国家 / 地区

04-DPI深度安全命令参考

05-文件过滤命令

本章节下载  (134.88 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Command/Command_Manual/H3C_(V7)(E9345_E9536_E9602)_CR-6W400/04/201909/1228609_30005_0.htm

05-文件过滤命令


1 文件过滤

1.1  文件过滤配置命令

1.1.1  action

action命令用来配置文件过滤规则的动作。

undo action命令用来恢复缺省情况。

【命令】

action { drop | permit } [ logging ]

undo action

【缺省情况】

文件过滤规则的动作为丢弃。

【视图】

文件过滤规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

drop:表示丢弃报文。

permit:表示允许报文通过。

logging:表示生成日志信息。

【使用指导】

如果文件的扩展名信息同时与多个规则匹配成功,则执行这些动作中优先级最高的动作,且动作优先级从高到低的顺序为:丢弃 > 允许,但是对于生成日志动作只要匹配成功的规则中存在就会执行。如果文件的扩展名信息只与一个规则匹配成功,则执行此规则中的动作。

【举例】

# 创建一个名称为def的文件过滤策略。

<Sysname> system-view

[Sysname] file-filter policy def

# 在名称为ch1的文件过滤规则中配置其动作为允许报文通过。

[Sysname-file-filter-policy-def] rule ch1

[Sysname-file-filter-policy-def-rule-ch1] action permit

1.1.2  application

application命令用来配置文件过滤规则的应用层协议类型。

undo application命令用来删除指定的应用层协议类型。

【命令】

application { all | type { ftp | http | imap | nfs | pop3 | rtmp | smb | smtp } * }

undo application { all | type { ftp | http | imap | nfs | pop3 | rtmp | smb | smtp } * }

【缺省情况】

文件过滤规则中不存在应用层协议类型。

【视图】

文件过滤规则视图。

【缺省用户角色】

network-admin

context-admin

【参数】

all:表示文件过滤支持的所有应用层协议。

type:表示规则生效的协议类型。

ftp:表示FTP协议。

http:表示HTTP协议。

imap:表示IMAP协议。

nfs:表示NFS协议。

pop3:表示POP3协议。

rtmp:表示RTMP协议。

smb:表示SMB协议。

smtp:表示SMTP协议。

【使用指导】

通过配置此命令,可以根据文件传输所采用的应用层协议类型来灵活控制对哪些协议类型的报文进行文件过滤。

NFS协议仅支持NFSv3版本;SMB协议支持SMBv1和SMBv2版本。

【举例】

# 创建一个名称为def的文件过滤策略。

<Sysname> system-view

[Sysname] file-filter policy def

# 在名称为ch1的文件过滤规则中配置其应用协议类型为HTTP。

[Sysname-file-filter-policy-def] rule ch1

[Sysname-file-filter-policy-def-rule-ch1] application type http

1.1.3  description (file-filter policy view)

description 命令用来配置文件过滤策略的描述信息。

undo description命令用来恢复缺省情况。

【命令】

description string

undo description

【缺省情况】

未配置文件过滤策略的描述信息。

【视图】

文件过滤策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

string:表示文件过滤策略的描述信息,为1~255个字符的字符串,区分大小写。

【使用指导】

通过合理编写描述信息,便于管理员快速理解和识别本文件过滤策略的作用,有利于后期维护。

【举例】

# 配置文件过滤策略def的描述信息为The file filter。

<Sysname> system-view

[Sysname] file-filter policy def

[Sysname-file-filter-policy-def] description The file filter

【相关命令】

·     file-filter policy

1.1.4  description (filetype-group view)

description命令用来配置文件类型组的描述信息。

undo description命令用来恢复缺省情况。

【命令】

description string

undo description

【缺省情况】

未配置文件类型组的描述信息。

【视图】

文件类型组视图

【缺省用户角色】

network-admin

context-admin

【参数】

string:文件类型组的描述信息,为1~255个字符的字符串,区分大小写。

【使用指导】

通过合理编写描述信息,便于管理员快速理解和识别本文件类型组的作用,有利于后期维护。

【举例】

# 为文件类型组abc配置描述信息def。

<Sysname> system-view

[Sysname] file-filter filetype-group abc

[Sysname-file-filter-fgroup-abc] description def

【相关命令】

·     file-filter filetype-group

1.1.5  direction

direction命令用来配置文件过滤规则的匹配方向。

undo direction命令用来恢复缺省情况。

【命令】

direction { both | download | upload }

undo direction

【缺省情况】

文件过滤规则的匹配方向为上传方向。

【视图】

文件过滤规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

both:在上传方向和下载方向都进行匹配。

download:在下载方向进行匹配。

upload:在上传方向进行匹配。

【使用指导】

通过配置此命令,可以根据报文传输的方向来灵活控制对那个方向的报文进行文件过滤。

对于FTP和SMTP协议上传方向和下载方向是指会话的上传和下载方向;对于HTTP协议上传方向是指HTTP协议POST类型的请求方法,下载方向是指HTTP协议GET类型的请求方法。

【举例】

# 创建一个名称为def的文件过滤策略。

<Sysname> system-view

[Sysname] file-filter policy def

# 在名称为ch1的文件过滤规则中配置其匹配方向为下载方向。

[Sysname-file-filter-policy-def] rule ch1

[Sysname-file-filter-policy-def-rule-ch1] direction download

1.1.6  file-filter apply policy

file-filter apply policy命令用来在DPI应用profile中引用文件过滤策略。

undo file-filter apply policy命令用来删除引用的文件过滤策略。

【命令】

file-filter apply policy policy-name

undo file-filter apply policy

【缺省情况】

DPI应用profile中未引用文件过滤策略。

【视图】

DPI应用profile视图

【缺省用户角色】

network-admin

context-admin

【参数】

policy-name:文件过滤策略的名称,为1~31个字符的字符串,不区分大小写。

【使用指导】

文件过滤策略仅在被DPI应用profile引用后生效。一个DPI(Deep Packet Inspection,深度报文检测)应用profile下只能引用一个文件过滤策略。多次执行本命令,最后一次执行的命令生效。

【举例】

# 在名称为abc的DPI应用profile下引用文件过滤策略def。

<Sysname> system-view

[Sysname] app-profile abc

[Sysname-app-profile-abc] file-filter apply policy def

【相关命令】

·     app-profile

·     file-filter policy

1.1.7  file-filter false-extension action

file-filter false-extension action命令用来配置文件的真实类型与扩展名不一致时执行的动作。

undo file-filter false-extension action命令用来恢复缺省情况。

【命令】

file-filter false-extension action { drop | permit }

undo file-filter false-extension action

【缺省情况】

文件的真实类型与扩展名不一致时执行的动作为允许。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

drop:表示丢弃报文。

permit:表示允许报文通过。

【使用指导】

当设备识别出的文件的真实类型和文件的扩展名不一致时,如果动作配置为允许,则根据识别出的真实的文件类型与文件过滤规则进行匹配,并执行文件过滤规则中的动作;如果动作配置为阻断,则直接对报文进行阻断,不再进行文件过滤规则的匹配。

例如,file.txt文件可通过修改扩展名,将其改为file.exe文件。文件过滤将会识别出其真实的文件类型为txt,这与该文件的扩展名不一致,设备将根据本命令中配置的动作对该文件进行处理。

【举例】

# 配置文件的真实类型与扩展名不一致时执行的动作为丢弃。

<Sysname> system-view

[Sysname] file-filter false-extension action drop

1.1.8  file-filter filetype-group

file-filter filetype-group命令用来创建文件类型组,并进入文件类型组视图。如果指定的文件类型组已经存在,则直接进入文件类型组视图。

undo file-filter filetype-group命令用来删除指定的文件类型组。

【命令】

file-filter filetype-group group-name

undo file-filter filetype-group group-name

【缺省情况】

不存在文件类型组。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

group-name:表示文件类型组的名字,为1~31个字符的字符串,不区分大小写。

【使用指导】

文件类型组用来统一组织和管理设备中配置的文件过滤特征。一个文件类型组中可以配置多个文件过滤特征,且它们之间是或的关系。

【举例】

# 创建一个名称为fg1的文件类型组,并进入文件类型组视图。

<Sysname> system-view

[Sysname] file-filter filetype-group fg1

[Sysname-file-filter-fgroup-fg1]

1.1.9  file-filter policy

file-filter policy命令用来创建文件过滤策略,并进入文件过滤策略视图。如果指定的文件过滤策略已经存在,则直接进入文件过滤策略视图。

undo file-filter policy命令用来删除指定的文件过滤策略。

【命令】

file-filter policy policy-name

undo file-filter policy policy-name

【缺省情况】

不存在文件过滤策略。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

policy-name:文件过滤策略的名称,为1~31个字符的字符串,不区分大小写。

【使用指导】

一个文件过滤策略中最多可以定义32个文件过滤规则。

【举例】

# 创建一个名称为def的文件过滤策略,并进入该文件过滤策略视图。

<Sysname> system-view

[Sysname] file-filter policy def

[Sysname-file-filter-policy-def]

【相关命令】

·     file-filter apply policy

1.1.10  filetype-group

filetype-group命令用来在文件过滤规则中引用文件类型组。

undo filetype-group命令用来恢复缺省情况。

【命令】

filetype-group group-name

undo filetype-group

【缺省情况】

文件过滤规则中未引用文件类型组。

【视图】

文件过滤规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

group-name:表示文件类型组的名称,为1~31个字符的字符串,不区分大小写。被引用的文件类型组必须存在。

【使用指导】

在文件过滤规则中通过引用文件类型组来对文件的扩展名信息进行精确匹配。

在同一个文件过滤规则视图下,多次执行本命令,最后一次执行的命令生效。

【举例】

# 创建一个名称为def的文件过滤策略。

<Sysname> system-view

[Sysname] file-filter policy def

# 在名称为ch1的文件过滤规则中引用文件类型组fg1。

[Sysname-file-filter-policy-def] rule ch1

[Sysname-file-filter-policy-def-rule-ch1] filetype-group fg1

【相关命令】

·     file-filter filetype-group

1.1.11  pattern

pattern命令用来配置文件过滤特征。

undo pattern命令用来删除指定的文件过滤特征。

【命令】

pattern pattern-name text pattern-string

undo pattern pattern-name

【缺省情况】

文件类型组中不存在文件过滤特征。

【视图】

文件类型组视图

【缺省用户角色】

network-admin

context-admin

【参数】

pattern-name:表示文件过滤特征的名字,为1~31个字符的字符串,不区分大小写。

text pattern-string:表示对文件的扩展名信息进行精确匹配的文本,pattern-string是文本内容,为1~8个字符的字符串,不区分大小写。

【使用指导】

文件过滤特征是设备执行文件过滤功能时系统需要对文件的扩展名信息进行识别的内容。

一个文件类型组中可以配置32个文件过滤特征,且它们之间是或的关系。

【举例】

# 在文件类型组fg1中配置文件过滤特征为doc。

<Sysname> system-view

[Sysname] file-filter filetype-group fg1

[Sysname-file-filter-fgroup-fg1] pattern 1 text doc

1.1.12  rule

rule命令用来创建文件过滤规则,并进入文件过滤规则视图。如果指定的文件过滤视图已经存在,则直接进入文件过滤视图。

undo rule命令用来删除指定的文件过滤规则。

【命令】

rule rule-name

undo rule rule-name

【缺省情况】

不存在文件过滤规则。

【视图】

文件过滤策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

rule-name:文件过滤规则的名称,为1~31个字符的字符串,不区分大小写。

【使用指导】

在文件过滤规则中可以配置匹配报文的一系列匹配项,比如规则匹配的方向、规则生效的协议类型、规则引用的文件类型组和规则的动作。

只有文件属性(包括文件的应用类型、传输方向和扩展名)成功匹配规则中包含的所有检测条件才算与此规则匹配成功。

一个文件过滤策略中最多可以定义32个文件过滤规则。

【举例】

# 在名称为def的文件过滤策略下创建一个名称为ch1的文件过滤规则,并进入文件过滤规则视图。

<Sysname> system-view

[Sysname] file-filter policy def

[Sysname-file-filter-policy-def]rule ch1

[Sysname-file-filter-policy-def-rule-ch1]

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!