华为防火墙--文件过滤

小乔

文件过滤简介定义：

文件过滤是一种根据文件类型对文件进行过滤的安全机制。web

文件过滤功能能够下降机密信息泄露和病毒文件进入公司内部网络的风险，还能够阻止占用带宽和影响员工工做效率的文件传输。安全

目的：

机密信息和病毒每每存在于特定的文件类型中，例如机密信息通常保存在文档文件中，病毒信息通常附着在可执行文件中。所以文件过滤经过阻断特定类型文件的传输，能够下降机密信息泄露和内网感染病毒的风险。网络

若是想进一步下降机密信息泄露的风险，能够将文件过滤与内容过滤功能结合使用。svg

若是想进一步下降内网感染病毒的风险，能够将文件过滤与反病毒功能结合使用。加密

文件过滤原理

FW可以识别经过自身传输的文件的类型，而且能够对特定类型的文件进行阻断或告警。日志

文件过滤特性：

FW可以识别出承载文件的应用、文件传输方向、文件类型和文件扩展名。xml

• 承载文件的应用：文件是承载在应用协议上传输的，例如HTTP、FTP、SMTP、POP三、NFS、SMB、IMAP。
• 文件传输方向：包括上传和下载。
• 文件类型：FW可以识别文件真正的类型。例如：一个Word文档file.doc能够将文件名修改成file.exe，可是它的文件类型仍然为doc。
• 文件扩展名：文件名称（包含压缩文件）的后缀。例如：file.doc和file.exe中的doc和exe为文件扩展名。
  

文件过滤全局配置定义了文件类型识别结果异常时的处理动做，并可对压缩文件的解压层数、文件大小、超过解压层数和文件大小的处理动做进行设置，一般采用默认值便可。图片

文件识别异常配置定义了文件类型识别结果异常时的处理动做，一般采用默认值便可。文件类型识别结果有三种异常状况：文档

• 文件扩展名不匹配：文件类型与文件扩展名不一致。
• 文件类型没法识别：没法识别出文件类型，且没有文件扩展名。
• 文件损坏：因为文件被破坏而没法进行文件类型识别。
  

文件过滤处理流程：

NGFW会根据文件识别的结果和文件过滤全局配置的处理结果来决定：是否进行文件过滤规则匹配。其匹配的流程以下：it

• 若是须要进行文件过滤规则匹配，则FW会将识别出的文件属性（应用、方向、文件类型、文件扩展名）与管理员定义的文件过滤配置文件的规则进行匹配。
• 若是文件的属性与规则的匹配条件所有匹配，则此文件成功匹配文件过滤配置文件的规则。若是其中有一个条件不匹配，则继续匹配下一条规则。以此类推，若是全部规则都不匹配，则FW会容许此文件传输。
• 若是文件成功匹配一条规则，FW将会执行此规则的动做。若是动做为“阻断”，则FW会阻断此文件传输。若是动做为“告警”，则FW会容许此文件传输并记录日志。
  

文件过滤限制：

• 对于文件中嵌套的文件不进行文件类型过滤。
• 对于断点续传的文件不进行文件类型过滤。
• 下载图片文件时不进行文件类型过滤。
• 支持对TAR、ZIP和GZIP格式的压缩文件进行文件过滤。
• 支持对DOC、PPT、XLS、OPC、ZIP、RAR、JAR和PDF格式的加密文件进行文件过滤。
• 对于某些类型的文件，例如.C文件，经过修改后缀可能会绕过文件过滤检测。
  

文件过滤配置思路配置思路：

• 文件过滤全局配置
• 文件过滤配置文件
• 安全策略配置引用
• 提交编译
  

文件过滤拍错思路：

• License是否有效
• 文件过滤配置文件是否命中
• 配置是否提交
• 从新发起链接
  

hhwzy_2019

dddddddddddddddd