防火墙无法响应 "重置" 到恶意内容和 HTTP 响应
Resolution
症状
当恶意内容和 HTTP 响应代码作为单个数据包发送时, 防火墙无法响应 "重置", 尽管已正确配置了防病毒配置文件操作 "重置"。
从公共 eicar 站点 (http://www.eicar.org/) 下载 eicar 测试文件 (eicar_com) 时, 可以看到此限制。客户查看以下。
- 当从公共 eicar 站点 (http://www.eicar.org/) 下载 eicar 测试文件 (eicar_com) 时, 防火墙会将 "病毒/间谍软件下载阻止" 页发送到浏览器。
- 虽然 "病毒/间谍软件下载阻止" 页被发送到配置的操作 (在这种情况下, 重置两个) 被记录为事件在威胁日志中的触发操作。
如果客户在其 web 服务器上查找 eicar 测试文件 (eicar_com), 然后尝试通过防火墙下载测试文件, 则会看到以下内容。
- "复位-两者" 被正确触发, RST 从防火墙发送到浏览器端。
- 此外, 配置的操作 (在这种情况下, 重置) 被正确记录为事件在威胁日志中触发的操作。
案例 1
此案例显示了限制如何工作的摘要。
下面是浏览器和 eicar 站点 "http://www.eicar.org/" 之间 HTTP 事务的示例,用于下载 eicar 测试文件 (eicar_com. zip). eicar 站点的 ip 地址为188.40.238.250。浏览器的 ip 地址是1.1.1.4 的。
用于捕获的屏幕快照, 显示浏览器与 eicar 站点 "http://www.eicar.org/" 之间的 HTTP 事务示例,用于下载 eicar 测试文件 (eicar_com. zip).
您可以从上面的捕获中看到浏览器和 eicar 站点之间的 HTTP 事务正在按以下顺序进行。
- 浏览器正在发送 "获取/下载/eicar_com HTTP/1.1" 在没有809数据包。
- eicar 站点将恶意内容和 HTTP 响应代码200作为单个数据包发送到812个数据包中。
- 防火墙正在发送 "HTTP/1.1 503 服务不可用" 页面 "下载病毒/间谍软件已被阻止, 根据公司的政策。请与系统管理员联系, 如果您认为这是错误的 "到浏览器端, 在813个数据包。
从 eicar 测试站点下载 eicar_com 时生成的威胁日志的屏幕快照:
- 我们可以看到, 重置-两个都被记录为触发操作, 虽然 tfirewall 发送 "HTTP/1.1 503 服务不可用"。
案例2
本案例显示了防火墙如何将 "重置" 发送到恶意内容的摘要。
下面是浏览器和专用 web 服务器之间的 HTTP 事务示例, 用于下载 eicar 测试文件 (eicar_com)。承载 eicar_com 的专用 web 服务器的 ip 地址为 10.128.128.218, 浏览器的 ip 地址为1.1.1.4。
屏幕截图, 显示浏览器和专用 web 服务器之间 HTTP 事务的示例, 用于下载 eicar 测试文件 (eicar_com):
另外请注意, 我们可以了解到, 私有 web 服务器正在将恶意内容和 HTTP 响应代码200作为两个数据包发送到2004和2005数据包中, 从上面的屏幕捕获中的 "红色颜色位置" 开始。
您可以从上面的捕获中看到浏览器和专用服务器端之间的 HTTP/TCP 事务在下面的顺序中进行。
- 浏览器正在发送 "获取/下载/eicar_com HTTP/1.1" 在没有2002数据包。
- 专用 web 服务器将恶意内容和 HTTP 响应代码200作为两个数据包发送到2004和2005数据包中。
- 此外, 您还可以看到, 防火墙正在将 RST 发送到浏览器端, 而不是2010数据包, 而不是 "HTTP/1.1 503 服务不可用" 从下面的屏幕截图。此外, 您还可以看到从下面的屏幕捕获中可以看到在同一 TCP 流中没有2002个数据包和2010个数据包。
捕获的截图显示防火墙在接收到恶意内容和 HTTP 响应代码200作为两个数据包的2004和2005数据包从专用服务器中后, 向浏览器发送 RST 数据包:
从专用服务器下载 eicar_com 时生成的威胁日志的屏幕快照:
- 我们可以看到重置-两个都被记录为触发操作, 防火墙正在发送 RST。