- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
08-文件过滤
本章节下载: 08-文件过滤 (334.02 KB)
本帮助主要介绍以下内容:
· 特性简介
¡ 基本概念
· 配置指南
¡ 配置文件类型组
文件过滤是一种根据文件扩展名信息对经设备传输的文件进行过滤的安全防护机制。采用文件过滤功能可以对指定类型的文件进行批量过滤。目前,文件过滤功能支持对基于以下应用层协议传输的文件进行检测和过滤。
· HTTP(Hypertext Transfer Protocol,超文本传输协议)
· FTP(File Transfer Protocol,文件传输协议)
· SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)
文件过滤特征是设备上定义的用于识别文件扩展名特征的字符串。
文件类型组用来对文件过滤特征进行统一组织和管理。一个文件类型组中可以包含32个特征,且它们之间是或的关系。
文件过滤规则是安全检测条件及处理动作的集合。在一个规则中可配置的检测条件包括文件类型组、报文方向、应用类型,可配置的处理动作包括阻断、允许和生成日志。只有文件属性(包括文件的应用类型、传输方向和扩展名)成功匹配规则中包含的所有检测条件才算与此规则匹配成功。
设备对报文进行文件过滤处理的整体流程如下:
1. 当设备收到基于HTTP、FTP、SMTP协议传输的文件时,如果报文匹配了某个安全策略,且此策略的动作是允许并引用了文件过滤配置文件,则对报文进行文件过滤处理。
2. 设备提取文件的扩展名信息与文件过滤规则进行匹配,并根据匹配结果对文件执行动作:
¡ 如果文件的扩展名信息同时与多个规则匹配成功,则执行这些规则中优先级最高的动作,动作优先级从高到低的顺序为:阻断 > 允许,但是对于生成日志动作只要匹配成功的规则中存在就会执行。
¡ 如果文件的扩展名信息只与一个规则匹配成功,则执行此规则中指定的动作。
¡ 如果文件的扩展名信息未与任何文件过滤规则匹配成功,则设备直接允许文件通过。
文件过滤功能的配置思路如下图所示:
图-1 文件过滤功能配置指导图
以上配置指导图中主要介绍了配置文件过滤功能的主要方法和配置项,各配置项在Web界面的位置如下:
· 安全域在“网络 > 安全域”页面配置。
· 接口在“网络 > 接口”页面配置。
· 对象组在“对象 > 对象组”页面配置。
· 应用/应用组在“对象 > 应用安全 > 应用识别”页面配置。
· 用户在“对象 > 用户 > 用户管理 > 本地用户”页面配置。
· 时间段在“对象 >对象组> 时间段”页面配置。
· 安全动作在“对象 > 应用安全 > 安全动作”页面配置。
· 文件类型组在“对象 > 应用安全 >文件过滤 > 文件类型组”页面配置
· 文件过滤配置文件在“对象 > 应用安全 > 文件过滤 > 配置文件”页面配置。
· 安全策略在“策略 > 安全策略”页面配置。
文件类型组用来统一组织和管理设备中配置的文件过滤特征。一个文件类型组中可以配置32个文件过滤特征,且它们之间是或的关系。
1. 选择“对象 > 应用安全 > 文件过滤 > 文件类型组”。
2. 在“文件类型组”页面单击<新建>按钮,进入“新建文件类型组”页面。
3. 新建文件类型组,具体配置内容如下:
表-1 文件类型组配置
|
参数 |
说明 |
|
名称 |
表示文件类型组的名称 |
|
描述 |
通过合理编写描述信息,便于管理员快速理解和识别本文件类型组的作用 |
|
预定义扩展名 |
可在此处快速选择设备上已预定义的扩展名 |
|
自定义扩展名 |
当设备上预定义扩展名不能满足需求时,可在此处配置自定义的扩展名 |
4. 单击<确定>按钮,新建文件类型组成功,且会在“文件类型组”页面中显示。
管理员也可以根据实际需求创建自定义的文件过滤配置文件。
1. 选择“对象 > 应用安全 > 文件过滤 > 配置文件”。
2. 在“文件过滤配置文件”页面单击<新建>按钮,进入“新建文件过滤配置文件”页面。
3. 新建文件过滤配置文件,具体配置内容如下:
表-2 文件过滤配置文件配置
|
参数 |
说明 |
|
名称 |
表示文件过滤配置文件的名称 |
|
描述 |
通过合理编写描述信息,便于管理员快速理解和识别本文件过滤配置文件的作用 |
4. 在“新建文件过滤配置文件”页面的“文件过滤规则”区域,单击<新建>按钮,进入“新建文件过滤规则”页面。
5. 新建文件过滤规则,具体配置内容如下:
表-3 文件过滤规则配置
|
参数 |
说明 |
|
名称 |
表示文件过滤规则的名称 |
|
应用 |
指定文件过滤规则的应用层协议,具体包括:FTP协议、HTTP协议和SMTP协议。可以根据业务应用所属的应用层协议类型来灵活控制对哪些协议类型的报文进行文件过滤 |
|
文件类型组 |
指定规则引用的文件类型组来对文件的扩展名信息进行精确匹配 |
|
方向 |
包括上传、下载和双向,可以根据报文传输的方向来灵活控制对哪个方向的报文进行文件过滤 |
|
动作 |
包括允许和阻断。允许表示对匹配规则的报文进行放行,阻断表示对匹配规则的报文进行阻断 |
|
日志 |
开启日志功能后,对与此规则匹配成功的报文生成日志信息;关闭日志功能后,对与此规则匹配成功的报文不会生成日志信息 |
6. 单击<确定>按钮,新建文件过滤规则成功,且会在“新建文件过滤配置文件”页面的文件过滤规则列表中显示。
7. 在“新建文件过滤配置文件”页面单击<确定>按钮,新建文件过滤配置文件成功,且会在“文件过滤配置文件”页面中显示。
8. 在安全策略的内容安全配置中引用此文件过滤配置文件,有关安全策略的详细配置介绍请参见“安全策略联机帮助”
9. 单击<提交>按钮,激活文件过滤配置文件的配置内容。配置此功能会暂时中断DPI业务的处理,为避免重复配置此功能对DPI业务造成影响,请完成部署DPI各业务模块的配置文件后统一配置此功能。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
