首页帮助文档软件下载故障处理按场景找工具工具全景图兼容性查询在线实验平台服务信息查询产品安全中心订单验收材料下载

下一代防火墙AF

深信服下一代防火墙AF融合边界对抗威胁所需的专业安全能力,通过简单易用的方式交付,全面防护各类威胁,并具备多重智能模型和智能联动手段,可持续对抗不断出现的各类新风险。
点击可切换产品版本
知道了
不再提醒
AF8.0.85
下一代防火墙AF 文档 产品手册 产品手册 策略 安全策略 安全防护策略 高级设置
{{sendMatomoQuery("下一代防火墙AF","高级设置")}}

高级设置

更新时间:2023-06-06

高级配置功能主要是对于影响业务或者误报的规则进行添加例外。添加例外后的规则不在进行检测且不告警。添加例外的规则包括僵尸网络、漏洞攻击防护、实时漏洞、Web智能语义、内容安全、邮件安全和文件杀毒等。

点击<高级设置>,弹出高级设置页面,如下图所示。

 

僵尸网络高级设置

可以对僵尸网络的高级功能进行设置。如下图所示。

启用内网DNS服务器场景优化:内网存在DNS服务器时必须进行配置,主要用于定位内网感染僵尸网络主机的真实IP地址。

点击<配置恶意域名重定向>,可以把恶意域名解析的IP地址将会被重定向成以下的蜜罐IP地址,监听对蜜罐地址的访问,即可定位内网感染僵尸网络病毒的真实主机IP

启用未知域名拦截:对无法匹配AF设备域名库的URL访问进行拦截,常用于对安全要求较高的场景。若出现正常业务无法访问,建议将业务的域名添加到白名单中。

启用全局域名或IP排除:设置排除的域名或IP,将不进行安全检测,包括(僵尸网络、木马远控、异常连接、恶意链接、移动安全)。

启用异常连接检测规则排除:此设置仅对异常连接生效。排除后,对指定的目的IP做异常连接安全检测时,将对排除的规则不做检测。

僵尸网络行为检测:通过配置的可疑行为做检测,定位出疑似僵尸网络的主机,但所有规则不阻断数据通信,只做检测并记录日志。

点击<保存>,对僵尸网络高级设置进行保存。

漏洞攻击防护白名单:

用于设置漏洞攻击防护不需检测或者误报的进行例外排除数据,包含漏洞攻击防护排除设置、DNS隧道检测白名单、HTTP隧道检测白名单、ICMP隧道检测白名单、WebShell加密通信白名单、反弹Shell检测白名单和JAVA反序列化白名单。

漏洞攻击防护排除设置用于设置漏洞攻击防护不需检测的数据,如下图所示。

点击<新增>,弹出添加漏洞攻击防护例外排除。如下图所示。

IP:定义源IP。可以是单个IP、子网或者IP范围

目的:定义目的IP

目的端口:定义目的端口。

漏洞ID:定义漏洞ID

点击<确定>,提交设置。

点击<保存>,对漏洞攻击防护排除设置进行保存。

DNS隧道检测白名单、HTTP隧道检测白名单、ICMP隧道检测白名单、WebShell加密通信白名单、反弹Shell检测白名单和JAVA反序列化白名单等都是用于添加对应威胁类型的白名单,如下图所示。

点击<新增>后跳转到安全日志页面显示对应类型的日志,如下图所示。

再点击<更多>即可选择<添加例外>,如下图所示。

实时漏洞高级设置:

可以启用排除域名/IP/端口/URL和企业OA端口设置。

点击<保存>,对实时漏洞高级设置进行保存。

Web应用防护排除设置:

可以对Web检测中存在误报的规则添加例外,包括规则排除、URL参数、IP地址、Webshell上传防护、XXE防护、SQLXSS和后门扫描等添加例外,从而减少误报的发生,如下图所示。

规则排除:对Web检测出的误报规则进行排除,从而减少业务受到影响。点击<新增>,弹出WEB应用防护规则排除设置。如下图所示。

源:定义源IP。可以是网络对象或者指定IP

目的:定义目的IP

目的端口:定义目的端口。

URL:定义排除的URL

描述:定义描述信息。

规则ID:定义规则ID

规则类型: 定义规则类型,对某一类规则添加例外。

点击<确定>,提交配置。

点击<保存>,对WAF规则排除设置进行保存。

URL参数排除:可以添加URL参数进行排除。如下图所示。

点击<新增>,弹出URL参数排除设置界面。如下图所示。

URL:定义URL

参数:定义参数信息。

点击<确定>,提交配置。

点击<保存>,对URL参数排除设置进行保存。

IP地址白名单:可对IP地址进行排除。如下图所示。

点击<下载示例文件>,可下载模板文件,按格式填入要排除的IP,最后导入。

点击<保存>,对IP地址白名单设置进行保存。

Webshell上传防护白名单:针对Web智能引擎检测出来的Webshell上传出现误报时,可以对Webshell上传的防护加入白名单,从而减少误报造成的影响。如下图所示。

点击<新增>,跳转到安全日志界面,需要在安全日志后添加例外,可加入到白名单中。

XXE防护白名单:针对Web智能引擎检测出来的XEE出现误报时,对XXE的防护添加到对应的白名单中,如下图所示。

输入对应的域名即可,点击<保存>生效。

SQL白名单:针对Web智能引擎检测出来的SQL语义出现误报时,可以对SQL注入的防护加入白名单,从而减少误报造成的影响。如下图所示。

点击<新增>,跳转到安全日志界面,需要在安全日志后添加例外,可加入到白名单中。

XSS白名单:针对Web智能引擎检测出来的XSS语义出现误报时,可以对XSS注入的防护加入白名单,从而减少误报造成的影响。如下图所示。

点击<新增>,跳转到安全日志界面,需要在安全日志后添加例外,可加入到白名单中。

后门扫描白名单:针对Web智能引擎检测出来的后门扫描出现误报时,可以对后门扫描加入白名单,从而减少误报造成的影响。如下图所示。

点击<新增>,跳转到安全日志界面,需要在安全日志后添加例外,可加入到白名单中。

内容安全高级设置

主要对病毒文件的检测内容进行限制,如文件大小、压缩程度,可以进行对应的调整。如下图所示。

  

杀毒文件大小限制:限制杀毒文件的大小,默认为10M,最大支持20M。如下图所示。

点击对应的类型组名,可以对检测的文件大小进行修改,如下图所示。

压缩层级限制:配置需要解压文件的层级,对解压的文件进行病毒检测。模式为4级,最大支持16级。

邮件安全排除设置

可以设置源IP、目的IP、收件人地址、发件人地址的排除,添加到下面的列表里的地址,所有邮件安全相关功能将不生效。如下图所示。

点击<保存>,对邮件安全排除设置进行保存。

文件杀毒排除设置:

对指定文件或者URL不做杀毒处置,如下图所示。

点击<新增>,弹出文件杀毒排除设置页面。如下图所示。

病毒文件:定义该排除对象的文件名。

MD5/URL:定义该对象的MD5值,或者指定URL进行排除。MD5URL可选其一。

描述:该对象的描述信息。

点击<确定>,提交配置。

点击<文件杀毒排除设置>,对文件杀毒排除设置进行保存。