博文目录
一、应用层过滤有哪些?
1、文件类型过滤
2、内容过滤
3、URL过滤
一、应用层过滤有哪些?
文件类型过滤:主要针对不同类型(扩展名不同)的文件过滤,USG防火墙可以识别数据包携带的应用层文件类型。其检查过程并非只查询文件的扩展名,而是基于文件内容进行识别,如果发送方将a.exe文件改为a.docx,防火墙根据内容将识别为EXE文件。
内容过滤:基于HTTP中发送博客内容、论坛发送帖子内容、SMTP中的发送邮件主题及正文内容、FTP中上传和下载文件的名称,文件共享服务中的文件名称等过滤,可以基于特定的文本过滤,也可以通过正则表达式过滤。
- URL过滤:主要针对用户访问的互联网页面URL进行过滤,允许或拒绝用户访问某些类型的URL网站资源,以控制用户对互联网资源的使用。
1、文件类型过滤
文件类型过滤是根据文件的类型对通过防火墙的文件数据进行过滤的安全机制。文件类型过滤功能可以基于以下内容识别:
应用:承载文件传输的应用协议,如HTTP、FTP、SMTP、POP3、NFS、SMB、IMAP。
方向:文件传输的方向,如上传或下载。
类型:文件的实际类别,如一个可执行文件(EXE扩展名)被gong~击者e~意将扩展名修改为PDF,防火墙通过对内容分析依然判定为可执行文件。
- 扩展名:文件的扩展名类型,如DOC、PPT等。
防火墙的文件类型过滤允许指定若干条规则进行匹配,一旦匹配到某条规则,则按照该规则的配置动作处理流量。动作的类型如下:
允许:默认动作,允许文件传输。
警告:允许文件传输,同时记录日志。
- 阻断:阻断文件传输,同时记录日志。
防火墙除了用户自定义规则外,还可以基于文件过滤全局配置处理异常流量,如可以检查压缩文件的层数和文件大小,防火墙会根据预设值(一般采用默认值即可)采取相应的处理动作。
2、内容过滤
内容过滤是一种对通过防火墙的文件内容进行过滤的安全机制。内容过滤一般配合文件类型过滤实现最佳的防护效果。当今企业在注重安全的同时,也比较看重网络效率。通过文件类型过滤可以在一定程度上减少员工泄密及发生安全事故的概率,但无法有针对性地对文件内容执行检查,从而发现是否是违规数据。如企业为了禁止员工泄密,阻断所有的办公文档类型,这种方式在达到目的的同时,也严重影响了员工的工作效率,一些正常的邮件业务来往也将受到影响。而内容过滤可以通过检查文件内容,从而判断该流量是否违规。
内容过滤可以解决以下问题:
阻断机密信息传输,降低员工泄密的风险。
降低员工因浏览敏感信息而给公司带来法律风险的概率。
- 提高工作效率,阻止员工浏览与工作无关的内容。
防火墙内容过滤可以识别的内容如下表:
防火墙的内容过滤功能通过“关键字”识别流量中的敏感信息,根据配置的动作来处理流量。关键字可以基于公司的实际情况进行定义(如公司机密、暴力或其他违规信息),也可以使用预定义关键字(如银行卡号、信用卡号、社会安全号等)。关键字也支持模糊匹配(正则表达式)。
防火墙的内容过滤允许指定若干条规则进行匹配,一旦匹配到某条规则,则按照该规则的配置动作处理流量。
动作的类型如下:
警告:识别出关键字后,允许传输文件内容,同时记录日志。
阻断:识别出关键字后,拒绝传输文件内容,同时记录日志。
- 按权重操作:每个关键字都配置一个权重值,每当匹配到关键字后,将根据关键字的匹配次数进行权重值的累加,如果累加后的权重值结果大于等于“警告阈值”并且小于“阻断阈值”,将进行“警告”动作;如果累加后的权重值结果大于等于“阻断阈值”,将执行“阻断”动作。
3、URL过滤
当用户请求的URL资源匹配防火墙中的URL规则时,防火墙将根据URL规则的动作允许/拒绝该请求,同时发送回送页面。
防火墙的URL过滤功能基于以下方式实现:
黑名单:防火墙将收到的URL请求与配置的黑名单进行匹配,如果匹配成功,则拒绝该请求,并向发送者发送错误页面。
白名单:防火墙将收到的URL请求与配置的白名单进行匹配,如果匹配成功,则允许用户发送该请求。
- URL分类查询:防火墙根据用户访问的URL分类来决定是否允许用户发送URL请求。URL分类包含自定义分类和预定义分类,其中自定义分类由用户自行定义,预定义分类是系统默认已经义好的分类(可以从华为的安全中心升级)。一个URL分类可以包含若干条URL,一条URL可以属于多个分类。预定义分类分为两种查询方式。
- 第一种是本地缓存查询方式,通常情况下设备开机启动时,会将预定义分类信息加载到缓存里。当防火墙收到一个URL请求时,首先会在缓存中查询该URL对应的分类。如果查询到对应的URL分类,则按照该URL分类配置的响应动作进行处理。当处理动作为拒绝时,向发送者发送Web推送页面。
- 第二种查询方式是远程分类服务器查询,一般部署在互联网,提供更庞大的URL分类信息。查询到匹配的分类,则按照该URL分类配置的响应动作进行处理,同时将该URL分类信息保存到本地缓存中,以便下次快速查询。当处理动作为拒绝时,向发送者发送Web推送页面。如果查询不到,则按照分类为“其他”的响应动作进行处理。
URL过滤的控制动作包括允许、警告和阻断,适用于不同的场合。
允许:指允许用户访问请求的URL
警告:指允许用户访问请求的URL,同时记录日志。
- 阻断:指阻断用户访问请求的URL,同时记录日志。
防火墙中存在一个URL过滤的默认配置文件,名称为default。该文件默认配置恶意网站的响应动作为阻断,其他URL分类的默认动作为允许。默认配置文件不能配修改和删除。
在配置URL过滤时,要确保华为防火墙可以通过互联网访问华为的安全服务中心,建议配置防火墙的域名解析。
4、提交配置文件
如上图所示,所有的应用层过滤需要通过编写配置文件(profile文件)并在安全策略(动作必须为允许)中通过profile关键字调用,从而实现应用层过滤功能。华为的下一代防火墙针对profile配置文件的修改,需要commit(提交)之后生效,否则不生效,commit操作的配置命令如下:
[USG6300]engine configuration commit <!-- 提交配置文件-->commit操作也可以在Web管理界面中操作,Web管理的配置请参与博文华为防火墙的管理方式,Web管理界面操作如下图: