技术文档
当前位置:技术文档

USG6625E防火墙阻断恶意文件不生效的处理过程

来源:未知 时间:2022-05-28 09:24
 

    某局点部署了USG6625E与FireHunter6000用于恶意文件检测。客户在实际测试过程中发现,多次通过FTP传输同一恶意文件样本,沙箱能检测出该文件为恶意文件,防火墙也有阻断记录,但实际测试恶意文件样本能通过FTP协议上传到FTP服务器。

  处理过程

  1、将客户提供测试的恶意文件样本在沙箱本地直接上传验证检测结果。

  2、查看USG沙箱检测日志,发现有多条与恶意文件样本相关的日志记录。

  3、排查USG防火墙安全策略

  4、对比FTP传输前和FTP传输后的恶意文件样本大小,FTP传输后的文件要小于FTP传输前的文件,同时使用MD5工具对FTP传输前和FTP传输后的恶意文件样本进行hash计算,两个MD5值不一致,结果表明恶意文件样本的原始文件已经遭到防火墙破坏。

  5、最后沙箱本地上传经过FTP传输后恶意文件样本,检测结果为正常。

  根因

  防火墙对于恶意文件的处理不是直接丢弃,而是删除恶意文件中的数据块,使恶意文件在接收端无法进行还原,最后达到破坏恶意文件的目的。

  建议与总结

  在测试类似安全问题时,建议使用MD5工具进行hash计算,然后观察hash值。


上一篇:防火墙安全策略中放通用户不生效
下一篇:华为S6730-H48X6C配置SNMP
蜀ICP备2020034250号-1   川公网安备 51010802000119号 keywords:成都H3C 成都H3C

售前客服

售前客服

电话:028-83252151

传真:028-85259033

咨询热线:15378180513
在线客服