UTM / マルウェアプロテクション（ストリーム型アンチウイルス）

マルウェアプロテクション（ストリーム型アンチウイルス）は、本製品を通過するアプリケーションパケットのデータ部分を検査し、既知のマルウェアを検出した場合は該当パケットを通知/遮断する機能です。

Note
マルウェアプロテクション機能を使用するにはアニュアルライセンスが必要です。
ライセンスのインストール方法については「運用・管理」/「システム」の「ライセンスキーのインストール」をご参照ください。

Note
UTMバンドルライセンス「UTM-01：アプリケーションコントロール、Webコントロール」または「UTM-02：IPレピュテーション、アドバンスドIPS」を適用してこれらのライセンスの対象機能を使用している場合、マルウェアプロテクション機能は使用できません。

Note
マルウェアプロテクション、アンチウイルスからアドバンスドIPSに切り替えるときは、マルウェアプロテクション、アンチウイルスを無効化し、アドバンスドIPSを有効化した後、いったん設定を保存して再起動してください。

Note
サーバーからリソースファイルがダウンロードされると、リソースファイルの読み込みが開始されます。このリソースファイルの読み込み中は通信が破棄される可能性がありますのでご注意ください。

マルウェアプロテクション機能は、ブリッジング用、ルーティング用のインターフェースを通過するすべてのパケット、すなわち、IPv4/IPv6上のTCPパケットをはじめ、 UDP、ICMPなどTCP以外のパケットや、ブリッジされる非IPパケットに対して作用します。
また、HTTPとSMTPに関しては、MD5チェックサムを使用したファイルのチェックが可能です。

検査タイミング

本機能は下記のタイミングでサポート対象のパケットを検査します。

Ethernetインターフェース（PPPoE、802.1Qを含む）での受信時
VLANインターフェースでの受信時
PPPインターフェース（USB型データ通信端末）での受信時
トンネルインターフェースでの受信時 ※初期設定では検査しません。後述する設定が必要です。
ブリッジインターフェースでの受信時
本製品が生成したパケット（自装置発パケット）の送信前

Note
初期設定では、トンネルインターフェースで受信したパケットは検査されません。
トンネルインターフェースで受信したパケットに本機能を適用するには、インターフェースモードのtunnel inline-processingコマンドか、グローバルコンフィグモードのtunnel security-reprocessingコマンドを有効にしてください。
tunnel security-reprocessingコマンドの有効時は、すべてのトンネルインターフェースで受信パケットが検査対象になります。
一方、tunnel inline-processingコマンドは指定したIPsecトンネルインターフェースに対してのみ有効ですが、復号後のパケットだけを検査するためsecurity-reprocessingよりもパケット処理の負荷軽減が見込まれます。

基本設定

マルウェアプロテクションの設定は、マルウェアプロテクションモード（malware-protectionコマンド）で行います。

以下、マルウェアプロテクションの設定手順を示します。

マルウェアプロテクションの設定を行うため、マルウェアプロテクションモードに移行します。これにはmalware-protectionコマンドを使います。
```
awplus(config)# malware-protection ↓
```
マルウェアシグネチャデータベースの提供元を指定します。これにはprovider kasperskyコマンドを使います。
```
awplus(config-malware)# provider kaspersky ↓
```
Note
マルウェアプロテクション機能とファイアウォール機能を併用する場合は、マルウェアシグネチャデータベースを更新するため、本製品からインターネットへのDNS通信とHTTPS通信を許可する必要があります。また、アプリケーションコントロール（DPI）機能でサンドバイン社のアプリケーションシグネチャデータベースを使用している場合は、本製品からインターネットへのSSL通信も許可する必要があります。

3．マルウェアプロテクション機能を有効化します。これにはprotectコマンドを使います。
```
awplus(config-malware)# protect ↓
```

設定は以上です。

■ マルウェアシグネチャデータベースの更新チェック間隔は、update-intervalコマンドで変更可能です。初期値は1時間です。

awplus(config)# malware-protection ↓
awplus(config-malware)# update-interval days 1 ↓

■ マルウェアシグネチャデータベースは通常自動更新されますが、update nowコマンドで手動更新することも可能です。

awplus# update av_kaspersky_stream now ↓

■ マルウェアシグネチャデータベースの更新ステータスはshow resourceコマンドで確認できます。

awplus# show resource av_kaspersky_stream ↓
--------------------------------------------------------------------------------
Resource Name          Status       Version   Interval  Last Download
                                                        Next Download Check
--------------------------------------------------------------------------------
av_kaspersky_stream    Sleeping     av_kaspersky_stream_a_v1080
                                              1         Mon 22 Aug 2016 13:17:07
                                              hour      Mon 22 Aug 2016 14:15:27

■ マルウェアプロテクション機能の有効・無効とマルウェアシグネチャデータベースの提供元、バージョン、更新チェック間隔は、show malware-protectionコマンドで確認できます。

awplus# show malware-protection ↓
Status:      Enabled (Active)
Events:      0
Provider: Kaspersky
Resource version: av_kaspersky_stream_a_v1080
Resource update interval: 1 hour

ログ

■ マルウェアプロテクション機能のログを記録するには、以下のコマンド（log(filter)）を実行してください。初期設定では本機能のログは記録されません。

awplus(config)# log buffered level informational facility local5 ↓

PN: 613-002107 Rev.BE