hcie sec和参考-1安全反病毒技术

1.2.3.反

技术原理反

特性配置反

特性故障处理ghTechnologiesCo.,.Pages.2反

概念

是一种代码，可或附着在应用程序或文件中，一般通过邮件或文件共享等协议进行，用户主机和网络的安全。有些

会耗尽主机资源、占用网络带宽，有些会控制主机权限、窃取用户数据，有些

甚至会对主机硬件造成破坏。反是一种安全机制，它可以通过识别和处理文件来保证，避免由

文件而引起的数据破坏、权限更改和系统等情况的发生。ghTechnologiesCo.,.Pages.3随着企业业务拓展，务运行过程中，不断业务应用依赖于IT信息系统来完成。在业着

的严重

。安全交换机邮件服务器数据服务器Web服务器路由器ghTechnologiesCo.,.Pages.4智能感知引擎进行

检测扫描方式将所有经过

的需要进行自身的协议栈，通过检测的数据报文透明的转交给自身的协议栈将文件全部缓存下来后，再送入

检测引擎进行

检测。流扫描方式依赖于状态检测技术以及协议解析技术，提取文件的特征与本地签名库进行匹配。ghTechnologiesCo.,.Pages.5反

典型技术首包检测技术高危特征检测技术Scans

filesghTechnologiesCo.,.Pages.6反

处理流程网络流量安全中心平台特征库升级应用协议识别告警阻断删除附件例外？是智能感知引擎进行

检测放行否应用例外？否是文件病毒检测特征匹配检测到支持的协议？是不做 检测命中白？否

是否例外动作（允许/告警/阻断）反 处理ghTechnologiesCo.,.Pages.7各协议反检测方向和响应动作文件抓包高危特征检测各协议响应方式ghTechnologiesCo.,.Pages.8应用例外和

例外如果要为协议中的某个应用配置不同的响应动作，可以在应用例外中完成。如果用户认为某个

为误报，可以根据

ID配置

例外。ghTechnologiesCo.,.Pages.9SMTP和POP3协议

信息SMTP和POP3协议反

检测响应方式为

时的

信息SMTP和POP3协议反检测响应方式为删除附件时的

信息ghTechnologiesCo.,.Pages.10典型应用场景外部网络网络文件N正常文件内网用户可以

，且经常需要从

文件。内网部署的服务器经常接收

用户上传的文件。ghTechnologiesCo.,.Pages.111.2.3.反

技术原理反

特性配置反

特性故障处理ghTechnologiesCo.,.Pages.12组网需求GE1/0/1/24内网用户GE1/0/2/24Untrust用户GE1/0/3/24TrustDMZFTP服务器Web服务器POP3服务器NghTechnologiesCo.,.Pages.13配置思路配置接口IP地址和安全区域配置两个反

配置文件（HTTP和POP3）配置安全策略，

反

配置文件ghTechnologiesCo.,.Pages.141.

配置接口IP地址和安全区域，完成网络基本参数配置。a.

选择“网络>接口”。b.

选择GE1/0/1，按组网图参数配置IP地址和安全区域。c.

选择GE1/0/2，按组网图参数配置IP地址和安全区域。d.

选择GE1/0/3，按组网图参数配置IP地址和安全区域。配置步骤ghTechnologiesCo.,.Pages.152.

配置反

配置文件。a.

选择“对象

>

安全配置文件

>

反

”。b.

单击“新建”，按下图完成针对HTTP和POP3协议的配置。配置步骤（续）ghTechnologiesCo.,.Pages.162.

配置反

配置文件。a.

参考上述步骤按如下参数完成针对FTP协议的配置。3.

在创建完profile后，需要执行配置“提交”动作。配置步骤（续）ghTechnologiesCo.,.Pages.17服务器方向（Trust到Untrust方向）的安全4.

配置内网用户到策略。a.

选择“策略>安全策略>安全策略”。b.

单击“新建”。c.

在“新建安全策略”中应用反

配置文件。参数配置如下。配置步骤（续）名称policy_av_1描述Intranet-User源安全区域trust目的安全区域untrust动作permit内容安全反AV_http_pop3ghTechnologiesCo.,.Pages.185.

配置

用户到内网服务器方向的安全策略。a.

参照内网用户到

服务器方向安全策略的配置方法，完成安全策略的配置。参数配置如下。配置步骤（续）名称policy_av_2描述Intranet-Server源安全区域untrust目的安全区域dmz动作permit内容安全反AV_ftp6.

单击界面右上角的“保存”，在弹出的框中单击“确定”。ghTechnologiesCo.,.Pages.19配置完成后，

带进入“

>日志

>的

，

文件。日志”查看

类型为“

”的日志。单击可以查看日志的详细信息。结果验证ghTechnologiesCo.,.Pages.201.2.3.反

技术原理反

特性配置反

特性故障处理ghTechnologiesCo.,.Pages.21故障现象描述某公司在网络边界处部署了N作为安全网关。办公区域的PC在从邮件中的附件携带收取邮件时，PC上的系统安全

提示该。外部网络办公区域文件ghTechnologiesCo.,.Pages.22故障处理思路检查安全策略配置检查配置文件配置检查

调试分析特征库

(开发

)ghTechnologiesCo.,.Pages.23原因一：安全策略配置错误找到PC收取邮件时命中的安全策略。选择“

>

日志

>

策略命

志”。在“高级查询”中根据“开始时间”、“结束时间”、“目的地址”等条件查询PC命中的安全策略。检查PC命中的安全策略是否配置

反

配置文件。ghTechnologiesCo.,.Pages.24”，找到安全策略所

的原因二：反

配置文件配置错误选择“对象>安全配置文件>反配置文件。检查反检查反检查反配置文件的动作。配置文件是否配置了应用例外。配置文件是否配置了

例外。ghTechnologiesCo.,.Pages.25原因三：特征库版本未加载或较旧选择“系统>升级中心”，查看“AV-SDB特征库”的当前版本是否为

版本。如果当前版本不是

版本，请进行版本升级。ghTechnologiesCo.,.Pages.26总结1.2.3.反

技术原理反

特性配置反

特性故障处理ghTechnologiesCo.,.Pages.27练习题判断题反 可以检测zip、gzip和tar类型的压缩文件，支持检测的最大压缩层数