配置基于流的防病毒策略
概述
让我们看一个典型的企业网络。最终用户在不知不觉中访问了遭到入侵的网站并下载了恶意内容。此作会导致端点受到损害。端点上的有害内容也会对网络中的其他主机构成威胁。防止下载恶意内容非常重要。
您可以使用具有基于流的防病毒软件的 SRX 系列防火墙,保护用户免受病毒攻击,并防止恶意软件在您的网络中传播。基于流的防病毒软件扫描网络流量中是否存在病毒、木马、rootkit 和其他类型的恶意代码,并在检测到恶意内容时立即阻止。
以下配置创建具有以下属性的基于流的防病毒策略:
-
防火墙策略名称为 firewall-av-policy。
-
流防病毒策略为 av-policy。
-
如果返回的判决大于或等于 7,则阻止任何文件并创建一个日志条目。
-
当出现错误情况时,允许下载文件并创建日志条目。
要求
开始之前
-
配置安全区域和安全策略。更多信息,请参见《安全性设备安全性策略用户指南》中的示例:创建安全性区域。
-
验证您是否持有有效的瞻博网络许可证。有关人工智能预测威胁防御的许可信息,请参阅 SRX 系列防火墙的软件许可。
-
CDN 服务器必须能够从 SRX 系列防火墙访问。对于 Junos OS 24.2R1 之前的版本,必须 https://signatures.juniper.net/phase 瞻博网络内容交付网络 (CDN) 服务器。从 Junos OS 24.2R1 版本开始,CDN 服务器 https://signatures.juniper.net/。
-
采用 Junos OS 23.4R1 或更高版本的 SRX 系列防火墙
配置
分步程序
以下配置要求您在各个配置层级中进行导航。有关作说明,请参阅《 Junos OS CLI 用户指南》中的在配置模式下使用CLI编辑器。
-
创建防病毒策略,并在返回的判定大于或等于 7 时阻止任何文件。
set services anti-virus policy av-policy action block set services anti-virus policy av-policy default-notification log set services anti-virus policy av-policy fallback-options notification log set services anti-virus policy av-policy http-client-notify message "test message for anti-virus flow" set services anti-virus policy av-policy notification log set services anti-virus policy av-policy verdict-threshold 7
- 默认情况下,最新的防病毒签名包每五分钟就会自动从瞻博网络内容交付网络 (CDN) 服务器下载到您的防火墙设备。您可以通过指定 CDN 服务器的 URL 来手动更新病毒签名数据库。
set services anti-virus update url https://signatures.juniper.net/
set services anti-virus update automatic interval <5...60>自定义设置。注意:将代理配置文件用于防病毒模式更新过程。
set services anti-virus update proxy-profile proxy-name
-
配置防火墙策略并应用防病毒策略。
set security policies from-zone trust to-zone untrust policy fw-av-policy match source-address any set security policies from-zone trust to-zone untrust policy fw-av-policy match destination-address any set security policies from-zone trust to-zone untrust policy fw-av-policy match application any set security policies from-zone trust to-zone untrust policy fw-av-policy match dynamic-application any set security policies from-zone trust to-zone untrust policy fw-av-policy then permit application-services anti-virus-policy av-policy
-
提交配置。
commit
您可以使用“白名单”页面中的“AI-PTP”选项卡在白名单中添加、替换、合并或删除 AI-PTP 签名。您可以将标识为误报的文件签名添加到允许列表中。此过程会将指定的签名从 SRX 系列防火墙执行的恶意软件检测中排除。有关更多信息,请参阅 创建允许列表和阻止列表。
要查看添加到 SRX 系列防火墙允许列表中的防病毒签名列表,请使用 CLI 命令 show services anti-virus signature-exempt-list。
Anti-virus Signature Exempt List: C1994069136041805794 J5381964424818232941 J12111449344962437113 J4660909146742838820 Total exempt signatures: 4
要清除 SRX 系列防火墙上的文件签名允许列表,请使用 CLI 命令 clear services anti-virus signature-exempt-list。
您还可以在 SRX 系列防火墙上运行以下 CLI 命令,以添加、删除、导出和导入文件签名:
-
request services anti-virus signature-exempt-list add <signature-id>— 在 SRX 系列防火墙上添加文件签名 ID。例如,request services anti-virus signature-exempt-list add J4660909146742838820。 -
request services anti-virus signature-exempt-list delete <signature-id>— 删除 SRX 系列防火墙上的文件签名 ID。例如,request services anti-virus signature-exempt-list delete J4660909146742838820。 -
request services anti-virus signature-exempt-list import <txt-file-with-signature-ids>— 导入包含 SRX 系列防火墙上的签名 ID 的 TXT 文件。例如,request services anti-virus signature-exempt-list import /var/tmp/av-exempt-list.txt。 -
request services anti-virus signature-exempt-list export <txt-file-with-signature-ids>— 从 SRX 系列防火墙导出包含签名 ID 的 TXT 文件。例如,request services anti-virus signature-exempt-list export /var/tmp/av-exempt-list.txt。
结果
在配置模式下,输入和show services anti-virus policy av-policyshow configuration |display set命令以确认您的配置。如果输出未显示预期的配置,请重复配置说明进行更正。
检查配置结果:
show services anti-virus
update {
url https://signatures.juniper.net/;
}
policy av-policy {
action block;
default-notification {
log;
}
fallback-options {
notification {
log;
}
}
http-client-notify {
message "test message for anti-virus flow";
}
notification {
log;
}
verdict-threshold 7;
}
show security policies from-zone trust to-zone untrust
policy fw-av-policy {
match {
source-address any;
destination-address any;
application any;
dynamic-application any;
}
then {
permit {
application-services {
anti-virus-policy av-policy;
}
}
}
}
验证
要验证配置是否工作正常,请使用以下步骤:
获取有关当前防病毒统计信息的信息
目的
部分流量通过 SRX 系列防火墙后,请根据您的配置文件和策略设置查看统计信息,了解允许、阻止的会话数等。
行动
在作模式下,输入命令 show services anti-virus statistics 。
示例输出
show services anti-virus statistics
show services anti-virus statistics
Anti-virus scan statistics:
Virus DB type: anti-virus
Total signatures: 11
Anti-virus DB version: 1654594666
Anti-virus DB update time: 2022-08-25 13:03:58 PDT
Total HTTP HTTPS SMTP SMTPS IMAP IMAPS SMB
File scanned: 419382 81947 177549 16067 31591 15994 31925 64309
Virus found: 290713 1613 161485 15940 31591 15994 31925 32165
Virus blocked: 290713 1613 161485 15940 31591 15994 31925 32165
Virus permitted: 0 0 0 0 0 0 0 0
意义
显示有关扫描、识别和阻止或允许的病毒的统计信息。