06-文件过滤配置
本章节下载: 06-文件过滤配置 (227.71 KB)
目 录
设备各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:
型号 |
特性 |
描述 |
F5010/F5020/F5030/F5030-6GW/F5040/F5060/F5080/F5000-M/F5000-S/F5000-C |
文件过滤 |
支持 |
F1005/F1010/F1020/F1030/F1050/F1060/F1070/F1080/F1070-GM |
· F1005/F1010:不支持 · F1020/F1030/F1050/F1060/F1070/F1080/F1070-GM:支持 |
|
F1000-AK108/AK109/AK110/AK115/AK120/AK125/AK130/AK135/AK140/AK145/AK150/AK155/AK160/AK165/AK170/AK175/AK180/AK185/AK710/AK711 |
· F1000-AK108/AK109/AK110/AK115/AK120/AK125/AK710:不支持 · F1000-AK130/AK135/AK140/AK145/AK150/AK155/AK160/AK165/AK170/AK175/AK180/AK185/AK711:支持 |
|
F1000-GM-AK370/F1000-GM-AK380 |
支持 |
|
LSU3FWCEA0/LSUM1FWCEAB0/LSX1FWCEA1 |
支持 |
|
LSXM1FWDF1/LSUM1FWDEC0/IM-NGFWX-IV/LSQM1FWDSC0/LSWM1FWD0/LSPM6FWD |
支持 |
文件过滤是一种根据文件扩展名信息对经设备传输的文件进行过滤的安全防护机制。采用文件过滤功能可以对指定类型的文件进行批量过滤。目前,文件过滤功能支持对基于以下应用层协议传输的文件进行检测和过滤。
· HTTP(Hypertext Transfer Protocol,超文本传输协议)
· FTP(File Transfer Protocol,文件传输协议)
· SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)
文件过滤特征是设备上定义的用于识别文件扩展名特征的字符串。
文件类型组用来对文件过滤特征进行统一组织和管理。一个文件类型组中可以包含32个特征,且它们之间是或的关系。
文件过滤规则是安全检测条件及处理动作的集合。在一个规则中可配置的检测条件包括文件类型组、报文方向、应用类型,可配置的处理动作包括丢弃、放行和生成日志。只有文件属性(包括文件的应用类型、传输方向和扩展名)成功匹配规则中包含的所有检测条件才算与此规则匹配成功。
设备对报文进行文件过滤处理的整体流程如下:
(1) 如果策略(即安全策略或对象策略)引用了文件过滤业务,当设备收到基于HTTP、FTP、SMTP协议传输的文件时,设备将对匹配了策略的报文进行文件过滤处理。有关安全策略的详细介绍请参见“安全配置指导”中的“安全策略”;有关对象策略规则的详细介绍请参见“安全配置指导”中的“对象策略”。
(2) 设备提取文件的扩展名信息与文件过滤规则进行匹配,并根据匹配结果对报文执行动作:
· 如果文件的扩展名信息同时与多个规则匹配成功,则执行这些规则中优先级最高的动作,动作优先级从高到低的顺序为:丢弃 > 放行,但是对于生成日志动作只要匹配成功的规则中存在就会执行。
· 如果文件的扩展名信息只与一个规则匹配成功,则执行此规则中指定的动作。
· 如果文件的扩展名信息未与任何文件过滤规则匹配成功,则设备直接允许报文通过。
表1-1 文件过滤配置任务简介
配置任务 |
说明 |
详细配置 |
配置文件类型组 |
必选 |
|
配置文件过滤策略 |
必选 |
|
在DPI应用profile中应用文件过滤策略 |
必选 |
|
激活DPI各业务模块的策略和规则配置 |
可选 |
|
基于安全策略应用文件过滤业务 |
二者至少选其一 |
|
基于对象策略应用文件过滤业务 |
一个文件类型组中可配置多个文件过滤特征,各特征之间是或的关系。定义文件过滤特征的方式为文本。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建文件类型组,并进入文件类型组视图 |
file-filter filetype-group group-name |
缺省情况下,不存在文件类型组 |
配置文件类型组的描述信息 |
description string |
缺省情况下,不存在文件类型组的描述信息 |
配置文件过滤特征 |
pattern pattern-name text pattern-string |
缺省情况下,文件类型组中不存在文件过滤特征 |
一个文件过滤策略中最多可以定义32个文件过滤规则,各规则之间是或的关系。每个规则中可配置一个文件类型组、多种应用层协议类型、一种报文方向以及多个动作。
表1-3 配置文件过滤策略
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建文件过滤策略,并进入文件过滤策略视图 |
file-filter policy policy-name |
缺省情况下,不存在文件过滤策略 |
配置文件过滤策略的描述信息 |
description string |
缺省情况下,不存在文件过滤策略的描述信息 |
创建文件过滤规则,并进入文件过滤规则视图 |
rule rule-name |
缺省情况下,不存在文件过滤规则 |
指定文件过滤规则采用的文件类型组 |
filetype-group group-name |
缺省情况下,未指定文件过滤规则采用的文件类型组 |
配置文件过滤规则的应用层协议类型 |
application { all | type { ftp | http | smtp } * } |
缺省情况下,文件过滤规则中未指定应用层协议类型 |
配置文件过滤规则的匹配方向 |
direction { both | download | upload } |
缺省情况下,文件过滤规则的匹配方向为上传方向 |
配置文件过滤规则的动作 |
action { drop | permit } [ logging ] |
缺省情况下,文件过滤规则的动作为丢弃 |
DPI应用porfile是一个安全业务的配置模板,为实现文件过滤功能,必须在DPI应用porfile中引用指定的文件过滤策略。一个DPI应用profile中只能引用一个文件过滤策略,如果重复配置,则新的配置会覆盖已有配置。
表1-4 在DPI应用profile中引用文件过滤策略
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入DPI应用profile视图 |
app-profile profile-name |
关于该命令的详细介绍请参见“DPI深度安全命令参考”中的“应用层检测引擎” |
在DPI应用profile中引用文件过滤策略 |
file-filter apply policy policy-name |
缺省情况下,DPI应用profile中未引用文件过滤策略 |
当DPI各业务模块的策略和规则被创建、修改和删除后,需要配置此功能使其策略和规则配置生效。
配置此功能会暂时中断DPI业务的处理,为避免重复配置此功能对DPI业务造成影响,请完成部署DPI各业务模块的策略和规则后统一配置此功能。
有关此功能的详细介绍请参见“DPI深度安全配置指导”中的“应用层检测引擎”。
表1-5 激活DPI各业务模块的策略和规则配置
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
激活DPI各业务模块的策略和规则配置 |
inspect activate |
缺省情况下,DPI各业务模块的策略和规则被创建、修改和删除时不生效 |
表1-6 基于安全策略应用文件过滤业务
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入安全策略视图 |
security-policy { ip | ipv6 } |
- |
进入安全策略规则视图 |
rule { rule-id | name name } * |
- |
配置安全策略规则的动作为允许 |
action pass |
缺省情况下,安全策略规则动作是丢弃 |
配置安全策略规则引用DPI应用profile |
profile app-profile-name |
缺省情况下,安全策略规则中未引用DPI应用profile |
表1-7 基于对象策略应用文件过滤业务
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入对象策略视图 |
object-policy { ip | ipv6 } object-policy-name |
- |
在对象策略规则中引用DPI应用profile |
rule [ rule-id ] inspect app-profile-name |
缺省情况下,在对象策略规则中未引用DPI应用profile |
退回系统视图 |
quit |
- |
创建安全域间实例,并进入安全域间实例视图 |
zone-pair security source source-zone-name destination destination-zone-name |
缺省情况下,不存在安全域间实例 有关安全域间实例的详细介绍请参见“安全配置指导”中的“安全域” |
应用对象策略 |
object-policy apply { ip | ipv6 } object-policy-name |
缺省情况下,安全域间实例内不应用对象策略 |
如图1-1所示,Device分别通过Trust安全域和Untrust安全域与局域网和Internet相连。现有以下组网需求:
· 拒绝扩展名为pptx和dotx的文件通过。
· 对以上被阻止的文件生成日志信息。
(1) 配置各接口的IP地址(略)
(2) 创建安全域并将接口加入安全域
# 向安全域Trust中添加接口GigabitEthernet1/0/1。
<Device> system-view
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
# 向安全域Untrust中添加接口GigabitEthernet1/0/2。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(3) 配置对象组
# 创建名为filefilter的IP地址对象组,并定义其子网地址为192.168.1.0/24。
[Device] object-group ip address filefilter
[Device-obj-grp-ip-filefilter] network subnet 192.168.1.0 24
[Device-obj-grp-ip-filefilter] quit
(4) 配置文件过滤功能
· 配置文件类型组
# 创建文件类型组fg1,并进入文件类型组视图。
[Device] file-filter filetype-group fg1
# 配置文件过滤特征为pptx和dotx。
[Device-file-filter-fgroup-fg1] pattern 1 text pptx
[Device-file-filter-fgroup-fg1] pattern 2 text dotx
[Device-file-filter-fgroup-fg1] quit
· 配置文件过滤策略
# 创建文件过滤策略p1,并进入文件过滤策略视图。
[Device] file-filter policy p1
# 创建文件过滤规则r1,并进入文件过滤规则视图。
[Device-file-filter-policy-p1] rule r1
# 在规则r1中应用文件类型组fg1,配置应用类型为HTTP,报文方向为会话的双向,动作为丢弃并输出日志。
[Device-file-filter-policy-p1-rule-r1] filetype-group fg1
[Device-file-filter-policy-p1-rule-r1] application type http
[Device-file-filter-policy-p1-rule-r1] direction both
[Device-file-filter-policy-p1-rule-r1] action drop logging
[Device-file-filter-policy-p1-rule-r1] quit
(5) 配置DPI应用profile
# 创建名称为profile1的DPI应用profile,并进入DPI应用profile视图。
[Device] app-profile profile1
# 在DPI应用profile1中应用文件过滤策略p1。
[Device-app-profile-profile1] file-filter apply policy p1
[Device-app-profile-profile1] quit
# 激活DPI各业务模块的策略和规则配置。
[Device] inspect activate
(6) 配置安全策略引用文件过滤业务
# 进入IPv4安全策略视图
[Device] security-policy ip
# 创建名为inspect1的安全策略规则,过滤条件为:源安全域Trust、源IP地址对象组filefilter、目的安全域Untrust。动作为允许,且引用的DPI应用profile为profile1。
[Device-security-policy-ip] rule name inspect1
[Device-security-policy-ip-14-inspect1] source-zone trust
[Device-security-policy-ip-14-inspect1] source-ip filefilter
[Device-security-policy-ip-14-inspect1] destination-zone untrust
[Device-security-policy-ip-14-inspect1] action pass
[Device-security-policy-ip-14-inspect1] profile profile1
[Device-security-policy-ip-14-inspect1] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
完成上述配置后,符合上述条件的文件将被丢弃,并输出日志信息。
如图1-2所示,Device分别通过Trust安全域和Untrust安全域与局域网和Internet相连。现有以下组网需求:
· 拒绝扩展名为pptx和dotx的文件通过。
· 对以上被阻止的文件生成日志信息。
(1) 配置各接口的IP地址(略)
(2) 创建安全域并将接口加入安全域
# 向安全域Trust中添加接口GigabitEthernet1/0/1。
<Device> system-view
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
# 向安全域Untrust中添加接口GigabitEthernet1/0/2。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(3) 配置对象组
# 创建名为filefilter的IP地址对象组,并定义其子网地址为192.168.1.0/24。
[Device] object-group ip address filefilter
[Device-obj-grp-ip-filefilter] network subnet 192.168.1.0 24
[Device-obj-grp-ip-filefilter] quit
(4) 配置文件过滤功能
· 配置文件类型组
# 创建文件类型组fg1,并进入文件类型组视图。
[Device] file-filter filetype-group fg1
# 配置文件过滤特征为pptx和dotx。
[Device-file-filter-fgroup-fg1] pattern 1 text pptx
[Device-file-filter-fgroup-fg1] pattern 2 text dotx
[Device-file-filter-fgroup-fg1] quit
· 配置文件过滤策略
# 创建文件过滤策略p1,并进入文件过滤策略视图。
[Device] file-filter policy p1
# 创建文件过滤规则r1,并进入文件过滤规则视图。
[Device-file-filter-policy-p1] rule r1
# 在规则r1中应用文件类型组fg1,配置应用类型为HTTP,报文方向为会话的双向,动作为丢弃并输出日志。
[Device-file-filter-policy-p1-rule-r1] filetype-group fg1
[Device-file-filter-policy-p1-rule-r1] application type http
[Device-file-filter-policy-p1-rule-r1] direction both
[Device-file-filter-policy-p1-rule-r1] action drop logging
[Device-file-filter-policy-p1-rule-r1] quit
(5) 配置DPI应用profile
# 创建名称为profile1的DPI应用profile,并进入DPI应用profile视图。
[Device] app-profile profile1
# 在DPI应用profile1中应用文件过滤策略p1。
[Device-app-profile-profile1] file-filter apply policy p1
[Device-app-profile-profile1] quit
# 激活DPI各业务模块的策略和规则配置。
[Device] inspect activate
(6) 配置对象策略
# 创建名为inspect1的对象策略,并进入对象策略视图。
[Device] object-policy ip inspect1
# 对源IP地址对象组filefilter对应的报文进行深度检测,引用的DPI应用profile为profile1。
[Device-object-policy-ip-inspect1] rule inspect profile1 source-ip filefilter destination-ip any
[Device-object-policy-ip-inspect1] quit
(7) 配置安全域间实例并应用对象策略
# 创建源安全域Trust到目的安全域Untrust的安全域间实例,并应用对源IP地址对象组filefilter对应的报文进行深度检测的对象策略inspect1。
[Device] zone-pair security source trust destination untrust
[Device-zone-pair-security-trust-untrust] object-policy apply ip inspect1
[Device-zone-pair-security-trust-untrust] quit
完成上述配置后,符合上述条件的文件将被丢弃,并输出日志信息。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!