保护网络流量
Kaspersky Web Traffic Security 按以下方式保护网络流量:
- 扫描可以被黑客和其他恶意软件利用的网络流量以查找、、,特定的合法应用程序。
- 使用当前(最近)版本的反病毒数据库消除感染对象。
关于保护流量抵御具体的合法应用程序
合法应用程序为可以在用户的计算机上安装和使用、目的是执行用户任务的应用程序。不过,某些类型的合法应用程序可能被黑客利用来危害用户的计算机或企业网络。如果黑客获得这些应用程序的权限,或者如果他们将其种植在用户的计算机上,它们的有些功能可以被用来破坏用户计算机或企业网络的安全。
这些应用程序包括 IRC 客户端、自动拨号程序、文件下载程序、计算机系统活动监控器、密码管理实用程序、和 FTP、HTTP、或 Telnet 服务的网页服务器。
以下表格中说明了此类应用程序。
合法应用程序
类型 |
名称 |
说明 |
|---|---|---|
客户端 IRC |
在线聊天客户端 |
用户安装这些应用程序和其他人在互联网中继聊天 (Internet Relay Chats) 中交流。黑客用它们传播恶意软件。 |
拨号程序 |
自动拨号程序 |
它们可以通过调制解调器建立隐藏的电话连接。 |
下载程序 |
下载程序 |
它们可以秘密从网页下载文件。 |
监控器 |
监控程序 |
它们允许监控所安装的计算机上的活动(查看哪些应用程序处于活跃状态及其如何与安装在其他计算机上的应用程序交换数据)。 |
PSWTool |
密码恢复工具 |
它们允许查看和恢复被忘记的密码。黑客秘密地把它们种植在计算机上为了同样的目的。 |
RemoteAdmin |
远程管理程序 |
它们被系统管理员广泛使用。这些程序允许人获取远程计算机的访问权限以对其进行监控和管理。黑客秘密地把它们种植在计算机上为了同样的目的:监控和控制计算机。 合法的远程管理应用程序与用于远程管理的后门型木马不同。木马可以独立潜入系统进行自我安装,而合法的应用程序不可以这样做。 |
服务器-FTP |
FTP 服务器 |
它们执行 FTP 服务器功能。黑客将其种植在计算机上以便通过 FTP 协议获得对计算机的远程访问权限。 |
服务器-代理 |
代理服务器 |
他们执行代理服务器功能。黑客将其种植在计算机上,以便从它们发送垃圾邮件。 |
服务器-Telnet |
Telnet 服务器 |
他们执行 Telnet 服务器功能。黑客将其种植在计算机上以便通过 Telnet 协议获得对计算机的远程访问权限。 |
服务器-Web |
Web 服务器 |
他们执行 Web 服务器功能。黑客将其种植在计算机上以便通过 HTTP 协议获得对计算机的远程访问权限。 |
RiskTool |
用于管理虚拟机的工具 |
它们为用户提供管理计算机的额外能力。这些工具允许用户隐藏活跃应用程序的文件或窗口并终止活跃进程。 |
NetTool |
网络工具 |
它们为所安装计算机的用户提供了与网络上的其他计算机进行交互的额外能力。这些工具让用户可以重启它们、检测开放端口、启动安装在计算机上的应用程序。 |
客户程序-P2P |
P2P 网络客户端 |
它们可以启用点对点 (P2P) 网络上的运行。它们可以被黑客用来传播恶意软件。 |
客户端 SMTP |
SMTP 客户端 |
它们会在用户不知情的情况下发送电子邮件消息。黑客将其种植在计算机上,以便从它们发送垃圾邮件。 |
WebToolbar |
Web 工具栏 |
它们可以把工具栏添加到其他应用程序的界面以使用搜索引擎。 |
FraudTool |
虚假程序 |
它们把自己伪装成其他程序。例如,有虚假反病毒程序显示有关恶意软件检测的消息。但是,实际上它们不会查找或清除任何东西。 |
配置反病毒模块设置
要配置反病毒模块设置:
- 在应用程序 web 界面窗口中,选择 设置 → 常规 → 保护设置 区域。
- 在 反病毒 设置组,使用 使用启发式分析 切换开关在网络流量的病毒扫描中启用或禁用启发式分析。
- 如果您要启用启发式分析,请在 启发式分析级别 列表中选择以下启发式分析级别之一:
- 轻度 – 最快速的启发式分析。
- 中度 – 以适中的速度和深度进行启发式分析。
- 深度 – 最深的启发式分析。
默认选择 中度 启发式分析级别。
- 使用 阻止有扫描错误的对象 开关切换启用或禁用阻止被扫描时产生错误的对象。
- 在 最长扫描时间(秒) 字段中,指定扫描网络流量中对象的时间限制 (秒)。
默认设置为 120。
- 在 压缩文件的最高扫描级别 字段中,指定被扫描压缩文件的最大嵌套级别。
默认设置为 32。
- 必要时选择 如果超过嵌套级别,则阻止压缩文件 复选框。
如果清除复选框,压缩文档将会被跳过而不执行病毒扫描。不完整的扫描 状态将会被写入该对象的事件日志。
- 使用 检测某些合法应用程序 切换开关启用或禁用特定合法应用程序的检测。
此类合法应用程序包括,例如,商业远程管理实用程序,IRC 客户端,拨号程序,文件下载程序,计算机系统活动监控器,和密码管理实用程序。
如果启用切换开关且检测到此类应用程序,它们将根据感染对象规则进行处理。
- 单击 保存。
将配置反病毒模块设置。
页面顶端配置反钓鱼模块设置
要配置反钓鱼模块设置:
- 在应用程序 web 界面窗口中,选择 设置 → 常规 → 保护设置 区域。
- 在 反钓鱼 设置组,使用 使用启发式分析 切换开关启用或禁用在扫描网络流量以寻找网络钓鱼迹象时使用启发式分析。
- 使用 将某广告软件的链接标记为恶意链接 切换开关启用或禁用广告软件链接的检测。
广告软件的功能是向用户显示广告信息。它们在其他应用程序的界面中显示横幅广告,并将搜索查询重定向到广告网页。一些种类的广告软件收集有关用户的营销信息,并将其发送给开发人员。此营销信息可能包括用户访问的网站的名称或用户搜索查询的内容。与木马程序不同,广告软件程序在用户许可的情况下将此信息发送给开发人员。
如果启用了切换开关,应用程序将这些链接标记为恶意,并根据为恶意链接定义的设置处理它们。
- 使用 将某些合法应用程序相关的链接标记为恶意链接 切换开关启用或禁用与特定合法应用程序关联的链接的检测。
合法应用程序可能会被黑客可利用来损害用户的计算机或数据。尽管它们没有任何具体的恶意功能,但这些应用程序可用作恶意软件中的辅助组件。
如果启用了切换开关,应用程序将这些链接标记为恶意,并根据为恶意链接定义的设置处理它们。
- 在 最长扫描时间(秒) 字段中,指定扫描要检测钓鱼的网络流量中对象的时间限制 (秒)。
默认设置为 120。
- 单击 保存。
将配置反钓鱼模块设置。
页面顶端配置压缩文件处理
当扫描查找病毒、钓鱼和一些可能被攻击者和其他威胁程序利用的合法程序时,默认情况下 Kaspersky Web Traffic Security 将压缩文件解压缩到 /tmp/kwtstmp 临时目录。您可以更改解压缩后的已扫描压缩文件所在的目录。
要配置压缩文件解压缩目录:
- 在集群节点上的文本编辑器中打开 /var/opt/kaspersky/apps/2022 文件。
- 在
[路径]区域,将目录路径指定为tmp参数的值。示例:
tmp=</path/to/tmp/for/archives>确保目录存在。您需要将目录访问权限提供给用户集群和组集群。
- 重启 Kaspersky Web Traffic Security
压缩文件将被解压缩到指定目录中。
页面顶端