You need to enable JavaScript to run this app.
文档中心
文档备案控制台
飞连

飞连

请输入
  • 文档首页
    • 飞连管理员指南终端安全终端防火墙域名情报库配置
复制全文
下载 pdf
我的收藏
终端防火墙
域名情报库配置
复制全文
下载 pdf
我的收藏
域名情报库配置

飞连的域名情报功能依托于云端威胁情报中心,为您提供高频动态更新的恶意域名黑名单。通过配置域名情报库,黑名单数据将作为动态拦截策略直接下发至终端防火墙和网关,对远控服务器、矿池地址、木马、僵尸网络、APT 攻击、钓鱼地址等高危域名的访问进行自动化拦截和告警,为企业网络安全保驾护航。

功能优势

在日常办公中,员工可能会因误点击伪装的钓鱼链接或搜索时误入带毒网站,从而面临数据被窃取或设备感染恶意软件的风险。终端防火墙主要依赖管理员手动添加已知恶意的 IP 或域名,维护成本高且存在一定的防护滞后性。
域名情报库作为终端防火墙的高级扩展数据源,具备以下核心优势:

  • 自动化动态黑名单:无需人工收集和配置,系统自动订阅云端高频更新的威胁情报,实时覆盖最新产生的各类恶意域名。
  • 精细化分类管控:提供多种威胁类型(如远控服务器、矿池、木马等)供您按需订阅。一旦终端尝试访问命中情报库的域名,防火墙将自动执行管控动作。
  • 降低误报风险:域名情报库的数据经过云端分析验证,具有极高的准确性。同时,系统支持自定义情报白名单,确保正常业务不受干扰。

配置域名情报库

您可以根据企业的实际安全风险,在管理后台自主勾选需要订阅并拦截的云端恶意域名威胁类型。

  1. 登录管理后台。
  2. 在左侧导航栏,选择终端安全 > 威胁情报
  3. 域名情报页面,单击右上角的配置域名情报库
  4. 域名情报库配置页面,在情报配置区域,选择威胁类型。
    Image
  5. (可选)如果某个域名是误报,您可以将该域名添加至情报白名单中,操作如下:
    情报白名单区域,单击添加白名单,根据页面提示配置白名单,单击确定
  6. 单击确定

配置终端防护

完成情报库类型的订阅后,您需要为特定部门、员工或设备配置终端防护规则,以定义当终端尝试访问恶意域名时的具体管控动作。

  1. 登录管理后台。

  2. 在左侧导航栏,选择终端安全 >威胁情报

  3. 域名情报页面的终端防护区域,单击配置

    Image

  4. 终端防护配置页面,设置相关参数,参数说明如下表所示。
    Image

    区域

    配置项

    说明

    模式

    拦截模式,禁止访问

    禁止访问对应的域名,并在飞连客户端提示消息通知。
    在飞连管理后台的域名情报页面展示对应告警。

    观察模式,允许访问

    允许访问对应的域名。
    在飞连管理后台的域名情报页面展示对应告警。

    消息通知

    您可以开启或关闭消息通知,拦截模式时,建议开启消息通知。
    开启消息通知时,单击修改配置,可以设置消息通知的内容。
    如果设置为拦截模式,且开启消息通知时,当终端触发恶意域名时,会在飞连客户端或桌面提示对应的消息通知。

    生效操作系统

    选择终端防护功能生效的操作系统,根据需要选择 WindowsmacOS。Windows 不需要额外权限,macOS 需要额外权限。

    说明

    对于 macOS 客户端,确保已授予必要的网络扩展权限,否则可能会收到弹窗提示。

    生效对象

    按员工生效

    选择终端防护功能生效的部门或角色。建议仅对需要进行终端防护的部门或角色生效。

    • 如果想要对某个部门及其子部门的所有员工都生效,请单击部门页签,选择对应的部门。
    • 如果想要对所有部门的某些角色生效,请单击角色页签,选择对应的角色。
    • 如果想要对某个部门的某些角色生效,请选择对应的部门,并选择对应的角色。

    按设备生效

    选择终端防护功能生效的设备。

    • 如果想要对某些操作系统的设备生效,请单击操作系统页签,选择 Windows、macOS、Linux、iOS 或 Android。
    • 如果只想对某几台设备生效,请单击设备页签,选择对应的设备。
    • 如果想要对某些设备分组生效,请单击分组页签,选择对应的分组。如果没有您想要的分组,请参见管理终端分组新增分组。

  5. 单击确定

  6. 配置完成后,在域名情报页面,单击终端防护右侧的开关开启终端防护。

查看域名情报告警

当终端触发恶意域名访问并被拦截或记录后,您可以集中查看详细的告警事件,以便安全管理员进行溯源分析和威胁研判。

  1. 登录管理后台。
  2. 在左侧导航栏,选择终端安全 > 威胁情报
  3. 域名情报页面查看威胁类型、威胁趋势和详细的威胁告警列表。

    • 威胁类型区域,默认展示最近 7 天域名威胁的威胁类型,及其数量和占比。

    • 威胁趋势区域,默认展示最近 7 天域名威胁告警的趋势。

    • 单击右上角的日期范围,您可以选择查看近 3 天、近 7 天、近14 天或近 30 天的数据,您也可以自定义日期范围。

    • 您可以单击自定义列,自定义告警列表展示的列。

    • 您可以单击自定义筛选,设置筛选条件,通过筛选条件查找特定条件的告警。

    • 在告警列表区域,您可以查看告警详情,包括告警时间、上报时间、用户信息、设备信息、操作系统、风险类型等,各字段的详细说明如下表所示。
      Image

      信息项

      说明

      告警时间

      显示事件被系统检测到的时间。

      上报时间

      事件被系统记录并上报的时间。

      用户信息

      提供与事件相关的用户信息。将鼠标悬停在用户信息上,可以查看该用户的更多详细信息。

      设备信息

      列出与事件关联的设备资料。将鼠标悬停在设备信息上,可以查看该设备的完整详细信息。

      操作系统

      标识记录事件的操作系统,例如 Windows 或 macOS。

      风险类型

      展示命中的威胁情报类型,例如“木马”、“恶意软件”等。

      响应动作

      系统对事件采取的措施,包括“禁止”、“允许”。

      设备 IP 地址

      显示发起网络请求的源 IP 地址。

      目的地址

      展示命中的威胁情报域名。

      飞连版本

      记录事件时所使用的飞连软件版本号。

最近更新时间:2026.04.27 21:59:53
这个页面对您有帮助吗?
有用
有用
无用
无用