病毒/恶意软件扫描规则

HTTP > 高级威胁防护 > 策略 | 策略列表或添加 | 病毒/恶意软件扫描规则

IWSA 可扫描 HTTP 通信以检测病毒、非病毒威胁，并根据特定内容的类型阻止其进入 LAN。创建多个策略让 IWSA 对组织中的不同用户组应用不同的扫描条件。

• 高级威胁扫描 — 检查是否包含不太寻常的威胁，如文档利用。检测到的一些文件可能是安全的，只需在虚拟环境中进一步观察和分析。选择是阻止还是监控。

• 阻止以下文件类型 — 可以让 IWSA 在开始传输之前阻止某些文件类型；被阻止的文件不会传送到客户端，并且不会对其进行扫描。更多>>

  • 选中某个类别所对应的框，以选择该类别中的所有文件类型。

  • 单击“显示详细信息”，然后取消选中在检查类别中应允许的文件类型。

   

• 扫描以下文件类型 — 为了针对 Internet 威胁提供最佳防护，趋势科技建议扫描所有文件类型。更多>>

  • 所有可扫描文件：扫描所有文件；仅根据文件名确定文件类型，但因为扫描了所有文件，所以类型就不相关了。

  • IntelliScan：仅扫描已知有潜在危害的类型的文件；根据内部文件属性确定文件类型。

  • 选定文件扩展名：仅扫描您指定类型的文件；仅根据文件名确定文件类型。

  • 要跳过的 MIME 内容类型：缺省情况下，IWSA 在进行病毒扫描时会跳过某些文件类型，以提高性能和改善用户的流式音频/视频应用程序使用体验。

  要更改缺省扫描行为并启用对这些 MIME 文件类型的扫描，只需从“要跳过的 MIME 内容类型”例外列表中移除要扫描的 MIME 文件类型。缺省情况下跳过的文件包括：

  • application/vnd.m-realmedia

  • audio/wav

  • audio/x-wav

  • audio/Microsoft-wave

  • audio/mpeg

  • audio/x-mpeg

  • audio/mid

  • image/gif

  • image/jpeg

  • image/png

  • image/x-xbitmap

  • image/x-icon

  • image/vnd.microsoft.icon

  • video/avi

  • video/mpeg

  • video/quicktime

  • video/x-ms-asf

  • video/x-ms-wmv

  • video/x-msvideo

  • 启用 MIME 类型验证：启用验证可对 MIME 流执行真实文件类型检查。但是，并非所有 MIME 类型都可精确检测到。如果出现误判，请禁用 MIME 类型验证，并将进行内容类型验证。

• IntelliTrap — 可检测随 HTTP 数据到达的实时压缩可执行文件中的潜在恶意代码。病毒编写者经常试图使用不同的压缩模式避开病毒过滤。IntelliTrap 可提供启发式评估压缩文件，帮助降低使用这些方法压缩的病毒通过 Web 进入网络的风险。对于恶意压缩可执行文件，将会执行在“处理措施”选项卡中指定的处理措施。缺省情况下会启用 IntelliTrap。

• 压缩文件处理 — 压缩文件可能会引起特别的安全风险。它们通常包含大量文件（任何一个文件都可能有害）。它们可能有密码保护，以阻止扫描。压缩文件可能包含数百个压缩层，从而导致处理过程变慢或停止。恶意黑客会利用它们使有害代码秘密通过扫描程序或控制系统。

• 大文件处理 — 传输大文件时，用户会注意到滞后现象，或客户端浏览器会在 IWSA 扫描文件时超时。在传输小于 100MB 的文件时这种影响通常不太会引起注意，但确切的临界点显然取决于带宽、硬件、代理服务器性能、压缩层和文件大小。
  
  IWSA 收到的一定百分比的外部数据将不进行扫描即以块发送至浏览器。只有接收并扫描完整个数据集之后，最后一个块才会发送给浏览器，从而完成下载。发送较小的块不仅可以维持 IWSA - Web 浏览器连接，而且可以使最终用户始终知道下载进度。

• 隔离文件的处理 — 趋势科技建议对所有隔离文件加密。缺省的隔离目录是：

/var/iwss/quarantine

您可以在管理 > IWSA 配置 > 隔离管理页中更改此位置。

另请参阅：

• 关于 IntelliScan