通过升级外部恶意URL特征库,FW可以及时识别并阻断最新的恶意URL,防止用户遭受新型攻击。
背景信息
外部恶意URL特征库仅支持在线升级。在线升级又分为两种方式:
定时升级
定期连接外部升级服务器检查是否存在新的外部恶意URL特征库版本。如果存在新版本的外部恶意URL特征库,FW会根据设定的时间自动下载并更新本地的外部恶意URL特征库。
立即升级
当用户发现网络上出现新的外部恶意URL特征库,而FW定时更新时间还没达到,或FW未启用定时更新,此时可以选择立即升级。
立即升级使用的下载地址就是定时升级的下载地址,升级流程也与定时升级完全相同,区别在于立即升级不受时间限制,可以在任何时刻执行立即升级动作。
操作步骤
在内部网络边界处部署了FW作为安全网关,FW可以直接通过互联网与外部升级服务器进行通信,通过配置在线升级,实现外部恶意URL特征库的自动下载和更新。
图1 在线升级组网图
升级外部恶意URL特征库前,外部官方网站需要先准备恶意URL列表文件,并完成部署外部升级服务器。
为了保证外部恶意URL列表成功加载到FW缓存中,FW对外部官方网站发布的恶意URL列表的格式有一定的要求,具体如下:
恶意URL列表文件的格式目前只能是TXT格式。
恶意URL列表文件的大小要求不能超过15MB。
恶意URL列表中可以输入URL或者IP地址。
一行只能输入一条URL或者一个IP地址,且URL或者IP地址的长度要求不能超过1279个字符。
例如,TXT格式的恶意URL列表文件示意图如图2所示:
图2 TXT格式的恶意URL列表文件示意图
外部升级服务器的协议要求只能是HTTPS。
FW在加载外部恶意URL列表文件时会做归一化处理。
配置接口IP地址和安全区域,完成网络基本参数配置。
<FW> system-view
[FW] interface GigabitEthernet 0/0/1
[FW-GigabitEthernet0/0/1] ip address 1.1.1.1 24
[FW-GigabitEthernet0/0/1] quit
[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet 0/0/1
[FW-zone-untrust] quit
配置FW与外部升级服务器的连接参数,包括外部升级服务器的URI和CA证书。
[FW] update ext-server ext-url-sdb uri https://www.example.com/url-list.txt ca-certificate ext.cer
FW与外部升级服务器连接仅支持使用HTTPS协议,默认端口号为443。如果服务器端口号不是443,配置的URI中需要带上具体的端口号。在上述配置的URI中,www.example.com为外部升级服务器的域名,也可以是IP地址,/url-list.txt为外部动态恶意URL文件的路径。
CA证书用于校验外部升级服务器,CA证书可以从外部升级服务器中获取,获取到的CA证书需要先导入到FW后,才能被引用。CA证书的具体导入方法请参见SSL加密流量检测章节。
FW与外部升级服务器连接仅支持导入PEM格式的CA证书。
正在被引用的CA证书不能修改或者删除。通过undo update ext-server ext-url-sdb命令删除配置后,CA证书被解除引用,此时CA证书才可以修改或者删除。
配置DNS服务器,确保FW可以正确解析外部升级服务器的域名。如果配置的外部升级服务器为域名形式,则必须配置DNS服务器。
[FW] dns resolve
[FW] dns server 2.2.2.2
可选:指定在线升级请求报文的源IP地址。具体配置过程请参见指定在线升级请求报文的源IP地址。
配置安全策略,允许FW访问外部升级服务器和DNS服务器。
# 配置安全策略,允许FW访问外部升级服务器。
[FW] security-policy
[FW-policy-security] rule name policy_update_sever
[FW-policy-security-rule-policy_update_sever] source-zone local
[FW-policy-security-rule-policy_update_sever] destination-zone untrust
[FW-policy-security-rule-policy_update_sever] service https
[FW-policy-security-rule-policy_update_sever] action permit
[FW-policy-security-rule-policy_update_sever] quit
[FW-policy-security] quit
# 配置安全策略,允许FW访问DNS服务器。
[FW] security-policy
[FW-policy-security] rule name policy_dns_server
[FW-policy-security-rule-policy_dns_server] source-zone local
[FW-policy-security-rule-policy_dns_server] destination-address 2.2.2.2 32
[FW-policy-security-rule-policy_dns_server] service dns
[FW-policy-security-rule-policy_dns_server] action permit
[FW-policy-security-rule-policy_dns_server] quit
[FW-policy-security] quit
配置定时升级或立即升级。
定时升级
[FW] update schedule ext-url-sdb enable //开启外部恶意URL特征库定时升级功能
[FW] update schedule ext-url-sdb daily 8:00 //配置外部恶意URL特征库定时升级的时间
请根据网络的实际情况选择定时升级的时间,避免与实际业务抢占网络资源。如果未配置定时升级时间,则FW缺省在22:00~07:59之间随机选择一个时间作为每天进行定时升级的时间。
立即升级
[FW] update online ext-url-sdb
支付宝微信扫一扫,打赏作者吧~本文链接:https://kinber.cn/post/6151.html 转载需授权!
推荐本站淘宝优惠价购买喜欢的宝贝:
您阅读本篇文章共花了: 