启用或禁用 ICAP 流量实时扫描
如果启用了通过 ICAP 与代理服务器的集成,您可以启用或禁用 ICAP 流量实时扫描。
如果启用 ICAP 流量实时扫描,Kaspersky Anti Targeted Attack Platform 会实时向 ICAP 客户端发送有关扫描对象的信息。这有助于防止下载恶意对象和单击不受信任的链接。
要在安装了 Central Node 和 Sensor 组件的服务器上启用或禁用 ICAP 流量实时扫描:
- 在应用程序 Web 界面窗口中选择传感器服务器部分。
服务器列表表格将会显示。
- 单击localhost Sensor 组件。
- 选择 ICAP 与代理服务器集成 部分。
当在设置> <Sensor 服务器名称>中集成被启用时,会显示实时扫描部分。
- 在实时扫描下面,选择以下选项之一:
- 残疾人。
如果选择此选项,ICAP 流量实时扫描将被禁用。默认情况下选择此选项。
- 已启用,标准 ICAP 流量扫描。
启用此类扫描后,将根据卡巴斯基安全网络的知识库检查文件和 URL 的信誉,并由 Sandbox 组件、反恶意软件引擎和 YARA 模块扫描文件。当文件正在被 Sandbox 组件扫描时,它们仍然可用。
- 已启用,高级 ICAP 流量扫描。
启用此类扫描后,将根据卡巴斯基安全网络的知识库检查文件和 URL 的信誉,并由沙箱组件、反恶意软件引擎和 YARA 模块扫描文件。当文件正在被 Sandbox 组件扫描时,它们不可用。
- 残疾人。
- 在提取用户名下:
- 如果要从 ICAP 服务器获取用户名,请将“状态”字段中的切换开关设置为“已启用”。如果要使用 Base64 解码,请在“标头名称”字段中选择“使用 Base64 解码”复选框。默认情况下,“状态”字段中的切换开关设置为“已禁用”。
- 如果您不想从 ICAP 服务器获取用户名,请将“状态”字段中的切换开关设置为“已禁用”。
- 单击应用。
- 如果启用了 ICAP 流量实时扫描和启用了高级扫描模式或标准扫描模式,主机字段将显示处理出站流量的请求修改 (REQMOD) 服务的 URL,格式如下:icap://<host>:1344/av/reqmod,
其中 <host> 是安装了 Sensor 组件的服务器的 IP 地址。要配置与 Kaspersky Anti Targeted Attack Platform 的集成,请复制此 URL 并将其粘贴到您的组织使用的代理服务器的设置中。
ICAP 流量的实时扫描被启用或禁用。
要在安装了 Sensor 组件的单个服务器上启用或禁用 ICAP 流量实时扫描:
- 通过 SSH 协议或终端进入 Sensor 服务器的管理控制台。
- 系统提示时,请输入管理员用户名和安装应用程序期间设置的密码。
这将打开 Sensor 组件的设置菜单。如果菜单未打开,请输入
kata-admin-menu命令并按 - 转至程序设置 → 配置 ICAP 集成部分。
要选择一行,您可以使用 ↑、↓ 和ENTER键。所选行以红色突出显示。
- 这将打开一个窗口;在该窗口中,确保[x]显示在已启用设置的右侧。
- 选择以下选项之一:
- 禁用实时扫描。
如果选择此选项,ICAP 流量实时扫描将被禁用。默认情况下选择此选项。
- 标准 ICAP 扫描。
启用此类扫描后,将根据卡巴斯基安全网络的知识库检查文件和 URL 的信誉,并由反恶意软件引擎和 YARA 模块扫描文件。
- 高级 ICAP 扫描。
启用此类扫描后,将根据卡巴斯基安全网络的知识库检查文件和 URL 的信誉,并由 Sandbox 组件、反恶意软件引擎和 YARA 模块扫描文件。
- 禁用实时扫描。
- 选择一个选项并按ENTER键。(O)显示在所选选项的右侧。
要选择一行,您可以使用 ↑ 和 ↓ 键。所选行以红色突出显示。
- 如果您启用了 ICAP 流量实时扫描并启用了高级扫描模式或标准扫描模式,请在代理服务器设置中的REQMOD字段中指定 URL。
在具有 Sensor 组件的单个服务器进行 ICAP 流量实时扫描被启用或禁用。
如果您启用了 ICAP 流量的实时扫描,并且禁用了与代理服务器的集成,则扫描将不起作用。所有 ICAP 流量扫描设置均已保存。当您重新启用与代理服务器的集成时,ICAP 流量扫描也会被启用。