更新时间:2022-06-17
僵尸网络主要用于发现和隔离内网感染了病毒、木马等恶意软件的PC,当病毒、木马试图与外部网络通信时,AF识别出该流量,并根据用户策略进行阻断和记录日志,其配置如下图所示。
点击[安全策略模板/僵尸网络]进入模板设置页面,在此页面可以对僵尸网络检测模板进行新增、删除。点击<新增>,弹出新增模板如下图所示。
模板名称:定义模板名称。
描述:定义模板描述。
安全选项:设置需要检测的攻击类型。
默认检测:默认检测的选项包含恶意URL检测和恶意域名检测,不可配置。
木马远控:会对防护区域发出的或是请求防护区域的数据都进行木马远控安全检测。
异常流量:分两种,一是对基于端口和协议不匹配的异常情况进行检测,二是对异常的外发流量进行检测。对于检测出来的异常流量只记录日志,不进行阻断。点击<设置>,选择需要检测的异常流量,如下图所示。
外发流量异常:一种启发式的dos攻击检测方法,能够检测源IP不变的syn flood、icmp flood、dns flood、udp flood攻击,当这些协议的外发包超过阀值时认为有异常流量,并自动开启抓包。检测阀值可以进行设置,配置界面如下。
:
1.异常流量的数据只记录日志不会进行阻断。
2.在[安全防护规则库/安全规则库]中可以设置每个僵尸网络规则的动作,设置为禁用的规则不会被拒绝。