Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

创建自定义源

使用“创建自定义源”页面配置动态地址,允许列表,阻止列表,受感染的主机,DDoS和C&C Server自定义源。这些源提供相关且及时的情报,您可以使用这些情报来创建实施策略。

开始之前

  • 了解您正在配置的源类型,并掌握所有必要的信息。本地源是在本地系统上创建的,然后从那里上传。

  • 请注意,受感染的主机是已知已遭到入侵的主机。对于受感染主机自定义源,请手动输入主机 IP 地址,或上传包含受感染主机 IP 地址的文本文件。

  • 如果创建允许列表、阻止列表或受感染主机源,它将覆盖相应的瞻博网络 ATP 云/ATP 设备源。

  • 请注意,如果选择“仅 ATP 云/ATP 设备”模式作为“威胁防御类型”,则受感染的主机和 DDoS 自定义源不可用。

要创建本地文件和远程文件自定义源,请执行以下操作:

  1. 选择“配置>威胁防御>源”。

    此时将显示“源源”页面。如果未在“策略实施器设置”页面中选择 ATP 云/ATP 设备配置类型,则只能看到可用作威胁防御类型的自定义源。

  2. 单击 创建 并选择以下选项之一:
    • 包含本地文件的源 - 在提供的字段中手动输入数据,或从定位计算机上的文本文件上传数据。

    • 使用远程文件服务器的源 - 配置与远程服务器的通信以从中获取数据馈送。

  3. 按照表 1表 2 中的准则完成配置。
  4. 单击“确定”。
注意:
  • 要使用动态地址类型的自定义源,请将其应用于防火墙规则中的源地址或目标地址。在防火墙规则中,您可以筛选地址以仅显示自定义源。

    如果存在使用动态地址创建的防火墙策略规则,则无法从“源”页面中删除相同的动态地址。必须先删除防火墙策略规则,然后从“源”页面中删除动态地址。

  • 如果未选择 ATP 云/ATP 设备配置类型(无选择),则会禁用 ATP 云/ATP 设备域。由于站点选择通常是从 ATP 云/ATP 设备域页面完成的,因此在“无选择”模式下,您必须从“创建自定义源”页面中选择站点。然后将自定义源下载到所选站点中的设备。这是“创建自定义源”页中唯一可用的网站选择。

表 1:创建自定义源页面上的字段,包含本地文件的源

领域

描述

名字

输入必须以字母数字字符开头且只能包含短划线和下划线的唯一字符串;不允许有空格;最多 32 个字符。

描述

输入自定义 Feed 的说明;最大长度为 64 个字符。您应使此说明对所有管理员尽可能有用。

馈送类型

选择以下自定义源之一作为威胁防御类型:

  • 动态地址

  • 允许列表

  • 阻止列表

  • 受感染的主机

  • Ddos

  • Cc

网站

从列表中选择所需的 站点 ,以将它们与动态地址或允许列表,阻止列表或C&C Server源相关联。

在默认模式(无 ATP 云)中,由于没有 ATP 云,仅列出站点。您可以跨动态地址,允许列表,阻止列表和C&C Server的同一源类型共享站点。对于受感染的主机和 DDoS,无法在同一源类型之间共享站点。不过,您可以跨不同的 Feed 类型共享网站。

区域/领域

如果您处于仅云源、ATP 云/JATP 或采用瞻博网络 Connected Security 模式的 ATP 云/ATP 设备,请从列表中选择所需的 领域

将这些领域与动态地址或允许列表、阻止列表和 C&C Server 源相关联。您可以跨同一动态地址、允许列表、阻止列表和抄送类型共享领域。对于受感染的主机和 DDoS,不能在同一源类型之间共享领域。但是,您可以在不同的 Feed 类型之间共享领域。

此处未列出没有任何已分配站点的 ATP 云/ATP 设备领域。此处仅列出具有关联站点的领域。

注意:

如果站点与租户关联,ATP 云/ATP 设备领域将以<领域名称>(租户:<租户名称>) 格式显示列表。

用户输入类型

(可用于允许列表和阻止列表)

为允许列表和阻止列表选择以下输入类型之一:

  • IP、子网和范围 - 以标准四八位字节格式输入 IPV4 地址。还接受 CIDR 符号和 IP 地址范围。以下任何格式均有效:1.2.3.4、1.2.3.4/30 或 1.2.3.4-1.2.3.6。

  • URL 和域 - 以下格式有效:

    • http://www.yourfeed.com

    • https://www.yourfeed.com

    • www.yourfeed.com

    • yourfeed.com

    • yourfeed.com/abc

    通配符和协议不是有效条目。

自定义列表

执行下列操作之一:

  • 单击 上传文件 以上传带有 IP 地址列表的文本文件。单击“ 添加 ”按钮以将地址列表包含在自定义列表中。

    对于受感染的主机和 DDoS,上传文件的开头必须包含字符串 add ,后跟 IP 地址。如果要删除某些 IP 地址,请输入字符串 delete ,后跟要删除的 IP 地址。

    请注意,文件每行只能包含一个项目(不能使用逗号或分号)。所有项目在添加到自定义列表之前都会经过验证。

    该文件包含的条目不得超过 500 个。如果您尝试上传包含超过 500 个 IP 地址的文件,则会显示一条错误消息。使用“使用远程文件服务器发送源”选项上传包含 500 多个 IP 地址的文件。

  • 在“自定义列表”部分提供的空白处手动输入您的项目和保存值。要添加更多项目,请单击 + 以添加更多空格。

    对于语法,请输入标准四八位字节格式的 IPv4 地址。还接受 CIDR 符号和 IP 地址范围。以下任何格式均有效:1.2.3.4、1.2.3.4/30 或 1.2.3.4-1.2.3.6。

表 2:创建自定义源页面上的字段,远程文件服务器源

领域

描述

名字

输入必须以字母数字字符开头且只能包含短划线和下划线的唯一字符串;不允许有空格;最多 32 个字符。

描述

输入自定义 Feed 的说明;最大长度为 64 个字符。您应使此说明对所有管理员尽可能有用。

馈送类型

选择以下自定义源之一作为威胁防御类型:

  • 动态地址

  • 允许列表

  • 阻止列表

  • 受感染的主机

  • Ddos

  • Cc

服务器 URL 的类型

选择以下选项之一:

  • http

  • https

服务器文件 URL

输入远程文件服务器的 URL。

证书上传

(如果网址类型为 HTTPS)

单击 浏览 并选择要上传的 CA 证书。

如果不上传 https 服务器 URL 的证书,则会显示一条警告消息,指出证书未上传以及是否继续上传。单击 “是 ”继续操作而不上载证书,或单击 “否 ”返回并上载证书。

用户

输入远程文件服务器的凭据。

这不是必填字段。您仍然可以继续创建自定义 Feed,而无需输入用户名。

密码

输入远程文件服务器的凭据。

如果您提供了用户名,则这是必填字段。

更新间隔

选择从远程文件服务器检索更新的频率:每小时、每天、每周、每月、从不

网站

从列表中选择所需的 站点 以将其与自定义源相关联。

如果尝试在受感染的主机中取消注册站点,则会显示一条警告消息,提示从站点内的相应端点解析所有当前受感染的主机。要解析受感染的主机,请登录到 ATP 云用户界面,解析主机,然后从策略实施器取消分配站点。确保在取消分配站点之前始终解析受感染的主机。取消分配站点后,将无法解析主机。