目  录

1 数据过滤

1.1 数据过滤简介

1.1.1 基本概念

1.1.2 数据过滤的实现原理

1.2 数据过滤配置任务简介

1.3 配置关键字组

1.4 配置数据过滤策略

1.5 在DPI应用profile中引用数据过滤策略

1.6 激活数据过滤策略和规则配置

1.7 在安全策略中引用数据过滤业务

1.8 在对象策略中引用数据过滤业务

1.9 数据过滤典型配置举例

1.9.1 数据过滤基本组网配置举例

 

1 数据过滤

1.1  数据过滤简介

数据过滤是一种对流经设备的报文的应用层信息进行过滤的安全防护机制。采用数据过滤功能可以有效防止内网机密信息泄露，禁止内网用户在Internet上浏览、发布和传播违规或违法信息。目前，数据过滤功能支持对基于HTTP、FTP、SMTP、IMAP、NFS、POP3、RTMP和SMB协议传输的应用层信息进行检测和过滤。

1.1.1  基本概念

1. 数据过滤特征

数据过滤特征是设备上定义的用于识别应用层信息特征的字符串，包括以下类型：

·     预定义特征：系统预先定义配置，包括手机号、银行卡号、信用卡号和身份证号。

·     自定义特征：用户自定义配置，支持文本匹配方式和正则表达式匹配方式。

2. 关键字组

关键字组用来对数据过滤特征进行统一组织和管理。

3. 数据过滤规则

数据过滤规则是报文应用层信息安全检测条件及处理动作的集合。在一个规则中可设置关键字组、报文方向、应用类型和动作（丢弃、放行、生成日志）。只有报文成功匹配规则中包含的所有检测条件才算与此规则匹配成功。

1.1.2  数据过滤的实现原理

数据过滤功能是通过在DPI应用profile中引用数据过滤策略，并在安全策略或对象策略中引用DPI应用profile来实现的，设备对报文进行数据过滤处理的整体流程如下：

(1)     当设备收到报文时，将对匹配了策略的报文进行数据过滤处理。有关安全策略的详细介绍请参见“安全配置指导”中的“安全策略”；有关对象策略规则的详细介绍请参见“安全配置指导”中的“对象策略”。

(2)     设备提取报文中的应用层信息与数据过滤规则进行匹配，并根据匹配结果对报文执行动作：

¡     如果报文同时与多个规则匹配成功，则执行这些规则中优先级最高的动作，动作优先级从高到低的顺序为：丢弃 > 放行，但是对于生成日志动作只要匹配成功的规则中存在就会执行。

¡     如果报文只与一个规则匹配成功，则执行此规则中指定的动作。

¡     如果报文未与任何数据过滤规则匹配成功，则设备直接允许报文通过。

本特性的支持情况与设备型号有关，请以设备的实际情况为准。

型号	说明
MSR610	支持
MSR810、MSR810-W、MSR810-W-DB、MSR810-LM、MSR810-W-LM、MSR810-10-PoE、MSR810-LM-HK、MSR810-W-LM-HK、MSR810-LM-CNDE-SJK、MSR810-CNDE-SJK、MSR810-EI、MSR810-LM-EA、MSR810-LM-EI	支持
MSR810-LMS、MSR810-LUS	不支持
MSR810-SI、MSR810-LM-SI	不支持
MSR810-LMS-EA、MSR810-LME	支持
MSR1004S-5G、MSR1004S-5G-CN	支持
MSR1104S-W、MSR1104S-W-CAT6、MSR1104S-5G-CN、MSR1104S-W-5G-CN	支持
MSR2600-6-X1、MSR2600-15-X1、MSR2600-15-X1-T	支持
MSR2600-10-X1	支持
MSR 2630	支持
MSR3600-28、MSR3600-51	支持
MSR3600-28-SI、MSR3600-51-SI	不支持
MSR3600-28-X1、MSR3600-28-X1-DP、MSR3600-51-X1、MSR3600-51-X1-DP	支持
MSR3600-28-G-DP、MSR3600-51-G-DP	支持
MSR3610-I-DP、MSR3610-IE-DP、MSR3610-IE-ES、MSR3610-IE-EAD、MSR-EAD-AK770、MSR3610-I-IG、MSR3610-IE-IG	支持
MSR-IMC	支持
MSR3610-X1、MSR3610-X1-DP、MSR3610-X1-DC、MSR3610-X1-DP-DC、MSR3620-X1、MSR3640-X1	支持
MSR 3610、MSR 3620、MSR 3620-DP、MSR 3640、MSR 3660	支持
MSR3610-G、MSR3620-G	支持
MSR3640-G	支持
MSR3640-X1-HI	支持

 

型号	描述
MSR810-W-WiNet、MSR810-LM-WiNet	支持
MSR830-4LM-WiNet	支持
MSR830-5BEI-WiNet、MSR830-6EI-WiNet、MSR830-10BEI-WiNet	支持
MSR830-6BHI-WiNet、MSR830-10BHI-WiNet	支持
MSR2600-6-WiNet	支持
MSR2600-10-X1-WiNet	支持
MSR2630-WiNet	支持
MSR3600-28-WiNet	支持
MSR3610-X1-WiNet	支持
MSR3620-X1-WiNet	支持
MSR3610-WiNet、MSR3620-10-WiNet、MSR3620-DP-WiNet、MSR3620-WiNet、MSR3660-WiNet	支持

 

型号	说明
MSR860-6EI-XS	支持
MSR860-6HI-XS	支持
MSR2630-XS	支持
MSR3600-28-XS	支持
MSR3610-XS	支持
MSR3620-XS	支持
MSR3610-I-XS	支持
MSR3610-IE-XS	支持
MSR3620-X1-XS	支持
MSR3640-XS	支持
MSR3660-XS	支持

 

型号	说明
MSR810-LM-GL	支持
MSR810-W-LM-GL	支持
MSR830-6EI-GL	支持
MSR830-10EI-GL	支持
MSR830-6HI-GL	支持
MSR830-10HI-GL	支持
MSR1004S-5G-GL	支持
MSR2600-6-X1-GL	支持
MSR3600-28-SI-GL	不支持

 

1.2  数据过滤配置任务简介

数据过滤配置任务如下：

(1)     配置关键字组

(2)     配置数据过滤策略

(3)     在DPI应用profile中引用数据过滤策略

(4)     （可选）激活数据过滤策略和规则配置

(5)     在对象策略中引用数据过滤业务

1.3  配置关键字组

1. 功能简介

一个关键字组中可配置多个数据过滤特征用于定义过滤报文应用层信息的字符串，各特征之间是或的关系。定义数据过滤特征的方式为正则表达式和文本两种。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建关键字组，并进入关键字组视图。

data-filter keyword-group keywordgroup-name

(3)     （可选）配置关键字组的描述信息。

description string

缺省情况下，未配置关键字组的描述信息。

(4)     配置数据过滤特征。

¡     配置自定义数据过滤特征。

pattern pattern-name { regex | text } pattern-string

缺省情况下，未配置自定义数据过滤特征。

¡     启用预定义数据过滤特征。

pre-defined-pattern name { bank-card-number | credit-card-number | id-card-number | phone-number }

缺省情况下，未启用预定义数据过滤特征。

1.4  配置数据过滤策略

1. 功能简介

一个数据过滤策略中最多可以定义32个数据过滤规则，各规则之间是或的关系。每个规则中可配置一个关键字组、多种应用层协议类型、一种报文方向以及多个动作。

2. 配置限制和指导

NFS协议仅支持NFSv3版本；SMB协议支持SMBv1和SMBv2版本。

当动作配置为logging时，设备将记录日志并支持如下两种方式输出日志。

·     快速日志：此方式生成的日志信息直接发送到管理员指定的日志主机。

·     系统日志：此方式生成的日志信息将发送到信息中心，由信息中心决定日志的输出方向。本业务产生的系统日志不支持输出到控制台和监视终端。如需快速获取日志信息，可通过执行display logbuffer命令进行查看。

系统日志会对设备性能产生影响，建议采用快速日志方式。

有关display logbuffer命令的详细介绍，请参见“网络管理和监控命令参考”中的“信息中心”；有关快速日志的详细介绍，请参见“网络管理和监控配置指导”中的“快速日志输出”。

当使用数据过滤规则对SMTP协议数据进行阻断时，由于邮件客户端会不断地尝试发送邮件，可能存在长时间后邮件发送成功的情况。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建数据过滤策略，并进入数据过滤策略视图。

data-filter policy policy-name

(3)     （可选）配置数据过滤策略的描述信息。

description string

缺省情况下，未配置数据过滤策略的描述信息。

(4)     创建数据过滤规则，并进入数据过滤规则视图。

rule rule-name

(5)     指定数据过滤规则采用的关键字组。

keyword-group keywordgroup-name

缺省情况下，未指定数据过滤规则采用的关键字组。

(6)     配置数据过滤规则的应用层协议类型。

application { all | type { ftp | http | imap | nfs | pop3 | rtmp | smb | smtp } * }

缺省情况下，数据过滤规则未指定应用层协议类型。

(7)     配置数据过滤规则的匹配方向。

direction { both | download | upload }

缺省情况下，数据过滤规则的匹配方向为会话的上传方向。

(8)     配置数据过滤规则的动作。

action { drop | permit } [ logging ]

缺省情况下，数据过滤规则的动作为丢弃。

1.5  在DPI应用profile中引用数据过滤策略

1. 功能简介

DPI应用porfile是一个安全业务的配置模板，为实现数据过滤功能，必须在DPI应用porfile中引用指定的数据过滤策略。一个DPI应用profile中只能引用一个数据过滤策略，如果重复配置，则新的配置会覆盖已有配置。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入DPI应用profile视图。

app-profile profile-name

关于该命令的详细介绍请参见“DPI深度安全命令参考”中的“应用层检测引擎”。

(3)     在DPI应用profile中引用数据过滤策略。

data-filter apply policy policy-name

缺省情况下，DPI应用profile中未引用数据过滤策略。

1.6  激活数据过滤策略和规则配置

1. 功能简介

缺省情况下，当数据过滤业务发生配置变更时（即策略或规则被创建、修改和删除），系统将会检测在20秒的间隔时间内是否再次发生了配置变更，并根据判断结果执行如下操作：

·     如果间隔时间内未发生任何配置变更，则系统将在下一个间隔时间结束时（即40秒时）执行一次激活操作，使这些策略和规则的配置生效。

·     如果间隔时间内再次发生了配置变更，则系统将继续按照间隔时间周期性地检测是否发生配置变更。

如果用户希望对变更的配置立即进行激活，可执行inspect activate命令手工激活，使配置立即生效。

有关此功能的详细介绍请参见“DPI深度安全配置指导”中的“应用层检测引擎”。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     激活数据过滤策略和规则配置。

inspect activate

缺省情况下，数据过滤策略和规则被创建、修改和删除后，系统会自动激活配置使其生效。

 

1.7  在安全策略中引用数据过滤业务

(1)     进入系统视图。

system-view

(2)     进入安全策略视图。

security-policy { ip | ipv6 }

(3)     进入安全策略规则视图。

rule { rule-id | [ rule-id ] name rule-name }

(4)     配置安全策略规则的动作为允许。

action pass

缺省情况下，安全策略规则动作是丢弃。

(5)     配置安全策略规则引用DPI应用profile。

profile app-profile-name

缺省情况下，安全策略规则中未引用DPI应用profile。

1.8  在对象策略中引用数据过滤业务

(1)     进入系统视图。

system-view

(2)     进入对象策略视图。

object-policy { ip | ipv6 } object-policy-name

(3)     在对象策略规则中引用DPI应用profile。

rule [ rule-id ] inspect app-profile-name

缺省情况下，在对象策略规则中未引用DPI应用profile。

(4)     退回系统视图。

quit

(5)     创建安全域间实例，并进入安全域间实例视图。

zone-pair security source source-zone-name destination destination-zone-name

有关安全域间实例的详细介绍请参见“基础配置指导”中的“安全域”。

(6)     应用对象策略。

object-policy apply { ip | ipv6 } object-policy-name

缺省情况下，安全域间实例内不应用对象策略。

1.9  数据过滤典型配置举例

1.9.1  数据过滤基本组网配置举例

1. 组网需求

如图1-1所示，Device分别通过Trust安全域和Untrust安全域与局域网和Internet相连。现有以下组网需求：

·     阻止URI或者Body字段含有“uri”或“abc.*abc”关键字的HTTP报文通过。

·     阻止下载文件内容中含有“www.abcd.com”关键字的FTP报文通过。

·     对以上被阻止的报文生成日志信息。

2. 组网图

图1-1 数据过滤基本组网配置组网图

‌

3. 配置步骤

(1)     配置各接口的IP地址（略）

(2)     创建安全域并将接口加入安全域

# 向安全域Trust中添加接口GigabitEthernet1/0/1。

<Device> system-view

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

# 向安全域Untrust中添加接口GigabitEthernet1/0/2。

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

(3)     配置对象组

# 创建名为datafilter的IP地址对象组，并定义其子网地址为192.168.1.0/24。

[Device] object-group ip address datafilter

[Device-obj-grp-ip-datafilter] network subnet 192.168.1.0 24

[Device-obj-grp-ip-datafilter] quit

(4)     配置数据过滤功能

a.     配置关键字组

# 创建关键字组kg1，并进入关键字组视图。

[Device] data-filter keyword-group kg1

# 配置关键字文本uri和正则表示式abc.*abc。

[Device-data-filter-kgroup-kg1] pattern 1 text uri

[Device-data-filter-kgroup-kg1] pattern 2 regex abc.*abc

[Device-data-filter-kgroup-kg1] quit

# 创建关键字组kg2，并进入关键字组视图。

[Device] data-filter keyword-group kg2

# 配置匹配关键字文本www.abcd.com。

[Device-data-filter-kgroup-kg2] pattern 1 text www.abcd.com

[Device-data-filter-kgroup-kg2] quit

b.     配置数据过滤策略

# 创建数据过滤策略p1，并进入数据过滤策略视图。

[Device] data-filter policy p1

# 创建数据过滤规则r1，并进入数据过滤规则视图。

[Device-data-filter-policy-p1] rule r1

# 在规则r1中应用关键字组kg1，配置应用类型为HTTP，报文方向为会话的双向，动作为丢弃并输出日志。

[Device-data-filter-policy-p1-rule-r1] keyword-group kg1

[Device-data-filter-policy-p1-rule-r1] application type http

[Device-data-filter-policy-p1-rule-r1] direction both

[Device-data-filter-policy-p1-rule-r1] action drop logging

[Device-data-filter-policy-p1-rule-r1] quit

# 创建数据过滤规则r2，并进入数据过滤策略视图。

[Device-data-filter-policy-p1] rule r2

# 在规则r2中应用关键字组kg2，配置应用类型为FTP，报文方向为会话的下载方向，动作为丢弃并输出日志。

[Device-data-filter-policy-p1-rule-r2] keyword-group kg2

[Device-data-filter-policy-p1-rule-r2] application type ftp

[Device-data-filter-policy-p1-rule-r2] direction download

[Device-data-filter-policy-p1-rule-r2] action drop logging

[Device-data-filter-policy-p1-rule-r2] quit

(5)     配置DPI应用profile

# 创建名称为profile1的DPI应用profile，并进入DPI应用profile视图。

[Device] app-profile profile1

# 在DPI应用profile1中应用数据过滤策略p1。

[Device-app-profile-profile1] data-filter apply policy p1

[Device-app-profile-profile1] quit

# 激活数据过滤策略和规则配置。

[Device] inspect activate

(6)     配置对象策略

# 创建名为inspect1的对象策略，并进入对象策略视图。

[Device] object-policy ip inspect1

# 对源IP地址对象组datafilter对应的报文进行深度检测，引用的DPI应用profile为profile1。

[Device-object-policy-ip-inspect1] rule inspect profile1 source-ip datafilter destination-ip any

[Device-object-policy-ip-inspect1] quit

(7)     配置安全域间实例并应用对象策略

# 创建源安全域Trust到目的安全域Untrust的安全域间实例，并应用对源IP地址对象组datafilter对应的报文进行深度检测的对象策略inspect1。

[Device] zone-pair security source trust destination untrust

[Device-zone-pair-security-trust-untrust] object-policy apply ip inspect1

[Device-zone-pair-security-trust-untrust] quit

4. 验证配置

完成上述配置后，符合上述条件的HTTP报文和FTP报文将被阻断，并输出日志信息。