Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

创建许可名单和黑名单

配置 > 允许列表配置 > 阻止列表访问这些页面。

使用这些页面可以配置自定义受信任和不受信任的列表。您还可以上传哈希文件。

从允许列表中的位置下载的内容是可信的,不必进行恶意软件检查。主机无法从黑名单上的位置下载内容,因为这些位置不受信任。

准备工作

  • 阅读 允许名单和黑名单概述 主题。

  • 确定要定义的项目类型:

    • URL

    • IP

    • 文件哈希

    • 电子邮件发件人

    • AI-PTP

    • C&C(C&C)

    • ETI

    • DNS

  • 查看当前列表条目,确保要添加的项不存在。

  • 如果要上传哈希文件,则文件必须位于文本文件 (TXT) 中,每个哈希在其自己的单行上。

创建许可名单

  1. 选择 配置 > 允许列表

  2. 选择 “允许列表支持的类型”中提到的类型之一。

    表 1:允许列表支持的类型

    类型

    信息

    反恶意软件

    IP 地址、URL、文件哈希、电子邮件发件人和 AI-PTP

    SecIntel

    C&C IP 地址和域

    ETI

    IP 地址和主机名

    DNS

    反向外壳

    目标 IP 地址和域
    注意:

    域是指完全限定的域名 (FQDN)。

  3. 输入所需信息。

  4. 单击 “确定”

创建黑名单

  1. 选择 配置 > 阻止列表

  2. 选择 “阻止列表支持的类型”中提到的类型之一。

    表 2:阻止列表支持的类型

    类型

    信息

    反恶意软件

    IP 地址、URL、文件哈希和电子邮件发件人

    SecIntel

    C&C IP 地址和域

  3. 输入所需信息。

  4. 单击 “确定”

有关每种类型所需的数据,请参阅下表。

IP

创建 IP 列表项时,必须将列表类型选择为 IP。您必须输入所需的信息。请参见下表。

表 3:IP 配置

设置

指引

IP

输入 IPv4 或 IPv6 IP 地址。例如:1.2.3.4 或 0:0:0:0:0:FFFF:0102:0304。CIDR 表示法和 IP 地址范围也被接受。

以下任何 IPv4 格式均有效:1.2.3.4、1.2.3.4/30 或 1.2.3.4-1.2.3.6。

以下任一 IPv6 格式均有效:1111::1、1111::1-1111::9 或 1111:1::0/64。

注意:

地址范围:接受的 /16 个 IPv4 地址和 /48 个 IPv6 地址块。例如,10.0.0.0-10.0.255.255 有效,但 10.0.0.0-10.1.0.0 无效。

位掩码:IPv4 的子网记录中位掩码覆盖的最大 IP 地址数为 16 个,IPv6 为 48 个。例如,10.0.0.0/15 和 1234::/47 无效。
注意:

若要编辑允许列表或阻止列表 IP 条目,请选中要编辑的条目旁边的复选框,单击铅笔图标,然后单击 “确定”

URL

创建 URL 列表项时,必须选择列表类型: URL。输入所需信息。请参见下表。

表 4:URL 配置

设置

指引

URL

使用以下格式输入 URL:juniper.net。通配符和协议不是有效条目。系统会自动在 URL 的开头和结尾添加通配符。因此,juniper.net 还匹配 a.juniper.net、a.b.juniper.net 和 a.juniper.net/abc。如果显式输入 a.juniper.net,则与 b.a.juniper.net 匹配,但不匹配 c.juniper.net。您可以输入特定路径。如果输入 juniper.net/abc,则与 x.juniper.net/abc 匹配,但不匹配 x.juniper.net/123。

若要编辑允许列表或阻止列表 URL 条目,请选中要编辑的条目旁边的复选框,单击铅笔图标,然后单击 “确定”

文件哈希

上传哈希文件时,它必须采用 TXT 格式,每个哈希都在自己的一行上。您只能有一个正在运行的哈希文件。若要添加或编辑它,请参阅下表中的说明。

表 5:哈希文件上传和编辑配置

指引

您可以添加自定义允许列表和黑名单哈希进行过滤,但这些哈希必须在 TXT 中列出,每个条目都在一行中。您只能有一个正在运行的哈希文件,最多包含 15,000 个文件哈希。此文件包含“当前”列表,但您可以随时添加、编辑和删除它。

SHA-256 散列项

要添加到哈希条目,您可以上传多个 TXT 文件,这些文件将自动合并为一个文件。查看下面的所有、合并、删除和替换选项。

下载 - 如果要查看或编辑 TXT,请单击此按钮下载 TXT。

您可以从 “选择哈希文件项上传选项 ”下拉列表中选择以下任一选项:

  • 替换当前列表 - 如果要更改现有列表,但又不想完全删除它,请使用此选项。下载现有文件,对其进行编辑,然后再次上传。

  • 与当前列表合并 - 当您上传新的 TXT 并希望它与现有 TXT 文件合并时,请使用此选项。两个文件中的哈希组合成一个包含所有哈希的文本文件。

  • 从当前列表中删除 - 如果只想删除当前列表的一部分,请使用此选项。在这种情况下,您将创建一个 TXT 文件,仅包含要从当前列表中删除的哈希值。使用此选项上传文件,并且仅从当前活动列表中删除已上传文件中的哈希值。

全部删除删除所选内容 - 有时删除当前列表比下载并编辑它更有效。单击此按钮可删除当前选定列表或已在此处添加和累积的所有列表。

这表示允许列表或阻止列表。

添加日期

上次上传或编辑哈希文件的月份、日期、年份和时间。

电子邮件发件人

将电子邮件地址添加为允许列表或阻止列表(如果在电子邮件通信的发件人或收件人中找到)。使用 + 图标一次添加一个地址。

表 6:电子邮件发件人配置

指引

电子邮件地址

输入格式为 name@domain.com 的电子邮件地址。不支持通配符和部分匹配,但如果要包含整个域,则只能输入域,如下所示: domain.com

如果电子邮件与阻止列表匹配,则将其视为恶意电子邮件,处理方式与带有恶意附件的电子邮件相同。电子邮件将被阻止,并发送替换电子邮件。如果电子邮件与许可名单匹配,则无需任何扫描即可通过该电子邮件。请参阅 隔离电子邮件概述

值得注意的是,攻击者可以很容易地伪造电子邮件的“发件人”电子邮件地址,使阻止列表成为阻止恶意电子邮件的不太有效的方法。

AI-PTP

瞻博网络的人工智能预测威胁防御是一款先进的恶意软件检测和预防解决方案,旨在保护您的网络免受用户从不同位置访问公司资源以及浏览互联网到多个目的地所带来的威胁。这种智能安全解决方案由 AI 和 ML 提供支持,能够更快地增强预测和识别真正威胁的能力,使人类专家能够专注于战略安全方案。

有关人工智能预测威胁防御 (AI-PTP) 的详细信息,请参阅 人工智能预测威胁防御概述

您可以使用 AI-PTP 选项卡添加、替换、合并或删除允许列表中的 AI-PTP 签名。此过程会将其排除在 SRX 系列防火墙的恶意软件检查之外。

要添加或编辑签名列表:

  1. 选择配置>允许列表> AI-PTP >反恶意软件

    此时将显示“AI-PTP 签名”页面。

  2. “签名文件上传选项 ”下拉列表中选择以下任一选项:

    • 替换当前列表 - 上传包含文件签名列表的文本文件 (TXT),或修改现有列表而不将其删除。下载、编辑并重新上传文件。您可以上传多个 TXT 文件,这些文件将自动合并为一个文件。

      您可以通过以下来源获取 AI-PTP 签名:

      • HTTP 文件下载 - 导航到监控 > 文件> HTTP 文件下载

        图 1:AI-PTP 签名 AI-PTP Signatures

      • 电子邮件附件 - 导航以监控电子邮件附件> >文件

      • SMB 文件下载 - 导航以监控 SMB 文件下载> >文件

      • SRX 系列防火墙上的系统日志

    • 与当前列表合并 - 将新 TXT 与现有文件合并,从而创建包含所有签名的单个文件。

    • 从当前列表中删除 - 移除特定签名。创建一个包含要删除的签名的 TXT,上传它,并且只会删除这些签名。

    此时将显示“上传哈希列表”窗口。

  3. 浏览您的计算机并选择 TXT 文件。

  4. 单击 “确定”

    AI-PTP 签名将添加到白名单中。

    AI-PTP 签名字段说明如表 7 所示。

    表 7:AI-PTP 签名字段

    描述

    签名

    添加到允许列表的文件签名数

    添加日期

    上次上传或编辑文件签名列表的日期和时间。

  5. 如果要查看或编辑 TXT,请单击 下载 以下载它。

  6. 单击 “全部删除” 可删除已添加到允许列表中的所有列表。

要查看添加到 SRX 系列防火墙上的允许列表中的文件签名列表,请使用 CLI 命令 show services advanced-anti-malware signature-exempt-list

C&C 服务器

当您将 C&C 服务器列入允许列表时,SRX 系列防火墙将接收 IP 或主机名。然后,防火墙会将其从任何 SecIntel 阻止列表或 C&C 源(包括瞻博网络的全球威胁源和第三方源)中排除。该服务器现在也将列在 C&C 允许列表管理页面下。

您可以手动输入 C&C 服务器数据或上传服务器列表。该列表必须是 TXT,每个 IP 或域都在自己的单行上。TXT 必须包含所有 IP 或所有域,每个 IP 或域都在各自的文件中。您可以上传多个文件,一次上传一个。

注意:

您还可以使用威胁情报 API 管理允许列表和阻止列表条目。向允许列表/阻止列表数据添加条目时,这些条目将在威胁情报 API 中以以下源名称提供:“whitelist_domain”或“whitelist_ip”以及“blacklist_domain”或“blacklist_ip”。有关使用 API 管理任何自定义源的详细信息,请参阅 瞻博网络 ATP 云威胁情报开放式 API 设置指南
表 8:C&C 配置

指引

类型

选择 IP 以输入要添加到允许列表的 C&C 服务器的 IP 地址。选择“域”以将整个域列入 C&C 服务器列表中的允许列表。

IP 或域

对于 IP 地址,输入 IPv4 或 IPv6 地址。IP 可以是 IP 地址、IP 范围或 IP 子网。对于域,请使用以下语法:juniper.net。不支持通配符。

描述

输入说明,指示将项目添加到列表中的原因。

您还可以直接从“C&C 监控”页面详细信息视图将 C&C 服务器列入允许列表。请参阅 命令和控制服务器:详细信息

警告:

将 C&C 服务器添加到允许列表会自动触发修正过程,以更新已联系过此 C&C 服务器的任何受影响主机(该组织中)。与此列入允许名单的服务器相关的所有 C&C 事件都将从受影响主机的事件中删除,并且将重新计算主机威胁级别。

如果主机分数在此重新计算期间发生变化,则将显示一个新的主机事件,说明重新评分的原因。例如,“清除 C&C 服务器 1.2.3.4 后更新主机威胁级别”。此外,该服务器将不再显示在 C&C 服务器列表中,因为它已被清除。

加密流量洞察 (ETI)

您可以指定要从加密流量分析中列入允许名单的 IP 地址或域名。使用此选项卡可以添加、修改或删除用于加密流量分析的允许列表。

表 9:加密流量配置

指引

类型

选择是否要指定允许列表的 IP 地址或域名。

IP 或域

输入允许列表的 IP 地址或域名。

域名系统 (DNS)

您可以指定要从 DNS 过滤中列入允许名单的域。使用此选项卡可以添加、修改或删除用于 DNS 过滤的允许列表。

表 10:域配置

指引

URL

输入要列入允许名单的域的 URL。

评论

输入说明,说明将域添加到列表中的原因。

反向外壳

您可以指定要从反向 shell 检测中列入允许名单的 IP 地址或域。使用此选项卡可以添加、修改或删除用于反向 shell 检测的允许列表。

表 11:反向 Shell 配置

指引

IP

输入允许名单的 IP 地址。

URL

输入要列入允许名单的域的 URL。
注意:

瞻博网络 ATP 云会定期轮询新的和更新的内容,并自动将其下载到 SRX 系列防火墙。您无需手动推送允许列表或阻止列表文件。

相关主题