问
防火墙F100-C-G3配置文件过滤不生效
1天前提问
- 0关注
- 0收藏,52浏览
zhiliao_Gixe
五段
配置前提条件
1. 该设备为Comware V7平台,文件过滤依赖DPI深度包解析,要求内容特征库已正常激活、在服务有效期内。
2. 原生仅支持识别HTTP/FTP/SMB/SMTP/POP3等明文协议流量,HTTPS加密流量必须先配置SSL中间人解密才能识别文件。
3. 文件过滤策略必须绑定在对应安全域间的permit动作安全策略下才能生效。
不生效排查步骤
1. 查看全局开关:执行display file-filter status,若状态为Disabled,执行undo file-filter disable开启全局文件过滤功能。
2. 校验特征库:执行display dpi signature information,确认文件过滤特征库已激活、未过期,过期需升级授权更新特征库。
3. 修正规则配置:新建文件过滤规则时,方向必须选择「上传」,全选所有文件类型,动作配置为阻断,不要仅匹配特定后缀。
4. 检查域间绑定:在内网源域→外网目的域的通行安全策略中,调用已创建的文件过滤Profile,确保该策略优先级高于同域间的deny策略。
5. 加密场景补配:如果要拦截HTTPS类网盘、网页上传,必须额外配置SSL解密策略,解密后流量才能被文件过滤识别。
6. 验证:上传测试时执行display file-filter statistics,确认规则命中计数增长,未命中则排查是否遗漏了其他安全域间的绑定。
1. 该设备为Comware V7平台,文件过滤依赖DPI深度包解析,要求内容特征库已正常激活、在服务有效期内。
2. 原生仅支持识别HTTP/FTP/SMB/SMTP/POP3等明文协议流量,HTTPS加密流量必须先配置SSL中间人解密才能识别文件。
3. 文件过滤策略必须绑定在对应安全域间的permit动作安全策略下才能生效。
不生效排查步骤
1. 查看全局开关:执行display file-filter status,若状态为Disabled,执行undo file-filter disable开启全局文件过滤功能。
2. 校验特征库:执行display dpi signature information,确认文件过滤特征库已激活、未过期,过期需升级授权更新特征库。
3. 修正规则配置:新建文件过滤规则时,方向必须选择「上传」,全选所有文件类型,动作配置为阻断,不要仅匹配特定后缀。
4. 检查域间绑定:在内网源域→外网目的域的通行安全策略中,调用已创建的文件过滤Profile,确保该策略优先级高于同域间的deny策略。
5. 加密场景补配:如果要拦截HTTPS类网盘、网页上传,必须额外配置SSL解密策略,解密后流量才能被文件过滤识别。
6. 验证:上传测试时执行display file-filter statistics,确认规则命中计数增长,未命中则排查是否遗漏了其他安全域间的绑定。
一、文件过滤必须满足的前提条件(不满足一定不生效)
- 授权必须有:F100‑C‑G3 文件过滤属于 内容安全 / 深度检测授权,没授权功能不启用。
- 版本支持:确保固件是 V7 版本(R8520/R8601 等),老版本不支持或有 bug。
- 流量必须走防火墙:不能旁挂,必须 内网→外网 / 服务器 流量经过防火墙转发。
- 安全策略必须正确引用:文件过滤要绑定在 域间安全策略(允许动作) 里,不是单独放着。
- 应用层协议必须识别:
- 支持:HTTP、FTP、SMTP、IMAP、NFS、POP3、RTMP、SMB。
- HTTPS 必须做 SSL 卸载,否则加密流量无法解析,文件过滤无效。
- 非标准端口要手动映射:plaintext
port-mapping application http port 8080 port-mapping application ftp port 2121 - 配置后必须激活 DPI:改完不激活,规则不生效。plaintext
inspect active
二、你要的:禁止所有文件上传(所有协议、所有后缀)
目标
内网任何用户,不能通过 HTTP/FTP/SMB/ 邮件 上传任何文件。
1)Web 配置(推荐)
① 创建文件过滤策略
- 进入:策略 → 内容安全 → 文件过滤。
- 新建策略:
- 名称:deny-all-upload
- 缺省动作:允许(后面靠规则拒绝)
② 加一条 “拒绝所有上传” 规则
- 规则名称:block-all-upload
- 文件类型组:*新建 → 包含所有常见后缀( 或全选)**
- 方向:上传(Client→Server)
- 应用:全选(HTTP、FTP、SMTP、SMB…)
- 动作:丢弃 + 记录日志
③ 在安全策略里引用(关键)
- 进入:策略 → 安全策略 → IPv4 策略。
- 找到 内网(Trust)→ 外网(Untrust) 允许策略。
- 编辑 → 内容安全 → 文件过滤 → 选择 deny-all-upload。
- 提交策略。
④ 激活生效
在页面右上角点 激活 DPI,或命令行:
plaintext
inspect active
2)命令行完整配置(可直接复制)
plaintext
# 1. 所有后缀组(模拟“所有文件”)
file-filter filetype-group ALL_EXT
extension *
# 2. 文件过滤策略:拒绝所有上传
file-filter policy DENY_UPLOAD
rule 1
filetype-group ALL_EXT
direction upload
application http ftp smtp smb imap pop3
action drop logging
# 3. 在Trust→Untrust策略里绑定(假设策略名permit-trust-untrust)
security-policy ip
rule name permit-trust-untrust
action permit
file-filter apply policy DENY_UPLOAD
# 4. 激活DPI
inspect active
三、为什么你现在不生效?(90% 是这几条)
- 没授权:Web 界面能配置,但实际不检测。
- HTTPS 没卸载:全是加密流量,文件过滤抓不到文件。
- 安全策略没引用:文件过滤要挂在 允许流量的那条安全策略上。
- 方向搞反:选成 “下载” 了,上传当然不拦。
- 没激活 DPI:改完规则不执行 inspect active。
- 端口不识别:用了 8080/4433 等非标准端口,没做 port‑mapping。
四、测试方法(确认是否生效)
- HTTP 上传:内网访问一个上传测试网站,选任意文件上传,应直接失败。
- FTP 上传:内网 ftp 服务器,put 一个文件,提示 “被防火墙丢弃”。
- 查看日志:监控 → 日志 → 内容安全 → 文件过滤,能看到大量 block-all-upload 命中日志。
配置文件过滤不生效,通常和授权、特征库、配置逻辑等几个前置条件有关。比如,需要通过 display dpi signature information 等信息确认特征库有效且已激活确保全局文件过滤功能已开启(CLI下使用 undo file-filter disable),并检查策略是否已正确绑定并激活。
要最终实现所有文件都不能通过任何方式上传的目标,需要完成以下三个层层递进的配置步骤:
1. 核心配置:创建文件过滤策略
你需要创建一个专门用于阻止上传的文件过滤策略,并确保其覆盖所有应用层协议和所有文件类型。
命令行配置(推荐):
登录设备后,按以下步骤操作:创建文件过滤策略和规则:
[H3C] file-filter policy filefilter # 创建文件过滤规则(blockall为自定义规则名) [H3C-file-filter-policy-filefilter] rule blockall # 配置规则动作为丢弃(drop) [H3C-file-filter-policy-filefilter-rule-blockall] action drop # 配置规则匹配所有支持的应用层协议 [H3C-file-filter-policy-filefilter-rule-blockall] application all # 配置规则匹配的文件类型为任意(即所有文件) [H3C-file-filter-policy-filefilter-rule-blockall] file-type any # 配置规则的文件传输方向为上传(upload) [H3C-file-filter-policy-filefilter-rule-blockall] direction upload# 创建并进入文件过滤策略视图(filefilter为自定义名称)退出规则和策略视图:
[H3C-file-filter-policy-filefilter] quit[H3C-file-filter-policy-filefilter-rule-blockall] quit
Web界面配置:
Web界面配置更为直观,你可以参考这个思路:在对象 > 应用安全 > 文件过滤 > 配置文件下新建一个配置文件,然后配置相应的文件过滤规则。
2. 关联策略:将文件过滤“绑定”到安全策略
单独的文件过滤策略不会生效,它必须像“插件”一样,被一条具体的安全策略调用。
命令行配置:
创建DPI应用Profile,关联文件过滤策略:
[H3C] dpi app-profile dpi_filefilter # 在Profile中引用第一步创建的文件过滤策略 [H3C-dpi-appprofile-dpi_filefilter] file-filter policy filefilter# 创建DPI应用Profile(dpi_filefilter为自定义名称)将DPI应用Profile绑定到安全策略:
你需要找到或创建一条控制内网用户访问外网的策略(通常是从Trust域到Untrust域),并在此策略下应用该Profile-1。示例命令如下:[H3C] security-policy ip # 进入控制内网到外网流量的安全策略规则视图(假设规则名为Trust-to-Untrust) [H3C-security-policy-ip] rule name Trust-to-Untrust # 引用第一步创建的DPI应用Profile [H3C-security-policy-ip-rule-Trust-to-Untrust] dpi app-profile dpi_filefilter# 进入安全策略视图
3. 最后一步:激活配置
完成以上所有配置后,最后一步也最关键:激活配置。
以Web界面配置为例,你需要在页面顶部找到并点击 “提交” 按钮,系统才会将你的配置正式下发到设备中。系统也支持定时自动提交,默认是40秒后。
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
需要什么特征库