04-DPI深度安全配置指导

06-文件过滤配置

本章节下载  (173.14 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/IPS/SecPath_T10X0/Configure/Operation_Manual/H3C_CG(V7)(E9104_E8504_E8502)-5W103/04/201810/1114731_30005_0.htm

06-文件过滤配置


1 文件过滤

1.1  文件过滤简介

文件过滤是一种根据文件扩展名信息对经设备传输的文件进行过滤的安全防护机制。采用文件过滤功能可以对指定类型的文件进行批量过滤。目前,文件过滤功能支持对基于以下应用层协议传输的文件进行检测和过滤。

·     HTTP(Hypertext Transfer Protocol,超文本传输协议)

·     FTP(File Transfer Protocol,文件传输协议)

·     SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)

1.1.1  基本概念

1. 文件过滤特征

文件过滤特征是设备上定义的用于识别文件扩展名特征的字符串。

2. 文件类型组

文件类型组用来对文件过滤特征进行统一组织和管理。一个文件类型组中可以包含32个特征,且它们之间是或的关系。

3. 文件过滤规则

文件过滤规则是安全检测条件及处理动作的集合。在一个规则中可配置的检测条件包括文件类型组、报文方向、应用类型,可配置的处理动作包括丢弃、放行和生成日志。只有文件属性(包括文件的应用类型、传输方向和扩展名)成功匹配规则中包含的所有检测条件才算与此规则匹配成功。

1.1.2  文件过滤的实现原理

设备对报文进行文件过滤处理的整体流程如下:

(1)     当设备收到基于HTTP、FTP、SMTP协议传输的文件时,首先在文件所属的安全域间实例中进行安全策略检查,如果安全域间实例下的某对象策略规则中关联了DPI应用profile,且该profile中引用了文件过滤策略,则对报文进行文件过滤处理。有关对象策略规则的详细介绍请参见“安全配置指导”中的“对象策略”。

(2)     设备提取文件的扩展名信息与文件过滤规则进行匹配,并根据匹配结果对文件执行动作:

·     如果文件的扩展名信息同时与多个规则匹配成功,则执行这些规则中优先级最高的动作,动作优先级从高到低的顺序为:丢弃 > 放行,但是对于生成日志动作只要匹配成功的规则中存在就会执行。

·     如果文件的扩展名信息只与一个规则匹配成功,则执行此规则中指定的动作。

·     如果文件的扩展名信息未与任何文件过滤规则匹配成功,则设备直接允许文件通过。

1.2  文件过滤配置任务简介

表1-1 文件过滤配置任务简介

配置任务

说明

详细配置

配置文件类型组

必选

1.2.2 

配置文件过滤策略

必选

1.2.3 

在DPI应用profile中应用文件过滤策略

必选

1.2.4 

在对象策略规则中引用DPI应用profile

必选

1.2.5 

在安全域间实例中引用对象策略

必选

1.2.6 

激活DPI各业务模块的策略配置

可选

1.2.7 

 

1.2.2  配置文件类型组

一个文件类型组中可配置多个文件过滤特征,各特征之间是或的关系。定义文件过滤特征的方式为文本。

表1-2 配置文件类型组

操作

命令

说明

进入系统视图

system-view

-

创建文件类型组,并进入文件类型组视图

file-filter filetype-group group-name

缺省情况下,不存在文件类型组

配置文件类型组的描述信息

description string

缺省情况下,不存在文件类型组的描述信息

配置文件过滤特征

pattern pattern-name text pattern-string

缺省情况下,文件类型组中不存在文件过滤特征

 

1.2.3  配置文件过滤策略

一个文件过滤策略中最多可以定义32个文件过滤规则,各规则之间是或的关系。每个规则中可配置一个文件类型组、多种应用层协议类型、一种报文方向以及多个动作。

表1-3 配置文件过滤策略

操作

命令

说明

进入系统视图

system-view

-

创建文件过滤策略,并进入文件过滤策略视图

file-filter policy policy-name

缺省情况下,不存在文件过滤策略

配置文件过滤策略的描述信息

description string

缺省情况下,不存在文件过滤策略的描述信息

创建文件过滤规则,并进入文件过滤规则视图

rule rule-name

缺省情况下,不存在文件过滤规则

指定文件过滤规则采用的文件类型组

filetype-group group-name

缺省情况下,未指定文件过滤规则采用的文件类型组

配置文件过滤规则的应用层协议类型

application { all | type { ftp | http | smtp } * }

缺省情况下,文件过滤规则中未指定应用层协议类型

配置文件过滤规则的匹配方向

direction { both | download | upload }

缺省情况下,文件过滤规则的匹配方向为上传方向

配置文件过滤规则的动作

action { drop | permit } [ logging ]

缺省情况下,文件过滤规则的动作为丢弃

 

1.2.4  在DPI应用profile中引用文件过滤策略

DPI应用porfile是一个安全业务的配置模板,为实现文件过滤功能,必须在DPI应用porfile中引用指定的文件过滤策略。一个DPI应用profile中只能引用一个文件过滤策略,如果重复配置,则新的配置会覆盖已有配置。

表1-4 在DPI应用profile中引用文件过滤策略

操作

命令

说明

进入系统视图

system-view

-

进入DPI应用profile视图

app-profile profile-name

关于该命令的详细介绍请参见“DPI深度安全命令参考”中的“应用层检测引擎”

在DPI应用profile中引用文件过滤策略

file-filter apply policy policy-name

缺省情况下,DPI应用profile中未引用文件过滤策略

 

1.2.5  在对象策略规则中引用DPI应用profile

有关对象策略规则的详细介绍请参见“安全配置指导”中的“对象策略”。

1. 在IPv4对象策略中引用DPI应用profile

表1-5 在IPv4对象策略规则中引用DPI应用profile

操作

命令

说明

进入系统视图

system-view

-

进入Context系统视图

switchto context context-name

仅对Context必选

进入IPv4对象策略

object-policy ip object-policy-name

-

在IPv4对象策略规则中引用DPI应用profile

rule [ rule-id ] { drop | pass | inspect app-profile-name } [ [ application application-name ] [ app-group app-group-name ] [ source-ip object-group-name | any ] [ destination-ip object-group-name | any ] [ service object-group-name | any ] [vrf vrf-name ] [ counting ] [ disable ] [ logging ] [ time-range time-range-name ] ] *

缺省情况下,IPv4对象策略规则中未引用DPI应用profile

 

2. 在IPv6对象策略中引用DPI应用profile

表1-6 在IPv6对象策略规则中引用DPI应用profile

操作

命令

说明

进入系统视图

system-view

-

进入Context系统视图

switchto context context-name

仅对Context必选

进入IPv6对象策略

object-policy ipv6 object-policy-name

-

在IPv6对象策略规则中引用DPI应用profile

rule [ rule-id ] { drop | pass| inspect app-profile-name } [ [ application application-name ] [ app-group app-group-name ] [ source-ip object-group-name | any ] [ destination-ip object-group-name | any ] [ service object-group-name | any ] [vrf vrf-name ] [ counting ] [ disable ] [ logging ] [ time-range time-range-name ] ] *

缺省情况下,IPv6对象策略规则中未引用DPI应用profile

 

1.2.6  在安全域间实例中引用对象策略

有关此功能的详细介绍请参见“安全配置指导”中的“对象策略”。

表1-7 安全域间实例引用对象策略

操作

命令

说明

进入系统视图

system-view

-

进入Context系统视图

switchto context context-name

仅对Context必选

创建源安全域和目的安全域

security-zone name zone-name

缺省情况下,当首次执行创建安全域的命令时,系统会自动创建以下缺省安全域:Local、Trust、DMZ、Management和Untrust

创建安全域间实例,并进入安全域间实例视图

zone-pair security source source-zone-name destination destination-zone-name

缺省情况下,不存在安全域间实例

应用对象策略

应用IPv4对象策略

object-policy apply ip object-policy-name

缺省情况下,安全域间实例内不应用对象策略

二者至少选其一

应用IPv6对象策略

object-policy apply ipv6 object-policy-name

 

1.2.7  激活DPI各业务模块的策略配置

当DPI各业务模块的策略被创建、修改和删除后,需要配置此功能使其策略配置生效。

配置此功能会暂时中断DPI业务的处理,为避免重复配置此功能对DPI业务造成影响,请完成部署DPI各业务模块的策略后统一配置此功能。

有关此功能的详细介绍请参见“DPI深度安全配置指导”中的“应用层检测引擎”。

表1-8 激活DPI各业务模块的策略配置

操作

命令

说明

进入系统视图

system-view

-

激活DPI各业务模块的策略配置

inspect activate

缺省情况下,DPI各业务模块的策略被创建、修改和删除时不生效

 

1.3  文件过滤典型配置举例

1.3.1  文件过滤典型配置举例

1. 组网需求

图1-1所示,Device分别通过Trust安全域和Untrust安全域与局域网和Internet相连。现有以下组网需求:

·     拒绝扩展名为pptx和dotx的文件通过。

·     对以上被阻止的文件生成日志信息。

2. 组网图

图1-1 文件过滤典型配置组网图

 

3. 配置步骤

(1)     配置各接口的IP地址(略)

(2)     创建安全域并将接口加入安全域

# 向安全域Trust中添加接口GigabitEthernet1/0/1。

<Device> system-view

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

# 向安全域Untrust中添加接口GigabitEthernet1/0/2。

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

(3)     配置对象组

# 创建名为filefilter的IP地址对象组,并定义其子网地址为192.168.1.0/24。

[Device] object-group ip address filefilter

[Device-obj-grp-ip-filefilter] network subnet 192.168.1.0 24

[Device-obj-grp-ip-filefilter] quit

(4)     配置文件过滤功能

·     配置文件类型组

# 创建文件类型组fg1,并进入文件类型组视图。

[Device] file-filter filetype-group fg1

# 配置文件过滤特征为pptx和dotx。

[Device-file-filter-fgroup-fg1] pattern 1 text pptx

[Device-file-filter-fgroup-fg1] pattern 2 text dotx

[Device-file-filter-fgroup-fg1] quit

·     配置文件过滤策略

# 创建文件过滤策略p1,并进入文件过滤策略视图。

[Device] file-filter policy p1

# 创建文件过滤规则r1,并进入文件过滤规则视图。

[Device-file-filter-policy-p1] rule r1

# 在规则r1中应用文件类型组fg1,配置应用类型为HTTP,报文方向为会话的双向,动作为丢弃并输出日志。

[Device-file-filter-policy-p1-rule-r1] filetype-group fg1

[Device-file-filter-policy-p1-rule-r1] application type http

[Device-file-filter-policy-p1-rule-r1] direction both

[Device-file-filter-policy-p1-rule-r1] action drop logging

[Device-file-filter-policy-p1-rule-r1] quit

(5)     配置DPI应用profile

# 创建名称为profile1的DPI应用profile,并进入DPI应用profile视图。

[Device] app-profile profile1

# 在DPI应用profile1中应用文件过滤策略p1。

[Device-app-profile-profile1] file-filter apply policy p1

[Device-app-profile-profile1] quit

(6)     配置对象策略

# 创建名为inspect1的对象策略,并进入对象策略视图。

[Device] object-policy ip inspect1

# 对源IP地址对象组filefilter对应的报文进行深度检测,引用的DPI应用profile为profile1。

[Device-object-policy-ip-inspect1] rule inspect profile1 source-ip filefilter destination-ip any

[Device-object-policy-ip-inspect1] quit

(7)     配置安全域间实例并应用对象策略

# 创建源安全域Trust到目的安全域Untrust的安全域间实例,并应用对源IP地址对象组filefilter对应的报文进行深度检测的对象策略inspect1。

[Device] zone-pair security source trust destination untrust

[Device-zone-pair-security-trust-untrust] object-policy apply ip inspect1

[Device-zone-pair-security-trust-untrust] quit

(8)     激活DPI各业务模块的策略配置。

[Device] inspect activate

4. 验证配置

完成上述配置后,符合上述条件的文件将被丢弃,并输出日志信息。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们