Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

在 ONTAP 中設定隨裝即用防毒功能的最佳實務做法

貢獻者
PDF

請考量下列在 ONTAP 中設定隨裝即用功能的建議。

  • 限制授權使用者執行掃毒作業。一般使用者不應使用授權使用者認證。若要達到此限制、請在 Active Directory 上關閉授權使用者的登入權限。

  • 權限使用者不一定要是網域中擁有大量權限的任何使用者群組成員、例如系統管理員群組或備份操作員群組。授權使用者必須僅由儲存系統驗證、才能建立 VScan 伺服器連線並存取檔案進行病毒掃描。

  • 請僅將執行 VScan 伺服器的電腦用於病毒掃描。若要阻止一般使用、請停用這些機器上的 Windows 終端機服務和其他遠端存取條款、並授予僅在這些機器上安裝新軟體的權限給系統管理員。

  • 將 VScan 伺服器專用於病毒掃描、而不要將其用於其他作業、例如備份。您可以決定將 VScan 伺服器當作虛擬機器( VM )來執行。如果您將 VScan 伺服器當作 VM 執行、請確定分配給 VM 的資源並未共用、而且足以執行病毒掃描。

  • 為 VScan 伺服器提供足夠的 CPU 、記憶體和磁碟容量、以避免資源過度分配。大多數 VScan 伺服器都是專為使用多個 CPU 核心伺服器而設計、並可在 CPU 之間分配負載。

  • NetApp 建議使用專用網路搭配私有 VLAN 、以便從 SVM 連線至 VScan 伺服器、使掃描流量不會受到其他用戶端網路流量的影響。建立獨立的網路介面卡( NIC )、專用於 VScan 伺服器上的防毒 VLAN 、以及 SVM 上的資料 LIF 。如果發生網路問題、此步驟可簡化管理和疑難排解。防毒流量應使用私有網路隔離。防毒伺服器應設定為以下列其中一種方式與網域控制站( DC )和 ONTAP 通訊:

    • DC 應透過用於隔離流量的私有網路與防毒伺服器通訊。

    • DC 和防毒伺服器應透過不同的網路(而非先前提到的私有網路)進行通訊、這與 CIFS 用戶端網路不同。

    • 若要啟用 Kerberos 驗證以進行防毒通訊、請在 DC 上建立私人生命體的 DNS 項目、並在 DC 上建立對應於為私有 LIF 建立的 DNS 項目的服務主體名稱。將 LIF 新增至防毒連接器時、請使用此名稱。DNS 應能為每個連線至防毒 Connector 的私有 LIF 傳回唯一名稱。

提示 如果 VScan 流量的 LIF 設定在與用戶端流量的 LIF 不同的連接埠上、則 VScan LIF 可能會在連接埠故障時容錯移轉至另一個節點。此變更會使 VScan 伺服器無法從新節點存取、且在節點上執行檔案作業的掃描通知失敗。驗證 VScan 伺服器是否可透過節點上至少一個 LIF 來存取、以便處理掃描要求、以便在該節點上執行檔案作業。

  • 使用至少 1GbE 網路連接 NetApp 儲存系統和 VScan 伺服器。

  • 對於具有多個 VScan 伺服器的環境、請連接所有具有類似高效能網路連線的伺服器。連接 VScan 伺服器可允許負載共用、進而改善效能。

  • 對於遠端站台和分公司、 NetApp 建議使用本機 VScan 伺服器、而非遠端 VScan 伺服器、因為前者是高延遲的最佳選擇。如果成本是因素、請使用筆記型電腦或電腦來提供適度的防毒保護。您可以透過共用磁碟區或 qtree 、並從遠端站台的任何系統掃描、來排程定期完成的檔案系統掃描。

  • 使用多部 VScan 伺服器來掃描 SVM 上的資料、以達到負載平衡和備援目的。CIFS 工作負載量和產生的防毒流量會因 SVM 而異。監控儲存控制器上的 CIFS 和病毒掃描延遲。持續監控結果趨勢。如果由於 VScan 伺服器上的 CPU 或應用程式佇列超過趨勢臨界值而導致 CIFS 延遲和病毒掃描延遲增加、則 CIFS 用戶端可能會經歷長時間的等待。新增其他 VScan 伺服器 以分散負載。

  • 安裝最新版本的 ONTAP 防毒連接器。

  • 將防毒引擎和定義保持在最新狀態。請諮詢合作夥伴、瞭解您應該多久更新一次的建議。

  • 在多租戶環境中、只要 VScan 伺服器和 SVM 屬於同一個網域或信任的網域、即可與多個 SVM 共用掃描程式集區( VScan 伺服器集區)。

  • 受感染檔案的防毒軟體原則應設為「刪除」或「隔離」、這是大多數防毒廠商設定的預設值。如果「 vscan 檔案 op-profile 」設定為「 write_only 」、而且發現受感染的檔案、檔案會保留在共用區中、而且可以開啟、因為開啟檔案不會觸發掃描。防毒掃描只會在檔案關閉後觸發。

  • scan-engine timeout 值應小於 scanner-pool request-timeout 價值。 如果設定為較高的值、可能會延遲存取檔案、最終可能會逾時。 若要避免這種情況、請設定 scan-engine timeout 少於 5 秒 scanner-pool request-timeout 價值。請參閱掃描引擎廠商的文件、以取得如何變更的指示 scan-engine timeout 設定:。 scanner-pool timeout 您可以在進階模式中使用下列命令、並提供適當的值來變更 request-timeout 參數: vserver vscan scanner-pool modify

  • 對於規模適合存取掃描工作負載、且需要使用隨選掃描的環境、 NetApp 建議將隨選掃描工作排程在非尖峰時間、以避免現有防毒基礎架構增加負載。

如需更多關於合作夥伴的最佳實務做法、請參閱 "VScan 合作夥伴解決方案"