高级配置功能主要是对于影响业务或者误报的规则进行添加例外。添加例外后的规则不在进行检测且不告警。添加例外的规则包括僵尸网络、漏洞攻击防护、实时漏洞、Web智能语义、内容安全、邮件安全和文件杀毒等。
点击<高级设置>,弹出高级设置页面,如下图所示。
僵尸网络高级设置
可以对僵尸网络的高级功能进行设置。如下图所示。
启用内网DNS服务器场景优化:内网存在DNS服务器时必须进行配置,主要用于定位内网感染僵尸网络主机的真实IP地址。
点击<配置恶意域名重定向>,可以把恶意域名解析的IP地址将会被重定向成以下的蜜罐IP地址,监听对蜜罐地址的访问,即可定位内网感染僵尸网络病毒的真实主机IP。
启用未知域名拦截:对无法匹配AF设备域名库的URL访问进行拦截,常用于对安全要求较高的场景。若出现正常业务无法访问,建议将业务的域名添加到白名单中。
启用全局域名或IP排除:设置排除的域名或IP,将不进行安全检测,包括(僵尸网络、木马远控、异常连接、恶意链接、移动安全)。
启用异常连接检测规则排除:此设置仅对异常连接生效。排除后,对指定的目的IP做异常连接安全检测时,将对排除的规则不做检测。
僵尸网络行为检测:通过配置的可疑行为做检测,定位出疑似僵尸网络的主机,但所有规则不阻断数据通信,只做检测并记录日志。
点击<保存僵尸网络高级设置>,对僵尸网络高级设置进行保存。
漏洞攻击防护排除设置:
用于设置漏洞攻击防护不需检测的例外排除数据。如下图所示。
点击<新增>,弹出添加漏洞攻击防护例外排除。如下图所示。
源IP:定义源IP。可以是单个IP、子网或者IP范围
目的:定义目的IP。
目的端口:定义目的端口。
漏洞ID:定义漏洞ID。
点击<提交>,提交设置。
点击<保存漏洞攻击防护排除设置>,对漏洞攻击防护排除设置进行保存。
实时漏洞高级设置:
可以启用排除域名/IP/端口/URL和企业OA端口设置。
点击<保存实时漏洞高级设置>,对实时漏洞高级设置进行保存。
Web智能语义白名单:
可以对Web检测中存在误报的规则添加例外,包括Web应用防护规则、URL参数、IP地址、Webshell上传防护、XXE防护、SQL、XSS和后门扫描等添加例外,从而减少误报的发生,如下图所示。
Web应用防护规则排查:对Web检测出的误报规则进行排除,从而减少业务受到影响。点击<新增>,弹出Web应用防护规则排除设置。如下图所示。
源:定义源IP。可以是网络对象或者指定IP。
目的:定义目的IP。
目的端口:定义目的端口。
URL:定义排除的URL。
描述:定义描述信息。
规则ID:定义规则ID。
规则类型: 定义规则类型,对某一类规则添加例外。
点击<确定>,提交配置。
点击<保存web应用防护规则排除>,对WAF规则排除设置进行保存。
URL参数排除:可以添加URL参数进行排除。如下图所示。
点击<新增>,弹出URL参数排除设置界面。如下图所示。
URL:定义URL。
参数:定义参数信息。
点击<确定>,提交配置。
点击<URL参数排除>,对URL参数排除设置进行保存。
IP地址白名单:可对IP地址进行排除。如下图所示。
点击<下载示例文件>,可下载模板文件,按格式填入要排除的IP,最后导入。
点击<保存IP地址白名单>,对IP地址白名单设置进行保存。
Webshell上传防护白名单:针对Web智能引擎检测出来的Webshell上传出现误报时,可以对Webshell上传的防护加入白名单,从而减少误报造成的影响。如下图所示。
点击<新增>,跳转到安全日志界面,需要在安全日志后添加例外,可加入到白名单中。
XXE防护白名单:针对Web智能引擎检测出来的XEE出现误报时,对XXE的防护添加到对应的白名单中,如下图所示。
输入对应的域名即可,点击<保存>生效。
SQL白名单:针对Web智能引擎检测出来的SQL语义出现误报时,可以对SQL注入的防护加入白名单,从而减少误报造成的影响。如下图所示。
点击<新增>,跳转到安全日志界面,需要在安全日志后添加例外,可加入到白名单中。
XSS白名单:针对Web智能引擎检测出来的XSS语义出现误报时,可以对XSS注入的防护加入白名单,从而减少误报造成的影响。如下图所示。
点击<新增>,跳转到安全日志界面,需要在安全日志后添加例外,可加入到白名单中。
后门扫描白名单:针对Web智能引擎检测出来的后门扫描出现误报时,可以对后门扫描加入白名单,从而减少误报造成的影响。如下图所示。
点击<新增>,跳转到安全日志界面,需要在安全日志后添加例外,可加入到白名单中。
内容安全高级设置
主要对病毒文件的检测内容进行限制,如文件大小、压缩程度,可以进行对应的调整。如下图所示。
杀毒文件大小限制:限制杀毒文件的大小,默认为10M,最大支持20M。如下图所示。
点击对应的类型组名,可以对检测的文件大小进行修改,如下图所示。
压缩层级限制:配置需要解压文件的层级,对解压的文件进行病毒检测。模式为4级,最大支持16级。
超时时间限制:针对杀毒检测超时时间进行限制,可设置1-5s。
邮件安全排除设置
可以设置源IP、目的IP、收件人地址、发件人地址的排除,添加到下面的列表里的地址,所有邮件安全相关功能将不生效。如下图所示。
点击<保存>,对邮件安全排除设置进行保存。
文件杀毒排除设置:
对指定文件或者URL不做杀毒处置,如下图所示。
点击<新增>,弹出文件杀毒排除设置页面。如下图所示。
病毒文件:定义该排除对象的文件名。
MD5/URL:定义该对象的MD5值,或者指定URL进行排除。MD5和URL可选其一。
描述:该对象的描述信息。
点击<确定>,提交配置。
点击<文件杀毒排除设置>,对文件杀毒排除设置进行保存。
重置文件保护系统密码:
开启防篡改功能后,忘记了服务器端配置的密码,则可以重置所有文件保护系统的初始密码为:admin,重置可能30s之后才能生效。界面如下。
点击<重置>,弹出确认重置页面。如下图所示。
点击<确定>,进行重置,点击<取消>,不进行重置。
其他:
其他里面包括回包检测设置,是针对业务保护场景或用户防护场景中的返回数据包检测,默认关闭,开启会消耗部分性能。
建议使用Chrome浏览器访问!
