ウィルス対策アーキテクチャ
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
- セキュリティとデータ暗号化
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
NetAppウィルス対策アーキテクチャは、Vscanサーバソフトウェアと関連する設定で構成されます。
Vscanサーバソフトウェア
このソフトウェアはVscanサーバにインストールする必要があります。
-
* ONTAP Antivirus Connector *
ネットアップが提供するソフトウェアで、SVMとウィルス対策ソフトウェア間のスキャン要求と応答の通信を処理します。仮想マシン上で実行できますが、最高のパフォーマンスを得るには物理マシンを使用します。このソフトウェアは、NetApp Support Siteからダウンロードできます(ログインが必要です)。
-
* アンチウイルスソフトウェア *
これは、ウイルスやその他の悪意のあるコードのファイルをスキャンするパートナー提供のソフトウェアです。ソフトウェアを設定する際に、感染したファイルに対して実行する処理を指定します。
Vscanソフトウェア設定
これらのソフトウェアをVscanサーバで設定する必要があります。
-
* スキャナプール *
この設定では、SVMに接続できるVscanサーバと特権ユーザを定義します。また、スキャン要求のタイムアウト時間も定義します。この時間が経過すると、代わりの Vscan サーバがある場合はそのサーバにスキャン要求が送信されます。
Vscanサーバ上のウィルス対策ソフトウェアのタイムアウト時間は、scanner-poolのスキャン要求タイムアウト時間よりも5秒短く設定する必要があります。これにより、ソフトウェアのタイムアウト時間がスキャン要求のタイムアウト時間よりも長いため、ファイルアクセスが遅延または拒否される状況を回避できます。
-
* 特権ユーザ *
この設定は、VscanサーバがSVMへの接続に使用するドメインユーザアカウントです。スキャナプール内の特権ユーザのリストにアカウントが存在している必要があります。
-
* スキャナポリシー *
この設定では、スキャナプールをアクティブにするかどうかを指定します。スキャナポリシーはシステムで定義されるため、カスタムのスキャナポリシーを作成することはできません。次の3つのポリシーのみを使用できます。
-
Primary
スキャナプールをアクティブにします。 -
Secondary
プライマリスキャナプールのVscanサーバが1つも接続されていない場合にのみスキャナプールをアクティブにします。 -
Idle
スキャナプールを非アクティブにします。
-
-
* オンアクセスポリシー *
この設定では、オンアクセススキャンの範囲を定義します。スキャンする最大ファイルサイズ、スキャンに含めるファイル拡張子とパス、およびスキャンから除外するファイル拡張子とパスを指定できます。
デフォルトでは、読み取り / 書き込みボリュームのみがスキャンされます。読み取り専用ボリュームのスキャンを有効にするフィルタや、実行アクセス権で開かれたファイルのみにスキャンを制限するフィルタを指定することができます。
-
scan-ro-volume
読み取り専用ボリュームのスキャンを有効にします。 -
scan-execute-access
実行アクセス権で開かれたファイルにスキャンを制限します。「アクセスの実行」と「アクセスの実行」は「アクセスの実行」とは異なります。 指定されたクライアントは、実行ファイルが「実行意図」で開かれている場合にのみ、実行ファイルに対して「実行アクセス」を持つことになります。
を設定できます
scan-mandatory
オフにすると、ウィルススキャンに使用できるVscanサーバがない場合にファイルアクセスが許可されます。オンアクセスモードでは、次の2つのオプションのいずれかを選択できます。 -
必須:このオプションを指定すると、タイムアウト時間が経過するまで、Vscanはサーバへのスキャン要求の配信を試みます。サーバがスキャン要求を受け入れなかった場合、クライアントアクセス要求は拒否されます。
-
必須以外:このオプションを使用すると、Vscanサーバがウィルススキャンに使用できるかどうかに関係なく、Vscanでクライアントアクセスが常に許可されます。
-
-
* オンデマンドタスク *
この設定では、オンデマンドスキャンの範囲を定義します。スキャンする最大ファイルサイズ、スキャンに含めるファイル拡張子とパス、およびスキャンから除外するファイル拡張子とパスを指定できます。デフォルトでは、サブディレクトリ内のファイルがスキャンされます。
cron スケジュールを使用していつタスクを実行するかを指定できます。を使用できます
vserver vscan on-demand-task run
タスクをすぐに実行するコマンド。 -
* Vscan ファイル処理プロファイル(オンアクセススキャンのみ) *
。
vscan-fileop-profile
のパラメータvserver cifs share create
コマンドは、ウィルススキャンをトリガーするSMBファイル処理を定義します。デフォルトでは、パラメータはに設定されています `standard`NetAppのベストプラクティスです。このパラメータは、SMB共有を作成または変更するときに必要に応じて調整できます。-
no-scan
共有に対してウィルススキャンを一切トリガーしません。 -
standard
開く、閉じる、および名前変更の各処理でウィルススキャンをトリガーします。 -
strict
開く、読み取る、閉じる、および名前変更の各処理でウィルススキャンをトリガーします。。
strict
プロファイルを使用すると、複数のクライアントが同時に1つのファイルにアクセスする状況でセキュリティが強化されます。あるクライアントがウィルスを書き込んだあとにファイルを閉じたときに、別のクライアントで同じファイルが開いたままになっている場合は、strict
2番目のクライアントでの読み取り処理で、ファイルが閉じる前にスキャンがトリガーされるようにします。の制限に注意する必要があります
strict`
同時にアクセスされる可能性があるファイルを含む共有にプロファイルを設定します。このプロファイルはより多くのスキャン要求を生成するため、パフォーマンスに影響を与える可能性があります。 -
writes-only
変更されたファイルが閉じられたときにのみウィルススキャンをトリガーします。以来
writes-only
生成されるスキャン要求が少なくなり、通常はパフォーマンスが向上します。
このプロファイルを使用する場合は、修復不可能な感染ファイルを削除または隔離するようにスキャナを設定して、アクセスできないようにする必要があります。たとえば、クライアントがウィルスを書き込んだあとにファイルを閉じた場合、そのファイルにアクセスしたクライアントが修復、削除、または隔離されていない
without
それへの書き込みは感染します。 -
クライアントアプリケーションが名前変更操作を実行すると、ファイルは新しい名前で閉じられ、スキャンされません。このような処理がセキュリティ上の問題になる場合は、を使用してください |