防火墙F1000-AK1150 文件过滤如何限制所有后缀？

核心是：先放行明确允许的，再用一条 “匹配所有扩展名” 的规则全部拒绝。下面直接给 F1000-AK1150（V7）可落地配置。
一、原理（解决你的疑问）
你担心的：员工随便造一个后缀（.123456、.abcdef），不在预定义 / 自定义列表里，就漏了。正确做法不是 “把所有坏后缀加进去”，而是：
建一个允许组：只放 .deb、.dxd
建一个拒绝所有组：用正则匹配任意扩展名
规则顺序：先允许，后拒绝所有（顺序不能反）
设备支持正则表达式做文件后缀匹配，所以能拦截任意未知后缀。
二、Web 界面配置（推荐）
1. 新建 “允许” 文件类型组
对象 → 应用安全 → 文件过滤 → 文件类型组 → 新建
名称：Allow_deb_dxd
自定义扩展名：
deb
dxd
确定
2. 新建 “拒绝所有” 文件类型组（关键）
新建 → 名称：Deny_All_Others
选正则表达式（不是文本）
正则 pattern：.*
含义：匹配任意扩展名（包括任何自定义后缀）
确定
3. 新建文件过滤策略
策略 → 应用安全 → 文件过滤 → 新建策略
名称：FTP_Only_deb_dxd
规则 1（放行）：
类型：允许
文件类型组：Allow_deb_dxd
应用：FTP
方向：双向（或上传 / 下载，按需）
日志：开启
规则 2（拒绝所有其他）：
类型：拒绝
文件类型组：Deny_All_Others
应用：FTP
方向：双向
日志：开启
保存（规则顺序：允许在前，拒绝在后）
4. 绑定到安全策略
安全策略 → 找到 A→B 的 FTP 策略 → 内容安全 → 勾选 “文件过滤” → 选上面的 FTP_Only_deb_dxd → 提交并激活
三、CLI 配置（直接复制）
bash
运行
# 1. 自定义允许组
file-filter filetype-group Allow_deb_dxd
pattern 1 text deb
pattern 2 text dxd
quit

# 2. 正则拒绝所有
file-filter filetype-group Deny_All_Others
pattern 1 regex .*
quit

# 3. 文件过滤策略
file-filter policy FTP_Only_deb_dxd
rule 1 permit
filetype-group Allow_deb_dxd
application type ftp
direction both
logging enable
rule 2 deny
filetype-group Deny_All_Others
application type ftp
direction both
logging enable
quit

# 4. 应用到DPI profile并激活
app-profile FTP_Profile
file-filter apply policy FTP_Only_deb_dxd
quit

inspect activate
四、效果验证（你关心的场景）
传 xxx.deb → 放行
传 yyy.dxd → 放行
传 zzz.exe / aaa.123456 / bbb.abcdef → 全部拒绝
无后缀文件 → 也会被 .* 正则匹配拒绝（如需允许无后缀，可加一条规则）
五、常见坑
规则顺序反了：如果先拒绝所有，再允许 deb/dxd，会全部拦截。
正则写错：必须用 .*，不要用 * 或其他通配符。
没激活 DPI：配置后必须 inspect activate 或 Web 点 “激活”。

 配置验证

配置完成后，建议多测试一下，确保拦截效果符合预期。

• 查看规则列表: 用 display file-filter rule all、-1查看文件过滤规则的启用状态。

• 监控在线会话: 用 display file-filter session table、[root@H3C entity]查看当前匹配文件过滤规则的会话。

配置是保障，日常维护也同样重要。

• 定期审查日志: 别忘了给规则20开启日志，定期看看拦截日志，分析有没有意外的文件类型被阻断了。

• 遇到特殊情况？: 如果将来有突发需求需要临时放行某些文件类型，但又不想大改配置，可以尝试在系统视图下使用 file-filter exception 命令（如果设备支持）临时添加例外列表。不过此命令是临时性的，设备重启后就会失效，只适合做紧急处理。

• 规避真实类型检查: 如果防火墙检测到文件的“真实类型”与“扩展名”不符，而你的规则动作是丢弃，它会直接丢弃报文，不再进行文件过滤规则的匹配。需要注意这可能导致规则快速放行，因此建议在配置规则动作时务必明确规避风险。