配置反病毒 在企业网关设备上应用反病毒特性,保护内部网络用户和服务器免受病毒威胁。 组网需求 某公司在网络边界处部署了 NGFW 作为安全网关。内网用户需要通过 Web 服务器和POP3 服务器下载文件和邮件,内网FTP 服务器需要接收外网用户上传的文件。公司利用NGFW 提供的反病毒功能阻止病毒文件在这些过程中进入受保护网络,保障内网用户和服务器的安全。网络环境如图1 所示。 其中,由于公司使用Netease 邮箱作为工作邮箱,为了保证工作邮件的正常收发,需要放行Netease 邮箱的所有邮件。另外,内网用户在通过 Web 服务器下载某重要软件时失败,排查发现该软件因被 NGFW 判定为病毒而被阻断(病毒ID 为 8000),考虑到该软件的重要性和对该软件来源的信任,管理员决定临时放行该类病毒文件,以使用户可以成功下载该软件。 图 1 配置反病毒组网图 配置思路 1. 配置接口IP 地址和安全区域,完成网络基本参数配置。 2. 配置两个反病毒配置文件,一个反病毒配置文件针对 HTTP 和POP3 协议设置匹配条件和响应动作,并在该配置文件中配置Netease 邮箱的应用例外和病毒ID 为 8000 的病毒例外,另外一个反病毒配置文件针对 FTP 协议设置匹配条件和响应动作。 3. 配置安全策略,在Trust 到 Untrust 和DMZ 到 Untrust 方向分别引用反病毒配置文件,实现组网需求。 操作步骤 1. 配置接口IP 地址和安全区域,完成网络基本参数配置。 a. 选择“网络 > 接口”。 b. 单击 GE1/0/1,按如下参数配置。 安全区域 untrust IPv4 IP 地址 1.1.1.1/24 c. 单击“确定”。 d. 参考上述步骤按如下参数配置GE1/0/2 接口。 安全区域 dmz IPv4 IP 地址 10.2.0.1/24 e. 参考上述步骤按如下参数配置GE1/0/3 接口。 安全区域 trust IPv4 IP 地址 10.3.0.1/24 2. 配置反病毒配置文件。 a. 选择“对象 > 安全配置文件 > 反病毒”。 b. 单击“新建”,按下图完成针对 HTTP 和POP3 协议的配置。 c. 单击“确定”。 d. 参考上述步骤按如下参数完成针对 FTP 协议的配置。 3. 配置内网用户到外网服务器方向(Trust 到Untrust 方向)的安全策略。 a. 选择“策略 > 安全策略 > 安全策略”。 b. 单击“新建”。 c. 在“新建安全策略”中应用反病毒配置文件。参数配置如下。 名称 policy_av_1 描述 Intranet-User 源安全区域 trust 目的安全区域 untrust 动...
