怎么用命令行在防火墙安全策略调用IPS和AV的default默认库

1.14  防病毒典型配置举例

1.14.1  在安全策略中引用缺省防病毒策略配置举例

1. 组网需求

如图1-3所示，Device分别通过Trust安全域和Untrust安全域与局域网和Internet相连。现要求使用设备上的缺省防病毒策略对用户数据报文进行防病毒检测和防御。

2. 组网图

图1-3 在安全策略中引用缺省防病毒策略配置组网图

‌

‌

3. 配置步骤

(1)     配置接口IP地址

# 根据组网图中规划的信息，配置各接口的IP地址，具体配置步骤如下。

<Device> system-view

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0

[Device-GigabitEthernet1/0/1] quit

请参考以上步骤配置其他接口的IP地址，具体配置步骤略。

(2)     配置静态路由

本举例仅以静态路由方式配置路由信息。实际组网中，请根据具体情况选择相应的路由配置方式。

# 请根据组网图中规划的信息，配置静态路由，本举例假设到达外网Web Server的下一跳IP地址为2.2.2.2，实际使用中请以具体组网情况为准，具体配置步骤如下。

[Device] ip route-static 5.5.5.0 24 2.2.2.2

(3)     配置接口加入安全域

# 请根据组网图中规划的信息，将接口加入对应的安全域，具体配置步骤如下。

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

(4)     配置DPI应用profile并激活防病毒策略配置

# 创建名为sec的DPI应用profile，在DPI应用profile sec中引用缺省防病毒策略default，并指定该防病毒策略的模式为protect。

[Device] app-profile sec

[Device-app-profile-sec] anti-virus apply policy default mode protect

[Device-app-profile-sec] quit

# 激活防病毒策略配置。

[Device] inspect activate

(5)     配置安全策略

# 配置名称为trust-untrust的安全策略规则，使内网用户可以访问外网，并对交互报文进行防病毒检测。具体配置步骤如下。

[Device] security-policy ip

[Device-security-policy-ip] rule name trust-untrust

[Device-security-policy-ip-10-trust-untrust] source-zone trust

[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24

[Device-security-policy-ip-10-trust-untrust] destination-zone untrust

[Device-security-policy-ip-10-trust-untrust] action pass

[Device-security-policy-ip-10-trust-untrust] profile sec

[Device-security-policy-ip-10-trust-untrust] quit

# 激活安全策略配置。

[Device-security-policy-ip] accelerate enhanced enable

[Device-security-policy-ip] quit