- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
07-域名信譽配置
本章節下載: 07-域名信譽配置 (276.95 KB)
目 錄
域名信譽功能用於根據域名信譽特征庫和雲端服務器中記錄的域名信息對網絡流量進行過濾,允許或禁止用戶訪問某些網站,達到規範用戶上網行為的目的。
域名信譽特征庫主要是具有僵屍主機DDoS攻擊、命令注入攻擊、木馬下載和端口掃描等風險的域名集合。特征庫中包含每個域名所屬的攻擊類型等信息。
雲端服務器向設備提供域名信譽雲端查詢功能,用於擴充本地加載的域名信譽特征庫。當域名信譽特征庫無法匹配報文中的域名信息時,可通過域名信譽雲端查詢功能,將域名信息上送雲端服務器進行查詢。雲端服務器完成檢測後,會將檢測結果發送給設備,設備會將檢測結果保存到本地域名信譽緩存中,便於後續報文直接在本地進行域名信譽匹配,而不必再上送雲端服務器查詢。
本地域名信譽包括設備加載的域名信譽特征庫及雲端服務器的曆史查詢結果(即本地域名信譽緩存)。
域名信譽對報文的處理流程如圖1-1所示:
域名信譽功能對報文的處理過程如下:
(1) 設備將DNS請求報文中提取的域名與例外域名進行匹配。如果匹配成功,則放行報文;如果匹配失敗,則進入下一步處理。
(2) 設備將域名與本地域名信譽進行匹配。
¡ 如果匹配成功,則進行如下判斷:
- 如果域名屬於一個攻擊類型,則執行該攻擊類型的動作。
- 如果域名同屬於多個攻擊類型,則執行嚴重級別最高的動作。
其中,如果動作為“允許”,則設備將允許此報文通過;如果動作為“丟棄”,則設備將丟棄此報文;如果動作為“日誌”,則設備將記錄域名信譽日誌。
¡ 如果匹配失敗,設備將判斷是否已開啟域名信譽雲端查詢功能。如果已開啟,則放行報文並將域名上送雲端服務器進行查詢,設備會將服務器返回的查詢結果保存到本地域名信譽緩存中,便於後續報文在本地進行域名信譽匹配,而不必再上送雲端服務器;如果未開啟,則直接放行報文。
域名信譽功能需要購買並正確安裝License才能使用。License過期後,域名信譽功能可以采用設備中已有的特征庫正常工作,但無法升級特征庫。同時,雲端查詢功能也不可用。關於License的詳細介紹請參見“基礎配置指導”中的“License管理”。
域名信譽配置任務如下:
(1) 開啟全局域名信譽功能
(2) 配置攻擊分類執行的動作
(3) (可選)配置例外域名
(4) (可選)開啟域名信譽雲端查詢功能
(5) (可選)配置域名信譽特征庫升級
(6) (可選)開啟命中域名信譽庫的Top排名統計功能
開啟域名信譽功能後,當DNS報文中的域名匹配到域名信譽特征庫中域名後,設備將對報文執行此域名所屬攻擊分類的動作。
(1) 進入係統視圖。
system-view
(2) 進入域名信譽視圖。
domain-reputation
(3) 開啟全局域名信譽功能。
global enable
缺省情況下,全局域名信譽功能處於關閉狀態。
域名信譽特征庫中,一個域名可屬於多種攻擊分類,缺省情況下,每種攻擊分類的執行動作均為允許和記錄日誌,管理員可以根據實際需求,為指定的攻擊分類配置執行動作。
當域名隻屬於一種攻擊分類時,設備將對匹配上該域名的報文執行攻擊分類對應的動作;當域名屬於多種攻擊分類時,設備將對匹配上該域名的報文執行多種攻擊分類中嚴重級別最高的動作。其中,動作的嚴重級別從高到底依次為:丟棄>允許。
隻要域名所屬的任一攻擊分類配置了日誌動作,則對匹配上該域名的報文記錄日誌。
設備僅支持以快速日誌的方式輸出域名信譽日誌,有關快速日誌的詳細介紹,請參見“網絡管理和監控配置指導”中的“快速日誌輸出”。
(1) 進入係統視圖。
system-view
(2) 進入域名信譽視圖。
domain-reputation
(3) 配置攻擊分類執行的動作。
attack-category attack-id { action { deny | permit } | logging { disable | enable } } *
缺省情況下,未配置對指定攻擊分類執行的動作,設備執行特征庫中的缺省動作。
當管理員信任某些域名,不希望設備對其進行域名信譽檢測時,可將該域名設置為例外。
當設備在DNS報文中檢測到的域名匹配例外域名時,將直接放行報文。
當設備從DNS報文中提取到的域名與例外域名匹配時,設備除了不對該報文進行域名信譽業務處理之外,也不會對該報文進行DGA域名檢測業務的處理。有關DGA域名檢測業務的相關介紹,請參加“DPI深度安全配置指導”中的“DGA域名檢測”。
(1) 進入係統視圖。
system-view
(2) 配置例外域名。
inspect domain-name exception domain-name
缺省情況下,未配置例外域名。
關於該命令的詳細介紹,請參見“DPI深度安全命令參考”中的“DGA域名檢測”。
域名信譽雲端查詢功能用於提升設備對僵屍主機DDoS攻擊、木馬下載和端口掃描等風險的檢測能力,當設備加載的域名信譽特征庫不足以滿足用戶的需求或者設備未加載域名信譽特征庫時,可通過開啟域名信譽雲端查詢功能,提升設備的域名信譽業務檢測能力。
開啟域名信譽雲端查詢功能後,設備會將與本地域名信譽特征庫匹配失敗的DNS報文中的域名封裝到查詢報文中,發往雲端服務器進行查詢,雲端服務器完成查詢後,會將查詢結果返回給設備。查詢結果中包含如下信息:
· 域名是否存在僵屍主機DDoS攻擊、木馬下載和端口掃描等攻擊風險的標識。
· 檢測到的風險所屬的攻擊分類。
配置本功能前,請確保信譽業務雲端服務器處於已連接狀態。可通過Web界麵的“雲端服務器”頁麵查看信譽雲端服務器的連接狀態。有關信譽業務雲端服務器配置的相關介紹,請參見“DPI深度安全配置指導”中的“應用層檢測引擎”。
(1) 進入係統視圖。
system-view
(2) 進入域名信譽視圖。
domain-reputation
(3) 開啟域名信譽雲端查詢功能。
cloud-query enable
缺省情況下,域名信譽雲端查詢功能處於關閉狀態。
請勿刪除設備存儲介質根目錄下的/dpi/文件夾,否則設備升級特征庫會失敗。
當係統內存使用狀態處於告警門限狀態時,請勿進行特征庫升級,否則易造成設備特征庫升級失敗,進而影響域名信譽功能的正常運行。有關內存告警門限狀態的詳細介紹請參見“基礎配置指導”中的“設備管理”。
自動在線升級(包括定期自動在線升級和立即自動在線升級)域名信譽特征庫時,需要確保設備能通過靜態或動態域名解析方式獲得官方網站的IP地址,並與之路由可達,否則設備升級域名信譽特征庫會失敗。有關域名解析功能的配置請參見“三層技術-IP業務配置指導”中的“域名解析”。
同一時刻隻能對一個特征庫進行升級,如果當前已有其他特征庫正在升級,請稍後再試。
如果設備可以訪問官方網站上的特征庫服務專區,可以采用定期自動在線升級方式來對設備上的域名信譽特征庫進行升級。
(1) 進入係統視圖。
system-view
(2) 開啟定期自動在線升級域名信譽特征庫功能,並進入自動在線升級配置視圖。
domain-reputation signature auto-update
缺省情況下,定期自動在線升級域名信譽特征庫功能處於關閉狀態。
(3) 配置定期自動在線升級域名信譽特征庫的時間。
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
缺省情況下,設備在每天01:00:00至03:00:00之間自動開始升級域名信譽特征庫。
當管理員發現官方網站上的特征庫服務專區中的域名信譽特征庫有更新時,可以選擇立即自動在線升級方式來及時升級域名信譽特征庫版本。
執行此命令後,將立即自動升級設備上的域名信譽特征庫,且會備份當前的域名信譽特征庫文件。此命令的生效與否,與是否開啟了定期自動升級域名信譽特征庫功能無關。
(1) 進入係統視圖。
system-view
(2) 立即自動在線升級域名信譽特征庫。
domain-reputation signature auto-update-now
如果設備不能訪問官方網站上的特征庫服務專區,管理員可以采用如下幾種方式手動離線升級域名信譽特征庫版本:
· 本地升級:使用設備本地保存的特征庫文件升級係統中的域名信譽特征庫版本,使用此方式前,請先從官方網站獲取特征庫文件並導入到設備中。
· FTP/TFTP升級:通過FTP或TFTP方式下載遠程服務器上保存的特征庫文件,並升級係統中的域名信譽特征庫版本。
使用本地升級方式離線升級特征庫版本時,特征庫文件隻能存儲在當前主用設備上,否則設備升級特征庫會失敗。
如果管理員希望手動離線升級特征庫時發送給TFTP、FTP服務器的請求報文的源IP地址是一個特定的地址時,可配置source參數。例如,當組網環境中設備發出的報文需要經過NAT地址轉換後才能訪問TFTP、FTP服務器時,則需要管理員通過source參數指定一個符合NAT地址轉換規則的源IP地址(其中,如果設備需要經過一台獨立的NAT設備進行地址轉換時,本命令指定的IP地址必須可以與NAT設備三層路由可達),使設備發出的報文可以進行NAT地址轉換等處理,正常訪問TFTP、FTP服務器。
當同時配置了source和vpn-instance參數時,需要保證source中指定的源IP地址或接口所屬VPN實例與vpn-instance中配置的VPN實例相同。
(1) 進入係統視圖。
system-view
(2) 手動離線升級域名信譽特征庫。
domain-reputation signature update file-path [ vpn-instance vpn-instance-name ] [ source { ip | ipv6 } { ip-address | interface interface-type interface-number } ]
開啟本功能後,設備將對命中域名信譽特征庫的域名進行統計排名。
關閉本功能後,統計信息將自動清空。
(1) 進入係統視圖。
system-view
(2) 進入域名信譽視圖。
domain-reputation
(3) 開啟命中域名信譽庫的Top排名統計功能。
top-hit-statistics enable
缺省情況下,命中域名信譽庫的Top排名統計功能處於關閉狀態。
當管理員發現設備當前內存不足或不需要當前域名信譽特征庫時,可以執行本命令對當前域名信譽特征庫版本進行刪除,以釋放內存空間。
(1) 進入係統視圖。
system-view
(2) 刪除域名信譽特征庫。
domain-reputation signature rollback factory
在完成上述配置後,在任意視圖下執行display命令可以顯示域名信譽的配置信息和命中域名信譽庫的Top排名統計信息等,通過查看顯示信息驗證配置的效果。
表1-1 域名信譽顯示和維護
|
操作 |
命令 |
|
顯示域名信譽攻擊分類信息 |
display domain-reputation attack-category |
|
顯示域名信譽特征庫信息 |
display domain-reputation signature library |
|
顯示命中域名信譽庫的Top排名統計信息 |
display domain-reputation top-hit-statistics [ top-number ] [ slot slot-id ] |
|
顯示域名的域名信譽信息 |
display domain-reputation domain domain-name |
如圖1-2所示,Device分別通過Trust安全域和Untrust安全域與局域網和Internet相連。現在需要通過使能域名信譽功能,對公司各部門的非法域名請求進行控製。
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達外網Web Server的下一跳IP地址為2.2.2.2,實際使用中請以具體組網情況為準,具體配置步驟如下。
[Device] ip route-static 5.5.5.0 24 2.2.2.2
(3) 配置接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置安全策略
# 配置名稱為trust-untrust的安全策略規則,使內網用戶可以訪問外網。具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-10-trust-untrust] source-zone trust
[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-10-trust-untrust] destination-zone untrust
[Device-security-policy-ip-10-trust-untrust] action pass
[Device-security-policy-ip-10-trust-untrust] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
(5) 配置域名信譽功能
# 開啟域名信譽功能。
[Device] domain-reputation
[Device-domain-reputation] global enable
# 開啟Top排名統計功能。
[Device-domain-reputation] top-hit-statistics enable
# 配置域名信譽庫中編號為1的攻擊分類對應的動作為丟棄和記錄日誌。
[Device-domain-reputation] attack-category 1 action deny logging enable
配置完成後,當攻擊報文匹配到編號為1的攻擊分類時,設備將對報文執行丟棄動作,並會記錄日誌。管理員可到Web界麵側查看域名信譽Top排名統計信息。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
