- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
06-数据过滤
本章节下载: 06-数据过滤 (355.84 KB)
本帮助主要介绍以下内容:
· 特性简介
¡ 基本概念
· 配置指南
¡ 配置关键字组
数据过滤是一种对流经设备的报文的应用层信息进行过滤的安全防护机制。采用数据过滤功能可以有效防止内网机密信息泄露,禁止内网用户在Internet上浏览、发布和传播违规或违法信息。目前,数据过滤功能支持对基于以下应用层协议传输的应用层信息进行检测和过滤。
· HTTP(Hypertext Transfer Protocol,超文本传输协议)
· FTP(File Transfer Protocol,文件传输协议)
· SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)
关键字是设备上定义的用于识别应用层信息特征的字符串。
关键字组用来对数据过滤关键字进行统一组织和管理。一个关键字组中可以包含32个关键字,且它们之间是或的关系。
数据过滤规则是报文应用层信息安全检测条件及处理动作的集合。在一个规则中可设置关键字组、报文方向、应用类型和动作(允许、阻断、生成日志)。只有报文成功匹配规则中包含的所有检测条件才算与此规则匹配成功。
设备对报文进行数据过滤处理的整体流程如下:
1. 当设备收到HTTP、FTP、SMTP报文时,如果报文匹配了某个安全策略,且此策略的动作是允许并引用了数据过滤配置文件,则对报文进行数据过滤处理。
2. 设备提取报文中的应用层信息与数据过滤规则进行匹配,并根据匹配结果对报文执行动作:
¡ 如果报文同时与多个规则匹配成功,则执行这些规则中优先级最高的动作,动作优先级从高到低的顺序为:阻断 > 允许,但是对于生成日志动作只要匹配成功的规则中已配置就会执行。
¡ 如果报文只与一个规则匹配成功,则执行此规则中指定的动作。
¡ 如果报文未与任何数据过滤规则匹配成功,则设备直接允许报文通过。
数据过滤功能的配置思路如下图所示:
图-1 数据过滤功能配置指导图
以上配置指导图中主要介绍了配置数据过滤功能的主要方法和配置项,各配置项在Web界面的位置如下:
· 安全域在“网络 > 安全域”页面配置。
· 接口在“网络 > 接口”页面配置。
· 对象组在“对象 > 对象组”页面配置。
· 应用/应用组在“对象 > 应用安全 > 应用识别”页面配置。
· 用户在“对象 > 用户 > 用户管理 > 本地用户”页面配置。
· 时间段在“对象 >对象组> 时间段”页面配置。
· 安全动作在“对象 > 应用安全 > 安全动作”页面配置。
· 关键字组在“对象 > 应用安全 > 数据过滤 > 关键字组”页面配置。
· 数据过滤配置文件在“对象 > 应用安全 > 数据过滤 > 配置文件”页面配置。
· 安全策略在“策略 > 安全策略”页面配置。
关键字组用来统一组织和管理设备中配置的数据过滤关键字,一个关键字组中可以配置32个关键字,且它们之间是或的关系。
1. 选择“对象 > 应用安全 > 数据过滤 > 关键字组”。
2. 在“关键字组”页面单击<新建>按钮,进入“新建关键字组”页面。
3. 新建关键字组,具体配置内容如下:
表-1 关键字组配置
|
参数 |
说明 |
|
名称 |
表示关键字组的名称 |
|
描述 |
通过合理编写描述信息,便于管理员快速理解和识别本关键字组的作用 |
4. 在“新建关键字组”页面,单击<新建>按钮,进入“新建关键字”页面。
5. 新建关键字,具体配置内容如下:
表-2 关键字配置
|
参数 |
说明 |
|
名称 |
表示关键字的名称 |
|
匹配模式 |
包括文本和正则表达式两种,文本方式表示对报文进行精确匹配,正则表达式方式表示对报文进行模糊匹配 |
|
文本 |
输入关键字的内容 |
6. 单击<确定>按钮,新建关键字成功,且会在“新建关键字组”页面的关键字列表中显示。
7. 在“新建关键字组”页面单击<确定>按钮,新建关键字组成功,且会在“关键字组”页面中显示。
管理员也可以根据实际需求创建自定义的数据过滤配置文件。
1. 选择“对象 > 应用安全 > 数据过滤 > 配置文件”。
2. 在“数据过滤配置文件”页面单击<新建>按钮,进入“新建数据过滤配置文件”页面。
3. 新建数据过滤配置文件,具体配置内容如下:
表-3 数据过滤配置文件配置
|
参数 |
说明 |
|
名称 |
表示数据过滤配置文件的名称 |
|
描述 |
通过合理编写描述信息,便于管理员快速理解和识别本数据过滤配置文件的作用 |
4. 在“新建数据过滤配置文件”页面的数据过滤规则处单击<新建>按钮,进入“新建数据过滤规则”页面。
5. 新建数据过滤规则,具体配置内容如下:
表-4 数据过滤规则配置
|
参数 |
说明 |
|
名称 |
表示数据过滤规则的名称 |
|
关键字组 |
指定规则引用的关键字组来对报文的应用层信息进行关键字匹配 |
|
应用 |
指定数据过滤规则的应用层协议,具体包括:FTP协议、HTTP协议和SMTP协议。可以根据业务应用所属的应用层协议类型来灵活控制对哪些协议类型的报文进行数据过滤 |
|
方向 |
包括上传、下载和双向,可以根据报文传输的方向来灵活控制对哪个方向的报文进行数据过滤 |
|
动作 |
包括允许和阻断。允许表示对匹配规则的报文进行放行,阻断表示对匹配规则的报文进行阻断 |
|
日志 |
开启日志功能后,对与此规则匹配成功的报文生成日志信息;关闭日志功能后,对与此规则匹配成功的报文不会生成日志信息 |
6. 单击<确定>按钮,新建数据过滤规则成功,且会在“新建数据过滤配置文件”页面的数据过滤规则列表中显示。
7. 在“新建数据过滤配置文件”页面单击<确定>按钮,新建数据过滤配置文件成功,且会在“数据过滤配置文件”页面中显示。
8. 在安全策略的内容安全配置中引用此数据过滤配置文件,有关安全策略的详细配置介绍请参见“安全策略联机帮助”。
9. 单击<提交>按钮,激活数据过滤配置文件的配置内容。配置此功能会暂时中断DPI业务的处理,为避免重复配置此功能对DPI业务造成影响,请完成部署DPI各业务模块的配置文件后统一配置此功能。
· 正则表达式中,总的分支不能超过四个。例如'abc(c|d|e|\x3D)'有效,'abc(c|onreset|onselect|onchange|style\x3D)'无效。
· 正则表达式中,括号不能嵌套,即括号中不能有括号。例如'ab((abcs*?))'无效。
· 正则表达式中,分支不支持串联,即分支后面不能有分支。例如'ab(a|b)(c|d)^\\r\\n]+?'无效。
· 正则表达式中,零次重复量词'*'和'?'前面必须有四个确定字符。例如'abc*'无效,'abcd*DoS\x2d\d{5}\x20\x2bxi\\r\\nJOIN'有效。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
