Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

创建许可名单和黑名单

配置 > 允许列表阻止列表访问这些页面。

使用这些页面可以配置自定义受信任和不受信任的列表。您还可以上传哈希文件。

从允许列表中的位置下载的内容是可信的,不必进行恶意软件检查。主机无法从黑名单上的位置下载内容,因为这些位置不受信任。

  • 阅读 允许名单和黑名单概述 主题。

  • 确定要定义的项目类型:URL、IP、哈希、电子邮件发件人、C&C、ETI 或 DNS、

  • 查看当前列表条目,确保要添加的项不存在。

  • 如果要上传哈希文件,则文件必须位于文本文件 (TXT) 中,每个哈希在其自己的单行上。

要创建瞻博网络 ATP 云白名单,请执行以下操作:

  1. 选择 配置 > 允许列表

  2. 选择 “允许列表支持的类型”中提到的类型之一。

    表 1:允许列表支持的类型

    类型

    信息

    反恶意软件

    IP 地址、URL、文件哈希和电子邮件发件人

    SecIntel

    C&C IP 地址和域

    ETI

    IP 地址和主机名

    DNS

    反向外壳

    目标 IP 地址和域

    注意:

    域是指完全限定的域名 (FQDN)。

  3. 输入所需信息。

  4. 单击 “确定”

要创建瞻博网络 ATP 云黑名单,请执行以下操作:

  1. 选择 配置 > 阻止列表

  2. 选择 “阻止列表支持的类型”中提到的类型之一。

    表 2:阻止列表支持的类型

    类型

    信息

    反恶意软件

    IP 地址、URL、文件哈希和电子邮件发件人

    SecIntel

    C&C IP 地址和域

  3. 输入所需信息。

  4. 单击 “确定”

有关每种类型所需的数据,请参阅下表。

IP

创建新的 IP 列表项时,必须将列表类型选择为 IP。您必须输入所需的信息。请参见下表。

表 3:IP 配置

设置

指引

IP

输入 IPv4 或 IPv6 IP 地址。例如:1.2.3.4 或 0:0:0:0:0:FFFF:0102:0304。CIDR 表示法和 IP 地址范围也被接受。

以下任何 IPv4 格式均有效:1.2.3.4、1.2.3.4/30 或 1.2.3.4-1.2.3.6。

以下任一 IPv6 格式均有效:1111::1、1111::1-1111::9 或 1111:1::0/64。

注意:

地址范围:接受的 /16 个 IPv4 地址和 /48 个 IPv6 地址块。例如,10.0.0.0-10.0.255.255 有效,但 10.0.0.0-10.1.0.0 无效。

位掩码:IPv4 的子网记录中位掩码覆盖的最大 IP 地址数为 16 个,IPv6 为 48 个。例如,10.0.0.0/15 和 1234::/47 无效。

注意:

若要编辑现有允许列表或阻止列表 IP 条目,请选中要编辑的条目旁边的复选框,单击铅笔图标,然后单击 “确定”

URL

创建新的 URL 列表项时,必须选择列表类型: URL。输入所需信息。请参见下表。

表 4:URL 配置

设置

指引

URL

使用以下格式输入 URL:juniper.net。通配符和协议不是有效条目。系统会自动在 URL 的开头和结尾添加通配符。因此,juniper.net 还匹配 a.juniper.net、a.b.juniper.net 和 a.juniper.net/abc。如果显式输入 a.juniper.net,则与 b.a.juniper.net 匹配,但不匹配 c.juniper.net。您可以输入特定路径。如果输入 juniper.net/abc,则与 x.juniper.net/abc 匹配,但不匹配 x.juniper.net/123。

注意:

若要编辑现有允许列表或阻止列表 URL 条目,请选中要编辑的条目旁边的复选框,单击铅笔图标,然后单击 “确定”

哈希文件

上传哈希文件时,它必须采用 TXT 格式,每个哈希都在自己的一行上。您只能有一个正在运行的哈希文件。若要添加或编辑它,请参阅下表中的说明。

表 5:哈希文件上传和编辑配置

指引

您可以添加自定义允许列表和黑名单哈希进行过滤,但这些哈希必须在 TXT 中列出,每个条目都在一行中。您只能有一个正在运行的哈希文件,最多包含 15,000 个文件哈希。此文件包含“当前”列表,但您可以随时添加、编辑和删除它。

SHA-256 散列项

要添加到哈希条目,您可以上传多个 TXT,它们将自动合并为一个文件。查看下面的所有、合并、删除和替换选项。

下载 - 如果要查看或编辑文本文件,请单击此按钮下载文本文件。

您可以从 “选择哈希文件项上传选项 ”下拉列表中选择以下任一选项:

  • 替换当前列表 - 如果要更改现有列表,但又不想完全删除它,请使用此选项。下载现有文件,对其进行编辑,然后再次上传。

  • 与当前列表合并 - 当您上传新文本文件并希望它与现有文本文件合并时,请使用此选项。两个文件中的哈希组合成一个包含所有哈希的文本文件。

  • 从当前列表中删除 - 如果只想删除当前列表的一部分,请使用此选项。在这种情况下,您将创建一个文本文件,仅包含要从当前列表中删除的哈希值。使用此选项上传文件,并且仅从当前活动列表中删除已上传文件中的哈希值。

全部删除删除所选内容 - 有时删除当前列表比下载并编辑它更有效。单击此按钮可删除当前选定列表或已在此处添加和累积的所有列表。

这表示允许列表或阻止列表。

添加日期

上次上传或编辑哈希文件的月份、日期、年份和时间。

电子邮件发件人

将电子邮件地址添加为允许列表或阻止列表(如果在电子邮件通信的发件人或收件人中找到)。使用 + 图标一次添加一个地址。

表 6:电子邮件发件人配置

指引

电子邮件地址

输入格式为 name@domain.com 的电子邮件地址。不支持通配符和部分匹配,但如果要包含整个域,则只能输入域,如下所示: domain.com

如果电子邮件与阻止列表匹配,则将其视为恶意电子邮件,处理方式与带有恶意附件的电子邮件相同。电子邮件将被阻止,并发送替换电子邮件。如果电子邮件与许可名单匹配,则无需任何扫描即可通过该电子邮件。请参阅 隔离电子邮件概述

值得注意的是,攻击者可以很容易地伪造电子邮件的“发件人”电子邮件地址,使阻止列表成为阻止恶意电子邮件的不太有效的方法。

C&C 服务器

当您将 C&C 服务器列入允许列表时,该 IP 或主机名将被发送到 SRX 系列防火墙,以从任何安全情报阻止列表或 C&C 源(瞻博网络的全球威胁源和第三方源)中排除。该服务器现在也将列在 C&C 允许列表管理页面下。

您可以手动输入 C&C 服务器数据或上传服务器列表。该列表必须是 TXT,每个 IP 或域都在自己的单行上。TXT 必须包含所有 IP 或所有域,每个 IP 或域都在各自的文件中。您可以上传多个文件,一次上传一个。

注意:

您还可以使用威胁情报 API 管理允许列表和阻止列表条目。向允许列表/阻止列表数据添加条目时,这些条目将在威胁情报 API 中以以下源名称提供:“whitelist_domain”或“whitelist_ip”以及“blacklist_domain”或“blacklist_ip”。有关使用 API 管理任何自定义源的详细信息,请参阅 瞻博网络 ATP 云威胁情报开放式 API 设置指南

表 7:C&C 配置

指引

类型

选择 IP 以输入要添加到允许列表的 C&C 服务器的 IP 地址。选择“域”以将整个域列入 C&C 服务器列表中的允许列表。

IP 或域

对于 IP 地址,输入 IPv4 或 IPv6 地址。IP 可以是 IP 地址、IP 范围或 IP 子网。对于域,请使用以下语法:juniper.net。不支持通配符。

描述

输入说明,指示将项目添加到列表中的原因。

您还可以直接从“C&C 监控”页面详细信息视图将 C&C 服务器列入允许列表。请参阅 命令和控制服务器:更多信息

警告:

将 C&C 服务器添加到允许列表会自动触发修正过程,以更新已与列出的 C&C 服务器联系的任何受影响主机(在该领域中)。与此列入允许名单的服务器相关的所有 C&C 事件都将从受影响主机的事件中删除,并且将重新计算主机威胁级别。

如果主机分数在此重新计算期间发生变化,则将显示一个新的主机事件,说明重新评分的原因。(例如,“清除 C&C 服务器 1.2.3.4 后更新主机威胁级别”。此外,该服务器将不再显示在 C&C 服务器列表中,因为它已被清除。

加密流量洞察 (ETI)

您可以指定要从加密流量分析中列入允许名单的 IP 地址或域名。使用此选项卡可以添加、修改或删除用于加密流量分析的允许列表。

表 8:加密流量配置

指引

类型

选择是否要指定允许列表的 IP 地址或域名。

IP 或域

输入允许列表的 IP 地址或域名。

域名系统 (DNS)

您可以指定要从 DNS 过滤中列入允许名单的域。使用此选项卡可以添加、修改或删除用于 DNS 过滤的允许列表。

表 9:域配置

指引

URL

输入要列入允许名单的域的 URL。

评论

输入说明,说明将域添加到列表中的原因。

反向外壳

您可以指定要从反向 shell 检测中列入允许名单的 IP 地址或域。使用此选项卡可以添加、修改或删除用于反向 shell 检测的允许列表。

表 10:反向 Shell 配置

指引

IP

输入允许名单的 IP 地址。

URL

输入要列入允许名单的域的 URL。

注意:

瞻博网络 ATP 云会定期轮询新的和更新的内容,并自动将其下载到 SRX 系列防火墙。无需手动推送您的允许列表或阻止列表文件。