Dr.Web Server Security Suite представляет собой программный комплекс, состоящий из набора компонентов, каждый из которых выполняет свой набор функций. В соответствии с задачами, решаемыми компонентами, они разделены на категории:
•Базовые антивирусные компоненты, образующие ядро продукта Dr.Web Server Security Suite. При отсутствии компонентов этой категории продукт не может выполнять сканирование файлов (и иных данных) на предмет наличия вирусов и иных угроз.
•Компоненты поиска угроз. Данные компоненты используются для решения базовых задач Dr.Web Server Security Suite — поиска вредоносных и потенциально опасных объектов. В своей работе компоненты этой категории используют базовые антивирусные компоненты.
•Сервисные компоненты, решающие вспомогательные задачи для поддержки антивирусной защиты (обновление вирусных баз, подключение к серверам централизованной защиты, общая координация работы компонентов Dr.Web Server Security Suite и т. д.).
•Интерфейсные компоненты, предоставляющие (пользователю или сторонним приложениям) интерфейс для управления работой Dr.Web Server Security Suite.
Перечень компонентов, входящих в состав Dr.Web Server Security Suite, перечислен в таблицах ниже.
1. Базовые антивирусные компоненты
Компонент |
Описание |
|---|---|
Dr.Web Virus-Finding Engine |
Антивирусное ядро. Реализует алгоритмы поиска и распознавания вирусов и прочих вредоносных программ (используя сигнатурный и эвристический анализ). Работает под управлением компонента Dr.Web Scanning Engine Файл библиотеки: drweb32.dll. Внутреннее наименование, выводимое в журнал: CoreEngine |
Сканирующее ядро. Компонент, отвечающий за загрузку антивирусного ядра Dr.Web Virus-Finding Engine и вирусных баз. •Передает антивирусному ядру на проверку содержимое файлов и загрузочных записей дисковых устройств. •Организует очередь файлов, ожидающих проверки. •Выполняет лечение тех угроз, для которых данное действие применимо. Может работать как под управлением демона Dr.Web ConfigD, так и в автономном режиме. Используется компонентами Dr.Web File Checker и Dr.Web Network Checker. Также может использоваться компонентом Dr.Web MeshD (в некоторых режимах работы) и внешними (по отношению к Dr.Web Server Security Suite) приложениями, использующими непосредственно API Dr.Web Scanning Engine Исполняемый файл компонента: drweb-se. Внутреннее наименование, выводимое в журнал: ScanEngine |
|
Вирусные базы |
Автоматически обновляемая база данных сигнатур вирусов и прочих угроз, а также алгоритмов распознавания и нейтрализации вредоносного программного обеспечения. Используется антивирусным ядром Dr.Web Virus-Finding Engine и поставляется совместно с ним |
Компонент проверки объектов файловой системы и менеджер карантина. •Принимает от компонента поиска угроз задания на проверку файлов, находящихся в локальной (по отношению к Dr.Web Scanning Engine) файловой системе. •Обходит каталоги файловой системы согласно заданию, передает файлы на проверку сканирующему ядру Dr.Web Scanning Engine и оповещает компоненты-клиенты о ходе проверки. •Выполняет удаление инфицированных файлов, перемещение их в карантин и восстановление из карантина, управляет каталогами карантина. •Организует и содержит в актуальном состоянии кеш, хранящий информацию о ранее проверенных файлах для уменьшения частоты повторных проверок файлов. Используется компонентами, проверяющими объекты файловой системы, такими как SpIDer Guard, SpIDer Guard для SMB, SpIDer Guard для NSS Исполняемый файл компонента: drweb-filecheck. Внутреннее наименование, выводимое в журнал: FileCheck |
|
Агент сетевой проверки данных. •Используется для передачи на проверку в сканирующее ядро данных, отправленных компонентами программного комплекса через сеть (это такие компоненты, как Dr.Web ClamD). •Позволяет Dr.Web Server Security Suite организовывать распределенную проверку данных: принимать на проверку данные с удаленных узлов сети и передавать локальные данные на проверку на удаленные узлы сети. Для приема и передачи данных на удаленных узлах также должен функционировать антивирусный продукт Dr.Web для операционных систем семейства UNIX. В режиме распределенной проверки позволяет автоматически распределять интенсивность антивирусного сканирования по доступным узлам, снижая нагрузку на узлы с большим объемом проверки (например, выполняющих роль почтовых серверов и интернет-шлюзов). При наличии в сети узлов-партнеров, способных принимать данные на проверку, компоненты, использующие Dr.Web Network Checker для проверки, могут не использовать мощности локального сканирующего ядра Dr.Web Scanning Engine. Таким образом, локальное сканирующее ядро Dr.Web Scanning Engine, Dr.Web Virus-Finding Engine и вирусные базы могут отсутствовать. Для обеспечения безопасности при передаче файлов по сети использует SSL Исполняемый файл компонента: drweb-netcheck. Внутреннее наименование, выводимое в журнал: NetCheck |
|
Компонент, осуществляющий подключение продукта Dr.Web Server Security Suite к локальному облаку, позволяющему продуктам Dr.Web для UNIX обмениваться обновлениями, результатами проверки файлов, передавать друг другу на проверку файлы, а также предоставлять услуги сканирующего ядра напрямую. При наличии этого компонента в составе продукта и при наличии в составе локального облака, к которому он подключен, узлов, предоставляющих услуги сканирующего ядра, локальное сканирующее ядро Dr.Web Scanning Engine, Dr.Web Virus-Finding Engine и вирусные базы могут отсутствовать Исполняемый файл компонента: drweb-meshd. Внутреннее наименование, выводимое в журнал: MeshD |
Компонент |
Описание |
||
|---|---|---|---|
Монитор файловой системы GNU/Linux. Работает в фоновом режиме и отслеживает операции с файлами (такие как создание, открытие, закрытие и запуск файла) в файловых системах GNU/Linux. Посылает компоненту Dr.Web File Checker запросы на проверку содержимого новых и изменившихся файлов, а также исполняемых файлов в момент запуска программ. В зависимости от возможностей ОС использует системный механизм fanotify или специализированный модуль ядра, разработанный компанией «Доктор Веб» (LKM-модуль, поставляется совместно с SpIDer Guard в отдельном пакете). При работе через системный механизм fanotify монитор может работать в усиленном или «параноидальном» режиме, блокируя доступ к файлам, которые еще не проверены, до момента окончания их проверки. По умолчанию используется обычный режим мониторинга.
Исполняемый файл компонента: drweb-spider. Внутреннее наименование, выводимое в журнал: LinuxSpider |
|||
Загружаемый модуль ядра Linux для SpIDer Guard |
Загружаемый модуль ядра Linux (LKM-модуль), используемый монитором SpIDer Guard для доступа к событиям файловой системы в тех ОС, в которых API fanotify недоступен или реализован с ограниченным набором функций. Компонент поставляется как в скомпилированном виде (для набора ОС, в которых fanotify не реализован или недоступен), так и в виде исходного кода, позволяющего осуществить сборку и установку модуля ядра ОС вручную (инструкция по сборке приведена в разделе Использование модуля ядра для SpIDer Guard).
Исполняемый файл компонента: drweb.ko |
||
Монитор разделяемых каталогов Samba. Работает в фоновом режиме и отслеживает операции файловой системы (такие как создание, открытие и закрытие файла, а также операции чтения и записи) в каталогах, отведенных для файловых хранилищ SMB-сервера Samba. Посылает компоненту Dr.Web File Checker запросы на проверку содержимого новых и изменившихся файлов. Для интеграции с файловым сервером использует модули VFS SMB, работающие на стороне сервера Samba Исполняемый файл компонента: drweb-smbspider-daemon. Внутреннее наименование, выводимое в журнал: SMBSpider |
|||
Монитор томов NSS (Novell Storage Services). Работает в фоновом режиме и отслеживает операции файловой системы (такие как создание, открытие и закрытие файла, а также операции записи) на томах NSS, смонтированных в указанную точку файловой системы. Посылает компоненту Dr.Web File Checker запросы на проверку содержимого новых и изменившихся файлов.
Исполняемый файл компонента: drweb-nss. Внутреннее наименование, выводимое в журнал: NSS |
Компонент |
Описание |
|---|---|
Компонент взаимодействия с облаком Dr.Web Cloud. Отправляет URL, посещаемые пользователем, а также сведения о проверяемых файлах, в облачный сервис Dr.Web Cloud для их проверки на наличие угроз, информация о которых пока отсутствует в вирусных базах Исполняемый файл компонента: drweb-cloudd. Внутреннее наименование, выводимое в журнал: CloudD |
|
Демон управления конфигурацией комплекса Dr.Web Server Security Suite. •Управляет активностью (запуск и остановка) других компонентов программного комплекса в зависимости от настроек. •Перезапускает компоненты, завершившие работу в результате сбоя, запускает одни компоненты комплекса по требованию других, информирует компоненты продукта об изменении состава запущенных компонентов. •Хранит и предоставляет всем компонентам информацию об имеющихся лицензионных ключах и настройках. Получает измененные настройки и ключи от уполномоченных компонентов Dr.Web Server Security Suite и оповещает все компоненты об изменении лицензионных ключей и настроек Исполняемый файл компонента: drweb-configd. Внутреннее наименование, выводимое в журнал: ConfigD |
|
Агент централизованной защиты. Обеспечивает работу программного комплекса в централизованном и мобильном режимах. •Организует связь с сервером централизованной защиты, получает от него лицензионный ключевой файл, обновления вирусных баз и антивирусного ядра. •Передает на сервер информацию о составе и состоянии компонентов Dr.Web Server Security Suite и накопленную статистику инцидентов, связанных с вредоносным ПО Исполняемый файл компонента: drweb-esagent. Внутреннее наименование, выводимое в журнал: ESAgent |
|
Компонент для хранения статистики событий компонентов Dr.Web Server Security Suite. Получает и организует хранение событий, поступающих от компонентов программного комплекса, таких как неожиданное завершение работы, обнаружение угрозы и др. Исполняемый файл компонента: drweb-statd. Внутреннее наименование, выводимое в журнал: StatD |
|
Компонент обновления. Отвечает за загрузку с серверов обновлений компании «Доктор Веб» обновлений для вирусных баз, антивирусного ядра. Обновления могут загружаться как автоматически, по расписанию, так и непосредственно по команде пользователя (через утилиту Dr.Web Ctl или через веб-интерфейс управления) Исполняемый файл компонента: drweb-update. Внутреннее наименование, выводимое в журнал: Update |
Компонент |
Описание |
|---|---|
Веб-сервер управления компонентами Dr.Web Server Security Suite. Предоставляет специализированный HTTP API для управления компонентами Dr.Web Server Security Suite. Указанный API используется веб-интерфейсом управления. Для обеспечения безопасности при подключении к веб-интерфейсу управления использует протокол HTTPS. Для передачи данных на проверку в Dr.Web Scanning Engine использует Dr.Web Network Checker Исполняемый файл компонента: drweb-httpd. Внутреннее наименование, выводимое в журнал: HTTPD |
|
Веб-интерфейс управления. Может быть открыт в любом браузере на локальном или удаленном узле сети. Наличие веб-интерфейса управления позволяет продукту не использовать сторонние веб-серверы (такие, например, как Apache HTTP Server) и утилиты удаленного администрирования наподобие Webmin. Работоспособность обеспечивается веб-сервером Dr.Web HTTPD |
|
Утилита, обеспечивающая интерфейс управления Dr.Web Server Security Suite из командной строки. Позволяет осуществлять запуск проверки файлов, просматривать содержимое карантина и управлять им, запускать обновление вирусных баз, подключать Dr.Web Server Security Suite к серверу централизованной защиты и отключаться от него, просматривать и изменять значения параметров конфигурации программного комплекса Исполняемый файл компонента: drweb-ctl. Внутреннее наименование, выводимое в журнал: Ctl |
|
Представляет собой SNMP-агент. Предназначен для интеграции Dr.Web Server Security Suite с внешними системами мониторинга посредством протокола SNMP. Такая интеграция позволяет отслеживать состояние работы компонентов комплекса, а также собирать статистику обнаружения и нейтрализации угроз. Поддерживает протоколы SNMP v2c и v3 Исполняемый файл компонента: drweb-snmpd. Внутреннее наименование, выводимое в журнал: SNMPD |
|
Компонент, эмулирующий интерфейс антивирусного демона clamd (компонент антивирусного продукта ClamAV®). Позволяет прозрачно использовать Dr.Web Server Security Suite для антивирусной проверки любым приложениям, которые могут использовать антивирусный продукт ClamAV®. Для передачи данных на проверку в Dr.Web Scanning Engine, в зависимости от режима, использует Dr.Web File Checker или Dr.Web Network Checker Исполняемый файл компонента: drweb-clamd. Внутреннее наименование, выводимое в журнал: ClamD |
На рисунке ниже показана структура Dr.Web Server Security Suite и его взаимодействия с внешними приложениями.
Рисунок 1. Структура Dr.Web Server Security Suite
На приведенном рисунке использованы следующие обозначения:
|
— Dr.Web Server Security Suite в целом и внешние по отношению к нему программные продукты Dr.Web, не входящие непосредственно в его состав |
||
|
— внешние по отношению к Dr.Web Server Security Suite программы и программные комплексы, с которыми он интегрируется |
||
|
— сервисные компоненты, решающие конкретные задачи в рамках антивирусной защиты (обновление вирусных баз, подключение к серверам централизованной защиты, общая координация работы и т. д.) |
||
|
— компоненты, предоставляющие (пользователю или сторонним приложениям) интерфейс для управления работой Dr.Web Server Security Suite |
||
|
— компоненты, используемые для антивирусной проверки |
||
|
— базовые антивирусные компоненты, образующие ядро Dr.Web Server Security Suite. Используются компонентами, осуществляющими проверку файлов и данных |
Компоненты, обозначенные пунктирной границей, могут отсутствовать, в зависимости от поставки или сценария использования Dr.Web Server Security Suite.
Более подробно компоненты Dr.Web Server Security Suite описаны в разделе Компоненты Dr.Web Server Security Suite.