反病毒体系结构
Lenovo 反病毒体系结构中包含一个 Vscan 服务器和一组 ONTAP 可配置项。
Vscan 服务器组件
必须在 Vscan 服务器上安装以下组件。
- ONTAP Antivirus Connector
- Lenovo 提供的 ONTAP Antivirus Connector 处理 ONTAP 与 Vscan 服务器之间的通信。
- 反病毒软件
- 符合 ONTAP 的第三方反病毒软件扫描文件以查找病毒或其他恶意代码。可在配置软件时指定要对受感染文件采取的补救措施。
ONTAP 可配置项
必须在 Lenovo 存储系统上配置以下项。
- 扫描程序池
- 扫描程序池定义可连接到 SVM 的 Vscan 服务器和特权用户。它还定义扫描请求超时时间段,在此时间段后,将把扫描请求发送给备用 Vscan 服务器(如果有)。注最好是在 Vscan 服务器上反病毒软件中将超时时间段设置为比扫描程序池请求超时时间段少五分钟,以免因为软件中的超时时间段比扫描请求的时间段长而导致一起延迟或拒绝访问文件。
- 特权用户
- 特权用户是 Vscan 服务器用于连接到 SVM 的域用户帐户。扫描程序池中定义的特权用户列表内必须包含该帐户。
- 扫描程序策略
- 扫描程序策略确定扫描程序池是否处于活动状态。扫描程序策略可采用以下值之一:
- Primary 指定扫描程序池处于活动状态。
- Secondary 指定仅当未连接主扫描程序池中的任何 Vscan 服务器时,扫描程序池才处于活动状态。
- Idle 指定扫描程序池处于非活动状态。
扫描程序策略由系统定义。不能创建自定义的扫描程序策略。
- 访问时策略
- 访问时策略定义访问时扫描的范围。可指定要扫描的文件的最大大小、扫描时要包括的文件的扩展名,以及扫描时要排除的文件的扩展名和路径。
默认情况下,仅扫描读写卷。可指定筛选条件,以便仅扫描只读卷或限制为扫描使用执行访问权限打开的文件:
- scan-ro-volume 启用扫描只读卷。
- scan-execute-access 限制为仅扫描使用执行访问权限打开的文件。注
执行访问权限
与执行权限
不同。仅当可执行文件是出于执行目的
打开的,给定客户端才具有该文件的执行访问权限
。
可将 scan-mandatory 选项设置为 off,以指定如果没有 Vscan 服务器可用于扫描病毒,才允许访问文件。
- 按需任务
按需任务定义按需扫描的范围。可指定要扫描的文件的最大大小、扫描时要包括的文件的扩展名和路径,以及扫描时要排除的文件的扩展名和路径。默认情况下将扫描子目录中的文件。
可使用 cron 计划指定此任务的运行条件。您可以使用 vserver vscan on-demand-task run 命令立即运行任务。
- Vscan 文件操作概要文件(仅限访问时扫描)
- vserver cifs share create 命令的 -vscan-fileop-profile 参数定义 CIFS 共享上的哪些操作可触发病毒扫描。默认情况下,此参数设置为 standard。
创建或修改 CIFS 共享时,可根据需要调整此参数:
- no-scan 指定始终不对共享触发病毒扫描。
- standard 指定打开、关闭和重命名操作可触发病毒扫描。
- strict 指定打开、读取、关闭和重命名操作可触发病毒扫描。
strict 概要文件可以在多个客户端同时访问一个文件的情况下增强安全性。如果一个客户端在向文件写入病毒后关闭了该文件,而同一个文件在第二个客户端上保持打开状态,strict 将确保在关闭该文件之前在第二个客户端上执行读取操作会触发扫描。
如果共享中包含将同时访问的文件时,则限制这些共享的 strict 概要文件时,应小心谨慎。因为该概要文件生成的扫描请求比其他概要文件生成的多,所以可能会对性能造成负面影响。
- writes-only 指定仅当关闭了已修改的文件时,才会触发病毒扫描。
由于 writes-only 生成的扫描请求比其他概要文件生成的少(但 no-scan 除外),所以通常会提高性能。
不过请记住,如果将此概要文件用于共享,仍然必须配置扫描程序以删除或隔离不可修复的受感染文件,以便让客户端以后不可访问该文件。例如,如果一个客户端在向文件写入病毒后关闭了该文件,但未修复、删除或隔离该文件,则访问该文件但不对其进行写入的任何客户端都将受到感染。