h12-731認(rèn)證精英hcie security v1.5培訓(xùn)與實(shí)驗(yàn)手冊(cè)hcsce反病毒技術(shù)

反病毒技術(shù)目標(biāo)學(xué)完本課程后，您將能夠:理解防火墻反病毒原理；掌握防火墻反病毒特性配置；學(xué)會(huì)防火墻反病毒特性故障處理。目錄防火墻反病毒技術(shù)原理防火墻反病毒特性配置防火墻反病毒特性故障處理反病毒概念病毒：病毒是一種惡意代碼，可感染或附著在應(yīng)用程序或文件中，一般通過(guò)郵件或文件共享等協(xié)議進(jìn)行傳播，威脅用戶主機(jī)和網(wǎng)絡(luò)的安全。有些病毒會(huì)耗盡主機(jī)資源、占用網(wǎng)絡(luò)帶寬；有些病毒會(huì)控制主機(jī)權(quán)限、竊取用戶數(shù)據(jù)；有些病毒甚至?xí)?duì)主機(jī)硬件造成破壞。反病毒：反病毒是一種安全機(jī)制，它可以通過(guò)識(shí)別和處理病毒文件來(lái)保證網(wǎng)絡(luò)安全，避免由病毒文件而引起的數(shù)據(jù)破壞、權(quán)限更改和系統(tǒng)崩潰等情況的發(fā)生。病毒安全威脅核心交換機(jī)郵件服務(wù)器數(shù)據(jù)服務(wù)器Web服務(wù)器路由器病毒病毒病毒隨著企業(yè)業(yè)務(wù)拓展，更多業(yè)務(wù)應(yīng)用依賴于IT信息系統(tǒng)來(lái)完成。然而在業(yè)務(wù)運(yùn)行過(guò)程中，IT信息系統(tǒng)不斷面臨這病毒的嚴(yán)重威脅。智能感知引擎（IAE）應(yīng)用識(shí)別一體化協(xié)議解碼入侵檢測(cè)入侵檢測(cè)DLP檢查Web安全檢查入侵檢測(cè)DLP檢查病毒檢查DLP檢查URL檢查文件識(shí)別一體化響應(yīng)處理一體化模式匹配和摘要一體化解壓和還原一體化威脅、應(yīng)用描述語(yǔ)言一般內(nèi)容URL文件流一體化安全掃描病毒檢測(cè)-基于流的文件檢測(cè)t1t2搞定！防火墻反病毒檢測(cè)技術(shù)首包規(guī)則檢測(cè)技術(shù)高危特征檢測(cè)技術(shù)是否命中檢測(cè)規(guī)則開(kāi)始IP/域名/URL/白名單過(guò)濾文件類型(PE文件）全文MD5規(guī)則檢測(cè)是否命中檢測(cè)規(guī)則響應(yīng)處理文件格式分析首包規(guī)則檢測(cè)高危特征檢測(cè)輸出響應(yīng)動(dòng)作放行/阻斷/告警等輸出響應(yīng)動(dòng)作放行是否命中否是否否是是設(shè)定文件類型是反病毒處理流程反病毒處理流程各協(xié)議反病毒檢測(cè)方向和響應(yīng)動(dòng)作病毒文件抓包各協(xié)議響應(yīng)方式應(yīng)用例外和病毒例外如果要為協(xié)議中的某個(gè)應(yīng)用配置不同的響應(yīng)動(dòng)作，可以在應(yīng)用例外中完成。如果用戶認(rèn)為某個(gè)病毒為誤報(bào)，可以根據(jù)病毒ID配置病毒例外。SMTP和POP3協(xié)議宣告信息SMTP和POP3協(xié)議反病毒檢測(cè)響應(yīng)動(dòng)作為宣告和刪除附件

時(shí)的宣告信息如下。典型應(yīng)用場(chǎng)景內(nèi)網(wǎng)用戶可以訪問(wèn)外網(wǎng)，且經(jīng)常需要從外網(wǎng)下載文件。內(nèi)網(wǎng)部署的服務(wù)器經(jīng)常接收外網(wǎng)用戶上傳的文件。目錄防火墻反病毒技術(shù)原理防火墻反病毒特性配置防火墻反病毒特性故障處理組網(wǎng)需求配置思路配置接口IP地址和安全區(qū)域配置三個(gè)反病毒配置文件（HTTP、POP3以及FTP）配置病毒例外，放行ID為8000的病毒配置安全策略，引用反病毒配置文件配置步驟配置接口IP地址和安全區(qū)域，完成網(wǎng)絡(luò)基本參數(shù)配置。（略）配置反病毒配置文件。選擇“對(duì)象>安全配置文件>反病毒”；單擊“新建”，按下圖完成針對(duì)HTTP和POP3協(xié)議的配置。配置步驟（續(xù)）配置反病毒配置文件。參考上述步驟按如下參數(shù)完成針對(duì)FTP協(xié)議的配置。在創(chuàng)建完profile后，需要執(zhí)行配置“提交”動(dòng)作。配置步驟（續(xù)）配置病毒例外。在配置病毒安全文件的界面下方輸入需要過(guò)濾的病毒ID，點(diǎn)擊添加。配置步驟（續(xù)）名稱policy_av_1描述Intranet-User源安全區(qū)域trust目的安全區(qū)域untrust動(dòng)作permit內(nèi)容安全反病毒AV_http_pop3配置內(nèi)網(wǎng)用戶到外網(wǎng)服務(wù)器方向（Trust到Untrust方向）的安全策略。選擇“策略>安全策略>安全策略”；單擊“新建”；在“新建安全策略”中應(yīng)用反病毒配置文件。參數(shù)配置如下：配置步驟（續(xù)）名稱policy_av_2描述Intranet-Server源安全區(qū)域untrust目的安全區(qū)域dmz動(dòng)作permit內(nèi)容安全反病毒AV_ftp單擊界面右上角的“保存”，在彈出的對(duì)話框中單擊“確定”。配置外網(wǎng)用戶到內(nèi)網(wǎng)服務(wù)器方向的安全策略。參照內(nèi)網(wǎng)用戶到外網(wǎng)服務(wù)器方向安全策略的配置方法，完成安全策略的配置。參數(shù)配置如下：結(jié)果驗(yàn)證配置完成后，訪問(wèn)帶病毒的網(wǎng)站，下載病毒文件。進(jìn)入“監(jiān)控>日志>威脅日志”查看威脅類型為“病毒”的威脅日志。單擊可以查看日志的詳細(xì)信息。目錄防火墻反病毒技術(shù)原理防火墻反病毒特性配置防火墻反病毒特性故障處理故障現(xiàn)象描述某公司在網(wǎng)絡(luò)邊界處部署了NGFW作為安全網(wǎng)關(guān)。辦公區(qū)域的PC在從外網(wǎng)收取郵件時(shí)，PC上的系統(tǒng)安全軟件提示該郵件中的附件攜帶病毒。故障處理思路檢查安全策略配置檢查配置文件配置檢查病毒特征庫(kù)調(diào)試分析(開(kāi)發(fā)人員)原因一：安全策略配置錯(cuò)誤找到PC收取郵件時(shí)命中的防火墻安全策略。選擇“監(jiān)控>日志>策略命中日志”。在“高級(jí)查詢”中根據(jù)“開(kāi)始時(shí)間”、“結(jié)束時(shí)間”、“目的地址”等條件查詢PC命中的安全策略。檢查PC命中的安全策略是否配置引用反病毒配置文件。原因二：反病毒配置文件配置錯(cuò)誤選擇“對(duì)象>安全配置文件>反病毒”，找到安全策略所引用的配置文件。檢查反病毒配置文件的動(dòng)作。檢查反病毒配置文件是否配置了應(yīng)用例外。檢查反病毒配置文件是否配置了病毒例外。原因三：病毒特征庫(kù)版本未加載或較舊選擇“系統(tǒng)>升級(jí)中心”，查看特征庫(kù)狀態(tài)是否顯示“加載成功”，如果未加載成功，請(qǐng)根據(jù)網(wǎng)絡(luò)連接狀態(tài)酌情選擇在線升級(jí)或本地升級(jí)觸發(fā)特征庫(kù)加載；查看“AV-SDB特征庫(kù)”的當(dāng)前版本是否為最新版本，如果當(dāng)前版本不是最新版本，請(qǐng)進(jìn)行版本升級(jí)?？偨Y(jié)本章介紹了防火墻反病毒技術(shù)原理、處理流程及防火墻一體化檢測(cè)方式本章介紹了防火墻反病毒特性配置，并舉例進(jìn)行說(shuō)明本章介紹了防火墻反病毒特性故障處理思路及部分舉例練習(xí)題判斷題反病毒可以檢測(cè)zip、gzip和tar類型的壓縮文件，支持檢測(cè)的最大壓縮層數(shù)為3層。反病毒檢測(cè)采用流掃描的方式，需緩存整個(gè)文件內(nèi)容。多選題AV檢測(cè)支持的協(xié)議包括（