FortiGate防病毒功能设置
1. 病毒库简介
病毒按照是否活跃可以分为2大类,一类是目前已经处于非活跃状态,另一类就是目前还是主语活跃的状态,这2类病毒比率如下图所示:
(点击放大)
2.FortiGate上面的病毒功能
2.1 FortiGate支持病毒扫描的协议
2.1.1 IMAP
- FETCH
2.1.2 HTTP
- GET
- POST
2.1.3 FTP
- RETR
- PUT
2.1.4 SMTP
- BDAT (not multiple chunks)
- DATA
2.1.5 POP3
- RETR
2.2 FortiGate支持的病毒库介绍
2.2.1 FortiGate 3.0 MR6之前的版本
所有FortiGate 3.0 MR6之前的版本都只支持WildList病毒库的检查,病毒库大小大概是15000条左右。
2.2.2 FortiGate 3.0 MR6之后的版本包括MR6
为了提供FortiGate产品的杀毒能力,从FortiGate 3.0 MR6之后的版本包括MR6病毒库里面的特征码数量大幅增加,病毒库被分为如下2类:
- 基本库,包含15K+ 特征
- 扩展库,包含160K+(低端)- 210K+(高端)特征
所有的病毒库都存储在FortiGate设备里面。另外,FortiClient和FortiMail支持的特征库包含280K+ 个病毒特征码。
2.2.3 MR6后FortiGate产品Flash分区变化
在新的分区方案下,更新firmware时AV/IPS特征库不会更新,因为它们被放在单独的分区。
2.2.3.1 老型号的FortiGate硬件分区没有变化
分区格式如下:
(点击放大)
2.2.3.2 中高端产品(新型号)
包括如下型号:
- FGT 1000A, FGT 1000A FA2, FGT 1000A-LENC
- FGT 3016B
- FGT 3600A
- FGT 3810A
- FGT 5005FA2,FGT5001A
分区格式如下:
(点击放大)
2.2.3.3 低端产品(新型号)
包括如下型号:
- FGT 50B, FWF 50B
- FGT 60 B, FWF 60B
分区格式如下:
(点击放大)
2.2.3.4 对应的防火墙保护内容表防病毒功能配置变化
在新的FortiGate硬件设备升级到MR6版本之后,对应的防火墙保护内容表里面防病毒功能里面增加了一个配置:AV数据库扩展,如下图所示:
(点击放大)
2.2.4 升级到MR6后FortiGate防病毒功能变化总结
- 老型号硬件仍然跟以前相同(没有扩展库)
- 新型号由于具有更大的CF卡而可以使用扩展库
- 2种不同的级别,具有不同数量的病毒特征:
- 中高端 (128 MB of Compact Flash) – 目前210K+
- 低端 (64 MB of Compact Flash) – 目前160K+
2.3 FortiGate防病毒功能设置优化
2.3.1 概述
2.3.1.1只检测需要的协议
- 如果你邮件服务器安装了AV模块或者FortiMail,就不要扫描SMTP/POP3/IMAP.
2.3.1.2 缩小扫描文件大小的******值
- 病毒一般都以小文件为载体传播
- 可以进入防火墙保护内容表病毒扫描部分,修改文件/电子邮件超过规定大小阀值,最小值可以设置为:1M。
2.3.1.3 使用防火墙HA A-A可以大幅提高扫毒性能
使用多个防火墙并采用A-A模式部署可以大幅提供扫描病毒性能。
2.3.1.4 提高Internet访问的安全性
- 可以启用灰件扫描
- 启用病毒扩展库(MR6)
- 在命令行打开启发扫描功能
2.3.1.5 可以启用文件名后缀/文件类型(MR6)过滤功能,带来的好处如下:
- 大大提高AV扫描性能
- 大大提高对知识产权的保护
2.3.1.6 谨慎使用隔离文件功能
- 如果无人关心,就不要启用隔离文件功能
2.3.1.7 当设备性能不够时
- A、当Proxy session数不够时(系统状态里面提示防火墙已达到******连接数),可以登陆到命令行下面,执行如下命令优化:
- config system global
- set av-failopen-session enable
- set av-failopen idledrop
- end
同时可以减小相应的防病毒协议的会话超时时间,也需要登陆到命令行下面,执行如下命令:
- config system session-ttl
- config port
- edit ‘端口号’
- set timeout ‘超时时间(秒)’
- end
- end
- B、当内存容量不够时,可以登陆到命令行下面,执行如下命令优化:
- config system global
- set av-failopen pass
- end
注意:在内存耗用较大的环境使用时,当空闲内存小于系统总内存的20%时,防火墙将不再扫描病毒;当空闲内存大于系统总内存的30%时,防火墙恢复扫描病毒。
- C、可以登陆到命令行下面,执行如下命令优化
- config system global
- set optimize antivirus
- end
这样可以提高AV扫描性能,但只有FG1000A及以上型号支持此功能。
2.3.2 FTP协议病毒扫描
2.3.2.1 用户舒适(时间间隔和数量)
在启用防病毒功能之后,FortiGate防火墙实际上扮演着客户端和服务器端的透明代理的功能,所有的客户端下载文件都要在FortiGate防火墙上缓存、扫描确认没有病毒之后才能转发给客户端,实际上在FortiGate缓存客户端下载的文件的时候是没有任何报文从FortiGate返回给客户端的,这种情况下如果下载文件相对较大而且客户端到服务器端的网络速度相对较慢的化就容易出现客户端超时问题。用户舒适功能主要目的就是为了解决这样一个问题而开发的,启用这个功能之后,FortiGate会按照配置的时间间隔和数量(又叫文件大小)定期把从服务器缓存下来的数据发送给客户端以保证客户端不会超时连接。用户可以根据自己的需求配置这个功能,此功能适用于FTP下载。下图显示了启用这个功能后客户端抓包的结果,可以看到,客户端每10秒左右会收到防火墙模拟服务器端发过来的FTP数据包:
(点击放大)
2.3.2.2 splice
和用户舒适功能类似,splice功能实际上可以理解为反向的用户舒适,也就是对服务器端超时问题的解决办法,启用splice功能之后,FortiGate会把从客户端缓存的数据同时转发给服务器端直到最后一个数据包前,这样FortiGate可以保证服务器端不会由于防火墙代理而发生超时问题,同时由于最后一个数据包是需要FortiGate扫描病毒之后才能进行,这样也保证客户端发向服务器端的数据同样没有病毒风险,带来的负面问题是当传送的文件是带毒文件的话,由于文件同时已经转发给服务器端了,这样就增加了服务器资源浪费和FortiGate到服务器端的带宽浪费。此功能适用于FTP上传功能。
下图显示FortiGate启用splice功能之后防火墙数据转发流程:
(点击放大)
下图显示FortiGate没有启用splice功能之后防火墙数据转发流程:
(点击放大)
2.3.2.3 文件压缩
可以配置FTP协议压缩层数和压缩文件大小,具体如下命令:
config antivirus service "ftp"
set scan-bzip2 disable
set uncompnestlimit 12 ――――――设置压缩文件最多12层压缩
set uncompsizelimit 10 ――――――设置压缩文件大小******10M
end
2.3.2.4 断点续传
启用了杀毒功能之后不支持断点续传。
2.3.2.5文件大小对病毒过虑功能的影响
小于阈值,进行缓冲和扫描
大于阈值,不进行缓冲和扫描
2.3.3 HTTP协议病毒扫描
2.3.3.1 文件大小对病毒过虑功能的影响
小于阈值,进行缓冲和扫描
大于阈值,不进行缓冲和扫描
对应的debug命令:
diag debug enable
diag debug app http 3
<000.000000> [162]: 192.168.6.4:2420 --> 65.39.139.196:80: [SVRRDRDY ] Event - SCAN_CHECK_EVENT
<000.000000> [162]: 192.168.6.4:2420 --> 65.39.139.196:80: [SVRRDRDY ] CHECK_SCANUNIT_STATE
<000.000000> [162]: 192.168.6.4:2420 --> 65.39.139.196:80: [SCAN ] Event - BUFFER_EVENT
<000.000000> [162]: 192.168.6.4:2420 --> 65.39.139.196:80: [SCAN ] HTTP_RESPONSE_BUFFER_STATE
2.3.3.2用户舒适(时间间隔和数量)
和FTP协议的用户舒适功能类似,启用此功能后在客户端抓包的过程如下:
(点击放大)
2.3.3 其它可以支持病毒扫描功能的协议
FortiGate防火墙同时支持其它几个协议的病毒扫描功能,有IMAP、POP3、SMTP、IM和NNTP,这几个协议同样可以支持病毒扩展库、文件类型和名称过虑、文件大小和splice功能,级别原理和FTP、HTTP协议类似,这里就不再累述。