Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

瞻博网络高级威胁防御云策略概述

与瞻博网络 ATP 云的连接是按需启动的。仅当满足条件并且必须将文件或 URL 发送到云时,才会建立它。云检查文件并返回判定号(1 到 10)。判定编号是一个分数或威胁级别。数字越大,恶意软件威胁就越大。SRX 系列防火墙将此判定编号与瞻博网络 ATP 云策略设置进行比较,并允许或拒绝会话。如果会话被拒绝,则会向客户端发送重置数据包,并将数据包从服务器中删除。

瞻博网络 ATP 云策略是 Junos OS 安全策略的扩展。 表 1 显示了添加的内容。

注意:
  • 从 Junos OS 15.1X49-D80 版开始,瞻博网络 ATP 云策略配置中已弃用匹配条件。以下示例适用于 Junos OS 15.1X49-D80 及更高版本。
  • 高级反恶意软件 (AAMW) 文件检查支持从服务器到客户端的文件下载操作。不支持文件上传操作。
表 1:瞻博网络 ATP 云安全策略添加

加法

描述

基于判定编号和阈值的操作和通知

定义阈值,以及当判定数大于或等于阈值时要执行的操作。例如,如果阈值为 7(建议值),而瞻博网络 ATP 云返回文件的判定号 8,则会阻止下载该文件并创建日志条目。

set services advanced-anti-malware policy aamwpolicy1 verdict-threshold recommended

set services advanced-anti-malware policy aamwpolicy1 http action block notification log

默认操作和通知

定义当判定数小于阈值时要执行的操作。例如,如果阈值为 7,而瞻博网络 ATP 云返回文件的判定号 3,则将下载该文件并创建日志文件。

set services advanced-anti-malware policy aamwpolicy1 default-notification log

检查配置文件的名称

定义要扫描的文件类型的瞻博网络 ATP 云配置文件的名称。

set services advanced-anti-malware policy aamwpolicy1 http inspection-profile default_profile

回退选项

定义在发生错误情况或资源不足时要执行的操作。可以使用以下回退选项:

  • 操作 - 允许或阻止文件,无论其威胁级别如何。

  • 通知 - 添加或不将此事件添加到日志文件中。

set services advanced-anti-malware policy aamwpolicy1 fallback-options action permit
set services advanced-anti-malware policy aamwpolicy1 fallback-options notification log
注意:

上述操作假定存在有效的会话。如果不存在有效会话,无论您是否将回退选项设置为阻止,瞻博网络 ATP 云都会允许该文件。

黑名单通知

定义在尝试从阻止列表中列出的站点下载文件时是否创建日志条目。

set services advanced-anti-malware policy aamwpolicy1 blacklist-notification log

白名单通知

定义在尝试从允许列表文件中列出的站点下载文件时是否创建日志条目。

set services advanced-anti-malware policy aamwpolicy1 whitelist-notification log

SMTP 检查配置文件的名称

SMTP 电子邮件附件的检查配置文件的名称。“要执行的操作”在 Web UI 中定义,而不是通过 CLI 命令定义。

set services advanced-anti-malware policy aamwpolicy1 smtp inspection-profile my_smtp_profile

show services advanced-anti-malware policy使用 CLI 命令查看瞻博网络 ATP 云策略设置。

show security policies使用 CLI 命令查看防火墙策略设置。