创建设备配置文件
准备工作
阅读内容安全概述主题。
确定内容安全策略所需的过滤类型:Web 过滤、反垃圾邮件、防病毒、内容过滤或设备。
查看设备配置文件主页,了解当前数据集。有关字段说明,请参阅 设备配置文件主页字段 。
配置 MIME 允许列表功能时,请注意,由于 HTTP 流量中的标头信息可能被欺骗,因此不能始终相信 HTTP 标头是合法的。当 Web 浏览器确定给定文件类型的适当作时,它将检测文件类型,而不检查 MIME 标头内容。但是,MIME 允许列表功能是指 HTTP 标头中的 MIME 编码。由于这些原因,在某些情况下,恶意网站可能会提供无效的 HTTP 标头。例如,网络管理员可能会无意中将恶意网站添加到 MIME 允许列表中,并且由于该网站在允许列表中,即使 Sophos 已在其数据库中将该网站识别为恶意网站,Sophos 也不会阻止该网站。然后,内部主机将能够到达此站点并可能被感染。
使用“内容安全策略”页面配置设备配置文件。
设备配置文件用于为设备配置内容安全性全局选项。设备配置文件是指反垃圾邮件、防病毒和 Web 过滤配置文件。
要创建设备配置文件,请执行以下作:
- 选择配置> UTM 策略>设备配置文件。
- 单击 创建。
- 按照 表 1 中提供的指南完成配置。
- 单击 Finish。
设置 |
指引 |
|---|---|
General Information |
|
名字 |
输入设备配置文件的唯一名称,该名称是一串字母数字字符、冒号、句点、破折号和下划线。不允许有空格,最大长度为 255 个字符。 |
描述 |
输入设备配置文件的描述;最大长度为 255 个字符。 |
设备 |
通过在“可用”列中选择一个或多个设备并将其移动到“所选”列,将一个或多个设备分配给配置文件。
注意:
如果设备已分配给配置文件,则它不会列在“可用”列中。 |
Antispam Profile |
|
地址白名单 |
选择用于本地垃圾邮件过滤的地址允许列表。允许列表包括您要从反垃圾邮件处理中排除的地址。(这些列表配置为自定义对象。
注意:
当允许列表和阻止列表都在使用中时,首先检查允许列表。如果没有匹配项,则检查阻止列表。一个 |
地址黑名单 |
选择用于本地垃圾邮件过滤的地址阻止列表。拦截列表包括您要排除的地址。(这些列表配置为自定义对象。注意:当允许列表和黑名单都在使用中时,首先检查白名单。如果没有匹配项,则检查阻止列表。 |
Antivirus Profile |
|
MIME 允许列表 |
输入 MIME 类型以创建 MIME 绕过列表和例外列表。设备使用 MIME 类型来决定哪些流量可以绕过防病毒扫描。MIME 允许列表定义 MIME 类型列表,可以包含一个或多个 MIME 条目。您可以使用自己的自定义对象列表,也可以使用设备附带的默认列表,名为 junos-default-bypass-mime。 存在以下限制:
|
例外 MIME 允许列表 |
输入 MIME 类型以创建一个例外 MIME 允许列表,该允许列表从 MIME 允许列表中排除某些 MIME 类型。此列表是在 MIME 允许列表中找到的 MIME 类型的子集。 例如,如果 MIME 允许列表包含条目 video/,而例外列表包含条目 video/x-shockwave-flash,则通过使用这两个列表,可以绕过具有“video/”MIME 类型的对象,但不能绕过“video/x-shockwave-flash”MIME 类型。 |
URL 允许列表 |
输入 URL 或 IP 地址以创建始终被绕过进行扫描的网站列表。 由于防病毒扫描是一项 CPU 和内存密集型作,因此,如果存在您确信不需要扫描的 URL 和 IP 地址,则可能需要创建此自定义列表并将其添加到其中。 |
Web Filtering Profile |
|
URL 允许列表 |
输入 URL 以创建始终允许的网站的允许列表。通过本地 Web 过滤,防火墙会拦截 TCP 连接中的每个 HTTP 请求并提取 URL。在设备查找 URL 以根据其用户定义的类别确定该 URL 是否在允许列表或阻止列表中后,会在设备上完成该决定。
注意:
Web 过滤配置文件可以包含一个允许列表或一个阻止列表,其中包含多个用户定义的类别,每个类别都带有允许或阻止作。 |
URL 黑名单 |
输入 URL 以创建始终被阻止的网站 的阻止列表 。
注意:
Web 过滤配置文件可以包含一个允许列表或一个阻止列表,其中包含多个用户定义的类别,每个类别都带有允许或阻止作。 |
网站信誉 |
选择信誉级别。将根据为所有类型的 URL(无论是已分类的还是未分类的)返回的声誉级别来执行作。 |