fortigate考试nse4中文版antivirus保护模式

1、FortiGate I防病毒 & 保护模式FortiGate 5.2.1什么是恶意软件Malware?恶意软件：指可以自我复制且具有有害作用的一类软件，例如破坏系统或者数据病毒仿照生物病毒行为向文件注入代码，像生物病毒一样向细胞注入自己的DNA不需要用户同意，或者诱导用户同意感染和自我扩散非常小灰色软件（Grayware）安装时需要用户同意例如间谍软件经常和免费软件等绑定在一起大小变化很大病毒分类木马传播到其他主机（USB或者Email附件）在同样的主机上不复制(仍有可能多重感染)蠕虫传播到其他主机打开ADMIN$文件夹使用没有密码的root账户SSH登录不需要用户做任何动作Source: 行

2、为间谍软件跟踪用户的浏览器历史，记录网站密码广告软件自动植入广告已获得额外的利益勒索加密文件后要求支付赎金给予解密后门获得root或管理员账户访问权限拥有最大权限，所以用户无法察觉键盘记录器记录密码，银行账户等邮件群发软件、DDOS可以被利用的僵尸网络root|入侵技术加密多种形式组合的技术手段使用密钥或者每次感染时执行不同的功能需要在载荷中添加多态引擎质变的技术手段每次感染会重写代码不同的代码实现相同的破坏效果举例：编译成机器语言，然后再翻译回普通编程语言需要在载荷中添加质变引擎One species of ant, many shapes.Source: 防病毒技术手段防病毒扫描实时检测和

3、消除病毒，蠕虫，木马和间谍软件阻止威胁的扩散保证您的网络公网IP的客户信誉度扫描HTTP FTP SMTPPOP3IMAPOthersAntivirus灰色软件# config antivirus setting# set grayware enable|disable# end默认开启虽然不是一个病毒，但灰色软件依然是一个恶意软件可以被病毒扫描检测到防病毒的动作也适用于处理灰色软件启发式扫描Virus-like attribute+ Virus-like attribute+ Virus-like attribute? Heuristic thresholdSuspicious寻找类似病毒的

4、代码，例如修改注册表或者在重启后依然重新自动启动计算并累计类似病毒的属性值如果大于某个阈值，文件则为可疑的有一定误报几率启发式扫描：配置# config antivirus heuristic# set mode pass|block|disable# end放过 (默认动作)开启启发式扫描记录日志允许可疑文件阻止开启启发式扫描记录日志阻止可疑文件禁用沙盒技术可疑高可靠的探测零日攻击（zero-day）与启发式不同：FortiGate将文件发送给FortiCloud上的Sandbox 或者 FortiSandbox设备文件在一个隔离环境（sandbox）中被执行检验一下造成的影响以进行新的检测

5、可以把新的可疑文件发送给FortiGuardFortiGuard的防病毒和IPS更新会把最新的签名推送给FortiGate如何配置沙盒需要一个FortiSandbox的实体设备云Sandbox使用FortiCloud账户沙盒设备准备接收文件的端口IP地址提交新病毒如果病毒不在防病毒库中，FortiGate是无法检测到它的启发式扫描和沙盒发现的结果应该发送到FortiGuard提交新发现的病毒开启沙盒自动提交病毒功能手动上传新病毒： Device InputFortiGuard AntivirusSignature UpdateVirus Sample代理模式 vs 流模式扫描引擎速度在终端看来

6、，防病毒是时间不敏感的用户可以等待扫描结束在FortiGate上，防病毒必须要比会话的超时时间要快30秒内病毒扫描必须结束Watchdog会打断扫描进程，流量会正常通过 事件日志可以查看到scanunit的Signal 14 “crash”代理模式每一个协议的代理会接管连接，缓存文件直到扫描结束前，不会重传高延时一旦文件传输完毕，或者发现过大文件，会把载荷部分发送给scanunit 扫描整个文件，或者扫描缓存内的全部内容不会出现误报，因为代理是识别协议的传送干净的流量，阻止被感染的流量当阻止某些消息时，可以通知用户OK流模式缓存但同时也重传数据包没有被扫描延迟传输，除了最后一个包有时可以ASI

7、C加速低延迟一旦文件传输完毕，或者发现过大文件，会把载荷部分发送给scanunit 扫描整个文件，或者扫描缓存内的全部内容如果签名匹配了有效的协议命令，可能误报如果检测到病毒，最后一个包会被丢弃，或者连接会被reset不会看到block页面，除非用户尝试重新下载因为看不到block消息，所以用户经常会不停的重试，浪费更多的带宽客户端会收到大部分的病毒文件检测率 vs. 文件大小限制大部分的恶意软件都很小大文件需要更多的内存来完整扫描通常情况下，只扫描小文件是一种可以接受的方法默认10MB是过大文件的阈值最大大小依不同的产品型号有所不同1MB2MB3MB4MB5MB6MB7MB8MB9MB10M

8、Bexploit99.83%99.95%99.97%99.97%99.98%99.98%99.99%100%100%100%mass-mailer99.62%99.87%100%100%100%100%100%100%100%100%phish100%100%100%100%100%100%100%100%100%100%spyware95.08%97.97%98.88%99.47%99.76%99.83%99.89%99.91%99.94%99.95%trojan97.52%99.24%99.62%99.80%99.88%99.93%99.95%99.97%99.98%99.98%virus

9、98.27%99.37%99.63%99.80%99.88%99.93%99.95%99.97%99.98%99.99%worm99.02%99.65%99.74%99.86%99.89%99.92%99.94%99.94%99.95%99.96%100%100%100%100%100%100%100%大文件：阻止或者放行?比缓存大的文件不能进行完整的病毒扫描.其他方式日志中记录下过大的文件（默认配置）阻止传输过大的文件？ (默认是否的)# config firewall profile-protocol-options# edit # set oversize 1-# set oversiz

10、e-log enable|disable# config http|ftp|imap|mapi|pop3|smtp# set options oversize# end0000101011101011011101011110Buffer in RAM000010110111Over压缩文件# config firewall profile-protocol-options# edit # config # set press-oversize-limit 1-(model_limit)# set press-nest-limit 1-100# end通常，压缩算法可以通过包头被识别出来没有被解

11、压缩，且内部的文件被分别进行扫描嵌套压缩的文件也支持扫描(支持12层嵌套)解压缩的文件有不同的大小限制由密码保护的压缩文件不能被解压缩扫描顺序：过大文件Pass oversize?BlockPassYesBuffer File until EOF or Oversize Limit ReachedSTARTLarger than limit?BLOCKPASS扫描顺序：文件和缓存相同大小Buffer File until EOF or Oversize Limit ReachedLarger than limit?Is archive?Virus scanBLOCKNoYesNoPASSSTA

12、RTGrayware enabled?Heuristic enabled?Grayware scanHeuristic scanInfectedYesNoNoInfectedSuspiciousCleanCleanCleanPass suspicious?BlockPassLarger than compression limit?YesNoYes决策树PassYesBlockPass oversize?Buffer File until EOF or Oversize Limit ReachedLarger than limit?Is archive?Virus scanBLOCKYesNo

13、PASSGrayware enabled?Heuristic enabled?Grayware scanHeuristic scanInfectedYesNoNoInfectedCleanCleanCleanBlockPassLarger than compression limit?YesNoYesSuspiciousPass suspicious?STARTFortiGuard更新至关重要FortiGuard防病毒更新自动更新是最快的推送 + 获取可以从这个网站上下载最新的特征，然后手动上传更新 诊断：diagnose autoupdate status# diagnose autoupd

14、ate statusFDN availability: available at Thu Oct 9 03:14:11 2014 Push update: disableScheduled update: enableUpdate daily:at 1 after 134 minutesVirus definitions update: enableIPS definitions update: enablePush address override: disableWeb proxy tunneling: disable僵尸网络命令和控制连接FortiGate阻止到主C&C服务器的连接For

15、tiGuard进行更新 需要有效的服务合同阻止僵尸代码的更新容易检测并清除阻止下载DDoS/spam等插件病毒特征库智能更新只有在被防火墙策略使用时，才进行库更新RegularExtendedExtreme选择一个病毒特征库选择使用哪个病毒特征库# config antivirus setting# set default-db normal|extended|extreme# endNormal库 一般的病毒所有型号都支持Extended库默认使用的库一般的病毒 + 一些老的“In the wild” plus some not recently active大部分型号都支持Extreme库

16、 只有一些型号支持防病毒profileSSL/TLS检测部分检测只进行证书确认(载荷不进行检测 病毒可能存在其中)更快完整模式FortiGate终结SSL/TLS (验证证书且解码后检查 载荷部分速度慢，但数据包的内容 可进行病毒扫描病毒统计主面板上的微件可以显示病毒扫描的统计沙盒的检测结果也可查看到日志和监控覆盖，检验和纠正如果配置不当，或者为了更高的吞吐而牺牲安全性的时候，病毒可能会危害设备FortiGuard网站显示了哪个病毒库包含了某个病毒的特征纠正的方法诊断：diagnose autoupdate versions# diagnose autoupdate versionsAV En

17、gine-Version: 5.00156Contract Expiry Date: Fri Apr 25 2014Last Updated using manual update on Mon Aug 18 15:04:00 2014Last Update Attempt: Thu Oct 9 03:14:11 2014Result: Unauthorized Virus Definitions-Version: 22.00076Contract Expiry Date: Fri Apr 25 2014Last Updated using manual update on Fri Apr 2

18、5 22:59:00 2014Last Update Attempt: Thu Oct 9 03:14:11 2014Result: Unauthorized保护模式在 上搜索“conserve mode”KB文章ID: FD33103, 11076, 10209不是保护CPU资源 只保护内存FortiOS当内存耗尽时，会保护自己FortiGate会尝试恢复内存，并且保护新的内存分配直到：内存消耗下降，FortiGate才离开保护模式病毒扫描的进程被称为 scanunitd可通过diag sys top查看进程3种类型的保护模式内核（Kernel）没有足够的内存供操作系统使用时 (kernel) 没有设置内存的等级系统（System）整体内存使用率较高当