本文的最近更新

日期	更新
2021 年 4 月 14 日	添加了常见问题解答如何使用 curl for Windows 测试 GTI Windows？
2020 年 7 月 14 日	已更新以下常见问题解答： 如果阻止流量，GTI 会触发哪些规则？ 是否使用域名评级？ 如何为 ENS 客户端功能配置防火墙 GTI项？ 如何对 GTI 评级表示担心，或详细了解 GTI 评级？
2019 年 12 月 20 日	带有标记Endpoint Security 防火墙10.7.x.
2019 年 9 月 12 日	更新如何为内部网络配置 ENS 防火墙 GTI排除项？
2019 年 8 月 12 日	添加什么是 ENS 防火墙 GTI规则名称?并更新了 GTI 日志示例。

本文提供有关 ENS 防火墙保护 （GTI） Global Threat Intelligence的详细信息。

若要使用 GTI 功能，需要打开哪些主机名和端口号？
若要正常工作，必须打开以下主机名和端口号。 确保这些防火墙在任何网关防火墙上均打开，如适用，还请代理服务器。

• 如果不使用主机名，代理服务器 ENS 客户端需要直接连接到 GTI 主机名和端口。
• 如果使用主机名代理服务器，则 代理服务器 需要连接到 GTI 主机名和端口。 配置 代理服务器 ENS 中的配置选项常见该部分下的策略名称Proxy ServeR。 有两个选项可供选择，用于配置 代理服务器：
  • 使用系统代理服务器设置– ENS 防火墙 GTI仅在代理服务器配置了 代理服务器 端口时使用同一地址。
  • 配置代理服务器– ENS 防火墙 GTI始终使用指定的代理服务器。
    
  提示：从地址选择中排除 GTI 代理服务器。 有关详细信息，请参阅：KB79640 - 连接到 Global Threat Intelligence.

要验证 ENS 通用设置代理服务器，请查看\ProgramData\McAfee\Endpoint Security\Logs\EndpointSecurityPlatform_Debug.log文件。

08/31/2018 09:27:48.465 AM mfeesp(9820.12244) LPC.CommonLPC.Debug: Fetching Property setting [enableHTTPAuth] with its value [false]
08/31/2018 09:27:48.481 AM mfeesp(9820.12244) LPC.CommonLPC.Debug: Fetching Property setting [gtiProxyServerAddress] with its value [10.10.10.1]
08/31/2018 09:27:48.481 AM mfeesp(9820.12244) LPC.CommonLPC.Debug: Fetching Property setting [gtiProxyServerPort] with its value [8080]
08/31/2018 09:27:48.481 AM mfeesp(9820.12244) LPC.CommonLPC.Debug: Fetching Property setting [gtiProxyType] with its value [2],/div>

如果发生故障，请查看EndpointSecurityPlatform_Debug.log代理服务器身份验证错误。 有关详细信息，请参阅：KB88190 - 指定域\用户名时代理服务器登录失败

08/31/2018 12:38:36.920 PM mfeesp(3052.4660) GTIBL.GTI.Debug: Could not connect to host tunnel.web.trustedsource.org.:443 via HTTP proxy Proxy.customer.com:80; HTTP status code = 407
08/31/2018 12:38:36.921 PM mfeesp(3052.4660) GTIBL.GTI.Debug: could not setup proxy (proxy host: Proxy.customer.com host: tunnel.web.trustedsource.org.)


如何使用 GTI 连接性测试 curl用于Windows？
验证 GTI 连接是否成功。

• 如果您使用基本 代理服务器 身份验证，则请使用以下命令测试与 GTI 的连接：

• 如果不使用身份验证，代理服务器用户名并使用以下命令测试与 GTI 的连接：

• 如果不使用网络控制，代理服务器以下命令测试与 GTI 的连接：

如果阻止流量，GTI 会触发哪些规则？
如果由于防火墙 GTI GTI In 或 Out network-信誉阈值 评级而阻止网络流量，ENS 模式会触发以下防火墙规则。

• GTI 规则 - TCP - In
• GTI 规则 - UDP - In
• GTI 规则 - TCP - 出
• GTI 规则 - UDP - 出

我IP使用哪些地址测试 GTI 功能？
使用以下地址IP ENS 防火墙 GTI功能。 访问这些IP地址时，被阻止的事件必须显示在 ENS 中FirewallEventMonitor.log具有规则名称的文件GTI 规则 - TCP - 出.

如果 ENS 防火墙无法连接 GTI 服务器，会发生什么流量？
您可以配置 ENS 防火墙，以在 GTI 评级服务器不可访问时，默认阻止或允许流量。 配置设置如果McAfee GTI评级服务器在 ENS 防火墙 中选项该部分下的策略名称McAfee GTI网络信誉.


文件查询使用哪种哈希类型？
ENS 使用 SHA-256 对 GTI 进行文件查询。 ENS 继续支持 MD5 用于策略配置和报告。


是否使用域名评级？
不。连接IP地址和端口号根据 GTI 数据库进行评分。 域名评级未使用。


GTI 评级是否根据连接方式不同而不同？
是。 GTI 评级根据连接方式不同而有所差异。 例如，发至 IP 地址的端口 25 流量的 GTI 评级可不同于端口 80 流量。


如何为 ENS 客户端功能配置防火墙 GTI项？
IP 您可以在防火墙选项策略下为定义的网络部分。

• 列为以下值的值信任配置 防火墙 以绕过 GTI 功能中的条目，同时允许所有网络流量进入定义的值，或允许来自定义的值。
• 列为以下值的值不可信配置 防火墙 以绕过 GTI 功能中的条目。 但是，这些值也应用于允许/阻止防火墙规则，其中本地网络或远程网络定义为定义的网络 （不可信）。

ENS 是否防火墙 GTI排除任何IP地址？
ENS 防火墙 GTI会自动从评级IP排除下列地址：

• 10.0.0.0 - 10.255.255.255
• 169.254.0.0 - 169.254.255.255
• 172.16.0.0 - 172.31.255.255
• 192.168.0.0 - 192.168.255.255
• 127.0.0.1 - 127.255.255.255
• 0000:0000:0000:0000:0000:0000:0000:0001
• 0000:0000:0000:0000:0000:FFFF:0A00:0000 - 0000:0000:0000:0000:0000:FFFF:0AFF:FFFF
• 0000:0000:0000:0000:0000:FFFF:AC10:0000 - 0000:0000:0000:0000:0000:FFFF:AC1F:FFFF
• 0000:0000:0000:0000:0000:FFFF:C0A8:0000 - 0000:0000:0000:0000:0000:FFFF:C0A8:FFFF
• 0000:0000:0000:0000:0000:FFFF:A9FE:0000 - 0000:0000:0000:0000:0000:FFFF:A9FE:FFFF
• FE80:0000:0000:0000:0000:0000:0000:0000 - FE80:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF

流量被阻止时，事件是否发送到 ePO？
如果设置记录匹配流量在 ENS 防火墙中启用选项该部分下的策略McAfee GTI网络信誉， 生成事件 ID 35002 事件并报告至ePO 服务器。


我能否使用 ePO 查询报告 GTI 事件？
是。 名为Endpoint Security 防火墙： 最近 McAfee GTI 个月内的事件提供。 您还可以创建自己的 ePO 查询，以报告 GTI 事件。


如何对 GTI 评级表示担心，或详细了解 GTI 评级？
要就 GTI 评级问题或请求更多有关 GTI 评级的信息，您可以使用以下两个选项：

• 请访问McAfee TrustedSource网站，网址：https://www.trustedsource.org.

• 联系sites@mcafee.com.