Dr.Web

Сервис Dr.Web позволяет с помощью веб-прокси осуществлять захват и сканирование проксируемого трафика HTTP и HTTPS на предмет наличия вирусов, вредоносного программного обеспечения и других угроз. Дополнительно сервис обеспечивает фильтрацию трафика в соответствии с базами данных нежелательных вредоносных ресурсов и тематических категорий, а также в соответствии с пользовательскими правилами, реализуемыми посредством модуля ICAPD.

Примечание

Для функционирования сервиса Dr.Web требуется ключ активации лицензии.

Сервис Dr.Web интегрирован в систему ARMA Стена. Конфигурирование параметров сервиса осуществляется через интерфейс командной строки (CLI) в разделе «set third-party service drweb gss icapd».

Лицензирование Dr.Web

Примечание

Перед активацией продукта Dr.Web Gateway Security Suite необходимо включить службу Dr.Web - «set third-party service drweb gss enable yes».

Права пользователя на использование копии Dr.Web Gateway Security Suite подтверждаются и регулируются лицензией, приобретённой пользователем у компании «Доктор Веб» или её партнёров. Параметры лицензии, регулирующие права пользователя, установлены в соответствии с Лицензионным соглашением (см. https://license.drweb.com/agreement/), условия которого принимаются пользователем при активации Dr.Web Gateway Security Suite в системе ARMA Стена.

Имеется также возможность активировать для приобретённой копии Dr.Web Gateway Security Suite демонстрационный период. В этом случае, если не нарушены условия активации демонстрационного периода, пользователь получает право на полноценное использование Dr.Web Gateway Security Suite в течение демонстрационного периода.

Каждой лицензии на использование программных продуктов компании «Доктор Веб» сопоставлен уникальный серийный номер, а в системе ARMA Стена с лицензией связывается специальный файл, регулирующий работу компонентов в соответствии с параметрами лицензии. Он называется лицензионным ключевым файлом. При активации демонстрационного периода также автоматически формируется специальный ключевой файл, называемый демонстрационным.

В случае отсутствия у пользователя действующей лицензии или активированного демонстрационного периода, антивирусные функции компонентов Dr.Web Gateway Security Suite блокируются, кроме того, недоступен сервис регулярных обновлений вирусных баз с серверов обновлений компании «Доктор Веб».

После получения лицензионного ключевого файла для продукта Dr.Web Gateway Security Suite необходимо скопировать его в каталог «/config/files/configuration/third-party/service/drweb/gss/license/» системы ARMA Стена.

Для выполнения данной операции возможно использовать программное обеспечение, поддерживающее передачу файлов по протоколам SFTP или SCP (например, WinSCP для операционной системы Windows), либо воспользоваться командой «scp» через интерфейс командной строки. Возможны также альтернативные способы передачи данных.

Пример использования команды «scp»:

«C:\Users\test>scp c:\Users\test\Desktop\151473289.key admin@172.16.20.76:/config/files/configuration/third-party/service/drweb/gss/license»

Команда выполнит копирование лицензионного ключевого файла «151473289.key» в каталог «/config/files/configuration/third-party/service/drweb/gss/license/» на системе ARMA Стена, доступной по IP-адресу 172.16.20.76.

Для активации продукта Dr.Web Gateway Security Suite необходимо ввести следующую команду в конфигурационном режиме:

set third-party service drweb gss license 151473289.key

# Применить и сохранить настройку:
commit
save

Для просмотра информации о текущей лицензии продукта Dr.Web Gateway Security Suite необходимо в эксплуатационном режиме ввести следующую команду:

admin@ngfwos:~$ show third-party drweb gss license

License number 151473289, expires 2025-May-29 14:53:29 (35 days left)

Включение Dr.Web

Для включения сервиса Dr.Web необходимо выполнить следующие действия:

  1. Настроить прокси-сервера в любой из доступных режимов (см. «Прокси-сервер»).

  2. Выполнить настройку ICAP:

    set service webproxy icap-client enable
set service webproxy icap-client remote-address 127.0.0.1
set service webproxy icap-client remote-port 1344
set service webproxy icap-client request location reqmod
set service webproxy icap-client response location respmod

# Применить и сохранить конфигурацию:
commit
save

    Значения указаны в качестве примера.

  3. Включить сервис Dr.Web:

    set third-party service drweb gss enable yes

  4. Включить компонент Dr.Web ICAP:

    set third-party service drweb gss icapd enable yes

  5. Применить и сохранить конфигурацию командами commit и save.

Конфигурация Dr.Web ICAPD

Компонент Dr.Web ICAPD использует протокол ICAP (Internet Content Adaptation Protocol, RFC 3507) для взаимодействия с внешним по отношению к Dr.Web Gateway Security Suite прокси-сервером, обслуживающим соединения узлов локальной сети с веб-серверами по протоколу HTTP/HTTPS.

Для запуска компонента Dr.Web ICAPD необходимо ввести следующую команду в конфигурационном режиме:

set third-party service drweb gss icapd enable yes

Значение «no» отключает компонент Dr.Web ICAPD (установлено по умолчанию).

Общие настройки

  1. Уровень подробности ведения журнала компонента:

set third-party service drweb gss icapd log-level <text>

где <text> - значение уровня подробности записи в журнал для компонента Dr.Web ICAPD. Возможно указать следующие значение:

  • debug — самый подробный (отладочный) уровень. Выводятся все сообщения, а также отладочная информация.

  • info — выводятся все сообщения.

  • notice — выводятся сообщения об ошибках, предупреждения, уведомления. Используется по умолчанию.

  • warning — выводятся сообщения об ошибках и предупреждения.

  • error — выводятся только сообщения об ошибках.

  1. Сохранять или не сохранять в журнал содержимое сообщений, передаваемых по протоколу ICAP, если уровень подробности ведения журнала — отладочный (при LogLevel = DEBUG):

set third-party service drweb gss icapd debug-dump-icap <yes | no>

где:

  • yes — сохранять в журнал содержимое сообщений;

  • no — не сохранять в журнал содержимое сообщений. Значение используется по умолчанию.

  1. Использовать или не использовать эвристический анализ для поиска неизвестных угроз:

set third-party service drweb gss icapd heuristic-analysis <off | on>

где:

  • on — использовать эвристический анализ при проверке. Значение используется по умолчанию;

  • off — не использовать эвристический анализ.

Эвристический анализ повышает надёжность проверки, но увеличивает её длительность.

  1. Включить или отключить режим ICAP preview (предварительный просмотр) для Dr.Web ICAPD:

set third-party service drweb gss icapd use-preview <yes | no>

где:

  • yes — включить режим ICAP preview. Значение используется по умолчанию;

  • no — отключить режим ICAP preview.

Определяет, будет ли антивирус использовать предварительный просмотр содержимого файла перед его полной проверкой. Предварительный просмотр позволяет антивирусу быстро оценить содержимое файла без выполнения полного анализа. Основная цель — оптимизация производительности. Если файл явно безопасен или не представляет интереса для детального анализа, антивирус может пропустить его полную проверку.

Примечание

Не изменять значение этого параметра без необходимости.

  1. Возвращать код ответа 204 не только в режиме ICAP preview:

set third-party service drweb gss icapd use-204 <yes | no>

где:

  • yes — возвращать код ответа 204. Значение используется по умолчанию;

  • no — не возвращать код ответа 204.

Параметр use-204 определяет, будет ли Dr.Web ICAPD использовать HTTP-статус 204 No Content для ответов на запросы от прокси-сервера. Параметр позволяет оптимизировать взаимодействие между прокси-сервером и Dr.Web ICAPD, избегая ненужной передачи данных, если файл или трафик признан безопасным.

Примечание

Не изменять значение этого параметра без необходимости.

  1. Разрешить или запретить Dr.Web ICAPD использовать режим «раннего» ответа ICAP, т. е. начинать отправлять ответ клиенту, не прочитав до конца запрос от прокси-сервера HTTP:

set third-party service drweb gss icapd allow-early-response <yes | no>

где:

  • yes — разрешить использовать режим «раннего» ответа ICAP. Значение используется по умолчанию;

  • no — запретить Dr.Web ICAPD использовать режим «раннего» ответа ICAP.

Примечание

Не изменять значение этого параметра без необходимости.

  1. IP-адрес, прослушиваемый Dr.Web ICAPD в ожидании подключений от прокси-серверов HTTP:

set third-party service drweb gss icapd listen-address <x.x.x.x>

где <x.x.x.x> - IP-адрес, который Dr.Web ICAPD будет прослушивать в ожидании подключений от прокси-сервера. По умолчанию используется IP-адрес «127.0.0.1».

  1. Порт, прослушиваемый Dr.Web ICAPD в ожидании подключений от прокси-серверов HTTP:

set third-party service drweb gss icapd listen-port <1-65535>

где <1-65535> - порт IP-адреса, который Dr.Web ICAPD будет прослушивать в ожидании подключений от прокси-сервера. Возможно указать значение в диапазоне от «1» до «65535». По умолчанию используется порт «1344».

  1. Тайм-аут на проверку одного файла по запросу Dr.Web ICAPD:

set third-party service drweb gss icapd scan-timeout <1-3600>

где <1-3600> - значение тайм-аута в секундах. Возможно указать значение в диапазоне от «1» до «3600». По умолчанию используется значение «30».

  1. Максимальный уровень вложенности для запакованных объектов:

set third-party service drweb gss icapd packer-max-level <0-1000>

где <0-1000> - значение максимального уровня вложенности для запакованных объектов. Возможно указать значение в диапазоне от «0» до «1000». По умолчанию используется значение «8». Значение «0» указывает, что вложенные объекты не проверяются.

Под запакованным объектом понимается исполняемый код, сжатый при помощи специализированных инструментов (UPX, PELock, PECompact, Petite, ASPack, Morphine и др.). Такие объекты могут включать другие запакованные объекты, в состав которых также могут входить другие запакованные объекты, и т. д. Значение этого параметра устанавливает предельный уровень иерархии вложенности, после которого объекты внутри объектов не будут проверяться.

  1. Максимальный уровень вложенности для архивов (.zip, .rar и др.):

set third-party service drweb gss icapd archive-max-level <0-1000>

где <0-1000> - значение максимального уровня вложенности для архивов. Возможно указать значение в диапазоне от «0» до «1000». По умолчанию используется значение «0». Значение этого параметра устанавливает предельный уровень иерархии вложенности, после которого архивы внутри архивов не будут проверяться.

  1. Максимальный уровень вложенности для файлов почтовых программ (.pst, .tbb и др.):

set third-party service drweb gss icapd mail-max-level <0-1000>

где <0-1000> - значение максимального уровня вложенности для файлов почтовых программ. Возможно указать значение в диапазоне от «0» до «1000». По умолчанию используется значение «0».

  1. Максимальный уровень вложенности для других типов объектов c вложениями (например, страницы HTML, файлы .jar и др.):

set third-party service drweb gss icapd container-max-level <0-1000>

где <0-1000> - значение максимального уровня вложенности для других типов объектов c вложениями. Возможно указать значение в диапазоне от «0» до «1000». По умолчанию используется значение «8».

  1. Максимальная допустимая степень сжатия запакованных объектов (отношение сжатого объёма к несжатому):

set third-party service drweb gss icapd max-compression-ratio <2-10000>

где <2-10000> - значение степень сжатия запакованных объектов. Возможно указать значение в диапазоне от «2» до «10000». По умолчанию используется значение «500». Если степень сжатия объекта превысит указанную величину, он будет пропущен при проверке данных, инициированной по запросу Dr.Web ICAPD.

Настройки блокировок

Примечание

В случае исключения ресурса из списка блокируемых Dr.Web, при котором доступ к указанному ресурсу не восстанавливается, требуется выполнить перезапуск компонента DrWeb ICAPD. Для этого необходимо вручную отключить, а затем вновь включить компонент DrWeb ICAPD. Только после завершения данного действия обеспечивается корректное применение изменений в политике фильтрации и восстановление доступа к ресурсу.

  1. Блокировать получение и передачу данных, если они содержат неизвестную угрозу, обнаруженную эвристическим анализатором:

set third-party service drweb gss icapd block-suspicious <yes | no>

где:

  • yes — включить блокировку. Значение используется по умолчанию;

  • no — отключить блокировку.

  1. Блокировать получение и передачу данных, если они содержат известную угрозу:

set third-party service drweb gss icapd block-known-virus <yes | no>

Значение по умолчанию: «yes».

  1. Блокировать попытки подключения к веб-сайтам, содержащим вредоносное ПО (входящим в категорию InfectionSource):

set third-party service drweb gss icapd block-infection-source <yes | no>

Значение по умолчанию: «yes».

  1. Блокировать попытки подключения к нерекомендуемым веб-сайтам (входящим в категорию NotRecommended):

set third-party service drweb gss icapd block-not-recommended <yes | no>

Значение по умолчанию: «yes».

  1. Блокировать получение и передачу данных, если они содержат рекламную программу:

set third-party service drweb gss icapd block-adware <yes | no>

Значение по умолчанию: «yes».

  1. Блокировать получение и передачу данных, если они содержат программу дозвона:

set third-party service drweb gss icapd block-dialers <yes | no>

Значение по умолчанию: «yes».

  1. Блокировать попытки подключения к веб-сайтам онлайн-игр (входящим в категорию OnlineGames):

set third-party service drweb gss icapd block-online-games <yes | no>

Значение по умолчанию: «yes».

  1. Блокировать попытки подключения к веб-сайтам анонимайзеров (входящим в категорию Anonymizers):

set third-party service drweb gss icapd block-anonymizers <yes | no>

Значение по умолчанию: «yes».

  1. Блокировать попытки подключения к веб-сайтам, объединяющим пользователей с целью добычи (майнинга) криптовалют (входящим в категорию CryptocurrencyMiningPool):

set third-party service drweb gss icapd block-cryptocurrency-mining-pools <yes | no>

Значение по умолчанию: «yes».

  1. Блокировать попытки подключения к веб-сайтам, содержащим материалы для взрослых (входящим в категорию AdultContent):

set third-party service drweb gss icapd block-adult-content <yes | no>

Значение по умолчанию: «no».

  1. Блокировать попытки подключения к веб-сайтам, содержащим сцены насилия (входящим в категорию Violence):

set third-party service drweb gss icapd block-violence <yes | no>

Значение по умолчанию: «no».

  1. Блокировать попытки подключения к веб-сайтам, посвящённым оружию (входящим в категорию Weapons):

set third-party service drweb gss icapd block-weapons <yes | no>

Значение по умолчанию: «no».

  1. Блокировать попытки подключения к веб-сайтам, посвящённым азартным играм и играм на деньги (входящим в категорию Gambling):

set third-party service drweb gss icapd block-gambling <yes | no>

Значение по умолчанию: «no».

  1. Блокировать попытки подключения к веб-сайтам, посвящённым наркотикам (входящим в категорию Drugs):

set third-party service drweb gss icapd block-drugs <yes | no>

Значение по умолчанию: «no».

  1. Блокировать попытки подключения к веб-сайтам, содержащим нецензурную лексику (входящим в категорию ObsceneLanguage):

set third-party service drweb gss icapd block-obscene-language <yes | no>

Значение по умолчанию: «no».

  1. Блокировать попытки подключения к веб-сайтам чатов (входящим в категорию Chats):

set third-party service drweb gss icapd block-chats <yes | no>

Значение по умолчанию: «no».

  1. Блокировать попытки подключения к веб-сайтам, посвящённым терроризму (входящим в категорию Terrorism):

set third-party service drweb gss icapd block-terrorism <yes | no>

Значение по умолчанию: «no».

  1. Блокировать попытки подключения к веб-сайтам бесплатных почтовых служб (входящим в категорию FreeEmail):

set third-party service drweb gss icapd block-free-email <yes | no>

Значение по умолчанию: «no».

  1. Блокировать попытки подключения к веб-сайтам социальных сетей (входящим в категорию SocialNetworks):

set third-party service drweb gss icapd block-social-networks <yes | no>

Значение по умолчанию: «no».

  1. Блокировать попытки подключения к веб-сайтам, ссылки на которые были добавлены по обращению правообладателей (входящим в категорию DueToCopyrightNotice):

set third-party service drweb gss icapd block-due-to-copyright-notice <yes | no>

Значение по умолчанию: «yes».

  1. Блокировать получение и передачу данных, если они содержат программу-шутку:

set third-party service drweb gss icapd block-jokes <yes | no>

Значение по умолчанию: «no».

  1. Блокировать получение и передачу данных, если они содержат потенциально опасную программу:

set third-party service drweb gss icapd block-riskware <yes | no>

Значение по умолчанию: «no».

  1. Блокировать получение и передачу данных, если они содержат программу взлома:

set third-party service drweb gss icapd block-hacktools <yes | no>

Значение по умолчанию: «no».

  1. Блокировать получение и передачу данных, если они не могут быть проверены:

set third-party service drweb gss icapd block-unchecked <yes | no>

Значение по умолчанию: «no».

  1. Блокировать попытки подключения к веб-сайтам для поиска работы (входящим в категорию Jobs):

set third-party service drweb gss icapd block-jobs <yes | no>

Значение по умолчанию: «no».

Примечание

Для блокировки необходимо, чтобы в настройках присутствовали правила проверки трафика.

Белый список

Все домены, включённые в белый список, будут доступны пользователям, даже если они отнесены к нежелательным категориям веб-ресурсов. Доступ ко всем поддоменам этих доменов также будет открыт.

Для добавления домена в белый список необходимо ввести следующую команду в конфигурационном режиме:

set third-party service drweb gss icapd whitelist <url>

где <url> - URL-адрес или путь. URL-адрес может содержать символы кириллического и латинского алфавитов, а также цифры. В пути допускается использование следующих символов: & - = ! " № ; % : ? * ( ) _ + < > [ ] { } / \ | , . ' @ # $ ^ ~ `.

Пример:

set third-party service drweb gss icapd whitelist example.com
set third-party service drweb gss icapd whitelist infowatch.ru/pages/viewpage.actionpageId=239930185

Просмотр белого списка:

admin@ngfwos# show third-party service drweb gss icapd whitelist
 whitelist example.com
 whitelist wiki.infowatch.ru/pages/viewpage.actionpageId=239930185
[edit]
admin@ngfwos#

Примечание

Реальное использование списка доменов, указанного в данном параметре, определяется правилами управления доступом к веб-ресурсам, настроенными для Dr.Web ICAPD.

В правилах, заданных по умолчанию (см. «Правила проверки трафика Dr.Web ICAPD»), гарантируется предоставление доступа к доменам и их поддоменам из данного списка, даже если там будут находиться домены из блокируемых категорий веб-ресурсов указанных в разделе «Настройки блокировок». Кроме того, правила по умолчанию обеспечивают проверку данных, загружаемых с доменов из белого списка, на наличие потенциальных угроз.

Чёрный список

Все домены, включённые в чёрный список, не будут доступны пользователям, даже если они не отнесены к категориям нежелательных веб-ресурсов. Доступ ко всем поддоменам этих доменов также будет заблокирован.

Для добавления домена в чёрный список необходимо ввести следующую команду в конфигурационном режиме:

set third-party service drweb gss icapd blacklist <url>

где <url> - URL-адрес или путь. URL-адрес может содержать символы кириллического и латинского алфавитов, а также цифры. В пути допускается использование следующих символов: & - = ! " № ; % : ? * ( ) _ + < > [ ] { } / \ | , . ' @ # $ ^ ~ `.

Пример:

set third-party service drweb gss icapd blacklist example.net
set third-party service drweb gss icapd blacklist infowatch.ru/pages/viewpage.actionpageId=239930185

Просмотр чёрного списка:

admin@ngfwos# show third-party service drweb gss icapd blacklist
 blacklist example.net
 blacklist wiki.infowatch.ru/pages/viewpage.actionpageId=239930185
[edit]
admin@ngfwos#

Примечание

Реальное использование списка доменов, указанного в данном параметре, определяется правилами управления доступом к веб-ресурсам, настроенными для Dr.Web ICAPD.

В правилах, заданных по умолчанию (см. «Правила проверки трафика Dr.Web ICAPD»), гарантируется запрет доступа ко всем доменам и их поддоменам, включённым в этот список. Если домен одновременно присутствует в белом и чёрном списке, приоритет будет отдан правилу запрета, и доступ к нему будет заблокирован.

Список реклам

Список регулярных выражений для описания веб-сайтов. URL, соответствующий любому из приведённых в этом списке регулярных выражений, считается рекламным.

Для добавления регулярных выражений в список реклам необходимо ввести следующую команду в конфигурационном режиме:

set third-party service drweb gss icapd adlist <text>

где <text> - значение регулярного выражения.

Пример:

set third-party service drweb gss icapd adlist .*ads.+
set third-party service drweb gss icapd adlist .*/ad/.*\.gif$

Просмотр списка реклам:

admin@ngfwos# show third-party service drweb gss icapd adlist
 adlist .*ads.+
 adlist .*/ad/.*\.gif$
[edit]
admin@ngfwos#

Примечание

Реальное использование списка выражений, указанного в данном параметре, определяется правилами управления доступом к веб-ресурсам, настроенными для Dr.Web ICAPD.

В правилах, заданных по умолчанию (см. «Правила проверки трафика Dr.Web ICAPD»), доступ к URL из данного списка запрещается только в том случае, если домены, на которые ссылаются эти URL, не включены в белый список.

Правила проверки трафика Dr.Web ICAPD

Помимо вышеперечисленных параметров, в Dr.Web ICAPD предусмотрено семь наборов правил «rule-set*» (rule-set0, …, rule-set6), предназначенных для управления проверкой трафика и контроля доступа пользователей к веб-ресурсам, а также загрузке контента из интернета. Каждый набор может содержать неограниченное количество правил. Правила внутри набора обрабатываются последовательно, сверху вниз, до достижения конечного результата. Пропуски в списке правил, если встречаются, игнорируются.

Правила представляют собой конструкции вида: ЕСЛИ <условная часть> ТО <часть действий>, где:

  • Условная часть включает проверки следующих типов:

    • переменная (не) имеет заданное значение;

    • значение переменной (не) входит в указанное множество.

  • Часть действий содержит одно или несколько действий, которые могут быть:

    • конечной резолюцией: пропустить или заблокировать проверяемый объект;

    • модифицирующим действием , например:

      • изменить свойства проверяемого объекта;

      • присвоить указанной переменной заданное значение;

      • добавить заданное значение к множеству значений переменной.

Действия правила выполняются только если его условная часть истинна. Если условие ложно, правило пропускается, и обработка продолжается со следующего правила. Правила обрабатываются последовательно, сверху вниз, до достижения конечной резолюции. После её срабатывания все последующие правила игнорируются.

Примечание

Действия в части действий правила выполняются последовательно, слева направо. Если в цепочке действий встречается конечная резолюция, прерывающая обработку, все последующие действия в этом правиле игнорируются.

Для создание нового правила необходимо в конфигурационном режиме ввести следующею команду:

set third-party service drweb gss icapd rule-set rule <N> action "<text>"

где:

  • <N> - номер набора правил. Возможно указать значение от «0» до «6».

  • <text> - правило в формате «[<условие>[, <условие>[, …]]] : <действие>[, <действие>[, …]]» (см. «Формат правил»).

В записи правил не предусмотрено дизъюнкции (логическое «ИЛИ») условий в условной части, для реализации логического «ИЛИ» необходимо записывать цепочку правил, указав в условии каждого единственное условие-дизъюнкт. Например, следующие два правила эквивалентны правилу «Осуществить блокировку, если обнаружен вредоносный объект типа KnownVirus или URL из категории Terrorism»:

set third-party service drweb gss icapd rule-set rule 0 action "threat_category in (KnownVirus) : BLOCK as _match"
set third-party service drweb gss icapd rule-set rule 0 action "url_category in (Terrorism) : BLOCK as _match"

Набор правил по умолчанию

По умолчанию задан следующий набор правил, управляющих блокировкой:

rule-set0 =
rule-set1 = direction request, url_host in "ICAPD.Blacklist" : BLOCK as BlackList
rule-set1 = direction request, url_host not in "ICAPD.Whitelist", url match "ICAPD.Adlist" : BLOCK as BlackList
rule-set2 =
rule-set3 = direction request, url_host not in "ICAPD.Whitelist", url_category in "ICAPD.BlockCategory" : BLOCK as _match
rule-set4 =
rule-set5 = threat_category in "ICAPD.BlockThreat" : BLOCK as _match
rule-set6 =

Первые два правила регламентируют обработку исходящих HTTP-соединений: если узел (или URL), с которым производится попытка установить соединение, включён в чёрный список, соединение блокируется по причине попадания в чёрный список, дальнейшие проверки не производятся. Если же узел (URL) не находится в белом списке и относится к любой из категорий веб-сайтов, отмеченной как нежелательные для посещения, или соответствует списку регулярных выражений, описывающих рекламные веб-сайты, то соединение блокируется по причине попадания URL в запрещённую к посещению категорию.

Правило, указанное в rule-set5, проверяет, не содержатся ли в теле проверяемого HTTP-запроса или HTTP-ответа угрозы, относящиеся к категориям, которые следует блокировать, и если да, то соединение блокируется по причине обнаружения угрозы.

Примечание

По умолчанию проверяются как запросы клиентов (request), так и ответы серверов (response).

Примечание

В системе ARMA Стена запрещено удалять или редактировать правила по умолчанию, заданные для Dr.Web ICAPD.

Формат правил

Правила имеют формат:

[<условие>[, <условие>[, …]]] : <действие>[, <действие>[, …]]

Условная часть правила (перед символом «:») может отсутствовать, в этом случае часть действий выполняется безусловно. Если условная часть правила отсутствует, то разделитель «:» может быть опущен. Запятая между условиями в условной части и действиями в части действий играет роль конъюнкции (т. е. логического «И»): условная часть считается истинной, только если истинны все перечисленные в ней условия, а все действия, указанные в части действий, выполняются в порядке их перечисления слева направо до момента встречи конечной резолюции, прерывающей обработку правил. Ключевые слова, имена переменных и параметров конфигурации в правилах не чувствительны к регистру.

Условия

В правилах используются следующие условия:

  • <переменная> <значение>

    Значение указанной переменной совпадает с заданным. Может быть использовано только для переменных, которые не могут принимать множество значений.

  • <переменная> [not] in <множество значений>

    Значение переменной содержится в указанном множестве значений (для not — не совпадает ни с одним из значений указанного множества).

  • <переменная> [not] match <множество значений>

    Значение переменной соответствует регулярному выражению из указанного набора (для not — не соответствует ни одному из выражений в указанном наборе). Регулярные выражения записываются с использованием синтаксиса POSIX (BRE, ERE) или Perl (PCRE, PCRE2).

  • <переменная> [not] gt <значение>

    Значение указанной переменной (не) больше заданного. Может быть использовано только для переменных, которые принимают единственное числовое значение.

  • <переменная> [not] lt <значение>

    Значение указанной переменной (не) меньше заданного. Может быть использовано только для переменных, которые принимают единственное числовое значение.

Часть <множество значений>, с которым сравнивается переменная, может быть указана следующими способами:

  • (<значение 1>[, <значение 2>[, …]])

    В скобках перечисляется непосредственно множество проверяемых значений (не менее одного). Для случая с одним значением и использованием условия in скобки можно опустить (получится случай <переменная> <значение>).

  • «<секция>.<параметр>»

    Множество параметров конфигурации, где в кавычках указывается имя параметра из конфигурации (с указанием содержащей его секции), значение (или набор значений) которого проверяется.

    Перечни параметров, которые можно использовать в условии, зависят от компонента, для которого заданы правила, и приведены ниже.

  • file(«<имя файла>»)

    Перечень значений считывается из текстового файла <имя файла> (одна строка файла — один элемент списка, ведущие и завершающие пробелы в строках не учитываются). Путь к файлу должен быть абсолютным. Кавычки и апострофы, если они встречаются в <имя файла>, должны быть экранированы символом косой черты «».

    Размер файла не должен быть больше 64 МБ.

    Содержимое файла считывается и подставляется в правила один раз — при загрузке файла конфигурации. Если указанный файл отсутствует или его размер слишком велик, при загрузке настроек возвращается ошибка x102.

    Если были внесены изменения в файл, для применения внесённых изменений необходимо выключить и снова включить сервис Dr.Web.

Если переменная имеет множественное значение, то условие <переменная> in <множество значений> истинно, если пересечение множества текущих значений указанной переменной <переменная> с указанным множеством <множество значений> не пусто. Условие not in истинно в противоположном случае.

Например, пусть X — переменная, текущее значение которой — множество, содержащее значения a, b, c. Тогда:

  • X in (a, b) — истинно, так как значения а и b встречаются в обоих множествах;

  • X in (a, d, e) — истинно, так как значение а встречается в обоих множествах;

  • X in (d, e) — ложно, так как ни одно из значений переменной (a, b, c) не встречается в множестве (d, e);

  • X in () — ложно, так как множество значений переменной не пусто;

  • X not in () — истинно, так как множество значений переменной не пусто;

  • X not in (d, e) — истинно, так как ни одно из значений переменной (a, b, c) не встречается в множестве (d, e);

  • X not in (a, d, e) — ложно, так как значение а встречается в обоих множествах.

Действия

Действия делятся на конечные резолюции, определяющие запрет или разрешение на пропуск объекта, и действия, изменяющие значения переменных, что может быть использовано при проверке условий в последующих правилах.

Конечные резолюции

Общие резолюции:

  • PASS

    Пропустить трафик (разрешить создание соединения, передать объект получателю). Последующие правила (если имеются) не используются.

  • BLOCK as <reason>

    Заблокировать трафик (отказать в создании соединения, передаче объекта получателю). Последующие правила (если имеются) не используются.

    В журнале фиксируется факт блокировки с указанием причины <reason>. Эта же причина используется для определения, какую страницу с уведомлением показать пользователю в браузере.

    В качестве <reason> для BLOCK могут быть использованы две стандартные причины:

    • BlackList — данные заблокированы по причине попадания в чёрный список пользователя.

    • _match — причиной блокировки является попадание веб-ресурса или файла с угрозой в категорию, из-за которой сработало правило (для условий *_category in (…)). Переменная _match хранит список блокируемых категорий, для которых сработало соответствие.

Особенности обработки конечных резолюций:

  • BLOCK as BlackList всегда отрабатывает как «попал в чёрный список» (вне зависимости от того, что за условие указано в правиле с данной резолюцией).

  • BLOCK as _match, если в _match не пусто, отрабатывает как «попал в категорию(и) _match».

  • BLOCK as _match, если в _match пусто, отрабатывает как «попал в чёрный список» (вне зависимости от того, что за условие указано в правиле с данной резолюцией).

  • Если были просмотрены все правила, но ни одно правило с резолюцией не сработало (или резолюции отсутствуют в правилах), то это равносильно применению к соединению действия PASS.

Изменение значения переменной

Для изменения значения переменной используется инструкция:

SET <переменная> = ([<значение 1>[, <значение 2>[, …]]])

Если в скобках ничего не указано, список значений переменных будет очищен:

SET <переменная> = ()

Если переменная имеет только одно значение, скобки не используются:

SET <переменная> = <значение>

Переменные, используемые в правилах

При указании переменных в правилах регистр символов не учитывается. Переменные, название которых состоит из нескольких слов, могут быть записаны с использованием подчёркивания для разделения слов или записаны без подчёркивания. Таким образом, имя переменной может быть указано как variable_name, VariableName или variablename. В данном разделе все переменные записаны с использованием подчёркивания (т. е. используется вариант написания variable_name).

Переменные, используемые в правилах:

  1. protocol

    Тип сетевого протокола, используемого соединением. В правилах для Dr.Web ICAPD может быть указано только одно значение — HTTP.

    Возможно использовать в:

    • условии - да

    • действии - нет

    Пример:

    • protocol in (HTTP)

  2. url

    URL, запрошенный клиентом. Может быть сравнен со строкой или регулярным выражением. Может быть использована в паре с переменной proc.

    Возможно использовать в:

    • условии - да

    • действии - нет

    Пример:

    • url match («drweb.com», «example..*», «aaa.ru/»)

  3. url_host

    URL или узел, с которым устанавливается соединение.

    Значение переменной определено, только если не используется SSL/TLS или проверка SSL была разрешена.

    Возможно использовать в:

    • условии - да

    • действии - нет

    Пример:

    • url_host in („vk.com“, „ya.ru“)

  4. url_category

    Список категорий, к которым (по базам категорий веб-ресурсов) относится URL или узел, с которым установлено соединение.

    Особенности использования:

    • Значение переменной определено, только если не используется SSL/TLS или проверка SSL разрешена.

    • Для правил, используемых Dr.Web ICAPD, условие с not in будет истинным, даже если по результатам проверки URL или узел не принадлежит никакой из предопределённых категорий («безопасный» URL или узел).

    • Если базы данных категорий веб-ресурсов не установлены, то переменную нельзя использовать в правилах (попытка проверить истинность условия в правиле будет приводить к ошибке x112).

    Возможно использовать в:

    • условии - да

    • действии - нет

    Категории нежелательных веб-сайтов для переменной «url_category»:

    • InfectionSource - веб-сайты, содержащие вредоносное ПО («источники распространения угроз»).

    • NotRecommended - веб-сайты, используемые для мошенничества («социальной инженерии») и не рекомендованные к посещению.

    • AdultContent - веб-сайты, содержащие материалы порнографического или эротического содержания, веб-сайты знакомств и т. д.

    • Violence - веб-сайты, содержащие призывы к насилию, материалы о различных происшествиях с человеческими жертвами и т. д.

    • Weapons - веб-сайты, посвященные оружию и взрывчатым веществам, а также материалы с описанием их изготовления и т. д.

    • Gambling - веб-сайты, на которых размещены онлайн-игры на деньги, интернет-казино, аукционы, а также принимающие ставки и т. д.

    • Drugs - веб-сайты, пропагандирующие употребление, изготовление или распространение наркотиков и т. д.

    • ObsceneLanguage - веб-сайты, на которых содержится нецензурная лексика (в названиях разделов, статьях и пр.)

    • Chats - веб-сайты для обмена сообщениями в режиме реального времени.

    • Terrorism - веб-сайты, содержащие материалы агрессивно-агитационного характера, описания терактов и т. д.

    • FreeEmail - веб-сайты, предоставляющие возможность бесплатной регистрации электронного почтового ящика.

    • SocialNetworks - социальные сети общего характера, деловые, корпоративные и тематические социальные сети, а также тематические веб-сайты знакомств.

    • DueToCopyrightNotice - веб-сайты, ссылки на которые указаны правообладателями некоторого произведения, защищённого авторскими правами (кинофильмы, музыкальные произведения и т. д.).

    • OnlineGames - веб-сайты, на которых размещены игры, использующие постоянное интернет-соединение.

    • Anonymizers - веб-сайты, позволяющие пользователю скрывать свою личную информацию и предоставляющие доступ к заблокированным веб-сайтам.

    • CryptocurrencyMiningPool - веб-сайты, предоставляющие доступ к сервисам, объединяющим пользователей с целью добычи (майнинга) криптовалют.

    • Jobs - веб-сайты, предназначенные для поиска работы.

    Примеры:

    • url_category not in (AdultContent, Chats)

    • url_category in «LinuxFirewall.BlockCategory»

    • url_category in (FreeEmail)

  5. threat_category

    Список категорий, к которым по информации из вирусных баз относится угроза, обнаруженная в передаваемых данных. Переменная может принимать множество значений.

    Особенности использования:

    • Значение переменной определено, только если не используется SSL/TLS или проверка SSL разрешена.

    • Для правил, используемых Dr.Web ICAPD, условие с not in будет истинным, даже если по результатам проверки объект не содержит угроз ни из одной из предопределённых категорий («безопасный» объект).

    Возможно использовать в:

    • условии - да

    • действии - нет

    Категории угроз для переменной threat_category:

    • KnownVirus - известная угроза;

    • VirusModification - модификация известной угрозы;

    • UnknownVirus - неизвестная угроза, подозрительный объект;

    • Adware - рекламная программа;

    • Dialer - программа дозвона;

    • Joke - программа-шутка;

    • Riskware - потенциально опасная программа;

    • Hacktool - программа взлома.

    Пример:

    • threat_category not in (Joke)

  6. src_ip

    IP-адрес узла, со стороны которого следует соединение.

    Возможно использовать в:

    • условии - да

    • действии - нет

    Пример:

    • src_ip not in (127.0.0.1, 10.20.30.41, 198.126.10.0/24)

  7. direction

    Тип трафика, идущего по соединению.

    Возможные значения: «request» (клиентский запрос), «response» (ответ сервера). Переменная не может иметь множества значений, условия типа match и in неприменимы.

    Возможно использовать в:

    • условии - да

    • действии - нет

    Примеры:

    • direction request

    • direction not response

  8. divert

    Направление соединения.

    Возможные значения: «input» (входящее — создано или инициировано извне локального узла), «output» (исходящее — создано или инициировано на локальном узле). Переменная не может иметь множества значений, условия типа match и in неприменимы.

    Возможно использовать в:

    • условии - да

    • действии - нет

    Примеры:

    • divert input

    • divert not output

  9. content_type

    MIME-тип данных, передаваемых по соединению.

    Особенности использования:

    • Может быть определён, только если не используется SSL/TLS или проверка SSL разрешена.

    • Выражению «/» соответствуют данные любого MIME-типа, а также HTTP-ответы без заголовка Content-Type.

    Возможно использовать в:

    • условии - да

    • действии - нет

    Примеры:

    • content_type in («multipart/byteranges», «application/octet-stream»)

    • content_type not in ("text/*", "image/*")

    • content_type not in ("audio/*")

    • content_type in ("*/*")

Примеры правил проверки трафика и блокировки доступа

  1. Разрешить для пользователей с диапазоном IP-адресов 10.10.0.0–10.10.0.254 доступ к веб-сайтам любых категорий, кроме категории Chats:

set third-party service drweb gss icapd rule-set rule 2 action "src_ip in (10.10.0.0/24), url_category not in (Chats) : PASS"

Примечание

Если создаваемое правило размещено в наборе, расположенном ниже rule-set1, где присутствует правило по умолчанию «url_host in «ICAPD.Blacklist» : BLOCK as BlackList», то доступ к доменам из чёрного списка (указанным в параметре ICAPD.Blacklist) будет заблокирован и для пользователей с IP-диапазоном 10.10.0.0–10.10.0.254. Если же это правило разместить выше (в наборе rule-set0), то пользователям с указанным диапазоном IP-адресов будет разрешён доступ и к сайтам из чёрного списка. Это связано с тем, что резолюция PASS является конечной — дальнейшая обработка правил прекращается, и проверка загружаемого контента на наличие угроз выполняться не будет.

Для предоставления пользователям с диапазоном IP-адресов 10.10.0.0–10.10.0.254 доступа ко всем веб-сайтам, кроме относящихся к категории Chats (если они не находятся в чёрном списке), с одновременной проверкой загружаемого контента на наличие угроз, используйте следующее правило:

set third-party service drweb gss icapd rule-set rule 0 action "url_category not in (Chats), url_host not in "ICAPD.Blacklist", threat_category not in "ICAPD.BlockCategory" : PASS"

  1. Не выполнять проверку содержимого видео-файлов (т. е. данных с типом MIME video/*, где * соответствует любому типу MIME-класса video):

set third-party service drweb gss icapd rule-set rule 0 action "content_type in ("video/*") : PASS"

Обновление Dr.Web

Компонент обновлений Dr.Web предназначен для получения обновлений вирусных баз и антивирусного ядра Dr.Web Virus-Finding Engine, базы категорий веб-ресурсов, а так же компонентов Dr.Web Gateway Security Suite с серверов обновлений компании «Доктор Веб».

В зависимости от наличия подключения к сети Интернет доступны следующие методы обновления:

  • обновление через сеть Интернет — автоматическое получение и установка актуальных версий компонентов Dr.Web с использованием интернет-соединения;

  • ручное обновление без доступа к сети Интернет — выполнение обновления путём импорта предварительно загруженных в систему ARMA Стена архива обновлений.

Для вывода информации о версии компонента Dr.Web необходимо ввести следующую команду в эксплуатационном режиме:

admin@ngfwos:~$ show third-party drweb gss version

drweb-ctl 11.1.16.2406170954

Для отключения компонента обновления Dr.Web необходимо ввести следующую команду в конфигурационном режиме:

set third-party service drweb gss update enable no


# Применить и сохранить настройку:
commit
save

По умолчанию используется значение «yes» - обновление включено.

Обновление Dr.Web через сеть Интернет

По умолчанию в системе ARMA Стена автоматическое обновление компонентов Dr.Web включено и выполняется каждые 30 минут. Указанную периодичность возможно изменить с помощью команды «set third-party service drweb gss update update-interval <0-100>».

Примечание

Для отключения автоматического обновления компонентов Dr.Web необходимо установить значение параметра частоты проверки обновлений в ноль:

set third-party service drweb gss update update-interval 0

При наличии на серверах обновлений доступных обновлений, они загружаются в каталог «/var/opt/drweb.com/cache/», после чего размещаются в рабочих каталогах Dr.Web Gateway Security Suite - «/var/opt/drweb.com/dws/».

Для получения данных о времени последнего успешного обновления и расписании следующего обновления Dr.Web необходимо ввести следующую команду в эксплуатационном режиме:

admin@ngfwos:~$ show third-party drweb gss update

Core engine version: 7.00.67.02170
Virus database timestamp: 2025-Apr-25 05:42:36
Virus database fingerprint: 2266ED0D630ED79A3BE9599A852ADD17
Virus databases loaded: 116
Virus records: 12516258
Anti-spam core is not loaded
Last successful update: 2025-Apr-25 06:56:13
Next scheduled update: 2025-Apr-25 07:26:13

admin@ngfwos:~$

Дополнительные параметры настройки автоматического обновления компонентов Dr.Web через сеть Интернет:

  1. Частота проверки наличия обновлений на серверах обновления Dr.Web:

    set third-party service drweb gss update update-interval <0-100>

    где <0-100> - значение частоты проверки наличия обновлений в минутах, т. е. период времени, который должен пройти от предыдущей успешной попытки подключения к серверам обновления до следующей попытки выполнить обновление. Возможно указание значения в диапазоне от «0» до «100». По умолчанию используется значение «30».

    Примечание

    При установке значения «0» автоматическое обновление компонентов службы Dr.Web через интернет отключается.

  2. Частота повторных попыток выполнить обновление с серверов обновления, если очередная попытка выполнить обновление завершилось неудачей:

    set third-party service drweb gss update retry-interval <1-30>

    где <1-30> - значение частоты повторных попыток выполнить обновление в минутах. Возможно указание значения в диапазоне от «1» до «30». По умолчанию используется значение «3».

  3. Количество повторных попыток выполнить обновление с серверов обновления Dr.Web (предпринимаемых через промежутки времени, указанные в параметре retry-interval), если предыдущая попытка обновления закончилась неудачей:

    set third-party service drweb gss update max-retries <0-9>

    где <0-9> - количество повторных попыток выполнить обновление. Возможно указание значения в диапазоне от «0» до «9». Если значение параметра — «0», то повторные попытки выполнить неудавшееся обновление не производятся (следующее обновление будет производиться через период времени, указанный в параметре update-interval). По умолчанию используется значение «3».

  4. Тайм-аут на сетевые операции компонента при выполнении обновлений с серверов Dr.Web:

    set third-party service drweb gss update network-timeout <5-75>

    где <5-75> - значение тайм-аута в секундах. Возможно указание значения в диапазоне от «5» до «75». Используется для ожидания продолжения обновления в случае временного обрыва соединения. Если оборванное сетевое соединение будет восстановлено до истечения тайм-аута, то обновление будет продолжено. По умолчанию используется значение «60».

  5. Параметры подключения к прокси-серверу, который используется компонентом обновлений Dr.Web Updater для подключения к серверам обновлений Dr.Web (например, если непосредственное подключение к внешним серверам запрещено политиками безопасности сети):

    set third-party service drweb gss update proxy <url>

    URL подключение к прокси-серверу имеет следующий формат:

    [<протокол>://][<пользователь>:<пароль>@]<хост>:<порт>

    где:

    • <протокол> — тип используемого протокола (в текущей версии доступен только http);

    • <пользователь> — имя пользователя для подключения к прокси-серверу;

    • <пароль> — пароль для подключения к прокси-серверу;

    • <хост> — адрес узла, на котором работает прокси-сервер (IP-адрес или имя домена, т. е. FQDN);

    • <порт> — используемый порт.

    Части URL <протокол> и <пользователь>:<пароль> могут отсутствовать. Адрес прокси-сервера <хост>:<порт> является обязательным. Если имя пользователя или пароль содержат символы «@», «%» или «:», то их следует заменить на соответствующие HEX-коды: «@» - «%40», «%» - «%25» и «:» - «%3A».

    Если значение параметра не задано, то прокси-сервер не используется.

    Пример:

    Настройка подключения к прокси-серверу, расположенному по адресу 10.26.127.0:3336, с использованием учётной записи «user@company.com» и пароля «passw%123:»:

    set third-party service drweb gss update proxy user%40company.com:passw%25123%3A@10.26.127.0:3336

Ручное обновление Dr.Web без доступа к сети Интернет

В случае недоступности подключения к сети Интернет обновление антивирусных компонентов Dr.Web возможно выполнить вручную с использованием архивного файла обновлений. Для этого необходимо выполнить следующие действия:

  1. Скопировать предварительно подготовленный архив обновлений компонентов Dr.Web в каталог /config/third-party/drweb/gss/ системы ARMA Стена.

    Примечание

    Поддерживаются только архивы форматов tar и zip.

  2. Включить компонент обновления Dr.Web в случае, если он был ранее отключён:

    set third-party service drweb gss update enable yes

# Применить и сохранить настройку:
commit
save

  3. Выполнить команду ручного обновления компонентов Dr.Web в эксплуатационном режиме:

    admin@ngfwos:~$ third-party drweb gss update file backup.tar

    где backup.tar - имя файла архива обновлений, предварительно скопированного в каталог /config/third-party/drweb/gss/. Указанное имя архива приведено в качестве примера.

  4. По завершении процесса обновления система выведет информационное сообщение:

    Success: Update completed successfully.

  5. Проверка применения обновлений:

    admin@ngfwos:~$ show logging third-party service drweb gss update

Параметры конфигурации компонента обновления Dr.Web

  1. Разрешить или запретить обновление вирусных баз и антивирусного ядра:

    set third-party service drweb gss update base-update-enabled <yes | no>

    где:

    • yes — обновление разрешено и будет производиться. Значение используется по умолчанию;

    • no — обновление не разрешено и не будет производиться.

  2. Разрешить или запретить обновление базы категорий веб-ресурсов:

    set third-party service drweb gss update dws-update-enabled <yes | no>

    где:

    • yes — обновление разрешено и будет производиться. Значение используется по умолчанию;

    • no — обновление не разрешено и не будет производиться.

  3. Разрешить или запретить обновление версий компонентов Dr.Web Gateway Security Suite:

    set third-party service drweb gss update version-update-enabled <yes | no>

    где:

    • yes — обновление разрешено и будет производиться. Значение используется по умолчанию;

    • no — обновление не разрешено и не будет производиться.

  4. Указать файл, который не будет обновляться компонентом обновлений Dr.Web Updater:

    set third-party service drweb gss update excluded-files <filename>

    где <filename> - имя файла, который не будет обновляться.

  5. Максимальное количество сохраняемых предыдущих версий обновляемых файлов:

    set third-party service drweb gss update max-backups <0-9>

    где <0-9> - количество сохраняемых предыдущих версий обновляемых файлов. Возможно указание значения в диапазоне от «0» до «9». При превышении этой величины самая старая копия удаляется при очередном обновлении. Если значение параметра — «0», то предыдущие версии файлов для восстановления не сохраняются. По умолчанию используется значение «0».

  6. Уровень подробности ведения журнала компонента обновления Dr.Web:

    set third-party service drweb gss update log-level <text>

    где <text> - значение уровня подробности записи в журнал для компонента обновления Dr.Web. Возможно указать следующие значение:

    • debug — самый подробный (отладочный) уровень. Выводятся все сообщения, а также отладочная информация;

    • info — выводятся все сообщения;

    • notice — выводятся сообщения об ошибках, предупреждения, уведомления;

    • warning — выводятся сообщения об ошибках и предупреждения;

    • error — выводятся только сообщения об ошибках.

    По умолчанию используется значение - «notice».

Журналирование Dr.Web

Для журнала событий Dr.Web возможно настроить уровень детализации записей (<level>), сохраняемых в журнал.

Возможные значения уровня детализации записей:

  • debug — самый подробный (отладочный) уровень. Выводятся все сообщения, а также отладочная информация;

  • info — выводятся все сообщения;

  • notice — выводятся сообщения об ошибках, предупреждения, уведомления;

  • warning — выводятся сообщения об ошибках и предупреждения;

  • error — выводятся только сообщения об ошибках.

Команды настройки уровня детализации записей:

  1. Глобальная настройка общего журналирования, которая определяет, насколько подробно будут записываться события для всех компонентов Dr.Web, если для конкретного компонента не указан собственный уровень журналирования:

    set third-party service drweb gss log-level <level>

    По умолчанию используется значение - «notice».

  2. Установить, насколько подробно будут записываться события, связанные с работой компонента ICAPD (например, проверка трафика, блокировка доступа к сайтам, обработка запросов):

    set third-party service drweb gss icapd log-level <level>

    По умолчанию используется значение - «notice».

  3. Установить, насколько подробно будут записываться события, связанные с работой компонента Network Checker:

    set third-party service drweb gss netcheck log-level <level>

    По умолчанию используется значение - «notice».

    Журнал Network Checker в Dr.Web предназначен для записи событий, связанных с проверкой сетевых подключений и трафика. Этот компонент отвечает за мониторинг сетевой активности, выявление подозрительных или потенциально опасных соединений и блокировку доступа к небезопасным ресурсам.

  4. Установить, насколько подробно будут записываться события, связанные с работой компонента обновлений Dr.Web:

    set third-party service drweb gss update log-level <level>

    По умолчанию используется значение - «notice».

Для просмотра журнала событий Dr.Web необходимо ввести в эксплуатационном режиме следующую команду:

admin@ngfwos:~$ show logging third-party service drweb gss [<filter>]

где <filter> - дополнительный фильтр событий журнала Dr.Web. Возможно указать следующие значения:

  • config - события, связанные с конфигурацией Dr.Web;

  • http - события, связанные с обработкой HTTP-запросов/ответов через Dr.Web;

  • icapd - события компонента Dr.Web ICAPD;

  • netcheck - события сетевых проверок, например, соединений с серверами обновлений;

  • scan-engine - события о работе сканирующего движка Dr.Web;

  • update - события, связанные с обновлением Dr.Web;

  • url-check - события проверки URL-адресов на предмет вредоносного содержимого.

Пример вывода журнала событий Dr.Web:

admin@ngfwos:~$ show logging third-party service drweb gss
24.04.2025 07:12:00 1745478720649176 ngfwos drweb-configd[35989]: ConfigD 11.1.25.2411271404
24.04.2025 07:12:00 1745478720792893 ngfwos drweb-configd[35989]: RELOAD_REQUEST received, config will be reloaded
24.04.2025 07:12:01 1745478721146274 ngfwos drweb-icapd[37116]: ICAPD 11.1.9.2205231640
24.04.2025 07:12:01 1745478721153857 ngfwos drweb-icapd[37116]: ICAP Server started: 127.0.0.1:1344
24.04.2025 07:12:01 1745478721170562 ngfwos drweb-httpd[37114]: HTTPD 11.1.12.2410251812
24.04.2025 07:12:01 1745478721221837 ngfwos drweb-update[37094]: Update 11.1.10.2404121438: Ready for service
24.04.2025 07:12:01 1745478721247928 ngfwos drweb-update[37094]: Couldn't recognize Linux distribution. Assuming it is Unknown
24.04.2025 07:12:41 1745478761115525 ngfwos drweb-update[37094]: Downloaded timestamp (10 bytes)
24.04.2025 07:12:42 1745478762395328 ngfwos drweb-update[37094]: Downloaded drw11000.vdb (18796765 bytes)
24.04.2025 07:12:44 1745478764118794 ngfwos drweb-update[37094]: Downloaded drw11001.vdb (20665362 bytes)
24.04.2025 07:12:45 1745478765031279 ngfwos drweb-update[37094]: Downloaded drw11002.vdb (11416493 bytes)