Структура Dr.Web для интернет-шлюзов UNIX

Dr.Web для интернет-шлюзов UNIX представляет собой программный комплекс, состоящий из набора компонентов, каждый из которых выполняет свой набор функций. В соответствии с задачами, решаемыми компонентами, они разделены на категории:

Базовые антивирусные компоненты, образующие ядро продукта Dr.Web для интернет-шлюзов UNIX. При отсутствии компонентов этой категории продукт не может выполнять сканирование файлов (и иных данных) на предмет наличия вирусов и иных угроз.

Компоненты поиска угроз. Данные компоненты используются для решения базовых задач Dr.Web для интернет-шлюзов UNIX — поиска вредоносных и потенциально опасных объектов. В своей работе компоненты этой категории используют базовые антивирусные компоненты.

Сервисные компоненты, решающие вспомогательные задачи для поддержки антивирусной защиты (обновление вирусных баз, подключение к серверам централизованной защиты, общая координация работы компонентов Dr.Web для интернет-шлюзов UNIX и т. д.).

Интерфейсные компоненты, предоставляющие (пользователю или сторонним приложениям) интерфейс для управления работой Dr.Web для интернет-шлюзов UNIX.

Перечень компонентов, входящих в состав Dr.Web для интернет-шлюзов UNIX, перечислен в таблицах ниже.

1. Базовые антивирусные компоненты

Компонент

Описание

Dr.Web Virus-Finding Engine

Антивирусное ядро. Реализует алгоритмы поиска и распознавания вирусов и прочих вредоносных программ (используя сигнатурный и эвристический анализ).

Работает под управлением компонента Dr.Web Scanning Engine


Файл библиотеки: drweb32.dll.

Внутреннее наименование, выводимое в журнал: CoreEngine

Сканирующее ядро. Компонент, отвечающий за загрузку антивирусного ядра Dr.Web Virus-Finding Engine и вирусных баз.

Передает антивирусному ядру на проверку содержимое файлов и загрузочных записей дисковых устройств.

Организует очередь файлов, ожидающих проверки.

Выполняет лечение тех угроз, для которых данное действие применимо.

Может работать как под управлением демона Dr.Web ConfigD, так и в автономном режиме.

Используется компонентами Dr.Web File Checker и Dr.Web Network Checker. Также может использоваться компонентом Dr.Web MeshD (в некоторых режимах работы) и внешними (по отношению к Dr.Web для интернет-шлюзов UNIX) приложениями, использующими непосредственно API Dr.Web Scanning Engine


Исполняемый файл компонента: drweb-se.

Внутреннее наименование, выводимое в журнал: ScanEngine

Вирусные базы

Автоматически обновляемая база данных сигнатур вирусов и прочих угроз, а также алгоритмов распознавания и нейтрализации вредоносного программного обеспечения.

Используется антивирусным ядром Dr.Web Virus-Finding Engine и поставляется совместно с ним

Базы категорий веб-ресурсов

Автоматически обновляемая база данных, содержащая перечень веб-ресурсов, разбитых на категории, и используемая для идентификации нежелательных веб-сайтов.

Используется компонентами, проверяющими сетевую активность пользователей и приложений, такими как SpIDer Gate, Dr.Web ICAPD

Компонент проверки объектов файловой системы и менеджер карантина.

Принимает от компонента поиска угроз задания на проверку файлов, находящихся в локальной (по отношению к Dr.Web Scanning Engine) файловой системе.

Обходит каталоги файловой системы согласно заданию, передает файлы на проверку сканирующему ядру Dr.Web Scanning Engine и оповещает компоненты-клиенты о ходе проверки.

Выполняет удаление инфицированных файлов, перемещение их в карантин и восстановление из карантина, управляет каталогами карантина.

Организует и содержит в актуальном состоянии кеш, хранящий информацию о ранее проверенных файлах для уменьшения частоты повторных проверок файлов.

Используется компонентами, проверяющими объекты файловой системы


Исполняемый файл компонента: drweb-filecheck.

Внутреннее наименование, выводимое в журнал: FileCheck

Агент сетевой проверки данных.

Используется для передачи на проверку в сканирующее ядро данных, отправленных компонентами программного комплекса через сеть (это такие компоненты, как Dr.Web ClamD, SpIDer Gate, Dr.Web ICAPD).

Позволяет Dr.Web для интернет-шлюзов UNIX организовывать распределенную проверку данных: принимать на проверку данные с удаленных узлов сети и передавать локальные данные на проверку на удаленные узлы сети. Для приема и передачи данных на удаленных узлах также должен функционировать антивирусный продукт Dr.Web для операционных систем семейства UNIX. В режиме распределенной проверки позволяет автоматически распределять интенсивность антивирусного сканирования по доступным узлам, снижая нагрузку на узлы с большим объемом проверки (например, выполняющих роль почтовых серверов и интернет-шлюзов).

При наличии в сети узлов-партнеров, способных принимать данные на проверку, компоненты, использующие Dr.Web Network Checker для проверки, могут не использовать мощности локального сканирующего ядра Dr.Web Scanning Engine. Таким образом, локальное сканирующее ядро Dr.Web Scanning Engine, Dr.Web Virus-Finding Engine и вирусные базы могут отсутствовать.

Для обеспечения безопасности при передаче файлов по сети использует SSL


Исполняемый файл компонента: drweb-netcheck.

Внутреннее наименование, выводимое в журнал: NetCheck

Компонент для анализа URL на предмет принадлежности к нежелательным или потенциально опасным категориям


Исполняемый файл компонента: drweb-urlcheck.

Внутреннее наименование, выводимое в журнал: UrlCheck

Компонент, осуществляющий подключение продукта Dr.Web для интернет-шлюзов UNIX к локальному облаку, позволяющему продуктам Dr.Web для UNIX обмениваться обновлениями, результатами проверки файлов, передавать друг другу на проверку файлы, а также предоставлять услуги сканирующего ядра напрямую.

При наличии этого компонента в составе продукта и при наличии в составе локального облака, к которому он подключен, узлов, предоставляющих услуги сканирующего ядра, локальное сканирующее ядро Dr.Web Scanning Engine, Dr.Web Virus-Finding Engine и вирусные базы могут отсутствовать


Исполняемый файл компонента: drweb-meshd.

Внутреннее наименование, выводимое в журнал: MeshD

2. Компоненты поиска угроз

Компонент

Описание

ICAP-сервер, выполняющий анализ запросов и трафика, проходящего через прокси-серверы HTTP, поддерживающие ICAP (такие как Squid).

Предотвращает передачу инфицированных файлов и доступ к узлам сети, относящимся к нежелательным категориям веб-ресурсов или внесенным в черные списки, формируемые системным администратором. При запрете доступа к внешним серверам и при обнаружении угроз в передаваемых данных формирует специальную веб-страницу, содержащую сообщение о невозможности доступа к запрошенному ресурсу или загрузки инфицированного файла, которую прокси-сервер возвращает клиенту.

Для проверки данных, получаемых от прокси-сервера, использует компонент Dr.Web Network Checker


Исполняемый файл компонента: drweb-icapd.

Внутреннее наименование, выводимое в журнал: ICAPD

Компонент проверки сетевого трафика и URL.

Предназначен для проверки данных, загружаемых на локальный узел из сети и передаваемых с него во внешнюю сеть, на наличие угроз, и предотвращения соединения с узлами сети, внесенными как в нежелательные категории веб-ресурсов, так и в черные списки, формируемые системным администратором.

Для проверки получаемых данных использует компонент Dr.Web Network Checker.

Поставляется только в составе дистрибутивов, предназначенных для ОС семейства GNU/Linux.


Исполняемый файл компонента: drweb-gated.

Внутреннее наименование, выводимое в журнал: GateD

Менеджер сетевых соединений.

Используется SpIDer Gate и обеспечивает прохождение через него соединений, устанавливаемых приложениями, работающими на узле, для проверки передаваемого через них трафика.

Поставляется только в составе дистрибутивов, предназначенных для ОС семейства GNU/Linux.


Исполняемый файл компонента: drweb-firewall.

Внутреннее наименование, выводимое в журнал: LinuxFirewall

3. Сервисные компоненты

Компонент

Описание

Компонент взаимодействия с облаком Dr.Web Cloud.

Отправляет URL, посещаемые пользователем, а также сведения о проверяемых файлах, в облачный сервис Dr.Web Cloud для их проверки на наличие угроз, информация о которых пока отсутствует в вирусных базах


Исполняемый файл компонента: drweb-cloudd.

Внутреннее наименование, выводимое в журнал: CloudD

Демон управления конфигурацией комплекса Dr.Web для интернет-шлюзов UNIX.

Управляет активностью (запуск и остановка) других компонентов программного комплекса в зависимости от настроек.

Перезапускает компоненты, завершившие работу в результате сбоя, запускает одни компоненты комплекса по требованию других, информирует компоненты продукта об изменении состава запущенных компонентов.

Хранит и предоставляет всем компонентам информацию об имеющихся лицензионных ключах и настройках. Получает измененные настройки и ключи от уполномоченных компонентов Dr.Web для интернет-шлюзов UNIX и оповещает все компоненты об изменении лицензионных ключей и настроек


Исполняемый файл компонента: drweb-configd.

Внутреннее наименование, выводимое в журнал: ConfigD

Агент централизованной защиты. Обеспечивает работу программного комплекса в централизованном и мобильном режимах.

Организует связь с сервером централизованной защиты, получает от него лицензионный ключевой файл, обновления вирусных баз и антивирусного ядра.

Передает на сервер информацию о составе и состоянии компонентов Dr.Web для интернет-шлюзов UNIX и накопленную статистику инцидентов, связанных с вредоносным ПО


Исполняемый файл компонента: drweb-esagent.

Внутреннее наименование, выводимое в журнал: ESAgent

Компонент получения внешних данных.

Осуществляет выборку данных из внешних хранилищ данных (служб каталогов, файлов, реляционных баз данных и т. п.), для использования их в правилах проверки сетевого трафика пользователей


Исполняемый файл компонента: drweb-lookupd.

Внутреннее наименование, выводимое в журнал: LookupD

Компонент для хранения статистики событий компонентов Dr.Web для интернет-шлюзов UNIX.

Получает и организует хранение событий, поступающих от компонентов программного комплекса, таких как неожиданное завершение работы, обнаружение угрозы и др.


Исполняемый файл компонента: drweb-statd.

Внутреннее наименование, выводимое в журнал: StatD

Компонент обновления.

Отвечает за загрузку с серверов обновлений компании «Доктор Веб» обновлений для вирусных баз и баз категорий веб-ресурсов, антивирусного ядра.

Обновления могут загружаться как автоматически, по расписанию, так и непосредственно по команде пользователя (через утилиту Dr.Web Ctl или через веб-интерфейс управления)


Исполняемый файл компонента: drweb-update.

Внутреннее наименование, выводимое в журнал: Update

4. Интерфейсные компоненты

Компонент

Описание

Веб-сервер управления компонентами Dr.Web для интернет-шлюзов UNIX.

Предоставляет специализированный HTTP API для управления компонентами Dr.Web для интернет-шлюзов UNIX.

Указанный API используется веб-интерфейсом управления.

Для обеспечения безопасности при подключении к веб-интерфейсу управления использует протокол HTTPS.

Для передачи данных на проверку в Dr.Web Scanning Engine использует Dr.Web Network Checker


Исполняемый файл компонента: drweb-httpd.

Внутреннее наименование, выводимое в журнал: HTTPD

Веб-интерфейс управления.

Может быть открыт в любом браузере на локальном или удаленном узле сети. Наличие веб-интерфейса управления позволяет продукту не использовать сторонние веб-серверы (такие, например, как Apache HTTP Server) и утилиты удаленного администрирования наподобие Webmin.

Работоспособность обеспечивается веб-сервером Dr.Web HTTPD

Утилита, обеспечивающая интерфейс управления Dr.Web для интернет-шлюзов UNIX из командной строки.

Позволяет осуществлять запуск проверки файлов, просматривать содержимое карантина и управлять им, запускать обновление вирусных баз, подключать Dr.Web для интернет-шлюзов UNIX к серверу централизованной защиты и отключаться от него, просматривать и изменять значения параметров конфигурации программного комплекса


Исполняемый файл компонента: drweb-ctl.

Внутреннее наименование, выводимое в журнал: Ctl

Представляет собой SNMP-агент.

Предназначен для интеграции Dr.Web для интернет-шлюзов UNIX с внешними системами мониторинга посредством протокола SNMP. Такая интеграция позволяет отслеживать состояние работы компонентов комплекса, а также собирать статистику обнаружения и нейтрализации угроз.

Поддерживает протоколы SNMP v2c и v3


Исполняемый файл компонента: drweb-snmpd.

Внутреннее наименование, выводимое в журнал: SNMPD

Компонент, эмулирующий интерфейс антивирусного демона clamd (компонент антивирусного продукта ClamAV®).

Позволяет прозрачно использовать Dr.Web для интернет-шлюзов UNIX для антивирусной проверки любым приложениям, которые могут использовать антивирусный продукт ClamAV®.

Для передачи данных на проверку в Dr.Web Scanning Engine, в зависимости от режима, использует Dr.Web File Checker или Dr.Web Network Checker


Исполняемый файл компонента: drweb-clamd.

Внутреннее наименование, выводимое в журнал: ClamD

На рисунке ниже показана структура Dr.Web для интернет-шлюзов UNIX и его взаимодействия с внешними приложениями.

Рисунок 1. Структура Dr.Web для интернет-шлюзов UNIX

На приведенном рисунке использованы следующие обозначения:

 

— Dr.Web для интернет-шлюзов UNIX в целом и внешние по отношению к нему программные продукты Dr.Web, не входящие непосредственно в его состав

 

— внешние по отношению к Dr.Web для интернет-шлюзов UNIX программы и программные комплексы, с которыми он интегрируется

 

— сервисные компоненты, решающие конкретные задачи в рамках антивирусной защиты (обновление вирусных баз, подключение к серверам централизованной защиты, общая координация работы и т. д.)

 

— компоненты, предоставляющие (пользователю или сторонним приложениям) интерфейс для управления работой Dr.Web для интернет-шлюзов UNIX

 

— компоненты, используемые для антивирусной проверки

 

— базовые антивирусные компоненты, образующие ядро Dr.Web для интернет-шлюзов UNIX. Используются компонентами, осуществляющими проверку файлов и данных

Компоненты, обозначенные пунктирной границей, могут отсутствовать, в зависимости от поставки или сценария использования Dr.Web для интернет-шлюзов UNIX.

Более подробно компоненты Dr.Web для интернет-шлюзов UNIX описаны в разделе Компоненты Dr.Web для интернет-шлюзов UNIX.