本举例是在F1000-AI-55的R8860版本上进行配置和验证的。
如图-10所示,内网用户通过Device连接Internet。通过配置防病毒功能,实现如下需求:
对内网用户数据报文进行防病毒检测和防御,若检测到病毒,则阻断此报文。
将编号为90321的预定义病毒特征设置为病毒例外。
将名称为人民网的应用设置为应用例外,当访问人民网时若检测到病毒,则允许此报文通过并进行日志告警。
图-1 安全策略应用DPI配置组网图
配置各接口IP地址,并将接口加入安全域
# 选择“网络 > 接口 > 接口”,进入接口配置页面。
# 单击接口GE1/0/1右侧的<编辑>按钮,参数配置如下:
安全域:Trust
选择“IPv4地址”页签,配置IPv4地址/掩码:10.1.1.1/24
其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
# 按照同样的步骤配置接口GE1/0/2,配置如下:
加入到安全域:Untrust
IP地址/掩码:20.1.1.1/24
其他的配置项保持默认情况即可
配置防病毒配置文件
# 选择“对象 > 应用安全 > 防病毒 > 配置文件”,单击<新建>按钮,进入新建防病毒配置文件页面。创建名为antivirus的防病毒配置文件。配置如下。
图-2 配置防病毒配置文件
# 协议中保持默认配置即可。
# 单击<确定>按钮,完成防病毒配置文件antivirus的配置。
配置安全策略
# 选择“策略 > 安全策略 > 安全策略”,单击<新建>按钮,选择新建策略,进入新建安全策略页面,添加安全策略。配置如下图所示:
图-3 在安全策略中引用防病毒策略(1)
图-4 在安全策略中引用防病毒策略(2)
# 其他配置项保持默认情况即可。
# 单击<确定>按钮,完成配置。
激活安全策略加速
# 选择“策略 > 安全策略 > 安全策略”,进入安全策略配置页面。
# 在安全策略页面,单击<立即加速>按钮,激活安全策略加速。
提交内容安全变更使其立即生效。
# 选择“策略 > 安全策略 > 安全策略”,进入安全策略配置页面。
# 在安全策略页面,单击<提交>按钮,激活内容安全。