3.1. Компоненты Dr.Web для Интернет-шлюзов UNIX

На главную  Назад  Вперед

Для защиты интернет-шлюзов UNIX-систем предоставляются следующие антивирусные компоненты:

Dr.Web ICAPD

Центральный компонент программного комплекса Dr.Web для Интернет-шлюзов UNIX. Позволяет интегрировать его с приложениями, использующими протокол ICAP (как правило, это защищаемый прокси-сервер HTTP/FTP, использующийся для доступа рабочих станций, включенных в ЛВС, к Интернету).

Консольный сканер Dr.Web Scanner (настройки доступны только на станции)

Служит для обнаружения и лечения вирусов на локальной машине, в том числе и в каталогах общего доступа.

Резидентный компонент Dr.Web Daemon (настройки доступны только на станции)

Используется компонентом Dr.Web ICAPD для проверки файлов и, при возможности, обезвреживания угроз.

Карантин

Используется для изоляции вредоносных и подозрительных объектов в специальном каталоге.

info

Описание работы с Карантином через Центр управления приведено в Руководстве администратора.

Dr.Web ICAPD (drweb-icapd) позволяет интегрировать все компоненты программного комплекса Dr.Web для Интернет-шлюзов UNIX с приложениями, использующими протокол ICAP. На данный момент поддержка протокола ICAP включена в прокси-серверы Squid и SafeSquid. Dr.Web ICAPD соединяет прокси-сервер, поддерживающий протокол ICAP, с Dr.Web Daemon (drweb-daemon) для проверки всего входящего FTP- и HTTP-трафика на наличие вирусов. Кроме того, он позволяет фильтровать доступ к HTML-ресурсам как по MIME-типу и размеру соответствующих файлов, так и по имени узла. Также с его помощью можно ограничивать доступ к страницам благодаря использованию как обновляемых списков категорий интернет-ресурсов, так и черных и белых списков, определенных пользователем (администратором комплекса).

Принципы работы:

1.Клиент выполняет запрос некоторого ресурса (HTTP-запрос GET).

2.Прокси-сервер запрашивает у Dr.Web ICAPD по протоколу ICAP возможность обращения к указанному серверу.

3.Если доступ к указанному серверу не должен быть заблокирован (сервер находится в пользовательском белом списке, не находится в пользовательском черном списке, не находится в блокируемых категориях веб-сайтов или если для запроса сработали разрешающие доступ правила), то Dr.Web ICAPD разрешает прокси-серверу выполнить HTTP-запрос. В противном случае Dr.Web ICAPD предписывает прокси-серверу вернуть клиенту сгенерированную Dr.Web ICAPD HTML-страницу с уведомлением о блокировке ресурса.

4.Если доступ к удаленному серверу был разрешен, то прокси-сервер получает от него ответ, который по протоколу ICAP передает Dr.Web ICAPD на антивирусную проверку.

5.Если пользователь добавил удаленный сервер в белый список, полученный контент не проверяется и Dr.Web ICAPD предписывает прокси-серверу передать контент клиенту. В противном случае, Dr.Web ICAPD проверяет выполнение правил контент-фильтрации, и, если для контента выполняется действие scan, отправляет полученный файл на проверку сканирующему демону Dr.Web Daemon.

6.По результатам проверки к запрашиваемому контенту применяется одно из следующих действий:

a)pass – Dr.Web ICAPD разрешает прокси-серверу вернуть запрошенный контент клиенту;

b)report – Dr.Web ICAPD предписывает прокси-серверу вернуть клиенту сгенерированную HTML-страницу с уведомлением об отклонении запрошенного файла;

c)move – Dr.Web ICAPD помещает исходный файл в Карантин и предписывает прокси-серверу вернуть клиенту сгенерированную HTML-страницу с уведомлением о помещении запрошенного файла в Карантин;

d)truncate – Dr.Web ICAPD предписывает прокси-серверу вернуть клиенту пустой файл.

Эти же действия (за исключением перемещения в Карантин) могут быть указаны и в самих правилах контент-фильтрации. Таким образом, можно разрешить компоненту Dr.Web ICAPD пропускать без проверки, или наоборот, безусловно отвергать данные некоторых типов (например, потоковое видео). Для этого требуется, чтобы был активизирован и корректно настроен режим ICAP preview.

Настройка прокси-серверов Squid и SafeSquid для работы с Dr.Web ICAPD описана в Руководстве Администратора по продукту Dr.Web для Интернет-шлюзов UNIX.