Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Übersicht über Zulassungslisten und Blocklisten

Eine Zulassungsliste enthält bekannte vertrauenswürdige IP-Adressen, Hashes, E-Mail-Adressen und URLs. Inhalte, die von Speicherorten auf der Zulassungsliste heruntergeladen werden, müssen nicht auf Malware überprüft werden. Eine Blockliste enthält bekannte, nicht vertrauenswürdige IP-Adressen und URLs. Der Zugriff auf Speicherorte auf der Blockliste ist blockiert, und daher können keine Inhalte von diesen Websites heruntergeladen werden.

Vorteile von Zulassungs- und Blocklisten

  • Die Zulassungsliste ermöglicht es Benutzern, Dateien aus Quellen herunterzuladen, von denen bekannt ist, dass sie sicher sind. Die Zulassungsliste kann erweitert werden, um die Anzahl der Fehlalarme zu verringern.

  • Blocklisten verhindern, dass Benutzer Dateien aus Quellen herunterladen, von denen bekannt ist, dass sie schädlich oder verdächtig sind.

Mit den benutzerdefinierten Zulassungslisten oder benutzerdefinierten Blocklisten können Sie Elemente manuell hinzufügen. Beide werden auf dem Juniper ATP Cloud-Server konfiguriert. Die Prioritätsreihenfolge ist wie folgt:

  1. Benutzerdefinierte Zulassungsliste

  2. Benutzerdefinierte Blockliste

Wenn ein Ort in mehreren Listen enthalten ist, gewinnt die erste Übereinstimmung.

Die unterstützten Typen für Zulassungslisten sind in Tabelle 1 aufgeführt.

Tabelle 1: Unterstützte Typen für Zulassungslisten

Art

Information

Anti-Malware

IP-Adresse, URL, Datei-Hash und E-Mail-Absender

SecIntel

C&C IP-Adresse und -Domain

ETI

IP-Adresse und Hostname

DNS

Domänen

Umgekehrte Schale

Ziel-IP-Adressen und -Domänen
Anmerkung:

Domäne bezieht sich auf einen vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN).

Die unterstützten Typen von Blocklisten sind in Tabelle 2 aufgeführt.

Tabelle 2: Unterstützte Typen in Blocklisten

Art

Information

Anti-Malware

IP-Adresse, URL, Datei-Hash und E-Mail-Absender

SecIntel

C&C IP-Adresse und -Domain
Anmerkung:

  • Für den Datei-Hash-Typ werden die Dateien auf den Client heruntergeladen und an die Juniper ATP-Cloud gesendet, um mit den Anti-Malware-Blocklisten abgeglichen zu werden, unabhängig davon, ob Sie die AAMW-Richtlinie (Advanced Anti-Malware) auf "Zulassen" oder "Blockieren" festgelegt haben.

  • Für IP und URL führt die Webbenutzeroberfläche grundlegende Syntaxprüfungen durch, um sicherzustellen, dass Ihre Eingaben gültig sind.

  • Die Cloud-Feed-URL für Zulassungs- und Blocklisten wird automatisch für Sie eingerichtet, wenn Sie das Op-Skript ausführen, um Ihre Firewall der SRX-Serie zu konfigurieren. Weitere Informationen finden Sie unter Herunterladen und Ausführen des Juniper ATP-Cloud-Skripts.

  • Ein Hash ist eine eindeutige Signatur für eine Datei, die von einem Algorithmus generiert wird. Sie können benutzerdefinierte Zulassungslisten- und Sperrlisten-Hashes zum Filtern hinzufügen, sie müssen jedoch in einer Textdatei mit jedem Eintrag in einer einzelnen Zeile aufgeführt werden. Es kann nur eine Datei ausgeführt werden, die bis zu 15.000 Dateihashes enthält. Details zum Hochladen finden Sie unter Erstellen von Zulassungslisten und Sperrlisten. Beachten Sie, dass sich Hash-Listen von anderen Listentypen insofern unterscheiden, als sie auf der Cloud-Seite und nicht auf der Firewall-Seite der SRX-Serie ausgeführt werden. Das bedeutet, dass das Webportal in der Lage ist, Treffer zu Hash-Elementen anzuzeigen.

Die Firewall der SRX-Serie stellt etwa alle zwei Stunden Anfragen nach neuen und aktualisierten Feed-Inhalten. Wenn es nichts Neues gibt, werden keine neuen Updates heruntergeladen.

Verwenden Sie den show security dynamic-address instance advanced-anti-malware CLI-Befehl, um die IP-basierten Zulassungs- und Sperrlisten auf Ihrer Firewall der SRX-Serie anzuzeigen. Es gibt keinen CLI-Befehl, mit dem die domänen- oder URL-basierten Zulassungs- und Blocklisten angezeigt werden.

Beispiel: Sicherheit Dynamische Adressinstanz Erweiterter Malwareschutz

Wenn Ihre Updates nicht angezeigt werden, warten Sie einige Minuten, und versuchen Sie es erneut. Möglicherweise befinden Sie sich außerhalb des Juniper ATP-Cloud-Abrufzeitraums.

Verwenden Sie den show services security-intelligence category summary CLI-Befehl, um eine Zusammenfassung für die angegebene SecIntel-Kategorie anzuzeigen.

Beispiel: Zusammenfassung der Services-Security-Intelligence-Kategorie anzeigen

Verwenden Sie den show security dynamic-address instance default CLI-Befehl, um die Gesamtzahl der standardmäßig übereinstimmenden Einträge anzuzeigen.

Beispiel: show security dynamic-address instance default

Verwenden Sie den show security dynamic-address category-name Blacklist CLI-Befehl, um die Liste der Speicherorte wie IP-Adressen und URLs anzuzeigen, denen Sie nicht vertrauen.

Beispiel: show security dynamic-address category-name Blacklist

Verwenden Sie den show security dynamic-address category-name Whitelist CLI-Befehl, um die Liste der Speicherorte anzuzeigen, z. B. IP-Adressen und URLs, denen Sie vertrauen.

Beispiel: show security dynamic-address category-name Whitelist

Zugehörige Dokumentation