HAVP+Trend Micro+Squid 防病毒HTTP代理 4月 25th, 2007

    HAVP (HTTP Anti Virus Proxy) 可搭载 ClamAV、Kaspersky、Trend Micro、AVG、F-Prot、NOD32、Sophos、Avast!等防病毒软件, 针对 HTTP 传输数据进行实时扫毒, 将病毒拦截于Proxy Server, 让局域网用户上网时多一层安全防护.

    网上很多文章都是使用HAVP搭载 Clamav,虽然Clamav安装简单,有可以自动更新病毒库,但实际使用中发现,Clamav的执行效率不是很好,访问时,明显影响访问速度.测试后,发现Trend Micro效率较高。HAVP在搭载其它的防病毒软件时,大部分都需要防病毒软件先安装运行,而搭载使用Trend Micro,HAVP可以直接调用Trend Micro的扫描引擎和病毒库,不用安装防病毒服务,对于我这样的懒人来说,能省一个是一个,对服务器来说也能省点资源.唯一的缺点是无法自动更新病毒库,有得必有失.

    参考了Jamyy的《使用 HAVP + ClamAV 建置防毒 HTTP Proxy》 

安装步骤


1、Trend Micro (Trophie)

   扫描引擎 http://www.trendmicro.com/download/zh-tw/product.asp?productid=20
   病毒码   http://www.trendmicro.com/download/zh-tw/product.asp?productid=20

# mkdir /etc/iscan
# cd /etc/iscan
# wget http://www.trendmicro.com/ftp/products/engine/vsapi-x86-linux-8.500-1001.tar.Z
# wget http://www.trendmicro.com/ftp/products/pattern/ptn591.tar
# tar zxvf vsapi-x86-linux-8.500-1001.tar.Z
# tar xvf ptn591.tar

在/etc/iscan目录解压出两个文件 libvsapi.so 和 lpt$vpn.433 前者是扫描引擎 后者是病毒库


2. 安装 HAVP (v0.86)


# ./configure --prefix=/usr/local/havp --disable-clamav --with-scanner=TROPHIE
# make
# make install
# useradd -g havp -d /dev/null -s /sbin/nologin havp
# chown havp:havp /var/log/havp /var/run/havp


3. 修改配置文件havp.config

# vi /usr/local/havp/etc/havp/havp.config

### 注释以下这行

#REMOVETHISLINE deleteme

### Trend Micro Library Scanner (Trophie)  使用Trend Micro的扫描引擎和病毒库

ENABLETROPHIE true
其它与效率相关的设定:

### 理论上越多的线程效率越高
SERVERNUMBER 40  # 最小8  500个用户以上,参数需要设置40以上
MAXSERVERS 200

### 只记录 error log. 较少的 Log 记录可减轻服务器负担
LOGLEVEL 0

### 使用 RAM Disk 处理临时文件可获得最佳性能
TEMPDIR /var/tmp/havp

### 不对图片文件扫毒, 可减轻 CPU 负载
SCANIMAGES false


4. 挂载独立分区于 /var/tmp/havp

用内存建立虚拟磁盘

mkfs -t ext3 /dev/ram0 16348 (建立 16MB RAM Disk)
mount -o mand /dev/ram0 /var/tmp/havp

ps. HAVP 可扫描的文件大小将受限于这个所挂载的分区空间


5. 更新 shared libraries 数据库 (for Trend Micro)

# vi /etc/ld.so.conf   添加 /etc/iscan
# ldconfig


6. 启动 HAVP

# /usr/local/havp/sbin/havp

7. 配置启动squidsquid的安装和配置就不在这里多说了,修改一下配置文件squid.conf  设置HAVP为父代理# vi /usr/local/squid/etc/squid/confcache_peer 127.0.0.1 parent 8080 0 no-query no-digest no-netdb-exchange default
cache_peer_access 127.0.0.1 allow all
alway_direct deny all
never_direct allow all
# /usr/loca/squid/sbin/squid   

8. 链接病毒测试网页检验 HAVP 是否正常运作 eicar - Anti-Virus test file

常见问题:
1.error while loading shared libraries: libvsapi.so: cannot open shared object file: No such file or directory

解决方法:更新 shared libraries 数据库# vi /etc/ld.so.conf   添加 /etc/iscan
# ldconfig 2.ERROR: HAVP not compiled with Trophie support解决方法: 安装HAVP的时候  configure带上参数 --with-scanner=TROPHIE其它问题大部分都是权限问题,可以查看错误日志/var/log/havp/error.log

Tags: , ,
Posted in Linux |

Leave a Reply