Антивирус ClamAV
Данный плагин поддерживает проверку HTTP-, HTTPS-трафика (требует настройки функционала SSL Bump).
Взаимодействие данного плагина с прокси-сервером Squid осуществляется по протоколу ICAP через посредника - службу C-ICAP. ClamAV не поддерживается ICAP нативно.
Примечание
Антивирус ClamAV является бесплатным программным обеспечением.
Антивирусная проверка с помощью устройства TING - это проверка на уровне шлюза. Шлюзовые антивирусы смогут защитить ваших пользователей от опасных веб-сайтов и зараженных файлов, скачиваемых через веб-браузер. Для защиты от других форм заражений, например через USB-флешку - на конечных компьютерах пользователей нужно дополнительно использовать десктопный антивирус.
Конфигурация, предусматривающая шлюзовый антивирус на устройстве Traffic Inspector Next Generation и десктопный антивирус на конечном компьютере пользователя, является допустимой и рекомендуемой во многих случаях.
Любой антивирус не может полностью защитить вашу сеть от всех возможных сетевых угроз, однако его использование снизит риск заражения. Планируйте регулярное резервное копирование важных файлов, убедитесь, что списки доступа на устройстве TING используются правильно, а так же старайтесь чаще делать обновления безопасности, чтобы поверхность для атаки было как можно меньше.
Общие настройки
Для того, чтобы осуществлялась антивирусная проверка, трафик от клиентских машин должен попадать на веб-прокси устройства TING.
Независимо от выбранного способа антивирусной проверки, нужно осуществить общие настройки, которые обеспечат попадание трафика на веб-прокси.
Если Вам необходимо настроить проверку HTTP-трафика, Вы можете сделать явные настройки на веб-прокси или настроить прозрачное проксирование на устройстве TING.
Если Вам необходимо настроить проверку HTTPS-трафика, должны быть выполнены два условия: в Вашем браузере нет явных настроек на веб-прокси и на устройстве TING настроен функционал SSL Bump.
Когда Вы настраиваете одновременную проверку HTTP-трафика и HTTPS-трафика, можно легко ошибиться и оставить включенной опцию Один прокси-сервер для всех протоколов. В результате, проверка HTTP-трафика будет отрабатывать, а условия для проверки HTTPS-трафика не будут выполнены.
Настройка ClamAV/C-ICAP
Установка плагина os-c-icap-clamav
Пройдите в раздел . На вкладке нажмите на кнопку + напротив плагина c-icap-clamav для его установки.
После установки плагина, в разделе появляется подраздел .
Обновление баз сигнатур
Пройдите в разделе , вкладка . Убедитесь, что антивирус скачал актуальную базу сигнатур.
Примечание
Cлужба freshclam обновляет базу сигнатур автоматически, раз в сутки.
Примечание
Распакованная база сигнатур занимает около пятисот мегабайт. Инициализация ClamAV при наличии полной базы - дорогостоящая операция, которая занимает до полутора минут на младшем устройстве линейки - TING S100.
Определите общие настройки в соответствии со скриншотом.
Важные настройки:
Включить службу c-icap
Данный флаг активирует сервис C-ICAP.
Включить услугу freshclam
Freshclam - это сервис для обновления ваших сигнатур вредоносного ПО. Если вы используете ClamAV, рекомендуется регулярно обновлять сигнатуры.
Старт серверов
Исходное число процессов сервера.
Максимум серверов
Максимальное число процессов сервера. Ограничить количество процессов.
Адрес прослушивания
Сетевой адрес, на котором c-icap сервер слушает запросы. Этот адрес обычно является адресом loopback (:: 1 для IPv6 или 127.0.0.1 для IPv4)
Подключить локальный прокси-сервер к c-icap
Данный флаг нужно установить, так как он обеспечивает выполнение антивируса ClamAV на самом устройстве TING.
Определите настройки сканирования в соответствии со скриншотом.
Важные настройки:
Зеркало базы данных freshclam
Необходимо указать адрес clamav.smart-soft.ru для корректного обновления базы сигнатур.
Сканировать типы файлов
Типы файлов, которые нужно сканировать.
Пропускать при ошибке
В случае неудачи сканирования передача объекта разрешается. Выключите данную опцию.
Максимальный размер объекта
Максимальный размер файлов для сканирования службой антивируса. Вы можете использовать K и M индикаторы для обозначения размера в килобайтах и мегабайтах.
Блокировать зашифрованные архивы
Помечать зашифрованные архивы, как вирусы (Encrypted.Zip, Encrypted.RAR).
Максимальный размер сканирования
Эта опция устанавливает максимальное количество данных для сканирования для каждого файла. Архивы и другие контейнеры рекурсивно извлекаются и сканируются до этого значения.
Максимальный размер файла
Файлы, большие, чем этот лимит не будут сканированы.
Максимальная рекурсия
Вложенные архивы сканируются рекурсивно, т.е. если Zip архив содержит RAR файл, все файлы в нём также будут просканированы.
Максимум файлов
Число файлов, сканируемых в архиве, документе, или любом другом контейнере.
Настройка ICAP в веб-прокси
Укажите в свойствах веб-прокси, как он будет взаимодействовать по ICAP со службой C-ICAP.
Для этого пройдите в раздел , вкладка и выберите пункт меню .
Установите флажок Включить ICAP.
Проверьте, что значения для параметров Запрос на изменение URL и Ответ на изменение URL указаны следующим образом:
Примечание
В URL указывается loopback-адрес. Таким образом, взаимодействие между веб-прокси и службой C-ICAP будет вестиcь через сетевой стек, но не покидая данного хоста.
Важно
Если в URL указан IPv6-адрес, проверьте, что у вас установлен флаг Разрешить IPv6 в разделе , а также не запрещена передача IPv6-трафика правилами межсетевого экрана.
В случае использования фильтрации категорий видео Youtube, необходимо к значениям параметров Запрос на изменение URL и Ответ на изменение URL добавить URL сервиса фильтрации Youtube следующим образом:
Нажмите кнопку Применить.
Проверка работы антивируса
Для проверки функционала антивирусной защиты удобно использовать ресурс http://www.eicar.org .
EICAR - безвредный тестовый вирус, применяемый для простой проверки - работает ли антивирус.
На странице http://2016.eicar.org/85-0-Download.html можно скачать вирус EICAR по протоколу HTTP, HTTPS, в виде архивного ZIP-файла и т.п.
Проверку нужно осуществлять с конечного компьютера пользователя.
При обнаружении потенциально опасного содержимого, загрузка блокируется и антивирус отображает страницу блокировки в браузере пользователя.
Антивирус ClamAV записывает обнаруженные угрозы в журнал, который можно посмотреть в :
