01-正文
本章节下载: 01-正文 (5.69 MB)
目 录
近年来,网络安全病毒事件层出不穷,例如震网病毒、勒索病毒、挖矿病毒等,给企业或组织带来严重影响和资产损失。随着恶意代码技术发展,病毒已衍变成从单机破坏到全网蔓延、恶意勒索、资源滥用、信息泄密等高威胁、高风险阶段,而攻击目标也更加有针对性和定向等趋势,比如行业专网、涉密网等。目前,单一层面的终端病毒查杀已然无法满足新形势下的恶意代码威胁,需从网络层实现有效的恶意代码综合防御,以完善病毒防御体系架构和减轻内部终端安全防护压力。
H3C SecPath AVG2000防病毒网关(简称防病毒网关)系列产品是一款专注于防范网络恶意代码、网络恶意行为的过滤网关产品。可有效拦截/监控诸如病毒传播、勒索病毒、蠕虫攻击、木马通讯、僵尸网络、口令探测等当前活跃的多种网络威胁。防病毒网关有别于以防病毒模块化为例的防火墙、UTM等产品,其威胁防御目标定位于多形态、多类型的复合型病毒,无论是协议层病毒传输、还是通讯层恶意代码攻击蔓延,均可实现综合防御,是帮助企业(组织)完善网络安全防御架构和提升内网病毒综合治理的有利工具。
防病毒网关是面向多种行业、多种复杂网络环境的专业级防病毒网关产品,产品基于多核处理器架构,具有良好的高性能处理和整机扩展能力。同时,产品自身软、硬件层面的高可靠、高稳定性特点,可为用户提供业务连续性安全防御保障。
在安全防御层面,防病毒网关为用户提供了恶意代码威胁综合防御,可覆盖文件型病毒、通讯型病毒、病毒次生威胁和事件审计功能,实现对恶意代码威胁多重过滤与拦截。网关内置防病毒引擎具有多种反病毒技术,支持虚拟应用脱壳、动态行为深度分析、启发式扫描、逃逸对抗等,可驱动加载千万级恶意代码特征全量库,优于其它同类产品百万级流行库。同时,针对近年来较为猖獗的勒索病毒、挖矿病毒等,网关可通过双重防御实现对病毒文件的传输过滤和活动爆发阶段的有效阻断,避免病毒跨区扩散与全网蔓延,将病毒进行有效遏制与源头定位。
· 防病毒网关采用了专用的64位多核高性能处理器、高速存储器、零COPY技术、流模式架构,可提供万兆环境的安全业务处理性能。
· 防病毒网关提供灵活的接口扩展能力,支持千兆电口、千兆光口、万兆接口的扩展,同时扩展接口也可提供BYPASS功能,以提升链路可靠性。
· 防病毒网关支持Watchdog功能和CPU超载控制机制,以保障设备自身的稳定性。
· 支持针对HTTP、FTP、SMB、SMTP、POP3、IMAP六项协议的双向病毒过滤,无论协议采用何种非标准端口,均可自适应病毒过滤,无需手动设定过滤端口。
· 支持对病毒体大文件、多层压缩包、多种格式、加壳、加花等逃逸技术的综合对抗和深度分析。
· 支持对勒索病毒、网页脚本病毒、宏病毒、可执行类病毒、手机病毒等类型识别与过滤。
· 支持对病毒文件的阻断、隔离、破坏、告警操作处置。
· 支持病毒样本、PCAP包的在线扫描功能。
· 支持针对“僵木蠕勒”病毒处于活动阶段、爆发阶段的通讯请求、缓冲区溢出、漏洞利用、远程控制的阻断与拦截。
· 针对恶意代码传播、蔓延阶段带来的次生威胁,例如探测扫描、暴力破解、恶意外联、WEB攻击、数据窃取等恶意行为实现抑制与审计。
· 支持对通讯威胁的阻断、抑制、自动化黑名单操作处置。
· 支持基于已有数据的风险分析计算,利用风险分析模型和风险参数,可精确定位内部已产生风险的威胁主机,定位病毒传播源头、失窃账户。
· 防病毒引擎特征库为本地全量加载,超千万级恶意代码库,能有效查杀多类、多态病毒。
· 病毒特征库支持在线更新、离线导入、指向升级、定时更新多种模式,互联网环境下病毒库更新频率为1-2次/天。
· 病毒特征库支持版本回滚功能。
· 支持透明网桥模式接入,无需变更现有网络结构,即插即用即可实现威胁防御。
· 支持多路串行、多路监听、混合部署模式。
· 支持对IPv4/IPv6双栈网络环境接入与病毒过滤。
· 支持对非对称路由、策略路由、单臂路由、端口汇聚等网络环境的接入与应用。
· 支持对端口联动、自动BYPASS等业务连续性保障功能。
· 支持HTTPS、SSH、CONSOLE管理方式,支持本地账户、Radius账户的权限分离操作。
· 支持多台设备的分级管理功能,无需额外采购即可实现分级管理,可实现远程设备登录、监控、策略下发、维护等操作。
· 支持SNMP(v2c\v3)、syslog(多点指向)协议。
· 支持配置的全局或单项备份与还原。
防病毒网关具有强大的病毒过滤功能,可部署在网络边界、网络区域出口处,防范恶意代码威胁的双向传播与攻击。
图2-1 串行防御图-网络边界
部署建议:部署在NAT设备内测,可识别内部私网IP。
防御目标:保护企业内部网络,全面过滤文件体病毒的传输、邮件病毒、抵御恶意代码动态式攻击、快速定位恶意代码攻击源和内部感染主机。
图2-2 串行防御图-关键网段
部署建议:部署在NAT设备内测,可识别内部私网IP。
防御目标:保护企业核心业务区域,提升数据安全性,防御恶意代码动态式攻击,免遭服务器成为肉鸡或跳板,满足合规性要求。
防病毒网关提供旁路监听功能,可实现对全网流量、内部数据传输的纵深监控告警效果,满足用户对威胁监控需求。
图2-3 旁路部署图
部署建议:镜像数据需双向both数据,支持交换机镜像、TAP盒、分流器等
监控目标:实现对全网数据交互的威胁监测,提升恶意代码威胁监测纵深能力。
防病毒网关提供串、旁混合部署,满足用户对串行防御和旁路监听的双重需求,实现全网恶意代码威胁的综合管控。
图2-4 串、旁混合部署图
部署建议:串行部署建议在NAT设备内侧,镜像数据需双向both数据;
管控目标:实现对网络边界数据的双向防御阻断,同时,实现对全网威胁数据的监测与预警。
· AVG2000防病毒网关默认仅对外开放了HTTPS服务。
· 设备默认管理口:H3C SecPath AVG2000-B为GE0/7,AVG2000-A和AVG2000-S为GE0/0
· 默认管理地址:https://192.168.0.1(建议采用IE11或谷歌、火狐浏览器,需支持Flash控件)
· 默认用户名及密码:admin admin
· 默认SSH管理用户名及密码:root admin
· Console接口波特率:9600
· 防病毒网关及时更新恶意代码库可有效防御新型病毒,恶意代码库官网更新频率为1-2次/天。
· 请确保防病毒网关在上线时“恶意代码库”为最新版本,位于“系统配置-更新下载”处。
· 防病毒网关部署环境如为互联网环境,网关将自动执行恶意代码库更新,更新频率为1-2次/天,恶意代码库更新为增量更新。
· 防病毒网关部署环境如为互联网隔离环境,可通过恶意代码库离线升级包方式进行导入升级,恶意代码库更新为全量更新。
· 恶意代码库离线升级包下载地址:https://avg1.h3c.com/update/amd.3/allinone.amd
· 在针对防病毒网关“网络配置-通用”和“网络配置-路由”页面操作时,点击“生效”按钮后,网关的网络服务将会重启,此时网络会出现中断现象,中断时间约为3-5秒。
· 防病毒网关在串行部署时,网桥接口建议选择支持BYPASS功能的网络接口。
· 如对网关进行功能配置,请及时点击“保存”或“生效”按钮使配置处于生效状态。
防病毒网关针对恶意代码威胁的防护策略主要分为两部分:协议层病毒文件体过滤和恶意代码通讯威胁防御。
协议层病毒文件过滤,主要是针对通过协议进行传输的病毒文件,例如通过HTTP进行上传、下载的宏病毒文件、可执行病毒文件、包含病毒代码的压缩文件等。
过滤策略包括:报警、破坏、隔离、阻断、不过滤五种处理动作。
· 报警:即发现病毒文件,仅作日志告警,不做任何处置操作。日志字段体现为alert。
· 破坏:对病毒文件体内的二进制病毒代码进行字符“V” 或者“U”替换,达到对病毒文件的破坏效果,然后处置后的病毒文件还可继续传输。日志字段体现为destroy。
图3-1 未被网关“破坏”的病毒原始文件代码
图3-2 被网关进行了“破坏”策略后的病毒文件代码
· 隔离:串行防御模式下的隔离策略是先对病毒文件进行一次默认的“破坏”处理,然后对病毒原始文件进行隔离存储。并行监听模式下的隔离策略是将病毒原始文件进行隔离存储,然后记录告警日志。日志字段体现为quarntn。
· 阻断:即发现病毒文件,网关会阻断病毒文件传输连接。过滤策略为阻断情况下,病毒文件无法传输。日志字段体现为reject
· 不过滤:即发现病毒文件,网关也不做任何处置和日志记录。
恶意代码通讯威胁防御,主要是针对病毒已被激活且处于活动阶段、爆发阶段的恶意通讯防护,例如感染了勒索病毒的主机向其它主机发起缓冲区溢出攻击、SHELLCODE代码攻击、恶意外联等恶意网络行为。
过滤策略包括:告警、阻断。
· 报警:即发现恶意通讯,仅作日志告警,不做任何处置操作。日志字段体现为alert。
· 阻断:即发现恶意通讯,对此通讯请求进行网络层丢弃操作。日志字段体现为drop。
防病毒网关采用B/S模式管理,设备需要通过用户名、密码、验证码方式进行管理界面的认证登录,在网关登录界面右上角处,将会显示本设备的软件版本信息,中间部位将会显示本网关型号信息。
在防病毒网关管理界面中,顶部信息主要包含网关型号信息和网关快速操作键。
图3-3 防病毒网关顶部导航菜单
表3-1 顶部导航菜单功能描述
项 |
描述 |
网关BYPASS操作选项,点击后,可选择网关BYPASS的开启和关闭。 |
|
显示登录网关的用户信息,包括登录时间、IP地址、用户名、操作项等信息。 |
|
网关的快速安装向导,通过安装向导可对网关进行基础配置。 |
|
当前账户的登出操作、网关设备重启、关机操作。 |
点击BYPASS图标 ,即可看到针对BYPASS操作选项,BYPASS默认为关闭状态,开启后的BYPASS图标将会变为 。BYPASS开启后网关将会呈现数据传输直通现象,即不做任何数据处理与过滤。
图3-4 BYPASS操作
点击在线用户图标 ,即可看到当前已登录网关的管理员账户信息,包括:登录用户名、IP地址、时间、操作项等。
图3-5 网关在线用户信息
当点击用户名信息时,将会呈现此用户在网关界面中的详细操作记录。
点击在线用户图标 ,即可显示网关配置向导提示,根据文字介绍和页面引导操作,可完成对网关的基础配置。
点击在线用户图标 ,即可显示已登录账户的登出操作、设备重启、关机操作。
图3-6 登出、重启、关机操作
在“系统状态”可查看网关当前系统运行情况、型号、授权信息、网络接口、当前负载和部分硬件信息。
图3-7 H3C SecPath AVG2000防病毒网关系统信息
在系统信息处,将会呈现网关系统时间、已运行时间、主机名、恶意代码库、软件版本、序列号、型号、生产日期和网关的所有者、授权有效期天数。
网关的“所有者”信息,可点击自行编辑。
网关的“有效期”信息,在剩余天数为30天时,字体将会翻红用以提醒授权信息即将到期。
图3-8 实时负载信息
实时负载以百分比形式呈现网关当前系统资源使用状况,当网关系统资源处于高度压力之下,交换区数值将会增高。
图3-9 运行日志信息
设备运行日志包括威胁过滤日志、设备运行错误信息、运行日志、升级日志和系统日志,点击日志大小后可弹出新的窗口,以文字条目形式呈现原始日志,日志时间处将会记录最新日志的发生时间。
图3-10 硬件信息
通过CPU核数的温度显示,可查看网关硬件运行健康度现状。您也可以通过设定CPU温度告警阀值,来及时告警网关异常。操作页面位于“系统配置-告警控制”处。
图3-11 网络接口信息
显示当前网关已激活、已应用的网络接口信息和状态,包括接口收到、发出的累积流量,接口差错报、丢弃包、连接状态、网卡速率。
如要将上述日志进行全部导出,可在空白处点击右键,进行运行日志的导出操作,导出格式为压缩格式。
图3-12 策略应用接口信息
通过当前监控信息可获悉网关当前的部署模式,br*为网桥模式,GE*为监听模式。同时,网关的防护策略也是应用到网络接口处。
在“网卡状态”页面,网关将会呈现所有硬件网卡信息,包括网卡名称、接口状态、网卡类型、IP地址信息。
网卡标示信息中GE为千兆形态,GE1/0表明为第1块扩展网卡。TP为电口,FIBER为光纤接口,XGE为万兆接口。
图3-13 网卡信息
在“负载记录”页面,网关以图形样式呈现网关当前负载情况、威胁过滤情况,查询时间可选择1天或7天内。本页面需浏览器支持Flash控件。
图3-14 负载记录
在“操作记录”页面,将会记录用户对设备的登录、操作相关记录。同时,如登录用户对网关进行了配置修改,将会在操作内容列显示“点击查看详细记录”提示,点击后将会看到配置修改前、修改后的对比展示。
图3-15 操作记录
在“用户管理”页面,您可对网关的账户、账户权限、密码、账户安全选项进行操作。
图3-16 用户管理
点击“增加”按钮,即可创建相对应的用户角色、用户名、密码以及本用户登录网关后的超时时间、刷新间隔时间等。认证类型,在未启用Radius功能时,选择“本地库认证”即可。
图3-17 创建用户
点击“安全选项”,可针对网关用户管理选项进行安全配置,如密码复杂度要求、登录次数及锁定次数、登录验证码启用功能。
如用户登录失败次数超过设定次数限制,将会对登录IP地址进行锁定时间限制。
图3-18 用户安全选项配置
点击“修改口令”,可修改当前已选择的用户密码信息,修改后的新密码安全性要求则依据“安全选项”配置要求。
当勾选了“同步更改字符终端登录口令”后,意味着也将把CLI模式下的认证密码进行一同修改。
图3-19 修改口令
在“时间管理”页面,您可手动设定网关系统时间,也可通过配置时间服务器实现时钟自动同步服务。有效的时钟同步服务前提是系统管理IP可以成功连接时间服务器。
图3-20 网关时间配置管理
在“定时任务”页面,网关内置了恶意代码库更新频率、系统版本(固件)升级频率、时间同步频率、风险分析自动生成频率的定时任务,您也可以手动设定相关参数用以适应实际部署环境,如无特殊要求,建议配置项采用系统默认配置。
图3-21 网关时间配置管理
在“更新下载”页面,提供了网关恶意代码库、软件版本的信息查看、在线更新、离线导入、升级地址查看及操作、版本库更新等选项。
图3-22 更新下载配置
鼠标放置“恶意代码库”版本号处,将会显示当前特征码数量,显示内容为“signatures xxxx”(xxxx代表数量)。
系统默认内置了恶意代码库、软件版本的在线升级地址和备份地址,如主地址无法下载,网关将会通过备份下载地址进行更新。
您也可手动修改升级下载地址,用以其它场景的应用,比如指向性升级。
恶意代码库、软件版本在升级过程中,您可点击“升级状态”按钮,查看升级进度和日志。当网关无法获取病毒库升级地址,在升级状态中,会显示ERR信息,以及获取文件失败的failed信息,可排查网关到升级地址的链路畅通性、网关DNS域名配置情况。
当出现“There are no new amd”,表明当前系统特意代码库版本与升级服务器端版本一致,无新的库更新。
当设备授权许可到期后,将会出现license expire提示。
成功的升级状态,将会显示百分比进度和successfully提示。
图3-23 防病毒网关成功的升级状态信息
网关支持恶意代码库版本回滚功能,可回滚最近的3个恶意代码库版本。
图3-24 恶意代码库版本回滚
网关支持防病网关恶意代码离线库、软件版本升级包的离线导入功能。升级文件通过本地上传形式传至网关后,网关将会提示成功导入信息,随后网关将会在后台进行自动化更新操作,后台升级时间将依据文件类型而定,恶意代码库离线更新时间约1分钟内,软件版本升级离线更新时间约3至5分钟内。在升级过程中,您可点击“升级状态”按钮查看实时进度。
图3-25 升级文件离线导入
在“访问控制”页面,可对网关自身的协议及端口请求服务进行设定,也可通过本页面设定对网关的管理主机IP地址设定。
网关默认只对外开放了HTTPS 443服务,未开启ICMP PING服务。
针对“访问控制”功能的操作是依据“协议、IP、端口、动作”四个选项进行设定。
图3-26 网关自身的访问控制
图3-27 访问控制操作选项
在“告警控制”页面,可针对网关硬件CPU温度进行告警阀值设定。如CPU温度超出设定的阀值,则会在界面中进行告警提示。
图3-28 CPU温度告警控制
图3-29 CPU温度告警提示
在“网络配置-通用”页面中,可针对网关的部署模式例如串行网桥、旁路监听、端口汇聚、管理IP等进行详细配置,本页面也提供了常见的网络测试工具和自动BYPASS操作。
图3-30 网络配置
在本页面中,点击“增加”按钮,可选择对应的网关部署配置、接口配置信息。
图3-31 网络配置增加功能项
表3-2 网络配置增加选项描述
项目 |
描述 |
网卡汇聚 |
网关部署场景需要网卡汇聚模式时,点击选择进行网卡绑定操作。网卡汇聚模式支持静态802.3AD-LACP、轮巡、均衡模式。 |
网桥 |
网桥接口设定,建议选择支持BYPASS功能的网络接口。 |
网卡 |
可针对某一网卡进行IP地址设定用作设备带外管理使用; 可针对某一网卡进行并行旁路监听使用。 |
VLAN |
网关可自动识别网络中标记了VLAN标签的数据,无需单独配置,即可实现病毒过滤。 此处的VLAN设定主要应用场景为网桥接口设定了IP地址,且网桥接口位于某VLAN环境内,需要设定VLAN ID才能对设备进行管理。 |
转发 |
网关可实现不同网卡间的数据转发。此功能应用场景主要用于网关旁路部署防御场景。 |
设备关联 |
此功能主要应用于非对称路由环境单台防病毒网关实现两条链路的病毒过滤场景。 |
在会话同步 链路中网关可通过开启连接状态传递实现链路状态的异常通知,开启此功能后网桥接口中任意接口出现Down状态,网关将会自动Down掉另外一端接口,以此实现链路的状态传递。
图3-32 网桥模式下的连接状态传递
网关支持自动BYPASS功能设定,当端口震荡达到设定阀值后,网关将会自动进入BYPASS状态。如3次/1分钟,则表明1分钟内BYPASS接口出现3次震荡,将自动开启BYPASS,开启后必须界面手动操作才能关闭BYPASS状态。
图3-33 自动BYPASS设定
在“路由”页面,主要是针对网关的管理IP地址进行缺省网关设定。
图3-34 网络配置路由设定
在“域名解析”页面,主要是针对网关的主机名和DNS地址进行设定。DNS地址的设定主要用于升级恶意代码库、软件版本时的域名解析。
图3-35 域名解析
在“SOC”页面,网关提供了Radius配置和SYSLOG日志转发配置功能。
Radius功能主要应用于与第三方动态密码管理服务器场景,通过Radius协议可实现网关用户的动态密码联动功能。
SYSLOG支持多远程主机日志转发功能。支持TCP、UDP协议、端口的自定义功能。FACILITY默认为local0,上传日志的级别为alert,即网关过滤日志。
图3-36 Radius和SYSLOG设定。
在“SNMP”页面,可设定针对网关SNMP协议配置功能,目前支持V2C、V3版本,同时网关的MIB库文件也可通过本页面进行在线下载。
图3-37 SNMP协议设定
在“集中管理”页面,可设定多台设备的集中管理功能。本网关可作为下级节点,主动增加上级节点信息。也可作为上级管理节点,将下级节点设备信息进行详细配置。
配置“上级节点”信息,只需知道上级节点设备IP地址即可,无需设定用户名和密码。
配置“下级节点”信息,需知道下级节点设备的IP地址,管理端口(通常为默认端口443)和下级节点设备的管理员用户名、密码。
图3-38 集中管理
集中管理下级节点配置完毕后,如下级节点设备与本网关通讯正常、用户名密码正确,则会在页面左侧菜单处多出下级节点菜单信息,展开后即可实现对下级节点设备的管理操作。
图3-39 集中管理界面展示
在“高级选项”页面中,可设定邮件发送配置信息和网关下载代理选项。
邮件通知项为设定邮件发送服务器端配置。
收信地址用于邮件接收人地址设定。
邮件发送服务器和收信地址配置完毕后,可通过“测试”和“日志”按钮查看配置信息是否正确。
此处邮件发送功能主要应用于网关风险分析报告的发送操作。
图3-40 邮件发送配置
“监控过滤-通用”为网关协议层病毒过滤策略设定页面,点击“增加”按钮,即可将病毒过滤策略应用到已增加的网络接口处(如网桥接口或监听口)。
图3-41 监控过滤策略
online模式主要应用于报警模式,不对病毒威胁做处置,应用场景常见为串行告警、旁路告警模式。
online模式下策略包括:报警、隔离、不过滤三项。
inline模式主要应用于防御模式,可对病毒威胁进行动作处置,应用场景常见为串行防御模式。
inline模式下策略包括:破坏、阻断、隔离、报警、不过滤五项。
在inline模式下,HTTP、FTP协议存在断点续传模式,勾选后可对断点续传场景下的病毒文件进行有效过滤。
图3-42 监控过滤策略-断点续传
在双链路环境中如出现链路会话不一致情况,防病毒网关可通过两台设备间的会话同步实现对病毒的有效监测与拦截。
配置步骤需要在两台网关的“网路配置”页面中单独增加会话同步接口和同步IP地址,然后在两台设备的“监控过滤-通用”页面,选择inline模式,选择同步接口信息,并填写另外一台设备的会话同步IP地址。
图3-43 监控过滤策略-会话同步
点击本页面的“提交样本”按钮,可在弹出的页面中上传可疑病毒文件,网关会对所提交的可疑样本进行检测,并通过“样本日志”进行反馈。
提交的样本支持恶意程序文件和包含攻击代码的PCAP网络包。
图3-44 提交样本
图3-45 提交样本检测结果
在“域名白名单”页面中,可实现对域名白名单放行操作,网关对白名单内的域名不做病毒过滤处置。
图3-46 域名白名单
在“病毒白名单”页面中,可实现对某病毒名称的白名单放行操作,网关将对此病毒名称事件不做病毒过滤处置。
图3-47 病毒白名单
在“扩展名过滤”页面中,用户可自定义对文件类型的过滤操作,网关对于增加的扩展名过滤将直接进行策略处置。
图3-48 病毒白名单
在“控制规则”页面中,用户可设定监控过滤协议层、IP、端口过滤规则,网关将依据控制规则进行协议层病毒的不过滤或网络层丢弃操作。控制规则支持的协议包括TCP、UDP、ICMP,动作包括不过滤、丢弃。
图3-49 控制规则
在“病毒引擎”页面中,网关提供了防病毒引擎的参数设定,如扫描超时时间、扫描文件大小。
图3-50 病毒引擎基础配置
在“当前被阻IP”页面中,网关将会呈现恶意通讯源地址信息和被网关抑制阻断的时长。在本页面中出现的IP地址,均命中了网关的通讯层过滤规则和“自动阻断-阻断参数”规则。
当前被阻IP可手段进行删除操作。
图3-51 当前被阻IP
在“当前服务器”页面中,网关将会呈现被恶意通讯攻击的目的地址及端口号,表明当前IP地址和端口正在遭受攻击。
图3-52 当前服务器
在“白名单”页面中,可为通讯层规则防护增加白名单策略,增加后的白名单规则网关将不对其进行威胁防护规则处置。
图3-53 威胁阻断防护规则
在“黑名单”页面中,网关会对于超频率的攻击者IP进行自动化黑名单操作。用户可手动删除黑名单内的IP。
黑名单页面会显示被阻断的IP地址和威胁类型以及创建时间、最后活跃时间信息。
在黑名单所触发的威胁类型中auth*为口令探测、认证连接威胁;threat*为恶意攻击威胁;SMTP*为邮件病毒威胁。
图3-54 威胁阻断防护规则
在“阻断参数”页面中,网关内置了一般威胁、口令探测、认证连接、SMTP病毒四大类威胁的阻断参数设定。在串行防御场景下,勾选以下选项后,网关将会依据相应事件类型的触发频率,进行阻断时长参数的抑制策略。
一般威胁:为蠕虫、木马、安全漏洞、安全管理、IP过滤,WEB攻击等通讯层攻击行为。
口令探测:针对具有认证机制的协议所发起的口令认探测、暴力破解行为。
认证连接:针对具有远程连接、远程操控行为的连接请求行为。
SMTP病毒:针对持续性邮件病毒附件攻击行为。
图3-55 阻断参数
垃圾邮件是防病毒网关针对邮件SMTP协议进行的内容过滤功能,此功能需通过管理员自行定义操作实现对邮件发送内容的安全过滤要求。
垃圾邮件的过滤策略包括阻断、报警、不过滤三项。
垃圾邮件的过滤策略位于“监控过滤-通用”策略页面处。
图3-56 垃圾邮件监控策略设定
在“IP白名单”页面中,可通过增加IP方式对垃圾邮件过滤策略进行白名单放行。
图3-57 垃圾邮件IP白名单
在“IP黑名单”页面中,可通过增加IP方式对垃圾邮件过滤策略进行黑名单过滤。
图3-58 垃圾邮件IP黑名单
在“地址白名单”页面中,可通过增加邮件地址方式对垃圾邮件过滤策略进行白名单放行。
图3-59 垃圾邮件地址白名单
在“地址黑名单”页面中,可通过增加邮件地址方式对垃圾邮件过滤策略进行黑名单过滤。
图3-60 垃圾邮件地址黑名单
在“主题关键字”页面中,可通过增加邮件发送主题关键字进行邮件内容过滤规则的设定,当邮件主题关键字命中本规则后,网关将依据过滤策略进行处置。
图3-61 邮件主题关键字设定
在“文件名过滤”页面中,可通过识别邮件附件名称进行过滤规则的设定,当邮件附件名命中本规则后,网关将依据过滤策略进行处置。
图3-62 邮件附件文件名过滤
隔离文件是当网关在“监控过滤-通用”页面中设定了“隔离”策略后,网关将会对病毒原始文件进行隔离存储,管理员可通过本页面进行病毒原始文件的下载。
在隔离文件页面中,将会显示隔离文件的名称、病毒名称、隔离时间和所命中的所属接口,也会呈现此事件所涉及的源地址和目的地址信息。
图3-63 隔离文件
防病毒网关的日志分析栏目包含网关对日志检索、展示、报告生成、参数设定等操作。
在“通用”页面中,可设定要展示的威胁数据类型和自定义的检索条件、报告导出设定,报告格式支持MHT、DOC、PDF导出。
图3-64 日志分析通用设定
网关默认日志记录时间为180天,如日志记录时间超过180天,网关则会覆盖180天以外的旧日志。
如要清除网关过滤日志,可点击“清理过滤日志”按钮进行操作。如设定为0天,则表示为清除所有过滤日志。
图3-65 过滤日志清除
如您想查看更多威胁类型的过滤日志,可点击“配置”按钮进行操作。也可在此页面设定网关日志保存时间。
所勾选的数据类型,将会在日志分析栏目进行数据呈现。
图3-66 日志配置设定
点击“导出安全报告”按钮,网关将会依据本页面的数据查询条件进行相应安全报告的导出,导出格式支持MHT、DOC、PDF三种格式。
风险分析是网关基于已产生的病毒事件和口令探测事件两类威胁数据所进行的风险分析功能,风险分析有别于安全报告,风险分析旨在精确定位已发生的风险事件。
风险分析内容可通过本页面手动点击“分析”按钮生成,也可以依据“系统配置-定时任务”风险分析时间设定进行自动生成,所生成的风险分析报告可通过本页面在线下载,也可通过邮件方式自动发送。
图3-67 风险分析
目前支持病毒和口令探测两种类型的风险分析。
点击“分析”按钮,本页面将会进行风险分析内容的呈现。如点击“分析”按钮后,页面无内容呈现,则表明已有数据无法生成风险内容。
点击“参数配置”按钮,即可看到网关缺省的风险分析参数基础配置项和邮件发送通知选项。
内部IP配置则内置了私网IP地址信息,当风险分析报告内容中包含了以下私网IP地址信息后,字体将会变红用以提示管理员。
图3-68 风险分析参数配置
点击“导出报告”按钮,即可选择报告格式类型。
图3-69 风险分析报告支持格式
在“类型统计”页面中,网关会以图形和列表形式对已有威胁类型数据进行威胁名称统计,也可点击威胁数据列表查看与此条数据有关的威胁信息。
图3-70 类型统计数据展示
图3-71 点击列表数据项进行详细展示
在“IP统计”页面中,网关会以图形和列表形式对已有威胁类型数据进行IP统计排名,也可点击威胁数据列表查看与此条数据有关的威胁信息。
图3-72 IP统计数据展示
图3-73 点击列表数据项进行详细展示
在“趋势分析”页面中,网关会以图形和列表形式对已有威胁类型数据进行不同时段的趋势展示。
威胁类型可自定义选择。
图3-74 趋势分析
在“明细查询”页面,网关提供了原始日志的格式化查询和详细查询功能。通过明细查询页面,管理员可查看每一种威胁类型的详细原始日志和处理策略信息。同时,本页面也提供了查询结果的数据导出,支持csv和pdf两种格式。
图3-75 明细查询
点击威胁类型,可选择威胁类型子项进行详细查询。
图3-76 威胁类型子项查询
图3-77 威胁类型子项查询
威胁类型的子项查询,可呈现详细的病毒日志,包括协议工作模式、URL路径。
图3-78 查询结果导出
防病毒网关部分功能参数配置需通过右键点击才能呈现或进行操作。
右键点击“本机”可显示防病毒网关的配置管理、SSH设置、工具下载、安装补丁包选项。
图3-79 本机右键管理
表3-3 本机右键管理描述
项目 |
描述 |
配置管理—导出全部配置 |
将导出网关所有配置项,包括功能配置、策略配置、规则配置。 |
配置管理—导入全部配置 |
将备份的网关所有配置项进行恢复、还原。 |
配置管理—恢复缺省配置 |
将网关所有配置信息进行初始化恢复。 |
SSH设置 |
开启网关SSH管理,但需确认“系统配置-访问控制”中是否允许SSH管理配置。 |
工具下载—putty.exe |
提供SSH管理工具。 |
安装补丁包 |
用于网关安全补丁安装接口。 |
网关支持对每项功能的配置导出与导入操作。您可在左侧导航菜单处进行右键点击操作。
图3-80 功能项配置导出、导入
表3-4 支持右键配置导出、导入的功能项
项目 |
描述 |
网络配置 |
支持右键 |
监控过滤 |
支持右键 |
自动阻断 |
支持右键 |
垃圾邮件 |
支持右键 |
网关支持对部分功能子项进行配置单独导出与导入。操作位置位于页面标签卡TAB标题处点击右键,将会出现导出、导入选项。
图3-81 功能子项配置导出、导入
表3-5 支持右键配置导出、导入的子功能项
项目 |
描述 |
系统配置栏目子项 |
用户管理、时间管理、定时任务、更新下载、访问控制,支持右键。 |
网络配置栏目子项 |
通用、路由、域名解析、SOC、SNMP、集中管理、高级选项,支持右键。 |
监控过滤栏目子项 |
通用、域名白名单、病毒白名单、扩展名过滤、控制规则、病毒引擎,支持右键。 |
自动阻断栏目子项 |
白名单、阻断参数,支持右键。 |
垃圾邮件栏目子项 |
IP白名单、IP黑名单、地址白名单、地址黑名单、主题关键字、文件名过滤,支持右键。 |
日志分析栏目子项 |
通用,支持右键。 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!