Màn hình giám sát bảo vệ virus của FortiGate về các thông tin đ−ợc tìm thấy trong trang web (giao thức HTTP) và nội dung của email (các giao thức SMTP, POP3, và IMAP) khi nó đi qua FortiGate. Nội dung có thể chứa trong luồng thông tin chuyển qua mạng bình th−ờng thì đ−ợc phép chuyển qua giữa giao diện giám sát FortiGate cũng nh− qua mạng riêng ảo IPSec VPN.
Màn hình giám sát bảo vệ virus chứa nội dung của luồng thông tin đi qua mạng cho những kiểu tập tin đích có thể chứa đựng những virus sau :
• Những tập tin thực thi ( exe, bat, và com) • Những tập tin visual basic (vbs)
• Những tập tin nén ( zip, gzip, tar, hta, và rar) • Những tập tin bảo vệ màn hình (scr)
• Những th− viện động (dll)
• Những tập tin MS Office chứa macro Ta có thể cấu hình bảo vệ virus : • Ngăn chặn các tập tin đích
FortiGate loại bỏ những tập tin đích và những tập tin đính kèm có thể chứa virus trong các giao thức của các luồng dữ liệu. Ta có thể cấu hình bảo vệ virus để loại bỏ tất cả các tập tin đích hoặc có thể chọn chọn kiểu tập tin cần loại bỏ. Ta cũng có thể cấu hình bảo vệ virus để loại bỏ kiểu tập tin đích khác nhau từ mỗi giao thức . Ngăn chặn những tập tin đích để loại bỏ tất cả những nội dung có sự đe dọa tiềm ẩn và cung cấp sự bảo vệ tốt nhất đối với sự hoạt động của virus tấn công máy tính. Ngăn chặn những tập tin đích cũng là sự bảo vệ duy nhất đối với 1 virus mới mà việc quét để bảo vệ virus không có hiệu quả
• Quét virus cho tất cả các tập tin
Thực hiện việc quét các đoạn mã định nghĩa virus và các virus macro trên tất cả các tập tin đích . Nếu một virus đ−ợc tìm thấy trong một tập tin, thì việc quét virus sẽ xóa tập tin và thay thế nó bằng một thông báo báo động tới cho ng−ời sử dụng. Nếu không tìm thấy virus thì tập tin đ−ợc chuyển tới cho ng−ời sử dụng. Việc quét virus ngăn chặn những virus đi qua qua FortiGate và không ảnh h−ởng đến các virus đ−ợc tải xuống từ các trang web (HTTP) và các tập tin đính kèm theo email.
Trong mỗi giao thức , ta có thể cấu hình riêng rẽ cho việc bảo vệ virus khi những luồng dữ liệu khác nhau đi qua FortiGate. Ta có thể cấu hình FortiGate để quét virus và sâu bọ cho tất cả các email từ Internet tr−ớc khi nhận về mạng nội bộ.
Ch−ơng này mô tả :
• Cấu hình bảo vệ chống virus • Bảo vệ đối với sâu bọ
• Những thông báo chống virus tuỳ chọn • Cập nhật cơ sở dữ liệu chống virus • Hiển thị danh sách virus và sâu bọ
Cấu hình bảo vệ chống virus
Để bắt đầu cấu hình bảo vệ chống virus :
• Chọn giao thức (HTTP, SMTP, POP3 hoặc IMAP) • Chọn kiểu kết nối để cấu hình cho giao thức đó Mỗi kiểu kết nối ta có thể chọn để bảo vệ : • Bức t−ờng lửa (firewall)
• Mạng riêng ảo IPSec VPN
Mỗi giao thức và kiểu kết nối ta có thể bật chế độ quét virus hoặc cấu hình ngăn chặn tập tin. Phần này mô tả :
• Những kiểu kết nối chống virus • Cấu hình bảo vệ virus
Những kiểu kết nối chống virus
Ta có thể cấu hình bảo vệ virus riêng rẽ cho 2 luồng l−u thông trên mạng. 2 luồng l−u thông này t−ơng ứng với 2 chính sách firewall.
Bảng 16 : kết nối bảo vệ virus
Kiểu kết nối Mô tả
Int to Ext Bảo vệ những ng−ời dùng và các server của mạng bên trong từ việc tải virus trên mạng Internet xuống :
• Cấu hình Int to Ext HTTP bảo vệ virus để ngăn chặn những ng−ời dùng ở mạng bên trong tải virus từ những trang web xuống
• Cấu hình Int to Ext SMTP bảo vệ virus để ngăn chặn Server mail SMTP ở mạng bên trong nhận email có chứa các virus
• Cấu hình Int to Ext POP3 and IMAP bảo vệ virus ngăn chặn ng−ời dùng nhận email có chứa virus khi họ tải email qua giao thức POP3 và IMAP từ account của họ
Ext to Int Bảo vệ những ng−ời dùng và các server trên Internet từ việc tải virus nằm bên trong mạng nội bộ :
• Cấu hình Ext to Int HTTP bảo vệ virus nếu ta có 1 web server ở mạng bên trong mà có thể truy cập từ Internet, ngăn chặn webserver này phát tán virus đến những ng−ời dùng trên Internet
• Cấu hình Ext to Int SMTP bảo vệ virus nếu ta có 1 server SMTP ở mạng bên trong mà có thể truy cập từ Internet bởi các server SMTP khác
• Cấu hình Ext to Int POP3 và IMAP bảo vệ virus nếu ta có 1 server POP3 và IMAP ở mạng bên trong mà có thể truy cập bởi ng−ời dùng trên Internet, ngăn chặn những server này phát tán virus đến ng−ời dùng thông qua truy cập từ xa POP3 hoặc IMAP
Cấu hình bảo vệ virus
1 Đi tới Anti-virus.
2 Chọn một giao thức (HTTP, SMTP, POP3, hoặc IMAP) mà cấu hình bảo vệ virus . 3 Chọn một kiểu kết nối.
Enable Firewall Protection Enable IPSEC Protection Settings Scan Block Detail
Cho firewall hoạt động bảo vệ virus phù hợp với kiểu kết nối mà ta đã cấu hình
Cho mạng riêng ảo IPSec VPN hoạt động bảo vệ virus phù hợp với việc chọn quét hoặc ngăn chặn . FortiGate bảo vệ virus rút trích ra những tập tin từ luồng dữ liệu và quét virus cho chúng :
• Những tập tin thực thi ( exe, bat, và com) • Những tập tin visual basic (vbs)
• Những tập tin nén ( zip, gzip, tar, hta, và rar) • Những tập tin bảo vệ màn hình (scr)
• Những th− viện động (dll)
• Những tập tin MS Office chứa macro
Nếu trong khi quét tìm thấy 1 virus, thì tập tin sẽ bị xoá từ luồng dữ liệu và đ−ợc thay thế bằng 1 thông báo cho ng−ời dùng rằng đã tìm thấy 1 virus và tập tin đã bị xoá.
Ngăn chặn việc xoá các tập tin đích từ luồng dữ liệu. Bởi vì mặc định sẽ xoá tất cả các tập tin đích. Cấu hình ngăn chặn tập tin trong phần chọn Detail.
Chọn Detail để cấu hình cho kiểu tập tin ngăn chặn, ta có thể ngăn chặn bất kỳ tập tin nào.
5 Chọn OK để l−u lại những sự thay đổi.
Hình 40 : cấu hình antivirus
Hinh trang 100
Bảo vệ đối với sâu bọ
Khi cấu hình cho việc bảo vệ đối với sâu bọ , quét virus kiểm tra những yêu cầu HTTP bởi việc quét các trang web cho việc nhận biết những mẫu sâu bọ. Ví dụ, Code Red tấn công vào hệ thống thông tin MS IIS của Server làm tràn bộ nhớ đệm trong Server.
Quét các sâu bọ đính kèm theo email cho các giao thức SMTP, POP3, quét virus tìm kiếm những tên tập tin đ−ợc sử dụng bởi sâu bọ. Ví dụ, sâu Nimda sử dụng tập tin có tên readme.exe và sample.exe. Để cấu hình bảo vệ sâu bọ , chọn kiểu kết nối và sau đó bật chế độ bảo vệ đối với sâu bọ. Ta có thể bật chế độ bảo vệ đối với sâu bọ cho 2 kiểu kết nối mà t−ơng ứng với 2 kiểu chính sách firewall.
Bảng 17 : Cấu hình bảo vệ sâu bọ
Từ Đến Mô tả
Internal External Bảo vệ những ng−ời dùng (Client) và các Server ở mạng bên trong (mạng nội bộ) từ việc tải xuống các sâu bọ từ Internet.
việc tải xuống những sâu bọ từ bên trong mạng nội bộ . 1 Đi tới Anti - Virus > Config > Worm Protection.
2 Chọn tình trạng bảo vệ cho mỗi kiểu kết nối và bật chế độ bảo vệ sâu bọ cho kết nối đó. Những thông báo chống virus tuỳ chọn.
Sử dụng những thủ tục sau để làm những thông báo tuỳ chọn xuất hiện khi FortiGate bảo vệ chống lại virus loại bỏ một tập tin từ một luồng giao thức .
• Những thông báo tuỳ chọn thêm vào email
• Những thông báo tuỳ chọn thêm vào những trang web
Những thông báo tuỳ chọn thêm vào email
1 Đi tới Anti - Virus > Config > Message.
2 D−ới email, chọn Block Message để làm thông báo tùy chọn sẽ xuất hiện khi một tập tin bị xóa từ một email.
Ta có thể thay đổi thông báo theo yêu cầu. Những thông báo có thể ở trong văn bản đ−ợc mã hoá hoặc bao gồm đoạn code html . Bao gồm %% File %% trong thông báo bao gồm tên của tập tin đã bị xóa. 3 Chọn OK để l−u lại những sự thay đổi .
4 D−ới email, chọn Infected Message để làm thông báo tùy chọn mà sẽ xuất hiện khi quét virus phát hiện ra một virus trong một tập tin chứa trong một email và xóa tập tin từ thông báo email.
Ta có thể thay đổi thông báo theo yêu cầu. Những thông báo có thể ở trong văn bản đ−ợc mã hoá hoặc bao gồm đoạn code html. Bao gồm %% File %% trong thông báo bao gồm tên của tập tin đã bị xóa. %% virus %% trong thông báo bao gồm tên của virus đ−ợc tìm thấy đang lây nhiễm trong tập tin. 5 Chọn OK để l−u lại những sự thay đổi.
Hình 41 : thông báo ngăn chặn email mặc định
Hình trang 101
Những thông báo tuỳ chọn thêm vào những trang web
1 Đi tới Anti-virus > Config >Message.
2 D−ới HTTP, chọn Block Message để làm thông báo tùy chọn sẽ xuất hiện khi xóa một tập tin mà một ng−ời dùng đã tải xuống từ một trang web.
Ta có thể thay đổi thông báo theo yêu cầu. Những thông báo có thể ở trong văn bản đ−ợc mã hoá hoặc bao gồm đoạn code html . Bao gồm %% File %% trong thông báo bao gồm tên của tập tin đã bị xóa. 3 Chọn OK để l−u lại những sự thay đổi.
4 D−ới HTTP, Infected Message để làm thông báo tùy chọn mà sẽ xuất hiện khi quét virus phát hiện ra một virus trong một tập tin mà một ng−ời dùng đã tải xuống từ một trang web .
Ta có thể thay đổi thông báo theo yêu cầu. Những thông báo có thể ở trong văn bản đ−ợc mã hoá hoặc bao gồm đoạn code html. Bao gồm %% File %% trong thông báo bao gồm tên của tập tin đã bị xóa. %% virus %% trong thông báo bao gồm tên của virus đ−ợc tìm thấy đang lây nhiễm trong tập tin. 5 Chọn OK để l−u lại những sự thay đổi.
Cập nhật cơ sở dữ liệu virus
Cơ sở dữ liệu virus chứa các thông tin trong quá trình quét virus và sâu bọ cho những tập tin. Cơ sở dữ liệu này liên tục đ−ợc cập nhật bởi FortiNet nh− những virus và sâu bọ mới đ−ợc gặp và định nghĩa. Ta cần phải giữ cơ sở dữ liệu virus cập nhật hàng ngày để FortiGate có thể bảo vệ mạng khỏi những virus mới. Ta có thể cấu hình FortiGate để cập nhật cơ sở dữ liệu virus tự động, hoặc có thể cập nhật cơ sở dữ liệu virus bằng tay.
Hiển thị danh sách virus và sâu bọ
1 Để hiển thị danh sách virus, đi Tới Anti-virus >Config>Virus List. 2 Kéo thanh cuộn để xem tên của tất cả các virus trong danh sách. 3 Để hiển thị danh sách sâu bọ, đi Tới Anti-Virus >Config>Worm List. 4 Kéo thanh cuộn để xem tên của tất cả các sâu bọ trong danh sách.