登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

06-典型配置举例

目录

19-数据过滤典型配置举例

本章节下载 19-数据过滤典型配置举例  (316.29 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Configure/Operation_Manual/H3C_WCG(V7)_205/06/202202/1553621_30005_0.htm

19-数据过滤典型配置举例

数据过滤典型配置举例

简介

本文档介绍数据过滤功能的典型配置举例。

数据过滤功能是指设备对应用层协议报文中携带的内容进行过滤,以阻止内部网络用户访问非法网站,并阻止含有非法内容的报文进入内部网络。目前,该功能仅支持HTTP协议、FTP协议和SMTP协议。

HTTP协议数据过滤包括以下功能:

·     URI过滤:设备收到HTTP请求报文后,对请求URI中的内容进行过滤,阻止用户访问某些特定的网站或阻止URI中非法内容。

·     Body过滤:使用Body过滤可以对上传或下载方向的HTTP报文中携带的内容进行过滤,阻止含有特定内容的报文通过设备,既可以防止非法内容在内部网络中传播,也可以防止内部网络中的敏感信息向外部网络扩散。

FTP协议数据过滤包括以下功能:

·     数据通道过滤:先根据FTP控制通道中的命令字区分文件上传或下载操作,然后对FTP数据通道中携带的内容进行过滤。

SMTP协议数据过滤包括以下功能。

·     正文过滤:支持对SMTP协议邮件正文中携带的内容进行过滤。

·     附件内容过滤:支持对SMTP协议附件中的内容进行过滤。

 

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解数据过滤特性。

 

目前,设备支持对基于HTTPFTPSMTP协议的文件进行过滤。

组网需求

图-1所示,Device作为安全网关部署在内网边界。通过配置数据过滤功能,实现如下需求:

·     阻止内网用户通过外网浏览、发布和下载带有“法轮功”字样的信息。

·     阻止内网用户对外发布带有“仅供内部使用”字样的文件。

·     对以上被阻止的内容生成日志信息。

图-1 数据过滤配置组网图

 

使用版本

本举例是在F5040Ess 9320版本上进行配置和验证的。

配置步骤

1.     配置各接口IP地址并将接口加入对应的安全域

# 选择“网络 > 接口 > 接口”,进入接口配置页面。

# 选中接口GE1/0/1前的复选框,单击<编辑>按钮,配置如下。

·     加入安全域:Trust

·     IP地址/掩码:10.1.1.1/24

·     其他配置项保持默认情况即可。

# 按照同样的步骤配置接口GE1/0/2,配置如下。

·     加入安全域:Untrust

·     IP地址/掩码:20.1.1.1/24

·     其他的配置项保持默认情况即可。

2.     创建内网地址对象组

# 选择“对象 > 对象组 > IPv4地址对象组”,单击<添加>按钮,进入新建IPv4地址对象组页面,添加名为private的内网地址对象组。

# 在新建IPv4地址对象组页面中,单击<添加>按钮,进入添加对象页面,配置如下。

·     对象:网段。

·     IPv4地址/掩码长度:10.1.1.0/24

3.     新建关键字组

# 选择“对象 > 应用安全 > 数据过滤 >关键字组”,单击<新建>按钮,进入新建关键字组页面,新建名为防泄密的关键字组。

# 在关键字列表区域,单击<新建>按钮,进入新建关键字页面,配置如下图所示。

图-2 新建名为涉密的关键字

 

# 单击<确定>按钮,完成名为涉密的关键字的配置,返回新建关键字组页面。

图-3 新建关键字组页面

 

# 单击<确定>按钮,完成名为防泄密的关键字组的配置。

# 按照同样的步骤,配置名为禁止浏览的关键字组。

# 在新建关键字页面,新建名为敏感内容的关键字,配置如下图所示。

图-4 配置名为敏感内容的关键字

 

# 单击<确定>按钮,完成名为敏感内容的关键字的配置,返回新建关键字组页面。

图-5 新建关键字组页面

 

# 单击<确定>按钮,完成名为禁止浏览的关键字组的配置。

4.     新建数据过滤配置文件

# 选择“对象 > 应用安全 > 数据过滤 > 配置文件”,单击<新建>按钮,进入新建数据过滤配置文件页面。创建名为datafilter的数据过滤配置文件。

# 在数据过滤规则区域中,单击<新建>按钮,进入新建数据过滤规则页面,新建名为防泄密规则的数据过滤规则,配置如下图所示。

图-6 配置名为防泄密规则的数据过滤规则

 

# 单击<确定>按钮,完成名为防泄密规则的数据过滤规则的配置。

# 按照同样的步骤,配置名为禁止浏览规则的数据过滤规则,配置如下图所示。

图-7 配置名为禁止浏览规则的数据过滤规则

 

# 单击<确定>按钮,完成名为禁止浏览规则的数据过滤规则的配置,返回新建数据过滤配置文件页面。

图-8 新建数据过滤配置文件页面

 

# 单击<确定>按钮,完成数据过滤配置文件的配置。

# 完成数据过滤配置文件的配置后,单击<提交>按钮,使新建的数据过滤配置文件datafilter生效。

5.     创建源安全域Trust到目的安全域Untrust安全策略,并引用数据过滤配置文件

# 选择“策略 > 安全策略”,单击<新建>按钮,进入新建安全策略页面。具体配置如下。

·     名称:数据过滤

·     源安全域:Trust

·     目的安全域:Untrust

·     动作:允许

·     IP地址:private

·     内容安全中引用数据过滤策略:datafilter

·     其他配置项保持缺省情况即可。

# 单击<确定>按钮,完成配置。

验证配置

以上配置完成后,可以对内网用户在Internet上浏览、发布和传播信息的内容进行控制。测试结果如下:

·     内网用户无法通过外网浏览、发布和下载带有“法轮功”字样的信息。

·     内网用户无法向外网发布带有“仅供内部使用”字样的文件。

·     管理员可在“监控 > 设备日志 > 系统日志”中查看所有数据过滤日志信息。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们