初識華為防火墻應(yīng)用層過濾技術(shù)

博文目錄
一、應(yīng)用層過濾有哪些？
1、文件類型過濾
2、內(nèi)容過濾
3、URL過濾

一、應(yīng)用層過濾有哪些？

• 文件類型過濾：主要針對不同類型（擴展名不同）的文件過濾，USG防火墻可以識別數(shù)據(jù)包攜帶的應(yīng)用層文件類型。其檢查過程并非只查詢文件的擴展名，而是基于文件內(nèi)容進行識別，如果發(fā)送方將a.exe文件改為a.docx，防火墻根據(jù)內(nèi)容將識別為EXE文件。

• 內(nèi)容過濾：基于HTTP中發(fā)送博客內(nèi)容、論壇發(fā)送帖子內(nèi)容、SMTP中的發(fā)送郵件主題及正文內(nèi)容、FTP中上傳和下載文件的名稱，文件共享服務(wù)中的文件名稱等過濾，可以基于特定的文本過濾，也可以通過正則表達式過濾。

• URL過濾：主要針對用戶訪問的互聯(lián)網(wǎng)頁面URL進行過濾，允許或拒絕用戶訪問某些類型的URL網(wǎng)站資源，以控制用戶對互聯(lián)網(wǎng)資源的使用。

1、文件類型過濾

文件類型過濾是根據(jù)文件的類型對通過防火墻的文件數(shù)據(jù)進行過濾的安全機制。文件類型過濾功能可以基于以下內(nèi)容識別：

• 應(yīng)用：承載文件傳輸?shù)膽?yīng)用協(xié)議，如HTTP、FTP、SMTP、POP3、NFS、SMB、IMAP。

• 方向：文件傳輸?shù)姆较?，如上傳或下載。

• 類型：文件的實際類別，如一個可執(zhí)行文件（EXE擴展名）被gong~擊者e~意將擴展名修改為PDF，防火墻通過對內(nèi)容分析依然判定為可執(zhí)行文件。

• 擴展名：文件的擴展名類型，如DOC、PPT等。

防火墻的文件類型過濾允許指定若干條規(guī)則進行匹配，一旦匹配到某條規(guī)則，則按照該規(guī)則的配置動作處理流量。動作的類型如下：

• 允許：默認動作，允許文件傳輸。

• 警告：允許文件傳輸，同時記錄日志。

• 阻斷：阻斷文件傳輸，同時記錄日志。

防火墻除了用戶自定義規(guī)則外，還可以基于文件過濾全局配置處理異常流量，如可以檢查壓縮文件的層數(shù)和文件大小，防火墻會根據(jù)預(yù)設(shè)值（一般采用默認值即可）采取相應(yīng)的處理動作。

2、內(nèi)容過濾

內(nèi)容過濾是一種對通過防火墻的文件內(nèi)容進行過濾的安全機制。內(nèi)容過濾一般配合文件類型過濾實現(xiàn)最佳的防護效果。當(dāng)今企業(yè)在注重安全的同時，也比較看重網(wǎng)絡(luò)效率。通過文件類型過濾可以在一定程度上減少員工泄密及發(fā)生安全事故的概率，但無法有針對性地對文件內(nèi)容執(zhí)行檢查，從而發(fā)現(xiàn)是否是違規(guī)數(shù)據(jù)。如企業(yè)為了禁止員工泄密，阻斷所有的辦公文檔類型，這種方式在達到目的的同時，也嚴(yán)重影響了員工的工作效率，一些正常的郵件業(yè)務(wù)來往也將受到影響。而內(nèi)容過濾可以通過檢查文件內(nèi)容，從而判斷該流量是否違規(guī)。

內(nèi)容過濾可以解決以下問題：

• 阻斷機密信息傳輸，降低員工泄密的風(fēng)險。

• 降低員工因瀏覽敏感信息而給公司帶來法律風(fēng)險的概率。

• 提高工作效率，阻止員工瀏覽與工作無關(guān)的內(nèi)容。

防火墻內(nèi)容過濾可以識別的內(nèi)容如下表：

防火墻的內(nèi)容過濾功能通過“關(guān)鍵字”識別流量中的敏感信息，根據(jù)配置的動作來處理流量。關(guān)鍵字可以基于公司的實際情況進行定義（如公司機密、暴力或其他違規(guī)信息），也可以使用預(yù)定義關(guān)鍵字（如銀行卡號、信用卡號、社會安全號等）。關(guān)鍵字也支持模糊匹配（正則表達式）。

防火墻的內(nèi)容過濾允許指定若干條規(guī)則進行匹配，一旦匹配到某條規(guī)則，則按照該規(guī)則的配置動作處理流量。

動作的類型如下：

• 警告：識別出關(guān)鍵字后，允許傳輸文件內(nèi)容，同時記錄日志。

• 阻斷：識別出關(guān)鍵字后，拒絕傳輸文件內(nèi)容，同時記錄日志。

• 按權(quán)重操作：每個關(guān)鍵字都配置一個權(quán)重值，每當(dāng)匹配到關(guān)鍵字后，將根據(jù)關(guān)鍵字的匹配次數(shù)進行權(quán)重值的累加，如果累加后的權(quán)重值結(jié)果大于等于“警告閾值”并且小于“阻斷閾值”，將進行“警告”動作；如果累加后的權(quán)重值結(jié)果大于等于“阻斷閾值”，將執(zhí)行“阻斷”動作。

3、URL過濾

當(dāng)用戶請求的URL資源匹配防火墻中的URL規(guī)則時，防火墻將根據(jù)URL規(guī)則的動作允許/拒絕該請求，同時發(fā)送回送頁面。

防火墻的URL過濾功能基于以下方式實現(xiàn)：

• 黑名單：防火墻將收到的URL請求與配置的黑名單進行匹配，如果匹配成功，則拒絕該請求，并向發(fā)送者發(fā)送錯誤頁面。

• 白名單：防火墻將收到的URL請求與配置的白名單進行匹配，如果匹配成功，則允許用戶發(fā)送該請求。

• URL分類查詢：防火墻根據(jù)用戶訪問的URL分類來決定是否允許用戶發(fā)送URL請求。URL分類包含自定義分類和預(yù)定義分類，其中自定義分類由用戶自行定義，預(yù)定義分類是系統(tǒng)默認已經(jīng)義好的分類（可以從華為的安全中心升級）。一個URL分類可以包含若干條URL，一條URL可以屬于多個分類。預(yù)定義分類分為兩種查詢方式。
• 第一種是本地緩存查詢方式，通常情況下設(shè)備開機啟動時，會將預(yù)定義分類信息加載到緩存里。當(dāng)防火墻收到一個URL請求時，首先會在緩存中查詢該URL對應(yīng)的分類。如果查詢到對應(yīng)的URL分類，則按照該URL分類配置的響應(yīng)動作進行處理。當(dāng)處理動作為拒絕時，向發(fā)送者發(fā)送Web推送頁面。
• 第二種查詢方式是遠程分類服務(wù)器查詢，一般部署在互聯(lián)網(wǎng)，提供更龐大的URL分類信息。查詢到匹配的分類，則按照該URL分類配置的響應(yīng)動作進行處理，同時將該URL分類信息保存到本地緩存中，以便下次快速查詢。當(dāng)處理動作為拒絕時，向發(fā)送者發(fā)送Web推送頁面。如果查詢不到，則按照分類為“其他”的響應(yīng)動作進行處理。

URL過濾的控制動作包括允許、警告和阻斷，適用于不同的場合。

• 允許：指允許用戶訪問請求的URL

• 警告：指允許用戶訪問請求的URL，同時記錄日志。

• 阻斷：指阻斷用戶訪問請求的URL，同時記錄日志。

防火墻中存在一個URL過濾的默認配置文件，名稱為default。該文件默認配置惡意網(wǎng)站的響應(yīng)動作為阻斷，其他URL分類的默認動作為允許。默認配置文件不能配修改和刪除。
在配置URL過濾時，要確保華為防火墻可以通過互聯(lián)網(wǎng)訪問華為的安全服務(wù)中心，建議配置防火墻的域名解析。

4、提交配置文件

如上圖所示，所有的應(yīng)用層過濾需要通過編寫配置文件（profile文件）并在安全策略（動作必須為允許）中通過profile關(guān)鍵字調(diào)用，從而實現(xiàn)應(yīng)用層過濾功能。華為的下一代防火墻針對profile配置文件的修改，需要commit（提交）之后生效，否則不生效，commit操作的配置命令如下：

[USG6300]engine configuration commit  <!-- 提交配置文件-->

commit操作也可以在Web管理界面中操作，Web管理的配置請參與博文華為防火墻的管理方式，Web管理界面操作如下圖：