面对互联网上的非法行为,华为防火墙提供了非常强大的防护能力、虚拟专用网及应用层的探测识别技术。而应用层过滤技术则可以更有针对性的加固企业的安全建设。所谓的应用层过滤,就是针对OSI的七层报文做检查,其工作效率虽然比传统的包过滤防火墙第,但是其对安全型的提升确是普通防火墙所不具备的。价值随着计算机的发展,今天的硬件处理速度已经不再成为网络瓶颈,所以一款防火墙是否具备应用层探测,能够探测多少应用已经成为衡量防火墙的标准。本篇博文主要介绍华为防火墙的应用层过滤技术。
华为下一代防火墙区别于传统防火墙及ACL的主要功能就是应用层内容的深度识别及安全性的增强。
一、华为防火墙应用层过滤知识点
因为需要购买厂商授权服务才能实现应用层过滤,所以eNSP模拟器中无法实现,以下操作命令均来自华为USG6306防火墙产品。虽然配置命令较多,但是结构并不复杂,在之前安全策略的基础上增加了应用层过滤配置文件的配置。
华为防火墙涉及到的应用层过滤技术有:
- 文件类型过滤:主要针对不同类型(扩展名不同)的文件过滤。USG防火墙可以识别数据包携带的应用层文件类型。其检查过程并非只是查询文件的扩展名,而是基于文件内容进行识别;
- 内容过滤:基于HTTP中发送博文内容、论坛发送帖子内容、SMTP中的发送邮件主题及正文内容、FTP中上传和下载文件的名称、文件共享服务中的文件名称等过滤,可以基于特定的文本过滤,也可以通过正则表达式过滤;
- URL过滤:主要针对用户访问的互联网页面URL进行过滤,允许或拒绝用户访问某些类型的URL网站资源,以控制用户对互联网资源的使用;
1.文件过滤
文件类型过滤是根据文件的类型对通过防火墙的文件数据进行过滤的安全机制。随着网络技术的不断发展,如何防止用户的个人信息泄露及保证公司的机密数据安全成为企业网络安全建设的重要组成部分。传统的防火墙过滤企业及个人的隐私信息,而互联网中的恶意文件通常是附在特定的文件类型中,如EXE、MSl等。华为的文件类型过滤功能可以轻松的应对此类问题。
防火墙的文件类型过滤功能可以基于以下内容识别:
- 应用:承载文件传输的应用协议,比如:HTTP、FTP、SMTP等;
- 方向:文件传输的方向,比如上传或下载等;
- 类型:文件的实际类型,根据文件内容来决定文件的类型;
- 扩展名:文件的扩展名类型,比如:doc、exe等;
防火墙的文件类型过滤允许指定若干条规则进行匹配,一旦匹配到某条规则,则按照该规则的配置动作处理流量。
动作的类型如下:
- 允许:默认工作,允许文件传输;
- 告警:允许文件传输,同时记录日志;
- 阻断:阻断文件传输,同时记录日志;
防火墙除了用户自定义规则外,还可以基于文件过滤全局配置处理异常流量,比如:可以检查压缩文件的层数和文件的大小,防火墙会根据预设值(一般使用默认值)采取相应的处理工作。
2.内容过滤
内容过滤是一种对通过防火墙的文件内容进行过滤的安全机制。内容过滤一般配合文件类型过滤实现最佳的防护效果。当今企业在注重安全的同时,也比较看重网络效率。通过文件类型过滤可以在一定程度上减少员工泄密及发生安全事故的概率,但无法有针对性的对文件内容执行检查,从而发现是否有违规数据。如企业为了禁止员工泄密,阻断了所有的办公档类型,这种方式在达到目的的同时,也严重影响了员工的办公效率,一些正常的邮件业务往来也会受到影响。而内容过滤可以通过检查文件内容,从而判断该流量是否违规。
内容过滤可以解决以下问题:
- 阻断机密信息传输,降低员工泄密的风险;
- 降低员工因浏览敏感信息而给公司带来法律风险的概率;
- 提高工作效率,组织员工浏览与工作无关的内容;
华为防火墙可以过来的内容,如图:
防火墙的内容过滤都通过“关键字”识别流量中的敏感信息,根据配置的动作来处理流量。关键字可以基于公司的实际情况进行定义,也可以使用预定义关键字。关键字也支持模糊匹配(正则表达式)。
防火墙的内容过滤允许指定若干条规则进行匹配,一旦匹配到某条规则,则按照该规则的配置动作处理流量。
动作的类型如下:
- 告警:识别出关键字后,允许传输文件内容,同时记录日志;
- 阻断:识别出关键字后,拒绝传输文件内容,同时记录日志;
- 按权重操作:每个关键字都匹配一个权重值,每当匹配到关键字后,将根据关键字的匹配次数进行权重值的累加,如果累加后的权重值结果大于等于“告警阈值”并且小于“阻断阈值”,将执行“告警”动作;如果累加后的权重值结果大于等于“阻断阈值”,将执行“阻断”动作;
3.URL过滤
当用户请求的URL资源匹配防火墙中的URL规则是,防火墙会根据URL规则的动作允许/拒绝该请求,同时回送页面。
防火墙的URL过滤功能基于以下方式实现:
- 黑名单:防火墙将收到的URL请求与配置的黑名单进行匹配,如果匹配成功,则拒绝该请求,并向发送者发送错误页面;
- 白名单:防火墙将收到的URL请求与配置的白名单进行匹配,如果匹配成功,则允许用户发送该请求;
- URL分类查询:防火墙根据用户访问的URL分类来决定是否允许用户发送该URL请求;
URL过滤的控制动作包含:
- 允许:指允许用户访问请求的URL;
- 告警:指允许用户访问请求的URL,同时记录日志;
- 阻断:指阻断用户访问请求的URL,同时记录日志;
防火墙中存在一个URL过滤的默认配置文件,名称为default。该文件默认配置非法网站的响应动作为阻断,其他URL分类的默认动作为允许。默认配置文件不能被修改。
4.提交配置文件
所有的应用层过滤需要通过编写配置问阿金(Profile文件)并在安全策略(默认必须为允许)中通过Profile关键字调用,从而实现应用层过滤功能。华为的下一代防火墙针对Profile配置文件的修改,需要commit(提交)之后生效,否则不生效,commit操作的配置命令如下:
[USG6300]engine configuration commitcommit操作也可以在Web管理界面中操作,Web管理的配置请参考博文:华为防火墙实现远程管理的方式及配置详解
由于模拟器上无法实现功能,所以这篇博文只讲解理论部分!