Web方式:在安全策略中引用APT防御配置文件典型配置

使用版本

本举例是在M9000-X06E9671版本上进行配置和验证的。

组网需求

如下图所示,Device作为安全网关部署在内网边界。企业内网中部署了沙箱,且沙箱与Device路由可达。现需要Device与沙箱联动,保护内网用户免受APT攻击,当沙箱检测到APT攻击时,对攻击流量执行阻断操作。

图-1 在安全策略中引用APT防御配置文件配置组网图

 

注意事项

APT防御业务会占用较多的系统资源,仅建议内存在2GB以上的设备启用,其他设备请谨慎启用。

如果用户需要对APT防御功能检测到的攻击进行阻断时,则需要同时配置防病毒功能。当后续攻击流量流经设备时,设备将识别出攻击流量的应用层协议,并根据防病毒配置文件中对该协议报文执行的动作对攻击流量进行处理

配置步骤

  1. 配置接口IP地址

# 选择“网络 > 接口 > 接口”,进入接口配置页面。

# 单击接口GE1/0/1右侧的<编辑>按钮,配置如下。

# 单击<确定>按钮,完成接口IP地址和安全域的配置。

# 按照同样的步骤配置接口GE1/0/2,配置如下。

# 按照同样的步骤配置接口GE1/0/3,配置如下。

  1. 配置路由

本举例仅以静态路由为例,若实际组网中需采用动态路由,请配置对应的动态路由协议。

请根据组网图中规划的信息,配置静态路由,本举例假设到达外网Web Server的下一跳IP地址为20.1.1.2,实际使用中请以具体组网情况为准,具体配置步骤如下。

# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”,单击<新建>按钮,进入新建IPv4静态路由页面。

# 新建IPv4静态路由,并进行如下配置:

# 单击<确定>按钮,完成静态路由的配置。

  1. 配置沙箱联动功能

# 选择“对象 > 应用安全 > APT防御 > 沙箱”,进入沙箱页面,配置如下。

# 单击<确定>按钮,完成沙箱配置。

图-2 配置沙箱参数

 

  1. 配置APT防御配置文件

# 选择“对象 > 应用安全 > APT防御 > 配置文件”,单击<新建>按钮,进入新建APT防御配置文件页面,新建名为apt1APT防御配置文件,配置如下。

图-3 新建APT防御配置文件

 

# 单击<确定>按钮,完成APT防御配置文件的配置。

  1. 配置防病毒配置文件(配置步骤略)

APT防御功能需要与防病毒功能联动才能实现对报文的阻断。用户在配置防病毒配置文件时,需要根据实际需求,将指定协议的动作配置为阻断。本举例中仅使用缺省的防病毒配置文件default

  1. 配置安全策略

# 选择“策略 > 安全策略 > 安全策略”,单击<新建>按钮,选择新建策略,进入新建安全策略页面。

# 新建安全策略,并进行如下配置:

# 单击<确定>按钮,完成安全策略的配置。

# 按照同样的步骤,配置安全策略trust-untrust,并进行如下配置:

# 按照同样的步骤,配置安全策略local-dmz,使设备可将可疑文件上送到沙箱服务器进行检测,并进行如下配置:

# 按照同样的步骤,配置安全策略dmz-local,使沙箱服务器可将检测结果下发到设备,并进行如下配置:

  1. 激活配置

# 防病毒配置文件在被安全策略引用后,需要在安全策略页面单击<提交>按钮,使防病毒配置文件生效。

# 完成安全策略配置后,需要在安全策略页面单击<立即加速>按钮,激活安全策略加速。

  1. 开启日志采集功能

# 选择“系统 > 日志设置 > 基本设置”,选择存储空间设置页签,勾选沙箱日志右侧的复选框,开启沙箱日志采集功能。

验证配置

以上配置完成后,Device将与沙箱联动,保护内网用户免受APT攻击,当沙箱检测到APT攻击时,对后续攻击流量执行阻断操作。管理员可在“监控 > 安全日志 > 沙箱日志”中,查看沙箱日志信息。