数据过滤

特性简介

数据过滤是一种对流经设备的报文的应用层信息进行过滤的安全防护机制。采用数据过滤功能可以有效防止内网机密信息泄露，禁止内网用户在Internet上浏览、发布和传播违规或违法信息。目前，数据过滤功能支持对基于以下应用层协议传输的应用层信息进行检测和过滤。

• HTTP（Hypertext Transfer Protocol，超文本传输协议）

• FTP（File Transfer Protocol，文件传输协议）

• SMTP（Simple Mail Transfer Protocol，简单邮件传输协议）

• IMAP（Internet Mail Access Protocol，Internet邮件访问协议）

• NFS（Network File System，网络文件系统）

• POP3（Post Office Protocol - Version 3，邮局协议版本3）

• RTMP（Real Time Messaging Protocol，实时消息传输协议）

• SMB（Server Message Block，服务器信息块）

基本概念

关键字

关键字是用于识别应用层信息特征的字符串。包括预定义关键字和自定义关键字。

• 预定义关键字：由设备生成，包括手机号、银行卡号、信用卡号和身份证号。

• 自定义关键字：管理员自定义的需要识别的关键字，支持文本匹配方式和正则表达式匹配方式。

关键字组

关键字组用来对数据过滤关键字进行统一组织和管理。一个关键字组中可以包含32个关键字（包括自定义关键字和预定义关键字），且它们之间是或的关系。

数据过滤规则

数据过滤规则是报文应用层信息安全检测条件及处理动作的集合。在一条规则中可设置关键字组、方向、应用类型和动作（允许、丢弃、生成日志）。只有报文成功匹配规则中包含的所有检测条件才算与此规则匹配成功。

数据过滤的实现原理

设备对报文进行数据过滤处理的整体流程如下：

1. 如果报文匹配了某个安全策略，且此策略引用了数据过滤配置文件，则对报文进行数据过滤处理。

2. 设备提取报文中的应用层信息与数据过滤规则进行匹配，并根据匹配结果对报文执行动作：

   • 如果报文同时与多条规则匹配成功，则执行这些规则中优先级最高的动作，动作优先级从高到低的顺序为：丢弃 > 允许，但是对于生成日志动作只要匹配成功的规则中已配置就会执行。

   • 如果报文只与一条规则匹配成功，则执行此规则中指定的动作。

   • 如果报文未与任何数据过滤规则匹配成功，则设备直接允许报文通过。

vSystem相关说明

非缺省vSystem对于本特性的支持情况，请以页面的实际显示为准。

使用限制和注意事项

关于提交操作的注意事项

• 执行“提交”操作会暂时中断DPI业务的处理，可能导致其他基于DPI功能的业务同时出现中断。例如，安全策略无法对应用进行访问控制等。

• 执行“提交”操作后，界面上会提示设置成功，但是配置文件此时可能尚未完成激活，如果此时报文经过设备，可能会出现暂时无法识别的情况。

关于正则表达式的使用限制

• 正则表达式中，总的分支不能超过四个。例如'abc(c|d|e|\x3D)'有效，'abc(c|onreset|onselect|onchange|style\x3D)'无效。

• 正则表达式中，括号不能嵌套，即括号中不能有括号。例如'ab((abcs*?))'无效。

• 正则表达式中，分支不支持串联，即分支后面不能有分支。例如'ab(a|b)(c|d)^\\r\\n]+?'无效。

• 正则表达式中，零次重复量词'*'和'?'前面必须有四个确定字符。例如'abc*'无效，'abcd*DoS\x2d\d{5}\x20\x2bxi\\r\\nJOIN'有效。

配置指南

配置思路

数据过滤功能的配置思路如下图所示：

图-1 数据过滤功能配置指导图

配置准备

缺省数据过滤配置任务

设备上存在一个名称为default的数据过滤配置文件，不可对其进行修改和删除操作。该配置文件对报文支持的所有应用层协议、预定义特征（如手机号、银行卡号、信用卡号和身份证号）的正则表达式匹配方式进行过滤。因此可以使用缺省数据过滤配置文件，从而简化操作并节省时间。

1. 选择“对象 > 安全配置文件> 数据过滤 > 配置文件”。default的数据过滤配置文件不可编辑。

   图-2 default数据过滤配置文件

   

2. 在安全策略的内容安全配置中引用此数据过滤配置文件，有关安全策略的详细配置介绍请参见“安全策略”。

   图-3 安全策略引用配置文件

   

定制化数据过滤配置任务

当缺省数据过滤配置文件不满足需求时，管理员可以根据业务环境和安全要求，灵活调整自定义数据过滤配置文件中的关键字组等设置，以更好地适应实际情况。

配置关键字组

1. 选择“对象 > 安全配置文件 > 数据过滤 > 关键字组”。

2. 在“关键字组”页面单击<新建>按钮，进入“新建关键字组”页面，具体配置内容如下：

   图-4 新建关键字组

   

   表-1 关键字组配置内容

   参数	说明
   名称	表示关键字组的名称
   描述	通过合理编写描述信息，便于管理员快速理解和识别本关键字组的作用

3. 在“预定义关键字列表”区域，启用预定义关键字。

4. 在“自定义关键字列表”区域，单击<新建>按钮，进入“新建关键字”页面，具体配置内容如下：

   图-5 新建关键字

   

   表-2 关键字配置内容

   参数	说明
   名称	表示关键字的名称
   匹配模式	包括文本和正则表达式两种： 文本方式表示对报文进行精确匹配 正则表达式方式表示对报文进行模糊匹配
   匹配内容	输入关键字的内容

5. 单击<确定>按钮，新建关键字成功，且会在自定义关键字列表中显示。

6. 在“新建关键字组”页面单击<确定>按钮，新建关键字组成功，且会在“关键字组”页面中显示。

新建配置数据过滤配置文件

1. 选择“对象 > 安全配置文件 > 数据过滤 > 配置文件”。

2. 在“数据过滤配置文件”页面单击<新建>按钮，进入“新建数据过滤配置文件”页面，具体配置内容如下：

   图-6 新建数据过滤配置文件

   

   表-3 数据过滤配置文件配置内容

   参数	说明
   名称	表示数据过滤配置文件的名称
   描述	通过合理编写描述信息，便于管理员快速理解和识别本数据过滤配置文件的作用

3. 在“数据过滤规则”区域，单击<新建>按钮，进入“新建数据过滤规则”页面，具体配置内容如下：

   图-7 新建数据过滤规则

   

   表-4 数据过滤规则配置内容

   参数	说明
   名称	表示数据过滤规则的名称
   关键字组	指定规则引用的关键字组来对报文的应用层信息进行关键字匹配
   应用	指定数据过滤规则的应用层协议，具体包括：FTP、HTTP、IMAP、NFS、POP3、RTMP、SMB和SMTP协议。可以根据业务应用所属的应用层协议类型来灵活控制对哪些协议类型的报文进行数据过滤
   方向	包括上传、下载和双向，可以根据报文传输的方向来灵活控制对哪个方向的报文进行数据过滤
   动作	包括允许和丢弃。允许表示对匹配规则的报文进行放行，丢弃表示对匹配规则的报文进行丢弃
   日志	开启日志功能后，对与此规则匹配成功的报文生成日志信息；关闭日志功能后，对与此规则匹配成功的报文不会生成日志信息

4. 单击<确定>按钮，新建数据过滤规则成功，且会在“新建数据过滤配置文件”页面的数据过滤规则列表中显示。

5. 在“新建数据过滤配置文件”页面单击<确定>按钮，新建数据过滤配置文件成功，且会在“数据过滤配置文件”页面中显示。

6. 在安全策略的内容安全配置中引用此数据过滤配置文件，具体配置步骤请参见“缺省数据过滤配置任务”章节。

7. 单击<提交>按钮，激活数据过滤配置文件的配置内容。配置此功能会暂时中断DPI业务的处理，为避免重复配置此功能对DPI业务造成影响，请完成部署DPI各业务模块的配置文件后统一配置此功能。