20-數據過濾典型配置舉例
本章節下載: 20-數據過濾典型配置舉例 (361.25 KB)
數據過濾典型配置舉例
本文檔介紹數據過濾功能的典型配置舉例。
數據過濾功能是指設備對應用層協議報文中攜帶的內容進行過濾,以阻止內部網絡用戶訪問非法網站,並阻止含有非法內容的報文進入內部網絡。目前,數據過濾功能支持對基於以下應用層協議傳輸的應用層信息進行檢測和過濾。
· HTTP(Hyper text Transfer Protocol,超文本傳輸協議)
· FTP(File Transfer Protocol,文件傳輸協議)
· SMTP(Simple Mail Transfer Protocol,簡單郵件傳輸協議)
· IMAP(Internet Mail Access Protocol,Internet郵件訪問協議)
· NFS(Network File System,網絡文件係統)
· POP3(Post Office Protocol - Version 3,郵局協議版本3)
· RTMP(Real Time Messaging Protocol,實時消息傳輸協議)
· SMB(Server Message Block,服務器信息塊)
本文檔不嚴格與具體軟、硬件版本對應,如果使用過程中與產品實際情況有差異,請以設備實際情況為準。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文檔假設您已了解數據過濾特性。
目前,設備支持對基於HTTP、FTP、SMTP、IMAP、NFS、POP3、RTMP和SMB協議的文件進行過濾。
如需支持對HTTPS協議報文進行數據過濾,則需要和應用代理功能(可到Web界麵中的“策略 > 應用代理”進行配置)配合使用。
如圖-1所示,Device作為安全網關部署在內網邊界。通過配置數據過濾功能,實現如下需求:
· 阻止內網用戶通過外網瀏覽、發布和下載帶有“非法”字樣的信息。
· 阻止內網用戶對外發布帶有“僅供內部使用”字樣的文件。
· 對以上被阻止的內容生成日誌信息。
本舉例是在F1060的F9345版本上進行配置和驗證的。
1. 配置接口IP地址
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/1右側的<編輯>按鈕,配置如下。
· 安全域:Trust
· 選擇“IPv4地址”頁簽,配置IP地址/掩碼長度:10.1.1.1/24
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 按照同樣的步驟配置接口GE1/0/2,配置如下。
· 安全域:Untrust
· IP地址/掩碼:20.1.1.1/24
· 其他配置項使用缺省值
2. 配置路由
本舉例僅以靜態路由為例,若實際組網中需采用動態路由,請配置對應的動態路由協議。
# 選擇“網絡 > 路由 > 靜態路由 > IPv4靜態路由”,單擊<新建>按鈕,進入新建IPv4靜態路由頁麵。
# 新建IPv4靜態路由,並進行如下配置:
· 目的IP地址:0.0.0.0
· 掩碼長度:0
· 下一跳IP地址:20.1.1.2
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成靜態路由的配置。
3. 新建關鍵字組
# 選擇“對象 > 應用安全 > 數據過濾 >關鍵字組”,單擊<新建>按鈕,進入新建關鍵字組頁麵,新建名為keywordgroup1的關鍵字組。
# 在自定義關鍵字列表區域,單擊<新建>按鈕,進入新建關鍵字頁麵,配置如下圖所示。
圖-2 新建名為keyword1的關鍵字
# 單擊<確定>按鈕,完成名為keyword1的自定義關鍵字的配置,返回新建關鍵字組頁麵。
圖-3 新建關鍵字組頁麵
# 單擊<確定>按鈕,完成名為keywordgroup1的關鍵字組的配置。
# 按照同樣的步驟,配置名為keywordgroup2的關鍵字組。
# 在新建關鍵字頁麵,新建名為keyword2的關鍵字,配置如下圖所示。
圖-4 配置名為keyword2的關鍵字
# 單擊<確定>按鈕,完成名為keyword2的關鍵字的配置,返回新建關鍵字組頁麵。
圖-5 新建關鍵字組頁麵
# 單擊<確定>按鈕,完成名為keywordgroup2的關鍵字組的配置。
4. 新建數據過濾配置文件
# 選擇“對象 > 應用安全 > 數據過濾 > 配置文件”,單擊<新建>按鈕,進入新建數據過濾配置文件頁麵。創建名為datafilter的數據過濾配置文件。
# 在數據過濾規則區域中,單擊<新建>按鈕,進入新建數據過濾規則頁麵,新建名為rule1的數據過濾規則,配置如下圖所示。
圖-6 配置名為rule1的數據過濾規則
# 單擊<確定>按鈕,完成名為rule1的數據過濾規則的配置。
# 按照同樣的步驟,配置名為rule2的數據過濾規則,配置如下圖所示。
圖-7 配置名為rule2的數據過濾規則
# 單擊<確定>按鈕,完成名為rule2的數據過濾規則的配置,返回新建數據過濾配置文件頁麵。
圖-8 新建數據過濾配置文件頁麵
# 單擊<確定>按鈕,完成數據過濾配置文件的配置。
5. 配置安全策略
# 選擇“策略 > 安全策略 > 安全策略”,單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵。
# 新建安全策略,並進行如下配置:
· 名稱:數據過濾
· 源安全域:Trust
· 目的安全域:Untrust
· 類型:IPv4
· 動作:允許
· 源IP地址:10.1.1.0/24
· 內容安全中引用數據過濾配置文件:datafilter
· 其他配置項使用缺省值
# 單擊<確定>按鈕,完成安全策略的配置。
# 數據過濾配置文件在被安全策略引用後,需要單擊<提交>按鈕,使數據過濾配置文件生效。
以上配置完成後,可以對內網用戶在Internet上瀏覽、發布和傳播信息的內容進行控製。測試結果如下:
· 內網用戶無法通過外網瀏覽、發布和下載帶有“非法”字樣的信息。
· 內網用戶無法向外網發布帶有“僅供內部使用”字樣的文件。
· 管理員可在CLI界麵下輸入display logbuffer module dfilter命令查看數據過濾日誌信息。或者在Web界麵的“係統 > 日誌設置 > 基本配置”頁麵下,選擇係統日誌頁簽,新建一個日誌主機,可在該日誌主機接收到的日誌中查看到數據過濾日誌。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!