白名单和黑名单概述
允许列表包含已知的可信 IP 地址、哈希、电子邮件地址和 URL。从允许列表中的位置下载的内容不必进行恶意软件检查。拦截列表包含已知的不受信任的 IP 地址和 URL。阻止访问阻止列表中的位置,因此无法从这些站点下载任何内容。
允许列表和阻止列表的好处
-
允许列表允许用户从已知安全的来源下载文件。可以将允许列表添加到以减少误报。
-
阻止列表可防止用户从已知有害或可疑的来源下载文件。
自定义允许列表或自定义阻止列表允许您手动添加项目。两者均在瞻博网络 ATP 云云服务器上配置。优先级顺序如下:
自定义白名单
自定义黑名单
如果一个地点包含在多个列表中,则第一场比赛获胜。
表 1 列出了允许列表支持的类型。
| 类型 |
信息 |
|---|---|
| 反恶意软件 |
IP 地址、URL、文件哈希、电子邮件发件人和 AI-PTP |
| SecIntel |
C&C IP 地址和域 |
| ETI |
IP 地址和主机名 |
| DNS |
域 |
| 反向外壳 |
目标 IP 地址和域 |
域是指完全限定的域名 (FQDN)。
表 2 中列出了支持的阻止列表类型。
| 类型 |
信息 |
|---|---|
| 反恶意软件 |
IP 地址、URL、文件哈希和电子邮件发件人 |
| SecIntel |
C&C IP 地址和域 |
-
对于文件哈希类型,无论您将高级反恶意软件 (AAMW) 策略设置为允许还是阻止,文件都会下载到客户端并发送到瞻博网络 ATP 云,以便根据反恶意软件阻止列表进行检查。
-
对于 IP 和 URL,Web UI 会执行基本语法检查,以确保您的条目有效。
-
当您运行 op 脚本来配置 SRX 系列防火墙时,系统会自动为您设置允许列表和阻止列表的云源 URL。请参阅 下载并运行瞻博网络 ATP 云脚本。
-
散列是由算法生成的文件的唯一签名。您可以添加自定义允许列表和黑名单哈希进行过滤,但它们必须在文本文件中列出,每个条目都在一行上。您只能有一个正在运行的文件,最多包含 15,000 个文件哈希。有关上传的详细信息,请参阅 创建许可名单和黑名单。请注意,哈希列表与其他列表类型略有不同,因为它们在云端运行,而非在 SRX 系列防火墙端运行。这意味着 Web 门户能够显示哈希项的命中。
SRX 系列防火墙大约每两小时发出一次请求,以获取新的和更新的源内容。如果没有新内容,则不会下载新的更新。
show security dynamic-address instance advanced-anti-malware使用 CLI 命令查看 SRX 系列防火墙上基于 IP 的允许列表和阻止列表。没有 CLI 命令来显示基于域或基于 URL 的允许列表和阻止列表。
示例:显示安全动态地址实例 高级反恶意软件
user@host>show security dynamic-address instance advanced-anti-malware No. IP-start IP-end Feed Address 1 x.x.x.0 x.x.x.10 custom_whitelist ID-80000400 2 x.x.0.0 x.x.0.10 custom_blacklist ID-80000800 Instance advanced-anti-malware Total number of matching entries: 2
如果看不到更新,请等待几分钟,然后重试该命令。您可能不在瞻博网络 ATP 云投票期内。
show services security-intelligence category summary使用 CLI 命令显示指定 SecIntel 类别的摘要。
示例 显示服务安全智能类别摘要
user@host> show services security-intelligence category summary
...........
Category name :Blacklist
Status :Enable
Description :Blacklist data
Update interval :3600s
TTL :3456000s
Feed name :blacklist_domain
logical-system:root-logical-system
Vrf name :junos-default-vrf
Version :20211013.4
Objects number:0
Create time :2021-10-13 16:50:44 UTC
Update time :2024-12-05 17:08:29 UTC
Update status :N/A
Expired :Yes
Status :Active
Options :N/A
Feed name :blacklist_ip
logical-system:root-logical-system
Vrf name :junos-default-vrf
Version :N/A
Objects number:0
Create time :2021-10-13 16:51:18 UTC
Update time :2024-12-05 17:08:29 UTC
Update status :N/A
Expired :Yes
Status :Active
Options :N/A
............
Category name :Whitelist
Status :Enable
Description :Whitelist data
Update interval :1800s
TTL :3456000s
Feed name :whitelist_ip
logical-system:root-logical-system
Vrf name :junos-default-vrf
Version :N/A
Objects number:0
Create time :2023-03-20 23:32:59 UTC
Update time :2024-12-05 17:10:17 UTC
Update status :N/A
Expired :Yes
Status :Active
Options :N/A
show security dynamic-address instance default使用 CLI 命令显示默认匹配条目的总数。
示例:显示安全动态地址实例默认值
root@SRX-30-GW> show security dynamic-address instance default No. IP-start IP-end Feed Address CountryCode 1 10.0.90.165 10.0.90.165 CC/2 ID-fffc0821 -- 2 10.0.128.88 10.0.128.88 CC/2 ID-fffc0821 -- 3 10.0.128.112 10.0.128.112 CC/2 ID-fffc0821 -- 4 10.0.128.209 10.0.128.209 CC/2 ID-fffc0821 -- 5 10.0.131.69 10.0.131.69 CC/2 ID-fffc0821 -- 6 10.0.132.55 10.0.132.55 CC/2 ID-fffc0821 -- ...........
show security dynamic-address category-name Blacklist使用 CLI 命令查看您不信任的位置列表,例如 IP 地址和 URL。
示例 show security dynamic-address category-name 黑名单
root@SRX-30-GW> show security dynamic-address category-name Blacklist No. IP-start IP-end Feed Address CountryCode 1 10.1.1.1 10.1.1.1 Blacklist/2 ID-80004420 -- 2 10.2.2.100 10.2.2.100 Blacklist/2 ID-80004420 -- Instance default Total number of matching entries: 2
show security dynamic-address category-name Whitelist使用 CLI 命令查看您信任的位置列表,例如 IP 地址和 URL。
示例 show security dynamic-address category-name 白名单
root@SRX-30-GW> show security dynamic-address category-name Whitelist No. IP-start IP-end Feed Address CountryCode 1 10.10.10.10 10.10.10.11 Whitelist/1 ID-80004010 -- Instance default Total number of matching entries: 1