1. 前置校验:先将防火墙ACG特征库升级至最新版本,保证可精准识别deepseek应用及网页上传行为,Web路径:资源>特征库升级,命令行:update signature acg latest。
2. 配置针对deepseek的专属应用行为管控策略:
acg app-control policy name deepseek_upload_block
application deepseek
behavior file-upload action block // 仅拦截deepseek的文件上传子行为,不阻断网页正常访问
3. 调整安全策略,绑定上述ACG管控策略:
security-policy ip
rule name permit_deepseek
source-zone Trust // 替换为你的终端所属安全域
destination-zone Untrust
application deepseek
acg app-control apply deepseek_upload_block
action pass
// 保留原有其他正常上网放通策略即可
4. 注意:如果deepseek走HTTPS加密流量,需要提前配置SSL解密策略对deepseek流量做中间人解密,否则ACG无法识别加密报文内的上传动作。配置完成后可在日志>ACG日志中查看上传拦截记录验证效果。
能正常打开 deepseek 网页、聊天、看内容,但完全不能上传附件 / 文件(包括拖拽上传、点击上传)。
一、核心原理(先讲清楚)
你要的是:
✅ 放行 deepseek 域名的 HTTP/HTTPS 浏览、GET、聊天
❌ 阻断 POST 上传、multipart/form-data、文件上传动作
华三实现方式(必须两步):
文件过滤(file-filter):专门拦 HTTP/HTTPS upload 方向的文件上传
ACG/URL 过滤 + 应用控制:只对 deepseek 这个网站启用 “禁止上传”,别的网站不受影响
HTTPS 必须开启 SSL 解密(SSL 内容识别),否则看不到上传动作,拦不住。
二、图形界面配置(最常用,直接照着点)
1)先建自定义 URL(deepseek)
对象 → URL 分类 → 自定义 URL → 新建
名称:deepseek
URL:*.***.***(必要时加 *.deepseek.*)
保存
2)开启 SSL 内容识别(关键,否则 HTTPS 上传拦不住)
策略 → SSL 策略 → 新建 / 默认策略
对 deepseek 域名 启用解密
根证书导出给客户端安装(否则浏览器报不安全)
3)文件过滤:禁止上传、允许下载
对象 → 应用安全 → 文件过滤 → 配置文件 → 新建
名称:No_Upload_Deepseek
新建规则 1:
协议:HTTP
方向:upload(只拦上传)
文件类型:所有文件类型(或选常用:doc、docx、pdf、jpg、png…)
动作:drop(丢弃)+ 记录日志
新建规则 2(放行下载,避免网页打不开):
协议:HTTP
方向:download
动作:permit
保存
4)ACG / 控制策略:只对 deepseek 应用文件过滤
策略 → 控制策略 → 新建 → 应用过滤(或 URL 过滤)
名称:Allow_Deepseek_Browse_Block_Upload
源:内网网段 / 用户
目的:deepseek(选刚才建的自定义 URL)
动作:允许
内容安全 → 文件过滤:选 No_Upload_Deepseek
提交
5)安全策略放通流量
策略 → 安全策略 → 新建
源:内网
目的:外网
服务:any
动作:允许
引用内容安全 / 文件过滤:同上
提交
三、命令行(可直接复制,适配华三 V7)
bash
运行
# 1. 自定义URL
url-category custom deepseek
url *.***.***
# 2. 文件过滤:禁止上传、允许下载
file-filter profile No_Upload_Deepseek
rule 1
protocol http
direction upload
action drop logging
rule 2
protocol http
direction download
action permit
# 3. SSL解密(必须)
ssl policy default
url-category deepseek
action decrypt
# 4. 控制策略(ACG)
policy control name Allow_Deepseek_Browse_Block_Upload
source-zone trust
destination-zone untrust
url-category deepseek
action permit
file-filter profile No_Upload_Deepseek
# 5. 安全策略放通
security-policy
rule name Allow_Internet
source-zone trust
destination-zone untrust
action permit
四、效果验证
✅ 浏览器打开 ***.***:正常
✅ 发文字聊天:正常
❌ 点击 “上传文件”/ 拖拽文件:直接阻断、上传失败
✅ 其他网站(微信、网盘、邮箱):不受影响,可正常上传
五、常见坑
没开 SSL 解密 → 拦不住 HTTPS 上传(必开)
方向选成 both → 网页打不开(必须 upload)
规则加了所有网站 → 全网不能上传(只绑定 deepseek URL)
如果不仅是deepseek呢,其他类似网址也一样,全网不能上传要怎么配置
如果不仅是deepseek呢,其他类似网址也一样,全网不能上传要怎么配置
要实现在H3C防火墙上允许访问DeepSeek网页但禁止上传附件,核心配置思路是“应用控制+文件过滤”的组合,并必须对HTTPS流量进行SSL解密。建议先在非工作时间进行测试,确认无误后再部署。
关键提醒
如果网页上传使用了HTTPS加密(如DeepSeek),防火墙默认无法识别加密流量中的上传动作。要精准拦截,必须配置 SSL解密策略。但请注意,这可能会在某些工作环境下触及员工隐私。在实施前,请务必确认贵司的相关政策。
方案一:专属应用控制
此方案利用DeepSeek应用特征库进行精准控制,操作路径最短。
前置校验:升级特征库,路径:
系统 > 升级中心 > 特征库升级。配置策略:创建上层ACL策略,识别DeepSeek应用,动作选择“允许”,并在“高级设置 > 应用过滤”中直接勾选“文件上传”行为进行阻断。
方案二:文件类型与Web关键字过滤
如果特征库不支持精细到DeepSeek的文件上传动作,可采用此备用方案。操作路径:上网行为管理 > 策略配置 > IPv4 策略。
文件类型过滤:配置规则,选择“文件上传”方向,并勾选需阻断的文档类文件(如doc, pdf等)。
Web关键字过滤:配置规则,针对HTTP上传的POST内容,设置“附件上传”关键字进行告警或拒绝。
方案三:HTTP数据体(Body)过滤
此方案深入过滤特定内容,可作为备用手段。操作路径:安全策略 并引用数据过滤配置文件。
配置步骤:新建配置文件,添加规则选择“上传”方向并过滤特定文本。
深度解析:两种Web配置路径
H3C防火墙根据型号和软件版本不同,主要有以下两种Web配置路径,请根据你的设备界面选择其一:
| 配置方法 | 典型产品系列 | 配置路径 | 优势 |
|---|---|---|---|
| 方法A | SecPath F1000系列等 | 策略 > 安全策略 > 新建 | 将应用识别、文件过滤、SSL解密等功能高度集成于统一安全策略中,配置逻辑清晰。 |
| 方法B | SecPath ACG系列等 | 上网行为管理 > 策略配置 > IPv4 策略 | 专注于应用和内容控制,提供更细粒度的策略配置,如文件类型组、关键字对象等。 |
推荐策略总结
建议部署顺序如下,推荐组合:
优先使用方案一:尝试通过ACG的应用控制,精准阻断DeepSeek的文件上传行为。
使用方案二进行兜底:若设备不支持方案一,可通过配置文件类型和Web关键字过滤,实施更通用的阻断。
关键步骤:无论选择哪种方案,都必须提前配置好SSL解密策略,否则针对HTTPS网站的所有过滤都将失效。
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明