安全服务 > Botnet 过滤

Botnet 过滤功能允许管理员阻止来自/到达 Botnet 命令和控制服务器的连接。

要配置 Botnet 过滤，请执行以下步骤：

1. 要阻止被指定为 Botnet 服务器的所有服务器。请选择阻止到达/来自命令和控制服务器的连接选项。

2. 为您的 Botnet 过滤选择以下两种模式中的一种：

– 所有连接：所有来自/到达防火墙的连接都被过滤。

– 基于防火墙规则的连接：只有符合防火墙配置的访问规则的连接被过滤。

3. 如果您在未下载 Botnet 数据库时阻止所有连接，请选择如果 BOTNET DB 未下载，阻止所有到公共 IP 的连接。

4. 选择启用日志记录 Botnet 过滤相关的事件。

注 另外，您也可以选择对所有连接配置排除列表，使其不阻止被批准的 IP 地址。为此，请转到
Botnet 排除对象下拉菜单，然后选择地址对象或地址组。

注 如果您认为某地址被错误地标记为 botnet，或者您认为某地址应该被标记为 botnet，请在
SonicWALL Botnet IP 状态查找工具报告这个问题，链接：http://botnet.global.sonicwall.com/

检查地理位置和 Botnet 服务器状态

Botnet 过滤还提供了查找 IP 地址以确定域名、DNS 服务器、来源国和是否被分类为 Botnet 服务器的功能。为此，请执行以下步骤：

1. 滚动到安全服务 > Botnet 过滤页面的底部。

在查找 IP 字段输入 IP 地址，然后单击执行。

IP 地址的详细信息显示在结果标题下。

Botnet 排除对象

Botnet 排除对象是一个网络地址对象组，用于指定从 Botnet 过滤器阻止中排除某个 IP 地址组或范围。

例如，如果将来自国家 A 的所有 IP 地址设为阻止，并且检测到一个来自国家 A 的 IP 地址，但该地址在 Botnet 排除对象列表中，那么将允许发往和来自此 IP 地址的流量。

用户可以为此群组创建新地址对象。

Web 阻止页面设置

在选中包含 Botnet 过滤阻止详情选项后，当有页面被阻止时，将会显示详细信息，例如该 IP 地址被阻止的原因等。还包括 IP 地址，以及检测到的来源国家。

在警报文本框中，管理员可输入在有页面被阻止时显示的自定义消息。

在 Base64 编码的徽标图标框中，管理员可将默认的 DELL 徽标更改为其他徽标。为此，管理员必须将 GIF 图片转换为采用 base64 编码的图片，并将编码后的图片粘贴在此处。

Botnet 过滤诊断

Botnet 过滤页面的诊断部分包含：

• 显示解析的位置按钮

• Geo-IP 缓存统计表

• 检查 GEO 定位服务器查找

Geo 定位和 Botnet 服务器查找工具还可以从系统 > 诊断页面访问。