EN ESTA PÁGINA
Descripción de la actualización de archivos de datos de Sophos Antivirus
Ejemplo: configuración de objetos personalizados de Sophos Antivirus
Ejemplo: configuración del perfil de características de Sophos Antivirus
Ejemplo: configuración de políticas de seguridad de contenido de Sophos Antivirus
Ejemplo: configuración de políticas de seguridad del firewall de Sophos Antivirus
Ejemplo: configurar Sophos Antivirus Live Protection versión 2.0
Protección antivirus de Sophos
El analizador antivirus de Sophos utiliza una caché interna local para mantener las respuestas de consulta del servidor de listas externo y mejorar el rendimiento de la búsqueda. El análisis antivirus de Sophos se ofrece como una alternativa menos intensiva en CPU que la función antivirus basada en archivos completos. Para obtener más información, consulte los temas siguientes:
Descripción general de la protección de Sophos Antivirus
Sophos antivirus es como una solución antivirus en la nube. La base de datos de malware y patrones de virus se encuentra en servidores externos mantenidos por servidores de Sophos (Sophos Extensible List), por lo que no es necesario descargar ni mantener grandes bases de datos de patrones en el dispositivo de Juniper. Antes de Junos OS versión 23.1R1, el analizador antivirus de Sophos también utilizaba una caché interna local para mantener las respuestas de consulta del servidor de listas externo y mejorar el rendimiento de la búsqueda.
Dado que una cantidad significativa del tráfico procesado por Juniper Content Security se basa en HTTP, la comprobación del identificador uniforme de recursos (URI) se utiliza para evitar eficazmente que el contenido malintencionado llegue al cliente o servidor del punto final. Se realizan las siguientes comprobaciones para el tráfico HTTP: búsqueda URI, detección de tipo de archivo verdadero y búsqueda de suma de comprobación de archivos. Se admiten los siguientes protocolos de capa de aplicación: HTTP, FTP, SMTP, POP3 e IMAP.
La función antivirus completa basada en archivos no es compatible desde Junos OS versión 15.1X49-D10 y Junos OS versión 17.3R1 en adelante. Para versiones anteriores, el análisis antivirus de Sophos se ofrece como una alternativa menos intensiva en CPU que la función antivirus basada en archivos completos. Sophos es compatible con los mismos protocolos que el antivirus completo y funciona de la misma manera; Sin embargo, tiene una huella de memoria más pequeña y es compatible con dispositivos de gama baja que tienen menos memoria.
A partir de Junos OS versión 15.1X49-D100, el tráfico de paso a través de IPv6 para los protocolos HTTP, HTTPS, FTP, SMTP, POP3 e IMAP es compatible con las funciones de seguridad antivirus de Sophos, filtrado web y filtrado de contenido de Content Security.
A partir de Junos OS versión 12.3X48-D35 y Junos OS versión 17.3R1, el rendimiento de sesión única del antivirus Sophos (SAV) de seguridad de contenido aumenta para optimizar el reenvío de proxy tcp.
A partir de Junos OS versión 19.4R1, la función antivirus admite SMTPS implícito y explícito, IMAPS y el protocolo POP3S, y solo admite FTPS en modo pasivo explícito.
Modo implícito: conéctese al puerto cifrado SSL/TLS mediante el canal seguro.
Modo explícito: primero conéctese a un canal no seguro y, a continuación, proteja la comunicación emitiendo el comando STARTTLS. Para POP3S, utilice el comando STLS.
A partir de Junos OS versión 23.1R1, la seguridad de contenido es compatible con el nuevo antivirus Sophos Live Protection versión 2.0. La nueva versión del antivirus Sophos utiliza una conexión HTTPS para la comunicación entre dispositivo y servidor. Para la conexión HTTPS, debe crear un perfil de iniciación SSL y añadir el perfil a la configuración predeterminada del motor de Sophos.
Ver también
Funciones de Sophos Antivirus
El antivirus Sophos tiene las siguientes características principales:
Sophos antivirus expanded MIME decoding support—El antivirus Sophos ofrece compatibilidad con la decodificación para HTTP, POP3, SMTP e IMAP. La compatibilidad con la decodificación MIME incluye lo siguiente para cada protocolo compatible:
Decodificación de encabezados anidados y multiparte
Decodificación de Base64, decodificación de citas impresas y decodificación de palabras codificadas en el campo de asunto
Sophos antivirus supports HTTPS traffic—A partir de Junos OS versión 12.3X48-D25 y Junos OS versión 17.3R1, el antivirus de Sophos a través de proxy de reenvío SSL admite tráfico HTTPS. El antivirus de Sophos sobre proxy de reenvío SSL lo hace interceptando el tráfico HTTPS que pasa a través del firewall de la serie SRX. El canal de seguridad del firewall de la serie SRX se divide en un canal SSL entre el cliente y el firewall de la serie SRX y otro canal SSL entre el firewall de la serie SRX y el servidor HTTPS. El proxy de reenvío SSL actúa como terminal para ambos canales y reenvía el tráfico de texto sin cifrar a Content Security. Content Security extrae la URL y la información de suma de comprobación de archivos del tráfico de texto sin cifrar. El analizador antivirus de Sophos determina si se deben bloquear o permitir las solicitudes.
El proxy de reenvío SSL no admite la autenticación de cliente. Si el servidor requiere autenticación de cliente, Content Security omite el tráfico. Content Security omite el tráfico HTTPS en las siguientes condiciones:
Si el proxy SSL no analiza el primer paquete de protocolo de enlace del cliente, el proxy de reenvío SSL omite el tráfico.
Si el protocolo de enlace del proxy SSL con el cliente y el servidor está incompleto debido a problemas de compatibilidad, se interrumpe la conexión.
Si el recurso del sistema es bajo, el proxy de reenvío SSL no puede manejar la nueva conexión y el antivirus Sophos omite el tráfico.
Si el tráfico HTTPS llega a la lista de permitidos de proxy de reenvío SSL, el proxy de reenvío SSL y el antivirus de Sophos omiten el tráfico.
Sophos antivirus scan result handling—Con Sophos Antivirus, TCP, el tráfico se cierra correctamente cuando se encuentra un virus y se elimina el contenido de los datos.
Se admiten las siguientes opciones de modo de error: tamaño del contenido, predeterminado, motor no listo, falta de recursos, tiempo de espera y demasiadas solicitudes. Puede establecer las siguientes acciones: bloquear, registrar y permitir y permitir. La gestión en modo de error de las opciones compatibles con Sophos es muy similar a la del antivirus completo.
Sophos Uniform Resource Identifier checking—Sophos proporciona la comprobación del identificador uniforme de recursos (URI), que es similar a las búsquedas de lista de rutas nulas (RBL) en tiempo real antispam. La comprobación de URI es una forma de analizar el contenido de URI en el tráfico HTTP en la base de datos de Sophos para identificar malware o contenido malicioso. Dado que el malware es predominantemente estático, se utiliza un mecanismo de suma de comprobación para identificar malware y mejorar el rendimiento. Los archivos que pueden usar una suma de comprobación incluyen .exe, .zip, .rar, .swf, .pdf y .ole2 (doc y xls).
Si tiene un dispositivo de Juniper Networks que protege una red interna que no tiene tráfico HTTP o tiene servidores web a los que no puede acceder el mundo exterior, es posible que desee desactivar la comprobación de URI. Si los servidores web no son accesibles para el mundo exterior, es poco probable que contengan información URI que se encuentre en la base de datos URI de Sophos. La comprobación de URI está activada de forma predeterminada.
A partir de la versión 18.4R1 de Junos OS, la comprobación de URI está desactivada de forma predeterminada.
Ver también
Descripción de la actualización de archivos de datos de Sophos Antivirus
Sophos antivirus utiliza un pequeño conjunto de archivos de datos que deben actualizarse periódicamente. Estos archivos de datos solo contienen información sobre cómo guiar la lógica de escaneo y no contienen la base de datos de patrones completa. La base de datos principal de patrones, que incluye protección contra virus críticos, comprobaciones de URI, malware, gusanos, troyanos y spyware, se encuentra en servidores remotos de Sophos Extensible List mantenidos por Sophos.
Los archivos de datos de Sophos se actualizan a través de HTTP o HTTPS y se pueden actualizar manualmente o programar para que se actualicen automáticamente. Con el antivirus Sophos:
El intervalo de actualización automática de la base de datos de firmas es una vez al día de forma predeterminada. Este intervalo se puede cambiar.
No hay interrupción en la capacidad de análisis de virus durante la actualización del archivo de datos. Si se produce un error en la actualización, se seguirán utilizando los archivos de datos existentes.
De forma predeterminada, la URL de la actualización del archivo de datos del antivirus Sophos es http://update.juniper-updates.net/SAV/.
La función de análisis antivirus de Sophos es un servicio de suscripción con licencia independiente. Cuando caduque su clave de licencia antivirus, la funcionalidad dejará de funcionar porque la base de datos de búsqueda de patrones se encuentra en servidores Sophos remotos. Tiene un período de gracia de 30 días para actualizar su licencia.
Ver también
Comparación de Sophos Antivirus con Kaspersky Antivirus
La función Kaspersky and Express Antivirus no es compatible desde Junos OS versión 15.1x49-D10 y Junos OS versión 17.3R1 en adelante. Para versiones anteriores, Sophos Antivirus es muy parecido a Juniper Express Antivirus y también tiene similitudes con la función Full Antivirus:
A diferencia de las soluciones Juniper Express y Full Antivirus, la base de datos de antivirus y malware para Sophos se almacena en un grupo de servidores remotos de Sophos Extensible List. Las consultas se realizan mediante el protocolo DNS. Sophos mantiene estos servidores, por lo que no es necesario descargar ni mantener grandes bases de datos de patrones en el dispositivo Juniper. Debido a que la base de datos es remota y hay una respuesta más rápida a los nuevos brotes de virus. La base de datos antivirus no tiene limitación de tamaño, pero hay una limitación con el tamaño del archivo de análisis.
Nota:Sophos antivirus utiliza un conjunto de archivos de datos que deben actualizarse periódicamente. Estos no son archivos de patrones de virus típicos; Son un conjunto de pequeños archivos que ayudan a guiar la lógica de escaneo de virus. Puede descargar manualmente los archivos de datos o configurar la descarga automática.
Sophos no proporciona la misma detección de preselección que Kaspersky Antivirus. Sophos proporciona una solución similar que forma parte del motor de Sophos y no se puede activar ni desactivar.
La función de análisis antivirus de Sophos es un servicio de suscripción con licencia independiente. Además, la base de datos de búsqueda de patrones se encuentra en servidores remotos mantenidos por Sophos, por lo que cuando caduque su clave de licencia antivirus, la funcionalidad ya no funcionará. Tiene un período de gracia de 30 días para actualizar su licencia.
Ver también
Descripción general de la configuración de Sophos Antivirus
Sophos antivirus forma parte del conjunto de funciones de seguridad de contenido, por lo que primero debe configurar las opciones de seguridad de contenido (objetos personalizados), configurar la función de Sophos y, a continuación, crear una política de seguridad de contenido y una política de seguridad. La política de seguridad controla todo el tráfico que reenvía el dispositivo, y la política de seguridad de contenido especifica qué parámetros se deben usar para analizar el tráfico. La política de seguridad de contenido también se utiliza para enlazar un conjunto de protocolos a uno o más perfiles de características de seguridad de contenido, incluido el antivirus Sophos en este caso.
Debe completar las siguientes tareas para configurar el antivirus Sophos:
- Configure objetos personalizados y listas MIME de Content Security. Consulte Ejemplo: Configuración de objetos personalizados de Sophos Antivirus,
- Configure el perfil de característica antivirus de Sophos. Consulte Ejemplo: Configuración del perfil de características de Sophos Antivirus.
- Configure una política de seguridad de contenido. Consulte Ejemplo: Configuración de políticas de seguridad de contenido de Sophos Antivirus
- Configure una política de seguridad. Consulte Ejemplo: Configuración de políticas de seguridad de firewall de Sophos Antivirus.
Para configurar Sophos antivirus live protection versión 2.0, consulte Ejemplo: Configurar Sophos Antivirus Live Protection versión 2.0.
Para configurar el antivirus de Sophos a través del proxy de reenvío SSL para admitir tráfico HTTPS, consulte Configurar el proxy SSL con seguridad de contenido.
Ejemplo: configuración de objetos personalizados de Sophos Antivirus
En este ejemplo se muestra cómo crear objetos personalizados globales de Content Security para utilizarlos con el antivirus de Sophos.
Requisitos
Antes de comenzar, lea acerca de los objetos personalizados de Content Security. Consulte Descripción general de la seguridad de contenido.
Visión general
Configurar listas MIME. Esto incluye la creación de una lista de permitidos MIME y una lista de excepciones MIME para el análisis antivirus. En este ejemplo, omite el escaneo de videos de QuickTime, a menos que contengan el tipo MIME quicktime-inapropiado.
Configuración
Procedimiento
Configuración rápida de la GUI
Procedimiento paso a paso
Para configurar una lista MIME:
Haga clic en la pestaña Configurar de la barra de tareas y, a continuación, seleccione Seguridad>UTM>Objetos personalizados.
Haga clic en la ficha Lista de patrones MIME y, a continuación, haga clic en Agregar.
En el cuadro Nombre de patrón MIME, escriba avmime2.
En el cuadro Valor de patrón MIME, escriba video/quicktime y haga clic en Agregar.
En el cuadro Valor de patrón MIME, escriba image/x-portable-anympa y haga clic en Agregar.
En el cuadro Valor de patrón MIME, escriba x-world/x-vrml y haga clic en Agregar.
Procedimiento paso a paso
Para configurar una lista de excepciones MIME:
Haga clic en la pestaña Configurar de la barra de tareas y, a continuación, seleccione Seguridad>UTM>Objetos personalizados.
Haga clic en la ficha Lista de patrones MIME y, a continuación, seleccione Agregar.
En el cuadro Nombre de patrón MIME, escriba exception-avmime2.
En el cuadro Valor de patrón MIME, escriba video/quicktime-inappropriate y haga clic en Agregar.
Procedimiento paso a paso
Configure una lista de patrones de URL (lista de permitidos) de direcciones URL o direcciones que el análisis antivirus omitirá sin entender. Después de crear la lista de patrones de URL, creará una lista de categorías de URL personalizada y le agregará la lista de patrones.
Dado que utiliza listas de patrones de URL para crear listas de categorías de URL personalizadas, debe configurar objetos personalizados de lista de patrones de URL antes de configurar listas de categorías de URL personalizadas.
Para configurar una lista de direcciones URL permitidas:
Haga clic en la pestaña Configurar de la barra de tareas y, a continuación, seleccione Seguridad>UTM>Objetos personalizados.
Haga clic en la ficha Lista de patrones de dirección URL y, a continuación, haga clic en Agregar.
En el cuadro Nombre del patrón de URL, escriba urlist2.
En el cuadro Valor de patrón de URL, escriba http://example.net. (También puede usar la dirección IP del servidor en lugar de la URL).
Procedimiento paso a paso
Guarde su configuración:
Haga clic en Aceptar para comprobar su configuración y guardarla como configuración candidata.
Cuando haya terminado de configurar el dispositivo, haga clic en Actions>Commit.
Compatibilidad con caracteres comodín de patrón de URL: la regla comodín es la siguiente: \*\.[] \?* y debe preceder a todas las direcciones URL comodín con http://. Puede usar "*" solo si está al principio de la URL y va seguido de un ".". Solo puede usar "?" al final de la URL.
Se admite la siguiente sintaxis comodín: http://*. example.net, http://www.example.ne?, http://www.example.n??. No se admite la siguiente sintaxis comodín: *.example.net , www.example.ne?, http://*example.net http://*.
Procedimiento paso a paso
Para configurar la protección antivirus mediante la CLI, debe crear los objetos personalizados en el orden siguiente:
Cree la lista de permitidos MIME.
[edit security utm] user@host# set custom-objects mime-pattern avmime2 value [video/quicktime image/x-portable-anymap x-world/x-vrml]
Cree la lista de excepciones MIME.
[edit security utm] user@host# set custom-objects mime-pattern exception-avmime2 value [video/quicktime-inappropriate]
Configure una lista de patrones de URL (lista de permitidos) de direcciones URL que desea omitir. Después de crear la lista de patrones de URL, cree una lista de categorías de URL personalizada y agréguele la lista de patrones. Configure un objeto personalizado de lista de patrones de dirección URL creando el nombre de lista y agregándole valores de la siguiente manera. Al utilizar listas de patrones de URL para crear listas de categorías de URL personalizadas, debe configurar objetos personalizados de lista de patrones de URL antes de configurar listas de categorías de URL personalizadas.
[edit security utm] user@host# set custom-objects url-pattern urllist2 value [http://www. example.net 192.168.1.5]
Nota:Compatibilidad con caracteres comodín de patrón de URL: la regla comodín es la siguiente: \*\.[] \?* y debe preceder a todas las direcciones URL comodín con http://. Solo puede usar "*" si está al principio de la URL y va seguido de un ".". Solo puede usar "?" al final de la URL.
Se admite la siguiente sintaxis comodín: http://*. example.net, http://www.example.ne?, http://www.example.n??. No se admite la siguiente sintaxis comodín: *.example.net , www.example.ne?, http://*example.net http://*.
Configure un objeto personalizado de lista de categorías de direcciones URL mediante la lista de patrones de dirección URL urllist2 que creó anteriormente:
[edit security utm] user@host# set custom-objects custom-url-category custurl2 value urllist2
Verificación
Verificar la configuración de objetos personalizados de Sophos Antivirus
Propósito
Para verificar la configuración de objetos personalizados de Sophos Antivirus, introduzca el show security utm custom-objects comando.
Acción
Desde el modo operativo, introduzca el show security utm custom-objects comando para verificar la configuración de objetos personalizados de Sophos Antivirus.
Ejemplo: configuración del perfil de características de Sophos Antivirus
En este ejemplo se muestra cómo configurar un perfil de antivirus de Sophos que define los parámetros que se utilizarán para el análisis de virus.
Requisitos
Antes de empezar:
Instale una licencia de antivirus de Sophos. Consulte la Guía de instalación y actualización.
Configure objetos personalizados para Content Security. Consulte Ejemplo: Configuración de objetos personalizados de Sophos Antivirus.
Visión general
La siguiente configuración define a Sophos como el motor antivirus y establece parámetros, como el intervalo de actualización del archivo de datos, las opciones de notificación para los administradores, las opciones de reserva y los límites de tamaño de archivo.
El [edit security utm feature-profile] nivel de jerarquía está en desuso en Junos OS versión 18.2R1. Para obtener más información, consulte Información general sobre la seguridad de contenido.
Configuración
Procedimiento
Configuración rápida de la GUI
Procedimiento paso a paso
En el siguiente ejemplo se muestra cómo crear un perfil de Sophos personalizado. Si desea utilizar el perfil preconfigurado de Juniper Networks, utilice el perfil denominado junos-sophos-av-defaults en su política de seguridad de contenido. Consulte Ejemplo: Configuración de políticas de seguridad de contenido de Sophos Antivirus.
Seleccione y configure el tipo de motor. Dado que está configurando Sophos Antivirus, puede configurar sophos-engine:
Procedimiento paso a paso
Haga clic en la ficha Configurar de la barra de tareas y, a continuación, seleccione Seguridad>UTM>Antivirus.
Haga clic en la ficha Opciones globales y, a continuación, haga clic en Sophos.
Haga clic en Aceptar y confirme los cambios.
Vuelva a la pantalla Opciones globales del antivirus como lo hizo en el paso 1 y establezca los siguientes parámetros:
Procedimiento paso a paso
En la lista de permitidos MIME, seleccione exception-avmime2.
En la lista de URL permitidas, seleccione custurl2.
En el cuadro Intervalo de actualización de patrones (s), escriba 2880.
En el cuadro, escriba la dirección de correo electrónico que recibirá las notificaciones de actualización del archivo de datos por correo electrónico de SophosAdmin. Por ejemplo - admin@ example.net.
En el cuadro Asunto del mensaje personalizado, escriba Sophos Data File Updated.
Haga clic en Aceptar para comprobar su configuración y guardarla como configuración candidata.
Configure un perfil para el sophos-engine y defina los parámetros.
Procedimiento paso a paso
Haga clic en la ficha Configurar de la barra de tareas y, a continuación, seleccione Seguridad>UTM>Antivirus. Haga clic en Agregar.
En el cuadro Agregar perfil, haga clic en la pestaña Principal .
En el cuadro Nombre de perfil, escriba sophos-prof1.
En el cuadro Tiempo de espera de filtro, escriba 180.
Al habilitar la opción de filtro, es importante comprender que el filtrado puede enviar parte del archivo al cliente durante el análisis antivirus. Es posible que parte del contenido sea recibido por el cliente y que el cliente se infecte antes de que el archivo se analice por completo.
La comprobación de URI está activada de forma predeterminada. Para desactivarla, desactive Sí en la casilla URI.
En el cuadro Límite de tamaño de contenido, escriba 20000.
En el cuadro Tiempo de espera del motor de detección, escriba 1800.
Para configurar las opciones de reserva, haga clic en la pestaña Configuración de reserva . En este ejemplo, todas las opciones de reserva se establecen en registrar y permitir. Haga clic en Registrar y permitir los siguientes elementos: Acción predeterminada, Tamaño del contenido, Motor no listo, Tiempo de espera, Falta de recursos, Demasiadas solicitudes.
Para configurar las opciones de notificación, haga clic en la ficha Opciones de notificación . Puede configurar notificaciones para acciones de bloqueo de reserva y de no bloqueo de reserva y para la detección de virus.
Procedimiento paso a paso
Para configurar las notificaciones para la configuración de reserva:
En Tipo de notificación, haga clic en Protocolo.
En Notificar al remitente del correo, haga clic en Sí.
En el cuadro Mensaje personalizado, escriba Acción de bloqueo de reserva ocurrida.
En el cuadro Asunto del mensaje personalizado, escriba Alerta de reserva antivirus***.
Para configurar las opciones de notificación para la detección de virus, haga clic en la ficha Opciones de notificación...
Procedimiento paso a paso
En el botón de opción Tipo de notificación, seleccione Protocolo.
En el botón de opción Notificar al remitente de correo, seleccione sí.
En el cuadro Mensaje personalizado, escriba Se ha detectado virus.
En el cuadro Asunto del mensaje personalizado, escriba Virus detectado***.
Haga clic en Aceptar para comprobar su configuración y guardarla como configuración candidata.
Cuando haya terminado de configurar el dispositivo, haga clic en Actions>Commit.
Procedimiento paso a paso
Para configurar el perfil de característica de Sophos antivirus mediante la CLI:
En el siguiente ejemplo se muestra cómo crear un perfil de Sophos personalizado. Si desea utilizar el perfil preconfigurado de Juniper Networks, utilice el perfil denominado junos-sophos-av-defaults en su política de seguridad de contenido. Consulte Ejemplo: Configuración de políticas de seguridad de contenido de Sophos Antivirus.
Seleccione y configure el tipo de motor. Dado que está configurando Sophos Antivirus, puede configurar sophos-engine.
[edit] user@host# set security utm default-configuration anti-virus type sophos-engine
Confirme la configuración.
Seleccione un intervalo de tiempo para actualizar los archivos de datos. El intervalo predeterminado de actualización de patrones de antivirus es de 1440 minutos (cada 24 horas). Puede optar por dejar este valor predeterminado o puede cambiarlo. También puede forzar una actualización manual, si es necesario. Para cambiar el valor predeterminado de cada 24 horas a cada 48 horas:
[edit security utm default-configuration anti-virus] user@host# set sophos-engine pattern-update interval 2880
Configure el dispositivo de red con los detalles del servidor proxy para descargar la actualización del patrón desde un servidor remoto:
[edit security utm default-configuration anti-virus] user@host# set sophos-engine pattern-update proxy
En la mayoría de los casos, no necesitará cambiar la dirección URL para actualizar la base de datos de patrones. Si necesita cambiar esta opción, utilice el siguiente comando:
[edit security utm default-configuration anti-virus] user@host# set sophos-engine pattern-update url http://www.example.net/test-download
Puede configurar el dispositivo para que notifique a un administrador especificado cuando se actualicen los archivos de datos. Se trata de una notificación por correo electrónico con un mensaje personalizado y una línea de asunto personalizada.
[edit security utm default-configuration anti-virus] user@host# set sophos-engine pattern-update email-notify admin-email admin@example.net custom-message “Sophos antivirus data file was updated” custom-message-subject “AV data file updated”
Configure una lista de opciones de reserva como bloquear, registrar y permitir, o permitir. La configuración predeterminada es registrar y permitir. Puede usar la configuración predeterminada o puede cambiarla.
Configure la acción de tamaño de contenido. En este ejemplo, si se supera el tamaño del contenido, la acción realizada es bloquear.
En primer lugar, cree el perfil denominado sophos-prof1.
[edit security utm feature-profile anti-virus] user@host# set profile sophos-prof1
Configure la opción de reserva del tamaño del contenido para bloquear.
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set fallback-options content-size block
Configure la opción de reserva predeterminada para iniciar sesión y permitir.
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set fallback-options default log-and-permit
Configure log-and-allow si el motor antivirus no está listo.
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set fallback-options engine-not-ready log-and-permit
Configure log-and-allow si el dispositivo no tiene recursos.
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set fallback-options out-of-resources log-and-permit
Configure log-and-allow si se agota el tiempo de espera del análisis de virus.
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set fallback-options timeout log-and-permit
Configure log-and-permit si hay demasiadas solicitudes para que el motor de virus las maneje.
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set fallback-options too-many-requests log-and-permit
Configure las opciones de notificación. Puede configurar notificaciones para el bloqueo de reserva, las acciones de no bloqueo de reserva y la detección de virus.
En este paso, configure un mensaje personalizado para la acción de bloqueo de reserva y envíe una notificación de las acciones de solo protocolo al administrador y al remitente.
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host# set notification-options fallback-block custom-message ***Fallback block action occurred*** custom-message-subject Antivirus Fallback Alert notify-mail-sender type protocol-only allow email administrator-email admin@example.net
Configure una notificación para la detección de virus solo de protocolo y envíe una notificación.
[edit security utm feature-profile anti-virus profile sophos-prof1] user@host#set notification-options virus-detection type protocol-only notify-mail-sender custom-message-subject ***Virus detected*** custom-message Virus has been detected
Configure los parámetros de tamaño del contenido.
Cuando configure el valor content-size, tenga en cuenta que, en algunos casos, el tamaño del contenido está disponible en los encabezados de protocolo, por lo que la reserva max-content-size se aplica antes de enviar una solicitud de análisis. Sin embargo, en muchos casos, el tamaño del contenido no se proporciona en los encabezados de protocolo. En estos casos, la carga TCP se envía al escáner antivirus y se acumula hasta el final de la carga útil. Si la carga acumulada supera el valor del tamaño máximo de contenido, se aplica la reserva del tamaño máximo de contenido. La acción de reserva predeterminada es registrar y permitir, por lo que es posible que desee cambiar esta opción a bloquear, en cuyo caso se descarta dicho paquete y se envía un mensaje de bloqueo al cliente.
En este ejemplo, si el tamaño del contenido supera los 20 MB, el paquete se descarta.
[edit security utm default-configuration anti-virus] user@host# set scan-options content-size-limit 20000
La comprobación de URI está activada de forma predeterminada. Para desactivar la comprobación de URI:
[edit security utm default-configuration anti-virus] user@host# set scan-options no-uri-check
Configure el tiempo de espera para la operación de escaneo en 1800 segundos.
[edit security utm default-configuration anti-virus] user@host# set scan-options timeout 1800
Los servidores de la lista extensible de Sophos contienen la base de datos de virus y malware para las operaciones de análisis. Establezca el tiempo de espera de respuesta para estos servidores en 3 segundos (el valor predeterminado es 2 segundos).
[edit security utm default-configuration anti-virus] user@host# set scan-options sxl-timeout 3
Configure la opción de reintento del servidor de Sophos Extensible List en 2 reintentos (el valor predeterminado es 1).
[edit security utm default-configuration anti-virus] user@host# set scan-options sxl-retry 2
Configure el ajuste de goteo en 180 segundos. Si utiliza el percolación, también puede establecer parámetros de tiempo de espera. El goteo solo se aplica a HTTP. El filtrado HTTP es un mecanismo utilizado para evitar que el cliente o servidor HTTP agote el tiempo de espera durante una transferencia de archivos o durante el análisis antivirus.
Cuando habilite la opción de filtrado, tenga en cuenta que el filtrado puede enviar parte de un archivo al cliente durante su análisis antivirus. Por lo tanto, es posible que parte del contenido pueda ser recibido por el cliente antes de que el archivo se haya escaneado por completo.
[edit security utm default-configuration anti-virus] user@host# set trickling timeout 180
Configure el módulo antivirus para utilizar listas de omisión MIME y listas de excepciones. Puede usar sus propias listas de objetos personalizadas o puede usar la lista predeterminada que se incluye con el dispositivo llamada junos-default-bypass-mime. En este ejemplo, se utilizan las listas que configuró anteriormente.
[edit security utm default-configuration anti-virus] user@host# set mime-whitelist list avmime2 [edit security utm feature-profile anti-virus] user@host# set mime-whitelist list exception-avmime2
Configure el módulo antivirus para utilizar listas de omisión de URL. Si utiliza una lista de direcciones URL permitidas, se trata de una categoría de URL personalizada que ha configurado previamente como objeto personalizado. Las listas de direcciones URL permitidas solo son válidas para el tráfico HTTP. En este ejemplo, se utilizan las listas que configuró anteriormente.
[edit security utm default-configuration anti-virus] user@host# set url-whitelist custurl2
Verificación
Obtener información sobre el estado actual del antivirus
Propósito
Acción
Desde el modo operativo, escriba el show security utm anti-virus status comando para ver el estado del antivirus.
user@host>show security utm anti-virus status
Significado
Fecha de caducidad de la clave antivirus: la fecha de caducidad de la clave de licencia.
Servidor de actualizaciones: URL del servidor de actualización de archivos de datos.
Intervalo: el período de tiempo, en minutos, durante el cual el dispositivo actualizará el archivo de datos desde el servidor de actualización.
Estado de actualización del patrón: cuándo se actualizará el archivo de datos a continuación, se muestra en minutos.
Último resultado: resultado de la última actualización. Si ya tiene la última versión, se mostrará
already have latest database.
Versión de firma del antivirus: versión del archivo de datos actual.
Tipo de motor de análisis: el tipo de motor antivirus que se está ejecutando actualmente.
Información del motor de análisis: resultado de la última acción que se produjo con el motor de análisis actual.
Ejemplo: configuración de políticas de seguridad de contenido de Sophos Antivirus
En este ejemplo, se muestra cómo crear una política de seguridad de contenido para el antivirus Sophos.
Requisitos
Antes de crear la política de seguridad de contenido, cree objetos personalizados y el perfil de características de Sophos.
-
Configure objetos personalizados y listas MIME de Content Security. Consulte Ejemplo: Configuración de objetos personalizados de Sophos Antivirus.
Configure el perfil de característica antivirus de Sophos. Consulte Ejemplo: Configuración del perfil de características de Sophos Antivirus.
Visión general
Después de crear un perfil de característica antivirus, configure una directiva de seguridad de contenido para un protocolo de análisis antivirus y adjunte esta directiva a un perfil de características. En este ejemplo, HTTP se analizará en busca de virus, como indica la http-profile instrucción. También puede analizar otros protocolos creando diferentes perfiles o agregando otros protocolos al perfil, como: imap-profile, pop3-profile y smtp-profile.
Configuración
Procedimiento
Configuración rápida de la GUI
Procedimiento paso a paso
Para configurar una política de seguridad de contenido para el antivirus Sophos:
Haga clic en la pestaña Configurar de la barra de tareas y, a continuación, seleccione Directivas > seguridad> UTM. A continuación, haga clic en Agregar.
Haga clic en la pestaña Principal . En el cuadro Nombre de directiva, escriba utmp3.
Haga clic en la ficha Perfiles antivirus . En la lista Perfil HTTP, seleccione sophos-prof1.
Haga clic en Aceptar para comprobar su configuración y guardarla como configuración candidata.
Cuando haya terminado de configurar el dispositivo, seleccione Acciones>Confirmar.
Procedimiento paso a paso
Para configurar una política de seguridad de contenido para el antivirus Sophos:
-
Vaya a la jerarquía de seguridad de edición de seguridad de contenido.
[edit] user@host# edit security utm
-
Cree la política de seguridad de contenido utmp3 y adjúntela al perfil http sophos-prof1. Puede utilizar la configuración predeterminada del perfil de características de Sophos sustituyendo sophos-prof1 en la instrucción anterior por junos-sophos-av-defaults.
[edit security utm] user@host# set utm-policy utmp3 anti-virus http-profile sophos-prof1
Ejemplo: configuración de políticas de seguridad del firewall de Sophos Antivirus
En este ejemplo, se muestra cómo crear una política de seguridad para el antivirus Sophos.
Requisitos
Antes de crear la política de seguridad, cree objetos personalizados, el perfil de características de Sophos y la política de seguridad de contenido.
-
Configure objetos personalizados y listas MIME de Content Security. Consulte Ejemplo: Configuración de objetos personalizados de Sophos Antivirus.
Configure el perfil de característica antivirus de Sophos. Consulte Ejemplo: Configuración del perfil de características de Sophos Antivirus.
-
Configure una política de seguridad de contenido. Consulte Ejemplo: Configuración de políticas de seguridad de contenido de Sophos Antivirus.
Visión general
Cree una política de seguridad de firewall que provoque que Sophos antivirus analice el tráfico desde la zona de no confianza a la zona de confianza utilizando la configuración del perfil de características definida en Ejemplo: Configuración del perfil de características de Sophos Antivirus. Dado que la configuración de la aplicación coincidente se establece en cualquiera, se analizarán todos los tipos de aplicaciones.
Configuración
Procedimiento
Configuración rápida de la GUI
Procedimiento paso a paso
Para configurar una política de seguridad para el antivirus Sophos:
Configure la política de no confiar en confianza para que coincida con cualquier dirección de origen o dirección de destino y seleccione las aplicaciones a las que se va a analizar .
anyProcedimiento paso a paso
Haga clic en la pestaña Configurar de la barra de tareas y, a continuación, seleccione Directiva>seguridad>Directivas FW. A continuación, seleccione Agregar.
En el cuadro Nombre de directiva, escriba p3.
En el cuadro Acción de directiva, seleccione permitir.
En la lista Desde zona, seleccione no confiar.
En la lista Zona Para, seleccione confianza.
En los cuadros Dirección de origen y Dirección de destino, asegúrese de que Coincidente esté establecido en cualquiera.
En los cuadros Aplicaciones, seleccione cualquiera de la lista Aplicación o conjuntos y muévalo a la lista Coincidentes.
-
Adjunte la política de seguridad de contenido denominada utmp3 a la política de seguridad del firewall. Esto hará que la función antivirus de Sophos analice el tráfico coincidente.
Procedimiento paso a paso
-
En el cuadro Editar directiva, haga clic en la ficha Servicios de aplicación .
-
En la lista Política de seguridad de contenido, seleccione utmp3.
-
Haga clic en Aceptar para comprobar su configuración y guardarla como configuración candidata.
Cuando haya terminado de configurar el dispositivo, seleccione Actions>Commit.
Procedimiento paso a paso
Para configurar una política de seguridad para el antivirus Sophos:
Configure la política de no confiar en confianza para que coincida con cualquier dirección de origen.
[edit security] user@host# set policies from-zone untrust to-zone trust policy p3 match source-address any
Configure la política de no confiar en confianza para que coincida con cualquier dirección de destino.
[edit security] user@host# set policies from-zone untrust to-zone trust policy p3 match destination-address any
Configure la directiva de no confianza para que coincida con cualquier tipo de aplicación.
[edit security] user@host# set policies from-zone untrust to-zone trust policy p3 match application any
-
Adjunte la política de seguridad de contenido denominada utmp3 a la política de seguridad del firewall. Esto hará que la función antivirus de Sophos analice el tráfico coincidente.
[edit security] user@host# set policies from-zone untrust to-zone trust policy p3 then permit application-services utm-policy utmp3
Verificación
Para comprobar la configuración, escriba el show security policies comando.
Ejemplo: configurar Sophos Antivirus Live Protection versión 2.0
Utilice este ejemplo de configuración para configurar y verificar la versión 2.0 de protección en vivo del antivirus Sophos en su dispositivo. Sophos antivirus es una solución antivirus en la nube. La base de datos de malware y patrones de virus de los servidores externos mantenidos por los servidores de Sophos (Sophos Extensible List) aíslan y protegen su dispositivo. A partir de Junos OS versión 23.1R1, la seguridad de contenido es compatible con la protección en vivo del antivirus Sophos versión 2.0. La nueva versión del antivirus utiliza el protocolo HTTPS para comunicarse entre el firewall de la serie SRX y el servidor de Sophos.
| Puntuación de legibilidad |
|
| Tiempo de lectura |
Menos de 15 minutos. |
| Tiempo de configuración |
Menos de una hora. |
- Ejemplo de requisitos previos
- Antes de empezar
- Descripción general funcional
- Información general sobre la topología
- Ilustración de topología
- Configuración paso a paso en dispositivo bajo prueba (DUT)
- Verificación
- Apéndice 1: Establecer comandos en todos los dispositivos
- Apéndice 2: Mostrar salida de configuración en DUT
Ejemplo de requisitos previos
| Requisitos de hardware | Firewall serie SRX y firewall virtual vSRX |
| Requisitos de software | Junos OS versión 23.1R1 o posterior |
| Prescripciones en materia de licencias | Licencia de Sophos antivirus live protection versión 2.0 Utilice el |
Antes de empezar
| Beneficios |
La base de datos de malware y patrones de virus de los servidores externos mantenidos por los servidores de Sophos (Sophos Extensible List) aíslan y protegen su dispositivo. Proporciona una conexión segura basada en HTTPS entre el firewall de la serie SRX y el servidor de Sophos. |
| Recursos útiles: |
|
| Saber más |
|
| Experiencia práctica |
|
| Aprende más |
|
Descripción general funcional
En la tabla 2 se proporciona un resumen rápido de los componentes de configuración implementados en este ejemplo.
| Perfiles |
|
| Perfil de iniciación | La configuración del servidor de Sophos en el firewall de la serie SRX incluye el perfil de iniciación SSL ( El perfil de inicio es obligatorio para permitir que el firewall de la serie SRX inicie una sesión HTTPS con el servidor de Sophos para comprobar los paquetes. El perfil de iniciación SSL también cifra y descifra paquetes hacia y desde el servidor de Sophos. |
| Perfil de proxy | El perfil de proxy SSL, |
| Perfil de características |
El perfil de característica, Puede tener más de un perfil de característica para diferentes políticas de seguridad de contenido. |
| Políticas |
|
| Política de seguridad de contenido |
La directiva de seguridad de contenido, content_security_p1, define los protocolos antivirus (HTTP, FTP, SMTP, POP3 e IMAP) y adjunta esta directiva a un perfil de característica de seguridad, |
| Políticas de seguridad |
Dos políticas de seguridad ( Adjuntamos la |
| Zonas de seguridad |
|
|
|
Segmento de red en la zona de host (cliente). |
|
|
Segmento de red en la zona del servidor de destino (servicio web). |
|
|
Segmento de red a través del cual el firewall de la serie SRX interactúa con el servidor de Sophos. |
| Protocolos |
|
| HTTPS (en inglés) |
Las sesiones HTTPS se establecen entre el cliente y el servidor web, el firewall de la serie SRX y el servidor de Sophos. |
| Tareas de verificación primarias |
|
Información general sobre la topología
En este ejemplo, el cliente inicia una solicitud al servicio web a través del firewall de la serie SRX. Cuando el firewall de la serie SRX recibe la solicitud, se pone en contacto con el servidor de Sophos para comprobar la autenticidad del servicio web. La versión 2.0 del antivirus de Sophos utiliza una conexión HTTPS para la comunicación entre el firewall de la serie SRX y el servidor de Sophos. En función de la respuesta recibida del servidor de Sophos, el firewall de la serie SRX permite o bloquea el tráfico definido en la política de seguridad de contenido.
| Función | de rol | Componentes de topología |
|---|---|---|
| Cliente | Solicitudes de servicio web | Inicia la sesión HTTPS con el servidor web a través del firewall de la serie SRX. |
| Firewall serie SRX | Firewall de Juniper Network | Inicia la sesión HTTPS con el servidor antivirus de Sophos. También cifra y descifra los paquetes para el cliente. |
| Servidor Sophos | Servidor antivirus | Autentica el contenido recibido del firewall de la serie SRX. |
| Servidor web | Proveedor de servicios web | Responde a la solicitud del cliente. |
Ilustración de topología
Configuración paso a paso en dispositivo bajo prueba (DUT)
Para obtener ejemplos completos de configuraciones en el DUT, consulte:
-
Configure las interfaces del dispositivo.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet address 192.0.2.254/24 user@host# set ge-0/0/1 unit 0 family inet address 203.0.113.254/24
-
Active Sophos antivirus en el dispositivo. Configure el modo de reenvío y el tipo de tráfico que debe comprobar el antivirus de Sophos.
[edit security] user@host# set utm default-configuration anti-virus type sophos-engine user@host# set utm default-configuration anti-virus forwarding-mode inline-tap user@host# set utm default-configuration anti-virus scan-options no-uri-check
-
Defina un perfil de iniciación SSL para agregarlo a la configuración del servidor Sophos en el firewall de la serie SRX.
[edit services] user@host# set ssl initiation profile ssl_init_prof client-certificate content_security_cert user@host# set ssl initiation profile ssl_init_prof actions ignore-server-auth-failure
-
Incluya el perfil de iniciación SSL en la configuración del servidor de Sophos. Esta configuración es obligatoria para permitir que el firewall de la serie SRX inicie una sesión HTTPS con el servidor de Sophos para comprobar los paquetes. El perfil de iniciación también cifra y descifra paquetes hacia y desde el servidor de Sophos.
[edit security] user@host# set utm default-configuration anti-virus sophos-engine server ssl-profile ssl_init_prof
-
Defina un perfil de proxy SSL para aplicarlo a las políticas de seguridad. El perfil de proxy SLL permite que el firewall de la serie SRX descifre los paquetes para su posterior procesamiento de aplicaciones.
[edit services] user@host# set ssl proxy profile ssl_pr1 root-ca content_security_cert user@host# set ssl proxy profile ssl_pr1 actions ignore-server-auth-failure
-
Defina el perfil de características para indicar el tipo de tráfico que debe comprobar el antivirus de Sophos adjuntando el perfil a las políticas de seguridad de contenido. Puede definir más de un perfil de características para diferentes políticas de seguridad de contenido.
[edit security] user@host# set utm feature-profile anti-virus profile content_security_sav_fp
-
Definir zonas de seguridad.
[edit security zones] user@host# set security-zone untrust description untrust user@host# set security-zone untrust host-inbound-traffic system-services all user@host# set security-zone untrust host-inbound-traffic protocols all user@host# set security-zone untrust interfaces ge-0/0/1.0 user@host# set security-zone trust description trust user@host# set security-zone trust host-inbound-traffic system-services all user@host# set security-zone trust host-inbound-traffic protocols all user@host# set security-zone trust interfaces ge-0/0/0.0 user@host# set security-zone internet description internet
-
Defina una política de seguridad de contenido y adjunte un perfil de características para indicar el tipo de tráfico que el servidor de Sophos debe verificar.
[edit security utm] user@host# set utm-policy content_security_p1 anti-virus http-profile content_security_sav_fp user@host# set utm-policy content_security_p1 anti-virus ftp upload-profile content_security_sav_fp user@host# set utm-policy content_security_p1 anti-virus ftp download-profile content_security_sav_fp user@host# set utm-policy content_security_p1 anti-virus smtp-profile content_security_sav_fp user@host# set utm-policy content_security_p1 anti-virus pop3-profile content_security_sav_fp user@host# set utm-policy content_security_p1 anti-virus imap-profile content_security_sav_fp
-
Defina las políticas de seguridad y configure criterios de coincidencia para aplicarlos al tráfico entre las distintas zonas de seguridad.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match source-address any user@host# set from-zone trust to-zone trust policy p1 match destination-address any user@host# set from-zone trust to-zone trust policy p1 match application any user@host# set from-zone trust to-zone trust policy p1 then permit application-services ssl-proxy profile-name ssl_pr1 user@host# set from-zone trust to-zone trust policy p1 then permit application-services utm-policy content_security_p1 user@host# set from-zone trust to-zone trust policy trust_to_internet match source-address any user@host# set from-zone trust to-zone trust policy trust_to_internet match destination-address any user@host# set from-zone trust to-zone trust policy trust_to_internet match application any user@host# set from-zone trust to-zone trust policy trust_to_internet then permit user@host# set default-policy permit-all
Verificación
Proporcione una lista de los comandos show usados para comprobar la característica en este ejemplo.
| Tarea de comprobación de | comandos |
|---|---|
| Mostrar el estado del antivirus UTM de seguridad | Muestra el tipo y el estado del antivirus instalado en el dispositivo. |
| Mostrar estadísticas antivirus UTM de seguridad | Muestra las estadísticas de rendimiento del antivirus del dispositivo. |
- Verificación del tipo de motor de análisis antivirus
- Verificación del rendimiento del motor de análisis antivirus
Verificación del tipo de motor de análisis antivirus
Propósito
Verifique el tipo de motor de análisis antivirus instalado en su dispositivo.
Acción
Desde el modo operativo, ingrese al show security utm anti-virus status para ver el estado del antivirus instalado.
user@host> show security utm anti-virus status
UTM anti-virus status:
Anti-virus key expire date: 2024-02-23 16:00:00
Forwarding-mode: continuous delivery
Scan engine type: sophos-engine
Scan engine information: running
Significado
La salida de muestra confirma que el antivirus de Sophos está disponible en su dispositivo.
Verificación del rendimiento del motor de análisis antivirus
Propósito
Verifique el rendimiento del motor de análisis antivirus en su dispositivo.
Acción
Desde el modo operativo, ingrese al show security utm anti-virus statistics para ver las estadísticas de rendimiento del antivirus en su dispositivo.
user@host> show security utm anti-virus statistics
UTM Anti Virus statistics:
Intelligent-prescreening passed: 0
MIME-whitelist passed: 0
URL-whitelist passed: 0
Session abort: 0
Scan Request:
Total Clean Threat-found Fallback
2 1 1 0
Fallback:
Log-and-Permit Block Permit
Engine not ready: 0 0 0
Out of resources: 0 0 0
Timeout: 0 0 0
Maximum content size: 0 0 0
Too many requests: 0 0 0
Decompress error: 0 0 0
Others: 0 0 0
Significado
El valor de salida Threat-found de ejemplo muestra que el antivirus detectó 1 amenaza. Los demás valores estadísticos son seguros.
Apéndice 1: Establecer comandos en todos los dispositivos
Establezca la salida del comando en todos los dispositivos.
set security utm default-configuration anti-virus type sophos-engine set security utm default-configuration anti-virus forwarding-mode inline-tap set security utm default-configuration anti-virus scan-options no-uri-check set security utm default-configuration anti-virus sophos-engine server ssl-profile ssl_init_prof set security utm feature-profile anti-virus profile content_security_sav_fp set security utm utm-policy content_security_p1 anti-virus http-profile content_security_sav_fp set security utm utm-policy content_security_p1 anti-virus ftp upload-profile content_security_sav_fp set security utm utm-policy content_security_p1 anti-virus ftp download-profile content_security_sav_fp set security utm utm-policy content_security_p1 anti-virus smtp-profile content_security_sav_fp set security utm utm-policy content_security_p1 anti-virus pop3-profile content_security_sav_fp set security utm utm-policy content_security_p1 anti-virus imap-profile content_security_sav_fp set security zones security-zone untrust description untrust set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust description trust set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone internet description internet set security policies from-zone trust to-zone untrust policy p1 match source-address any set security policies from-zone trust to-zone untrust policy p1 match destination-address any set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 then permit application-services ssl-proxy profile-name ssl_pr1 set security policies from-zone trust to-zone untrust policy p1 then permit application-services utm-policy content_security_p1 set security policies from-zone trust to-zone internet policy trust_to_internet match source-address any set security policies from-zone trust to-zone internet policy trust_to_internet match destination-address any set security policies from-zone trust to-zone internet policy trust_to_internet match application any set security policies from-zone trust to-zone internet policy trust_to_internet then permit set security policies default-policy permit-all set services ssl initiation profile ssl_init_prof client-certificate content_security-cert set services ssl initiation profile ssl_init_prof actions ignore-server-auth-failure set services ssl proxy profile ssl_pr1 root-ca content_security-cert set services ssl proxy profile ssl_pr1 actions ignore-server-auth-failure
Apéndice 2: Mostrar salida de configuración en DUT
Mostrar la salida del comando en el DUT.
Desde el modo de configuración, escriba los comandos , show interfaces, show security policiesshow security zones, y show services ssl para confirmar la show security utmconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
user@host# show security utm
default-configuration {
anti-virus {
type sophos-engine;
forwarding-mode {
inline-tap;
}
scan-options {
no-uri-check;
}
sophos-engine {
server {
ssl-profile ssl_init_prof;
}
}
}
}
utm-policy P1 {
anti-virus {
http-profile junos-sophos-av-defaults;
}
}
utm-policy content_security_p1 {
anti-virus {
http-profile content_security_sav_fp;
ftp {
upload-profile content_security_sav_fp;
download-profile content_security_sav_fp;
}
smtp-profile content_security_sav_fp;
pop3-profile content_security_sav_fp;
imap-profile content_security_sav_fp;
}
}
user@host# show show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.0.2.254/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 203.0.113.254/24;
}
}
}
user@host# show security zones
security-zone untrust {
description untrust;
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone trust {
description trust;
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone internet {
description internet;
}
user@host# show security policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
ssl-proxy {
profile-name ssl_pr1;
}
utm-policy content_security_p1;
}
}
}
}
}
from-zone trust to-zone internet {
policy trust_to_internet {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
default-policy {
permit-all;
}
user@host# show services ssl
initiation {
profile ssl_init_prof {
client-certificate content_security-cert;
actions {
ignore-server-auth-failure;
}
}
}
proxy {
profile ssl_pr1 {
root-ca content_security-cert;
actions {
ignore-server-auth-failure;
}
}
}
Gestión de archivos de datos de Sophos Antivirus
Antes de empezar:
Instale una licencia de antivirus de Sophos. Consulte el Installation and Upgrade Guidearchivo .
Configure Sophos como función antivirus para el dispositivo. Consulte Ejemplo: Configuración del perfil de características de Sophos Antivirus. Para establecer el tipo de motor antivirus, ejecute la
set security utm feature-profile anti-virus type sophos-engineinstrucción.
En este ejemplo, configura el dispositivo de seguridad para que actualice los archivos de datos automáticamente cada 4320 minutos (cada 3 días). El intervalo predeterminado de actualización de archivos de datos es de 1440 minutos (cada 24 horas).
Para actualizar automáticamente los archivos de datos de Sophos:
[edit security utm feature-profile anti-virus] user@host# set sophos-engine pattern-update interval 4320
Los siguientes comandos se realizan desde el modo operativo de la CLI.
Para actualizar manualmente los archivos de datos:
user@host> request security utm anti-virus sophos-engine pattern-update
Para volver a cargar manualmente los archivos de datos:
user@host> request security utm anti-virus sophos-engine pattern-reload
Para eliminar manualmente archivos de datos:
user@host> request security utm anti-virus sophos-engine pattern-delete
Para comprobar el estado del antivirus, que también muestra la versión de los archivos de datos:
user@host> show security utm anti-virus status
Para comprobar el estado del servidor proxy:
user@host> show security utm anti-virus status
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.