瞻博网络高级威胁防御云策略概述
与瞻博网络 ATP 云的连接按需启动。仅在满足条件且必须将文件或 URL 发送至云时才建立。云会检查文件并返回一个判决号(1 到 10)。判决号为分数或威胁级别。数量越高,恶意软件威胁就越高。SRX 系列设备将此裁决号与瞻博网络 ATP 云策略设置进行比较,并允许或拒绝会话。如果会话被拒绝,将向客户端发送重置数据包,并且数据包将从服务器中丢弃。
瞻博网络 ATP 云策略是 Junos OS 安全策略的扩展。 表 1 显示了添加的。
- 从 Junos OS 15.1X49-D80 版开始,匹配条件已从瞻博网络 ATP 云策略配置弃用。有关详细信息,请参阅 Junos 15.1X49-D80 的瞻博网络 Sky Advanced Threat Prevention 发行说明。以下示例为 Junos OS 版本 15.1X49-D80 和更高版本。
- 支持高级反恶意软件 (AAMW) 文件检测,以便从服务器到客户端进行文件下载操作。不支持文件上传操作。
除了 |
描述 |
|---|---|
基于裁决号和阈值的操作和通知 |
定义阈值以及在判决号大于或等于阈值时该怎么做。例如,如果阈值为 7(建议值),而瞻博网络 ATP 云为文件返回 8 号判决书,则该文件将无法下载并创建日志条目。 set services advanced-anti-malware policy aamwpolicy1 verdict-threshold recommended set services advanced-anti-malware policy aamwpolicy1 http action block notification log |
默认操作和通知 |
定义在裁决号小于阈值时该怎么做。例如,如果阈值为 7,而瞻博网络 ATP 云将返回对文件的裁定编号为 3,则该文件将下载并创建日志文件。 set services advanced-anti-malware policy aamwpolicy1 default-notification log |
检查配置文件的名称 |
瞻博网络 ATP 云配置文件的名称,用于定义要扫描的文件类型。 set services advanced-anti-malware policy aamwpolicy1 http inspection-profile default_profile |
回退选项 |
定义发生错误情况或资源不足时该怎么做。提供以下回退选项:
set services advanced-anti-malware policy aamwpolicy1 fallback-options action permit set services advanced-anti-malware policy aamwpolicy1 fallback-options notification log
注意:
以上操作假设存在有效的会话。如果没有有效的会话,瞻博网络 ATP 云允许该文件,无论您是否将回退选项设置为阻止。 |
阻止列表通知 |
在尝试从阻止列表文件中列出的站点下载文件时,定义是否创建日志条目。 set services advanced-anti-malware policy aamwpolicy1 blacklist-notification log |
白名单通知 |
在尝试从允许列表文件中列出的站点下载文件时,定义是否创建日志条目。 set services advanced-anti-malware policy aamwpolicy1 whitelist-notification log |
Smtp 检测配置文件的名称 |
SMTP 电子邮件附件的检查配置文件名称。“要执行的操作”在 Web UI 中定义,而不是通过 CLI 命令定义。 set services advanced-anti-malware policy aamwpolicy1 smtp inspection-profile my_smtp_profile |
show services advanced-anti-malware policy使用 CLI 命令查看瞻博网络 ATP 云策略设置。
user@host> show services advanced-anti-malware policy aamwpolicy1
Advanced-anti-malware configuration:
Policy Name: aamwpolicy1
Default-notification : No Log
Whitelist-notification: Log
Blacklist-notification: Log
Fallback options:
Action: permit
Notification: Log
Protocol: HTTP
Verdict-threshold: recommended (7)
Action: block
Notification: Log
Inspection-profile: default_profile
Protocol: SMTP
Verdict-threshold: recommended (7)
Action: User-Defined-in-Cloud (permit)
Notification: No Log
Inspection-profile: my_smtp_profile
show security policies使用 CLI 命令查看防火墙策略设置。
user@host# show security policies
from-zone trust to-zone untrust {
policy 1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
security-intelligence-policy SecIntel;
}
}
}
}
policy firewall-policy1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
ssl-proxy {
profile-name ssl-inspect-profile;
}
advanced-anti-malware-policy aamwpolicy1;
}
}
}
}
}
有关更多示例,请参阅 示例:使用 CLI 配置瞻博网络高级威胁防御云策略。