登錄

歡迎userBOB登陆 退出

簡體中文

  • 產品與解決方案
  • 行業解決方案
  • 服務
  • 支持
  • 合作夥伴
  • 關於我們

07-典型配置舉例

目錄

22-文件過濾典型配置舉例

本章節下載 22-文件過濾典型配置舉例  (324.09 KB)

22-文件過濾典型配置舉例

文件過濾功能典型配置舉例

簡介

 

本文檔介紹文件過濾功能的典型配置舉例。

文件過濾是一種根據文件擴展名信息對經設備傳輸的文件進行過濾的安全防護機製。采用文件過濾功能可以對指定類型的文件進行批量過濾。目前,文件過濾功能支持對基於以下應用層協議傳輸的文件進行檢測和過濾。

·     HTTPHypertext Transfer Protocol,超文本傳輸協議)

·     FTPFile Transfer Protocol,文件傳輸協議)

·     SMTPSimple Mail Transfer Protocol,簡單郵件傳輸協議)

·     IMAPInternet Mail Access ProtocolInternet郵件訪問協議)

·     NFSNetwork File System,網絡文件係統)

·     POP3Post Office Protocol - Version 3,郵局協議版本3

·     RTMPReal Time Messaging Protocol,實時消息傳輸協議)

·     SMBServer Message Block,服務器信息塊)

 

本文檔不嚴格與具體軟、硬件版本對應,如果使用過程中與產品實際情況有差異,請以設備實際情況為準。

本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。

本文檔假設您已了解文件過濾特性。

 

目前,設備支持對基於HTTPFTPSMTPIMAPNFSPOP3RTMPSMB協議的文件進行過濾。

如需支持對HTTPS協議報文進行文件過濾,則需要和應用代理功能(可到Web界麵中的“策略 > 應用代理”進行配置)配合使用。

組網需求

圖-1所示,Device作為安全網關部署在內網邊界。通過配置文件過濾功能,實現如下需求:

·     為了降低公司內部機密文件外泄的風險,需要阻止內網用戶上傳常見的文檔文件以及壓縮文件到Internet

·     為了降低病毒潛入內部網絡的風險,需要阻止內網用戶從Web服務器上下載可執行文件。

圖-1 文件過濾配置組網圖

 

使用版本

本舉例是在F1080R9333版本上進行配置和驗證的。

配置步驟

1.     配置各接口IP地址並將接口加入對應的安全域

# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。

# 選中接口GE1/0/1前的複選框,單擊<編輯>按鈕,配置如下。

·     加入安全域:Trust

·     IP地址/掩碼:10.1.1.1/24

·     其他配置項保持默認情況即可。

# 按照同樣的步驟配置接口GE1/0/2,配置如下。

·     加入安全域:Untrust

·     IP地址/掩碼:20.1.1.1/24

·     其他的配置項保持默認情況即可。

2.     創建內網地址對象組

# 選擇“對象 > 對象組 > IPv4地址對象組”,單擊<新建>按鈕,進入新建IPv4地址對象組頁麵,添加名為private的內網地址對象組。

# 在新建IPv4地址對象組頁麵中,單擊<添加>按鈕,進入添加對象頁麵,配置如下。

·     對象:網段。

·     IPv4地址/掩碼長度:10.1.1.0/24

3.     新建文件類型組

# 選擇“對象 > 應用安全 > 文件過濾 >文件類型組”,單擊<新建>按鈕,進入新建文件類型組頁麵,新建名為filetype1的文件類型組,配置如下。

·     名稱:filetype1

·     預定義擴展名:壓縮文件、文檔文件。

圖-2 新建名為filetype1的文件類型組

 

# 單擊<確定>按鈕,完成配置。

# 按照同樣的步驟,配置名為filetype2的文件類型組,配置如下。

·     名稱:filetype2

·     預定義擴展名:可執行文件。

圖-3 新建名為filetype2的文件類型組

 

# 單擊<確定>按鈕,完成名為filetype2的文件類型組的配置。

4.     新建文件過濾配置文件

# 選擇“對象 > 應用安全 > 文件過濾 > 配置文件”,選擇“配置文件”頁簽。單擊<新建>按鈕,進入新建文件過濾配置文件頁麵。創建名為filefilter的文件過濾配置文件。

# 在文件過濾規則區域,單擊<新建>按鈕,進入新建文件過濾規則頁麵,添加名為rule1的文件過濾規則。配置如下圖所示。

圖-4 新建名為rule1的文件過濾規則

 

# 單擊<確定>按鈕,完成名為rule1的文件過濾規則的配置。

# 按照同樣的步驟,配置名為rule2的文件過濾規則,配置如下圖所示。

圖-5 新建名為rule2的文件過濾規則

 

# 單擊<確定>按鈕,完成名為rule2的文件過濾規則的配置,返回新建文件過濾配置文件頁麵。

圖-6 新建文件過濾配置文件頁麵

 

# 單擊<確定>按鈕,完成名為filefilter的文件過濾配置文件的配置。

# 文件過濾配置文件創建完成後,需要單擊<提交>按鈕,激活配置。

5.     在安全策略中引用文件過濾配置文件

# 選擇“策略 > 安全策略 > 安全策略”,單擊<新建>按鈕,進入新建安全策略頁麵。具體配置如下。

·     名稱:文件過濾。

·     源安全域:Trust

·     目的安全域:Untrust

·     動作:允許。

·     IP/MAC地址中選擇地址對象組:private

·     內容安全中引用文件過濾策略:filefilter

·     其他配置項保持缺省情況即可。

# 單擊<確定>按鈕,完成配置。

驗證配置

以上配置完成後,可以對內網用戶在Internet中上傳和下載文件進行控製。測試結果如下:

·     內網用戶無法向Internet上傳常見類型的文檔文件和壓縮文件。

·     內網用戶無法通過Web服務器下載可執行文件。

·     管理員可在“監控 > 安全日誌 > 文件過濾日誌”中,查看文件過濾日誌信息。

不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!

BOB登陆 官網
聯係我們