- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
09-文件過濾配置
本章節下載: 09-文件過濾配置 (286.86 KB)
目 錄
文件過濾是一種根據文件擴展名信息對經設備傳輸的文件進行過濾的安全防護機製。采用文件過濾功能可以對指定類型的文件進行批量過濾。目前,文件過濾功能支持對基於HTTP、FTP、SMTP、IMAP、NFS、POP3、RTMP和SMB協議傳輸的文件進行檢測和過濾。
文件過濾特征是設備上定義的用於識別文件擴展名特征的字符串。
文件類型組用來對文件過濾特征進行統一組織和管理。一個文件類型組中可以包含32個特征,且它們之間是或的關係。
文件過濾規則是安全檢測條件及處理動作的集合。在一個規則中可配置的檢測條件包括文件類型組、報文方向、應用類型,可配置的處理動作包括丟棄、放行和生成日誌。隻有文件屬性(包括文件的應用類型、傳輸方向和擴展名)成功匹配規則中包含的所有檢測條件才算與此規則匹配成功。
文件過濾功能是通過在DPI應用profile中引用文件過濾策略,並在安全策略或對象策略中引用DPI應用profile來實現的,設備對報文進行文件過濾處理的整體流程如下:
(1) 當設備收到基於HTTP、FTP、SMTP等協議傳輸的文件時,設備將對匹配了策略的報文進行文件過濾處理。有關安全策略的詳細介紹請參見“安全配置指導”中的“安全策略”;有關對象策略規則的詳細介紹請參見“安全配置指導”中的“對象策略”。
(2) 設備提取文件的擴展名信息並記錄。
(3) 設備進一步識別文件真實類型,並將識別的結果與擴展名進行匹配:
¡ 如果一致,則使用擴展名與文件過濾規則進行匹配,並進入步驟(4)處理;
¡ 如果不一致,則查看文件擴展名不匹配時動作,如果動作為丟棄,則直接丟棄報文,不再進行文件過濾規則的匹配;如果動作為允許,則使用文件的真實類型與文件過濾規則進行匹配,並進入步驟(4)處理。
(4) 與文件過濾規則進行匹配,並根據匹配結果對報文執行以下動作:
¡ 如果文件的擴展名信息/真實類型同時與多個文件過濾規則匹配成功,則執行這些規則中優先級最高的動作,動作優先級從高到低的順序為:丟棄 > 允許,但是對於生成日誌動作隻要匹配成功的規則中存在就會執行;
¡ 如果文件的擴展名信息/真實類型隻與一個文件過濾規則匹配成功,則執行此規則中指定的動作;
¡ 如果文件的擴展名信息/真實類型未與任何文件過濾規則匹配成功,則設備直接允許文件通過。
(5) 如果設備不能識別出文件真實類型,則根據文件擴展名與文件過濾規則進行匹配,並進入步驟(4)處理。
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
型號 |
說明 |
|
MSR610 |
支持 |
|
MSR810、MSR810-W、MSR810-W-DB、MSR810-LM、MSR810-W-LM、MSR810-10-PoE、MSR810-LM-HK、MSR810-W-LM-HK、MSR810-LM-CNDE-SJK、MSR810-CNDE-SJK、MSR810-EI、MSR810-LM-EA、MSR810-LM-EI |
支持 |
|
MSR810-LMS、MSR810-LUS |
不支持 |
|
MSR810-SI、MSR810-LM-SI |
不支持 |
|
MSR810-LMS-EA、MSR810-LME |
支持 |
|
MSR1004S-5G、MSR1004S-5G-CN |
支持 |
|
MSR1104S-W、MSR1104S-W-CAT6、MSR1104S-5G-CN、MSR1104S-W-5G-CN、MSR1104S-W-5GGL |
支持 |
|
MSR2600-6-X1、MSR2600-15-X1、MSR2600-15-X1-T |
支持 |
|
MSR2600-10-X1 |
支持 |
|
MSR2630-G-X1 |
支持 |
|
MSR 2630 |
支持 |
|
MSR3600-28、MSR3600-51 |
支持 |
|
MSR3600-28-SI、MSR3600-51-SI |
不支持 |
|
MSR3600-28-X1、MSR3600-28-X1-DP、MSR3600-51-X1、MSR3600-51-X1-DP |
支持 |
|
MSR3600-28-G-DP、MSR3600-51-G-DP |
支持 |
|
MSR3600-28-G-X1-DP、MSR3600-51-G-X1-DP |
支持 |
|
MSR3610-I-DP、MSR3610-IE-DP、MSR3610-IE-ES、MSR3610-IE-EAD、MSR-EAD-AK770、MSR3610-I-IG、MSR3610-IE-IG |
支持 |
|
MSR-IMC |
支持 |
|
MSR3610-X1、MSR3610-X1-DP、MSR3610-X1-DC、MSR3610-X1-DP-DC、MSR3620-X1、MSR3640-X1 |
支持 |
|
MSR 3610、MSR 3620、MSR 3620-DP、MSR 3640、MSR 3660 |
支持 |
|
MSR3610-G、MSR3620-G |
支持 |
|
MSR3640-G |
支持 |
|
MSR3640-X1-HI |
支持 |
|
型號 |
描述 |
|
MSR810-W-WiNet、MSR810-LM-WiNet |
支持 |
|
MSR830-4LM-WiNet |
支持 |
|
MSR830-5BEI-WiNet、MSR830-6EI-WiNet、MSR830-10BEI-WiNet |
支持 |
|
MSR830-6BHI-WiNet、MSR830-10BHI-WiNet |
支持 |
|
MSR2600-6-WiNet |
支持 |
|
MSR2600-10-X1-WiNet |
支持 |
|
MSR2630-WiNet |
支持 |
|
MSR3600-28-WiNet |
支持 |
|
MSR3610-X1-WiNet |
支持 |
|
MSR3620-X1-WiNet |
支持 |
|
MSR3610-WiNet、MSR3620-10-WiNet、MSR3620-DP-WiNet、MSR3620-WiNet、MSR3660-WiNet |
支持 |
|
型號 |
說明 |
|
MSR860-6EI-XS |
支持 |
|
MSR860-6HI-XS |
支持 |
|
MSR2630-XS |
支持 |
|
MSR3600-28-XS |
支持 |
|
MSR3610-XS |
支持 |
|
MSR3620-XS |
支持 |
|
MSR3610-I-XS |
支持 |
|
MSR3610-IE-XS |
支持 |
|
MSR3620-X1-XS |
支持 |
|
MSR3640-XS |
支持 |
|
MSR3660-XS |
支持 |
|
型號 |
說明 |
|
MSR810-LM-GL |
支持 |
|
MSR810-W-LM-GL |
支持 |
|
MSR830-6EI-GL |
支持 |
|
MSR830-10EI-GL |
支持 |
|
MSR830-6HI-GL |
支持 |
|
MSR830-10HI-GL |
支持 |
|
MSR1004S-5G-GL |
支持 |
|
MSR2600-6-X1-GL |
支持 |
|
MSR3600-28-SI-GL |
不支持 |
文件過濾配置任務如下:
(1) 配置文件類型組
(2) 配置文件過濾策略
(3) 配置文件擴展名不匹配時動作
(5) (可選)激活文件過濾策略和規則配置
(6) 在對象策略中引用文件過濾業務
一個文件類型組中可配置多個文件過濾特征,各特征之間是或的關係。定義文件過濾特征的方式為文本。
(1) 進入係統視圖。
system-view
(2) 創建文件類型組,並進入文件類型組視圖。
file-filter filetype-group group-name
(3) (可選)配置文件類型組的描述信息。
description string
缺省情況下,未配置文件類型組的描述信息。
(4) 配置文件過濾特征。
pattern pattern-name text pattern-string
缺省情況下,未配置文件過濾特征。
一個文件過濾策略中最多可以定義32個文件過濾規則,各規則之間是或的關係。每個規則中可配置一個文件類型組、多種應用層協議類型、一種報文方向以及多個動作。
NFS協議僅支持NFSv3版本;SMB協議支持SMBv1和SMBv2版本。
當動作配置為logging時,設備將記錄日誌並支持如下兩種方式輸出日誌。
· 快速日誌:此方式生成的日誌信息直接發送到管理員指定的日誌主機。
· 係統日誌:此方式生成的日誌信息將發送到信息中心,由信息中心決定日誌的輸出方向。本業務產生的係統日誌不支持輸出到控製台和監視終端。如需快速獲取日誌信息,可通過執行display logbuffer命令進行查看。
係統日誌會對設備性能產生影響,建議采用快速日誌方式。
有關display logbuffer命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“信息中心”;有關快速日誌的詳細介紹,請參見“網絡管理和監控配置指導”中的“快速日誌輸出”。
(1) 進入係統視圖。
system-view
(2) 創建文件過濾策略,並進入文件過濾策略視圖。
file-filter policy policy-name
(3) (可選)配置文件過濾策略的描述信息。
description string
缺省情況下,未配置文件過濾策略的描述信息。
(4) 創建文件過濾規則,並進入文件過濾規則視圖。
rule rule-name
(5) 指定文件過濾規則采用的文件類型組。
filetype-group group-name
缺省情況下,未指定文件過濾規則采用的文件類型組。
(6) 配置文件過濾規則的應用層協議類型。
application { all | type { ftp | http | imap | nfs | pop3 | rtmp | smb | smtp } * }
缺省情況下,文件過濾規則中未指定應用層協議類型。
(7) 配置文件過濾規則的匹配方向。
direction { both | download | upload }
缺省情況下,文件過濾規則的匹配方向為上傳方向。
(8) 配置文件過濾規則的動作。
action { drop | permit } [ logging ]
缺省情況下,文件過濾規則的動作為丟棄。
設備對報文進行文件過濾處理時,會將識別出的文件真實類型與文件擴展名進行對比,當二者不一致時,需要根據本配置進行判斷。如果配置動作為允許,則根據識別出的真實的文件類型與文件過濾規則進行匹配,並執行文件過濾規則中的動作;如果配置動作為丟棄,則直接丟棄報文,不再進行文件過濾規則的匹配。
(1) 進入係統視圖。
system-view
(2) 配置文件擴展名不匹配時動作
file-filter false-extension action { drop | permit }
缺省情況下,文件的真實類型與擴展名不匹配時執行的動作為允許。
DPI應用porfile是一個安全業務的配置模板,為實現文件過濾功能,必須在DPI應用porfile中引用指定的文件過濾策略。一個DPI應用profile中隻能引用一個文件過濾策略,如果重複配置,則新的配置會覆蓋已有配置。
(1) 進入係統視圖。
system-view
(2) 進入DPI應用profile視圖。
app-profile profile-name
關於該命令的詳細介紹請參見“DPI深度安全命令參考”中的“應用層檢測引擎”。
(3) 在DPI應用profile中引用文件過濾策略。
file-filter apply policy policy-name
缺省情況下,DPI應用profile中未引用文件過濾策略。
缺省情況下,當文件過濾業務發生配置變更時(即策略或規則被創建、修改和刪除),係統將會檢測在20秒的間隔時間內是否再次發生了配置變更,並根據判斷結果執行如下操作:
· 如果間隔時間內未發生任何配置變更,則係統將在下一個間隔時間結束時(即40秒時)執行一次激活操作,使這些策略和規則的配置生效。
· 如果間隔時間內再次發生了配置變更,則係統將繼續按照間隔時間周期性地檢測是否發生配置變更。
有關此功能的詳細介紹請參見“DPI深度安全配置指導”中的“應用層檢測引擎”。
(1) 進入係統視圖。
system-view
(2) 激活文件過濾策略和規則配置。
inspect activate
缺省情況下,文件過濾策略和規則被創建、修改和刪除後,係統會自動激活配置使其生效。
執行此命令會暫時中斷DPI業務的處理,可能導致其他基於DPI功能的業務同時出現中斷。例如,安全策略無法對應用進行訪問控製等。
(1) 進入係統視圖。
system-view
(2) 進入安全策略視圖。
security-policy { ip | ipv6 }
(3) 進入安全策略規則視圖。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略規則的動作為允許。
action pass
缺省情況下,安全策略規則動作是丟棄。
(5) 配置安全策略規則引用DPI應用profile。
profile app-profile-name
缺省情況下,安全策略規則中未引用DPI應用profile。
(1) 進入係統視圖。
system-view
(2) 進入對象策略視圖。
object-policy { ip | ipv6 } object-policy-name
(3) 在對象策略規則中引用DPI應用profile。
rule [ rule-id ] inspect app-profile-name
缺省情況下,在對象策略規則中未引用DPI應用profile。
(4) 退回係統視圖。
quit
(5) 創建安全域間實例,並進入安全域間實例視圖。
zone-pair security source source-zone-name destination destination-zone-name
缺省情況下,不存在安全域間實例。
有關安全域間實例的詳細介紹請參見“基礎配置指導”中的“安全域”。
(6) 應用對象策略。
object-policy apply { ip | ipv6 } object-policy-name
缺省情況下,安全域間實例內不應用對象策略。
如圖1-1所示,Device分別通過Trust安全域和Untrust安全域與局域網和Internet相連。現有以下組網需求:
· 拒絕擴展名為pptx和dotx的文件通過。
· 對以上被阻止的文件生成日誌信息。
(1) 配置各接口的IP地址(略)
(2) 創建安全域並將接口加入安全域
# 向安全域Trust中添加接口GigabitEthernet1/0/1。
<Device> system-view
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
# 向安全域Untrust中添加接口GigabitEthernet1/0/2。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(3) 配置對象組
# 創建名為filefilter的IP地址對象組,並定義其子網地址為192.168.1.0/24。
[Device] object-group ip address filefilter
[Device-obj-grp-ip-filefilter] network subnet 192.168.1.0 24
[Device-obj-grp-ip-filefilter] quit
(4) 配置文件過濾功能
a. 配置文件類型組
# 創建文件類型組fg1,並進入文件類型組視圖。
[Device] file-filter filetype-group fg1
# 配置文件過濾特征為pptx和dotx。
[Device-file-filter-fgroup-fg1] pattern 1 text pptx
[Device-file-filter-fgroup-fg1] pattern 2 text dotx
[Device-file-filter-fgroup-fg1] quit
b. 配置文件過濾策略
# 創建文件過濾策略p1,並進入文件過濾策略視圖。
[Device] file-filter policy p1
# 創建文件過濾規則r1,並進入文件過濾規則視圖。
[Device-file-filter-policy-p1] rule r1
# 在規則r1中應用文件類型組fg1,配置應用類型為HTTP,報文方向為會話的雙向,動作為丟棄並輸出日誌。
[Device-file-filter-policy-p1-rule-r1] filetype-group fg1
[Device-file-filter-policy-p1-rule-r1] application type http
[Device-file-filter-policy-p1-rule-r1] direction both
[Device-file-filter-policy-p1-rule-r1] action drop logging
[Device-file-filter-policy-p1-rule-r1] quit
(5) 配置DPI應用profile
# 創建名稱為profile1的DPI應用profile,並進入DPI應用profile視圖。
[Device] app-profile profile1
# 在DPI應用profile1中應用文件過濾策略p1。
[Device-app-profile-profile1] file-filter apply policy p1
[Device-app-profile-profile1] quit
# 激活文件過濾策略和規則配置。
[Device] inspect activate
(6) 配置對象策略
# 創建名為inspect1的對象策略,並進入對象策略視圖。
[Device] object-policy ip inspect1
# 對源IP地址對象組filefilter對應的報文進行深度檢測,引用的DPI應用profile為profile1。
[Device-object-policy-ip-inspect1] rule inspect profile1 source-ip filefilter destination-ip any
[Device-object-policy-ip-inspect1] quit
(7) 配置安全域間實例並應用對象策略
# 創建源安全域Trust到目的安全域Untrust的安全域間實例,並應用對源IP地址對象組filefilter對應的報文進行深度檢測的對象策略inspect1。
[Device] zone-pair security source trust destination untrust
[Device-zone-pair-security-trust-untrust] object-policy apply ip inspect1
[Device-zone-pair-security-trust-untrust] quit
完成上述配置後,符合上述條件的文件將被丟棄,並輸出日誌信息。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
