CLI方式：在安全策略中引用文件过滤业务典型配置

使用版本

本举例是在F1090的R8660P33版本上进行配置和验证的。

组网需求

如下图所示，Device分别通过Trust安全域和Untrust安全域与局域网和Internet相连。现有以下组网需求：

• 拒绝扩展名为pptx和dotx的文件通过。

• 对以上被阻止的文件生成日志信息。

图-1 在安全策略中引用文件过滤业务配置组网图

‌

配置步骤

1. 配置接口IP地址

# 根据组网图中规划的信息，配置各接口的IP地址，具体配置步骤如下。

<Device> system-view

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0

[Device-GigabitEthernet1/0/1] quit

请参考以上步骤配置其他接口的IP地址，具体配置步骤略。

2. 配置静态路由

本举例仅以静态路由方式配置路由信息。实际组网中，请根据具体情况选择相应的路由配置方式。

# 请根据组网图中规划的信息，配置静态路由，本举例假设到达外网Web Server的下一跳IP地址为2.2.2.2，实际使用中请以具体组网情况为准，具体配置步骤如下。

[Device] ip route-static 5.5.5.0 24 2.2.2.2

3. 配置接口加入安全域

# 请根据组网图中规划的信息，将接口加入对应的安全域，具体配置步骤如下。

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

4. 配置文件过滤功能

1. 创建文件类型组fg1，并配置文件过滤特征为pptx和dotx。

[Device] file-filter filetype-group fg1

[Device-file-filter-fgroup-fg1] pattern 1 text pptx

[Device-file-filter-fgroup-fg1] pattern 2 text dotx

[Device-file-filter-fgroup-fg1] quit

2. 创建文件过滤规则r1，引用文件类型组fg1，并配置应用类型为HTTP，报文方向为会话的双向，动作为丢弃并输出日志。

[Device] file-filter policy p1

[Device-file-filter-policy-p1] rule r1

[Device-file-filter-policy-p1-rule-r1] filetype-group fg1

[Device-file-filter-policy-p1-rule-r1] application type http

[Device-file-filter-policy-p1-rule-r1] direction both

[Device-file-filter-policy-p1-rule-r1] action drop logging

[Device-file-filter-policy-p1-rule-r1] quit

5. 配置DPI应用profile并激活文件过滤策略和规则配置

# 创建名称为sec的DPI应用profile，在sec中引用文件过滤策略p1。

[Device] app-profile sec

[Device-app-profile-sec] file-filter apply policy p1

[Device-app-profile-sec] quit

# 激活文件过滤策略和规则配置。

[Device] inspect activate

6. 配置安全策略

# 配置名称为trust-untrust的安全策略规则，使内网用户可以访问外网，并对交互报文进行文件过滤检测。具体配置步骤如下。

[Device] security-policy ip

[Device-security-policy-ip] rule name trust-untrust

[Device-security-policy-ip-10-trust-untrust] source-zone trust

[Device-security-policy-ip-10-trust-untrust] source-ip-subnet 192.168.1.0 24

[Device-security-policy-ip-10-trust-untrust] destination-zone untrust

[Device-security-policy-ip-10-trust-untrust] action pass

[Device-security-policy-ip-10-trust-untrust] profile sec

[Device-security-policy-ip-10-trust-untrust] quit

# 激活安全策略配置。

[Device-security-policy-ip] accelerate enhanced enable

[Device-security-policy-ip] quit

验证配置

完成上述配置后，符合上述条件的文件将被丢弃，并输出日志信息。

配置文件

Device

#

interface GigabitEthernet1/0/1

 ip address 192.168.1.1 255.255.255.0

#

interface GigabitEthernet1/0/2

 ip address 2.2.2.1 255.255.255.0

#

security-zone name Trust

 import interface GigabitEthernet1/0/1

#

security-zone name Untrust

 import interface GigabitEthernet1/0/2

#

 ip route-static 5.5.5.0 24 2.2.2.2

#

file-filter filetype-group fg1

 pattern 1 text pptx

 pattern 2 text dotx

#

file-filter policy p1

 rule r1

  filetype-group fg1

  application type http

  direction both

  action drop logging

#

app-profile sec

 file-filter apply policy p1

#

inspect activate

#

security-policy ip

 accelerate enhanced enable

 rule 0 name trust-untrust

  action pass

  profile sec

  source-zone trust

  destination-zone untrust

  source-ip-subnet 192.168.1.0 255.255.255.0

#