• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

04-DPI深度安全配置指导

目录

07-防病毒配置

本章节下载 07-防病毒配置  (364.04 KB)

07-防病毒配置


1 防病毒

1.1  防病毒简介

防病毒功能是一种通过对报文应用层信息进行检测来识别和处理病毒报文的安全机制。防病毒功能凭借庞大且不断更新的病毒特征库可有效保护网络安全,防止病毒在网络中的传播。将具有防病毒功能的设备部署在企业网入口,可以将病毒隔离在企业网之外,为企业内网的数据安全提供坚固的防御。目前,该功能支持对基于FTP、HTTP、IMAP、POP3和SMTP的协议传输的报文进行防病毒检测。

1.1.1  应用场景

图1-1所示,在如下应用场景中,隔离内网和外网的网关设备上需要部署防病毒策略来保证内部网络安全:

·     内网用户需要访问外网资源,且经常需要从外网下载各种应用数据。

·     内网的服务器需要经常接收外网用户上传的数据。

图1-1 防病毒典型应用场景

 

当在设备上部署防病毒策略后,正常的用户数据可以进入内部网络,携带病毒的报文会被检测出来,并被采取阻断、重定向或生成告警信息等动作。

1.1.2  基本概念

1. 病毒特征

病毒特征是设备上定义的用于识别应用层信息中是否携带病毒的字符串,由系统中的病毒特征库预定义。

2. MD5规则

MD5规则是设备上定义的用于识别传输文件是否携带病毒的检测规则,由系统中的病毒特征库预定义。

3. 病毒例外

缺省情况下,设备对所有匹配病毒特征的报文均进行防病毒动作处理。但是,当管理员认为已检测到的某个病毒为误报时,可以将该病毒特征设置为病毒例外,之后携带此病毒特征的报文经过时,设备将对此报文执行允许动作。

4. 应用例外

缺省情况下,设备基于应用层协议中指定的动作对符合病毒特征的报文进行处理。

当需要对某一具体应用采取的动作与其所属应用层协议的动作不同时,可以将此应用设置为应用例外。例如,对HTTP协议采取的动作是允许,但是需要对HTTP协议上承载的游戏类应用采取阻断动作,这时就可以把所有游戏类的应用均设置为应用例外。

5. 防病毒动作

防病毒动作是指对符合病毒特征的报文做出的处理,包括如下几种类型:

·     告警:允许病毒报文通过,同时生成病毒日志。

·     阻断:禁止病毒报文通过,同时生成病毒日志。

·     重定向:将携带病毒的HTTP连接重定向到指定的URL,同时生成病毒日志。仅对上传方向有效。

其中,病毒日志支持输出到信息中心或以邮件的方式发送到指定的收件人邮箱。

1.1.3  防病毒检测方式

设备支持使用以下方式进行防病毒检测:

·     病毒特征匹配:设备将报文与病毒特征库中的病毒特征进行匹配,如果匹配成功,则表示该报文携带病毒。

·     MD5值匹配:设备首先对待检测文件进行MD5哈希运算,再将计算出的MD5值与特征库中的MD5规则进行匹配,如果匹配成功,则表示该文件携带病毒。

1.1.4  防病毒数据处理流程

设备上部署防病毒策略后,对接收到的用户数据报文处理流程如图1-2所示:

图1-2 防病毒数据处理流程图

 

防病毒功能是通过在DPI应用profile中引用防病毒策略,并在安全策略或对象策略中引用DPI应用profile来实现的,防病毒处理的整体流程如下:

(1)     设备对报文进行规则(即安全策略规则或对象策略规则)匹配:

如果规则引用了防病毒业务,则设备将继续识别此报文的应用层协议。

有关安全策略规则的详细介绍请参见“安全配置指导”中的“安全策略”;有关对象策略规则的详细介绍请参见“安全配置指导”中的“对象策略”。

(2)     设备判断报文的应用层协议是否为防病毒功能所支持,如果支持,则进行下一步处理;否则直接允许报文通过,不对其进行防病毒处理。

(3)     设备将报文同时与病毒特征库中的病毒特征和MD5规则进行匹配,任意一种匹配成功,则认为该报文携带病毒,并进行下一步处理;如果二者均匹配失败,则对该报文执行允许动作。

(4)     如果病毒报文符合病毒例外,则对此报文执行允许动作,否则继续进行下一步处理。

(5)     如果病毒报文符合应用例外,则执行应用例外的防病毒动作(告警、阻断和允许),否则执行报文所属应用层协议的防病毒动作(告警、阻断和重定向)。

1.1.5  病毒特征库升级与回滚

病毒特征库是用来对经过设备的报文进行病毒检测的资源库。随着互联网中病毒的不断变化和发展,需要及时升级设备中的病毒特征库,同时设备也支持病毒特征库回滚功能。

1. 病毒特征库升级

病毒特征库的升级包括如下几种方式:

·     定期自动在线升级:设备根据管理员设置的时间定期自动更新本地的病毒特征库。

·     立即自动在线升级:管理员手工触发设备立即更新本地的病毒特征库。

·     手动离线升级:当设备无法自动获取病毒特征库时,需要管理员先手动获取最新的病毒特征库,再更新设备本地的病毒特征库。

2. 病毒特征库回滚

如果管理员发现设备当前的病毒特征库对报文进行病毒检测的误报率较高或出现异常情况,可以将其回滚到出厂版本或上一版本。

1.2  防病毒的License要求

防病毒功能需要安装License才能使用。License过期后,防病毒功能可以采用设备中已有的病毒特征库正常工作,但无法升级特征库。关于License的详细介绍请参见“基础配置指导”中的“License管理”。

1.3  防病毒配置任务简介

防病毒配置任务如下:

(6)     配置防病毒策略

(7)     配置防病毒动作引用应用层检测引擎动作参数profile

(8)     在DPI应用profile中引用防病毒策略

(9)     激活防病毒策略和规则配置

(10)     在安全策略中引用防病毒业务

(11)     在对象策略中引用防病毒业务

(12)     配置病毒特征库升级和回滚

1.4  配置防病毒策略

1. 功能简介

在防病毒策略中可以配置防病毒的检测条件、对病毒报文的处理动作、病毒例外和应用例外等。

设备上的所有防病毒策略均使用当前系统中的病毒特征库对用户数据进行病毒检测和处理。

2. 配置限制和指导

NFS协议仅支持NFSv3版本;SMB协议支持SMBv1和SMBv2版本。

3. 配置步骤

(13)     进入系统视图。

system-view

(14)     创建防病毒策略,并进入防病毒策略视图。

anti-virus policy policy-name

缺省情况下,存在一个缺省防病毒策略,名称为default,且其不能被修改和删除。

(15)     (可选)配置防病毒策略描述信息。

description text

(16)     配置病毒检测的应用层协议类型。

inspect { ftp | http | imap | nfs | pop3 | smb | smtp } [ direction { both | download | upload } ] [ action { alert | block | redirect } ]

缺省情况下,设备对FTP、HTTP、IMAP、NFS和SMB协议在上传和下载方向传输的报文均进行病毒检测,对POP3协议在下载方向传输的报文进行病毒检测,对SMTP协议在上传方向传输的报文进行病毒检测。设备对FTP、HTTP、NFS和SMB协议报文的动作为阻断,对IMAP、SMTP和POP3协议报文的动作为告警。

(17)     (可选)配置病毒例外。

exception signature signature-id

(18)     (可选)配置应用例外并为其指定处理动作。

exception application application-name action { alert | block | permit }

(19)     配置有效病毒特征的最低严重级别。

signature severity { critical | high | medium } enable

缺省情况下,所有严重级别的病毒特征都处于生效状态。

1.5  配置防病毒动作引用应用层检测引擎动作参数profile

1. 功能简介

防病毒动作的具体执行参数(例如,邮件服务器的地址、输出日志的方式和对报文重定向的URL)由应用层检测引擎各动作参数profile来定义,可通过引用各动作参数proflle为防病毒动作提供执行参数。应用层检测引擎动作参数proflle的具体配置请参见“DPI深度安全配置指导”中的“应用层检测引擎”。

如果防病毒动作没有引用应用层检测引擎动作参数profile,或者引用的动作参数profile不存在,则使用系统中各动作参数的缺省值。

2. 配置步骤

(20)     进入系统视图。

system-view

(21)     配置防病毒动作引用应用层检测引擎动作参数profile。

anti-virus { email | logging | redirect } parameter-profile profile-name

缺省情况下,防病毒动作未引用应用层检测引擎动作参数profile。

1.6  在DPI应用profile中引用防病毒策略

1. 功能简介

DPI应用profile是一个安全业务的配置模板,为实现防病毒功能,必须在DPI应用profile中引用指定的防病毒策略。一个DPI应用profile中只能引用一个防病毒策略,如果重复配置,则新的配置会覆盖已有配置。

2. 配置步骤

(22)     进入系统视图。

system-view

(23)     进入DPI应用profile视图。

app-profile profile-name

关于该命令的详细介绍请参见“DPI深度安全命令参考”中的“应用层检测引擎”。

(24)     在DPI应用profile中引用防病毒策略。

anti-virus apply policy policy-name mode { alert | protect }

缺省情况下,DPI应用profile中未引用防病毒策略。

1.7  激活防病毒策略和规则配置

1. 功能简介

当防病毒策略和规则被创建、修改和删除后,需要配置此功能使其策略和规则配置生效。

2. 配置限制和指导

配置此功能会暂时中断所有DPI业务的处理,为避免重复配置此功能对DPI业务造成影响,请完成部署DPI各业务模块的策略和规则后统一配置此功能。

有关此功能的详细介绍请参见“DPI深度安全配置指导”中的“应用层检测引擎”。

3. 配置步骤

(25)     进入系统视图。

system-view

(26)     激活防病毒策略和规则配置。

inspect activate

缺省情况下,防病毒策略和规则被创建、修改和删除时不生效。

1.8  在安全策略中引用防病毒业务

(27)     进入系统视图。

system-view

(28)     进入安全策略视图。

security-policy { ip | ipv6 }

(29)     进入安全策略规则视图。

rule { rule-id | name name } *

(30)     配置安全策略规则的动作为允许。

action pass

缺省情况下,安全策略规则动作是丢弃。

(31)     配置安全策略规则引用DPI应用profile。

profile app-profile-name

缺省情况下,安全策略规则中未引用DPI应用profile。

1.9  在对象策略中引用防病毒业务

(32)     进入系统视图。

system-view

(33)     进入对象策略视图。

object-policy { ip | ipv6 } object-policy-name

(34)     在对象策略规则中引用DPI应用profile。

rule [ rule-id ] inspect app-profile-name

缺省情况下,在对象策略规则中未引用DPI应用profile。

(35)     退回系统视图。

quit

(36)     创建安全域间实例,并进入安全域间实例视图。

zone-pair security source source-zone-name destination destination-zone-name

有关安全域间实例的详细介绍请参见“安全配置指导”中的“安全域”。

(37)     应用对象策略。

object-policy apply { ip | ipv6 } object-policy-name

缺省情况下,安全域间实例内不应用对象策略。

1.10  配置病毒特征库升级和回滚

1.10.1  配置限制和指导

·     请勿删除设备存储介质根目录下的/dpi/文件夹,否则设备升级或回滚特征库会失败。

·     当系统内存使用状态处于告警门限状态时,请勿进行特征库升级或回滚,否则易造成设备特征库升级或回滚失败,进而影响防病毒的正常运行。有关内存告警门限状态的详细介绍请参见“基础配置指导”中的“设备管理”。

·     自动在线升级(包括定期自动在线升级和立即自动在线升级)防病毒特征库时,需要确保设备能通过静态或动态域名解析方式获得H3C官方网站的IP地址,并与之路由可达,否则设备升级防病毒特征库会失败。有关域名解析功能的配置请参见“三层技术-IP业务配置指导”中的“域名解析”。

1.10.2  配置定期自动在线升级病毒特征库

1. 功能简介

如果设备可以访问H3C官方网站,可以采用定期自动在线升级方式来对设备上的病毒特征库进行升级。

2. 配置步骤

(38)     进入系统视图。

system-view

(39)     开启定期自动在线升级病毒特征库功能,并进入自动在线升级配置视图。

anti-virus signature auto-update

缺省情况下,定期自动在线升级病毒特征库功能处于关闭状态。

(40)     配置定期自动在线升级病毒特征库的时间。

update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes

缺省情况下,设备在每天02:01:00至04:01:00之间自动升级病毒特征库。

1.10.3  立即自动在线升级病毒特征库

1. 功能简介

当管理员发现H3C官方网站上的特征库服务专区中的病毒特征库有更新时,可以采用立即自动在线升级方式来及时升级病毒特征库版本。

2. 配置步骤

(41)     进入系统视图。

system-view

(42)     立即自动在线升级病毒特征库。

anti-virus signature auto-update-now

1.10.4  手动离线升级病毒特征库

1. 功能简介

如果设备不能访问H3C官方网站上的特征库服务专区,管理员可以采用如下几种方式手动离线升级病毒特征库版本。

·     本地升级:使用本地保存的特征库文件升级系统上的病毒特征库版本。

·     FTP/TFTP升级:通过FTP或TFTP方式下载远程服务器上保存的特征库文件,并升级系统上的病毒特征库版本。

使用本地升级方式离线升级特征库版本时,特征库文件只能存储在当前主用设备上,否则设备升级特征库会失败。

2. 配置步骤

(43)     进入系统视图。

system-view

(44)     手动离线升级病毒特征库。

anti-virus signature update file-path

1.10.5  回滚病毒特征库

1. 功能简介

病毒特征库版本每次回滚前,设备都会备份当前版本。多次回滚上一版本的操作将会在当前版本和上一版本之间反复切换。例如,当前病毒特征库版本是V2,上一版本是V1。第一次执行回滚到上一版本的操作后,特征库替换成V1版本,再执行回滚上一版本的操作则特征库重新变为V2版本。

2. 配置步骤

(45)     进入系统视图。

system-view

(46)     回滚病毒特征库。

anti-virus signature rollback { factory | last }

1.11  防病毒显示和维护

完成上述配置后,在任意视图下执行display命令可以显示配置后防病毒的运行情况,通过查看显示信息验证配置的效果。

表1-1 防病毒显示和维护

操作

命令

显示病毒特征信息

display anti-virus signature [ severity { critical | high | low | medium } ]

显示病毒特征家族信息

display anti-virus signature family-info

显示病毒特征库版本信息

display anti-virus signature library

显示防病毒统计信息

display anti-virus statistics [ policy policy-name ] [ slot slot-number ]

 

1.12  防病毒典型配置举例

1.12.1  在安全策略中引用缺省防病毒策略配置举例

1. 组网需求

图1-3所示,Device分别通过Trust安全域和Untrust安全域与局域网和Internet相连。现要求使用设备上的缺省防病毒策略对用户数据报文进行防病毒检测和防御。

2. 组网图

图1-3 在安全策略中引用缺省防病毒策略配置组网图

3. 配置步骤

(47)     配置各接口的IP地址(略)

(48)     创建安全域并将接口加入安全域

# 向安全域Trust中添加接口GigabitEthernet1/0/1。

<Device> system-view

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

# 向安全域Untrust中添加接口GigabitEthernet1/0/2。

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

(49)     配置对象组

# 创建名为antivirus的IP地址对象组,并定义其子网地址为192.168.1.0/24。

[Device] object-group ip address antivirus

[Device-obj-grp-ip-antivirus] network subnet 192.168.1.0 24

[Device-obj-grp-ip-antivirus] quit

(50)     配置DPI应用profile

# 创建名为sec的DPI应用profile,并进入DPI应用profile视图。

[Device] app-profile sec

# 在DPI应用profile sec中应用缺省防病毒策略default,并指定该防病毒策略的模式为protect。

[Device-app-profile-sec] anti-virus apply policy default mode protect

[Device-app-profile-sec] quit

# 激活DPI各业务模块的策略和规则配置。

[Device] inspect activate

(51)     配置安全策略引用防病毒业务

# 进入IPv4安全策略视图

[Device] security-policy ip

# 创建名为antivirus的安全策略规则,过滤条件为:源安全域Trust、源IP地址对象组antivirus、目的安全域Untrust。动作为允许,且引用的DPI应用profile为sec。

[Device-security-policy-ip] rule name antivirus

[Device-security-policy-ip-10-antivirus] source-zone trust

[Device-security-policy-ip-10-antivirus] source-ip antivirus

[Device-security-policy-ip-10-antivirus] destination-zone untrust

[Device-security-policy-ip-10-antivirus] action pass

[Device-security-policy-ip-10-antivirus] profile sec

[Device-security-policy-ip-10-antivirus] quit

# 激活安全策略配置。

[Device-security-policy-ip] accelerate enhanced enable

[Device-security-policy-ip] quit

4. 验证配置

以上配置生效后,使用缺省防病毒策略可以对已知攻击类型的网络攻击进行防御。

1.12.2  在安全策略中引用自定义防病毒策略配置举例

1. 组网需求

图1-4所示,Device分别通过Trust安全域和Untrust安全域与局域网和Internet相连。现有组网需求如下:

·     将编号为2的预定义病毒特征设置为病毒例外。

·     将名称为139Email的应用设置为应用例外。

2. 组网图

图1-4 在安全策略中引用自定义防病毒配置组网图

3. 配置步骤

(52)     配置各接口的IP地址(略)

(53)     创建安全域并将接口加入安全域

# 向安全域Trust中添加接口GigabitEthernet1/0/1。

<Device> system-view

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

# 向安全域Untrust中添加接口GigabitEthernet1/0/2。

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

(54)     配置对象组

# 创建名为antivirus的IP地址对象组,并定义其子网地址为192.168.1.0/24。

[Device] object-group ip address antivirus

[Device-obj-grp-ip-antivirus] network subnet 192.168.1.0 24

[Device-obj-grp-ip-antivirus] quit

(55)     配置防病毒功能

# 创建一个名称为antivirus1的防病毒策略,并进入防病毒策略视图。

[Device] anti-virus policy antivirus1

# 将编号为2的预定义病毒特征设置为病毒例外。

[Device-anti-virus-policy-antivirus1] exception signature 2

# 将名称为139Email的应用设置为应用例外,并设置其动作为告警。

[Device-anti-virus-policy-antivirus1] exception application 139Email action alert

[Device-anti-virus-policy-antivirus1] quit

(56)     配置DPI应用profile

# 创建名为sec的DPI应用profile,并进入DPI应用profile视图。

[Device] app-profile sec

# 在DPI应用profile sec中应用防病毒策略antivirus1,并指定该防病毒策略的模式为protect。

[Device-app-profile-sec] anti-virus apply policy antivirus1 mode protect

[Device-app-profile-sec] quit

# 激活DPI各业务模块的策略和规则配置。

[Device] inspect activate

(57)     配置安全策略引用防病毒业务

# 进入IPv4安全策略视图

[Device] security-policy ip

# 创建名为antivirus的安全策略规则,过滤条件为:源安全域Trust、源IP地址对象组antivirus、目的安全域Untrust。动作为允许,且引用的DPI应用profile为sec。

[Device-security-policy-ip] rule name antivirus

[Device-security-policy-ip-10-antivirus] source-zone trust

[Device-security-policy-ip-10-antivirus] source-ip antivirus

[Device-security-policy-ip-10-antivirus] destination-zone untrust

[Device-security-policy-ip-10-antivirus] action pass

[Device-security-policy-ip-10-antivirus] profile sec

[Device-security-policy-ip-10-antivirus] quit

# 激活安全策略配置。

[Device-security-policy-ip] accelerate enhanced enable

[Device-security-policy-ip] quit

4. 验证配置

以上配置生效后,在防病毒策略antivirus1中可看到以上有关防病毒策略的配置。

1.12.3  手动离线升级病毒特征库配置举例

1. 组网需求

图1-5所示,位于Trust安全域的局域网用户通过Device可以访问Untrust安全域的Internet资源,以及DMZ安全域的FTP服务器。FTP服务器根目录下保存了最新的病毒特征库文件anti-virus-1.0.8-encrypt.dat,FTP服务器的登录用户名和密码分别为anti-virus和123。现需要手动离线升级病毒特征库,加载最新的病毒特征。

2. 组网图

图1-5 手动离线升级病毒特征库配置组网图

3. 配置步骤

(58)     配置各接口的IP地址(略)

(59)     配置安全策略保证Device与DMZ安全域之间互通

# 向安全域DMZ中添加接口GigabitEthernet1/0/3。

[Device] security-zone name dmz

[Device-security-zone-DMZ] import interface gigabitethernet 1/0/3

[Device-security-zone-DMZ] quit

# 进入IPv4安全策略视图

[Device] security-policy ip

# 创建名为update的安全策略规则,过滤条件为:源安全域Local和DMZ、目的安全域DMZ和Local,动作为允许。

[Device-security-policy-ip] rule name update

[Device-security-policy-ip-11-update] source-zone local

[Device-security-policy-ip-11-update] source-zone dmz

[Device-security-policy-ip-11-update] destination-zone dmz

[Device-security-policy-ip-11-update] destination-zone local

[Device-security-policy-ip-11-update] action pass

[Device-security-policy-ip-11-update] quit

# 激活安全策略配置。

[Device-security-policy-ip] accelerate enhanced enable

[Device-security-policy-ip] quit

(60)     手动升级防病毒特征库

# 采用FTP方式手动离线升级设备上的病毒特征库,被加载的病毒特征库文件名为anti-virus-1.0.8-encrypt.dat。

[Device] anti-virus signature update ftp:// anti-virus:123@192.168.2.4/anti-virus-1.0.8-encrypt.dat

4. 验证配置

病毒特征库升级后,可以通过display anti-virus signature library命令查看当前特征库的版本信息。

1.12.4  定时自动升级病毒特征库配置举例

1. 组网需求

图1-6所示,位于Trust安全域的局域网用户通过Device可以访问Untrust安全域的Internet资源。现要求每周六上午九点前后半小时内,定期自动在线升级设备的病毒特征库。

2. 组网图

图1-6 定时自动升级病毒特征库配置组网图

3. 配置步骤

(61)     配置各接口的IP地址(略)

(62)     配置设备解析H3C官方网站对应IP地址的域名解析功能(略)

(63)     配置安全策略保证Trust安全域的局域网用户可以访问Untrust安全域的Internet资源(略)

(64)     配置定期自动在线升级病毒特征库

# 开启设备自动升级病毒特征库功能,并进入自动升级配置视图。

<Device> system-view

[Device] anti-virus signature auto-update

# 设置定时自动升级病毒特征库计划为:每周六上午9:00:00自动升级,抖动时间为60分钟。

[Device-anti-virus-autoupdate] update schedule weekly sat start-time 9:00:00 tingle 60

[Device-anti-virus-autoupdate] quit

4. 验证配置

设置的定期自动在线升级病毒特征库时间到达后,可以通过display anti-virus signature library命令查看当前特征库的版本信息

1.12.5  在对象策略中引用缺省防病毒策略配置举例

1. 组网需求

图1-7所示,Device分别通过Trust安全域和Untrust安全域与局域网和Internet相连。现要求使用设备上的缺省防病毒策略对用户数据报文进行防病毒检测和防御。

2. 组网图

图1-7 在对象策略中引用缺省防病毒策略配置组网图

3. 配置步骤

(65)     配置各接口的IP地址(略)

(66)     创建安全域并将接口加入安全域

# 向安全域Trust中添加接口GigabitEthernet1/0/1。

<Device> system-view

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

# 向安全域Untrust中添加接口GigabitEthernet1/0/2。

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

(67)     配置对象组

# 创建名为antivirus的IP地址对象组,并定义其子网地址为192.168.1.0/24。

[Device] object-group ip address antivirus

[Device-obj-grp-ip-antivirus] network subnet 192.168.1.0 24

[Device-obj-grp-ip-antivirus] quit

(68)     配置DPI应用profile

# 创建名为sec的DPI应用profile,并进入DPI应用profile视图。

[Device] app-profile sec

# 在DPI应用profile sec中应用缺省防病毒策略default,并指定该防病毒策略的模式为protect。

[Device-app-profile-sec] anti-virus apply policy default mode protect

[Device-app-profile-sec] quit

# 激活DPI各业务模块的策略和规则配置。

[Device] inspect activate

(69)     配置对象策略

# 创建名为antivirus的IPv4对象策略,并进入对象策略视图。

[Device] object-policy ip antivirus

# 对源IP地址对象组antivirus对应的报文进行深度检测,引用的DPI应用profile为sec。

[Device-object-policy-ip-antivirus] rule inspect sec source-ip antivirus destination-ip any

[Device-object-policy-ip-antivirus] quit

(70)     配置安全域间实例并应用对象策略

# 创建源安全域Trust到目的安全域Untrust的安全域间实例,并应用对源IP地址对象组antivirus对应的报文进行深度检测的对象策略antivirus。

[Device] zone-pair security source trust destination untrust

[Device-zone-pair-security-Trust-Untrust] object-policy apply ip antivirus

[Device-zone-pair-security-Trust-Untrust] quit

4. 验证配置

以上配置生效后,使用缺省防病毒策略可以对已知攻击类型的网络攻击进行防御。

1.12.6  在对象策略中引用自定义防病毒策略配置举例

1. 组网需求

图1-8所示,Device分别通过Trust安全域和Untrust安全域与局域网和Internet相连。现有组网需求如下:

·     将编号为2的预定义病毒特征设置为病毒例外。

·     将名称为139Email的应用设置为应用例外。

2. 组网图

图1-8 在对象策略中引用自定义防病毒配置组网图

3. 配置步骤

(71)     配置各接口的IP地址(略)

(72)     创建安全域并将接口加入安全域

# 向安全域Trust中添加接口GigabitEthernet1/0/1。

<Device> system-view

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

# 向安全域Untrust中添加接口GigabitEthernet1/0/2。

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

(73)     配置对象组

# 创建名为antivirus的IP地址对象组,并定义其子网地址为192.168.1.0/24。

[Device] object-group ip address antivirus

[Device-obj-grp-ip-antivirus] network subnet 192.168.1.0 24

[Device-obj-grp-ip-antivirus] quit

(74)     配置防病毒功能

# 创建一个名称为antivirus1的防病毒策略,并进入防病毒策略视图。

[Device] anti-virus policy antivirus1

# 将编号为2的预定义病毒特征设置为病毒例外。

[Device-anti-virus-policy-antivirus1] exception signature 2

# 将名称为139Email的应用设置为应用例外,并设置其动作为告警。

[Device-anti-virus-policy-antivirus1] exception application 139Email action alert

[Device-anti-virus-policy-antivirus1] quit

(75)     配置DPI应用profile

# 创建名为sec的DPI应用profile,并进入DPI应用profile视图。

[Device] app-profile sec

# 在DPI应用profile sec中应用防病毒策略antivirus1,并指定该防病毒策略的模式为protect。

[Device-app-profile-sec] anti-virus apply policy antivirus1 mode protect

[Device-app-profile-sec] quit

# 激活DPI各业务模块的策略和规则配置。

[Device] inspect activate

(76)     配置对象策略

# 创建名为antivirus的IPv4对象策略,并进入对象策略视图。

[Device] object-policy ip antivirus

# 对源IP地址对象组antivirus对应的报文进行深度检测,引用的DPI应用profile为sec。

[Device-object-policy-ip-antivirus] rule inspect sec source-ip antivirus destination-ip any

[Device-object-policy-ip-antivirus] quit

(77)     配置安全域间实例并应用对象策略

# 创建源安全域Trust到目的安全域Untrust的安全域间实例,并应用对源IP地址对象组antivirus对应的报文进行深度检测的对象策略antivirus。

[Device] zone-pair security source trust destination untrust

[Device-zone-pair-security-Trust-Untrust] object-policy apply ip antivirus

[Device-zone-pair-security-Trust-Untrust] quit

4. 验证配置

以上配置生效后,在防病毒策略antivirus1中可看到以上有关防病毒策略的配置。

1.12.7  手动离线升级病毒特征库配置举例

1. 组网需求

图1-9所示,位于Trust安全域的局域网用户通过Device可以访问Untrust安全域的Internet资源,以及DMZ安全域的FTP服务器。FTP服务器根目录下保存了最新的病毒特征库文件anti-virus-1.0.8-encrypt.dat,FTP服务器的登录用户名和密码分别为anti-virus和123。现有组网需求如下:

手动离线升级病毒特征库,加载最新的病毒特征。

2. 组网图

图1-9 手动离线升级病毒特征库配置组网图

3. 配置步骤

(78)     配置各接口的IP地址(略)

(79)     配置Device与FTP互通

# 配置ACL 2001,定义规则允许所有报文通过。

<Device> system-view

[Device] acl basic 2001

[Device-acl-ipv4-basic-2001] rule permit

[Device-acl-ipv4-basic-2001] quit

# 向安全域DMZ中添加接口GigabitEthernet1/0/3。

[Device] security-zone name dmz

[Device-security-zone-DMZ] import interface gigabitethernet 1/0/3

[Device-security-zone-DMZ] quit

# 创建源安全域Local到目的安全域DMZ的安全域间实例,允许Local域用户访问DMZ域的报文可以通过。

[Device] zone-pair security source local destination dmz

[Device-zone-pair-security-Local-DMZ] packet-filter 2001

[Device-zone-pair-security-Local-DMZ] quit

# 创建源安全域DMZ到目的安全域Local的安全域间实例,允许DMZ域用户访问Local域的报文可以通过。

[Device] zone-pair security source dmz destination local

[Device-zone-pair-security-DMZ-Local] packet-filter 2001

[Device-zone-pair-security-DMZ-Local] quit

(80)     手动升级防病毒特征库

# 采用FTP方式手动离线升级设备上的病毒特征库,被加载的病毒特征库文件名为anti-virus-1.0.8-encrypt.dat。

[Device] anti-virus signature update ftp:// anti-virus:123@192.168.2.4/anti-virus-1.0.8-encrypt.dat

4. 验证配置

病毒特征库升级后,可以通过display anti-virus signature library命令查看当前特征库的版本信息。

1.12.8  定时自动升级病毒特征库配置举例

1. 组网需求

图1-10所示,位于Trust安全域的局域网用户通过Device可以访问Untrust安全域的Internet资源。现要求每周六上午九点前后半小时内,定期自动在线升级设备的病毒特征库。

2. 组网图

图1-10 定时自动升级病毒特征库配置组网图

3. 配置步骤

(81)     配置各接口的IP地址(略)

(82)     配置设备解析H3C官方网站对应IP地址的域名解析功能(略)

(83)     配置对象策略保证Trust安全域的局域网用户可以访问Untrust安全域的Internet资源(略)

(84)     配置定期自动在线升级病毒特征库

# 开启设备自动升级病毒特征库功能,并进入自动升级配置视图。

<Device> system-view

[Device] anti-virus signature auto-update

# 设置定时自动升级病毒特征库计划为:每周六上午9:00:00自动升级,抖动时间为60分钟。

[Device-anti-virus-autoupdate] update schedule weekly sat start-time 9:00:00 tingle 60

[Device-anti-virus-autoupdate] quit

4. 验证配置

设置的定期自动在线升级病毒特征库时间到达后,可以通过display anti-virus signature library命令查看当前特征库的版本信息。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们