深信服上网行为管理-安全防护指南

邮件杀毒配置步骤
4、新建上网审计策略，并关联到用户或组，如下图。
邮件杀毒配置步骤
5、启用网关杀毒
邮件杀毒配置步骤
6、配置事件告警。即当检测到病毒时，发送告警邮件到管理员邮箱
邮件杀毒配置步骤
7、通过邮件客户端发送一封带病毒的原始邮件
邮件杀毒配置步骤
8、设备检测到病毒效果
首页，运行状态页面，右下角小喇叭提示发现病毒。如下图
管理员告警邮箱也收到发现病毒的事件告警邮件，如下图 数据中心记录网关杀毒日志，如下图
问题思考
1.网关杀毒可以针对哪些协议杀毒？
2.启用了防DOS攻击，但PC的IP不在防DOS内网网段列表中，请问PC是否可 以访问AC内置数据中心？
深信服上网行为管理 安全防护指南
培训内容 防DOS攻击
网关杀毒
培训目标 1.了解防DOS攻击适用场景 2.掌握防DOS攻击配置方法 1.掌握网关杀毒测试方法
SANGFOR AC&SG
防DOS攻击 网关杀毒
防DOS攻击
防DOS攻击介绍
防DOS攻击即设备对于DOS攻击的防护，通过设备能够阻止对设备本身 的攻击、也可以阻止内网某些PC对外网发起的攻击。
病毒库更新需要授权，授权后，病毒库会每天自动更新
网关杀毒配置
设置网关杀毒类型，一般全选。
排除不需要杀毒的网站，默认 排除了PC常见杀毒软件病毒库 更新地址，以免PC病毒库更新 被判断为病毒导致无法更新。
注意
网关杀毒支持的四种协议杀毒，http下载，ftp下载， pop3/imap及smtp杀毒都是全局开关。其中http下载和ftp下载 杀毒直接在网关杀毒中启用即可生效，但pop3/imap/smtp杀毒 是通过邮件代理实现的，还需要在上网策略中启用邮件过滤，关 联到用户或组，并且确保设备可上网。
设备可以阻止DOS攻击的类型有每个IP在一分钟内向几一个目标IP和端 口发起的最大连接数及每个IP在每秒钟发起的攻击包次数（攻击包包括 SYN包，ICMP及小于100字节的TCP/UDP小包）
防DOS攻击配置不当，会导致内网断网，所以默认不建议开启，当确实 有此需求时，才启用。
防DOS攻击配置
注意，启用内网网段列表后，内网网段 必须填全，如果没有填全，则不在此列 防DOS中攻的击P总C上开网关直接被认为是DOS攻击，被 丢弃，导致断网。如果不启用内网网段 列表，则对经过的所有数据包进行条件 匹配，匹配上才认为是DOS攻击
下面以smtp邮件杀毒为例，说明网关杀毒测试方法
邮件杀毒配置步骤
1、准备工作 （1）检查设备本身是否可以上外网，要确保设备本身能够上网
（2）检查病毒库升级授权是否过期，病毒库是否当前最新。要确保病毒 库升级授权已开启，且病毒库当前最新。
邮件杀毒配置步骤
2、新建认证策略，用户组等（此处略） 3、新建上网权限策略，并启用邮件过滤关联到用户或组，如下图。
Leabharlann Baidu 注意
开启防dos攻击后，如果本机所在的网段不在防dos内网网段 列表中，则本机到设备443，51111和22345三个端口是默认 放行的，到设备其它端口或经过设备的数据流会全部被拦截。
网关杀毒
网关杀毒介绍
设备本身集成了第三方杀毒引擎，部署在网络前端，对过往的数据流量 进行病毒检测查杀，防止病毒影响内网安全。网关杀毒可以针对http下 载，ftp下载，pop3/imap收邮件及smtp发邮件四种数据流杀毒。
此选项不建议启用
排除指定的地址不做DOS攻击检测， 一般适用于内网服务器，因为服务器 流量比较大，根据实际情况填写
设置检测攻击条件，及检测到攻击后 的处理，可以设置封锁时间及发送告 警邮件通知管理员。连接数条件推荐 设置1024，攻击包条件推荐5000
防DOS攻击配置
当检测到DOS攻击时，系统日志会打出告警日志，如下图所示