登錄

歡迎userBOB登陆 退出

簡體中文

  • 產品與解決方案
  • 行業解決方案
  • 服務
  • 支持
  • 合作夥伴
  • 關於我們

09-典型配置舉例

目錄

22-防病毒典型配置舉例

本章節下載 22-防病毒典型配置舉例  (194.97 KB)

22-防病毒典型配置舉例

防病毒典型配置舉例

本章包含如下內容:

·     簡介

·     配置前提

·     使用限製

·     配置舉例

簡介

 

本文檔介紹防病毒功能的典型配置舉例。

目前,該功能支持對基於以下應用層協議傳輸的報文進行防病毒檢測:

·     FTPFile Transfer Protocol,文件傳輸協議)

·     HTTPHypertext Transfer Protocol,超文本傳輸協議)

·     IMAPInternet Mail Access ProtocolInternet郵件訪問協議)

·     NFSNetwork File System Protocol,網絡文件係統協議)

·     POP3Post Office Protocol-Version 3,郵局協議的第3個版本)

·     SMBServer Message Block Protocol,服務器信息塊協議)

·     SMTPSimple Mail Transfer Protocol,簡單郵件傳輸協議)

 

本文檔不嚴格與具體軟、硬件版本對應,如果使用過程中與產品實際情況有差異,請以設備實際情況為準。

本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。

本文檔假設您已了解防病毒特性。

 

如需支持對HTTPS協議報文進行防病毒業務處理,則需要和應用代理功能(可到Web界麵中的“策略 > 應用代理”進行配置)配合使用。

防病毒功能需要安裝License才能使用。License期後,防病毒功能可以采用設備中已有的防病毒特征正常工作,但無法升特征

組網需求

圖-1所示,Device作為安全網關部署在內網邊界。內網用戶需要通過Internet中的Web服務器和郵件服務器傳輸文件和郵件,現需要使用防病毒功能,對用戶上傳和下載的文件及郵件進行防病毒檢測和防禦,保護內網用戶的安全。

圖-1 應用自定義防病毒策略配置組網圖

 

使用版本

本舉例是在F1000-AI-55R8860版本上進行配置和驗證的。

配置步驟

1.     配置接口IP地址

# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。

# 單擊接口GE1/0/1右側的<編輯>按鈕,配置如下。

·     安全域:Trust

·     選擇“IPv4地址”頁簽,配置IP地址/掩碼長度:10.1.1.1/24

·     其他配置項使用缺省值

# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。

# 按照同樣的步驟配置接口GE1/0/2,配置如下。

·     安全域:Untrust

·     IP地址/掩碼:20.1.1.1/24

·     其他配置項使用缺省值

2.     配置路由

本舉例僅以靜態路由為例,若實際組網中需采用動態路由,請配置對應的動態路由協議。

請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達外網Web Server的下一跳IP地址為20.1.1.2,實際使用中請以具體組網情況為準,具體配置步驟如下。

# 選擇“網絡 > 路由 > 靜態路由 > IPv4靜態路由”,單擊<新建>按鈕,進入新建IPv4靜態路由頁麵。

# 新建IPv4靜態路由,並進行如下配置:

·     目的IP地址:5.5.5.0

·     掩碼長度:24

·     下一跳IP地址:20.1.1.2

·     其他配置項使用缺省值

# 單擊<確定>按鈕,完成靜態路由的配置。

3.     升級防病毒特征庫到最新版本(配置步驟略)

4.     配置防病毒配置文件

# 選擇“對象 > 應用安全 > 防病毒 > 配置文件”,單擊<新建>按鈕,進入新建防病毒配置文件頁麵,新建名為antivirus的防病毒配置文件,配置如下。

# 在協議區域中,配置如下:

     文件傳輸協議中,取消選中FTP上傳和下載前的勾選框。

     郵件協議中,配置SMTPPOP3協議動作為阻斷。

# 其他的配置項保持默認情況即可。

圖-2 新建防病毒配置文件

 

# 單擊<確定>按鈕,完成配置。

5.     配置安全策略

# 選擇“策略 > 安全策略 > 安全策略”,單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵。# 新建安全策略,並進行如下配置:

·     名稱:trust-untrust

·     源安全域:trust

·     目的安全域:untrust

·     類型:IPv4

·     動作:允許

·     IP地址:10.1.1.0/24

·     內容安全中引用防病毒配置文件:antivirus

·     其他配置項使用缺省值

# 單擊<確定>按鈕,完成安全策略的配置。

# 按照同樣的步驟,配置安全策略untrust-trust,並進行如下配置:

·     名稱:untrust-trust

·     源安全域:untrust

·     目的安全域:trust

·     類型:IPv4

·     動作:允許

·     目的IP地址:10.1.1.0/24

·     內容安全中引用防病毒配置文件:antivirus

·     其他配置項使用缺省值

# 單擊<確定>按鈕,完成安全策略的配置。

6.     激活配置

# 防病毒配置文件在被安全策略引用後,需要在安全策略頁麵單擊<提交>按鈕,使防病毒配置文件生效。

# 完成安全策略配置後,需要在安全策略頁麵單擊<立即加速>按鈕,激活安全策略加速。

7.     開啟日誌采集功能

# 選擇“係統 > 日誌設置 > 基本設置”,選擇存儲空間設置頁簽,勾選威脅業務右側的複選框,開啟威脅日誌采集功能。

驗證配置

以上配置完成後,可以保護內網用戶免受病毒威脅。結果驗證:

# 管理員可在“監控 > 安全日誌 > 威脅日誌”中,查看威脅類型為“防病毒”的威脅日誌信息。

不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!

BOB登陆 官網
聯係我們