手册下载
H3C SecPath DLP2000数据防泄漏系统
典型配置
Copyright© 2021-2025 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目录
H3C SecPath DLP2000数据防泄漏系统是基于先进的AI识别算法,通过对文档自动分类分级,实现数据有效治理;以深度内容分析为基础,对企业内部外泄内容进行识别,发现敏感数据的传输与应用;结合文件加密技术,保护重要数据资产安全,有效防止核心数据主动、被动泄密。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
· 由于协议自身限制,旁路模式下对于NFS、SMB协议会存在部分文件名无法正确获取以及一次传输出现多次泄漏事件现象。
· 旁路模式下,当业务流量连接建立后长时间没有报文交互,导致设备上会话老化,进而引起后续在进行数据传输时,由于没有用户名信息,导致告警事件中用户名字段显示为“unknown”。
· 使用7.2.18 .95及以上的版本不会出现此问题。
· vDLP部署旁路模式,需要CAS/VMware服务器网卡支持直通网卡。
· 硬件DLP2030和DLP2050设备,设备面板自带仅有2个电口,其中GE0为管理地址,GE1为固定口,固定口仅作为紧急检修使用,不支持配置业务。如需配置为网桥模式、旁路模式、代理模式、协议对接模式、路由模式或进行性能测试等需要多网口情况,请在扩展卡槽内插上对应扩展卡配合使用。
使用产品为H3C SecPath DLP2000数据防泄漏系统,版本:ESS:6702。
通过上游设备的镜像功能,由上游设备将要解析的流量复制一份传递给网络DLP。务必保证流量是双向镜像。
部署示意图如下图1-1:
按照组网图组网。
(1) 登录数据防泄漏系统,设备选择旁路模式并勾选流量镜像,勾选监控http协议,并监控测试PC的IP;
(2) 将与交换机镜像端口相连的网口配置为观测口;
(3) 创建关键字策略(如机密),并启用策略;
(4) 在测试PC上用浏览器访问http协议的站点,例如http://dlptest.com/http-post/站点,并外发敏感信息;
(5) 数据防泄漏系统上查看事件,系统记录该事件。
(1) 使用https的方式登录设备,输入用户名和密码,并点击“登录”按钮,如下图1-2。
图1-2 登录设备
(2) 在网络管理>功能配置页面,点击设备列表左侧操作栏下的“配置”按钮,如下图1-3:
(3) 在模式选择处,选择旁路镜像;
(4) 在模式配置页签中的模式选择勾选流量镜像,并在监控地址(段)中输入测试PC的IP地址,如下图1-4:
(5) 在协议配置页签中,勾选HTTP协议监控-HTTP上传/下载,点击“保存”按钮,如下图1-5:
(6) 在算法配置处,根据需要勾选启用算法开关,点击“保存”按钮,如下图1-6:
(7) 在平台管理>网络设置页面,找到和交换机镜像口相连的网口,点击编辑修改网卡类型为观测口,点击“确定”保存配置,如图所示。
图1-7 观测口配置
(1) 打开策略中心>规则库>内容识别规则,点击“新增”按钮,输入“名称”,选择“密级标签”和“分类标签”后,选择“匹配规则”为“关键字”,点击“下一步”按钮,如下图1-8;
图1-8 新建规则
(2) 在新增匹配条件页面,输入规则名称、选择严重等级后,勾选启用“匹配简单关键字”并在关键字输入框中输入关键字“机密”,点击“保存”按钮保存规则,如图:
图1-9 规则详情配置
(3) 打开策略中心>管控策略点击“新增”按钮,打开新增管控策略页面,如下图1-10:
图1-10 新增策略
(4) 输入策略名后,策略类型选择“外泄管控”,并在策略内容的匹配规则中点击“添加”按钮,在内容识别规则列表中选择刚添加的内容识别规则,点击“确认”进行添加,如图;
图1-11 添加匹配内容
(5) 在策略列表中选中策略,点击右上角的“启用”按钮,启用策略,如图:
图1-12 启用策略
(6) 策略启用成功,启动图标显示红色。
(1) 在测试PC上用浏览器访问http服务器,如外网的http://dlptest.com/http-post/站点,并外发敏感信息,如下图1-13;
(2) 系统记录http外发事件,匹配关键字策略,如下图1-14
H3C SecPath DLP2000数据防泄漏系统是基于先进的AI识别算法,通过对文档自动分类分级,实现数据有效治理;以深度内容分析为基础,对企业内部外泄内容进行识别,发现敏感数据的传输与应用;结合文件加密技术,保护重要数据资产安全,有效防止核心数据主动、被动泄密。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
· 由于协议自身限制,旁路模式下对于NFS、SMB协议会存在部分文件名无法正确获取以及一次传输出现多次泄漏事件现象。
· 旁路模式下,当业务流量连接建立后长时间没有报文交互,导致设备上会话老化,进而引起后续在进行数据传输时,由于没有用户名信息,导致告警事件中用户名字段显示为“unknown”。
· 使用旧版本的foxmail客户端发送邮件,由于客户端会发送两次正文,一次为html格式,一次为txt格式,事件中会命中两次正文。使用7.2.18 .95及以上的版本不会出现此问题。
· vDLP部署旁路模式,需要CAS/VMware服务器网卡支持直通网卡。
· 硬件DLP2030和DLP2050设备,设备面板自带仅有2个电口,其中GE0为管理地址,GE1为固定口,固定口仅作为紧急检修使用,不支持配置业务。如需配置为网桥模式、旁路模式、代理模式、协议对接模式、路由模式或进行性能测试等需要多网口情况,请在扩展卡槽内插上对应扩展卡配合使用。
使用产品为H3C SecPath DLP2000数据防泄漏系统,版本:ESS:6702。
需要测试PC机上根据《H3C SecPath DLP2000系列数据防泄漏系统 开局指导》安装插件,并将插件注册到网络数据防泄漏系统上。
部署示意图如下图2-1:
图2-1 部署示意图
按照组网图组网。
(1) 登录数据防泄漏系统,设备选择旁路模式并选择插件抓取,勾选监控FTP协议,并监控测试PC的IP;
(2) 启用插件并配置合适的阈值和抓包筛选条件;
(3) 创建关键字策略(如机密),并启用策略;
(4) 在测试PC上用使用FTP客户端连接FTP服务器,并上传包含关键字的文件;
(5) 数据防泄漏系统上查看事件,系统记录该事件。
(1) 使用https的方式登录设备,输入用户名和密码,并点击“登录”按钮,如下图2-2。
图2-2 登录设备
(2) 在网络管理>功能配置页面,点击设备列表左侧操作栏下的“配置”按钮,如下图2-3:
图2-3 选择设备
(3) 在模式选择处,选择旁路镜像;
(4) 在模式配置页签中的模式选择勾选插件抓取,并,如下图2-4:
图2-4 配置设备
(5) 在协议配置页签中,勾选FTP协议监控-FTP下载,点击“保存”按钮,如下图2-5:
图2-5 协议配置
(6) 在算法配置处,根据需要勾选启用算法开关,点击“保存”按钮,如下图2-6:
图2-6 算法配置
(7) 在平台管理>插件管理页面,找到插件,点击启用插件,并配置插件抓包网卡为实际的流量转发的网卡如图2-7所示。
图2-7 配置插件
(8) 在平台管理>插件管理页面,找到插件,点击启用插件,并配置插件的阈值为100%,防止插件因为达到阈值停止抓包导致不能正常生成事件图2-8所示。
图2-8 插件阈值配置
(1) 打开策略中心>规则库>内容识别规则,点击“新增”按钮,输入“名称”,选择“密级标签”和“分类标签”后,选择“匹配规则”为“关键字”,点击“下一步”按钮,如下图2-9;
图2-9 新建规则
(2) 在新增匹配条件页面,输入规则名称、选择严重等级后,勾选启用“匹配简单关键字”并在关键字输入框中输入关键字“机密”,点击“保存”按钮保存规则,如下图2-10:
图2-10 规则详情配置
(3) 打开策略中心>管控策略点击“新增”按钮,打开新增管控策略页面,如下图2-11:
图2-11 新增策略
(4) 输入策略名后,策略类型选择“外泄管控”,并在策略内容的匹配规则中点击“添加”按钮,在内容识别规则列表中选择刚添加的内容识别规则,点击“确认”进行添加,如下图2-12;
图2-12 添加匹配内容
(5) 在策略列表中选中策略,点击右上角的“启用”按钮,启用策略,如下图2-13:
图2-13 启用策略
(6) 策略启用成功,启动图标显示红色。
(1) 在测试PC上使用客户端FileZilla,添加一个站点配置加密类型为“只使用明文FTP”如下图2-14;
图2-14 明文方式连接FTP
(2) 在FileZilla,上连接刚添加的站点,并上传一个带有关键字的文件后,再将这个文件下载下来如下图2-15;
图2-15 下载敏感文件
(3) 系统记录FTP下载事件,匹配关键字策略,如下图2-16
图2-16 外发事件详情
H3C SecPath DLP2000数据防泄漏系统是通过捕获网络流量,并对捕获的网络流量以深度内容分析为基础,对传输内容进行识别、发现敏感数据的传输与应用,对审查发现的指定的敏感数据可以进行告警、留存、拦截等处置的专用数据安全设备。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
· 网桥、路由、代理模式使用时需在PC上导入网络DLP的证书至浏览器受信任的根证书颁发机构,导入方式见文档12 【导入证书配置】。
· 部署在流量汇聚节点上,存在单点故障风险,需要对网络进行改造提高网络的稳定性。
· vDLP部署网桥模式,需要CAS/vmware服务器网卡支持直通网卡。
· 硬件DLP2030和DLP2050设备,设备面板自带仅有2个电口,其中GE0为管理地址,GE1为固定口,固定口仅作为紧急检修使用,不支持配置业务。如需配置为网桥模式、旁路模式、代理模式、协议对接模式、路由模式或进行性能测试等需要多网口情况,请在扩展卡槽内插上对应扩展卡配合使用。
使用产品为H3C SecPath DLP2000数据防泄漏系统,版本:ESS:6702。
设备二层串联部署在网络中,上游设备直接将流量发送到网络DLP,再由网络DLP进行转发;
部署示意图如下图3-1所示:
按照组网图组网。
(1) 登录数据防泄漏系统,添加网桥后,将设备模式切换为网桥模式,勾选防护SMTP/SMTPS协议;
(2) 创建关键字策略(如机密),并启用策略;
(3) 在测试PC上用Foxmail客户端,使用SMTPS协议外发敏感邮件;
(4) 数据防泄漏系统上查看事件,系统记录该事件。
(1) 使用https的方式登录数据防泄漏系统,输入用户名和密码,并点击“登录”按钮,如下图3-2;
(2) 在平台管理>网络设置页面,点击“添加网口”,输入网口名称后,选择网口类型为bridge并选择网口的上下联口。设备支持透明网桥,网桥上可根据需要配置IP或不配置IP。
(3) 打开网络管理>功能配置,在设备列表中点击“配置”按钮,打开配置网络代理界面,如下图3-3;
(4) 在模式选择中选择“串联网桥”模式,并在“模式配置”页签中的网桥配置中选择刚添加的网桥,选择内置证书作为SSL证书,点击“保存”保存模式配置,如下图3-5所示。
(5) 在协议配置处,勾选SMTP/SMTPS协议监控,点击保存,如下图3-5。
(6) 在算法配置处,勾选需要的算法的开关,点击“保存”按钮,如下图3-6:
(1) 打开策略中心>规则库>内容识别规则,点击“新增”按钮,输入“名称”,选择“密级标签”和“分类标签”后,选择“匹配规则”为“关键字”,点击“下一步”按钮,如下图3-7;
图3-7 新建规则
(2) 在新增匹配条件页面,输入规则名称、选择严重等级后,勾选启用“匹配简单关键字”并在关键字输入框中输入关键字“机密”,点击“保存”按钮保存规则,如下图3-8:
图3-8 规则详情配置
(3) 打开策略中心>管控策略点击“新增”按钮,打开新增管控策略页面,如下图3-9:
图3-9 新增策略
(4) 输入策略名后,策略类型选择“外泄管控”,并在策略内容的匹配规则中点击“添加”按钮,在内容识别规则列表中选择刚添加的内容识别规则,点击“确认”进行添加,如下图3-10;
图3-10 添加匹配规则
(5) 在响应动作页签中,点击“添加”按钮,添加内置响应动作“直接阻断泄露”和“原始数据留存”,如下图3-11;
(6) 在匹配规则和响应动作都添加好后,点击“保存”按钮保存策略,如下图3-12:
图3-12 保存策略
(7) 在策略列表中选中策略,点击右上角的“启用”按钮,启用策略,如下图3-13;
(1) 在测试PC上使用foxmail客户端通过SMTP协议外发含关键字机密的邮件,该操作被阻断,如下图3-14;
(2) 系统记录SMTP阻断事件,匹配关键字策略,如下图3-15;
图3-15 事件详情
H3C SecPath DLP2000数据防泄漏系统是通过捕获网络流量,并对捕获的网络流量以深度内容分析为基础,对传输内容进行识别、发现敏感数据的传输与应用,对审查发现的指定的敏感数据可以进行告警、留存、拦截等处置的专用数据安全设备。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
· 代理模式使用时需在PC上导入网络DLP的证书至浏览器受信任的根证书颁发机构,导入方式见文档底部12 【导入证书配置】
· 使用时需要在浏览器上配置代理服务器地址
· 支持HTTP、HTTPS、FTP、FTPS、SMTP、SMTPS、POP3、POP3S、IMAP、IMAPS协议
使用产品为H3C SecPath DLP2000数据防泄漏系统,版本:ESS:6702。
类似web代理服务器,被监控PC的代理服务器地址配置为网络DLP即可。其最大的特点是未配置代理服务器地址的PC或设备不会被监控,影响范围小,部署也简单,同时可以解析SSL流量和阻断泄漏风险传输;最大的不足是需要配置代理服务器地址和支持的协议比较少(受代理模式限制,很多协议或应用不支持配置代理地址)。
部署示意图如下,如下图4-1:
按照组网图组网。
(1) 登录数据防泄漏系统,设备选择正向代理模式,勾选防护HTTP/HTTPS协议;
(2) 创建关键字策略(如机密),并启用策略;
(3) 在测试PC上配置网络DLP的IP地址为浏览器的代理地址;
(4) 在测试PC上用浏览器访问https服务器,如https://dlptest.com/http-post/站点,并外发敏感信息;
(5) 数据防泄漏系统上查看事件,系统记录该事件。
(1) 使用https的方式登录数据防泄漏系统,输入用户名和密码,并点击“登录”按钮,如下图4-2;
(2) 打开网络管理>功能配置,在设备列表中点击“配置”按钮,打开配置网络代理界面,如下图4-3所示;
(3) 在模式选择中选择“代理模式”,并,选择内置证书作为SSL证书,点击“保存”保存模式配置,如下图4-4;
(4) 在协议配置处,勾选HTTP/HTTPS协议监控,点击保存,如下图4-5所示。
(5) 在算法配置处,勾选上所需要的算法的算法开关,点击“保存”按钮,如图4-6所示。
图4-6 算法配置
策略创建步骤和“3.7 配置步骤”中的“2. 创建关键字策略(如机密),并启用策略”一致。
(1) 测试PC需要在浏览器配置代理,此处以Edge浏览器举例(Edge浏览器配置后,Chrome浏览器也会同步配置)。Edge浏览器点击右上角编辑按钮,打开设置页面,如图4-7所示;
(2) 点击“系统和性能”设置并选择“打开计算机的代理设置”,如图4-8所示。
图4-8 Edge的系统和性能设置
(3) “使用代理服务器”按钮设置为开,在代理地址中输入:http=网络DLP的IP地址:2128;https=网络DLP的IP地址:2129,以网络DLP地址是3.3.3.3为例,配置如图4-9所示,并点击“保存”。
(1) 在测试PC上用浏览器访问https服务器,如https://dlptest.com/http-post/站点,并外发含关键字机密的敏感信息,如下图4-10所示;
(2) 外发操作被阻断,如下图4-11所示;
(3) 系统记录https外发事件,匹配关键字策略,如下图4-12所示。
H3C SecPath DLP2000数据防泄漏系统是通过捕获网络流量,并对捕获的网络流量以深度内容分析为基础,对传输内容进行识别、发现敏感数据的传输与应用,对审查发现的指定的敏感数据可以进行告警、留存、拦截等处置的专用数据安全设备。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
· 使用时需要在管理平台上配置反向代理的映射地址。
· 支持HTTP、HTTPS、FTP、FTPS、SMTP、SMTPS、POP3、POP3S、IMAP、IMAPS协议
使用产品为H3C SecPath DLP2000数据防泄漏系统,版本:ESS:6702。
针对应用访问流量,用户通过访问网络数据防泄漏地址,由网络数据防泄漏将流量中转到指定的应用服务器。
部署示意图如下,如下图5-1:
图5-1 部署示意图
按照组网图组网。
(1) 登录数据防泄漏系统,设备选择反向代理模式,并配置服务器地址映射,启用FTP协议监控;
(2) 创建关键字策略(如机密),并启用策略;
(3) 在测试PC上通过配置的映射地址访问服务,并传输数据;
(4) 数据防泄漏系统上查看事件,系统记录该事件。
(1) 使用https的方式登录数据防泄漏系统,输入用户名和密码,并点击“登录”按钮,如下图5-2;
图5-2 登录
(2) 打开网络管理>功能配置,在设备列表中点击“配置”按钮,打开配置网络代理界面,如下图5-3所示;
图5-3 选择网络代理设备
(3) 在模式选择中选择“代理模式”,在模式配置中配置保护模式为“防护”、工作模式为“反向”,并,选择内置证书作为SSL证书,点击“保存”保存模式配置,如下图5-4;在地址映射中点击“添加”,选择映射协议为“FTP”,访问地址为“网络数据防泄漏地址:端口”,目的地址为“真实FTP服务器地址:FTP协议端口”如图5-5所示。
图5-4 配置设备
图5-5 配置设备
(4) 在协议配置处,勾选HTTP/S上传协议监控,点击保存,如下图5-6所示。
图5-6 协议配置
(5) 在算法配置处,勾选上所需要的算法的算法开关,点击“保存”按钮,如图5-7所示。
图5-7 算法配置
策略创建步骤和“3.7 配置步骤”中的“2. 创建关键字策略(如机密),并启用策略”一致。
(1) 打开FileZilla并输入配置的访问地址和端口(如果访问FTP需要密码需要输入账号和密码),点击“快速连接”如图5-8。
图5-8 访问FTP服务器
(2) 连接成功后上传带有关键字的文件,如图5-9。
图5-9 上传文件到服务器
(3) 登录管理平台,在审计中心>安全事件>泄漏事件中查看,文件命中关键字策略产生事件,并且事件详情中显示文件外泄状态为拦截如图5-10。
图5-10 事件详情
(4) 从服务器上下载刚上传的文件,并打开查看,可以看到文件内容的传输被成功拦截,如图5-11。
图5-11 下载并查看文件
H3C SecPath DLP2000数据防泄漏系统是通过捕获网络流量,并对捕获的网络流量以深度内容分析为基础,对传输内容进行识别、发现敏感数据的传输与应用,对审查发现的指定的敏感数据可以进行告警、留存、拦截等处置的专用数据安全设备。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
· 协议对接模式时需要配置ICAP客户端将流量转发到网络数据防泄漏设备,此时网络数据防泄漏作为ICAP的服务端。
· 支持HTTP、HTTPS协议。
使用产品为H3C SecPath DLP2000数据防泄漏系统,版本:ESS:6702。
用户流量被发送到ICAP客户端后,ICAP客户端解析用户流量并通过ICAP协议将解析后的流量发送到ICAP服务端,即网络数据防泄漏设备。ICAP服务端对流量进行处理和扫描后将扫描结果返回给ICAP客户端,由客户端根据扫描返回结果执行阻断/放行流量的动作。
部署示意图如下,如下图6-1:
图6-1 部署示意图
按照组网图组网。
(1) 登录数据防泄漏系统,设备选择协议对接模式,并在模式配置中配置保护模式为防护。
(2) 在协议配置界面勾选防护HTTP/HTTPS协议;
(3) 创建关键字策略(如机密),并启用策略;
(4) 在测试PC上配置网络DLP的IP地址为浏览器的代理地址;
(5) 在测试PC上用浏览器访问https服务器,如https://weibo.com/站点,并外发敏感信息;
(6) 数据防泄漏系统上查看事件,系统记录该事件。
(1) 使用https的方式登录数据防泄漏系统,输入用户名和密码,并点击“登录”按钮,如下图6-2;
图6-2 登录
(2) 打开网络管理>功能配置,在设备列表中点击“配置”按钮,打开配置网络代理界面,如下图6-3所示;
图6-3 选择网络代理设备
(3) 在模式选择中选择“协议对接模式”,并配置保护模式为防护,点击“保存”保存模式配置,如下图6-4;
图6-4 配置设备
(4) 在协议配置处,勾选HTTP/HTTPS协议监控,点击保存,如下图6-5所示。
图6-5 协议配置
(5) 在算法配置处,勾选上所需要的算法的算法开关,点击“保存”按钮,如图6-6所示。
图6-6 算法配置
策略创建步骤和“3.7 配置步骤”中的“2. 创建关键字策略(如机密),并启用策略”一致。
(1) 在测试PC上用浏览器访问https站点,如https://weibo.com/站点,并外发含关键字机密的敏感信息,如下图6-7所示;
图6-7 外发敏感信息
(2) 外发操作被阻断,如下图6-8所示;
图6-8 外发阻断
(3) 系统记录https外发事件,匹配关键字策略,外泄状态为“拦截”如下图6-9所示。
图6-9 事件详情
H3C SecPath DLP2000数据防泄漏系统是通过捕获网络流量,并对捕获的网络流量以深度内容分析为基础,对传输内容进行识别、发现敏感数据的传输与应用,对审查发现的指定的敏感数据可以进行告警、留存、拦截等处置的专用数据安全设备。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
· 协议对接模式时需要配置ICAP客户端将流量转发到网络数据防泄漏设备,此时网络数据防泄漏作为ICAP的服务端。
· 支持HTTP、HTTPS协议。
使用产品为H3C SecPath DLP2000数据防泄漏系统,版本:ESS:6702。
用户流量被发送到ICAP客户端后,ICAP客户端解析用户流量并通过ICAP协议将解析后的流量发送到ICAP服务端,即网络数据防泄漏设备。ICAP服务端对流量进行处理和扫描后将扫描结果返回给ICAP客户端,由客户端根据扫描返回结果执行阻断/放行流量的动作。
部署示意图如下,如下图7-1:
图7-1 部署示意图
按照组网图组网。
(1) 登录数据防泄漏系统,设备选择协议对接模式,并在模式配置中配置保护模式为防护。
(2) 在协议配置界面勾选防护HTTP/HTTPS协议;
(3) 创建关键字策略(如机密),并启用策略;
(4) 在测试PC上配置网络DLP的IP地址为浏览器的代理地址;
(5) 在测试PC上用浏览器访问https服务器,如https://weibo.com/站点,并外发敏感信息;
(6) 数据防泄漏系统上查看事件,系统记录该事件。
(1) 使用https的方式登录数据防泄漏系统,输入用户名和密码,并点击“登录”按钮,如下图7-2;
图7-2 登录
(2) 打开网络管理>功能配置,在设备列表中点击“配置”按钮,打开配置网络代理界面,如下图7-3所示;
图7-3 选择网络代理设备
(3) 在模式选择中选择“协议对接模式”,并配置保护模式为监控,点击“保存”保存模式配置,如下图7-4;
图7-4 配置设备
(4) 在协议配置处,勾选HTTP/HTTPS协议监控,点击保存,如下图7-5所示。
图7-5 协议配置
(5) 在算法配置处,勾选上所需要的算法的算法开关,点击“保存”按钮,如图7-6所示。
图7-6 算法配置
策略创建步骤和“3.7 配置步骤”中的“2. 创建关键字策略(如机密),并启用策略”一致。
(1) 在测试PC上用浏览器访问https站点,如https://weibo.com/站点,并外发含关键字机密的敏感信息,如下图7-7所示;
图7-7 外发敏感信息
(2) 外发成功,如下图7-8所示;
图7-8 外发成功
(3) 系统记录https外发事件,匹配关键字策略,并且外发状态为放行,如下图7-9所示。
图7-9 事件详情
H3C SecPath DLP2000数据防泄漏系统是通过捕获网络流量,并对捕获的网络流量以深度内容分析为基础,对传输内容进行识别、发现敏感数据的传输与应用,对审查发现的指定的敏感数据可以进行告警、留存、拦截等处置的专用数据安全设备。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
· 路由模式使用时需在PC上导入网络DLP的证书至浏览器受信任的根证书颁发机构,导入方式见12 【导入证书配置】
· 硬件DLP2030和DLP2050设备,设备面板自带仅有2个电口,其中GE0为管理地址,GE1为固定口,固定口仅作为紧急检修使用,不支持配置业务。如需配置为桥模式、旁路模式、路由模式或进行性能测试等需要多网口情况,请在扩展卡槽内插上对应扩展卡配合使用。
使用产品为H3C SecPath DLP2000数据防泄漏系统,版本:ESS:6702。
使用时需要在被监控PC的网关地址配置为网络DLP即可。
部署示意图如下,如下图8-1:
按照组网图组网。
(1) 登录数据防泄漏系统,设备选择路由模式,勾选防护HTTP/HTTPS协议;
(2) 创建关键字策略(如机密),并启用策略;
(3) 在测试PC上配置网络DLP的IP地址为网关地址;
(4) 在测试PC上用浏览器https站点,如访问https://weibo.com/站点,并外发敏感信息;
(5) 数据防泄漏系统上查看事件,系统记录该事件。
(1) 使用https的方式登录设备的数据防泄漏系统,输入用户名和密码,并点击“登录”按钮,如下图8-2;
(2) 打开网络管理>功能配置,在设备列表中点击“配置”按钮,打开配置网络代理界面,如下图8-3所示;
(3) 在模式配置处,选择路由转发模式,保护模式为“防护”,选择内置证书作为SSL证书,如下图8-4:
(4) 在协议配置处,勾选HTTP/HTTPS协议监控,点击保存,如下图8-5所示。
(5) 在算法配置处,勾选需要的算法的开关,点击保存按钮,如下图8-6:
策略创建步骤和“3.7 配置步骤”中的“2. 创建关键字策略(如机密),并启用策略”一致。
(1) 点击右下角网络图标,在弹出的框中,点击网络和Internet配置,如下图8-7 所示;
(2) 左侧导航栏,点击以太网,再点击网络和共享中心,如下图8-8所示;
(3) 点击以太网,进入以太网状态页面,如下图8-9所示:
(4) 在以太网状态页面,点击“属性”按钮,如下图8-10所示:
(5) 点击Internet协议版本4(TCP/IPv4),如下图8-11所示:
(6) 将默认网关改成dlp设备的IP地址,点击确认即可,如下图8-12所示
图8-12 Internet协议版本4(TCP/IPv4)页面
(1) 在测试PC上用浏览器访问https站点,如https://weibo.com/站点,并外发含关键字机密的敏感信息,如下图8-13所示;
(2) 外发操作被阻断,如下图8-14所示;
(3) 系统记录https外发事件,匹配关键字策略,如下图8-15所示。
图8-15 事件详情
H3C SecPath DLP2000数据防泄漏系统是通过捕获网络流量,并对捕获的网络流量以深度内容分析为基础,对传输内容进行识别、发现敏感数据的传输与应用,对审查发现的指定的敏感数据可以进行告警、留存、拦截等处置的专用数据安全设备。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
无
使用产品为H3C SecPath DLP2000数据防泄漏系统,版本:ESS:6702。
对具有编码规范或校验规则的内容,客户希望通过数据标识符进行规范识别和校验计算。算法该支持所有组网方式,本文以旁路模式举例。
部署示意图如下图9-1:
按照组网图组网。
(1) 登录数据防泄漏系统,设备选择旁路模式,勾选监控http协议,并监控测试PC的IP;
(2) 根据配置步骤,配置数据标识符检测身份证号的策略,并开启策略;
(3) 在测试PC上发送含有身份证号的邮件;
(4) 数据防泄漏系统上查看事件,系统记录该事件。
设备模式配置步骤和“1.7 配置步骤”中的“1. 设备模式配置”步骤一致。
(1) 打开策略中心>规则库>内容识别规则,点击“新增”按钮,输入“名称”,选择“密级标签”和“分类标签”后,选择“匹配规则”为“数据标识符”,点击“下一步”按钮,如下图9-2所示:
图9-2 新增内容匹配规则
(2) 在新增匹配条件界面,配置规则名称为“测试-数据标识符识别身份证号码”、严重等级为“提示”、数据标识符选择“中国公民身份证号”,如下图9-3所示,配置号后点击“保存”按钮保存内容识别规则
(3) 打开策略中心>管控策略点击“新增”按钮,打开新增管控策略页面,如下图9-4所示;
图9-4 新增匹配条件
(4) 输入策略名后,策略类型选择“外泄管控”,并在策略内容的匹配规则中点击“添加”按钮,选择刚添加的“测试-数据标识符识别身份证号码”的内容识别规则,点击“确认”进行添加,如图9-5所示:
(5) 在策略列表中选中策略,点击右上角的“启用”按钮,启用策略,如图9-6所示;
(1) 在测试PC上用通过浏览器访问http站点,如http://mail.10086.cn/;
(2) 通过该站点发送一封带有身份证号的邮件。
(3) 在“审计中心>安全事件>泄露事件”页面查看事件。含身份证号的邮件产生外发事件,匹配数据标识符策略,如下图9-7所示
图9-7 事件详情
H3C SecPath DLP2000数据防泄漏系统是通过捕获网络流量,并对捕获的网络流量以深度内容分析为基础,对传输内容进行识别、发现敏感数据的传输与应用,对审查发现的指定的敏感数据可以进行告警、留存、拦截等处置的专用数据安全设备。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
指纹分为两种,一种是表格指纹,一种是文档指纹。表格指纹仅限通过csv文件生成,每个指纹仅限一个csv文档。文档指纹可以使用多个文件或单个文件生成。
使用产品为H3C SecPath DLP2000数据防泄漏系统,版本:ESS:6702。
对无明显特征的敏感文档,客户希望通过内容指纹方式对敏感内容进行识别。通过上游设备的镜像功能,由上游设备将要解析的流量复制一份传递给网络DLP。务必保证流量双向镜像。
部署示意图如下图10-1:
按照组网图组网。
(1) 登录数据防泄漏系统,设备选择旁路模式,勾选监控http协议,并监控测试PC的IP;
(2) 选择大于1KB的word文档使用指纹生成器工具生成指纹;
(3) 在测试PC上发送步骤2中的文档;
(4) 根据参考配置,配置文档指纹检查策略数据防泄漏系统上查看事件,系统记录该事件。
设备模式配置步骤和“1.7 配置步骤”中的“1. 设备模式配置”步骤一致。
(1) 打开指纹生成器工具,点击“文档指纹按钮>添加文件”,选择word文档,如下图10-2所示:
(2) 选择生成按钮,点击生成指纹,生成成功后会在指纹存放位置路径下产生一个zip包,如图10-3所示;
(3) 打开策略中心>特征库>文档指纹,点击新增按钮,配置文档指纹的名称后,在获取方式中选择“文件上传”,点击“选择文件”按钮上传上个步骤中生成的文档指纹文件,随后点击“确定”按钮,如图10-4所示;
图10-4 新增文档指纹
(4) 打开策略中心>规则库>内容识别规则,点击“新增”按钮,输入“名称”,选择“密级标签”和“分类标签”后,选择“匹配规则”为“文档指纹”,点击“下一步”按钮,如下图10-5所示:
图10-5 新增内容识别规则
(5) 在新增匹配条件界面的“文档指纹”下拉选择框中选择刚添加在特征库中的文档指纹,“匹配阈值”配置为50,保存配置,如下图10-6所示:
(6) 打开策略中心>管控策略点击“新增”按钮,打开新增管控策略页面,如下图10-7所示;
图10-7 新增策略
(7) 输入策略名后,策略类型选择“外泄管控”,并在策略内容的匹配规则中点击“添加”按钮,在内容识别规则列表中,选择刚添加的“文档指纹识别”规则,点击“确认”进行添加,如图10-8所示,添加后点击“保存”保存策略。
(8) 在策略列表中选中策略,点击右上角的“启用”按钮,启用策略如图10-9所示,
(1) 在测试PC上用通过浏览器访问http站点,如http://mail.10086.cn/;
(2) 通过该站点将产生文档指纹的源文件作为邮件附件发送。
(3) 在“审计中心>安全事件>泄露事件”页面查看事件。文件内容和文档指纹100%匹配,命中文档指纹策略产生事件,如下图10-10所示
图10-10 事件详情
H3C SecPath DLP2000数据防泄漏系统是通过捕获网络流量,并对捕获的网络流量以深度内容分析为基础,对传输内容进行识别、发现敏感数据的传输与应用,对审查发现的指定的敏感数据可以进行告警、留存、拦截等处置的专用数据安全设备。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
无
使用产品为H3C SecPath DLP2000数据防泄漏系统,版本:ESS:6702。
客户希望通过机器学习算法,来判断目标文档是否属于敏感文档。通过上游设备的镜像功能,由上游设备将要解析的流量复制一份传递给网络DLP。务必保证流量双向镜像。
部署示意图如下图11-1:
按照组网图组网。
(1) 登录数据防泄漏系统,设备选择旁路模式,勾选监控http协议,并监控测试PC的IP;
(2) 准备10份以上相同类型的文件(如Python代码);
(3) 通过机器学习工具生成语义模型;
(4) 根据参考配置,配置自然语义检查策略并启用;
(5) 在测试PC上发送已通过机器学习工具提取模型后的文档(如Python代码);
(6) 根据参考配置,配置文档指纹检查策略数据防泄漏系统上查看事件,系统记录该事件。
设备模式配置步骤和“1.7 配置步骤”中的“1. 设备模式配置”步骤一致。
(1) 打开机器学习工具,点击“文件>打开数据源目录”按钮,选择已存放有大量同类型文件的文件夹路径,如图11-2所示;
(2) 点击执行按钮,生成语义模型;
(3) 点击“文件>导出规则模型”按钮,导出生成的规则模型,如图11-3所示;
(4) 将生成的语义模型上传到“策略中心>特征库>语义模型”,如图11-4所示;
(5) 打开策略中心>规则库>内容识别规则,点击“新增”按钮,输入“名称”,选择“密级标签”和“分类标签”后,选择“匹配规则”为“自然语义”,点击“下一步”按钮,如下图11-5所示:
图11-5 新增内容识别规则
(6) 在新增匹配条件界面,的语义模型下拉选项框中选择刚上传的语义模型文件,并选用所有的匹配分类,如下图11-6所示,点击“保存”保存规则
(7) 打开策略中心>管控策略点击“新增”按钮,打开新增管控策略页面,如下图11-7所示;
图11-7 新增策略
(8) 输入策略名后,策略类型选择“外泄管控”,并在策略内容的匹配规则中点击“添加”按钮,在内容识别规则列表中,选择刚添加的“语义模型”规则,点击“确认”进行添加,如图11-8所示,添加后点击“保存”保存策略。
图11-8 新增匹配条件
(9) 在策略列表中选中策略,点击右上角的“启用”按钮,启用策略,如图11-9所示;
(1) 在测试PC上用通过浏览器访问http站点,如http://mail.10086.cn/;
(2) 通过该站点将一个包含python代码的.py类型文件作为邮件附件发送。
(3) 在“审计中心>安全事件>泄露事件”页面查看事件。文件99%匹配Python,命中自然语义策略产生事件,如下图11-10所示
图11-10 事件详情
设备运行在路由、代理、网桥模式下时需要在PC上将SSL证书导入到受信任的根证书颁发机构。
证书按如下步骤安装后Internet Explorer、Microsoft Edge、Google Chrome等使用系统证书的浏览器即可正常访问。
(1) 打开浏览器软件;如:Chrome(推荐)、MicrosoftEdge、InternetExplorer;
(2) 依次打开下列网站, 直至证书安装界面出现;如图12-1:
baidu.com
weibo.com
sina.com.cn
bing.com
hao123.com
hao.360.com
图12-1 证书推送
(3) 点击【立即下载】;如图12-2;
图12-2 下载证书
(4) 打开下载文件的保存目录,使用管理员权限运行下载的安装包;如图12-3:
图12-3 运行证书安装程序
(5) 弹出【安装成功】的弹窗表示证书安装结束。
(6) 证书安装成功后,关闭浏览器再重新启动即可正常访问网页。
(7) 若使用一键安装程序安装证书失败,请按照【Windows使用证书文件安装系统证书】>【使用证书文件安装系统证书】进行证书安装。
证书按如下步骤安装后Internet Explorer、Microsoft Edge、Google Chrome等使用系统证书的浏览器即可正常访问。
(1) 打开浏览器软件;如:Chrome(推荐)、MicrosoftEdge、InternetExplorer;
(2) 依次打开下列网站, 直至证书安装界面出现;如图12-4:
baidu.com
weibo.com
sina.com.cn
bing.com
hao123.com
hao.360.com
图12-4 证书推送窗口
(3) 点击下载证书,如图12-5。
图12-5 下载证书
(4) 双击证书,弹出证书安装界面,点击【安装证书】,如图12-6。
图12-6 安装证书
(5) 证书存储位置为【当前用户】,点击下一步,如图12-7。
图12-7 下一步
(6) 选择【将所有证书都放入下列存储】,点击【浏览】,选择【受信任的根证书颁发机构】,点击【确定】,然后点击【下一步】,如图12-8。
图12-8 选择受信证书颁发机构
(7) 点击【完成】,如图12-9。
图12-9 证书安装完成
(8) 弹出安装成功的弹窗,证书安装结束,如图12-10。
图12-10 证书导入成功弹窗
(9) 证书导入成功后重启浏览器即可正常访问。
火狐浏览器有自己独立的证书存储机制并不直接使用操作系统的证书。尽管操作系统级别上安装了证书,但是如果火狐浏览器中未安装证书,使用火狐浏览器访问网页的过程中还是会弹出网页不安全的告警提示,所以需要单独为火狐浏览器安装证书。
(1) 打开火狐浏览器;
(2) 依次打开下列网站, 直至证书安装界面出现;如,如图12-11:
baidu.com
weibo.com
sina.com.cn
bing.com
hao123.com
hao.360.com
图12-11 证书推送界面
(3) 点击下载证书,如图12-12。
图12-12 下载证书文件
(4) 打开浏览器,点击浏览器右上角,选择【设置】选项,如图12-13。
图12-13 浏览器设置
(5) 在【设置】界面的搜索框中输入查看证书,点击搜索结果中的【查看证书】,如图12-14。
图12-14 查看浏览器证书
(6) 在证书管理器界面点击【导入】,如图12-15。
图12-15 导入证书
(7) 选中下载的证书文件,点击【打开】,如图12-16。
图12-16 选择证书文件
(8) 勾选【信任由此证书颁发机构来标识网站】和【信任此证书颁发机构来标识电子邮件用户】,点击【确定】导入证书,如图12-17。
图12-17 信任证书
(9) 在【证书颁发机构】界面中可以查看到该证书,如图12-18,证书导入成功!
图12-18 查看根证书
(1) 打开浏览器软件; 如:Chrome(推荐)、Safari;
(2) 依次打开下列网站, 直至证书安装界面出现,如图12-19:
baidu.com
weibo.com
sina.com.cn
bing.com
hao123.com
hao.360.com
图12-19 证书推送界面
(3) 选择苹果系统对应的证书安装应用DLPCA_mac.pkg,点击【立即下载】,如图12-20:
图12-20 下载证书安装文件
(4) 下载后打开保存证书安装应用对应的目录。
(5) 右键点击DLPCA_mac.pkg,在菜单栏中的【打开方式】中选择【安装器】打开,如图12-21。
图12-21 打开证书安装文件
(6) 弹出如下弹窗后点击【继续】,如图8-22。
图12-22 继续安装
(7) 在目的宗卷中保持默认,点击【继续】,如图12-23。
图12-23 继续安装
(8) 点击【安装】按钮进行安装,如图12-24。
图12-24 安装证书
(9) 在应用安装弹窗中输入密码并点击【安装软件】进行软件的安装,如图12-25。
图12-25 安装软件
(10) 等待安装,直到安装成功,点击【关闭】按钮,关闭安装界面,如图12-26。
图12-26 安装成功
(11) 重启浏览器后即可正常浏览网页。
(1) 打开浏览器软件; 如:Chrome(推荐)、Safari;
(2) 依次打开下列网站, 直至证书安装界面出现,如图12-27:
baidu.com
weibo.com
sina.com.cn
bing.com
hao123.com
hao.360.com
图12-27 证书推送界面
(3) 点击【立即下载】获得证书文件,如图12-28:
图12-28 下载证书
(4) 打开钥匙串:启动台>搜索输入“钥匙串”,如图12-29:
图12-29 打开钥匙串
(5) 在钥匙串界面,登录选项上单击解锁登录,如图12-30:
图12-30 登录解锁
(6) 打开访达>找到你需要安装的根证书文件(步骤3下载的证书),如图12-31:
图12-31 打开下载的证书文件
(7) 拖放证书文件至登录右边的空白区域,拖放后如图,如图12-32:
图12-32 拖入证书文件
(8) 右键此证书> 显示简介,如图12-33:
图12-33 显示证书简介
(9) 打开显示简介界面,信任>使用此证书选项中,选【始终信任】,如图12-34:
图12-34 信任证书
(10) 至此,检查钥匙串 > 登录,中查看此证书前的红叉变为如下状态即完成根证书安装,如图12-35:
图12-35 查看根证书
(11) 重启浏览器后即可正常浏览网页。
苹果系统为火狐浏览器安装证书的步骤和Windows系统一致,敬请参照【Windows系统为火狐浏览器安装证书】,安装证书后重启火狐浏览器即可正常使用浏览器进行访问。
本站点使用Cookies,继续浏览表示您同意我们使用Cookies。 Cookies和隐私政策>