《網(wǎng)絡(luò)安全設(shè)備原理與應(yīng)用》 課件 20-EDR策略中心（一）；21-EDR微隔離

EDR策略中心（一）整體了解EDR有哪些安全策略，以及WindowsPC、WindowsServer、Linux不同終端有哪些安全策略掌握病毒查殺、文件實(shí)時(shí)監(jiān)控策略的配置和使用教學(xué)目標(biāo)客戶選擇EDR是為了給終端提供一套完整的安全解決方案，保護(hù)內(nèi)網(wǎng)服務(wù)器和PC的安全。EDR提供基本策略、病毒查殺、實(shí)時(shí)防護(hù)、安全加固、信任名單和漏洞修復(fù)等安全策略幫助用戶保護(hù)內(nèi)網(wǎng)主機(jī)安全。打開(kāi)【終端管理】->【策略中心】，選中具體分組即進(jìn)入該組安全策略設(shè)置。需求背景病毒查殺文件實(shí)時(shí)監(jiān)控目錄需求背景以勒索軟件為首的惡意軟件讓政企用戶深受其害2019年“網(wǎng)絡(luò)攻擊千千萬(wàn)勒索病毒占一半”

GandCrab勒索病毒攻擊我國(guó)政企內(nèi)網(wǎng)2019-03易到用車核心服務(wù)器被勒索病毒攻擊2019-05著名飛機(jī)零件供應(yīng)商ASCO遭遇勒索病毒攻擊2019-062019-09國(guó)內(nèi)某大型建筑設(shè)計(jì)有限公司遭到勒索病毒攻擊分布式團(tuán)隊(duì)作戰(zhàn)按勞分配多勞多得高度專業(yè)化2020年勒索病毒攻擊預(yù)測(cè)

企業(yè)

政府單位

醫(yī)療行業(yè)

公共機(jī)構(gòu)目標(biāo)集中化數(shù)據(jù)加密與數(shù)據(jù)竊取雙重攻擊不止于加密對(duì)整個(gè)文件進(jìn)行哈希，基于MD5、SHA1進(jìn)行檢測(cè)階段一：哈希運(yùn)算提取病毒特征碼，基于特征庫(kù)進(jìn)行檢測(cè)階段二：病毒特征碼分析師對(duì)病毒的排查經(jīng)驗(yàn)總結(jié)為自動(dòng)化的檢測(cè)程序階段三：?jiǎn)l(fā)式檢測(cè)基于哈希運(yùn)算和病毒特征碼的特點(diǎn)，靜態(tài)特征與病毒需一一對(duì)應(yīng)網(wǎng)絡(luò)空間安全已成國(guó)家安全戰(zhàn)略高地人才缺口巨大需要大量專業(yè)安全人才持續(xù)整理從2007年病毒數(shù)量開(kāi)始爆發(fā)式增長(zhǎng)新病毒變種持續(xù)增多，變種成本持續(xù)減小基于病毒特征庫(kù)方式進(jìn)行殺毒高級(jí)威脅持續(xù)產(chǎn)生，呈被動(dòng)，后知后覺(jué)特點(diǎn)后知后覺(jué)本地病毒特征庫(kù)有限特征庫(kù)數(shù)量與已知病毒樣本不匹配天生受限特征數(shù)量不斷增多加重終端資源以及運(yùn)算成本資源加重依賴云端查殺反饋結(jié)果殺軟依賴云查殺，隔離網(wǎng)環(huán)境檢測(cè)能力驟降依賴性大基于AI的檢測(cè)技術(shù)可以解決以上問(wèn)題檢測(cè)技術(shù)進(jìn)入第四階段未知威脅層出不窮，傳統(tǒng)特征殺毒趨近失效需求背景功能介紹文件信譽(yù)檢測(cè)引擎基因特征檢測(cè)引擎行為分析檢測(cè)引擎人工智能檢測(cè)引擎安全云腦檢測(cè)引擎文件信譽(yù)檢測(cè)引擎基于本地、全網(wǎng)、安全云腦構(gòu)建文件信譽(yù)庫(kù)基因特征檢測(cè)引擎基于”小紅傘“引擎構(gòu)建基因特征識(shí)別庫(kù)速度快，準(zhǔn)確率高，誤殺操作少行為分析檢測(cè)引擎虛擬沙盒、引擎和操作系統(tǒng)環(huán)境仿真解析惡意代碼本質(zhì)人工智能檢測(cè)引擎利用深度學(xué)習(xí)訓(xùn)練數(shù)千維度的算法模型持續(xù)學(xué)習(xí)，自我成長(zhǎng)無(wú)特征檢測(cè)技術(shù)安全云腦檢測(cè)引擎使用大數(shù)據(jù)分析平臺(tái)，基于多維威脅情報(bào)秒級(jí)響應(yīng)檢測(cè)結(jié)果基于AI多維度智能檢測(cè)引擎功能介紹文件信譽(yù)檢測(cè)引擎基于傳統(tǒng)的文件hash值建立的輕量級(jí)信譽(yù)檢測(cè)引擎，主要用于加快檢測(cè)速度并有更好的檢出效果，主要有兩種機(jī)制：本地緩存信譽(yù)檢測(cè)：對(duì)終端主機(jī)本地已經(jīng)檢測(cè)出來(lái)的已知文件檢測(cè)結(jié)果緩存處理，加快二次掃描，優(yōu)先檢測(cè)未知文件。全網(wǎng)信譽(yù)檢測(cè)：在管理平臺(tái)上構(gòu)建企業(yè)全網(wǎng)的文件信譽(yù)庫(kù)，對(duì)單臺(tái)終端上的文件檢測(cè)結(jié)果匯總到平臺(tái)，做到一臺(tái)發(fā)現(xiàn)威脅，全網(wǎng)威脅感知的效果。并且在企業(yè)網(wǎng)絡(luò)中的檢測(cè)重點(diǎn)落到對(duì)未知文件的分析上，減少對(duì)已知文件重復(fù)檢測(cè)的資源開(kāi)消。功能介紹基因特征檢測(cè)引擎

深信服EDR的安全運(yùn)營(yíng)團(tuán)隊(duì)，根據(jù)安全云腦和EDR產(chǎn)品的數(shù)據(jù)運(yùn)營(yíng)，對(duì)熱點(diǎn)事件的病毒家族進(jìn)行基因特征的提取，洞見(jiàn)威脅本質(zhì)，使之能應(yīng)對(duì)檢測(cè)出病毒家族的新變種。相比一般的靜態(tài)特征，基因特征提取更豐富的特征，家族識(shí)別更精準(zhǔn)。功能介紹人工智能檢測(cè)引擎SAVE勒索病毒PE文件結(jié)構(gòu)原始特征(字節(jié)級(jí)特征)IP、端口、注冊(cè)表鍵值、匯編指令等基于語(yǔ)義的特征構(gòu)建高層次特征（提取本質(zhì)行為）網(wǎng)絡(luò)連接測(cè)試、文件加密、寫(xiě)入注冊(cè)表、自啟動(dòng)特征篩選（降維）高質(zhì)量特征（提取對(duì)判斷是否是病毒最有效的特征）分類模型（訓(xùn)練/預(yù)測(cè)）黑/白………文件加密、自啟動(dòng)SAVE引擎能夠分析高層次特征的影響，從而調(diào)整和優(yōu)化分類模型泛化檢測(cè)能力通過(guò)對(duì)某一類病毒高維特征提取泛化檢測(cè)具有相同高維特征的數(shù)百類病毒功能介紹人工智能檢測(cè)引擎SAVE相比基于病毒特征庫(kù)的傳統(tǒng)檢測(cè)引擎，SAVE的主要優(yōu)勢(shì)有：強(qiáng)大的泛化能力，甚至能夠做到在不更新模型的情況下識(shí)別新出現(xiàn)的未知病毒；對(duì)勒索病毒檢測(cè)達(dá)到業(yè)界領(lǐng)先的檢出率，包括影響廣泛的WannaCry、BadRabbit等病毒；云+端聯(lián)動(dòng)，依托于深信服安全云腦基于海量大數(shù)據(jù)的運(yùn)營(yíng)分析，SAVE能夠持續(xù)進(jìn)化，不斷更新模型并提升檢測(cè)能力，從而形成本地傳統(tǒng)引擎、人工智能檢測(cè)引擎和云端查殺引擎的完美結(jié)合。功能介紹行為分析檢測(cè)引擎

傳統(tǒng)靜態(tài)引擎，是基于靜態(tài)文件的檢測(cè)方式，對(duì)于加密和混淆等代碼級(jí)惡意對(duì)抗，輕易就被繞過(guò)。而基于行為的檢測(cè)技術(shù)，實(shí)際上是讓可執(zhí)行程序運(yùn)行起來(lái)，“虛擬沙盒”捕獲行為鏈數(shù)據(jù)，通過(guò)對(duì)行為鏈的分析而檢測(cè)出威脅。因此，不管使用哪種加密或混淆方法，都無(wú)法繞過(guò)檢測(cè)。最后，執(zhí)行的行為被限制在“虛擬沙盒”中，檢測(cè)完畢即被無(wú)痕清除，不會(huì)真正影響到系統(tǒng)環(huán)境。功能介紹安全云腦檢測(cè)引擎

針對(duì)最新未知的文件，使用IOC特征（文件hash、dns、url、ip等）的技術(shù)，進(jìn)行云端查詢。云端的安全云腦中心，使用大數(shù)據(jù)分析平臺(tái)，基于多維威脅情報(bào)、云端沙箱技術(shù)、多引擎擴(kuò)展的檢測(cè)技術(shù)等，秒級(jí)響應(yīng)未知文件的檢測(cè)結(jié)果。配置步驟配置病毒查殺策略下發(fā)病毒查殺掃描對(duì)病毒查殺結(jié)果進(jìn)行處置配置思路病毒查殺策略打開(kāi)【終端管理】->【策略中心】，選中具體分組即進(jìn)入該組安全策略設(shè)置。配置介紹配置介紹病毒查殺策略配置介紹病毒查殺策略病毒查殺發(fā)現(xiàn)威脅文件后的三種處理動(dòng)作標(biāo)準(zhǔn)處置：默認(rèn)配置為標(biāo)準(zhǔn)處置。根據(jù)病毒的類型和威脅程度，按系統(tǒng)預(yù)定義的處置方式對(duì)威脅文件進(jìn)行處置（確認(rèn)是病毒的自動(dòng)隔離，可疑病毒的僅上報(bào)不隔離，由人工進(jìn)一步分析處理）嚴(yán)格處理：適用于嚴(yán)格保護(hù)場(chǎng)景，可能會(huì)存在一定誤判。EDR檢測(cè)的所有威脅文件均隔離處理。僅上報(bào)不處置：適用于有人值守且用戶了解如何處置病毒的場(chǎng)景，需要人工分析上報(bào)的威脅日志進(jìn)行處理。EDR檢測(cè)的所有威脅文件僅上報(bào)安全日志，不隔離。掃描引擎默認(rèn)沒(méi)有啟用行為引擎，如果電腦配置在CPU4核、內(nèi)存4G以上可以啟用所有引擎，低于此配置，建議保留默認(rèn)配置?！伴_(kāi)啟高啟發(fā)式掃描”后會(huì)提高病毒檢出率，但也會(huì)增加誤判，此配置項(xiàng)在多家廠商PK測(cè)試病毒檢測(cè)率時(shí)使用，非此場(chǎng)景慎用。配置介紹病毒檢測(cè)通過(guò)管理端下發(fā)查殺任務(wù)，選中需要查殺的終端，可以下發(fā)快速查殺或全盤(pán)查殺，如下圖。配置介紹病毒檢測(cè)通過(guò)EDR客戶端也可以對(duì)這臺(tái)終端進(jìn)行查殺毒掃描，如下圖。配置介紹病毒處置如果病毒查殺策略設(shè)置發(fā)現(xiàn)惡意文件的處置動(dòng)作為“標(biāo)準(zhǔn)處置”或“僅上報(bào)，不處置”，則病毒查殺發(fā)現(xiàn)的威脅文件（未自動(dòng)隔離的）可以由人工進(jìn)行“處置”、“信任”和“忽略”處理，如下圖。處置：對(duì)感染性病毒、宏病毒文件先進(jìn)行修復(fù)，無(wú)法修復(fù)再進(jìn)行隔離處理；其它類型病毒直接隔離。信任：如果檢測(cè)出的威脅為正常文件，則可以添加為可信任。忽略：如果威脅在終端已自行處理，管理端不需要顯示威脅日志，則可以設(shè)置為忽略。威脅分析：接入深信服安全中心，對(duì)威脅事件詳細(xì)分析，進(jìn)一步判斷威脅文件影響。案例背景某項(xiàng)目同時(shí)有安全廠商A、安全廠商B、深信服EDR三家廠商參與，客戶關(guān)注安全軟件對(duì)病毒的檢出能力，這種場(chǎng)景下，我們?nèi)绾螠y(cè)試才能體現(xiàn)我們產(chǎn)品的檢測(cè)能力。使用案例準(zhǔn)備工作版本確認(rèn)確認(rèn)當(dāng)前EDR的版本為3.2.16及以后版本樣本提供

測(cè)試前需要確認(rèn)測(cè)試樣本如何提供，需提前準(zhǔn)備好測(cè)試樣本，一般有以下幾種方式：我司提供樣本友商提供樣本客戶提供樣本我司、友商、客戶各提供1/3樣本使用案例測(cè)試方法1、設(shè)置病毒查殺策略打開(kāi)EDR【終端管理】->【策略管理】，按如下圖設(shè)置病毒查殺策略使用案例測(cè)試方法2、確認(rèn)配置生效完成上述配置后，右鍵點(diǎn)擊終端Agent托盤(pán)圖標(biāo)，如下圖，說(shuō)明當(dāng)前查殺處于高啟發(fā)式掃描”模式。3、對(duì)比查殺使用EDR客戶端自定義查殺對(duì)病毒樣本查行掃描查殺，對(duì)比不同廠商的檢出率。使用案例注意事項(xiàng)通過(guò)管理端下發(fā)快速查殺任務(wù)，只對(duì)以下目錄生效，所以在測(cè)試快速查殺時(shí)，樣本需要放在以下目錄：Linux快速查殺目錄：Linux快掃目錄/bin、/sbin、/usr/bin、/usr/sbin、/lib、/lib64、/usr/lib、/usr/lib64、/usr/local/lib、/usr/local/lib64、/tmp、/var/tmp、/dev、/procWindows

快速查殺目錄：/windows和/windows/system32本級(jí)目錄，/windows/system32/drivers目錄和其子目錄殺毒掃描模式有“極速”、“均衡”和“低耗”三種模式，區(qū)別如下，建議使用“均衡”模式，不會(huì)因?yàn)橘Y源占用影響客戶業(yè)務(wù)。極速：全速掃描、不限制掃描軟件自身的CPU占用率；均衡：掃描速度和CPU占用率達(dá)到一定平衡，限制CPU占用率不超過(guò)30%；低耗：掃描時(shí)盡量少占用CPU資源，限制CPU占用率不超過(guò)10%。病毒查殺文件實(shí)時(shí)監(jiān)控目錄需求背景為了保護(hù)業(yè)務(wù)安全，不僅要做到威脅發(fā)生后對(duì)威脅事件的及時(shí)檢測(cè)與響應(yīng)，更需要在威脅發(fā)生前進(jìn)行相應(yīng)預(yù)防和威脅發(fā)生的過(guò)程中做好相應(yīng)的防護(hù)策略。這樣才能在保護(hù)業(yè)務(wù)安全方面提供事前預(yù)防、事中防護(hù)、事后檢測(cè)和響應(yīng)的閉環(huán)解決方案。此次培訓(xùn)主要介紹在事中防護(hù)階段文件實(shí)時(shí)監(jiān)控如何保護(hù)業(yè)務(wù)安全。功能介紹文件實(shí)時(shí)監(jiān)控使用SAVE人工智能引擎、基因特征引擎、云查引擎等多種引擎，實(shí)時(shí)監(jiān)控電腦上文件寫(xiě)入、讀取和執(zhí)行操作，當(dāng)檢測(cè)到威脅文件寫(xiě)入、讀取、執(zhí)行時(shí)，立即阻斷相關(guān)操作，并進(jìn)行告警。防止威脅文件落地、并進(jìn)一步執(zhí)行，從而保護(hù)業(yè)務(wù)安全。原理介紹文件實(shí)時(shí)監(jiān)控通過(guò)SAVE人工智能引擎、基因特征引擎、云查引擎等多種引擎，實(shí)時(shí)檢測(cè)文件并判定為黑白，流程圖如右圖。對(duì)WindowsServer和WindowsPC所在組啟用文件實(shí)時(shí)監(jiān)控策略。配置介紹配置介紹打開(kāi)【終端管理】->【策略中心】，選中具體分組即進(jìn)入該組實(shí)時(shí)防護(hù)設(shè)置。配置介紹防護(hù)級(jí)別高：監(jiān)控文件打開(kāi)、執(zhí)行、落地動(dòng)作中：監(jiān)控文件執(zhí)行、落地動(dòng)作低：監(jiān)控文件執(zhí)行動(dòng)作掃描引擎電腦性能足夠，掃描引擎可以全開(kāi)；性能不足，建議關(guān)閉基因特征引擎配置介紹發(fā)現(xiàn)惡意文件后的處置動(dòng)作標(biāo)準(zhǔn)處置：默認(rèn)配置為標(biāo)準(zhǔn)處置。根據(jù)病毒的類型和威脅程度，按系統(tǒng)預(yù)定義的處置方式對(duì)威脅文件進(jìn)行處置（確認(rèn)是病毒的自動(dòng)隔離，可疑病毒的僅上報(bào)不隔離，由人工進(jìn)一步分析處理）嚴(yán)格處理：適用于嚴(yán)格保護(hù)場(chǎng)景，可能會(huì)存在一定誤判。EDR檢測(cè)的所有威脅文件均隔離處理。僅上報(bào)不處置：適用于有人值守且用戶了解如何處置病毒的場(chǎng)景，需要人工分析上報(bào)的威脅日志進(jìn)行處理。EDR檢測(cè)的所有威脅文件僅上報(bào)安全日志，不隔離。配置介紹啟用文件實(shí)時(shí)監(jiān)控后，當(dāng)檢測(cè)到存在威脅文件時(shí)，會(huì)彈框告警發(fā)現(xiàn)惡意文件的告警。注意事項(xiàng)1、啟用文件實(shí)時(shí)監(jiān)控策略時(shí)，注意，右側(cè)鎖圖標(biāo)需要點(diǎn)亮，管理端的策略才能夠下發(fā)到終端，如下圖：2、文件實(shí)時(shí)監(jiān)控策略只對(duì)Windows終端生效，對(duì)其它終端不生效。病毒查殺文件實(shí)時(shí)監(jiān)控總結(jié)EDR微隔離掌握如何管理終端組織結(jié)構(gòu)掌握EDR可以采集終端哪些信息，以及在實(shí)際場(chǎng)景中能夠指導(dǎo)客戶如何使用掌握EDR基線檢查功能使用教學(xué)目標(biāo)需求背景原理簡(jiǎn)介微隔離使用目錄需求背景客戶端與業(yè)務(wù)服務(wù)器、服務(wù)器與服務(wù)器之間訪問(wèn)關(guān)系復(fù)雜，無(wú)法看清之間的訪問(wèn)關(guān)系、無(wú)法基于訪問(wèn)關(guān)系配置訪問(wèn)控制策略，從而給服務(wù)器安全帶來(lái)隱患，加大安全管理難度。微隔離是一種集中化的流量識(shí)別和管理技術(shù)。

在東西向訪問(wèn)關(guān)系控制上，能夠基于訪問(wèn)關(guān)系進(jìn)行訪問(wèn)控制策略配置，集中統(tǒng)一管理服務(wù)器的訪問(wèn)控制策略，減少了對(duì)物理、虛擬的服務(wù)器被攻擊的機(jī)會(huì)。

在訪問(wèn)關(guān)系可視化中，采用統(tǒng)一管理的方式對(duì)終端的網(wǎng)絡(luò)訪問(wèn)關(guān)系進(jìn)行圖形化展示，可以看到每個(gè)業(yè)務(wù)域內(nèi)部各個(gè)終端的訪問(wèn)關(guān)系展示以及訪問(wèn)記錄。訪問(wèn)關(guān)系控制

在東西向訪問(wèn)關(guān)系控制上，優(yōu)先對(duì)所有的服務(wù)器進(jìn)行業(yè)務(wù)安全域的邏輯劃域隔離，并對(duì)業(yè)務(wù)區(qū)域內(nèi)的服務(wù)器提供的服務(wù)進(jìn)行應(yīng)用角色劃分，對(duì)不同應(yīng)用角色之間服務(wù)訪問(wèn)進(jìn)行訪問(wèn)控制配置，減少了對(duì)物理、虛擬的服務(wù)器被攻擊的機(jī)會(huì)，集中統(tǒng)一管理服務(wù)器的訪問(wèn)控制策略。并且基于安裝輕量級(jí)主機(jī)Agent軟件的訪問(wèn)控制，不受虛擬化平臺(tái)的影響，不受物理機(jī)器和虛擬機(jī)器的影響。

在訪問(wèn)關(guān)系可視化中，采用統(tǒng)一管理的方式對(duì)終端的網(wǎng)絡(luò)訪問(wèn)關(guān)系進(jìn)行圖形化展示，可以看到每個(gè)業(yè)務(wù)域內(nèi)部各個(gè)終端的訪問(wèn)關(guān)系展示以及訪問(wèn)記錄。訪問(wèn)關(guān)系可視化需求背景原理簡(jiǎn)介微隔離使用目錄原理簡(jiǎn)介微隔離使用Windows防火墻WFP和Linux防火墻iptables進(jìn)行訪問(wèn)流量控制和上報(bào)的。

如下圖為微隔離整體流程圖，先在MGR下發(fā)微隔離策略，此時(shí)終端會(huì)根據(jù)配置的微隔離策略設(shè)置終端電腦防火墻規(guī)則。當(dāng)終端發(fā)送請(qǐng)求時(shí)，系統(tǒng)會(huì)根據(jù)要訪問(wèn)的IP地址、端口、協(xié)議等來(lái)解析請(qǐng)求，然后與防火墻規(guī)則進(jìn)行匹配，允許則放通，不允許則直接丟棄。設(shè)置微隔離策略下發(fā)微隔離策略消除原有規(guī)則消除原有規(guī)則根據(jù)微隔離策略設(shè)置防火墻根據(jù)微隔離策略設(shè)置防火墻MGR數(shù)據(jù)庫(kù)agent1agentNagent1的防火墻agent1的防火墻agent1agent1的防火墻分析此次請(qǐng)求要請(qǐng)求的地址、端口、協(xié)議防火墻規(guī)則是否符合防火墻規(guī)則否是agent2agent2的防火墻原理簡(jiǎn)介需求背景原理簡(jiǎn)介微隔離使用目錄微隔離使用此章節(jié)我們先介紹微隔離整體配置思路，再以“防止感染病毒蔓延場(chǎng)景”舉例說(shuō)明微隔離如何使用及使用效果。配置思路完成微隔離的配置需要以下四個(gè)步驟：1.業(yè)務(wù)系統(tǒng)梳理根據(jù)客戶需求梳理客戶業(yè)務(wù)系統(tǒng)/IP/角色/服務(wù)及各對(duì)象之間的訪問(wèn)關(guān)系，為后面的微隔策略做準(zhǔn)備。2.定義對(duì)象根據(jù)第1步梳理的內(nèi)容，定義業(yè)務(wù)系統(tǒng)/IP組/服務(wù)等對(duì)象，為微隔離策略調(diào)用。3.配置微隔離策略根據(jù)第1步梳理的訪問(wèn)關(guān)系和第3步定義的業(yè)務(wù)系統(tǒng)/IP組/服務(wù)，配置微隔離策略。4.效果驗(yàn)證微隔離使用案例——防止感染病毒蔓延場(chǎng)景場(chǎng)景說(shuō)明需求描述：在用戶區(qū)出現(xiàn)了勒索病毒時(shí)，勒索病毒將會(huì)作用135、136、137、139、445以及3389進(jìn)行傳播，在不能即時(shí)查殺時(shí)，可使用微隔離，對(duì)所有的終端（PC，服務(wù)器）進(jìn)行端口封堵。預(yù)期效果：所有的終端之間不能相互訪問(wèn)共享服務(wù)端口以及遠(yuǎn)程桌面端口。配置步驟1.業(yè)務(wù)系統(tǒng)梳理根據(jù)場(chǎng)景說(shuō)明梳理業(yè)務(wù)系統(tǒng)/IP組/服務(wù)，及訪問(wèn)關(guān)系，如下表：對(duì)象業(yè)務(wù)系統(tǒng)業(yè)務(wù)系統(tǒng)名稱終端組包括的終端所有終端-ALL用戶區(qū)1、用戶區(qū)2、用戶區(qū)3、服務(wù)區(qū)1、服務(wù)區(qū)2pc1、pc2...server1、server2...IP組IP組名稱IP地址范圍IP組類型辦公終端172.16.200-172.16.200.254內(nèi)網(wǎng)服務(wù)（只需要梳理自定義策略）服務(wù)名稱協(xié)議類型端口流量類型