- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
07-防病毒配置
本章節下載: 07-防病毒配置 (427.56 KB)
防病毒功能是一種通過對報文應用層信息進行檢測來識別和處理病毒報文的安全機製。防病毒功能憑借龐大且不斷更新的病毒特征庫可有效保護網絡安全,防止病毒在網絡中的傳播。將具有防病毒功能的設備部署在企業網入口,可以將病毒隔離在企業網之外,為企業內網的數據安全提供堅固的防禦。目前,該功能支持對基於FTP、HTTP、IMAP、NFS、POP3、SMB和SMTP的協議傳輸的報文進行防病毒檢測。
如圖1-1所示,在如下應用場景中,隔離內網和外網的網關設備上需要部署防病毒策略來保證內部網絡安全:
· 內網用戶需要訪問外網資源,且經常需要從外網下載各種應用數據。
· 內網的服務器需要經常接收外網用戶上傳的數據。
當在設備上部署防病毒策略後,正常的用戶數據可以進入內部網絡,攜帶病毒的報文會被檢測出來,並被采取阻斷、重定向或生成告警信息等動作。
病毒特征是設備上定義的用於識別應用層信息中是否攜帶病毒的字符串,由係統中的病毒特征庫預定義。
MD5規則是設備上定義的用於識別傳輸文件是否攜帶病毒的檢測規則,由係統中的病毒特征庫預定義。
缺省情況下,設備對所有匹配病毒特征的報文均進行防病毒動作處理。但是,當管理員認為已檢測到的某個病毒為誤報時,可以將該病毒特征設置為病毒例外,之後攜帶此病毒特征的報文經過時,設備將對此報文執行允許動作。
缺省情況下,設備基於應用層協議中指定的動作對符合病毒特征的報文進行處理。
當需要對某一具體應用采取的動作與其所屬應用層協議的動作不同時,可以將此應用設置為應用例外。例如,對HTTP協議采取的動作是允許,但是需要對HTTP協議上承載的遊戲類應用采取阻斷動作,這時就可以把所有遊戲類的應用均設置為應用例外。
缺省情況下,設備對所有MD5值匹配防病毒規則的報文進行防病毒動作處理。但是,當管理員發現某類檢測出病毒的報文被誤報時,可以通過查看防病毒日誌獲取MD5值並設置為例外。當後續再有檢測出符合該MD5值的報文通過時,設備將對其執行允許動作。
防病毒動作是指對符合病毒特征的報文做出的處理,包括如下幾種類型:
· 告警:允許病毒報文通過,同時生成病毒日誌。
· 阻斷:禁止病毒報文通過,同時生成病毒日誌。
· 重定向:將攜帶病毒的HTTP連接重定向到指定的URL,同時生成病毒日誌。僅對上傳方向有效。
其中,病毒日誌支持輸出到信息中心或以郵件的方式發送到指定的收件人郵箱。
設備支持使用以下方式進行防病毒檢測:
· 病毒特征匹配:設備將報文與特征庫中的病毒特征進行匹配,如果匹配成功,則表示該報文攜帶病毒。
· MD5值匹配:設備首先對待檢測文件進行MD5哈希運算,再將計算出的MD5值與特征庫中的MD5規則進行匹配,如果匹配成功,則表示該文件攜帶病毒。
設備上部署防病毒策略後,對接收到的用戶數據報文處理流程如圖1-2所示:
防病毒功能是通過在DPI應用profile中引用防病毒策略,並在安全策略中引用DPI應用profile來實現的,防病毒處理的整體流程如下:
(1) 設備對應用層協議進行識別,判斷協議是否為防病毒功能所支持,如果支持,則進行下一步處理;否則直接允許報文通過,不對其進行防病毒檢測。
(2) 設備對報文進行病毒檢測,將報文同時與特征庫中的病毒特征和MD5規則進行匹配,任意一種匹配成功,則認為該報文攜帶病毒,並進行下一步處理;如果二者均匹配失敗,則判斷是否匹配MD5值例外,如果符合,則允許報文通過;如果不符合,則進入步驟(5)處理。
(3) 如果報文符合病毒例外或MD5值例外,則對此報文執行允許動作,否則繼續進行下一步處理。
(4) 如果報文符合應用例外,則執行應用例外的防病毒動作(告警、阻斷和允許),否則執行報文所屬應用層協議的防病毒動作(告警、阻斷和重定向)。
(5) 設備將報文與防病毒緩存區中的緩存記錄(即MD5值緩存)進行匹配,緩存記錄中保存著雲端服務器的曆史檢測結果,包括標識為“病毒”和“非病毒”的MD5值。設備將根據報文與MD5值緩存的匹配結果進行如下判斷:
a. 如果匹配到標識為“病毒”的緩存,則繼續判斷報文是否符合應用例外。如果符合,則執行應用例外的動作(告警、阻斷和允許),如果不符合,則執行報文所屬應用層協議的防病毒動作(告警、阻斷和重定向)。
b. 如果匹配到標識為“非病毒”的緩存,則允許報文通過。
c. 如果未與任何MD5值緩存匹配成功,則放行報文,並同時將MD5值上送雲端服務器繼續進行病毒檢測。檢測完成後,設備會將服務器返回的檢測結果保存到防病毒緩存區中,便於後續報文在本地進行病毒檢測,而不必再上送雲端。
病毒特征庫是用來對經過設備的報文進行病毒檢測的資源庫。隨著互聯網中病毒的不斷變化和發展,需要及時升級設備中的病毒特征庫,同時設備也支持病毒特征庫回滾功能。
病毒特征庫的升級包括如下幾種方式:
· 定期自動在線升級:設備根據管理員設置的時間定期自動更新本地的病毒特征庫。
· 立即自動在線升級:管理員手工觸發設備立即更新本地的病毒特征庫。
· 手動離線升級:當設備無法自動獲取病毒特征庫時,需要管理員先手動獲取最新的病毒特征庫,再更新設備本地的病毒特征庫。
如果管理員發現設備當前的病毒特征庫對報文進行病毒檢測的誤報率較高或出現異常情況,可以將其回滾到出廠版本或上一版本。
防病毒功能需要購買並正確安裝License後才能使用。License過期後,防病毒功能可以采用設備中已有的病毒特征庫正常工作,但無法升級特征庫,且MD5值雲端查詢功能以及聯動沙箱阻斷功能無法使用。關於License的詳細介紹請參見“基礎配置指導”中的“License管理”。
防病毒功能支持對基於FTP、HTTP、HTTPS、IMAP、IMAPS、NFS、POP3、POP3S、SMB、SMTP和SMTPS協議傳輸的報文進行防病毒檢測。其中,HTTPS、IMAPS、POP3S和SMTPS協議需要配合SSL代理功能使用,有關SSL代理功能的詳細介紹,請參見“DPI深度安全配置指導”中的“代理策略”。
防病毒配置任務如下:
(1) 配置防病毒策略
(2) 配置MD5值雲端查詢功能
(3) 配置防病毒動作引用應用層檢測引擎動作參數profile
(5) (可選)激活防病毒策略和規則配置
(7) 配置病毒特征庫升級和回滾
在防病毒策略中可以配置防病毒的檢測條件、對病毒報文的處理動作、病毒例外和應用例外等。
設備上的所有防病毒策略均使用當前係統中的病毒特征庫對用戶數據進行病毒檢測和處理。
當設備檢測出病毒後,支持向客戶端發送告警信息。告警信息的具體內容由應用層檢測引擎告警動作參數profile來定義,可通過引用該動作參數profile為告警信息提供顯示內容。有關應用層檢測引擎動作參數profile的具體配置請參見“DPI深度安全配置指導”中的“應用層檢測引擎”。
NFS協議僅支持NFSv3版本;SMB協議支持SMBv1和SMBv2版本。
病毒日誌信息不會輸出到控製台和監視終端。如需獲取該日誌,可通過執行display logbuffer命令進行查看。有關display logbuffer命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“信息中心”。
在RBM雙機熱備的非對稱組網環境中(即同一條流量的報文來回路徑不一致),不支持發送告警信息功能,即使配置了該功能的相關命令,其功能也不會生效。有關RBM雙機熱備的詳細介紹,請參見“高可靠性配置指導”中的“雙機熱備(RBM)”。
開啟發送告警信息功能後,設備會對匹配防病毒策略的HTTP流量進行代理,將對設備性能產生較大影響,請根據實際情況判斷是否需要開啟上述功能。
(1) 進入係統視圖。
system-view
(2) 創建防病毒策略,並進入防病毒策略視圖。
anti-virus policy policy-name
缺省情況下,存在一個缺省防病毒策略,名稱為default,且其不能被修改和刪除。
(3) (可選)配置防病毒策略描述信息。
description text
(4) 配置病毒檢測的應用層協議類型。
inspect { ftp | http | imap | nfs | pop3 | smb | smtp } direction { both | download | upload } [ cache-file-size file-size ] action { alert | block | redirect }
缺省情況下,設備對FTP、HTTP、IMAP、NFS和SMB協議在上傳和下載方向傳輸的報文均進行病毒檢測,對POP3協議在下載方向傳輸的報文進行病毒檢測,對SMTP協議在上傳方向傳輸的報文進行病毒檢測。設備對FTP、HTTP、NFS和SMB協議報文的動作為阻斷,對IMAP、SMTP和POP3協議報文的動作為告警,支持緩存的檢測文件大小上限為1MB。因為POP3協議隻有下載方向,SMTP協議隻支持上傳方向,所以對這兩種協議類型不支持配置方向屬性。
(5) (可選)開啟發送告警信息功能,並引用告警動作參數profile。
warning parameter-profile profile-name
缺省情況下,未引用告警動作參數profile,設備不支持向客戶端發送告警信息。
發送告警信息功能僅在病毒檢測的應用層協議類型為HTTP,且動作為block時生效。
(6) (可選)配置病毒例外。
exception signature signature-id
(7) (可選)配置應用例外並為其指定處理動作。
exception application application-name action { alert | block | permit }
(8) (可選)配置MD5值例外。
exception md5 md5-value
(9) 配置有效病毒特征的最低嚴重級別。
signature severity { critical | high | medium } enable
缺省情況下,所有嚴重級別的病毒特征都處於生效狀態。
開啟防病毒MD5值雲端查詢功能後,當設備未檢測到病毒時,可將文件的MD5值發往雲端服務器進行查詢。雲端服務器響應該請求,並向設備發送查詢結果,該結果中包含了MD5值並確認其是否為病毒。防病毒模塊會將雲端服務器返回的查詢結果保存到防病毒緩存區中,便於後續報文在本地進行病毒檢測。有關雲端服務器的詳細介紹,請參見“DPI深度安全配置指導”中的“應用層檢測引擎”。
雲端查詢功能僅支持HTTP、IMAP、NFS(僅支持read操作)、POP3和SMTP協議。
(1) 進入係統視圖。
system-view
(2) 配置雲端服務器的主機名。
inspect cloud-server host-name
缺省情況下,雲端服務器主機名為sec.h3c.com。
(3) (可選)配置防病毒緩存區可緩存記錄的上限。
anti-virus cache size cache-size
缺省情況下,防病毒緩存區可緩存記錄的上限為10萬條。
(4) (可選)配置防病毒緩存條目的最短保留時間。
anti-virus cache min-time value
缺省情況下,防病毒緩存條目的最短保留時間為10分鍾。
(5) 進入防病毒策略視圖。
anti-virus policy policy-name
(6) 開啟MD5值雲端查詢功能。
cloud-query enable
缺省情況下,MD5值雲端查詢功能處於關閉狀態。
防病毒動作的具體執行參數(例如,郵件服務器的地址、輸出日誌的方式和對報文重定向的URL)由應用層檢測引擎各動作參數profile來定義,可通過引用各動作參數proflle為防病毒動作提供執行參數。應用層檢測引擎動作參數proflle的具體配置請參見“DPI深度安全配置指導”中的“應用層檢測引擎”。
如果防病毒動作沒有引用應用層檢測引擎動作參數profile,或者引用的動作參數profile不存在,則使用係統中各動作參數的缺省值。
(1) 進入係統視圖。
system-view
(2) 配置防病毒動作引用應用層檢測引擎動作參數profile。
anti-virus { email | logging | redirect } parameter-profile profile-name
缺省情況下,防病毒動作未引用應用層檢測引擎動作參數profile。
DPI應用profile是一個安全業務的配置模板,為實現防病毒功能,必須在DPI應用profile中引用指定的防病毒策略。一個DPI應用profile中隻能引用一個防病毒策略,如果重複配置,則新的配置會覆蓋已有配置。
(1) 進入係統視圖。
system-view
(2) 進入DPI應用profile視圖。
app-profile profile-name
關於該命令的詳細介紹請參見“DPI深度安全命令參考”中的“應用層檢測引擎”。
(3) 在DPI應用profile中引用防病毒策略。
anti-virus apply policy policy-name mode { alert | protect }
缺省情況下,DPI應用profile中未引用防病毒策略。
缺省情況下,當防病毒業務發生配置變更時(即策略或規則被創建、修改和刪除),係統將會檢測在20秒的間隔時間內是否再次發生了配置變更,並根據判斷結果執行如下操作:
· 如果間隔時間內未發生任何配置變更,則係統將在下一個間隔時間結束時(即40秒時)執行一次激活操作,使這些策略和規則的配置生效。
· 如果間隔時間內再次發生了配置變更,則係統將繼續按照間隔時間周期性地檢測是否發生配置變更。
如果用戶希望對變更的配置立即進行激活,可執行inspect activate命令手工激活,使配置立即生效。
有關此功能的詳細介紹請參見“DPI深度安全配置指導”中的“應用層檢測引擎”。
(1) 進入係統視圖。
system-view
(2) 激活防病毒策略和規則配置。
inspect activate
缺省情況下,防病毒策略和規則被創建、修改和刪除後,係統會自動激活配置使其生效。
執行此命令會暫時中斷DPI業務的處理,可能導致其他基於DPI功能的業務同時出現中斷。例如,安全策略無法對應用進行訪問控製等。
(1) 進入係統視圖。
system-view
(2) 進入安全策略視圖。
security-policy { ip | ipv6 }
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略規則的動作為允許。
action pass
缺省情況下,安全策略規則動作是丟棄。
(5) 配置安全策略規則引用DPI應用profile。
profile app-profile-name
缺省情況下,安全策略規則中未引用DPI應用profile。
· 請勿刪除設備存儲介質根目錄下的/dpi/文件夾,否則設備升級或回滾特征庫會失敗。
· 當係統內存使用狀態處於告警門限狀態時,請勿進行特征庫升級或回滾,否則易造成設備特征庫升級或回滾失敗,進而影響防病毒的正常運行。有關內存告警門限狀態的詳細介紹請參見“基礎配置指導”中的“設備管理”。
· 自動在線升級(包括定期自動在線升級和立即自動在線升級)防病毒特征庫時,需要確保設備能通過靜態或動態域名解析方式獲得H3C官方網站的IP地址,並與之路由可達,否則設備升級防病毒特征庫會失敗。有關域名解析功能的配置請參見“三層技術-IP業務配置指導”中的“域名解析”。
· 同一時刻隻能對一個特征庫進行升級,如果當前已有其他特征庫正在升級,請稍後再試。
如果設備可以訪問H3C官方網站,可以采用定期自動在線升級方式來對設備上的病毒特征庫進行升級。
(1) 進入係統視圖。
system-view
(2) 開啟定期自動在線升級病毒特征庫功能,並進入自動在線升級配置視圖。
anti-virus signature auto-update
缺省情況下,定期自動在線升級病毒特征庫功能處於關閉狀態。
(3) 配置定期自動在線升級病毒特征庫的時間。
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
缺省情況下,設備在每天02:01:00至04:01:00之間自動升級病毒特征庫。
當管理員發現H3C官方網站上的特征庫服務專區中的病毒特征庫有更新時,可以采用立即自動在線升級方式來及時升級病毒特征庫版本。
(1) 進入係統視圖。
system-view
(2) 立即自動在線升級病毒特征庫。
anti-virus signature auto-update-now
如果設備不能訪問H3C官方網站上的特征庫服務專區,管理員可以采用如下幾種方式手動離線升級病毒特征庫版本。
· 本地升級:使用本地保存的特征庫文件升級係統上的病毒特征庫版本。
· FTP/TFTP升級:通過FTP或TFTP方式下載遠程服務器上保存的特征庫文件,並升級係統上的病毒特征庫版本。
使用本地升級方式離線升級特征庫版本時,特征庫文件隻能存儲在當前主用設備上,否則設備升級特征庫會失敗。
如果管理員希望手動離線升級特征庫時發送給TFTP、FTP服務器的請求報文的源IP地址是一個特定的地址時,可配置source參數。例如,當組網環境中設備發出的報文需要經過NAT地址轉換後才能訪問TFTP、FTP服務器時,則需要管理員通過source參數指定一個符合NAT地址轉換規則的源IP地址(其中,如果設備需要經過一台獨立的NAT設備進行地址轉換時,本命令指定的IP地址必須可以與NAT設備三層路由可達),使設備發出的報文可以進行NAT地址轉換等處理,正常訪問TFTP、FTP服務器。
當同時配置了source和vpn-instance參數時,需要保證source中指定的源IP地址或接口所屬VPN實例與vpn-instance中配置的VPN實例相同。
(1) 進入係統視圖。
system-view
(2) 手動離線升級病毒特征庫。
anti-virus signature update file-path [ vpn-instance vpn-instance-name ] [ source { ip | ipv6 } { ip-address | interface interface-type interface-number } ]
H3C官方網站上的特征庫服務專區根據設備的內存大小以及軟件版本為用戶提供了不同的特征庫。管理員需要根據設備實際情況獲取相應的特征庫,如果為小內存設備(8GB以下)升級了適用於大內存設備(8GB以上)的特征庫,可能會導致設備異常,請謹慎操作。
病毒特征庫版本每次回滾前,設備都會備份當前版本。多次回滾上一版本的操作將會在當前版本和上一版本之間反複切換。例如,當前病毒特征庫版本是V2,上一版本是V1。第一次執行回滾到上一版本的操作後,特征庫替換成V1版本,再執行回滾上一版本的操作則特征庫重新變為V2版本。
(1) 進入係統視圖。
system-view
(2) 回滾病毒特征庫。
anti-virus signature rollback { factory | last }
完成上述配置後,在任意視圖下執行display命令可以顯示配置後防病毒的運行情況,通過查看顯示信息驗證配置的效果。
表1-1 防病毒顯示和維護
|
操作 |
命令 |
|
顯示防病毒緩存信息 |
display anti-virus cache [ slot slot-number ] |
|
顯示病毒特征信息 |
display anti-virus signature [ [ signature-id ] | [ severity { critical | high | low | medium } ] ] |
|
顯示病毒特征家族信息 |
display anti-virus signature family-info |
|
顯示病毒特征庫版本信息 |
display anti-virus signature library |
|
顯示防病毒統計信息 |
display anti-virus statistics [ policy policy-name ] [ slot slot-number ] |
如圖1-3所示,Device分別通過Trust安全域和Untrust安全域與局域網和Internet相連。現要求使用設備上的缺省防病毒策略對用戶數據報文進行防病毒檢測和防禦。
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達外網Web Server的下一跳IP地址為2.2.2.2,實際使用中請以具體組網情況為準,具體配置步驟如下。
[Device] ip route-static 5.5.5.0 24 2.2.2.2
(3) 配置接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置DPI應用profile並激活防病毒策略配置
# 創建名為sec的DPI應用profile,在DPI應用profile sec中引用缺省防病毒策略default,並指定該防病毒策略的模式為protect。
[Device] app-profile sec
[Device-app-profile-sec] anti-virus apply policy default mode protect
[Device-app-profile-sec] quit
# 激活防病毒策略配置。
[Device] inspect activate
(5) 配置安全策略
# 配置名稱為trust-untrust的安全策略規則,使內網用戶可以訪問外網,並對交互報文進行防病毒檢測。具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-10-trust-untrust] source-zone trust
[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-10-trust-untrust] destination-zone untrust
[Device-security-policy-ip-10-trust-untrust] action pass
[Device-security-policy-ip-10-trust-untrust] profile sec
[Device-security-policy-ip-10-trust-untrust] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
以上配置生效後,使用缺省防病毒策略可以對已知攻擊類型的網絡攻擊進行防禦。
如圖1-4所示,Device分別通過Trust安全域和Untrust安全域與局域網和Internet相連。現有組網需求如下:
· 將編號為2的預定義病毒特征設置為病毒例外。
· 將名稱為139Email的應用設置為應用例外。
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達外網Web Server的下一跳IP地址為2.2.2.2,實際使用中請以具體組網情況為準,具體配置步驟如下。
[Device] ip route-static 5.5.5.0 24 2.2.2.2
(3) 配置接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置防病毒策略
# 創建一個名稱為antivirus1的防病毒策略,將編號為2的預定義病毒特征設置為病毒例外,將名稱為139Email的應用設置為應用例外,並設置其動作為告警。
[Device] anti-virus policy antivirus1
[Device-anti-virus-policy-antivirus1] exception signature 2
[Device-anti-virus-policy-antivirus1] exception application 139Email action alert
[Device-anti-virus-policy-antivirus1] quit
(5) 配置DPI應用profile並激活防病毒策略配置
# 創建名為sec的DPI應用profile,在DPI應用profile sec中應用防病毒策略antivirus1,並指定該防病毒策略的模式為protect。
[Device] app-profile sec
[Device-app-profile-sec] anti-virus apply policy antivirus1 mode protect
[Device-app-profile-sec] quit
# 激活防病毒策略配置。
[Device] inspect activate
(6) 配置安全策略
# 配置名稱為trust-untrust的安全策略規則,使內網用戶可以訪問外網,並對交互報文進行防病毒檢測。具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-10-trust-untrust] source-zone trust
[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-10-trust-untrust] destination-zone untrust
[Device-security-policy-ip-10-trust-untrust] action pass
[Device-security-policy-ip-10-trust-untrust] profile sec
[Device-security-policy-ip-10-trust-untrust] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
以上配置生效後,在防病毒策略antivirus1中可看到以上有關防病毒策略的配置。
如圖1-5所示,位於Trust安全域的局域網用戶通過Device可以訪問Untrust安全域的Internet資源,以及DMZ安全域的FTP服務器。FTP服務器根目錄下保存了最新的病毒特征庫文件anti-virus-1.0.8-encrypt.dat,FTP服務器的登錄用戶名和密碼分別為anti-virus和123。現需要手動離線升級病毒特征庫,加載最新的病毒特征。
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達外網Web Server的下一跳IP地址為2.2.2.2,實際使用中請以具體組網情況為準,具體配置步驟如下。
[Device] ip route-static 5.5.5.0 24 2.2.2.2
(3) 配置接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/3
[Device-security-zone-DMZ] quit
(4) 配置安全策略
¡ 配置安全策略規則放行Trust到Untrust安全域的流量,使內網用戶可以訪問外網資源
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-10-trust-untrust] source-zone trust
[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-10-trust-untrust] destination-zone untrust
[Device-security-policy-ip-10-trust-untrust] action pass
[Device-security-policy-ip-10-trust-untrust] quit
¡ 配置安全策略規則放行Trust到DMZ安全域的流量,使內網用戶可以訪問DMZ安全域中的服務器
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-dmz
[Device-security-policy-ip-11-trust-dmz] source-zone trust
[Device-security-policy-ip-11-trust-dmz] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-11-trust-dmz] destination-zone dmz
[Device-security-policy-ip-11-trust-dmz] action pass
[Device-security-policy-ip-11-trust-dmz] quit
¡ 配置安全策略規則放行設備與FTP服務器之間的流量,使設備可以訪問FTP服務器,獲取特征庫文件
[Device] security-policy ip
[Device-security-policy-ip] rule name downloadlocalout
[Device-security-policy-ip-12-downloadlocalout] source-zone local
[Device-security-policy-ip-12-downloadlocalout] destination-zone dmz
[Device-security-policy-ip-12-downloadlocalout] destination-ip-subnet 192.168.2.0 24
[Device-security-policy-ip-12-downloadlocalout] application ftp
[Device-security-policy-ip-12-downloadlocalout] application ftp-data
[Device-security-policy-ip-12-downloadlocalout] action pass
[Device-security-policy-ip-12-downloadlocalout] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
(5) 手動升級防病毒特征庫
# 采用FTP方式手動離線升級設備上的病毒特征庫,被加載的病毒特征庫文件名為anti-virus-1.0.8-encrypt.dat。
[Device] anti-virus signature update ftp://anti-virus:[email protected]/anti-virus-1.0.8-encrypt.dat
病毒特征庫升級後,可以通過display anti-virus signature library命令查看當前特征庫的版本信息。
如圖1-6所示,位於Trust安全域的局域網用戶通過Device可以訪問Untrust安全域的Internet資源。現要求每周六上午九點前後半小時內,開始定期自動在線升級設備的病毒特征庫。
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達外網Web Server的下一跳IP地址為2.2.2.2,實際使用中請以具體組網情況為準,具體配置步驟如下。
[Device] ip route-static 5.5.5.0 24 2.2.2.2
(3) 配置接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置DNS服務器地址
# 指定DNS服務器的IP地址為10.72.66.36,確保Device可以獲取到官網的IP地址,具體配置步驟如下。
[Device] dns server 10.72.66.36
(5) 配置安全策略
¡ 配置安全策略規則放行Trust到Untrust安全域的流量,使內網用戶可以訪問外網資源
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-10-trust-untrust] source-zone trust
[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-10-trust-untrust] destination-zone untrust
[Device-security-policy-ip-10-trust-untrust] action pass
[Device-security-policy-ip-10-trust-untrust] quit
¡ 配置安全策略規則放行Local到Untrust安全域的流量,使設備可以訪問官網的特征庫服務專區,獲取特征庫文件
[Device] security-policy ip
[Device-security-policy-ip] rule name downloadlocalout
[Device-security-policy-ip-11-downloadlocalout] source-zone local
[Device-security-policy-ip-11-downloadlocalout] destination-zone untrust
[Device-security-policy-ip-11-downloadlocalout] action pass
[Device-security-policy-ip-11-downloadlocalout] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
(6) 配置定期自動在線升級病毒特征庫
# 設置定時自動升級病毒特征庫計劃為:每周六上午9:00:00前後30分鍾內,開始自動升級。
[Device] anti-virus signature auto-update
[Device-anti-virus-autoupdate] update schedule weekly sat start-time 9:00:00 tingle 60
[Device-anti-virus-autoupdate] quit
設置的定期自動在線升級病毒特征庫時間到達後,可以通過display anti-virus signature library命令查看當前特征庫的版本信息
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
