11-DLP配置
本章节下载: 11-DLP配置 (317.97 KB)
目 录
DLP(Data Loss Prevention,数据防泄漏)是一种针对流经设备的用户敏感文件进行检测和告警的安全技术。通过监控双向流量信息,DLP功能可以准确发现用户敏感文件的泄露现象,并及时通过日志或邮件形式发出告警,以便用户加固数据安全相关策略。
如图1-1所示,DLP功能由设备的应用层检测引擎和数据安全检测引擎配合实现。应用层检测引擎提供文件还原功能;数据安全检测引擎提供敏感文件识别功能。关于应用层检测引擎的详细介绍,请参见“DPI深度安全配置指导”中的“应用层检测引擎”。
图1-1 DLP功能流程示意图
DLP功能的处理流程如下:
(2) 应用层检测引擎从待检测流量中还原出待检测文件。
(3) 应用层检测引擎将还原出的文件存入设备的存储介质中。
(4) 应用层检测引擎通知数据安全检测引擎进行文件扫描。
(5) 数据安全检测引擎从设备的存储介质中读取待扫描文件。
(6) 数据安全检测引擎对文件进行敏感信息检测。
(7) 数据安全检测引擎根据检测结果以日志或邮件形式进行告警。
应用层检测引擎按照如图1-2所示流程对报文的应用层信息进行统一识别,进而对报文中嵌入的文件进行还原。
文件还原功能的处理流程如下:
(2) 流量过滤:筛选匹配所有指定过滤条件的报文进行文件还原操作,包含如下过滤条件。
¡ 流量方向:该项用于匹配报文的传输方向,可以为外网向内网、内网向外网或双向。
¡ 内网IP:如果流量方向为外网向内网,该项用于匹配报文的目的IP地址;如果流量方向为内网向外网,该项用于匹配报文的源IP地址。
¡ 报文协议:该项用于匹配报文的应用层协议。
(3) 协议识别:识别报文的应用层协议,例如FTP或SMTP。
(4) 行为识别:识别报文的行为特征,例如上传文件或发送邮件。
(5) 文件定位:检索内置特征库,定位待还原文件在报文中的起始和结束位置。
(6) 文件还原:提取报文中的文件,并将文件存储在设备本地,并为其分配唯一的URL供数据安全检测引擎访问。
如果还原出的文件是压缩文件,数据安全检测引擎支持对压缩文件进行解压缩操作。之后,数据安全检测引擎按照如图1-3所示流程对文件进行敏感信息检测。
数据安全检测功能的处理流程如下:
(2) 文件内容匹配:使用检测规则对文件内容进行匹配。
(3) 身份信息匹配:使用身份规则对文件发送者/接收者的身份信息进行匹配。
(4) 检测结果匹配:完成数据安全检测后,使用响应规则对检测结果(即数据安全事件)进行匹配,确定需要执行的告警动作。
(5) 执行告警:执行相应的告警动作。
检测规则包括如下匹配项:
· 正则表达式:标识敏感文件特征的正则表达式。
· 关键字:标识敏感文件特征的字符串。
· 指纹文件:敏感文件的哈希码。
· 文件名:敏感文件的名称。
· 文件大小:敏感文件的大小。
· 文件类型:敏感文件的类型。
· 协议:传输敏感文件时使用的协议。
待检测文件需要匹配一条检测规则中的所有匹配项才算是与该检测规则匹配成功。需要为一条检测规则设定一个严重等级,待检测文件与该检测规则匹配成功即视作发生了指定严重等级的数据安全事件。
身份规则包括如下匹配项:
· IP地址:文件发送者/接收者的IP地址。
· 邮箱地址:文件发送者/接收者的邮箱地址。
· 用户:文件接收者的用户名。
文件发送者/接收者需要匹配一条身份规则中的所有匹配条件(即匹配每个匹配条件中的任一匹配项)才算是与该身份规则匹配成功。需要为一条身份规则设定一个严重等级,文件发送者/接收者与该身份规则匹配成功即视作发生了指定严重等级的数据安全事件。
响应规则包括如下匹配项:
· 严重等级:数据安全事件的严重等级。
· 协议:数据安全事件所对应的敏感文件传输使用的协议。
数据安全事件需要匹配一条响应规则中的所有匹配项才算是与该响应规则匹配成功。匹配成功后,数据安全检测引擎将按照响应规则中所配置的响应动作以日志、邮件等方式进行告警。
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
系列 |
型号 |
说明 |
F5000系列 |
F5000-AI160、F5000-AI-160-G、F5000-AI-130-G、F5000-AI-120-G、F5000-AI-110-G、F5000-AI-55-G、F5000-AI-15-G、F5000-CN160、F5000-CN160-G、F5000-CN-G55、F5000-E-G、F5000-S-G2、F5000-M-G2、F5000-A-G2、F5080、F5030 |
支持 |
F1000系列 |
F1000-AK9130 |
不支持 |
F1000-AI-90、F1000-AI-90-G、F1000-AI-80-G、F1000-AI-75-G、F1000-AI-65-G、F1000-AI-55-G、F1000-AI-25 |
支持 |
DLP功能需要应用层检测引擎和数据安全检测引擎配合执行,用户需要配置应用层检测引擎进行文件还原操作,配置数据安全检测引擎进行敏感信息检测。
(1) 进入系统视图。
system-view
(2) 开启TCP数据段重组功能。
inspect tcp-reassemble enable
缺省情况下,TCP数据段重组功能处于关闭状态。
关于该命令的详细介绍,请参见“DPI深度安全命令参考”中的“应用层检测引擎”。
(3) 关闭应用层检测引擎检测固定长度数据流功能。
inspect stream-fixed-length disable
缺省情况下,应用层检测引擎检测固定长度数据流功能处于开启状态。
关于该命令的详细介绍,请参见“DPI深度安全命令参考”中的“应用层检测引擎”。
(4) 激活DPI各业务模块的策略和规则配置。
inspect activate
缺省情况下,DPI各业务模块的策略和规则被创建、修改和删除时不生效。
关于该命令的详细介绍,请参见“DPI深度安全命令参考”中的“应用层检测引擎”。
(5) 配置DLP功能的流量监控方向。
dlp flow-monitor file-transfer { all | incoming | outgoing }
缺省情况下,DLP功能不对任何方向的流量进行监控。
(6) 配置DLP功能监控的内网IP地址。
a. 进入DLP内网IP地址视图。
dlp flow-monitor local-address { ip | ipv6 }
b. 指定DLP功能监控的IP地址对象组。
object-group object-group-name
缺省情况下,未配置DLP功能监控的IP地址对象组。
(7) (可选)配置DLP功能对指定协议报文的监控。
a. 进入DLP协议配置视图。
dlp flow-monitor protocol
b. 关闭DLP功能对指定协议报文的监控。
disable protocol { all | type protocol-name }
缺省情况下,DLP功能对所有支持的协议报文开启监控。
(8) 配置DLP策略。
DLP策略包含检测规则、身份规则和响应规则,仅支持通过Web界面进行配置,有关DLP策略的配置步骤请参见“DLP联机帮助”。
(9) 开启DLP功能。
undo dlp bypass
缺省情况下,DLP功能处于开启状态。
在完成上述配置后,在任意视图下执行display命令可以显示配置后DLP的运行情况。
表1-1 DLP显示和维护
操作 |
命令 |
显示DLP功能监控的内网IPv4地址对象组 |
display dlp flow-monitor local-address ip config |
显示DLP功能监控的内网IPv6地址对象组 |
display dlp flow-monitor local-address ipv6 config |
显示DLP功能监控的报文协议 |
display dlp flow-monitor protocol config |
公司内部网络出口部署了一台Device,用于对公司内部敏感文件泄露现象进行检测和告警。具体而言,当设备检测到发往地址[email protected]的电子邮件中包含abc.zip文件,设备记录告警日志。
图1-4 DLP配置组网图
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 将接口加入安全域。
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(3) 配置安全策略
# 配置名称为trust-untrust的安全策略,保证Trust安全域内的主机可以访问Internet,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-1-trust-untrust] source-zone trust
[Device-security-policy-ip-1-trust-untrust] destination-zone untrust
[Device-security-policy-ip-1-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-1-trust-untrust] action pass
[Device-security-policy-ip-1-trust-untrust] quit
[Device-security-policy-ip] quit
(4) 配置DPI功能
# 开启TCP数据段重组功能。
[Device] inspect tcp-reassemble enable
# 关闭应用层检测引擎检测固定长度数据流功能。
[Device] inspect stream-fixed-length disable
# 激活DPI各业务模块的策略和规则配置。
[Device] inspect activate
(5) 配置DLP功能的流量过滤参数
# 配置DLP功能监控从内网往外网发送的流量。
[Device] dlp flow-monitor file-transfer outgoing
# 配置内网IP地址对象组obj1。
[Device] object-group ip address obj1
[Device-obj-grp-ip-obj1] network subnet 192.168.1.0 24
[Device-obj-grp-ip-obj1] quit
# 配置DLP功能监控的内网IP地址。
[Device] dlp flow-monitor local-address ip
[Device-dlp-flow-monitor-local-addr-ip] object-group obj1
[Device-dlp-flow-monitor-local-addr-ip] quit
# 开启DLP功能。
[Device] undo dlp bypass
(6) 配置DLP策略
a. 登录设备Web网管页面,单击导航树中的“策略 > DLP > DLP策略”菜单项,进入DLP策略配置页面。
b. 单击<新建>按钮,进入新建DLP策略页面。
- 输入策略名称
- 选择扫描模式
- 勾选启用规则
图1-5 新建DLP策略配置页面
c. 单击添加规则下的<新建>按钮,进入新建检测规则页面。
- 输入名称
- 选择严重等级
- 配置匹配条件(匹配名称为abc.zip的文件)
图1-6 新建检测规则页面
图1-7 新建匹配条件页面
d. 单击<确定>按钮,完成检测规则配置。选择“身份规则”页签,单击添加规则下的<新建>按钮,进入新建身份规则页面。
- 输入名称
- 选择严重等级
- 配置匹配条件(匹配接收者电子邮件地址[email protected])
图1-8 新建身份规则页面
图1-9 新建匹配条件页面
e. 单击<确定>按钮,完成身份规则配置。选择“响应规则”页签,单击响应规则下拉菜单,单击<新建响应规则>按钮,进入新建响应规则页面。
- 输入名称
- 配置匹配条件(匹配严重等级为中的安全事件)
- 配置动作(配置为发送日志)
图1-10 新建响应规则页面
f. 单击<确定>按钮,完成身份规则配置。
g. 单击<确定>按钮,完成DLP策略配置
# 完成以上配置后,如果设备检测到发往地址[email protected]的电子邮件中包含abc.zip文件,设备记录日志。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!