配置的反病毒特性没有生效

发布时间:  2014-09-20 浏览次数:  88 下载次数:  0
问题描述
如图28-1所示,某公司在网络边界处部署了NGFW作为安全网关。NGFW提供了反病毒功能,用于防止病毒文件进入内网、破坏网络安全。
图28-1 网络环境示意图

实际使用中,办公区域的PC1(10.3.0.2)在从外网收取邮件时,PC1上的系统安全软件提示该邮件中的附件携带病毒,病毒ID为8000。
处理过程
原因一:NGFW上配置的安全策略配置错误(没有引用反病毒配置文件)。
1. 找到PC1收取邮件时命中的安全策略。
选择“监控 > 日志 > 策略命中日志”。在“高级查询”中根据“开始时间”、“结束时间”、“目的地址”等条件查询PC1命中的安全策略。
2. 检查PC1命中的安全策略是否配置引用反病毒配置文件。
如果PC1命中的安全策略未引用反病毒配置文件,请创建反病毒配置文件,并在安全策略中引用。创建反病毒配置文件请参见反病毒,配置安全策略请参见安全策略。
如果已引用反病毒配置文件,请参照原因二:NGFW上的反病毒配置文件配置错误。,检查该反病毒配置文件的配置是否正确。
原因二:NGFW上的反病毒配置文件配置错误。
1. 选择“对象 > 安全配置文件 > 反病毒”,找到安全策略所引用的配置文件。
2. 检查反病毒配置文件的动作。
如果“邮件协议”的动作为“告警”,NGFW将不能阻断病毒文件,请修改为“删除附件”。
3. 检查反病毒配置文件是否配置了应用例外。
如果反病毒配置文件中配置了应用例外,请确认PC1收取邮件的应用否属于该应用,如果属于该应用,请删除该应用例外。
4. 检查反病毒配置文件是否配置了病毒例外。
如果反病毒配置文件中配置了病毒例外,且该病毒的ID和PC1上的系统安全软件检测到的病毒ID(8000)相同,请根据实际情况确认该病毒是否为真正的病毒,如果需要阻断该包含该病毒的文件,请删除该病毒例外。
原因三:NGFW的病毒特征库版本较旧。
选择“系统 > 升级中心”,查看“反病毒特征库”的当前版本是否为最新版本。
如果当前版本不是最新版本,请进行版本升级。升级方式请参见升级中心。
如果以上原因均已排查无误,问题仍然没有解决,请联系技术支持工程师处理。
根因
 原因一:NGFW上配置的安全策略配置错误(没有引用反病毒配置文件)。
 原因二:NGFW上的反病毒配置文件配置错误。
 原因三:NGFW的病毒特征库版本较旧。

END