Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Información general sobre listas de permitidos y bloqueados

Una lista de permitidos contiene direcciones IP de confianza, hashes, direcciones de correo electrónico y URL conocidas. No es necesario inspeccionar el contenido descargado de ubicaciones de la lista de permitidos en busca de malware. Una lista de bloqueo contiene direcciones IP y URL conocidas que no son de confianza. El acceso a las ubicaciones en la lista de bloqueo está bloqueado y, por lo tanto, no se puede descargar contenido de esos sitios.

Beneficios de las listas de permitidos y las listas bloqueadas

  • Allowlist permite a los usuarios descargar archivos de fuentes que se sabe que son seguras. La lista de permitidos se puede agregar para disminuir los falsos positivos.

  • Las listas de bloqueo impiden que los usuarios descarguen archivos de fuentes que se sabe que son dañinas o sospechosas.

Las listas de permitidos personalizadas o las listas de bloqueo personalizadas le permiten agregar elementos manualmente. Ambos están configurados en el servidor en la nube ATP Cloud de Juniper. El orden de prioridad es el siguiente:

  1. Lista de permitidos personalizada

  2. Lista de bloqueo personalizada

Si una ubicación está en varias listas, gana el primer partido.

Los tipos admitidos de listas de permitidos se enumeran en la tabla 1.

Tabla 1: Tipos admitidos de listas de permitidos

Tipo

Información

Antimalware

Dirección IP, URL, hash de archivo y remitente de correo electrónico

SecIntel

Dirección IP y dominio de C&C

ETI

Dirección IP y nombre de host

DNS

Dominios

Carcasa inversa

Direcciones IP y dominios de destino

Nota:

Dominio hace referencia a un nombre de dominio completo (FQDN).

Los tipos admitidos de listas de bloqueo se enumeran en la tabla 2.

Tabla 2: Tipos admitidos de listas de bloqueo

Tipo

Información

Antimalware

Dirección IP, URL, hash de archivo y remitente de correo electrónico

SecIntel

Dirección IP y dominio de C&C

Nota:
  • Para IP y URL, la interfaz de usuario web realiza comprobaciones de sintaxis básicas para asegurarse de que las entradas son válidas.

  • La URL de la fuente de nube para las listas de permitidos y las listas de bloqueo se configura automáticamente cuando ejecuta el script op para configurar el firewall de la serie SRX. Consulte Descargar y ejecutar el script ATP Cloud de Juniper.

  • Un hash es una firma única para un archivo generado por un algoritmo. Puede agregar hashes personalizados de lista de permitidos y listas de bloqueo para filtrar, pero deben aparecer en un archivo de texto con cada entrada en una sola línea. Solo puede tener un archivo en ejecución que contenga hasta 15.000 hashes de archivo. Para obtener más información sobre la carga, consulte Crear listas de permitidos y listas de bloqueo. Tenga en cuenta que las listas hash son ligeramente diferentes de otros tipos de lista, ya que operan en el lado de la nube en lugar del lado del firewall de la serie SRX. Esto significa que el portal web puede mostrar hits en elementos hash.

El firewall de la serie SRX realiza solicitudes aproximadamente cada dos horas para contenido de fuente nuevo y actualizado. Si no hay nada nuevo, no se descargan nuevas actualizaciones.

Utilice el comando de la show security dynamic-address instance advanced-anti-malware CLI para ver las listas de permitidos y las listas de bloqueo basadas en IP en el firewall de la serie SRX. En este momento, no hay ningún comando de CLI que muestre las listas de permitidos y las listas de bloqueo basadas en dominios o URL.

Ejemplo mostrar instancia de dirección dinámica de seguridad anti-malware avanzado

Si no ve las actualizaciones, espere unos minutos y vuelva a probar el comando. Es posible que no esté fuera del período de sondeo de ATP Cloud de Juniper.

Utilice el comando CLI show services security-intelligence category summary para mostrar el resumen de la categoría de SecIntel especificada.

Ejemplo de resumen de categorías de inteligencia de seguridad de servicios

Utilice el comando de la show security dynamic-address instance default CLI para mostrar el número total de entradas coincidentes predeterminadas.

Ejemplo mostrar instancia de dirección dinámica de seguridad predeterminada

Use el comando CLI show security dynamic-address category-name Blacklist para ver la lista de ubicaciones, como direcciones IP y direcciones URL en las que no confía.

Ejemplo mostrar seguridad-dirección-dinámica-categoría-nombre Lista negra

Utilice el comando de la show security dynamic-address category-name Whitelist CLI para ver la lista de ubicaciones, como direcciones IP y URL en las que confía.

Ejemplo mostrar lista blanca de nombres de categoría de dirección dinámica de seguridad