目  錄

1 文件過濾

1.1 文件過濾簡介

1.1.1 基本概念

1.1.2 文件過濾的實現原理

1.2 文件過濾配置任務簡介

1.3 配置文件類型組

1.4 配置文件過濾策略

1.5 配置文件擴展名不匹配時動作

1.6 在DPI應用profile中引用文件過濾策略

1.7 激活文件過濾策略和規則配置

1.8 在安全策略中引用文件過濾業務

1.9 在對象策略中引用文件過濾業務

1.10 文件過濾典型配置舉例

1.10.1 在安全策略中引用文件過濾業務配置舉例

1.10.2 在對象策略中引用文件過濾業務配置舉例

 

1 文件過濾

1.1  文件過濾簡介

文件過濾是一種根據文件擴展名信息對經設備傳輸的文件進行過濾的安全防護機製。采用文件過濾功能可以對指定類型的文件進行批量過濾。目前，文件過濾功能支持對基於HTTP、FTP、SMTP、IMAP、NFS、POP3、RTMP和SMB協議傳輸的文件進行檢測和過濾。

1.1.1  基本概念

1. 文件過濾特征

文件過濾特征是設備上定義的用於識別文件擴展名特征的字符串。

2. 文件類型組

文件類型組用來對文件過濾特征進行統一組織和管理。一個文件類型組中可以包含32個特征，且它們之間是或的關係。

3. 文件過濾規則

文件過濾規則是安全檢測條件及處理動作的集合。在一個規則中可配置的檢測條件包括文件類型組、報文方向、應用類型，可配置的處理動作包括丟棄、放行和生成日誌。隻有文件屬性（包括文件的應用類型、傳輸方向和擴展名）成功匹配規則中包含的所有檢測條件才算與此規則匹配成功。

1.1.2  文件過濾的實現原理

文件過濾功能是通過在DPI應用profile中引用文件過濾策略，並在安全策略或對象策略中引用DPI應用profile來實現的，設備對報文進行文件過濾處理的整體流程如下：

(1)     當設備收到基於HTTP、FTP、SMTP等協議傳輸的文件時，設備將對匹配了策略的報文進行文件過濾處理。‍有關安全策略的詳細介紹請參見“安全配置指導”中的“安全策略”；有關對象策略規則的詳細介紹請參見“安全配置指導”中的“對象策略”。

(2)     設備提取文件的擴展名信息並記錄。

(3)     設備進一步識別文件真實類型，並將識別的結果與擴展名進行匹配：

¡     如果一致，則使用擴展名與文件過濾規則進行匹配，並進入步驟（4）處理；

¡     如果不一致，則查看文件擴展名不匹配時動作，如果動作為丟棄，則直接丟棄報文，不再進行文件過濾規則的匹配；如果動作為允許，則使用文件的真實類型與文件過濾規則進行匹配，並進入步驟（4）處理。

(4)     與文件過濾規則進行匹配，並根據匹配結果對報文執行以下動作：

¡     如果文件的擴展名信息/真實類型同時與多個文件過濾規則匹配成功，則執行這些規則中優先級最高的動作，動作優先級從高到低的順序為：丟棄 > 允許，但是對於生成日誌動作隻要匹配成功的規則中存在就會執行；

¡     如果文件的擴展名信息/真實類型隻與一個文件過濾規則匹配成功，則執行此規則中指定的動作；

¡     如果文件的擴展名信息/真實類型未與任何文件過濾規則匹配成功，則設備直接允許文件通過。

(5)     如果設備不能識別出文件真實類型，則根據文件擴展名與文件過濾規則進行匹配，並進入步驟（4）處理。

1.2  文件過濾配置任務簡介

文件過濾配置任務如下：

(1)     配置文件類型組

(2)     配置文件過濾策略

(3)     配置文件擴展名不匹配時動作

(4)     在DPI應用profile中引用文件過濾策略

(5)     激活文件過濾策略和規則配置

(6)     在安全策略中引用文件過濾業務

(7)     在對象策略中引用文件過濾業務

1.3  配置文件類型組

1. 功能簡介

一個文件類型組中可配置多個文件過濾特征，各特征之間是或的關係。定義文件過濾特征的方式為文本。

2. 配置步驟

(1)     進入係統視圖。

system-view

(2)     創建文件類型組，並進入文件類型組視圖。

file-filter filetype-group group-name

(3)     （可選）配置文件類型組的描述信息。

description string

缺省情況下，未配置文件類型組的描述信息。

(4)     配置文件過濾特征。

pattern pattern-name text pattern-string

缺省情況下，未配置文件過濾特征。

1.4  配置文件過濾策略

1. 功能簡介

一個文件過濾策略中最多可以定義32個文件過濾規則，各規則之間是或的關係。每個規則中可配置一個文件類型組、多種應用層協議類型、一種報文方向以及多個動作。

2. 配置限製和指導

NFS協議僅支持NFSv3版本；SMB協議支持SMBv1和SMBv2版本。

3. 配置步驟

(1)     進入係統視圖。

system-view

(2)     創建文件過濾策略，並進入文件過濾策略視圖。

file-filter policy policy-name

(3)     （可選）配置文件過濾策略的描述信息。

description string

缺省情況下，未配置文件過濾策略的描述信息。

(4)     創建文件過濾規則，並進入文件過濾規則視圖。

rule rule-name

(5)     指定文件過濾規則采用的文件類型組。

filetype-group group-name

缺省情況下，未指定文件過濾規則采用的文件類型組。

(6)     配置文件過濾規則的應用層協議類型。

application { all | type { ftp | http | imap | nfs | pop3 | rtmp | smb | smtp } * }

缺省情況下，文件過濾規則中未指定應用層協議類型。

(7)     配置文件過濾規則的匹配方向。

direction { both | download | upload }

缺省情況下，文件過濾規則的匹配方向為上傳方向。

(8)     配置文件過濾規則的動作。

action { drop | permit } [ logging ]

缺省情況下，文件過濾規則的動作為丟棄。

1.5  配置文件擴展名不匹配時動作

1. 功能簡介

設備對報文進行文件過濾處理時，會將識別出的文件真實類型與文件擴展名進行對比，當二者不一致時，需要根據本配置進行判斷。如果配置動作為允許，則根據識別出的真實的文件類型與文件過濾規則進行匹配，並執行文件過濾規則中的動作；如果配置動作為丟棄，則直接丟棄報文，不再進行文件過濾規則的匹配。

2. 配置步驟

(1)     進入係統視圖。

system-view

(2)     配置文件擴展名不匹配時動作

file-filter false-extension action { drop | permit }

缺省情況下，文件的真實類型與擴展名不匹配時執行的動作為允許。

1.6  在DPI應用profile中引用文件過濾策略

1. 功能簡介

DPI應用porfile是一個安全業務的配置模板，為實現文件過濾功能，必須在DPI應用porfile中引用指定的文件過濾策略。一個DPI應用profile中隻能引用一個文件過濾策略，如果重複配置，則新的配置會覆蓋已有配置。

2. 配置步驟

(1)     進入係統視圖。

system-view

(2)     進入DPI應用profile視圖。

app-profile profile-name

關於該命令的詳細介紹請參見“DPI深度安全命令參考”中的“應用層檢測引擎”。

(3)     在DPI應用profile中引用文件過濾策略。

file-filter apply policy policy-name

缺省情況下，DPI應用profile中未引用文件過濾策略。

1.7  激活文件過濾策略和規則配置

1. 功能簡介

當文件過濾策略和規則被創建、修改和刪除後，需要配置此功能使其策略和規則配置生效。

2. 配置限製和指導

配置此功能會暫時中斷所有DPI業務的處理，為避免重複配置此功能對DPI業務造成影響，請完成部署DPI各業務模塊的策略和規則後統一配置此功能。

有關此功能的詳細介紹請參見“DPI深度安全配置指導”中的“應用層檢測引擎”。

3. 配置步驟

(1)     進入係統視圖。

system-view

(2)     激活文件過濾策略和規則配置。

inspect activate

缺省情況下，文件過濾策略和規則被創建、修改和刪除時不生效。

1.8  在安全策略中引用文件過濾業務

(1)     進入係統視圖。

system-view

(2)     進入安全策略視圖。

security-policy { ip | ipv6 }

(3)     進入安全策略規則視圖。

rule { rule-id | name name } *

(4)     配置安全策略規則的動作為允許。

action pass

缺省情況下，安全策略規則動作是丟棄。

(5)     配置安全策略規則引用DPI應用profile。

profile app-profile-name

缺省情況下，安全策略規則中未引用DPI應用profile。

1.9  在對象策略中引用文件過濾業務

(1)     進入係統視圖。

system-view

(2)     進入對象策略視圖。

object-policy { ip | ipv6 } object-policy-name

(3)     在對象策略規則中引用DPI應用profile。

rule [ rule-id ] inspect app-profile-name

缺省情況下，在對象策略規則中未引用DPI應用profile。

(4)     退回係統視圖。

quit

(5)     創建安全域間實例，並進入安全域間實例視圖。

zone-pair security source source-zone-name destination destination-zone-name

缺省情況下，不存在安全域間實例。

有關安全域間實例的詳細介紹請參見“基礎配置指導”中的“安全域”。

(6)     應用對象策略。

object-policy apply { ip | ipv6 } object-policy-name

缺省情況下，安全域間實例內不應用對象策略。

1.10  文件過濾典型配置舉例

1.10.1  在安全策略中引用文件過濾業務配置舉例

1. 組網需求

如圖1-1所示，Device分別通過Trust安全域和Untrust安全域與局域網和Internet相連。現有以下組網需求：

·     拒絕擴展名為pptx和dotx的文件通過。

·     對以上被阻止的文件生成日誌信息。

2. 組網圖

圖1-1 在安全策略中引用文件過濾業務配置組網圖

‌

3. 配置步驟

(1)     配置各接口的IP地址（略）

(2)     創建安全域並將接口加入安全域

# 向安全域Trust中添加接口GigabitEthernet1/0/1。

<Device> system-view

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

# 向安全域Untrust中添加接口GigabitEthernet1/0/2。

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

(3)     配置對象組

# 創建名為filefilter的IP地址對象組，並定義其子網地址為192.168.1.0/24。

[Device] object-group ip address filefilter

[Device-obj-grp-ip-filefilter] network subnet 192.168.1.0 24

[Device-obj-grp-ip-filefilter] quit

(4)     配置文件過濾功能

a.     配置文件類型組

# 創建文件類型組fg1，並進入文件類型組視圖。

[Device] file-filter filetype-group fg1

# 配置文件過濾特征為pptx和dotx。

[Device-file-filter-fgroup-fg1] pattern 1 text pptx

[Device-file-filter-fgroup-fg1] pattern 2 text dotx

[Device-file-filter-fgroup-fg1] quit

b.     配置文件過濾策略

# 創建文件過濾策略p1，並進入文件過濾策略視圖。

[Device] file-filter policy p1

# 創建文件過濾規則r1，並進入文件過濾規則視圖。

[Device-file-filter-policy-p1] rule r1

# 在規則r1中應用文件類型組fg1，配置應用類型為HTTP，報文方向為會話的雙向，動作為丟棄並輸出日誌。

[Device-file-filter-policy-p1-rule-r1] filetype-group fg1

[Device-file-filter-policy-p1-rule-r1] application type http

[Device-file-filter-policy-p1-rule-r1] direction both

[Device-file-filter-policy-p1-rule-r1] action drop logging

[Device-file-filter-policy-p1-rule-r1] quit

(5)     配置DPI應用profile

# 創建名稱為profile1的DPI應用profile，並進入DPI應用profile視圖。

[Device] app-profile profile1

# 在DPI應用profile1中應用文件過濾策略p1。

[Device-app-profile-profile1] file-filter apply policy p1

[Device-app-profile-profile1] quit

# 激活文件過濾策略和規則配置。

[Device] inspect activate

(6)     配置安全策略引用文件過濾業務

# 進入IPv4安全策略視圖

[Device] security-policy ip

# 創建名為inspect1的安全策略規則，過濾條件為：源安全域Trust、源IP地址對象組filefilter、目的安全域Untrust。動作為允許，且引用的DPI應用profile為profile1。

[Device-security-policy-ip] rule name inspect1

[Device-security-policy-ip-14-inspect1] source-zone trust

[Device-security-policy-ip-14-inspect1] source-ip filefilter

[Device-security-policy-ip-14-inspect1] destination-zone untrust

[Device-security-policy-ip-14-inspect1] action pass

[Device-security-policy-ip-14-inspect1] profile profile1

[Device-security-policy-ip-14-inspect1] quit

# 激活安全策略配置。

[Device-security-policy-ip] accelerate enhanced enable

[Device-security-policy-ip] quit

4. 驗證配置

完成上述配置後，符合上述條件的文件將被丟棄，並輸出日誌信息。

1.10.2  在對象策略中引用文件過濾業務配置舉例

1. 組網需求

如圖1-2所示，Device分別通過Trust安全域和Untrust安全域與局域網和Internet相連。現有以下組網需求：

·     拒絕擴展名為pptx和dotx的文件通過。

·     對以上被阻止的文件生成日誌信息。

2. 組網圖

圖1-2 在對象策略中引用文件過濾業務配置組網圖

‌

3. 配置步驟

(1)     配置各接口的IP地址（略）

(2)     創建安全域並將接口加入安全域

# 向安全域Trust中添加接口GigabitEthernet1/0/1。

<Device> system-view

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

# 向安全域Untrust中添加接口GigabitEthernet1/0/2。

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

(3)     配置對象組

# 創建名為filefilter的IP地址對象組，並定義其子網地址為192.168.1.0/24。

[Device] object-group ip address filefilter

[Device-obj-grp-ip-filefilter] network subnet 192.168.1.0 24

[Device-obj-grp-ip-filefilter] quit

(4)     配置文件過濾功能

a.     配置文件類型組

# 創建文件類型組fg1，並進入文件類型組視圖。

[Device] file-filter filetype-group fg1

# 配置文件過濾特征為pptx和dotx。

[Device-file-filter-fgroup-fg1] pattern 1 text pptx

[Device-file-filter-fgroup-fg1] pattern 2 text dotx

[Device-file-filter-fgroup-fg1] quit

b.     配置文件過濾策略

# 創建文件過濾策略p1，並進入文件過濾策略視圖。

[Device] file-filter policy p1

# 創建文件過濾規則r1，並進入文件過濾規則視圖。

[Device-file-filter-policy-p1] rule r1

# 在規則r1中應用文件類型組fg1，配置應用類型為HTTP，報文方向為會話的雙向，動作為丟棄並輸出日誌。

[Device-file-filter-policy-p1-rule-r1] filetype-group fg1

[Device-file-filter-policy-p1-rule-r1] application type http

[Device-file-filter-policy-p1-rule-r1] direction both

[Device-file-filter-policy-p1-rule-r1] action drop logging

[Device-file-filter-policy-p1-rule-r1] quit

(5)     配置DPI應用profile

# 創建名稱為profile1的DPI應用profile，並進入DPI應用profile視圖。

[Device] app-profile profile1

# 在DPI應用profile1中應用文件過濾策略p1。

[Device-app-profile-profile1] file-filter apply policy p1

[Device-app-profile-profile1] quit

# 激活文件過濾策略和規則配置。

[Device] inspect activate

(6)     配置對象策略

# 創建名為inspect1的對象策略，並進入對象策略視圖。

[Device] object-policy ip inspect1

# 對源IP地址對象組filefilter對應的報文進行深度檢測，引用的DPI應用profile為profile1。

[Device-object-policy-ip-inspect1] rule inspect profile1 source-ip filefilter destination-ip any

[Device-object-policy-ip-inspect1] quit

(7)     配置安全域間實例並應用對象策略

# 創建源安全域Trust到目的安全域Untrust的安全域間實例，並應用對源IP地址對象組filefilter對應的報文進行深度檢測的對象策略inspect1。

[Device] zone-pair security source trust destination untrust

[Device-zone-pair-security-trust-untrust] object-policy apply ip inspect1

[Device-zone-pair-security-trust-untrust] quit

4. 驗證配置

完成上述配置後，符合上述條件的文件將被丟棄，並輸出日誌信息。