先开通防火墙web识别库， 然后在[对象]>[安全防护规则库] -> [安全规则库]中选择[web应用防护识别库]，然后找到对应的规则，将动作改为“检测并拦截”。

道路千万条！学习第一条！每天GET新知识

将木马远控日志的处理动作设置为拒绝

防火墙web识别库还是得开通一下

注意病毒特征库也要及时更新，以防新型木马病毒未被识别传进内网

要设置拒绝远控木马，首先要确定是否有特征库授权，然后可以通过深信服的防火墙进行相关配置。以下是具体的步骤和方法：

• 启用僵尸网络防护：深信服的防火墙（AF）提供了僵尸网络防护功能，可以识别和隔离内网感染了木马等恶意软件的设备。当木马试图与外部网络通信时，防火墙会识别出该流量，并根据用户策略进行阻断和记录日志。
• 配置IPS和僵尸网络策略：

  
  
  在AF的管理界面中，您需要进入[IPS]（入侵防护系统）模块，配置相关的防护策略。
  在[内容安全]中找到[僵尸网络]，查看和配置防护策略。
• 具体操作路径：

  
  
  对于标准版本AF7.3，您可以在[IPS]-[IPS]中配置策略。
  对于AF7.4-8.0.85版本，您可以在[对象]-[安全策略模版]-[漏洞攻击防护]中配置模板，然后在[策略]-[安全策略]-[安全防护策略]中配置业务防护策略以及用户防护策略。
• 监控和测试：配置完成后，您可以通过监控流量和进行telnet测试，确保外网地址无法访问内网的相关服务，从而有效阻止远控木马的活动。
• 相关配置图片说明
  
  

将木马远控日志的处理动作设置为拒绝，可以按照以下步骤进行操作：

查询日志：首先，您需要在日志中找到匹配的木马远控攻击的防护规则ID。

修改规则库动作：

如果您使用的是AF7.3版本，可以在[安全防护对象] -> [web应用防护识别库]中找到对应的规则，将动作改为“检测后拦截”。
如果您使用的是AF7.4-8.0.85版本，可以在[对象] -> [安全防护规则库] -> [安全规则库]中选择[web应用防护识别库]，然后找到对应的规则，将动作改为“检测并拦截”

在深信服 AF（应用防火墙）中，如果发现木马远控的日志处理动作是“允许”，需要通过配置安全策略来将此类行为的处理动作设置为“拒绝”。以下是具体的操作步骤：



一、确认日志来源
1. 登录深信服 AF 的管理界面。
2. 导航到 日志中心 > 安全日志 或 威胁情报日志，找到对应的木马远控日志。
3. 记录下日志中的关键信息：
   - 源 IP 地址
   - 目的 IP 地址或域名
   - 使用的协议（如 HTTP、HTTPS、DNS 等）
   - 目的端口
   - 威胁类型或规则名称



二、调整安全策略

#方法 1：配置入侵防御策略
如果木马远控行为被入侵防御系统（IPS）检测到但未阻断，可以通过以下步骤调整策略：
1. 导航到 安全防护 > 入侵防御 > 策略配置。
2. 找到与木马远控相关的策略（可以根据日志中的规则名称或威胁类型查找）。
3. 编辑该策略，将 动作 设置为 拒绝。
4. 如果没有现成的策略匹配该行为，可以新建一条策略：
源地址：指定源 IP 或选择任意。
目的地址：指定目的 IP 或域名。
服务：选择对应的协议和端口。
动作：选择 拒绝。
5. 保存并应用策略。



#方法 2：配置应用控制策略
如果木马远控行为通过特定的应用程序或协议进行通信，可以通过应用控制策略进行限制：
1. 导航到 安全防护 > 应用控制 > 策略配置。
2. 找到与木马远控相关的行为（例如某些恶意软件使用 DNS 隧道或非标准端口通信）。
3. 编辑策略，将 动作 设置为 拒绝。
4. 如果需要新增策略：
源地址：指定源 IP 或选择任意。
目的地址：指定目的 IP 或域名。
应用类型：选择相关的应用类型（如 DNS、HTTP 等）。
动作：选择 拒绝。
5. 保存并应用策略。



#方法 3：配置威胁情报拦截
如果木马远控的目标 IP 或域名已被威胁情报识别，但未自动阻断，可以通过威胁情报功能进行拦截：
1. 导航到 安全防护 > 威胁情报 > 策略配置。
2. 编辑现有的威胁情报策略，确保 动作 设置为 拒绝。
3. 如果需要新增策略：
匹配条件：选择具体的威胁类型（如木马远控、恶意域名等）。
动作：选择 拒绝。
4. 保存并应用策略。



#方法 4：配置 URL 过滤或 DNS 防护
如果木马远控通过访问恶意 URL 或域名进行通信，可以通过 URL 过滤或 DNS 防护进行阻断：
1. URL 过滤：
   - 导航到 安全防护 > URL 过滤 > 策略配置。
   - 新增或编辑策略，将恶意域名加入黑名单，并将 动作 设置为 拒绝。
2. DNS 防护：
   - 导航到 安全防护 > DNS 防护 > 策略配置。
   - 将恶意域名或 IP 添加到 DNS 黑名单，并设置 动作 为 拒绝。



三、验证配置
1. 在完成上述配置后，重新触发相关行为（例如模拟木马远控通信），观察日志是否变为“拒绝”。
2. 导航到 日志中心 > 安全日志，检查新的日志记录，确认处理动作为“拒绝”。



四、注意事项
1. 误报排查：在调整策略时，注意避免误拦截正常的业务流量。可以通过测试环境验证策略的有效性和影响范围。
2. 定期更新威胁情报：确保深信服 AF 的威胁情报库是最新的，以便更准确地识别和阻断木马远控行为。
3. 终端联动防护：建议结合终端安全软件（如 EDR）进行联动防护，进一步提升安全性。

如果仍有疑问或问题无法解决，可以联系深信服的技术支持团队获取进一步帮助。

将木马远控日志的处理动作设置为拒绝，可以按照以下步骤进行操作：

查询日志：首先，您需要在日志中找到匹配的木马远控攻击的防护规则ID。

修改规则库动作：

如果您使用的是AF7.3版本，可以在[安全防护对象] -> [web应用防护识别库]中找到对应的规则，将动作改为“检测后拦截”。
如果您使用的是AF7.4-8.0.85版本，可以在[对象] -> [安全防护规则库] -> [安全规则库]中选择[web应用防护识别库]，然后找到对应的规则，将动作改为“检测并拦截”。