下一代防火墙AF

深信服下一代防火墙AF融合边界对抗威胁所需的专业安全能力,通过简单易用的方式交付,全面防护各类威胁,并具备多重智能模型和智能联动手段,可持续对抗不断出现的各类新风险。
点击可切换产品版本
知道了
不再提醒
AF8.0.32
{{sendMatomoQuery("下一代防火墙AF","安全规则库")}}

安全规则库

更新时间:2022-01-06

『安全规则库』包含 WEB 应用防护特征库、漏洞攻击特征识别库、数据泄密防护识别库、僵尸网络与病毒防护库和实时漏洞分析识别库。选择不同的识别库类型进行不同的设置。

WEB 应用防护特征库

『WEB 应用防护特征库』内置了利用 SQL 注入、XSS 攻击、网站木马、网站扫描、WEBSHELL、跨站请求伪造、系统命令注入、文件包含攻击、目录遍历攻击、信息泄露攻击、WEB 整站系统漏洞等的应用层攻击包特征,当这些攻击包穿越设备时,可以根据用户设置拦截该攻击包,以保护服务器。界面如下:

点击用于统一的修改 WEB 应用防护规则。若选择[默认(系统初始状态)],则将保留系统自带的规则状态;若选择[启用严格规则检测,并拦截],则对于所有防护规则的动作都将设置为“启用,检测后拦截”。对于危险等级为中的规则来说,系统默认的状态会放行的,启用严格检测后,危险等级所有的规则也将被拦截。

『防护类型』显示当前防护类型的规则库,点击 ,可以根据防护类型查看对应的规则 ID。界面如下:

『防护名称』显示该防护规则对应的名称。

『类型』显示当前防护规则对应的防护类型,如 SQL 注入。

『危险等级』描述此漏洞的危险等级,一般有高、中、低三个等级,等级越高的则危险程度越高。

『动作』描述如果设备检测到该攻击行为时,设备所采取的动作,包括[启用, 检测拦截]、[启用,检测后放行]、[启用,与云分析引擎联动] 、[禁用]四种。这个动作可以自定义,点击『防护名称』即可进入编辑页面,如下图:

[启用,检测后拦截]:表示启用当前规则,当检测到此攻击的行为时,拦截相应的数据包。

[启用,检测后放行]:表示启用当前规则,当检测到有攻击的行为时,只是记录日志,并不会拦截。

[启用,与云分析引擎联动]:表示启用当前规则,当有利用此漏洞进行攻击的行为时,拦截相应的数据包,并利用云技术进行分析检测。

[禁用]:表示禁用当前规则,当规则禁用后,设备不会对该规则进行检测。

漏洞攻击特征识别库

『漏洞攻击特征识别库』内置了利用系统、应用程序漏洞而进行攻击的攻击包特征,当这些攻击包穿越设备时,可以根据用户设置拦截该攻击包,以保护服务器。界面如下:

『修改规则库动作』:用于统一的修改漏洞攻击特征识别规则。若选择[默认

(系统初始状态)],则将保留系统自带的规则状态;若选择[启用严格规则检测, 并拦截],则对于所有识别规则的动作都将设置为“启用,检测后拦截”。对于危险等级为中的规则来说,系统默认的状态会放行的,启用严格检测后,危险等级所有的规则也将被拦截。

『恢复规则默认动作』:用于将修改过的规则动作全部恢复到默认状态。

漏洞攻击漏洞规则支持搜索功能,可以通过设置[漏洞类别]、[查询类别],输入漏洞名称、ID 等关键词进行搜索,如下图所示:

『漏洞 ID』显示当前漏洞的 ID,主要作用是当服务器被某个漏洞攻击规则拦截了,可以到数据中心查看到漏洞 ID,通过此处的漏洞 ID 查询,可以设置不拦截此规则。

『漏洞名称』显示漏洞名称。

『类型』显示当前漏洞的类型,如 backdoor。

『危险等级』描述此漏洞的危险等级,一般有高、中、低三个等级,等级越高的则危险程度越高。

『动作』描述当存在利用该漏洞进行的攻击时,设备所采取的动作,包括[启用、检测后拦截]、[启用,检测后放行]、 [禁用]四种。这个动作可以自定义, 点击『漏洞名称』即可进入编辑页面,如下图:

[启用,检测后拦截]:表示启用当前规则,当有利用此漏洞进行攻击的行为时,拦截相应的数据包。

[启用,检测后放行]:表示启用当前规则,当有利用此漏洞进行攻击的行为时,只是记录日志,并不会拦截。

[禁用]:表示禁用当前规则,当规则禁用后,设备不会对该漏洞进行检测。

注意:漏洞特征库的放行和拦截属性出厂已经配置好,当需要修改某条规则的时候,编辑该条规则即可。

数据泄密防护识别库

『数据泄密防护识别库』内置了一些敏感信息的正则表达式,如身份证、手机号码、银行卡号等等,和允许自定义敏感信息,启用了数据泄密防护功能后, 当这些敏感信息经过设备时,设备会进行拦截,以保护用户敏感信息不被泄露出去。这些内置的规则不允许编辑或删除,支持在线升级。界面如下:

点击用于设置针对哪些 IP、以及哪些 URL 不进行数据泄密防护,界面如下:

点击新增按钮,弹出【排除 IP】对话框,界面如下:

选择“排除 URL”点击新增按钮,弹出【排除 URL】对话框,界面如下:

僵尸网络与病毒防护库

『热门威胁库』包含了木马、挖矿、蠕虫、非法与不良、感染型病毒、后门

软件、恶意链接、广告软件、恶意软件、网络安全、间谍软件、黑客工具、恶意脚本、木马远控、勒索软件、Rootkit、流氓软件、僵尸网络这 18 类规则防护类型,页面如下:

『规则状态』:可以查看所有启用或禁用状态下的规则。

『类型』:木马、挖矿、蠕虫、非法与不良、感染型病毒、后门软件、恶意链接、广告软件、恶意软件、网络安全、间谍软件、黑客工具、恶意脚本、木马远控、勒索软件、Rootkit、流氓软件、僵尸网络这 18 类规则防护类型

『启用』:启用选定的规则库。

『禁用』:禁止选定的规则库。


实时漏洞分析识别库

『实时漏洞分析识别库』内置了一些漏洞规则,用于发现用户网络中存在的一些安全漏洞问题,并以报表的形式把漏洞的危害和解决办法展现给用户。漏洞规则包括了:WEB 服务器漏洞、database 服务器漏洞、FTP 服务器漏洞、mail 服务器漏洞、ssh 服务器漏洞等。

通过在『策略』→『安全策略』→『安全防护策略』→『业务防护策略』→

『实时漏洞分析』中进行设置,对指定的数据进行实时漏洞分析。

界面如下:

页面右上角,可以输入规则名称或规则 ID 查找规则。

在[筛选]中点击,出现如下页面:显示设备内置的漏洞类型,可勾选相应的类型筛选规则:

点击某一条规则的名称,可以查看到规则详情:

『漏洞名称』:显示该漏洞对应的名称。

『漏洞描述』:显示关于该漏洞的详细解释。

『攻击影响』:显示该漏洞可能导致的后果。

『严重等级』:描述此漏洞的危险等级,一般有高、中、低三个等级,等级越高的则危险程度越高。

『解决方案』:显示避免改漏洞可采用的方法。

『动作』:包括启用和禁用两类,当漏洞禁用后,设备不会对该漏洞进行检测。