• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

17-DPI深度安全配置指导

目录

07-文件过滤配置

本章节下载 07-文件过滤配置  (265.24 KB)

07-文件过滤配置


1 文件过滤

1.1  文件过滤简介

文件过滤是一种根据文件扩展名信息对经设备传输的文件进行过滤的安全防护机制。采用文件过滤功能可以对指定类型的文件进行批量过滤。目前,文件过滤功能支持对基于HTTP、FTP、SMTP、IMAP、NFS、POP3、RTMP和SMB协议传输的文件进行检测和过滤。

1.1.1  基本概念

1. 文件过滤特征

文件过滤特征是设备上定义的用于识别文件扩展名特征的字符串。

2. 文件类型组

文件类型组用来对文件过滤特征进行统一组织和管理。一个文件类型组中可以包含32个特征,且它们之间是或的关系。

3. 文件过滤规则

文件过滤规则是安全检测条件及处理动作的集合。在一个规则中可配置的检测条件包括文件类型组、报文方向、应用类型,可配置的处理动作包括丢弃、放行和生成日志。只有文件属性(包括文件的应用类型、传输方向和扩展名)成功匹配规则中包含的所有检测条件才算与此规则匹配成功。

1.1.2  文件过滤的实现原理

文件过滤功能是通过在DPI应用profile中引用文件过滤策略,并在安全策略中引用DPI应用profile实现的,设备对报文进行文件过滤处理的整体流程如下:

(1)     当设备收到基于HTTP、FTP、SMTP等协议传输的文件时,设备将对匹配了策略的报文进行文件过滤处理。‍有关安全策略的详细介绍请参见“安全配置指导”中的“安全策略”。

(1)     设备提取报文中传输的文件的扩展名信息并记录。

(2)     设备进一步识别文件真实类型,并将识别的结果与扩展名进行匹配:

¡     如果一致,则使用扩展名与文件过滤规则进行匹配,并进入步骤(3)处理;

¡     如果不一致,则查看文件扩展名不匹配时动作,如果动作为丢弃,则直接丢弃报文,不再进行文件过滤规则的匹配;如果动作为允许,则使用文件的真实类型与文件过滤规则进行匹配,并进入步骤(3)处理。

(3)     与文件过滤规则进行匹配,并根据匹配结果对报文执行以下动作:

¡     如果文件的扩展名信息/真实类型同时与多个文件过滤规则匹配成功,则执行这些规则中优先级最高的动作,动作优先级从高到低的顺序为:丢弃 > 允许,但是对于生成日志动作只要匹配成功的规则中存在就会执行;

¡     如果文件的扩展名信息/真实类型只与一个文件过滤规则匹配成功,则执行此规则中指定的动作;

¡     如果文件的扩展名信息/真实类型未与任何文件过滤规则匹配成功,则设备直接允许文件通过。

(4)     如果设备不能识别出文件真实类型,则根据文件扩展名与文件过滤规则进行匹配,并进入步骤(3)处理。

1.2  文件过滤配置任务简介

文件过滤配置任务如下:

(5)     配置文件类型组

(6)     配置文件过滤策略

(7)     配置文件扩展名不匹配时动作

(8)     在DPI应用profile中引用文件过滤策略

(9)     (可选)激活文件过滤策略和规则配置

(10)     在安全策略中引用文件过滤业务

1.3  配置文件类型组

1. 功能简介

一个文件类型组中可配置多个文件过滤特征,各特征之间是或的关系。定义文件过滤特征的方式为文本。

2. 配置步骤

(11)     进入系统视图。

system-view

(12)     创建文件类型组,并进入文件类型组视图。

file-filter filetype-group group-name

(13)     (可选)配置文件类型组的描述信息。

description string

缺省情况下,未配置文件类型组的描述信息。

(14)     配置文件过滤特征。

pattern pattern-name text pattern-string

缺省情况下,未配置文件过滤特征。

1.4  配置文件过滤策略

1. 功能简介

一个文件过滤策略中最多可以定义32个文件过滤规则,各规则之间是或的关系。每个规则中可配置一个文件类型组、多种应用层协议类型、一种报文方向以及多个动作。

2. 配置限制和指导

NFS协议仅支持NFSv3版本;SMB协议支持SMBv1和SMBv2版本。

当动作配置为logging时,设备将记录日志并支持如下两种方式输出日志。

·     快速日志:此方式生成的日志信息直接发送到管理员指定的日志主机。

·     系统日志:此方式生成的日志信息将发送到信息中心,由信息中心决定日志的输出方向。本业务产生的系统日志不支持输出到控制台和监视终端。如需快速获取日志信息,可通过执行display logbuffer命令进行查看。

系统日志会对设备性能产生影响,建议采用快速日志方式。

有关display logbuffer命令的详细介绍,请参见“设备管理命令参考”中的“信息中心”;有关快速日志的详细介绍,请参见“网络管理和监控配置指导”中的“快速日志输出”。

3. 配置步骤

(15)     进入系统视图。

system-view

(16)     创建文件过滤策略,并进入文件过滤策略视图。

file-filter policy policy-name

(17)     (可选)配置文件过滤策略的描述信息。

description string

缺省情况下,未配置文件过滤策略的描述信息。

(18)     创建文件过滤规则,并进入文件过滤规则视图。

rule rule-name

(19)     指定文件过滤规则采用的文件类型组。

filetype-group group-name

缺省情况下,未指定文件过滤规则采用的文件类型组。

(20)     配置文件过滤规则的应用层协议类型。

application { all | type { ftp | http | imap | nfs | pop3 | rtmp | smb | smtp } * }

缺省情况下,文件过滤规则中未指定应用层协议类型。

(21)     配置文件过滤规则的匹配方向。

direction { both | download | upload }

缺省情况下,文件过滤规则的匹配方向为上传方向。

(22)     配置文件过滤规则的动作。

action { drop | permit } [ logging ]

缺省情况下,文件过滤规则的动作为丢弃。

1.5  配置文件扩展名不匹配时动作

1. 功能简介

设备对报文进行文件过滤处理时,会将识别出的文件真实类型与文件扩展名进行对比,当二者不一致时,需要根据本配置进行判断。如果配置动作为允许,则根据识别出的真实的文件类型与文件过滤规则进行匹配,并执行文件过滤规则中的动作;如果配置动作为丢弃,则直接丢弃报文,不再进行文件过滤规则的匹配。

2. 配置步骤

(23)     进入系统视图。

system-view

(24)     配置文件扩展名不匹配时动作

file-filter false-extension action { drop | permit }

缺省情况下,文件的真实类型与扩展名不匹配时执行的动作为允许。

1.6  在DPI应用profile中引用文件过滤策略

1. 功能简介

DPI应用porfile是一个安全业务的配置模板,为实现文件过滤功能,必须在DPI应用porfile中引用指定的文件过滤策略。一个DPI应用profile中只能引用一个文件过滤策略,如果重复配置,则新的配置会覆盖已有配置。

2. 配置步骤

(25)     进入系统视图。

system-view

(26)     进入DPI应用profile视图。

app-profile profile-name

关于该命令的详细介绍请参见“DPI深度安全命令参考”中的“应用层检测引擎”。

(27)     在DPI应用profile中引用文件过滤策略。

file-filter apply policy policy-name

缺省情况下,DPI应用profile中未引用文件过滤策略。

1.7  激活文件过滤策略和规则配置

1. 功能简介

缺省情况下,当文件过滤业务发生配置变更时(即策略或规则被创建、修改和删除),系统将会检测在20秒的间隔时间内是否再次发生了配置变更,并根据判断结果执行如下操作:

·     如果间隔时间内未发生任何配置变更,则系统将在下一个间隔时间结束时(即40秒时)执行一次激活操作,使这些策略和规则的配置生效。

·     如果间隔时间内再次发生了配置变更,则系统将继续按照间隔时间周期性地检测是否发生配置变更。

有关此功能的详细介绍请参见“DPI深度安全配置指导”中的“应用层检测引擎”。

2. 配置步骤

(28)     进入系统视图。

system-view

(29)     激活文件过滤策略和规则配置。

inspect activate

缺省情况下,文件过滤策略和规则被创建、修改和删除后,系统会自动激活配置使其生效。

注意

执行此命令会暂时中断DPI业务的处理,可能导致其他基于DPI功能的业务同时出现中断。例如,安全策略无法对应用进行访问控制等。

 

1.8  在安全策略中引用文件过滤业务

(30)     进入系统视图。

system-view

(31)     进入安全策略视图。

security-policy { ip | ipv6 }

(32)     进入安全策略规则视图。

rule { rule-id | [ rule-id ] name rule-name }

(33)     配置安全策略规则的动作为允许。

action pass

缺省情况下,安全策略规则动作是丢弃。

(34)     配置安全策略规则引用DPI应用profile。

profile app-profile-name

缺省情况下,安全策略规则中未引用DPI应用profile。

1.9  文件过滤配置举例

1.9.1  在安全策略中引用文件过滤业务配置举例

1. 组网需求

图1-1所示,AC与外网相连。为了降低机密信息泄露和病毒文件接入客户端的风险,在AC上配置文件过滤功能,对指定文件类型进行批量过滤。具体要求如下:

·     拒绝扩展名为pptx和dotx的文件通过。

·     对以上被阻止的文件生成日志信息。

2. 组网图

图1-1 在安全策略中引用文件过滤业务配置组网图

 

3. 配置步骤

(35)     配置AC的接口

# 创建VLAN 100及其对应的VLAN接口,并为该接口配置IP地址。AP将获取该IP地址与AC建立CAPWAP隧道。

<AC> system-view

[AC] vlan 100

[AC-vlan100] quit

[AC] interface vlan-interface 100

[AC-Vlan-interface100] ip address 192.1.1.1 24

[AC-Vlan-interface100] quit

# 创建VLAN 200及其对应的VLAN接口,并为该接口配置IP地址。Client使用该VLAN接入无线网络。

[AC] vlan 200

[AC-vlan200] quit

[AC] interface vlan-interface 200

[AC-Vlan-interface200] ip address 192.2.1.1 24

[AC-Vlan-interface200] quit

# 配置AC和Switch相连的接口GigabitEthernet1/0/1为Trunk类型,允许VLAN 100和VLAN 200通过。

[AC] interface gigabitethernet 1/0/1

[AC-GigabitEthernet1/0/1] port link-type trunk

[AC-GigabitEthernet1/0/1] port trunk permit vlan 100 200

[AC-GigabitEthernet1/0/1] quit

(36)     配置无线服务

# 创建无线服务模板1,并进入无线服务模板视图。

[AC] wlan service-template 1

# 配置SSID为service。

[AC-wlan-st-1] ssid service

# 配置为集中式转发。

[AC-wlan-st-1] client forwarding-location ac

# 配置无线客户端上线后加入到VLAN 200。

[AC-wlan-st-1] vlan 200

# 使能无线服务模板。

[AC-wlan-st-1] service-template enable

[AC-wlan-st-1] quit

(37)     配置AP

# 创建手工AP,名称为ap1,型号为WA6320。

[AC] wlan ap ap1 model WA6320

# 设置AP序列号为219801A28N819CE0002T 。

[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T

# 进入AP的Radio 1视图,并将无线服务模板1绑定到Radio 1上。

[AC-wlan-ap-ap1] radio 1

[AC-wlan-ap-ap1-radio-1] service-template 1

# 开启Radio 1的射频功能。

[AC-wlan-ap-ap1-radio-1] radio enable

[AC-wlan-ap-ap1-radio-1] quit

# 进入AP的Radio 2视图,并将无线服务模板1绑定到Radio 2上。

[AC-wlan-ap-ap1] radio 2

[AC-wlan-ap-ap1-radio-2] service-template 1

# 开启Radio 2的射频功能。

[AC-wlan-ap-ap1-radio-2] radio enable

[AC-wlan-ap-ap1-radio-2] quit

[AC-wlan-ap-ap1] quit

(38)     配置对象组

# 创建名为filefilter的IP地址对象组,并定义其子网地址为192.2.1.0/24。

[AC] object-group ip address filefilter

[AC-obj-grp-ip-filefilter] network subnet 192.2.1.0 24

[AC-obj-grp-ip-filefilter] quit

(39)     配置文件类型组

# 创建文件类型组fg1,并进入文件类型组视图。

[AC] file-filter filetype-group fg1

# 配置文件过滤特征为pptx和dotx。

[AC-file-filter-fgroup-fg1] pattern 1 text pptx

[AC-file-filter-fgroup-fg1] pattern 2 text dotx

[AC-file-filter-fgroup-fg1] quit

(40)     配置文件过滤策略

# 创建文件过滤策略p1,并进入文件过滤策略视图。

[AC] file-filter policy p1

# 创建文件过滤规则r1,并进入文件过滤规则视图。

[AC-file-filter-policy-p1] rule r1

# 在规则r1中应用文件类型组fg1,配置应用类型为HTTP,报文方向为会话的双向,动作为丢弃并输出日志。

[AC-file-filter-policy-p1-rule-r1] filetype-group fg1

[AC-file-filter-policy-p1-rule-r1] application type http

[AC-file-filter-policy-p1-rule-r1] direction both

[AC-file-filter-policy-p1-rule-r1] action drop logging

[AC-file-filter-policy-p1-rule-r1] quit

[AC-file-filter-policy-p1] quit

(41)     在DPI应用profile中引用文件过滤策略

# 创建名称为profile1的DPI应用profile,并进入DPI应用profile视图。

[AC] app-profile profile1

# 在DPI应用profile1中应用文件过滤策略p1。

[AC-app-profile-profile1] file-filter apply policy p1

[AC-app-profile-profile1] quit

# 激活文件过滤策略和规则配置。

[AC] inspect activate

(42)     配置安全策略引用文件过滤业务

# 进入IPv4安全策略视图

[AC] security-policy ip

# 创建名为inspect1的安全策略规则,过滤条件为源IP地址对象组filefilter,动作为允许,且引用的DPI应用profile为profile1。

[AC-security-policy-ip] rule name inspect1

[AC-security-policy-ip-14-inspect1] source-ip filefilter

[AC-security-policy-ip-14-inspect1] action pass

[AC-security-policy-ip-14-inspect1] profile profile1

[AC-security-policy-ip-14-inspect1] quit

# 激活安全策略的加速功能。

[AC-security-policy-ip] accelerate enhanced enable

[AC-security-policy-ip] quit

4. 验证配置

完成上述配置后,设备会阻止扩展名为pptx和dotx的文件通过,并对被阻止的文件生成日志信息。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们