Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

配置基于机器学习的威胁检测

让我们看下典型的企业网络。最终用户在不知不觉中访问了遭到入侵的网站并下载了恶意内容。此作会导致终结点遭到破坏。端点上的有害内容也会对网络中的其他主机构成威胁。防止下载恶意内容非常重要。

您可以将 SRX 系列防火墙与基于流的防病毒和基于机器学习的威胁检测配合使用,保护用户免受恶意软件攻击,防止恶意软件在网络中传播。

以下配置创建具有以下属性的基于 ML 的防病毒策略:

  • 防火墙策略名称为 fw-ml-policy。

  • 机器学习策略名称为 ml-policy。

  • 如果任何文件返回的判定大于或等于 7,则阻止任何文件,并创建一个日志条目。

  • 出现错误情况时,允许下载文件并创建日志条目。

要求

准备工作

  • 配置安全区域和安全策略。更多信息,请参阅《安全策略用户指南》中的创建安全区域示例。

  • 验证您是否拥有瞻博网络防病毒许可证。有关如何验证设备上的许可证的详细信息,请参阅 SRX 系列防火墙的软件许可证。下面给出了许可证信息示例:

  • 具有 Junos OS 24.2R1 或更高版本的 SRX 系列防火墙

  • 注意:

    • 基于机器学习的零日威胁检测支持 IMAP、SMTPS、HTTPS 和 SMB 协议。

    • 目前仅支持 .exe 和 .dll 文件类型。

配置

分步过程

以下配置要求您在各个配置层级中进行导航。有关作说明,请参阅 《Junos OS CLI 用户指南》中的在配置模式下使用 CLI 编辑器

  1. 创建防病毒策略,如果任何文件返回的判定大于或等于 7,则阻止任何文件。

  2. 默认情况下,防火墙每周从 CDN 服务器下载签名。

    可以通过指定数据库服务器的 URL 来手动更新病毒签名数据库。

  3. 配置防火墙策略并应用防病毒策略。

  4. 提交配置。

以下是 ML 扫描的可能完成过程:

结果

在配置模式下,输入 show services anti-virus policy ml-policyshow configuration | display set 命令,以确认您的配置。如果输出未显示预期的配置,请重复配置说明进行更正。

检查配置结果:

验证

要验证配置是否工作正常,请使用以下步骤:

获取有关 ML 统计信息的信息

目的

某些流量通过 SRX 系列防火墙后,根据您的配置文件和策略设置,检查统计信息,了解允许、阻止的会话数等。

行动

在作模式下,输入 show services anti-virus machine-learning-scan-statistics 命令。

示例输出

show services anti-virus machine-learning-scan-statistics

意义

显示有关扫描、识别和阻止或允许的病毒的统计信息。

另见