- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
06-文件黑白名单典型配置举例
本章节下载: 06-文件黑白名单典型配置举例 (347.74 KB)
文件黑白名单,指通过用户手动输入已知的MD5/sha1/sha256文件哈希散列值,从而指定散列值相同的文件在下一次检测时直接判定为恶意文件或正常文件。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解文件HASH散列的基本原理。
高级威胁检测产品WEB管理端推荐使用Chrome浏览器进行访问操作,使用其他浏览器可能会出现兼容性问题。
用户希望流量中提取到指定MD5值的文件时,无需通过检测流程,直接判定为恶意文件(不管该文件是否真正包含恶意代码)。
(1) 登录Web管理端。
(2) 配置指定MD5的文件为黑名单文件。
(1) 登录Web管理端
如下图所示,打开Chrome浏览器,使用https的方式访问设备的Web管理端地址,使用正确的用户名和密码登录管理系统,默认的用户名和密码是admin/Admin@123(采用默认密码登录后必须修改密码并重新登录,方可正常使用WEB管理端),并点击<登录>按钮。
(2) 配置指定MD5的文件为黑名单文件
通过页面上方菜单栏进入“策略 – 检测策略 – 文件黑白名单”菜单页面,默认没有任何文件黑白名单规则,需要用户手动添加文件黑白名单配置;
点击页面左下角“+”按钮,添加一条文件黑白名单,如下图所示;
选择黑/白名单类型为“黑名单”,配置名称为“黑名单测试”,威胁级别配置为“高”,MD5配置值“0284f0bb2d4e1bfd0c831f90b441aa1b”,其他配置保持默认值即可,如下图所示;
(3) 配置完成效果图
(1) 高级威胁检测产品正常接入端口镜像流量,从“监控 – 系统监控”菜单页面中的“网络流量监控”趋势图确认流量已正常接入且流量大小符合预期,如下图所示;
(2) 通过HTTP协议访问md5为的文件,访问流量通过端口镜像接入到高级威胁检测产品;
(3) 查看“事件日志 – 基础事件 – 恶意代码事件”菜单页面,用md5为作为筛选条件,可筛选出md5为的文件的恶意代码事件告警日志,如下图所示;
(4) 点击文件名称“1.html”,可查看该文件的检测结果摘要信息,可看到威胁描述为“黑名单测试”,检测引擎为“USER”,证明是由文件黑名单规则产生的事件告警日志,如下图所示,符合预期;
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
