- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
14-DLP配置
本章節下載: 14-DLP配置 (319.56 KB)
目 錄
DLP(Data Loss Prevention,數據防泄漏)是一種針對流經設備的用戶敏感文件進行檢測和告警的安全技術。通過監控雙向流量信息,DLP功能可以準確發現用戶敏感文件的泄露現象,並及時通過日誌或郵件形式發出告警,以便用戶加固數據安全相關策略。
如圖1-1所示,DLP功能由設備的應用層檢測引擎和數據安全檢測引擎配合實現。應用層檢測引擎提供文件還原功能;數據安全檢測引擎提供敏感文件識別功能。關於應用層檢測引擎的詳細介紹,請參見“DPI深度安全配置指導”中的“應用層檢測引擎”。
圖1-1 DLP功能流程示意圖
DLP功能的處理流程如下:
(1) 應用層檢測引擎從待檢測流量中還原出待檢測文件。
(2) 應用層檢測引擎將還原出的文件存入設備的存儲介質中。
(3) 應用層檢測引擎通知數據安全檢測引擎進行文件掃描。
(4) 數據安全檢測引擎從設備的存儲介質中讀取待掃描文件。
(5) 數據安全檢測引擎對文件進行敏感信息檢測。
(6) 數據安全檢測引擎根據檢測結果以日誌或郵件形式進行告警。
應用層檢測引擎按照如圖1-2所示流程對報文的應用層信息進行統一識別,進而對報文中嵌入的文件進行還原。
文件還原功能的處理流程如下:
(1) 流量過濾:篩選匹配所有指定過濾條件的報文進行文件還原操作,包含如下過濾條件。
¡ 流量方向:該項用於匹配報文的傳輸方向,可以為外網向內網、內網向外網或雙向。
¡ 內網IP:如果流量方向為外網向內網,該項用於匹配報文的目的IP地址;如果流量方向為內網向外網,該項用於匹配報文的源IP地址。
¡ 報文協議:該項用於匹配報文的應用層協議。
(2) 協議識別:識別報文的應用層協議,例如FTP或SMTP。
(3) 行為識別:識別報文的行為特征,例如上傳文件或發送郵件。
(4) 文件定位:檢索內置特征庫,定位待還原文件在報文中的起始和結束位置。
(5) 文件還原:提取報文中的文件,並將文件存儲在設備本地,並為其分配唯一的URL供數據安全檢測引擎訪問。
如果還原出的文件是壓縮文件,數據安全檢測引擎支持對壓縮文件進行解壓縮操作。之後,數據安全檢測引擎按照如圖1-3所示流程對文件進行敏感信息檢測。
數據安全檢測功能的處理流程如下:
(1) 文件內容匹配:使用檢測規則對文件內容進行匹配。
(2) 身份信息匹配:使用身份規則對文件發送者/接收者的身份信息進行匹配。
(3) 檢測結果匹配:完成數據安全檢測後,使用響應規則對檢測結果(即數據安全事件)進行匹配,確定需要執行的告警動作。
(4) 執行告警:執行相應的告警動作。
檢測規則包括如下匹配項:
· 正則表達式:標識敏感文件特征的正則表達式。
· 關鍵字:標識敏感文件特征的字符串。
· 指紋文件:敏感文件的哈希碼。
· 文件名:敏感文件的名稱。
· 文件大小:敏感文件的大小。
· 文件類型:敏感文件的類型。
· 協議:傳輸敏感文件時使用的協議。
待檢測文件需要匹配一條檢測規則中的所有匹配項才算是與該檢測規則匹配成功。需要為一條檢測規則設定一個嚴重等級,待檢測文件與該檢測規則匹配成功即視作發生了指定嚴重等級的數據安全事件。
身份規則包括如下匹配項:
· IP地址:文件發送者/接收者的IP地址。
· 郵箱地址:文件發送者/接收者的郵箱地址。
· 用戶:文件接收者的用戶名。
文件發送者/接收者需要匹配一條身份規則中的所有匹配條件(即匹配每個匹配條件中的任一匹配項)才算是與該身份規則匹配成功。需要為一條身份規則設定一個嚴重等級,文件發送者/接收者與該身份規則匹配成功即視作發生了指定嚴重等級的數據安全事件。
響應規則包括如下匹配項:
· 嚴重等級:數據安全事件的嚴重等級。
· 協議:數據安全事件所對應的敏感文件傳輸使用的協議。
數據安全事件需要匹配一條響應規則中的所有匹配項才算是與該響應規則匹配成功。匹配成功後,數據安全檢測引擎將按照響應規則中所配置的響應動作以日誌、郵件等方式進行告警。
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
F1000係列 |
型號 |
說明 |
|
F1000-X-G5係列 |
F1000-A-G5、F1000-E-G5、F1000-H-G5、F1000-S-G5 |
支持 |
|
F1000-C-G5、F1000-C-G5-LI |
不支持 |
|
|
F1000-X-XI係列 |
F1000-D-XI、F1000-E-XI |
不支持 |
|
F100係列 |
型號 |
說明 |
|
F100-X-G5係列 |
F100-A-G5、F100-C-G5、F100-E-G5、F100-M-G5、F100-S-G5 |
不支持 |
|
F100-C-A係列 |
F100-C-A2、F100-C-A1 |
不支持 |
|
F100-X-XI係列 |
F100-A-XI、F100-C-XI、F100-S-XI |
不支持 |
DLP功能需要應用層檢測引擎和數據安全檢測引擎配合執行,用戶需要配置應用層檢測引擎進行文件還原操作,配置數據安全檢測引擎進行敏感信息檢測。
(1) 進入係統視圖。
system-view
(2) 開啟TCP數據段重組功能。
inspect tcp-reassemble enable
缺省情況下,TCP數據段重組功能處於關閉狀態。
關於該命令的詳細介紹,請參見“DPI深度安全命令參考”中的“應用層檢測引擎”。
(3) 關閉應用層檢測引擎檢測固定長度數據流功能。
inspect stream-fixed-length disable
缺省情況下,應用層檢測引擎檢測固定長度數據流功能處於開啟狀態。
關於該命令的詳細介紹,請參見“DPI深度安全命令參考”中的“應用層檢測引擎”。
(4) 激活DPI各業務模塊的策略和規則配置。
inspect activate
缺省情況下,DPI各業務模塊的策略和規則被創建、修改和刪除時不生效。
關於該命令的詳細介紹,請參見“DPI深度安全命令參考”中的“應用層檢測引擎”。
(5) 配置DLP功能的流量監控方向。
dlp flow-monitor file-transfer { all | incoming | outgoing }
缺省情況下,DLP功能不對任何方向的流量進行監控。
(6) 配置DLP功能監控的內網IP地址。
a. 進入DLP內網IP地址視圖。
dlp flow-monitor local-address { ip | ipv6 }
b. 指定DLP功能監控的IP地址對象組。
object-group object-group-name
缺省情況下,未配置DLP功能監控的IP地址對象組。
(7) (可選)配置DLP功能對指定協議報文的監控。
a. 進入DLP協議配置視圖。
dlp flow-monitor protocol
b. 關閉DLP功能對指定協議報文的監控。
disable protocol { all | type protocol-name }
缺省情況下,DLP功能對所有支持的協議報文開啟監控。
(8) 配置DLP策略。
DLP策略包含檢測規則、身份規則和響應規則,僅支持通過Web界麵進行配置,有關DLP策略的配置步驟請參見“DLP聯機幫助”。
(9) 開啟DLP功能。
undo dlp bypass
缺省情況下,DLP功能處於開啟狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後DLP的運行情況。
表1-1 DLP顯示和維護
|
操作 |
命令 |
|
顯示DLP功能監控的內網IPv4地址對象組 |
display dlp flow-monitor local-address ip config |
|
顯示DLP功能監控的內網IPv6地址對象組 |
display dlp flow-monitor local-address ipv6 config |
|
顯示DLP功能監控的報文協議 |
display dlp flow-monitor protocol config |
公司內部網絡出口部署了一台Device,用於對公司內部敏感文件泄露現象進行檢測和告警。具體而言,當設備檢測到發往地址[email protected]的電子郵件中包含abc.zip文件,設備記錄告警日誌。
圖1-4 DLP典型配置組網圖
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 將接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(3) 配置安全策略
# 配置名稱為trust-untrust的安全策略,保證Trust安全域內的主機可以訪問Internet,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-1-trust-untrust] source-zone trust
[Device-security-policy-ip-1-trust-untrust] destination-zone untrust
[Device-security-policy-ip-1-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-1-trust-untrust] action pass
[Device-security-policy-ip-1-trust-untrust] quit
[Device-security-policy-ip] quit
(4) 配置DPI功能
# 開啟TCP數據段重組功能。
[Device] inspect tcp-reassemble enable
# 關閉應用層檢測引擎檢測固定長度數據流功能。
[Device] inspect stream-fixed-length disable
# 激活DPI各業務模塊的策略和規則配置。
[Device] inspect activate
(5) 配置DLP功能的流量過濾參數
# 配置DLP功能監控從內網往外網發送的流量。
[Device] dlp flow-monitor file-transfer outgoing
# 配置內網IP地址對象組obj1。
[Device] object-group ip address obj1
[Device-obj-grp-ip-obj1] network subnet 192.168.1.0 24
[Device-obj-grp-ip-obj1] quit
# 配置DLP功能監控的內網IP地址。
[Device] dlp flow-monitor local-address ip
[Device-dlp-flow-monitor-local-addr-ip] object-group obj1
[Device-dlp-flow-monitor-local-addr-ip] quit
# 開啟DLP功能。
[Device] undo dlp bypass
(6) 配置DLP策略
a. 登錄設備Web網管頁麵,單擊導航樹中的“策略 > DLP > DLP策略”菜單項,進入DLP策略配置頁麵。
b. 單擊<新建>按鈕,進入新建DLP策略頁麵。
- 輸入策略名稱
- 選擇掃描模式
- 勾選啟用規則
圖1-5 新建DLP策略配置頁麵
c. 單擊添加規則下的<新建>按鈕,進入新建檢測規則頁麵。
- 輸入名稱
- 選擇嚴重等級
- 配置匹配條件(匹配名稱為abc.zip的文件)
圖1-6 新建檢測規則頁麵
圖1-7 新建匹配條件頁麵
d. 單擊<確定>按鈕,完成檢測規則配置。選擇“身份規則”頁簽,單擊添加規則下的<新建>按鈕,進入新建身份規則頁麵。
- 輸入名稱
- 選擇嚴重等級
- 配置匹配條件(匹配接收者電子郵件地址[email protected])
圖1-8 新建身份規則頁麵
圖1-9 新建匹配條件頁麵
e. 單擊<確定>按鈕,完成身份規則配置。選擇“響應規則”頁簽,單擊響應規則下拉菜單,單擊<新建響應規則>按鈕,進入新建響應規則頁麵。
- 輸入名稱
- 配置匹配條件(匹配嚴重等級為中的安全事件)
- 配置動作(配置為發送日誌)
圖1-10 新建響應規則頁麵
f. 單擊<確定>按鈕,完成身份規則配置。
g. 單擊<確定>按鈕,完成DLP策略配置
# 完成以上配置後,如果設備檢測到發往地址[email protected]的電子郵件中包含abc.zip文件,設備記錄日誌。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
