完全なウィルス対策アプリケーション プロトコル スキャン
フル ウィルス対策は、スキャニング エンジン、ウィルス シグネチャ データベースを使用し、POP3、HTTP、SMTP、IMAP、FTP プロトコル上でウィルス感染ファイル、ワーム、トロイ、スパイウェアなどのマルウェアに対する保護を行います。詳細については、以下のトピックを参照してください。
完全なウィルス対策アプリケーション プロトコル スキャンについて
すべてのウィルス対策アプリケーション プロトコル スキャンは、Junos OS リリース15.1X49-D10以降Junos OSサポート17.3R1サポートされていません。以前のリリースでは、プロトコルごとにウィルス対策スキャンをオン/オフに切り替えできます。ウィルス対策プロファイルでプロトコルのスキャンが無効になっている場合、このプロトコルに対するアプリケーション インテリジェンスはありません。そのため、ほとんどの場合、このプロトコルを使用するトラフィックはスキャンされません。問題のプロトコルがウィルス対策プロファイルでスキャンが有効になっている別のプロトコルに基づく場合は、トラフィックが有効なプロトコルとしてスキャンされます。
内部アンチウィルス・スキャン・エンジンは、特定のアプリケーション層トランザクションのスキャンをサポートしており、コンテンツ(HTTP、FTP、SMTP、POP3、IMAPトラフィック)を選択してスキャンできます。スキャンするコンテンツタイプごとに、さまざまな構成オプションがあります。
有効/無効、スキャンモード、スキャン結果処理の設定を含むプロファイルベースの設定は、サポートされるすべてのプロトコルに適用できない場合があります。以下の表は、プロファイルベースの設定とそのプロトコルサポートを示しています。
プロファイル設定 |
プロトコル サポート |
|---|---|
プロトコル単位でのスキャンを有効または無効にする |
すべてのプロトコルでこの機能をサポート |
ファイル拡張子スキャンを含む、完全なアンチウイルス スキャン モードのサポートについて |
すべてのプロトコルでこの機能をサポート |
すべてのプロトコルでこの機能をサポート |
|
すべてのプロトコルでこの機能をサポート |
|
すべてのプロトコルでこの機能をサポート |
|
HTTP のみ |
|
すべてのプロトコルでこの機能をサポート |
|
プロトコル固有のメッセージ |
すべてのプロトコルでこの機能をサポート |
SMTP、POP3、IMAP のみ |
|
すべてのプロトコルでこの機能をサポート |
詳細については、
HTTP スキャンについて
HTTP アンチウイルス スキャンは、リリースリリースJunos OS以降15.1X49-D10サポートJunos OSサポート17.3R1です。以前のリリースでは、コンテンツ セキュリティ プロファイルのハイパーテキスト転送プロトコル(HTTP)トラフィックに対してウィルス対策スキャンが有効になっている場合、定義された HTTP サービス ポート(通常はポート 80)への TCP トラフィックが監視されます。HTTP トラフィックの場合、セキュリティ デバイスは HTTP の応答とリクエスト(get、post、put コマンド)の両方をスキャンします。
HTTP アンチウイルス スキャンでは、HTTP 1.0 および 1.1 の両方がサポートされています。プロトコル バージョンが HTTP 0.x の場合、ウィルス対策スキャナーはトラフィックをスキャンします。未知のプロトコルはバイパスされます。たとえば、一部のアプリケーション プロトコルでは HTTP をトランスポートとして使用しますが、HTTP 1.0 や 1.1 に準拠していない場合があります。これらは未知のプロトコルとみなされ、スキャンされません。
これは、HTTP トラフィックがアンチウィルス スキャナーによって傍受、スキャン、処理される方法に関する一般的な説明です。
HTTP クライアントが HTTP リクエストを Web サーバーに送信するか、Web サーバーが HTTP 要求に応答します。
セキュリティ デバイスはリクエストを傍受し、そのデータをウィルス対策スキャナーに渡します。ウィルスをスキャンします。
スキャンが完了すると、デバイスは以下の 2 つのコースのいずれかを通ります。
ウィルスが検出された場合、デバイスからそのリクエストが Web サーバーに転送されます。
ウィルスが検出された場合、デバイスはリクエストをドロップし、感染を報告する HTTP メッセージをクライアントに送信します。
スクリプト専用スキャンでは、入力オブジェクトはスクリプト ファイルです。JavaScript、JAVAScript、mIRC スクリプト、打ち手のスクリプト(DOS 打ち込みファイル)、その他のテキスト スクリプトを使用できます。エンジンは、入力コンテンツとスクリプト ファイルの署名とののみ一致します。スクリプト スキャンは、HTTP プロトコルを使用した HTML コンテンツにのみ適用されます。このスキャン タイプには 2 つの基準があります。まず、この HTML ドキュメントのコンテンツ タイプ フィールドはテキストまたは HTML である必要があります。2 つ目は、HTTP ヘッダーにコンテンツ エンコーディングがない点です。これらの 2 つの条件を満たす場合は、HTML のドキュメントを解析するために HTML の区切り値が使用されます。
詳細については、
HTTP スキャンの有効化(CLI手順)
HTTP アンチウイルス スキャンは、リリースリリースJunos OS以降15.1X49-D10サポートJunos OSサポート17.3R1です。以前のリリースでは、HTTP トラフィックのウィルス対策スキャンを有効にするには、次の設定ステートメントCLI入力します。
user@host# set security utm utm-policy policy-name anti-virus http
FTP ウィルス対策スキャンについて
FTP アンチウイルス スキャンは、リリース以降Junos OSサポート15.1X49-D10サポートされていません。以前のリリースでは、コンテンツ セキュリティー プロファイルの FTP(ファイル転送プロトコル)トラフィックに対してウィルス対策スキャンが有効になっている場合、セキュリティー デバイスは制御チャネルを監視し、データ転送用の FTP コマンドのいずれかを検知すると、データ チャネルを通して送信されたデータをスキャンします。
これは、FTP トラフィックがアンチウィルス スキャナーによって傍受、スキャン、処理される方法について、一般的に説明しています。
ローカル FTP クライアントは、FTP サーバーへの FTP 制御チャネルを開き、一部のデータの転送を要求します。
FTP クライアントとサーバーは、サーバーが要求したデータを送信するデータ チャネルをネゴシエートします。セキュリティ デバイスはデータを傍受してアンチウィルス スキャン エンジンに渡し、ウィルスをスキャンします。
スキャンが完了すると、デバイスは以下の 2 つのコースのいずれかを通ります。
ウィルスが検出された場合、デバイスからデータがクライアントに転送されます。
ウィルスが検出された場合、デバイスはデータをデータ チャネル内のドロップ メッセージに置き換え、コントロール チャネルに感染を通知するメッセージを送信します。
FTP ウィルス対策スキャンの有効化(CLI手順)
FTP アンチウイルス スキャンは、リリース以降Junos OSサポート15.1X49-D10サポートされていません。以前のリリースでは、FTP(ファイル転送プロトコル)トラフィックに対するウィルス対策スキャンを有効にするには、次の設定ステートメントCLI入力します。
user@host# security utm utm-policy policy-name anti-virus ftp
FTP トラフィックをスキャンするには、FTP ALG を有効にする必要があります。
詳細については、
SMTP アンチウイルス スキャンについて
現在、Junos OS リリース 15.1X49-D10およびJunos OSリリース 17.3R1、SMTP アンチウイルス スキャンをサポートしているのは Sophos Antivirus のみです。コンテンツ セキュリティ プロファイルで SMTP(Simple Mail Transfer Protocol)ウィルス対策スキャンが有効になっている場合、セキュリティ デバイスは、ローカルの SMTP クライアントからアンチウィルス スキャナーにトラフィックをリダイレクトしてから、ローカル メール サーバーに送信します。
チャンク化は、data コマンドの代替手段です。これは、大きなメッセージを小さなチャンクで送信するメカニズムを提供します。サポートされていません。チャンクを使用するメッセージはバイパスされ、スキャンされません。
これは、SMTP トラフィックをアンチウィルス スキャナーによって傍受、スキャン、処理する方法について、一般的に説明しています。
SMTP クライアントがローカル メール サーバーに電子メール メッセージを送信するか、リモート メール サーバーから SMTP 経由で電子メール メッセージをローカル メール サーバーに転送します。
セキュリティ デバイスが電子メール メッセージを傍受し、そのデータをウィルス対策スキャナーに渡してウィルスをスキャンします。
スキャンが完了すると、デバイスは以下の 2 つのコースのいずれかを通ります。
ウィルスが検出された場合、デバイスからそのメッセージがローカル サーバーに転送されます。
ウィルスが検出された場合、デバイスから代替メッセージがクライアントに送信されます。
このトピックは、以下のセクションで構成されています。
SMTP アンチウィルス メール メッセージの置換について
ウィルス対策スキャナーが電子メール メッセージ内のウィルスを検出すると、元のメッセージは破棄され、メッセージ本体は切り捨てられ、内容は次のように表示されるメッセージに置き換されます。
nContent-Type: text/plain Your mail <src_ip> : <src_port> — <dst_port>: <dst_port> contains contaminated file <filename> with virus <virusname>, so it is dropped.
スキャン エラーが返され、失敗モードがドロップされた場合は、元のメッセージがドロップされ、メッセージ本体全体が切り捨てされます。内容は、次のように表示される可能性があるメッセージに置き換えます。
nContent-Type: text/plain Your mail <src_ip> : <src_port> — <dst_port>: <dst_port> is dropped for <reason>.
SMTP アンチウィルス送信者通知について
設定が設定され、検出されたウィルスによってメッセージがドロップされた場合、電子メールがメール送信者 notify-sender-on-virus に送信されます。通知の内容は、次のように表示される場合があります。
From: <admin>@<gateway_ip> To: <sender_e-mail> Subject: Mail Delivery Failure This message is created automatically by mail delivery software. A message that you sent could not be delivered to one or more of its recipients for the reason: <src_ip> : <src_port> — <dst_port>: <dst_port> <ENVID> contaminated file <filename> with virus <virusname>. e-mail Header is: <header of scanned e-mail>
設定が設定され、スキャン エラーによってメッセージがドロップされた場合、スキャンしたメッセージをメール送信者に電子メール notify-sender-on-error-drop が送信されます。電子メールの内容は、次のように表示される場合があります。
From: <admin>@<gateway_ip> To: <sender_e-mail> Subject: Mail Delivery Failure This message is created automatically by mail delivery software. A message that you sent could not be delivered to one or more of its recipients for the reason: <src_ip> : <src_port> — <dst_port>: <dst_port> <ENVID> <reason>. e-mail Header is: <header of scanned e-mail>
ENVID パラメータの詳細については、RFC 3461 を参照してください。
SMTP アンチウィルス 件名のタグ付けについて
スキャン エラーが返され、fail モードが に設定されている場合、ウィルス対策モジュールがメッセージを pass サーバーに渡します。が notify-recipient-on-error-pass 設定されている場合、次の文字列が件名フィールドの末尾に追加されます。
(No virus check: <reason>)
詳細については、
SMTP ウィルス対策スキャンの有効化(CLI手順)
SMTP ウィルス対策スキャンは、リリースリリースJunos OS以降15.1X49-D10サポートJunos OSサポート17.3R1です。以前のリリースでは、SMTP トラフィックに対するウィルス対策スキャンを有効にするには、次の設定ステートメントCLI入力します。
user@host# set security utm utm-policy policy-name anti-virus smtp-profile
POP3 アンチウイルス スキャンについて
POP3ウィルス対策スキャンは、リリースリリースJunos OS以降15.1X49-D10サポートJunos OSサポート17.3R1です。以前のリリースでは、コンテンツ セキュリティ プロファイルで Post Office Protocol 3(POP3)ウィルス対策スキャンが有効になっている場合、セキュリティ デバイスは、トラフィックをローカルのメール サーバーからウィルス対策スキャナーにリダイレクトしてから、ローカルの POP3 クライアントに送信します。
POP3 トラフィックがアンチウィルス スキャナーによって傍受、スキャン、処理される方法について、一般的な説明です。
POP3 クライアントは、ローカル メール サーバーから電子メール メッセージをダウンロードします。
セキュリティ デバイスが電子メール メッセージを傍受し、そのデータをウィルス対策スキャナーに渡してウィルスをスキャンします。
スキャンが完了すると、セキュリティ デバイスは以下の 2 つのコースのいずれかを通ります。
ウィルスが検出された場合、デバイスからクライアントにメッセージが転送されます。
ウィルスが検出された場合、デバイスは感染を通知するメッセージをクライアントに送信します。
IMAP のプロトコル専用通知の詳細については、「 プロトコル専用ウィルス検出通知について 」を参照してください。
このトピックは、以下のセクションで構成されています。
POP3 アンチウィルス メール メッセージの置換について
ウィルス対策スキャナーが電子メール メッセージ内のウィルスを検出すると、元のメッセージは破棄され、メッセージ本体は切り捨てられ、内容は次のように表示されるメッセージに置き換されます。
nContent-Type: text/plain Your mail <src_ip> : <src_port> — <dst_port>: <dst_port> contains contaminated file <filename> with virus <virusname>, so it is dropped.
POP3アンチウィルス送信者通知について
設定が設定され、検出されたウィルスによってメッセージがドロップされた場合、電子メールがメール送信者 notify-sender-on-virus に送信されます。
From: <admin>@<gateway_ip> To: <sender_e-mail> Subject: Mail Delivery Failure This message is created automatically by mail delivery software. A message that you sent could not be delivered to one or more of its recipients for the reason: <src_ip> : <src_port> — <dst_port>: <dst_port> contaminated file <filename> with virus <virusname>. e-mail Header is: <header of scanned e-mail>
設定が設定され、スキャン エラーによってメッセージがドロップされた場合、スキャンしたメッセージをメール送信者に電子メール notify-sender-on-error-drop が送信されます。電子メールの内容は、次のように表示される場合があります。
From: <admin>@<gateway_ip> To: <sender_e-mail> Subject: Mail Delivery Failure This message is created automatically by mail delivery software. A message that you sent could not be delivered to one or more of its recipients for the reason: <src_ip> : <src_port> — <dst_port>: <dst_port> <reason>. e-mail Header is: <header of scanned e-mail>
POP3アンチウィルス件名タグについて
スキャン エラーが返され、fail モードが に設定されている場合、ウィルス対策モジュールがメッセージを pass サーバーに渡します。が notify-recipient-on-error-pass 設定されている場合、次の文字列が件名フィールドの末尾に追加されます。
(No virus check: <reason>)
詳細については、
POP3 アンチウイルス スキャンの有効化(CLI手順)
POP3ウィルス対策スキャンは、リリースリリースJunos OS以降15.1X49-D10サポートJunos OSサポート17.3R1されています。以前のリリースでは、POP3 トラフィックに対するウィルス対策スキャンを有効にするには、次の設定ステートメントCLI入力します。
user@host# set security utm utm-policy policy-name anti-virus pop3-profile
IMAP アンチウイルス スキャンについて
IMAP アンチウイルス スキャンは、リリースリリースJunos OS以降15.1X49-D10サポートJunos OSサポート17.3R1です。以前のリリースでは、コンテンツ セキュリティー プロファイルで IMAP(Internet Message Access Protocol)ウィルス対策スキャンが有効になっている場合、セキュリティー デバイスは、トラフィックをローカル メール サーバーから内部ウィルス対策スキャナーにリダイレクトしてから、ローカルの IMAP クライアントに送信します。
IMAP トラフィックがアンチウィルス スキャナーによって傍受、スキャン、処理される方法について、一般的な説明です。
IMAP クライアントは、ローカル メール サーバーから電子メール メッセージをダウンロードします。
セキュリティ デバイスが電子メール メッセージを傍受し、そのデータをウィルス対策スキャナーに渡してウィルスをスキャンします。
スキャンが完了すると、セキュリティ デバイスは以下の 2 つのコースのいずれかを通ります。
ウィルスが検出された場合、デバイスからクライアントにメッセージが転送されます。
ウィルスが検出された場合、デバイスは感染を通知するメッセージをクライアントに送信します。
IMAP のプロトコル専用通知の詳細については、「 プロトコル専用ウィルス検出通知について 」を参照してください。
このトピックは、以下のセクションで構成されています。
- IMAP アンチウィルス メール メッセージの置換について
- IMAP アンチウィルス送信者通知について
- IMAP アンチウィルス 件名タグ付けについて
- IMAP アンチウイルス スキャンの制限について
IMAP アンチウィルス メール メッセージの置換について
ウィルス対策スキャナーが電子メール メッセージ内のウィルスを検出すると、元のメッセージは破棄され、メッセージ本体は切り捨てられ、内容は次のように表示されるメッセージに置き換されます。
nContent-Type: text/plain Your mail <src_ip> : <src_port> — <dst_port>: <dst_port> contains contaminated file <filename> with virus <virusname>, so it is dropped.
IMAP アンチウィルス送信者通知について
設定が設定され、検出されたウィルスによってメッセージがドロップされた場合、電子メールがメール送信者 notify-sender-on-virus に送信されます。
From: <admin>@<gateway_ip> To: <sender_e-mail> Subject: Mail Delivery Failure This message is created automatically by mail delivery software. A message that you sent could not be delivered to one or more of its recipients for the reason: <src_ip> : <src_port> — <dst_port>: <dst_port> contaminated file <filename> with virus <virusname>. e-mail Header is: <header of scanned e-mail>
設定が設定され、スキャン エラーによってメッセージがドロップされた場合、スキャンしたメッセージをメール送信者に電子メール notify-sender-on-error-drop が送信されます。電子メールの内容は、次のように表示される場合があります。
From: <admin>@<gateway_ip> To: <sender_e-mail> Subject: Mail Delivery Failure This message is created automatically by mail delivery software. A message that you sent could not be delivered to one or more of its recipients for the reason: <src_ip> : <src_port> — <dst_port>: <dst_port> <reason>. e-mail Header is: <header of scanned e-mail>
IMAP アンチウィルス 件名タグ付けについて
スキャン エラーが返され、fail モードが に設定されている場合、ウィルス対策モジュールがメッセージを pass サーバーに渡します。が notify-recipient-on-error-pass 設定されている場合、次の文字列が件名フィールドの末尾に追加されます。
(No virus check: <reason>)
IMAP アンチウイルス スキャンの制限について
メール フラグメント — 1 通の電子メールを複数のパートに細分化し、各パートを別の応答を介して送信できます。これをメール フラグメント化と呼び、最も一般的なメール クライアントがそれをサポートして、大量の電子メールを送受信します。メール フラグメントのスキャンはウィルス対策スキャナーではサポートされていません。このような場合、メッセージ本体はスキャンされません。
部分的なコンテンツ — メール クライアントによっては、サイズの異なる電子メールを扱う場合があります。たとえば、小規模な電子メール(10 KB 未満)が全体としてダウンロードされます。大きな電子メール(例:1 MB 未満)は、IMAP サーバーからの要求に応じて 10 KB 単位に変更されます。部分的なコンテンツ要求のスキャンは、ウィルス対策スキャナーではサポートされていません。
IMAP アップロード — IMAP ダウンロードのウィルス対策スキャンのみサポートされています。IMAP アップロード トラフィックはスキャンされません。
IMAP アンチウイルス スキャンの有効化(CLI手順)
IMAP アンチウイルス スキャンは、リリースリリースJunos OS以降15.1X49-D10サポートJunos OSサポート17.3R1です。以前のリリースでは、IMAP トラフィックに対するウィルス対策スキャンを有効にするには、以下の設定ステートメントCLI入力します。
user@host# security utm utm-policy policy-name anti-virus imap-profile