進階威脅防護引擎設定

在威脅預防 >威脅防護引擎設定頁面，您可以為防病毒、防殭屍、威脅模擬安全閘道上的 Check Point 軟體blade監控沙箱中文件的行為以確定它們是否是惡意的。Acronym：TE。和 IPS 引擎設定進階設定設定。

注意 - 下面的許多設定都是進階的，只能由有經驗的管理者使用。

IPS

為新下載的保護設定設定：

啟用
偵測
未啟用

要在設備負載較重時將 IPS 引擎設定為繞過模式：

選中 Bypass under load 複選框以啟用該功能。
單擊設定以選擇 IPS 引擎在繞過和檢查模式之間切換所依據的閾值。按照打開的視窗中的說明進行操作，然後單擊“ 套用”。

閾值是為 CPU 使用率和內存使用率設定的。始終存在高水位線和低水位線。當超過高水位線時發生繞過，當負載降至低水位線以下時 IPS 引擎繼續檢查。這樣，在負載下時，IPS 引擎就不會過於頻繁地在模式之間切換。
在繞過負載追蹤中，要為此功能設定追蹤選項，請選擇要發布的日誌類型。

要啟用僅偵測模式：

選中複選框。

要導入 IPS 保護：

單擊連結。

反病毒

防病毒掃描傳入文件中的病毒。

郵件設定包括：

SMTP - 簡單郵件傳輸協議是一種用於電子郵件傳輸的通信協議。
POP3 - 使用 POP3 協議發送和接收帶 TLS 加密的電子郵件。
IMAP - 電子郵件客戶端用於通過 TCP/IP 連線從郵件服務器檢索電子郵件的 Internet 標準協議。它允許您從任何設備訪問 UserCheck 規則動作可封鎖流量和檔案，並顯示 UserCheck 訊息。使用者可以同意允許該活動。您的電子郵件。

要啟用 POP3S 或 IMAP 掃描：

關於威脅預防 >引擎設定頁面，在反病毒掃描協議下，選中郵件（SMTP、POP3 和 IMAP）複選框。
關於存取政策>SSL Inspection Policy 頁面，選中複選框以啟用 SSL 流量檢查。
在要檢查的協議下，選擇 POP3S 或 IMAP。
點擊套用.

設定反病毒設定：

選擇受保護範圍選項之一：

掃描來自的傳入文件 - 選擇要從中掃描傳入文件的這些介面之一：

外部和 DMZ- 檢查來自外部和 DMZ 介面的文件。

注意 - 1530 / 1550 設備不支援 DMZ。

外部 - 檢查來源自外部介面的文件。
全部 - 檢查在所有介面之間傳輸的文件。

掃描傳入和傳出文件 - 檢查來自組織外部和組織內部到 Internet 的文件。

選擇要掃描所選範圍的協議：
- HTTP（在任何連接埠上）
- 郵件（SMTP、POP3 和 IMAP
- FTP- 預設禁用。
  
  啟用 FTP：
  1. 在 WebUI 中到主頁>安全儀表板並打開防病毒軟體blade。
  2. 連線到指令行並運行此指令：
    
    set threat-prevention anti-virus policy protocol-ftp true
  3. 安裝政策。
您必須啟用 SSL 流量檢查才能掃描 HTTP 和 IMAP 加密流量。要啟用，請單擊連結或到存取政策>SSL 檢查政策。
選擇文件類型政策選項之一：
- 處理已知包含惡意軟體的文件類型
- 處理所有文件類型
- 處理特定文件類型系列 - 單擊設定以獲取文件類型列表，並設定規定的操作以在這些文件通過反病毒安全閘道上的 Check Point 軟體blade使用來自 ThreatCloud 的實時病毒簽名和基於異常的保護，在使用者受到影響之前偵測並阻止安全閘道中的惡意軟體。Acronym：AV.引擎時發生。要編輯指定文件類型的操作，請右鍵單擊該行並單擊編輯。
  
  可用的操作是：
  - 掃描 - 防病毒引擎掃描此類文件。
  - 阻止 - 反病毒引擎不允許這種類型的文件通過它。
  - 通過 - 反病毒引擎不檢查此類文件並讓它們通過。
    
    您不能刪除系統定義的文件類型。系統定義的文件類型由無法編輯的內置簽名識別。手動定義的文件類型由其附檔名識別，並通過 Web 和郵件協議得到支援。
您可以設定政策覆蓋以覆蓋威脅防護blade控制頁面上定義的一般政策設定。對於以下每個保護類型選項，您可以設定適用的覆蓋操作：詢問、預防、偵測 UserCheck 規則動作，允許流量和檔案進入內部網路並記錄它們。、不活動或根據政策（無覆蓋）。查看威脅預防 >威脅防護blade控制頁面，了解操作類型的說明。
- 帶有惡意軟體的 URL- 與用於惡意軟體分發和惡意軟體感染服務器的 URL 相關的保護。
- 病毒 - 通過根據 Check Point ThreatCloud 資料庫檢查每個文件，實時保護免受最新的惡意軟體和病毒的侵害。

要啟用僅偵測模式：

選中複選框。

Anti-Bot

您可以設定政策覆蓋以覆蓋威脅防護blade控制頁面上定義的一般政策設定。對於以下每個保護類型選項，您可以設定適用的覆蓋操作：詢問、預防、偵測、不活動或根據政策（無覆蓋）。查看威脅預防 >威脅防護blade控制頁面，了解操作類型的說明。

惡意活動 - 與殭屍網路和惡意軟體的獨特通信模式相關的保護。
信譽網域 – 指令相關的保護 & 控制（C&C) 服務器。每個主機都根據 Check Point ThreatCloud 信譽資料庫進行檢查。
信譽 IP- 與指令相關的保護 & 控制（C&C) 服務器。每個 IP 都根據 Check Point ThreatCloud 信譽資料庫進行檢查。
信譽 URL- 與指令相關的保護 & 控制（C&C) 服務器。每個 URL 都根據 Check Point ThreatCloud 信譽資料庫進行檢查。
異常活動 - 與殭屍網路和惡意軟體活動常見的行為模式相關的保護。

要啟用僅偵測模式：

選中複選框。

威脅模擬

設定威脅模擬設定：

選擇受保護範圍選項之一：

掃描來自的傳入文件 - 選擇要從中掃描傳入文件的這些介面之一：

外部和 DMZ- 檢查來自外部和 DMZ 介面的文件。

注意 - 1530 / 1550 設備不支援 DMZ。

外部 - 檢查來源自外部介面的文件。

全部 - 檢查在所有介面之間傳輸的文件。

注意 - 不支援 LAN 到 LAN 掃描。

掃描傳入和傳出文件 - 檢查來自組織外部和組織內部到 Internet 的文件。

選擇要掃描所選範圍的協議：
- HTTP（在任何連接埠上）
- 郵件（SMTP、POP3 和 IMAP。
  
  您必須啟用 SSL 流量檢查才能掃描 HTTP 和 IMAP 加密流量。要啟用，請單擊連結或到存取政策>SSL 檢查政策。
對於文件類型政策：

處理特定文件類型系列 - 單擊設定以獲取文件類型列表，並設定規定的操作以在這些文件通過威脅模擬引擎時發生。

要編輯指定文件類型的操作，請右鍵單擊該行並單擊編輯。您也可以單擊文件類型以選中它，然後單擊編輯.

可用的操作是：
- 檢查 - 威脅模擬引擎檢查這種類型的文件。
- 繞過 - 威脅模擬引擎不檢查此類文件並讓它們通過。
  
  您不能刪除系統定義的文件類型。系統定義的文件類型由無法編輯的內置簽名識別。
選擇 HTTP 連線模擬處理模式：
- 背景 - 在模擬完成之前允許連線。
- 保持 - 連線被阻止，直到模擬完成。

在威脅模擬中，每個文件都在 Check Point Public ThreatCloud 中運行，以查看該文件是否是惡意的。判決被返回到閘道。

您可以在“ 進階設定” 頁面中將模擬器位置更改為本地私有 SandBlast 設備。

您必須首先啟用威脅模擬blade，然後將其設定為遠端模擬。

要啟用遠端私有雲威脅模擬模擬器：

到設備>進階設定。
搜索威脅防護威脅模擬政策 - 模擬位置。
選擇 Emulation is done on remote (private) SandBlast。
新增或更新模擬器 IP 地址。
點擊套用.

要禁用 Remote Private Cloud Threat Emulation 模擬器：

到設備>進階設定。
搜索威脅防護威脅模擬政策 - 模擬位置。
選擇 Emulation is done on Public ThreatCloud。
點擊套用.

要設定多個遠端模擬器，您必須使用 CLI 指令。

有關威脅模擬的詳細訊息，請參閱 Threat Emulation video 在 Small Business Security video channel.

要啟用僅偵測模式：

選中複選框。

使用者訊息

您可以為詢問使用者的操作設定的保護類型自定義訊息。當流量匹配設定為“詢問”的保護類型時，使用者的網際網路瀏覽器會在新視窗中顯示訊息。

這些是詢問選項及其相關通知：

選項	防病毒通知	反殭屍通知
問	向使用者顯示一條訊息，詢問他們是否要繼續訪問網站或下載被分類為惡意的文件。	向使用者顯示一條訊息並通知他們他們的裝置正在嘗試訪問惡意服務器。
封鎖	向使用者顯示訊息並阻止訪問站點。	Anti-Bot 安全閘道上的 Check Point 軟體blade可阻止殭屍網路行為以及與指令和控制 (C&C) 中心的通信。縮寫：AB，ABOT。阻止後台程序。如果從瀏覽器到惡意服務器的指定操作被阻止，則會向使用者顯示一條訊息。

要自定義訊息：

單擊自定義 Anti-Virus 使用者訊息或自定義 Anti-Bot 使用者訊息。
在每個選項卡中設定選項：
- 問
- 封鎖
設定通知的適用區域：
- 標題 - 保留預設值或輸入不同的標題。
- 主題 - 保留預設值或輸入不同的主題。
- 內文 - 保留預設值或輸入不同的內文。您可以單擊可選關鍵字以獲取可新增到內文中的關鍵字列表，以便為使用者提供更多訊息。
- 忽略文本（僅適用於詢問）- 如果使用者決定忽略該訊息，則這是顯示在複選框旁邊的文本。保留預設文本或輸入不同的文本。
- 使用者必須輸入原因（僅適用於詢問）- 如果使用者必須為其活動輸入解釋，請選中此複選框。使用者訊息包含用於輸入原因的文字方塊。
- 倒退操作（僅適用於詢問）- 當通知無法在導致通知的瀏覽器或應用程式中顯示時選擇替代操作（阻止或接受），尤其是在非 Web應用程序中。
  - 如果倒退操作是接受 - 使用者可以訪問網站或應用程序。
  - 如果倒退操作是阻止 - 網站或應用程序被阻止，使用者看不到通知。
- 頻率 - 您可以設定顯示防病毒、防殭屍或威脅模擬詢問使用者訊息的次數。
  - 一天一次
  - 一個星期一次
  - 每月一次
- 將使用者重指向到一個 URL（僅用於塊）-
  
  您可以將使用者重指向到外部門戶，而不是閘道。在 URL 區域中，輸入外部門戶的 URL。指定的 URL 可以是外部系統。它從使用者那裡獲取身份驗證憑據，例如使用者名或密碼。它將此訊息發送到閘道。
單擊自定義選項卡可為設備顯示的所有門戶自定義標籤（使用者識別 Check Point 軟體blade，旨在將使用者與 IP 地址相關聯，以進行日誌記錄和控制目的。使用的熱點透過連線至網際網路服務供應商之連結的路由器，提供可存取網際網路的無線區域網路網路的區域網路。和強制門戶）。單擊上傳，瀏覽到標籤文件並單擊套用。如有必要，您可以通過單擊使用預設值恢復為預設標籤。
點擊套用.