初识华为防火墙应用层过滤技术

博文目录
一、应用层过滤有哪些?
1、文件类型过滤
2、内容过滤
3、URL过滤

一、应用层过滤有哪些?

  • 文件类型过滤:主要针对不同类型(扩展名不同)的文件过滤,USG防火墙可以识别数据包携带的应用层文件类型。其检查过程并非只查询文件的扩展名,而是基于文件内容进行识别,如果发送方将a.exe文件改为a.docx,防火墙根据内容将识别为EXE文件。
  • 内容过滤:基于HTTP中发送博客内容、论坛发送帖子内容、SMTP中的发送邮件主题及正文内容、FTP中上传和下载文件的名称,文件共享服务中的文件名称等过滤,可以基于特定的文本过滤,也可以通过正则表达式过滤。
  • URL过滤:主要针对用户访问的互联网页面URL进行过滤,允许或拒绝用户访问某些类型的URL网站资源,以控制用户对互联网资源的使用。

1、文件类型过滤

文件类型过滤是根据文件的类型对通过防火墙的文件数据进行过滤的安全机制。文件类型过滤功能可以基于以下内容识别:

  • 应用:承载文件传输的应用协议,如HTTP、FTP、SMTP、POP3、NFS、SMB、IMAP。
  • 方向:文件传输的方向,如上传或下载。
  • 类型:文件的实际类别,如一个可执行文件(EXE扩展名)被gong~击者e~意将扩展名修改为PDF,防火墙通过对内容分析依然判定为可执行文件。
  • 扩展名:文件的扩展名类型,如DOC、PPT等。

防火墙的文件类型过滤允许指定若干条规则进行匹配,一旦匹配到某条规则,则按照该规则的配置动作处理流量。动作的类型如下:

  • 允许:默认动作,允许文件传输。
  • 警告:允许文件传输,同时记录日志。
  • 阻断:阻断文件传输,同时记录日志。

防火墙除了用户自定义规则外,还可以基于文件过滤全局配置处理异常流量,如可以检查压缩文件的层数和文件大小,防火墙会根据预设值(一般采用默认值即可)采取相应的处理动作。

2、内容过滤

内容过滤是一种对通过防火墙的文件内容进行过滤的安全机制。内容过滤一般配合文件类型过滤实现最佳的防护效果。当今企业在注重安全的同时,也比较看重网络效率。通过文件类型过滤可以在一定程度上减少员工泄密及发生安全事故的概率,但无法有针对性地对文件内容执行检查,从而发现是否是违规数据。如企业为了禁止员工泄密,阻断所有的办公文档类型,这种方式在达到目的的同时,也严重影响了员工的工作效率,一些正常的邮件业务来往也将受到影响。而内容过滤可以通过检查文件内容,从而判断该流量是否违规。

内容过滤可以解决以下问题:

  • 阻断机密信息传输,降低员工泄密的风险。
  • 降低员工因浏览敏感信息而给公司带来法律风险的概率。
  • 提高工作效率,阻止员工浏览与工作无关的内容。

防火墙内容过滤可以识别的内容如下表:

防火墙的内容过滤功能通过“关键字”识别流量中的敏感信息,根据配置的动作来处理流量。关键字可以基于公司的实际情况进行定义(如公司机密、暴力或其他违规信息),也可以使用预定义关键字(如银行卡号、信用卡号、社会安全号等)。关键字也支持模糊匹配(正则表达式)。

防火墙的内容过滤允许指定若干条规则进行匹配,一旦匹配到某条规则,则按照该规则的配置动作处理流量。

动作的类型如下:

  • 警告:识别出关键字后,允许传输文件内容,同时记录日志。
  • 阻断:识别出关键字后,拒绝传输文件内容,同时记录日志。
  • 按权重操作:每个关键字都配置一个权重值,每当匹配到关键字后,将根据关键字的匹配次数进行权重值的累加,如果累加后的权重值结果大于等于“警告阈值”并且小于“阻断阈值”,将进行“警告”动作;如果累加后的权重值结果大于等于“阻断阈值”,将执行“阻断”动作。

3、URL过滤

当用户请求的URL资源匹配防火墙中的URL规则时,防火墙将根据URL规则的动作允许/拒绝该请求,同时发送回送页面。

防火墙的URL过滤功能基于以下方式实现:

  • 黑名单:防火墙将收到的URL请求与配置的黑名单进行匹配,如果匹配成功,则拒绝该请求,并向发送者发送错误页面。
  • 白名单:防火墙将收到的URL请求与配置的白名单进行匹配,如果匹配成功,则允许用户发送该请求。
  • URL分类查询:防火墙根据用户访问的URL分类来决定是否允许用户发送URL请求。URL分类包含自定义分类和预定义分类,其中自定义分类由用户自行定义,预定义分类是系统默认已经义好的分类(可以从华为的安全中心升级)。一个URL分类可以包含若干条URL,一条URL可以属于多个分类。预定义分类分为两种查询方式。
  • 第一种是本地缓存查询方式,通常情况下设备开机启动时,会将预定义分类信息加载到缓存里。当防火墙收到一个URL请求时,首先会在缓存中查询该URL对应的分类。如果查询到对应的URL分类,则按照该URL分类配置的响应动作进行处理。当处理动作为拒绝时,向发送者发送Web推送页面。
  • 第二种查询方式是远程分类服务器查询,一般部署在互联网,提供更庞大的URL分类信息。查询到匹配的分类,则按照该URL分类配置的响应动作进行处理,同时将该URL分类信息保存到本地缓存中,以便下次快速查询。当处理动作为拒绝时,向发送者发送Web推送页面。如果查询不到,则按照分类为“其他”的响应动作进行处理。

URL过滤的控制动作包括允许、警告和阻断,适用于不同的场合。

  • 允许:指允许用户访问请求的URL
  • 警告:指允许用户访问请求的URL,同时记录日志。
  • 阻断:指阻断用户访问请求的URL,同时记录日志。

防火墙中存在一个URL过滤的默认配置文件,名称为default。该文件默认配置恶意网站的响应动作为阻断,其他URL分类的默认动作为允许。默认配置文件不能配修改和删除。
在配置URL过滤时,要确保华为防火墙可以通过互联网访问华为的安全服务中心,建议配置防火墙的域名解析。

4、提交配置文件


如上图所示,所有的应用层过滤需要通过编写配置文件(profile文件)并在安全策略(动作必须为允许)中通过profile关键字调用,从而实现应用层过滤功能。华为的下一代防火墙针对profile配置文件的修改,需要commit(提交)之后生效,否则不生效,commit操作的配置命令如下:

[USG6300]engine configuration commit  <!-- 提交配置文件-->

commit操作也可以在Web管理界面中操作,Web管理的配置请参与博文华为防火墙的管理方式,Web管理界面操作如下图:

原文地址:https://blog.51cto.com/14156658/2434905

时间: 2024-10-10 21:02:31

初识华为防火墙应用层过滤技术的相关文章

华为防火墙过滤策略

华为的防火墙过滤策略分为域内过滤以及域间过滤(拓扑都是一个) 所谓域内过滤,即同一个域内的过滤策略,比如trust区域内部的过滤策略即为域内过滤 我们先来说一说域内过滤(trust区域同区域内是可以互相ping通的) 那么我们的目的就是让PC1和PC2互相ping不通 实验步骤: 1.创建针对trust区域的策略 2.创建策略1(然后在其中书写我们所需要的策略) 3.书写源地址以及反掩码(注意,这里写的是反掩码) 4.书写所针对的目标地址及其反掩码 5.通过一个动作控制它 现在我们来测试一下:

华为防火墙——双机热备技术

本章目的: * 理解VRRP的工作原理 * 掌握VGMP的使用场景 * 理解双机热备的工作原理 * 掌握双机热备状态的查看方法 1.双机热备概述 单一链路存在的问题: 如上图所示,企业中在关键的业务出口部署一台防火墙,使用的对外流量都经过防火墙传输,一旦防火墙出现故障,那么企业将面临网络中断的问题,无论防火墙本身的性能多好,功能有多强,在这一刻,都无法挽回企业面临的损失.使用,通过在企业的出口部署两台防火墙产品,及时一台防火墙出现了故障,另一台也会迅速的顶上来继续工作,可以在增强企业安全的同时,

华为防火墙产品介绍及工作原理

博文大纲 华为防火墙产品介绍 防火墙的工作原理1.防火墙的工作模式2.华为防火墙的安全区域划分3.防火墙的Inbound和Outbound是什么?4.状态化信息的含义5.安全策略的相关概念 华为防火墙产品介绍 USG2000.USG5000.USG6000和USG9500构成了华为防火墙的四大部分,分别适用于不同的环境需求,其中,USG2000和USG5000系列定位于UTM(统一威胁管理)产品,USG6000系列属于下一代防火墙产品,USG9500系列属于高端防火墙产品.. 各个系列的产品介绍

华为防火墙实现双机热备配置详解

一提到防火墙,一般都会想到企业的边界设备,是内网用户与互联网的必经之路.防火墙承载了非常多的功能,比如:安全规则.IPS.文件类型过滤.内容过滤.应用层过滤等.也正是因为防火墙如此的重要,如果防火墙一旦出现问题,所有对外通信的服务都将中断,所以企业中首先要考虑的就是防火墙的优化及高可用性. 博文大纲:一.双机热备工作原理二.VRRP协议(1)VRRP协议概述(2)VRRP的角色(3)VRRP的状态机(4)VRRP的工作原理三.VGMP协议(1)VGMP的工作原理(2)VGMP的报文封装(3)双机

工业防火墙架构与技术【第二节:硬件架构②】

2).满足对数据包的处理性能的高速度要求 任何防火墙的基本技术功能都是过滤报文.防火墙检查其接收的每个数据包,以确定数据包是否对应于流量模式的所需模板.防火墙然后过滤(丢弃)或转发与这些模板匹配的数据包.这些模板以规则的形式进行建模.在工控防火墙中,有针对已知协议提前建模好的规则模板,也有后期自动学习进行建模的规则模板.由于工控防火墙处理数据包是一个一个处理,包括数据包的校验,数据包每一层包头的处理,所以数据包越小,到达时间就越短,服务器处理数据包要求就越高.比如64B的小包,如果处理数据包要达

华为防火墙USG5500

华为防火墙USG5500重点:什么是防火墙:防火墙基础:防火墙功能配置一.什么是防火墙:1.什么是防火墙:防火墙主要用于保护一个网络免受来自另一个网络的***和***行为,因其隔离.防守属性,防火墙灵活应用于网络边界.子网隔离等位置,如企业网络出口.大型网络内部子网隔离.数据中心(IDC)边界.2.对比交换机路由器及防火墙:1)交换机:组建局域网.通过二层或三层交换快速转发报文:2)路由器:连接不同网络.通过路由协议实现互联互通.确保报文转发到目的地:3)防火墙:部署在边界,对进出网络的访问行为

华为防火墙简介及其工作原理

防火墙作为一种安全设备被广泛使用于各种网络环境中,他在网络间起到了间隔作用.华为作为著名的网络设备厂商,2001年便发布了首款防火墙插卡,而后根据网络发展及技术需求,推出了一代又一代防护墙及安全系列产品.这篇博文主要介绍华为防火墙产品及其工作原理. 博文大纲:一.华为防火墙产品简介1.USG21102.USG66003.USG95004.NGFW 二.防火墙的工作原理1.防火墙的工作模式(1)路由模式(2)透明模式(3)混合模式2.华为防火墙的安全区域划分3.防火墙Inbound和Outboun

华为防火墙NAT策略及配置详解

人类现在对计算机网络的使用已经扩展到各个领域,而计算机网络的设计者当时无法想象互联网能有今天这样的规模.任何一个接入互联网的计算机.手机以及智能电视,要想在互联网中畅游,必须有一个合法的IP地址.而IP地址,曾经以为足以容纳全球的计算机,但是在今天看来,已经严重枯竭.IPV6的出现就是为了解决地址不足的问题,但在IPV6普及之前,需要有一个过渡技术--NAT.NAT的出现缓解了地址不足的问题,它可以让同一局域网内60000多用户可以同时使用一个合法IP地址访问互联网.关于Cisco设备的NAT技

[Java Web] 1\Web开发初识——一大堆历史和技术名词

LZ前言 LZ最近发现网络真是个神奇的东西,以前做的好玩的只能自娱自乐(或者说顾影自怜),现在只要发一个帖子,写一个博客,很快能引来一大群小伙伴的围观(有时候还能遇见几个大牛给个战略性的指导)...LZ本来是搞硬件的:从CPU的制造(VHDL).数电.模电再到计算机组成原理.汇编.接口技术,底层的东西算是走马观花地懂了点皮毛,正好大一的时候又了解一点计算机的编程知识(当时第一次用C++Build写出来个Hollo World那个欣喜呀~后来又从win32学到MFC再到C#,嘿嘿,基本上还是皮毛吧