下一代防火墙AF

深信服下一代防火墙AF融合边界对抗威胁所需的专业安全能力,通过简单易用的方式交付,全面防护各类威胁,并具备多重智能模型和智能联动手段,可持续对抗不断出现的各类新风险。
点击可切换产品版本
知道了
不再提醒
AF8.0.85
{{sendMatomoQuery("下一代防火墙AF","高级设置")}}

高级设置

更新时间:2023-06-06

高级配置功能主要是对于影响业务或者误报的规则进行添加例外。添加例外后的规则不在进行检测且不告警。添加例外的规则包括僵尸网络、漏洞攻击防护、实时漏洞、Web智能语义、内容安全、邮件安全和文件杀毒等。

点击<高级设置>,弹出高级设置页面,如下图所示。

 

僵尸网络高级设置

可以对僵尸网络的高级功能进行设置。如下图所示。

启用内网DNS服务器场景优化:内网存在DNS服务器时必须进行配置,主要用于定位内网感染僵尸网络主机的真实IP地址。

点击<配置恶意域名重定向>,可以把恶意域名解析的IP地址将会被重定向成以下的蜜罐IP地址,监听对蜜罐地址的访问,即可定位内网感染僵尸网络病毒的真实主机IP

启用未知域名拦截:对无法匹配AF设备域名库的URL访问进行拦截,常用于对安全要求较高的场景。若出现正常业务无法访问,建议将业务的域名添加到白名单中。

启用全局域名或IP排除:设置排除的域名或IP,将不进行安全检测,包括(僵尸网络、木马远控、异常连接、恶意链接、移动安全)。

启用异常连接检测规则排除:此设置仅对异常连接生效。排除后,对指定的目的IP做异常连接安全检测时,将对排除的规则不做检测。

僵尸网络行为检测:通过配置的可疑行为做检测,定位出疑似僵尸网络的主机,但所有规则不阻断数据通信,只做检测并记录日志。

点击<保存>,对僵尸网络高级设置进行保存。

漏洞攻击防护白名单:

用于设置漏洞攻击防护不需检测或者误报的进行例外排除数据,包含漏洞攻击防护排除设置、DNS隧道检测白名单、HTTP隧道检测白名单、ICMP隧道检测白名单、WebShell加密通信白名单、反弹Shell检测白名单和JAVA反序列化白名单。

漏洞攻击防护排除设置用于设置漏洞攻击防护不需检测的数据,如下图所示。

点击<新增>,弹出添加漏洞攻击防护例外排除。如下图所示。

IP:定义源IP。可以是单个IP、子网或者IP范围

目的:定义目的IP

目的端口:定义目的端口。

漏洞ID:定义漏洞ID

点击<确定>,提交设置。

点击<保存>,对漏洞攻击防护排除设置进行保存。

DNS隧道检测白名单、HTTP隧道检测白名单、ICMP隧道检测白名单、WebShell加密通信白名单、反弹Shell检测白名单和JAVA反序列化白名单等都是用于添加对应威胁类型的白名单,如下图所示。

点击<新增>后跳转到安全日志页面显示对应类型的日志,如下图所示。

再点击<更多>即可选择<添加例外>,如下图所示。

实时漏洞高级设置:

可以启用排除域名/IP/端口/URL和企业OA端口设置。

点击<保存>,对实时漏洞高级设置进行保存。

Web应用防护排除设置:

可以对Web检测中存在误报的规则添加例外,包括规则排除、URL参数、IP地址、Webshell上传防护、XXE防护、SQLXSS和后门扫描等添加例外,从而减少误报的发生,如下图所示。

规则排除:对Web检测出的误报规则进行排除,从而减少业务受到影响。点击<新增>,弹出WEB应用防护规则排除设置。如下图所示。

源:定义源IP。可以是网络对象或者指定IP

目的:定义目的IP

目的端口:定义目的端口。

URL:定义排除的URL

描述:定义描述信息。

规则ID:定义规则ID

规则类型: 定义规则类型,对某一类规则添加例外。

点击<确定>,提交配置。

点击<保存>,对WAF规则排除设置进行保存。

URL参数排除:可以添加URL参数进行排除。如下图所示。

点击<新增>,弹出URL参数排除设置界面。如下图所示。

URL:定义URL

参数:定义参数信息。

点击<确定>,提交配置。

点击<保存>,对URL参数排除设置进行保存。

IP地址白名单:可对IP地址进行排除。如下图所示。

点击<下载示例文件>,可下载模板文件,按格式填入要排除的IP,最后导入。

点击<保存>,对IP地址白名单设置进行保存。

Webshell上传防护白名单:针对Web智能引擎检测出来的Webshell上传出现误报时,可以对Webshell上传的防护加入白名单,从而减少误报造成的影响。如下图所示。

点击<新增>,跳转到安全日志界面,需要在安全日志后添加例外,可加入到白名单中。

XXE防护白名单:针对Web智能引擎检测出来的XEE出现误报时,对XXE的防护添加到对应的白名单中,如下图所示。

输入对应的域名即可,点击<保存>生效。

SQL白名单:针对Web智能引擎检测出来的SQL语义出现误报时,可以对SQL注入的防护加入白名单,从而减少误报造成的影响。如下图所示。

点击<新增>,跳转到安全日志界面,需要在安全日志后添加例外,可加入到白名单中。

XSS白名单:针对Web智能引擎检测出来的XSS语义出现误报时,可以对XSS注入的防护加入白名单,从而减少误报造成的影响。如下图所示。

点击<新增>,跳转到安全日志界面,需要在安全日志后添加例外,可加入到白名单中。

后门扫描白名单:针对Web智能引擎检测出来的后门扫描出现误报时,可以对后门扫描加入白名单,从而减少误报造成的影响。如下图所示。

点击<新增>,跳转到安全日志界面,需要在安全日志后添加例外,可加入到白名单中。

内容安全高级设置

主要对病毒文件的检测内容进行限制,如文件大小、压缩程度,可以进行对应的调整。如下图所示。

  

杀毒文件大小限制:限制杀毒文件的大小,默认为10M,最大支持20M。如下图所示。

点击对应的类型组名,可以对检测的文件大小进行修改,如下图所示。

压缩层级限制:配置需要解压文件的层级,对解压的文件进行病毒检测。模式为4级,最大支持16级。

邮件安全排除设置

可以设置源IP、目的IP、收件人地址、发件人地址的排除,添加到下面的列表里的地址,所有邮件安全相关功能将不生效。如下图所示。

点击<保存>,对邮件安全排除设置进行保存。

文件杀毒排除设置:

对指定文件或者URL不做杀毒处置,如下图所示。

点击<新增>,弹出文件杀毒排除设置页面。如下图所示。

病毒文件:定义该排除对象的文件名。

MD5/URL:定义该对象的MD5值,或者指定URL进行排除。MD5URL可选其一。

描述:该对象的描述信息。

点击<确定>,提交配置。

点击<文件杀毒排除设置>,对文件杀毒排除设置进行保存。