防毒架構
建議變更
PDF
NetApp 防毒架構包含 VScan 伺服器軟體和相關設定。
VScan 伺服器軟體
您必須在 VScan 伺服器上安裝此軟體。
-
《防毒連接器》 ONTAP
這是 NetApp 提供的軟體、可處理 SVM 與防毒軟體之間的掃描要求與回應通訊。它可以在虛擬機器上執行、但為了達到最佳效能、請使用實體機器。您可以從 NetApp 支援網站 下載此軟體(需要登入)。
-
防毒軟體
這是合作夥伴提供的軟體、可掃描檔案中是否有病毒或其他惡意程式碼。您可以指定在設定軟體時、對受感染檔案採取的補救行動。
VScan 軟體設定
您必須在 VScan 伺服器上設定這些軟體設定。
-
掃描器資源池
此設定定義可連線至 SVM 的 VScan 伺服器和授權使用者。它也定義掃描要求逾時期間、之後若有可用的VScan伺服器、掃描要求會傳送至替代的VScan伺服器。
您應該將 VScan 伺服器上防毒軟體的逾時時間設定為比掃描器集區掃描要求逾時時間少五秒。這可避免因為軟體的逾時時間超過掃描要求的逾時時間、導致檔案存取延遲或完全遭拒的情況。
-
貴賓使用者
此設定是 VScan 伺服器用來連線至 SVM 的網域使用者帳戶。帳戶必須存在於掃描器集區中的授權使用者清單中。
-
掃描程式原則
此設定決定掃描器集區是否為作用中。掃描器原則是系統定義的、因此您無法建立自訂的掃描器原則。只有這三個原則可供使用:
-
Primary指定掃描儀池處於活動狀態。 -
Secondary指定掃瞄器集區為作用中、只有在沒有連接主要掃瞄器集區中的 VScan 伺服器時。 -
Idle指定掃描器集區為非作用中。
-
-
存取原則
此設定定義存取掃描的範圍。您可以指定要掃描的檔案大小上限、掃描中要包含的檔案副檔名和路徑、以及要從掃描中排除的檔案副檔名和路徑。
依預設、只會掃描讀寫磁碟區。您可以指定篩選條件、以允許掃描唯讀磁碟區、或限制掃描以執行存取開啟的檔案:
-
scan-ro-volume可掃描唯讀磁碟區。 -
scan-execute-access限制掃描至以執行存取權限開啟的檔案。
「執行存取」與「執行權限」不同。 只有在以「執行目的」開啟檔案時、指定的用戶端才能在執行檔上擁有「執行存取」。
您可以設定
scan-mandatory選項為「關閉」、可指定在沒有 VScan 伺服器可供病毒掃描時、允許檔案存取。在存取模式中、您可以從這兩個互斥的選項中選擇: -
必要:使用此選項、 VScan 會嘗試將掃描要求傳送至伺服器、直到逾時期間過期為止。如果伺服器不接受掃描要求、則用戶端存取要求會遭到拒絕。
-
非必要:無論 VScan 伺服器是否可用於掃毒、 VScan 都一律允許用戶端存取。
-
-
隨需工作
此設定定義隨選掃描的範圍。您可以指定要掃描的檔案大小上限、掃描中要包含的檔案副檔名和路徑、以及要從掃描中排除的檔案副檔名和路徑。依預設會掃描子目錄中的檔案。
您可以使用cron排程來指定工作執行的時間。您可以使用
vserver vscan on-demand-task run立即執行工作的命令。 -
* VScan檔案作業設定檔(僅限存取掃描)*
。
vscan-fileop-profile的參數vserver cifs share create命令定義哪些 SMB 檔案作業會觸發病毒掃描。依預設、參數會設為standard,這是 NetApp 最佳實務做法。您可以在建立或修改 SMB 共用時視需要調整此參數:-
no-scan指定從不觸發共享區的病毒掃描。 -
standard指定透過開啟、關閉及重新命名作業觸發病毒掃描。 -
strict指定透過開啟、讀取、關閉及重新命名作業來觸發病毒掃描。。
strict設定檔可針對多個用戶端同時存取檔案的情況、提供增強的安全性。如果某個用戶端在寫入病毒後關閉檔案、而同一個檔案仍會在第二個用戶端上開啟、strict確保第二個用戶端上的讀取作業會在檔案關閉之前觸發掃描。您應該小心將 `strict`設定檔限制為包含預期將同時存取的檔案的共用。由於此設定檔會產生更多掃描要求、因此可能會影響效能。
-
writes-only指定只有在關閉修改過的檔案時才觸發病毒掃描。自
writes-only產生較少的掃描要求、通常會改善效能。
如果您使用此設定檔、掃描器必須設定為刪除或隔離無法修復的受感染檔案、因此無法存取這些檔案。例如、如果用戶端在寫入病毒後關閉檔案、而且檔案未被修復、刪除或隔離、則任何用戶端都會存取該檔案
without寫信給 IT 的人會受到感染。 -
|
|
如果用戶端應用程式執行重新命名作業、檔案會以新名稱關閉、不會掃描。如果此類作業在您的環境中造成安全性考量、您應該使用 |