이 페이지에서
Sophos 바이러스 차단 보호
Sophos 바이러스 차단 스캐너는 로컬 내부 캐시를 사용하여 외부 목록 서버의 쿼리 응답을 유지하여 조회 성능을 향상합니다. Sophos 바이러스 차단 검사는 전체 파일 기반 바이러스 차단 기능에 대한 CPU 집약적인 대안으로 제공됩니다. 자세한 내용은 다음 주제를 참조하십시오.
Sophos 바이러스 차단 보호 개요
Sophos 바이러스 차단 솔루션은 클라우드 내 바이러스 차단 솔루션입니다. 바이러스 패턴 및 멀웨어 데이터베이스는 Sophos(Sophos Extensible List) 서버에 의해 유지 관리되는 외부 서버에 위치하므로 Juniper 디바이스에서 대규모 패턴 데이터베이스를 다운로드하고 유지할 필요가 없습니다. 릴리스 23.1R1 Junos OS 이전에 Sophos 바이러스 차단 스캐너는 로컬 내부 캐시를 사용하여 외부 목록 서버의 쿼리 응답을 유지하여 조회 성능을 개선했습니다.
Juniper 컨텐츠 보안이 처리한 상당한 양의 트래픽이 HTTP 기반이므로 악의적인 콘텐츠가 엔드포인트 클라이언트 또는 서버에 도달하는 것을 효과적으로 방지하기 위해 URI(Uniform Resource Identifier) 확인이 사용됩니다. HTTP 트래픽에 대한 다음 확인이 수행됩니다. URI 조회, 진정한 파일 유형 감지 및 파일 체크섬 조회. 다음 애플리케이션 레이어 프로토콜이 지원됩니다. HTTP, FTP, SMTP, POP3 및 IMAP.
전체 파일 기반 바이러스 차단 기능은 Junos OS 릴리스 15.1X49-D10 및 Junos OS 릴리스 17.3R1 이후부터 지원되지 않습니다. 이전 릴리스의 경우, sophos 바이러스 차단 검사는 전체 파일 기반 바이러스 차단 기능에 대한 CPU 집약적인 대안으로 제공됩니다. Sophos는 전체 바이러스 차단 및 기능과 동일한 방식으로 동일한 프로토콜을 지원합니다. 그러나 더 작은 메모리 설치 공간을 가지고 있으며 메모리가 적은 하위 엔드 디바이스와 호환됩니다.
Junos OS 릴리스 15.1X49-D100부터 HTTP, HTTPS, FTP, SMTP, POP3에 대한 IPv6 패스스루 트래픽, IMAP 프로토콜은 컨텐츠 보안의 Sophos 바이러스 차단, 웹 필터링 및 콘텐츠 필터링 보안 기능에 대해 지원됩니다.
Junos OS 릴리스 12.3X48-D35 및 Junos OS 릴리스 17.3R1부터 Tcp-프록시 포워딩을 최적화하기 위해 컨텐츠 보안 Sophos 바이러스 차단(SAV) 단일 세션 처리량이 증가했습니다.
Junos OS 릴리스 19.4R1부터 바이러스 차단 기능은 암시적이고 명시적인 SMTPS, IMAPS 및 POP3S 프로토콜을 지원하며 명시적 패시브 모드 FTPS만 지원합니다.
암묵적 모드 - 보안 채널을 사용하여 SSL/TLS 암호화된 포트에 연결합니다.
명시적 모드 - 먼저 보호되지 않은 채널에 연결한 다음 STARTTLS 명령을 실행하여 통신을 보호합니다. POP3S의 경우 STLS 명령을 사용합니다.
Junos OS 릴리스 23.1R1부터 컨텐츠 보안은 새로운 바이러스 차단 Sophos Live Protection 버전 2.0을 지원합니다. 새로운 버전의 Sophos 바이러스 차단은 디바이스 간 통신을 위해 HTTPS 연결을 사용합니다. HTTPS 연결의 경우, SSL 시작 프로필을 생성하고 Sophos 엔진의 기본 구성에 프로필을 추가해야 합니다.
더 보기
Sophos 바이러스 차단 기능
Sophos 바이러스 차단 기능은 다음과 같은 주요 기능을 제공합니다.
Sophos antivirus expanded MIME decoding support—Sophos 바이러스 차단은 HTTP, POP3, SMTP 및 IMAP에 대한 디코딩 지원을 제공합니다. MIME 디코딩 지원에는 지원되는 각 프로토콜에 대해 다음이 포함됩니다.
멀티파트 및 네스티드 헤더 디코딩
제목 필드에서 Base64 디코딩, 인쇄된 따옴표 디코딩 및 인코딩된 단어 디코딩
Sophos antivirus supports HTTPS traffic-Junos OS 릴리스 12.3X48-D25 및 Junos OS 릴리스 17.3R1부터 SSL 포워드 프록시를 통한 Sophos 바이러스 차단은 HTTPS 트래픽을 지원합니다. SSL 포워드 프록시를 통한 Sophos 바이러스 차단은 SRX 시리즈 방화벽을 통과하는 HTTPS 트래픽을 차단함으로써 수행합니다. SRX 시리즈 방화벽의 보안 채널은 클라이언트와 SRX 시리즈 방화벽 간의 SSL 채널과 SRX 시리즈 방화벽과 HTTPS 서버 사이의 또 다른 SSL 채널로 나뉩니다. SSL 포워드 프록시는 두 채널 모두의 터미널 역할을 하며 일반 텍스트 트래픽을 컨텐츠 보안으로 전달합니다. 컨텐츠 보안은 cleartext 트래픽에서 URL 및 파일 체크섬 정보를 추출합니다. Sophos 바이러스 차단 스캐너는 요청을 차단하거나 허용할지 여부를 결정합니다.
SSL 포워드 프록시는 클라이언트 인증을 지원하지 않습니다. 서버에서 클라이언트 인증이 필요한 경우 컨텐츠 보안은 트래픽을 우회합니다. 컨텐츠 보안은 다음 조건에서 HTTPS 트래픽을 우회합니다.
SSL 프록시가 클라이언트로부터 첫 번째 핸드셰이크 패킷을 구문 분석하지 않으면 SSL 포워드 프록시는 트래픽을 우회합니다.
호환성 문제로 인해 클라이언트 및 서버와의 SSL 프록시 핸드셰이크가 불완전하면 연결이 중단됩니다.
시스템 리소스가 부족하면 SSL 포워드 프록시는 새로운 연결을 처리할 수 없으며 Sophos 바이러스 차단은 트래픽을 우회합니다.
HTTPS 트래픽이 SSL 포워드 프록시 허용 목록에 도달하면 SSL 포워드 프록시와 Sophos 바이러스 차단이 트래픽을 우회합니다.
Sophos antivirus scan result handling—Sophos 바이러스 차단, TCP를 사용하면 바이러스가 발견되고 데이터 콘텐츠가 손실되면 트래픽이 정상적으로 닫힙니다.
다음과 같은 페일 모드 옵션이 지원됩니다. 컨텐츠 크기, 기본값, 엔진 준비 안 됨, 리소스 외, 시간 제한 및 너무 많은 요청. 차단, 로그 및 허용, 허용과 같은 작업을 설정할 수 있습니다. Sophos에서 지원되는 옵션의 페일 모드 처리는 전체 바이러스 차단과 거의 동일합니다.
Sophos Uniform Resource Identifier checking-Sophos는 스팸 차단 실시간 NULL 경로 목록(RBL) 조회와 유사한 일관된 리소스 식별자(URI) 검사를 제공합니다. URI 확인은 Sophos 데이터베이스에 대해 HTTP 트래픽의 URI 콘텐츠를 분석하여 멀웨어 또는 악성 콘텐츠를 식별하는 방법입니다. 멀웨어는 주로 정적이기 때문에 체크섬 메커니즘을 사용하여 멀웨어를 식별하여 성능을 향상합니다. 체크섬을 사용할 수 있는 파일에는 .exe, .zip, .rar, .swf, .pdf, .ole2(문서 및 xls)가 포함됩니다.
HTTP 트래픽이 없거나 외부 세계에서 액세스할 수 없는 웹 서버가 있는 내부 네트워크를 보호하는 주니퍼 네트웍스 디바이스가 있는 경우 URI 검사를 끄고 싶을 수 있습니다. 웹 서버가 외부 세계에 액세스할 수 없는 경우 Sophos URI 데이터베이스에 있는 URI 정보가 포함되어 있을 가능성은 거의 없습니다. URI 검사는 기본적으로 입니다.
릴리스 18.4R1 이후 Junos OS URI 검사는 기본적으로 꺼져 있습니다.
더 보기
Sophos 바이러스 차단 데이터 파일 업데이트 이해하기
Sophos 바이러스 차단은 주기적으로 업데이트해야 하는 작은 데이터 파일 집합을 사용합니다. 이러한 데이터 파일에는 안내 검사 로직에 대한 정보만 포함되며 전체 패턴 데이터베이스는 포함되어 있지 않습니다. 주요 바이러스, URI 검사, 멀웨어, 웜, 트로이 목마, 스파이웨어에 대한 보호를 포함하는 주요 패턴 데이터베이스는 Sophos가 관리하는 원격 Sophos 확장형 목록 서버에 위치해 있습니다.
Sophos 데이터 파일은 HTTP 또는 HTTPS를 통해 업데이트되며 수동으로 업데이트하거나 자동으로 업데이트하도록 예약할 수 있습니다. Sophos 바이러스 차단:
서명 데이터베이스 자동 업데이트 간격은 기본적으로 하루에 한 번입니다. 이 간격을 변경할 수 있습니다.
데이터 파일 업데이트 중에 바이러스 검사 기능이 중단되지 않습니다. 업데이트가 실패하면 기존 데이터 파일이 계속 사용됩니다.
기본적으로 Sophos 바이러스 차단 데이터 파일 업데이트 URL은 http://update.juniper-updates.net/SAV/.
Sophos 바이러스 차단 검사 기능은 별도의 라이선스가 부여된 구독 서비스입니다. 바이러스 차단 라이선스 키가 만료되면 패턴 조회 데이터베이스가 원격 Sophos 서버에 위치하기 때문에 기능이 더 이상 작동하지 않습니다. 라이선스를 업데이트하는 30일의 유예 기간이 있습니다.
더 보기
Sophos 바이러스 차단과 Kaspersky 바이러스 차단 비교
Kaspersky 및 Express 바이러스 차단 기능은 Junos OS 릴리스 15.1x49-D10 및 Junos OS 릴리스 17.3R1 이후에서 지원되지 않습니다. 이전 릴리스의 경우 Sophos 바이러스 차단은 Juniper Express 바이러스 차단과 유사하며 전체 바이러스 차단 기능과도 유사합니다.
Juniper Express 및 전체 바이러스 차단 솔루션과 달리 Sophos에 대한 바이러스 차단 및 멀웨어 데이터베이스는 원격 Sophos 확장형 목록 서버 그룹에 저장됩니다. 쿼리는 DNS 프로토콜을 사용하여 수행됩니다. Sophos는 이러한 서버를 관리하므로 Juniper 디바이스에서 대규모 패턴 데이터베이스를 다운로드하고 유지할 필요가 없습니다. 데이터베이스가 원격이기 때문에 새로운 바이러스 발생에 더 빠르게 대응할 수 있습니다. 바이러스 차단 데이터베이스에는 크기 제한이 없지만 검색 파일 크기에는 제한이 있습니다.
참고:Sophos 바이러스 차단은 정기적으로 업데이트해야 하는 데이터 파일 집합을 사용합니다. 일반적인 바이러스 패턴 파일은 아니지만 바이러스 검사 논리를 안내하는 데 도움이 되는 작은 파일 집합입니다. 데이터 파일을 수동으로 다운로드하거나 자동 다운로드를 설정할 수 있습니다.
Sophos는 Kaspersky 바이러스 차단과 동일한 사전 검사 탐지 기능을 제공하지 않습니다. Sophos는 Sophos 엔진의 일부이며 켜고 끄기할 수 없는 유사한 솔루션을 제공합니다.
Sophos 바이러스 차단 검사 기능은 별도의 라이선스가 부여된 구독 서비스입니다. 또한 패턴 조회 데이터베이스는 Sophos가 관리하는 원격 서버에 위치하므로 바이러스 차단 라이선스 키가 만료되면 기능이 더 이상 작동하지 않습니다. 라이선스를 업데이트하는 30일의 유예 기간이 있습니다.
더 보기
Sophos 바이러스 차단 구성 개요
Sophos 바이러스 차단 기능은 컨텐츠 보안 기능 세트의 일부이므로 먼저 컨텐츠 보안 옵션(사용자 지정 객체)을 구성하고, Sophos 기능을 구성한 다음, 컨텐츠 보안 정책 및 보안 정책을 만듭니다. 보안 정책은 디바이스에서 전달되는 모든 트래픽을 제어하며, 컨텐츠 보안 정책은 트래픽 스캔에 사용할 매개 변수를 지정합니다. 또한 컨텐츠 보안 정책은 일련의 프로토콜을 하나 이상의 컨텐츠 보안 기능 프로필(이 경우 Sophos 바이러스 차단 포함)에 바인딩하는 데 사용됩니다.
Sophos 바이러스 차단을 구성하려면 다음 작업을 완료해야 합니다.
- 컨텐츠 보안 사용자 정의 객체 및 MIME 목록을 구성합니다. 예: Sophos 바이러스 차단 사용자 지정 객체 구성,
- Sophos 바이러스 차단 기능 프로필을 구성합니다. 예: Sophos 바이러스 차단 기능 프로필 구성을 참조하십시오.
- 컨텐츠 보안 정책을 구성합니다. 예: Sophos 바이러스 차단 콘텐츠 보안 정책 구성
- 보안 정책을 구성합니다. 예: Sophos 바이러스 차단 방화벽 보안 정책 구성을 참조하십시오.
예: Sophos 바이러스 차단 사용자 지정 객체 구성
이 예에서는 Sophos 바이러스 차단과 함께 사용할 컨텐츠 보안 글로벌 사용자 지정 객체를 만드는 방법을 보여줍니다.
요구 사항
시작하기 전에 컨텐츠 보안 사용자 정의 객체에 대해 읽어보십시오. 컨텐츠 보안 개요를 참조하십시오.
개요
MIME 목록을 구성합니다. 여기에는 바이러스 차단 검사를 위한 MIME 허용 목록 및 MIME 예외 목록 생성이 포함됩니다. 이 예에서는 MIME 유형이 포함되어 있지 않는 한 QuickTime 비디오 스캔을 우회합니다.
구성
절차
GUI 빠른 구성
단계별 절차
MIME 목록을 구성하려면,
작업 모음에서 구성 탭을 클릭한 다음 Security>UTM>Custom Objects를 선택합니다.
MIME 패턴 목록 탭을 클릭한 다음 추가를 클릭합니다.
MIME 패턴 이름 상자에 avmime2를 입력합니다.
MIME 패턴 값 상자에 비디오/빠른 시간을 입력하고 추가를 클릭합니다.
MIME 패턴 값 상자에 이미지/x 휴대용-anympa를 입력하고 추가를 클릭합니다.
MIME 패턴 값 상자에 x-world/x-vrml을 입력하고 추가를 클릭합니다.
단계별 절차
MIME 예외 목록을 구성하려면:
작업 모음에서 구성 탭을 클릭한 다음 Security>UTM>Custom Objects를 선택합니다.
MIME 패턴 목록 탭을 클릭한 다음 추가를 선택합니다.
MIME 패턴 이름 상자에 exception-avmime2를 입력합니다.
MIME 패턴 값 상자에 비디오/quicktime-inappropriate를 입력하고 추가를 클릭합니다.
단계별 절차
바이러스 차단 검사로 우회되는 URL 또는 주소의 URL 패턴 목록(허용 목록)을 구성합니다. URL 패턴 목록을 생성한 후 사용자 지정 URL 범주 목록을 만들고 패턴 목록을 추가합니다.
URL 패턴 목록을 사용하여 사용자 지정 URL 범주 목록을 생성하기 때문에 사용자 지정 URL 범주 목록을 구성하기 전에 URL 패턴 목록 사용자 지정 객체를 구성해야 합니다.
URL 패턴 허용 목록을 구성하려면 다음을 수행합니다.
작업 모음에서 구성 탭을 클릭한 다음 Security>UTM>Custom Objects를 선택합니다.
URL 패턴 목록 탭을 클릭한 다음 추가를 클릭합니다.
URL 패턴 이름 상자에 urlist2를 입력합니다.
URL 패턴 값 상자에 http://example.net 입력합니다. (URL 대신 서버 IP 주소도 사용할 수 있습니다.)
단계별 절차
구성 저장:
확인을 클릭하여 구성을 확인하고 후보 구성으로 저장합니다.
디바이스 구성이 완료되면 작업>커밋을 클릭합니다.
URL 패턴 와일드카드 지원 - 와일드카드 규칙은 다음과 같습니다. \*.[] \?* 그리고 와일드카드 URL 앞에 http://. URL의 시작 부분에 있고 뒤에 "."가 뒤따르는 경우에만 "*"를 사용할 수 있습니다. URL 끝의 "?"만 사용할 수 있습니다.
다음 와일드카드 구문은 지원됩니다: http://*. example.net, http://www.example.ne?, http://www.example.n?? 다음 와일드카드 구문은 지원되지 않습니다: *.example.net, www.example.ne?, http://*example.net, http://*.
단계별 절차
CLI를 사용하여 바이러스 차단 보호를 구성하려면 다음 순서로 사용자 지정 객체를 생성해야 합니다.
MIME 허용 목록을 생성합니다.
[edit security utm] user@host# set custom-objects mime-pattern avmime2 value [video/quicktime image/x-portable-anymap x-world/x-vrml]
MIME 예외 목록을 만듭니다.
[edit security utm] user@host# set custom-objects mime-pattern exception-avmime2 value [video/quicktime-inappropriate]
우회하려는 URL 또는 주소의 URL 패턴 목록(허용 목록)을 구성합니다. URL 패턴 목록을 생성한 후 사용자 지정 URL 범주 목록을 만들고 패턴 목록을 추가합니다. 목록 이름을 생성하고 다음과 같이 값을 추가하여 URL 패턴 목록 사용자 지정 객체를 구성합니다. URL 패턴 목록을 사용하여 사용자 지정 URL 범주 목록을 생성할 때 사용자 지정 URL 범주 목록을 구성하기 전에 URL 패턴 목록 사용자 지정 객체를 구성해야 합니다.
[edit security utm] user@host# set custom-objects url-pattern urllist2 value [http://www. example.net 192.168.1.5]
참고:URL 패턴 와일드카드 지원 - 와일드카드 규칙은 다음과 같습니다. \*.[] \?* 그리고 와일드카드 URL 앞에 http://. URL의 시작 부분에 있고 뒤에 "."이 뒤따르는 경우에만 "*"를 사용할 수 있습니다. URL 끝의 "?"만 사용할 수 있습니다.
다음 와일드카드 구문은 지원됩니다: http://*. example.net, http://www.example.ne?, http://www.example.n?? 다음 와일드카드 구문은 지원되지 않습니다: *.example.net, www.example.ne?, http://*example.net, http://*.
앞서 생성한 URL 패턴 목록 urllist2를 사용하여 사용자 지정 URL 범주 목록 사용자 지정 객체를 구성합니다.
[edit security utm] user@host# set custom-objects custom-url-category custurl2 value urllist2
예: Sophos 바이러스 차단 기능 프로파일 구성
이 예는 바이러스 검사에 사용될 매개 변수를 정의하는 Sophos 바이러스 차단 프로파일을 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전에 다음을 수행합니다.
Sophos 바이러스 차단 라이선스를 설치합니다. 설치 및 업그레이드 가이드를 참조하십시오.
컨텐츠 보안을 위한 사용자 지정 개체를 구성합니다. 예: Sophos 바이러스 차단 사용자 지정 객체 구성을 참조하십시오.
개요
다음 구성에서는 Sophos를 바이러스 차단 엔진으로 정의하고 데이터 파일 업데이트 간격, 관리자를 위한 알림 옵션, 폴백 옵션, 파일 크기 제한과 같은 매개 변수를 설정합니다.
[edit security utm feature-profile] 계층 수준은 Junos OS 릴리스 18.2R1에서 더 이상 사용되지 않습니다. 자세한 내용은 컨텐츠 보안 개요를 참조하십시오.
구성
절차
GUI 빠른 구성
단계별 절차
다음 예는 사용자 지정 Sophos 프로필을 만드는 방법을 보여줍니다. 사전 구성된 주니퍼 네트웍스 프로필을 사용하려면 컨텐츠 보안 정책에서 junos-sophos-av-default라는 프로필을 사용합니다. 예: Sophos 바이러스 차단 콘텐츠 보안 정책 구성을 참조하십시오.
엔진 유형을 선택하고 구성합니다. Sophos 바이러스 차단을 구성하고 있으므로 sophos 엔진을 구성합니다.
단계별 절차
작업 모음에서 구성 탭을 클릭한 다음 Security>UTM>Anti-Virus를 선택합니다.
전역 옵션 탭을 클릭한 다음 Sophos를 클릭합니다.
[확인]을 클릭하고 변경 사항을 커밋합니다.
1단계에서와 같이 바이러스 차단 전역 옵션 화면으로 돌아가 다음 매개 변수를 설정합니다.
단계별 절차
MIME 허용 목록에서 exception-avmime2를 선택합니다.
URL 허용 목록 목록에서 custurl2를 선택합니다.
패턴 업데이트 간격(sec) 상자에 2880을 입력합니다.
상자에 SophosAdmin 이메일 데이터 파일 업데이트 알림을 수신할 전자 메일 주소를 입력합니다. 예를 들어, admin@ example.net.
사용자 지정 메시지 제목 상자에 업데이트된 Sophos 데이터 파일을 입력합니다.
확인을 클릭하여 구성을 확인하고 후보 구성으로 저장합니다.
sophos 엔진에 대한 프로필을 구성하고 매개 변수를 설정합니다.
단계별 절차
작업 모음에서 구성 탭을 클릭한 다음 Security>UTM>Anti-Virus를 선택합니다. 추가를 클릭합니다.
프로필 추가(Add profile) 상자에서 기본 탭을 클릭합니다.
프로필 이름 상자에 sophos-prof1을 입력합니다.
세류 타임아웃 상자에 180을 입력합니다.
세류 옵션을 활성화할 때는 세분화가 바이러스 차단 검사 중에 파일의 일부를 클라이언트로 보낼 수 있다는 점을 이해하는 것이 중요합니다. 클라이언트가 일부 컨텐츠를 수신할 수 있고 파일이 완전히 검사되기 전에 클라이언트가 감염될 수 있습니다.
URI 검사는 기본적으로 입니다. 을(를) 끄려면 URI 확인란에서 '예' 를 삭제합니다.
컨텐츠 크기 제한 상자에 20000을 입력합니다.
스캔 엔진 타임아웃 상자에 1800을 입력합니다.
폴백 설정 탭을 클릭하여 폴백 설정을 구성합니다. 이 예에서 모든 폴백 옵션은 로깅 및 허용으로 설정됩니다. 로그를 클릭하고 다음 항목을 허용합니다. 기본 작업, 콘텐츠 크기, 엔진 준비되지 않음, 시간 초과, 리소스 초과, 요청 너무 많습니다.
알림 옵션 탭을 클릭하여 알림 옵션을 구성합니다 . 폴백 차단 및 폴백 비차단 작업과 바이러스 탐지를 위한 알림을 구성할 수 있습니다.
단계별 절차
폴백 설정에 대한 알림을 구성하려면 다음을 수행합니다.
알림 유형은 프로토콜을 클릭합니다.
메일 발신자에게 알리려면 '예'를 클릭합니다.
사용자 지정 메시지 상자에 폴백 차단 작업 발생을 입력합니다.
사용자 지정 메시지 제목 상자에 ***바이러스 차단 폴백 경고***를 입력합니다.
바이러스 탐지를 위한 알림 옵션을 구성하려면 Notification 옵션 계속... 탭을 클릭합니다.
단계별 절차
알림 유형 옵션 버튼의 경우 프로토콜을 선택합니다.
메일 발신자 알림 옵션 버튼의 경우 '예'를 선택합니다.
사용자 지정 메시지 상자에서 바이러스 유형 이 탐지되었습니다.
사용자 지정 메시지 제목 상자에 ***바이러스 탐지***를 입력합니다.
확인을 클릭하여 구성을 확인하고 후보 구성으로 저장합니다.
디바이스 구성이 완료되면 작업>커밋을 클릭합니다.
단계별 절차
CLI를 사용하여 Sophos 바이러스 차단 기능 프로파일을 구성하려면 다음을 수행합니다.
다음 예는 사용자 지정 Sophos 프로필을 만드는 방법을 보여줍니다. 사전 구성된 주니퍼 네트웍스 프로필을 사용하려면 컨텐츠 보안 정책에서 junos-sophos-av-default라는 프로필을 사용합니다. 예: Sophos 바이러스 차단 콘텐츠 보안 정책 구성을 참조하십시오.
엔진 유형을 선택하고 구성합니다. Sophos 바이러스 차단을 구성하고 있으므로 sophos 엔진을 구성합니다.
[edit] user@host# set security utm default-configuration anti-virus type sophos-engine
구성을 커밋합니다.
데이터 파일 업데이트 시간 간격을 선택합니다. 기본 바이러스 차단 패턴 업데이트 간격은 24시간마다 1440분입니다. 이 기본값을 그대로 두도록 선택하거나 변경할 수 있습니다. 필요한 경우 수동 업데이트를 강제할 수도 있습니다. 기본값을 24시간마다에서 48시간마다로 변경하려면,
[edit security utm default-configuration anti-virus] user@host# set sophos-engine pattern-update interval 2880
프록시 서버 세부 정보를 사용하여 네트워크 디바이스를 구성하여 원격 서버에서 패턴 업데이트를 다운로드합니다.
[edit security utm default-configuration anti-virus] user@host# set sophos-engine pattern-update proxy
대부분의 경우 패턴 데이터베이스를 업데이트하기 위해 URL을 변경할 필요가 없습니다. 이 옵션을 변경해야 하는 경우 다음 명령을 사용합니다.
[edit security utm default-configuration anti-virus] user@host# set sophos-engine pattern-update url http://www.example.net/test-download
데이터 파일이 업데이트되면 지정된 관리자에게 알리도록 디바이스를 구성할 수 있습니다. 이것은 사용자 지정 메시지와 사용자 지정 제목 줄이 있는 이메일 알림입니다.
[edit security utm default-configuration anti-virus] user@host# set sophos-engine pattern-update email-notify admin-email admin@example.net custom-message “Sophos antivirus data file was updated” custom-message-subject “AV data file updated”
차단, 로그 및 허용 또는 허용으로 폴백 옵션 목록을 구성합니다. 기본 설정은 log-and-permit입니다. 기본 설정을 사용하거나 변경할 수 있습니다.
콘텐츠 크기 작업을 구성합니다. 이 예에서 콘텐츠 크기를 초과하면 수행된 작업이 차단됩니다.
먼저 sophos-prof1이라는 프로필을 생성합니다.
[edit security utm feature-profile anti-virus] user@host# set profile sophos-prof1
차단할 콘텐츠 크기 폴백 옵션을 구성합니다.
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set fallback-options content-size block
로그 및 허가를 위해 기본 폴백 옵션을 구성합니다.
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set fallback-options default log-and-permit
바이러스 차단 엔진이 준비되지 않은 경우 log-and-permit를 구성합니다.
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set fallback-options engine-not-ready log-and-permit
디바이스가 리소스가 부족하면 로그 및 허가를 구성합니다.
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set fallback-options out-of-resources log-and-permit
바이러스 검사 시간 초과가 발생하면 로그 및 허가를 구성합니다.
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set fallback-options timeout log-and-permit
바이러스 엔진이 처리해야 할 요청이 너무 많은 경우 log-and-permit를 구성합니다.
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set fallback-options too-many-requests log-and-permit
알림 옵션을 구성합니다. 폴백 차단, 폴백 비차단 작업 및 바이러스 탐지를 위한 알림을 구성할 수 있습니다.
이 단계에서 폴백 차단 작업에 대한 사용자 지정 메시지를 구성하고 프로토콜 전용 작업에 대한 알림을 관리자와 발신자에게 보냅니다.
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set notification-options fallback-block custom-message ***Fallback block action occurred*** custom-message-subject Antivirus Fallback Alert notify-mail-sender type protocol-only allow email administrator-email admin@example.net
프로토콜 전용 바이러스 탐지를 위한 알림을 구성하고 알림을 보냅니다.
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host#set notification-options virus-detection type protocol-only notify-mail-sender custom-message-subject ***Virus detected*** custom-message Virus has been detected
콘텐츠 크기 매개 변수를 구성합니다.
콘텐츠 크기 값을 구성할 때는 특정 경우 프로토콜 헤더에서 콘텐츠 크기를 사용할 수 있으므로 검색 요청이 전송되기 전에 최대 콘텐츠 크기 폴백이 적용됩니다. 그러나 많은 경우 프로토콜 헤더에는 콘텐츠 크기가 제공되지 않습니다. 이러한 경우 TCP 페이로드는 바이러스 차단 스캐너로 전송되며 페이로드가 끝날 때까지 누적됩니다. 누적된 페이로드가 최대 콘텐츠 크기 값을 초과하면 max-content-size 폴백이 적용됩니다. 기본 폴백 작업은 로그 및 허용이므로 이 옵션을 차단하도록 변경할 수 있습니다. 이 경우 패킷이 누락되고 차단 메시지가 클라이언트로 전송됩니다.
이 예에서 콘텐츠 크기가 20MB를 초과하면 패킷이 누락됩니다.
[edit security utm default-configuration anti-virus] user@host# set scan-options content-size-limit 20000
URI 검사는 기본적으로 입니다. URI 검사를 끄려면 다음을 수행합니다.
[edit security utm default-configuration anti-virus] user@host# set scan-options no-uri-check
검사 작업의 시간 제한 설정을 1800초로 구성합니다.
[edit security utm default-configuration anti-virus] user@host# set scan-options timeout 1800
Sophos Extensible List 서버에는 검사 작업을 위한 바이러스 및 멀웨어 데이터베이스가 포함되어 있습니다. 이러한 서버에 대한 응답 시간 초과를 3초로 설정합니다(기본값은 2초).
[edit security utm default-configuration anti-virus] user@host# set scan-options sxl-timeout 3
Sophos Extensible List 서버 재시도 옵션을 2회 재시도 옵션으로 구성합니다(기본값은 1).
[edit security utm default-configuration anti-virus] user@host# set scan-options sxl-retry 2
세류 설정을 180초로 구성합니다. 세류를 사용하는 경우 시간 제한 매개 변수를 설정할 수도 있습니다. 세류는 HTTP에만 적용됩니다. HTTP 세류는 HTTP 클라이언트 또는 서버가 파일 전송 중 또는 바이러스 차단 검사 중에 타이밍을 정하지 못하도록 하는 데 사용되는 메커니즘입니다.
세류 옵션을 활성화하면 세류가 바이러스 차단 검사 중에 파일의 일부를 클라이언트로 보낼 수 있음을 명심하십시오. 따라서 파일을 완전히 스캔하기 전에 클라이언트가 일부 컨텐츠를 수신할 수 있습니다.
[edit security utm default-configuration anti-virus] user@host# set trickling timeout 180
MIME 우회 목록 및 예외 목록을 사용하도록 바이러스 차단 모듈을 구성합니다. 사용자 지정 개체 목록을 사용하거나 junos-default-bypass-mime이라는 디바이스와 함께 제공되는 기본 목록을 사용할 수 있습니다. 이 예에서는 앞서 설정한 목록을 사용합니다.
[edit security utm default-configuration anti-virus] user@host# set mime-whitelist list avmime2 [edit security utm feature-profile anti-virus] user@host# set mime-whitelist list exception-avmime2
URL 바이패스 목록을 사용하도록 바이러스 차단 모듈을 구성합니다. URL 허용 목록을 사용하는 경우 이전에 사용자 지정 객체로 구성한 사용자 지정 URL 범주입니다. URL 허용 목록은 HTTP 트래픽에 대해서만 유효합니다. 이 예에서는 앞서 설정한 목록을 사용합니다.
[edit security utm default-configuration anti-virus] user@host# set url-whitelist custurl2
확인
현재 바이러스 차단 상태에 대한 정보 확보
목적
작업
운영 모드에서 명령을 입력 show security utm anti-virus status 하여 바이러스 차단 상태를 확인합니다.
user@host>show security utm anti-virus status
의미
바이러스 차단 키 만료 날짜 - 라이선스 키 만료 날짜입니다.
서버 업데이트 - 데이터 파일 업데이트 서버에 대한 URL입니다.
간격 - 디바이스가 업데이트 서버에서 데이터 파일을 업데이트하는 시간(분).
패턴 업데이트 상태 - 다음에 데이터 파일이 업데이트될 때 몇 분 안에 표시됩니다.
마지막 결과 - 마지막 업데이트의 결과입니다. 이미 최신 버전이 있는 경우 이 에 이(가) 표시됩니다
already have latest database.
바이러스 차단 서명 버전 - 현재 데이터 파일 버전입니다.
검사 엔진 유형 - 현재 실행 중인 바이러스 차단 엔진 유형입니다.
검사 엔진 정보 - 현재 검색 엔진에서 발생한 마지막 작업의 결과입니다.
예: Sophos 바이러스 차단 콘텐츠 보안 정책 구성
이 예는 Sophos 바이러스 차단을 위한 컨텐츠 보안 정책을 만드는 방법을 보여줍니다.
요구 사항
컨텐츠 보안 정책을 생성하기 전에 사용자 정의 객체와 Sophos 기능 프로필을 생성합니다.
-
컨텐츠 보안 사용자 정의 객체 및 MIME 목록을 구성합니다. 예: Sophos 바이러스 차단 사용자 지정 객체 구성을 참조하십시오.
Sophos 바이러스 차단 기능 프로필을 구성합니다. 예: Sophos 바이러스 차단 기능 프로필 구성을 참조하십시오.
개요
바이러스 차단 기능 프로필을 생성한 후 바이러스 차단 검사 프로토콜에 대한 컨텐츠 보안 정책을 구성하고 이 정책을 기능 프로필에 연결합니다. 이 예에서 HTTP는 문에 표시된 http-profile 대로 바이러스 검사를 받게 됩니다. 다른 프로파일을 생성하거나 imap-profile, pop3-profile 및 smtp-profile과 같은 다른 프로토콜을 프로필에 추가하여 다른 프로토콜을 스캔할 수도 있습니다.
구성
절차
GUI 빠른 구성
단계별 절차
Sophos 바이러스 차단을 위한 컨텐츠 보안 정책 구성 방법:
작업 모음에서 구성 탭을 클릭한 다음 Security>Policy>UTM 정책을 선택합니다. 그런 다음 추가를 클릭합니다.
메인 탭을 클릭합니다. 정책 이름 상자에 utmp3을 입력합니다.
바이러스 차단 프로필 탭을 클릭합니다. HTTP 프로필 목록에서 sophos-prof1을 선택합니다.
확인을 클릭하여 구성을 확인하고 후보 구성으로 저장합니다.
디바이스 구성이 완료되면 Actions>Commit을 선택합니다.
단계별 절차
Sophos 바이러스 차단을 위한 컨텐츠 보안 정책 구성 방법:
-
편집 보안 컨텐츠 보안 계층으로 이동합니다.
[edit] user@host# edit security utm
-
컨텐츠 보안 정책 utmp3을 생성하고 http-profile sophos-prof1에 연결합니다. 위의 문에서 sophos-prof1을 junos-sophos-av-default로 대체하여 기본 Sophos 기능 프로필 설정을 사용할 수 있습니다.
[edit security utm] user@host# set utm-policy utmp3 anti-virus http-profile sophos-prof1
예: Sophos 바이러스 차단 방화벽 보안 정책 구성
이 예는 Sophos 바이러스 차단에 대한 보안 정책을 만드는 방법을 보여줍니다.
요구 사항
보안 정책을 생성하기 전에 사용자 지정 객체, Sophos 기능 프로필 및 컨텐츠 보안 정책을 생성합니다.
-
컨텐츠 보안 사용자 정의 객체 및 MIME 목록을 구성합니다. 예: Sophos 바이러스 차단 사용자 지정 객체 구성을 참조하십시오.
Sophos 바이러스 차단 기능 프로필을 구성합니다. 예: Sophos 바이러스 차단 기능 프로필 구성을 참조하십시오.
-
컨텐츠 보안 정책을 구성합니다. 예: Sophos 바이러스 차단 콘텐츠 보안 정책 구성을 참조하십시오.
개요
예: Sophos 바이러스 차단 기능 프로필 구성에 정의된 기능 프로필 설정을 사용하여 Sophos 바이러스 차단을 통해 신뢰할 수 없는 영역에서 트러스트 영역으로 트래픽을 검사하는 방화벽 보안 정책을 생성합니다. 일치 애플리케이션 구성이 모든 것으로 설정되므로 모든 애플리케이션 유형이 검사됩니다.
구성
절차
GUI 빠른 구성
단계별 절차
Sophos 바이러스 차단을 위한 보안 정책을 구성하는 방법:
신뢰할 수 없는 을(를) 구성하여 모든 소스 주소 또는 대상 주소와 일치하도록 정책을 신뢰하고 검사
any할 애플리케이션을 선택합니다.단계별 절차
작업 모음에서 구성 탭을 클릭한 다음 Security>Policy>FW 정책을 선택합니다. 그런 다음 추가를 선택합니다.
정책 이름 상자에 p3을 입력합니다.
정책 작업 상자에서 허가를 선택합니다.
From Zone 목록에서 신뢰할 수 없는 것을 선택합니다.
To Zone 목록에서 트러스트를 선택합니다.
소스 주소 및 대상 주소 상자에서 일치가 모든 주소로 설정되어 있는지 확인 합니다.
애플리케이션 상자에서 애플리케이션/세트 목록에서 원하는 것을 선택하고 일치하는 목록으로 이동합니다.
-
utmp3라는 컨텐츠 보안 정책을 방화벽 보안 정책에 연결합니다. 이로 인해 Sophos 바이러스 차단 기능에 의해 일치하는 트래픽이 검사됩니다.
단계별 절차
-
정책 편집 상자에서 애플리케이션 서비스 탭을 클릭합니다.
-
컨텐츠 보안 정책 목록에서 utmp3을 선택합니다.
-
확인을 클릭하여 구성을 확인하고 후보 구성으로 저장합니다.
디바이스 구성이 완료되면 Actions>Commit을 선택합니다.
단계별 절차
Sophos 바이러스 차단을 위한 보안 정책을 구성하는 방법:
신뢰할 수 없는 정책을 구성하여 모든 소스 주소와 일치하도록 합니다.
[edit security] user@host# set policies from-zone untrust to-zone trust policy p3 match source-address any
신뢰할 수 없는 을(를) 구성하여 모든 대상 주소와 일치하도록 정책을 신뢰할 수 있습니다.
[edit security] user@host# set policies from-zone untrust to-zone trust policy p3 match destination-address any
신뢰할 수 없는 정책을 구성하여 모든 애플리케이션 유형과 일치하도록 합니다.
[edit security] user@host# set policies from-zone untrust to-zone trust policy p3 match application any
-
utmp3라는 컨텐츠 보안 정책을 방화벽 보안 정책에 연결합니다. 이로 인해 Sophos 바이러스 차단 기능에 의해 일치하는 트래픽이 검사됩니다.
[edit security] user@host# set policies from-zone untrust to-zone trust policy p3 then permit application-services utm-policy utmp3
예: Sophos 바이러스 차단 라이브 보호 버전 2.0 구성
이 구성 예를 사용하여 디바이스에서 Sophos 바이러스 차단 라이브 보호 버전 2.0을 구성하고 확인합니다. Sophos 바이러스 차단 솔루션은 클라우드 내 바이러스 차단 솔루션입니다. Sophos(Sophos Extensible List) 서버에 의해 유지 관리되는 외부 서버의 바이러스 패턴 및 멀웨어 데이터베이스는 디바이스를 격리하고 보호합니다. Junos OS 릴리스 23.1R1부터 컨텐츠 보안은 Sophos 바이러스 차단 라이브 보호 버전 2.0을 지원합니다. 새로운 바이러스 차단 버전은 HTTPS 프로토콜을 사용하여 SRX 시리즈 방화벽과 Sophos 서버 간에 통신합니다.
| 가독성 점수 |
|
| 읽기 시간 |
15분 이내. |
| 구성 시간 |
1시간 이내. |
- 예시 전제 조건
- 시작하기 전에
- 기능 개요
- 토폴로지 개요
- 토폴로지 일러스트레이션
- DUT(Device-Under-Test)에 대한 단계별 구성
- 확인
- 부록 1: 모든 디바이스에서 명령 설정
- 부록 2: DUT에서 구성 출력 표시
예시 전제 조건
| 하드웨어 요구 사항 | SRX 시리즈 방화벽 및 vSRX 가상 방화벽 |
| 소프트웨어 요구 사항 | Junos OS 릴리스 23.1R1 이상 |
| 라이선싱 요구 사항 | Sophos 바이러스 차단 라이브 보호 버전 2.0 라이선스
|
시작하기 전에
| 혜택 |
Sophos(Sophos Extensible List) 서버에 의해 유지 관리되는 외부 서버의 바이러스 패턴 및 멀웨어 데이터베이스는 디바이스를 격리하고 보호합니다. SRX 시리즈 방화벽과 Sophos 서버 간의 HTTPS 기반 보안 연결을 제공합니다. |
| 유용한 리소스: |
|
| 자세히 알아보기 |
|
| 실습 경험 |
|
| 더 알아보세요 |
|
기능 개요
표 2 는 이 예에 구축된 구성 요소에 대한 간단한 요약을 제공합니다.
| 프로필 |
|
| 시작 프로파일 | SRX 시리즈 방화벽의 Sophos 서버 구성에는 SSL 시작 프로파일( SRX 시리즈 방화벽이 패킷을 확인하기 위해 Sophos 서버와의 HTTPS 세션을 시작할 수 있도록 설정하려면 초기 설정 프로필이 필수입니다. 또한 SSL 시작 프로필은 Sophos 서버에서 전송하는 패킷을 암호화하고 복호화합니다. |
| 프록시 프로필 | SSL 프록시 프로필인 |
| 기능 프로필 |
기능 프로필, 다양한 콘텐츠 보안 정책에 대해 두 개 이상의 기능 프로필을 가질 수 있습니다. |
| 정책 |
|
| 컨텐츠 보안 정책 |
컨텐트 보안 정책, content_security_p1은(는) 바이러스 차단 프로토콜(HTTP, FTP, SMTP, POP3 및 IMAP)을 정의하고 이 정책을 보안 기능 프로필에 |
| 보안 정책 |
두 보안 정책( 컨텐츠 보안 정책 및 |
| 보안 영역 |
|
|
|
호스트(클라이언트) 영역의 네트워크 세그먼트. |
|
|
대상 서버(웹 서비스) 영역의 네트워크 세그먼트. |
|
|
SRX 시리즈 방화벽이 Sophos 서버와 상호 작용하는 네트워크 세그먼트. |
| 프로토콜 |
|
| HTTPS |
HTTPS 세션은 클라이언트와 웹 서버, SRX 시리즈 방화벽과 Sophos 서버 간에 설정됩니다. |
| 주요 검증 작업 |
|
토폴로지 개요
이 예에서 클라이언트는 SRX 시리즈 방화벽을 통해 웹 서비스에 대한 요청을 시작합니다. SRX 시리즈 방화벽이 요청을 수신하면 Sophos 서버에 연락하여 웹 서비스의 진위를 확인합니다. Sophos 바이러스 차단 버전 2.0은 SRX 시리즈 방화벽에서 Sophos 서버 통신으로의 HTTPS 연결을 사용합니다. Sophos 서버에서 수신된 응답을 기반으로 SRX 시리즈 방화벽은 컨텐츠 보안 정책에 정의된 대로 트래픽을 허용하거나 차단합니다.
| 토폴로지 구성 요소 | 역할 | 기능 |
|---|---|---|
| 클라이언트 | 요청 웹 서비스 | SRX 시리즈 방화벽을 통해 웹 서버로 HTTPS 세션을 시작합니다. |
| SRX 시리즈 방화벽 | Juniper 네트워크의 방화벽 | Sophos 바이러스 차단 서버로 HTTPS 세션을 시작합니다. 또한 클라이언트에 대한 패킷을 암호화하고 복호화합니다. |
| Sophos server | 바이러스 차단 서버 | SRX 시리즈 방화벽에서 수신한 컨텐츠를 인증합니다. |
| 웹 서버 | 웹 서비스 프로바이더는 | 클라이언트의 요청에 응답합니다. |
토폴로지 일러스트레이션
DUT(Device-Under-Test)에 대한 단계별 구성
-
디바이스 인터페이스를 구성합니다.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet address 192.0.2.254/24 user@host# set ge-0/0/1 unit 0 family inet address 203.0.113.254/24
-
디바이스에서 Sophos 바이러스 차단을 활성화합니다. Sophos 바이러스 차단이 확인해야 하는 포워딩 모드 및 트래픽 유형을 구성합니다.
[edit security] user@host# set utm default-configuration anti-virus type sophos-engine user@host# set utm default-configuration anti-virus forwarding-mode inline-tap user@host# set utm default-configuration anti-virus scan-options no-uri-check
-
SRX 시리즈 방화벽의 Sophos 서버 구성에 추가하기 위한 SSL 시작 프로필을 정의합니다.
[edit services] user@host# set ssl initiation profile ssl_init_prof client-certificate content_security_cert user@host# set ssl initiation profile ssl_init_prof actions ignore-server-auth-failure
-
Sophos 서버 구성에 SSL 시작 프로파일을 포함합니다. 이 구성은 SRX 시리즈 방화벽이 패킷을 확인하기 위해 Sophos 서버와 HTTPS 세션을 시작할 수 있도록 하는 데 필수입니다. 또한 개시 프로필은 Sophos 서버에서 전송하는 패킷을 암호화하고 복호화합니다.
[edit security] user@host# set utm default-configuration anti-virus sophos-engine server ssl-profile ssl_init_prof
-
보안 정책에 적용하기 위한 SSL 프록시 프로필을 정의합니다. SLL 프록시 프로필을 사용하면 SRX 시리즈 방화벽이 추가 애플리케이션 처리를 위해 패킷을 복호화할 수 있습니다.
[edit services] user@host# set ssl proxy profile ssl_pr1 root-ca content_security_cert user@host# set ssl proxy profile ssl_pr1 actions ignore-server-auth-failure
-
기능 프로필을 정의하여 Sophos 바이러스 차단이 콘텐츠 보안 정책에 프로필을 연결하여 확인해야 하는 트래픽 유형을 나타냅니다. 다양한 콘텐츠 보안 정책에 대해 두 개 이상의 기능 프로필을 정의할 수 있습니다.
[edit security] user@host# set utm feature-profile anti-virus profile content_security_sav_fp
-
보안 영역을 정의합니다.
[edit security zones] user@host# set security-zone untrust description untrust user@host# set security-zone untrust host-inbound-traffic system-services all user@host# set security-zone untrust host-inbound-traffic protocols all user@host# set security-zone untrust interfaces ge-0/0/1.0 user@host# set security-zone trust description trust user@host# set security-zone trust host-inbound-traffic system-services all user@host# set security-zone trust host-inbound-traffic protocols all user@host# set security-zone trust interfaces ge-0/0/0.0 user@host# set security-zone internet description internet
-
콘텐츠 보안 정책을 정의하고 기능 프로필을 첨부하여 Sophos 서버가 확인해야 하는 트래픽 유형을 나타냅니다.
[edit security utm] user@host# set utm-policy content_security_p1 anti-virus http-profile content_security_sav_fp user@host# set utm-policy content_security_p1 anti-virus ftp upload-profile content_security_sav_fp user@host# set utm-policy content_security_p1 anti-virus ftp download-profile content_security_sav_fp user@host# set utm-policy content_security_p1 anti-virus smtp-profile content_security_sav_fp user@host# set utm-policy content_security_p1 anti-virus pop3-profile content_security_sav_fp user@host# set utm-policy content_security_p1 anti-virus imap-profile content_security_sav_fp
-
보안 정책을 정의하고 일치 기준을 구성하여 서로 다른 보안 영역 간의 트래픽에 적용합니다.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match source-address any user@host# set from-zone trust to-zone trust policy p1 match destination-address any user@host# set from-zone trust to-zone trust policy p1 match application any user@host# set from-zone trust to-zone trust policy p1 then permit application-services ssl-proxy profile-name ssl_pr1 user@host# set from-zone trust to-zone trust policy p1 then permit application-services utm-policy content_security_p1 user@host# set from-zone trust to-zone trust policy trust_to_internet match source-address any user@host# set from-zone trust to-zone trust policy trust_to_internet match destination-address any user@host# set from-zone trust to-zone trust policy trust_to_internet match application any user@host# set from-zone trust to-zone trust policy trust_to_internet then permit user@host# set default-policy permit-all
확인
이 예에서 기능을 확인하는 데 사용되는 show 명령 목록을 제공합니다.
| 명령 | 검증 작업 |
|---|---|
| 보안 utm 바이러스 차단 상태 표시 | 디바이스에 설치된 바이러스 차단의 유형 및 상태를 표시합니다. |
| 보안 utm 바이러스 차단 통계 표시 | 디바이스의 바이러스 차단에 대한 성능 통계를 표시합니다. |
바이러스 차단 검사 엔진 유형 검증
목적
디바이스에 설치된 바이러스 차단 검사 엔진 유형을 확인합니다.
작업
운영 모드에서 을( show security utm anti-virus status 를) 입력하여 설치된 바이러스 차단의 상태를 확인합니다.
user@host> show security utm anti-virus status
UTM anti-virus status:
Anti-virus key expire date: 2024-02-23 16:00:00
Forwarding-mode: continuous delivery
Scan engine type: sophos-engine
Scan engine information: running
의미
샘플 출력은 Sophos 바이러스 차단이 디바이스에서 사용 가능하다는 것을 확인합니다.
안티바이러스 스캔 엔진 성능 검증
목적
디바이스에서 바이러스 차단 검사 엔진 성능을 확인합니다.
작업
운영 모드에서 을 show security utm anti-virus statistics (를) 입력하여 디바이스의 바이러스 차단에 대한 성능 통계를 확인합니다.
user@host> show security utm anti-virus statistics
UTM Anti Virus statistics:
Intelligent-prescreening passed: 0
MIME-whitelist passed: 0
URL-whitelist passed: 0
Session abort: 0
Scan Request:
Total Clean Threat-found Fallback
2 1 1 0
Fallback:
Log-and-Permit Block Permit
Engine not ready: 0 0 0
Out of resources: 0 0 0
Timeout: 0 0 0
Maximum content size: 0 0 0
Too many requests: 0 0 0
Decompress error: 0 0 0
Others: 0 0 0
의미
샘플 출력 Threat-found 값은 바이러스 차단이 1 위협을 탐지했다는 것을 보여줍니다. 다른 통계 값은 안전합니다.
부록 1: 모든 디바이스에서 명령 설정
모든 디바이스에서 명령 출력을 설정합니다.
set security utm default-configuration anti-virus type sophos-engine set security utm default-configuration anti-virus forwarding-mode inline-tap set security utm default-configuration anti-virus scan-options no-uri-check set security utm default-configuration anti-virus sophos-engine server ssl-profile ssl_init_prof set security utm feature-profile anti-virus profile content_security_sav_fp set security utm utm-policy content_security_p1 anti-virus http-profile content_security_sav_fp set security utm utm-policy content_security_p1 anti-virus ftp upload-profile content_security_sav_fp set security utm utm-policy content_security_p1 anti-virus ftp download-profile content_security_sav_fp set security utm utm-policy content_security_p1 anti-virus smtp-profile content_security_sav_fp set security utm utm-policy content_security_p1 anti-virus pop3-profile content_security_sav_fp set security utm utm-policy content_security_p1 anti-virus imap-profile content_security_sav_fp set security zones security-zone untrust description untrust set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust description trust set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone internet description internet set security policies from-zone trust to-zone untrust policy p1 match source-address any set security policies from-zone trust to-zone untrust policy p1 match destination-address any set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 then permit application-services ssl-proxy profile-name ssl_pr1 set security policies from-zone trust to-zone untrust policy p1 then permit application-services utm-policy content_security_p1 set security policies from-zone trust to-zone internet policy trust_to_internet match source-address any set security policies from-zone trust to-zone internet policy trust_to_internet match destination-address any set security policies from-zone trust to-zone internet policy trust_to_internet match application any set security policies from-zone trust to-zone internet policy trust_to_internet then permit set security policies default-policy permit-all set services ssl initiation profile ssl_init_prof client-certificate content_security-cert set services ssl initiation profile ssl_init_prof actions ignore-server-auth-failure set services ssl proxy profile ssl_pr1 root-ca content_security-cert set services ssl proxy profile ssl_pr1 actions ignore-server-auth-failure
부록 2: DUT에서 구성 출력 표시
DUT에서 명령 출력을 표시합니다.
구성 모드에서 , , show interfaces, show security zonesshow security policies및 show services ssl 명령을 입력show security utm하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
user@host# show security utm
default-configuration {
anti-virus {
type sophos-engine;
forwarding-mode {
inline-tap;
}
scan-options {
no-uri-check;
}
sophos-engine {
server {
ssl-profile ssl_init_prof;
}
}
}
}
utm-policy P1 {
anti-virus {
http-profile junos-sophos-av-defaults;
}
}
utm-policy content_security_p1 {
anti-virus {
http-profile content_security_sav_fp;
ftp {
upload-profile content_security_sav_fp;
download-profile content_security_sav_fp;
}
smtp-profile content_security_sav_fp;
pop3-profile content_security_sav_fp;
imap-profile content_security_sav_fp;
}
}
user@host# show show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.0.2.254/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 203.0.113.254/24;
}
}
}
user@host# show security zones
security-zone untrust {
description untrust;
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone trust {
description trust;
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone internet {
description internet;
}
user@host# show security policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
ssl-proxy {
profile-name ssl_pr1;
}
utm-policy content_security_p1;
}
}
}
}
}
from-zone trust to-zone internet {
policy trust_to_internet {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
default-policy {
permit-all;
}
user@host# show services ssl
initiation {
profile ssl_init_prof {
client-certificate content_security-cert;
actions {
ignore-server-auth-failure;
}
}
}
proxy {
profile ssl_pr1 {
root-ca content_security-cert;
actions {
ignore-server-auth-failure;
}
}
}
예: SSL 포워드 프록시를 사용해 Sophos 바이러스 차단 스캐너 구성
이 예는 SSL 포워드 프록시를 통한 Sophos 바이러스 차단 프록시를 구성하여 SRX 시리즈 방화벽을 통과하는 HTTPS 트래픽을 지원하는 방법을 보여줍니다.
Junos OS 릴리스 12.3X48-D25 및 Junos OS 릴리스 17.3R1부터 SSL 포워드 프록시를 통한 Sophos 바이러스 차단은 HTTPS 트래픽을 지원합니다.
요구 사항
시작하기 전에 Sophos 바이러스 차단 기능을 이해하십시오. Sophos 바이러스 차단 기능을 참조하십시오.
개요
이 예에서는 HTTPS 트래픽을 지원하도록 SSL 포워드 프록시를 통한 Sophos 바이러스 차단을 구성합니다. PKI 인증서를 로드하고, 자체 서명된 CA 인증서를 생성하고, 신뢰할 수 있는 CA 목록을 구성하고, 루트 인증서를 사용하여 SSL 프록시 프로필을 구성하고, SSL 포워드 프록시를 활성화합니다. SSL 포워드 프록시를 통한 컨텐츠 보안을 구성하려면 먼저 소스/대상/애플리케이션을 일치시키고, SSL 프록시 서비스를 설정하고, 스캔을 수행하여 요청을 차단하거나 허용할지 여부를 확인합니다.
[edit security utm feature-profile] 계층 수준은 Junos OS 릴리스 18.2R1에서 더 이상 사용되지 않습니다. 자세한 내용은 컨텐츠 보안 개요를 참조하십시오.
구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI edit 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.
request security pki generate-key-pair certificate-id ssl-inspect-ca size 2048 type rsa request security pki local-certificate generate-self-signed certificate-id ssl-inspect-ca domain-name www.example.net subject "CN=www.example.net,OU=IT,O=example,L=Sunnyvale,ST=CA,C=US" email security-admin@example.net set security pki ca-profile trusted-ca-example ca-identity trusted-ca-example request security pki ca-certificate load ca-profile trusted-ca-example filename trusted-ca-example.crt set services ssl proxy profile ssl-inspect-profile root-ca ssl-inspect-ca set services ssl proxy profile ssl-inspect-profile trusted-ca trusted-ca-example set security policies from-zone untrust to-zone trust policy 1 then permit application-services ssl-proxy profile-name ssl-inspect-profile
절차
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
SSL 포워드 프록시를 통한 Sophos 바이러스 차단 구성 방법:
디바이스에서 자체 서명된 CA 인증서를 생성합니다.
user@host> request security pki generate-key-pair certificate-id ssl-inspect-ca size 2048 type rsa user@host> request security pki local-certificate generate-self-signed certificate-id ssl-inspect-ca domain-name www.example.net subject "CN=www.example.net,OU=IT,O=example,L=Sunnyvale,ST=CA,C=US" email security-admin@example.net
신뢰할 수 있는 CA 목록을 구성합니다.
[edit] user@host# set security pki ca-profile trusted-ca-example ca-identity trusted-ca-example
user@host> request security pki ca-certificate load ca-profile trusted-ca-example filename trusted-ca-example.crt
루트 인증서를 사용하여 SSL 프록시 프로필을 구성합니다.
[edit] user@host# set services ssl proxy profile ssl-inspect-profile root-ca ssl-inspect-ca user@host# set services ssl proxy profile ssl-inspect-profile trusted-ca trusted-ca-example
SSL 포워드 프록시를 활성화합니다.
[edit] user@host# set security policies from-zone untrust to-zone trust policy 1 then permit application-services ssl-proxy profile-name ssl-inspect-profile
결과
구성 모드에서 , show services및 show security policies 명령을 입력하여 구성을 show security utm확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security utm
traceoptions {
flag all;
}
application-proxy {
traceoptions {
flag sophos-anti-virus;
}
}
default-configuration {
anti-virus {
type sophos-engine;
scan-options {
uri-check;
sxl-timeout 4;
}
traceoptions {
flag all;
}
profile profile1 {
fallback-options {
default log-and-permit;
content-size log-and-permit;
engine-not-ready log-and-permit;
timeout log-and-permit;
out-of-resources log-and-permit;
too-many-requests log-and-permit;
}
notification-options {
virus-detection {
type message;
}
fallback-block {
type message;
}
}
}
}
}
}
utm-policy policy1 {
anti-virus {
http-profile profile1;
}
}
[edit]
user@host# show services
ssl {
traceoptions {
file ssl_trace size 1g;
flag all;
}
proxy {
profile ssl-p {
root-ca haojue;
actions {
ignore-server-auth-failure;
}
}
}
}
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy trust_2_untrust {
match {
source-address any;
destination-address any;
application [ junos-http junos-https ];
}
then {
permit {
application-services {
ssl-proxy {
profile-name ssl-p;
}
utm-policy policy1;
}
}
}
}
}
디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .
확인
구성이 제대로 작동하는지 확인하려면 다음 작업을 수행하십시오.
보안 PKI 로컬 인증서 확인
목적
보안 PKI 로컬 인증서를 확인합니다.
작업
구성 모드에서 명령을 입력합니다 show security pki local-certificate .
user@host# show security pki local-certificate
Certificate identifier: SELF-SIGNED
Issued to: abc, Issued by: CN = abc
Validity:
Not before: 02-20-2015 00:49 UTC
Not after: 02-19-2020 00:49 UTC
Public key algorithm: rsaEncryption(2048 bits)
Certificate identifier: ssl-inspect-ca
Issued to: www.example.net, Issued by: CN = www.example.net, OU = IT, O = example, L = Sunnyvale, ST = CA, C = US
Validity:
Not before: 01-28-2016 22:28 UTC
Not after: 01-26-2021 22:28 UTC
Public key algorithm: rsaEncryption(2048 bits)
의미
샘플 출력은 PKI 로컬 인증 ssl-inspect-ca가 구성되었는지 확인합니다.
컨텐츠 보안 바이러스 차단 통계 확인
목적
콘텐츠 보안 바이러스 차단 통계를 확인합니다.
작업
운영 모드에서 명령을 입력합니다 show security utm anti-virus statistics .
user@host> show security utm anti-virus statistics
UTM Anti Virus statistics:
Intelligent-prescreening passed: 0
MIME-whitelist passed: 0
URL-whitelist passed: 0
Session abort: 0
Scan Request:
Total Clean Threat-found Fallback
0 0 0 0
Fallback:
Log-and-Permit Block Permit
Engine not ready: 0 0 0
Out of resources: 0 0 0
Timeout: 0 0 0
Maximum content size: 0 0 0
Too many requests: 0 0 0
Decompress error: 0 0 0
Others: 0 0 0
의미
샘플 출력에는 컨텐츠 보안 바이러스 차단 통계 목록이 표시됩니다.
컨텐츠 보안 바이러스 차단 통계 상세 정보 확인
목적
콘텐츠 보안 바이러스 차단 통계 세부 정보를 확인합니다.
작업
운영 모드에서 명령을 입력합니다 show security utm anti-virus statistics detail .
user@host> show security utm anti-virus statistics detail
HTTP
MIME-whitelist passed: 0
URL-whitelist passed: 0
URI request:
Total Clean Threat-found Need-further-inspection Abort
10 1 1 8 0
File request:
Total Clean Threat-found Fallback Abort
8 6 1 1 0
Fall back: log-and-permit block permit
Engine not ready: 0 0 0
Out of resources: 0 0 0
Timeout: 0 0 0
Maxmium content size: 1 0 0
Too many requests: 0 0 0
Others 0 0 0
FTP
Scan request:
Total Clean Threat-found Fallback Abort
10 8 1 1 0
Fall back: log-and-permit block permit
Engine not ready: 0 0 0
Out of resources: 0 0 0
Timeout: 0 0 0
Maxmium content size: 1 0 0
Too many requests: 0 0 0
Others 0 0 0
SMTP
Scan request:
Total Clean Threat-found Fallback Abort
10 8 1 1 0
Fall back: log-and-permit block permit
Engine not ready: 0 0 0
Out of resources: 0 0 0
Timeout: 0 0 0
Maxmium content size: 1 0 0
Too many requests: 0 0 0
Others 0 0 0
POP3
Scan request:
Total Clean Threat-found Fallback Abort
10 8 1 1 0
Fall back: log-and-permit block permit
Engine not ready: 0 0 0
Out of resources: 0 0 0
Timeout: 0 0 0
Maxmium content size: 1 0 0
Too many requests: 0 0 0
Others 0 0 0
IMAP
Scan request:
Total Clean Threat-found Fallback Abort
10 8 1 1 0
Fall back: log-and-permit block permit
Engine not ready: 0 0 0
Out of resources: 0 0 0
Timeout: 0 0 0
Maxmium content size: 1 0 0
Too many requests: 0 0 0
Others 0 0 0
의미
샘플 출력은 바이러스 차단 통계 세부 정보 목록을 보여줍니다.
컨텐츠 보안 바이러스 차단 상태 확인
목적
컨텐츠 보안 바이러스 차단 상태를 확인합니다.
작업
운영 모드에서 명령을 입력 show security utm anti-virus status 하여 바이러스 차단 상태를 확인합니다.
user@host> show security utm anti-virus status
Anti-virus Key Expiry Date: 07/01/2010 00:00:00
Update server: http://update.juniper-updates.net//
Interval: 1440 minutes
Auto update status: next update in 1440 minutes
Last result: No error
Anti-virus data file info:
Version:
Scan engine information:
Last action result: No error(0x00000000)
Engine type: sophos-engine
의미
바이러스 차단 키 만료 날짜 - 라이선스 키 만료 날짜입니다.
서버 업데이트 - 데이터 파일 업데이트 서버에 대한 URL입니다.
간격 - 디바이스가 업데이트 서버에서 데이터 파일을 업데이트하는 시간(분).
자동 업데이트 상태 - 몇 분 안에 데이터 파일의 다음 자동 업데이트를 표시합니다.
마지막 결과 - 마지막 데이터베이스 업데이트의 결과입니다.
바이러스 차단 서명 버전 - 현재 바이러스 차단 서명 데이터 파일 버전입니다.
검사 엔진 유형 - 현재 실행 중인 바이러스 차단 검사 엔진 유형입니다.
검사 엔진 정보 - 현재 검색 엔진에서 발생한 마지막 작업의 결과입니다.
Sophos 바이러스 차단 데이터 파일 관리
시작하기 전에 다음을 수행합니다.
Sophos 바이러스 차단 라이선스를 설치합니다. 을 Installation and Upgrade Guide참조하십시오.
Sophos를 디바이스의 바이러스 차단 기능으로 구성합니다. 예: Sophos 바이러스 차단 기능 프로필 구성을 참조하십시오. 바이러스 차단 엔진 유형을 설정하려면 문을 실행합니다
set security utm feature-profile anti-virus type sophos-engine.
이 예에서는 데이터 파일을 4320분(3일마다) 자동으로 업데이트하도록 보안 디바이스를 구성합니다. 기본 데이터 파일 업데이트 간격은 1,440분(24시간마다)입니다.
Sophos 데이터 파일을 자동으로 업데이트하려면,
[edit security utm feature-profile anti-virus] user@host# set sophos-engine pattern-update interval 4320
다음 명령은 CLI 운영 모드에서 수행됩니다.
데이터 파일을 수동으로 업데이트하려면 다음을 수행합니다.
user@host> request security utm anti-virus sophos-engine pattern-update
데이터 파일을 수동으로 재로드하려면 다음을 수행합니다.
user@host> request security utm anti-virus sophos-engine pattern-reload
데이터 파일을 수동으로 삭제하려면 다음을 수행합니다.
user@host> request security utm anti-virus sophos-engine pattern-delete
데이터 파일 버전도 표시하는 바이러스 차단의 상태를 확인하려면 다음을 수행합니다.
user@host> show security utm anti-virus status
프록시 서버의 상태를 확인하려면 다음을 수행합니다.
user@host> show security utm anti-virus status