OPNsense中的插件ICAPc-icap是 ICAP 服务器的实现,可以与Squid 3.x HTTP代理服务器等支持ICAP协议的HTTP代理一起使用,实现内容适配/过滤服务。ClamAV则提供针对恶意软件的有效保护,例如勒索软件,特洛伊木马和病毒。内置的入侵防御系统和基于类别的Web过滤可以进一步增强这种保护能力。
需要说明的是,虽然反病毒引擎可以保护客户端免受网络上恶意网站的威胁,但它不能保护本地客户端通过诸如电子邮件或u盘传染病毒,所以加强本地客户端的保护同样重要。
本文介绍使用OPNsense中的C-ICAP和ClamAV插件来提升防火墙的防病毒保护能力。
第2步 – 设置透明模式
要设置透明模式,请参阅:安装透明代理。
第3步 – 安装配置插件
注意:尽量使用c-icap和ClamAV的默认值,不正确的修改可能会影响安全性或防火墙性能。如果你不知道某个设置产生什么样的影响后果,则应该将其保持为默认值。
ClamAV
防火墙至少需要1.5 GB 内存。建议使用至少2 GB 内存。
警告:有一些技术可以避免使用AV软件进行检测和扫描,而AV产品并不知道每种恶意软件。基于签名的AV软件可以降低被已知恶意软件攻击的风险,但它绝不能保证您的计算机不会受到感染。教会用户如何处理从互联网下载文件和确保不信任的设备安全更重要。还要定期备份重要文件,确保正确使用ACL并尽快应用补丁,以尽可能减少攻击范围和损失。
注意:要使ClamAV正常工作,您需要下载签名。如果这些文件存储在内存磁盘上,则需要在重新引导后再获取这些文件。
1、安装
首先,从插件视图安装ClamAV插件(os-clamav)。
页面重新加载后,您将获得ClamAV服务下的新菜单条目。选择它,您将进入以下页面:
2、配置
| 启用clamd服务: | |
|---|---|
| 选中此复选框可启用clamd,以便您可以使用它来扫描文件。 | |
| 启用freshclam服务: | |
| Freshclam是一项更新恶意软件签名的服务。如果您使用ClamAV,建议定期更新签名。 | |
| 启用TCP端口: | |
| 如果要通过网络使用clamd或使用TCP连接本地服务,则需要选中此复选框。 | |
| 最大运行线程数: | |
| 线程限制用于避免守护程序和计算机的拒绝服务。通常,下一个或等于核心数量的数字将是好的。 | |
| 最大排队项目数: | |
| 这是可以排队等待扫描的文件的最大值。原因与线程相同。 | |
| 空闲超时: | 如果连接在这段时间内处于非活动状态,则会断开连接。如果另一个套接字端点是一台机器,则该值可能很低,但如果您计划将其用于开发原因,则可以将其设置为更高的值。 |
| 最大目录递归: | |
| 限制目录树的深度。在最坏的情况下,有一个循环导致扫描无休止地运行,此设置应该阻止它。 | |
| 按照目录符号链接: | |
| 如果选中此选项,clamav将遵循目录符号链接,这可能会导致循环。如果要设置此项,请确保将递归限制设置为有用的值。 | |
| 遵循常规文件符号链接: | |
| 如果选中此选项,clamav将遵循符号链接到常规文件。这可能会暴露有关文件系统的信息,用户无权访问。 | |
| 禁用缓存: | 如果选中此选项,则不会缓存结果。这仅适用于开发环境,因为它会缩短响应时间。 |
| 扫描可移植的执行文件 | |
| 如果要扫描PE文件,请选中此框。如果您在网络中使用PE文件(* .exe,* .dll等)文件,建议选中此框。 | |
| 扫描可执行和链接格式: | |
| 如果要扫描ELF文件,请选中此框。例如,ELF用于基于Linux的操作系统和* BSD。 | |
| 检测损坏的可执行文件: | |
| 如果该可执行文件与规范不匹配,则此设置将标记为可执行文件。由于下载问题或操作,可执行文件可能会被破坏。无论如何,传送破坏的可执行文件不应该有任何合法的情况。 | |
| 扫描OLE2: | 如果选中此选项,将分析OLE2文件(例如Microsoft Office文件)。应该分析这些文件,因为它们可能包含用于下载和安装恶意软件(通常是勒索软件)的宏。 |
| OLE2阻止宏: | |
| 如果应阻止包含宏的文档,请选中此框。如果您不使用宏,并且您不希望商业伙伴或朋友使用宏,则建议使用此设置。 | |
| 扫描PDF文件: | 如果选中此复选框,将扫描PDF文件。PDF文件可以携带其他文件或多媒体以及javascript和字体。建议扫描PDF文件。 |
| 扫描SWF: | 如果选中此框,则会扫描Flash文件。Flash用于提供视频播放器或交互式内容。现在它应该被HTML5取代。 |
| 扫描XMLDOCS: | 扫描XML文档 |
| 扫描HWP3: | HWP似乎是一种韩国文档格式。如果不使用它们,最好在代理中阻止它们而不是扫描它们。如果您正在使用它们,则应扫描它们。 |
| 解码邮件文件: | |
| 如果选择此选项,将会读取电子邮件的各个部分,因此可以扫描电子邮件附件。邮件附件对于扫描很重要,因为附件可能包含恶意软件。例如,某些恶意软件广告系列使用的JScript文件已打包在附加到电子邮件的ZIP文件中。 | |
| 扫描HTML: | 扫描可能包含危险的嵌入式JavaScript的HTML文件。 |
| 扫描档案: | 扫描档案中的文件。这非常重要,因为档案可能包含恶意软件。请注意,归档嵌套用于绕过扫描,因此扫描程序会在特定的递归级别检测到此类归档是危险的。 |
| 阻止加密存档: | |
| 加密存档通常用于传输加密的文件,这些文件本身不支持加密,或者发件人不知道如何加密这些文件。像7z这样的工具可以从文件创建者给出的密码中导出密钥,该密码将用于加密压缩数据。ClamAV无法扫描此数据,因为它缺少密钥/密码。一些恶意软件作者使用加密存档来避免扫描,并在电子邮件文本中告诉受害者如何解压缩它。 | |
C-ICAP
首先,您必须从插件视图安装c-icap插件,新版本已经改成os-c-icap了。
页面重新加载后,您将在C-ICAP服务下获得一个新的菜单项。选择它,进入以下页面:
1、常规设置
Enable c-icap service:启用C-ICAP服务以处理ICAP请求。
2、防病毒
Enable ClamAV:启用反病毒扫描插件
Scan for filetypes:应分析的文件类型。您应该扫描尽可能多的文件类型,但请记住,扫描需要必须拥有的资源。
Send percentage data:应包含在预览中的原始文件的数据量。更多数据将具有更好的扫描结果,并且更好的安全性,而较低的值可以提高性能。
Allow 204 response:204响应具有以下优点:不必再次通过线路发送数据。在预览的情况下,将不再向ICAP服务器发送数据,并且数据将被转发到客户端。如果ICAP服务器已收到所有数据,则无需发回数据。请注意,ICAP客户端必须支持204响应。
Pass on error: 如果扫描失败,则可以传递文件。这样安全性较低,但在发生故障时可以保持业务正常运行。请记住,这可能会使您的网络面临风险。
第4步 – 配置
要配置ICAP转到 Services->Proxy->Administration,选择“Forward Proxy”选项卡上的“ICAP Settings”。
选择启用ICAP并填写请求和响应URL。对于C-ICAP插件,默认URL将是:
| 请求修改URL | icap://[::1]:1344/avscan |
| 响应修改URL | icap://[::1]:1344/avscan |
点击应用更改。
第5步 – 测试
要测试引擎是否正常运行,请访问此页面,找到几个测试文件进行下载。首先测试http协议版本,如果你还配置了透明SSL代理模式,那么它也适用于https版本。
注意:下载这些包含病毒的文件存在一定的风险!如果一切顺利,应该在浏览器中看到与此类似的内容:
下面的视频详细介绍了ClamAV的设置过程。
os-cicap搜不到,只能搜到os-c-icap
新版本已经进行了修改
签名一直下载。
挂代理
请问我在VM安装了opsense,在另一个ubuntu虚拟机浏览器里面访问网页为什么不会通过防火墙转发到ciap服务上。
检查代理是否设置正确。是否启用了透明代理。