背景
内容过滤功能可以降低机密信息泄露的风险,防止违规信息的传播和员工浏览与工作无关的内容。
原理
通过业务感知技术识别流量中包含的内容,设备可以对包含特定关键字的流量进行阻断或告警
内容过滤包括文件内容过滤和应用内容过滤
文件内容过滤是对用户上传和下载的文件内容中包含的关键字进行过滤。管理员可以控制对哪些应用传输的文件以及哪种类型的文件进行内容过滤。
应用内容过滤是对应用协议中包含的关键字进行过滤。针对不同应用,设备过滤的内容不同
关键字是内容过滤时设备需要识别的内容,如果在文件或应用中识别出关键字,设备会对此文件或者应用执行响应动作,关键字通常为机密信息(公司商业机密、用户个人信息的报告)或者违规信息(敏感或公司规定的违规信息等)。
关键字包括预定义关键字和自定义关键字
预定义关键字是系统默认存在的可以识别的关键字,包括:银行卡号、信用 卡号、社保卡号、身份证号等
自定义关键字是管理员自定义的需要识别的关键字,有文本和正则表达式两种定义方式。
正则表达式规则
字符 |
说明 |
. |
匹配任意非换行字符 |
() |
标记一个子表达式的开始和结束位置 |
* |
匹配前面的字符或表达式零次或多次 |
+ |
匹配前面的字符或表达式一次或多次 |
| |
等同于或 |
[] |
字符集 |
- |
在字符集中用于创建范围表达式 |
{n} |
重复n次,n是一个小于等于20的非负整数 |
\ |
要对上述任一特殊字符执行字面匹配,必须通过在这些字符前面加上\(反斜杠),对这些字符进行转义,例如\.、\\ |
\d |
匹配一个数字字符,等价于[0-9] |
\w |
匹配数字、字母和下划线 |
内容过滤处理流程
当通过设备的流量匹配了一条安全策略。策略的动作为permit且引用了内容过滤配置文件时,此流量需要进行内容过滤检测。
内容过滤的处理流程如下:
设备对流量的内容进行检测,识别出流量的内容属性
如果是应用内容则识别出应用的类型和应用内容传输的方向,如果是文件内容则识别出承载文件的应用类型、文件的类型和文件传输的方向
设备将流量的内容属性与内容过滤规则的条件进行匹配。如果所有条件都匹配,则此内容成功匹配此规则。如果其中有一个条件不匹配,则继续执行下一条规则。以此类推,如果所有内容过滤规则都不匹配,则设备允许此内容通过
如果内容成功匹配一条内容过滤规则,则设备会对此内容进行关键字检测,检测内容中是否存在内容过滤规则定义的关键字。如果检测时识别出关键字,则设备会执行响应动作。如果没有识别出关键字,则设备允许此内容通过。
内容过滤配置思路
新建关键字组,添加所有预定义和自定义关键字,便于内容过滤配置文件引用。
新建内容过滤配置文件,对上传的内容进行过滤。新建内容过滤配置文件时需要引用关键字组。
配置安全策略,在保证网络可达的同时引用文件过滤和内容过滤配置文件,实现数据泄露防护
配置完成后,提交编译,使配置生效。
故障处理思路
license是否有效
配置文件是否命中
配置是否提交
重新发起连接