登錄

歡迎userBOB登陆 退出

簡體中文

  • 產品與解決方案
  • 行業解決方案
  • 服務
  • 支持
  • 合作夥伴
  • 關於我們

07-典型配置舉例

目錄

21-數據過濾典型配置舉例

本章節下載 21-數據過濾典型配置舉例  (359.21 KB)

21-數據過濾典型配置舉例

數據過濾典型配置舉例

簡介

本文檔介紹數據過濾功能的典型配置舉例。

數據過濾功能是指設備對應用層協議報文中攜帶的內容進行過濾,以阻止內部網絡用戶訪問非法網站,並阻止含有非法內容的報文進入內部網絡。目前,數據過濾功能支持對基於以下應用層協議傳輸的應用層信息進行檢測和過濾。

·     HTTPHypertext Transfer Protocol,超文本傳輸協議)

·     FTPFile Transfer Protocol,文件傳輸協議)

·     SMTPSimple Mail Transfer Protocol,簡單郵件傳輸協議)

·     IMAPInternet Mail Access ProtocolInternet郵件訪問協議)

·     NFSNetwork File System,網絡文件係統)

·     POP3Post Office Protocol - Version 3,郵局協議版本3

·     RTMPReal Time Messaging Protocol,實時消息傳輸協議)

·     SMBServer Message Block,服務器信息塊)

 

本文檔不嚴格與具體軟、硬件版本對應,如果使用過程中與產品實際情況有差異,請以設備實際情況為準。

本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。

本文檔假設您已了解數據過濾特性。

 

目前,設備支持對基於HTTPFTPSMTPIMAPNFSPOP3RTMPSMB協議的文件進行過濾。

如需支持對HTTPS協議報文進行數據過濾,則需要和應用代理功能(可到Web界麵中的“策略 > 應用代理”進行配置)配合使用。

組網需求

圖-1所示,Device作為安全網關部署在內網邊界。通過配置數據過濾功能,實現如下需求:

·     阻止內網用戶通過外網瀏覽、發布和下載帶有“法輪功”字樣的信息。

·     阻止內網用戶對外發布帶有“僅供內部使用”字樣的文件。

·     對以上被阻止的內容生成日誌信息。

圖-1 數據過濾配置組網圖

 

使用版本

本舉例是在F1080R9333版本上進行配置和驗證的。

配置步驟

1.     配置各接口IP地址並將接口加入對應的安全域

# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。

# 選中接口GE1/0/1前的複選框,單擊<編輯>按鈕,配置如下。

·     加入安全域:Trust

·     IP地址/掩碼:10.1.1.1/24

·     其他配置項保持默認情況即可。

# 按照同樣的步驟配置接口GE1/0/2,配置如下。

·     加入安全域:Untrust

·     IP地址/掩碼:20.1.1.1/24

·     其他的配置項保持默認情況即可。

2.     創建內網地址對象組

# 選擇“對象 > 對象組 > IPv4地址對象組”,單擊<新建>按鈕,進入新建IPv4地址對象組頁麵,添加名為private的內網地址對象組。

# 在新建IPv4地址對象組頁麵中,單擊<添加>按鈕,進入添加對象頁麵,配置如下。

·     對象:網段。

·     IPv4地址/掩碼長度:10.1.1.0/24

3.     新建關鍵字組

# 選擇“對象 > 應用安全 > 數據過濾 >關鍵字組”,單擊<新建>按鈕,進入新建關鍵字組頁麵,新建名為防泄密的關鍵字組。

# 在自定義關鍵字列表區域,單擊<新建>按鈕,進入新建關鍵字頁麵,配置如下圖所示。

圖-2 新建名為涉密的關鍵字

 

# 單擊<確定>按鈕,完成名為涉密的自定義關鍵字的配置,返回新建關鍵字組頁麵。

圖-3 新建關鍵字組頁麵

 

# 單擊<確定>按鈕,完成名為防泄密的關鍵字組的配置。

# 按照同樣的步驟,配置名為禁止瀏覽的關鍵字組。

# 在新建關鍵字頁麵,新建名為敏感內容的關鍵字,配置如下圖所示。

圖-4 配置名為敏感內容的關鍵字

 

# 單擊<確定>按鈕,完成名為敏感內容的關鍵字的配置,返回新建關鍵字組頁麵。

圖-5 新建關鍵字組頁麵

 

# 單擊<確定>按鈕,完成名為禁止瀏覽的關鍵字組的配置。

4.     新建數據過濾配置文件

# 選擇“對象 > 應用安全 > 數據過濾 > 配置文件”,單擊<新建>按鈕,進入新建數據過濾配置文件頁麵。創建名為datafilter的數據過濾配置文件。

# 在數據過濾規則區域中,單擊<新建>按鈕,進入新建數據過濾規則頁麵,新建名為防泄密規則的數據過濾規則,配置如下圖所示。

圖-6 配置名為防泄密規則的數據過濾規則

 

# 單擊<確定>按鈕,完成名為防泄密規則的數據過濾規則的配置。

# 按照同樣的步驟,配置名為禁止瀏覽規則的數據過濾規則,配置如下圖所示。

圖-7 配置名為禁止瀏覽規則的數據過濾規則

 

# 單擊<確定>按鈕,完成名為禁止瀏覽規則的數據過濾規則的配置,返回新建數據過濾配置文件頁麵。

圖-8 新建數據過濾配置文件頁麵

 

# 單擊<確定>按鈕,完成數據過濾配置文件的配置。

# 完成數據過濾配置文件的配置後,單擊<提交>按鈕,使新建的數據過濾配置文件datafilter生效。

5.     創建源安全域Trust到目的安全域Untrust安全策略,並引用數據過濾配置文件

# 選擇“策略 > 安全策略 > 安全策略”,單擊<新建>按鈕,進入新建安全策略頁麵。具體配置如下。

·     名稱:數據過濾。

·     源安全域:Trust

·     目的安全域:Untrust

·     動作:允許。

·     IP/MAC地址中選擇地址對象組:private

·     內容安全中引用數據過濾策略:datafilter

·     其他配置項保持缺省情況即可。

# 單擊<確定>按鈕,完成配置。

驗證配置

以上配置完成後,可以對內網用戶在Internet上瀏覽、發布和傳播信息的內容進行控製。測試結果如下:

·     內網用戶無法通過外網瀏覽、發布和下載帶有“法輪功”字樣的信息。

·     內網用戶無法向外網發布帶有“僅供內部使用”字樣的文件。

·     管理員可在“監控 > 設備日誌 > 係統日誌”中查看所有數據過濾日誌信息。

不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!

BOB登陆 官網
聯係我們