防火墙病毒过滤新功能黑白名单使用介绍

收藏

病毒过滤文件和网站白名单使用介绍

KFW防火墙可以在启用防病毒功能时设置白名单,对于放心的文件类型直接放行,提高通信质量;而且也可以对认可的网站或主机直接放行,提高访问速率。

1.文件类型白名单

防病毒文件类型白名单功能默认为关闭状态,即开启防病毒功能时会对所有文件进行过滤,如果启用了白名单则进行病毒扫描时可忽略该类型文件。

  1. 命令行下查看防病毒白名单状态

#define antivirus scan-ftype-whitelist

(scan-ftype-whi~e)#snapshot

activemime : disable

arj : disable

base64 : disable

bat : disable

bmp : disable

bzip : disable

bzip2 : disable

cab : disable

cef : disable

check : disable

class : disable

cod : disable

elf : disable

exe : disable

gif : disable

gzip : disable

hlp : disable

hta : disable

html : disable

jad : disable

jpeg : disable

lzh : disable

mime : disable

msoffice : disable

pdf : disable

png : disable

prc : disable

rar : disable

rpm : disable

rtf : disable

sis : disable

tar : disable

tiff : disable

unicode : disable

unknown : disable

vbs : disable

zip : disable

  1. 默认所有文件类型白名单都是“disable”

  2. 配置防病毒功能,在“病毒与攻击>病毒检查>配置模板”页面,新建防病毒模板“AV-test”

  1. 在防火墙策略中调用该模板,本例中在内网访问互联网的策略中调用。

  1. 访问病毒测试网站“www.eicar.org”,在下载测试病毒文件时,防火墙提示发现病毒。

  1. 进入“日志与报告>日志访问>防病毒”页面,可找到该病毒日志信息。

 

  1. 在命令行中配置白名单,放行后缀为zip的文件。

#define antivirus scan-ftype-whitelist

(scan-ftype-whi~e) # set zip enable

(scan-ftype-whi~e)#snapshot

activemime : disable

arj : disable

base64 : disable

bat : disable

bmp : disable

bzip : disable

bzip2 : disable

cab : disable

cef : disable

check : disable

class : disable

cod : disable

elf : disable

exe : disable

gif : disable

gzip : disable

hlp : disable

hta : disable

html : disable

jad : disable

jpeg : disable

lzh : disable

mime : disable

msoffice : disable

pdf : disable

png : disable

prc : disable

rar : disable

rpm : disable

rtf : disable

sis : disable

tar : disable

tiff : disable

unicode : disable

unknown : disable

vbs : disable

zip : enable

(scan-ftype-whi~e) # end

# define system global

(global) # set av-filetype-whitelist-en enable

(global) # end

  1. 配置白名单后,访问病毒测试网站,再次下载该病毒测试文件,可以正常下载。

2.网站/主机白名单

网站/主机白名单功能默认为关闭状态,即开启防病毒功能时会对所有访问的网站和主机进行病毒扫描,如果启用了白名单功能,则访问白名单中的网站和主机时,不进行病毒扫描。

  1. 在防火墙命令行下配置查看病毒过滤网站白名单配置

# define antivirus scan-host-whitelist

(scan-host-whit~l) # snapshot

(scan-host-whit~l) #

默认没有白名单

  1. 配置防病毒功能,在“病毒与攻击>病毒检查>配置模板”页面,新建防病毒模板“AV-test”

  1. 在防火墙策略中调用该模板,本例中在内网访问互联网的策略中调用。

  1. 访问病毒测试网站“www.eicar.org”,在下载文件时,防火墙提示发现病毒。

  1. 出现警告页面,访问的页面有病毒。

  1. 查看日志,可看到病毒信息。

  1. 配置防病毒网站白名单,这里将病毒测试网站“www.eicar.org”加入白名单。

# define antivirus scan-host-whitelist

(scan-host-whit~l) # edit www.eicar.org

ew entry 'www.eicar.org' added

(www.eicar.org)#end

  1. 开启病毒过滤网站白名单功能

#define system global

(global)#set av-host-whitelist-en enable

(global)#end

  1. 再次下载病毒测试文件,可以正常下载

3.文件黑名单

用户在访问网站时,如果感染新病毒,并导致进程崩溃,该病毒文件会被自动放入防病毒文件黑名单中,再次遇到该病毒时,病毒会被过滤,保证通信正常和安全。

查看防病毒配置,文件黑名单功能默认是开启的。

#define system global

(global) # sn

……

scanunit-blacklist-en: enable

……

本功能是系统默认开启的,扫描到相应的病毒文件后,查看扫描库,病毒会被记录。

# dump test app scan 98

dump:----------------------begin

[1365]119:636011636012kzupdateagency-2.exe

dump:----------------------end

 

相似问题:

©2020Easynetworks(简网科技)All Rights Reserved.