DLP
本帮助主要介绍以下内容:
特性简介
DLP(Data Loss Prevention,数据防泄露)是一个重要的网络安全特性,可对通过网络设备的流量进行监控与分析,对数据传输行为进行识别、分类进而根据配置对非法的数据传输行为执行相应的防范措施。
DLP策略
DLP策略用于定义一个或多个用于识别非法数据传输的特征项,以及对检测到的非法数据传输所采取的防范措施,例如输出告警日志、发送告警邮件等。
DLP策略由检测规则、身份规则和响应规则组成。
检测规则:用于匹配传输数据的关键字、文件名等内容信息。
身份规则:用于匹配传输方的IP地址、邮箱地址等身份信息。
响应规则:对匹配检测规则与身份规则的数据所执行的防范措施。
vSystem相关说明
非缺省vSystem对于本特性的支持情况,请以页面的实际显示为准。
使用限制和注意事项
非缺省Context对于本特性的支持情况,请以页面的实际显示为准。
删除资源管理界面中的部分资源有可能产生级联删除效果,具体情况如下:
删除正则表达式会同时删除所有引用所选正则表达式的检测规则匹配条件,如果一个DLP策略下的检测规则匹配条件全被删除,该DLP策略也将被删除。
删除邮件服务器会同时删除所有引用所选邮件服务器的响应动作,如果一个响应规则下的响应动作全被删除,该响应规则也将被删除。
删除文件服务器会同时删除所有引用所选文件服务器的响应动作,如果一个响应规则下的响应动作全被删除,该响应规则也将被删除。
配置指南
配置思路
DLP功能的配置思路如下图所示:
图-1 DLP配置指导图
配置准备
在配置本特性之前,需要完成以下任务:
配置DLP策略
首先创建一个DLP策略,根据实际的网络安全需求来配置策略中的具体内容,主要包括检测规则、身份规则和响应规则。
单击“策略 > DLP > DLP策略”。
在“DLP策略”页签中单击<新建>按钮,进入“新建DLP策略”页面。
图-2 新建DLP策略
图-3 新建DLP策略页面
新建DLP策略,具体配置内容如下所示:
表-1 DLP策略配置
参数
说明
策略名称
DLP策略名称,区分大小写。合法取值包括中文、大写字母、小写字母、数字、特殊字符“_”和“-”
描述
DLP策略的描述信息
扫描模式
DLP策略的扫描模式,可选择“快速扫描”或“完全扫描”
启用策略
是否启用该DLP策略
单击“检测规则”页签,配置检测规则相关参数。
单击“添加规则”下的<新建>按钮,进入新建检测规则页面,配置参数如下所示。单击“例外规则”下的<新建>按钮,可新建例外检测规则,匹配例外检测规则的数据被视为不匹配任何检测规则。一个DLP策略下可配置多个检测规则和例外检测规则。
图-4 配置规则
图-5 新建检测规则页面
表-2 检测规则配置
参数
说明
名称
规则名称,区分大小写。合法取值包括中文、大写字母、小写字母、数字、特殊字符“_”和“-”
严重等级
匹配该规则的事件的严重等级,包括:
高
中
低
提示
单击“匹配条件”下的<新建>按钮,进入“新建匹配条件”页面,配置参数如下所示。
图-6 新建匹配条件
图-7 新建匹配条件页面
表-3 匹配条件配置
参数
说明
匹配类型
检测规则的匹配类型,包括:
正则表达式
关键字
指纹文件
文件名
文件大小
文件类型
协议
计数方法
匹配项的计数方法。不同匹配类型有不同的计数方法:
正则表达式
检测是否存在:判断待测文件内容能否匹配一个所配正则表达式
统计匹配总次数:将待测文件内容与所配正则表达式的匹配次数进行累加
统计匹配正则表达式个数:计算与待测文件内容匹配的正则表达式的个数
关键字
检测是否存在:判断待测文件是否包含一个所配关键字
统计匹配总次数:将所配关键字在待测文件中的出现次数进行累加
统计匹配关键字个数:计算待测文件包含关键字的个数
指纹文件
检测是否存在:判断待测文件能否与指纹文件中一个样本文件的相似度超过所配阈值
匹配每个样本文件:将待测文件与指纹文件内包含的每一个样本文件进行相似度匹配,记录匹配情况
仅当“匹配类型”为“正则表达式”、“关键字”或“指纹文件”时,可配置本参数
计数范围
应用计数方法的范围,包括:
单个文件:针对单个文件分别计数
所有文件:将所有文件当作一个整体进行计数
仅当“匹配类型”为“正则表达式”或“关键字”时,可配置本参数
正则表达式
用于匹配的正则表达式
仅当“匹配类型”为“正则表达式”时,可配置本参数
区分大小写
关键字匹配时是否区分大小写
仅当“匹配类型”为“关键字”时,可配置本参数
关键字
用于匹配的关键字,包括:
简单关键字:关键字一对一匹配
邻近关键字:关键字模糊匹配,可指定左邻关键字、右邻关键字以及二者间的最大距离
仅当“匹配类型”为“关键字”时,可配置本参数
全词匹配
与所配关键字完全一致时才视为匹配
仅当“匹配类型”为“关键字”时,可配置本参数
该参数仅对英文关键字生效
指纹文件
用于匹配的指纹文件
仅当“匹配类型”为“指纹文件”时,可配置本参数
阈值
匹配样本文件内容的比例
仅当“匹配类型”为“指纹文件”时,可配置本参数
文件类型
用于匹配的文件类型
仅当“匹配类型”为“文件类型”时,可配置本参数
文件名
用于匹配的文件名称
仅当“匹配类型”为“文件名”时,可配置本参数
最大
文件大小的最大值
仅当“匹配类型”为“文件大小”时,可配置本参数
最大与最小参数同时置0表示不限制文件大小
最小
文件大小的最小值
仅当“匹配类型”为“文件大小”时,可配置本参数
最大与最小参数同时置0表示不限制文件大小
协议
用于匹配的报文协议
仅当“匹配类型”为“协议”时,可配置本参数
单击<确定>按钮,完成匹配条件配置。
单击“身份规则”页签,配置身份规则相关参数。
单击“添加规则”下的<新建>按钮,进入新建身份规则页面,配置参数如下所示。单击“例外规则”下的<新建>按钮,可新建例外身份规则,匹配例外身份规则的数据被视为不匹配任何身份规则。一个DLP策略下可配置多个身份规则和例外身份规则。
图-8 新建规则
图-9 新建身份规则页面
表-4 身份规则配置
参数
说明
名称
规则名称,区分大小写。合法取值包括中文、大写字母、小写字母、数字、特殊字符“_”和“-”
严重等级
匹配该规则的事件的严重等级,包括:
高
中
低
提示
单击“匹配条件”下的<新建>按钮,进入“新建匹配条件”页面,配置参数如下所示。
图-10 新建匹配条件
图-11 新建匹配条件页面
表-5 匹配条件配置
参数
说明
匹配类型
身份规则的匹配类型,包括:
发送者/用户:匹配发送者或用户的身份信息
接收者/用户:匹配接收者或用户的身份信息
电子邮件地址
用于匹配的电子邮件地址
接收类型
邮件的接收类型,包括:
全匹配:所有目的邮箱地址必须全部匹配“电子邮件地址”
部分匹配:仅指定个数的目的邮箱地址需要匹配“电子邮件地址”
仅当“匹配类型”为“接收者/用户”时,可配置本参数
阈值
需要匹配的邮箱地址个数
仅当“接收类型”为“部分匹配”时,可配置本参数
IP类型
用于匹配的IP地址类型,包括:
IPv4
IPv6
IP地址
用于匹配的IP地址
用户
用于匹配的用户
主机
用于匹配的主机名
仅当“匹配类型”为“接收者/用户”时,可配置本参数
单击<确定>按钮,完成匹配条件设置。
单击“响应规则”页签,配置响应规则相关参数。
在“响应规则”右侧的下拉菜单中,可新建响应规则或引用已存在的响应规则。一个DLP策略下可引用多个响应规则。
图-12 响应规则
单击<确定>按钮,完成DLP策略配置。
配置全局参数
配置DLP功能的全局参数,该配置对全部DLP策略生效。
单击“策略 > DLP > 全局配置”。
在“内网IP”页签中配置用于标识内网的地址对象组。
图-13 内网IP
单击<应用>按钮,完成内网IP配置。
在“监控方向配置”页签中配置DLP监控的方向,配置参数如下所示。
图-14 监控方向配置
表-6 监控方向配置
参数
说明
监控方向
DLP监控报文的方向,包括:
双向:同时监控外网向内网和内网向外网发送的报文
外网向内网:仅监控外网向内网发送的报文
内网向外网:仅监控内网向外网发送的报文
不监控:不监控任一方向的报文
单击<应用>按钮,完成监控方向配置。
在“协议过滤配置”页签中配置DLP功能对指定协议的报文进行监控,设备仅对协议栏中显示的协议报文进行监控。
图-15 协议过滤配置
单击<应用>按钮,完成协议过滤配置。
配置资源管理
配置DLP策略所引用的资源,包括指纹文件、正则表达式、邮件告警模板、邮件服务器、文件服务器以及响应规则。
配置指纹资源
单击“策略 > DLP > 资源管理”。
在“指纹文件”页签下单击<新建>按钮,进入“新建指纹资源”页面,配置参数如下所示:
图-16 新建指纹资源
图-17 新建指纹资源页面
表-7 指纹资源配置
参数
说明
名称
指纹资源的名称
指纹文件
导入的指纹文件
单击<确定>按钮,完成配置。
配置正则表达式
单击“策略 > DLP > 资源管理”。
在“正则表达式”页签下单击<新建>按钮,进入“新建正则表达式”页面,配置参数如下所示:
图-18 新建正则表达式
图-19 新建正则表达式页面
表-8 正则表达式配置
参数
说明
名称
正则表达式的名称
正则表达式
正则表达式内容
单击<确定>按钮,新建的正则表达式会在“正则表达式”页签中显示。
图-20 正则表达式配置完成
配置邮件告警模板
单击“策略 > DLP > 资源管理”。
在“邮件告警模板”页签下单击<新建>按钮,进入“新建邮件告警模板”页面,配置参数如下所示:
图-21 新建邮件告警模板
图-22 新建邮件告警模板页面
表-9 邮件告警模板配置
参数
说明
名称
邮件告警模板的名称
邮件服务器
用于发送邮件的邮件服务器
接收邮箱
接受邮箱地址
抄送邮箱
抄送邮箱地址
密送邮箱
密送邮箱地址
主题
邮件告警的主题
正文
邮件告警正文
单击<确定>按钮,新建的邮件告警模板会在“邮件告警模板”页签中显示。
图-23 邮件告警模板配置完成
配置邮件服务器
单击“策略 > DLP > 资源管理”。
在“邮件服务器”页签下单击<新建>按钮,进入“新建邮件服务器”页面,配置参数如下所示:
图-24 新建邮件服务器
图-25 新建邮件服务器页面
表-10 邮件服务器配置
参数
说明
名称
邮件服务器的名称
服务器地址
邮件服务器的IP地址
是否加密
与邮件服务器交互是否加密
是否认证
登录邮件服务器是否需要认证
用户名
登录邮件服务器的用户名
密码
登录邮件服务器的密码
发送邮箱
邮件服务器向外发送邮件时使用的邮箱
单击<确定>按钮,新建的邮件服务器会在“邮件服务器”页签中显示。
图-26 邮件服务器配置完成
配置文件服务器
单击“策略 > DLP > 资源管理”。
在“文件服务器”页签下单击<新建>按钮,进入“新建文件服务器”页面,配置参数如下所示:
图-27 新建文件服务器
图-28 新建文件服务器页面
表-11 文件服务器配置
参数
说明
名称
文件服务器的名称
类型
文件服务器的类型,包括:
Local:服务器为设备本身
FTP:服务器为FTP服务器
路径
文件的存储路径,形如ftp://1.1.1.1/abc/
仅当“类型”为“FTP”时,可配置本参数
用户名
登录FTP服务器的用户名
仅当“类型”为“FTP”时,可配置本参数
密码
登录FTP服务器的密码
仅当“类型”为“FTP”时,可配置本参数
单击<确定>按钮,新建的文件服务器会在“文件服务器”页签中显示。
图-29 文件服务器配置完成
配置响应规则
单击“策略 > DLP > 资源管理”。
在“响应规则”页签下单击<新建>按钮,进入“新建响应规则”页面,配置参数如下所示:
图-30 新建响应规则
图-31 新建响应规则页面
表-12 响应规则配置
参数
说明
名称
响应规则的名称,区分大小写。合法取值包括中文、大写字母、小写字母、数字、特殊字符“_”和“-”
描述
响应规则的描述信息
单击“匹配条件”右侧的<新建>按钮,进入“新建匹配条件”页面,配置参数如下所示。一个响应规则下可配置多个匹配条件。
图-32 新建匹配条件
图-33 新建匹配条件页面
表-13 匹配条件配置
参数
说明
匹配类型
响应规则的匹配类型,包括:
严重等级
协议
操作类型
关联匹配类型与类型值的操作类型,包括:
属于:匹配类型属于所配类型值
不属于:匹配类型不属于所配类型值
类型值
匹配类型的值。针对不同的匹配类型,本字段的可配内容有所不同
单击<确定>按钮,完成匹配条件配置。
单击“动作”右侧的<新建>按钮,进入“新建动作”页面,配置参数如下所示。一个响应规则下可配置多个动作。
图-34 新建动作
图-35 新建动作页面
表-14 动作配置
参数
说明
动作类型
对满足匹配条件的数据传输所执行的响应动作,包括:
上传文件:将可疑文件上传至文件服务器
添加注释:向DLP日志中添加注释信息
发送日志:发送告警日志
发送邮件:发送告警邮件
文件服务器
文件服务器的名称
仅当“动作类型”为“上传文件”时,可配置本参数
备注
针对可疑数据传输的描述信息
仅当“动作类型”为“添加注释”时,可配置本参数
邮件告警模板
发送邮件的内容模板
仅当“动作类型”为“发送邮件”时,可配置本参数
单击<确定>按钮,完成动作配置。
单击<确定>按钮,新建的响应规则会在“响应规则”页签中显示。
图-36 响应规则配置完成
