在这节课中你将学习如何使用FortiGate來保护你的网络免受病毒攻击。
在本次课程中你将探讨以下主题:
在完成本节之后,你应该能够:
通过展示反病毒基础知识的能力你将能够在FortiGate上理解和应用反病毒。
反病毒是一个病毒签名的数据库用来识别感染。在反病毒扫描中为了被检测为病毒,病毒必须与┅个被定义的模式匹配称为签名。
不同的供应商为同一种病毒分配不同的名称所有供应商都使用病毒名称中的攻击向量指定。这個向量出现在病毒名称的开头一些例子包括:
一些供应商还使用模式作为病毒名称的一部分。有些模式只检测每种模式的一种病毒其他模式更灵活,可以检测每个模式的多个病毒供应商使用的模式依赖于供应商的引擎。
基于主机的反病毒软件如FortiClient,可以在主機级别上提供帮助;然而基于主机的反病毒软件不能安装在 路由器上。此外客户Wi-Fi网络和ISP客户可能没有安装杀毒软件。
那么你如何保护客户网络、ISP客户和你自己的网络免受恶意软件的威胁呢?
就像病毒一样它使用许多方法来避免被发现,FortiGate使用许多技术来检测病毒這些检测技术包括:
启发式扫描是一个可选特性必须在CLI中启用。
你可以使用CLI命令配置反病毒启发式方法将启发式扫描的動作配置为通过/阻止/禁用
如果所有的反病毒功能都启用了,FortiGate将应用以下扫描顺序:反病毒扫描>灰色软件扫描>启发式扫描
如果启发式扫描太不确定怎么办?如果你需要一种更复杂、更确切的方法来检测恶意软件并找到零日病毒该怎么办?
你可以将你的反病毒扫描和FortiSandbox整合在一起对于需要更多确定性的环境,FortiSandbox在受保护的环境(VM)中执行文件然后检查软件的效果,看它是否危险
例如,假设伱有两个文件两者都改变了系统注册表,因此是可疑的一个是驱动程序安装——它的行为是正常的——但是第二个文件安装了一个连接到僵尸网络和控制服务器的病毒。沙盒可以揭示两者的区别
FortiGate可以配置为从基于沙盒结果的FortiSandbox中接收一个补充的签名数据库。
在确定哪些文件被发送到FortiSandbox时FortiOS是明智的。FortiGuard提供给了FortiGate基于当前威胁环境的信息用于确定文件是否应该被认为可疑。当涉及到确定将何种类型的文件发送到FortiSandbox以进行进一步的调查时FortiGate为管理员提供了细粒度的控制。管理员还可以选择使用FortiSandbox数据库和FortiGuard AV数据库来增强他们的网络安全
你可以使用推送方法、进度方法或两种方法一同更新你的FortiGate的反病毒数据库。计划更新允许你定期地配置计划的更新例如每小时、每天或每周更噺一次。你还可以启用Accept push updates这允许你在FortiGuard发布后立即添加新的定义。这对于高安全性环境是有用的因为一旦发布FortiGate就会收到紧急的安全更新。
无论选择哪种方法都必须在至少一个防火墙策略中启用病毒扫描。否则FortiGate将不会下载任何更新。或者你可以从Fortinet客户服务和支持网站(需要订阅)下载软件包,然后手动将它们上传到你的FortiGate你可以从GUI上的FortiGuard页面上验证更新状态和签名版本,或者你可以运行诊断autoupdate状态并茬CLI上诊断autoupdate版本。
僵尸网络IP和僵尸网络域名订阅现在是FortiGuard反病毒许可证的一部分
有多个FortiGuard数据库存在,可以使用CLI命令配置反病毒设置对烸个数据库类型的支持因FortiGate型号而异。
所有的FortiGate都包括正常的数据库正常的数据库包含了近几个月已经检测到的病毒的签名,这是由FortiGuard的铨球安全研究小组确定的它是最小的数据库,因此执行最快的扫描。然而这个数据库并没有检测到所有已知的病毒。
大多数的FortiGate型号都支持扩展的数据库扩展的数据库能检测到不再活跃的病毒。许多常见的平台仍然容易受到这些病毒的攻击并且这些病毒可能会荿为一个专家问题求解。
极端数据库的目的是在高安全性环境中使用极端数据库检测所有已知的病毒,包括那些针对不再被广泛使鼡遗留操作系统的病毒
还有一个简洁的签名数据库,只用于快速扫描模式在这节课的后面,你会学到更多关于这个话题的知识
Prevention:FortiGuard病毒爆发的预防是一种额外的保护层,它可以使你的网络安全免受新出现的恶意软件的攻击快速的病毒爆发可以感染一个网络,然后財能开发出签名来阻止它们爆发保护阻止了这些病毒的爆发,直到在FortiGuard中有了签名FortiGate必须有一个零小时的病毒爆发(ZHVO)许可证, 然后才会實时地将查询发送到FortiGuard从而防止了零小时病毒的攻击。
FortiGate添加基于散列的病毒检测以寻找新的威胁,而这些威胁还没有被AV签名检测到当文件被发送到 scanunit deamon时,缓冲区被散列(可选地提取存档内容)和一个请求(或几个取决于扫描归档文件中的 文件数量)被发送到urlfilter deamon。在对巳知签名的请求缓存进行检查后urlfilter deamon发送给 FortiGuard一个反病毒请求,以保留其余的签名FortiGuard返回一个等级,用来确定scanunit deamon是否应 该报告该文件是否有害茬用户收到响应或请求超时之前,scanunit deamon的工作仍处于暂停状态
Content Disarm and Reconstruction (CDR): CDR删除可开发的内容,并用已知安全的内容替换它由于文 件是通过一个启鼡的反病毒配置文件处理的,被发现是恶意或不安全的内容被替换为允许流量继续的内容但 不会使接收方处于危险之中。可以扫描的内嫆包括PDF和Microsoft Office文件这些文件通过CDR支持的协议 (如HTTP web下载、SMTP电子邮件发送、IMAP和POP3电子邮件检索-MAPI不受支持)离开网络。
当客户端尝试下载该文件時在实时情况下,FortiGate清除所有可开发的内容然后将原始文件发送到FortiSandbox进行检查。客户端接收到文件的干净版本该文档包含一个覆盖页面,该页面链接通过FortiSandbox 链接到原始文档如果检查结果是干净的,户端可以使用FortiSandbox下载链接下载原始文件 即使没有配置FortiSandbox,这个特性也能起作用但前提是你想要丢弃原始文件。
你现在了解了反病毒功能的基础知识接下来,你将了解反病毒扫描模式
在完成本节之后,应该能够:
通过展示在FortiOS中可鼡的所有反病毒扫描模式的能力你将能够有效地使用反病毒配置文件。
当反病毒配置文件在基于流的检查模式下运行时有两种扫描模式可供选择:全扫描模式和快速扫描模式。全扫描模式使用完整的反病毒数据库(正常、扩展或极端——取决于CLI中配置的内容)和IPS引擎来檢查网络流量
流检查模式引擎开始用一个原始数据包进行扫描。引擎不一定按顺序扫描它必须提取有效载荷来发现病毒有效载荷,而不考虑周围的协议细节因为文件是同时传输的,所以流检查模式扫描会消耗更多的CPU资源然而,根据FortiGate型号的不同一些流检测模式操作可以由专门的FortiASIC芯片来执行,从而提高了性能流检查模式扫描在FortiGate上将数据包的副本缓存,并同时将数据包转发到终端客户端当收到朂后一个包时,FortiGate也会缓存它但是将最后一个包保持状态,并将整个文件进行扫描IPS引擎检查规则匹配,然后将其发送到AV引擎进行扫描
当检测到病毒时,可能会出现两种情况:
如果扫描在TCP会话中检测到一个病毒当它可能已经将数据包转发给客户端时,它会重新設置连接但是不会插入阻止替换页。因此客户可能认为它遇到了网络错误并再次尝试。FortiGate的IPS引擎缓存了URL在 第二次尝试下载相同的文件時,阻止替换页面立刻显示不使用反病毒引擎。即使客户在第一次尝试中收到了大部分的文件文件也会被截断,客户端将无法打开一個截断的文件
如果病毒在流的开始被检测到,流检查模式扫描可以在第一次尝试时插入阻止替换页
正如你在这张幻灯片中所看到嘚,客户端发送一个请求并立即开始接收数据包但是FortiGate也同时缓存这些数据包。当最后一个包到达时FortiGate会将其缓存并将其搁置。然后它將整个缓存的文件发送到IPS引擎,在那里检查规则匹配并传递给AV引擎进行扫描如果AV扫描没有检测到任何病毒,并且结果返回干净最后一個缓存的数据包将被重新生成并交付给客户端。然而如果发现了病毒,最后一个包就会被丢弃即使客户端收到了大部分文件,文件也會被截断客户端将无法打开一个截断的文件。
不管你使用哪种模式扫描技术都有类似的检测率。你如何在扫描引擎之间选择如果性能是你的首要任务,那么流检查模式更合适如果安全是你的优先事项,那么代理检查就会更合适
这张幻灯片展示了一个AntiVirus Profile的例子,咜以基于流的检查模式运行并将Scan Mode设置为Full。
快速扫描模式使用一个IPS引擎它带有一个包含较少签名的嵌入式紧凑反病毒数据库。快速扫描模式与基于流的检测模式的全扫描模式相比有一定的局限性快速扫描模式不能:
一些入门级的FortiGate型号不支持这种方法。注意:快速扫描模式选项只能在流检查模式下使用
IPS引擎检查病毒、蠕虫、木马和恶意软件的网络流量,而不需要缓冲正在检查的文件它提供了更好嘚性能, 但是检测率更低
这张幻灯片展示了一个反病毒配置文件的例子,它以基于流的检查模式运行并将Scan Mode设置为Quick。 一个好的用例示例昰将快速模式扫描应用到公共WiFi
注意:所有的检查选项,包括FortiSandbox和(Mobile Malware Protection)移动恶意软件保护在快速扫描模式下是不适用的。还需要注意嘚是必须启用SSL/SSH深度检查来扫描加密的流量。
每一个协议的代理都在扫描之前获取一个连接并首先缓冲整个文件(或者等到达到了超大嘚限制)。客户端必须等待扫描完成如果检测到病毒,则立即显示阻止替换页因为FortiGate必须缓冲整个文件,然后进行扫 描需要很长时间財能进行扫描。而且从客户端的角度来看,它必须等待扫描完成并且由于缺乏数据可能终止连接。
你可以从配置防火墙profile-protocol-options命令树中配置客户端对HTTP和FTP的支持这使得代理可以缓慢地传输一些数据,直到它能够完成缓冲区并完成扫描这可以防止连接或会话超时。在第一佽尝试中没有出现阻止替换消息因为FortiGate将数据包发送到终端客户端。
通过代理检查模式扫描客户端发送一个请求,而FortiGate开始缓冲整个文件然后将其发送到AV引擎进行扫描。如果文件是干净的(没有任何病毒)FortiGate就会开始将文件传输到终端客户端。如果找到了病毒就不会向終端客户端发送数据包,代理会将阻止替换消息发送到终端客户端
这是一个例子,说明在代理检查模式下反病毒配置文件是什么样子嘚。它包含你以前在全扫描模式基于流的配置文件中看到的Inspection
注意:你需要将反病毒配置文件应用到防火墙策略中以扫描所要求的病蝳流量。你还需要启用SSL/SSH深度检查来扫描加密的流量
这张幻灯片提供了不同的反病毒扫描模式的比较。
现在你已经了解了反病毒扫描模式接下来,你将了解反病毒配置
在完成本节之后,你应该能够:
通过演示反病毒配置的能力包括检查反病毒日志,你将能够以有效的方式使用反病毒配置文件
反病毒配置文件可以在AntiVirus页面上进行配置。在基于流的检查模式下的全扫描模式和在代理检查模式下的反病蝳配置文件提供了相同的检查选项这些选项包括:
APT(高级持续性威胁)保护选项:
在反病毒配置文件中你可以定义如果检测到受感染的文件,FortiGate应该做什么
在配置反病毒配置文件之后,你必须将其应用到防火墙策略中
协议选项提供了比反病毒配置文件更细粒度的控制。你可以配置协议端口映射、常见选項、web选项和电子邮件选项等等。
你可以为基于代理的检查模式和基于流的检查模式VDOM配置协议选项你可以在GUI上的Proxy Options页 或CLI上配置基于代悝的VDOM的协议选项。你可以仅从CLI中配置基于流的VDOM的协议选项要从CLI配置协议选项,请使用以下命令:config firewall profile-protocol-options
协议选项被反病毒和其他安全配置文件使用,如web过滤、DNS过滤和DLP传感器等
一旦配置了协议选项,它们就会被应用到防火墙政策中
那么推荐的缓冲区限制是什么呢?咜根据型号和配置而变化您可以调整您的网络的超大限制以获得最佳性能。 一个较小的缓冲区可以最小化代理延迟(对于扫描模式)和RAM嘚使用但是这可能允许病毒通过未被发现的 方式传递。当缓冲区太大时客户可能会注意到传输超时。你需要平衡这两者
如果你鈈确定你需要的缓冲区有多大,你可以临时启用超大日志看看你的FortiGate是否经常扫描大文件。然后你可以相应地调整值
比超大限制的攵件更大的文件扫描时被忽略了。你可以通过启用CLI的超大日志选项来启用超大文件的日志记录
大文件经常被压缩。当压缩文件经过扫描時压缩就像加密一样:签名是不匹配的。因此为了扫描它,FortiGate必须解压文件
在解压一个文件之前,FortiGate必须首先识别压缩算法一些存档类型只能使用header正确地标识。另外FortiGate必须检查文件是否受密码保护。如果存档是用密码保护的那么FortiGate就不能对其进行解压缩,因此不能扫描它。
FortiGate将文件解压到RAM中就像其他大型文件一样,RAM缓冲区有最大的尺寸增加这个限制可能会降 低性能,但是它允许您扫描更大嘚压缩文件
如果一个归档文件是嵌套的——例如,如果一个攻击者试图通过在ZIP文件中放入一个ZIP文件来绕过扫描那么FortiGate将尝试撤销所囿的压缩层。在默认情况下FortiGate将尝试解压缩和扫描12层深度,但是你可以配 置它来扫描你的单位支持的最大数字(通常是100)通常,你不应該增加这种设置因为它增加了RAM的使用。
在全扫描模式下(基于流的检查模式)的反病毒配置文件和代理检查模式下的反病毒配置文件鈳以缓冲到你指定的文件大小限制。默认值是10 MB这对于大多数文件来说足够大,除了视频文件如果你的FortiGate有更多的RAM,你或许可以增加这个門槛
如果没有限制,非常大的文件可能会耗尽扫描内存因此,这个阈值平衡了风险和性能这种权衡是独一无二的,还是针对特萣的型号不。无论供应商或型号您都必须做出选择。这是由于在理论上的扫描和没有限制 的扫描以及对具有有限RAM的现实设备的扫描。为了检测100%的恶意软件不管文件大小如何,防火墙都需要无限大的内存——这是现实世界中没有设备的东西
大多数病毒都很小。這张表显示了一个典型的权衡你可以看到,在默认的10MB阈值中只有)。
?? 如果FortiGate显示有效的许可证,但是反病毒数据库已经过时了怎麼办
检查安装在你的FortiGate上的当前数据库版本,并将版本号与FortiGuard网站上的当前版本进行比较如果没有使用(应用于防火墙策略),FortiGate数据庫可能不会更新反病毒数据库确保反病毒概要文件至少应用于一个防火墙政策。如果你继续看到更新的专家问题求解运行实时调试命囹来识别专家问题求解。
如果你有一个有效的合同和更新的数据库你仍然有感染病毒的专家问题求解吗?开始对基本配置错误进行故障排查大多数情况下,专家问题求解是由设备上的错误配置引起的
这些命令可以用来检索信息和排除反病毒专家问题求解:
?? 你已经完成了课程现在,你将回顾你在课程中所涵盖的目标
?? 这一課涵盖了以下目标:
请使用框架功能查看此文档如果看到此消息,则表明您使用的是不支持框架的 Web 客户机
众所周知JDK8是Java的一个产品,洳果你还记得以前手机软件安装包的格式很多都是JDK格式那么说明你已经老了。而JDK8在Linux系统中应用很广泛下面就跟随U大侠小编一起来看看CentOS系统安装JDK8步骤详解。
1.下载JDK的安装文件
4.通过以上步骤,JDK安装完毕下面开始配置环境变量。
3.以上环境变量配置完成。需要紸意的是PATH在配置的时候,一定要把$JAVA_HOME/bin放在前面不然使用java命令时,系统会找到以前 的java再不往下找了。这样java这个可执行文件运行的目录其實不在$JAVA_HOME/bin下而在其它目录下,会造成很大的专家问题求解
3.看看自己的配置是否都正确。
在自己的工作目录下创建新的文件Hello.java写叺如下内容:
执行命令如下,如果得到以下结果说明jdk安装完成。
当然我们安装的jdk8,应该测试下jdk8的特性可以使用jdk8特有的stream来测試,代码如下:
使用以下命令运行得到结果,说明安装没有专家问题求解
以上就是CentOS系统安装JDK8步骤详解,更多精彩内容继续关紸U大侠官网