目  錄

1 數據過濾

1.1 數據過濾簡介

1.1.1 基本概念

1.1.2 數據過濾的實現原理

1.2 數據過濾配置任務簡介

1.3 配置關鍵字組

1.4 配置數據過濾策略

1.5 在DPI應用profile中引用數據過濾策略

1.6 激活數據過濾策略和規則配置

1.7 在安全策略中引用數據過濾業務

1.8 數據過濾典型配置舉例

1.8.1 在安全策略中引用數據過濾業務配置舉例

1 數據過濾

1.1  數據過濾簡介

數據過濾是一種對流經設備的報文的應用層信息進行過濾的安全防護機製。采用數據過濾功能可以有效防止內網機密信息泄露，禁止內網用戶在Internet上瀏覽、發布和傳播違規或違法信息。目前，數據過濾功能支持對基於HTTP、FTP、SMTP、IMAP、NFS、POP3、RTMP和SMB協議傳輸的應用層信息進行檢測和過濾。

1.1.1  基本概念

1. 數據過濾特征

數據過濾特征是設備上定義的用於識別應用層信息特征的字符串，包括以下類型：

·     預定義特征：係統預先定義配置，包括手機號、銀行卡號、信用卡號和身份證號。

·     自定義特征：用戶自定義配置，支持文本匹配方式和正則表達式匹配方式。

2. 關鍵字組

關鍵字組用來對數據過濾特征進行統一組織和管理。

3. 數據過濾規則

數據過濾規則是報文應用層信息安全檢測條件及處理動作的集合。在一個規則中可設置關鍵字組、報文方向、應用類型和動作（丟棄、放行、生成日誌）。隻有報文成功匹配規則中包含的所有檢測條件才算與此規則匹配成功。

1.1.2  數據過濾的實現原理

數據過濾功能是通過在DPI應用profile中引用數據過濾策略，並在安全策略中引用DPI應用profile來實現的，設備對報文進行數據過濾處理的整體流程如下：

(1)     當設備收到HTTP、FTP、SMTP報文時，設備將對匹配了策略的報文進行數據過濾處理。有關安全策略的詳細介紹請參見“安全配置指導”中的“安全策略”。

(2)     設備提取報文中的應用層信息與數據過濾規則進行匹配，並根據匹配結果對報文執行動作：

a.     如果報文同時與多個規則匹配成功，則執行這些規則中優先級最高的動作，動作優先級從高到低的順序為：丟棄 > 放行，但是對於生成日誌動作隻要匹配成功的規則中存在就會執行。

¡     如果報文隻與一個規則匹配成功，則執行此規則中指定的動作。

¡     如果報文未與任何數據過濾規則匹配成功，則設備直接允許報文通過。

1.2  數據過濾配置任務簡介

數據過濾配置任務如下：

(1)     配置關鍵字組

(2)     配置數據過濾策略

(3)     在DPI應用profile中引用數據過濾策略

(4)     （可選）激活數據過濾策略和規則配置

(5)     引用DPI應用profile

請選擇以下一項任務進行配置：

¡     在安全策略中引用數據過濾業務

1.3  配置關鍵字組

1. 功能簡介

一個關鍵字組中可配置多個數據過濾特征用於定義過濾報文應用層信息的字符串，各特征之間是或的關係。定義數據過濾特征的方式為正則表達式和文本兩種。

2. 配置步驟

(1)     進入係統視圖。

system-view

(2)     創建關鍵字組，並進入關鍵字組視圖。

data-filter keyword-group keywordgroup-name

(3)     （可選）配置關鍵字組的描述信息。

description string

缺省情況下，未配置關鍵字組的描述信息。

(4)     配置數據過濾特征。

¡     配置自定義數據過濾特征。

pattern pattern-name { regex | text } pattern-string

缺省情況下，未配置自定義數據過濾特征。

¡     啟用預定義數據過濾特征。

pre-defined-pattern name { bank-card-number | credit-card-number | id-card-number | phone-number }

缺省情況下，未啟用預定義數據過濾特征。

1.4  配置數據過濾策略

1. 功能簡介

一個數據過濾策略中最多可以定義32個數據過濾規則，各規則之間是或的關係。每個規則中可配置一個關鍵字組、多種應用層協議類型、一種報文方向以及多個動作。

2. 配置限製和指導

NFS協議僅支持NFSv3版本；SMB協議支持SMBv1和SMBv2版本。

當動作配置為logging時，設備將記錄日誌並支持如下兩種方式輸出日誌。

·     快速日誌：此方式生成的日誌信息直接發送到管理員指定的日誌主機。

·     係統日誌：此方式生成的日誌信息將發送到信息中心，由信息中心決定日誌的輸出方向。本業務產生的係統日誌不支持輸出到控製台和監視終端。如需快速獲取日誌信息，可通過執行display logbuffer命令進行查看。

係統日誌會對設備性能產生影響，建議采用快速日誌方式。

有關display logbuffer命令的詳細介紹，請參見“網絡管理和監控命令參考”中的“信息中心”；有關快速日誌的詳細介紹，請參見“網絡管理和監控配置指導”中的“快速日誌輸出”。

當使用數據過濾規則對SMTP協議數據進行阻斷時，由於郵件客戶端會不斷地嚐試發送郵件，可能存在長時間後郵件發送成功的情況。

3. 配置步驟

(1)     進入係統視圖。

system-view

(2)     創建數據過濾策略，並進入數據過濾策略視圖。

data-filter policy policy-name

(3)     （可選）配置數據過濾策略的描述信息。

description string

缺省情況下，未配置數據過濾策略的描述信息。

(4)     創建數據過濾規則，並進入數據過濾規則視圖。

rule rule-name

(5)     指定數據過濾規則采用的關鍵字組。

keyword-group keywordgroup-name

缺省情況下，未指定數據過濾規則采用的關鍵字組。

(6)     配置數據過濾規則的應用層協議類型。

application { all | type { ftp | http | imap | nfs | pop3 | rtmp | smb | smtp } * }

缺省情況下，數據過濾規則未指定應用層協議類型。

(7)     配置數據過濾規則的匹配方向。

direction { both | download | upload }

缺省情況下，數據過濾規則的匹配方向為會話的上傳方向。

(8)     配置數據過濾規則的動作。

action { drop | permit } [ logging ]

缺省情況下，數據過濾規則的動作為丟棄。

1.5  在DPI應用profile中引用數據過濾策略

1. 功能簡介

DPI應用porfile是一個安全業務的配置模板，為實現數據過濾功能，必須在DPI應用porfile中引用指定的數據過濾策略。一個DPI應用profile中隻能引用一個數據過濾策略，如果重複配置，則新的配置會覆蓋已有配置。

2. 配置步驟

(1)     進入係統視圖。

system-view

(2)     進入DPI應用profile視圖。

app-profile profile-name

關於該命令的詳細介紹請參見“DPI深度安全命令參考”中的“應用層檢測引擎”。

(3)     在DPI應用profile中引用數據過濾策略。

data-filter apply policy policy-name

缺省情況下，DPI應用profile中未引用數據過濾策略。

1.6  激活數據過濾策略和規則配置

1. 功能簡介

缺省情況下，當數據過濾業務發生配置變更時（即策略或規則被創建、修改和刪除），係統將會檢測在20秒的間隔時間內是否再次發生了配置變更，並根據判斷結果執行如下操作：

·     如果間隔時間內未發生任何配置變更，則係統將在下一個間隔時間結束時（即40秒時）執行一次激活操作，使這些策略和規則的配置生效。

·     如果間隔時間內再次發生了配置變更，則係統將繼續按照間隔時間周期性地檢測是否發生配置變更。

如果用戶希望對變更的配置立即進行激活，可執行inspect activate命令手工激活，使配置立即生效。

有關此功能的詳細介紹請參見“DPI深度安全配置指導”中的“應用層檢測引擎”。

2. 配置步驟

(1)     進入係統視圖。

system-view

(2)     激活數據過濾策略和規則配置。

inspect activate

缺省情況下，數據過濾策略和規則被創建、修改和刪除後，係統會自動激活配置使其生效。

1.7  在安全策略中引用數據過濾業務

(1)     進入係統視圖。

system-view

(2)     進入安全策略視圖。

security-policy { ip | ipv6 }

(3)     進入安全策略規則視圖。

rule { rule-id | [ rule-id ] name rule-name }

(4)     配置安全策略規則的動作為允許。

action pass

缺省情況下，安全策略規則動作是丟棄。

(5)     配置安全策略規則引用DPI應用profile。

profile app-profile-name

缺省情況下，安全策略規則中未引用DPI應用profile。

1.8  數據過濾典型配置舉例

1.8.1  在安全策略中引用數據過濾業務配置舉例

1. 組網需求

如圖1-1所示，Device分別通過Trust安全域和Untrust安全域與局域網和Internet相連。現有以下組網需求：

·     阻止URI或者Body字段含有“uri”或“abc.*abc”關鍵字的HTTP報文通過。

·     阻止下載文件內容中含有“www.example.com”關鍵字的FTP報文通過。

·     對以上被阻止的報文生成日誌信息。

2. 組網圖

圖1-1 在安全策略中引用數據過濾業務配置組網圖

‌

3. 配置步驟

(1)     配置接口IP地址

# 根據組網圖中規劃的信息，配置各接口的IP地址，具體配置步驟如下。

<Device> system-view

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0

[Device-GigabitEthernet1/0/1] quit

請參考以上步驟配置其他接口的IP地址，具體配置步驟略。

(2)     配置靜態路由

本舉例僅以靜態路由方式配置路由信息。實際組網中，請根據具體情況選擇相應的路由配置方式。

# 請根據組網圖中規劃的信息，配置靜態路由，本舉例假設到達外網Web Server的下一跳IP地址為2.2.2.2，實際使用中請以具體組網情況為準，具體配置步驟如下。

[Device] ip route-static 5.5.5.0 24 2.2.2.2

(3)     配置接口加入安全域

# 請根據組網圖中規劃的信息，將接口加入對應的安全域，具體配置步驟如下。

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

(4)     配置數據過濾功能

a.     配置關鍵字組

# 創建關鍵字組kg1，配置關鍵字文本uri和正則表示式abc.*abc；

[Device] data-filter keyword-group kg1

[Device-data-filter-kgroup-kg1] pattern 1 text uri

[Device-data-filter-kgroup-kg1] pattern 2 regex abc.*abc

[Device-data-filter-kgroup-kg1] quit

# 按照同樣的步驟，創建關鍵字組kg2，配置匹配關鍵字文本www.example.com。

[Device] data-filter keyword-group kg2

[Device-data-filter-kgroup-kg2] pattern 1 text www.example.com

[Device-data-filter-kgroup-kg2] quit

b.     配置數據過濾策略

# 創建數據過濾規則r1，在規則r1中應用關鍵字組kg1，配置應用類型為HTTP，報文方向為會話的雙向，動作為丟棄並輸出日誌。

[Device] data-filter policy p1

[Device-data-filter-policy-p1] rule r1

[Device-data-filter-policy-p1-rule-r1] keyword-group kg1

[Device-data-filter-policy-p1-rule-r1] application type http

[Device-data-filter-policy-p1-rule-r1] direction both

[Device-data-filter-policy-p1-rule-r1] action drop logging

[Device-data-filter-policy-p1-rule-r1] quit

# 按照同樣的步驟，創建數據過濾規則r2，在規則r2中應用關鍵字組kg2，配置應用類型為FTP，報文方向為會話的下載方向，動作為丟棄並輸出日誌。

[Device-data-filter-policy-p1] rule r2

[Device-data-filter-policy-p1-rule-r2] keyword-group kg2

[Device-data-filter-policy-p1-rule-r2] application type ftp

[Device-data-filter-policy-p1-rule-r2] direction download

[Device-data-filter-policy-p1-rule-r2] action drop logging

[Device-data-filter-policy-p1-rule-r2] quit

(5)     配置DPI應用profile並激活數據過濾策略和規則配置

# 創建名稱為sec的DPI應用profile，在DPI應用sec中應用數據過濾策略p1。

[Device] app-profile sec

[Device-app-profile-sec] data-filter apply policy p1

[Device-app-profile-sec] quit

# 激活數據過濾策略和規則配置。

[Device] inspect activate

(6)     配置安全策略

# 配置名稱為trust-untrust的安全策略規則，使內網用戶可以訪問外網，並對交互報文進行數據過濾檢測。具體配置步驟如下。

[Device] security-policy ip

[Device-security-policy-ip] rule name trust-untrust

[Device-security-policy-ip-10-trust-untrust] source-zone trust

[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24

[Device-security-policy-ip-10-trust-untrust] destination-zone untrust

[Device-security-policy-ip-10-trust-untrust] action pass

[Device-security-policy-ip-10-trust-untrust] profile sec

[Device-security-policy-ip-10-trust-untrust] quit

# 激活安全策略配置。

[Device-security-policy-ip] accelerate enhanced enable

[Device-security-policy-ip] quit

4. 驗證配置

完成上述配置後，符合上述條件的HTTP報文和FTP報文將被阻斷，並輸出日誌信息。