Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置 SRX 系列设备以阻止受感染的主机

受感染主机源列出了已遭到入侵且需要与其他设备通信隔离的主机。源采用威胁级别为 10 的 IP 地址格式,例如威胁级别为 10 的 xxx.xxx.xxx.133。您可以配置安全策略,对进出 IP 地址在源中列出的主机的入站和出站流量采取强制措施。只有当防火墙策略中配置并启用了受感染主机配置文件时,受感染主机源才会下载到 SRX 系列设备。

注意:

一旦达到受感染主机的瞻博网络 ATP 云全局阈值(请参阅 受感染主机的配置),该主机将被添加到受感染主机源中,并被云分配为 10 的威胁级别。因此,受感染主机源中的所有 IP 地址都属于威胁级别 10。

要创建受感染的主机配置文件以及策略和防火墙策略:

  1. 为受感染主机和 CC 定义配置文件。在此示例中,将命名ih-profile受感染的主机配置文件,操作是阻止丢弃威胁级别为 10 的任何内容。CC 主机配置文件命名cc-profile,该配置文件基于向 C&C 主机发出的出站请求,因此将 C&C 规则添加到配置文件(阻止 8 级及以上的威胁。)

    从 Junos 18.1R1 起。支持针对受感染主机的 HTTP URL 重定向执行阻止操作。在处理会话 IP 地址期间,如果受感染主机列表上的 IP 地址和 HTTP 流量使用端口 80 或 8080,则可以进行受感染主机 HTTP 重定向。如果 HTTP 流量使用的是动态端口,则无法执行 HTTP 流量重定向。请参阅以下命令。

  2. 使用 show services security-intelligence CLI 命令。它应该看起来与此类似:
  3. 配置安全智能策略,以包括在第 1 步中创建的两个配置文件。在此示例中,该策略命名为 infected-host-cc-policy
  4. 将防火墙策略配置为包括安全智能策略。此示例设置 trust-to-untrust 区域。
  5. 使用 show security policies CLI 命令。它应该看起来与此类似:
  6. 提交更改。