HC13031101-UTM实验手册.pdf-淘文阁

资源描述

《HC13031101-UTM实验手册.pdf》由会员分享，可在线阅读，更多相关《HC13031101-UTM实验手册.pdf（58页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、HCIE-Security 反病毒培训上机指导书 1 HCIE-Security UTM培训上机指导书培训上机指导书（学员用书）（学员用书）ISSUE 2.00 HCIE-Security 反病毒培训上机指导书 2 目录 1 反病毒实验.3 1.1 反病毒实验.3 2 入侵防御实验.12 2.1 入侵防御实验.12 3 URL 过滤技术实验.20 3.1 URL 过滤技术实验.20 4 内容过滤实验.30 4.1 内容过滤实验.30 5 文件过滤实验.36 5.1 文件过滤实验.36 6 UTM 邮件过滤实验.43 6.1 邮件过滤技术实验.43 7 应用行为控制实验.52 7.1 应用行为

2、控制实验.52 HCIE-Security 反病毒培训上机指导书 3 1 反病毒反病毒实验实验 1.1 反病毒反病毒实验实验实验目的通过本实验，你将了解反病毒的工作原理及详细配置。组网设备 NGFW 防火墙一台，PC 机两台。实验拓扑图客户端服务器HFS172.10.2.2/24G0/0/2172.10.2.1/24G0/0/1172.10.1.1/24172.10.1.2/24实验步骤 Step 1 配置测试环境 HCIE-Security 反病毒培训上机指导书 4 1)Server PC 运行 Http File Server 软件，建立两个目录，一个用于上传，一个用于下载，将测试样

3、本放到下载目录（选择 Real folder）。并设置上传目录上传用户。2)防火墙和 PC 按照实验拓扑图进行接口和 IP 地址配置。a)防火墙接口配置 G0/0/1：172.10.1.1/24，加入 trust 域 G0/0/2：172.10.2.1/24，加入 untrust 域 b)客户端接口配置 IP：172.10.1.2/24 Route：route add 172.10.2.0 mask 255.255.255.0 172.10.1.1 c)服务器接口配置 hfs.zipHCIE-Security 反病毒培训上机指导书 5 IP：172.10.2.2/24 Route：route

4、 add 172.10.1.0 mask 255.255.255.0 172.10.2.1 Step 2 配置设备 1)在系统-升级中心通过-反病毒特征库查看当前版本：并通过本地升级操作加载反病毒测试特征库：2)新建反病毒配置文件 av_test，查看各协议检测方向和响应动作配置。HCIE-Security 反病毒培训上机指导书 6 3)新建安全策略，引用反病毒配置文件 av_test。4)Client PC通过HTTP访问sever端目录test，下载病毒样本文件。HCIE-Security 反病毒培训上机指导书 7 页面显示“无法显示网页”。5)Client PC 通过 HTTP 访问 s

5、ever 端目录 test_upload。HCIE-Security 反病毒培训上机指导书 8 选择病毒样本文件。页面显示“无法显示网页”。HCIE-Security 反病毒培训上机指导书 9 验证结果在监控-日志-威胁日志中查看是否有病毒日志产生。附件：反病毒测试特征库：病毒样本：HCIE-Security 反病毒培训上机指导书 10 HCIE-Security IPS培训上机指导书培训上机指导书（学员用书）（学员用书）ISSUE 2.00 HCIE-Security 反病毒培训上机指导书 11 目录 1 入侵防御实验.12 1.1 入侵防御实验.12 HCIE-Security 反病

6、毒培训上机指导书 12 2 入侵防御入侵防御实验实验 2.1 入侵防御入侵防御实验实验实验目的通过本实验，你将了解入侵防御的工作原理及详细配置。组网设备 USG 防火墙一台，PC 机两台。实验拓扑图客户端服务器防火墙HFS172.10.2.153/24G0/0/2172.10.2.1/24G0/0/1172.10.1.1/24172.10.1.87/24 图 1 实验步骤(命令行)Step 1 配置入侵防御配置文件（Profile）和 Profile 中的签名过滤器 USG6300 profile type ips name profile_ips_pc USG6300-profile-

7、ips-ipsprof signature-set name filter1 USG6300-profile-ips-ipsprof-sigset-SigSet protocol HTTP USG6300-profile-ips-ipsprof-sigset-SigSetaction block Step 2 配置安全策略规则（Rule）HCIE-Security 反病毒培训上机指导书 13 配置一条安全策略规则，默认动作设置为允许，源域、目的域设置为 any，并引用入侵防御配置文件：USG6600security-policy USG6300-policy-securityrule name

8、 Policy USG6300-policy-security-rule-Policyaction permit USG6300-policy-security-rule-Policysource-zone any USG6300-policy-security-rule-Policydestination-zone any USG6300-policy-security-rule-Policy profile ips profile_ips_pc Step 3 配置自定义签名 USG6300ips signature-id 1 USG6300-ips-signature-1rule name

9、 rule_1 USG6300-ips-signature-1-rule-rule_1condition 1 field HTTP.URI.Length operate gthan value 0 Step 4 提交配置 USG6300engine configuration commit Step 5 配置接口地址配置设备 g1/0/0 和 g1/0/1 两块网卡的 IP 地址，作为两个区域业务的网关：USG6600interface GigabitEthernet 1/0/0 USG6600-GigabitEthernet1/0/0ip address 172.10.1.1 24 USG

10、6600interface GigabitEthernet 1/0/1 USG6600-GigabitEthernet1/0/1ip address 172.10.2.1 24 Step 6 配置安全域将 g1/0/0 加入 trust 安全域作为内网用户使用，g1/0/1 加入 untrust 安全域作为外网服务器使用：USG6600firewall zone trust USG6600-zone-trustadd interface GigabitEthernet 1/0/0 USG6600firewall zone untrust USG6600-zone-untrustadd int

11、erface GigabitEthernet 1/0/1 Step 7 配置服务器 IP 及路由将服务器的业务网卡 IP 配置为“172.10.2.153/24”，并添加一条到“172.10.1.0/24”的路由：Windows 系统：C:route add 172.10.2.0 mask 255.255.255.0 172.10.1.1 Linux 系统：rootlinux#route add-net 172.10.2.0/24 gw 172.10.1.1 HCIE-Security 反病毒培训上机指导书 14 Step 8 配置客户端 IP 及路由将客户端的业务网卡

12、IP 设置为“172.10.1.87/24”，并添加一条到“172.10.2.0/24”的路由：Windows 系统：C:route add 172.10.1.0 mask 255.255.255.0 172.10.2.1 Linux 系统：rootlinux#route add-net 172.10.1.0/24 gw 172.10.2.1 实验步骤(Web)Step 1 配置入侵防御配置文件（Profile）和 Profile 下的签名过滤器新建入侵防御配置文件（名称为 profile_ips_pc，其他可选），并配置过滤器（名称为 filter1），将签名过滤器中的协议配置为 HTTP

13、，动作设置为阻断，如下图所示：HCIE-Security 反病毒培训上机指导书 15 配置 IPS Profile 信息：配置 IPS profile 下的签名过滤器：Step 2 配置安全策略规则（Rule）HCIE-Security 反病毒培训上机指导书 16 新建一条安全策略，并引用刚才配置的入侵防御的配置文件（Profile），如下图所示：Step 3 配置自定义签名 HCIE-Security 反病毒培训上机指导书 17 配置自定义签名基本特征：配置自定义签名规则：Step 4 提交配置编译 HCIE-Security 反病毒培训上机指导书 18 Step 5 配置设备接口地址、安全

14、域配置 g1/0/0 接口 IP 为“172.10.1.1/24”，并加入 trust 安全域：同上配置方式，将 g1/0/1 接口 IP 为“172.10.2.1/24”，并加入 untrust 安全域。Step 6 配置服务器 IP 及路由将服务器的业务网卡 IP 配置为“172.10.2.153/24”，并添加一条到“172.10.1.0/24”的路由：Windows 系统：C:route add 172.10.2.0 mask 255.255.255.0 172.10.1.1 Linux 系统：rootlinux#route add-net 172.10.2.0/

15、24 gw 172.10.1.1 HCIE-Security 反病毒培训上机指导书 19 Step 7 配置客户端 IP 及路由将客户端的业务网卡 IP 设置为“172.10.1.87/24”，并添加一条到“172.10.2.0/24”的路由：Windows 系统：C:route add 172.10.1.0 mask 255.255.255.0 172.10.2.1 Linux 系统：rootlinux#route add-net 172.10.1.0/24 gw 172.10.2.1 验证结果 Step 8 开启 HTTP 服务在服务器端启动 HTTP 服务（本文以 HFS 软件为例）

16、，设置 HTTP 服务绑定的IP 及端口号（172.10.2.153:8080）。Step 9 访问 HTTP 服务在客户端通过浏览器访问服务器 HTTP 服务（http:/172.10.2.153:8080）。Step 10 访问服务器结果检测到威胁，流量被阻断，无法访问 HTTP 服务器。HCIE-Security 反病毒培训上机指导书 20 Step 11 日志信息在设备的监控日志中可以查询到入侵防御威胁日志信息，如下图所示：3 URLURL 过滤技术过滤技术实验实验 3.1 URL过滤技术过滤技术实验实验实验目的通过本实例实验，你将了解 URL 过滤技术的工作原理及详细配置。

17、本实验的目标是为了控制用户对 WEB 应用的访问。组网设备资源资源描述描述数量数量 PC 模拟用户 2 USG设备 1个管理口，1个串口，4个GE以太口 1 HCIE-Security 反病毒培训上机指导书 21 交换机组网用 2 Web服务器模拟网络中web服务器，可用PC替代 1 安全服务中心服务器已配置好，模拟升级中心服务器 1 WFE服务器已配置好，模拟URL远程查询服务器 1 实验拓扑图用户B用户AGE1/0/110.1.1.1/24GE1/0/21.1.1.1/241.1.1.200/24TrustUntrustNGFWWeb服务器安全服务中心WFE服务器SW1SW

18、210.1.1.100/2410.1.1.101/241.1.1.202/241.1.1.201/24 实验步骤(命令行)Step 1 配置基本属性参数 a配置用户 A 和用户 B 的 PC 用户 A 的 PC 配置：IP 地址为 10.1.1.100，子网掩码为 255.255.255.0，默认网关为 10.1.1.1。用户 B 的 PC 配置：IP 地址为 10.1.1.101，子网掩码为 255.255.255.0，默认网关为 10.1.1.1。b配置防火墙网络参数配置 GiagbitEthernet 1/0/1 和 GiagbitEthernet 1/0/2 接口 IP 地址 USG

19、interface GigabitEthernet 1/0/1 USG-GigabitEthernet1/0/1ip address 10.1.1.1 24 USGinterface GigabitEthernet 1/0/2 USG-GigabitEthernet1/0/1ip address 1.1.1.1 24 接口加入安全域 USGfirewall zone trust USG-zone-trustadd interface GigabitEthernet 1/0/1 HCIE-Security 反病毒培训上机指导书 22 USGfirewall zone untrust USG-zo

20、ne-untrustadd interface GigabitEthernet 1/0/2 配置时间段 USGtime-range time_range USG-time-range-time_rangeperiod-range 09:00:00 to 17:00:00 daily cWEB 服务器配置 1）IP 地址设置为 1.1.1.200，子网掩码 255.255.255.0，默认网关为 1.1.1.1。2）在 WEB 服务器上安全 HFS 服务器软件，软件运行界面如下：Step 2 配置 URL 相关参数配置 URL 相关信息配置自定义分类 url_userdefined_cat1

21、 USGurl-filter category user-defined name url_userdefined_cat1 20:42:31 2014/08/04 USG-category-user-defined-url_userdefined_cat1add url *配置 URL 过滤 profile_url_2 USGprofile type url-filter name profile_url_2 USG-profile-url-filter-profile_url_2add whitelist url *education*USG-profile-url-filter-prof

22、ile_url_2add whitelist url*bbs*USG-profile-url-filter-profile_url_2category pre-defined action block USG-profile-url-filter-profile_url_2category pre-defined category-id 5 action allow HCIE-Security 反病毒培训上机指导书 23 USG-profile-url-filter-profile_url_2category pre-defined category-id 15 action allow US

23、G-profile-url-filter-profile_url_2category pre-defined category-id 17 action allow USG-profile-url-filter-profile_url_2category user-defined action block USG-profile-url-filter-profile_url_2category user-defined name url_userdefined_cat1 action allow Step 3 配置安全策略配置安全策略配置安全策略 sec_rule_2 USGsecurit

24、y-policy USG-policy-securityrule name sec_rule_2 USG-policy-security-rule-sec_rule_1profile url-filter profile_url_2 USG-policy-security-rule-sec_rule_1source-zone trust USG-policy-security-rule-sec_rule_1destination-zone untrust USG-policy-security-rule-sec_rule_1time-range time_range USG-policy-se

25、curity-rule-sec_rule_1action permit Step 4 配置提交和执行访问操作 a.执行配置提交动作 USGengine configuration commit b.用户 A 的 PC 上访问 Web 服务器 1）修改本地 hosts 文件，设置域名和 IP 地址 1.1.1.100 对应关系。Hosts 文件位于“C:WINDOWSsystem32driversetc”目录下。2）在浏览器地址栏中输入 Web 服务器 IP 地址对应的域名，访问 web 服务器。HCIE-Security 反病毒培训上机指导书 24 实验步骤(Web)Step 5 配置基本属性

26、参数 3)配置用户 A 和用户 B 的 PC 及 Web 服务器按照网络拓扑配置用户 A,用户 B 的 PC 及 Web 服务器的 IP 地址用户 A 的 PC 配置：IP 地址为 10.1.1.100，子网掩码为 255.255.255.0，默认网关为 10.1.1.1。用户 B 的 PC 配置：IP 地址为 10.1.1.101，子网掩码为 255.255.255.0，默认网关为 10.1.1.1。WEB 服务器配置：IP 地址为 1.1.1.200，子网掩码 255.255.255.0，默认网关为 1.1.1.1。4)配置防火墙基本参数 a 配置时间段选择“对象”-“时间段”-“新

27、建”，创建时间段。HCIE-Security 反病毒培训上机指导书 25 b 配置接口选择“网络”-“接口”，单击 GE1/0/1 设置接口 GE1/0/1 参数选择“网络”-“接口”，单击 GE1/0/2 设置接口 GE1/0/2 参数 HCIE-Security 反病毒培训上机指导书 26 5)WEB 服务器配置 aIP 地址设置为 1.1.1.200，子网掩码 255.255.255.0，默认网关为 1.1.1.1。b在 WEB 服务器上安全 HFS 服务器软件，软件运行界面如下：Step 6 配置 URL 相关参数 1)配置 URL 自定义分类选择“对象”-“URL 分类”-“新

28、建”，创建 URL 分类 url_userdefine_cat1 HCIE-Security 反病毒培训上机指导书 27 2)配置 URL 过滤 profile a.配置 profile_url_2 选择“对象”-“安全配置文件”-“URL 过滤”-“新建”，创建URL 过滤配置文件 profile_url_2。设置 profile_url_2 下预定义分类动作：HCIE-Security 反病毒培训上机指导书 28 Step 7 配置安全策略 1)配置安全策略 sec_rule_2 选择“策略”-“安全策略”-“新建”，创建安全策略 sec_rule_2。Step 8 配置提交和执行访问操作

29、 1)配置提交 2)执行访问操作 HCIE-Security 反病毒培训上机指导书 29 1）修改本地 hosts 文件，设置域名和 IP 地址 1.1.1.100 对应关系。Hosts文件位于“C:WINDOWSsystem32driversetc”目录下。2）在浏览器地址栏中输入 Web 服务器 IP 地址对应的域名，访问 web 服务器。验证结果在“监控”-“日志”-“URL 日志”，查看 URL 日志列表中是否有 URL 过滤日志，域间信息，用户和时间信息是否正确。HCIE-Security 反病毒培训上机指导书 30 4 内容过滤内容过滤实验实验 4.1 内容过滤内容过滤实验实验

30、实验目的通过本实验，您将了解内容过滤的工作原理及详细配置。组网设备 NGFW 防火墙一台，PC 机两台。实验拓扑图客户端FTP服务器172.10.2.2/24G0/0/2172.10.2.1/24G0/0/1172.10.1.1/24172.10.1.2/24实验步骤 Step 1 配置测试环境 1)准备测试样本。创建一个 word 类型文档。命名为 test.docx，文档内容为“功能测试”，保存文档。2)Server PC 运行 FTP 服务器软件（Filezilla Server），配置 FTP 服务器用户名，共享目录（勾选允许“写入”，“删除”和“追加”）。启动 FTP服务器。HC

31、IE-Security 反病毒培训上机指导书 31 HCIE-Security 反病毒培训上机指导书 32 3)在 Client PC 安装 FTP 客户端软件（Filezilla Client）。4)防火墙正常启动，防火墙和 PC 按照实验拓扑图进行接口和 IP 地址配置。a)防火墙接口配置 G0/0/1：172.10.1.1/24，加入 trust 域 G0/0/2：172.10.2.1/24，加入 untrust 域 b)客户端接口配置 IP：172.10.1.2/24 Route：route add 172.10.2.0 mask 255.255.255.0 172.10.1.1 c)

32、服务器接口配置 IP：172.10.2.2/24 Route：route add 172.10.1.0 mask 255.255.255.0 172.10.2.1 5)使用 Client PC 的 FTP 客户端连接 Server PC 运行 FTP 服务器 Step 2 配置文件过滤 profile 1)配置关键字组：在 Web 的“对象-认证服务器-关键字组”页面下创建一个新的关键字组“test_keywordgroup”，在这个关键字组中添加一个自定义关键字“test_keyword”并配置关键字内容为“功能测试”。点击“确定”，查看配置好的关键字组，如下图所示：HCIE-Securit

33、y 反病毒培训上机指导书 33 2)配置内容过滤的 profile：在 web 的“对象-安全配置文件-内容过滤”页面创建一个内容过滤 profile，并引用刚才配置关键字组。注意动作为告警。点击“确定”，查看配置好的 profile：3)切换界面到 web 的“策略-安全策略”页面，创建一个安全策略“sec_rule”，设置动作为“允许”，并在内容过滤的下拉菜单中选择刚才配置的文件过滤 profile“test_profile”。HCIE-Security 反病毒培训上机指导书 34 4)点击界面右上角的“提交”，并确认。5)等待右上角提交按钮旁显示“提交成功”。说明配置成功：HCIE-Se

34、curity 反病毒培训上机指导书 35 Step 3 文件上传测试通过 FTP 客户端上传 test.docx 文件到 FTP 服务器：文件传输成功。验证结果在“监控-日志-内容日志”中查看是否有告警日志。关注文件名称，应用协议，安全策略和配置文件是否与配置一致。HCIE-Security 反病毒培训上机指导书 36 5 文件过滤文件过滤实验实验 5.1 文件过滤文件过滤实验实验实验目的通过本实验，您将了解文件过滤的工作原理及详细配置。组网设备 NGFW 防火墙一台，PC 机两台。实验拓扑图客户端FTP服务器172.10.2.2/24G0/0/2172.10.2.1/24G0/0/

35、1172.10.1.1/24172.10.1.2/24实验步骤 Step 1 配置测试环境 1)准备测试样本。创建一个 word 类型文档。命名为 test.docx，文档内容为“功能测试”，保存文档。2)Server PC 运行 FTP 服务器软件（Filezilla Server），配置 FTP 服务器用户名，共享目录（勾选允许“写入”，“删除”和“追加”）。启动 FTP服务器。HCIE-Security 反病毒培训上机指导书 37 3)在 Client PC 安装 FTP 客户端软件（Filezilla Client）。4)防火墙正常启动，防火墙和 PC 按照实验拓扑图进行接口和 IP

36、地址配置。a)防火墙接口配置 G0/0/1：172.10.1.1/24，加入 trust 域 G0/0/2：172.10.2.1/24，加入 untrust 域 b)客户端接口配置 IP：172.10.1.2/24 Route：route add 172.10.2.0 mask 255.255.255.0 172.10.1.1 c)服务器接口配置 IP：172.10.2.2/24 Route：route add 172.10.1.0 mask 255.255.255.0 172.10.2.1 5)使用 Client PC 的 FTP 客户端连接 Server PC 运行 FTP 服务器 HCI

37、E-Security 反病毒培训上机指导书 38 Step 2 配置文件过滤 profile 1)文件类型过滤的配置界面在 web 的“对象-安全配置文件-文件过滤”面板，选择“新建”，创建一个新的文件过滤 profile：2)在 profile 下新建一个 rule，配置应用为“FTP”、文件类型为“DOCX”、方向为“下载”、动作为“阻断”。3)切换界面到 web 的“策略-安全策略”页面，创建一个安全策略“sec_rule”，设置动作为“允许”，并在文件过滤的下拉菜单中选择刚才配置的文件过滤 profile“test_profile”。HCIE-Security 反病毒培训上机指导书 3

38、9 4)点击界面右上角的“提交”，并确认。5)等待右上角提交按钮旁显示“提交成功”。说明配置成功：Step 3 文件上传测试 1)通过 FTP 客户端上传 test.docx 文件到 FTP 服务器：可以传送成功。HCIE-Security 反病毒培训上机指导书 40 2)通过 FTP 客户端下载 test.docx 文件到 FTP 服务器：下载失败，下载被阻断，产生日志。验证结果在“监控-日志-内容日志”中查看是否有阻断日志。关注文件名称，应用协议，安全策略和配置文件是否与配置一致。HCIE-Security 反病毒培训上机指导书 41 HCIE-Security 邮件过滤培训上机指邮件过

39、滤培训上机指导书导书（学员用书）（学员用书）ISSUE 2.00 HCIE-Security 反病毒培训上机指导书 42 目录 1 UTM 邮件过滤实验.43 1.1 邮件过滤技术实验.43 HCIE-Security 反病毒培训上机指导书 43 6 UTMUTM 邮件过滤邮件过滤实验实验 6.1 邮件过滤技术邮件过滤技术实验实验实验目的通过本实验，你将了解 NGFW 系列产品邮件过滤技术的工作原理及详细配置。组网设备 USG6000 系列防火墙一台，PC 机两台。实验拓扑图图 1 RBL 邮件过滤应用场景举例 HCIE-Security 反病毒培训上机指导书 44 图 2 邮件过滤应

40、用场景举例实验步骤(命令行)Step 1 配置 RBL 黑白名单配置 RBL 功能开启，RBL 黑名单为 1.1.1.1，白名单为 2.2.2.2，然后在域间安全策略引用 RBL 的安全配置文件#rbl-filter enable rbl-filter blacklist ip 1.1.1.1 rbl-filter whitelist ip 2.2.2.2#profile type mail-filter name rbl rbl-filter enable#security-policy default action permit rule name mailfilter profile

41、 mail-filter rbl action permit 执行上述配置的命令行的视图，请参考产品手册。Step 2 配置 RBL 远程查询#rbl-filter profile user-defined name profile_rbl_server query description untrust 域到 DMZ 域的邮件策略 reply-code any description profile_rbl_server#HCIE-Security 反病毒培训上机指导书 45 profile type mail-filter name rbl rbl-filter enable#rbl-fi

42、lter enable rbl-filter dns-server 30.10.10.10 rbl-filter profile user-defined name profile_rbl_server enable#security-policy default action permit rule name mailfilter profile mail-filter rbl action permit Step 3 配置邮件过滤配置匿名邮件过滤，发送和接收邮件的邮件地址组，附件大小或附件个数#mail-address-group name mail_addr description m

43、ail address group pattern prefix #profile type mail-filter name mf send-mail anonymity action block send-mail attachment max-size 1024 action alert send-mail attachment max-amount 9 action alert send-mail sender group name mail_addr send-mail receiver group name mail_addr recv-mail anonymity action

44、block recv-mail attachment max-size 1024 action alert recv-mail attachment max-amount 8 action alert recv-mail sender group name mail_addr recv-mail receiver group name mail_addr#security-policy default action permit rule name mailfilter profile mail-filter mf action permit 实验步骤(Web)Step 4 配置 RBL 邮件

45、过滤 1)选择“对象安全配置文件邮件过滤”。2)选择进入“垃圾邮件过滤”页签。HCIE-Security 反病毒培训上机指导书 46 3)选中“垃圾邮件过滤功能”对应的“启用”复选框。4)【配置本地黑名单/白名单】配置黑名单和白名单。可以同时配置黑名单和白名单，也可以只配置其中的一项。d)在“白名单”文本框中输入要加入白名单 SMTP Server 的 IP 地址和掩码，可以输入多个 IP 地址，一个 IP 地址一行。e)在“黑名单”文本框中输入要加入黑名单 SMTP Server 的 IP 地址和掩码，可以输入多个 IP 地址，一个 IP 地址一行。注明：这里的 IP 地址即为 SMTP

46、源 IP 地址。5)单击“应用”。6)选择“策略安全策略新建安全策略”7)客户端发送一封邮件到服务器，设备打印命中白名单的日志，并告警。Step 5 配置 RBL 过滤的远程查询 1)在“垃圾邮件配置文件”区域框中，单击“新建”。2)配置 RBL 服务器的各项参数。HCIE-Security 反病毒培训上机指导书 47 服务器查询集合：RBL 服务域名，用来定位 RBL 服务器。查询集合由 RBL 服务提供商提供。一个策略只能配置一个查询集合。例如：rbl.anti-。动作：邮件匹配策略后设备采取的动作。阻断：阻断邮件传输。告警：不阻断邮件传输，但是会发送告警信息。应答码：垃圾邮件防范是

47、通过检查邮件发送方源 IP 合法性来实现的，如果源 IP 命中黑名单，NGFW 将会认为这是一封垃圾邮件。当 NGFW 使用 RBL 黑名单进行源IP 地址检查时，会向远程 RBL 服务器发送查询请求，并根据 RBL 服务器反馈的应答码来判断邮件的合法性。应答码通常是一个 IP 地址，仅仅标识查询结果，并不具有实际意义，可以是一个保留 IP 段的地址，如 127.0.0.1、127.0.0.2 等。要使用 RBL 黑名单，需要事先从 RBL 服务提供商获取应答码，并在 NGFW 上完成应答码的配置。3)单击“确定”。HCIE-Security 反病毒培训上机指导书 48 4)选择“策略安全策

48、略新建安全策略”，在邮件过滤里引用邮件过滤的配置文件名称。5)客户端发送一封邮件到服务器，设备打印命中远程 RBL 黑名单的日志，并阻断了该邮件的发送。Step 6 配置邮件过滤 1)配置匿名邮件检测选择“对象安全配置文件邮件过滤”。单击“邮件内容过滤”。单击“新建”。配置邮件过滤策略的名称和描述。配置发送方向匿名邮件检测。在“发送匿名邮件”中选择过滤动作。配置接收方向匿名邮件检测。在“接收匿名邮件”中选择过滤动作。单击“确定”，保存邮件内容过滤配置文件。HCIE-Security 反病毒培训上机指导书 49 2)配置邮箱地址检查选择“对象安全配置文件邮件过滤”。单击“邮件内容过

49、滤”。单击“新建”。配置邮件内容过滤配置文件的名称和描述。配置发送方向邮箱地址检查。单击“发送邮件”中发件人地址、收件人地址对应的编辑图标。选择处理动作。允许或阻断。选择邮件地址组，配置使用哪些邮箱地址作为地址检查的匹配条件配置接收方向邮箱地址检查也类似配置。单击“确定”。HCIE-Security 反病毒培训上机指导书 50 配置说明如下：当邮件地址组中有多个邮件地址时，被检查的邮件只要匹配其中的一个地址，就匹配此邮件地址组。可以引用已经创建的邮件地址组。也可以新建邮件地址组。3)配置邮件附件控制配置说明如下：选择“对象安全配置文件邮件过滤”。单击“邮件内容过滤”。单击“新建”。配置

50、邮件内容过滤配置文件的名称和描述。配置附件大小及个数控制。HCIE-Security 反病毒培训上机指导书 51 单击“附件大小及个数控制”。选择“发送附件个数上限”、“接收附件个数上限”、“发送附件大小限制”或“接收附件大小限制”，输入数值。在“处理动作”中选择处理动作。告警：放行邮件，但是会发送告警信息。阻断：阻断邮件。单击“确定”。4)配置安全策略配置说明如下：选择“策略安全策略安全策略”。单击“新建”。配置安全策略规则的名称和描述。配置邮件过滤引用。单击“确定”。5)客户端发送一封邮件到服务器，设备打印对应的邮件过滤日志，并按照配置的动作进行相应地阻断或

展开阅读全文