- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
07-防病毒配置
本章節下載: 07-防病毒配置 (364.38 KB)
防病毒功能是一種通過對報文應用層信息進行檢測來識別和處理病毒報文的安全機製。防病毒功能憑借龐大且不斷更新的病毒特征庫可有效保護網絡安全,防止病毒在網絡中的傳播。將具有防病毒功能的設備部署在企業網入口,可以將病毒隔離在企業網之外,為企業內網的數據安全提供堅固的防禦。目前,該功能支持對基於FTP、HTTP、IMAP、POP3和SMTP的協議傳輸的報文進行防病毒檢測。
如圖1-1所示,在如下應用場景中,隔離內網和外網的網關設備上需要部署防病毒策略來保證內部網絡安全:
· 內網用戶需要訪問外網資源,且經常需要從外網下載各種應用數據。
· 內網的服務器需要經常接收外網用戶上傳的數據。
當在設備上部署防病毒策略後,正常的用戶數據可以進入內部網絡,攜帶病毒的報文會被檢測出來,並被采取阻斷、重定向或生成告警信息等動作。
病毒特征是設備上定義的用於識別應用層信息中是否攜帶病毒的字符串,由係統中的病毒特征庫預定義。
MD5規則是設備上定義的用於識別傳輸文件是否攜帶病毒的檢測規則,由係統中的病毒特征庫預定義。
缺省情況下,設備對所有匹配病毒特征的報文均進行防病毒動作處理。但是,當管理員認為已檢測到的某個病毒為誤報時,可以將該病毒特征設置為病毒例外,之後攜帶此病毒特征的報文經過時,設備將對此報文執行允許動作。
缺省情況下,設備基於應用層協議中指定的動作對符合病毒特征的報文進行處理。
當需要對某一具體應用采取的動作與其所屬應用層協議的動作不同時,可以將此應用設置為應用例外。例如,對HTTP協議采取的動作是允許,但是需要對HTTP協議上承載的遊戲類應用采取阻斷動作,這時就可以把所有遊戲類的應用均設置為應用例外。
防病毒動作是指對符合病毒特征的報文做出的處理,包括如下幾種類型:
· 告警:允許病毒報文通過,同時生成病毒日誌。
· 阻斷:禁止病毒報文通過,同時生成病毒日誌。
· 重定向:將攜帶病毒的HTTP連接重定向到指定的URL,同時生成病毒日誌。僅對上傳方向有效。
其中,病毒日誌支持輸出到信息中心或以郵件的方式發送到指定的收件人郵箱。
設備支持使用以下方式進行防病毒檢測:
· 病毒特征匹配:設備將報文與病毒特征庫中的病毒特征進行匹配,如果匹配成功,則表示該報文攜帶病毒。
· MD5值匹配:設備首先對待檢測文件進行MD5哈希運算,再將計算出的MD5值與特征庫中的MD5規則進行匹配,如果匹配成功,則表示該文件攜帶病毒。
設備上部署防病毒策略後,對接收到的用戶數據報文處理流程如圖1-2所示:
防病毒功能是通過在DPI應用profile中引用防病毒策略,並在安全策略或對象策略中引用DPI應用profile來實現的,防病毒處理的整體流程如下:
(1) 設備對報文進行規則(即安全策略規則或對象策略規則)匹配:
如果規則引用了防病毒業務,則設備將繼續識別此報文的應用層協議。
有關安全策略規則的詳細介紹請參見“安全配置指導”中的“安全策略”;有關對象策略規則的詳細介紹請參見“安全配置指導”中的“對象策略”。
(2) 設備判斷報文的應用層協議是否為防病毒功能所支持,如果支持,則進行下一步處理;否則直接允許報文通過,不對其進行防病毒處理。
(3) 設備將報文同時與病毒特征庫中的病毒特征和MD5規則進行匹配,任意一種匹配成功,則認為該報文攜帶病毒,並進行下一步處理;如果二者均匹配失敗,則對該報文執行允許動作。
(4) 如果病毒報文符合病毒例外,則對此報文執行允許動作,否則繼續進行下一步處理。
(5) 如果病毒報文符合應用例外,則執行應用例外的防病毒動作(告警、阻斷和允許),否則執行報文所屬應用層協議的防病毒動作(告警、阻斷和重定向)。
病毒特征庫是用來對經過設備的報文進行病毒檢測的資源庫。隨著互聯網中病毒的不斷變化和發展,需要及時升級設備中的病毒特征庫,同時設備也支持病毒特征庫回滾功能。
病毒特征庫的升級包括如下幾種方式:
· 定期自動在線升級:設備根據管理員設置的時間定期自動更新本地的病毒特征庫。
· 立即自動在線升級:管理員手工觸發設備立即更新本地的病毒特征庫。
· 手動離線升級:當設備無法自動獲取病毒特征庫時,需要管理員先手動獲取最新的病毒特征庫,再更新設備本地的病毒特征庫。
如果管理員發現設備當前的病毒特征庫對報文進行病毒檢測的誤報率較高或出現異常情況,可以將其回滾到出廠版本或上一版本。
防病毒功能需要安裝License才能使用。License過期後,防病毒功能可以采用設備中已有的病毒特征庫正常工作,但無法升級特征庫。關於License的詳細介紹請參見“基礎配置指導”中的“License管理”。
防病毒配置任務如下:
(6) 配置防病毒策略
(7) 配置防病毒動作引用應用層檢測引擎動作參數profile
(9) 激活防病毒策略和規則配置
(10) 在安全策略中引用防病毒業務
(11) 在對象策略中引用防病毒業務
(12) 配置病毒特征庫升級和回滾
在防病毒策略中可以配置防病毒的檢測條件、對病毒報文的處理動作、病毒例外和應用例外等。
設備上的所有防病毒策略均使用當前係統中的病毒特征庫對用戶數據進行病毒檢測和處理。
NFS協議僅支持NFSv3版本;SMB協議支持SMBv1和SMBv2版本。
(13) 進入係統視圖。
system-view
(14) 創建防病毒策略,並進入防病毒策略視圖。
anti-virus policy policy-name
缺省情況下,存在一個缺省防病毒策略,名稱為default,且其不能被修改和刪除。
(15) (可選)配置防病毒策略描述信息。
description text
(16) 配置病毒檢測的應用層協議類型。
inspect { ftp | http | imap | nfs | pop3 | smb | smtp } [ direction { both | download | upload } ] [ action { alert | block | redirect } ]
缺省情況下,設備對FTP、HTTP、IMAP、NFS和SMB協議在上傳和下載方向傳輸的報文均進行病毒檢測,對POP3協議在下載方向傳輸的報文進行病毒檢測,對SMTP協議在上傳方向傳輸的報文進行病毒檢測。設備對FTP、HTTP、NFS和SMB協議報文的動作為阻斷,對IMAP、SMTP和POP3協議報文的動作為告警。
(17) (可選)配置病毒例外。
exception signature signature-id
(18) (可選)配置應用例外並為其指定處理動作。
exception application application-name action { alert | block | permit }
(19) 配置有效病毒特征的最低嚴重級別。
signature severity { critical | high | medium } enable
缺省情況下,所有嚴重級別的病毒特征都處於生效狀態。
防病毒動作的具體執行參數(例如,郵件服務器的地址、輸出日誌的方式和對報文重定向的URL)由應用層檢測引擎各動作參數profile來定義,可通過引用各動作參數proflle為防病毒動作提供執行參數。應用層檢測引擎動作參數proflle的具體配置請參見“DPI深度安全配置指導”中的“應用層檢測引擎”。
如果防病毒動作沒有引用應用層檢測引擎動作參數profile,或者引用的動作參數profile不存在,則使用係統中各動作參數的缺省值。
(20) 進入係統視圖。
system-view
(21) 配置防病毒動作引用應用層檢測引擎動作參數profile。
anti-virus { email | logging | redirect } parameter-profile profile-name
缺省情況下,防病毒動作未引用應用層檢測引擎動作參數profile。
DPI應用profile是一個安全業務的配置模板,為實現防病毒功能,必須在DPI應用profile中引用指定的防病毒策略。一個DPI應用profile中隻能引用一個防病毒策略,如果重複配置,則新的配置會覆蓋已有配置。
(22) 進入係統視圖。
system-view
(23) 進入DPI應用profile視圖。
app-profile profile-name
關於該命令的詳細介紹請參見“DPI深度安全命令參考”中的“應用層檢測引擎”。
(24) 在DPI應用profile中引用防病毒策略。
anti-virus apply policy policy-name mode { alert | protect }
缺省情況下,DPI應用profile中未引用防病毒策略。
當防病毒策略和規則被創建、修改和刪除後,需要配置此功能使其策略和規則配置生效。
配置此功能會暫時中斷所有DPI業務的處理,為避免重複配置此功能對DPI業務造成影響,請完成部署DPI各業務模塊的策略和規則後統一配置此功能。
有關此功能的詳細介紹請參見“DPI深度安全配置指導”中的“應用層檢測引擎”。
(25) 進入係統視圖。
system-view
(26) 激活防病毒策略和規則配置。
inspect activate
缺省情況下,防病毒策略和規則被創建、修改和刪除時不生效。
(27) 進入係統視圖。
system-view
(28) 進入安全策略視圖。
security-policy { ip | ipv6 }
(29) 進入安全策略規則視圖。
rule { rule-id | name name } *
(30) 配置安全策略規則的動作為允許。
action pass
缺省情況下,安全策略規則動作是丟棄。
(31) 配置安全策略規則引用DPI應用profile。
profile app-profile-name
缺省情況下,安全策略規則中未引用DPI應用profile。
(32) 進入係統視圖。
system-view
(33) 進入對象策略視圖。
object-policy { ip | ipv6 } object-policy-name
(34) 在對象策略規則中引用DPI應用profile。
rule [ rule-id ] inspect app-profile-name
缺省情況下,在對象策略規則中未引用DPI應用profile。
(35) 退回係統視圖。
quit
(36) 創建安全域間實例,並進入安全域間實例視圖。
zone-pair security source source-zone-name destination destination-zone-name
有關安全域間實例的詳細介紹請參見“安全配置指導”中的“安全域”。
(37) 應用對象策略。
object-policy apply { ip | ipv6 } object-policy-name
缺省情況下,安全域間實例內不應用對象策略。
· 請勿刪除設備存儲介質根目錄下的/dpi/文件夾,否則設備升級或回滾特征庫會失敗。
· 當係統內存使用狀態處於告警門限狀態時,請勿進行特征庫升級或回滾,否則易造成設備特征庫升級或回滾失敗,進而影響防病毒的正常運行。有關內存告警門限狀態的詳細介紹請參見“基礎配置指導”中的“設備管理”。
· 自動在線升級(包括定期自動在線升級和立即自動在線升級)防病毒特征庫時,需要確保設備能通過靜態或動態域名解析方式獲得H3C官方網站的IP地址,並與之路由可達,否則設備升級防病毒特征庫會失敗。有關域名解析功能的配置請參見“三層技術-IP業務配置指導”中的“域名解析”。
如果設備可以訪問H3C官方網站,可以采用定期自動在線升級方式來對設備上的病毒特征庫進行升級。
(38) 進入係統視圖。
system-view
(39) 開啟定期自動在線升級病毒特征庫功能,並進入自動在線升級配置視圖。
anti-virus signature auto-update
缺省情況下,定期自動在線升級病毒特征庫功能處於關閉狀態。
(40) 配置定期自動在線升級病毒特征庫的時間。
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
缺省情況下,設備在每天02:01:00至04:01:00之間自動升級病毒特征庫。
當管理員發現H3C官方網站上的特征庫服務專區中的病毒特征庫有更新時,可以采用立即自動在線升級方式來及時升級病毒特征庫版本。
(41) 進入係統視圖。
system-view
(42) 立即自動在線升級病毒特征庫。
anti-virus signature auto-update-now
如果設備不能訪問H3C官方網站上的特征庫服務專區,管理員可以采用如下幾種方式手動離線升級病毒特征庫版本。
· 本地升級:使用本地保存的特征庫文件升級係統上的病毒特征庫版本。
· FTP/TFTP升級:通過FTP或TFTP方式下載遠程服務器上保存的特征庫文件,並升級係統上的病毒特征庫版本。
使用本地升級方式離線升級特征庫版本時,特征庫文件隻能存儲在當前主用主控板上,否則設備升級特征庫會失敗。(獨立運行模式)
使用本地升級方式離線升級特征庫版本時,特征庫文件隻能存儲在當前全局主用主控板上,否則設備升級特征庫會失敗。(IRF模式)
(43) 進入係統視圖。
system-view
(44) 手動離線升級病毒特征庫。
anti-virus signature update file-path
病毒特征庫版本每次回滾前,設備都會備份當前版本。多次回滾上一版本的操作將會在當前版本和上一版本之間反複切換。例如,當前病毒特征庫版本是V2,上一版本是V1。第一次執行回滾到上一版本的操作後,特征庫替換成V1版本,再執行回滾上一版本的操作則特征庫重新變為V2版本。
(45) 進入係統視圖。
system-view
(46) 回滾病毒特征庫。
anti-virus signature rollback { factory | last }
完成上述配置後,在任意視圖下執行display命令可以顯示配置後防病毒的運行情況,通過查看顯示信息驗證配置的效果。
表1-1 防病毒顯示和維護
|
操作 |
命令 |
|
顯示病毒特征信息 |
display anti-virus signature [ severity { critical | high | low | medium } ] |
|
顯示病毒特征家族信息 |
display anti-virus signature family-info |
|
顯示病毒特征庫版本信息 |
display anti-virus signature library |
|
顯示防病毒統計信息 |
(獨立運行模式) display anti-virus statistics [ policy policy-name ] [ slot slot-number [ cpu cpu-number ] ] (IRF模式) display anti-virus statistics [ policy policy-name ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
如圖1-3所示,Device分別通過Trust安全域和Untrust安全域與局域網和Internet相連。現要求使用設備上的缺省防病毒策略對用戶數據報文進行防病毒檢測和防禦。
(47) 配置各接口的IP地址(略)
(48) 創建安全域並將接口加入安全域
# 向安全域Trust中添加接口GigabitEthernet1/0/1。
<Device> system-view
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
# 向安全域Untrust中添加接口GigabitEthernet1/0/2。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(49) 配置對象組
# 創建名為antivirus的IP地址對象組,並定義其子網地址為192.168.1.0/24。
[Device] object-group ip address antivirus
[Device-obj-grp-ip-antivirus] network subnet 192.168.1.0 24
[Device-obj-grp-ip-antivirus] quit
(50) 配置DPI應用profile
# 創建名為sec的DPI應用profile,並進入DPI應用profile視圖。
[Device] app-profile sec
# 在DPI應用profile sec中應用缺省防病毒策略default,並指定該防病毒策略的模式為protect。
[Device-app-profile-sec] anti-virus apply policy default mode protect
[Device-app-profile-sec] quit
# 激活DPI各業務模塊的策略和規則配置。
[Device] inspect activate
(51) 配置安全策略引用防病毒業務
# 進入IPv4安全策略視圖
[Device] security-policy ip
# 創建名為antivirus的安全策略規則,過濾條件為:源安全域Trust、源IP地址對象組antivirus、目的安全域Untrust。動作為允許,且引用的DPI應用profile為sec。
[Device-security-policy-ip] rule name antivirus
[Device-security-policy-ip-10-antivirus] source-zone trust
[Device-security-policy-ip-10-antivirus] source-ip antivirus
[Device-security-policy-ip-10-antivirus] destination-zone untrust
[Device-security-policy-ip-10-antivirus] action pass
[Device-security-policy-ip-10-antivirus] profile sec
[Device-security-policy-ip-10-antivirus] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
以上配置生效後,使用缺省防病毒策略可以對已知攻擊類型的網絡攻擊進行防禦。
如圖1-4所示,Device分別通過Trust安全域和Untrust安全域與局域網和Internet相連。現有組網需求如下:
· 將編號為2的預定義病毒特征設置為病毒例外。
· 將名稱為139Email的應用設置為應用例外。
(52) 配置各接口的IP地址(略)
(53) 創建安全域並將接口加入安全域
# 向安全域Trust中添加接口GigabitEthernet1/0/1。
<Device> system-view
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
# 向安全域Untrust中添加接口GigabitEthernet1/0/2。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(54) 配置對象組
# 創建名為antivirus的IP地址對象組,並定義其子網地址為192.168.1.0/24。
[Device] object-group ip address antivirus
[Device-obj-grp-ip-antivirus] network subnet 192.168.1.0 24
[Device-obj-grp-ip-antivirus] quit
(55) 配置防病毒功能
# 創建一個名稱為antivirus1的防病毒策略,並進入防病毒策略視圖。
[Device] anti-virus policy antivirus1
# 將編號為2的預定義病毒特征設置為病毒例外。
[Device-anti-virus-policy-antivirus1] exception signature 2
# 將名稱為139Email的應用設置為應用例外,並設置其動作為告警。
[Device-anti-virus-policy-antivirus1] exception application 139Email action alert
[Device-anti-virus-policy-antivirus1] quit
(56) 配置DPI應用profile
# 創建名為sec的DPI應用profile,並進入DPI應用profile視圖。
[Device] app-profile sec
# 在DPI應用profile sec中應用防病毒策略antivirus1,並指定該防病毒策略的模式為protect。
[Device-app-profile-sec] anti-virus apply policy antivirus1 mode protect
[Device-app-profile-sec] quit
# 激活DPI各業務模塊的策略和規則配置。
[Device] inspect activate
(57) 配置安全策略引用防病毒業務
# 進入IPv4安全策略視圖
[Device] security-policy ip
# 創建名為antivirus的安全策略規則,過濾條件為:源安全域Trust、源IP地址對象組antivirus、目的安全域Untrust。動作為允許,且引用的DPI應用profile為sec。
[Device-security-policy-ip] rule name antivirus
[Device-security-policy-ip-10-antivirus] source-zone trust
[Device-security-policy-ip-10-antivirus] source-ip antivirus
[Device-security-policy-ip-10-antivirus] destination-zone untrust
[Device-security-policy-ip-10-antivirus] action pass
[Device-security-policy-ip-10-antivirus] profile sec
[Device-security-policy-ip-10-antivirus] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
以上配置生效後,在防病毒策略antivirus1中可看到以上有關防病毒策略的配置。
如圖1-5所示,位於Trust安全域的局域網用戶通過Device可以訪問Untrust安全域的Internet資源,以及DMZ安全域的FTP服務器。FTP服務器根目錄下保存了最新的病毒特征庫文件anti-virus-1.0.8-encrypt.dat,FTP服務器的登錄用戶名和密碼分別為anti-virus和123。現需要手動離線升級病毒特征庫,加載最新的病毒特征。
(58) 配置各接口的IP地址(略)
(59) 配置安全策略保證Device與DMZ安全域之間互通
# 向安全域DMZ中添加接口GigabitEthernet1/0/3。
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/3
[Device-security-zone-DMZ] quit
# 進入IPv4安全策略視圖
[Device] security-policy ip
# 創建名為update的安全策略規則,過濾條件為:源安全域Local和DMZ、目的安全域DMZ和Local,動作為允許。
[Device-security-policy-ip] rule name update
[Device-security-policy-ip-11-update] source-zone local
[Device-security-policy-ip-11-update] source-zone dmz
[Device-security-policy-ip-11-update] destination-zone dmz
[Device-security-policy-ip-11-update] destination-zone local
[Device-security-policy-ip-11-update] action pass
[Device-security-policy-ip-11-update] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
(60) 手動升級防病毒特征庫
# 采用FTP方式手動離線升級設備上的病毒特征庫,被加載的病毒特征庫文件名為anti-virus-1.0.8-encrypt.dat。
[Device] anti-virus signature update ftp:// anti-virus:[email protected]/anti-virus-1.0.8-encrypt.dat
病毒特征庫升級後,可以通過display anti-virus signature library命令查看當前特征庫的版本信息。
如圖1-6所示,位於Trust安全域的局域網用戶通過Device可以訪問Untrust安全域的Internet資源。現要求每周六上午九點前後半小時內,定期自動在線升級設備的病毒特征庫。
(61) 配置各接口的IP地址(略)
(62) 配置設備解析H3C官方網站對應IP地址的域名解析功能(略)
(63) 配置安全策略保證Trust安全域的局域網用戶可以訪問Untrust安全域的Internet資源(略)
(64) 配置定期自動在線升級病毒特征庫
# 開啟設備自動升級病毒特征庫功能,並進入自動升級配置視圖。
<Device> system-view
[Device] anti-virus signature auto-update
# 設置定時自動升級病毒特征庫計劃為:每周六上午9:00:00自動升級,抖動時間為60分鍾。
[Device-anti-virus-autoupdate] update schedule weekly sat start-time 9:00:00 tingle 60
[Device-anti-virus-autoupdate] quit
設置的定期自動在線升級病毒特征庫時間到達後,可以通過display anti-virus signature library命令查看當前特征庫的版本信息
如圖1-7所示,Device分別通過Trust安全域和Untrust安全域與局域網和Internet相連。現要求使用設備上的缺省防病毒策略對用戶數據報文進行防病毒檢測和防禦。
(65) 配置各接口的IP地址(略)
(66) 創建安全域並將接口加入安全域
# 向安全域Trust中添加接口GigabitEthernet1/0/1。
<Device> system-view
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
# 向安全域Untrust中添加接口GigabitEthernet1/0/2。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(67) 配置對象組
# 創建名為antivirus的IP地址對象組,並定義其子網地址為192.168.1.0/24。
[Device] object-group ip address antivirus
[Device-obj-grp-ip-antivirus] network subnet 192.168.1.0 24
[Device-obj-grp-ip-antivirus] quit
(68) 配置DPI應用profile
# 創建名為sec的DPI應用profile,並進入DPI應用profile視圖。
[Device] app-profile sec
# 在DPI應用profile sec中應用缺省防病毒策略default,並指定該防病毒策略的模式為protect。
[Device-app-profile-sec] anti-virus apply policy default mode protect
[Device-app-profile-sec] quit
# 激活DPI各業務模塊的策略和規則配置。
[Device] inspect activate
(69) 配置對象策略
# 創建名為antivirus的IPv4對象策略,並進入對象策略視圖。
[Device] object-policy ip antivirus
# 對源IP地址對象組antivirus對應的報文進行深度檢測,引用的DPI應用profile為sec。
[Device-object-policy-ip-antivirus] rule inspect sec source-ip antivirus destination-ip any
[Device-object-policy-ip-antivirus] quit
(70) 配置安全域間實例並應用對象策略
# 創建源安全域Trust到目的安全域Untrust的安全域間實例,並應用對源IP地址對象組antivirus對應的報文進行深度檢測的對象策略antivirus。
[Device] zone-pair security source trust destination untrust
[Device-zone-pair-security-Trust-Untrust] object-policy apply ip antivirus
[Device-zone-pair-security-Trust-Untrust] quit
以上配置生效後,使用缺省防病毒策略可以對已知攻擊類型的網絡攻擊進行防禦。
如圖1-8所示,Device分別通過Trust安全域和Untrust安全域與局域網和Internet相連。現有組網需求如下:
· 將編號為2的預定義病毒特征設置為病毒例外。
· 將名稱為139Email的應用設置為應用例外。
(71) 配置各接口的IP地址(略)
(72) 創建安全域並將接口加入安全域
# 向安全域Trust中添加接口GigabitEthernet1/0/1。
<Device> system-view
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
# 向安全域Untrust中添加接口GigabitEthernet1/0/2。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(73) 配置對象組
# 創建名為antivirus的IP地址對象組,並定義其子網地址為192.168.1.0/24。
[Device] object-group ip address antivirus
[Device-obj-grp-ip-antivirus] network subnet 192.168.1.0 24
[Device-obj-grp-ip-antivirus] quit
(74) 配置防病毒功能
# 創建一個名稱為antivirus1的防病毒策略,並進入防病毒策略視圖。
[Device] anti-virus policy antivirus1
# 將編號為2的預定義病毒特征設置為病毒例外。
[Device-anti-virus-policy-antivirus1] exception signature 2
# 將名稱為139Email的應用設置為應用例外,並設置其動作為告警。
[Device-anti-virus-policy-antivirus1] exception application 139Email action alert
[Device-anti-virus-policy-antivirus1] quit
(75) 配置DPI應用profile
# 創建名為sec的DPI應用profile,並進入DPI應用profile視圖。
[Device] app-profile sec
# 在DPI應用profile sec中應用防病毒策略antivirus1,並指定該防病毒策略的模式為protect。
[Device-app-profile-sec] anti-virus apply policy antivirus1 mode protect
[Device-app-profile-sec] quit
# 激活DPI各業務模塊的策略和規則配置。
[Device] inspect activate
(76) 配置對象策略
# 創建名為antivirus的IPv4對象策略,並進入對象策略視圖。
[Device] object-policy ip antivirus
# 對源IP地址對象組antivirus對應的報文進行深度檢測,引用的DPI應用profile為sec。
[Device-object-policy-ip-antivirus] rule inspect sec source-ip antivirus destination-ip any
[Device-object-policy-ip-antivirus] quit
(77) 配置安全域間實例並應用對象策略
# 創建源安全域Trust到目的安全域Untrust的安全域間實例,並應用對源IP地址對象組antivirus對應的報文進行深度檢測的對象策略antivirus。
[Device] zone-pair security source trust destination untrust
[Device-zone-pair-security-Trust-Untrust] object-policy apply ip antivirus
[Device-zone-pair-security-Trust-Untrust] quit
以上配置生效後,在防病毒策略antivirus1中可看到以上有關防病毒策略的配置。
如圖1-9所示,位於Trust安全域的局域網用戶通過Device可以訪問Untrust安全域的Internet資源,以及DMZ安全域的FTP服務器。FTP服務器根目錄下保存了最新的病毒特征庫文件anti-virus-1.0.8-encrypt.dat,FTP服務器的登錄用戶名和密碼分別為anti-virus和123。現有組網需求如下:
手動離線升級病毒特征庫,加載最新的病毒特征。
(78) 配置各接口的IP地址(略)
(79) 配置Device與FTP互通
# 配置ACL 2001,定義規則允許所有報文通過。
<Device> system-view
[Device] acl basic 2001
[Device-acl-ipv4-basic-2001] rule permit
[Device-acl-ipv4-basic-2001] quit
# 向安全域DMZ中添加接口GigabitEthernet1/0/3。
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/3
[Device-security-zone-DMZ] quit
# 創建源安全域Local到目的安全域DMZ的安全域間實例,允許Local域用戶訪問DMZ域的報文可以通過。
[Device] zone-pair security source local destination dmz
[Device-zone-pair-security-Local-DMZ] packet-filter 2001
[Device-zone-pair-security-Local-DMZ] quit
# 創建源安全域DMZ到目的安全域Local的安全域間實例,允許DMZ域用戶訪問Local域的報文可以通過。
[Device] zone-pair security source dmz destination local
[Device-zone-pair-security-DMZ-Local] packet-filter 2001
[Device-zone-pair-security-DMZ-Local] quit
(80) 手動升級防病毒特征庫
# 采用FTP方式手動離線升級設備上的病毒特征庫,被加載的病毒特征庫文件名為anti-virus-1.0.8-encrypt.dat。
[Device] anti-virus signature update ftp:// anti-virus:[email protected]/anti-virus-1.0.8-encrypt.dat
病毒特征庫升級後,可以通過display anti-virus signature library命令查看當前特征庫的版本信息。
如圖1-10所示,位於Trust安全域的局域網用戶通過Device可以訪問Untrust安全域的Internet資源。現要求每周六上午九點前後半小時內,定期自動在線升級設備的病毒特征庫。
(81) 配置各接口的IP地址(略)
(82) 配置設備解析H3C官方網站對應IP地址的域名解析功能(略)
(83) 配置對象策略保證Trust安全域的局域網用戶可以訪問Untrust安全域的Internet資源(略)
(84) 配置定期自動在線升級病毒特征庫
# 開啟設備自動升級病毒特征庫功能,並進入自動升級配置視圖。
<Device> system-view
[Device] anti-virus signature auto-update
# 設置定時自動升級病毒特征庫計劃為:每周六上午9:00:00自動升級,抖動時間為60分鍾。
[Device-anti-virus-autoupdate] update schedule weekly sat start-time 9:00:00 tingle 60
[Device-anti-virus-autoupdate] quit
設置的定期自動在線升級病毒特征庫時間到達後,可以通過display anti-virus signature library命令查看當前特征庫的版本信息。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
