完全なウィルス対策ファイル スキャン

Kaspersky アンチウイルス機能は、リリース Junos OS 以降15.1X49-D10サポートJunos OSサポート17.3R1されています。以前のリリースでは、完全なファイルベースのウィルス対策モジュールは、ゲートウェイ デバイスのソフトウェア サブシステムで、特定の アプリケーション層 トラフィックをスキャンしてユーザーをウィルス攻撃から保護し、ウィルスが拡散するのを防ぐ機能を提供します。ウィルス対策ソフトウェア サブシステムは、ウィルス署名データベース、アプリケーション プロキシー、スキャン マネージャー、およびスキャン エンジンで構成されています。

Kaspersky Lab はスキャン エンジンを搭載し、次のように動作します。

1. クライアントがサーバーとの TCP 接続を確立してから、トランザクションを開始します。

2. 問題のアプリケーション プロトコルがウィルス対策スキャン用にマークされている場合、トラフィックは解析のためにアプリケーション プロキシに転送されます。

3. スキャン要求が送信された後、スキャン エンジンがウィルス パターン データベースを照会してデータをスキャンします。

4. スキャン マネージャーは、ウィルス対策スキャン セッションを監視し、データコンテンツのプロパティを既存のウィルス対策設定に対してチェックします。

5. スキャンが発生した後、その結果はスキャン マネージャーによって処理されます。

Kaspersky Lab スキャン エンジンは、通常のファイル スキャンやスクリプト ファイル スキャンに対応しています。通常のファイル スキャンでは、入力オブジェクトは通常のファイルです。エンジンは、入力コンテンツと考えられるすべてのシグネチャを一致します。スクリプト ファイル スキャンでは、入力オブジェクトはスクリプト ファイルです。JavaScript、JAVAScript、mIRC スクリプト、打ち手のスクリプト(DOS 打ち込みファイル)、その他のテキスト スクリプトを使用できます。エンジンは、入力コンテンツとスクリプト ファイルの署名とののみ一致します。スクリプト スキャンは、HTTP プロトコルを使用した HTML コンテンツにのみ適用されます。このスキャン タイプには 2 つの条件があります。まず、この HTML ドキュメントのコンテンツ タイプ フィールドはテキストまたは HTML である必要があります。2 つ目は、HTTP ヘッダーにコンテンツ エンコーディングがない点です。これらの 2 つの条件を満たす場合、HTML の名前がスクリプトの HTML ドキュメントを解析するために使用されます。

Kaspersky Lab スキャン エンジンは、リリースリリースJunos OS以降15.1X49-D10サポートJunos OSサポート17.3R1されていません。以前のリリースでは、Kaspersky Lab スキャン エンジンで次の 2 つのスキャン モードがサポートされています。

• scan-all — このオプションは、スキャン エンジンに、受信したデータすべてのスキャンを指示します。

• 拡張スキャン :このオプションでは、問題のトラフィックにあるファイル拡張子に関するスキャンに関する全スキャン決定のベースになります。

コンテンツをスキャンする場合、ファイル拡張子リストを使用して、ファイル拡張子スキャン モード(拡張スキャン)で使用されるファイル拡張子のセットを定義できます。その後、ウィルス対策モジュールは、スキャン拡張子リストの拡張子を持つファイルをスキャンできます。拡張リストで拡張機能が定義されていない場合、その拡張子を持つファイルは、拡張スキャン モードでスキャンされません。拡張子が存在しない場合は、問題のファイルがスキャンされます。

ファイル拡張子リストを使用してコンテンツをスキャンする場合、以下の要件に注意してください。

• ファイル拡張子のエントリーは、大文字小文字は区別されません。

• ファイル拡張子リスト名の最大長は29バイトです。

• ファイル拡張子エントリーのそれぞれ最大長は15バイトです。

• ファイル拡張子リストの最大エントリー番号は255です。

Kaspersky Lab スキャンは、リリースリリースJunos OS以降15.1X49-D10サポートJunos OSサポート17.3R1されていません。以前のリリースでは、この例ではウィルス対策ファイル拡張子を完全にスキャンする方法を示しています。

Kaspersky Lab スキャンは、リリースリリースJunos OS以降15.1X49-D10サポートJunos OSサポート17.3R1されていません。以前のリリースでは、ウィルス対策モジュールで、グローバル レベル、UTM プロファイル レベル、ファイアウォール ポリシー レベルでスキャン オプションを設定できます。各設定レベルには、以下の影響があります。

• グローバルウィルス対策設定 — すべてのウィルス対策セッションに設定が適用されます。グローバル設定は、ウィルス対策モジュールの全体的な構成またはプロファイルに固有ではない設定です。

• プロファイルベースの設定 — ウィルス対策設定は、同じポリシー内のプロトコルによって異なります。

• ポリシーベースの設定 — ウィルス対策設定はポリシーによって異なります。ポリシーベースのウィルス対策設定は、ファイアウォール ポリシーで定義されたスキャン指定トラフィックすべてに適用されます。

大部分のウィルス対策設定は、指定されたプロトコルにバインドされたウィルス対策プロファイル内で設定され、指定されたポリシーで使用されます。そのUTMポリシーは、ファイアウォール ポリシーに従ってトラフィックに適用されます。ウィルス対策設定が適用されたファイアウォール ポリシーがトラフィック フローのプロパティと一致する場合、ウィルス対策設定はトラフィック セッションに適用されます。そのため、さまざまなプロトコルやトラフィック セッションに対して、さまざまなウィルス対策設定を適用できます。

Kaspersky Lab スキャンは、リリースリリースJunos OS以降15.1X49-D10サポートJunos OSサポート17.3R1されていません。以前のリリースでは、この例ではさまざまなレベルでフル アンチウイルス スキャン設定を構成する方法を示しています。

インテリジェントなプレスクリーンスは、リリースリリースJunos OS以降15.1X49-D10サポートJunos OS、17.3R1サポートされていません。以前のリリースでは、デフォルトでインテリジェントな事前スクリーン機能が有効になっているので、ウィルス対策スキャンのパフォーマンスが向上します。ウィルス対策モジュールは通常、ゲートウェイ デバイスがファイルのすべてのパケットを受信した後でデータをスキャンします。インテリジェントな事前スクリーン機能により、ウィルス対策モジュールははるかに早くファイルのスキャンを開始すると指示されます。この場合、スキャン エンジンは最初のパケットまたは最初の複数のパケットを使用して、ファイルに悪意のあるコードが含まれている可能性かどうかを判断します。スキャン エンジンは、最初のパケットを迅速にチェックし、ファイルに感染している可能性が低いと判断された場合、通常のスキャン手順を迂回しても安全だと判断します。

インテリジェントな事前スクリーン機能は、エンコードされていないトラフィックでのみ使用することを目的としています。MIME でエンコードされたトラフィック、メール プロトコル(SMTP、POP3、IMAP)、HTTP POST には適用されません。

インテリジェントなプレスクリーンスは、リリースリリースJunos OS以降15.1X49-D10サポートJunos OS、17.3R1サポートされていません。前のリリースでは、この例では完全なアンチウィルス インテリジェント プレスクリーンスを構成する方法を示しています。デフォルトでは、インテリジェントなプレスクリーンスが有効になっているので、ウィルス対策スキャンのパフォーマンスが向上します。

コンテンツ サイズ制限は、リリースリリースJunos OS以降15.1X49-D10サポートJunos OSサポート17.3R1されています。以前のリリースでは、リソースの制約により、データベースの最大コンテンツ サイズに対するデバイス依存のデフォルトの制限があります。コンテンツ サイズの値は設定可能です。また、最大コンテンツ サイズの下限および上限も設定されます。(この範囲はデバイスに依存し、設定できません)。

コンテンツ サイズ チェックは、スキャン要求が送信される前に実行されます。この正確なタイミングはプロトコルに依存します。プロトコル ヘッダーに正確なコンテンツ長フィールドが含まれている場合、ヘッダー解析中にコンテンツ長フィールドが抽出された際に、コンテンツ サイズチェックが実行されます。通常、コンテンツ サイズはファイル サイズを指します。コンテンツ長フィールドがない場合、ウィルス対策モジュールがパケットを受信している間にサイズがチェックされます。この場合のコンテンツ サイズは、蓄積された TCP ペイロード サイズを指します。この設定は、すべてのプロトコルで使用できます。

圧縮レイヤー制限は、リリースリリースJunos OS以降15.1X49-D10サポートJunos OSサポート17.3R1です。以前のリリースでは、非圧縮レイヤー制限では、アーカイブ ファイル(タール)、MS Word、PowerPoint ファイルなど、内部の抽出可能なオブジェクトを持つネストされた圧縮ファイルとファイルのレイヤー数を指定します。ウィルス スキャンを実行する前に、内部アンチウィルス スキャナーが圧縮解除できます。たとえば、別の圧縮された .zip ファイルを含む圧縮 .zip ファイルがメッセージに含まれている場合、2 つの圧縮レイヤーがあります。両方のファイルを圧縮解除するには、非圧縮レイヤー設定の 2 が必要です。

また、データ転送中に、一部のプロトコルではコンテンツ エンコーディングを使用する場合があります。ウィルス対策スキャン エンジンは、ウィルスをスキャンする前に、非圧縮レベルと見なされるこのレイヤーをデコードする必要があります。

圧縮データには3種類があります。

• 圧縮ファイル(zip、rar、gzip)

• エンコードされたデータ(MIME)

• パッケージ データ(多くの場合、キャップ。MSI。タール。EML)

圧縮レイヤーには、圧縮ファイルのレイヤーや、パッケージ データに組み込まれたオブジェクトを使用できます。ウィルス対策エンジンは、ユーザーが設定した非圧縮制限に達するか、デバイスの非圧縮レイヤー制限に達するか、ウィルスなどのマルウェアを検出するか、データを完全に圧縮解除するまで、次のレイヤーを開梱する前に各レイヤーをスキャンします。どちらかが最初に出てくるまでです。

ウィルス シグネチャ データベースが大規模になり、スキャン アルゴリズムが高度化するに基いて、スキャン エンジンで組み込まれたマルウェアのデータを詳細に検証できます。その結果、圧縮されたデータのレイヤーが多く発見される可能性があります。アプリケーション ジュニパーネットワークスのセキュリティ レベルは、圧縮解除の制限によって制限されます。これは、セキュリティ サービスに割り当てられたメモリに基づいて行います。圧縮制限内にウィルスが検出されない場合、ユーザーはデータを渡す/ドロップするかのオプションを使用できます。この設定は、すべてのプロトコルで使用できます。

スキャニング タイムアウト パラメーターは、リリースリリースJunos OS以降15.1X49-D10 Junos OSサポート17.3R1サポートされていません。以前のリリースでは、スキャン タイムアウト値には、スキャン要求の生成から、スキャン結果がスキャン エンジンから返されたまでの期間が含まれます。時間範囲は 1~1800 秒です。デフォルトでは180秒です

スキャン セッション 抑制は、サーバーのリリースJunos OSおよび15.1X49-D10以降Junos OSサポート17.3R1サポートされていません。以前のリリースでは、利用可能なすべてのリソースを消費し、他のトラフィックをスキャンするスキャン エンジンの機能を妨げる試みとして、悪意のあるユーザーが大量のトラフィックを一度に生成する可能性があります。このようなアクティビティが成功を防ぐには、アンチウィルス リソースにセッションスロットが課せられた結果、1 つのソースが一度に消費できるトラフィック量が制限されます。制限は、デフォルト設定として100を持つ整数です。この整数は、単一ソースからの最大許容セッションを表します。このデフォルト制限を変更する場合がありますが、この制限が高く設定されている場合は、制限なしに匹敵すると理解できます。

オーバーリミットとは、クライアントごとの接続制限に関するフォールバック設定です。デフォルトでは、オーバーリミットの動作はセッションをブロックします。これはポリシー単位の設定です。ポリシーの適用ごとに異なる設定UTMできます。