10-文件过滤
本章节下载: 10-文件过滤 (349.29 KB)
本帮助主要介绍以下内容:
· 特性简介
¡ 基本概念
· 配置指南
¡ 配置文件类型组
文件过滤是一种根据文件扩展名信息对经设备传输的文件进行过滤的安全防护机制。采用文件过滤功能可以对指定类型的文件进行批量过滤。目前,文件过滤功能支持对基于以下应用层协议传输的文件进行检测和过滤。
· HTTP(Hypertext Transfer Protocol,超文本传输协议)
· FTP(File Transfer Protocol,文件传输协议)
· SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)
· IMAP(Internet Mail Access Protocol,Internet邮件访问协议)
· NFS(Network File System,网络文件系统)
· POP3(Post Office Protocol - Version 3,邮局协议版本3)
· RTMP(Real Time Messaging Protocol,实时消息传输协议)
· SMB(Server Message Block,服务器信息块)
文件类型组用来对扩展名进行统一组织和管理。一个文件类型组中可以包含32个扩展名(包括自定义扩展名和预定义扩展名),且它们之间是或的关系。
文件过滤规则是安全检测条件及处理动作的集合。在一条规则中可配置的检测条件包括文件类型组、方向、应用,可配置的处理动作包括丢弃、允许和记录日志。只有文件属性(包括文件的应用类型、传输方向和扩展名)成功匹配规则中包含的所有检测条件才算与此规则匹配成功。
全局配置定义了文件扩展名不匹配时动作和最大可解压数据大小,对所有DPI业务生效。
· 文件扩展名不匹配时动作:当设备检测出文件的真实类型与其扩展名不一致时,如果动作配置为允许,则根据识别出的真实的文件类型与文件过滤规则进行匹配并执行文件过滤规则中的动作;如果动作配置为丢弃,则直接丢弃报文,不再进行文件过滤规则的匹配。
· 最大可解压数据大小:当压缩文件的大小超过可解压上限时,设备只解压上限以内的数据,并对解压后的数据进行深度安全检测。目前,仅支持解压缩ZIP格式的压缩文件。
设备对报文进行文件过滤处理的整体流程如下:
1. 如果报文匹配了某个安全策略,且此策略引用了文件过滤配置文件,则对报文进行文件过滤处理。
2. 设备提取文件的扩展名信息并记录。
3. 设备进一步识别文件真实类型,并将识别的结果与扩展名进行匹配。如果设备不能识别出文件真实类型,则根据文件扩展名与文件过滤规则进行匹配,并进入步骤4处理。
¡ 如果识别结果与扩展名一致,则使用扩展名与文件过滤规则进行匹配,并进入步骤4处理;
¡ 如果识别结果与扩展名不一致,则查看文件扩展名不匹配时动作,如果动作为丢弃,则直接丢弃报文,不再进行文件过滤规则的匹配;如果动作为允许,则使用文件的真实类型与文件过滤规则进行匹配,并进入步骤4处理。
4. 与文件过滤规则进行匹配,并根据匹配结果对报文执行以下动作:
¡ 如果文件的扩展名信息/真实类型同时与多条文件过滤规则匹配成功,则执行这些规则中优先级最高的动作,动作优先级从高到低的顺序为:丢弃 > 允许,但是对于日志动作只要匹配成功的规则中存在就会执行;
¡ 如果文件的扩展名信息/真实类型只与一条文件过滤规则匹配成功,则执行此规则中指定的动作。
文件过滤功能的配置思路如下图所示:
图-1 文件过滤功能配置指导图
文件类型组的配置步骤如下:
1. 选择“对象 > 应用安全 > 文件过滤 > 文件类型组”。
2. 在“文件类型组”页面单击<新建>按钮,进入“新建文件类型组”页面。
3. 新建文件类型组,具体配置内容如下:
表-1 文件类型组配置内容
参数 |
说明 |
名称 |
表示文件类型组的名称 |
描述 |
通过合理编写描述信息,便于管理员快速理解和识别本文件类型组的作用 |
预定义扩展名 |
可在此处快速选择设备上已预定义的扩展名 |
自定义扩展名 |
当设备上预定义扩展名不能满足需求时,可在此处配置自定义的扩展名 |
4. 单击<确定>按钮,新建文件类型组成功,且会在“文件类型组”页面中显示。
管理员可以根据实际需求创建自定义的文件过滤配置文件。
文件过滤配置文件的配置步骤如下:
1. 选择“对象 > 应用安全 > 文件过滤 > 配置文件”。
2. 在“文件过滤配置文件”页面单击<新建>按钮,进入“新建文件过滤配置文件”页面。
3. 新建文件过滤配置文件,具体配置内容如下:
表-2 文件过滤配置文件配置内容
参数 |
说明 |
名称 |
表示文件过滤配置文件的名称 |
描述 |
通过合理编写描述信息,便于管理员快速理解和识别本文件过滤配置文件的作用 |
4. 在“新建文件过滤配置文件”页面的“文件过滤规则”区域,单击<新建>按钮,进入“新建文件过滤规则”页面。
5. 新建文件过滤规则,具体配置内容如下:
表-3 文件过滤规则配置内容
参数 |
说明 |
名称 |
表示文件过滤规则的名称 |
应用 |
指定文件过滤规则的应用层协议,具体包括:FTP、HTTP、IMAP、NFS、POP3、RTMP、SMB和SMTP协议。可以根据业务应用所属的应用层协议类型来灵活控制对哪些协议类型的报文进行文件过滤 |
文件类型组 |
指定规则引用的文件类型组来对文件的扩展名信息进行精确匹配 |
方向 |
包括上传、下载和双向,可以根据报文传输的方向来灵活控制对哪个方向的报文进行文件过滤 |
动作 |
包括允许和丢弃。允许表示对匹配规则的报文进行放行,丢弃表示对匹配规则的报文进行丢弃 |
日志 |
开启日志功能后,对与此规则匹配成功的报文记录日志信息;关闭日志功能后,对与此规则匹配成功的报文不会记录日志信息 |
6. 单击<确定>按钮,新建文件过滤规则成功,且会在“新建文件过滤配置文件”页面的文件过滤规则列表中显示。
7. 在“新建文件过滤配置文件”页面单击<确定>按钮,新建文件过滤配置文件成功,且会在“文件过滤配置文件”页面中显示。
8. 在安全策略的内容安全配置中引用此文件过滤配置文件,有关安全策略的详细配置介绍请参见“安全策略联机帮助”
9. 新建配置文件后,需要激活才能生效。如需立即激活,请单击<提交>按钮。否则,设备默认40秒后自动激活。
· 配置文件变更后(包括新建、编辑和删除),需要激活才能生效。如需立即激活,请单击<提交>按钮。否则,设备默认40秒后自动激活。
· 执行“提交”操作后,界面上会提示设置成功,但是配置文件此时可能尚未完成激活,如果此时报文经过设备,可能会出现暂时无法识别的情况。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!