Kaspersky Scan Engine и режим ICAP
05 марта 2024
ID 192987
Протокол ICAP (Internet Content Adaptation Protocol) используется для коммуникации между прокси-серверами и поставщиками услуг. В режиме ICAP решение Kaspersky Scan Engine взаимодействует с прокси-серверами, совместимыми с протоколом ICAP. Kaspersky Scan Engine сканирует HTTP-трафик, который проходит через прокси-сервер, а также URL-адреса, запрашиваемые пользователями.
При запуске в режиме ICAP решение Kaspersky Scan Engine состоит из службы kavicapd, файлов конфигурации и библиотек. Ключевые функции:
- Сканирование URL-адреса.
Kaspersky Scan Engine позволяет сканировать URL-адреса, которые запрашивает пользователь через прокси-сервер. Эта функция доступна как для режима REQMOD (проверяются объекты, передаваемые от пользователя через прокси-сервер), так и для режима RESPMOD (проверяются объекты, передаваемые пользователю с прокси-сервера).
- Сканирование HTTP-трафика.
Kaspersky Scan Engine позволяет сканировать входящий и исходящий HTTP-трафик, который проходит через прокси-сервер. Эта функция доступна как для режима REQMOD (проверяются объекты, передаваемые от пользователя через прокси-сервер), так и для режима RESPMOD (проверяются объекты, передаваемые пользователю с прокси-сервера).
Поддерживается сканирование составных объектов (объектов, включающих в себя несколько файлов).
- Поддержка кода состояния HTTP
204 No
Content
.Служба kavicapd может быть настроена на возврат такого кода состояния, если сообщение, посланное клиентом, не требует модификации.
- Управление поведением службы kavicapd с помощью настройки правил службы.
- Режим отправки по частям.
Этот режим, также называемый Data Trickling, позволяет сканировать файлы целиком и посылать их пользователю по блокам до окончания сканирования. Плагин продолжает сканирование файлов и одновременно отправляет пользователю первые блоки файлов. Эта функция позволяет пользователям быстро получать отсканированные файлы большого размера.
- Режим предварительной проверки.
В этом режиме ICAP-клиент посылает запрос ICAP-плагину, а ICAP-плагин выполняет предварительную проверку объекта с помощью правил исключений. Такие запросы позволяют не сканировать те объекты, которые заведомо не являются вредоносными.
- Обновления ISTag.
Значение ISTag в заголовке ICAP-ответа Kaspersky Scan Engine обновляется каждый раз, когда происходит одно из следующих событий:
- Инициализация Kaspersky Scan Engine.
- Изменение страниц настроек Kaspersky Scan Engine.
- Антивирусная база обновлена.
Постоянные соединения Keep-Alive
По умолчанию Kaspersky Scan Engine поддерживает постоянные соединения Keep-Alive, поэтому он может обрабатывать несколько объектов один за другим, используя одно и то же соединение.
Чтобы открыть постоянное соединение Keep-alive, запрос ICAP должен содержать поле Connection
со значением Keep-Alive
.
Чтобы закрыть соединение, ICAP-запрос должен содержать поле Connection
со значением close
.