Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

配置 SRX 系列防火墙以阻止受感染的主机

Infected-Host 源会列出已遭到入侵且需要隔离以无法与其他设备通信的主机。源采用威胁级别为 10 的 IP 地址格式，例如威胁级别为 10 的 xxx.xxx.xxx.133。您可以配置安全策略，以便对 IP 地址在源中列出的主机的入站和出站流量采取强制措施。只有在防火墙策略中配置并启用了受感染的主机配置文件时，才会将受感染主机源下载到 SRX 系列防火墙。

注意：

一旦受感染主机达到瞻博网络 ATP 云全局阈值（请参阅受感染主机的配置），该主机就会添加到受感染的主机信息源中，并由云分配威胁级别 10。因此，受感染主机信息源中的所有 IP 地址的威胁级别均为 10。

要创建受感染的主机配置文件以及策略和防火墙策略，请执行以下操作：

为受感染的主机和 CC 定义配置文件。在此示例中，已命名ih-profile受感染的主机配置文件，操作是阻止丢弃威胁级别为 10 的任何内容。CC 主机配置文件已命名cc-profile，并基于对 C&C 主机的出站请求，因此请将 C&C 规则添加到配置文件（阻止威胁级别 8 及以上）。

如果未配置任何威胁级别，请使用以下命令配置默认规则。

从 Junos 18.1R1 开始，已支持对受感染主机执行带有 HTTP URL 重定向的阻止操作。在处理会话 IP 地址期间，如果受感染主机列表中的 IP 地址，并且 HTTP 流量使用的是端口 80 或 8080，则可以执行受感染主机 HTTP 重定向。如果 HTTP 流量使用动态端口，则无法进行 HTTP 流量重定向。请参阅下面的命令。

使用 show services security-intelligence 验证您的命令CLI 命令。It should look similar to this：

将安全智能策略配置为包括在步骤 1 中创建的两个配置文件。在此示例中，策略名为 infected-host-cc-policy。

将防火墙策略配置为包括安全智能策略。此示例设置信任到不信任区域。

使用 show security policies 验证您的命令CLI 命令。It should look similar to this：

提交更改。