08-数据过滤
本章节下载: 08-数据过滤 (358.70 KB)
本帮助主要介绍以下内容:
· 特性简介
¡ 基本概念
· 配置指南
¡ 配置关键字组
数据过滤是一种对流经设备的报文的应用层信息进行过滤的安全防护机制。采用数据过滤功能可以有效防止内网机密信息泄露,禁止内网用户在Internet上浏览、发布和传播违规或违法信息。目前,数据过滤功能支持对基于以下应用层协议传输的应用层信息进行检测和过滤。
· HTTP(Hypertext Transfer Protocol,超文本传输协议)
· FTP(File Transfer Protocol,文件传输协议)
· SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)
· IMAP(Internet Mail Access Protocol,Internet邮件访问协议)
· NFS(Network File System,网络文件系统)
· POP3(Post Office Protocol - Version 3,邮局协议版本3)
· RTMP(Real Time Messaging Protocol,实时消息传输协议)
· SMB(Server Message Block,服务器信息块)
关键字是用于识别应用层信息特征的字符串。包括预定义关键字和自定义关键字。
· 预定义关键字:由设备生成,包括手机号、银行卡号、信用卡号和身份证号。
· 自定义关键字:管理员自定义的需要识别的关键字,支持文本匹配方式和正则表达式匹配方式。
关键字组用来对数据过滤关键字进行统一组织和管理。一个关键字组中可以包含32个关键字(包括自定义关键字和预定义关键字),且它们之间是或的关系。
数据过滤规则是报文应用层信息安全检测条件及处理动作的集合。在一条规则中可设置关键字组、方向、应用类型和动作(允许、丢弃、生成日志)。只有报文成功匹配规则中包含的所有检测条件才算与此规则匹配成功。
设备对报文进行数据过滤处理的整体流程如下:
1. 如果报文匹配了某个安全策略,且此策略引用了数据过滤配置文件,则对报文进行数据过滤处理。
2. 设备提取报文中的应用层信息与数据过滤规则进行匹配,并根据匹配结果对报文执行动作:
¡ 如果报文同时与多条规则匹配成功,则执行这些规则中优先级最高的动作,动作优先级从高到低的顺序为:丢弃 > 允许,但是对于生成日志动作只要匹配成功的规则中已配置就会执行。
¡ 如果报文只与一条规则匹配成功,则执行此规则中指定的动作。
¡ 如果报文未与任何数据过滤规则匹配成功,则设备直接允许报文通过。
数据过滤功能的配置思路如下图所示:
图-1 数据过滤功能配置指导图
1. 选择“对象 > 应用安全 > 数据过滤 > 关键字组”。
2. 在“关键字组”页面单击<新建>按钮,进入“新建关键字组”页面。
3. 新建关键字组,具体配置内容如下:
表-1 关键字组配置内容
参数 |
说明 |
名称 |
表示关键字组的名称 |
描述 |
通过合理编写描述信息,便于管理员快速理解和识别本关键字组的作用 |
4. 在“预定义关键字列表”区域,启用预定义关键字。
5. 在“自定义关键字列表”区域,单击<新建>按钮,进入“新建关键字”页面。
6. 新建关键字,具体配置内容如下:
表-2 关键字配置内容
参数 |
说明 |
名称 |
表示关键字的名称 |
匹配模式 |
包括文本和正则表达式两种: · 文本方式表示对报文进行精确匹配 · 正则表达式方式表示对报文进行模糊匹配 |
匹配内容 |
输入关键字的内容 |
7. 单击<确定>按钮,新建关键字成功,且会在自定义关键字列表中显示。
8. 在“新建关键字组”页面单击<确定>按钮,新建关键字组成功,且会在“关键字组”页面中显示。
1. 选择“对象 > 应用安全 > 数据过滤 > 配置文件”。
2. 在“数据过滤配置文件”页面单击<新建>按钮,进入“新建数据过滤配置文件”页面。
3. 新建数据过滤配置文件,具体配置内容如下:
表-3 数据过滤配置文件配置内容
参数 |
说明 |
名称 |
表示数据过滤配置文件的名称 |
描述 |
通过合理编写描述信息,便于管理员快速理解和识别本数据过滤配置文件的作用 |
4. 在“数据过滤规则”区域,单击<新建>按钮,进入“新建数据过滤规则”页面。
5. 新建数据过滤规则,具体配置内容如下:
表-4 数据过滤规则配置内容
参数 |
说明 |
名称 |
表示数据过滤规则的名称 |
关键字组 |
指定规则引用的关键字组来对报文的应用层信息进行关键字匹配 |
应用 |
指定数据过滤规则的应用层协议,具体包括:FTP、HTTP、IMAP、NFS、POP3、RTMP、SMB和SMTP协议。可以根据业务应用所属的应用层协议类型来灵活控制对哪些协议类型的报文进行数据过滤 |
方向 |
包括上传、下载和双向,可以根据报文传输的方向来灵活控制对哪个方向的报文进行数据过滤 |
动作 |
包括允许和丢弃。允许表示对匹配规则的报文进行放行,丢弃表示对匹配规则的报文进行丢弃 |
日志 |
开启日志功能后,对与此规则匹配成功的报文生成日志信息;关闭日志功能后,对与此规则匹配成功的报文不会生成日志信息 |
6. 单击<确定>按钮,新建数据过滤规则成功,且会在“新建数据过滤配置文件”页面的数据过滤规则列表中显示。
7. 在“新建数据过滤配置文件”页面单击<确定>按钮,新建数据过滤配置文件成功,且会在“数据过滤配置文件”页面中显示。
8. 在安全策略的内容安全配置中引用此数据过滤配置文件,有关安全策略的详细配置介绍请参见“安全策略联机帮助”。
9. 新建配置文件后,需要激活才能生效。如需立即激活,请单击<提交>按钮。否则,设备默认40秒后自动激活。
· 正则表达式中,总的分支不能超过四个。例如'abc(c|d|e|\x3D)'有效,'abc(c|onreset|onselect|onchange|style\x3D)'无效。
· 正则表达式中,括号不能嵌套,即括号中不能有括号。例如'ab((abcs*?))'无效。
· 正则表达式中,分支不支持串联,即分支后面不能有分支。例如'ab(a|b)(c|d)^\\r\\n]+?'无效。
· 正则表达式中,零次重复量词'*'和'?'前面必须有四个确定字符。例如'abc*'无效,'abcd*DoS\x2d\d{5}\x20\x2bxi\\r\\nJOIN'有效。
配置文件变更后(包括新建、编辑和删除),需要激活才能生效。如需立即激活,请单击<提交>按钮。否则,设备默认40秒后自动激活。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!