UTM / マルウェアプロテクション(ストリーム型アンチウイルス)
マルウェアプロテクション(ストリーム型アンチウイルス)は、本製品を通過するアプリケーションパケットのデータ部分を検査し、既知のマルウェアを検出した場合は該当パケットを通知/遮断する機能です。マルウェアプロテクション機能は、ブリッジング用、ルーティング用のインターフェースを通過するすべてのパケット、すなわち、IPv4/IPv6上のTCPパケットをはじめ、 UDP、ICMPなどTCP以外のパケットや、ブリッジされる非IPパケットに対して作用します。
また、HTTPとSMTPに関しては、MD5チェックサムを使用したファイルのチェックが可能です。
検査タイミング
本機能は下記のタイミングでサポート対象のパケットを検査します。- Ethernetインターフェース(PPPoE、802.1Qを含む)での受信時
- VLANインターフェースでの受信時
- PPPインターフェース(USB型データ通信端末)での受信時
- トンネルインターフェースでの受信時 ※初期設定では検査しません。後述する設定が必要です。
- ブリッジインターフェースでの受信時
- 本製品が生成したパケット(自装置発パケット)の送信前
基本設定
マルウェアプロテクションの設定は、マルウェアプロテクションモード(malware-protectionコマンド)で行います。以下、マルウェアプロテクションの設定手順を示します。
- マルウェアプロテクションの設定を行うため、マルウェアプロテクションモードに移行します。これにはmalware-protectionコマンドを使います。
awplus(config)# malware-protection
- マルウェアシグネチャデータベースの提供元を指定します。これにはprovider kasperskyコマンドを使います。
awplus(config-malware)# provider kaspersky
3.マルウェアプロテクション機能を有効化します。これにはprotectコマンドを使います。
awplus(config-malware)# protect
設定は以上です。
マルウェアシグネチャデータベースの更新チェック間隔は、update-intervalコマンドで変更可能です。初期値は1時間です。
awplus(config)# malware-protection awplus(config-malware)# update-interval days 1
マルウェアシグネチャデータベースは通常自動更新されますが、update nowコマンドで手動更新することも可能です。
awplus# update av_kaspersky_stream now
マルウェアシグネチャデータベースの更新ステータスはshow resourceコマンドで確認できます。
awplus# show resource av_kaspersky_stream
--------------------------------------------------------------------------------
Resource Name Status Version Interval Last Download
Next Download Check
--------------------------------------------------------------------------------
av_kaspersky_stream Sleeping av_kaspersky_stream_a_v1080
1 Mon 22 Aug 2016 13:17:07
hour Mon 22 Aug 2016 14:15:27
マルウェアプロテクション機能の有効・無効とマルウェアシグネチャデータベースの提供元、バージョン、更新チェック間隔は、show malware-protectionコマンドで確認できます。
awplus# show malware-protection
Status: Enabled (Active)
Events: 0
Provider: Kaspersky
Resource version: av_kaspersky_stream_a_v1080
Resource update interval: 1 hour
ログ
マルウェアプロテクション機能のログを記録するには、以下のコマンド(log(filter))を実行してください。初期設定では本機能のログは記録されません。awplus(config)# log buffered level informational facility local5