最新最全USG6000安全策略配置(DOC41页)

配置反病毒
在企业网关设备上应用反病毒特性，保护内部网络用户和服务器免受病毒威胁。

组网需求
某公司在网络边界处部署了NGFW作为安全网关。

内网用户需要通过Web服务器和POP3服务器下载文件和邮件，内网FTP服务器需要接收外网用户上传的文件。

公司利用NGFW提供的反病毒功能阻止病毒文件在这些过程中进入受保护网络，保障内网用户和服务器的安全。

网络环境如图
1所示。

其中，由于公司使用Netease邮箱作为工作邮箱，为了保证工作邮件的正常收发，需要放行Netease邮箱的所有邮件。

另外，内网用户在通过Web服务器下载某重要软件时失败，排查发现该软件因被NGFW判定为病毒而被阻断（病毒ID为8000），考虑到该软件的重要性和对该软件来源的信任，管理员决定临时放行该类病毒文件，以使用户可以成功下载该软件。

图1 配置反病毒组网图
配置思路
1.配置接口IP地址和安全区域，完成网络基本参数配置。

2.配置两个反病毒配置文件，一个反病毒配置文件针对HTTP和POP3协议设置匹配条件和响
应动作，并在该配置文件中配置Netease邮箱的应用例外和病毒ID为8000的病毒例外，另外一个反病毒配置文件针对FTP协议设置匹配条件和响应动作。

3.配置安全策略，在Trust到Untrust和DMZ到Untrust方向分别引用反病毒配置文件，实
现组网需求。

操作步骤
1.配置接口IP地址和安全区域，完成网络基本参数配置。

a.选择“网络> 接口”。

b.单击GE1/0/1，按如下参数配置。

c.单击“确定”。

d.参考上述步骤按如下参数配置GE1/0/2接口。

e.参考上述步骤按如下参数配置GE1/0/3接口。

2.配置反病毒配置文件。

a.选择“对象> 安全配置文件> 反病毒”。

b.单击“新建”，按下图完成针对HTTP和POP3协议的配置。

c.单击“确定”。

d.参考上述步骤按如下参数完成针对FTP协议的配置。

3.配置内网用户到外网服务器方向（Trust到Untrust方向）的安全策略。

a.选择“策略> 安全策略> 安全策略”。

b.单击“新建”。

c.在“新建安全策略”中应用反病毒配置文件。

参数配置如下。

d.单击“确定”。

4.配置外网用户到内网服务器方向（Untrust到DMZ方向）的安全策略。

参照内网用户到外网服务器方向安全策略的配置方法，完成安全策略的配置。

参数配置如下。

5.单击界面右上角的“保存”，在弹出的对话框中单击“确定”。

配置URL过滤
在NGFW上配置URL过滤功能，对用户访问的URL进行控制，允许或禁止用户访问某些网页资源。

组网需求
如图1所示，NGFW作为企业网关部署在网络边界，对用户发出访问外部网络的HTTP和HTTPS请求进行URL过滤。

公司有研发部门员工和市场部门员工两类，具体需求如下：
•企业所有员工可以访问包含education的网站。

•企业所有员工不可以访问包含bbs的网站。

•研发部门员工在每天的09：00～17：00只可以访问教育/科学类、搜索/门户类网站。

其他网站都不能访问。

•市场部门员工在每天的09：00～17：00只可以访问教育/科学类、搜索/门户类、社会焦点类网站和。

其他网站都不能访问。

图1 配置URL过滤组网图
配置思路
1.配置接口IP地址和安全区域，完成网络基本参数配置。

2.配置自定义分类url_userdefine_category，将列入
url_userdefine_category分类。

3.配置分类服务器远程查询，用来获取URL与预定义分类的对应关系。

本例中教育/科学类、
搜索/门户类、社会焦点类网站可以通过预定义分类来进行URL过滤控制。

4.针对研发部门员工和市场部门员工，配置两个URL过滤配置文件，将包含关键字bbs的
URL列入黑名单，将包含关键字education的URL列入白名单。

并设置URL自定义分类和预定义分类的控制动作。

5.配置两个安全策略，引用时间段、用户组等信息，实现针对不同用户组和不同时间段的
URL访问控制策略。

操作步骤
1.配置接口IP地址和安全区域，完成网络基本参数配置。

a.选择“网络> 接口”。

b.单击GE1/0/1对应的，按如下参数配置。

c.单击“完成”。

d.参考上述步骤按如下参数配置GE1/0/2接口。

2.配置URL自定义分类。

a.选择“对象> URL分类”。

b.单击“新建”，按如下参数配置。

c.单击“确定”。

3.配置URL分类服务器。

a.选择“对象> 安全配置文件> URL过滤”。

b.单击“配置”，配置URL分类服务器，按如下参数配置。

c.单击“确定”。

d.单击“接受”。

4.配置URL过滤配置文件。

a.选择“对象> 安全配置文件> URL过滤”。

b.在“URL过滤配置文件”中，单击“新建”，按如下参数配置。

c.单击“确定”。

d.在“URL过滤配置文件”中，单击“新建”，按如下参数配置。

e.单击“确定”。

5.配置时间段。

a.选择“对象> 时间段”。

b.单击“新建”，按如下参数配置名为“time_range”的时间段。

c.单击“确定”。

6.在安全策略中应用URL过滤配置文件。

说明：
本例中引用到的用户组research（研发部门员工）和用户组marketing（市场部门员工）假设已经创建完成。

a.选择“策略> 安全策略> 安全策略”。

b.单击“新建”，按如下参数配置。

关于安全策略的更多信息，请参见安全策略。

c.单击“确定”。

d.单击“新建”，按如下参数配置。

关于安全策略的更多信息，请参见安全策略。

e.单击“确定”。

举例：配置文件过滤
在企业网关配置文件过滤后，可以降低内部网络感染病毒的风险，还可以防止员工将公司机密文件泄露到互联网。

组网需求
如图1所示，某公司在网络边界处部署了NGFW作为安全网关。

公司希望在保证网络能够正常使用的同时实现以下需求：
•为了防止公司机密文件的泄露，禁止员工上传常见文档文件、开发文件（C、CPP、JAVA）以及压缩文件到内网服务器和Internet。

•为了降低病毒进入公司内部的风险，禁止员工从Internet下载可执行文件以及Internet 用户上传可执行文件到内网服务器。

•为了保证员工的工作效率，禁止员工从Internet下载视频类文件。

图1 文件过滤组网图
数据规划
说明：
配置思路
1.配置接口IP地址和安全区域，完成网络基本参数配置。

2.新建文件过滤配置文件。

3.配置安全策略，保证网络可达的同时引用文件过滤配置文件，实现文件过滤。

操作步骤
1.配置接口IP地址和安全区域，完成网络基本参数配置。

a.选择“网络> 接口”。

b.单击GE1/0/1对应的，按如下参数配置。

c.单击“应用”。

d.参考上述步骤按如下参数配置GE1/0/2接口。

e.参考上述步骤按如下参数配置GE1/0/3接口。

2.新建文件过滤配置文件。

a.选择“对象> 安全配置文件> 文件过滤”。

b.单击“新建”。

c.按如下参数新建文件过滤配置文件profile_file_user1。

d.单击“确定”。

e.参考上述步骤按如下参数新建profile_file_user2。

f.参考上述步骤按如下参数新建profile_file_internet。

3.配置安全策略并引用配置文件。

a.选择“策略> 安全策略> 安全策略”。

b.单击“新建”。

c.按照如下参数配置安全策略policy_sec_user1。

d.单击“确定”。

e.参考上述步骤按如下参数配置policy_sec_user2。

f.参考上述步骤按如下参数配置policy_sec_internet。

4.单击界面右上角的“提交”，提交安全配置文件进行编译。

配置内容过滤
在企业网关配置内容过滤后，既可以防止公司内的机密信息被泄露到外部，又可以防止违规信息的传播。

组网需求
如图1所示，某公司在网络边界处部署了NGFW作为安全网关。

公司有研发和财务两种用户，都部署在Trust区域。

公司的内网服务器部署在DMZ区域。

Internet的用户部署在Untrust区域。

公司希望在保证网络正常使用的同时，防止公司机密信息的泄露以及违规信息的传播。

图1 内容过滤组网图
数据规划
说明：
配置思路
1.配置接口IP地址和安全区域，完成网络基本参数配置。

2.新建关键字组keyword1、keyword2、keyword3，便于下面步骤中的内容过滤配置文件引
用。

3.为研发员工、财务员工、Internet用户分别新建内容过滤配置文件。

新建内容过滤配置
文件时需要引用关键字组。

4.为研发员工、财务员工、Internet用户分别配置安全策略，在保证网络可达的同时引用
各自的内容过滤配置文件，实现内容过滤。

操作步骤
1.配置接口IP地址和安全区域，完成网络基本参数配置。

a.选择“网络> 接口”。

b.单击GE1/0/1对应的，按如下参数配置。

c.单击“应用”。

d.参考上述步骤按如下参数配置GE1/0/2接口。

e.参考上述步骤按如下参数配置GE1/0/3接口。

2.新建关键字组。

a.选择“对象> 关键字组”。

b.在“关键字组”中单击“新建”。

c.在“名称”中输入“keyword1”。

d.在“预定义”下的“机密关键字”对应的“权重”输入框中分别输入“1”。

e.在“关键字列表”中单击“新建”。

f.按照如下参数配置自定义关键字“公司机密信息”。

g.单击“确定”，完成自定义关键字“公司机密信息”的配置。

h.在“关键字列表”中单击“新建”。

i.按照如下参数配置自定义关键字“公司违规信息”。

j.单击“确定”，完成自定义关键字“公司违规信息”的配置。

k.单击“确定”，完成关键字组keyword1的配置。

l.参考上述步骤按照下图所示参数配置keyword2。

m.参考上述步骤按照下图所示参数配置keyword3。

3.新建内容过滤配置文件。

a.选择“对象> 安全配置文件> 内容过滤”。

b.单击“新建”。

c.输入“名称”为“profile_data_research”。

d.单击“新建”。

e.按照如下参数配置研发员工的内容过滤配置文件profile_data_research的规则
rule1。

f.单击“确定”。

g.参考上述步骤按如下参数配置规则rule2。

h.单击“确定”，完成“profile_data_research”的配置。

i.参考上述步骤按如下参数配置财务员工的内容过滤配置文件
profile_data_finance。

j.参考上述步骤按如下参数配置Internet用户的内容过滤配置文件profile_data_internet。

4.配置安全策略并引用内容过滤配置文件。

a.选择“策略> 安全策略> 安全策略”。

b.单击“新建”。

c.按照如下参数配置研发员工的安全策略。

d.单击“确定”。

e.参考上述步骤按如下参数配置财务员工的安全策略。

f.参考上述步骤按如下参数配置Internet用户的安全策略。

5.单击界面右上角的“提交”，提交安全配置文件进行编译。

举例：配置邮件过滤
以NGFW作为分支机构安全网关为例，介绍邮件过滤的配置方法。

组网需求
某公司规模在200人左右，分为销售、研发两个大部门。

该公司具有独立的邮件域名，并且在公司内部部署了邮件服务器。

图1 邮件过滤组网
该公司对邮件安全的需求如下：
•防止位于DMZ区域的邮件服务器收到大量垃圾邮件和匿名邮件，避免占用网络资源。

•为了避免机密信息通过邮件方式泄露出去，对各部门人员的邮件发送权限进行控制。

▪研发人员中只有张三、李四同时具有邮件发送、接收权限，其他人只能接收邮件，不能发送邮件。

▪销售人员可以发送和接收邮件，但发送附件大小不能超过10M。

配置思路
1.构建公司局域网，将NGFW作为安全网关。

•将邮件服务器划分到DMZ区域。

•将销售部门员工划分到自定义“sale”安全区域。

•将研发部门员工划分到自定义“research”安全区域。

•将Internet划分到Untrust区域。

2.配置邮件过滤。

邮件配置文件是基于区域的，需要规划各区域之间的邮件过滤策略。

操作步骤
1.配置接口IP地址和安全区域，完成网络基本参数配置。

a.将接口GE1/0/1加入Untrust区域。

i.选择“网络> 接口”。

ii.选择GE1/0/1对应的，按如下参数配置。

iii.单击“确定”。

b.参考上述步骤，将接口GE1/0/2加入DMZ区域。

GE1/0/2接口配置如下。

c.创建安全区域“sale”，将接口GE1/0/3加入“sale”区域。

i.选择“网络> 安全区域”。

ii.单击“新建”。

iii.按如下参数配置。

iv.在“未加入域的接口”中选择GE1/0/3，单击，将GE1/0/3加入“sale”
区域。

v.单击“确定”。

vi.选择“网络> 接口”。

vii.选择GE1/0/3对应的，按如下参数配置。

viii.单击“确定”。

d.参考上述步骤，创建安全区域“research”，将接口GE1/0/4加入“research”区
域。

“research”区域配置如下。

“GE1/0/4”接口配置如下。

2.在Untrust和DMZ区域之间配置垃圾邮件防范和匿名邮件检测。

a.选择“对象> 安全配置文件> 邮件过滤”。

b.选择进入“垃圾邮件过滤”页签。

c.选中“垃圾邮件过滤功能”对应的“启用”复选框。

d.配置首选DNS服务器，DNS服务器的IP地址为“30.10.10.10”。

e.单击“应用”。

f.配置垃圾邮件配置文件，使用RBL服务器“”。

i.在“垃圾邮件配置文件”区域框中，单击“新建”。

ii.配置RBL服务器的各项参数。

iii.单击“确定”。

g.选择进入“邮件内容过滤”。

i.配置邮件内容过滤配置文件的名称和描述。

j.选中“垃圾邮件过滤”对应的复选框。

k.在“发送匿名邮件”中将过滤动作配置为阻断。

l.单击“确定”。

m.配置DMZ区域和Untrust区域之间的安全策略。

i.选择“策略> 安全策略> 安全策略”。

ii.单击“新建”，按如下参数配置从Untrust到DMZ的域间策略。

iii.单击“确定”。

3.在“sale”区域和DMZ区域之间配置发送方向附件控制，将“sale”区域人员可发送附件
大小控制在10M以内。

a.选择“对象> 安全配置文件> 邮件过滤”。

b.选择“邮件内容过滤”。

c.单击“新建”。

d.配置邮件过滤策略的“名称”和“描述”。

e.单击“附件大小及个数控制”。

f.在“发送附件大小限制”中，输入10240。

g.在“处理动作”中将处理动作配置为阻断。

i.配置sale区域和DMZ区域之间的安全策略。

i.选择“策略> 安全策略> 安全策略”。

ii.单击“新建”，按如下参数配置从sale到DMZ的域间策略。

iii.单击“确定”。

4.在“research”区域和DMZ区域之间配置发送方向邮件地址检查，按照发件人邮箱地址进
行过滤，只允许张三和李四具备邮件发送权限。

a.选择“对象> 安全配置文件> 邮件过滤”。

b.单击“邮件内容过滤”。

c.单击“新建”。

d.配置邮件内容过滤配置文件的“名称”和“描述”。

e.单击“发送邮件”中发件人地址对应的。

f.选择处理动作，配置为“允许”。

g.在“已选”区域框中，单击“新建”。

h.配置地址组的“名称”和“描述”。

i.在“邮件地址列表”中单击“新建”。

j.依次输入各项参数。

k.单击“确定”。

l.参考步骤h、步骤i和步骤j，将李四的邮箱地址“lisi@”加入到地址组中。

m.单击“确定”。

n.单击“确定”。

o.单击“确定”。

p.配置research区域和DMZ区域之间的安全策略。

i.选择“策略> 安全策略> 安全策略”。

ii.单击“新建”，按如下参数配置从research到DMZ的域间策略。

iii.单击“确定”。

5.单击“提交”。

配置应用行为控制
提供了企业内部常见的应用行为控制的配置举例。

组网需求
如图1所示，NGFW做为企业的出口网关部署在内网出口处，企业内网员工按工作职能分为研发员工和市场员工。

其中，研发员工所属的研发用户组（research）和市场员工所属的市场用户组（marketing）已经创建，并已经完成认证的相关配置。

现要求在NGFW上配置应用行为控制功能，对研发员工和市场员工访问外网的HTTP行为和FTP行为进行控制：
•研发员工在工作时间（工作日的09:00～17:00）禁止任何HTTP和FTP操作，避免影响工作效率。

•研发员工在非工作时间（双休日、工作日的非工作时间）允许HTTP浏览网页、HTTP代理上网和HTTP文件下载，其余HTTP权限和FTP权限全部禁止。

•市场员工有对外交流的需求，同时出于信息安全的考虑，只对HTTP和FTP上传的文件大小进行控制，禁止HTTP和FTP上传超过100M的文件，其余功能不受控制。

图1 应用行为控制组网图
数据规划
操作步骤
1.配置接口IP地址和安全区域，完成网络基本参数配置。

a.选择“网络> 接口”。

b.单击GE1/0/1，按如下参数配置。

c.单击“确定”。

d.参考上述步骤按如下参数配置GE1/0/3接口。

2.新建三个应用行为控制配置文件，研发员工在工作时间段使用的配置文件名称为
“profile_app_research_work”，研发员工在非工作时间段使用的配置文件名称为“profile_app_research_rest”，市场员工使用的配置文件名称为
“profile_app_marketing”。

a.选择“对象> 安全配置文件> 应用行为控制”。

b.单击“新建”，创建名称为“profile_app_research_work”的配置文件，配置文
件里面的控制项全部修改为“禁止”。

c.单击“确定”。

d.参考上述步骤，创建名称为“profile_app_research_rest”的配置文件，只允许
HTTP浏览网页、HTTP代理上网和HTTP文件下载，其余控制项全部修改为禁止。

e.参考上述步骤，创建名称为“profile_app_marketing”的配置文件，HTTP行为和
FTP行为的所有控制项全部允许，按如下参数配置HTTP文件上传和FTP文件上传的
阻断阈值。

3.创建名称为working_hours的时间段，该时间段为工作时间，对应工作日的09:00–17:00。

a.选择“对象> 时间段”。

b.单击“新建”，按如下参数配置名为“working_hours”的时间段。

c.单击“确定”。

4.创建名称为off_hours的时间段，该时间段为非工作时间，对应双休日全天（00:00–
23:59）、工作日的00:00–08:59以及工作日的17:01–23:59。

a.选择“对象> 时间段”。

b.单击“新建”，按如下参数配置名为“off_hours”的时间段。

c.向“off_hours”添加时间段成员（工作日的00:00–08:59），按如下参数进行配
置。

d.向“off_hours”添加时间段成员（工作日的17:01–23:59），按如下参数进行配
置。

e.单击“确定”。

5.配置安全策略。

a.选择“策略> 安全策略> 安全策略”。

b.单击“新建”，按如下参数配置名为“policy_sec_research_work”的安全策略，
通过引用用户、时间段和应用行为控制配置文件，用来控制研发员工在工作时间段
的应用行为。

c.单击“确定”。

d.参考上述步骤，按如下参数配置名称为“policy_sec_research_rest”安全策略。

此策略通过引用用户、时间段和应用行为控制配置文件，用来控制研发员工在非工
作时间段的应用行为。

e.参考上述步骤，按如下参数配置名称为“policy_sec_marketing”安全策略。

此策
略通过引用用户和应用行为控制配置文件，用来控制市场员工的应用行为。

6.单击界面右上角的“保存”，在弹出的对话框中单击“确定”。

配置入侵防御
配置入侵防御功能，保护企业内部用户和Web服务器避免受到来自Internet的攻击。

组网需求
如图1所示，某企业在网络边界处部署了NGFW作为安全网关。

在该组网中：
•内网用户可以访问内网FTP服务器和Internet的Web服务器。

•内网的FTP服务器向内网用户和Internet用户提供服务。

图1 入侵防御组网图
该企业需要在NGFW上配置入侵防御功能，具体要求如下：
•企业经常收到蠕虫、木马和僵尸网络的攻击，必须对以上攻击进行防范。

•保护内网用户
避免内网用户访问Internet的Web服务器时受到攻击。

例如，含有恶意代码的网站对内网用户发起攻击。

•保护内部网络的FTP服务器
防范Internet用户和内网用户对内部网络的FTP服务器发起攻击。

另外，通过长期的日志观察和调研发现有一种攻击出现次数较多，其匹配的签名ID为74320，需将这种攻击全部阻断。

数据规划
针对企业的具体要求分析入侵防御功能的配置信息如下：
•该企业主要防范对象为网络常见的蠕虫、木马和僵尸网络的攻击，而这些攻击在签名中定义的严重级别均为“高”。

•保护内网用户
▪在Trust到Untrust域间创建安全策略。

▪攻击行为是由于内网用户访问Internet的Web服务器引起的，且攻击对象是作为客户端的内网用户，可配置签名过滤器的协议为“HTTP”，对象为“客户端”，严重性
为“高”。

图2 保护内网用户的数据规划
•保护内部网络的FTP服务器
▪在Untrust到DMZ域间以及Trust到DMZ域间分别创建安全策略。

▪由于这些攻击行为的攻击对象都是FTP服务器，可配置签名过滤器的协议为“FTP”，对象为“服务端”，严重性为“高”。

▪将ID为74320的签名引入例外签名中，并设置动作为“阻断”。

保护内网FTP服务器的数据规划如图3所示。

配置思路
1.配置接口IP地址和安全区域，完成网络基本参数配置。

2.配置入侵防御配置文件profile_ips_server，保护内部网络服务器。

并配置签名过滤器
以及例外签名来满足安全需要。

3.配置入侵防御配置文件profile_ips_pc，保护内网用户。

通过配置签名过滤器来满足安
全需要。

4.创建安全策略policy_sec_1，并引用安全配置文件profile_ips_pc，保护内网用户免受
来自Internet的攻击。

5.创建安全策略policy_sec_2，并引用安全配置文件profile_ips_server，保护内网服务
器免受来自内网用户和Internet的攻击。

操作步骤
1.配置接口IP地址和安全区域，完成网络基本参数配置。

a.选择“网络> 接口”。

b.单击GE1/0/1对应的，按如下参数配置。

c.单击“确定”。

d.参考上述步骤按如下参数配置GE1/0/2接口。

e.参考上述步骤按如下参数配置GE1/0/3接口。

2.创建入侵防御配置文件profile_ips_pc，配置签名过滤器。

a.选择“对象> 安全配置文件> 入侵防御”。

b.在“入侵防御配置文件”中，单击“新建”，按如下参数配置。

i.配置名称、描述和是否对报文抓包。

ii.在“签名过滤器”中，单击“新建”。

iii.单击“确定”，完成签名过滤器配置。

c.单击“确定”，完成入侵防御配置文件的配置。

3.创建入侵防御配置文件profile_ips_server，配置签名过滤器和例外签名。

a.选择“对象> 安全配置文件> 入侵防御”。

b.在“入侵防御配置文件”中，单击“新建”，按如下参数配置。

i.配置名称、描述和是否对报文抓包。

ii.在“签名过滤器”中，单击“新建”。

iii.单击“确定”，完成签名过滤器配置。

iv.在“例外签名”区域框中，输入签名ID为74320，并单击“添加”，将ID 为74320的签名添加到例外签名中。

设置动作为“阻断”。

c.单击“确定”，完成入侵防御配置文件的配置。

4.单击界面右上角的“提交”，在弹出的对话框中单击“确定”。

5.配置安全策略，允许私网指定网段进行报文交互，并将入侵防御配置文件应用到安全策略
中。

a.选择“策略> 安全策略> 安全策略”。

b.单击“新建”，按如下参数配置从Trust到Untrust的域间策略。

c.单击“确定”。

d.参考上述步骤配置从Trust到DMZ、从Untrust到DMZ的域间策略。

从Trust到DMZ、从Untrust到DMZ的域间策略配置如下。

6.单击界面右上角的“保存”，在弹出的对话框中单击“确定”。