OPNsense用户手册-反病毒引擎

../_images/eye_on_virus_new.jpg

使用OPNsense插件设置防病毒保护

OPNsense可以利用其高度灵活的代理和行业标准ICAP提供http和https保护。来自其中一个已知供应商的外部引擎用于提供针对恶意软件的最大保护,例如勒索软件,特洛伊木马和病毒。内置的入侵防御系统和基于类别的Web过滤可以进一步增强这种保护。

本方法将使用插件C-ICAP和ClamAV。

注意:反病毒引擎可以保护您免受恶意网站和受感染文件的下载,它不会保护本地客户端。因此,安装基于客户端的解决方案始终是一个好主意,以防止其他形式的感染,例如通过电子邮件或u盘,如果他们没有被检查的话。

第1步 – 设置代理

首先使用基本配置设置代理,请参阅设置高速缓存代理

第2步 – 设置透明模式

要设置透明模式,请参阅:安装透明代理

第3步 – 安装和配置ClamAV和C-ICAP插件

注意:使用c-icap和ClamAV的默认值。请记住,修改可能会影响安全性或防火墙性能。如果您不知道某个设置如何影响您的网络,则应将其保持为默认值。

  • ClamAV

    防火墙至少需要1.5 GB 内存。建议使用至少2 GB 内存。

    警告:有一些技术可以避免使用AV软件进行检测和扫描,而AV产品并不知道每种恶意软件。基于签名的AV软件可以降低被已知恶意软件攻击的风险,但它绝不能保证您的计算机不会受到感染。教会用户如何处理从互联网下载文件和确保不信任的设备安全更重要。还要计划定期备份重要文件,确保正确使用ACL并尽快应用补丁,以尽可能减少攻击面和损失。

    注意:要使ClamAV正常工作,您需要下载签名。如果这些文件存储在内存磁盘上,则需要在重新引导后再获取这些文件。

    1.安装

    首先,您必须从插件视图安装ClamAV插件(os-clamav)。

    ../../_images/menu_plugins1.png

    页面重新加载后,您将获得ClamAV服务下的新菜单条目。选择它,您将进入以下页面:

    ../../_images/clamav_settings.png

    2.配置选项

    启用clamd服务:
    选中此复选框可启用clamd,以便您可以使用它来扫描文件。
    启用freshclam服务:
    Freshclam是一项更新恶意软件签名的服务。如果您使用ClamAV,建议定期更新签名。
    启用TCP端口:
    如果要通过网络使用clamd或使用TCP连接本地服务,则需要选中此复选框。
    最大运行线程数:
    线程限制用于避免守护程序和计算机的拒绝服务。通常,下一个或等于核心数量的数字将是好的。
    最大排队项目数:
    这是可以排队等待扫描的文件的最大值。原因与线程相同。
    空闲超时: 如果连接在这段时间内处于非活动状态,则会断开连接。如果另一个套接字端点是一台机器,则该值可能很低,但如果您计划将其用于开发原因,则可以将其设置为更高的值。
    最大目录递归:
    限制目录树的深度。在最坏的情况下,有一个循环导致扫描无休止地运行,此设置应该阻止它。
    按照目录符号链接:
    如果选中此选项,clamav将遵循目录符号链接,这可能会导致循环。如果要设置此项,请确保将递归限制设置为有用的值。
    遵循常规文件符号链接:
    如果选中此选项,clamav将遵循符号链接到常规文件。这可能会暴露有关文件系统的信息,用户无权访问。
    禁用缓存: 如果选中此选项,则不会缓存结果。这仅适用于开发环境,因为它会缩短响应时间。
    扫描可移植的执行文件
    如果要扫描PE文件,请选中此框。如果您在网络中使用PE文件(* .exe,* .dll等)文件,建议选中此框。
    扫描可执行和链接格式:
    如果要扫描ELF文件,请选中此框。例如,ELF用于基于Linux的操作系统和* BSD。
    检测损坏的可执行文件:
    如果该可执行文件与规范不匹配,则此设置将标记为可执行文件。由于下载问题或操作,可执行文件可能会被破坏。无论如何,传送破坏的可执行文件不应该有任何合法的情况。
    扫描OLE2: 如果选中此选项,将分析OLE2文件(例如Microsoft Office文件)。应该分析这些文件,因为它们可能包含用于下载和安装恶意软件(通常是勒索软件)的宏。
    OLE2阻止宏:
    如果应阻止包含宏的文档,请选中此框。如果您不使用宏,并且您不希望商业伙伴或朋友使用宏,则建议使用此设置。
    扫描PDF文件: 如果选中此复选框,将扫描PDF文件。PDF文件可以携带其他文件或多媒体以及javascript和字体。建议扫描PDF文件。
    扫描SWF: 如果选中此框,则会扫描Flash文件。Flash用于提供视频播放器或交互式内容。现在它应该被HTML5取代。
    扫描XMLDOCS: 扫描XML文档
    扫描HWP3: HWP似乎是一种韩国文档格式。如果不使用它们,最好在代理中阻止它们而不是扫描它们。如果您正在使用它们,则应扫描它们。
    解码邮件文件:
    如果选择此选项,将会读取电子邮件的各个部分,因此可以扫描电子邮件附件。邮件附件对于扫描很重要,因为附件可能包含恶意软件。例如,某些恶意软件广告系列使用的JScript文件已打包在附加到电子邮件的ZIP文件中。
    扫描HTML: 扫描可能包含危险的嵌入式JavaScript的HTML文件。
    扫描档案: 扫描档案中的文件。这非常重要,因为档案可能包含恶意软件。请注意,归档嵌套用于绕过扫描,因此扫描程序会在特定的递归级别检测到此类归档是危险的。
    阻止加密存档:
    加密存档通常用于传输加密的文件,这些文件本身不支持加密,或者发件人不知道如何加密这些文件。像7z这样的工具可以从文件创建者给出的密码中导出密钥,该密码将用于加密压缩数据。ClamAV无法扫描此数据,因为它缺少密钥/密码。一些恶意软件作者使用加密存档来避免扫描,并在电子邮件文本中告诉受害者如何解压缩它。
  • C-ICAP

    首先,您必须从插件视图安装c-icap插件(os-cicap)。

    ../../_images/menu_plugins1.png

    页面重新加载后,您将在C-ICAP服务下获得一个新的菜单项。选择它,您将进入以下页面:

    ../../_images/c-icap_settings.png

    1.常规设置

    Enable c-icap service:启用C-ICAP服务以处理ICAP请求。

    Timeout: 套接字关闭的时间。
    Max keepalive timeout:如果套接字保持不活动状态,则关闭套接字的时间。
    Start servers:: 将生成的服务器进程的计数。
    Max servers: 限制进程数
    Listen address: 服务器应绑定的地址。该地址通常是环回地址(对于IPV6为:: 1或对于IPV4为127.0.0.1)。默认值为:: 1。
    Server admin: 此字段应设置为电子邮件地址,该电子邮件地址充当与服务器有问题的用户的联系人。
    Servername: 如果要覆盖服务器名称(显示在错误页面上),可以在此处输入。

    2.防病毒

    ../../_images/c-icap_av.png

    Enable ClamAV:启用反病毒扫描插件

    Scan for filetypes:应分析的文件类型。您应该扫描尽可能多的文件类型,但请记住,扫描需要必须拥有的资源。

    Send percentage data:应包含在预览中的原始文件的数据量。更多数据将具有更好的扫描结果,并且更好的安全性,而较低的值可以提高性能。

    Allow 204 response:204响应具有以下优点:不必再次通过线路发送数据。在预览的情况下,将不再向ICAP服务器发送数据,并且数据将被转发到客户端。如果ICAP服务器已收到所有数据,则无需发回数据。请注意,ICAP客户端必须支持204响应。

    Pass on error: 如果扫描失败,则可以传递文件。这样安全性较低,但在发生故障时可以保持业务正常运行。请记住,这可能会使您的网络面临风险。

第4步 – 配置

要配置ICAP转到 Services->Proxy->Administration,选择“Forward Proxy”选项卡上的“ICAP Settings”。

选择启用ICAP并填写请求和响应URL。对于C-ICAP插件,默认URL将是:

请求修改URL icap://[::1]:1344/avscan
响应修改URL icap://[::1]:1344/avscan

现在点击应用(Apply

第4步 – 使用EICAR进行测试

要测试引擎是否正常运行,请访问此页面,您将找到几个可以测试的文件。

首先测试http协议版本,如果你还配置透明的ssl代理模式,那么它也适用于https版本。

警告:您自行承担下载这些文件的风险!

如果一切顺利,您应该在浏览器中看到与此类似的内容:

完成!

此条目发表在OPNsense分类目录。将固定链接加入收藏夹。