HCIE-Security 反病毒培训上机指导书
HCIE-Security UTM培训上机指导书
(学员用书)
ISSUE 2.00
1
HCIE-Security 反病毒培训上机指导书
目 录
1 反病毒实验............................................................................................................................... 3 1.1 反病毒实验 ........................................................................................................................ 3 2 入侵防御实验 ......................................................................................................................... 12 2.1 入侵防御实验 .................................................................................................................. 12 3 URL过滤技术实验 ................................................................................................................ 20 3.1 URL过滤技术实验.......................................................................................................... 20 4 内容过滤实验 ......................................................................................................................... 30 4.1 内容过滤实验 .................................................................................................................. 30 5 文件过滤实验 ......................................................................................................................... 36 5.1 文件过滤实验 .................................................................................................................. 36 6 UTM邮件过滤实验 ................................................................................................................ 43 6.1 邮件过滤技术实验 .......................................................................................................... 43 7 应用行为控制实验 ................................................................................................................. 52 7.1 应用行为控制实验 .......................................................................................................... 52
2
HCIE-Security 反病毒培训上机指导书
1 1.1 反病毒实验
实验目的 组网设备
NGFW防火墙一台,PC机两台。
反病毒实验
通过本实验,你将了解反病毒的工作原理及详细配置。
实验拓扑图 G0/0/1172.10.1.1/24172.10.2.2/24HFS172.10.1.2/24客户端G0/0/2172.10.2.1/24服务器实验步骤
Step 1 配置测试环境
3
HCIE-Security 反病毒培训上机指导书
1) Server PC运行Http File Server软件,建立两个目录,一个用于上传,
一个用于下载,将测试样本8015.com放到下载目录(选择Real folder)。并设置上传目录上传用户。
hfs.zip
2) 防火墙和PC按照实验拓扑图进行接口和IP地址配置。
a) 防火墙接口配置
G0/0/1:172.10.1.1/24, 加入trust域 G0/0/2:172.10.2.1/24, 加入untrust域 b) 客户端接口配置
IP:172.10.1.2/24
Route: route add 172.10.2.0 mask 255.255.255.0 172.10.1.1 c) 服务器接口配置
4
HCIE-Security 反病毒培训上机指导书
IP:172.10.2.2/24
Route: route add 172.10.1.0 mask 255.255.255.0 172.10.2.1
Step 2 配置设备
1) 在系统-->升级中心通过-->反病毒特征库查看当前版本:
并通过本地升级操作加载反病毒测试特征库:
2) 新建反病毒配置文件av_test,查看各协议检测方向和响应动作配置。
5
HCIE-Security 反病毒培训上机指导书
3) 新建安全策略,引用反病毒配置文件av_test。
4) Client PC通过HTTP访问sever端目录test,下载病毒样本文件8015.com。
6
HCIE-Security 反病毒培训上机指导书
页面显示“无法显示网页”。
5) Client PC通过HTTP访问sever端目录test_upload。
7
HCIE-Security 反病毒培训上机指导书
选择病毒样本文件8015.com。
页面显示“无法显示网页”。
8
HCIE-Security 反病毒培训上机指导书
验证结果
在监控-->日志-->威胁日志中查看是否有病毒日志产生。
附件: 反病毒测试特征库:
病毒样本:
9
HCIE-Security 反病毒培训上机指导书
HCIE-Security IPS培训上机指导书
(学员用书)
ISSUE 2.00
10
HCIE-Security 反病毒培训上机指导书
目 录
1 入侵防御实验 ......................................................................................................................... 12 1.1 入侵防御实验 .................................................................................................................. 12
11
HCIE-Security 反病毒培训上机指导书
2 2.1 入侵防御实验
实验目的 组网设备
USG防火墙一台,PC机两台。 入侵防御实验
通过本实验,你将了解入侵防御的工作原理及详细配置。
实验拓扑图 172.10.2.153/24G0/0/1172.10.1.1/24G0/0/2172.10.2.1/24防火墙HFS172.10.1.87/24客户端服务器
图 1
实验步骤(命令行)
Step 1 配置入侵防御配置文件(Profile)和Profile中的签名过滤器
[USG6300] profile type ips name profile_ips_pc [USG6300-profile-ips-ipsprof] signature-set name filter1 [USG6300-profile-ips-ipsprof-sigset-SigSet] protocol HTTP [USG6300-profile-ips-ipsprof-sigset-SigSet]action block
Step 2 配置安全策略规则(Rule)
12
HCIE-Security 反病毒培训上机指导书
配置一条安全策略规则,默认动作设置为允许,源域、目的域设置为any,并引用入侵防御配置文件: [USG6600]security-policy
[USG6300-policy-security]rule name Policy [USG6300-policy-security-rule-Policy]action permit [USG6300-policy-security-rule-Policy]source-zone any [USG6300-policy-security-rule-Policy]destination-zone any [USG6300-policy-security-rule-Policy] profile ips profile_ips_pc
Step 3 配置自定义签名
[USG6300]ips signature-id 1
[USG6300-ips-signature-1]rule name rule_1
[USG6300-ips-signature-1-rule-rule_1]condition 1 field HTTP.URI.Length operate gthan value 0
Step 4 提交配置
[USG6300]engine configuration commit
Step 5 配置接口地址
配置设备g1/0/0和g1/0/1两块网卡的IP地址,作为两个区域业务的网关: [USG6600]interface GigabitEthernet 1/0/0
[USG6600-GigabitEthernet1/0/0]ip address 172.10.1.1 24 [USG6600]interface GigabitEthernet 1/0/1
[USG6600-GigabitEthernet1/0/1]ip address 172.10.2.1 24
Step 6 配置安全域
将g1/0/0加入trust安全域作为内网用户使用,g1/0/1加入untrust安全域作为外网服务器使用: [USG6600]firewall zone trust
[USG6600-zone-trust]add interface GigabitEthernet 1/0/0 [USG6600]firewall zone untrust
[USG6600-zone-untrust]add interface GigabitEthernet 1/0/1
Step 7 配置服务器IP及路由
将服务器的业务网卡IP配置为“172.10.2.153/24”,并添加一条到“172.10.1.0/24”的路由: Windows系统:
C:\\>route add 172.10.2.0 mask 255.255.255.0 172.10.1.1 Linux系统:
[root@linux ~]# route add -net 172.10.2.0/24 gw 172.10.1.1
13
HCIE-Security 反病毒培训上机指导书
Step 8 配置客户端IP及路由
将客户端的业务网卡IP设置为“172.10.1.87/24”,并添加一条到“172.10.2.0/24”的路由: Windows系统:
C:\\>route add 172.10.1.0 mask 255.255.255.0 172.10.2.1 Linux系统:
[root@linux ~]# route add -net 172.10.1.0/24 gw 172.10.2.1
实验步骤(Web)
Step 1 配置入侵防御配置文件(Profile)和Profile下的签名过滤器
新建入侵防御配置文件(名称为profile_ips_pc,其他可选),并配置过滤器(名称为filter1),将签名过滤器中的协议配置为HTTP,动作设置为阻断,如下图所示:
14
HCIE-Security 反病毒培训上机指导书
配置IPS Profile信息:
配置IPS profile下的签名过滤器:
Step 2 配置安全策略规则(Rule)
15
HCIE-Security 反病毒培训上机指导书
新建一条安全策略,并引用刚才配置的入侵防御的配置文件(Profile),如下图所示:
Step 3 配置自定义签名
16
HCIE-Security 反病毒培训上机指导书
配置自定义签名基本特征:
配置自定义签名规则:
Step 4 提交配置编译
17
HCIE-Security 反病毒培训上机指导书
Step 5 配置设备接口地址、安全域
配置g1/0/0接口IP为“172.10.1.1/24”,并加入trust安全域:
同上配置方式,将g1/0/1接口IP为“172.10.2.1/24”,并加入untrust安全域。
Step 6 配置服务器IP及路由
将服务器的业务网卡IP配置为“172.10.2.153/24”,并添加一条到“172.10.1.0/24”的路由: Windows系统:
C:\\>route add 172.10.2.0 mask 255.255.255.0 172.10.1.1 Linux系统:
[root@linux ~]# route add -net 172.10.2.0/24 gw 172.10.1.1
18
HCIE-Security 反病毒培训上机指导书
Step 7 配置客户端IP及路由
将客户端的业务网卡IP设置为“172.10.1.87/24”,并添加一条到“172.10.2.0/24”的路由: Windows系统:
C:\\>route add 172.10.1.0 mask 255.255.255.0 172.10.2.1 Linux系统:
[root@linux ~]# route add -net 172.10.1.0/24 gw 172.10.2.1
验证结果
Step 8 开启HTTP服务
在服务器端启动HTTP服务(本文以HFS软件为例),设置HTTP服务绑定的IP及端口号(172.10.2.153:8080)。
Step 9 访问HTTP服务
在客户端通过浏览器访问服务器HTTP服务(http://172.10.2.153:8080)。
Step 10 访问服务器结果
检测到威胁,流量被阻断,无法访问HTTP服务器。
19
HCIE-Security 反病毒培训上机指导书
Step 11 日志信息
在设备的监控日志中可以查询到入侵防御威胁日志信息,如下图所示:
3 3.1 URL过滤技术实验
实验目的 组网设备
资源 PC USG设备 模拟用户 描述 URL过滤技术实验
通过本实例实验,你将了解URL过滤技术的工作原理及详细配置。本实验的目标是为了控制用户对WEB应用的访问。
数量 2 1 20
1个管理口,1个串口,4个GE以太口
HCIE-Security 反病毒培训上机指导书
交换机 Web服务器 安全服务中心服务器 WFE服务器
组网用 模拟网络中web服务器,可用PC替代 已配置好,模拟升级中心服务器 已配置好,模拟URL远程查询服务器 2 1 1 1 实验拓扑图
10.1.1.100/24TrustGE1/0/110.1.1.1/24GE1/0/21.1.1.1/24SW2NGFWUntrust1.1.1.202/24安全服务中心用户AWFE服务器SW11.1.1.201/24用户B10.1.1.101/24Web服务器1.1.1.200/24 实验步骤(命令行) Step 1 配置基本属性参数 a.配置用户A和用户B 的PC 用户A的PC配置: IP地址为10.1.1.100,子网掩码为255.255.255.0,默认网关为10.1.1.1。 用户B的PC配置: b.配置防火墙网络参数 配置GiagbitEthernet 1/0/1和GiagbitEthernet 1/0/2接口IP地址 [USG]interface GigabitEthernet 1/0/1 [USG]interface GigabitEthernet 1/0/2 [USG-GigabitEthernet1/0/1]ip address 1.1.1.1 24 接口加入安全域 [USG]firewall zone trust [USG-zone-trust]add interface GigabitEthernet 1/0/1 21
IP地址为10.1.1.101,子网掩码为255.255.255.0,默认网关为10.1.1.1。
[USG-GigabitEthernet1/0/1]ip address 10.1.1.1 24
HCIE-Security 反病毒培训上机指导书
[USG]firewall zone untrust [USG-zone-untrust]add interface GigabitEthernet 1/0/2
配置时间段
[USG]time-range time_range
[USG-time-range- time_range]period-range 09:00:00 to 17:00:00 daily c.WEB服务器配置
1)IP地址设置为1.1.1.200,子网掩码255.255.255.0,默认网关为1.1.1.1。 2)在WEB服务器上安全HFS服务器软件,软件运行界面如下:
Step 2 配置URL相关参数
配置URL相关信息
配置自定义分类url_userdefined_cat1
[USG]url-filter category user-defined name url_userdefined_cat1 20:42:31 2014/08/04
[USG-category-user-defined-url_userdefined_cat1]add url www.abcd.com*
配置URL过滤profile_url_2
[USG]profile type url-filter name profile_url_2
[USG-profile-url-filter-profile_url_2]add whitelist url *education* [USG-profile-url-filter-profile_url_2]add whitelist url *bbs*
[USG-profile-url-filter-profile_url_2]category pre-defined action block
[USG-profile-url-filter-profile_url_2]category pre-defined category-id 5 action allow
22
HCIE-Security 反病毒培训上机指导书
[USG-profile-url-filter-profile_url_2]category pre-defined category-id 15 action allow
[USG-profile-url-filter-profile_url_2]category pre-defined category-id 17 action allow
[USG-profile-url-filter-profile_url_2]category user-defined action block
[USG-profile-url-filter-profile_url_2]category user-defined name url_userdefined_cat1 action allow
Step 3 配置安全策略
配置安全策略
配置安全策略sec_rule_2 [USG]security-policy
[USG-policy-security]rule name sec_rule_2
[USG-policy-security-rule-sec_rule_1]profile url-filter profile_url_2 [USG-policy-security-rule-sec_rule_1]source-zone trust [USG-policy-security-rule-sec_rule_1]destination-zone untrust [USG-policy-security-rule-sec_rule_1]time-range time_range [USG-policy-security-rule-sec_rule_1]action permit
Step 4 配置提交和执行访问操作 a.执行配置提交动作
[USG]engine configuration commit b.用户A的PC上访问Web服务器
1)修改本地hosts文件,设置域名和IP地址1.1.1.100对应关系。Hosts文件位于“C:\\WINDOWS\\system32\\drivers\\etc”目录下。
2)在浏览器地址栏中输入Web服务器IP地址对应的域名,访问web服务器。
23
HCIE-Security 反病毒培训上机指导书
实验步骤(Web)
Step 5 配置基本属性参数
3) 配置用户A和用户B 的PC及Web服务器
按照网络拓扑配置用户A,用户B的PC及Web 服务器的IP地址 用户A的PC配置:
IP地址为10.1.1.100,子网掩码为255.255.255.0,默认网关为10.1.1.1。 用户B的PC配置:
IP地址为10.1.1.101,子网掩码为255.255.255.0,默认网关为10.1.1.1。 WEB服务器配置:
IP地址为1.1.1.200,子网掩码255.255.255.0,默认网关为1.1.1.1。 4) 配置防火墙基本参数
a. 配置时间段
选择“对象”->“时间段”->“新建”,创建时间段。
24
HCIE-Security 反病毒培训上机指导书
b. 配置接口
选择“网络”->“接口”,单击GE1/0/1设置接口GE1/0/1参数
选择“网络”->“接口”,单击GE1/0/2设置接口GE1/0/2参数
25
HCIE-Security 反病毒培训上机指导书
5) WEB服务器配置
a.IP地址设置为1.1.1.200,子网掩码255.255.255.0,默认网关为1.1.1.1。 b.在WEB服务器上安全HFS服务器软件,软件运行界面如下:
Step 6 配置URL相关参数
1) 配置URL自定义分类
选择“对象”->“URL分类”->“新建”,创建URL分类url_userdefine_cat1
26
HCIE-Security 反病毒培训上机指导书
2) 配置URL过滤profile
a. 配置profile_url_2
选择“对象”->“安全配置文件”->“URL过滤”->“新建”,创建URL过滤配置文件profile_url_2。
设置profile_url_2下预定义分类动作:
27
HCIE-Security 反病毒培训上机指导书
Step 7 配置安全策略
1) 配置安全策略sec_rule_2
选择“策略”->“安全策略”->“新建”,创建安全策略sec_rule_2。
Step 8 配置提交和执行访问操作
1) 配置提交
2) 执行访问操作
28
HCIE-Security 反病毒培训上机指导书
1)修改本地hosts文件,设置域名和IP地址1.1.1.100对应关系。Hosts文件位于“C:\\WINDOWS\\system32\\drivers\\etc”目录下。
2)在浏览器地址栏中输入Web服务器IP地址对应的域名,访问web服务器。
验证结果
在“监控”->“日志”->“URL日志”,查看URL日志列表中是否有URL过滤日志,域间信息,用户和时间信息是否正确。
29
HCIE-Security 反病毒培训上机指导书
4 4.1 内容过滤实验
实验目的 组网设备
NGFW防火墙一台,PC机两台。 内容过滤实验
通过本实验,您将了解内容过滤的工作原理及详细配置。
实验拓扑图 G0/0/1172.10.1.1/24172.10.2.2/24172.10.1.2/24客户端G0/0/2172.10.2.1/24FTP服务器实验步骤 Step 1 配置测试环境
1) 准备测试样本。创建一个word类型文档。命名为test.docx,文档内容为“功能测试”,保存文档。 2) Server PC运行FTP服务器软件(Filezilla Server),配置FTP服务器
用户名,共享目录(勾选允许“写入”,“删除”和“追加”)。启动FTP服务器。
30
HCIE-Security 反病毒培训上机指导书
31
HCIE-Security 反病毒培训上机指导书
3) 在Client PC安装FTP客户端软件(Filezilla Client)。
4) 防火墙正常启动,防火墙和PC按照实验拓扑图进行接口和IP地址配置。
a) 防火墙接口配置
G0/0/1:172.10.1.1/24, 加入trust域 G0/0/2:172.10.2.1/24, 加入untrust域 b) 客户端接口配置
IP:172.10.1.2/24
Route: route add 172.10.2.0 mask 255.255.255.0 172.10.1.1 c) 服务器接口配置
IP:172.10.2.2/24
Route: route add 172.10.1.0 mask 255.255.255.0 172.10.2.1 5) 使用Client PC的FTP客户端连接Server PC运行FTP服务器 Step 2 配置文件过滤profile
1) 配置关键字组:在Web的“对象->认证服务器->关键字组”页面下创建一个新的关键字组“test_keywordgroup”,在这个关键字组中添加一个自定义关键字“test_keyword”并配置关键字内容为“功能测试”。
点击“确定”,查看配置好的关键字组,如下图所示:
32
HCIE-Security 反病毒培训上机指导书
2) 配置内容过滤的profile:在web的“对象->安全配置文件->内容过滤”
页面创建一个内容过滤profile,并引用刚才配置关键字组。注意动作为告警。
点击“确定”,查看配置好的profile:
3) 切换界面到web的“策略->安全策略”页面,创建一个安全策略“sec_rule”,
设置动作为“允许”,并在内容过滤的下拉菜单中选择刚才配置的文件过滤profile“test_profile”。
33
HCIE-Security 反病毒培训上机指导书
4) 点击界面右上角的“提交”,并确认。
5) 等待右上角提交按钮旁显示“提交成功”。说明配置成功:
34
HCIE-Security 反病毒培训上机指导书
Step 3 文件上传测试
通过FTP客户端上传test.docx文件到FTP服务器:文件传输成功。
验证结果
在“监控->日志->内容日志”中查看是否有告警日志。关注文件名称,应用协议,安全策略和配置文件是否与配置一致。
35
HCIE-Security 反病毒培训上机指导书
5 5.1 文件过滤实验
实验目的 组网设备
NGFW防火墙一台,PC机两台。 文件过滤实验
通过本实验,您将了解文件过滤的工作原理及详细配置。
实验拓扑图 G0/0/1172.10.1.1/24172.10.2.2/24172.10.1.2/24客户端G0/0/2172.10.2.1/24FTP服务器实验步骤 Step 1 配置测试环境
1) 准备测试样本。创建一个word类型文档。命名为test.docx,文档内容为“功能测试”,保存文档。 2) Server PC运行FTP服务器软件(Filezilla Server),配置FTP服务器
用户名,共享目录(勾选允许“写入”,“删除”和“追加”)。启动FTP服务器。
36
HCIE-Security 反病毒培训上机指导书
3) 在Client PC安装FTP客户端软件(Filezilla Client)。
4) 防火墙正常启动,防火墙和PC按照实验拓扑图进行接口和IP地址配置。
a) 防火墙接口配置
G0/0/1:172.10.1.1/24, 加入trust域 G0/0/2:172.10.2.1/24, 加入untrust域 b) 客户端接口配置 IP:172.10.1.2/24 Route: route add 172.10.2.0 mask 255.255.255.0 172.10.1.1 c) 服务器接口配置 IP:172.10.2.2/24 Route: route add 172.10.1.0 mask 255.255.255.0 172.10.2.1
5) 使用Client PC的FTP客户端连接Server PC运行FTP服务器
37
HCIE-Security 反病毒培训上机指导书
Step 2 配置文件过滤profile
1) 文件类型过滤的配置界面在web的“对象->安全配置文件->文件过滤”面
板,选择“新建”,创建一个新的文件过滤profile:
2) 在profile下新建一个rule,配置应用为“FTP”、文件类型为“DOCX”、
方向为“下载”、动作为“阻断”。
3) 切换界面到web的“策略->安全策略”页面,创建一个安全策略“sec_rule”,
设置动作为“允许”,并在文件过滤的下拉菜单中选择刚才配置的文件过滤profile“test_profile”。
38
HCIE-Security 反病毒培训上机指导书
4) 点击界面右上角的“提交”,并确认。
5) 等待右上角提交按钮旁显示“提交成功”。说明配置成功:
Step 3 文件上传测试
1) 通过FTP客户端上传test.docx文件到FTP服务器:可以传送成功。
39
HCIE-Security 反病毒培训上机指导书
2) 通过FTP客户端下载test.docx文件到FTP服务器:下载失败,下载被阻断,产生日志。
验证结果
在“监控->日志->内容日志”中查看是否有阻断日志。关注文件名称,应用协议,安全策略和配置文件是否与配置一致。
40
HCIE-Security 反病毒培训上机指导书
HCIE-Security 邮件过滤培训上机指
导书 (学员用书)
ISSUE 2.00
41
HCIE-Security 反病毒培训上机指导书
目 录
1 UTM邮件过滤实验 ................................................................................................................ 43 1.1 邮件过滤技术实验 .......................................................................................................... 43
42
HCIE-Security 反病毒培训上机指导书
6 6.1 邮件过滤技术实验
实验目的 组网设备
UTM邮件过滤实验
通过本实验,你将了解NGFW系列产品邮件过滤技术的工作原理及详细配置。
USG6000系列防火墙一台,PC机两台。
实验拓扑图
图1 RBL邮件过滤应用场景举例
43
HCIE-Security 反病毒培训上机指导书
图2 邮件过滤应用场景举例
实验步骤(命令行)
Step 1 配置RBL黑白名单
配置RBL功能开启,RBL黑名单为1.1.1.1,白名单为2.2.2.2,然后在域间安全策略引用RBL的安全配置文件
# rbl-filter enable
rbl-filter blacklist ip 1.1.1.1 rbl-filter whitelist ip 2.2.2.2 # profile type mail-filter name rbl rbl-filter enable
# security-policy default action permit rule name mailfilter profile mail-filter rbl
action permit 执行上述配置的命令行的视图,请参考产品手册。
Step 2 配置RBL远程查询
# rbl-filter profile user-defined name profile_rbl_server
query antispam.rbl.com description untrust域到DMZ域的邮件策略 reply-code any description profile_rbl_server
#
44
HCIE-Security 反病毒培训上机指导书
profile type mail-filter name rbl rbl-filter enable
# rbl-filter enable rbl-filter dns-server 30.10.10.10
rbl-filter profile user-defined name profile_rbl_server enable # security-policy default action permit rule name mailfilter profile mail-filter rbl
action permit Step 3 配置邮件过滤
配置匿名邮件过滤,发送和接收邮件的邮件地址组,附件大小或附件个数
# mail-address-group name mail_addr description mail address group pattern prefix utm.com # profile type mail-filter name mf send-mail anonymity action block send-mail attachment max-size 1024 action alert send-mail attachment max-amount 9 action alert send-mail sender group name mail_addr send-mail receiver group name mail_addr recv-mail anonymity action block recv-mail attachment max-size 1024 action alert recv-mail attachment max-amount 8 action alert recv-mail sender group name mail_addr recv-mail receiver group name mail_addr
# security-policy default action permit rule name mailfilter profile mail-filter mf action permit
实验步骤(Web)
Step 4 配置RBL邮件过滤
1) 选择“对象 > 安全配置文件 > 邮件过滤” 。 2) 选择进入“垃圾邮件过滤”页签。
45
HCIE-Security 反病毒培训上机指导书
3) 选中“垃圾邮件过滤功能”②对应的“启用”复选框。
4) 【配置本地黑名单/白名单】配置黑名单和白名单。可以同时配置黑名单和白名单,也可以只配置其中的一项。 d) 在“白名单”文本框中输入要加入白名单SMTP Server的IP地址和掩码,
可以输入多个IP地址,一个IP地址一行。 e) 在“黑名单”文本框中输入要加入黑名单SMTP Server的IP地址和掩码,
可以输入多个IP地址,一个IP地址一行。 注明:这里的IP地址即为SMTP源IP地址。 5) 单击“应用”。
6) 选择“策略 > 安全策略 > 新建安全策略”
7) 客户端发送一封邮件到服务器,设备打印命中白名单的日志,并告警。
Step 5 配置RBL过滤的远程查询
1) 在“垃圾邮件配置文件”区域框中,单击“新建”。 2) 配置RBL服务器的各项参数。
46
HCIE-Security 反病毒培训上机指导书
? 服务器查询集合:
RBL服务域名,用来定位RBL服务器。查询集合由RBL服务提供商提供。一个策略只能配置一个查询集合。 例如:rbl.anti-mail.com.cn。 ? 动作:
邮件匹配策略后设备采取的动作。 阻断:阻断邮件传输。
告警:不阻断邮件传输,但是会发送告警信息。 ? 应答码:
垃圾邮件防范是通过检查邮件发送方源IP合法性来实现的,如果源IP命中黑名单,NGFW将会认为这是一封垃圾邮件。当NGFW使用RBL黑名单进行源IP地址检查时,会向远程RBL服务器发送查询请求,并根据RBL服务器反馈的应答码来判断邮件的合法性。
应答码通常是一个IP地址,仅仅标识查询结果,并不具有实际意义,可以是一个保留IP段的地址,如127.0.0.1、127.0.0.2等。
要使用RBL黑名单,需要事先从RBL服务提供商获取应答码,并在NGFW上完成应答码的配置。 3) 单击“确定”。
47
HCIE-Security 反病毒培训上机指导书
4) 选择“策略 > 安全策略 > 新建安全策略”,
在邮件过滤里引用邮件过滤的配置文件名称。
5) 客户端发送一封邮件到服务器,设备打印命中远程RBL黑名单的日志,并阻断了该邮件的发送。
Step 6 配置邮件过滤
1) 配置匿名邮件检测
? 选择“对象 > 安全配置文件 > 邮件过滤”。 ? 单击“邮件内容过滤”。 ? 单击“新建”。
? 配置邮件过滤策略的名称和描述。
? 配置发送方向匿名邮件检测。在“发送匿名邮件”中选择过滤动作。 ? 配置接收方向匿名邮件检测。在“接收匿名邮件”中选择过滤动作。 ? 单击“确定”,保存邮件内容过滤配置文件。
48
HCIE-Security 反病毒培训上机指导书
2) 配置邮箱地址检查
? ? ? ? ? ? ? ? ? ?
选择“对象 > 安全配置文件 > 邮件过滤”。 单击“邮件内容过滤”。 单击“新建”。
配置邮件内容过滤配置文件的名称和描述。 配置发送方向邮箱地址检查。
单击“发送邮件”中发件人地址、收件人地址对应的编辑图标。 选择处理动作。允许或阻断。
选择邮件地址组,配置使用哪些邮箱地址作为地址检查的匹配条件 配置接收方向邮箱地址检查也类似配置。 单击“确定”。
49
HCIE-Security 反病毒培训上机指导书
? 配置说明如下:
? 当邮件地址组中有多个邮件地址时,被检查的邮件只要匹配其中的一个地址,就匹配此邮件地址组。 ? 可以引用已经创建的邮件地址组。 ? 也可以新建邮件地址组。 3) 配置邮件附件控制
配置说明如下: ? ? ? ? ?
选择“对象 > 安全配置文件 > 邮件过滤”。 单击“邮件内容过滤”。 单击“新建”。
配置邮件内容过滤配置文件的名称和描述。 配置附件大小及个数控制。
50
HC13031101 UTM实验手册 - 图文
