Внешний антивирус
Данный способ защиты заключается в настройке веб-прокси Squid для взаимодействия с внешним антивирусом на удаленном хосте по протоколу ICAP.
Антивирусная проверка с помощью устройства Traffic Inspector Next Generation (TING) - это проверка на уровне шлюза. Шлюзовые антивирусы смогут защитить ваших пользователей от опасных веб-сайтов и зараженных файлов, скачиваемых через веб-браузер. Для защиты от других форм заражений, например через USB-флешку - на конечных компьютерах пользователей нужно дополнительно использовать десктопный антивирус.
Конфигурация, предусматривающая шлюзовый антивирус на устройстве TING и десктопный антивирус на конечном компьютере пользователя, является допустимой и рекомендуемой во многих случаях.
Любой антивирус не может полностью защитить вашу сеть от всех возможных сетевых угроз, однако его использование снизит риск заражения. Планируйте регулярное резервное копирование важных файлов, убедитесь, что списки доступа на устройстве TING используются правильно, а так же старайтесь чаще делать обновления безопасности, чтобы поверхность атаки была как можно меньше.
Общие настройки
Для того, чтобы осуществлялась антивирусная проверка, трафик от клиентских машин должен попадать на веб-прокси устройства TING.
Независимо от выбранного способа антивирусной проверки, нужно осуществить общие настройки, которые обеспечат попадание трафика на веб-прокси.
Если Вам необходимо настроить проверку HTTP-трафика, Вы можете сделать явные настройки на веб-прокси или настроить прозрачное проксирование на устройстве TING.
Если Вам необходимо настроить проверку HTTPS-трафика, должны быть выполнены два условия: в Вашем браузере нет явных настроек на веб-прокси и на устройстве TING настроен функционал SSL Bump.
Когда Вы настраиваете одновременную проверку HTTP-трафика и HTTPS-трафика, можно легко ошибиться и оставить включенной опцию Один прокси-сервер для всех протоколов. В результате, проверка HTTP-трафика будет отрабатывать, а условия для проверки HTTPS-трафика не будут выполнены.
Настройка внешнего антивируса
Настройка антивирусов сторонних производителей выходит за рамки данной инструкции. Обратитесь к докуметации производителя антивируса для его настройки.
Настройка ICAP в веб-прокси
Веб-прокси на устройстве TING поддерживает взаимодействие с антивирусом, выполняемом на отдельном внешнем хосте, посредством протокола ICAP.
В данном разделе освещаются настройки на стороне TING, для того, чтобы веб-прокси смог взаимодействовать с внешним антивирусом.
Подключите сервер, на котором выполняется антивирус, к шлюзу TING через свитч или напрямую с помощью отдельного сетевого кабеля. Лучше, если для подключения будет использоваться отдельный кабель – это обеспечит защиту от перехвата незашифрованного ICAP-трафика, которым обмениваются устройство TING и внешний антивирус. Также, для безопасной передачи ICAP-трафика, устройство TING и внешний антивирус можно разместить в отдельном VLAN.
Укажите в свойствах веб-прокси, как он будет взаимодействовать по ICAP с внешним антивирусом. Пройдите в раздел , вкладка и выберите пункт меню .
Установите флаг Включить ICAP и укажите URL, идентифицирующие ICAP-сервис (в нашем случае, антивирус). Любой ICAP-сервис может поддерживать работу в двух режимах - Запрос на изменение и Ответ на изменение - поэтому задается не один, а два URL-идентификатора. Каждый URL-идентификатор, таким образом, обозначает не столько ICAP-сервис как таковой, а ICAP-сервис + режим работы.
Допустим Вы используете поддерживающий ICAP антивирус Kaspersky Anti-Virus, который выполняется на хосте с IP-адресом 192.168.1.13. В таком случае URL-идентификаторы нужно указать следующим образом:
Проверка работы антивируса
Для проверки функционала антивирусной защиты удобно использовать ресурс http://www.eicar.org .
EICAR - безвредный тестовый вирус, применяемый для простой проверки - работает ли антивирус.
На странице http://2016.eicar.org/85-0-Download.html можно скачать вирус EICAR по протоколу HTTP, HTTPS, в виде архивного ZIP-файла и т.п.
Проверку нужно осуществлять с конечного компьютера пользователя.