威胁情报

IP信誉

特性简介

IP信誉功能用于根据本地IP信誉中记录的IP地址信息对网络流量进行过滤。本地IP信誉包括设备加载的IP信誉特征库以及云端服务器历史查询结果，即本地IP信誉缓存。

IP信誉特征库

IP信誉特征库主要是具有僵尸主机DDoS攻击、命令注入攻击、木马下载和端口扫描等风险的IP地址集合。特征库中包含每个IP地址的攻击类型以及攻击类型的建议动作和是否记录日志等信息。

云端服务器

云端服务器向设备提供IP信誉云端查询功能，用于扩充本地加载的IP信誉特征库。当IP信誉特征库无法匹配报文中的IP地址信息时，可通过IP信誉云端查询功能，将IP地址信息上送云端服务器进行查询。云端服务器完成检测后，会将检测结果发送给设备，设备会将检测结果保存到本地IP信誉缓存中，便于后续报文直接在本地进行IP信誉匹配，而不必再上送云端服务器查询。

攻击类型动作

攻击类型动作是指当报文的源/目的IP地址命中本地IP信誉后，设备对报文执行的动作。支持的动作类型为丢弃和允许，并支持日志记录功能。

本地IP信誉中，一个IP地址可对应多种攻击分类，每种攻击分类都有对应执行的动作。

当IP地址只属于一种攻击分类时，设备将对匹配上该IP地址的报文执行攻击分类对应的动作；当IP地址属于多种攻击分类时，设备将对匹配上该IP地址的报文执行多种攻击分类中优先级最高的动作。其中，动作的优先级从高到底依次为：丢弃>允许。

只要IP地址所属的任一攻击分类配置了日志动作，则对匹配上该IP地址的报文执行记录日志动作。

IP例外

若报文的源/目的IP地址与例外IP地址匹配成功，则设备直接放行该报文，不再进行后续IP信誉的检测。

加入/移出黑名单

设备支持将IP信誉库中的IP地址手工加入或移出黑名单，并根据IP地址的方向属性分别加入源地址/目的地址黑名单。

IP信誉库中的IP地址均为公网地址，使用IP信誉功能添加的黑名单表项VRF为公网。

黑名单的默认老化时间为7天。如需修改，请到“策略 > 主动防护 > 黑名单”页面进行相关操作。

有关黑名单的详细介绍，请参见“攻击防范联机帮助”。

IP信誉的报文处理流程

IP信誉对报文的处理流程如图-1所示：

图-1 IP信誉的报文处理流程图

IP信誉功能对报文的处理过程如下：

1. 设备将报文的源IP地址和目的IP地址与例外IP地址进行匹配。任何一个IP地址与例外IP地址匹配成功，均放行报文。如果匹配失败，则进入下一步处理。

2. 设备将报文的源IP地址和目的IP地址与本地IP信誉进行匹配。

   本地IP信誉中的IP地址具有方向属性，包含源、目的和双向（即既可作为源地址也可作为目的地址）。仅当报文的IP地址与本地IP信誉的IP地址和方向属性均一致时，才认为匹配成功（如果本地IP信誉中IP地址的方向属性是双向，则报文的源IP地址和目的IP地址均可匹配成功）。

   设备将根据匹配结果执行如下操作：

   • 如果匹配成功，设备将执行本地IP信誉中IP地址所属攻击分类的动作，设备支持的攻击分类动作如下：

     • 若动作为“允许”，则设备将允许此报文通过。

     • 若动作为“丢弃”，则设备将丢弃此报文。

     • 若动作为“日志”，则设备将记录IP信誉日志。

   • 如果匹配失败，设备将判断是否已开启云端查询功能。如果已开启，则放行报文并将IP地址信息上送云端服务器进行查询，设备会将服务器返回的查询结果保存到本地IP信誉缓存中，便于后续报文在本地进行IP信誉匹配，而不必再上送云端服务器；如果未开启，则直接放行报文。

vSystem相关说明

非缺省vSystem对于本特性的支持情况，请以页面的实际显示为准。

License支持情况

IP信誉功能需要购买并正确安装威胁情报License后才能使用。License过期后，IP信誉功能可以使用设备中已有的特征库正常工作，但无法升级到License有效期之后发布的新版本的特征库。同时，云端查询功能也不可用。关于License的详细介绍请参见“License联机帮助”。

使用限制和注意事项

• 关闭Top统计功能后，统计信息将自动清空。

• 使用IP信誉功能添加的源地址黑名单，不携带DS-Lite对端地址等信息，如需修改，请到“策略 > 主动防护 > 黑名单”页面进行相关操作。

• 启用IP信誉云端查询功能前，请先到“对象 > 应用安全 > 云端服务器”页面，确认云端服务器处于“已连接”状态。如果连接状态异常，可单击<检查>按钮，根据提示信息进行排查。

• 当设备中所有的Context下都关闭了IP信誉云端查询功能时，设备会清空本地所有IP信誉缓存。

• 当前系统时间需要自动同步网络时间。

配置指南

配置准备

开启IP信誉功能

开启IP信誉功能的具体配置步骤如下：

1. 选择“策略 > 主动防护 > 威胁情报”。

2. 在IP信誉区域，单击“IP信誉功能”后的划选按钮，开启IP信誉功能。

   图-2 IP信誉功能

   

3. 单击<IP地址查询>按钮，进入IP地址查询页面，在输入框中输入查询的IP地址，单击<查询>按钮，可以查询指定IP地址的相关信息。也可将指定的IP地址加入/移出黑名单和IP例外。

   图-3 IP地址查询

   

开启IP信誉云端查询功能

开启IP信誉云端查询功能的具体配置步骤如下:

1. 选择“策略 > 主动防护 > 威胁情报”。

2. 在IP信誉区域，单击“IP信誉功能”后的划选按钮，开启IP信誉功能。

3. 在IP信誉区域，单击“开启IP信誉云端查询功能”后的划选按钮，开启IP信誉云端查询功能。

   图-4 IP信誉云端查询功能

   

开启Top统计功能

开启Top统计功能的具体配置步骤如下：

1. 选择“策略 > 主动防护 > 威胁情报”。

2. 在IP信誉区域，单击“IP信誉功能”后的划选按钮，开启IP信誉功能。

3. 单击“IP地址命中统计功能”后的划选按钮，开启IP信誉Top统计功能。

   图-5 IP地址命中统计功能

   

4. 单击<Top统计>按钮，进入Top统计页面，配置统计条件后，可获取到命中IP信誉库的IP地址统计排名信息。也可将指定的IP地址加入/移出黑名单和IP例外。

   图-6 Top统计

   

配置攻击类型动作

配置攻击类型动作的具体配置步骤如下：

1. 选择“策略 > 主动防护 > 威胁情报”。

2. 在IP信誉区域，单击“IP信誉功能”后的划选按钮，开启IP信誉功能。

3. 在动作配置区域，为指定的攻击类型配置相应的动作和日志功能。

   支持的操作如下：

   • 可配置动作为允许或丢弃，并选择开启或关闭日志功能。

   • 也可通过单击<恢复缺省>按钮，恢复为IP信誉库中攻击类型的默认动作和日志功能。

     图-7 动作配置

     

4. 完成配置后，单击<应用>按钮，使配置生效。

配置IP例外

配置IP例外的具体配置步骤如下：

1. 选择“策略 > 主动防护 > 威胁情报”。

2. 在IP信誉区域，单击“IP信誉功能”后的划选按钮，开启IP信誉功能。

3. 在IP例外区域，向输入框中添加IP地址，以回车分割，可配置多个IP例外。

   图-8 IP例外

   

4. 完成配置后，单击<应用>按钮，使配置生效。

URL信誉

特性简介

URL信誉功能用于对恶意的URL进行过滤，允许或禁止用户访问某些网站，达到规范用户上网行为的目的。当报文中的URL匹配到本地URL信誉后，设备将对报文执行相应的操作。本地URL信誉包括设备加载的URL信誉特征库以及云端服务器历史查询结果，即本地URL信誉缓存。

URL信誉特征库

URL信誉特征库主要是一些恶意URL的集合，包含每个URL所属的攻击类型等信息。

云端服务器

云端服务器向设备提供URL信誉云端查询功能，用于扩充本地加载的URL信誉特征库。当URL信誉特征库无法匹配报文中的URL信息时，可通过URL信誉云端查询功能，将URL信息上送云端服务器进行查询。云端服务器完成检测后，会将检测结果发送给设备，设备会将检测结果保存到本地URL信誉缓存中，便于后续报文直接在本地进行URL信誉匹配，而不必再上送云端服务器查询。

vSystem相关说明

非缺省vSystem对于本特性的支持情况，请以页面的实际显示为准。

License支持情况

URL信誉功能需要购买并正确安装威胁情报License才能使用。License过期后，URL信誉功能可以采用设备中已有的特征库正常工作，但无法升级特征库。关于License的详细介绍请参见“License联机帮助”。

使用限制和注意事项

URL信誉功能需要购买并正确安装威胁情报License才能使用。License过期后，URL信誉功能可以采用设备中已有的特征库正常工作，但无法升级到License有效期之后发布的新版本的特征库。关于License的详细介绍请参见“License联机帮助”。

配置指南

配置准备

开启URL信誉功能

URL信誉的具体配置步骤如下：

1. 选择“对象 > 安全配置文件 > URL过滤 > URL过滤”。

2. 在“URL过滤配置文件”页面，可以选择新建或编辑一个URL过滤配置文件。

   具体操作步骤如下：

   1. 如需新建URL过滤配置文件，则单击<新建>按钮，进入“新建URL过滤配置文件”页面，配置文件名称；如需编辑URL过滤配置文件，则单击指定配置文件右侧的<编辑>按钮，进入“编辑URL过滤配置文件页面”。

   2. 配置URL所属攻击类型的动作。当报文中提取的URL与URL信誉特征库匹配成功时，则对报文执行URL所属攻击类型的动作。

   3. 勾选开启URL信誉功能。

      图-9 开启URL信誉功能

      

3. 单击<确认>按钮，完成配置。

DNS安全

特性简介

DNS安全功能包含域名信誉、DGA域名检测以及例外域名。

域名信誉

域名信誉功能用于根据本地域名信誉中记录的域名对网络流量进行过滤。本地域名信誉包括设备加载的域名信誉特征库以及云端服务器历史查询结果，即本地域名信誉缓存。

域名信誉特征库

域名信誉特征库主要是具有僵尸主机DDoS攻击、命令注入攻击、木马下载和端口扫描等风险的域名集合。特征库中包含每个域名的攻击类型以及攻击类型的建议动作和是否记录日志等信息。

有关特征库升级的详细介绍，请参见“特征库升级联机帮助”。

云端服务器

云端服务器向设备提供域名信誉云端查询功能，用于扩充本地加载的域名信誉特征库。当域名信誉特征库无法匹配报文中的域名信息时，可通过域名信誉云端查询功能，将域名信息上送云端服务器进行查询。云端服务器完成检测后，会将检测结果发送给设备，设备会将检测结果保存到本地域名信誉缓存中，便于后续报文直接在本地进行域名信誉匹配，而不必再上送云端服务器查询。

攻击类型动作

攻击类型动作是指当DNS报文中的域名匹配到本地域名信誉中的域名后，设备对报文执行的动作。支持的动作类型为丢弃和允许，并支持日志记录功能。

域名信誉特征库中，一个域名可对应多种攻击分类，每种攻击分类都有对应执行的动作。

当域名只属于一种攻击分类时，设备将对匹配上该域名的报文执行攻击分类对应的动作；当域名属于多种攻击分类时，设备将对匹配上该域名的报文执行多种攻击分类中优先级最高的动作。其中，动作的优先级从高到底依次为：丢弃>允许。

只要域名所属的任一攻击分类配置了日志动作，则对匹配上该域名的报文执行记录日志动作。

域名信誉的报文处理流程

域名信誉对报文的处理流程如图-10所示：

图-10 域名信誉的报文处理流程图

域名信誉功能对报文的处理过程如下：

1. 设备将报文中提取的域名与例外域名进行匹配。如果匹配成功，则放行报文；如果匹配失败，则进入下一步处理。

2. 设备将报文中提取的域名与本地域名信誉进行匹配。

   设备将根据匹配结果执行如下操作：

   • 如果匹配成功，则进行如下判断：

     • 如果域名属于一个攻击类型，则执行该攻击类型的动作。

     • 如果域名同属于多个攻击类型，则执行严重级别最高的动作。

     其中，如果动作为“允许”，则设备将允许此报文通过；如果动作为“丢弃”，则设备将丢弃此报文；如果动作为“日志”，则设备将记录域名信誉日志。

   • 如果匹配失败，设备将判断是否已开启云端查询功能。如果已开启，则放行报文并将域名上送云端服务器进行查询，设备会将服务器返回的查询结果保存到本地域名信誉缓存中，便于后续报文在本地进行域名信誉匹配，而不必再上送云端服务器；如果未开启，则直接放行报文。

DGA域名检测

本功能用于对客户端访问的网站进行DGA域名检测，判断其是否为DGA域名，保护客户端免受恶意网站攻击。开启本功能后，设备会将DNS请求报文中提取到的域名上送智能业务平台，进行DGA域名检测。平台检测完成后，设备会将根据平台返回的检测结果以及管理员配置的DGA域名检测动作，对报文执行相应的操作。有关智能业务平台的详细说明，请参见“智能业务平台联机帮助”。

例外域名

当管理员不希望对某些域名进行域名信誉和DGA域名检测时，可以将其加入例外域名。当设备检测到客户端发送的DNS请求报文中的域名与例外域名匹配时，将不对该域名进行域名信誉和DGA域名检测业务处理。

vSystem相关说明

非缺省vSystem对于本特性的支持情况，请以页面的实际显示为准。

License支持情况

域名信誉功能需要购买并正确安装License才能使用。License过期后，域名信誉功能可以采用设备中已有的特征库正常工作，但无法升级到License有效期之后发布的新版本的特征库。同时，云端查询功能也不可用。关于License的详细介绍请参见“License联机帮助”。

使用限制和注意事项

• 关闭域名信誉的Top统计功能后，统计信息将自动清空。

• 启用域名信誉云端查询功能前，请先到“对象 > 应用安全 > 云端服务器”页面，确认云端服务器处于“已连接”状态。如果连接状态异常，可单击<检查>按钮，根据提示信息进行排查。

• 当设备中所有的Context下都关闭了域名信誉云端查询功能时，设备会清空本地所有域名信誉缓存。

• 当前系统时间需要自动同步网络时间。

• DGA域名检测功能仅支持在安装了智能业务平台模块的设备上使用。设备是否支持安装智能业务平台模块与设备型号有关，请以设备实际情况为准。

配置指南

配置准备

开启域名信誉功能

域名信誉功能的具体配置步骤如下：

1. 选择“策略 > 主动防护 > 威胁情报”。

2. 在“DNS安全 > 域名信誉”区域，单击“域名信誉功能”后的划选按钮，开启域名信誉功能。

   图-11 域名信誉功能

   

3. 单击<域名查询>按钮，进入域名查询页面，在输入框中输入查询的域名，单击<查询>按钮，可以查询指定域名的相关信息。也可将指定的域名加入/移出例外域名。

   图-12 域名查询

   

4. 单击“开启域名信誉云端查询功能”后的划选按钮，开启域名信誉云端查询功能。

   图-13 域名信誉云端查询功能

   

5. 单击“域名命中统计功能”后的划选按钮，开启域名信誉Top统计功能。

   图-14 域名命中统计功能

   

6. 单击<Top统计>按钮，进入Top统计页面，配置统计条件后，可获取到命中域名信誉库的域名统计排名信息，也可将指定的域名加入/移出例外域名。

   图-15 Top统计

   

7. 在动作配置区域，可为指定的攻击类型配置相应的动作和日志功能。

   支持如下操作：

   • 可配置动作为允许或丢弃，并选择开启或关闭日志功能。

   • 也可通过单击<恢复缺省>按钮，恢复为域名信誉库中攻击类型的默认动作和日志功能。

     图-16 动作配置

     

8. 完成配置后，单击<应用>按钮，使配置生效。

配置DGA域名检测功能

配置DGA域名检测功能之前需要确认已连接智能业务平台，如果未连接，则需要单击<配置>按钮，配置平台参数。有关智能业务平台的详细说明，请参见智能业务平台。

DGA域名检测功能的具体配置步骤如下：

1. 选择“策略 > 主动防护 > 威胁情报”。

2. 在“DNS安全 > DGA域名检测”区域，勾选DGA域名检测配置项的勾选框。

   图-17 DGA域名检测

   

3. 根据实际需求配置动作，取值包括允许和丢弃。

   图-18 DGA域名检测动作

   

4. 单击<应用>按钮，完成配置。

配置例外域名

配置例外域名的具体配置步骤如下：

1. 选择“策略 > 主动防护 > 威胁情报”。

2. 在“DNS安全 > 高级配置”区域，向例外域名输入框中添加域名，以回车分割，可配置多个例外域名。

   图-19 高级配置

   

3. 单击<应用>按钮，完成配置。

统一威胁平台下发情报

特性简介

设备支持接收并展示由统一威胁平台（即安全威胁发现与运营管理平台）下发的威胁情报，包括IP信誉、URL信誉、域名信誉和MD5信誉。可用于扩充本地加载的信誉特征库和防病毒特征库，更好的防护内网用户安全。

vSystem相关说明

非缺省vSystem对于本特性的支持情况，请以页面的实际显示为准。

使用限制和注意事项

• 为保证成功接收平台下发的IP信誉和MD5信誉，需要在设备上开启NETCONF over SOAP功能。即在命令行界面的系统视图下，配置netconf soap http enable和netconf soap https enable命令。

• 为保证成功接收平台下发的URL信誉和域名信誉，需要在设备上配置平台服务器域名。即在命令行界面的系统视图下，配置cloud-management server domain命令。同时，还需要配置快速日志输出时携带设备序列号，即在系统视图下，执行customlog with-sn命令。

• 为保证设备可使用平台下发的威胁情报进行报文匹配，请先配置IP信誉、URL信誉、域名信誉和防病毒功能。