OPNsense用户手册-反病毒引擎
使用OPNsense插件设置防病毒保护
OPNsense可以利用其高度灵活的代理和行业标准ICAP提供http和https保护。来自其中一个已知供应商的外部引擎用于提供针对恶意软件的最大保护,例如勒索软件,特洛伊***和病毒。内置的***防御系统和基于类别的Web过滤可以进一步增强这种保护。
本方法将使用插件C-ICAP和ClamAV。
注意:反病毒引擎可以保护您免受恶意网站和受感染文件的下载,它不会保护本地客户端。因此,安装基于客户端的解决方案始终是一个好主意,以防止其他形式的感染,例如通过电子邮件或u盘,如果他们没有被检查的话。
第1步 - 设置代理
首先使用基本配置设置代理,请参阅设置高速缓存代理。
第2步 - 设置透明模式
要设置透明模式,请参阅:安装透明代理。
第3步 - 安装和配置ClamAV和C-ICAP插件
注意:使用c-icap和ClamAV的默认值。请记住,修改可能会影响安全性或防火墙性能。如果您不知道某个设置如何影响您的网络,则应将其保持为默认值。
ClamAV
防火墙至少需要1.5 GB 内存。建议使用至少2 GB 内存。
警告:有一些技术可以避免使用AV软件进行检测和扫描,而AV产品并不知道每种恶意软件。基于签名的AV软件可以降低被已知恶意软件***的风险,但它绝不能保证您的计算机不会受到感染。教会用户如何处理从互联网下载文件和确保不信任的设备安全更重要。还要计划定期备份重要文件,确保正确使用ACL并尽快应用补丁,以尽可能减少***面和损失。
注意:要使ClamAV正常工作,您需要下载签名。如果这些文件存储在内存磁盘上,则需要在重新引导后再获取这些文件。
1.安装
首先,您必须从插件视图安装ClamAV插件(os-clamav)。
页面重新加载后,您将获得ClamAV服务下的新菜单条目。选择它,您将进入以下页面:
2.配置选项
启用clamd服务: 选中此复选框可启用clamd,以便您可以使用它来扫描文件。 启用freshclam服务: Freshclam是一项更新恶意软件签名的服务。如果您使用ClamAV,建议定期更新签名。 启用TCP端口: 如果要通过网络使用clamd或使用TCP连接本地服务,则需要选中此复选框。 最大运行线程数: 线程限制用于避免守护程序和计算机的拒绝服务。通常,下一个或等于核心数量的数字将是好的。 最大排队项目数: 这是可以排队等待扫描的文件的最大值。原因与线程相同。 空闲超时: 如果连接在这段时间内处于非活动状态,则会断开连接。如果另一个套接字端点是一台机器,则该值可能很低,但如果您计划将其用于开发原因,则可以将其设置为更高的值。 最大目录递归: 限制目录树的深度。在最坏的情况下,有一个循环导致扫描无休止地运行,此设置应该阻止它。 按照目录符号链接: 如果选中此选项,clamav将遵循目录符号链接,这可能会导致循环。如果要设置此项,请确保将递归限制设置为有用的值。 遵循常规文件符号链接: 如果选中此选项,clamav将遵循符号链接到常规文件。这可能会暴露有关文件系统的信息,用户无权访问。 禁用缓存: 如果选中此选项,则不会缓存结果。这仅适用于开发环境,因为它会缩短响应时间。 扫描可移植的执行文件 如果要扫描PE文件,请选中此框。如果您在网络中使用PE文件(* .exe,* .dll等)文件,建议选中此框。 扫描可执行和链接格式: 如果要扫描ELF文件,请选中此框。例如,ELF用于基于Linux的操作系统和* BSD。 检测损坏的可执行文件: 如果该可执行文件与规范不匹配,则此设置将标记为可执行文件。由于下载问题或操作,可执行文件可能会被破坏。无论如何,传送破坏的可执行文件不应该有任何合法的情况。 扫描OLE2: 如果选中此选项,将分析OLE2文件(例如Microsoft Office文件)。应该分析这些文件,因为它们可能包含用于下载和安装恶意软件(通常是勒索软件)的宏。 OLE2阻止宏: 如果应阻止包含宏的文档,请选中此框。如果您不使用宏,并且您不希望商业伙伴或朋友使用宏,则建议使用此设置。 扫描PDF文件: 如果选中此复选框,将扫描PDF文件。PDF文件可以携带其他文件或多媒体以及javascript和字体。建议扫描PDF文件。 扫描SWF: 如果选中此框,则会扫描Flash文件。Flash用于提供视频播放器或交互式内容。现在它应该被HTML5取代。 扫描XMLDOCS: 扫描XML文档 扫描HWP3: HWP似乎是一种韩国文档格式。如果不使用它们,最好在代理中阻止它们而不是扫描它们。如果您正在使用它们,则应扫描它们。 解码邮件文件: 如果选择此选项,将会读取电子邮件的各个部分,因此可以扫描电子邮件附件。邮件附件对于扫描很重要,因为附件可能包含恶意软件。例如,某些恶意软件广告系列使用的JScript文件已打包在附加到电子邮件的ZIP文件中。 扫描HTML: 扫描可能包含危险的嵌入式JavaScript的HTML文件。 扫描档案: 扫描档案中的文件。这非常重要,因为档案可能包含恶意软件。请注意,归档嵌套用于绕过扫描,因此扫描程序会在特定的递归级别检测到此类归档是危险的。 阻止加密存档: 加密存档通常用于传输加密的文件,这些文件本身不支持加密,或者发件人不知道如何加密这些文件。像7z这样的工具可以从文件创建者给出的密码中导出密钥,该密码将用于加密压缩数据。ClamAV无法扫描此数据,因为它缺少密钥/密码。一些恶意软件作者使用加密存档来避免扫描,并在电子邮件文本中告诉受害者如何解压缩它。 C-ICAP
首先,您必须从插件视图安装c-icap插件(os-cicap)。
页面重新加载后,您将在C-ICAP服务下获得一个新的菜单项。选择它,您将进入以下页面:
1.常规设置
Enable c-icap service:启用C-ICAP服务以处理ICAP请求。
Timeout: 套接字关闭的时间。
Max keepalive timeout:如果套接字保持不活动状态,则关闭套接字的时间。
Start servers:: 将生成的服务器进程的计数。
Max servers: 限制进程数
Listen address: 服务器应绑定的地址。该地址通常是环回地址(对于IPV6为:: 1或对于IPV4为127.0.0.1)。默认值为:: 1。
Server admin: 此字段应设置为电子邮件地址,该电子邮件地址充当与服务器有问题的用户的联系人。
Servername: 如果要覆盖服务器名称(显示在错误页面上),可以在此处输入。
2.防病毒
Enable ClamAV:启用反病毒扫描插件
Scan for filetypes:应分析的文件类型。您应该扫描尽可能多的文件类型,但请记住,扫描需要必须拥有的资源。
Send percentage data:应包含在预览中的原始文件的数据量。更多数据将具有更好的扫描结果,并且更好的安全性,而较低的值可以提高性能。
Allow 204 response:204响应具有以下优点:不必再次通过线路发送数据。在预览的情况下,将不再向ICAP服务器发送数据,并且数据将被转发到客户端。如果ICAP服务器已收到所有数据,则无需发回数据。请注意,ICAP客户端必须支持204响应。
Pass on error: 如果扫描失败,则可以传递文件。这样安全性较低,但在发生故障时可以保持业务正常运行。请记住,这可能会使您的网络面临风险。
第4步 - 配置
要配置ICAP转到 Services->Proxy->Administration,选择“Forward Proxy”选项卡上的“ICAP Settings”。
选择启用ICAP并填写请求和响应URL。对于C-ICAP插件,默认URL将是:
请求修改URL | icap://[::1]:1344/avscan |
响应修改URL | icap://[::1]:1344/avscan |
现在点击应用(Apply)
第4步 - 使用EICAR进行测试
要测试引擎是否正常运行,请访问此页面,您将找到几个可以测试的文件。
首先测试http协议版本,如果你还配置透明的ssl代理模式,那么它也适用于https版本。
警告:您自行承担下载这些文件的风险!
如果一切顺利,您应该在浏览器中看到与此类似的内容:
完成!
转载于:https://blog.51cto.com/fxn2025/2307423
OPNsense用户手册-反病毒引擎相关推荐
- 反病毒引擎设计全解(二)
1.绪 论 本论文研究的主要内容正如其题目所示是设计并编写一个先进的反病毒引擎.首先需要对这"先进"二字做一个解释,何为"先进"?众所周知,传统的反病毒软件使用 ...
- 一种绕开反病毒引擎的方法
前段时间,我整出了一个 无需Root也能使用Xposed 的方法,简单来说,就是通过 双开技术(VirtualApp)结合本进程内的Java Method Hook(epic)实现加载Xposed模块 ...
- 反病毒引擎设计之虚拟机查毒篇
<script type="text/javascript">function StorePage(){d=document;t=d.selection?(d.sele ...
- 腾讯安全发布首部AI反病毒引擎白皮书 :TRP-AI引擎打破传统反病毒困局
作为对抗网络病毒的核心技术,反病毒引擎的迭代升级一直备受行业关注,如何显著提升反病毒引擎的拦截效率也成为所有安全厂商不停探索的问题.昨天(2月8日),基于腾讯安全联合实验室旗下反诈骗实验室的研究,腾讯 ...
- 恶意软件逃避反病毒引擎的几个新方法
本文讲的是恶意软件逃避反病毒引擎的几个新方法,火眼研究人员发现的几种恶意软件样本使用了一些耐人寻味的技术,能够更长久地维持对反病毒引擎的隐身状态. 火眼公司刚刚发布了一个新的威胁分析专题,名为&quo ...
- 反病毒引擎设计全解(三)
2.虚拟机查毒 2.1虚拟机概论 近些年,虚拟机,在反病毒界也被称为通用解密器,已经成为反病毒软件中最引人注目的部分,尽管反病毒者对于它的运用还远没有达到一个完美的程度,但虚拟机以其诸如"病 ...
- 反病毒引擎设计(二):虚拟机查毒
2.虚拟机查毒 2.1虚拟机概论 近些年,虚拟机,在反病毒界也被称为通用解密器,已经成为反病毒软件中最引人注目的部分,尽管反病毒者对于它的运用还远没有达到一个完美的程度,但虚拟机以其诸如"病 ...
- 反病毒引擎设计全解(四)
3.病毒实时监控 3.1实时监控概论 实时监控技术其实并非什么新技术,早在DOS编程时代就有之.只不过那时人们没有给这项技术冠以这样专业的名字而已.早期在各大专院校机房中普遍使用的硬盘写保护软件正是利 ...
- 反病毒引擎设计全解(一)
本文将对当今先进的病毒/反病毒技术做全面而细致的介绍,重点当然放在了反病毒上,特别是虚拟机和实时监控技术.文中首先介绍几种当今较为流行的病毒技术,包括获取系统核心态特权级,驻留,截获系统操作,变形和加 ...
- OPNsense用户手册-多WAN设置
多WAN场景通常用于故障转移或负载平衡,但OPNsense也可以进行组合. WAN故障转移 如果主ISP的连接丢失(或高延迟),WAN故障转移会自动在多个WAN连接之间切换.只要连接不好,所有流量都将 ...
最新文章
- Eclipse launch failed.Binary not found解决方案
- StyleCop(C#代码规范分析工具)---2.常用规则介绍(一)
- [编写高质量代码:改善java程序的151个建议]建议57 推荐在复杂字符串操作中使用正则表达式...
- 最新开源JavaScript 图表库 ECharts推荐
- Zookeeper_安全认证讲解
- 敏捷软件开发宣言ndash;Manifesto for Agile Software Development
- (篇十)用结构体数组处理学生成绩、结构体类型函数求平均值
- 先序、中序和后序数组两两结合重构二叉树 -- 图解
- VMware上Ubuntu联网(NAT方式)
- 计算机网络hdcp是什么意思,HDCP技术_百科..doc
- 10步(**10 step**)天才思维模型
- 如何通过Python发送邮件实现自动化测试报告?
- 钢铁侠是如何练成的(一)
- 逻辑机房(LDC)是什么
- Bootstrap排版之标题
- debian修改字体
- 讲台英语怎么读计算机,一种计算机教学讲台的制作方法
- vmware tool下载安装
- 树莓派开机发ip到邮箱
- 微信小程序内,生成自定义二维码