資訊中心管理
如何通過 ICAP 配置 Axway SecureTransport 防病毒 /DLP 掃描
下一篇 - 驅動防火牆資安聯防 Woodpecker XVR 整合跨源數據的 全面性資安解決方案
前往目錄

如何通過 ICAP 配置 Axway SecureTransport 防病毒 /DLP 掃描

撰文 | 整理及翻譯│叡揚資訊 系統直屬事業處
Axway SecureTransport 是 Axway 提供的企業級管理式檔案傳輸解決方案(MFT),專門用於安全的檔案傳輸。透過此解決方案,組織能夠有效管理企業內外的檔案傳輸流程,支援任務關鍵型業務,同時符合政策與法規的要求。

SecureTransport 提供的 ICAP 功能能夠整合第三方的防毒(AV)和資料外洩防護(DLP)解決方案,讓系統能有效攔截受病毒感染的檔案進出組織環境,並防止機密資訊外洩。本文旨在探討如何設定與驗證 SecureTransport 的 ICAP 防毒與 DLP 功能,並提供相關實作指引。

本文目的

這篇文章主要針對潛在客戶、現有客戶、顧問與技術架構師,說明 SecureTransport 的 ICAP 整合功能及設定方式。文章分為兩個部分:

① 概述 SecureTransport 的 ICAP 運作機制以及與第三方防毒與 DLP 軟體的整合方式。

② 詳細介紹 SecureTransport 的 ICAP 設定。

此外,本文內容輔助於官方 SecureTransport 管理員指南,並非用來取代其文件說明。

SecureTransport ICAP 的運作機制

SecureTransport 透過 ICAP 協定與第 三方防毒或 DLP 伺服器整合,可針對傳入與傳出的檔案進行掃描。傳入檔案包括檔案上傳、AdHoc 訊息創建及伺服器發起的檔案拉取(例如從 Transfer Site 或 Folder Monitor);傳出檔案則涵蓋檔案下載、AdHoc 訊息讀取及伺服器發起的檔案推送(例如在 Advanced Router 步驟中:Send to Partner 或 Publish to Account)。

ICAP 設定可支援多個伺服器設定,並針對不同條件進行篩選。例如可設定特定的篩檢條件,限制掃描僅適用於符合條件的檔案類型或傳輸方向。值得注意的是,若檔案同時符合多個 ICAP 設定條件,系統將依序進行掃描;但若檔案在任何一次掃描中被判定為失敗,傳輸將即刻停止。

在設定 ICAP 掃描時,了解組織的實際使用案例非常重要,避免重複或不必要的掃描操作。

在下圖中,步驟 2 顯示執行 Incoming 掃描,步驟 4 顯示執行傳出掃描的位置,如果 ICAP Server 掃描類型設置為 BOTH,則掃描將在兩個位置進行。

如何通過 ICAP 配置 Axway SecureTransport 防病毒 /DLP 掃描

病毒軟體測試檔

測試防毒功能時,可使用由 EICAR 提供的測試檔案(例如 eicar.com)。這些檔案被設計為無害的測試病毒,可安全用於驗證防毒軟體是否能正確偵測到威脅。以下是下載測試檔案的範例指令:

curl https://secure.eicar.org/eicar. com --output eicar.com

注意,部分公司內部的防毒軟體可能會自動隔離這些檔案。若需完整測試,建議在測試伺服器中進行操作,或暫時停用桌面防毒掃描功能。

SecureTransport 的 ICAP 設定

啟用 ICAP 功能

首先,在 SecureTransport 的設定介面中檢查 ICAPScan 功能是否已啟用。若未啟用,請進入「TM Settings」中啟用 該功能。

TM Settings 設定介面
TM Settings 設定介面

新增 ICAP 伺服器

接著,在「ICAP 設定」中新增一個或多個 ICAP 伺服器。每個伺服器設定均可針對不同的條件進行掃描。

伺服器基本設定

• 伺服器名稱:設定唯一且具辨識性的名稱。

• 伺服器類型:設定為 INCOMING(僅掃描傳入檔案)、OUTGOING(僅掃描傳出檔案 )或 BOTH(雙向掃描)。

• ICAP URL:根據伺服器位址與服務名稱設定,例如: icap://dlpavaddress:1344/ AVSCAN

連線設定

• 可選擇是否使用安全連線(TLS)。

• 設定伺服器憑證驗證及傳輸加密模式(例如 FIPS)。

ICAP 設定介面
ICAP 設定介面

掃描設定

• 檔案大小限制:預設最大檔案大小為 10 MB,超過此大小的檔案不會傳送至 ICAP 伺服器掃描。

• 預覽大小:預設為 10 KB。此值可用於快速掃描已知病毒簽名。

• 忽略檔案類型:可設定特定檔案類型(例如 .pgp、.asc)不進行掃描。

• 掃描條件:使用 SecureTransport 的表達式語言,設定條件式掃描。例如:${flow.attributes.userVars. performAVScan eq 'Yes'}

設定通知

若掃描失敗或檔案被拒絕,可設定系統自動發送電子郵件通知至指定位址。

透過 SecureTransport 的 ICAP 功能,企業能有效整合第三方防毒與 DLP 解決方案,保障檔案傳輸安全。
透過 SecureTransport 的 ICAP 功能,企業能有效整合第三方防 毒與 DLP 解決方案,保障檔案傳輸安全。

ICAP 掃描的運作邏輯 SecureTransport 的 ICAP 設定允許同時啟用多個伺服器,每個伺服器均依照其設定條件進行掃描,並可針對不同需求進行調整。例如:

● 指定特定協定(如 HTTP)進行掃描。

● 設定不同的掃描伺服器,分別處理防毒與 DLP 功能。

需注意的是,若某檔案符合多個 ICAP 設定條件,將依序執行多次掃描,直至任一掃描失敗為止。

加密檔案的掃描挑戰

由於加密檔案(例如 PGP 檔案)無法直接進行病毒掃描,建議先執行解密再進行檢查。此操作需要整合解密流程至 SecureTransport 的檔案傳輸工作流程中,確保加密檔案的安全性。

結語

透過 SecureTransport 的 ICAP 功能,企業能有效整合第三方防毒與 DLP 解決方案,保障檔案傳輸安全。設定時需根據實際業務需求調整 ICAP 設定,避免重複掃描或不必要的性能負擔。同時,妥善規劃測試流程與通知機制,確保系統在運作中能即時應對威脅與異常狀況。