【强叔侃墙第二季】12 文件泄密难防范,双剑合璧显神威---文件过滤与内容过滤特性配置

digest [复制链接]
发表于 : 2015-11-26 16:14:46 最新回复:2019-08-16 09:26:54
6574 5
强叔侃墙
强叔侃墙 官方号

上一篇我们介绍了文件过滤与内容过滤的应用场景和实现原理。文件过滤与内容过滤的主要作用是可以降低机密数据泄漏的风险。本篇我们来一起学习下如何配置文件过滤与内容过滤功能。

文件过滤配置逻辑

 

【强叔侃墙第二季】12 文件泄密难防范,双剑合璧显神威---文件过滤与内容过滤特性配置-1349139-1 

 

如图所示,文件过滤的主体配置比较简单,就是先配置好文件过滤配置文件,然后在配置安全策略时引用文件过滤的配置文件。文件过滤配置文件的主要配置就是文件过滤规则。与文件过滤配置相关的其他两个模块如下:

A:文件在进行文件过滤和内容过滤检测前,需要进行文件异常类型检测。文件过滤全局配置的作用就是定义各种文件异常类型时的处理动作,包括“文件损坏时动作”、“文件扩展名不匹配时动作”和“文件类型无法识别时动作”。另外文件过滤全局配置还定义了压缩文件的最大解压层数和文件大小,以及超出时的动作。

B:当传输的文件命中了文件过滤配置文件中的文件过滤规则时,会产生内容日志。

 

文件过滤Web界面展示

下面给出了文件过滤全局配置的Web配置界面(USG6000 V100R001C30SPC100版本为例),并对界面上的配置项进行简要解释。

 【强叔侃墙第二季】12 文件泄密难防范,双剑合璧显神威---文件过滤与内容过滤特性配置-1349139-2

 

首先需要说的是文件过滤全局配置,不仅对文件过滤产生作用,还会对内容过滤和反病毒功能产生作用。

第二点要说明的就是管理员可以自己配置“最大解压层数”和“最大解压文件大小”,当文件的参数超过取值时,则执行相应的动作。

下面给出了文件过滤配置文件的Web配置界面,并对界面上的配置项进行简要解释。

【强叔侃墙第二季】12 文件泄密难防范,双剑合璧显神威---文件过滤与内容过滤特性配置-1349139-3 

 

文件过滤配置文件的配置界面分为2个区域。

1、  基本配置区域:在该区域中设置文件过滤配置文件的名称和描述。

2、  文件过滤规则配置区域:在该区域中可以创建多条文件过滤规则,文件过滤规则的匹配顺序是从上到下的。

下面给出了文件过滤规则的Web配置界面,并对界面上的配置项进行简要解释。

【强叔侃墙第二季】12 文件泄密难防范,双剑合璧显神威---文件过滤与内容过滤特性配置-1349139-4

 

1、  选择想要进行文件过滤的应用。例如只想对通过FTP协议传输的文件的类型进行过滤,则这里选择FTP。文件过滤支持的应用类型如下表所示:

分类

应用

常用协议

HTTPFTPSMTPPOP3NFSSMBIMAPRTMPTFLASH格式的流媒体

文件共享

迅雷、AIMINIK_JAVAHOTFILE126网盘、115客户端、115网盘、3A网盘、360软件管家、360云盘网页版、360云盘、139邮箱硬盘、139网络硬盘、1000EB163网盘、16密盘、99盘网页版、119G网盘、ALIDISK6DISKCTDISK网盘、HOWFILEHULKSHAREBAYIMGCNETDOWNLOADAPPHIT2SHAREDBABELGUM

2、  选择想要进行过滤的文件类型。文件类型是设备能够识别的文件真实类型。文件过滤能够对以下文件类型进行过滤:

分类

文件类型

可执行文件

EXEMSIRPMOCXAELFDLLPESYS

文档文件

DOCPPTXLSMSOFFICEDOCXPPTXXLSXPDFVSDMPPODSODTODPEMLUOF

压缩文件

RARTARZIPGZIPCABBZ2Z7ZIPJAR

音视频文件

MDIMOVMPEGAVIRMVBASFSWFMP3MP4MDI

图像文件

PNGTIFWMFBMPGIFJPEG

网页文件

HTMLCHMJS

代码文件

CCPPJAVAVBS

其余文件

TORRENTCRTPLSHAPKBATCATCMDDSMDWGFONGBSICOILKINFISOLNKMDBNSFOBJODGPDBPGPPIFPSDREGRESSLNTDBWSFEDIFACCDBVCPROJFLVIZHRTFMKVTTFPCAPCAPODB

加密文件

DOC_ENCPPT_ENCXLS_ENCOPC_ENCZIP_ENCRAR_ENCJAR_ENCPDF_ENC

 

3、  自定义扩展名是文件类型的补充,当设备无法识别出文件真实类型时,将根据自定义扩展名进行文件过滤。

4、  文件过滤有告警和阻断两种动作。但是对于IMAPNFS两种应用协议,只支持告警动作。

 

文件过滤配置实例

下面我们进入实战部分,来看几个具体的文件过滤配置实例。实例仅是演示文件过滤的配置方法和效果。

举例1:阻止内网用户上传word类型文件

如下图所示,企业希望阻止内网用户上传word类型的文件到外网,以降低机密信息泄漏的风险。

【强叔侃墙第二季】12 文件泄密难防范,双剑合璧显神威---文件过滤与内容过滤特性配置-1349139-5

 

配置如下文件过滤配置文件, “文件类型”选择“DOCDOCX”,“方向”选择“上传”,“动作”选择“阻断”。

【强叔侃墙第二季】12 文件泄密难防范,双剑合璧显神威---文件过滤与内容过滤特性配置-1349139-6 

 

文件过滤配置文件创建或修改后,必须在Web界面上执行提交操作才能生效。提交过程所需时间较长,请耐心等待,建议完成所有文件过滤配置文件的配置后再统一进行提交。

最后,在安全策略中引用该配置文件。

完成上述配置后,内网用户上传到外网的word文件就会被NGFW阻断。例如,当用户使用FTP协议上传word文件admin.docx到外网时会显示如下信息:

【强叔侃墙第二季】12 文件泄密难防范,双剑合璧显神威---文件过滤与内容过滤特性配置-1349139-7 

而这时NGFW上也会显示文件被阻断的日志信息:

【强叔侃墙第二季】12 文件泄密难防范,双剑合璧显神威---文件过滤与内容过滤特性配置-1349139-8 

即使用户将word文件压缩,也会被NGFW识别并阻断。例如,用户将admin.docx压缩成admin.zip后上传,依旧会被阻断,如下所示。

【强叔侃墙第二季】12 文件泄密难防范,双剑合璧显神威---文件过滤与内容过滤特性配置-1349139-9 

上述配置的命令行脚本如下:

#

profile type file-block name 过滤上传文件类型                                  

 rule name 阻断Word文件上传                                                    

  file-type pre-defined name DOC DOCX                                          

  application all                                                              

  direction upload                                                              

  action block      

#

security-policy                                                               

 rule name trust_to_untrust                                                     

  source-zone trust                                                           

  destination-zone untrust                                                     

  profile file-filter 过滤上传文件类型                                           

  action permit        

 

举例2:使用自定义扩展名阻止内网用户上传xml类型文件

如下图所示,企业希望阻止内网用户上传xml类型的文件到外网,以降低机密信息泄漏的风险。但是NGFW目前不支持识别xml类型文件,所以管理员需要通过配置文件过滤的自定义扩展名来阻断后缀名为xml的文件。

【强叔侃墙第二季】12 文件泄密难防范,双剑合璧显神威---文件过滤与内容过滤特性配置-1349139-10 

配置如下文件过滤配置文件,选择“自定义扩展名”为“XML”。

【强叔侃墙第二季】12 文件泄密难防范,双剑合璧显神威---文件过滤与内容过滤特性配置-1349139-11 

文件过滤配置文件创建或修改后,必须在Web界面上执行提交操作才能生效。提交过程所需时间较长,请耐心等待,建议完成所有文件过滤配置文件的配置后再统一进行提交。

最后,在安全策略中引用该配置文件。

完成上述配置后,内网用户上传到外网的后缀名为xml的文件就会被NGFW阻断,显示信息如下所示:

【强叔侃墙第二季】12 文件泄密难防范,双剑合璧显神威---文件过滤与内容过滤特性配置-1349139-12 

上述配置的命令行脚本如下:

#

profile type file-block name 过滤上传文件类型                                  

 rule name 阻断xml文件上传                                                 

  file-type user-defined name XML                                        

  application all                                                             

  direction upload                                                            

  action block      

#

security-policy                                                               

 rule name trust_to_untrust                                                     

  source-zone trust                                                           

  destination-zone untrust                                                     

  profile file-filter 过滤上传文件类型                                           

  action permit        

 

内容过滤配置逻辑

 

【强叔侃墙第二季】12 文件泄密难防范,双剑合璧显神威---文件过滤与内容过滤特性配置-1349139-13

 

如上图所示,内容过滤的主体配置比较简单,就是先配置好内容过滤配置文件,然后在配置安全策略时引用内容过滤的配置文件。内容过滤配置文件的主要配置就是内容过滤规则,配置内容过滤规则时要引用关键字组。

与内容过滤配置相关的其他三个模块如下:

A:文件过滤全局配置作用已经在之前的文件过滤配置逻辑中讲解,在此不再赘述。

B:配置关键字组的作用是定义需要过滤的关键字信息。内容过滤配置规则引用哪个关键字组,就会识别并过滤关键字组中的关键字。关键字组中存在系统预置的预定义关键字和管理员可以自定义的自定义关键字。

C:当传输的文件命中了内容过滤配置文件中的内容过滤规则时,会产生内容日志。

 

内容过滤Web界面展示

下面给出了内容过滤的关键字组的Web配置界面(USG6000 V100R001C30SPC100版本为例),并对界面上的配置项进行简要解释。

【强叔侃墙第二季】12 文件泄密难防范,双剑合璧显神威---文件过滤与内容过滤特性配置-1349139-14 

关键字组的配置界面分为3个区域。

1基本配置区域:在该区域中设置关键字组的名称和描述。

2、自定义关键字列表:管理员自己定义的需要过滤的关键字信息。单击“新建”可以新建自定义关键字,有文本和正则表达式两种方式。

3、预定义关键字列表:系统预置的关键字信息,必须输入“权重”值后才能生效。

下面给出了内容过滤配置文件的Web配置界面,并对界面上的配置项进行简要解释。

【强叔侃墙第二季】12 文件泄密难防范,双剑合璧显神威---文件过滤与内容过滤特性配置-1349139-15 

内容过滤配置文件的配置界面分为2个区域。

1、  基本配置区域:在该区域中设置内容过滤配置文件的名称和描述。

2、  内容过滤规则配置区域:在该区域中可以创建多条内容过滤规则,内容过滤规则的匹配顺序是从上到下的。

下面给出了内容过滤配置规则的Web配置界面,并对界面上的配置项进行简要解释。

【强叔侃墙第二季】12 文件泄密难防范,双剑合璧显神威---文件过滤与内容过滤特性配置-1349139-16 

1、  通过选择关键字组决定需要对哪些内容即关键字进行过滤。这里需要选择的是之前配置的关键字组。

2、  内容过滤支持的应用类型与文件过滤相同。

3、  内容过滤支持的文件类型比文件过滤略少,具体如下:

分类

文件类型

Office2003文件

DOCPPTXLS

Office2007文件

DOCXPPTXXLSX

网页文件

HTML

代码文件

CCPPCXXHHPPJAVA

文本文件

TXTTEXT/HTML

 

这里需要注意的是文件类型“TEXT/HTML”表示的是过滤应用协议本身的内容。例如,如果应用类型选择“FTP”,表示的是过滤FTP协议传输的文件名称;如果应用类型选择“HTTP”,表示的是网页显示的内容或用户在网页上发布的内容(发帖、微博等);如果应用类型选择“SMTP”和“POP3”,表示的是过滤邮件的标题、正文和附件名称等内容。

4、  内容过滤的动作有三种,需要特别注意的是“按权重操作”。关键字组中每个关键字都存在一个权重值,当设备检测的文件中出现关键字时,设备会将这些关键字的权重值按出现次数累加。

l  如果权重值的和小于“告警阈值”,则设备会允许此文件的传输。

l  如果权重值的和大于等于“告警阈值”且小于“阻断阈值”,则设备会执行动作“告警”。

l  如果权重值的和大于等于“阻断阈值”,则设备会执行动作“阻断”。

 

内容过滤配置实例

下面我们进入实战部分,来看几个具体的内容过滤配置实例。实例仅是演示内容过滤的配置方法和效果。

举例1:阻止内网用户上传包含机密信息的Word文件

如下图所示,企业希望阻止内网用户上传包含“设计文档”内容的Word文件到外网,以降低机密信息泄漏的风险。

【强叔侃墙第二季】12 文件泄密难防范,双剑合璧显神威---文件过滤与内容过滤特性配置-1349139-17 

首先创建一个“关键字组1”,在其中创建自定义关键字“设计文档”,如下图所示。

【强叔侃墙第二季】12 文件泄密难防范,双剑合璧显神威---文件过滤与内容过滤特性配置-1349139-18

然后,配置如下内容过滤配置文件,“关键字组”选择之前配置的“关键字组1”,“文件类型”选择“DOCDOCX”,“方向”选择“上传”,“动作”选择“阻断”。

【强叔侃墙第二季】12 文件泄密难防范,双剑合璧显神威---文件过滤与内容过滤特性配置-1349139-19 

内容过滤配置文件创建或修改后,必须在Web界面上执行提交操作才能生效。提交过程所需时间较长,请耐心等待,建议完成所有内容过滤配置文件的配置后再统一进行提交。

最后,在安全策略中引用该配置文件。

完成上述配置后,内网用户上传到外网的包含“设计文档”内容的Word文件就会被NGFW阻断。例如,当用户使用FTP上传包含“设计文档”内容的Word文件test.docx到外网时会显示如下信息:

【强叔侃墙第二季】12 文件泄密难防范,双剑合璧显神威---文件过滤与内容过滤特性配置-1349139-20 

而这时NGFW上也会显示文件被阻断的日志信息:

【强叔侃墙第二季】12 文件泄密难防范,双剑合璧显神威---文件过滤与内容过滤特性配置-1349139-21 

这时如果上传一个名为“设计文档”,但内容不包含“设计文档”的Word文件会怎么样呢?

答案是文件不会被阻断,如下图所示。

【强叔侃墙第二季】12 文件泄密难防范,双剑合璧显神威---文件过滤与内容过滤特性配置-1349139-22 

那么我们该如何阻断一个名为“设计文档”的Word文件呢?我们需要选择文件类型为“TEXT/HTML”,对应用协议本身的内容进行过滤,这样我们就能对各种应用协议传送的文件名称进行过滤了。

【强叔侃墙第二季】12 文件泄密难防范,双剑合璧显神威---文件过滤与内容过滤特性配置-1349139-23 

这时如果我们再上传名为“设计文档”的文件时,文件就会被阻断,并显示如下信息:

【强叔侃墙第二季】12 文件泄密难防范,双剑合璧显神威---文件过滤与内容过滤特性配置-1349139-24 

而这时NGFW上也会显示文件被阻断的日志信息:

【强叔侃墙第二季】12 文件泄密难防范,双剑合璧显神威---文件过滤与内容过滤特性配置-1349139-25 

上述配置的命令行脚本如下:

#

keyword-group name 关键字组1                                                   

 user-defined-keyword name 常见代码字段1                                       

  expression match-mode text 设计文档                                          

  weight 1                                   

#

profile type data-filter name 阻断设计文档外发                                 

 rule name 阻断设计文档外发规则1                                               

  keyword-group name 关键字组1                                                 

  file-type name DOC DOCX TEXT/HTML                                            

  application all                                                              

  direction upload                                                             

  action block    

#

security-policy                                                               

 rule name trust_to_untrust                                                     

  source-zone trust                                                           

  destination-zone untrust                                                     

  profile data-filter 阻断设计文档外发                                           

  action permit        

 

举例2:阻止内网用户在论坛发帖时泄漏机密信息

如下图所示,企业希望阻止内网用户在外部论坛上发布包含“产品报价”内容的帖子,以降低机密信息泄漏的风险。

【强叔侃墙第二季】12 文件泄密难防范,双剑合璧显神威---文件过滤与内容过滤特性配置-1349139-26 

这里我们先在192.168.3.2这台服务器上搭建一个论坛服务器,然后在192.168.0.2这台设备上发帖。如下图所示,一般情况下,我们可以发布包含“产品报价”内容的帖子。

【强叔侃墙第二季】12 文件泄密难防范,双剑合璧显神威---文件过滤与内容过滤特性配置-1349139-27 

为了阻断发布包含“产品报价”内容的帖子,我们需要首先创建“关键字组2”,并在其中创建自定义关键字“产品报价”。

然后我们需要配置如下内容过滤配置文件,“关键字组”选择“关键字组2”,“应用”选择“HTTP”,“文件类型”选择“TEXT/HTML”,方向选择“上传”,“动作”选择“阻断”。

【强叔侃墙第二季】12 文件泄密难防范,双剑合璧显神威---文件过滤与内容过滤特性配置-1349139-28 

内容过滤配置文件创建或修改后,必须在Web界面上执行提交操作才能生效。提交过程所需时间较长,请耐心等待,建议完成所有内容过滤配置文件的配置后再统一进行提交。

最后,在安全策略中引用该配置文件。

完成上述配置后,内网用户向服务器发布包含“产品报价”内容的帖子就会被阻断,如下所示:

【强叔侃墙第二季】12 文件泄密难防范,双剑合璧显神威---文件过滤与内容过滤特性配置-1349139-29 

而这时NGFW上也会显示文件被阻断的日志信息:

【强叔侃墙第二季】12 文件泄密难防范,双剑合璧显神威---文件过滤与内容过滤特性配置-1349139-30 

上述配置的命令行脚本如下:

#

keyword-group name 关键字组2                                                  

 user-defined-keyword name 产品报价                                       

  expression match-mode text产品报价                                          

  weight 1                                   

#

profile type data-filter name 阻断泄漏产品报价                                 

 rule name 阻断论坛发帖泄漏产品报价                                        

  keyword-group name 关键字组2                                             

  file-type name TEXT/HTML                                                 

  application type HTTP                                                      

  direction upload                                                           

  action block    

#

security-policy                                                               

 rule name trust_to_untrust                                                     

  source-zone trust                                                           

  destination-zone untrust                                                      

  profile data-filter 阻断泄漏产品报价                                           

  action permit        

 

通过以上两个内容过滤的实例,我们可以看出“TEXT/HTML”这个文件类型是我们在配置内容过滤经常用到的。最后,强叔又总结了下“TEXT/HTML”的热门用法,如下表所示。

过滤需求

应用

文件类型

方向

发布微博内容

HTTP

TEXT/HTML

上传

发帖内容

HTTP

TEXT/HTML

上传

网页注册提交内容

HTTP

TEXT/HTML

上传

搜索输入内容

HTTP

TEXT/HTML

上传

浏览网页内容

HTTP

TEXT/HTML

下载

网页上传文件的名称

HTTP

TEXT/HTML

上传

网页下载文件的名称

HTTP

TEXT/HTML

下载

发送邮件的标题、正文和附件名称

SMTPHTTP(网页邮件)

TEXT/HTML

上传

接收邮件的标题、正文和附件名称

POP3IMAPHTTP

(网页邮件)

TEXT/HTML

下载

 

以上就是文件过滤与内容过滤特性配置的全部内容了,感谢大家观看~

本帖被以下专题推荐:

  • x
  • 常规:

点评 回复

跳转到指定楼层
fcm
fcm  精英 发表于 2015-11-26 16:36:42 已赞(0) 赞(0)

又出新作了,学习一下


  • x
  • 常规:

点评 回复

xutong-2014
xutong-2014  新锐 发表于 2015-11-26 16:56:52 已赞(0) 赞(0)

学习标注!

  • x
  • 常规:

点评 回复

kmyd
kmyd  大师 发表于 2015-11-26 17:01:46 已赞(0) 赞(0)

学习了,感谢强叔!!

  • x
  • 常规:

点评 回复

Yep
Yep   发表于 2019-8-9 12:28:40 已赞(0) 赞(0)

感谢强叔分享【强叔侃墙第二季】12 文件泄密难防范,双剑合璧显神威---文件过滤与内容过滤特性配置-3029261-1
  • x
  • 常规:

点评 回复

福建龙田网络科技
GhostBoy
GhostBoy   发表于 2019-8-16 09:26:54 已赞(0) 赞(0)

学习【强叔侃墙第二季】12 文件泄密难防范,双剑合璧显神威---文件过滤与内容过滤特性配置-3035737-1【强叔侃墙第二季】12 文件泄密难防范,双剑合璧显神威---文件过滤与内容过滤特性配置-3035737-2【强叔侃墙第二季】12 文件泄密难防范,双剑合璧显神威---文件过滤与内容过滤特性配置-3035737-3【强叔侃墙第二季】12 文件泄密难防范,双剑合璧显神威---文件过滤与内容过滤特性配置-3035737-4
  • x
  • 常规:

点评 回复

发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录