h12-731认证精英hcie security v1.5培训与实验手册hcsce反病毒技术

反病毒技术目标学完本课程后，您将能够:理解防火墙反病毒原理；掌握防火墙反病毒特性配置；学会防火墙反病毒特性故障处理。目录防火墙反病毒技术原理防火墙反病毒特性配置防火墙反病毒特性故障处理反病毒概念病毒：病毒是一种恶意代码，可感染或附着在应用程序或文件中，一般通过邮件或文件共享等协议进行传播，威胁用户主机和网络的安全。有些病毒会耗尽主机资源、占用网络带宽；有些病毒会控制主机权限、窃取用户数据；有些病毒甚至会对主机硬件造成破坏。反病毒：反病毒是一种安全机制，它可以通过识别和处理病毒文件来保证网络安全，避免由病毒文件而引起的数据破坏、权限更改和系统崩溃等情况的发生。病毒安全威胁核心交换机邮件服务器数据服务器Web服务器路由器病毒病毒病毒随着企业业务拓展，更多业务应用依赖于IT信息系统来完成。然而在业务运行过程中，IT信息系统不断面临这病毒的严重威胁。智能感知引擎（IAE）应用识别一体化协议解码入侵检测入侵检测DLP检查Web安全检查入侵检测DLP检查病毒检查DLP检查URL检查文件识别一体化响应处理一体化模式匹配和摘要一体化解压和还原一体化威胁、应用描述语言一般内容URL文件流一体化安全扫描病毒检测-基于流的文件检测t1t2搞定！防火墙反病毒检测技术首包规则检测技术高危特征检测技术是否命中检测规则开始IP/域名/URL/白名单过滤文件类型(PE文件）全文MD5规则检测是否命中检测规则响应处理文件格式分析首包规则检测高危特征检测输出响应动作放行/阻断/告警等输出响应动作放行是否命中否是否否是是设定文件类型是反病毒处理流程反病毒处理流程各协议反病毒检测方向和响应动作病毒文件抓包各协议响应方式应用例外和病毒例外如果要为协议中的某个应用配置不同的响应动作，可以在应用例外中完成。如果用户认为某个病毒为误报，可以根据病毒ID配置病毒例外。SMTP和POP3协议宣告信息SMTP和POP3协议反病毒检测响应动作为宣告和删除附件

时的宣告信息如下。典型应用场景内网用户可以访问外网，且经常需要从外网下载文件。内网部署的服务器经常接收外网用户上传的文件。目录防火墙反病毒技术原理防火墙反病毒特性配置防火墙反病毒特性故障处理组网需求配置思路配置接口IP地址和安全区域配置三个反病毒配置文件（HTTP、POP3以及FTP）配置病毒例外，放行ID为8000的病毒配置安全策略，引用反病毒配置文件配置步骤配置接口IP地址和安全区域，完成网络基本参数配置。（略）配置反病毒配置文件。选择“对象>安全配置文件>反病毒”；单击“新建”，按下图完成针对HTTP和POP3协议的配置。配置步骤（续）配置反病毒配置文件。参考上述步骤按如下参数完成针对FTP协议的配置。在创建完profile后，需要执行配置“提交”动作。配置步骤（续）配置病毒例外。在配置病毒安全文件的界面下方输入需要过滤的病毒ID，点击添加。配置步骤（续）名称policy_av_1描述Intranet-User源安全区域trust目的安全区域untrust动作permit内容安全反病毒AV_http_pop3配置内网用户到外网服务器方向（Trust到Untrust方向）的安全策略。选择“策略>安全策略>安全策略”；单击“新建”；在“新建安全策略”中应用反病毒配置文件。参数配置如下：配置步骤（续）名称policy_av_2描述Intranet-Server源安全区域untrust目的安全区域dmz动作permit内容安全反病毒AV_ftp单击界面右上角的“保存”，在弹出的对话框中单击“确定”。配置外网用户到内网服务器方向的安全策略。参照内网用户到外网服务器方向安全策略的配置方法，完成安全策略的配置。参数配置如下：结果验证配置完成后，访问带病毒的网站，下载病毒文件。进入“监控>日志>威胁日志”查看威胁类型为“病毒”的威胁日志。单击可以查看日志的详细信息。目录防火墙反病毒技术原理防火墙反病毒特性配置防火墙反病毒特性故障处理故障现象描述某公司在网络边界处部署了NGFW作为安全网关。办公区域的PC在从外网收取邮件时，PC上的系统安全软件提示该邮件中的附件携带病毒。故障处理思路检查安全策略配置检查配置文件配置检查病毒特征库调试分析(开发人员)原因一：安全策略配置错误找到PC收取邮件时命中的防火墙安全策略。选择“监控>日志>策略命中日志”。在“高级查询”中根据“开始时间”、“结束时间”、“目的地址”等条件查询PC命中的安全策略。检查PC命中的安全策略是否配置引用反病毒配置文件。原因二：反病毒配置文件配置错误选择“对象>安全配置文件>反病毒”，找到安全策略所引用的配置文件。检查反病毒配置文件的动作。检查反病毒配置文件是否配置了应用例外。检查反病毒配置文件是否配置了病毒例外。原因三：病毒特征库版本未加载或较旧选择“系统>升级中心”，查看特征库状态是否显示“加载成功”，如果未加载成功，请根据网络连接状态酌情选择在线升级或本地升级触发特征库加载；查看“AV-SDB特征库”的当前版本是否为最新版本，如果当前版本不是最新版本，请进行版本升级。总结本章介绍了防火墙反病毒技术原理、处理流程及防火墙一体化检测方式本章介绍了防火墙反病毒特性配置，并举例进行说明本章介绍了防火墙反病毒特性故障处理思路及部分举例练习题判断题反病毒可以检测zip、gzip和tar类型的压缩文件，支持检测的最大压缩层数为3层。反病毒检测采用流扫描的方式，需缓存整个文件内容。多选题AV检测支持的协议包括（