某公司的内网网段为192.168.1.0/24。在UTM上配置防病毒策略,阻止公司内部的用户通过FTP向外网上传病毒,或者通过邮件附件向外发送病毒。
二.组网图
1.接口配置
配置GE0/0的IP地址为192.168.1.1/24,安全域为Trust;GE0/2的IP地址为192.168.103.171/22,安全域为Untrust。
2.NAT配置
在GE0/2接口上配置NAT 策略,选择ACL为3000,地址转换方式为“Easy IP”。
其中ACL3000的规则为允许源地址为192.168.1.0/24的报文通过。
3.ACL配置
4.路由配置
配置静态默认路由,其中的下一跳地址192.168.100.254为外网中的路由器与GE0/2在同一个网段的接口地址。
5.引流策略
配置将流量引进I-ware平台,以进行深度分析的配置。将Trust和Untrust之间匹配ACL3001的流量都引到段31上。
首先配置ACL,点击“防火墙 > ACL”,新建ID为3001的ACL,在其中添加规则,定义需要配置的流量。如下图:
再点击“IPS | AV | 应用控制 > 高级设置”,新建引流策略,将ACL3001的流量引到段31上。
6.进入“应用安全策略”界面
点击导航栏“IPS | AV | 应用控制 > 高级设置”,点击“应用安全策略”,进入深度检测页面。
7.创建防病毒策略
在左侧导航栏中点击“IPS|AV|应用控制 > 高级设置”,点击“应用安全策略”链接进入“应用安全策略”界面。选择“防病毒 > 策略管理”,进入防病毒策略的显示页面:
单击< 创建策略 >按钮,进入创建防病毒策略的配置页面,输入策略名称为“RD”,输入描述为“AV policy for RD”,选择从指定策略拷贝规则为“Anti-Virus Policy”,单击< 确定 >按钮完成操作。
8.配置防病毒规则
完成策略配置后,页面跳转到“防病毒 > 规则管理”的页面,策略已默认选择为“RD”,进行如下配置:选中“修改搜索出的所有规则”,单击< 禁止规则 >按钮。规则 管理-禁止所有规则
9.使能规则
选中规则“Virus”前的复选框,点击< 使能规则 >。
10.应用防病毒策略到段上
选择“防病毒 > 段策略管理”,单击< 新建段策略 >按钮。
在应用策略页面进行如下配置:选择要关联的段为“31”,选择策略为“RD”,选择方向为“内部到外部”,在内部域IP地址列表中添加IP地址为“192.168.1.0/24”,单击< 确定 >按钮完成操作。
11.应用策略
12.激活配置
完成上述的配置后,页面跳转到段策略的显示页面。单击< 激活 >按钮,弹出确认对话框。在确认对话框中单击< 确定 >按钮后,将配置激活。
四.验证结果
(1)用户登录位于外网的IP地址为192.168.100.10的FTP服务器,上传某一含病毒(如:eicar.rar)的文件,上传失败,选择“日志管理 > 病毒日志 > 最近日志”界面,可以看到产生的阻断日志:
(2)用户收发邮件的服务器为位于外网的IP地址为192.168.100.240邮件服务器,用户向外发送带有附件为eicar.rar的邮件时,发送失败,选择“日志管理 > 病毒日志 > 最近日志”界面,可以看到产生的阻断日志。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作