文件过滤简介
定义:
文件过滤是一种根据文件类型对文件进行过滤的安全机制。
文件过滤功能可以降低机密信息泄露和病毒文件进入公司内部网络的风险,还可以阻止占用带宽和影响员工工作效率的文件传输。
目的:
机密信息和病毒往往存在于特定的文件类型中,例如机密信息一般保存在文档文件中,病毒信息一般附着在可执行文件中。因此文件过滤通过阻断特定类型文件的传输,可以降低机密信息泄露和内网感染病毒的风险。
如果想进一步降低机密信息泄露的风险,可以将文件过滤与内容过滤功能结合使用。
如果想进一步降低内网感染病毒的风险,可以将文件过滤与反病毒功能结合使用。
文件过滤原理
FW能够识别通过自身传输的文件的类型,并且可以对特定类型的文件进行阻断或告警。
文件过滤特性:
FW能够识别出承载文件的应用、文件传输方向、文件类型和文件扩展名。
- 承载文件的应用:文件是承载在应用协议上传输的,例如HTTP、FTP、SMTP、POP3、NFS、SMB、IMAP。
- 文件传输方向:包括上传和下载。
- 文件类型:FW能够识别文件真正的类型。例如:一个Word文档file.doc可以将文件名修改为file.exe,但是它的文件类型仍然为doc。
- 文件扩展名:文件名称(包含压缩文件)的后缀。例如:file.doc和file.exe中的doc和exe为文件扩展名。
文件过滤全局配置定义了文件类型识别结果异常时的处理动作,并可对压缩文件的解压层数、文件大小、超过解压层数和文件大小的处理动作进行设置,通常采用默认值即可。
文件识别异常配置定义了文件类型识别结果异常时的处理动作,通常采用默认值即可。文件类型识别结果有三种异常情况:
- 文件扩展名不匹配:文件类型与文件扩展名不一致。
- 文件类型无法识别:无法识别出文件类型,且没有文件扩展名。
- 文件损坏:由于文件被破坏而无法进行文件类型识别。
文件过滤处理流程:
NGFW会根据文件识别的结果和文件过滤全局配置的处理结果来决定:是否进行文件过滤规则匹配。其匹配的流程如下:
- 如果需要进行文件过滤规则匹配,则FW会将识别出的文件属性(应用、方向、文件类型、文件扩展名)与管理员定义的文件过滤配置文件的规则进行匹配。
- 如果文件的属性与规则的匹配条件全部匹配,则此文件成功匹配文件过滤配置文件的规则。如果其中有一个条件不匹配,则继续匹配下一条规则。以此类推,如果所有规则都不匹配,则FW会允许此文件传输。
- 如果文件成功匹配一条规则,FW将会执行此规则的动作。如果动作为“阻断”,则FW会阻断此文件传输。如果动作为“告警”,则FW会允许此文件传输并记录日志。
文件过滤限制:
- 对于文件中嵌套的文件不进行文件类型过滤。
- 对于断点续传的文件不进行文件类型过滤。
- 下载图片文件时不进行文件类型过滤。
- 支持对TAR、ZIP和GZIP格式的压缩文件进行文件过滤。
- 支持对DOC、PPT、XLS、OPC、ZIP、RAR、JAR和PDF格式的加密文件进行文件过滤。
- 对于某些类型的文件,例如.C文件,通过修改后缀可能会绕过文件过滤检测。
文件过滤配置思路
配置思路:
- 文件过滤全局配置
- 文件过滤配置文件
- 安全策略配置引用
- 提交编译
文件过滤拍错思路:
- License是否有效
- 文件过滤配置文件是否命中
- 配置是否提交
- 重新发起连接
参考文档:华为HedEx文档
