创建自定义源
使用“创建自定义源”页面配置动态地址,允许列表,阻止列表,受感染的主机,DDoS和C&C Server自定义源。这些源提供相关且及时的情报,您可以使用这些情报来创建实施策略。
开始之前
了解您正在配置的源类型,并掌握所有必要的信息。本地源是在本地系统上创建的,然后从那里上传。
请注意,受感染的主机是已知已遭到入侵的主机。对于受感染主机自定义源,请手动输入主机 IP 地址,或上传包含受感染主机 IP 地址的文本文件。
如果创建允许列表、阻止列表或受感染主机源,它将覆盖相应的瞻博网络 ATP 云/ATP 设备源。
请注意,如果选择“仅 ATP 云/ATP 设备”模式作为“威胁防御类型”,则受感染的主机和 DDoS 自定义源不可用。
要创建本地文件和远程文件自定义源,请执行以下操作:
要使用动态地址类型的自定义源,请将其应用于防火墙规则中的源地址或目标地址。在防火墙规则中,您可以筛选地址以仅显示自定义源。
如果存在使用动态地址创建的防火墙策略规则,则无法从“源”页面中删除相同的动态地址。必须先删除防火墙策略规则,然后从“源”页面中删除动态地址。
如果未选择 ATP 云/ATP 设备配置类型(无选择),则会禁用 ATP 云/ATP 设备域。由于站点选择通常是从 ATP 云/ATP 设备域页面完成的,因此在“无选择”模式下,您必须从“创建自定义源”页面中选择站点。然后将自定义源下载到所选站点中的设备。这是“创建自定义源”页中唯一可用的网站选择。
领域 |
描述 |
---|---|
名字 |
输入必须以字母数字字符开头且只能包含短划线和下划线的唯一字符串;不允许有空格;最多 32 个字符。 |
描述 |
输入自定义 Feed 的说明;最大长度为 64 个字符。您应使此说明对所有管理员尽可能有用。 |
馈送类型 |
选择以下自定义源之一作为威胁防御类型:
|
网站 |
从列表中选择所需的 站点 ,以将它们与动态地址或允许列表,阻止列表或C&C Server源相关联。 在默认模式(无 ATP 云)中,由于没有 ATP 云,仅列出站点。您可以跨动态地址,允许列表,阻止列表和C&C Server的同一源类型共享站点。对于受感染的主机和 DDoS,无法在同一源类型之间共享站点。不过,您可以跨不同的 Feed 类型共享网站。 |
区域/领域 |
如果您处于仅云源、ATP 云/JATP 或采用瞻博网络 Connected Security 模式的 ATP 云/ATP 设备,请从列表中选择所需的 领域 。 将这些领域与动态地址或允许列表、阻止列表和 C&C Server 源相关联。您可以跨同一动态地址、允许列表、阻止列表和抄送类型共享领域。对于受感染的主机和 DDoS,不能在同一源类型之间共享领域。但是,您可以在不同的 Feed 类型之间共享领域。 此处未列出没有任何已分配站点的 ATP 云/ATP 设备领域。此处仅列出具有关联站点的领域。
注意:
如果站点与租户关联,ATP 云/ATP 设备领域将以<领域名称>(租户:<租户名称>) 格式显示列表。 |
用户输入类型 (可用于允许列表和阻止列表) |
为允许列表和阻止列表选择以下输入类型之一:
|
自定义列表 |
执行下列操作之一:
|
领域 |
描述 |
---|---|
名字 |
输入必须以字母数字字符开头且只能包含短划线和下划线的唯一字符串;不允许有空格;最多 32 个字符。 |
描述 |
输入自定义 Feed 的说明;最大长度为 64 个字符。您应使此说明对所有管理员尽可能有用。 |
馈送类型 |
选择以下自定义源之一作为威胁防御类型:
|
服务器 URL 的类型 |
选择以下选项之一:
|
服务器文件 URL |
输入远程文件服务器的 URL。 |
证书上传 (如果网址类型为 HTTPS) |
单击 浏览 并选择要上传的 CA 证书。 如果不上传 https 服务器 URL 的证书,则会显示一条警告消息,指出证书未上传以及是否继续上传。单击 “是 ”继续操作而不上载证书,或单击 “否 ”返回并上载证书。 |
用户 |
输入远程文件服务器的凭据。 这不是必填字段。您仍然可以继续创建自定义 Feed,而无需输入用户名。 |
密码 |
输入远程文件服务器的凭据。 如果您提供了用户名,则这是必填字段。 |
更新间隔 |
选择从远程文件服务器检索更新的频率:每小时、每天、每周、每月、从不 |
网站 |
从列表中选择所需的 站点 以将其与自定义源相关联。 |
如果尝试在受感染的主机中取消注册站点,则会显示一条警告消息,提示从站点内的相应端点解析所有当前受感染的主机。要解析受感染的主机,请登录到 ATP 云用户界面,解析主机,然后从策略实施器取消分配站点。确保在取消分配站点之前始终解析受感染的主机。取消分配站点后,将无法解析主机。