HC13031101-UTM实验手册.pdf

《HC13031101-UTM实验手册.pdf》由会员分享，可在线阅读，更多相关《HC13031101-UTM实验手册.pdf（58页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、HCIE-Security 反病毒培训上机指导书 1 HCIE-Security UTM培训上机指导书培训上机指导书（学员用书）（学员用书）ISSUE 2.00 HCIE-Security 反病毒培训上机指导书 2 目 录 1 反病毒实验.3 1.1 反病毒实验.3 2 入侵防御实验.12 2.1 入侵防御实验.12 3 URL 过滤技术实验.20 3.1 URL 过滤技术实验.20 4 内容过滤实验.30 4.1 内容过滤实验.30 5 文件过滤实验.36 5.1 文件过滤实验.36 6 UTM 邮件过滤实验.43 6.1 邮件过滤技术实验.43 7 应用行为控制实验.52 7.1 应用行为

2、控制实验.52 HCIE-Security 反病毒培训上机指导书 3 1 反病毒反病毒实验实验 1.1 反病毒反病毒实验实验 实验目的 通过本实验，你将了解反病毒的工作原理及详细配置。组网设备 NGFW 防火墙一台，PC 机两台。实验拓扑图 客户端服务器HFS172.10.2.2/24G0/0/2172.10.2.1/24G0/0/1172.10.1.1/24172.10.1.2/24实验步骤 Step 1 配置测试环境 HCIE-Security 反病毒培训上机指导书 4 1)Server PC 运行 Http File Server 软件，建立两个目录，一个用于上传，一个用于下载，将测试样

3、本 放到下载目录（选择 Real folder）。并设置上传目录上传用户。2)防火墙和 PC 按照实验拓扑图进行接口和 IP 地址配置。a)防火墙接口配置 G0/0/1：172.10.1.1/24，加入 trust 域 G0/0/2：172.10.2.1/24，加入 untrust 域 b)客户端接口配置 IP：172.10.1.2/24 Route：route add 172.10.2.0 mask 255.255.255.0 172.10.1.1 c)服务器接口配置 hfs.zipHCIE-Security 反病毒培训上机指导书 5 IP：172.10.2.2/24 Route：route

4、 add 172.10.1.0 mask 255.255.255.0 172.10.2.1 Step 2 配置设备 1)在系统-升级中心通过-反病毒特征库查看当前版本：并通过本地升级操作加载反病毒测试特征库：2)新建反病毒配置文件 av_test，查看各协议检测方向和响应动作配置。HCIE-Security 反病毒培训上机指导书 6 3)新建安全策略，引用反病毒配置文件 av_test。4)Client PC通过HTTP访问sever端目录test，下载病毒样本文件。HCIE-Security 反病毒培训上机指导书 7 页面显示“无法显示网页”。5)Client PC 通过 HTTP 访问 s

5、ever 端目录 test_upload。HCIE-Security 反病毒培训上机指导书 8 选择病毒样本文件 。页面显示“无法显示网页”。HCIE-Security 反病毒培训上机指导书 9 验证结果 在监控-日志-威胁日志中查看是否有病毒日志产生。附件：反病毒测试特征库：病毒样本：HCIE-Security 反病毒培训上机指导书 10 HCIE-Security IPS培训上机指导书培训上机指导书（学员用书）（学员用书）ISSUE 2.00 HCIE-Security 反病毒培训上机指导书 11 目 录 1 入侵防御实验.12 1.1 入侵防御实验.12 HCIE-Security 反病

6、毒培训上机指导书 12 2 入侵防御入侵防御实验实验 2.1 入侵防御入侵防御实验实验 实验目的 通过本实验，你将了解入侵防御的工作原理及详细配置。组网设备 USG 防火墙一台，PC 机两台。实验拓扑图 客户端服务器防火墙HFS172.10.2.153/24G0/0/2172.10.2.1/24G0/0/1172.10.1.1/24172.10.1.87/24 图 1 实验步骤(命令行)Step 1 配置入侵防御配置文件（Profile）和 Profile 中的签名过滤器 USG6300 profile type ips name profile_ips_pc USG6300-profile-

7、ips-ipsprof signature-set name filter1 USG6300-profile-ips-ipsprof-sigset-SigSet protocol HTTP USG6300-profile-ips-ipsprof-sigset-SigSetaction block Step 2 配置安全策略规则（Rule）HCIE-Security 反病毒培训上机指导书 13 配置一条安全策略规则，默认动作设置为允许，源域、目的域设置为 any，并引用入侵防御配置文件：USG6600security-policy USG6300-policy-securityrule name

8、 Policy USG6300-policy-security-rule-Policyaction permit USG6300-policy-security-rule-Policysource-zone any USG6300-policy-security-rule-Policydestination-zone any USG6300-policy-security-rule-Policy profile ips profile_ips_pc Step 3 配置自定义签名 USG6300ips signature-id 1 USG6300-ips-signature-1rule name

9、 rule_1 USG6300-ips-signature-1-rule-rule_1condition 1 field HTTP.URI.Length operate gthan value 0 Step 4 提交配置 USG6300engine configuration commit Step 5 配置接口地址 配置设备 g1/0/0 和 g1/0/1 两块网卡的 IP 地址，作为两个区域业务的网关：USG6600interface GigabitEthernet 1/0/0 USG6600-GigabitEthernet1/0/0ip address 172.10.1.1 24 USG

10、6600interface GigabitEthernet 1/0/1 USG6600-GigabitEthernet1/0/1ip address 172.10.2.1 24 Step 6 配置安全域 将 g1/0/0 加入 trust 安全域作为内网用户使用，g1/0/1 加入 untrust 安全域作为外网服务器使用：USG6600firewall zone trust USG6600-zone-trustadd interface GigabitEthernet 1/0/0 USG6600firewall zone untrust USG6600-zone-untrustadd int

11、erface GigabitEthernet 1/0/1 Step 7 配置服务器 IP 及路由 将 服 务器 的业 务 网卡 IP 配置 为“172.10.2.153/24”，并 添加 一 条到“172.10.1.0/24”的路由：Windows 系统：C:route add 172.10.2.0 mask 255.255.255.0 172.10.1.1 Linux 系统：rootlinux#route add-net 172.10.2.0/24 gw 172.10.1.1 HCIE-Security 反病毒培训上机指导书 14 Step 8 配置客户端 IP 及路由 将客户端的业务网卡

12、IP 设置为“172.10.1.87/24”，并添加一条到“172.10.2.0/24”的路由：Windows 系统：C:route add 172.10.1.0 mask 255.255.255.0 172.10.2.1 Linux 系统：rootlinux#route add-net 172.10.1.0/24 gw 172.10.2.1 实验步骤(Web)Step 1 配置入侵防御配置文件（Profile）和 Profile 下的签名过滤器 新建入侵防御配置文件（名称为 profile_ips_pc，其他可选），并配置过滤器（名称为 filter1），将签名过滤器中的协议配置为 HTTP

13、，动作设置为阻断，如下图所示：HCIE-Security 反病毒培训上机指导书 15 配置 IPS Profile 信息：配置 IPS profile 下的签名过滤器：Step 2 配置安全策略规则（Rule）HCIE-Security 反病毒培训上机指导书 16 新建一条安全策略，并引用刚才配置的入侵防御的配置文件（Profile），如下图所示：Step 3 配置自定义签名 HCIE-Security 反病毒培训上机指导书 17 配置自定义签名基本特征：配置自定义签名规则：Step 4 提交配置编译 HCIE-Security 反病毒培训上机指导书 18 Step 5 配置设备接口地址、安全

14、域 配置 g1/0/0 接口 IP 为“172.10.1.1/24”，并加入 trust 安全域：同上配置方式，将 g1/0/1 接口 IP 为“172.10.2.1/24”，并加入 untrust 安全域。Step 6 配置服务器 IP 及路由 将 服 务器 的业 务 网卡 IP 配置 为“172.10.2.153/24”，并 添加 一 条到“172.10.1.0/24”的路由：Windows 系统：C:route add 172.10.2.0 mask 255.255.255.0 172.10.1.1 Linux 系统：rootlinux#route add-net 172.10.2.0/

15、24 gw 172.10.1.1 HCIE-Security 反病毒培训上机指导书 19 Step 7 配置客户端 IP 及路由 将客户端的业务网卡 IP 设置为“172.10.1.87/24”，并添加一条到“172.10.2.0/24”的路由：Windows 系统：C:route add 172.10.1.0 mask 255.255.255.0 172.10.2.1 Linux 系统：rootlinux#route add-net 172.10.1.0/24 gw 172.10.2.1 验证结果 Step 8 开启 HTTP 服务 在服务器端启动 HTTP 服务（本文以 HFS 软件为例）

16、，设置 HTTP 服务绑定的IP 及端口号（172.10.2.153:8080）。Step 9 访问 HTTP 服务 在客户端通过浏览器访问服务器 HTTP 服务（http:/172.10.2.153:8080）。Step 10 访问服务器结果 检测到威胁，流量被阻断，无法访问 HTTP 服务器。HCIE-Security 反病毒培训上机指导书 20 Step 11 日志信息 在设备的监控日志中可以查询到入侵防御威胁日志信息，如下图所示：3 URLURL 过滤技术过滤技术实验实验 3.1 URL过滤技术过滤技术实验实验 实验目的 通过本实例实验，你将了解 URL 过滤技术的工作原理及详细配置。

17、本实验的目标是为了控制用户对 WEB 应用的访问。组网设备 资源资源 描述描述 数量数量 PC 模拟用户 2 USG设备 1个管理口，1个串口，4个GE以太口 1 HCIE-Security 反病毒培训上机指导书 21 交换机 组网用 2 Web服务器 模拟网络中web服务器，可用PC替代 1 安全服务中心服务器 已配置好，模拟升级中心服务器 1 WFE服务器 已配置好，模拟URL远程查询服务器 1 实验拓扑图 用户B用户AGE1/0/110.1.1.1/24GE1/0/21.1.1.1/241.1.1.200/24TrustUntrustNGFWWeb服务器安全服务中心WFE服务器SW1SW

18、210.1.1.100/2410.1.1.101/241.1.1.202/241.1.1.201/24 实验步骤(命令行)Step 1 配置基本属性参数 a配置用户 A 和用户 B 的 PC 用户 A 的 PC 配置：IP 地址为 10.1.1.100，子网掩码为 255.255.255.0，默认网关为 10.1.1.1。用户 B 的 PC 配置：IP 地址为 10.1.1.101，子网掩码为 255.255.255.0，默认网关为 10.1.1.1。b配置防火墙网络参数 配置 GiagbitEthernet 1/0/1 和 GiagbitEthernet 1/0/2 接口 IP 地址 USG

19、interface GigabitEthernet 1/0/1 USG-GigabitEthernet1/0/1ip address 10.1.1.1 24 USGinterface GigabitEthernet 1/0/2 USG-GigabitEthernet1/0/1ip address 1.1.1.1 24 接口加入安全域 USGfirewall zone trust USG-zone-trustadd interface GigabitEthernet 1/0/1 HCIE-Security 反病毒培训上机指导书 22 USGfirewall zone untrust USG-zo

20、ne-untrustadd interface GigabitEthernet 1/0/2 配置时间段 USGtime-range time_range USG-time-range-time_rangeperiod-range 09:00:00 to 17:00:00 daily cWEB 服务器配置 1）IP 地址设置为 1.1.1.200，子网掩码 255.255.255.0，默认网关为 1.1.1.1。2）在 WEB 服务器上安全 HFS 服务器软件，软件运行界面如下：Step 2 配置 URL 相关参数 配置 URL 相关信息 配置自定义分类 url_userdefined_cat1

21、 USGurl-filter category user-defined name url_userdefined_cat1 20:42:31 2014/08/04 USG-category-user-defined-url_userdefined_cat1add url *配置 URL 过滤 profile_url_2 USGprofile type url-filter name profile_url_2 USG-profile-url-filter-profile_url_2add whitelist url *education*USG-profile-url-filter-prof

22、ile_url_2add whitelist url*bbs*USG-profile-url-filter-profile_url_2category pre-defined action block USG-profile-url-filter-profile_url_2category pre-defined category-id 5 action allow HCIE-Security 反病毒培训上机指导书 23 USG-profile-url-filter-profile_url_2category pre-defined category-id 15 action allow US

23、G-profile-url-filter-profile_url_2category pre-defined category-id 17 action allow USG-profile-url-filter-profile_url_2category user-defined action block USG-profile-url-filter-profile_url_2category user-defined name url_userdefined_cat1 action allow Step 3 配置安全策略 配置安全策略 配置安全策略 sec_rule_2 USGsecurit

24、y-policy USG-policy-securityrule name sec_rule_2 USG-policy-security-rule-sec_rule_1profile url-filter profile_url_2 USG-policy-security-rule-sec_rule_1source-zone trust USG-policy-security-rule-sec_rule_1destination-zone untrust USG-policy-security-rule-sec_rule_1time-range time_range USG-policy-se

25、curity-rule-sec_rule_1action permit Step 4 配置提交和执行访问操作 a.执行配置提交动作 USGengine configuration commit b.用户 A 的 PC 上访问 Web 服务器 1）修改本地 hosts 文件，设置域名和 IP 地址 1.1.1.100 对应关系。Hosts 文件位于“C:WINDOWSsystem32driversetc”目录下。2）在浏览器地址栏中输入 Web 服务器 IP 地址对应的域名，访问 web 服务器。HCIE-Security 反病毒培训上机指导书 24 实验步骤(Web)Step 5 配置基本属性

26、参数 3)配置用户 A 和用户 B 的 PC 及 Web 服务器 按照网络拓扑配置用户 A,用户 B 的 PC 及 Web 服务器的 IP 地址 用户 A 的 PC 配置：IP 地址为 10.1.1.100，子网掩码为 255.255.255.0，默认网关为 10.1.1.1。用户 B 的 PC 配置：IP 地址为 10.1.1.101，子网掩码为 255.255.255.0，默认网关为 10.1.1.1。WEB 服务器配置：IP 地址为 1.1.1.200，子网掩码 255.255.255.0，默认网关为 1.1.1.1。4)配置防火墙基本参数 a 配置时间段 选择“对象”-“时间段”-“新

27、建”，创建时间段。HCIE-Security 反病毒培训上机指导书 25 b 配置接口 选择“网络”-“接口”，单击 GE1/0/1 设置接口 GE1/0/1 参数 选择“网络”-“接口”，单击 GE1/0/2 设置接口 GE1/0/2 参数 HCIE-Security 反病毒培训上机指导书 26 5)WEB 服务器配置 aIP 地址设置为 1.1.1.200，子网掩码 255.255.255.0，默认网关为 1.1.1.1。b在 WEB 服务器上安全 HFS 服务器软件，软件运行界面如下：Step 6 配置 URL 相关参数 1)配置 URL 自定义分类 选择“对象”-“URL 分类”-“新

28、建”，创建 URL 分类 url_userdefine_cat1 HCIE-Security 反病毒培训上机指导书 27 2)配置 URL 过滤 profile a.配置 profile_url_2 选择“对象”-“安全配置文件”-“URL 过滤”-“新建”，创建URL 过滤配置文件 profile_url_2。设置 profile_url_2 下预定义分类动作：HCIE-Security 反病毒培训上机指导书 28 Step 7 配置安全策略 1)配置安全策略 sec_rule_2 选择“策略”-“安全策略”-“新建”，创建安全策略 sec_rule_2。Step 8 配置提交和执行访问操作

29、 1)配置提交 2)执行访问操作 HCIE-Security 反病毒培训上机指导书 29 1）修改本地 hosts 文件，设置域名和 IP 地址 1.1.1.100 对应关系。Hosts文件位于“C:WINDOWSsystem32driversetc”目录下。2）在浏览器地址栏中输入 Web 服务器 IP 地址对应的域名，访问 web 服务器。验证结果 在“监控”-“日志”-“URL 日志”，查看 URL 日志列表中是否有 URL 过滤日志，域间信息，用户和时间信息是否正确。HCIE-Security 反病毒培训上机指导书 30 4 内容过滤内容过滤实验实验 4.1 内容过滤内容过滤实验实验

30、实验目的 通过本实验，您将了解内容过滤的工作原理及详细配置。组网设备 NGFW 防火墙一台，PC 机两台。实验拓扑图 客户端FTP服务器172.10.2.2/24G0/0/2172.10.2.1/24G0/0/1172.10.1.1/24172.10.1.2/24实验步骤 Step 1 配置测试环境 1)准备测试样本。创建一个 word 类型文档。命名为 test.docx，文档内容为“功能测试”，保存文档。2)Server PC 运行 FTP 服务器软件（Filezilla Server），配置 FTP 服务器用户名，共享目录（勾选允许“写入”，“删除”和“追加”）。启动 FTP服务器。HC

31、IE-Security 反病毒培训上机指导书 31 HCIE-Security 反病毒培训上机指导书 32 3)在 Client PC 安装 FTP 客户端软件（Filezilla Client）。4)防火墙正常启动，防火墙和 PC 按照实验拓扑图进行接口和 IP 地址配置。a)防火墙接口配置 G0/0/1：172.10.1.1/24，加入 trust 域 G0/0/2：172.10.2.1/24，加入 untrust 域 b)客户端接口配置 IP：172.10.1.2/24 Route：route add 172.10.2.0 mask 255.255.255.0 172.10.1.1 c)

32、服务器接口配置 IP：172.10.2.2/24 Route：route add 172.10.1.0 mask 255.255.255.0 172.10.2.1 5)使用 Client PC 的 FTP 客户端连接 Server PC 运行 FTP 服务器 Step 2 配置文件过滤 profile 1)配置关键字组：在 Web 的“对象-认证服务器-关键字组”页面下创建一个新的关键字组“test_keywordgroup”，在这个关键字组中添加一个自定义关键字“test_keyword”并配置关键字内容为“功能测试”。点击“确定”，查看配置好的关键字组，如下图所示：HCIE-Securit

33、y 反病毒培训上机指导书 33 2)配置内容过滤的 profile：在 web 的“对象-安全配置文件-内容过滤”页面创建一个内容过滤 profile，并引用刚才配置关键字组。注意动作为告警。点击“确定”，查看配置好的 profile：3)切换界面到 web 的“策略-安全策略”页面，创建一个安全策略“sec_rule”，设置动作为“允许”，并在内容过滤的下拉菜单中选择刚才配置的文件过滤 profile“test_profile”。HCIE-Security 反病毒培训上机指导书 34 4)点击界面右上角的“提交”，并确认。5)等待右上角提交按钮旁显示“提交成功”。说明配置成功：HCIE-Se

34、curity 反病毒培训上机指导书 35 Step 3 文件上传测试 通过 FTP 客户端上传 test.docx 文件到 FTP 服务器：文件传输成功。验证结果 在“监控-日志-内容日志”中查看是否有告警日志。关注文件名称，应用协议，安全策略和配置文件是否与配置一致。HCIE-Security 反病毒培训上机指导书 36 5 文件过滤文件过滤实验实验 5.1 文件过滤文件过滤实验实验 实验目的 通过本实验，您将了解文件过滤的工作原理及详细配置。组网设备 NGFW 防火墙一台，PC 机两台。实验拓扑图 客户端FTP服务器172.10.2.2/24G0/0/2172.10.2.1/24G0/0/

35、1172.10.1.1/24172.10.1.2/24实验步骤 Step 1 配置测试环境 1)准备测试样本。创建一个 word 类型文档。命名为 test.docx，文档内容为“功能测试”，保存文档。2)Server PC 运行 FTP 服务器软件（Filezilla Server），配置 FTP 服务器用户名，共享目录（勾选允许“写入”，“删除”和“追加”）。启动 FTP服务器。HCIE-Security 反病毒培训上机指导书 37 3)在 Client PC 安装 FTP 客户端软件（Filezilla Client）。4)防火墙正常启动，防火墙和 PC 按照实验拓扑图进行接口和 IP

36、地址配置。a)防火墙接口配置 G0/0/1：172.10.1.1/24，加入 trust 域 G0/0/2：172.10.2.1/24，加入 untrust 域 b)客户端接口配置 IP：172.10.1.2/24 Route：route add 172.10.2.0 mask 255.255.255.0 172.10.1.1 c)服务器接口配置 IP：172.10.2.2/24 Route：route add 172.10.1.0 mask 255.255.255.0 172.10.2.1 5)使用 Client PC 的 FTP 客户端连接 Server PC 运行 FTP 服务器 HCI

37、E-Security 反病毒培训上机指导书 38 Step 2 配置文件过滤 profile 1)文件类型过滤的配置界面在 web 的“对象-安全配置文件-文件过滤”面板，选择“新建”，创建一个新的文件过滤 profile：2)在 profile 下新建一个 rule，配置应用为“FTP”、文件类型为“DOCX”、方向为“下载”、动作为“阻断”。3)切换界面到 web 的“策略-安全策略”页面，创建一个安全策略“sec_rule”，设置动作为“允许”，并在文件过滤的下拉菜单中选择刚才配置的文件过滤 profile“test_profile”。HCIE-Security 反病毒培训上机指导书 3

38、9 4)点击界面右上角的“提交”，并确认。5)等待右上角提交按钮旁显示“提交成功”。说明配置成功：Step 3 文件上传测试 1)通过 FTP 客户端上传 test.docx 文件到 FTP 服务器：可以传送成功。HCIE-Security 反病毒培训上机指导书 40 2)通过 FTP 客户端下载 test.docx 文件到 FTP 服务器：下载失败，下载被阻断，产生日志。验证结果 在“监控-日志-内容日志”中查看是否有阻断日志。关注文件名称，应用协议，安全策略和配置文件是否与配置一致。HCIE-Security 反病毒培训上机指导书 41 HCIE-Security 邮件过滤培训上机指邮件过

39、滤培训上机指导书导书（学员用书）（学员用书）ISSUE 2.00 HCIE-Security 反病毒培训上机指导书 42 目 录 1 UTM 邮件过滤实验.43 1.1 邮件过滤技术实验.43 HCIE-Security 反病毒培训上机指导书 43 6 UTMUTM 邮件过滤邮件过滤实验实验 6.1 邮件过滤技术邮件过滤技术实验实验 实验目的 通过本实验，你将了解 NGFW 系列产品邮件过滤技术的工作原理及详细配置。组网设备 USG6000 系列防火墙一台，PC 机两台。实验拓扑图 图 1 RBL 邮件过滤应用场景举例 HCIE-Security 反病毒培训上机指导书 44 图 2 邮件过滤应

40、用场景举例 实验步骤(命令行)Step 1 配置 RBL 黑白名单 配置 RBL 功能开启，RBL 黑名单为 1.1.1.1，白名单为 2.2.2.2，然后在域间安全策略引用 RBL 的安全配置文件#rbl-filter enable rbl-filter blacklist ip 1.1.1.1 rbl-filter whitelist ip 2.2.2.2#profile type mail-filter name rbl rbl-filter enable#security-policy default action permit rule name mailfilter profile

41、 mail-filter rbl action permit 执行上述配置的命令行的视图，请参考产品手册。Step 2 配置 RBL 远程查询#rbl-filter profile user-defined name profile_rbl_server query description untrust 域到 DMZ 域的邮件策略 reply-code any description profile_rbl_server#HCIE-Security 反病毒培训上机指导书 45 profile type mail-filter name rbl rbl-filter enable#rbl-fi

42、lter enable rbl-filter dns-server 30.10.10.10 rbl-filter profile user-defined name profile_rbl_server enable#security-policy default action permit rule name mailfilter profile mail-filter rbl action permit Step 3 配置邮件过滤 配置匿名邮件过滤，发送和接收邮件的邮件地址组，附件大小或附件个数#mail-address-group name mail_addr description m

43、ail address group pattern prefix #profile type mail-filter name mf send-mail anonymity action block send-mail attachment max-size 1024 action alert send-mail attachment max-amount 9 action alert send-mail sender group name mail_addr send-mail receiver group name mail_addr recv-mail anonymity action

44、block recv-mail attachment max-size 1024 action alert recv-mail attachment max-amount 8 action alert recv-mail sender group name mail_addr recv-mail receiver group name mail_addr#security-policy default action permit rule name mailfilter profile mail-filter mf action permit 实验步骤(Web)Step 4 配置 RBL 邮件

45、过滤 1)选择“对象 安全配置文件 邮件过滤”。2)选择进入“垃圾邮件过滤”页签。HCIE-Security 反病毒培训上机指导书 46 3)选中“垃圾邮件过滤功能”对应的“启用”复选框。4)【配置本地黑名单/白名单】配置黑名单和白名单。可以同时配置黑名单和白名单，也可以只配置其中的一项。d)在“白名单”文本框中输入要加入白名单 SMTP Server 的 IP 地址和掩码，可以输入多个 IP 地址，一个 IP 地址一行。e)在“黑名单”文本框中输入要加入黑名单 SMTP Server 的 IP 地址和掩码，可以输入多个 IP 地址，一个 IP 地址一行。注明：这里的 IP 地址即为 SMTP

46、 源 IP 地址。5)单击“应用”。6)选择“策略 安全策略 新建安全策略”7)客户端发送一封邮件到服务器，设备打印命中白名单的日志，并告警。Step 5 配置 RBL 过滤的远程查询 1)在“垃圾邮件配置文件”区域框中，单击“新建”。2)配置 RBL 服务器的各项参数。HCIE-Security 反病毒培训上机指导书 47 服务器查询集合：RBL 服务域名，用来定位 RBL 服务器。查询集合由 RBL 服务提供商提供。一个策略只能配置一个查询集合。例如：rbl.anti-。动作：邮件匹配策略后设备采取的动作。阻断：阻断邮件传输。告警：不阻断邮件传输，但是会发送告警信息。应答码：垃圾邮件防范是

47、通过检查邮件发送方源 IP 合法性来实现的，如果源 IP 命中黑名单，NGFW 将会认为这是一封垃圾邮件。当 NGFW 使用 RBL 黑名单进行源IP 地址检查时，会向远程 RBL 服务器发送查询请求，并根据 RBL 服务器反馈的应答码来判断邮件的合法性。应答码通常是一个 IP 地址，仅仅标识查询结果，并不具有实际意义，可以是一个保留 IP 段的地址，如 127.0.0.1、127.0.0.2 等。要使用 RBL 黑名单，需要事先从 RBL 服务提供商获取应答码，并在 NGFW 上完成应答码的配置。3)单击“确定”。HCIE-Security 反病毒培训上机指导书 48 4)选择“策略 安全策

48、略 新建安全策略”，在邮件过滤里引用邮件过滤的配置文件名称。5)客户端发送一封邮件到服务器，设备打印命中远程 RBL 黑名单的日志，并阻断了该邮件的发送。Step 6 配置邮件过滤 1)配置匿名邮件检测 选择“对象 安全配置文件 邮件过滤”。单击“邮件内容过滤”。单击“新建”。配置邮件过滤策略的名称和描述。配置发送方向匿名邮件检测。在“发送匿名邮件”中选择过滤动作。配置接收方向匿名邮件检测。在“接收匿名邮件”中选择过滤动作。单击“确定”，保存邮件内容过滤配置文件。HCIE-Security 反病毒培训上机指导书 49 2)配置邮箱地址检查 选择“对象 安全配置文件 邮件过滤”。单击“邮件内容过

49、滤”。单击“新建”。配置邮件内容过滤配置文件的名称和描述。配置发送方向邮箱地址检查。单击“发送邮件”中发件人地址、收件人地址对应的编辑图标。选择处理动作。允许或阻断。选择邮件地址组，配置使用哪些邮箱地址作为地址检查的匹配条件 配置接收方向邮箱地址检查也类似配置。单击“确定”。HCIE-Security 反病毒培训上机指导书 50 配置说明如下：当邮件地址组中有多个邮件地址时，被检查的邮件只要匹配其中的一个地址，就匹配此邮件地址组。可以引用已经创建的邮件地址组。也可以新建邮件地址组。3)配置邮件附件控制 配置说明如下：选择“对象 安全配置文件 邮件过滤”。单击“邮件内容过滤”。单击“新建”。配置

50、邮件内容过滤配置文件的名称和描述。配置附件大小及个数控制。HCIE-Security 反病毒培训上机指导书 51 单击“附件大小及个数控制”。选择“发送附件个数上限”、“接收附件个数上限”、“发送附件大小限制”或“接收附件大小限制”，输入数值。在“处 理 动 作”中 选 择 处 理 动 作。告 警：放 行 邮 件，但是会发送告警信息。阻断：阻断邮件。单击“确定”。4)配置安全策略 配置说明如下：选择“策略 安全策略 安全策略”。单击“新建”。配置安全策略规则的名称和描述。配置邮件过滤引用。单击“确定”。5)客户端发送一封邮件到服务器，设备打印对应的邮件过滤日志，并按照配置的动作进行相应地阻断或