- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
10-文件過濾
本章節下載: 10-文件過濾 (340.49 KB)
本幫助主要介紹以下內容:
· 特性簡介
○ 基本概念
· 配置指南
○ 配置文件類型組
文件過濾是一種根據文件擴展名信息對經設備傳輸的文件進行過濾的安全防護機製。采用文件過濾功能可以對指定類型的文件進行批量過濾。目前,文件過濾功能支持對基於以下應用層協議傳輸的文件進行檢測和過濾。
· HTTP(Hypertext Transfer Protocol,超文本傳輸協議)
· FTP(File Transfer Protocol,文件傳輸協議)
· SMTP(Simple Mail Transfer Protocol,簡單郵件傳輸協議)
· IMAP(Internet Mail Access Protocol,Internet郵件訪問協議)
· NFS(Network File System,網絡文件係統)
· POP3(Post Office Protocol - Version 3,郵局協議版本3)
· RTMP(Real Time Messaging Protocol,實時消息傳輸協議)
· SMB(Server Message Block,服務器信息塊)
文件類型組用來對擴展名進行統一組織和管理。一個文件類型組中可以包含32個擴展名(包括自定義擴展名和預定義擴展名),且它們之間是或的關係。
文件過濾規則是安全檢測條件及處理動作的集合。在一條規則中可配置的檢測條件包括文件類型組、方向、應用,可配置的處理動作包括丟棄、允許和記錄日誌。隻有文件屬性(包括文件的應用類型、傳輸方向和擴展名)成功匹配規則中包含的所有檢測條件才算與此規則匹配成功。
全局配置定義了文件擴展名不匹配時動作和最大可解壓數據大小,對所有DPI業務生效。
· 文件擴展名不匹配時動作:當設備檢測出文件的真實類型與其擴展名不一致時,如果動作配置為允許,則根據識別出的真實的文件類型與文件過濾規則進行匹配並執行文件過濾規則中的動作;如果動作配置為丟棄,則直接丟棄報文,不再進行文件過濾規則的匹配。
· 最大可解壓數據大小:當壓縮文件的大小超過可解壓上限時,設備隻解壓上限以內的數據,並對解壓後的數據進行深度安全檢測。目前,僅支持解壓縮ZIP格式的壓縮文件。
設備對報文進行文件過濾處理的整體流程如下:
1. 如果報文匹配了某個安全策略,且此策略引用了文件過濾配置文件,則對報文進行文件過濾處理。
2. 設備提取文件的擴展名信息並記錄。
3. 設備進一步識別文件真實類型,並將識別的結果與擴展名進行匹配。如果設備不能識別出文件真實類型,則根據文件擴展名與文件過濾規則進行匹配,並進入步驟6處理。
4. 如果識別結果與擴展名一致,則使用擴展名與文件過濾規則進行匹配,並進入步驟6處理;
5. 如果識別結果與擴展名不一致,則查看文件擴展名不匹配時動作,如果動作為丟棄,則直接丟棄報文,不再進行文件過濾規則的匹配;如果動作為允許,則使用文件的真實類型與文件過濾規則進行匹配,並進入步驟6處理。
6. 與文件過濾規則進行匹配,並根據匹配結果對報文執行以下動作:
○ 如果文件的擴展名信息/真實類型同時與多條文件過濾規則匹配成功,則執行這些規則中優先級最高的動作,動作優先級從高到低的順序為:丟棄 > 允許,但是對於日誌動作隻要匹配成功的規則中存在就會執行;
○ 如果文件的擴展名信息/真實類型隻與一條文件過濾規則匹配成功,則執行此規則中指定的動作。
· 配置文件變更後(包括新建、編輯和刪除),需要激活才能生效。如需立即激活,請單擊<提交>按鈕。否則,設備默認40秒後自動激活。激活會暫時中斷DPI業務的處理,可能導致其他基於DPI功能的業務同時出現中斷。例如,安全策略無法對應用進行訪問控製等。
· 執行“提交”操作後,界麵上會提示設置成功,但是配置文件此時可能尚未完成激活,如果此時報文經過設備,可能會出現暫時無法識別的情況。
· 本功能的支持情況與設備型號有關,請以設備實際情況為準。
文件過濾功能的配置思路如下圖所示:
圖-1 文件過濾功能配置指導圖
文件類型組的配置步驟如下:
1. 選擇“對象 > 應用安全 > 文件過濾 > 文件類型組”。
2. 在“文件類型組”頁麵單擊<新建>按鈕,進入“新建文件類型組”頁麵。
3. 新建文件類型組,具體配置內容如下:
表-1 文件類型組配置內容
|
參數 |
說明 |
|
名稱 |
表示文件類型組的名稱 |
|
描述 |
通過合理編寫描述信息,便於管理員快速理解和識別本文件類型組的作用 |
|
預定義擴展名 |
可在此處快速選擇設備上已預定義的擴展名 |
|
自定義擴展名 |
當設備上預定義擴展名不能滿足需求時,可在此處配置自定義的擴展名 |
4. 單擊<確定>按鈕,新建文件類型組成功,且會在“文件類型組”頁麵中顯示。
管理員可以根據實際需求創建自定義的文件過濾配置文件。
文件過濾配置文件的配置步驟如下:
1. 選擇“對象 > 應用安全 > 文件過濾 > 配置文件”。
2. 在“文件過濾配置文件”頁麵單擊<新建>按鈕,進入“新建文件過濾配置文件”頁麵。
3. 新建文件過濾配置文件,具體配置內容如下:
表-2 文件過濾配置文件配置內容
|
參數 |
說明 |
|
名稱 |
表示文件過濾配置文件的名稱 |
|
描述 |
通過合理編寫描述信息,便於管理員快速理解和識別本文件過濾配置文件的作用 |
4. 在“新建文件過濾配置文件”頁麵的“文件過濾規則”區域,單擊<新建>按鈕,進入“新建文件過濾規則”頁麵。
5. 新建文件過濾規則,具體配置內容如下:
表-3 文件過濾規則配置內容
|
參數 |
說明 |
|
名稱 |
表示文件過濾規則的名稱 |
|
應用 |
指定文件過濾規則的應用層協議,具體包括:FTP、HTTP、IMAP、NFS、POP3、RTMP、SMB和SMTP協議。可以根據業務應用所屬的應用層協議類型來靈活控製對哪些協議類型的報文進行文件過濾 |
|
文件類型組 |
指定規則引用的文件類型組來對文件的擴展名信息進行精確匹配 |
|
方向 |
包括上傳、下載和雙向,可以根據報文傳輸的方向來靈活控製對哪個方向的報文進行文件過濾 |
|
動作 |
包括允許和丟棄。允許表示對匹配規則的報文進行放行,丟棄表示對匹配規則的報文進行丟棄 |
|
日誌 |
開啟日誌功能後,對與此規則匹配成功的報文記錄日誌信息;關閉日誌功能後,對與此規則匹配成功的報文不會記錄日誌信息 |
6. 單擊<確定>按鈕,新建文件過濾規則成功,且會在“新建文件過濾配置文件”頁麵的文件過濾規則列表中顯示。
7. 在“新建文件過濾配置文件”頁麵單擊<確定>按鈕,新建文件過濾配置文件成功,且會在“文件過濾配置文件”頁麵中顯示。
8. 在安全策略的內容安全配置中引用此文件過濾配置文件,有關安全策略的詳細配置介紹請參見“安全策略聯機幫助”
9. 新建配置文件後,需要激活才能生效。如需立即激活,請單擊<提交>按鈕。否則,設備默認40秒後自動激活。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
