【强叔侃墙第二季】04 流量穿墙过,病毒不放行----反病毒特性配置

[复制链接]
发表于 : 2015-8-4 10:02:05 最新回复:2019-08-16 09:32:00
10376 12
强叔侃墙
强叔侃墙 官方号

下面我们进入实战部分,来看几个具体的配置实例。配置之前,必须保证病毒特征库已经成功加载,同时建议将病毒特征库升级至最新的版本。

一 阻断FTP协议传输的病毒文件

如下图所示,NGFW位于FTP客户端和服务器之间,我们在NGFW上配置反病毒功能,对FTP客户端向FTP服务器上传的文件进行病毒检测,发现病毒后及时阻断。

【强叔侃墙第二季】04 流量穿墙过,病毒不放行----反病毒特性配置-1249691-1

 

配置如下反病毒配置文件,指定协议、方向和动作,然后在安全策略中引用该配置文件。

【强叔侃墙第二季】04 流量穿墙过,病毒不放行----反病毒特性配置-1249691-2

 

配置完成后,我们使用EICAR文件模拟病毒文件来验证反病毒功能。EICAR文件是欧洲反计算机病毒协会为测试反病毒功能提供的文件,让用户在不使用真正病毒的情况下来测试反病毒功能。需要注意的是,在验证之前请务必确认当前版本是否支持EICAR文件检测,这里我们使用USG6000 V100R001C30SPC100版本,支持EICAR文件检测。

首先,我们在记事本中输入字符串X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*,另存为eicar.com文件。然后在FTP客户端上向FTP服务器上传eicar.com文件,发现eicar.com文件无法上传,在NGFW上的威胁日志中可以看到eicar.com文件被阻断的日志,符合预期结果。
如果已经明确知道eicar.com文件不是病毒,需要放行处理,此时可以在威胁日志中获取病毒ID(16424404),填写到病毒例外中,如下图所示:

【强叔侃墙第二季】04 流量穿墙过,病毒不放行----反病毒特性配置-1249691-3

 

在FTP客户端上再次执行上传操作,发现可以上传成功,文件没有被阻断,说明病毒例外配置生效。

上述配置的命令行脚本如下:
#
profile type av name profile_av_ftp
 ftp-detect direction upload
 exception av-signature-id 16424404
#
security-policy
 rule name policy_av
  source-zone trust
  destination-zone untrust
  source-address 192.168.0.0 mask 255.255.255.0
  profile av profile_av_ftp
  action permit
#

 

二 阻断SMTP协议传输的病毒文件

如下图所示,NGFW位于邮件客户端和服务器之间。我们在NGFW上配置反病毒功能,对邮件客户端A发送给B的邮件进行病毒检测。如果在邮件附件中发现病毒,允许病毒文件通过,同时在邮件正文中添加发现病毒的提示信息。

【强叔侃墙第二季】04 流量穿墙过,病毒不放行----反病毒特性配置-1249691-4 

 

配置如下反病毒配置文件,指定协议、方向和动作,然后在安全策略中引用该配置文件。

【强叔侃墙第二季】04 流量穿墙过,病毒不放行----反病毒特性配置-1249691-5

 

同时,我们通过设置推送信息来定制个性化的提示信息,该信息将会显示在邮件正文中。

配置完成后,邮件客户端A向B发送一封邮件,邮件的附件为eicar.com文件。B收到邮件时,附件中仍然带有eicar.com文件,但是在邮件正文中会看到如下提示信息:

【强叔侃墙第二季】04 流量穿墙过,病毒不放行----反病毒特性配置-1249691-6

 

上述配置的命令行脚本如下:
#
profile type av name profile_av_smtp
smtp-detect action declare

security-policy
 rule name policy_av 
  source-zone trust
  destination-zone untrust
  source-address 192.168.0.0 mask 255.255.255.0
  profile av profile_av_smtp
  action permit
#

如果邮件客户端B收到一封邮件,正文中有两条提示信息,这是怎么回事呢?很有可能是因为邮件在传输中经过了两台NGFW,这两台NGFW都部署了反病毒特性。比如一台NGFW上配置了针对SMTP协议的宣告动作,另一台NGFW上配置了针对POP3协议的删除附件动作,这样就会在邮件中看到两条提示信息。

三 阻断SMB协议传输的病毒文件

如下图所示,NGFW位于PC和文件服务器之间。我们在NGFW上配置反病毒功能,对PC向文件服务器上传的文件进行病毒检测。

【强叔侃墙第二季】04 流量穿墙过,病毒不放行----反病毒特性配置-1249691-7

 

本示例中,我们同时验证文件最大解压层数对病毒检测的影响。在文件过滤特性的全局参数中设置文件的最大解压层数为3层,超过最大解压层数时的动作为允许通过,如下图所示:

【强叔侃墙第二季】04 流量穿墙过,病毒不放行----反病毒特性配置-1249691-8

 

配置如下反病毒配置文件,指定协议、方向和动作,然后在安全策略中引用该配置文件。

【强叔侃墙第二季】04 流量穿墙过,病毒不放行----反病毒特性配置-1249691-9

 

我们将eicar.com文件压缩4次制作成eicar.zip文件,在PC上将eicar.zip文件拷贝到文件服务器上。发现可以拷贝成功,eicar.zip文件没有被NGFW阻断,说明超过最大解压层数3层时,NGFW允许文件通过。

接下来我们将最大解压层数设置为5层,再次执行拷贝操作,发现无法拷贝,eicar.zip文件被NGFW阻断,说明文件最大解压层数不超过5层时NGFW会对文件进行病毒检测,符合预期结果。

上述配置的命令行脚本如下:
#
 file-detect decompress depth 5
#
profile type av name profile_av_smb
smb-detect direction upload

security-policy
 rule name policy_av
  source-zone trust
  destination-zone untrust
  source-address 192.168.0.0 mask 255.255.255.0
  profile av profile_av_smb
  action permit
#

上面我们使用自制的EICAR文件验证了NGFW对FTP、SMTP和SMB协议的病毒检测功能。如果NGFW能够连接到Internet,我们还可以在内网的PC上直接访问EICAR文件的官方网址http://www.eicar.org/85-0-Download.html,在网页上下载多种格式的EICAR文件,以此来验证NGFW对HTTP协议的病毒检测功能。
至此,NGFW的反病毒特性介绍完毕。希望通过强叔的介绍,能让大家了解反病毒特性的实现原理和配置方法。网络世界江湖险恶,除了病毒之外,还有各式各样的攻击、僵尸木马蠕虫等严重威胁网络安全。常在江湖漂,哪能没几招,NGFW已经做好了充足的准备。下一篇我们介绍入侵防御(IPS)功能,敬请期待。

 

 

返回至汇总贴

本帖被以下专题推荐:

  • x
  • 常规:

点评 回复

跳转到指定楼层
kaixiao
kaixiao   发表于 2015-9-12 18:54:37 已赞(0) 赞(0)

支持!顶强叔!  

  • x
  • 常规:

点评 回复

碧海蓝天
碧海蓝天  导师 发表于 2015-8-4 11:44:49 已赞(0) 赞(0)

学习了,好材料

  • x
  • 常规:

点评 回复

说啥呢
说啥呢   发表于 2015-11-14 13:16:09 已赞(0) 赞(0)

期待墙叔的更多新作品,还有NIP,ASG的希望后续也出来,哈哈!

  • x
  • 常规:

点评 回复

xutong-2014
xutong-2014  新锐 发表于 2015-11-19 17:07:25 已赞(0) 赞(0)

感谢,一直在学习!
  • x
  • 常规:

点评 回复

黄诗海
黄诗海   发表于 2016-4-11 16:25:30 已赞(0) 赞(0)

学习了,收下!

  • x
  • 常规:

点评 回复

li yue
li yue   发表于 2016-4-11 17:07:23 已赞(0) 赞(0)

学习了,谢谢

  • x
  • 常规:

点评 回复

技术强者
技术强者   发表于 2016-4-11 21:40:13 已赞(0) 赞(0)

学习了,非常好
  • x
  • 常规:

点评 回复

fshlxy
fshlxy   发表于 2015-12-3 09:44:41 已赞(0) 赞(0)

嗯,这个感觉不错的说啊!
  • x
  • 常规:

点评 回复

lijian2007
lijian2007   发表于 2017-12-1 17:36:15 已赞(0) 赞(0)

三 阻断SMB协议传输的病毒文件,
文件过滤特性的全局参数中设置文件的最大解压层数为3层,超过最大解压层数时的动作为允许通过 这个界面在防火墙的那个WEB页面下?
  • x
  • 常规:

点评 回复

12
返回列表
发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录