產(chǎn)業(yè)鏈安全云市場(chǎng)合作產(chǎn)品操作手冊(cè)

產(chǎn)業(yè)鏈安全云市場(chǎng)合作產(chǎn)品操作手冊(cè)

山石網(wǎng)科虛擬化網(wǎng)絡(luò)入侵防御系統(tǒng)

目錄

1安全防護(hù)策略...............................................................4

2NAT功能....................................................................6

2.1配置源NAT..........................................................................................................................6

啟用/禁用NAT規(guī)則.....................................................7

復(fù)制/粘貼源NAT規(guī)則...................................................7

調(diào)整優(yōu)先級(jí).............................................................7

命中數(shù).................................................................8

命中數(shù)清零.............................................................8

命中數(shù)檢測(cè).............................................................9

2.2配置目的NAT....................................................................................................................9

配置IP映射類型的目的NAT.......................................................................................9

配置端口映射類型的目的NAT....................................................................................10

配置NAT規(guī)則的高級(jí)配置..............................................11

啟用/禁用NAT規(guī)則....................................................12

復(fù)制/粘貼目的NAT規(guī)則...............................................13

調(diào)整優(yōu)先級(jí)............................................................13

命中數(shù)................................................................14

命中數(shù)清零............................................................14

命中數(shù)檢測(cè)............................................................15

3安全防護(hù)配置..............................................................15

3.1入侵防御配置.........................................................17

入侵防御全局配置.....................................................17

配置入侵防御模板.....................................................18

3.2病毒過(guò)濾配置.........................................................21

3.3僵尸網(wǎng)絡(luò)C&C防御配置...............................................23

3.4邊界流量過(guò)濾配置....................................................24

IP黑名單.............................................................24

Service黑名單........................................................27

MAC黑名單............................................................28

IP信譽(yù)過(guò)濾...........................................................29

例外白名單............................................................30

全局檢索..............................................................30

配置...................................................................30

3.5沙箱防護(hù)配置.........................................................31

沙箱全局配置..........................................................33

威脅列表..............................................................34

信任列表..............................................................35

4系統(tǒng)配置...................................................................35

4.1管理設(shè)備.............................................................35

管理員................................................................35

管理員角色............................................................38

可信主機(jī)..............................................................39

管理接口..............................................................40

系統(tǒng)時(shí)間..............................................................41

設(shè)置及操作............................................................41

4.2升級(jí)管理.............................................................42

升級(jí)版本..............................................................42

升級(jí)特征庫(kù)............................................................43

1安全防護(hù)策略

安全防護(hù)策略是vNIPS系統(tǒng)的基本功能，控制安全域間/不同地址段間的流量轉(zhuǎn)發(fā)及

安全防護(hù)檢測(cè)。安全防護(hù)策略包括兩種模式：安全防護(hù)模式和防火墻模式。默認(rèn)情況下

設(shè)備處于安全防護(hù)模式。

?在安全防護(hù)模式下，所有新建策略的默認(rèn)防護(hù)動(dòng)作均為“允許”且不允許修改，

此時(shí)NIPS設(shè)備首先對(duì)所有安全域/地址段之間的流量進(jìn)行放行，然后通過(guò)用戶所

設(shè)置的入侵防御規(guī)則、病毒過(guò)濾規(guī)則、僵尸網(wǎng)絡(luò)防御規(guī)則等安全防護(hù)規(guī)則進(jìn)行過(guò)

濾檢測(cè)，對(duì)于匹配到上述安全防護(hù)規(guī)則的威脅流量，再通過(guò)規(guī)則的防護(hù)動(dòng)作進(jìn)行

處理，如阻斷或記錄日志等。

?在防火墻模式下，新建策略時(shí)，用戶可按需設(shè)置防護(hù)動(dòng)作為“允許”或“拒

絕”，常用于一個(gè)安全域到另一個(gè)安全域，以及從一個(gè)地址段到另一個(gè)地址段的

流量的訪問(wèn)控制。用戶也可按需開(kāi)啟入侵防御規(guī)則、病毒過(guò)濾規(guī)則等安全防護(hù)配

置。

強(qiáng)烈推薦用戶使用安全防護(hù)模式，以獲得vNIPS設(shè)備全面的入侵防御效果。

一般來(lái)講，安全防護(hù)策略規(guī)則分為兩部分：過(guò)濾條件和行為。安全域間流量的源安

全域/源地址、目的安全域/目的地址、服務(wù)、應(yīng)用以及用戶構(gòu)成策略規(guī)則的過(guò)濾條件。

策略的行為主要包括：允許、拒絕或安全防護(hù)（不同的策略模式存在差異，以實(shí)際界面

為準(zhǔn)）。安全防護(hù)包括入侵防御防護(hù)、高級(jí)防護(hù)（病毒過(guò)濾、僵尸網(wǎng)絡(luò)防御、URL過(guò)濾、

沙箱防護(hù)）和數(shù)據(jù)安全防護(hù)（上網(wǎng)行為審計(jì)和網(wǎng)友關(guān)鍵字過(guò)濾）。

同時(shí)，策略規(guī)則都有其獨(dú)有的ID號(hào)。策略規(guī)則ID會(huì)在定義規(guī)則時(shí)自動(dòng)生成.同時(shí)

用戶也可以按自己的需求為策略規(guī)則指定ID。整個(gè)系統(tǒng)的所有策略規(guī)則有特定的排列順

序。在流量進(jìn)入系統(tǒng)時(shí)，系統(tǒng)會(huì)對(duì)流量按照從上到下的匹配順序進(jìn)行匹配，然后查找到

的第一條與過(guò)濾條件相匹配的策略規(guī)則進(jìn)行處理。

對(duì)未匹配到任何已配置策略規(guī)則的流量，系統(tǒng)將按照指定的默認(rèn)動(dòng)作對(duì)此類流量進(jìn)

行處理。在安全防護(hù)策略模式下，推薦將默認(rèn)防護(hù)動(dòng)作設(shè)置為“允許”；在防火墻模式

下，推薦將默認(rèn)防護(hù)動(dòng)作設(shè)置為“拒絕”。

同時(shí)，安全防護(hù)策略支持指定IPv4和IPv6格式攸地址條目。如接口開(kāi)啟了IPv6功

能，用戶可根據(jù)需要配置IPv6地址的策略規(guī)則。

配置策略規(guī)則，請(qǐng)按照如下步驟進(jìn)行操作：

1.點(diǎn)擊“配置管理＞策略＞安全防護(hù)策略”。

2.點(diǎn)擊左上角的“新建”按鈕，點(diǎn)擊“策略”，進(jìn)入〈策略配置》頁(yè)面。

安全防護(hù)策略配置

視示：麗安全防護(hù)”時(shí)，正常的親置封認(rèn)楠行

名稱

IPv4

源安全域Any▼

那蜘?Any

+

源用戶+

目的安全域Any▼

目的地址同Any

+

般務(wù)Any

+

Effl+

入侵防加模粒▼

高竭防護(hù)＞

數(shù)摳安全＞

選噴,

在〈策略配置〉頁(yè)面，填寫(xiě)基本配置信息。

點(diǎn)擊“高級(jí)防護(hù)”，展開(kāi)《高級(jí)防護(hù)》頁(yè)面，填寫(xiě)配置信息。

點(diǎn)擊“數(shù)據(jù)安全”，展開(kāi)＜數(shù)據(jù)安全》頁(yè)面，填寫(xiě)配置信息。

點(diǎn)擊“選項(xiàng)”，展開(kāi)〈選項(xiàng)》頁(yè)面，填寫(xiě)配置信息，

點(diǎn)擊“確定”完成配置。

2NAT功能

設(shè)備的NAT功能將內(nèi)部網(wǎng)絡(luò)主機(jī)的IP地址和端口替換為設(shè)備外部網(wǎng)絡(luò)的地址和端

口，以及將設(shè)備的外部網(wǎng)絡(luò)地址和端口轉(zhuǎn)換為內(nèi)部網(wǎng)絡(luò)主機(jī)的IP地址和端口。也就是

“私有地址+端口”與“公有地址+端口”之間的轉(zhuǎn)換。

設(shè)備通過(guò)創(chuàng)建并執(zhí)行NA〃規(guī)則來(lái)實(shí)現(xiàn)NAT功能。NAT規(guī)則有兩類，分別為源AAT規(guī)則

(SNATRule)和目的NAT規(guī)則(DNATRule)。SNAT轉(zhuǎn)換源IP地址，從而隱藏內(nèi)部IP

地址或者分享有限的IP地址；DNAT轉(zhuǎn)換目的IP地址，通常是將受設(shè)備保護(hù)的內(nèi)部服務(wù)

器(如附次服務(wù)器或者SMTP服務(wù)器)的IP地址轉(zhuǎn)換成公網(wǎng)IP地址。

2.1配置源NAT

新建源NAT規(guī)則，按照以下步驟進(jìn)行操作：

1.點(diǎn)擊“配置管理〉策略＞NAT＞源NAT”，進(jìn)入源NAT頁(yè)面。

2.點(diǎn)擊“新建”按鈕，進(jìn)入＜源NAT配置》頁(yè)面。

舞NAT配置

當(dāng)中嬉址用合以下條笄時(shí)

虛擬路由昌.tnjst-vr

英里345364

處址條目

城址條目

入知所有，也

出知所有

服務(wù)AnyG大以中債再1

§糖為aiftnipI徒IPTf爆

Rouno-rooin?

更委配55?

確定取消

在〈源NAT配置》頁(yè)面，填寫(xiě)相關(guān)信息。

在＜更多配置）頁(yè)面，填寫(xiě)相關(guān)信息。

3.點(diǎn)擊“確定”完成配置。

啟用/禁用NAT規(guī)則

默認(rèn)情況下，配置好的NAT規(guī)則會(huì)在系統(tǒng)中立即生效。用戶可以通過(guò)配置禁用某條NAT

規(guī)則，使其不對(duì)流量進(jìn)行控制。

啟用/禁用NAT規(guī)則，按照以下步驟進(jìn)行操作：

1.點(diǎn)擊“配置管理〉策略＞NAT＞源NAT”，進(jìn)入源NAT頁(yè)面。

2.選中列表中需要啟用/禁用的NAT規(guī)則對(duì)應(yīng)的復(fù)選框。

3.點(diǎn)擊“啟用”或“禁用”按鈕.

復(fù)制/粘貼源NAT規(guī)則

當(dāng)系統(tǒng)中存在大量的NAT規(guī)則時(shí)，為使用戶更方便快捷地創(chuàng)建與己配置NAT規(guī)則類似的

NAT規(guī)則，可以復(fù)制NAT規(guī)則并且粘貼在指定位置。

復(fù)制/粘貼源NAT規(guī)則，按照以下步驟進(jìn)行操作：

1.點(diǎn)擊“配置管理＞策略＞NAT＞源NAT”，進(jìn)入源NAT頁(yè)面。

2.選中列表中需要復(fù)制的源NAT規(guī)則對(duì)應(yīng)的復(fù)選框，然后點(diǎn)擊“復(fù)制”按鈕。

3.點(diǎn)擊“粘貼”按鈕。從彈出下拉菜單中選擇指定位置.該源NAT規(guī)則將被粘貼到指定的

位置。

調(diào)整優(yōu)先級(jí)

每一條源NAT規(guī)則都有唯一一個(gè)ID號(hào)。流量進(jìn)入設(shè)備時(shí)，設(shè)備對(duì)源NAT規(guī)則進(jìn)行順序查

找，然后按照查找到的相匹配的第一條規(guī)則對(duì)流量的源IP做NAT轉(zhuǎn)換。但是，ID的大小

順序并不是規(guī)則匹配順序。在源NAT列表中顯示的順序才是規(guī)則的匹配順序。

調(diào)整源NAT規(guī)則的優(yōu)先級(jí)，按照以下步驟進(jìn)行操作：

1.點(diǎn)擊“配置管理＞策略＞NAT＞源NAT”，進(jìn)入源NAT頁(yè)面。

2.從源NAT列表中選中需要調(diào)整優(yōu)先級(jí)的源NAT規(guī)則對(duì)應(yīng)的復(fù)選框，然后點(diǎn)擊列表上方的

“優(yōu)先級(jí)”按鈕，打開(kāi)《調(diào)整優(yōu)先級(jí)）頁(yè)面。選擇相應(yīng)的單選按鈕，調(diào)整源NAT規(guī)則的在

列表中的順序。

列表最前將該源NAT規(guī)則移至所有源NAT規(guī)則的首位。

列表最后將該源NAT規(guī)則移至所有源NAT規(guī)則的末位。

該ID之將源NAT規(guī)則移至指定ID源NAT規(guī)則的前一位。在文本框中輸

前入ID號(hào)。

該ID之將源NAT規(guī)則移至指定II）源NAT規(guī)則的后一位。在文本框中輸

后入ID號(hào)。

3.點(diǎn)擊“確定”完成配置。

命中數(shù)

設(shè)備支持源NAT規(guī)則匹配次數(shù)統(tǒng)計(jì)功能。該功能能夠?qū)ο到y(tǒng)流量與源NAT規(guī)則的匹配次

數(shù)進(jìn)行統(tǒng)計(jì)，即每當(dāng)進(jìn)入系統(tǒng)的流量與某條源NAT規(guī)則相匹配時(shí)，該源NAT規(guī)則的匹配

次數(shù)會(huì)自動(dòng)加U

查看源NAT規(guī)則的命中數(shù)，進(jìn)入源NAT頁(yè)面。在源NAT規(guī)則列表的“命中數(shù)”一列，查

看相應(yīng)源NAT規(guī)則的命中數(shù)統(tǒng)計(jì)。

命中數(shù)清零

清除源NAT規(guī)則匹配次數(shù)統(tǒng)計(jì)信息，按照以下步躲進(jìn)行操作：

1.點(diǎn)擊“配置管理〉策略＞NAT＞源NAT命中分析"，進(jìn)入源NAT命中分析頁(yè)面。

2.點(diǎn)擊頁(yè)面右上角的“統(tǒng)計(jì)清理”按鈕，打開(kāi)＜命中數(shù)清零》頁(yè)面。

3.根據(jù)需要，清除源NAT規(guī)則匹配次數(shù)統(tǒng)計(jì)信息。具體選項(xiàng)說(shuō)明如下：

o所有NAT：清除所有源NAT規(guī)則的匹配次數(shù)統(tǒng)計(jì)信息。

oMAT的ID：清除指定ID規(guī)則的匹配次數(shù)統(tǒng)計(jì)信息。在文本框中輸入源NAT

規(guī)則的IDo

4.點(diǎn)擊“確定”按鈕完成配置。

命中數(shù)檢測(cè)

系統(tǒng)支持檢測(cè)源NAT規(guī)則的命中數(shù)。命中數(shù)為0的源NAT規(guī)則即為未使用的源NATo

檢測(cè)源NAT規(guī)則的命中數(shù)，按照以下步驟進(jìn)行操作：

1.點(diǎn)擊“配置管理＞策略＞NAT＞源NAT命中分析"，進(jìn)入源NAT命中分析頁(yè)面。

2.點(diǎn)擊頁(yè)面右上角的*命中分析”按鈕，系統(tǒng)將開(kāi)始檢測(cè)源NAT規(guī)則的命中數(shù)。

2.2配置目的NAT

DNAT轉(zhuǎn)換目的IP地址，通常是將受設(shè)備保護(hù)的內(nèi)部服務(wù)器（如WWW服務(wù)器或者SMTP服

務(wù)器）的IP地址轉(zhuǎn)換成公網(wǎng)IP地址。

配置IP映射類型的目的NAT

新建IP映射類型的目的NAT,按照以下步驟進(jìn)行操作：

1.點(diǎn)擊“配置管理＞策略＞NAT＞目的NAT',進(jìn)入目的NAT頁(yè)面。

2.點(diǎn)擊“新建”按鈕，并在下拉菜單中選擇“IP映射"，進(jìn)入＜IP映射配置》頁(yè)面。

IP映射配置

當(dāng)尸地址符合以下條件時(shí)

虛擬路由器.trust-vr

NAT46NAT64IPv6

目的地址.地址條目

映射到地址*地址條目

(0-63)字符

在〈IP映射配置》頁(yè)面，填寫(xiě)相關(guān)信息。

3.點(diǎn)擊“確定”完成配置。

配置端口映射類型的目的NAT

新建端口映射類型的目的NAT規(guī)則，按照以下步驟進(jìn)行操作:

1.點(diǎn)擊“配置管理＞策略＞NAT＞目的NAT”，進(jìn)入目的NAT頁(yè)面。

2.點(diǎn)擊“新建”按鈕，并在下拉菜單中選擇“端口映射”，進(jìn)入＜端口映射配置〉頁(yè)面。

堵口映射配置

當(dāng)尸地址符合以下條件時(shí)

虛擬路由器?trust-vr▼

類型NAT46NAT64IPv6

目的地址?地址條目▼▼

服務(wù)Any▼最大港中數(shù)為1

映射

映射到地址.地址條目▼▼

端口映射*(1-65535)

其他

描述(0-63)字將

確定■取消

在＜端口映射配置）頁(yè)面，填寫(xiě)相關(guān)信息°

3.點(diǎn)擊“確定”完成配置。

配置NAT規(guī)則的高級(jí)配置

用戶可新建一條NAT規(guī)則并進(jìn)行相應(yīng)的高級(jí)配置，也可以對(duì)已經(jīng)存在的NAT規(guī)則進(jìn)行高

級(jí)配置。

新建目的NAT規(guī)則并進(jìn)行高級(jí)配置，按照以下步驟進(jìn)行操作：

1.點(diǎn)擊“配置管理＞策略＞NAT＞目的NAT',進(jìn)入目的NAT頁(yè)面。

2.點(diǎn)擊“新建”按鈕，并在下拉菜單中選擇“高級(jí)配置”，進(jìn)入＜目的NAT配置》頁(yè)面；對(duì)

已經(jīng)存在的NAT規(guī)則，選中此條規(guī)則，并點(diǎn)擊“編輯”按鈕，打開(kāi)〈目的NAT配置》頁(yè)

面。

目的NAT配置

虛擬路由器.trust-vr▼

類型NAT46NAT64IPv6

源地址*地址條目▼▼

目的地址*地址條目▼▼

服務(wù)Any▼最大送中數(shù)為1

將地址轉(zhuǎn)換為

動(dòng)作不轉(zhuǎn)換

轉(zhuǎn)換為IP*地址條目▼▼

將服務(wù)鰭口轉(zhuǎn)換為

轉(zhuǎn)換箔口O

負(fù)載均衡?O

重定向O

更多配置?

確定取消

在〈基本配置》頁(yè)面，填寫(xiě)相關(guān)信息。

在＜更多配置）頁(yè)面，填寫(xiě)相關(guān)信息。

3.點(diǎn)擊“確定”完成配置。

啟用/禁用NAT規(guī)則

默認(rèn)情況下，配置好的NAT規(guī)則會(huì)在系統(tǒng)中立即生效。用戶可以通過(guò)配置禁用某條NAT

規(guī)則，使其不對(duì)流量進(jìn)行控制。

啟用/禁用NAT規(guī)則，按照以下步驟進(jìn)行操作:

1.點(diǎn)擊“配置管理＞策略＞NAT＞目的NAT',進(jìn)入目的NAT頁(yè)面。

2.選中列表中需要啟用/禁用的NAT規(guī)則對(duì)應(yīng)的復(fù)選框。

3.點(diǎn)擊“啟用”或“禁用”按鈕。

復(fù)制/粘貼目的NAT規(guī)則

當(dāng)系統(tǒng)中存在大量的NAT規(guī)則時(shí)，為使用戶更方便快捷地創(chuàng)建與已配置NAT規(guī)則類似的

NAT規(guī)則，可以復(fù)制NAT規(guī)則并且粘貼在指定位置。

復(fù)制/粘貼H的NAT規(guī)則，按照以下步驟進(jìn)行操作：

1.點(diǎn)擊“配置管理＞策略＞NAT＞目的NAT”，進(jìn)入目的NAT頁(yè)面。

2.選中列表中需要復(fù)制的FI的NAT規(guī)則對(duì)應(yīng)的復(fù)選框，然后點(diǎn)擊“復(fù)制”按鈕。

3.點(diǎn)擊“粘貼”按鈕。從彈出下拉菜單中選擇指定位置。該目的NAT規(guī)則將被粘貼到指定

的位置。

選項(xiàng)說(shuō)明

列表最前將復(fù)制的目的NAT規(guī)則粘貼至所有目的NAT規(guī)則的首位。

列表最后將復(fù)制的目的NAT規(guī)則粘貼至所有目的NAT規(guī)則的末位。

所選規(guī)則將復(fù)制的目的NAT規(guī)則粘貼至所勾選的H的NAT規(guī)則的前一

前

所選規(guī)則將復(fù)制的目的NAT規(guī)則粘貼至所勾選的目的NAT規(guī)則的后一

后位。

調(diào)整優(yōu)先級(jí)

每一條目的NAT規(guī)則都有唯一一個(gè)ID號(hào)。流量進(jìn)入設(shè)備時(shí)，設(shè)備對(duì)目的NAT規(guī)則進(jìn)行順

序查找，然后按照查找到的相匹配的第一條規(guī)則對(duì)流量的目的IP做NAT轉(zhuǎn)換。但是，ID

的大小順序并不是規(guī)則匹配順序。在目的NAT列表中顯示的順序才是規(guī)則的匹配順序o

調(diào)整目的NAT規(guī)則的優(yōu)先級(jí)，按照以下步驟進(jìn)行操作:

1.點(diǎn)擊“配置管理＞策略＞NAT＞目的NAT”，進(jìn)入目的NAT頁(yè)面。

2.從目的NAT列表中選中需要調(diào)整優(yōu)先級(jí)的目的WVT規(guī)則對(duì)應(yīng)的復(fù)選框，然后點(diǎn)擊列表上

方的“優(yōu)先級(jí)”按鈕，打開(kāi)〈調(diào)整優(yōu)先級(jí)〉頁(yè)面。選擇“列表最前”、“列表最后”、

“該ID之前”或“咳ID之后”，調(diào)整目的NAT規(guī)則的在列表中的順序。

選項(xiàng)說(shuō)明

列表最前將該目的NAT規(guī)則移至所有目的NAT規(guī)則的首位。

列表最后將該目的NAT規(guī)則移至所有目的NAT規(guī)則的末位。

該1D之前將目的NAT規(guī)則移至指定ID目的NAT規(guī)則的前一位。在文本

框中輸入ID號(hào)。

該ID之后將目的NAT規(guī)則移至指定ID目的NAT規(guī)則的后一位。在文本

框中輸入ID號(hào)。

3.點(diǎn)擊“確定”完成配置。

命中數(shù)

設(shè)備支持目的NAT規(guī)則匹配次數(shù)統(tǒng)計(jì)功能。該功能能夠?qū)ο到y(tǒng)流量與目的NAT規(guī)則的匹

配次數(shù)進(jìn)行統(tǒng)計(jì)，即每當(dāng)進(jìn)入系統(tǒng)的流量與某條目的NAT規(guī)則相匹配時(shí)，該目的NAT規(guī)

則的匹配次數(shù)會(huì)自動(dòng)加1。

查看目的NAT規(guī)則的命中數(shù)，進(jìn)入目的NAT頁(yè)面。在目的NAT規(guī)則列表的“命中數(shù)”一

列，查看相應(yīng)目的NAT規(guī)則的命中數(shù)統(tǒng)計(jì)。

命中數(shù)清零

清除目的NAT規(guī)則匹配次數(shù)統(tǒng)計(jì)信息，按照以下步驟進(jìn)行操作：

1.點(diǎn)擊“配置管理＞策略＞NAT＞目的NAT命中分析”，進(jìn)入目的NAT命中分析頁(yè)面。

2.點(diǎn)擊“統(tǒng)計(jì)清零”按鈕，打開(kāi)〈命中數(shù)清零》頁(yè)面。

3.根據(jù)需要，清除目的'AT規(guī)則匹配次數(shù)統(tǒng)計(jì)信息。具體選項(xiàng)說(shuō)明如下:

O所有NAT：清除所有目的NAT規(guī)則的匹配次數(shù)統(tǒng)計(jì)信息。

oNAT的ID：清除指定ID規(guī)則的匹配次數(shù)統(tǒng)計(jì)信息。在文本框中輸入目的NAT

規(guī)則的IDo

4.點(diǎn)擊“確定”按鈕完成配置。

命中數(shù)檢測(cè)

系統(tǒng)支持檢測(cè)目的NAT規(guī)則的命中數(shù)。命中數(shù)為0的目的NAT規(guī)則即為未使用的目的

NAT。

檢測(cè)目的NAT規(guī)則的命中數(shù)，按照以下步驟進(jìn)行操作：

1.點(diǎn)擊“配置管理》策略＞NAT＞目的NAT命中分析”，進(jìn)入目的NAT命中分析頁(yè)面。

2.點(diǎn)擊“命中分析”按鈕，系統(tǒng)將開(kāi)始檢測(cè)目的NAT規(guī)則的命中數(shù)。

設(shè)備通過(guò)創(chuàng)建并執(zhí)行NAT規(guī)則來(lái)實(shí)現(xiàn)NAT功能。NAT規(guī)則有兩類，分別為源NAT規(guī)則

（SNATRule）和目的NAT規(guī)則（DNATRule）。SNAT轉(zhuǎn)換源IP地址，從而隱藏內(nèi)部IP

地址或者分享有限的IP地址；DNAT轉(zhuǎn)換目的IP地址，通常是將受設(shè)備保護(hù)的內(nèi)部服務(wù)

器（如網(wǎng)即服務(wù)器或者SMTP服務(wù)器）的IP地址轉(zhuǎn)換成公網(wǎng)IP地址。

3安全防護(hù)配置

安全防護(hù)，即設(shè)備可檢測(cè)并阻斷網(wǎng)絡(luò)威脅的發(fā)生。通過(guò)配置安全防護(hù)功能，Hillstone設(shè)

備可防御外部攻擊，減少對(duì)內(nèi)網(wǎng)安全造成的損失。

安全防護(hù)包括：

?入侵防御：可檢測(cè)并防護(hù)針對(duì)主流應(yīng)用層協(xié)議（DNS、FTP、HTTP、POP3、SMTP、

TELNET、MYSQL、MSSQL、ORACLE.NETBIOS等）的入侵攻擊、基于Web的攻擊行為以及

常見(jiàn)的木馬攻擊。

?病毒過(guò)濾：可檢測(cè)最易攜帶病毒的文件類型和常用的協(xié)議類型（POP3、HTTP、SMTP、

IMAP4以及FTP）并對(duì)其進(jìn)行病毒防護(hù)?？蓲呙栉募愋桶ù鏅n文件（包含壓縮存檔文

件，支持壓縮類型有GZIP、BZIP2、TAR、ZIP和RAR）、PE、HTML、MAIL、RIFF和

JPEG。

?僵尸網(wǎng)絡(luò)C&C防御：根據(jù)特征庫(kù)中的地址及時(shí)發(fā)現(xiàn)用戶內(nèi)網(wǎng)的僵尸主機(jī)，并且根據(jù)配置

對(duì)發(fā)現(xiàn)的僵尸主機(jī)進(jìn)行處理，從而避免發(fā)生進(jìn)一步的威脅攻擊。

?攻擊防護(hù)：可檢測(cè)各種類型的網(wǎng)絡(luò)攻擊，從而采取相應(yīng)的措施保護(hù)內(nèi)部網(wǎng)絡(luò)免受惡意攻

擊，以保證內(nèi)部網(wǎng)絡(luò)及系統(tǒng)正常運(yùn)行。

?邊界流量過(guò)濾：通過(guò)對(duì)基于已知的IP地址黑白名單對(duì)流量進(jìn)行過(guò)漉，并對(duì)命中黑名單的

惡意流量采取阻斷措施進(jìn)行處理。

?URL過(guò)濾：URL過(guò)濾功能可以控制用戶對(duì)某些網(wǎng)站的訪問(wèn)，并能對(duì)訪問(wèn)行為進(jìn)行日志記

錄。

?沙箱防護(hù)：在虛擬環(huán)境中執(zhí)行可疑文件，收集可疑文件的動(dòng)態(tài)行為，對(duì)這些動(dòng)態(tài)行為進(jìn)

行分析，并根據(jù)分析結(jié)果判斷文件合法性。

?異常行為檢測(cè)：根據(jù)特征庫(kù)中的異常行為檢測(cè)規(guī)則檢測(cè)會(huì)話流量，當(dāng)檢測(cè)對(duì)象的多個(gè)參

量發(fā)生異常時(shí)，系統(tǒng)將分析其參量異常的關(guān)聯(lián)關(guān)系，判斷檢測(cè)對(duì)象是否產(chǎn)生了異常行

為。

?高級(jí)威脅檢測(cè)：通過(guò)對(duì)基于主機(jī)的可疑流量進(jìn)行智能分析，判斷是否為惡意軟件。

設(shè)備支持基于安全域和基于策略的威脅防護(hù)方式。

?為安全域配置威脅防護(hù)后，系統(tǒng)將會(huì)對(duì)以綁定安全域?yàn)槟康陌踩?源安全域的流量根據(jù)

威脅防護(hù)配置進(jìn)行檢查并做相應(yīng)的動(dòng)作響應(yīng)。

?為策略配置威脅防護(hù)后，系統(tǒng)將會(huì)對(duì)與策略規(guī)則相匹配的流量根據(jù)威脅防護(hù)配置進(jìn)行檢

查和響應(yīng)。

?若安全域和策略中均配置了威脅防護(hù)，策略中的配置項(xiàng)將有更高的優(yōu)先權(quán)；在安全域配

置中，目的安全域的優(yōu)先權(quán)將高于源安全域。

3.1入侵防御配置

入侵防御全局配置

入侵防御全局配置包括：

?啟用入侵防御功能

?配置日志聚合類型

?指定入侵防御工作模式

點(diǎn)擊“配置管理>安全防護(hù)配置〉入侵防御>配置”進(jìn)行入侵防御全局配置。配置

完成后，點(diǎn)擊“確定”按鈕。

選項(xiàng)

入侵防選中/取消選中“啟用”按鈕開(kāi)啟/關(guān)閉設(shè)備的入侵防御防護(hù)功能。配置后，需要重啟

御設(shè)備。

日志聚

系統(tǒng)可將符合聚合規(guī)則（協(xié)議ID相同、特征規(guī)則ID相同、日志信息ID相

合類型

同、聚合類型相同）的日志信息進(jìn)行聚合，從而減少日志數(shù)量，避免日志服

務(wù)器接受冗余的日志信息。系統(tǒng)僅支持聚合由IPS功能所產(chǎn)生的日志信息。

該功能默認(rèn)為關(guān)閉狀態(tài)。選擇聚合類型：

?不聚合-不聚合日志。

?源IP-將相同源IP并符合其他聚合規(guī)則的日志進(jìn)行聚合。

?目的IP-將相同目的IP并符合其他聚合規(guī)則的日志進(jìn)行聚合。

?源IP,目的IP-將相同源IP、相同目的IP并符合其他聚合規(guī)則的日志

進(jìn)行聚合。

日志聚指定入侵防御同類型（上面指定的聚合類型）的威脅日志存入數(shù)據(jù)庫(kù)的時(shí)間粒度。指

合時(shí)間定后，系統(tǒng)將對(duì)同一時(shí)間粒度內(nèi)，同一類型的日志只存入數(shù)據(jù)庫(kù)一次，不再重復(fù)存入

粒度多次。取值范圍為1A600秒。

模式

指定系統(tǒng)的入侵防御工作模式，可以是:

選項(xiàng)

?入侵防御-在該模式下，系統(tǒng)提供IPS日志功能，可對(duì)檢出攻

擊做重置和阻斷操作。該模式為系統(tǒng)默認(rèn)模式。

?只記錄日志-在該模式下，系統(tǒng)提供IPS日志功能，不對(duì)檢出

攻擊做重置和阻斷操作。

篙點(diǎn)擊“啟用”按鈕開(kāi)啟設(shè)備記錄HTTP代理IP的功能。啟用后，當(dāng)設(shè)備產(chǎn)生

代理威脅日志時(shí)，系統(tǒng)將只記錄HTTP代理的IP,不顯示威脅源的真實(shí)IP地址。

TP

關(guān)閉后，系統(tǒng)將解析HTTP頭部獲取威脅源真實(shí)的IP地址，并在威脅日志中

顯示威脅源的真實(shí)IP地址。默認(rèn)情況下，系統(tǒng)僅顯示HTTP代理IP。

注意：

?該功能僅在HTTP代理的部署場(chǎng)景下生效，且僅針對(duì)HTTP流量。

?由于真實(shí)的源IP是通過(guò)解析HTTP頭部獲得的，所以對(duì)于解析HTTP請(qǐng)求

頭之前發(fā)生的威脅，將無(wú)法顯示真實(shí)的源IP地址；

?該功能僅針對(duì)入侵防御功能過(guò)濾產(chǎn)生的威脅日志生效，其他功能過(guò)濾生成

的威脅日志將不生效。

配置入侵防御模板

配置入侵防御模板并將其綁定到某安全防護(hù)策略上，系統(tǒng)將對(duì)符合此安全防護(hù)策略的流

量執(zhí)行防御功能。

系統(tǒng)預(yù)定義多個(gè)入侵防御模板，綁定到不同的預(yù)定義策略。用戶可查看其具體配置，根

據(jù)自身網(wǎng)絡(luò)環(huán)境進(jìn)行調(diào)整。

用戶也可自行配置入侵防御模板。配置包含如下兩部分：

?特征集配置

?協(xié)議配置

配置入侵防御模板，請(qǐng)按照以下步驟進(jìn)行:

1.點(diǎn)擊“配置管理>安全防護(hù)配置〉入侵防御>模板

2.點(diǎn)擊“新建”按鈕。

3.在''名稱"文本框輸入新建入侵防御模板的名稱。如果只是輸入名稱，但是沒(méi)

有對(duì)特征集和協(xié)議進(jìn)行配置，則該模板不生效。

4.在“全局抓包”后，點(diǎn)擊啟用按鈕，系統(tǒng)將對(duì)該模板下所有協(xié)議進(jìn)行抓包。

5.在“描述”文本框輸入該模板的描述信息，該描述將在列表中顯示，以便用戶進(jìn)行查找

和使用。

6.在“特征集”配置區(qū)域，對(duì)特征集規(guī)則進(jìn)行管理，包括新建，編輯，和刪除。新建特征

集規(guī)則時(shí)，可按需選擇過(guò)濾特征集和選擇特征集兩種方式，對(duì)特征庫(kù)進(jìn)行篩選與檢索，

從而選擇出需要使用的特征集。

o過(guò)濾特征集：由過(guò)濾條件篩選出來(lái)的特征集合。點(diǎn)擊過(guò)濾特征按鈕，篩選出

符合條件的特征,用戶可以通過(guò)該方式快速選擇出系統(tǒng)已分類的特征C

O選擇特征集：在特征庫(kù)中一一選擇出來(lái)的特征集合，用戶可以通過(guò)該方式快

速選擇某個(gè)特定的特征。

7.新建特征集規(guī)則，點(diǎn)擊“新建”按鈕，并選擇“過(guò)濾特征”或“選擇特征”：

8.點(diǎn)擊“確認(rèn)”完成特征集配置。用戶可創(chuàng)建多個(gè)特征集配置。

9.在“禁用特征集”列表，顯示該模板中禁用的特化集。勾選?條或多條特征，然后點(diǎn)擊

“啟用”按鈕可重新啟用該特征。

10.在“口令防護(hù)”配置部分，點(diǎn)擊“HTTP口令防護(hù)配置”后的“設(shè)置”按鈕，對(duì)HTTP登

錄報(bào)文中的用戶名、密碼、登錄成功響應(yīng)碼、登錄成功字段、登錄失敗響應(yīng)碼及登錄失

敗字段進(jìn)行配置。系統(tǒng)通過(guò)解析HTTP登錄報(bào)文中的用戶名、密碼及登錄結(jié)果等相關(guān)信

息，判斷是否存在弱口令及暴力破解的行為，并提供默認(rèn)的用戶名、密碼及登錄結(jié)果的

字段列表。但由于HTTP協(xié)議內(nèi)容依賴用戶端與服務(wù)器的協(xié)商，為避免漏報(bào)，用戶可以對(duì)

實(shí)際報(bào)文中代表用戶名、密碼、登錄成功或失敗的字段進(jìn)行自定義配置.從而對(duì)HTTP協(xié)

議進(jìn)行弱口令及暴力破解的檢測(cè)，并根據(jù)配置的規(guī)則進(jìn)行相應(yīng)的處理。

設(shè)置HTTP口令防護(hù)參數(shù)

H.在“口令防護(hù)”配置部分，點(diǎn)擊“弱口令檢測(cè)”后的啟用按鈕，系統(tǒng)將對(duì)該模板下的

FTP/Telnet/POP3/IMAP/SMTP/HTTP協(xié)議的明文密碼進(jìn)行密碼強(qiáng)度檢測(cè)，符合弱口令檢測(cè)

條件的密碼將被視為弱密碼，系統(tǒng)發(fā)出報(bào)警日志，可防止弱密碼所引起的安全隱患。點(diǎn)

擊“設(shè)置”，可對(duì)弱口令檢測(cè)參數(shù)進(jìn)行配置。

說(shuō)明：當(dāng)策略中配置了SSL代理，則可以對(duì)加密協(xié)議（如HTTPS）的密碼進(jìn)行弱口令檢

測(cè)。

設(shè)置弱口令檢測(cè)參數(shù)

12.在“口令防護(hù)”配置部分，可對(duì)

FTP/MSRPC/P0P3/SMTP/SUNRPC/Telnct/IMAP/SSH/LDAP/SMB/VNC/RDP/HTTP協(xié)議卜?的暴

力破解攻擊進(jìn)行阻斷設(shè)置。

說(shuō)明：暴力破解功能加入黑名單的IP在設(shè)備重啟后不生效。

點(diǎn)擊“設(shè)置”，在協(xié)議后點(diǎn)擊啟用按鈕，進(jìn)行配置

13.點(diǎn)擊“HTTP明文密碼檢測(cè)”后的啟用按鈕,開(kāi)啟HTTP明文密碼檢測(cè)功能，對(duì)HTTP報(bào)文

中的密碼字段進(jìn)行檢測(cè)，若密碼字段沒(méi)有經(jīng)過(guò)加密，則發(fā)出報(bào)警日志。

說(shuō)明：僅在登錄成功后，對(duì)HTTP密碼進(jìn)行明文檢測(cè)。HTTPS協(xié)議默認(rèn)不是明文傳輸，不

會(huì)進(jìn)行明文密碼檢測(cè)。

14.在“反彈shell檢測(cè)”部分，點(diǎn)擊展開(kāi)頁(yè)面，反彈shell檢測(cè)功能進(jìn)行配

置。

15.在“協(xié)議配置”部分，點(diǎn)擊展示所有協(xié)議，分別選擇相應(yīng)的協(xié)議進(jìn)行配置。協(xié)議配置用

來(lái)指定流量所在協(xié)議需要滿足的規(guī)定，當(dāng)流量不符合協(xié)議的規(guī)定后，系統(tǒng)會(huì)根據(jù)配置對(duì)

流量進(jìn)行處理。支持對(duì)HTTP,DNS,FTP,MSRPC,POP3,SMTP,SUNRPC,和Telnet

進(jìn)行配置。

選擇HTTP,對(duì)HTTP協(xié)議進(jìn)行配置。

如果需要對(duì)Web服務(wù)器進(jìn)行防護(hù)，在HTTP頁(yè)面，在Webserver部分配置如

下。

選擇DNS,對(duì)DNS協(xié)議進(jìn)行配置。

選擇FTP,對(duì)FTP協(xié)議進(jìn)行配置。

選擇MSRPC,對(duì)MSRPC協(xié)議進(jìn)行配置。

選擇POP3,對(duì)POP3協(xié)議進(jìn)行配置。

選擇SMTP,對(duì)SMTP協(xié)議進(jìn)行配置。

選擇SUNRPC,對(duì)SUNRPC協(xié)議進(jìn)行配置。

選擇Telnet,對(duì)Telnet協(xié)議進(jìn)行配置。

16.點(diǎn)擊“保存”完成配置。

3.2病毒過(guò)濾配.

配置病毒過(guò)濾規(guī)則，請(qǐng)按照以下步驟進(jìn)行操作：

1.點(diǎn)擊“配置管理》安全防護(hù)配置>病毒過(guò)濾〉模板”。

2.點(diǎn)擊“新建”按鈕。

病毒過(guò)濾規(guī)則配苣

名稱.

掃描文件類型

QGZIPQMAIL□ZIPMSOFFICE

QHTML□BZIP2TAPRawdata

JPEG□RARQELFOthers

□PE□RIFF□PDF

掃描協(xié)議類型

HTTP9擅包B填充JI術(shù)封只記錄日志警告看用連接

SMTPQ撩包B填充魔術(shù)封Ri摩日志重置連接

POP39撩包B填充魔術(shù)數(shù)R記相志重置連接

IMAP49撩包B填充K術(shù)數(shù)祀相志重耳連接

FTP9擅包C>填充級(jí)術(shù)域只記錄日志重用連接

SMB。撩包6只記錄日志重用連接

惡意網(wǎng)站訪問(wèn)控制Q撩包B只記錄日志警言重置連接

啟用標(biāo)簽郵件O

取消

在《病毒過(guò)濾規(guī)則配置》頁(yè)面，填寫(xiě)病毒過(guò)濾規(guī)則配置信息。

選項(xiàng)說(shuō)明

名稱指定病毒過(guò)濾規(guī)則名稱。長(zhǎng)度為1-31個(gè)字符。

選項(xiàng)

掃描文指定系統(tǒng)將掃描的文件類型，可以是GZIP、JPEG、MAIL、RAR、HTML

件類型等。其中Other表示對(duì)除頁(yè)面可選擇的文件類型以外的其他類型文件

進(jìn)行病毒掃描，主要包括GIF,BMP,PNG,JPEG,FWS,CWS,

RTF,MPEG,Ogg,MP3,wma,WV,ASF,RM等。

掃描協(xié)指定系統(tǒng)將掃描的協(xié)議類型(HTTP、SMTP、POP3、IMAP4、FTP)以及

議類型發(fā)現(xiàn)病毒后的處理動(dòng)作。

o填充魔術(shù)數(shù)-使用文件填充的方式處理病毒文件，即從文

件中被病毒感染部分的起始位置起使用魔術(shù)字(Virusis

found,cleaned)進(jìn)行填充，一直到被感染部分結(jié)束。

o只記錄日志-系統(tǒng)發(fā)現(xiàn)病毒后僅記錄日志信息。

o警告-彈出警告提示頁(yè)面，提示用戶發(fā)現(xiàn)病毒。用戶可在

警告提示頁(yè)面點(diǎn)擊“忽略此警告”鏈接，跳過(guò)該頁(yè)面，繼

續(xù)訪問(wèn)。跳過(guò)警告提示頁(yè)面后，若用戶一小時(shí)之內(nèi)再次訪

問(wèn)該網(wǎng)站，將不會(huì)收到警告提示。該選項(xiàng)只對(duì)通過(guò)HTTP協(xié)

議傳輸?shù)男畔⑦M(jìn)行病毒掃描時(shí)有效。

o重置連接-發(fā)現(xiàn)病毒后，重置病毒連接。

抓包點(diǎn)擊“啟用”按鈕，啟用分析取證功能。

惡意網(wǎng)點(diǎn)擊“啟用”按鈕，開(kāi)啟策略或安全域的惡意網(wǎng)站訪問(wèn)控制功能。

站訪問(wèn)

控制

行為指定系統(tǒng)發(fā)現(xiàn)惡意鏈接后的處理動(dòng)作：

o只記錄日志一系統(tǒng)發(fā)現(xiàn)惡意鏈接后僅記錄日志信息。

o重置連接-發(fā)現(xiàn)惡意鏈接后，重置惡意鏈接連接。

o返回告警頁(yè)面-彈出警告提示頁(yè)面，提示用戶發(fā)現(xiàn)惡意網(wǎng)

站。點(diǎn)擊“忽略此警告”鏈接，跳過(guò)警告提示頁(yè)面維續(xù)訪

問(wèn)。跳過(guò)警告提示頁(yè)面后，若用戶一小時(shí)之內(nèi)再次訪問(wèn)該

網(wǎng)站，將不會(huì)收到警告提示。

選項(xiàng)

啟用標(biāo)如果選擇對(duì)通過(guò)SMTP協(xié)議傳輸?shù)泥]件進(jìn)行病毒掃描，則用戶可以對(duì)發(fā)

簽郵件出的電子郵件開(kāi)啟標(biāo)簽郵件功能，即系統(tǒng)對(duì)郵件及其附件進(jìn)行掃描，

掃描病毒的結(jié)果會(huì)包含在郵件的主體中，隨郵件一起發(fā)送。如果沒(méi)有

發(fā)現(xiàn)病毒，則提示“Novirusfoundw；如發(fā)現(xiàn)病毒,則顯示郵件中

病毒相關(guān)信息，包括系統(tǒng)掃描文件的名稱、掃描結(jié)果以及對(duì)該病毒的

執(zhí)行動(dòng)作。

在文木框內(nèi)指定郵件結(jié)尾內(nèi)容，范圍是1-128個(gè)字符。

3.點(diǎn)擊“確定”按鈕保存所做配置并返回病毒過(guò)漉規(guī)則頁(yè)面。

3.3僵尸網(wǎng)絡(luò)C&C防御配置

用戶可使用系統(tǒng)默認(rèn)的僵尸網(wǎng)