- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
06-數據過濾
本章節下載: 06-數據過濾 (358.90 KB)
本幫助主要介紹以下內容:
· 特性簡介
¡ 基本概念
· 配置指南
¡ 配置關鍵字組
數據過濾是一種對流經設備的報文的應用層信息進行過濾的安全防護機製。采用數據過濾功能可以有效防止內網機密信息泄露,禁止內網用戶在Internet上瀏覽、發布和傳播違規或違法信息。目前,數據過濾功能支持對基於以下應用層協議傳輸的應用層信息進行檢測和過濾。
· HTTP(Hypertext Transfer Protocol,超文本傳輸協議)
· FTP(File Transfer Protocol,文件傳輸協議)
· SMTP(Simple Mail Transfer Protocol,簡單郵件傳輸協議)
· IMAP(Internet Mail Access Protocol,Internet郵件訪問協議)
· NFS(Network File System,網絡文件係統)
· POP3(Post Office Protocol - Version 3,郵局協議版本3)
· RTMP(Real Time Messaging Protocol,實時消息傳輸協議)
· SMB(Server Message Block,服務器信息塊)
關鍵字是用於識別應用層信息特征的字符串。包括預定義關鍵字和自定義關鍵字。
· 預定義關鍵字:由設備生成,包括手機號、銀行卡號、信用卡號和身份證號。
· 自定義關鍵字:管理員自定義的需要識別的關鍵字,支持文本匹配方式和正則表達式匹配方式。
關鍵字組用來對數據過濾關鍵字進行統一組織和管理。一個關鍵字組中可以包含32個關鍵字(包括自定義關鍵字和預定義關鍵字),且它們之間是或的關係。
數據過濾規則是報文應用層信息安全檢測條件及處理動作的集合。在一條規則中可設置關鍵字組、方向、應用類型和動作(允許、丟棄、生成日誌)。隻有報文成功匹配規則中包含的所有檢測條件才算與此規則匹配成功。
設備對報文進行數據過濾處理的整體流程如下:
1. 當設備收到基於HTTP、FTP和SMTP等協議的報文時,如果報文匹配了某個安全策略,且此策略的動作是允許並引用了數據過濾配置文件,則對報文進行數據過濾處理。
2. 設備提取報文中的應用層信息與數據過濾規則進行匹配,並根據匹配結果對報文執行動作:
¡ 如果報文同時與多條規則匹配成功,則執行這些規則中優先級最高的動作,動作優先級從高到低的順序為:丟棄 > 允許,但是對於生成日誌動作隻要匹配成功的規則中已配置就會執行。
¡ 如果報文隻與一條規則匹配成功,則執行此規則中指定的動作。
¡ 如果報文未與任何數據過濾規則匹配成功,則設備直接允許報文通過。
數據過濾功能的配置思路如下圖所示:
圖-1 數據過濾功能配置指導圖
1. 選擇“對象 > 應用安全 > 數據過濾 > 關鍵字組”。
2. 在“關鍵字組”頁麵單擊<新建>按鈕,進入“新建關鍵字組”頁麵。
3. 新建關鍵字組,具體配置內容如下:
表-1 關鍵字組配置內容
|
參數 |
說明 |
|
名稱 |
表示關鍵字組的名稱 |
|
描述 |
通過合理編寫描述信息,便於管理員快速理解和識別本關鍵字組的作用 |
4. 在“預定義關鍵字列表”區域,啟用預定義關鍵字。
5. 在“自定義關鍵字列表”區域,單擊<新建>按鈕,進入“新建關鍵字”頁麵。
6. 新建關鍵字,具體配置內容如下:
表-2 關鍵字配置內容
|
參數 |
說明 |
|
名稱 |
表示關鍵字的名稱 |
|
匹配模式 |
包括文本和正則表達式兩種: · 文本方式表示對報文進行精確匹配 · 正則表達式方式表示對報文進行模糊匹配 |
|
匹配內容 |
輸入關鍵字的內容 |
7. 單擊<確定>按鈕,新建關鍵字成功,且會在自定義關鍵字列表中顯示。
8. 在“新建關鍵字組”頁麵單擊<確定>按鈕,新建關鍵字組成功,且會在“關鍵字組”頁麵中顯示。
1. 選擇“對象 > 應用安全 > 數據過濾 > 配置文件”。
2. 在“數據過濾配置文件”頁麵單擊<新建>按鈕,進入“新建數據過濾配置文件”頁麵。
3. 新建數據過濾配置文件,具體配置內容如下:
表-3 數據過濾配置文件配置內容
|
參數 |
說明 |
|
名稱 |
表示數據過濾配置文件的名稱 |
|
描述 |
通過合理編寫描述信息,便於管理員快速理解和識別本數據過濾配置文件的作用 |
4. 在“數據過濾規則”區域,單擊<新建>按鈕,進入“新建數據過濾規則”頁麵。
5. 新建數據過濾規則,具體配置內容如下:
表-4 數據過濾規則配置內容
|
參數 |
說明 |
|
名稱 |
表示數據過濾規則的名稱 |
|
關鍵字組 |
指定規則引用的關鍵字組來對報文的應用層信息進行關鍵字匹配 |
|
應用 |
指定數據過濾規則的應用層協議,具體包括:FTP、HTTP、IMAP、NFS、POP3、RTMP、SMB和SMTP協議。可以根據業務應用所屬的應用層協議類型來靈活控製對哪些協議類型的報文進行數據過濾 |
|
方向 |
包括上傳、下載和雙向,可以根據報文傳輸的方向來靈活控製對哪個方向的報文進行數據過濾 |
|
動作 |
包括允許和丟棄。允許表示對匹配規則的報文進行放行,丟棄表示對匹配規則的報文進行丟棄 |
|
日誌 |
開啟日誌功能後,對與此規則匹配成功的報文生成日誌信息;關閉日誌功能後,對與此規則匹配成功的報文不會生成日誌信息 |
6. 單擊<確定>按鈕,新建數據過濾規則成功,且會在“新建數據過濾配置文件”頁麵的數據過濾規則列表中顯示。
7. 在“新建數據過濾配置文件”頁麵單擊<確定>按鈕,新建數據過濾配置文件成功,且會在“數據過濾配置文件”頁麵中顯示。
8. 在安全策略的內容安全配置中引用此數據過濾配置文件,有關安全策略的詳細配置介紹請參見“安全策略聯機幫助”。
9. 單擊<提交>按鈕,激活數據過濾配置文件的配置內容。配置此功能會暫時中斷DPI業務的處理,為避免重複配置此功能對DPI業務造成影響,請完成部署DPI各業務模塊的配置文件後統一配置此功能。
· 正則表達式中,總的分支不能超過四個。例如'abc(c|d|e|\x3D)'有效,'abc(c|onreset|onselect|onchange|style\x3D)'無效。
· 正則表達式中,括號不能嵌套,即括號中不能有括號。例如'ab((abcs*?))'無效。
· 正則表達式中,分支不支持串聯,即分支後麵不能有分支。例如'ab(a|b)(c|d)^\\r\\n]+?'無效。
· 正則表達式中,零次重複量詞'*'和'?'前麵必須有四個確定字符。例如'abc*'無效,'abcd*DoS\x2d\d{5}\x20\x2bxi\\r\\nJOIN'有效。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
