Antivirus trafik - web

Untuk kemudahan administrasi, pengaturan kinerja optimal untuk modul anti-virus dan pengaturan pemfilteran anti-virus telah dikonfigurasi sebelumnya di produk dan tidak memerlukan konfigurasi manual. Jika perlu, pengaturan dioptimalkan dalam pembaruan versi TKMTRM NGFW.

Dalam pengaturan, Anda dapat memilih antara modul pemfilteran anti-virus ClamAV (antivirus OpenSource) atau antivirus dari Kaspersky Lab (dilisensikan secara terpisah dan mungkin tidak tersedia berdasarkan ketentuan lisensi).

Modul antivirus dikaitkan dengan server proxy dan filter konten, sehingga memfilter lalu lintas web ketika kondisi berikut terpenuhi:

  • Sumber daya web tidak ada dalam daftar pengecualian server proksi tujuan;

  • Pengguna yang menerima lalu lintas tidak termasuk dalam pengecualian proksi berdasarkan sumber;

  • Situs HTTPS diperiksa hanya jika lalu lintas HTTPS didekripsi oleh filter konten.

Lisensi Anti-Virus Kaspersky

Modul dalam produk kami ini didasarkan pada Kaspersky Anti-Virus Software Development Kit dan dilisensikan bersama dengan perusahaan TKMTRM NGFW TKMTRM.

Kunci perusahaan untuk produk Kaspersky Lab lainnya tidak dapat digunakan untuk mengaktifkannya.

Menambahkan tanda tangan ke daftar pengecualian ClamAV

Anda dapat melihat log CalmAV dan menentukan tanda tangan yang dipicu dengan memasukkan perintah di terminal TKMTRM NGFW:

journalctl -u ideco-clamd.service

Contoh keluaran perintah:

Dec 20 13:40:40.083733 info clamd[12443]: /tmp/CI_TMP_1qlsy5: Html.Exploit.CVE_2016_0228-6327291-2(00000000000000000000000000000000:888502) FOUND Dec 20 13:40:40.083750 info clamd[12443]: /tmp/CI_TMP_1qlsy5: Html.Exploit.CVE_2016_0228-6327291-2 FOUND

Dec 20 14:11:24.375281 info clamd[12443]: /tmp/CI_TMP_DPpHnS: Win.Trojan.LOLBins-7360503-2(00000000000000000000000000000000:388262) FOUND Dec 20 14:11:24.375293 info clamd[12443]: /tmp/CI_TMP_DPpHnS: Win.Trojan.LOLBins-7360503-2 FOUND

Dec 20 15:28:11.031128 info clamd[5165]: /tmp/CI_TMP_g7aPdY: Html.Exploit.CVE_2017_0011-5752098-0(00000000000000000000000000000000:354192) FOUND Dec 20 15:28:11.031144 info clamd[5165]: /tmp/CI_TMP_g7aPdY: Html.Exploit.CVE_2017_0011-5752098-0 FOUND

Katakanlah pada pukul 13:40 sebuah situs web dibuka dan terjadi positif palsu ClamAV. Berdasarkan log, Anda perlu menambahkan tanda tangan ke pengecualian Html.Exploit.CVE_2016_0228-6327291-2.

Selanjutnya buat file daftar putih whitelist.ign2, dengan memasukkan perintah berikut:

touch /var/cache/ideco/av-backend/clamav_bases/whitelist.ign2

Tambahkan teks berikut ke file yang dibuat (jangan lupa ganti tanda tangan dari perintah di bawah ini dengan yang ingin Anda tambahkan):

echo 'Html.Exploit.CVE_2016_0228-6327291-2' >> /var/cache/ideco/av-backend/clamav_bases/whitelist.ign2

Nyalakan ulang untuk menerapkan perubahan ideco-clamd.service.

systemctl restart ideco-clamd.service
PreviousBatas kecepatanNextPencegahan instrusi

Last updated