教程篇(6.0) 09. 反病毒 ❀ 飞塔 (Fortinet) 网络安全专家 NSE4

在这节课中，你将学习如何使用FortiGate来保护你的网络免受病毒攻击。

在本次课程中，你将探讨以下主题：

反病毒基础
反病毒扫描模式
反病毒配置
最佳实践
故障排查

在完成本节之后，你应该能够：

使用反病毒签名
检查反病毒扫描技术
启用反病毒的FortiSandbox
区分可用的FortiGuard签名数据库

　　通过展示反病毒基础知识的能力，你将能够在FortiGate上理解和应用反病毒。

反病毒是一个病毒签名的数据库，用来识别感染。在反病毒扫描中，为了被检测为病毒，病毒必须与一个被定义的模式匹配，称为签名。

　　不同的供应商为同一种病毒分配不同的名称。所有供应商都使用病毒名称中的攻击向量指定。这个向量出现在病毒名称的开头。一些例子包括：

W32,它代表32位Windows窗口
W64,它代表64位Windows窗口
JS,它代表了JavaScript（它是跨平台的）

　　一些供应商还使用模式作为病毒名称的一部分。有些模式只检测每种模式的一种病毒。其他模式更灵活，可以检测每个模式的多个病毒。供应商使用的模式依赖于供应商的引擎。

　　基于主机的反病毒软件，如FortiClient，可以在主机级别上提供帮助;然而，基于主机的反病毒软件不能安装在路由器上。此外，客户Wi-Fi网络和ISP客户可能没有安装杀毒软件。

　　那么，你如何保护客户网络、ISP客户和你自己的网络免受恶意软件的威胁呢？

就像病毒一样，它使用许多方法来避免被发现，FortiGate使用许多技术来检测病毒。这些检测技术包括：

反病毒扫描：这是第一个，最快，最简单的检测恶意软件的方法。它检测到与反病毒数据库中的签名完全匹配的病毒。
灰色软件扫描：这种扫描检测未经用户知情或同意安装的不请自来的程序，称为灰色软件。从技术上讲，灰色软件并不是病毒。它通常与无害的软件捆绑在一起，但确实有不受欢迎的副作用，所以它被归类为恶意软件。通常，可以用一个简单的FortiGuard的灰色软件签名来检测到。
启发式扫描：这些扫描是基于概率的，所以它们增加了误报的可能性，但是它们也能检测到零日病毒。零日病毒是一种新的、未知的病毒，因此没有现成的相关特征。如果你的网络是一个经常被攻击的目标，那么启用启发式扫描可能是值得的，因为它可以帮助你在病毒爆发前检测出病毒。默认情况下，当反病毒扫描的启发式引擎检测到病毒样特征时，它会将文件记录为可疑的——但不会阻止它。你可以选择是否阻止或允许可疑文件。

　　启发式扫描是一个可选特性，必须在CLI中启用。

　　你可以使用CLI命令配置反病毒启发式方法将启发式扫描的动作配置为通过/阻止/禁用。

　　如果所有的反病毒功能都启用了，FortiGate将应用以下扫描顺序：反病毒扫描>灰色软件扫描>启发式扫描。

如果启发式扫描太不确定怎么办？如果你需要一种更复杂、更确切的方法来检测恶意软件并找到零日病毒，该怎么办？

　　你可以将你的反病毒扫描和FortiSandbox整合在一起。对于需要更多确定性的环境，FortiSandbox在受保护的环境（VM）中执行文件，然后检查软件的效果，看它是否危险。

　　例如，假设你有两个文件。两者都改变了系统注册表，因此是可疑的。一个是驱动程序安装——它的行为是正常的——但是第二个文件安装了一个连接到僵尸网络和控制服务器的病毒。沙盒可以揭示两者的区别。

　　FortiGate可以配置为从基于沙盒结果的FortiSandbox中接收一个补充的签名数据库。

在确定哪些文件被发送到FortiSandbox时，FortiOS是明智的。FortiGuard提供给了FortiGate基于当前威胁环境的信息，用于确定文件是否应该被认为可疑。当涉及到确定将何种类型的文件发送到FortiSandbox以进行进一步的调查时，FortiGate为管理员提供了细粒度的控制。管理员还可以选择使用FortiSandbox数据库和FortiGuard AV数据库来增强他们的网络安全。

你可以使用推送方法、进度方法或两种方法一同更新你的FortiGate的反病毒数据库。计划更新允许你定期地配置计划的更新，例如每小时、每天或每周更新一次。你还可以启用Accept push updates，这允许你在FortiGuard发布后立即添加新的定义。这对于高安全性环境是有用的，因为一旦发布FortiGate就会收到紧急的安全更新。

　　无论选择哪种方法，都必须在至少一个防火墙策略中启用病毒扫描。否则，FortiGate将不会下载任何更新。或者，你可以从Fortinet客户服务和支持网站（需要订阅）下载软件包，然后手动将它们上传到你的FortiGate。你可以从GUI上的FortiGuard页面上验证更新状态和签名版本，或者你可以运行诊断autoupdate状态，并在CLI上诊断autoupdate版本。

　　僵尸网络IP和僵尸网络域名订阅现在是FortiGuard反病毒许可证的一部分。

有多个FortiGuard数据库存在，可以使用CLI命令配置反病毒设置。对每个数据库类型的支持因FortiGate型号而异。

　　所有的FortiGate都包括正常的数据库。正常的数据库包含了近几个月已经检测到的病毒的签名，这是由FortiGuard的全球安全研究小组确定的。它是最小的数据库，因此，执行最快的扫描。然而，这个数据库并没有检测到所有已知的病毒。

　　大多数的FortiGate型号都支持扩展的数据库。扩展的数据库能检测到不再活跃的病毒。许多常见的平台仍然容易受到这些病毒的攻击，并且这些病毒可能会成为一个问题。

　　极端数据库的目的是在高安全性环境中使用。极端数据库检测所有已知的病毒，包括那些针对不再被广泛使用遗留操作系统的病毒。

　　还有一个简洁的签名数据库，只用于快速扫描模式。在这节课的后面，你会学到更多关于这个话题的知识。

Virus Outbreak Prevention：FortiGuard病毒爆发的预防是一种额外的保护层，它可以使你的网络安全免受新出现的恶意软件的攻击。快速的病毒爆发可以感染一个网络，然后才能开发出签名来阻止它们。爆发保护阻止了这些病毒的爆发，直到在FortiGuard中有了签名。FortiGate必须有一个零小时的病毒爆发（ZHVO）许可证，然后才会实时地将查询发送到FortiGuard，从而防止了零小时病毒的攻击。

　　FortiGate添加基于散列的病毒检测，以寻找新的威胁，而这些威胁还没有被AV签名检测到。当文件被发送到 scanunit deamon时，缓冲区被散列（可选地提取存档内容）和一个请求（或几个，取决于扫描归档文件中的文件数量）被发送到urlfilter deamon。在对已知签名的请求缓存进行检查后，urlfilter deamon发送给 FortiGuard一个反病毒请求，以保留其余的签名。FortiGuard返回一个等级，用来确定scanunit deamon是否应该报告该文件是否有害。在用户收到响应或请求超时之前，scanunit deamon的工作仍处于暂停状态。

　　Content Disarm and Reconstruction (CDR): CDR删除可开发的内容，并用已知安全的内容替换它。由于文件是通过一个启用的反病毒配置文件处理的，被发现是恶意或不安全的内容被替换为允许流量继续的内容，但不会使接收方处于危险之中。可以扫描的内容包括PDF和Microsoft Office文件，这些文件通过CDR支持的协议（如HTTP web下载、SMTP电子邮件发送、IMAP和POP3电子邮件检索-MAPI不受支持）离开网络。

　　当客户端尝试下载该文件时，在实时情况下，FortiGate清除所有可开发的内容，然后将原始文件发送到FortiSandbox进行检查。客户端接收到文件的干净版本，该文档包含一个覆盖页面，该页面链接通过FortiSandbox 链接到原始文档。如果检查结果是干净的，户端可以使用FortiSandbox下载链接下载原始文件。即使没有配置FortiSandbox，这个特性也能起作用，但前提是你想要丢弃原始文件。

不测验。

你现在了解了反病毒功能的基础知识。接下来，你将了解反病毒扫描模式。

在完成本节之后，应该能够：

在基于流的检查模式中应用反病毒配置文件
在基于代理的检查模式中应用反病毒配置文件
比较所有可用的扫描模式

　　通过展示在FortiOS中可用的所有反病毒扫描模式的能力，你将能够有效地使用反病毒配置文件。

当反病毒配置文件在基于流的检查模式下运行时，有两种扫描模式可供选择：全扫描模式和快速扫描模式。全扫描模式使用完整的反病毒数据库（正常、扩展或极端——取决于CLI中配置的内容）和IPS引擎来检查网络流量。

　　流检查模式引擎开始用一个原始数据包进行扫描。引擎不一定按顺序扫描，它必须提取有效载荷来发现病毒有效载荷，而不考虑周围的协议细节。因为文件是同时传输的，所以流检查模式扫描会消耗更多的CPU资源。然而，根据FortiGate型号的不同，一些流检测模式操作可以由专门的FortiASIC芯片来执行，从而提高了性能。流检查模式扫描在FortiGate上将数据包的副本缓存，并同时将数据包转发到终端客户端。当收到最后一个包时，FortiGate也会缓存它，但是将最后一个包保持状态，并将整个文件进行扫描。IPS引擎检查规则匹配，然后将其发送到AV引擎进行扫描。

　　当检测到病毒时，可能会出现两种情况：

　　如果扫描在TCP会话中检测到一个病毒，当它可能已经将数据包转发给客户端时，它会重新设置连接，但是不会插入阻止替换页。因此，客户可能认为它遇到了网络错误并再次尝试。FortiGate的IPS引擎缓存了URL，在第二次尝试下载相同的文件时，阻止替换页面立刻显示，不使用反病毒引擎。即使客户在第一次尝试中收到了大部分的文件，文件也会被截断，客户端将无法打开一个截断的文件。

　　如果病毒在流的开始被检测到，流检查模式扫描可以在第一次尝试时插入阻止替换页。

正如你在这张幻灯片中所看到的，客户端发送一个请求并立即开始接收数据包，但是FortiGate也同时缓存这些数据包。当最后一个包到达时，FortiGate会将其缓存并将其搁置。然后，它将整个缓存的文件发送到IPS引擎，在那里检查规则匹配并传递给AV引擎进行扫描。如果AV扫描没有检测到任何病毒，并且结果返回干净，最后一个缓存的数据包将被重新生成并交付给客户端。然而，如果发现了病毒，最后一个包就会被丢弃。即使客户端收到了大部分文件，文件也会被截断，客户端将无法打开一个截断的文件。

　　不管你使用哪种模式，扫描技术都有类似的检测率。你如何在扫描引擎之间选择？如果性能是你的首要任务，那么流检查模式更合适。如果安全是你的优先事项，那么代理检查就会更合适。

这张幻灯片展示了一个AntiVirus Profile的例子，它以基于流的检查模式运行，并将Scan Mode设置为Full。

快速扫描模式使用一个IPS引擎，它带有一个包含较少签名的嵌入式紧凑反病毒数据库。快速扫描模式与基于流的检测模式的全扫描模式相比有一定的局限性。快速扫描模式不能：

将文件发送到FortiSandbox以进行检查
利用高级的启发式
使用移动恶意软件包

　　一些入门级的FortiGate型号不支持这种方法。注意：快速扫描模式选项只能在流检查模式下使用。

IPS引擎检查病毒、蠕虫、木马和恶意软件的网络流量，而不需要缓冲正在检查的文件。它提供了更好的性能，但是检测率更低。

这张幻灯片展示了一个反病毒配置文件的例子，它以基于流的检查模式运行，并将Scan Mode设置为Quick。一个好的用例示例是将快速模式扫描应用到公共WiFi。

　　注意：所有的检查选项，包括FortiSandbox和（Mobile Malware Protection）移动恶意软件保护，在快速扫描模式下是不适用的。还需要注意的是，必须启用SSL/SSH深度检查来扫描加密的流量。

每一个协议的代理都在扫描之前获取一个连接，并首先缓冲整个文件（或者等到达到了超大的限制）。客户端必须等待扫描完成。如果检测到病毒，则立即显示阻止替换页。因为FortiGate必须缓冲整个文件，然后进行扫描，需要很长时间才能进行扫描。而且，从客户端的角度来看，它必须等待扫描完成，并且由于缺乏数据可能终止连接。

　　你可以从配置防火墙profile-protocol-options命令树中配置客户端对HTTP和FTP的支持。这使得代理可以缓慢地传输一些数据，直到它能够完成缓冲区并完成扫描。这可以防止连接或会话超时。在第一次尝试中没有出现阻止替换消息，因为FortiGate将数据包发送到终端客户端。

通过代理检查模式扫描，客户端发送一个请求，而FortiGate开始缓冲整个文件，然后将其发送到AV引擎进行扫描。如果文件是干净的（没有任何病毒），FortiGate就会开始将文件传输到终端客户端。如果找到了病毒，就不会向终端客户端发送数据包，代理会将阻止替换消息发送到终端客户端。

这是一个例子，说明在代理检查模式下，反病毒配置文件是什么样子的。它包含你以前在全扫描模式基于流的配置文件中看到的Inspection Options，以及Inspected Protocols ，它允许对哪些协议进行扫描。

　　注意：你需要将反病毒配置文件应用到防火墙策略中，以扫描所要求的病毒流量。你还需要启用SSL/SSH深度检查来扫描加密的流量。

这张幻灯片提供了不同的反病毒扫描模式的比较。

小测验。

现在你已经了解了反病毒扫描模式。接下来，你将了解反病毒配置。

在完成本节之后，你应该能够：

配置反病毒配置文件
配置协议选项
检查病毒的统计数据
记录和监控反病毒事件

　　通过演示反病毒配置的能力，包括检查反病毒日志，你将能够以有效的方式使用反病毒配置文件。

反病毒配置文件可以在AntiVirus页面上进行配置。在基于流的检查模式下的全扫描模式和在代理检查模式下的反病毒配置文件提供了相同的检查选项。这些选项包括：

　　APT（高级持续性威胁）保护选项：

Treat Windows Executables in Email Attachment as Viruses：默认情况下，这个选项是启用的，文件（包括压缩文件）被识别为Windows可执行文件可以被视为病毒.
Send Files to FortiSandbox Cloud for Inspection: 如果配置了FortiSandbox Cloud或者Appliance您可以配置反病毒配置文件，将恶意文件发送到FortiSandbox，以进行行为分析。如果被标记为恶意，任何匹配相同行为的未来文件都将被阻止，如果启用了Use FortiSandbox Database选项。
Use Virus Outbreak Prevention Database:FortiGuard病毒爆发预防是一种额外的保护层，它可以使你的网络安全免受新出现的恶意软件的攻击。快速的病毒爆发在你开发出签名来阻止它们之前可以感染一个网络。病毒暴发保护阻止了这些病毒的爆发，直到在FortiGuard中有了可用签名。

　　在反病毒配置文件中，你可以定义如果检测到受感染的文件，FortiGate应该做什么。

　　在配置反病毒配置文件之后，你必须将其应用到防火墙策略中。

协议选项提供了比反病毒配置文件更细粒度的控制。你可以配置协议端口映射、常见选项、web选项和电子邮件选项，等等。

　　你可以为基于代理的检查模式和基于流的检查模式VDOM配置协议选项。你可以在GUI上的Proxy Options页或CLI上配置基于代理的VDOM的协议选项。你可以仅从CLI中配置基于流的VDOM的协议选项。要从CLI配置协议选项，请使用以下命令：config firewall profile-protocol-options。

　　协议选项被反病毒和其他安全配置文件使用，如web过滤、DNS过滤和DLP传感器等。

　　一旦配置了协议选项，它们就会被应用到防火墙政策中。

那么推荐的缓冲区限制是什么呢？它根据型号和配置而变化。您可以调整您的网络的超大限制以获得最佳性能。一个较小的缓冲区可以最小化代理延迟（对于扫描模式）和RAM的使用，但是这可能允许病毒通过未被发现的方式传递。当缓冲区太大时，客户可能会注意到传输超时。你需要平衡这两者。

　　如果你不确定你需要的缓冲区有多大，你可以临时启用超大日志，看看你的FortiGate是否经常扫描大文件。然后你可以相应地调整值。

　　比超大限制的文件更大的文件扫描时被忽略了。你可以通过启用CLI的超大日志选项来启用超大文件的日志记录。

大文件经常被压缩。当压缩文件经过扫描时，压缩就像加密一样：签名是不匹配的。因此，为了扫描它，FortiGate必须解压文件。

　　在解压一个文件之前，FortiGate必须首先识别压缩算法。一些存档类型只能使用header正确地标识。另外，FortiGate必须检查文件是否受密码保护。如果存档是用密码保护的，那么FortiGate就不能对其进行解压缩，因此，不能扫描它。

　　FortiGate将文件解压到RAM中。就像其他大型文件一样，RAM缓冲区有最大的尺寸。增加这个限制可能会降低性能，但是它允许您扫描更大的压缩文件。

　　如果一个归档文件是嵌套的——例如，如果一个攻击者试图通过在ZIP文件中放入一个ZIP文件来绕过扫描，那么FortiGate将尝试撤销所有的压缩层。在默认情况下，FortiGate将尝试解压缩和扫描12层深度，但是你可以配置它来扫描你的单位支持的最大数字（通常是100）。通常，你不应该增加这种设置，因为它增加了RAM的使用。

在全扫描模式下（基于流的检查模式）的反病毒配置文件和代理检查模式下的反病毒配置文件，可以缓冲到你指定的文件大小限制。默认值是10 MB，这对于大多数文件来说足够大，除了视频文件。如果你的FortiGate有更多的RAM，你或许可以增加这个门槛。

　　如果没有限制，非常大的文件可能会耗尽扫描内存。因此，这个阈值平衡了风险和性能。这种权衡是独一无二的，还是针对特定的型号？不。无论供应商或型号，您都必须做出选择。这是由于在理论上的扫描和没有限制的扫描，以及对具有有限RAM的现实设备的扫描。为了检测100%的恶意软件，不管文件大小如何，防火墙都需要无限大的内存——这是现实世界中没有设备的东西。

　　大多数病毒都很小。这张表显示了一个典型的权衡。你可以看到，在默认的10MB阈值中，只有0.01%的病毒通过。

在FortiGate开始扫描恶意软件的流量之前，你需要在防火墙策略上应用反病毒配置文件、协议选项和SSL/SSH检查配置文件。

　　在完整的SSL检查级别中，FortiGate在到达服务器之前，在它自己的接口上终止SSL/TLS握手。当交换证书和私钥时，它是用FortiGate而不是服务器。接下来，FortiGate开始与服务器的第二个连接。

　　因为在FortiGate的接口之间传输时，流量是未加密的，所以在重新加密数据包并转发它之前，FortiGate可以检查内容并查找与反病毒签名数据库的匹配。

　　由于这些原因，完全的SSL检查级别是允许反病毒有效的唯一选择。

由于僵尸网络数据库是FortiGuard AV的一部分，管理员可以对僵尸网络连接进行扫描，以最大限度地提高内部安全性。启用僵尸网络扫描是非常容易的。你只需要在FortiGate的外部接口上启用它。你还可以使用CLI在防火墙策略、显式代理策略、防火墙接口策略和防火墙嗅探中使用CLI来扫描僵尸网络连接。

　　注意：如果一个接口Role被设置为LAN，那么FortiOS就会移除启用僵尸网络扫描的选项。它只对被配置为 WAN或未定义的接口可用。

对于在基于代理的检查模式（禁止客户端控制）进行反病毒扫描时，当检测到病毒时，会立即显示阻止替换页面。

　　对于基于流的检查模式扫描，如果在流开始时检测到病毒，则在第一次尝试时显示阻止替换页。如果在传输了几个包之后检测到病毒，则不会显示阻止替换页。然而，FortiGate缓存了URL，并且可以在第二次尝试时立即显示替换页面。

　　注意：如果启用深度检查，所有基于HTTPS的应用程序也会显示阻止替换消息。

　　该区块包括以下内容：

文件名
病毒名
Web站点主机和URL
源和目的IP
使用名称和组（如果启用了身份验证）
链接到FortiGuard百科–它提供了分析、推荐的操作（如果有的话）和检测可用性

　　你可以直接用一个可疑的恶意软件样本进入FortiGuard网站查看其他恶意软件的信息，扫描，提交，或者两者都做。

你可以在仪表板上Advanced Threat Protection Statistics 小部件找到病毒扫描统计信息。

　　如果你的FortiGate提交了用于沙盒的文件，它会记录提交的文件数量和这些扫描结果。这些统计数据与在FortiGate上扫描的文件是分开的。

如果启用了日志记录，你可以在AntiVirus日志页面上找到详细信息。

　　当反病毒扫描检测到一种病毒时，默认情况下，它会创建一个关于检测到什么病毒的日志，以及操作、策略ID、反病毒配置文件名称和检测类型。它还提供了一个链接，可以链接到关于FortiGuard网站的更多信息。

　　你还可以在Forward Traffic 日志页面上查看日志详细信息，其中防火墙策略记录了流量活动。你还会发现一个关于FortiGate采用反病毒动作的流量总结。

小测验。

现在你已经了解了反病毒配置。接下来，你将学习一些反病毒的最佳实践。

在完成本节之后，你应该能够：

识别推荐的反病毒配置
反病毒事件日志
监视反病毒和FortiSandbox事件
伴随着反病毒扫描来使用硬件加速

　　通过展示反病毒最佳实践的能力，你将能够配置一个有效的反病毒解决方案。

以下是在FortiOS上配置反病毒扫描时要遵循的一些最佳实践：

在所有互联网流量中启用反病毒扫描。这包括内部到外部防火墙策略，以及任何VIP防火墙策略。由于僵尸网络现在是反病毒订阅的一部分，所以建议您可以扫描任何外出流量到僵尸网络的连接。你应该在FortiGate的所有外部接口上启用它，包括冗余或负载平衡接口。
使用深度检查代替基于证书的检查，以确保执行完整的内容检查。 • 使用FortiSandbox来防御新病毒。
不要增加要扫描的最大文件大小，除非有充分的理由，你需要这样做以满足网络需求。

配置反病毒扫描时要遵循的其他最佳实践包括以下内容：

确保FortiGuard的更新来确保FortiGate在他们可用的时候收到反病毒更新。这将有助于保持FortiGate数据库的最新状态，并提供对新病毒的保护。
确保FortiGate与FortiGuard服务器有稳定的连接。

日志记录是管理安全网络的重要部分。允许对超大文件进行日志记录，这样如果有未扫描的文件，你就可以知道它。另外，要确保安全事件日志记录在所有防火墙策略中都启用了安全配置文件。使用FortiView来查看关于你的网络威胁的相关信息。FortiView将信息整体到网络段中，并将其分解为不同的类别。

FortiGate主要的中央处理器负责对网络流量进行UTM/NGFW的检查。拥有专门芯片的FortiGate型号可以卸载检查任务，以提高性能，同时提供相同级别的保护。支持NTurbo特性的FortiGate可以将UTM/NGFW会话卸载到网络处理器。NTurbo创建了一个特殊的数据路径，将流量从ingress接口转移到IPS引擎，以及从IPS引擎到出口接口。这可以通过加速反病毒检查来提高性能，而不需要牺牲安全性。

具有CP8或CP9内容处理器的FortiGate型号可以卸载基于流的模式匹配到CP8或CP9处理器。当启用CP加速时，基于流的模式数据库被编译并从IPS引擎和IPS数据库中下载到内容处理器。这减少了在FortiGate CPU上的负载，因为基于流的模式匹配请求被重定向到CP硬件。在对流量进行基于流的检查之前，IPS引擎使用一系列的解码器来确定可以使用的适当的安全模块，这取决于数据包的协议和策略设置。此外，如果配置了SSL检查， IPS引擎也会解密SSL数据包。SSL解密也由CP8或CP9处理器进行卸载和加速。