04-DPI深度安全配置指导

07-防病毒配置

本章节下载  (313.28 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/IPS/SecPath_T10X0/Configure/Operation_Manual/H3C_CG(V7)(E9104_E8504_E8502)-5W103/04/201810/1114732_30005_0.htm

07-防病毒配置


1 防病毒

说明

对于本节命令中的CPU参数,仅T9006/T9010/T9014产品支持。

 

说明

防病毒功能需要安装License才能使用。License过期后,防病毒功能可以采用设备中已有的病毒特征库正常工作,但无法升级特征库。关于License的详细介绍请参见“基础配置指导”中的“License管理”。

 

1.1  防病毒简介

1.1.1  概述

防病毒功能是一种通过对报文应用层信息进行检测来识别和处理病毒报文的安全机制。防病毒功能凭借庞大且不断更新的病毒特征库可有效保护网络安全,防止病毒在网络中的传播。将具有防病毒功能的设备部署在企业网入口,可以将病毒隔离在企业网之外,为企业内网的数据安全提供坚固的防御。目前,该功能支持对基于以下应用层协议传输的报文进行防病毒检测:

·     FTP(File Transfer Protocol,文件传输协议)

·     HTTP(Hypertext Transfer Protocol,超文本传输协议)

·     IMAP(Internet Mail Access Protocol,Internet邮件访问协议)

·     POP3(Post Office Protocol-Version 3,邮局协议的第3个版本)

·     SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)

1.1.2  应用场景

图1-1 防病毒典型应用场景

 

图1-1所示,在如下应用场景中,隔离内网和外网的网关设备上需要部署防病毒策略来保证内部网络安全:

·     内网用户需要访问外网资源,且经常需要从外网下载各种应用数据。

·     内网的服务器需要经常接收外网用户上传的数据。

当在设备上部署防病毒策略后,正常的用户数据可以进入内部网络,携带病毒的报文会被检测出来,并被采取阻断、重定向或生成告警信息等动作。

1.1.3  基本概念

1. 病毒特征

病毒特征是设备上定义的用于识别应用层信息中是否携带病毒的字符串,由系统中的病毒特征库预定义。

2. 病毒例外

缺省情况下,设备对所有匹配病毒特征的报文均进行防病毒动作处理。但是,当管理员认为已检测到的某个病毒为误报时,可以将该病毒特征设置为病毒例外,之后携带此病毒特征的报文经过时,设备将对此报文执行允许动作。

3. 应用例外

缺省情况下,设备基于应用层协议的防病毒动作对符合病毒特征的报文进行处理。当需要对某应用层协议上承载的某一具体应用采取不同的动作时,可以将此应用设置为应用例外。例如,对HTTP协议采取的动作是允许,但是需要对HTTP协议上承载的游戏类应用采取阻断动作,这时就可以把所有游戏类的应用均设置为应用例外。

4. 防病毒动作

防病毒动作是指对符合病毒特征的报文做出的处理,包括如下几种类型:

·     告警:允许病毒报文通过,同时生成病毒日志。

·     阻断:禁止病毒报文通过,同时生成病毒日志。

·     重定向:将携带病毒的HTTP连接重定向到指定的URL,同时生成病毒日志。

1.1.4  防病毒数据处理流程

设备上部署防病毒策略后,对接收到的用户数据报文处理流程如图1-2所示:

图1-2 防病毒数据处理流程图

 

防病毒处理的整体流程如下:

(1)     如果报文匹配了某对象策略规则,且此对象策略规则的动作是inspect,则设备将继续识别此报文的应用层协议。有关对象策略规则的详细介绍请参见“安全配置指导”中的“对象策略”。

(2)     如果报文的应用层协议为防病毒功能所支持,则设备使用病毒特征库中的病毒特征对此报文进行匹配,否则不对其进行防病毒处理。

(3)     如果报文与病毒特征匹配成功,则进一步判断此病毒报文是否符合病毒例外,否则对其执行允许动作。

(4)     如果病毒报文符合病毒例外,则对此报文执行允许动作,否则继续判断其是否符合应用例外。

(5)     如果病毒报文符合应用例外,则执行应用例外的防病毒动作(告警、阻断和允许),否则执行所属应用层协议的防病毒动作(告警、阻断和重定向)。

1.1.5  病毒特征库升级与回滚

病毒特征库是用来对经过设备的报文进行病毒检测的资源库。随着互联网中病毒的不断变化和发展,需要及时升级设备中的病毒特征库,同时设备也支持病毒特征库回滚功能。

1. 病毒特征库升级

病毒特征库的升级包括如下几种方式:

·     定期自动在线升级:设备根据管理员设置的时间定期自动更新本地的病毒特征库。

·     立即自动在线升级:管理员手工触发设备立即更新本地的病毒特征库。

·     手动离线升级:当设备无法自动获取病毒特征库时,需要管理员先手动获取最新的病毒特征库,再更新设备本地的病毒特征库。

2. 病毒特征库回滚

如果管理员发现设备当前的病毒特征库对报文进行病毒检测的误报率较高或出现异常情况,可以将其回滚到出厂版本或上一版本。

1.2  防病毒配置任务简介

表1-1 防病毒配置任务简介

配置任务

说明

详细配置

配置防病毒策略

必选

1.3.1 

配置防病毒引用的重定向动作参数profile

可选

1.3.2 

在DPI应用profile中引用防病毒策略

必选

1.3.3 

在对象策略规则中引用DPI应用profile

必选

1.3.4 

在安全域间实例中引用对象策略

必选

1.3.5 

配置病毒特征库升级和回滚

可选

1.3.6 

激活DPI各业务模块的策略配置

可选

1.3.7 

 

1.3  配置防病毒

1.3.1  配置防病毒策略

在防病毒策略中可以配置防病毒的检测条件、对病毒报文的处理动作、病毒例外和应用例外等。

设备上的所有防病毒策略均使用当前系统中的病毒特征库对用户数据进行病毒检测和处理。

表1-2 配置防病毒策略

操作

命令

说明

进入系统视图

system-view

-

创建防病毒策略,并进入防病毒策略视图

anti-virus policy policy-name

缺省情况下,存在一个缺省防病毒策略,名称为default,且其不能被修改和删除

(可选)配置防病毒策略描述信息

description text

缺省情况下,不存在防病毒策略描述信息

(可选)配置病毒检测的应用层协议类型

inspect { ftp | http | imap | pop3 | smtp } [ direction { both | download | upload } ] [ action { alert | block | redirect } ]

缺省情况下,设备对FTP、HTTP和IMAP协议在上传和下载方向传输的报文均进行病毒检测,对POP3协议在下载方向传输的报文进行病毒检测,对SMTP协议在上传方向传输的报文进行病毒检测。设备对FTP、HTTP协议报文的动作为阻断,对IMAP、SMTP和POP3协议报文的动作为告警

(可选)配置病毒例外

exception signature signature-id

缺省情况下,不存在病毒例外

(可选)配置应用例外并为其指定处理动作

exception application application-name action { alert | block | permit }

缺省情况下,不存在应用例外

(可选)配置有效病毒特征的最低严重级别

signature severity { critical | high | medium } enable

缺省情况下,所有严重级别的病毒特征都处于生效状态

 

1.3.2  配置防病毒重定向动作的执行参数

防病毒重定向动作的具体执行参数由应用层检测引擎重定向动作参数profile来定义,该proflle的具体配置请参见“DPI深度安全配置指导”中的“应用层检测引擎”。

如果防病毒引用的应用层检测引擎重定向动作参数profile不存在或没有引用,则使用系统中重定向动作参数的缺省值。

表1-3 配置防病毒重定向动作的执行参数

操作

命令

说明

进入系统视图

system-view

-

配置防病毒引用的应用层检测引擎重定向动作参数profile

anti-virus redirect parameter-profile profile-name

缺省情况下,防病毒未引用应用层检测引擎重定向动作参数profile

 

1.3.3  在DPI应用profile中引用防病毒策略

DPI应用profile是一个安全业务的配置模板,为实现防病毒功能,必须在DPI应用profile中引用指定的防病毒策略。一个DPI应用profile中只能引用一个防病毒策略,如果重复配置,则新的配置会覆盖已有配置。

表1-4 在DPI应用profile中引用防病毒策略

操作

命令

说明

进入系统视图

system-view

-

进入DPI应用profile视图

app-profile profile-name

关于该命令的详细介绍请参见“DPI深度安全命令参考”中的“应用层检测引擎”

在DPI应用profile中引用防病毒策略

anti-virus apply policy policy-name mode { alert | protect }

缺省情况下,DPI应用profile中未引用防病毒策略

 

1.3.4  在对象策略规则中引用DPI应用profile

有关对象策略规则的详细介绍请参见“安全配置指导”中的“对象策略”。

1. 在IPv4对象策略中引用DPI应用profile

表1-5 在IPv4对象策略规则中引用DPI应用profile

操作

命令

说明

进入系统视图

system-view

-

进入Context系统视图

switchto context context-name

仅对Context必选

进入一个IPv4对象策略

object-policy ip object-policy-name

-

在IPv4对象策略规则中引用DPI应用profile

rule [ rule-id ] { drop | pass | inspect app-profile-name } [ [ application application-name ] [ app-group app-group-name ]  [ source-ip object-group-name | any ] [ destination-ip object-group-name | any ] [ service object-group-name | any ] [vrf vrf-name ] [ counting ] [ disable ] [ logging ] [ time-range time-range-name ] ] *

缺省情况下,在IPv4对象策略规则中未引用DPI应用profile

 

2. 在IPv6对象策略中引用DPI应用profile

表1-6 在IPv6对象策略规则中引用DPI应用profile

操作

命令

说明

进入系统视图

system-view

-

进入Context系统视图

switchto context context-name

仅对Context必选

进入一个IPv6对象策略

object-policy ipv6 object-policy-name

-

在IPv6对象策略规则中引用DPI应用profile

rule [ rule-id ] { drop | pass| inspect app-profile-name } [ [ application application-name ] [ app-group app-group-name ] [ source-ip object-group-name | any ] [ destination-ip object-group-name | any ] [ service object-group-name | any ] [vrf vrf-name ] [ counting ] [ disable ] [ logging ] [ time-range time-range-name ] ] *

缺省情况下,在IPv6对象策略规则中未引用DPI应用profile

 

1.3.5  在安全域间实例中引用对象策略

有关此功能的详细介绍请参见“安全配置指导”中的“对象策略”。

表1-7 安全域间实例引用对象策略

操作

命令

说明

进入系统视图

system-view

-

进入Context系统视图

switchto context context-name

仅对Context必选

创建源安全域和目的安全域

security-zone name zone-name

缺省情况下,当首次执行创建安全域的命令时,系统会自动创建以下缺省安全域Local、Trust、DMZ、Management和Untrust

创建安全域间实例,并进入安全域间实例视图

zone-pair security source source-zone-name destination destination-zone-name

缺省情况下,不存在安全域间实例

应用对象策略

应用IPv4对象策略

object-policy apply ip object-policy-name

缺省情况下,安全域间实例内不应用对象策略

二者至少选其一

应用IPv6对象策略

object-policy apply ipv6 object-policy-name

 

1.3.6  配置病毒特征库升级和回滚

注意

·     请勿删除设备存储介质根目录下的/dpi/文件夹,否则设备升级或回滚特征库会失败。

·     当系统内存使用状态处于告警门限状态时,请勿进行特征库升级或回滚,否则易造成设备特征库升级或回滚失败,进而影响防病毒的正常运行。有关内存告警门限状态的详细介绍请参见“基础配置指导”中的“设备管理”。

 

随着网络病毒攻击的不断变化和发展,管理员需要及时升级设备中的病毒特征库,同时设备也支持病毒特征库回滚功能。

1. 配置定期自动在线升级病毒特征库

如果设备可以访问H3C官方网站,可以采用定期自动在线升级方式来对设备上的病毒特征库进行升级。

说明

该方式下,需要确保设备能通过静态或动态域名解析方式获得H3C官方网站的IP地址,并与之路由可达,否则设备升级病毒特征库会失败。有关域名解析功能的配置请参见“三层技术-IP业务配置指导”中的“域名解析”。

 

表1-8 配置定期自动在线升级病毒特征库

操作

命令

说明

进入系统视图

system-view

-

开启定期自动在线升级病毒特征库功能,并进入自动在线升级配置视图

anti-virus signature auto-update

缺省情况下,定期自动在线升级病毒特征库功能处于关闭状态

配置定期自动在线升级病毒特征库的时间

update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes

缺省情况下,设备在每天02:01:00至04:01:00之间自动升级病毒特征库

 

2. 立即自动在线升级病毒特征库

当管理员发现H3C官方网站上的特征库服务专区中的病毒特征库有更新时,可以采用立即自动在线升级方式来及时升级病毒特征库版本。

说明

该方式下,需要确保设备能通过静态或动态域名解析方式获得H3C官方网站的IP地址,并与之路由可达,否则设备升级病毒特征库会失败。有关域名解析功能的配置请参见“三层技术-IP业务配置指导”中的“域名解析”。

 

表1-9 立即自动在线升级病毒特征库

操作

命令

说明

进入系统视图

system-view

-

立即自动在线升级病毒特征库

anti-virus signature auto-update-now

-

 

3. 手动离线升级病毒特征库

如果设备不能访问H3C官方网站上的特征库服务专区,管理员可以采用如下几种方式手动离线升级病毒特征库版本。

·     本地升级:使用本地保存的特征库文件升级系统上的病毒特征库版本。

¡     特征库文件只能存储在当前主用设备上,否则设备升级特征库会失败。(集中式IRF设备)

¡     特征库文件只能存储在当前主控板上,否则设备升级特征库会失败。(分布式设备-独立运行模式)

¡     特征库文件只能存储在当前全局主用主控板上,否则设备升级特征库会失败。(分布式设备-IRF模式)

·     FTP/TFTP升级:通过FTP或TFTP方式下载远程服务器上保存的特征库文件,并升级系统上的病毒特征库版本。

表1-10 手动离线升级病毒特征库

操作

命令举例

说明

进入系统视图

system-view

-

手动离线升级病毒特征库

anti-virus signature update file-path

-

 

4. 回滚病毒特征库

病毒特征库版本每次回滚前,设备都会备份当前版本。多次回滚上一版本的操作将会在当前版本和上一版本之间反复切换。例如,当前病毒特征库版本是V2,上一版本是V1。第一次执行回滚到上一版本的操作后,特征库替换成V1版本,再执行回滚上一版本的操作则特征库重新变为V2版本。

表1-11 回滚病毒特征库

操作

命令

说明

进入系统视图

system-view

-

回滚病毒特征库

anti-virus signature rollback { factory | last }

-

 

1.3.7  激活DPI各业务模块的策略配置

当DPI各业务模块的策略被创建、修改和删除后,需要配置此功能使其策略配置生效。

配置此功能会暂时中断DPI业务的处理,为避免重复配置此功能对DPI业务造成影响,请统一部署DPI各业务模块的策略后统一配置此功能。

有关此功能的详细介绍请参见“DPI深度安全配置指导”中的“应用层检测引擎”。

表1-12 激活DPI各业务模块的策略配置

操作

命令

说明

进入系统视图

system-view

-

激活DPI各业务模块的策略配置

inspect activate

缺省情况下,DPI各业务模块的策略被创建、修改和删除时不生效

 

1.4  防病毒显示和维护

完成上述配置后,在任意视图下执行display命令可以显示配置后防病毒的运行情况,通过查看显示信息验证配置的效果。

表1-13 防病毒显示和维护

操作

命令

显示病毒特征信息

display anti-virus signature [ severity { critical | high | low | medium } ]

显示病毒特征库版本信息

display anti-virus signature information

显示防病毒统计信息(分布式设备-独立运行模式/集中式IRF设备)

display anti-virus statistics [ policy policy-name ] [ slot slot-number [ cpu cpu-number ] ]

显示防病毒统计信息(分布式设备-IRF设备)

display anti-virus statistics [ policy policy-name ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]

 

1.5  防病毒典型配置举例

1.5.1  应用缺省防病毒策略的典型配置举例

1. 组网需求

图1-3所示,Device分别通过Trust安全域和Untrust安全域与局域网和Internet相连。现要求使用设备上的缺省防病毒策略对用户数据报文进行防病毒检测和防御。

2. 组网图

图1-3 应用缺省防病毒策略的配置组网图

 

3. 配置步骤

(1)     配置各接口的IP地址(略)

(2)     创建安全域并将接口加入安全域

# 向安全域Trust中添加接口GigabitEthernet1/0/1。

<Device> system-view

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

# 向安全域Untrust中添加接口GigabitEthernet1/0/2。

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

·     配置对象组

# 创建名为antivirus的IP地址对象组,并定义其子网地址为192.168.1.0/24。

[Device] object-group ip address antivirus

[Device-obj-grp-ip-antivirus] network subnet 192.168.1.0 24

[Device-obj-grp-ip-antivirus] quit

(3)     配置DPI应用profile

# 创建名为sec的DPI应用profile,并进入DPI应用profile视图。

[Device] app-profile sec

# 在DPI应用profile sec中应用缺省防病毒策略default,并指定该防病毒策略的模式为Protect。

[Device-app-profile-sec] anti-virus apply policy default mode protect

[Device-app-profile-sec] quit

(4)     配置对象策略

# 创建名为antivirus的IPv4对象策略,并进入对象策略视图。

[Device] object-policy ip antivirus

# 对源IP地址对象组antivirus对应的报文进行深度检测,引用的DPI应用profile为sec。

[Device-object-policy-ip-antivirus] rule inspect sec source-ip antivirus destination-ip any

[Device-object-policy-ip-antivirus] quit

(5)     配置安全域间实例并应用对象策略

# 创建源安全域Trust到目的安全域Untrust的安全域间实例,并应用对源IP地址对象组antivirus对应的报文进行深度检测的对象策略antivirus。

[Device] zone-pair security source trust destination untrust

[Device-zone-pair-security-Trust-Untrust] object-policy apply ip antivirus

[Device-zone-pair-security-Trust-Untrust] quit

# 激活DPI各业务模块的策略配置。

[Device] inspect activate

4. 验证配置

以上配置生效后,使用缺省防病毒策略可以对已知攻击类型的网络攻击进行防御。

1.5.2  应用自定义防病毒策略的典型配置举例

1. 组网需求

图1-4所示,Device分别通过Trust安全域和Untrust安全域与局域网和Internet相连。现有组网需求如下:

·     将编号为2的预定义病毒特征设置为病毒例外。

·     将名称为139Email的应用设置为应用例外。

2. 组网图

图1-4 应用自定义防病毒配置组网图

 

3. 配置步骤

(1)     配置各接口的IP地址(略)

(2)     创建安全域并将接口加入安全域

# 向安全域Trust中添加接口GigabitEthernet1/0/1。

<Device> system-view

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

# 向安全域Untrust中添加接口GigabitEthernet1/0/2。

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

(3)     配置对象组

# 创建名为antivirus的IP地址对象组,并定义其子网地址为192.168.1.0/24。

[Device] object-group ip address antivirus

[Device-obj-grp-ip-antivirus] network subnet 192.168.1.0 24

[Device-obj-grp-ip-antivirus] quit

(4)     配置防病毒功能

# 创建一个名称为antivirus1的防病毒策略,并进入防病毒策略视图。

[Device] anti-virus policy antivirus1

# 将编号为2的预定义病毒特征设置为病毒例外。

[Device-anti-virus-policy-antivirus1] exception signature 2

# 将名称为139Email的应用设置为应用例外,并设置其动作为告警。

[Device-anti-virus-policy-antivirus1] exception application 139Email action alert

[Device-anti-virus-policy-antivirus1] quit

(5)     配置DPI应用profile

# 创建名为sec的DPI应用profile,并进入DPI应用profile视图。

[Device] app-profile sec

# 在DPI应用profile sec中应用防病毒策略antivirus1,并指定该防病毒策略的模式为Protect。

[Device-app-profile-sec] anti-virus apply policy antivirus1 mode protect

[Device-app-profile-sec] quit

(6)     配置对象策略

# 创建名为antivirus的IPv4对象策略,并进入对象策略视图。

[Device] object-policy ip antivirus

# 对源IP地址对象组antivirus对应的报文进行深度检测,引用的DPI应用profile为sec。

[Device-object-policy-ip-antivirus] rule inspect sec source-ip antivirus destination-ip any

[Device-object-policy-ip-antivirus] quit

(7)     配置安全域间实例并应用对象策略

# 创建源安全域Trust到目的安全域Untrust的安全域间实例,并应用对源IP地址对象组antivirus对应的报文进行深度检测的对象策略antivirus。

[Device] zone-pair security source trust destination untrust

[Device-zone-pair-security-Trust-Untrust] object-policy apply ip antivirus

[Device-zone-pair-security-Trust-Untrust] quit

# 激活DPI各业务模块的策略配置。

[Device] inspect activate

4. 验证配置

以上配置生效后,在防病毒策略antivirus1中可看到以上有关防病毒策略的配置。

1.5.3  手动离线升级病毒特征库典型配置举例

1. 组网需求

图1-5所示,位于Trust安全域的局域网用户通过Device可以访问Untrust安全域的Internet资源,以及DMZ安全域的FTP服务器。FTP服务器根目录下保存了最新的病毒特征库文件anti-virus-1.0.8-encrypt.dat,FTP服务器的登录用户名和密码分别为anti-virus和123。现有组网需求如下:

·     手动离线升级病毒特征库,加载最新的病毒特征。

·     使用设备上的缺省防病毒策略对常见的网络病毒攻击进行防御。

2. 组网图

图1-5 手动离线升级病毒特征库配置组网图

 

3. 配置步骤

(1)     配置各接口的IP地址(略)

(2)     配置Device与FTP互通

# 配置ACL 2001,定义规则允许所有报文通过。

<Device> system-view

[Device] acl basic 2001

[Device-acl-ipv4-basic-2001] rule permit

[Device-acl-ipv4-basic-2001] quit

# 向安全域DMZ中添加接口GigabitEthernet1/0/3。

[Device] security-zone name dmz

[Device-security-zone-DMZ] import interface gigabitethernet 1/0/3

[Device-security-zone-DMZ] quit

# 创建源安全域Local到目的安全域DMZ的安全域间实例,允许Local域用户访问DMZ域的报文可以通过。

[Device] zone-pair security source local destination dmz

[Device-zone-pair-security-Local-DMZ] packet-filter 2001

[Device-zone-pair-security-Local-DMZ] quit

# 创建源安全域DMZ到目的安全域Local的安全域间实例,允许DMZ域用户访问Local域的报文可以通过。

[Device] zone-pair security source dmz destination local

[Device-zone-pair-security-DMZ-Local] packet-filter 2001

[Device-zone-pair-security-DMZ-Local] quit

(3)     创建安全域并将接口加入安全域

# 向安全域Trust中添加接口GigabitEthernet1/0/1。

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

# 向安全域Untrust中添加接口GigabitEthernet1/0/2。

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

(4)     配置对象组

# 创建名为antivirus的IP地址对象组,并定义其子网地址为192.168.1.0/24。

[Device] object-group ip address antivirus

[Device-obj-grp-ip-antivirus] network subnet 192.168.1.0 24

[Device-obj-grp-ip-antivirus] quit

(5)     配置防病毒功能

# 采用FTP方式手动离线升级设备上的病毒特征库,被加载的病毒特征库文件名为anti-virus-1.0.8-encrypt.dat。

[Device] anti-virus signature update ftp:// anti-virus:123@192.168.2.4/anti-virus-1.0.8-encrypt.dat

(6)     配置DPI应用profile

# 创建名为sec的DPI应用profile,并进入DPI应用profile视图。

[Device] app-profile sec

# 在DPI应用profile sec中应用缺省防病毒策略default,并指定该防病毒策略的模式为Protect。

[Device-app-profile-sec] anti-virus apply policy default mode protect

[Device-app-profile-sec] quit

(7)     配置对象策略

# 创建名为antivirus的IPv4对象策略,并进入对象策略视图。

[Device] object-policy ip antivirus

# 对源IP地址对象组antivirus对应的报文进行深度检测,引用的DPI应用profile为sec。

[Device-object-policy-ip-antivirus] rule inspect sec source-ip antivirus destination-ip any

[Device-object-policy-ip-antivirus] quit

(8)     配置安全域间实例并应用对象策略

# 创建源安全域Trust到目的安全域Untrust的安全域间实例,并应用对源IP地址对象组antivirus对应的报文进行深度检测的对象策略antivirus。

[Device] zone-pair security source trust destination untrust

[Device-zone-pair-security-Trust-Untrust] object-policy apply ip antivirus

[Device-zone-pair-security-Trust-Untrust] quit

# 激活DPI各业务模块的策略配置。

[Device] inspect activate

4. 验证配置

以上配置生效后,使用缺省防病毒策略可以对已知攻击类型的网络攻击进行防御。

病毒特征库升级后,可以通过display anti-virus signature information命令查看当前特征库的版本信息。

1.5.4  定时自动升级病毒特征库典型配置举例

1. 组网需求

图1-6所示,位于Trust安全域的局域网用户通过Device可以访问Untrust安全域的Internet资源。现要求每周六上午九点前后半小时内,定期自动在线升级设备的病毒特征库。

2. 组网图

图1-6 定时自动升级病毒特征库配置组网图

 

3. 配置步骤

(1)     配置各接口的IP地址(略)

(2)     配置设备解析H3C官方网站对应IP地址的域名解析功能(略)

(3)     配置定期自动在线升级病毒特征库

# 开启设备自动升级病毒特征库功能,并进入自动升级配置视图。

<Device> system-view

[Device] anti-virus signature auto-update

# 设置定时自动升级病毒特征库计划为:每周六上午9:00:00自动升级,抖动时间为30分钟。

[Device-anti-virus-autoupdate] update schedule weekly sat start-time 9:00:00 tingle 30

[Device-anti-virus-autoupdate] quit

4. 验证配置

设置的定期自动在线升级病毒特征库时间到达后,可以通过display anti-virus signature information命令查看当前特征库的版本信息。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们