Kaspersky Scan Engine: практические советы по интеграции

Периодически у компаний возникает необходимость встроить в какой-либо продукт или сервис проверку файлов или ссылок на наличие киберугроз. Например, чтобы обезопасить работу в публичном или корпоративном облаке или защитить какую-нибудь платформу для совместной работы в целом. В нашем портфолио есть удобный инструмент, позволяющий решить эту проблему, — Kaspersky Scan Engine.

Scan Engine подходит для множества различных сценариев: проверки загрузок во внутренние системы; сканирования объектов, загружаемых из Интернета; защиты файловых и резервных хранилищ; контроля файлов и ссылок, которыми сотрудники обмениваются через корпоративные мессенджеры; и для многого другого. Движок может работать через протоколы HTTP или ICAP и имеет богатый REST-API, что позволяет ему взаимодействовать практически с любым сетевым решением. Поэтому достаточно часто к нам приходят клиенты с конкретными вопросами: «А как нам встроить Kaspersky Scan Engine в %название продукта%?»

Разумеется, для того чтобы помочь клиентам интегрировать Scan Engine, у нас есть страница на портале технической поддержки. Но мы, к сожалению, не можем опубликовать на ней инструкции для всех сторонних сервисов и приложений, с которыми Kaspersky Scan Engine может взаимодействовать, — их слишком много. Поддержка актуальности, регулярное обновление и перепроверка этих данных перед каждым обновлением отнимала бы слишком много ресурсов (особенно с учетом того, что регулярно обновляется не только Kaspersky Scan Engine, но и продукты, с которыми он интегрируется).

Однако за время существования Kaspersky Scan Engine мы неоднократно помогали клиентам настроить взаимодействие нашего движка с разными продуктами и сервисами. Было бы обидно, если бы наш опыт никак не использовался, — запросы на интеграцию редко бывают уникальными, обязательно найдется кто-то, кому были бы полезны настройки и советы. Поэтому мы решили опубликовать набор интеграционных сценариев, записанных нашими инженерами.

Все эти сценарии рабочие — если кейс описан в данном посте, значит когда-то мы успешно настроили взаимодействие KSE с продуктом или сервисом. Однако полноценного цикла тестирования они не проходили. Поэтому мы предоставляем их as is, в ознакомительном режиме, и настоятельно рекомендуем при использовании не забывать о необходимости проведения тестов на своей стороне (как минимум проверять на явные ошибки функциональности).

 

Еще раз хотим подчеркнуть: опубликованные в этом материале сценарии не являются официальными инструкциями технической поддержки и предоставляются в ознакомительном режиме.

 

Надеемся, что они помогут вам настроить интеграцию KSE на своей стороне.

В этом посте мы публикуем сценарии интеграции со следующими сторонними продуктами:

• FortiGate
• F5 BIG IP LTM
• eXpress messenger
• Nextcloud
• ownCloud
• Hitachi NAS Platform
• Blue Coat ProxySG
• MOVEit Transfer
• McAfee Web Gateway
• Nutanix Files
• Rspamd
• ARA JAGUAR 5000

Как настроить интеграцию Kaspersky Scan Engine c FortiGate

Настройка Scan Engine

Kaspersky Scan Engine должен работать в режиме ICAP.

Настройка FortiGate

ICAP по умолчанию не отображается в веб-интерфейсе, его необходимо включить, перейдя в System → Feature Select и включив ICAP. Чтобы увидеть изменения, возможно, потребуется обновить страницу.

1. Добавьте ICAP-сервер.
   1. Выберите Security Profiles → ICAP Servers.
   2. Создайте новую или отредактируйте существующую запись.
      1. IP-адрес и порт должны быть теми, которые используются ICAP-сервером Scan Engine.
2. Добавьте профиль ICAP.
   1. Выберите Security Profiles → ICAP.
   2. Создайте новую или отредактируйте существующую запись.
   3. Установите флажок Enable Request Processing, выберите имя вашего сервера из выпадающего списка и в поле Path введите req.
   4. Установите флажок Enable Response Processing, выберите имя вашего сервера из выпадающего списка и в поле Path введите resp.
   5. Примените изменения.
3. Примените профиль ICAP в вашей политике (политиках).
   1. Выберите Policy&Objects → IPv4 Policy | Explicit Proxy Policy.
   2. Создайте новую или отредактируйте существующую политику.
   3. В разделе Security Profiles включите ICAP и выберите ранее созданный профиль.

Как настроить интеграцию Kaspersky Scan Engine c F5 BIG IP LTM

Настройка Scan Engine

Kaspersky Scan Engine должен работать в режиме ICAP.

Настройка F5 BIG IP LTM

Следующие настройки должны быть выполнены из интерфейса F5 BIG IP Management Console. Мы приводим минимальную конфигурацию, необходимую для интеграции ICAP-сервера Scan Engine с F5 BIG IP. Если вы нуждаетесь в расширенной конфигурации, обратитесь к руководству F5 BIG IP.

Первым делом откройте веб-браузер и загрузите BIG IP Management Console (о том, как это сделать, можно прочитать в вышеупомянутом руководстве).

Создание пользовательского клиентского профиля ICAP

Профиль ICAP создается, когда нужно использовать ICAP-сервер для упаковки HTTP-запроса в ICAP-сообщение перед тем, как система BIG-IP отправит запрос пулу веб-серверов. Профиль задает значения заголовков HTTP-запроса, которые ICAP-сервер использует для ICAP-сообщения.

Важно! Можно использовать макрорасширение для всех значений заголовков ICAP. Например, если значение заголовка ICAP содержит ${SERVER_IP}, система BIG-IP заменяет макрос IP-адресом ICAP-сервера, выбранного из пула, назначенного внутреннему виртуальному серверу. Если значение заголовка ICAP содержит ${SERVER_PORT}, система BIG-IP заменяет макрос портом ICAP-сервера, выбранного из пула, назначенного внутреннему виртуальному серверу. Например, вы можете установить значение URI в профиле ICAP на icap://${SERVER_IP}:${SERVER_PORT}/req.

1. На вкладке Main нажмите Local Traffic → Profiles → Services → ICAP.
2. Нажмите Create.
3. В поле Name введите уникальное имя для профиля.
4. Для параметра Parent Profile сохраните значение по умолчанию, icap.
5. В правой части экрана установите флажок Custom.
6. В поле URI введите URI в следующем формате: icap://hostname:port/path. Например, используя макрорасширение, вы можете установить значение URI на: icap://{SE_IP}:{SE_PORT}/req
7. В поле Preview Length введите длину или сохраните значение по умолчанию: 0. Это значение определяет объем HTTP-запроса или ответа, который система BIG-IP предлагает ICAP-серверу при отправке запроса или ответа на сервер для адаптации. Это значение не должно превышать 0.
8. Оставьте пустыми поля Header From, Host, Referer, User Agent.
9. Нажмите Finished.

После создания профиля ICAP вы можете назначить его внутреннему виртуальному серверу, чтобы HTTP-запрос, который система BIG-IP отправляет ICAP-серверу, был упакован в ICAP-сообщение в соответствии с настройками, указанными в профиле ICAP.

Создание пула ICAP-серверов

Для создания пула ICAP-серверов, которые выполняют адаптацию содержимого HTTP-запросов, нужно сделать следующее.

1. На вкладке Main нажмите Local Traffic → Pools. Откроется экран Pool List.
2. Нажмите Create. Откроется экран New Pool.
3. В поле Name введите уникальное имя для пула.
4. Для параметра Health Monitors из списка Available выберите монитор, отличный от http(s), и нажмите < <, чтобы переместить монитор в список Active.
5. Из списка Load Balancing Method выберите, как система распределяет трафик между членами этого пула. По умолчанию это Round Robin.
6. Для параметра Priority Group Activation укажите, как обрабатывать приоритетные группы.
   1. Выберите Disabled, чтобы отключить приоритетные группы. Это параметр по умолчанию.
   2. Выберите Less than и в поле Available Members введите минимальное количество участников, которые должны оставаться доступными в каждой приоритетной группе, чтобы трафик оставался ограниченным этой группой.
7. Используя параметр New Members, добавьте каждый ресурс, который вы хотите включить в пул.
   1. Либо введите IP-адрес в поле Address, либо выберите адрес узла из списка Node List.
   2. Введите номер порта в поле Service Port либо выберите имя службы из списка.
   3. Чтобы указать приоритетную группу, введите номер приоритета в поле Priority.
   4. Нажмите Add.
8. Нажмите Finished.

Пул серверов балансировки нагрузки ICAP появится в списке Pools.

Создание внутреннего виртуального сервера для пересылки запросов на ICAP-сервер

Виртуальный сервер типа internal предоставляет пункт назначения, который стандартный тип виртуального сервера может использовать при пересылке HTTP-запросов, предназначенных для адаптации содержимого на основе ICAP.

1. На вкладке Main нажмите Local Traffic → Virtual Servers. Откроется экран Virtual Server List.
2. Нажмите кнопку Create. Откроется экран New Virtual Server.
3. В поле Name введите уникальное имя для виртуального сервера.
4. В поле Description введите описание виртуального сервера. Например: «Этот виртуальный сервер обеспечивает модификацию HTTP-запросов с помощью ICAP-службы service_name».
5. Из списка Type выберите Internal.
6. Для параметра State убедитесь, что значение установлено на Enabled.
7. Из списка Configuration выберите Advanced.
8. Из списка ICAP Profile выберите профиль ICAP, который вы создали ранее для обработки HTTP-запросов.
9. Из списка Default Pool выберите пул ICAP-серверов, который вы создали ранее.
10. Нажмите Finished.

После этого стандартный тип виртуального сервера сможет пересылать HTTP-запросы внутреннему виртуальному серверу. Затем внутренний виртуальный сервер отправляет запрос пулу ICAP-серверов, прежде чем отправить запрос обратно стандартному виртуальному серверу для пересылки пулу веб-серверов.

Создание пользовательского профиля Request Adapt

Профиль типа Request Adapt создается, когда необходимо, чтобы стандартный виртуальный HTTP-сервер пересылал HTTP-запросы внутреннему виртуальному серверу, который ссылается на пул ICAP-серверов. Профиль типа Request Adapt инструктирует виртуальный HTTP-сервер отправлять HTTP-запрос на именованный внутренний виртуальный сервер для возможной модификации запроса.

1. На вкладке Main нажмите Local Traffic → Profiles → Services → Request Adapt.
2. Нажмите Create.
3. В поле Name введите уникальное имя для профиля.
4. Для параметра Parent Profile сохраните значение по умолчанию, requestadapt.
5. В правой части экрана установите флажок Custom.
6. Для параметра Enabled сохраните значение по умолчанию: Enabled. Когда вы устанавливаете это значение на Enabled, система BIG-IP пересылает HTTP-запросы на указанный внутренний виртуальный сервер для адаптации.
7. Из списка Internal Virtual Name выберите имя внутреннего виртуального сервера, который вы ранее создали для пересылки HTTP-запросов на пул ICAP-серверов.
8. В поле Preview Size введите числовое значение, задающее максимальный размер буфера предпросмотра. Этот буфер хранит копию заголовка HTTP-запроса и данные, отправленные на внутренний виртуальный сервер, в случае, если сервер адаптации сообщает, что адаптация не требуется. Установка размера предпросмотра на 0 отключает буферизацию запроса и должна выполняться только в том случае, если сервер адаптации всегда возвращает измененный HTTP-запрос или исходный HTTP-запрос.
9. В поле Timeout введите значение в секундах. Если внутренний виртуальный сервер не возвращает результат в течение указанного времени, возникает ошибка тайм-аута. Чтобы отключить тайм-аут, используйте значение 0.
10. Из списка Service Down Action выберите действие, которое система BIG-IP должна предпринять, если внутренний виртуальный сервер возвращает ошибку.
    • Выберите Ignore, чтобы проинструктировать систему BIG-IP игнорировать ошибку и отправлять немодифицированный HTTP-запрос на HTTP-сервер в пуле HTTP-серверов.
    • Выберите Drop, чтобы проинструктировать систему BIG-IP разорвать соединение.
    • Выберите Reset, чтобы проинструктировать систему BIG-IP сбросить соединение.
11. Нажмите Finished.

После этого система BIG-IP будет иметь профиль Request Adapt, который стандартный виртуальный HTTP- сервер может использовать для пересылки HTTP-запроса на ICAP-трафик внутреннему виртуальному серверу.

Создание кастомного HTTP-профиля

Профиль HTTP определяет способ, которым система BIG-IP управляет HTTP-трафиком.
Примечание. Другие типы HTTP-профилей (HTTP Compression и Web Acceleration) позволяют настраивать параметры сжатия и кэширования по мере необходимости. Использование этих типов профилей необязательно.

1. На вкладке Main нажмите Local Traffic → Profiles → Services → HTTP. Откроется экран списка HTTP-профилей.
2. Нажмите Create. Откроется экран New HTTP Profile.
3. В поле Name введите уникальное имя профиля.
4. Из списка Parent Profile выберите http.
5. Установите флажок Custom.
6. Измените настройки по мере необходимости.
7. Нажмите Finished.

Пользовательский HTTP-профиль теперь появится в списке HTTP-профилей.

Создание пула для обработки HTTP-трафика

Можно создать пул веб-серверов для обработки HTTP-запросов.

1. На вкладке Main нажмите Local Traffic → Pools. Откроется экран Pool List.
2. Нажмите Create. Откроется экран New Pool.
3. В поле Name введите уникальное имя для пула.
4. Для параметра Health Monitors из списка Available выберите монитор, отличный от http, и нажмите <<, чтобы переместить монитор в список Active.
5. Из списка Load Balancing Method выберите, как система распределяет трафик между членами этого пула. По умолчанию это Round Robin.
6. Для параметра Priority Group Activation укажите, как обрабатывать приоритетные группы.
   • Выберите Disabled, чтобы отключить приоритетные группы. Это параметр по умолчанию.
   • Выберите Less than и в поле Available Members введите минимальное количество участников, которые должны оставаться доступными в каждой приоритетной группе, чтобы трафик оставался ограниченным этой группой.
7. Используя параметр New Members, добавьте каждый ресурс, который вы хотите включить в пул.
   1. Введите IP-адрес в поле Address или выберите адрес узла из списка Node List.
   2. Введите 80 в поле Service Port или выберите HTTP из списка.
   3. (Необязательно.) Введите номер приоритета в поле Priority.
   4. Нажмите Add.
8. Нажмите Finished.

Созданный пул появится в списке Pools.

Создание виртуального сервера HTTP для включения адаптации запросов

Эти настройки нужны для создания стандартного виртуального сервера, который может пересылать HTTP-запрос внутреннему виртуальному серверу. Затем внутренний виртуальный сервер отправляет запрос пулу ICAP-серверов, прежде чем система BIG-IP отправит запрос веб-серверу.

1. На вкладке Main нажмите Local Traffic → Virtual Servers. Откроется экран Virtual Server List.
2. Нажмите кнопку Create. Откроется экран New Virtual Server.
3. В поле Name введите уникальное имя для виртуального сервера.
4. Для параметра Destination в поле Address введите IP-адрес, который вы хотите использовать для направления клиентского трафика, предназначенного для пула HTTP-веб-серверов. Введенный IP-адрес должен быть доступен и не находиться в сети обратной связи.
5. В поле Service Port введите 80 или выберите HTTP из списка.
6. Из списка Configuration выберите Advanced.
7. Из списка HTTP Profile выберите имя созданного ранее HTTP-профиля.
8. Из списка Request Adapt Profile выберите имя созданного ранее профиля Request Adapt.
9. Из списка Source Address Translation выберите Auto Map.
10. Из списка Default Pool выберите имя созданного ранее пула HTTP-серверов.
11. Нажмите Finished.

Настройка службы REQMOD (модификации запросов)

Чтобы настроить F5 BIG-IP LTM для пересылки только HTTP-запросов ICAP-серверу Scan Engine, выполните действия, описанные ниже. В случае, если необходимо настроить F5 BIG-IP LTM для пересылки как HTTP-запросов, так и ответов, обратитесь к следующему разделу.

1. Откройте веб-браузер и следуйте инструкциям, которые можно найти на этой странице.
2. Обновите профиль службы REQMOD ICAP.
   1. Перейдите в Local Traffic → Profiles → Services → ICAP.
   2. В появившемся списке выберите службу модификации запросов ICAP.
   3. Установите Preview Length на 0 и убедитесь, что флажок рядом с ним установлен.
   4. Нажмите Update, чтобы применить изменения.
3. Обновите профиль Request Adapt.
   1. Перейдите в Local Traffic → Profiles → Services → Request Adapt.
   2. В появившемся списке выберите службу адаптации запросов.
   3. Установите Preview Size на 0 и убедитесь, что флажок рядом с ним установлен.
   4. Нажмите Update, чтобы применить изменения.

Настройка служб REQMOD и RESPMOD

Чтобы настроить F5 BIG-IP LTM для пересылки как HTTP-запросов, так и ответов на ICAP-сервер Scan Engine, выполните действия, описанные ниже. В случае, если вы хотите настроить F5 BIG-IP LTM для пересылки только HTTP-ответов, обратитесь к предыдущему разделу.

1. Откройте веб-браузер и следуйте инструкциям, опубликованным на этой странице.
2. Обновите профиль службы REQMOD ICAP.
   1. Перейдите в Local Traffic → Profiles → Services → ICAP.
   2. В появившемся списке выберите службу модификации запросов ICAP.
   3. Установите Preview Length на 0 и убедитесь, что флажок рядом с ним установлен.
   4. Нажмите Update, чтобы применить изменения.
3. Обновите профиль службы RESPMOD ICAP.
   1. Вернитесь в Local Traffic → Profiles → Services → ICAP.
   2. В появившемся списке выберите службу модификации ответов ICAP.
   3. Установите Preview Length на 0 и убедитесь, что флажок рядом с ним установлен.
   4. Нажмите Update, чтобы применить изменения.
4. Обновите профиль Request Adapt.
   1. Перейдите в Local Traffic → Profiles → Services → Request Adapt.
   2. В появившемся списке выберите службу адаптации запросов.
   3. Установите Preview Size на 0 и убедитесь, что флажок рядом с ним установлен.
   4. Нажмите Update, чтобы применить изменения.
5. Обновите профиль службы Response Adapt (только если используется RESPMOD).
   1. Перейдите в Local Traffic → Profiles → Services → Response Adapt.
   2. В появившемся списке выберите службу адаптации ответов.
   3. Установите Preview Size на 0 и убедитесь, что флажок рядом с ним установлен.
   4. Нажмите Update, чтобы применить изменения.

Настройка действий при недоступности службы

Если вы следовали шагам, описанным в пунктах «Настройка службы REQMOD» или «Настройка служб REQMOD и RESPMOD», Big-IP будет настроен на сбрасывание всех соединений при недоступности службы ICAP.

В случае недоступности ICAP-сервера F5 BIG IP LTM может быть настроен на пересылку HTTP-данных на веб-сервер/веб-клиент. Если вы используете пул ICAP-серверов, который содержит более одного ICAP-сервера Scan Engine, F5 BIG IP LTM также может быть настроен на пересылку HTTP-содержимого другому экземпляру Scan Engine.

Обход ICAP-сервера при недоступности службы

Обратите внимание, что обход ICAP при недоступности службы может снизить безопасность вашей организации, поскольку содержимое будет пересылаться без сканирования.

1. Откройте профиль Request adapt (Profiles → Services → Request Adapt).
2. Установите Service Down Action на Ignore.
3. Нажмите кнопку Update, чтобы применить изменения.

Передача содержимого другому члену пула

Если вы используете пул ICAP-серверов, содержащий более одного ICAP-сервера Scan Engine, вы также можете настроить Big-IP на отправку HTTP-содержимого другому экземпляру Scan Engine.

1. Откройте свойства пула служб ICAP (Pools → Pool List).
2. Установите список Configuration на Advanced.
3. Установите свойство Action on Service Down на Reselect.
4. Нажмите кнопку Update, чтобы применить изменения.

Ограничение пропускной способности лицензией

Если вы наблюдаете медленную загрузку или выгрузку через F5 BIG IP LTM, возможно, ваша пропускная способность ограничена лицензией F5 BIG IP LTM.

Как проверить максимальную пропускную способность, разрешенную лицензией?

1. Подключитесь к F5 BIG IP LTM по SSH: в Windows откройте PuTTY, затем введите IP-адрес устройства F5 BIG IP LTM и нажмите Open.
2. Используйте логин по умолчанию: admin/admin.
3. Введите tmsh и нажмите Enter.
4. Введите show /sys license detail | grep perf, чтобы увидеть ограничения производительности по лицензии.
5. Чтобы выйти из tmsh, введите quit и нажмите Enter, чтобы выйти из PuTTY, введите exit, затем нажмите Enter.

Как настроить интеграцию Kaspersky Scan Engine c eXpress messenger

Настройка Scan Engine

Kaspersky Scan Engine должен работать в режиме ICAP.

Если файлы блокируются при передаче из-за антивируса, можно предложить изменение следующих параметров на стороне KSE:

• Request mode address = req
• Response mode address = resp
• Send code 204 = Yes

Настройка на стороне eXpress

1. В меню Антивирус отметьте чекбокс Антивирус включен.
2. В поле Количество процессов для антивируса укажите необходимое количество в зависимости от нагрузки, ресурсов и настроек сервера Scan Engine.
3. В поле ICAP-хост введите IP-адрес сервера Scan Engine.
4. В поле ICAP-порт введите порт Scan Engine ICAP Service (по умолчанию — 1344).
5. В поле ICAP-сервис введите имя, совпадающее с именем сервиса Scan Engine (по умолчанию — req).
6. Нажмите на кнопку Сохранить.

Как настроить интеграцию Kaspersky Scan Engine c Nextcloud

Настройка Kaspersky Scan Engine

Kaspersky Scan Engine должен работать в режиме HTTP.

В зависимости от производительности железа и желаемого максимального размера сканируемых файлов может потребоваться увеличение времени таймаута. Информацию о том, как его настроить, можно найти на нашем сайте поддержки.

Настройка Nextcloud

1. На панели администрирования перейдите в раздел Antivirus for Files.
2. В пункте Mode выберите из выпадающего меню пункт Kaspersky Daemon.
3. Укажите Host и Port, по которым доступен Kaspersky Scan Engine.

Дополнительно там же можно указать максимальный размер сканируемых файлов и задать, что будет происходить с зараженными файлами, обнаруженными во время фонового сканирования.

Более подробное руководство по интеграции Kaspersky Scan Engine и Nextcloud можно скачать здесь.

Как настроить интеграцию Kaspersky Scan Engine c ownCloud

Настройка Scan Engine

Kaspersky Scan Engine должен работать в режиме ICAP.

Настройка ownCloud

Советы по настройке ownCloud для интеграции с Kaspersky Scan Engine можно найти на странице ownCloud.

Как настроить интеграцию Kaspersky Scan Engine c Hitachi NAS Platform 13.9

Настройка Scan Engine

Kaspersky Scan Engine должен работать в режиме ICAP.

Настройка NAS Platform

Настройка Hitachi NAS Platform осуществляется через веб-интерфейс.

1. Перейдите в Home → Data Protection → Virus Scanning.
2. В Actions нажмите Add и укажите адрес Kaspersky Scan Engine.
3. Укажите следующее.
   1. EVS (виртуальные серверы) — нажмите change, чтобы выбрать другие EVS.
   2. Mode — укажите ICAP.
   3. Virus Scanning — укажите Enabled.
   4. Scan All File Types / Scan Files With Extension — укажите типы файлов, которые следует сканировать.
4. Нажмите Apply.

Документация Hitachi NAS Platform доступна по этой ссылке.

Как настроить интеграцию Kaspersky Scan Engine c Blue Coat ProxySG

Настройка Scan Engine

Scan Engine должен работать в режиме ICAP.

Keep-Alive и Partial mode должны быть включены.

Настройка Blue Coat ProxySG

Добавление службы REQMOD

1. На вкладке Configuration перейдите в External Services → ICAP.
2. Нажмите New.
3. Введите имя службы для Scan Engine (в этом примере мы используем Scan EngineReqmod) и нажмите OK.
4. В списке служб выберите Scan EngineReqmod и нажмите Edit.
5. Обновите следующие значения.
   1. В ICAP Service
      1. Установите Service URL на icap://<Scan EngineIP>/req.
      2. Выберите Use vendor’s «virus found» page.
   2. В ICAP Service Ports
      1. Установите флажок This service supports plain ICAP connections.
      2. Установите значение Plain ICAP port на порт ICAP SE (по умолчанию 1344).
   3. В ICAP v1.0 Options
      1. Установите флажок Request modification.
      2. Установите флажок Send Client address.
6. Нажмите OK.
7. Нажмите Apply для сохранения конфигурации.

Добавление службы RESPMOD

1. На вкладке Configuration перейдите в External Services → ICAP.
2. Нажмите New.
3. Введите имя службы для Scan Engine (в этом примере мы используем Scan EngineRespmod) и нажмите OK.
4. В списке служб выберите Scan EngineRespmod и нажмите Edit.
5. Обновите следующие значения.
   1. В ICAP Service
      1. Установите Service URL на icap://<Scan EngineIP>/resp.
      2. Выберите Use vendor’s «virus found» page.
   2. В ICAP Service Ports
      1. Установите флажок This service supports plain ICAP connection.
      2. Установите значение Plain ICAP port на порт ICAP SE (по умолчанию — 1344).
   3. В ICAP v1.0 Options
      1. Установите флажок Response modification.
      2. Установите флажок Send Client address.
6. Нажмите OK.
7. Нажмите Apply для сохранения конфигурации.

Создание политики Scan Engine REQMOD

1. На вкладке Configuration перейдите в Policy → Visual Policy Manager.
2. Нажмите кнопку Launch.
3. В окне Blue Coat Visual Policy Manager перейдите в Policy → Add Web Content Layer.
4. Введите имя слоя (в этом примере мы используем Scan Engine ICAP Server ReqMod) и нажмите OK.
5. В только что созданном слое Scan Engine ICAP Server ReqMod щелкните правой кнопкой мыши по Use Default Caching и выберите Set….
6. В окне Set Action Object нажмите New и выберите Set ICAP Request Service….
7. В окне Add ICAP Request Service Object установите следующие значения.
   1. Установите name на Scan Engine ICAP Server Request Service.
   2. В Available services выберите Scan EngineReqMod и нажмите Add.
8. Нажмите OK для завершения и Apply для сохранения.

Создание политики Scan Engine RESPMOD

1. На вкладке Configuration перейдите в Policy → Visual Policy Manager.
2. Нажмите кнопку Launch.
3. В окне Blue Coat Visual Policy Manager перейдите в Policy → Add Web Content Layer.
4. Введите имя слоя (в этом примере мы используем Scan Engine ICAP Server RespMod) и нажмите OK.
5. В только что созданном слое Scan Engine ICAP Server RespMod щелкните правой кнопкой мыши по Use Default Caching и выберите Set….
6. В окне Set Action Object нажмите New и выберите Set ICAP Response Service….
7. В окне Add ICAP Response Service Object установите следующие значения.
   1. Установите name на Scan Engine ICAP Server Response Service.
   2. В Available services выберите Scan EngineRespMod и нажмите Add.
8. Нажмите OK для завершения и Apply для сохранения.

Как настроить интеграцию Kaspersky Scan Engine c MOVEit Transfer

Настройка Scan Engine

• В меню Settings à Service должна быть включена настройка Send code 204.
• В меню Settings à Service должна быть включена отправка дополнительных заголовков:
  1. Send X-Infection-Found header
  2. Send X-violations-Found header
  3. Send X-Response-Info header

Настройка MOVEit Transfer

В интерфейсе MOVEit Transfer необходимо в меню Settings установить следующее.

1. В пункте Scan uploads выбрать Yes.
2. В поле Server URL указать icap://<Scan Engine_IP>:1344/resp.
3. В поле Server Type выбрать из выпадающего меню McAfee Web Gateway.
4. В пункте Server allows «204» responses выбрать
5. Установить максимальный размер файла для сканирования.
6. Установить таймауты.

Как настроить интеграцию Kaspersky Scan Engine c McAfee Web Gateway

Настройка Scan Engine

Kaspersky Scan Engine должен работать в режиме ICAP.

Настройка Keep-Alive должна быть включена.

Настройка McAfee Web Gateway

1. В браузере перейдите в пользовательский интерфейс McAfee Web Gateway.
2. Выберите Policy.
3. На вкладке Rule Sets выберите Add → Rule Set from Library…
4. Выберите ICAP Client → ICAP Client из списка наборов правил и нажмите OK.
5. Выберите только что созданный ICAP Client в разделе Rule Sets и нажмите Edit… рядом с ReqMod server.
6. В окне Edit List (ICAP Server), в разделе List content, дважды щелкните первый элемент. В новом окне Edit ICAP Server измените URI для ICAP-сервера Scan Engine. Он должен выглядеть как icap://<Scan Engine IP>:1344/req. Нажмите OK, чтобы закрыть окно Edit ICAP Server, и еще раз нажмите OK, чтобы закрыть окно редактора ReqMod server.
7. Повторите шаги 5–6, чтобы установить RespMod server. URI для ICAP-сервера Scan Engine должен быть icap://<Scan Engine IP>:1344/resp.
8. Нажмите Save Changes в правом верхнем углу. McAfee Web Gateway теперь настроен на использование ICAP-сервера Scan Engine.

Включение SSL Scanner

Если вы хотите проверять содержимое HTTPS-соединений с помощью ICAP-сервера Scan Engine, вам следует включить в McAfee Web Gateway SSL Scanner.

1. В браузере перейдите к пользовательскому интерфейсу McAfee Web Gateway. По умолчанию он доступен по http://<IP-адрес>:4711 или https://<IP-адрес>:4712. Комбинация пользователя/пароля по умолчанию: admin/webgateway.
2. Выберите Policy.
3. В разделе Rule Sets выберите правило SSL Scanner, которое по умолчанию отключено.
4. Установите флажок Enable и нажмите Save Changes. McAfee теперь настроен на расшифровку HTTPS-трафика и отправку его на ICAP-сервер Scan Engine в незашифрованном виде.

Устранение возможных неполадок

• Для использования веб-консоли McAfee необходимо, чтобы в браузере была включена Java, а URL-адрес веб-консоли должен быть добавлен в список доверенных сайтов в конфигурации Java.
• Если после включения SSL Scanner появляются уведомления или даже неработающие веб-страницы, следует загрузить и установить в браузер SSL-сертификат, используемый Web Gateway. Вы можете получить сертификат в разделе Policy → Settings → SSL Client Context with CA → Default CA. Нажмите Export… рядом с Certificate Authority, а затем импортируйте созданный файл в доверенные корневые сертификаты вашего браузера.
• Если появляются ошибки типа 16000 — NoIcapServerAvailable, значит, вы не настроили ICAP-сервер Scan Engine на использование постоянных соединений (Keep-Alive).

Как настроить интеграцию Kaspersky Scan Engine c Nutanix Files 6.8

Настройка Scan Engine

Kaspersky Scan Engine должен работать в режиме ICAP.

На стороне клиента сделайте следующее.

1. Остановите KSE ICAP.
2. В файле конфигурации kavicapd.xml укажите следующее.
   1. KeepAliveSettings/Enabled à 1
   2. KeepAliveSettings/TimeoutMs à 0
   3. KeepAliveSettings/MaxRequests à 5
   4. KeepAliveSettings/UseAlways à 1
   5. RespModeAddress à avscan
3. Запустите KSE ICAP.
4. Перезапустите klScan EngineUI (если веб-интерфейс включен).

ВАЖНО! После этих изменений вы не сможете изменить настройки ICAP в веб-интерфейсе.

Обходной путь. В веб-интерфейсе для KeepAliveSettings / TimeoutMs установите значение 300000 (5 минут), внесите необходимые изменения, а затем вручную установите 0 в KeepAliveSettings / TimeoutMs в файле конфигурации kavicapd.xml и перезапустите KSE ICAP.

НО, это не влияет на настройки логирования (то есть вы можете включать и отключать его через веб-интерфейс).

Настройка Nutanix Files

Документация Nutanix Files доступна по этой ссылке.

Для настройки сканирования сделайте следующее.

1. Войдите в веб-консоль Prism и перейдите в Home à File Server.
2. В списке действий нажмите Antivirus settings.
3. Нажмите + Connect ICAP Serve.
4. Введите IP-адрес или имя хоста Kaspersky Scan Engine.
5. Введите номер порта ICAP-сервера (по умолчанию — 1344).
6. Нажмите Save.
7. Убедитесь, что статус подключения обновился до OK (программа должна проверить правильность настройки обнаруженного сервера Kaspersky Scan Engine и автоматически обновить статус до OK).
8. Нажмите Next.
9. Настройте Scan Settings. Установите требуемые настройки антивируса для отдельных файловых ресурсов.
   1. Scan on Write: сканирует сохраненные и обновленные файлы (операция записи).
   2. Scan on Read: сканирует открытые файлы (операция чтения). Nutanix рекомендует включать Scan on Read всегда.
   3. Exclude File Types: позволяет добавить одно или несколько расширений файлов, которые не нужно включать в сканирование.
   4. Exclude Files Larger Than: позволяет установить ограничение на размер сканируемого файла.
   5. В разделе Advanced Options
      1. Scan Time Out: позволяет установить максимальное время, которое может занимать сканирование.
      2. Block access to files if scan cannot be completed (recommended): позволяет блокировать доступ, если ICAP-серверы недоступны или не могут отсканировать файл из-за каких-либо проблем. Эти файлы невозможно открыть.
10. Нажмите Save.

Внимание! По умолчанию сканирование на наличие вирусов для общих ресурсов отключено. После настройки антивирусного сканирования необходимо включить сканирование для каждого общего ресурса, который необходимо сканировать.

Чтобы включить сканирование для каждого общего ресурса, выполните следующее.

1. На главной странице настроек перейдите в File Server à Share.
2. Выберите общий ресурс из списка и нажмите Antivirus Settings. Откроется окно настройки антивируса.
3. Установите флажок Enable antivirus scan for this share.
4. Нажмите Save.

Рекомендация. Nutanix советует использовать два или более ICAP-сервера для каждого общего ресурса.

Как настроить интеграцию Kaspersky Scan Engine c Rspamd

Настройка Scan Engine

Kaspersky Scan Engine должен работать в режиме HTTPD.

Настройка Rspamd

Инструкции по интеграции с Rspamd описаны в документации Rspamd Antivirus module.

Как настроить интеграцию Kaspersky Scan Engine c ARA JAGUAR 5000

Настройка Scan Engine

Kaspersky Scan Engine должен работать в режиме ICAP.

Настройка ARA JAGUAR 5000

Для настройки сканирования выполните следующее.

1. В браузере войдите в веб-администрирование ARA JAGUAR 5000.
2. Перейдите на страницу Configuration.
3. В меню слева нажмите Others в группе Protocol.
4. В верхнем меню выберите ICAP.
5. Убедитесь, что установлен флажок Send Client Address.
6. Примените изменения.
7. Нажмите кнопку ICAP Profile в нижней части страницы.
8. Добавьте новый профиль.
9. Введите «icap://<Scan Engine_IP>:1344/req» в Vectoring Point 1.
10. Введите «icap://<Scan Engine_IP>:1344/resp» в Vectoring Point 3.

Примените изменения.