加密模式用于保证非安全通道传输的数据的安全,避免重要信息泄露以及加载到受保护工作站的软件被替换。
Dr.Web Enterprise Security Suite反病毒网络使用以下加密手段:
•电子数字签名(国标 R 34.10-2001)。
•非对称加密(VKO GOST R 34.10-2001 – RFC 4357)。
•对称加密(国标28147-89)。
•哈希加密功能(国标 R 34.11-94)。
Dr.Web Enterprise Security Suite反病毒网络可加密服务器与客户端之间的流量,包括:
•Dr.Web代理端。
•Dr.Web代理端安装程序。
•Dr.Web邻居服务器。
•Dr.Web代理服务器。
由于组件间特别是服务器之间可能会出现很大的流量,反病毒网络可设置对此流量进行压缩。设置压缩策略和不同客户端间的设置兼容性与加密设置相同。
设置兼容策略
加密和压缩使用策略在反病毒网络每一组件分别设置,同时其它组件的设置应与服务器的设置相符。
在设置服务器和客户端加密和压缩策略时应注意有些设置会产生冲突,导致服务器和客户端失去连接。
下表 中何种设置下服务器与客户端间的连接为加密/压缩(+),何种设置下为不加密/不压缩(–),哪些设置会产生冲突(错误)。
客户端设置 |
服务器设置 |
||
|---|---|---|---|
是 |
可能 |
否 |
|
是 |
+ |
+ |
错误 |
可能 |
+ |
+ |
– |
否 |
错误 |
– |
– |
|
如果计算机性能接近所安装组件的最低要求,流量加密会显著增加其计算负荷。如果没有额外安全保证的需求,可以不使用加密模式。 取消加密时应依次将服务器和组件转为可能模式,以免服务器-客户端间发生冲突。
使用压缩会减小流量,但相比加密,要占用更多内存,会更大程度地增加计算机的计算负荷。 |
通过Dr.Web代理服务器连接
客户端通过Dr.Web代理服务器连接服务器时必须考虑所有三个节点的加密和压缩设置。这时:
•服务器和代理服务器(这时作为客户端)的设置一个按照上表匹配。
•客户端和代理服务器(这时作为服务器)的设置一个按照上表匹配。
是否可以通过代理服务器取决于服务器和客户端相应版本所支持的加密技术:
•如果服务器和客户端支持11.0.2版本中使用的TLS加密,则只需执行上面描述的条件就可以建立连接。
•如果有一个组件不支持TLS加密:在服务器和/或客户端安装的是使用国标加密的版本10或更低版本,则需要按照下表进行补充检查。
与客户端的连接设置 |
与服务器的连接设置 |
|||
|---|---|---|---|---|
无 |
压缩 |
加密 |
全部 |
|
无 |
一般模式 |
一般模式 |
错误 |
错误 |
压缩 |
一般模式 |
一般模式 |
错误 |
错误 |
加密 |
错误 |
错误 |
透明模式 |
错误 |
全部 |
错误 |
错误 |
错误 |
透明模式 |
与服务器和客户端的连接设置 |
|
|---|---|
无 |
压缩和加密都不支持。 |
压缩 |
只支持压缩。 |
加密 |
只支持加密。 |
全部 |
压缩和加密都支持。 |
连接结果 |
|
一般模式 |
已建立的连接意味着以一般模式运行,处理指令并进行缓存。 |
透明模式 |
已建立的连接意味着以透明模式运行,不处理指令,不进行缓存。选择最低的加密协议版本:如果有一个客户端(服务器或代理端)为版本11,而另一个是版本10,则建立版本10中使用的加密。 |
错误 |
代理服务器与服务器和客户端的连接将中断 |
这样,如果服务器和代理端版本不同:一个是版本11,另一个是版本10或更低,则通过代理服务器建立连接应用以下限制:
•在代理服务器进行缓存只能是在与服务器和客户端的连接都不使用加密的情况下。
•使用加密只能是与服务器和客户端的连接都使用加密且压缩参数相同(两个连接都有压缩或都没有压缩)。
在服务器设置加密和压缩
设置服务器压缩和加密的操作:
1.在管理中心主菜单选择管理。
2.在打开的窗口选择控制菜单中的Dr.Web服务器配置。
3.在网络 → 传输标签的加密和压缩下拉列表中选择以下一种方案:
•是——同所有客户端间的流量都必须加密(或压缩) (如安装服务器时未另行设置,此方案为加密默认设置)。
•可能——如客户端的设置不禁止加密(或压缩),则与这些组件间的流量将进行加密(或压缩)。
•否 ——不支持加密(或压缩) (如安装服务器时未另行设置,此方案为 压缩默认设置)。
|
在服务器端设置加密和压缩时许注意将和此服务器连接的客户端的特点。并非所有客户端都支持流量加和压缩。 |
在代理服务器设置加密和压缩
统一为代理服务器设置加密和压缩的操作:
|
如果代理服务器未连接Dr.Web服务器,因而不能远程进行设置管理。需按照中的将代理服务器连接到Dr.Web服务器的描述设置连接。 |
1.为代理服务器的控制服务器打开管理中心。
2.在管理中心主菜单选择反病毒网络,在打开窗口的分层列表中点击需编辑其设置的代理服务器的名称,如果代理服务器从基组继承设置,则点击基组名称。
3.在打开的控制菜单选择Dr.Web代理服务器。打开设置选项。
4.打开监听标签。
5.在与客户端的连接参数的加密和压缩下拉列表中选择代理服务器和其所服务的客户端间流量的加密和压缩模式,包括代理端和代理端安装程序。
6.在在与Dr.Web服务器的连接参数指定向其重定向流量的服务器列表。在表中选择需要的服务器后点击这一部分工具面板的按钮
,编辑与所选Dr.Web服务器的连接参数。在打开的窗口的加密和压缩下拉列表选择代理服务器与所选服务器间流量的加密和压缩模式。
7.点击保存按钮保存指定的设置。
为代理服务器本地设置加密和压缩的操作:
|
如果代理服务器连接Dr.Web控制服务器,可进行远程设置,则将按照从服务器获取的设置重写代理服务器的配置文件。这种情况下必须从服务器远程指定设置或停用从这一服务器接收配置。
配置文件drwcsd-proxy.conf描述见附录的附录G4。 |
1.在安装代理服务器的电脑端口配置文件drwcsd-proxy.conf。
2.点击与客户端和服务器连接的压缩和加密设置。
3.重启代理服务器:
•OS Windows:
▫如果代理服务器是作为OS Windows服务启动,则利用系统工具重启服务。
▫如果代理服务器是在控制台启动,重启需点击Ctrl+Break。
•UNIX家族操作系统:
▫将信号SIGHUP发送给代理服务器守护进程。
▫需执行以下命令:
OS Linux:
/etc/init.d/dwcp_proxy restart |
OS FreeBSD:
/usr/local/etc/rc.d/dwcp_proxy restart |
为工作站设置加密和压缩
1.在管理中心主菜单选择反病毒网络,在打开窗口的分层列表中点击工作站或组的名称。
2.在打开的控制菜单选择连接参数。
3.在常规标签压缩模式和加密模式下拉列表中选择以下一种方案:
•是——一定加密(或压缩)与服务器间的流量。
•可能——如服务器的设置不禁止加密(或压缩),则与服务器的流量将进行加密(或压缩)。
•否——不支持加密(或压缩)。
4.点击保存。
5.设置传至工作站后立即生效。如更改设置时工作站离线,则更改会在工作站再次连接服务器时立即传至工作站。
用于Windows操作系统的Dr.Web代理端
可在安装代理端时设置加密和压缩:
•从管理中心进行远程安装时直接在网络安装的设置中指定加密和压缩模式。
•进行本地安装时图形安装程序不可更改加密和压缩模式,但可在启动安装程序时利用命令行参数进行设置(参见附录中的H2. 网络安装程序)。
完成代理端安装后不可在工作站本地更改加密和压缩模式。默认模式设置为可能(如安装过程中未另行指定),也就是说是否加密和压缩取决于服务器端的设置。但可以通过管理中心更改代理端的设置(见上)。
用于Android操作系统的Dr.Web反病毒软件
反病毒软件Dr.Web for Android不支持加密,也不支持压缩。如果服务器端或代理服务器端(如通过代理服务器建立连接)压缩和/或加密的设置为是,将无法连接服务器。
用于Linux操作系统的Dr.Web反病毒软件
安装反病毒软件是不可更改加密和压缩模式。默认模式为可能。
完成反病毒软件安装后只可通过控制台模式更改工作站的加密和压缩设置。控制台模式介绍和相应的命令行参数见Dr.Web for Linux用户手册。
也可通过管理中心更改工作站设置(见上)。
用于macOS的Dr.Web反病毒软件
完成代理端安装后不可再工作站本地更改加密和压缩模式。默认模式设置为可能,也就是说是否加密和压缩取决于服务器端的设置。
也可通过管理中心更改工作站设置(见上)。