application/Ensembles et déplacez-la vers la liste Correspondants.
-
Attachez la stratégie de sécurité du contenu nommée utmp3 à la stratégie de sécurité du pare-feu. Cela entraînera l’analyse du trafic correspondant par la fonction antivirus de Sophos.
Procédure étape par étape
-
Dans la zone Modifier la stratégie, cliquez sur l’onglet Services d’application .
-
Dans la liste Stratégie de sécurité du contenu, sélectionnez utmp3.
-
Cliquez sur OK pour vérifier votre configuration et l’enregistrer en tant que configuration candidate.
Si vous avez terminé de configurer l’appareil, sélectionnez Actions>Valider.
Procédure étape par étape
Pour configurer une stratégie de sécurité pour l’antivirus Sophos :
Configurez la stratégie « untrust to trust » pour qu’elle corresponde à n’importe quelle adresse source.
[edit security] user@host# set policies from-zone untrust to-zone trust policy p3 match source-address any
Configurez la stratégie « untrust to trust » pour qu’elle corresponde à n’importe quelle adresse de destination.
[edit security] user@host# set policies from-zone untrust to-zone trust policy p3 match destination-address any
Configurez la stratégie « untrust to trust » pour qu’elle corresponde à n’importe quel type d’application.
[edit security] user@host# set policies from-zone untrust to-zone trust policy p3 match application any
-
Attachez la stratégie de sécurité du contenu nommée utmp3 à la stratégie de sécurité du pare-feu. Cela entraînera l’analyse du trafic correspondant par la fonction antivirus de Sophos.
[edit security] user@host# set policies from-zone untrust to-zone trust policy p3 then permit application-services utm-policy utmp3
Vérification
Pour vérifier la configuration, entrez la show security policies commande.
Exemple : Configurer Sophos Antivirus Live Protection version 2.0
Utilisez cet exemple de configuration pour configurer et vérifier la version 2.0 de Sophos antivirus live protection sur votre appareil. Sophos antivirus est une solution antivirus dans le cloud. Le modèle de virus et la base de données de logiciels malveillants sur les serveurs externes gérés par les serveurs Sophos (Sophos Extensible List) isolent et protègent votre appareil. À partir de Junos OS version 23.1R1, la sécurité du contenu prend en charge Sophos antivirus live protection version 2.0. La nouvelle version antivirus utilise le protocole HTTPS pour communiquer entre le pare-feu SRX Series et le serveur Sophos.
| Score de lisibilité |
|
| Temps de lecture |
Moins de 15 minutes. |
| Temps de configuration |
Moins d’une heure. |
- Exemples de conditions préalables
- Avant de commencer
- Vue d’ensemble fonctionnelle
- Vue d’ensemble de la topologie
- Illustration de la topologie
- Configuration étape par étape sur un appareil en cours de test (DUT)
- Vérification
- Annexe 1 : définition des commandes sur tous les périphériques
- Annexe 2 : Afficher le résultat de la configuration sur le DUT
Exemples de conditions préalables
| Configuration matérielle requise | SRX Series pare-feu et Pare-feu virtuel vSRX |
| Configuration logicielle requise | Junos OS version 23.1R1 ou ultérieure |
| Exigences en matière de licence | Licence Sophos antivirus live protection version 2.0 Utilisez la |
Avant de commencer
| Avantages |
Le modèle de virus et la base de données de logiciels malveillants sur les serveurs externes gérés par les serveurs Sophos (Sophos Extensible List) isolent et protègent votre appareil. Fournit une connexion sécurisée basée sur HTTPS entre le pare-feu SRX Series et le serveur Sophos. |
| Ressources utiles : |
|
| En savoir plus |
|
| Expérience pratique |
|
| Pour en savoir plus |
|
Vue d’ensemble fonctionnelle
Le Tableau 2 fournit un résumé rapide des composants de configuration déployés dans cet exemple.
| Profils |
|
| Profil d’initiation | La configuration du serveur Sophos sur le pare-feu SRX Series inclut le profil d’initiation SSL ( Le profil d’initiation est obligatoire pour permettre au pare-feu SRX Series d’initier une session HTTPS avec le serveur Sophos pour vérifier les paquets. Le profil d’initiation SSL chiffre et déchiffre également les paquets à destination et en provenance du serveur Sophos. |
| Profil proxy | Le profil proxy SSL, |
| Profil des fonctionnalités |
Le profil Vous pouvez avoir plusieurs profils de fonctionnalités pour différentes stratégies de sécurité du contenu. |
| Manifeste |
|
| Politique de sécurité du contenu |
La stratégie de sécurité du contenu, content_security_p1, définit les protocoles antivirus (HTTP, FTP, SMTP, POP3 et IMAP) et attache cette stratégie à un profil de fonctionnalité de sécurité, |
| Stratégies de sécurité |
Deux stratégies de sécurité ( Nous joignons la politique de sécurité du |
| Zones de sécurité |
|
|
|
Segment de réseau au niveau de la zone hôte (client). |
|
|
Segment de réseau au niveau de la zone du serveur de destination (service Web). |
|
|
Segment réseau à travers lequel le pare-feu SRX Series interagit avec le serveur Sophos. |
| Protocole |
|
| HTTPS (en anglais) |
Des sessions HTTPS s’établissent entre le client et le serveur Web, entre le pare-feu SRX Series et le serveur Sophos. |
| Tâches de vérification primaires |
|
Vue d’ensemble de la topologie
Dans cet exemple, le client envoie une requête au service Web via le pare-feu SRX Series. Lorsque le pare-feu SRX Series reçoit la demande, il contacte le serveur Sophos pour vérifier l’authenticité du service Web. La version 2.0 de l’antivirus Sophos utilise une connexion HTTPS pour la communication entre le pare-feu SRX Series et le serveur Sophos. En fonction de la réponse reçue du serveur Sophos, le pare-feu SRX Series autorise ou bloque le trafic tel que défini dans la stratégie de sécurité du contenu.
| Fonction | derôle | des composants de topologie |
|---|---|---|
| Client | Service Web de demandes | Lance une session HTTPS avec le serveur Web via le pare-feu SRX Series. |
| Pare-feu SRX Series | Pare-feu de Juniper Network | Initie la session HTTPS avec le serveur antivirus Sophos. Il chiffre et déchiffre également les paquets pour le client. |
| Serveur Sophos | Serveur antivirus | Authentifie le contenu reçu du pare-feu SRX Series. |
| Serveur web | Fournisseur de services Web | Répond à la demande du client. |
Illustration de la topologie
de Sophos Antivirus Live Protection
Configuration étape par étape sur un appareil en cours de test (DUT)
Pour obtenir des exemples complets de configuration sur le DUT, voir :
-
Configurez les interfaces de l’appareil.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet address 192.0.2.254/24 user@host# set ge-0/0/1 unit 0 family inet address 203.0.113.254/24
-
Activez l’antivirus Sophos sur l’appareil. Configurez le mode de transfert et le type de trafic que l’antivirus Sophos doit vérifier.
[edit security] user@host# set utm default-configuration anti-virus type sophos-engine user@host# set utm default-configuration anti-virus forwarding-mode inline-tap user@host# set utm default-configuration anti-virus scan-options no-uri-check
-
Définissez un profil d’initiation SSL à ajouter à la configuration du serveur Sophos sur le pare-feu SRX Series.
[edit services] user@host# set ssl initiation profile ssl_init_prof client-certificate content_security_cert user@host# set ssl initiation profile ssl_init_prof actions ignore-server-auth-failure
-
Incluez le profil d’initiation SSL dans la configuration du serveur Sophos. Cette configuration est obligatoire pour permettre au pare-feu SRX Series d’initier une session HTTPS avec le serveur Sophos pour vérifier les paquets. Le profil d’initiation chiffre et déchiffre également les paquets à destination et en provenance du serveur Sophos.
[edit security] user@host# set utm default-configuration anti-virus sophos-engine server ssl-profile ssl_init_prof
-
Définissez un profil proxy SSL à appliquer aux stratégies de sécurité. Le profil proxy SLL permet au pare-feu SRX Series de déchiffrer les paquets en vue d’un traitement ultérieur de l’application.
[edit services] user@host# set ssl proxy profile ssl_pr1 root-ca content_security_cert user@host# set ssl proxy profile ssl_pr1 actions ignore-server-auth-failure
-
Définissez le profil de fonctionnalité pour indiquer le type de trafic que l’antivirus Sophos doit vérifier en joignant le profil aux politiques de sécurité du contenu. Vous pouvez définir plusieurs profils de fonctionnalités pour différentes stratégies de sécurité du contenu.
[edit security] user@host# set utm feature-profile anti-virus profile content_security_sav_fp
-
Définissez des zones de sécurité.
[edit security zones] user@host# set security-zone untrust description untrust user@host# set security-zone untrust host-inbound-traffic system-services all user@host# set security-zone untrust host-inbound-traffic protocols all user@host# set security-zone untrust interfaces ge-0/0/1.0 user@host# set security-zone trust description trust user@host# set security-zone trust host-inbound-traffic system-services all user@host# set security-zone trust host-inbound-traffic protocols all user@host# set security-zone trust interfaces ge-0/0/0.0 user@host# set security-zone internet description internet
-
Définissez une politique de sécurité du contenu et joignez-y un profil de fonctionnalités pour indiquer le type de trafic que le serveur Sophos doit vérifier.
[edit security utm] user@host# set utm-policy content_security_p1 anti-virus http-profile content_security_sav_fp user@host# set utm-policy content_security_p1 anti-virus ftp upload-profile content_security_sav_fp user@host# set utm-policy content_security_p1 anti-virus ftp download-profile content_security_sav_fp user@host# set utm-policy content_security_p1 anti-virus smtp-profile content_security_sav_fp user@host# set utm-policy content_security_p1 anti-virus pop3-profile content_security_sav_fp user@host# set utm-policy content_security_p1 anti-virus imap-profile content_security_sav_fp
-
Définissez des stratégies de sécurité et configurez les critères de correspondance à appliquer au trafic entre les différentes zones de sécurité.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match source-address any user@host# set from-zone trust to-zone trust policy p1 match destination-address any user@host# set from-zone trust to-zone trust policy p1 match application any user@host# set from-zone trust to-zone trust policy p1 then permit application-services ssl-proxy profile-name ssl_pr1 user@host# set from-zone trust to-zone trust policy p1 then permit application-services utm-policy content_security_p1 user@host# set from-zone trust to-zone trust policy trust_to_internet match source-address any user@host# set from-zone trust to-zone trust policy trust_to_internet match destination-address any user@host# set from-zone trust to-zone trust policy trust_to_internet match application any user@host# set from-zone trust to-zone trust policy trust_to_internet then permit user@host# set default-policy permit-all
Vérification
Fournissez une liste des commandes show utilisées pour vérifier la fonctionnalité dans cet exemple.
| Tâche de vérification | des commandes |
|---|---|
| Afficher l’état de l’antivirus UTM de sécurité | Affiche le type et l’état de l’antivirus installé sur votre appareil. |
| Afficher les statistiques de l’antivirus UTM de sécurité | Affiche les statistiques de performances de l’antivirus sur votre appareil. |
- Vérification du type du moteur d’analyse antivirus
- Vérification des performances du moteur d’analyse antivirus
Vérification du type du moteur d’analyse antivirus
But
Vérifiez le type de moteur d’analyse antivirus installé sur votre appareil.
Action
À partir du mode opérationnel, entrez dans le show security utm anti-virus status pour afficher l’état de l’antivirus installé.
user@host> show security utm anti-virus status
UTM anti-virus status:
Anti-virus key expire date: 2024-02-23 16:00:00
Forwarding-mode: continuous delivery
Scan engine type: sophos-engine
Scan engine information: running
Signification
L’exemple de sortie confirme que l’antivirus Sophos est disponible sur votre appareil.
Vérification des performances du moteur d’analyse antivirus
But
Vérifiez les performances du moteur d’analyse antivirus sur votre appareil.
Action
À partir du mode opérationnel, entrez dans le show security utm anti-virus statistics pour afficher les statistiques de performance de l’antivirus sur votre appareil.
user@host> show security utm anti-virus statistics
UTM Anti Virus statistics:
Intelligent-prescreening passed: 0
MIME-whitelist passed: 0
URL-whitelist passed: 0
Session abort: 0
Scan Request:
Total Clean Threat-found Fallback
2 1 1 0
Fallback:
Log-and-Permit Block Permit
Engine not ready: 0 0 0
Out of resources: 0 0 0
Timeout: 0 0 0
Maximum content size: 0 0 0
Too many requests: 0 0 0
Decompress error: 0 0 0
Others: 0 0 0
Signification
L’exemple de valeur de sortie Threat-found montre que l’antivirus a détecté 1 menace. Les autres valeurs statistiques sont sûres.
Annexe 1 : définition des commandes sur tous les périphériques
Définissez la sortie de la commande sur tous les périphériques.
set security utm default-configuration anti-virus type sophos-engine set security utm default-configuration anti-virus forwarding-mode inline-tap set security utm default-configuration anti-virus scan-options no-uri-check set security utm default-configuration anti-virus sophos-engine server ssl-profile ssl_init_prof set security utm feature-profile anti-virus profile content_security_sav_fp set security utm utm-policy content_security_p1 anti-virus http-profile content_security_sav_fp set security utm utm-policy content_security_p1 anti-virus ftp upload-profile content_security_sav_fp set security utm utm-policy content_security_p1 anti-virus ftp download-profile content_security_sav_fp set security utm utm-policy content_security_p1 anti-virus smtp-profile content_security_sav_fp set security utm utm-policy content_security_p1 anti-virus pop3-profile content_security_sav_fp set security utm utm-policy content_security_p1 anti-virus imap-profile content_security_sav_fp set security zones security-zone untrust description untrust set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust description trust set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone internet description internet set security policies from-zone trust to-zone untrust policy p1 match source-address any set security policies from-zone trust to-zone untrust policy p1 match destination-address any set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 then permit application-services ssl-proxy profile-name ssl_pr1 set security policies from-zone trust to-zone untrust policy p1 then permit application-services utm-policy content_security_p1 set security policies from-zone trust to-zone internet policy trust_to_internet match source-address any set security policies from-zone trust to-zone internet policy trust_to_internet match destination-address any set security policies from-zone trust to-zone internet policy trust_to_internet match application any set security policies from-zone trust to-zone internet policy trust_to_internet then permit set security policies default-policy permit-all set services ssl initiation profile ssl_init_prof client-certificate content_security-cert set services ssl initiation profile ssl_init_prof actions ignore-server-auth-failure set services ssl proxy profile ssl_pr1 root-ca content_security-cert set services ssl proxy profile ssl_pr1 actions ignore-server-auth-failure
Annexe 2 : Afficher le résultat de la configuration sur le DUT
Afficher la sortie de la commande sur le DUT.
En mode configuration, confirmez votre configuration en entrant les show security utmcommandes , show interfaces, show security zones, show security policieset show services ssl . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
user@host# show security utm
default-configuration {
anti-virus {
type sophos-engine;
forwarding-mode {
inline-tap;
}
scan-options {
no-uri-check;
}
sophos-engine {
server {
ssl-profile ssl_init_prof;
}
}
}
}
utm-policy P1 {
anti-virus {
http-profile junos-sophos-av-defaults;
}
}
utm-policy content_security_p1 {
anti-virus {
http-profile content_security_sav_fp;
ftp {
upload-profile content_security_sav_fp;
download-profile content_security_sav_fp;
}
smtp-profile content_security_sav_fp;
pop3-profile content_security_sav_fp;
imap-profile content_security_sav_fp;
}
}
user@host# show show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.0.2.254/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 203.0.113.254/24;
}
}
}
user@host# show security zones
security-zone untrust {
description untrust;
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone trust {
description trust;
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone internet {
description internet;
}
user@host# show security policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
ssl-proxy {
profile-name ssl_pr1;
}
utm-policy content_security_p1;
}
}
}
}
}
from-zone trust to-zone internet {
policy trust_to_internet {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
default-policy {
permit-all;
}
user@host# show services ssl
initiation {
profile ssl_init_prof {
client-certificate content_security-cert;
actions {
ignore-server-auth-failure;
}
}
}
proxy {
profile ssl_pr1 {
root-ca content_security-cert;
actions {
ignore-server-auth-failure;
}
}
}
Gestion des fichiers de données de l’antivirus Sophos
Avant de commencer :
Installez une licence antivirus Sophos. Reportez-vous à la section Installation and Upgrade Guide.
Configurez Sophos en tant que fonctionnalité antivirus pour l’appareil. Reportez-vous à la section Exemple : Configuration du profil de fonctionnalité de Sophos Antivirus. Pour définir le type de moteur antivirus, vous exécutez l’instruction
set security utm feature-profile anti-virus type sophos-engine.
Dans cet exemple, vous configurez l’équipement de sécurité pour qu’il mette à jour automatiquement les fichiers de données toutes les 4320 minutes (tous les 3 jours). L’intervalle de mise à jour du fichier de données par défaut est de 1440 minutes (toutes les 24 heures).
Pour mettre à jour automatiquement les fichiers de données Sophos :
[edit security utm feature-profile anti-virus] user@host# set sophos-engine pattern-update interval 4320
Les commandes suivantes sont exécutées à partir du mode opérationnel de la CLI.
Pour mettre à jour manuellement les fichiers de données :
user@host> request security utm anti-virus sophos-engine pattern-update
Pour recharger manuellement les fichiers de données :
user@host> request security utm anti-virus sophos-engine pattern-reload
Pour supprimer manuellement des fichiers de données :
user@host> request security utm anti-virus sophos-engine pattern-delete
Pour vérifier l’état de l’antivirus, qui indique également la version des fichiers de données :
user@host> show security utm anti-virus status
Pour vérifier l’état du serveur proxy :
user@host> show security utm anti-virus status
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plate-forme et la version que vous utilisez. Utilisez l’Explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.