Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Sophos Antivirus Protection

El escáner antivirus de Sophos utiliza una caché interna local para mantener las respuestas de consulta del servidor de lista externo para mejorar el rendimiento de la búsqueda. El análisis antivirus de Sophos se ofrece como una alternativa menos intensiva de CPU a la función antivirus completa basada en archivos. Para obtener más información, consulte los temas siguientes:

Descripción general de Sophos Antivirus Protection

Sophos antivirus es una solución antivirus en la nube. La base de datos de patrones de virus y malware se encuentra en servidores externos mantenidos por servidores de Sophos (Sophos Extensible List), por lo que no es necesario descargar y mantener bases de datos de patrones de gran tamaño en el dispositivo Juniper. Antes de la versión 23.1R1 de Junos OS, el escáner antivirus de Sophos también utilizaba una caché interna local para mantener las respuestas de consulta desde el servidor de lista externo y mejorar el rendimiento de la búsqueda.

Dado que una cantidad significativa de tráfico procesado por Juniper Content Security se basa en HTTP, la comprobación del identificador uniforme de recursos (URI) se utiliza para evitar efectivamente que el contenido malicioso llegue al cliente o servidor de punto de conexión. Se realizan las siguientes comprobaciones para el tráfico HTTP: búsqueda de URI, detección de tipo de archivo verdadero y búsqueda de suma de comprobación de archivos. Se admiten los siguientes protocolos de capa de aplicación: HTTP, FTP, SMTP, POP3 e IMAP.

La función antivirus completa basada en archivos no es compatible con Junos OS versión 15.1X49-D10 y Junos OS versión 17.3R1 en adelante. En versiones anteriores, el análisis antivirus de sophos se ofrece como una alternativa menos intensiva de CPU a la función antivirus completa basada en archivos. Sophos admite los mismos protocolos que un antivirus completo y funciones de la misma manera; sin embargo, tiene una huella de memoria más pequeña y es compatible con dispositivos de gama baja que tienen menos memoria.

A partir de Junos OS versión 15.1X49-D100, el tráfico de paso IPv6 para los protocolos HTTP, HTTPS, FTP, SMTP, POP3, IMAP se admite para las características de seguridad de seguridad de Seguridad de contenido, filtrado web y filtrado de contenido de Sophos.

A partir de Junos OS versión 12.3X48-D35 y Junos OS versión 17.3R1, la transferencia de datos de sesión única del antivirus de Seguridad de Contenido de Sophos (SAV) aumenta para optimizar el reenvío tcp-proxy.

A partir de Junos OS versión 19.4R1, la función antivirus admite SMTPS, IMAPS y protocolo POP3S implícitos y explícitos, y solo admite FTPS en modo pasivo explícito.

Modo implícito: conéctese al puerto cifrado SSL/TLS mediante un canal seguro.

Modo explícito: primero conéctese a un canal no seguro y, luego, proteja la comunicación mediante la emisión del comando STARTTLS. Para POP3S, use el comando STLS.

A partir de junos OS versión 23.1R1, la seguridad de contenido admite el nuevo antivirus Sophos Live Protection versión 2.0. La nueva versión del antivirus de Sophos utiliza una conexión HTTPS para la comunicación de dispositivo a servidor. Para la conexión HTTPS, debe crear un perfil de iniciación SSL y agregar el perfil a la configuración predeterminada del motor de Sophos.

Características de Sophos Antivirus

Sophos antivirus tiene las siguientes características principales:

  • Sophos antivirus expanded MIME decoding support—Sophos antivirus ofrece soporte de decodificación para HTTP, POP3, SMTP e IMAP. La compatibilidad de decodificación MIME incluye lo siguiente para cada protocolo compatible:

    • Descodificación de encabezados multiparte y anidado

    • Descodificación Base64, descodificación de citas impresas y decodificación de palabras codificadas en el campo de asunto

  • Sophos antivirus supports HTTPS traffic—A partir de Junos OS versión 12.3X48-D25 y Junos OS versión 17.3R1, sophos antivirus sobre proxy de reenvío SSL admite tráfico HTTPS. El antivirus de Sophos sobre proxy de reenvío SSL lo hace interceptando el tráfico HTTPS que pasa a través del firewall de la serie SRX. El canal de seguridad del firewall de la serie SRX se divide como un canal SSL entre el cliente y el firewall de la serie SRX y otro canal SSL entre el firewall de la serie SRX y el servidor HTTPS. El proxy de reenvío SSL actúa como terminal para ambos canales y reenvía el tráfico de texto sin formato a Content Security. Content Security extrae la dirección URL y la información de la suma de comprobación del archivo del tráfico de texto sin formato. El escáner antivirus de Sophos determina si desea bloquear o permitir las solicitudes.

    El proxy de reenvío SSL no admite la autenticación de cliente. Si el servidor requiere la autenticación de cliente, Content Security omite el tráfico. La seguridad de contenido pasa por alto el tráfico HTTPS bajo las siguientes condiciones:

    • Si el proxy SSL no analiza el primer paquete de enlace del cliente, el proxy de reenvío SSL omite el tráfico.

    • Si el enlace de proxy SSL con el cliente y el servidor está incompleto debido a problemas de compatibilidad, la conexión se cae.

    • Si el recurso del sistema es bajo, el proxy de reenvío SSL no puede manejar la nueva conexión y el antivirus de Sophos evita el tráfico.

    • Si el tráfico HTTPS llega a la lista de permitidos del proxy de reenvío SSL, el proxy de reenvío SSL y el antivirus de Sophos evitan el tráfico.

  • Sophos antivirus scan result handling— Con el antivirus TCP de Sophos, el tráfico se cierra con facilidad cuando se encuentra un virus y se pierde el contenido de los datos.

    Se admiten las siguientes opciones de modo de error: tamaño de contenido, valor predeterminado, no listo para motores, sin recursos, tiempo de espera y demasiadas solicitudes. Puede establecer las siguientes acciones: bloquear, registrar y permitir y permitir. La gestión del modo de error de las opciones compatibles con Sophos es muy similar a la del antivirus completo.

  • Sophos Uniform Resource Identifier checking—Sophos proporciona una comprobación del identificador uniforme de recursos (URI), que es similar a las búsquedas de lista de rutas nulas (RBL) de antispam en tiempo real. La comprobación de URI es una forma de analizar el contenido de URI en el tráfico HTTP en la base de datos de Sophos para identificar malware o contenido malicioso. Dado que el malware es predominantemente estático, se utiliza un mecanismo de suma de comprobación para identificar el malware y mejorar el rendimiento. Los archivos que pueden usar una suma de comprobación incluyen .exe, .zip, .rar, .swf, .pdf y .ole2 (doc y xls).

    Si tiene un dispositivo Juniper Networks que protege una red interna que no tiene tráfico HTTP o tiene servidores web que no son accesibles para el mundo exterior, es posible que desee desactivar la comprobación de URI. Si los servidores web no son accesibles para el mundo exterior, es poco probable que contengan información de URI que se encuentra en la base de datos de URI de Sophos. La comprobación del URI está activada de forma predeterminada.

    A partir de Junos OS versión 18.4R1 en adelante, la comprobación del URI está desactivada de forma predeterminada.

Descripción de la actualización del archivo de datos de Antivirus de Sophos

Sophos antivirus utiliza un pequeño conjunto de archivos de datos que deben actualizarse periódicamente. Estos archivos de datos solo contienen información sobre la lógica de análisis de guía y no contienen la base de datos de patrones completa. La base de datos principal de patrones, que incluye protección contra virus críticos, comprobaciones de URI, malware, gusanos, troyanos y spyware, se encuentra en servidores remotos de La lista extensible de Sophos mantenidos por Sophos.

Los archivos de datos de Sophos se actualizan a través de HTTP o HTTPS y se pueden actualizar manualmente o se puede programar para que se actualicen automáticamente. Con sophos antivirus:

  • El intervalo de actualización automática de la base de datos de firmas es una vez al día de forma predeterminada. Este intervalo se puede cambiar.

  • No hay interrupción en la capacidad de análisis de virus durante la actualización del archivo de datos. Si se produce un error en la actualización, se seguirán utilizando los archivos de datos existentes.

  • De forma predeterminada, la url de la actualización del archivo de datos del antivirus de Sophos es http://update.juniper-updates.net/SAV/.

Nota:

La función de análisis antivirus de Sophos es un servicio de suscripción con licencia por separado. Cuando su clave de licencia antivirus caduca, la funcionalidad ya no funcionará porque la base de datos de búsqueda de patrones se encuentra en servidores remotos de Sophos. Tiene un período de gracia de 30 días para actualizar su licencia.

Comparación de Sophos Antivirus con Kaspersky Antivirus

La función Kaspersky and Express Antivirus no es compatible con Junos OS versión 15.1x49-D10 y Junos OS versión 17.3R1 en adelante. Para versiones anteriores, Sophos Antivirus se parece mucho a Juniper Express Antivirus y también tiene similitudes con la función Full Antivirus:

  • A diferencia de las soluciones Express y Full Antivirus de Juniper, la base de datos de antivirus y malware de Sophos se almacena en un grupo de servidores remotos de La lista extensible de Sophos. Las consultas se realizan mediante el protocolo DNS. Sophos mantiene estos servidores, por lo que no es necesario descargar y mantener grandes bases de datos de patrones en el dispositivo Juniper. Porque la base de datos es remota y hay una respuesta más rápida ante nuevos brotes de virus. La base de datos antivirus no tiene limitación de tamaño, pero hay una limitación con el tamaño del archivo de análisis.

    Nota:

    Sophos antivirus utiliza un conjunto de archivos de datos que deben actualizarse regularmente. Estos no son archivos de patrones de virus típicos; son un conjunto de archivos pequeños que ayudan a guiar la lógica de análisis de virus. Puede descargar manualmente los archivos de datos o configurar la descarga automática.

  • Sophos no proporciona la misma detección previa de pantalla que Kaspersky Antivirus. Sophos proporciona una solución similar que forma parte del motor de Sophos y no se puede encender ni desactivar.

  • La función de análisis antivirus de Sophos es un servicio de suscripción con licencia por separado. Además, la base de datos de búsqueda de patrones se encuentra en servidores remotos mantenidos por Sophos, por lo que cuando caduca su clave de licencia de antivirus, la funcionalidad ya no funcionará. Tiene un período de gracia de 30 días para actualizar su licencia.

Descripción general de la configuración de Sophos Antivirus

Sophos antivirus forma parte del conjunto de funciones de Content Security, de modo que primero configure las opciones de Seguridad de contenido (objetos personalizados), configure la función de Sophos y, luego, cree una política de seguridad de contenido y una política de seguridad. La política de seguridad controla todo el tráfico que reenvía el dispositivo, y la política de seguridad de contenido especifica qué parámetros se deben usar para analizar el tráfico. La política de Seguridad de contenido también se utiliza para enlazar un conjunto de protocolos a uno o más perfiles de características de Content Security, incluido el antivirus de Sophos en este caso.

Para configurar Sophos antivirus, debe realizar las siguientes tareas:

  1. Configure los objetos personalizados de seguridad de contenido y las listas MIME. Vea ejemplo: Configuración de objetos personalizados de Sophos Antivirus,
  2. Configure el perfil de la función antivirus de Sophos. Vea el ejemplo: Configurar el perfil de característica de Sophos Antivirus.
  3. Configure una política de seguridad de contenido. Vea el ejemplo: Configuración de políticas de seguridad de contenido de Sophos Antivirus
  4. Configure una política de seguridad. Consulte ejemplo: Configuración de políticas de seguridad de Firewall de Sophos Antivirus.

Ejemplo: Configuración de objetos personalizados de Sophos Antivirus

En este ejemplo, se muestra cómo crear objetos personalizados globales de Content Security que se usarán con Sophos antivirus.

Requisitos

Antes de comenzar, lea acerca de los objetos personalizados de Seguridad de contenido. Consulte Descripción general de la seguridad de contenido.

Visión general

Configure listas MIME. Esto incluye la creación de una lista de permitidos MIME y una lista de excepciones MIME para el análisis antivirus. En este ejemplo, se omite el análisis de vídeos QuickTime, a menos que contengan el tipo MIME inadecuado para quicktime.

Configuración

Procedimiento

Configuración rápida de GUI
Procedimiento paso a paso

Para configurar una lista MIME:

  1. Haga clic en la ficha Configurar en la barra de tareas y, a continuación, seleccione Security>UTM>Custom Objects.

  2. Haga clic en la pestaña Lista de patrones MIME y, a continuación, haga clic en Agregar.

  3. En el cuadro Nombre del patrón MIME, escriba avmime2.

  4. En el cuadro Valor de patrón MIME, escriba video/quicktime y haga clic en Agregar.

  5. En el cuadro Valor de patrón MIME, escriba image/x-portable-anympa y haga clic en Agregar.

  6. En el cuadro Valor de patrón MIME, escriba x-world/x-vrml y haga clic en Agregar.

Procedimiento paso a paso

Para configurar una lista de excepciones MIME:

  1. Haga clic en la ficha Configurar en la barra de tareas y, a continuación, seleccione Security>UTM>Custom Objects.

  2. Haga clic en la pestaña Lista de patrones MIME y, a continuación, seleccione Agregar.

  3. En el cuadro Nombre del patrón MIME, escriba exception-avmime2.

  4. En el cuadro Valor de patrón MIME, escriba video/quicktime-inapropiado y haga clic en Agregar.

Procedimiento paso a paso

Configure una lista de patrones de URL (lista permitida) de direcciones o direcciones que se omitirán mediante el análisis del antivirus. Después de crear la lista de patrones de URL, creará una lista de categorías de URL personalizada y agregará la lista de patrones a ella.

Nota:

Dado que utiliza listas de patrones de URL para crear listas de categorías de URL personalizadas, debe configurar objetos personalizados de lista de patrones de URL antes de configurar listas de categorías de URL personalizadas.

Para configurar un patrón de URL allowlist:

  1. Haga clic en la ficha Configurar en la barra de tareas y, a continuación, seleccione Security>UTM>Custom Objects.

  2. Haga clic en la ficha Lista de patrones url y, a continuación, haga clic en Agregar.

  3. En el cuadro Nombre del patrón de URL, escriba urlist2.

  4. En el cuadro Valor de patrón URL, escriba http://example.net. (También puede nosotros la dirección IP del servidor en lugar de la URL.)

Procedimiento paso a paso

Guarde su configuración:

  1. Haga clic en Aceptar para comprobar la configuración y guardarla como configuración candidata.

  2. Si ha terminado de configurar el dispositivo, haga clic en Actions>Commit.

Nota:

Compatibilidad con comodín de patrón URL: la regla de comodín es la siguiente: \*\.[] \?* y debe preceder todas las URL comodín con http://. Solo puede usar "*" si se encuentra al principio de la URL y le sigue una ".". Solo puede usar "?" al final de la URL.

Se admite la siguiente sintaxis comodín: http://*. example.net, http://www.example.ne?, http://www.example.n??. No se admite la siguiente sintaxis comodín: *.example.net, www.example.ne?, http://*example.net, http://*.

Procedimiento paso a paso

Para configurar la protección antivirus mediante la CLI, debe crear los objetos personalizados en el siguiente orden:

  1. Cree la lista de permitidos MIME.

    Cree la lista de excepciones MIME.

  2. Configure una lista de patrones de URL (lista permitida) de direcciones URL o direcciones que desea omitir. Después de crear la lista de patrones url, se crea una lista de categorías de URL personalizada y se le agrega la lista de patrones. Configure un objeto personalizado de lista de patrones URL mediante la creación del nombre de la lista y agregar valores como se indica a continuación. A medida que usa listas de patrones url para crear listas de categorías de URL personalizadas, debe configurar objetos personalizados de lista de patrones de URL antes de configurar listas de categorías de URL personalizadas.

    Nota:

    Compatibilidad con comodín de patrón URL: la regla de comodín es la siguiente: \*\.[] \?* y debe preceder todas las URL comodín con http://. Solo puede usar "*" si se encuentra al principio de la URL y le sigue una ".". Solo puede usar "?" al final de la URL.

    Se admite la siguiente sintaxis comodín: http://*. example.net, http://www.example.ne?, http://www.example.n??. No se admite la siguiente sintaxis comodín: *.example.net, www.example.ne?, http://*example.net, http://*.

  3. Configure un objeto personalizado de lista de categorías de URL mediante el patrón urllist2 de lista de direcciones URL que creó anteriormente:

Verificación

Verificar la configuración de objetos personalizados de Sophos Antivirus

Propósito

Para comprobar la configuración de los objetos personalizados de Sophos Antivirus, ingrese el show security utm custom-objects comando.

Acción

Desde el modo operativo, ingrese el show security utm custom-objects comando para comprobar la configuración de los objetos personalizados de Sophos Antivirus.

Ejemplo: Configurar el perfil de característica de Sophos Antivirus

En este ejemplo, se muestra cómo configurar un perfil antivirus de Sophos que define los parámetros que se usarán para el análisis de virus.

Requisitos

Antes de empezar:

Visión general

La siguiente configuración define Sophos como el motor antivirus y establece parámetros, como el intervalo de actualización del archivo de datos, las opciones de notificación para administradores, las opciones de reserva y los límites de tamaño de archivo.

Nota:

El [edit security utm feature-profile] nivel de jerarquía está en desuso en junos OS versión 18.2R1. Para obtener más información, consulte Descripción general de seguridad de contenido.

Configuración

Procedimiento

Configuración rápida de GUI
Procedimiento paso a paso

En el siguiente ejemplo, se muestra cómo crear un perfil personalizado de Sophos. Si desea usar el perfil preconfigurado de Juniper Networks, use el perfil denominado junos-sophos-av-defaults en su política de seguridad de contenido. Vea ejemplo: Configuración de políticas de seguridad de contenido de Sophos Antivirus.

  1. Seleccione y configure el tipo de motor. Dado que está configurando Sophos antivirus, puede configurar sophos-engine:

    Procedimiento paso a paso
    1. Haga clic en la ficha Configurar de la barra de tareas y, a continuación, seleccione Security>UTM>Anti-Virus.

    2. Haga clic en la ficha Opciones globales y, a continuación, haga clic en Sophos.

    3. Haga clic en Aceptar y confirme los cambios.

  2. Vuelva a la pantalla Opciones globales del antivirus como lo hizo en el paso 1 y establezca los siguientes parámetros:

    Procedimiento paso a paso
    1. En la lista de permitidos MIME, seleccione exception-avmime2.

    2. En la lista de url permitidas, seleccione custurl2.

    3. En el cuadro Intervalo de actualización de patrón (seg), escriba 2880.

    4. En el cuadro, escriba la dirección de correo electrónico que recibirá las notificaciones de actualización del archivo de datos de correo electrónico de SophosAdmin. Por ejemplo, admin@ example.net.

    5. En el cuadro de asunto del mensaje personalizado, escriba Sophos Data File Updated.

    6. Haga clic en Aceptar para comprobar la configuración y guardarla como configuración candidata.

  3. Configure un perfil para el motor de sophos y establezca parámetros.

    Procedimiento paso a paso
    1. Haga clic en la ficha Configurar de la barra de tareas y, a continuación, seleccione Security>UTM>Anti-Virus. Haga clic en Agregar.

    2. En el cuadro Agregar perfil, haga clic en la ficha Principal .

    3. En el cuadro Nombre del perfil, escriba sophos-prof1.

    4. En el cuadro Tiempo de espera de goteo, escriba 180.

      Al habilitar la opción de goteo, es importante comprender que el goteo puede enviar parte del archivo al cliente durante el análisis del antivirus. Es posible que parte del contenido pueda ser recibido por el cliente y que el cliente se infecte antes de que el archivo se analice por completo.

    5. La comprobación del URI está activada de forma predeterminada. Para desactivarlo, desactive sí en la casilla de verificación URI.

    6. En el cuadro Límite de tamaño de contenido, escriba 20000.

    7. En el cuadro Tiempo de espera del motor de análisis, escriba 1800.

  4. Configure la configuración de reserva haciendo clic en la pestaña Configuración de reserva . En este ejemplo, todas las opciones de reserva se establecen para registrar y permitir. Haga clic en Registrar y permitir los siguientes elementos: Acción predeterminada, Tamaño del contenido, Motor no listo, Tiempo de espera, Falta de recurso, Demasiadas solicitudes.

  5. Configure las opciones de notificación haciendo clic en la pestaña Opciones de notificación . Puede configurar notificaciones para acciones de bloqueo y no bloqueo de reserva, así como para detección de virus.

    Procedimiento paso a paso

    Para configurar las notificaciones para la configuración de reserva:

    1. En Tipo de notificación, haga clic en Protocolo.

    2. En Notificar remitente de correo, haga clic en .

    3. En el cuadro de mensaje personalizado, escriba acción de bloqueo de reserva que se produjo.

    4. En el cuadro de asunto del mensaje personalizado, escriba ***Alerta de reserva de antivirus***.

  6. Para configurar las opciones de notificación para la detección de virus, haga clic en la ficha Opciones de notificación .

    Procedimiento paso a paso
    1. Para el botón de opción Tipo de notificación, seleccione Protocolo.

    2. Para el botón de opción Notificar remitente de correo, seleccione .

    3. En el cuadro de mensaje personalizado, se ha detectado virus.

    4. En el cuadro de asunto del mensaje personalizado, escriba ***Virus detectado***.

  7. Haga clic en Aceptar para comprobar la configuración y guardarla como configuración candidata.

  8. Si ha terminado de configurar el dispositivo, haga clic en Actions>Commitir.

Procedimiento paso a paso

Para configurar el perfil de la función antivirus de Sophos mediante la CLI:

En el siguiente ejemplo, se muestra cómo crear un perfil personalizado de Sophos. Si desea usar el perfil preconfigurado de Juniper Networks, use el perfil denominado junos-sophos-av-defaults en su política de seguridad de contenido. Vea ejemplo: Configuración de políticas de seguridad de contenido de Sophos Antivirus.

  1. Seleccione y configure el tipo de motor. Dado que está configurando Sophos antivirus, puede configurar sophos-engine.

  2. Confirme la configuración.

  3. Seleccione un intervalo de tiempo para actualizar los archivos de datos. El intervalo predeterminado de actualización del patrón del antivirus es de 1440 minutos (cada 24 horas). Puede elegir dejar este valor predeterminado o cambiarlo. También puede forzar una actualización manual, si es necesario. Para cambiar el valor predeterminado de cada 24 horas a cada 48 horas:

  4. Configure el dispositivo de red con los detalles del servidor proxy para descargar la actualización de patrón desde un servidor remoto:

  5. En la mayoría de las circunstancias, no necesitará cambiar la DIRECCIÓN URL para actualizar la base de datos de patrones. Si necesita cambiar esta opción, utilice el siguiente comando:

  6. Puede configurar el dispositivo para que notifique a un administrador especificado cuando se actualicen los archivos de datos. Esta es una notificación de correo electrónico con un mensaje personalizado y una línea de asunto personalizadas.

  7. Configure una lista de opciones de reserva como bloquear, registrar y permitir o permitir. La configuración predeterminada es registrar y permitir. Puede usar la configuración predeterminada o cambiarla.

    Configure la acción del tamaño del contenido. En este ejemplo, si se supera el tamaño del contenido, la acción realizada se bloquea.

    Primero cree el perfil llamado sophos-prof1.

    Configure la opción de reserva de tamaño de contenido para bloquear.

    Configure la opción predeterminada de reserva para registrar y permitir.

    Configure registrar y permitir si el motor antivirus no está listo.

    Configure registrar y permitir si el dispositivo no tiene recursos.

    Configure registrar y permitir si se produce un tiempo de espera de análisis de virus.

    Configure registrar y permitir si hay demasiadas solicitudes para que el motor de virus maneje.

  8. Configure las opciones de notificación. Puede configurar notificaciones para bloqueo de reserva, acciones sin bloqueo de reserva y detección de virus.

    En este paso, configure un mensaje personalizado para la acción de bloqueo de reserva y envíe una notificación para acciones de solo protocolo al administrador y al remitente.

  9. Configure una notificación para la detección de virus solo en protocolo y envíe una notificación.

  10. Configure parámetros de tamaño de contenido.

    Cuando configure el valor del tamaño del contenido, tenga en cuenta que, en ciertos casos, el tamaño del contenido está disponible en los encabezados del protocolo, por lo que la reserva de tamaño máximo de contenido se aplica antes de enviar una solicitud de análisis. Sin embargo, en muchos casos, el tamaño del contenido no se proporciona en los encabezados de protocolo. En estos casos, la carga TCP se envía al escáner antivirus y se acumula hasta el final de la carga. Si la carga acumulada supera el valor máximo de tamaño de contenido, se aplica una reserva de tamaño máximo de contenido. La acción predeterminada de reserva es registrar y permitir, por lo que es posible que desee cambiar esta opción para bloquear, en cuyo caso se pierde un paquete de este tipo y se envía un mensaje de bloque al cliente.

    En este ejemplo, si el tamaño del contenido supera los 20 MB, el paquete se pierde.

  11. La comprobación del URI está activada de forma predeterminada. Para desactivar la comprobación de URI:

  12. Configure la configuración de tiempo de espera para la operación de análisis a 1800 segundos.

  13. Los servidores de la lista extensible de Sophos contienen la base de datos de virus y malware para las operaciones de análisis. Establezca el tiempo de espera de respuesta para estos servidores en 3 segundos (el valor predeterminado es de 2 segundos).

  14. Configure la opción de reintento del servidor de lista extensible de Sophos en 2 reintentos (el valor predeterminado es 1).

  15. Configure la configuración de goteo a 180 segundos. Si usa goteo, también puede establecer parámetros de tiempo de espera. El goteo se aplica solo a HTTP. El goteo HTTP es un mecanismo utilizado para evitar que el cliente o servidor HTTP se agote durante una transferencia de archivos o durante el análisis de antivirus.

    Cuando active la opción de goteo, tenga en cuenta que el goteo puede enviar parte de un archivo al cliente durante el análisis del antivirus. Por lo tanto, es posible que parte del contenido pueda ser recibido por el cliente antes de que el archivo se haya analizado por completo.

  16. Configure el módulo antivirus para usar listas de omisión mime y listas de excepciones. Puede usar sus propias listas de objetos personalizadas o la lista predeterminada que se incluye con el dispositivo llamado junos-default-bypass-mime. En este ejemplo, se usan las listas que configuró anteriormente.

  17. Configure el módulo antivirus para usar listas de omisión de URL. Si utiliza una lista de direcciones permitidas, esta es una categoría de URL personalizada que configuró anteriormente como un objeto personalizado. Las listas permitidas de URL solo son válidas para el tráfico HTTP. En este ejemplo, utilice las listas que configuró anteriormente.

Verificación

Obtener información sobre el estado actual del antivirus

Propósito
Acción

Desde el modo operativo, ingrese el show security utm anti-virus status comando para ver el estado del antivirus.

Significado
  • Fecha de vencimiento de la clave del antivirus: la fecha de vencimiento de la clave de licencia.

  • Servidor de actualización: URL para el servidor de actualización de archivos de datos.

    • Intervalo: es el período de tiempo, en minutos, en el que el dispositivo actualizará el archivo de datos desde el servidor de actualización.

    • Estado de actualización de patrones: la siguiente actualización del archivo de datos se mostrará en cuestión de minutos.

    • Último resultado: resultado de la última actualización. Si ya tiene la última versión, aparecerá already have latest database.

  • Versión de firma del antivirus: versión del archivo de datos actual.

  • Tipo de motor de análisis: el tipo de motor antivirus que se está ejecutando actualmente.

  • Información del motor de análisis: resultado de la última acción que se produjo con el motor de análisis actual.

Ejemplo: Configuración de políticas de seguridad de contenido de Sophos Antivirus

En este ejemplo, se muestra cómo crear una política de seguridad de contenido para Sophos antivirus.

Requisitos

Antes de crear la política de Content Security, cree objetos personalizados y el perfil de entidad de Sophos.

  1. Configure los objetos personalizados de seguridad de contenido y las listas MIME. Vea ejemplo: Configuración de objetos personalizados de Sophos Antivirus.

  2. Configure el perfil de la función antivirus de Sophos. Vea el ejemplo: Configurar el perfil de característica de Sophos Antivirus.

Visión general

Después de crear un perfil de función antivirus, configure una política de seguridad de contenido para un protocolo de análisis antivirus y adjunte esta política a un perfil de entidad. En este ejemplo, HTTP se analizará en busca de virus, como lo indica la http-profile instrucción. También puede analizar otros protocolos mediante la creación de diferentes perfiles o agregar otros protocolos al perfil, como: imap-profile, pop3-profile y smtp-profile.

Configuración

Procedimiento

Configuración rápida de GUI
Procedimiento paso a paso

Para configurar una política de seguridad de contenido para Sophos antivirus:

  1. Haga clic en la ficha Configurar de la barra de tareas y, a continuación, seleccione Security>Policy>UTM Policies. A continuación, haga clic en Agregar.

  2. Haga clic en la pestaña Principal . En el cuadro Nombre de política, escriba utmp3.

  3. Haga clic en la pestaña Perfiles antivirus . En la lista de perfiles HTTP, seleccione sophos-prof1.

  4. Haga clic en Aceptar para comprobar la configuración y guardarla como configuración candidata.

  5. Si ha terminado de configurar el dispositivo, seleccione Actions>Commit.

Procedimiento paso a paso

Para configurar una política de seguridad de contenido para Sophos antivirus:

  1. Vaya a la jerarquía editar seguridad de contenido.

  2. Cree la política de seguridad de contenido utmp3 y adjunte al http-profile sophos-prof1. Puede usar la configuración predeterminada del perfil de la función de Sophos sustituyendo sophos-prof1 en la instrucción anterior por junos-sophos-av-defaults.

Verificación

Verificar la configuración de la política de seguridad de contenido

Propósito

Para comprobar la configuración de la política de seguridad de contenido.

Acción

Desde el modo operativo, ingrese el show security utm utm-policy utmp3 comando.

Ejemplo: Configuración de políticas de seguridad de Firewall de Sophos Antivirus

En este ejemplo, se muestra cómo crear una política de seguridad para Sophos antivirus.

Requisitos

Antes de crear la política de seguridad, cree objetos personalizados, el perfil de entidad de Sophos y la política de seguridad de contenido.

  1. Configure los objetos personalizados de seguridad de contenido y las listas MIME. Vea ejemplo: Configuración de objetos personalizados de Sophos Antivirus.

  2. Configure el perfil de la función antivirus de Sophos. Vea el ejemplo: Configurar el perfil de característica de Sophos Antivirus.

  3. Configure una política de seguridad de contenido. Vea ejemplo: Configuración de políticas de seguridad de contenido de Sophos Antivirus.

Visión general

Cree una política de seguridad de firewall que hará que el antivirus de Sophos analice el tráfico desde la zona de no confianza a la zona de confianza mediante la configuración del perfil de entidad definida en el ejemplo: Configuración de Sophos Antivirus Feature Profile. Dado que la configuración de aplicación de coincidencia está establecida en cualquiera, se analizarán todos los tipos de aplicación.

Configuración

Procedimiento

Configuración rápida de GUI
Procedimiento paso a paso

Para configurar una política de seguridad para Sophos antivirus:

  1. Configure la política de no confianza para que coincida con cualquier dirección de origen o destino, y seleccione las aplicaciones que se analizarán anyen .

    Procedimiento paso a paso
    1. Haga clic en la ficha Configurar en la barra de tareas y, a continuación, seleccione Security>Policy>FW Policies. A continuación, seleccione Agregar.

    2. En el cuadro Nombre de política, escriba p3.

    3. En el cuadro Acción de política, seleccione permitir.

    4. En la lista Zona desde, seleccione no confianza.

    5. En la lista Zona a, seleccione confianza.

    6. En los cuadros Dirección de origen y dirección de destino, asegúrese de que Matched esté establecido en cualquiera.

    7. En los cuadros Aplicaciones, seleccione cualquiera de la lista Aplicaciones/Conjuntos y muévalo a la lista Coincidente.

  2. Adjunte la política de seguridad de contenido denominada utmp3 a la política de seguridad del firewall. Esto hará que el tráfico coincidente sea analizado por la función antivirus de Sophos.

    Procedimiento paso a paso
    1. En el cuadro Editar política, haga clic en la ficha Servicios de aplicación.

    2. En la lista Política de seguridad de contenido, seleccione utmp3.

  3. Haga clic en Aceptar para comprobar la configuración y guardarla como configuración candidata.

  4. Si ha terminado de configurar el dispositivo, seleccione Actions>Commit.

Procedimiento paso a paso

Para configurar una política de seguridad para Sophos antivirus:

  1. Configure la política de no confianza para que coincida con cualquier dirección de origen.

  2. Configure la política de no confianza para que coincida con cualquier dirección de destino.

  3. Configure la política de no confianza para que coincida con cualquier tipo de aplicación.

  4. Adjunte la política de seguridad de contenido denominada utmp3 a la política de seguridad del firewall. Esto hará que el tráfico coincidente sea analizado por la función antivirus de Sophos.

Verificación

Para comprobar la configuración, escriba el show security policies comando.

Verificar la configuración de la política de seguridad

Propósito

Para comprobar la configuración de la política de seguridad, escriba el show security policies comando.

Acción

Desde el modo operativo, ingrese el show security policies comando.

Ejemplo: Configurar Sophos Antivirus Live Protection versión 2.0

Utilice este ejemplo de configuración para configurar y comprobar la versión 2.0 de sophos antivirus live protection en su dispositivo. Sophos antivirus es una solución antivirus en la nube. El patrón de virus y la base de datos de malware en los servidores externos que mantienen los servidores de Sophos (Sophos Extensible List) aíslan y protegen su dispositivo. A partir de Junos OS versión 23.1R1, la seguridad de contenido es compatible con la versión 2.0 de Sophos antivirus live protection. La nueva versión del antivirus utiliza el protocolo HTTPS para comunicarse entre el firewall serie SRX y el servidor de Sophos.

Propina:
Tabla 1: Temporizadores estimados

Puntuación de legibilidad

  • Facilidad de lectura flesch: 34

  • Nivel de lectura flesch-Kincaid: 11,9

Tiempo de lectura

Menos de 15 minutos.

Tiempo de configuración

Menos de una hora.

Requisitos previos de ejemplo

Requisitos de hardware Firewall serie SRX y firewall virtual vSRX
Requisitos de software Junos OS versión 23.1R1 o posterior
Requisitos de licencia

Licencia de protección en vivo de Sophos antivirus versión 2.0

Utilice el show system license comando para asegurarse de que tiene instalada una licencia antivirus de Sophos válida en su dispositivo. Cuando caduca la clave de licencia del antivirus, la funcionalidad ya no funcionará porque la base de datos de búsqueda de patrones se encuentra en los servidores remotos de Sophos.

Antes de empezar

Ventajas

El patrón de virus y la base de datos de malware en los servidores externos que mantienen los servidores de Sophos (Sophos Extensible List) aíslan y protegen su dispositivo.

Proporciona una conexión segura basada en HTTPS entre el firewall de la serie SRX y el servidor de Sophos.

Recursos útiles:

Más información

Sophos Antivirus Protection

Experiencia práctica

vLab Sandbox: Zonas / Políticas

Aprende más

Antivirus de seguridad de contenido

Descripción general funcional

La tabla 2 proporciona un resumen rápido de los componentes de configuración implementados en este ejemplo.

Tabla 2: Descripción funcional de Sophos Antivirus

Perfiles

Perfil de iniciación

La configuración del servidor de Sophos en el firewall de la serie SRX incluye el perfil de iniciación SSL (ssl_init_prof).

El perfil de iniciación es obligatorio para permitir que el firewall de la serie SRX inicie una sesión HTTPS con el servidor de Sophos para comprobar los paquetes. El perfil de iniciación SSL también cifra y descifra paquetes hacia y desde el servidor de Sophos.

Perfil de proxy

El perfil de proxy SSL, ssl_pr1, permite que el firewall de la serie SRX descifra los paquetes para un procesamiento adicional del servicio de aplicación cuando el cliente inicia la sesión HTTPS en el servidor Web.

Perfil de la característica

El perfil de la característica , content_security_sav_fpse aplica a la política de seguridad del firewall (p1) mediante diferentes políticas de seguridad de contenido y criterios de coincidencia.

Puede tener más de un perfil de entidad para diferentes políticas de seguridad de contenido.

Políticas

Política de seguridad de contenido

La política de seguridad de contenido, content_security_p1, define los protocolos antivirus (HTTP, FTP, SMTP, POP3 y IMAP) y adjunta esta política a un perfil de característica de seguridad, content_security_sav_fppara implementarla.

Políticas de seguridad

Dos políticas de seguridad (p1 y trust_to_internet) tienen un criterio de coincidencia simple para aplicar al tráfico entre las zonas de seguridad.

Adjuntamos la content_security_p1 política de seguridad de contenido y el ssl_pr1 perfil de proxy a los servicios de aplicación de la p1 política de seguridad.

Zonas de seguridad

trust

Segmento de red en la zona de host (cliente).

untrust

Segmento de red en la zona del servidor de destino (servicio web).

internet

Segmento de red mediante el cual el firewall de la serie SRX interactúa con el servidor de Sophos.

Protocolos

HTTPS

Las sesiones HTTPS se establecen entre el cliente y el servidor web, y el firewall serie SRX y el servidor de Sophos.
Tareas principales de verificación
  • Verifique el tipo de motor de análisis antivirus instalado en su dispositivo.

  • Confirme el funcionamiento del motor antivirus de Sophos.

Descripción general de la topología

En este ejemplo, el cliente inicia una solicitud al servicio Web a través del firewall serie SRX. Cuando el firewall serie SRX recibe la solicitud, se pone en contacto con el servidor de Sophos para comprobar la autenticidad del servicio Web. El antivirus de Sophos versión 2.0 utiliza la conexión HTTPS para la comunicación del firewall serie SRX con el servidor de Sophos. Según la respuesta recibida del servidor de Sophos, el firewall serie SRX permite o bloquea el tráfico según se define en la política de seguridad de contenido.

Función de función de componentes de topología
Cliente Solicitudes de servicio web Inicia la sesión HTTPS con el servidor web mediante el firewall serie SRX.
Firewall serie SRX Firewall de Juniper Network Inicia la sesión HTTPS con el servidor antivirus de Sophos. También cifra y descifra los paquetes para el cliente.
Servidor de Sophos Servidor antivirus Autentica el contenido recibido del firewall serie SRX.
Servidor web Proveedor de servicios web Responde a la solicitud del cliente.

Ilustración de topología

Figura 1: Topología Sophos Antivirus Live Protection Topology de Sophos Antivirus Live Protection

Configuración paso a paso en dispositivos bajo prueba (DUT)

  1. Configure las interfaces del dispositivo.

  2. Habilite Sophos antivirus en el dispositivo. Configure el modo de reenvío y el tipo de tráfico que el antivirus de Sophos debe comprobar.

  3. Defina un perfil de iniciación SSL para agregarlo a la configuración del servidor de Sophos en el firewall serie SRX.

  4. Incluya el perfil de iniciación SSL en la configuración del servidor de Sophos. Esta configuración es obligatoria para permitir que el firewall serie SRX inicie una sesión HTTPS con el servidor de Sophos para comprobar los paquetes. El perfil de iniciación también cifra y descifra paquetes hacia y desde el servidor de Sophos.

  5. Defina un perfil de proxy SSL para aplicar a las políticas de seguridad. El perfil de proxy SLL permite que el firewall de la serie SRX descifra los paquetes para el procesamiento posterior de las aplicaciones.

  6. Defina el perfil de la entidad para indicar el tipo de tráfico que debe comprobar el antivirus de Sophos adjuntando el perfil a las políticas de seguridad de contenido. Puede definir más de un perfil de entidad para diferentes políticas de seguridad de contenido.

  7. Defina zonas de seguridad.

  8. Defina una política de seguridad de contenido y adjunte un perfil de entidad para indicar el tipo de tráfico que debe comprobar el servidor de Sophos.

  9. Defina políticas de seguridad y configure criterios de coincidencia para aplicar al tráfico entre las diferentes zonas de seguridad.

Verificación

Proporcione una lista de comandos show utilizados para verificar la función en este ejemplo.

Tarea de verificación de comandos
muestra el estado antivirus de UTM de seguridad

Muestra el tipo y el estado del antivirus instalado en el dispositivo.

muestra estadísticas antivirus de UTM de seguridad

Muestra las estadísticas de rendimiento del antivirus en su dispositivo.

Verificación de tipo de motor de análisis antivirus

Propósito

Verifique el tipo de motor de análisis antivirus instalado en su dispositivo.

Acción

Desde el modo operativo, ingrese el show security utm anti-virus status para ver el estado del antivirus instalado.

Significado

El resultado de muestra confirma que El antivirus de Sophos está disponible en su dispositivo.

Verificación de rendimiento del motor de análisis antivirus

Propósito

Verifique el rendimiento del motor de análisis antivirus en su dispositivo.

Acción

Desde el show security utm anti-virus statistics modo operativo, ingrese para ver las estadísticas de rendimiento del antivirus en su dispositivo.

Significado

El valor de salida Threat-found de muestra muestra que el antivirus detectó 1 amenaza. Los demás valores estadísticos son seguros.

Apéndice 1: Establecer comandos en todos los dispositivos

Establezca la salida de comandos en todos los dispositivos.

Apéndice 2: Mostrar la salida de la configuración en DUT

Muestra la salida de comandos en el DUT.

Desde el modo de configuración, ingrese los comandos , show interfaces, show security zones, show security policiesy show services ssl para confirmar la show security utmconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Ejemplo: Configurar Sophos Antivirus Scanner con proxy de reenvío SSL

En este ejemplo, se muestra cómo configurar sophos antivirus sobre proxy de reenvío SSL para admitir el tráfico HTTPS que pasa a través de los firewalls de la serie SRX.

Nota:

A partir de Junos OS versión 12.3X48-D25 y Junos OS versión 17.3R1, sophos antivirus sobre proxy de reenvío SSL admite tráfico HTTPS.

Requisitos

Antes de empezar, comprenda las funciones del antivirus de Sophos. Consulte características de Sophos Antivirus.

Visión general

En este ejemplo, configure Sophos antivirus mediante proxy de reenvío SSL para admitir tráfico HTTPS. Se carga el certificado PKI, se genera un certificado de CA autofirmado, se configura una lista de CA de confianza, se configura un perfil de proxy SSL mediante el certificado raíz y se habilita el proxy de reenvío SSL. Para configurar Content Security a través del proxy de reenvío SSL, primero haga coincidir el origen/destino/aplicación, configure el servicio de proxy SSL y realice el análisis para determinar si desea bloquear o permitir las solicitudes.

Nota:

El [edit security utm feature-profile] nivel de jerarquía está en desuso en junos OS versión 18.2R1. Para obtener más información, consulte Descripción general de seguridad de contenido.

Configuración

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el edit modo de configuración.

Procedimiento

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar Sophos Antivirus mediante proxy de reenvío SSL:

  1. Genere un certificado de CA autofirmado en el dispositivo.

  2. Configure una lista de CA de confianza.

  3. Configure un perfil de proxy SSL mediante un certificado raíz.

  4. Habilite el proxy de reenvío SSL.

Resultados

Desde el modo de configuración, ingrese los comandos , show servicesy show security policies para confirmar la show security utmconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar el certificado local de PKI de seguridad

Propósito

Compruebe el certificado local de PKI de seguridad.

Acción

Desde el modo de configuración, ingrese el show security pki local-certificate comando.

Significado

El resultado de ejemplo confirma que el certificado local de PKI ssl-inspect-ca está configurado.

Verificar estadísticas de seguridad antivirus de contenido

Propósito

Verifique las estadísticas del antivirus de seguridad de contenido.

Acción

Desde el modo operativo, ingrese el show security utm anti-virus statistics comando.

Significado

El resultado de ejemplo muestra la lista de estadísticas del antivirus de seguridad de contenido.

Detalles de las estadísticas de seguridad antivirus de verificación de contenido

Propósito

Verifique los detalles de las estadísticas del antivirus de seguridad del contenido.

Acción

Desde el modo operativo, ingrese el show security utm anti-virus statistics detail comando.

Significado

El resultado de ejemplo muestra la lista de detalles de estadísticas del antivirus.

Verificar el estado del antivirus de seguridad de contenido

Propósito

Verificar el estado del antivirus de seguridad de contenido.

Acción

Desde el modo operativo, ingrese el show security utm anti-virus status comando para ver el estado del antivirus.

Significado
  • Fecha de vencimiento de la clave del antivirus: la fecha de vencimiento de la clave de licencia.

  • Servidor de actualización: URL para el servidor de actualización de archivos de datos.

    • Intervalo: es el período de tiempo, en minutos, cuando el dispositivo actualiza el archivo de datos desde el servidor de actualización.

    • Estado de actualización automática:muestra la próxima actualización automática del archivo de datos en cuestión de minutos.

    • Último resultado: resultado de la última actualización de la base de datos.

  • Versión de firma del antivirus: versión del archivo de datos de firma del antivirus actual.

  • Tipo de motor de análisis: el tipo de motor de análisis antivirus que se está ejecutando actualmente.

  • Información del motor de análisis: resultado de la última acción que se produjo con el motor de análisis actual.

Administración de archivos de datos de Sophos Antivirus

Antes de empezar:

  • Instale una licencia antivirus de Sophos. Consulte el Installation and Upgrade Guide.

  • Configure Sophos como la función antivirus para el dispositivo. Vea el ejemplo: Configurar el perfil de característica de Sophos Antivirus. Para establecer el tipo de motor antivirus, ejecute la set security utm feature-profile anti-virus type sophos-engine instrucción.

En este ejemplo, configure el dispositivo de seguridad para que actualice los archivos de datos automáticamente cada 4320 minutos (cada 3 días). El intervalo predeterminado de actualización del archivo de datos es de 1440 minutos (cada 24 horas).

Para actualizar automáticamente los archivos de datos de Sophos:

Nota:

Los siguientes comandos se realizan desde el modo operativo de la CLI.

Para actualizar manualmente los archivos de datos:

Para volver a cargar manualmente archivos de datos:

Para eliminar manualmente archivos de datos:

Para comprobar el estado del antivirus, que también muestra la versión de los archivos de datos:

Para comprobar el estado del servidor proxy:

Tabla de historial de versiones
Lanzamiento
Descripción
23.1R1
A partir de junos OS versión 23.1R1, la seguridad de contenido admite el nuevo antivirus Sophos Live Protection versión 2.0. La nueva versión del antivirus de Sophos utiliza una conexión HTTPS para la comunicación de dispositivo a servidor. Para la conexión HTTPS, debe crear un perfil de iniciación SSL y agregar el perfil a la configuración predeterminada del motor de Sophos.
15.1X49-D100
A partir de Junos OS versión 15.1X49-D100, el tráfico de paso IPv6 para los protocolos HTTP, HTTPS, FTP, SMTP, POP3, IMAP se admite para las características de seguridad de seguridad de Seguridad de contenido, filtrado web y filtrado de contenido de Sophos.
15,1X49-D10
La función antivirus completa basada en archivos no es compatible con Junos OS versión 15.1X49-D10 y Junos OS versión 17.3R1 en adelante.
15,1X49-D10
La función Kaspersky and Express Antivirus no es compatible con Junos OS versión 15.1x49-D10 y Junos OS versión 17.3R1 en adelante.
12,3X48-D35
A partir de Junos OS versión 12.3X48-D35 y Junos OS versión 17.3R1, la transferencia de datos de sesión única del antivirus de Seguridad de Contenido de Sophos (SAV) aumenta para optimizar el reenvío tcp-proxy.
12,3X48-D25
A partir de Junos OS versión 12.3X48-D25 y Junos OS versión 17.3R1, sophos antivirus sobre proxy de reenvío SSL admite tráfico HTTPS.
12,3X48-D25
A partir de Junos OS versión 12.3X48-D25 y Junos OS versión 17.3R1, sophos antivirus sobre proxy de reenvío SSL admite tráfico HTTPS.