配置威胁预防刀片控制
在威胁防护 >威胁防护刀片控制页面中,你可以激活:
-
入侵预防系统(IPS)。阻止
UserCheck规则操作可阻止流量和文件并显示UserCheck消息。潜在的恶意尝试利用文件和网络协议中的已知漏洞。 -
防病毒
安全网关上的Check Point软件刀片使用ThreatCloud的实时病毒签名和基于异常的保护,在用户受到影响之前检测并阻止安全网关上的恶意软件。缩写:AV。。阻止被病毒感染的潜在恶意文件。 -
防僵尸网络。检测
UserCheck规则操作允许流量和文件进入内部网络并记录它们。机器人,阻止机器人与其命令和控制中心之间的通信,并提供威胁可见性。僵尸网络是一种恶意软件,可以用恶意程序感染你的计算机。然后,命令和控制服务器可以使用受机器人感染的设备执行不同类型的攻击(发送垃圾邮件或针对网站的拒绝服务攻击)。僵尸网络的感染方法多种多样。例如,你不小心打开了包含漏洞的附件,或访问了包含恶意文件/程序的的网站。 -
威胁仿真。为网络提供保护,防止从互联网下载的文件或电子邮件附件中的未知威胁。在仿真中,文件是在一个以上的虚拟计算机上打开的,具有不同的操作系统环境。这些虚拟计算机被密切监控,以防止异常和恶意行为。任何恶意行为都会立即被记录下来,你可以使用预防模式从内部网络中阻止该文件。有关恶意文件的信息与Check Point ThreatCloud共享。
你在同一个地方配置这些刀片的所有设置,并为所有刀片设置一个配置文件。
启用和停用威胁预防
将滑块移到“开启”或“关闭”状态。
为FTP协议启用威胁仿真策略
|
|
注意- 在R81.10.X版本中,该功能从R81.10.05版本开始提供。 |
将防病毒和威胁仿真滑块都移到"开启"状态。
|
|
注意- 当刀片由云服务管理时,会出现一个锁定图标。你不能在"开启"和"关闭"状态之间切换。如果你改变其他策略设置,该改变是暂时的。本地所做的任何更改都会在网关和云服务之间的下一次同步中被覆盖。 |
更新状态显示在每个刀片的旁边:
-
最新
-
可用更新
-
更新服务无法到达
你可以激活刀片,以防止攻击/感染,或仅在威胁防御引擎设置页面将其设置为检测模式。
如果刀片被配置为“仅检测”模式,您会看到显示一条警告信息。
页面顶部显示受感染设备的数量。欲了解更多信息,请点击“更多详情”。
为所有刀片配置了一个策略:
-
严格 - 注重安全。
-
推荐 - 默认选项,为小型/中型企业提供安全和性能的最佳组合。
注意 - 防僵尸网络中的 "可疑邮件活动 "保护的性能影响被改为高,现在默认为“关闭”状态。要启用这种保护,你必须在一个自定义策略中配置它。
-
自定义 - 由用户手动定义。
配置威胁预防的自定义策略
-
在“威胁预防刀片控制”页面中的”策略”选项卡,选择“自定义”。
-
对于“跟踪选项”,请选择以下其中一个选项:
-
无 - 不记录。
-
日志 - 创建一个日志。
-
警报 - 带有警报的日志。
-
-
在 "保护激活 "中,从列表中为每个置信度级别(高置信度、中置信度和低置信度)选择适用的行动:
-
询问 - 流量被阻止,直到用户确认允许。
-
防止 - 阻止已识别的病毒或僵尸流量,或已识别的恶意文件通过网关。
-
检测 - 允许识别的病毒或僵尸流量,或识别的恶意文件通过网关。流量会被检测并记录下来。
-
不活跃 - 保护被停用。
-
-
对于“严重程度”,选择相应的级别:
-
低或高于
-
中等以上
-
高或以上
-
严重
-
-
对于“性能影响”,选择所允许的影响水平:
-
低
-
中等或更低
-
高或低
-
-
要加载策略默认值,请点击“加载默认设置”:
-
推荐
-
严格
-
-
要保存威胁预防刀片控制页面上的所有设置,请点击应用。
安排威胁预防更新
-
点击日程表。
打开 "激活自动更新"窗口。
-
选择要接收自动更新的软件刀片:
-
选择更新的“周期”和“时间”。
-
点击“应用”