高级威胁防御引擎设置

在威胁防护 >威胁防护引擎设置页面中,你可以配置防病毒关闭 安全网关上的Check Point软件刀片使用ThreatCloud的实时病毒签名和基于异常的保护,在用户受到影响之前检测并阻止安全网关上的恶意软件。缩写:AV。、防机器人、Threat Emulation和IPS引擎的高级配置设置。

注意- 下方许多配置都为高级配置,应仅由经验丰富的管理员使用。

IPS

为新下载的保护措施配置设置:

  • 活动

  • 检测

  • 不活动

要启用仅检测模式:

选择此选项复选框。

要导入 IPS 防护:

点击链接。

防病毒

Anti-Virus 对进入的文件进行病毒扫描。

邮件设置包括:

  • SMTP - 简单邮件传输协议是一种用于电子邮件传输的通信协议。

  • POP3 - 使用 POP3 协议来发送和接收带有 TLS 加密的电子邮件。

  • IMAP - 互联网标准协议,由电子邮件客户端使用,通过 TCP/IP 连接从邮件服务器检索电子邮件信息。它允许您从任何设备上访问您的电子邮件。

要启用POP3S或IMAP扫描:

  1. 在威胁防护 >引擎设置页面的防病毒扫描协议下,选中邮件(SMTP、POP3 和 IMAP)复选框。

  2. 访问策略> SSL 检查策略页面上,选中复选框以启用 SSL 流量检查

  3. 在“要检查的协议”下,选择 “POP3S” 或 “IMAP”。

  4. 点击“应用

要配置防病毒设置:

  1. 选择其中一个受保护的范围选项:

    • 扫描传入的文件- 选择这些接口之一来扫描传入的文件:

      • 外部和 DMZ - 检查来自外部和 DMZ 接口的文件。

        注意- 1530 / 1550设备不支持DMZ。

      • 外部 - 检查来自外部接口的文件。

      • 全部- 检查所有接口之间传输的文件。

    • 扫描传入和传出的文件- 对从组织外和组织内接口传入到互联网的文件进行检查。

  2. 选择要对所选范围进行扫描的协议:

    • HTTP(在任何端口)

    • 邮件(SMTPPOP3IMAP

    • FTP- 默认情况下是禁用的。

      要激活 FTP:

      1. 在WebUI中,转到主页>安全面板并打开防病毒软件刀片。

      2. 连接到命令行并运行这个命令:

        set threat-prevention anti-virus policy protocol-ftp true

      3. 安装策略。

    您必须激活 SSL 流量检查,以扫描 HTTP 和 IMAP 的加密流量。要激活,请单击链接或转至访问策略> SSL检查策略

  3. 选择一个文件类型策略选项:

    • 处理已知包含恶意软件的文件类型

    • 处理所有文件类型

    • 处理特定的文件类型系列- 点击“配置”,查看文件类型列表,并设置当这些文件通过防病毒引擎时要进行的规定动作。要编辑指定文件类型的操作,右击该行并点击“编辑”。

      可用的行动有:

      • 扫描- 防病毒引擎会扫描这种类型的文件。

      • 阻止- 防病毒引擎不允许这种类型的文件通过它。

      • 通过- 防病毒引擎不检查这种类型的文件,让它们通过。

        您不能删除系统定义的文件类型。系统定义的文件类型由不能被编辑的内置签名来识别。手动定义的文件类型通过其扩展名识别,并通过网络和邮件协议支持。

  4. 您可以设置策略覆盖,以覆盖威胁预防刀片控制页面上定义的一般策略设置。对于以下每种保护类型选项,您可以设置相应的覆盖操作:询问、预防、检测关闭 UserCheck规则操作允许流量和文件进入内部网络并记录它们。、未启用或遵循策略(无覆盖)。有关操作类型的描述,请参阅威胁防护 >威胁防护刀片控制页面。

    • 带有恶意软件的 URL- 与用于恶意软件传播和恶意软件感染服务器的 URL 有关的保护措施。

    • 病毒- 通过对照 Check Point ThreatCloud 数据库检查每个文件,实时防范最新恶意软件和病毒的侵害。

要启用仅检测模式:

选择此选项复选框。

反僵尸

您可以设置策略覆盖,以覆盖威胁预防刀片控制页面上定义的一般策略设置。对于以下每种保护类型选项,您可以设置相应的覆盖操作:询问、预防、检测、未启用或遵循策略(无覆盖)。有关操作类型的描述,请参阅威胁防护 >威胁防护刀片控制页面。

  • 恶意活动- 与僵尸网络和恶意软件指定家族的独特通信模式有关的保护措施。

  • 信誉域- 与命令和控制 (C&C) 服务器相关的保护。每台主机都根据 Check Point ThreatCloud 信誉数据库进行检查。

  • 信誉IP - 与命令和控制 (C&C) 服务器相关的保护。每个 IP 都要根据 Check Point ThreatCloud 信誉数据库进行检查。

  • 信誉URL - 与命令和控制 (C&C) 服务器相关的保护。每个 URL 都要根据 Check Point ThreatCloud 信誉数据库进行检查。

  • 异常活动- 与僵尸网络和恶意软件活动常见的行为模式有关的保护措施。

要启用仅检测模式:

选择此选项复选框。

威胁模拟

要配置威胁仿真设置:

  1. 选择其中一个受保护的范围选项:

    • 扫描收到的文件 - 选择这些接口之一来扫描收到的文件:

      • 外部和 DMZ - 检查来自外部和 DMZ 接口的文件。

        注意- 1530 / 1550设备不支持DMZ。

      • 外部 - 检查来自外部接口的文件。

      • 全部- 检查所有接口之间传输的文件。

        注意- 不支持 LAN to LAN 扫描。

    • 扫描传入和传出的文件- 对从组织外和组织内接口传入到互联网的文件进行检查。

  2. 选择要对所选范围进行扫描的协议:

    • HTTP(在任何端口)

    • 邮件(SMTPPOP3IMAP

      您必须激活SSL流量检测,以扫描 HTTP 和 IMAP 的加密流量。要激活,请单击链接或转至访问策略> SSL检查策略

  3. 对于文件类型策略:

    处理特定的文件类型系列--点击“配置”以获得文件类型列表,并设置当这些文件通过威胁仿真引擎时要采取的规定行动。

    要编辑指定文件类型的操作,右击该行并点击“编辑”。你也可以单击文件类型选择,然后点击“编辑”。

    可用的行动有:

    • 检查- 威胁仿真引擎检查这种类型的文件。

    • 绕过- 威胁仿真引擎不检查这种类型的文件,让它们通过。

      您不能删除系统定义的文件类型。系统定义的文件类型由不能被编辑的内置签名来识别。

  4. 选择 HTTP 连接仿真处理模式:

    • 背景- 允许连接,直到仿真完成。

    • 保持- 连接被阻断,直到仿真完成。

在威胁仿真中,每个文件都在 Check Point Public ThreatCloud 中运行,以查看该文件是否是恶意的。判决结果返回到网关。

您可以在"高级设置"页面将仿真器位置改为本地私有 SandBlast 设备。

您必须首先启用威胁仿真刀片,然后将其配置为远程仿真。

要启用远程私有云威胁仿真器:

  1. 转至设备>高级设置

  2. 搜索威胁预防威胁仿真策略 - 仿真位置

  3. 选择“仿真在远程(私人) SandBlast 上完成”。

  4. 添加或更新仿真器的IP地址。

  5. 点击“应用

要禁用远程私有云威胁仿真器:

  1. 转至设备>高级设置

  2. 搜索威胁预防威胁仿真策略 - 仿真位置

  3. 选择“仿真在 Public ThreatCloud 上完成”。

  4. 点击“应用

要配置多个远程仿真器,你必须使用 CLI 命令。

关于威胁仿真的更多信息,请参见 Small Business Security video channel 上的 Threat Emulation video

要启用仅检测模式:

选择此选项复选框。

用户信息

您可以为用通知关闭 UserCheck规则操作可阻止流量和文件并显示UserCheck消息。用户可以同意允许该活动。动作设置的保护类型定制信息。当流量与设置为 "通知 "的保护类型相匹配时,用户的互联网浏览器会在一个新窗口中显示该信息。

这些是通知选项及其相关的通知:

选项

防病毒通知

防僵尸网络通知

通知

向用户显示一条信息,通知他们是否要继续访问一个网站或下载被归为恶意文件的文件。

向用户显示一条信息,通知他们其计算机正试图访问一个恶意服务器。

阻止

向用户显示一条信息并阻止关闭 UserCheck规则操作可阻止流量和文件并显示UserCheck消息。该网站。

防僵尸网络程序阻止后台进程。如果从浏览器到恶意服务器的指定操作被阻止,将向用户显示一条信息。

要自定义信息:

  1. 点击“自定义防病毒用户信息”或“自定义防僵尸网络用户信息”。

  2. 配置这些标签中的每个选项:

    • 通知

    • 阻止

  3. 配置通知的适用字段:

    • 标题- 保持默认或输入一个不同的标题。

    • 主题- 保持默认或输入一个不同的主题。

    • 主体- 保持默认或输入不同的主体文字。您可以点击“可选关键词”,查看可以在正文文本中添加的关键词列表,以便给用户提供更多信息。

    • 忽略文本(仅适用于通知) - 如果用户决定忽略信息,这就是显示在复选框旁边的文本。保持默认文本或输入不同的文本。

    • 用户必须输入理由(仅适用于通知) - 如果用户必须为其动作输入解释,请选择此复选框。用户信息包含一个输入原因的文本框。

    • 回退操作(仅适用于通知) - 当通知无法在引起通知的浏览器或应用程序(尤其是非网络应用程序)上显示时,选择一个替代行动(阻止或接受)。

      • 如果回退操作为“接受”- 用户可以访问网站或应用程序。

      • 如果回退操作是“阻止”- 网站或应用程序被阻止,用户不会看到通知。

    • 频率- 您可以设置防病毒、防僵尸网络或威胁仿真询问用户信息的显示次数。

      • 每天一次

      • 每周一次

      • 每月一次

    • 将用户重定向到一个URL(仅适用于阻止)-

      你可以把用户重定向到一个外部门户,而不是在网关上。在 URL 一栏,输入外部门户网站的 URL。指定的URL可以是一个外部系统。它从用户那里获得认证凭证,如用户名或密码。它将这些信息发送到网关。

  4. 单击 "自定义"选项卡,为设备显示的所有门户(用户感知关闭 Check Point软件刀片,旨在将用户与IP地址联系起来,用于记录和控制。使用的热点关闭 通过连接到互联网服务提供商的路由器,提供可访问互联网的无线局域网的区域。和限制性门户)自定义一个标识。点击“上传”,浏览到标志文件,然后点击“应用”。如果有必要,你可以通过点击“使用默认值”恢复到默认标识。

  5. 点击“应用