#原创分享#NGAF如何实现僵尸网络

          NGAF如何实现僵尸网络               

   首先来个僵尸网络定义：僵尸网络 Botnet 是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。下面对某公司防火墙中的僵尸网络功能来展示一下

1、登陆某公司下一代防火墙WEB界面，如下图所示：

2、查看防火墙序列号，已经开通僵尸网络这个功能 ，步骤为系统---系统配置---通用配置---序列号。如下图所示：

3、对象---安全策略模板---僵尸网络。如下图所示

4、单击新增按钮弹出新增模板窗口，在新增模板窗口中名称为僵尸网络，安全选项下勾选异常流量，如下图所示：

5、单击异常流量右边设置弹出选择异常流量检测规则窗口，这里可以对检测异常流量的类型进行选择。 设置页面如下：如下图：

6、点击外发流量异常右边配置弹出高级配置窗口， 在此窗口可以对异常流量的阈值进行设置，保持默认。如下图所示：

默认阈值如下图所示：

7、确定后，如下图所示：

8、具体安全防护策略配置（参考以前发的分享贴）先关注我的帐号

  总结：某公司防火墙僵尸网络功能---用于发现和隔离感染了病毒、木马等恶意软件的主机，其病毒、木马试图与外部网络通信时，NGAF识别出该流量，并根据安全策略进行阻断和记录日志。

收藏、收藏，必须收藏。

感谢分享。

您好，感谢您参与社区原创分享计划4，您的文章已被收录到计划中，交由专家评审小组评审，分享奖励将在活动结束后统一安排发放！分享越多，奖励越多，期待您更多的精彩分享哦！:感恩:

僵尸网络的配置步骤

感谢分享，僵尸网络的原理及AF功能介绍，介绍的比较细致。这里补充两个小点，以供参考。一是在日常的僵尸网络防护策略里，一般是配置“用户防护策略”策略的源区域一般是内网所在区域，，而“业务防护策略”里也有僵尸网络，而且源区域一般是选择外网所在区域，这个没关系，AF会自动把“业务防护策略”里针对 僵尸网络检测时，把源区域和目的区域反过来。二是在用户内网有DNS的场景，且内网PC通过内网DNS代理解析，且数据经过AF，好么这个时候，一定要注意把僵尸网络的蜜罐功能开启来，否则无法进行有效的主机溯源。

感谢楼主分享，这个很实用。

感谢分享，学习一下~

非常好的实践教程，谢谢分享

感谢分享，学习一下~