基于文件Hash的AV豁免

该功能在FortiOS 7.2.4及以上版本支持。

网络需求

在反病毒功能的使用中,如果有安全的文件被反病毒功能误判并阻止,用户需要向FortiGuard提交误报信息,然后等待官方确认和修复,需要等待一定的时间。需要可以对误判文件进行豁免操作,以允许即时传输该文件。

功能介绍

FortiGate允许对反病毒误判的文件进行豁免。用户可以指定文件的MD5、SHA1或SHA256哈希值进行匹配,当匹配FortiGate AV的白名单时,该文件会被Bypass。

豁免列表功能不适用于Outbreak Prevention、Machine-Learning、FortiNDR和FortiSandbox inline scans。

只支持代理模式的防火墙策略。

配置方法

此功能仅支持在CLI下配置。

config antivirus exempt-list
    edit <name>
         set hash-type {md5 | sha1 | sha256}
         set hash <string>
         set status {enable | disable}
    next
end

配置步骤与配置验证

  1. 获取被误判文件的Hash值,这里以一个Eicar文件csm-eicar.com为例,该文件的MD5值为d41d8cd98f00b204e9800998ecf8427e,该文件位于www.csm-testcenter.org网站。

  2. 按需在“安全配置文件→反病毒”页面中配置反病毒配置文件,这里以“default”配置文件为例。

    image-20240319165328942

  3. 在防火墙策略中引用该反病毒配置文件,注意防火墙策略的检测模式必须为“基于代理”模式。

    image-20240319170036445

    config firewall policy
        edit 1
            set name "LAN_to_Internet"
            set srcintf "internal5"
            set dstintf "virtual-wan-link"
            set action accept
            set srcaddr "all"
            set dstaddr "all"
            set schedule "always"
            set service "ALL"
            set utm-status enable
            set inspection-mode proxy
            set ssl-ssh-profile "certificate-inspection"
            set av-profile "default"
            set nat enable
        next
    end
    
  4. 此时使用客户端PC使用HTTP穿过FortiGate下载该文件,下载失败。

    root@Ubuntu/# wget http://www.csm-testcenter.org/csm-eicar.com
    --2024-03-19 17:11:38--  http://www.csm-testcenter.org/csm-eicar.com
    正在解析主机 www.csm-testcenter.org (www.csm-testcenter.org)... 85.215.35.144
    正在连接 www.csm-testcenter.org (www.csm-testcenter.org)|85.215.35.144|:80... 已连接。
    已发出 HTTP 请求,正在等待回应... 403 Forbidden
    2024-03-19 17:11:38 错误 403:Forbidden。
    
  5. 该文件下载时被FortiGate的反病毒模块拦截,如下所示AV拦截日志。

    image-20240319171432780

    date=2024-03-19 time=17:45:08 eventtime=1710841507844474700 tz="+0800" logid="0211008192" type="utm" subtype="virus" eventtype="infected" level="warning" vd="root" policyid=1 poluuid="7933a8ea-da0e-51ee-d747-443a0247aebf" policytype="policy" msg="File is infected." action="blocked" service="HTTP" sessionid=1138580 srcip=192.168.100.178 dstip=85.215.35.144 srcport=59989 dstport=80 srccountry="Reserved" dstcountry="Germany" srcintf="internal5" srcintfrole="undefined" dstintf="wan1" dstintfrole="wan" srcuuid="477325da-a1dc-51ed-ecdd-9add8d1533e2" dstuuid="6b6af61a-e5d4-51ee-fd4b-b697ce9ed795" proto=6 direction="incoming" filename="csm-eicar.com" quarskip="Quarantine-disabled" virus="EICAR_TEST_FILE" viruscat="Virus" dtype="av-engine" ref="http://www.fortinet.com/ve?vn=EICAR_TEST_FILE" virusid=2172 url="http://www.csm-testcenter.org/csm-eicar.com" profile="default" agent="Wget/1.21.4" httpmethod="GET" analyticssubmit="false" crscore=50 craction=2 crlevel="critical"
    
  6. 在CLI下配置反病毒豁免列表,Hash类别为MD5,将该文件的MD5值填入其中。

    config antivirus exempt-list
        edit "csm-eicar.com"
            set hash-type md5
            set hash "44d88612fea8a8f36de82e1278abb02f"
        next
    end
    
  7. 再次使用客户端PC通过FortiGate下载该文件,下载成功。

    root@Ubuntu/# wget http://www.csm-testcenter.org/csm-eicar.com
    --2024-03-19 17:58:05--  http://www.csm-testcenter.org/csm-eicar.com
    正在解析主机 www.csm-testcenter.org (www.csm-testcenter.org)... 85.215.35.144
    正在连接 www.csm-testcenter.org (www.csm-testcenter.org)|85.215.35.144|:80... 已连接。
    已发出 HTTP 请求,正在等待回应... 200 OK
    长度:68 [application/octet-stream]
    正在保存至: “csm-eicar.com”
    
    csm-eicar.com                                   100%[====================================================================================================>]      68  --.-KB/s  用时 0s
    
    2024-03-19 17:58:06 (2.32 MB/s) - 已保存 “csm-eicar.com” [68/68])
    
  8. 该文件下载时被FortiGate的反病毒模块放通,如下所示AV拦截日志,日志中提示被该文件“Exempted by AV exempt list”。

    image-20240319180247336

    date=2024-03-19 time=17:56:43 eventtime=1710842203522592920 tz="+0800" logid="0202008206" type="utm" subtype="virus" eventtype="exempt-hash" level="notice" vd="root" policyid=1 poluuid="7933a8ea-da0e-51ee-d747-443a0247aebf" policytype="policy" msg="Exempted by AV exempt list." action="passthrough" service="HTTP" sessionid=1162250 srcip=192.168.100.178 dstip=85.215.35.144 srcport=63800 dstport=80 srccountry="Reserved" dstcountry="Germany" srcintf="internal5" srcintfrole="undefined" dstintf="wan1" dstintfrole="wan" srcuuid="477325da-a1dc-51ed-ecdd-9add8d1533e2" dstuuid="6b6af61a-e5d4-51ee-fd4b-b697ce9ed795" proto=6 direction="incoming" filename="csm-eicar.com" quarskip="File-was-not-quarantined" virus="csm-eicar.com" viruscat="File Hash" dtype="av-engine" filehash="44d88612fea8a8f36de82e1278abb02f" url="http://www.csm-testcenter.org/csm-eicar.com" profile="default" agent="Wget/1.21.4" httpmethod="GET" analyticssubmit="false"
    

Copyright © 2024 Fortinet Inc. All rights reserved. Powered by Fortinet TAC Team.
📲扫描下方二维码分享此页面👇
该页面修订于: 2024-03-19 18:09:42

results matching ""

    No results matching ""