下一代防火墙AF

深信服下一代防火墙AF融合边界对抗威胁所需的专业安全能力,通过简单易用的方式交付,全面防护各类威胁,并具备多重智能模型和智能联动手段,可持续对抗不断出现的各类新风险。
点击可切换产品版本
知道了
不再提醒
AF8.0.95
{{sendMatomoQuery("下一代防火墙AF","僵尸网络")}}

僵尸网络

更新时间:2023-07-12

僵尸网络主要用于发现和隔离内网感染了病毒、木马等恶意软件的PC,当病毒、木马试图与外部网络通信时,AF识别出该流量,并根据用户策略进行阻断和记录日志,其配置如下图所示。

点击[安全策略模板/僵尸网络]进入模板设置页面,在此页面可以对僵尸网络检测模板进行新增、删除。点击<新增>,弹出新增模板如下图所示。

 

模板名称:定义模板名称。

描述:定义模板描述。

安全选项:设置需要检测的攻击类型。

默认检测:默认检测包含恶意域名检测,不可配置。

恶意URL检测:对恶意URL进行检测。

木马远控:会对防护区域发出的或是请求防护区域的数据都进行木马远控安全检测。

异常流量:分两种,一是对基于端口和协议不匹配的异常情况进行检测,二是对异常的外发流量进行检测。对于检测出来的异常流量只记录日志,不进行阻断。点击<设置>,选择需要检测的异常流量,如下图所示。

外发流量异常:一种启发式的dos攻击检测方法,能够检测源IP不变的syn floodicmp flooddns floodudp flood攻击,当这些协议的外发包超过阀值时认为有异常流量,并自动开启抓包。检测阀值可以进行设置,配置界面如下。

1.异常流量的数据只记录日志不会进行阻断。

2.在[安全防护规则库/安全规则库]中可以设置每个僵尸网络规则的动作,设置为禁用的规则不会被拒绝。