瞻博网络高级威胁防御云策略概述
与瞻博网络 ATP 云的连接是按需启动的。仅当满足条件并且必须将文件或 URL 发送到云时,才会建立它。云检查文件并返回判定号(1 到 10)。判定编号是一个分数或威胁级别。数字越大,恶意软件威胁就越大。SRX 系列防火墙将此判定编号与瞻博网络 ATP 云策略设置进行比较,并允许或拒绝会话。如果会话被拒绝,则会向客户端发送重置数据包,并将数据包从服务器中删除。
瞻博网络 ATP 云策略是 Junos OS 安全策略的扩展。 表 1 显示了添加的内容。
- 从 Junos OS 15.1X49-D80 版开始,瞻博网络 ATP 云策略配置中已弃用匹配条件。以下示例适用于 Junos OS 15.1X49-D80 及更高版本。
- 高级反恶意软件 (AAMW) 文件检查支持从服务器到客户端的文件下载操作。不支持文件上传操作。
加法 |
描述 |
---|---|
基于判定编号和阈值的操作和通知 |
定义阈值,以及当判定数大于或等于阈值时要执行的操作。例如,如果阈值为 7(建议值),而瞻博网络 ATP 云返回文件的判定号 8,则会阻止下载该文件并创建日志条目。 set services advanced-anti-malware policy aamwpolicy1 verdict-threshold recommended set services advanced-anti-malware policy aamwpolicy1 http action block notification log |
默认操作和通知 |
定义当判定数小于阈值时要执行的操作。例如,如果阈值为 7,而瞻博网络 ATP 云返回文件的判定号 3,则将下载该文件并创建日志文件。 set services advanced-anti-malware policy aamwpolicy1 default-notification log |
检查配置文件的名称 |
定义要扫描的文件类型的瞻博网络 ATP 云配置文件的名称。 set services advanced-anti-malware policy aamwpolicy1 http inspection-profile default_profile |
回退选项 |
定义在发生错误情况或资源不足时要执行的操作。可以使用以下回退选项:
set services advanced-anti-malware policy aamwpolicy1 fallback-options action permit set services advanced-anti-malware policy aamwpolicy1 fallback-options notification log
注意:
上述操作假定存在有效的会话。如果不存在有效会话,无论您是否将回退选项设置为阻止,瞻博网络 ATP 云都会允许该文件。 |
黑名单通知 |
定义在尝试从阻止列表中列出的站点下载文件时是否创建日志条目。 set services advanced-anti-malware policy aamwpolicy1 blacklist-notification log |
白名单通知 |
定义在尝试从允许列表文件中列出的站点下载文件时是否创建日志条目。 set services advanced-anti-malware policy aamwpolicy1 whitelist-notification log |
SMTP 检查配置文件的名称 |
SMTP 电子邮件附件的检查配置文件的名称。“要执行的操作”在 Web UI 中定义,而不是通过 CLI 命令定义。 set services advanced-anti-malware policy aamwpolicy1 smtp inspection-profile my_smtp_profile |
show services advanced-anti-malware policy
使用 CLI 命令查看瞻博网络 ATP 云策略设置。
show services advanced-anti-malware policy aamwpolicy1 Advanced-anti-malware configuration: Policy Name: aamwpolicy1 Default-notification : No Log Whitelist-notification: Log Blacklist-notification: Log Fallback options: Action: permit Notification: Log Protocol: HTTP Verdict-threshold: recommended (7) Action: block Notification: Log Inspection-profile: default_profile Protocol: SMTP Verdict-threshold: recommended (7) Action: User-Defined-in-Cloud (permit) Notification: No Log Inspection-profile: my_smtp_profile
show security policies
使用 CLI 命令查看防火墙策略设置。
show security policies from-zone trust to-zone untrust { policy 1 { match { source-address any; destination-address any; application any; } then { permit { application-services { security-intelligence-policy SecIntel; } } } } policy firewall-policy1 { match { source-address any; destination-address any; application any; } then { permit { application-services { ssl-proxy { profile-name ssl-inspect-profile; } advanced-anti-malware-policy aamwpolicy1; } } } } }