05-数据过滤配置
本章节下载: 05-数据过滤配置 (260.71 KB)
目 录
数据过滤是一种对流经设备的报文的应用层信息进行过滤的安全防护机制。采用数据过滤功能可以有效防止内网机密信息泄露,禁止内网用户在Internet上浏览、发布和传播违规或违法信息。目前,数据过滤功能支持对基于HTTP、FTP、SMTP、IMAP、NFS、POP3、RTMP和SMB协议传输的应用层信息进行检测和过滤。
数据过滤特征是设备上定义的用于识别应用层信息特征的字符串,包括以下类型:
· 预定义特征:系统预先定义配置,包括手机号、银行卡号、信用卡号和身份证号。
· 自定义特征:用户自定义配置,支持文本匹配方式和正则表达式匹配方式。
关键字组用来对数据过滤特征进行统一组织和管理。
数据过滤规则是报文应用层信息安全检测条件及处理动作的集合。在一个规则中可设置关键字组、报文方向、应用类型和动作(丢弃、放行、生成日志)。只有报文成功匹配规则中包含的所有检测条件才算与此规则匹配成功。
数据过滤功能是通过在DPI应用profile中引用数据过滤策略,并在安全策略或对象策略中引用DPI应用profile来实现的,设备对报文进行数据过滤处理的整体流程如下:
(1) 当设备收到HTTP、FTP、SMTP报文时,设备将对匹配了策略的报文进行数据过滤处理。有关安全策略的详细介绍请参见“安全配置指导”中的“安全策略”;有关对象策略规则的详细介绍请参见“安全配置指导”中的“对象策略”。
(2) 设备提取报文中的应用层信息与数据过滤规则进行匹配,并根据匹配结果对报文执行动作:
¡ 如果报文同时与多个规则匹配成功,则执行这些规则中优先级最高的动作,动作优先级从高到低的顺序为:丢弃 > 放行,但是对于生成日志动作只要匹配成功的规则中存在就会执行。
¡ 如果报文只与一个规则匹配成功,则执行此规则中指定的动作。
¡ 如果报文未与任何数据过滤规则匹配成功,则设备直接允许报文通过。
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
设备型号 |
业务板类型 |
说明 |
M9006 M9010 M9014 |
Blade IV防火墙业务板 |
支持 |
Blade V防火墙业务板 |
支持 |
|
NAT业务板 |
不支持 |
|
应用交付业务板 |
支持 |
|
异常流量清洗业务板 |
不支持 |
|
M9010-GM |
加密业务板 |
支持 |
M9016-V |
Blade V防火墙业务板 |
支持 |
M9008-S M9012-S |
Blade IV防火墙业务板 |
支持 |
应用交付业务板 |
支持 |
|
入侵防御业务板 |
支持 |
|
视频网关业务板 |
支持 |
|
异常流量清洗业务板 |
不支持 |
|
M9008-S-6GW |
IPv6业务板 |
支持 |
M9008-S-V |
Blade IV防火墙业务板 |
支持 |
M9000-AI-E8 |
Blade V防火墙业务板 |
支持 |
应用交付业务板 |
支持 |
|
M9000-AI-E16 |
Blade V防火墙业务板 |
支持 |
数据过滤配置任务如下:
(1) 配置关键字组
(2) 配置数据过滤策略
(4) (可选)激活数据过滤策略和规则配置
(5) 在安全策略中引用数据过滤业务
(6) 在对象策略中引用数据过滤业务
一个关键字组中可配置多个数据过滤特征用于定义过滤报文应用层信息的字符串,各特征之间是或的关系。定义数据过滤特征的方式为正则表达式和文本两种。
(1) 进入系统视图。
system-view
(2) 创建关键字组,并进入关键字组视图。
data-filter keyword-group keywordgroup-name
(3) (可选)配置关键字组的描述信息。
description string
缺省情况下,未配置关键字组的描述信息。
(4) 配置数据过滤特征。
¡ 配置自定义数据过滤特征。
pattern pattern-name { regex | text } pattern-string
缺省情况下,未配置自定义数据过滤特征。
¡ 启用预定义数据过滤特征。
pre-defined-pattern name { bank-card-number | credit-card-number | id-card-number | phone-number }
缺省情况下,未启用预定义数据过滤特征。
一个数据过滤策略中最多可以定义32个数据过滤规则,各规则之间是或的关系。每个规则中可配置一个关键字组、多种应用层协议类型、一种报文方向以及多个动作。
NFS协议仅支持NFSv3版本;SMB协议支持SMBv1和SMBv2版本。
若动作配置为logging,生成的日志信息不会输出到控制台和监视终端。如需获取该日志,可通过执行display logbuffer命令进行查看。有关display logbuffer命令的详细介绍,请参见“网络管理和监控命令参考”中的“信息中心”。
当使用数据过滤规则对SMTP协议数据进行阻断时,由于邮件客户端会不断地尝试发送邮件,可能存在长时间后邮件发送成功的情况。
(1) 进入系统视图。
system-view
(2) 创建数据过滤策略,并进入数据过滤策略视图。
data-filter policy policy-name
(3) (可选)配置数据过滤策略的描述信息。
description string
缺省情况下,未配置数据过滤策略的描述信息。
(4) 创建数据过滤规则,并进入数据过滤规则视图。
rule rule-name
(5) 指定数据过滤规则采用的关键字组。
keyword-group keywordgroup-name
缺省情况下,未指定数据过滤规则采用的关键字组。
(6) 配置数据过滤规则的应用层协议类型。
application { all | type { ftp | http | imap | nfs | pop3 | rtmp | smb | smtp } * }
缺省情况下,数据过滤规则未指定应用层协议类型。
(7) 配置数据过滤规则的匹配方向。
direction { both | download | upload }
缺省情况下,数据过滤规则的匹配方向为会话的上传方向。
(8) 配置数据过滤规则的动作。
action { drop | permit } [ logging ]
缺省情况下,数据过滤规则的动作为丢弃。
DPI应用porfile是一个安全业务的配置模板,为实现数据过滤功能,必须在DPI应用porfile中引用指定的数据过滤策略。一个DPI应用profile中只能引用一个数据过滤策略,如果重复配置,则新的配置会覆盖已有配置。
(1) 进入系统视图。
system-view
(2) 进入DPI应用profile视图。
app-profile profile-name
关于该命令的详细介绍请参见“DPI深度安全命令参考”中的“应用层检测引擎”。
(3) 在DPI应用profile中引用数据过滤策略。
data-filter apply policy policy-name
缺省情况下,DPI应用profile中未引用数据过滤策略。
缺省情况下,当数据过滤业务发生配置变更时(即策略或规则被创建、修改和删除),系统将会检测在20秒的间隔时间内是否再次发生了配置变更,并根据判断结果执行如下操作:
· 如果间隔时间内未发生任何配置变更,则系统将在下一个间隔时间结束时执行一次激活操作,使这些策略和规则的配置生效。
· 如果间隔时间内再次发生了配置变更,则系统将继续按照间隔时间周期性地检测是否发生配置变更。
如果用户希望对变更的配置立即进行激活,可执行inspect activate命令手工激活,使配置立即生效。
配置此功能会暂时中断所有DPI业务的处理,为避免重复配置此功能对DPI业务造成影响,请完成部署DPI各业务模块的策略和规则后统一配置此功能。
有关此功能的详细介绍请参见“DPI深度安全配置指导”中的“应用层检测引擎”。
(1) 进入系统视图。
system-view
(2) 激活数据过滤策略和规则配置。
inspect activate
缺省情况下,数据过滤策略和规则被创建、修改和删除后,系统会自动激活配置使其生效。
(1) 进入系统视图。
system-view
(2) 进入安全策略视图。
security-policy { ip | ipv6 }
(3) 进入安全策略规则视图。
rule { rule-id | name name } *
(4) 配置安全策略规则的动作为允许。
action pass
缺省情况下,安全策略规则动作是丢弃。
(5) 配置安全策略规则引用DPI应用profile。
profile app-profile-name
缺省情况下,安全策略规则中未引用DPI应用profile。
(1) 进入系统视图。
system-view
(2) 进入对象策略视图。
object-policy { ip | ipv6 } object-policy-name
(3) 在对象策略规则中引用DPI应用profile。
rule [ rule-id ] inspect app-profile-name
缺省情况下,在对象策略规则中未引用DPI应用profile。
(4) 退回系统视图。
quit
(5) 创建安全域间实例,并进入安全域间实例视图。
zone-pair security source source-zone-name destination destination-zone-name
有关安全域间实例的详细介绍请参见“基础配置指导”中的“安全域”。
(6) 应用对象策略。
object-policy apply { ip | ipv6 } object-policy-name
缺省情况下,安全域间实例内不应用对象策略。
如图1-1所示,Device分别通过Trust安全域和Untrust安全域与局域网和Internet相连。现有以下组网需求:
· 阻止URI或者Body字段含有“uri”或“abc.*abc”关键字的HTTP报文通过。
· 阻止下载文件内容中含有“www.abcd.com”关键字的FTP报文通过。
· 对以上被阻止的报文生成日志信息。
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设到达外网Web Server的下一跳IP地址为2.2.2.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 5.5.5.0 24 2.2.2.2
(3) 配置接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置数据过滤功能
a. 配置关键字组
# 创建关键字组kg1,配置关键字文本uri和正则表示式abc.*abc;
[Device] data-filter keyword-group kg1
[Device-data-filter-kgroup-kg1] pattern 1 text uri
[Device-data-filter-kgroup-kg1] pattern 2 regex abc.*abc
[Device-data-filter-kgroup-kg1] quit
# 按照同样的步骤,创建关键字组kg2,配置匹配关键字文本www.abcd.com。
[Device] data-filter keyword-group kg2
[Device-data-filter-kgroup-kg2] pattern 1 text www.abcd.com
[Device-data-filter-kgroup-kg2] quit
b. 配置数据过滤策略
# 创建数据过滤规则r1,在规则r1中应用关键字组kg1,配置应用类型为HTTP,报文方向为会话的双向,动作为丢弃并输出日志。
[Device] data-filter policy p1
[Device-data-filter-policy-p1] rule r1
[Device-data-filter-policy-p1-rule-r1] keyword-group kg1
[Device-data-filter-policy-p1-rule-r1] application type http
[Device-data-filter-policy-p1-rule-r1] direction both
[Device-data-filter-policy-p1-rule-r1] action drop logging
[Device-data-filter-policy-p1-rule-r1] quit
# 按照同样的步骤,创建数据过滤规则r2,在规则r2中应用关键字组kg2,配置应用类型为FTP,报文方向为会话的下载方向,动作为丢弃并输出日志。
[Device-data-filter-policy-p1] rule r2
[Device-data-filter-policy-p1-rule-r2] keyword-group kg2
[Device-data-filter-policy-p1-rule-r2] application type ftp
[Device-data-filter-policy-p1-rule-r2] direction download
[Device-data-filter-policy-p1-rule-r2] action drop logging
[Device-data-filter-policy-p1-rule-r2] quit
(5) 配置DPI应用profile并激活数据过滤策略和规则配置
# 创建名称为sec的DPI应用profile,在DPI应用sec中应用数据过滤策略p1。
[Device] app-profile sec
[Device-app-profile-sec] data-filter apply policy p1
[Device-app-profile-sec] quit
# 激活数据过滤策略和规则配置。
[Device] inspect activate
(6) 配置安全策略
# 配置名称为trust-untrust的安全策略规则,使内网用户可以访问外网,并对交互报文进行数据过滤检测。具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-10-trust-untrust] source-zone trust
[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-10-trust-untrust] destination-zone untrust
[Device-security-policy-ip-10-trust-untrust] action pass
[Device-security-policy-ip-10-trust-untrust] profile sec
[Device-security-policy-ip-10-trust-untrust] quit
# 激活安全策略配置。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
完成上述配置后,符合上述条件的HTTP报文和FTP报文将被阻断,并输出日志信息。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!