一、應用層過濾有哪些?
文件類型過濾:主要針對不同類型(擴展名不同)的文件過濾,USG防火墻可以識別數據包攜帶的應用層文件類型。其檢查過程并非只查詢文件的擴展名,而是基于文件內容進行識別,如果發送方將a.exe文件改為a.docx,防火墻根據內容將識別為EXE文件。
內容過濾:基于HTTP中發送博客內容、論壇發送帖子內容、SMTP中的發送郵件主題及正文內容、FTP中上傳和下載文件的名稱,文件共享服務中的文件名稱等過濾,可以基于特定的文本過濾,也可以通過正則表達式過濾。
URL過濾:主要針對用戶訪問的互聯網頁面URL進行過濾,允許或拒絕用戶訪問某些類型的URL網站資源,以控制用戶對互聯網資源的使用。
1、文件類型過濾
文件類型過濾是根據文件的類型對通過防火墻的文件數據進行過濾的安全機制。文件類型過濾功能可以基于以下內容識別:
應用:承載文件傳輸的應用協議,如HTTP、FTP、SMTP、POP3、NFS、SMB、IMAP。
方向:文件傳輸的方向,如上傳或下載。
類型:文件的實際類別,如一個可執行文件(EXE擴展名)被gong~擊者e~意將擴展名修改為PDF,防火墻通過對內容分析依然判定為可執行文件。
擴展名:文件的擴展名類型,如DOC、PPT等。
防火墻的文件類型過濾允許指定若干條規則進行匹配,一旦匹配到某條規則,則按照該規則的配置動作處理流量。動作的類型如下:
允許:默認動作,允許文件傳輸。
警告:允許文件傳輸,同時記錄日志。
阻斷:阻斷文件傳輸,同時記錄日志。
防火墻除了用戶自定義規則外,還可以基于文件過濾全局配置處理異常流量,如可以檢查壓縮文件的層數和文件大小,防火墻會根據預設值(一般采用默認值即可)采取相應的處理動作。
2、內容過濾
內容過濾是一種對通過防火墻的文件內容進行過濾的安全機制。內容過濾一般配合文件類型過濾實現最佳的防護效果。當今企業在注重安全的同時,也比較看重網絡效率。通過文件類型過濾可以在一定程度上減少員工泄密及發生安全事故的概率,但無法有針對性地對文件內容執行檢查,從而發現是否是違規數據。如企業為了禁止員工泄密,阻斷所有的辦公文檔類型,這種方式在達到目的的同時,也嚴重影響了員工的工作效率,一些正常的郵件業務來往也將受到影響。而內容過濾可以通過檢查文件內容,從而判斷該流量是否違規。
內容過濾可以解決以下問題:
阻斷機密信息傳輸,降低員工泄密的風險。
降低員工因瀏覽敏感信息而給公司帶來法律風險的概率。
提高工作效率,阻止員工瀏覽與工作無關的內容。
防火墻內容過濾可以識別的內容如下表:
防火墻的內容過濾功能通過“關鍵字”識別流量中的敏感信息,根據配置的動作來處理流量。關鍵字可以基于公司的實際情況進行定義(如公司機密、暴力或其他違規信息),也可以使用預定義關鍵字(如銀行卡號、信用卡號、社會安全號等)。關鍵字也支持模糊匹配(正則表達式)。
防火墻的內容過濾允許指定若干條規則進行匹配,一旦匹配到某條規則,則按照該規則的配置動作處理流量。
動作的類型如下:
警告:識別出關鍵字后,允許傳輸文件內容,同時記錄日志。
阻斷:識別出關鍵字后,拒絕傳輸文件內容,同時記錄日志。
按權重操作:每個關鍵字都配置一個權重值,每當匹配到關鍵字后,將根據關鍵字的匹配次數進行權重值的累加,如果累加后的權重值結果大于等于“警告閾值”并且小于“阻斷閾值”,將進行“警告”動作;如果累加后的權重值結果大于等于“阻斷閾值”,將執行“阻斷”動作。
3、URL過濾
當用戶請求的URL資源匹配防火墻中的URL規則時,防火墻將根據URL規則的動作允許/拒絕該請求,同時發送回送頁面。
防火墻的URL過濾功能基于以下方式實現:
黑名單:防火墻將收到的URL請求與配置的黑名單進行匹配,如果匹配成功,則拒絕該請求,并向發送者發送錯誤頁面。
白名單:防火墻將收到的URL請求與配置的白名單進行匹配,如果匹配成功,則允許用戶發送該請求。
URL分類查詢:防火墻根據用戶訪問的URL分類來決定是否允許用戶發送URL請求。URL分類包含自定義分類和預定義分類,其中自定義分類由用戶自行定義,預定義分類是系統默認已經義好的分類(可以從華為的安全中心升級)。一個URL分類可以包含若干條URL,一條URL可以屬于多個分類。預定義分類分為兩種查詢方式。
第一種是本地緩存查詢方式,通常情況下設備開機啟動時,會將預定義分類信息加載到緩存里。當防火墻收到一個URL請求時,首先會在緩存中查詢該URL對應的分類。如果查詢到對應的URL分類,則按照該URL分類配置的響應動作進行處理。當處理動作為拒絕時,向發送者發送Web推送頁面。
第二種查詢方式是遠程分類服務器查詢,一般部署在互聯網,提供更龐大的URL分類信息。查詢到匹配的分類,則按照該URL分類配置的響應動作進行處理,同時將該URL分類信息保存到本地緩存中,以便下次快速查詢。當處理動作為拒絕時,向發送者發送Web推送頁面。如果查詢不到,則按照分類為“其他”的響應動作進行處理。
URL過濾的控制動作包括允許、警告和阻斷,適用于不同的場合。
允許:指允許用戶訪問請求的URL
警告:指允許用戶訪問請求的URL,同時記錄日志。
阻斷:指阻斷用戶訪問請求的URL,同時記錄日志。
防火墻中存在一個URL過濾的默認配置文件,名稱為default。該文件默認配置惡意網站的響應動作為阻斷,其他URL分類的默認動作為允許。默認配置文件不能配修改和刪除。
在配置URL過濾時,要確保華為防火墻可以通過互聯網訪問華為的安全服務中心,建議配置防火墻的域名解析。
4、提交配置文件
所有的應用層過濾需要通過編寫配置文件(profile文件)并在安全策略(動作必須為允許)中通過profile關鍵字調用,從而實現應用層過濾功能。華為的下一代防火墻針對profile配置文件的修改,需要commit(提交)之后生效,否則不生效,commit操作的配置命令如下:
[USG6300]engine configuration commit
