Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

采用 ONTAP Vscan 的防病毒架构

贡献者 netapp-aaron-holt netapp-barbe netapp-powr netapp-aherbin
PDF

NetApp防病毒架构由Vscan服务器软件和相关设置组成。

Vscan服务器软件

您必须在Vscan服务器上安装此软件。

  • * ONTAP 防病毒连接器 *

    这是NetApp提供的软件、用于处理SVM与防病毒软件之间的扫描请求和响应通信。它可以在虚拟机上运行、但为了获得最佳性能、请使用物理机。您可以从NetApp 支持站点 下载此软件(需要登录)。

  • * 防病毒软件 *

    这是合作伙伴提供的软件、用于扫描文件中的病毒或其他恶意代码。您可以指定在配置软件时对受感染文件采取的补救措施。

Vscan软件设置

您必须在Vscan服务器上配置这些软件设置。

  • * 扫描程序池 *

    此设置用于定义可连接到SVM的Vscan服务器和有权限的用户。它还定义了扫描请求超时期限,之后,如果有备用 Vscan 服务器,则会将扫描请求发送到该服务器。

    备注

    您应将Vscan服务器上防病毒软件的超时期限设置为比扫描程序池扫描请求超时期限少五秒。这样可以避免因软件超时期限大于扫描请求超时期限而导致文件访问延迟或被完全拒绝的情况。

  • * 特权用户 *

    此设置是Vscan服务器用于连接到SVM的域用户帐户。该帐户必须位于扫描程序池中的有权限用户列表中。

  • * 扫描程序策略 *

    此设置确定扫描程序池是否处于活动状态。扫描程序策略是系统定义的、因此您无法创建自定义扫描程序策略。只有以下三种策略可用:

    • Primary 指定扫描程序池处于活动状态。

    • Secondary 指定扫描程序池仅在主扫描程序池中没有Vscan服务器连接时处于活动状态。

    • Idle 指定扫描程序池处于非活动状态。

  • * 实时策略 *

    此设置定义实时扫描的范围。您可以指定要扫描的最大文件大小、要包括在扫描中的文件扩展名和路径以及要从扫描中排除的文件扩展名和路径。

    默认情况下,仅扫描读写卷。您可以指定允许扫描只读卷或将扫描限制为使用执行访问打开的文件的筛选器:

    • scan-ro-volume 启用只读卷扫描。

    • scan-execute-access 限制对通过执行访问打开的文件的扫描。

      备注

      “执行访问`"不同于"`执行权限。” 仅当可执行文件是使用"`execute intent`"打开时、给定客户端才会对该文件具有"`execute access`"。

      您可以设置 scan-mandatory 选项设置为off、用于指定在没有可用于病毒扫描的Vscan服务器时允许文件访问。在实时模式下、您可以从以下两个互斥选项中进行选择:

    • 必填:使用此选项、Vscan会尝试向服务器传送扫描请求、直到超时期限到期为止。如果服务器未接受扫描请求、则客户端访问请求将被拒绝。

    • Non-Mandatory:使用此选项时,无论Vscan服务器是否可用于病毒扫描,Vscan始终允许客户端访问。

  • * 按需任务 *

    此设置定义按需扫描的范围。您可以指定要扫描的最大文件大小、要包括在扫描中的文件扩展名和路径以及要从扫描中排除的文件扩展名和路径。默认情况下会扫描子目录中的文件。

    您可以使用 cron 计划指定任务运行的时间。您可以使用 vserver vscan on-demand-task run`命令立即运行任务。有关的详细信息 `vserver vscan on-demand-task run,请参见"ONTAP 命令参考"

  • * Vscan 文件操作配置文件(仅限实时扫描) *

    vscan-fileop-profile 的参数 vserver cifs share create 命令用于定义触发病毒扫描的SMB文件操作。默认情况下、参数设置为 standard,这是NetApp最佳实践。在创建或修改SMB共享时、您可以根据需要调整此参数:

    • no-scan 指定从不为共享触发病毒扫描。

    • standard 指定病毒扫描由打开、关闭和重命名操作触发。

    • strict 指定病毒扫描由打开、读取、关闭和重命名操作触发。

      strict 如果多个客户端同时访问一个文件、则配置文件可增强安全性。如果一个客户端在向某个文件写入病毒后将其关闭、而同一文件在另一个客户端上保持打开状态、 strict 确保在关闭文件之前、对第二个客户端执行读取操作会触发扫描。

      您应注意将 `strict`配置文件限制为包含您预计将同时访问的文件的共享。由于此配置文件生成的扫描请求较多、因此可能会影响性能。

    • writes-only 指定仅在关闭修改后的文件时才触发病毒扫描。

      自此 writes-only 生成的扫描请求更少、通常可提高性能。

    如果使用此配置文件、则必须将扫描程序配置为删除或隔离不可修复的受感染文件、以便无法访问这些文件。例如、如果客户端在向某个文件写入病毒后关闭该文件、并且该文件未被修复、删除或被隔离、则访问该文件的任何客户端都是如此 without 写入数据将受到感染。

备注

如果客户端应用程序执行重命名操作,则文件将使用新名称关闭,不会进行扫描。如果此类操作在您的环境中造成安全问题、则应使用 standardstrict 配置文件。

有关的详细信息 vserver cifs share create,请参见"ONTAP 命令参考"