登录

欢迎user新华三退出

简体中文

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置举例(R6618)-5W100

目录

55-病毒防护功能典型配置举例

本章节下载 55-病毒防护功能典型配置举例  (492.33 KB)

55-病毒防护功能典型配置举例

目  录

1 简介

2 配置前提

3 使用限制

4 配置举例

4.1 病毒防护配置举例

4.1.1 组网需求

4.1.2 配置思路

4.1.3 使用版本

4.1.4 配置步骤

4.1.5 验证配置

4.1.6 配置注意事项

4.2 病毒MD5白名单配置举例

4.2.1 组网需求

4.2.2 配置思路

4.2.3 使用版本

4.2.4 配置步骤

4.2.5 验证配置

4.3 病毒域名白名单配置举例

4.3.1 组网需求

4.3.2 配置思路

4.3.3 使用版本

4.3.4 配置步骤

4.3.5 验证配置

 

1  简介

本文档介绍设备的病毒防护配置举例,设备可以针对内外网入口处,进行实时的病毒扫描,将外来病毒隔离在内网之外,实现工作站被动防御病毒之外的主动病毒防护,我们可以在诸如HTTP、FTP、IMAP、POP3、SMTP等应用协议时进行文件扫描。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解病毒防护特性。

3  使用限制

·     压缩包最大解压层数为20层。

·     病毒文件大小小于2M。

·     不支持rar文件格式解压。

4  配置举例

4.1  病毒防护配置举例

4.1.1  组网需求

图1所示,某公司内网存在两台服务器,测试设备可以针对内外网入口处进行实时病毒扫描,实现服务器主动病毒防护功能,模拟测试服务器通过FTP进行下载带有病毒文件操作或局域网内上传带有病毒文件操作。

图1 病毒防护测试组网图

 

4.1.2  配置思路

·     配置防病毒设定,设置病毒文件扫描类型

·     配置安全策略,启用病毒防护功能

4.1.3  使用版本

本举例是在R6618版本上进行配置和验证的。

4.1.4  配置步骤

1. 配置防病毒设定,设置病毒文件扫描类型

图2所示,进入“策略配置 >  安全设置 > 病毒防护 > 防病毒设定”,勾选<启用解压>,选择最大解压层数,选择扫描文件类型或勾选<扫描所有文件>。

图2 配置防病毒设定

 

2. 配置安全策略,启用病毒防护功能

图3所示,进入“策略配置>控制策略”,进入控制策略页面,新建策略,病毒防护子菜单中启用功能并选择防护项,完成后点击提交。

图3 配置安全策略

 

4.1.5  验证配置

(1)     验证病毒防护功能

在导航栏中选择“数据中心>日志中心>安全日志>病毒防护日志”,进入病毒防护日志页面,可以查看到病毒防护日志信息。

图4 病毒防护日志查看

 

4.1.6  配置注意事项

·     及时升级最新规则库。

·     防护策略开启并引用。

·     匹配策略IP端口的流量通过病毒防护系统转发。

 

4.2  病毒MD5白名单配置举例

4.2.1  组网需求

图5所示,某公司内网存在研发网段和测试网段,IP地址分别为172.16.1.0/24和172.16.2.0/24。使用设备的ge1和ge2接口通过路由模式部署在网络中,测试网段和研发网段之间通过ftp\http\smtp\pop3\imap方式传输相关文件,在设备上开启病毒防护功能,个别文件在传输时被误识别成病毒被阻断时,需要通过病毒MD5白名单放开。

图5 病毒MD5白名单组网图

 

 

4.2.2  配置思路

·     按照组网需求组网

·     配置基础网络

·     配置病毒防护策略

·     配置防病毒设定

·     配置病毒MD5白名单

4.2.3  使用版本

本举例是在R6618版本上进行配置和验证的。

4.2.4  配置步骤

(1)     配置基础网络

进入“网络配置>接口配置”页面,如图6所示,按组网图配置接口地址。

图6 配置接口地址

进入“网络配置>路由管理>静态路由”页面,如图7所示,配置静态缺省路由。

图7 配置静态路由

进入“策略配置>NAT转换策略>源NAT”页面,如图8所示,配置源NAT策略。

图8 配置源NAT

 

(2)     配置病毒防护策略

进入“策略配置>控制策略”页面,如图9所示,配置病毒防护策略。

图9 配置病毒防护策略

 

(3)     配置防病毒设定

进入“策略配置>安全设置>病毒防护>防病毒设定”页面,如图10所示,配置防病毒设定功能。  

图10 配置防病毒设定

 

(4)     配置MD5白名单

进入“策略配置>安全设置>病毒防护>防病毒设定>MD5白名单”页面,如图11所示,配置MD5白名单(此步骤也可在验证病毒阻断时再进行配置,因为需要确认被误阻断的病毒文件并获取其MD5值)。

图11 配置MD5白名单

4.2.5  验证配置

(1)     测试网段通过HTTP方式从研发网段的服务器下载带病毒文件时被阻断,产生病毒日志。

查看病毒防护结果统计,没有命中MD5白名单统计。

图12 查看AV病毒防护结果

查看设备上病毒日志。

图13 病毒防护日志

 

(2)     计算该文件的MD5值并配置病毒MD5白名单。

图14 配置MD5白名单

 

(3)     使用测试网段的PC,将浏览器缓存清除后再次下载该文件,文件可以正常下载,不会被病毒防护阻断,也不会产生病毒日志。

查看病毒防护结果统计,有命中MD5白名单统计。

图15 下载文件名单MD5白名单

 

4.3  病毒域名白名单配置举例

4.3.1  组网需求

如下图所示,某公司内网存在研发网段和测试网段,IP地址分别为172.16.1.0/24和172.16.2.0/24。使用设备的的ge1和ge2接口通过路由模式部署在网络中,测试网段或研发网段通过HTTP\HTTPS方式访问恶意域名,在设备上开启病毒防护的域名检测功能,非恶意域名被误识别成病毒被阻断时,需要通过病毒域名白名单放开。

图16 病毒域名白名单组网图

 

 

4.3.2  配置思路

(1)     按照组网需求组网

(2)     配置基础网络

(3)     配置病毒防护策略

(4)     配置防病毒设定

(5)     配置病毒域名白名单

4.3.3  使用版本

本举例是在R6618版本上进行配置和验证的。

4.3.4  配置步骤

(1)     配置基础网络

进入“网络配置>接口配置”页面,按组网图配置接口地址。

图17 配置接口地址

 

进入“网络配置>路由管理>静态路由”页面,配置静态缺省路由。

图18 配置静态路由

进入“策略配置>NAT转换策略>源NAT”页面,配置源NAT策略。

图19 配置源NAT

 

(2)     配置病毒防护策略

进入“策略配置>控制策略”页面,配置病毒防护策略。

图20 配置病毒防护策略

 

(3)     配置防病毒设定

进入“策略配置>安全设置>病毒防护>防病毒设定”页面,配置防病毒设定功能。

图21 配置防病毒设定

 

(4)     配置域名白名单

进入“策略配置>安全设置>病毒防护>防病毒设定>域名白名单”页面,配置域名白名单(此步骤也可在验证病毒阻断时再进行配置,因为需要确认流量是病毒防护被误阻断的)。

图22 配置域名白名单

4.3.5  验证配置

内网用户通过浏览器访问恶意网站时被病毒防护功能阻断,产生病毒日志。

(1)     PC访问域名网页被病毒防护功能阻断。

图23 PC访问域名网页被阻断

 

(2)     查看病毒防护结果统计,命中恶意域名统计。

图24 查看AV病毒防护结果

 

(3)     查看设备上病毒日志。

图25 病毒防护日志

(4)     配置病毒域名白名单(可选)

图26 配置域名白名单

 

(5)     使用测试网段的PC,将浏览器缓存清除后再次访问该域名,网页可以正常访问,不会被病毒防护阻断,也不会产生病毒日志。

PC再次访问域名网页可以正常访问。查看病毒防护结果统计,有命中域名白名单统计。

图27 访问匹配域名白名单中的域名成功匹配域名白名单

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们