简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

防病毒架构

提供者

NetApp 防病毒架构由一个 Vscan 服务器和一组 ONTAP 可配置项组成。

Vscan 服务器组件

您必须在 Vscan 服务器上安装以下组件。

  • * ONTAP 防病毒连接器 *

    NetApp 提供的 ONTAP 防病毒连接器用于处理 ONTAP 与 Vscan 服务器之间的通信。

  • * 防病毒软件 *

    符合 ONTAP 的第三方防病毒软件可扫描文件中是否存在病毒或其他恶意代码。您可以指定在配置软件时对受感染文件采取的补救措施。

ONTAP 可配置

您必须在 NetApp 存储系统上配置以下项。

  • * 扫描程序池 *

    扫描程序池用于定义可连接到 SVM 的 Vscan 服务器和有权限的用户。它还定义了扫描请求超时期限,之后,如果有备用 Vscan 服务器,则会将扫描请求发送到该服务器。

    注

    最佳做法是,将 Vscan 服务器上防病毒软件的超时期限设置为比扫描程序池请求超时期限短五秒。 以避免因软件超时时间超过扫描请求的超时时间而导致文件访问延迟或被完全拒绝的情况。

  • * 特权用户 *

    有权限的用户是 Vscan 服务器用来连接到 SVM 的域用户帐户。帐户必须包含在扫描程序池中定义的有权限用户列表中。

  • * 扫描程序策略 *

    扫描程序策略用于确定扫描程序池是否处于活动状态。扫描程序策略可以具有以下值之一:

    • Primary 指定扫描程序池处于活动状态。

    • secondary 指定,只有在主扫描程序池中的 Vscan 服务器均未连接时,扫描程序池才处于活动状态。

    • Idle 指定扫描程序池处于非活动状态。扫描程序策略由系统定义。您不能创建自定义扫描程序策略。

  • * 实时策略 *

    实时策略用于定义实时扫描的范围。您可以指定要扫描的文件的最大大小,要包含在扫描中的文件的扩展名以及要从扫描中排除的文件的扩展名和路径。

    默认情况下,仅扫描读写卷。您可以指定允许扫描只读卷或将扫描限制为使用执行访问打开的文件的筛选器:

    • s可以扫描只 读卷。

    • scan-execute-access 仅扫描通过执行访问打开的文件。

      注

      "`执行访问` " 与 "`执行权限 " 不同。` 只有在以 "`execute intent " 打开某个可执行文件时,给定客户端才会对该文件具有 "`execute access` " 。`

    您可以将 scan -mandatory 选项设置为 off ,以指定在没有可用于病毒扫描的 Vscan 服务器时允许文件访问。

  • * 按需任务 *

    按需任务定义了按需扫描的范围。您可以指定要扫描的文件的最大大小,要包含在扫描中的文件的扩展名和路径,以及要从扫描中排除的文件的扩展名和路径。默认情况下会扫描子目录中的文件。

    您可以使用 cron 计划指定任务运行的时间。您可以使用 vserver vscan on-demand-task run 命令立即运行此任务。

  • * Vscan 文件操作配置文件(仅限实时扫描) *

    vserver cifs share create 命令的 ` -vscan-fileop-profile` 参数定义了 SMB 共享上的哪些操作可以触发病毒扫描。默认情况下,参数设置为 standard ,这是 NetApp 的最佳实践。

    创建或修改 SMB 共享时,您可以根据需要调整此参数:

    • no-scan 指定从不为共享触发病毒扫描。

    • standard 指定可通过打开,关闭和重命名操作触发病毒扫描。

    • strict 指定可通过打开,读取,关闭和重命名操作触发病毒扫描。

      在多个客户端同时访问文件的情况下, strict 配置文件可增强安全性。如果一个客户端在向某个文件写入病毒后关闭了某个文件,而同一文件在另一个客户端上保持打开状态,则 strict 可确保在关闭该文件之前对第二个客户端执行读取操作会触发扫描。

      您应小心地将 strict 配置文件限制为包含您预计将同时访问的文件的共享。由于此配置文件生成的扫描请求比其他配置文件多,因此可能会对性能产生不利影响。

    • writes-only 指定只有在关闭已修改的文件时才能触发病毒扫描。

      注

      如果客户端应用程序执行重命名操作,则文件将使用新名称关闭,不会进行扫描。如果此类操作在您的环境中造成安全问题,您应使用 standardstrict 配置文件。

      由于 writes-only 比其他配置文件生成的扫描请求更少(除了 no-scan 之外),因此通常可以提高性能。

    但请注意,如果您对共享使用此配置文件,则必须将扫描程序配置为删除或隔离不可修复的受感染文件,以便客户端日后无法访问此文件。例如,如果客户端在向某个文件写入病毒后关闭了该文件,而该文件未修复,删除或隔离,则访问该文件的任何客户端都会受到感染,而不向该文件写入数据。