SecPath UTM防病毒的典型配置

SecPath UTM防病毒的典型配置

一．组网需求

某公司的内网网段为192.168.1.0/24。在UTM上配置防病毒策略，阻止公司内部的用户通过FTP向外网上传病毒，或者通过邮件附件向外发送病毒。

二．组网图

三．配置步骤

1.接口配置

配置GE0/0的IP地址为192.168.1.1/24，安全域为Trust；GE0/2的IP地址为192.168.103.171/22，安全域为Untrust。

2.NAT配置

在GE0/2接口上配置NAT 策略，选择ACL为3000，地址转换方式为“Easy IP”。

其中ACL3000的规则为允许源地址为192.168.1.0/24的报文通过。

3.ACL配置

4.路由配置

配置静态默认路由，其中的下一跳地址192.168.100.254为外网中的路由器与GE0/2在同一个网段的接口地址。

5.引流策略

配置将流量引进I-ware平台，以进行深度分析的配置。将Trust和Untrust之间匹配ACL3001的流量都引到段31上。

首先配置ACL，点击“防火墙 > ACL”，新建ID为3001的ACL，在其中添加规则，定义需要配置的流量。如下图：

再点击“IPS | AV | 应用控制 > 高级设置”，新建引流策略，将ACL3001的流量引到段31上。

6.进入“应用安全策略”界面

点击导航栏“IPS | AV | 应用控制 > 高级设置”，点击“应用安全策略”，进入深度检测页面。

7.创建防病毒策略

在左侧导航栏中点击“IPS|AV|应用控制 > 高级设置”，点击“应用安全策略”链接进入“应用安全策略”界面。选择“防病毒 > 策略管理”，进入防病毒策略的显示页面：

单击< 创建策略 >按钮，进入创建防病毒策略的配置页面，输入策略名称为“RD”，输入描述为“AV policy for RD”，选择从指定策略拷贝规则为“Anti-Virus Policy”，单击< 确定 >按钮完成操作。

8.配置防病毒规则

完成策略配置后，页面跳转到“防病毒 > 规则管理”的页面，策略已默认选择为“RD”，进行如下配置：选中“修改搜索出的所有规则”，单击< 禁止规则 >按钮。规则  管理-禁止所有规则

9.使能规则

选中规则“Virus”前的复选框，点击< 使能规则 >。

10.应用防病毒策略到段上

选择“防病毒 > 段策略管理”，单击< 新建段策略 >按钮。

在应用策略页面进行如下配置：选择要关联的段为“31”，选择策略为“RD”，选择方向为“内部到外部”，在内部域IP地址列表中添加IP地址为“192.168.1.0/24”，单击< 确定 >按钮完成操作。

11.应用策略

12.激活配置

完成上述的配置后，页面跳转到段策略的显示页面。单击< 激活 >按钮，弹出确认对话框。在确认对话框中单击< 确定 >按钮后，将配置激活。

    四．验证结果

（1）用户登录位于外网的IP地址为192.168.100.10的FTP服务器，上传某一含病毒（如：eicar.rar）的文件，上传失败，选择“日志管理 > 病毒日志 > 最近日志”界面，可以看到产生的阻断日志：

（2）用户收发邮件的服务器为位于外网的IP地址为192.168.100.240邮件服务器，用户向外发送带有附件为eicar.rar的邮件时，发送失败，选择“日志管理 > 病毒日志 > 最近日志”界面，可以看到产生的阻断日志。