创建许可名单和黑名单
从 配置 > 允许列表 或 阻止列表访问这些页面。
使用这些页面可以配置自定义受信任和不受信任的列表。您还可以上传哈希文件。
从允许列表中的位置下载的内容是可信的,不必进行恶意软件检查。主机无法从黑名单上的位置下载内容,因为这些位置不受信任。
-
阅读 允许名单和黑名单概述 主题。
-
确定要定义的项目类型:URL、IP、哈希、电子邮件发件人、C&C、ETI 或 DNS、
-
查看当前列表条目,确保要添加的项不存在。
-
如果要上传哈希文件,则文件必须位于文本文件 (TXT) 中,每个哈希在其自己的单行上。
要创建瞻博网络 ATP 云白名单,请执行以下操作:
选择
。选择 “允许列表支持的类型”中提到的类型之一。
表 1:允许列表支持的类型 类型
信息
反恶意软件
IP 地址、URL、文件哈希和电子邮件发件人
SecIntel
C&C IP 地址和域
ETI
IP 地址和主机名
DNS
域
反向外壳
目标 IP 地址和域
注意:域是指完全限定的域名 (FQDN)。
输入所需信息。
单击 “确定”。
要创建瞻博网络 ATP 云黑名单,请执行以下操作:
选择
。选择 “阻止列表支持的类型”中提到的类型之一。
表 2:阻止列表支持的类型 类型
信息
反恶意软件
IP 地址、URL、文件哈希和电子邮件发件人
SecIntel
C&C IP 地址和域
输入所需信息。
单击 “确定”。
有关每种类型所需的数据,请参阅下表。
IP
创建新的 IP 列表项时,必须将列表类型选择为 IP。您必须输入所需的信息。请参见下表。
设置 |
指引 |
---|---|
IP |
输入 IPv4 或 IPv6 IP 地址。例如:1.2.3.4 或 0:0:0:0:0:FFFF:0102:0304。CIDR 表示法和 IP 地址范围也被接受。 以下任何 IPv4 格式均有效:1.2.3.4、1.2.3.4/30 或 1.2.3.4-1.2.3.6。 以下任一 IPv6 格式均有效:1111::1、1111::1-1111::9 或 1111:1::0/64。
注意:
地址范围:接受的 /16 个 IPv4 地址和 /48 个 IPv6 地址块。例如,10.0.0.0-10.0.255.255 有效,但 10.0.0.0-10.1.0.0 无效。 位掩码:IPv4 的子网记录中位掩码覆盖的最大 IP 地址数为 16 个,IPv6 为 48 个。例如,10.0.0.0/15 和 1234::/47 无效。 |
注意:
若要编辑现有允许列表或阻止列表 IP 条目,请选中要编辑的条目旁边的复选框,单击铅笔图标,然后单击 “确定”。 |
URL
创建新的 URL 列表项时,必须选择列表类型: URL。输入所需信息。请参见下表。
设置 |
指引 |
---|---|
URL |
使用以下格式输入 URL:juniper.net。通配符和协议不是有效条目。系统会自动在 URL 的开头和结尾添加通配符。因此,juniper.net 还匹配 a.juniper.net、a.b.juniper.net 和 a.juniper.net/abc。如果显式输入 a.juniper.net,则与 b.a.juniper.net 匹配,但不匹配 c.juniper.net。您可以输入特定路径。如果输入 juniper.net/abc,则与 x.juniper.net/abc 匹配,但不匹配 x.juniper.net/123。 |
注意:
若要编辑现有允许列表或阻止列表 URL 条目,请选中要编辑的条目旁边的复选框,单击铅笔图标,然后单击 “确定”。 |
哈希文件
上传哈希文件时,它必须采用 TXT 格式,每个哈希都在自己的一行上。您只能有一个正在运行的哈希文件。若要添加或编辑它,请参阅下表中的说明。
田 |
指引 |
---|---|
您可以添加自定义允许列表和黑名单哈希进行过滤,但这些哈希必须在 TXT 中列出,每个条目都在一行中。您只能有一个正在运行的哈希文件,最多包含 15,000 个文件哈希。此文件包含“当前”列表,但您可以随时添加、编辑和删除它。 |
|
SHA-256 散列项 |
要添加到哈希条目,您可以上传多个 TXT,它们将自动合并为一个文件。查看下面的所有、合并、删除和替换选项。 下载 - 如果要查看或编辑文本文件,请单击此按钮下载文本文件。 您可以从 “选择哈希文件项上传选项 ”下拉列表中选择以下任一选项:
全部删除 或 删除所选内容 - 有时删除当前列表比下载并编辑它更有效。单击此按钮可删除当前选定列表或已在此处添加和累积的所有列表。 |
源 |
这表示允许列表或阻止列表。 |
添加日期 |
上次上传或编辑哈希文件的月份、日期、年份和时间。 |
电子邮件发件人
将电子邮件地址添加为允许列表或阻止列表(如果在电子邮件通信的发件人或收件人中找到)。使用 + 图标一次添加一个地址。
田 |
指引 |
---|---|
电子邮件地址 |
输入格式为 name@domain.com 的电子邮件地址。不支持通配符和部分匹配,但如果要包含整个域,则只能输入域,如下所示: domain.com |
如果电子邮件与阻止列表匹配,则将其视为恶意电子邮件,处理方式与带有恶意附件的电子邮件相同。电子邮件将被阻止,并发送替换电子邮件。如果电子邮件与许可名单匹配,则无需任何扫描即可通过该电子邮件。请参阅 隔离电子邮件概述。 值得注意的是,攻击者可以很容易地伪造电子邮件的“发件人”电子邮件地址,使阻止列表成为阻止恶意电子邮件的不太有效的方法。 |
C&C 服务器
当您将 C&C 服务器列入允许列表时,该 IP 或主机名将被发送到 SRX 系列防火墙,以从任何安全情报阻止列表或 C&C 源(瞻博网络的全球威胁源和第三方源)中排除。该服务器现在也将列在 C&C 允许列表管理页面下。
您可以手动输入 C&C 服务器数据或上传服务器列表。该列表必须是 TXT,每个 IP 或域都在自己的单行上。TXT 必须包含所有 IP 或所有域,每个 IP 或域都在各自的文件中。您可以上传多个文件,一次上传一个。
您还可以使用威胁情报 API 管理允许列表和阻止列表条目。向允许列表/阻止列表数据添加条目时,这些条目将在威胁情报 API 中以以下源名称提供:“whitelist_domain”或“whitelist_ip”以及“blacklist_domain”或“blacklist_ip”。有关使用 API 管理任何自定义源的详细信息,请参阅 瞻博网络 ATP 云威胁情报开放式 API 设置指南 。
田 |
指引 |
---|---|
类型 |
选择 IP 以输入要添加到允许列表的 C&C 服务器的 IP 地址。选择“域”以将整个域列入 C&C 服务器列表中的允许列表。 |
IP 或域 |
对于 IP 地址,输入 IPv4 或 IPv6 地址。IP 可以是 IP 地址、IP 范围或 IP 子网。对于域,请使用以下语法:juniper.net。不支持通配符。 |
描述 |
输入说明,指示将项目添加到列表中的原因。 |
您还可以直接从“C&C 监控”页面详细信息视图将 C&C 服务器列入允许列表。请参阅 命令和控制服务器:更多信息。
警告:
将 C&C 服务器添加到允许列表会自动触发修正过程,以更新已与列出的 C&C 服务器联系的任何受影响主机(在该领域中)。与此列入允许名单的服务器相关的所有 C&C 事件都将从受影响主机的事件中删除,并且将重新计算主机威胁级别。 如果主机分数在此重新计算期间发生变化,则将显示一个新的主机事件,说明重新评分的原因。(例如,“清除 C&C 服务器 1.2.3.4 后更新主机威胁级别”。此外,该服务器将不再显示在 C&C 服务器列表中,因为它已被清除。 |
加密流量洞察 (ETI)
您可以指定要从加密流量分析中列入允许名单的 IP 地址或域名。使用此选项卡可以添加、修改或删除用于加密流量分析的允许列表。
田 |
指引 |
---|---|
类型 |
选择是否要指定允许列表的 IP 地址或域名。 |
IP 或域 |
输入允许列表的 IP 地址或域名。 |
域名系统 (DNS)
您可以指定要从 DNS 过滤中列入允许名单的域。使用此选项卡可以添加、修改或删除用于 DNS 过滤的允许列表。
田 |
指引 |
---|---|
URL |
输入要列入允许名单的域的 URL。 |
评论 |
输入说明,说明将域添加到列表中的原因。 |
反向外壳
您可以指定要从反向 shell 检测中列入允许名单的 IP 地址或域。使用此选项卡可以添加、修改或删除用于反向 shell 检测的允许列表。
田 |
指引 |
---|---|
IP |
输入允许名单的 IP 地址。 |
URL |
输入要列入允许名单的域的 URL。 |
瞻博网络 ATP 云会定期轮询新的和更新的内容,并自动将其下载到 SRX 系列防火墙。无需手动推送您的允许列表或阻止列表文件。