20100726_天清汉马USG系列_应用过滤配置指南_V3.2

天清汉马USG一体化安全网关应用过滤配置指南

(V3.2)

版权声明

启明星辰公司版权所有，并保留对本手册及本声明的最终解释权和修改权。

本手册的版权归启明星辰公司所有。未得到启明星辰公司书面许可，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。

免责声明

本手册依据现有信息制作，其内容如有更改，恕不另行通知。启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠，但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。

User’s Manual Copyright and Disclaimer

Copyright

Copyright Venus Info Tech Inc.All rights reserved.

The copyright of this document is owned by Venus Info Tech Inc.Without the prior written permission obtained from Venus Info Tech Inc.,this document shall not be reproduced and excerpted in any form or by any means,stored in a retrieval system,modified,distributed and translated into other languages, applied for a commercial purpose in whole or in part.

Disclaimer

This document and the information contained herein is provided on an“AS IS”basis.Venus Info Tech Inc.may make improvement or changes in this document,at any time and without notice and as it sees fit.The information in this document was prepared by Venus Info Tech Inc.with reasonable care and is believed to be accurate.However,Venus Info Tech Inc.shall not assume responsibility for losses or damages resulting from any omissions, inaccuracies,or errors contained herein.

目录

1版本信息 (5)

2技术介绍 (5)

3常见组网方案及配置 (5)

3.1Web过滤 (5)

3.1.1配置URL过滤 (6)

3.1.1.1.建立内部地址对象 (6)

3.1.1.2.建立外部地址对象 (6)

3.1.1.3.URL过滤配置 (7)

3.1.1.4.建立安全防护表 (7)

3.1.1.5.建立安全策略 (8)

3.1.1.6.注意事项 (9)

3.1.2配置关键字过滤 (9)

3.1.2.1.建立内部地址对象 (10)

3.1.2.2.建立外部地址对象 (10)

3.1.2.3.关键字过滤配置 (11)

3.1.2.4.建立安全防护表 (11)

3.1.2.5.建立安全策略 (11)

3.1.2.6.注意事项 (12)

3.1.3配置内容过滤 (12)

3.1.3.1.建立内部地址对象 (13)

3.1.3.2.建立外部地址对象 (13)

3.1.3.3.内容过滤配置 (13)

3.1.3.4.建立安全防护表 (14)

3.1.3.5.建立安全策略 (14)

3.1.3.6.注意事项 (15)

3.1.4配置WEB代理阻止 (15)

3.1.4.1.建立内部地址对象 (15)

3.1.4.2.建立外部地址对象 (16)

3.1.4.3.建立安全防护表 (16)

3.1.4.4.建立安全策略 (17)

3.1.4.5.注意事项 (18)

3.2邮件过滤 (18)

3.2.1SMTP命令屏蔽 (19)

3.2.1.1.建立内部地址对象 (19)

3.2.1.2.建立邮件服务器对象 (19)

3.2.1.3.SMTP命令过滤配置 (20)

3.2.1.4.建立安全防护表 (20)

3.2.1.5.建立安全策略 (20)

3.2.1.6.注意事项 (21)

3.2.2发件人屏蔽 (21)

3.2.2.1.建立内部地址对象 (21)

3.2.2.2.建立邮件服务器对象 (22)

3.2.2.3.SMTP发件人过滤配置 (22)

3.2.2.4.建立安全防护表 (22)

3.2.2.5.建立安全策略 (23)

3.2.2.6.注意事项 (24)

3.2.3主题屏蔽 (24)

3.2.3.1.建立内部地址对象 (24)

3.2.3.2.建立邮件服务器对象 (25)

3.2.3.3.主题屏蔽配置 (25)

3.2.3.4.建立安全防护表 (25)

3.2.3.5.建立安全策略 (26)

3.2.3.6.注意事项 (27)

3.2.4附件屏蔽 (27)

3.2.4.1.建立内部地址对象 (27)

3.2.4.2.建立邮件服务器对象 (28)

3.2.4.3.附件屏蔽配置 (28)

3.2.4.4.建立安全防护表 (28)

3.2.4.5.建立安全策略 (29)

3.2.4.6.注意事项 (30)

3.2.5邮件大小过滤 (30)

3.2.5.1.建立内部地址对象 (30)

3.2.5.2.建立邮件服务器对象 (31)

3.2.5.3.邮件大小过滤配置 (31)

3.2.5.4.建立安全防护表 (31)

3.2.5.5.建立安全策略 (32)

3.2.5.6.注意事项 (33)

3.2.6IP地址屏蔽 (33)

3.2.6.1.建立内部地址对象 (33)

3.2.6.2.建立邮件服务器对象 (34)

3.2.6.3.IP地址屏蔽配置 (34)

3.2.6.4.建立安全防护表 (34)

3.2.6.5.建立安全策略 (35)

3.2.6.6.注意事项 (36)

1版本信息

手册版本V3.2

产品版本V2.6.3.2

发布状态发布

发布时间2010年07月31日

备注信息无

2技术介绍

随着互联网的飞速发展，网络环境也变得越来越复杂，各种混合威胁不断增大，单一的防护措施已经无能为力，企业需要对网络进行多层、深层的防护来有效保证其网络安全，Web过滤模块功能针对HTTP协议为用户提供应用级的安全防护和访问限制。web过滤大致分为两个方面：一方面是对HTTP请求的过滤，主要是对URL的过滤；另一方面是对HTTP响应的过滤，主要是对HTTP内容过滤。

USG具有邮件过滤功能，可以保护邮件服务器和用户，减轻垃圾邮件的困扰。USG支持SMTP/POP3/IMAP三种协议，包括针对SMTP协议的命令、附件名称、邮件大小的过滤；以及对SMTP/POP3/IMAP协议的邮件主题关键字、发件人、发送邮件IP地址的过滤。通过SMTP协议过滤，可以限制内网用户使用邮件服务器的规则；通过POP3或IMAP协议过滤，可以实现对接收到邮件的协议过滤并进行邮件标识。

3常见组网方案及配置

3.1Web过滤

Web过滤主要包括URL过滤、关键字过滤，内容过滤等几个方面，对相应的事件可以检测出来并报告出日志。

3.1.1配置URL过滤

URL过滤的基本过程是：首先在URL列表中添加模式字符串，然后在安全防护表模板中启用web过滤功能并选择URL列表类型，最后在策略中引用该安全防护表模板并启用策略。系统中有屏蔽和非屏蔽两个URL列表，每个列表中可以添加多个模式字符串。屏蔽列表的过滤行为是deny，即匹配上该列表中的模式字符串的数据流要被过滤掉，否则放行；非屏蔽列表的过滤行为是accept，即匹配上该列表中的模式字符串的数据流可以通过，否则被过滤。对于用户的URL请求，首先查找URL中是否包含列表中的模式字符串，从而执行列表的过滤规则。

配置步骤（PC连接的网口在GE0上，Internet网口连接在GE1上）：

3.1.1.1.建立内部地址对象

单击“对象管理”菜单，选择建立地址对象，单击“新建”按纽。

3.1.1.2.建立外部地址对象

单击“对象管理”菜单，选择建立地址对象，单击“新建”按纽。

3.1.1.3.URL过滤配置

如果禁止访问一些网址，可以在屏蔽列表设置禁止访问的网址。

如果只允许访问其中的一些网址，可以在免屏蔽列表设置相应的网址。

3.1.1.

4.建立安全防护表

单击“防火墙”菜单，选择“安全防护表”，单击“新建”按钮，在“名称”中填写相应的名称，选中“WEB过滤”，选中“屏蔽列表”，在方框中打上钩；点开“日志”，在“WEB过滤”的“本地日志”、“Syslog日志”、“Email告警”分别打勾，可以选择WEB过滤的日志报告的形式。最后点击“提交”按钮，完成配置。或者单击“新建”按钮，在“名称”中填写相应的名称，选中“WEB 过滤”，选中“免屏蔽列表”，在方框中打上钩；点开“日志”，在“WEB过滤”的“本地日志”、“Syslog日志”、“Email告警”分别打勾，可以选择WEB过滤的日志报告的形式。最后点击“提交”按钮，完成配置。

屏蔽列表：

免屏蔽列表：

3.1.1.5.建立安全策略

单击“防火墙”菜单，选择“安全策略”，单击“新建”按钮，在源接口中选择PC1接口“ge0”，地址名选择刚才建立的地址对象“内部地址”，目的接口

选择连接PC2的接口“ge1”，地址名选择刚才建立的地址对象“外部地址”，选择服务为“any”，设置时间表为“always”，设置动作为“允许”，选中安全防护并选择刚才设置好的安全防护表“应用过滤”，点击“提交”按钮。

3.1.1.6.注意事项

屏蔽列表与免屏蔽列表是互斥的，两者只能选择其一。

PC通过USG对Internet进行访问，当检测出来url过滤事件时，就会报告出相应的日志。

3.1.2配置关键字过滤

关键字过滤是一套功能强大且容易使用的内容监控系统。一直以来，由于一

些不法分子利用网络来传播一些色情、反动等非法信息，这些大量非法信息，会给人们的精神生活带来不利的影响。USG的关键字过滤主要是针对网页内容文字的过滤。控制用户对非法内容的访问，管理员能够通过页面配置需要禁止的文字。本模块仅支持GB2312,UTF-8编码的中文，支持“与”的关系最多支持5个。

配置步骤（PC连接的网口在GE0上，Internet网口连接在GE1上）：

3.1.2.1.建立内部地址对象

单击“对象管理”菜单，选择建立地址对象，单击“新建”按钮。

3.1.2.2.建立外部地址对象

单击“对象管理”菜单，选择建立地址对象，单击“新建”按钮。

3.1.2.3.关键字过滤配置

“新建”输入关键字，点击“启用”，点击“提交”按钮。

3.1.2.

4.建立安全防护表

单击“防火墙”菜单，选择“安全策略?安全防护表”，单击“新建”按钮，在“名称”中填写相应的名称，选中“WEB过滤”，选中“屏蔽列表”，在方框中打上钩；点开“日志”，在“WEB过滤”的“本地日志”、“Syslog日志”、“Email 告警”分别打勾，可以选择WEB过滤的日志报告的形式。最后点击“提交”按钮，完成配置。

3.1.2.5.建立安全策略

单击“防火墙”菜单，选择“安全策略”，单击“新建”按钮，在源接口中选择PC1接口“ge0”，地址名选择刚才建立的地址对象“内部地址”，目的接口选择连接PC2的接口“ge1”，地址名选择刚才建立的地址对象“外部地址”，选择服务为“any”，设置时间表为“always”，设置动作为“允许”，选中安全防护并选择刚才设置好的安全防护表“应用过滤”，点击“提交”按钮。

PC通过USG对Internet进行访问，当检测出来关键字过滤的事件时，就会报告出相应的日志。

3.1.2.6.注意事项

?在启用关键字过滤时，检测引擎程序要进行重启，需要几秒钟后方能生效。

3.1.3配置内容过滤

随着Internet的迅猛发展，网页的内容日益丰富，各种网页控件越来越被广泛的应用，不仅仅占用网络及系统资源，而且给互联网以及使用者带来了很大的安全隐患。USG设备能够对Java Applet、Cookie、Script、Object这四种控件进

行过滤，保证上网者放心使用网络。

配置步骤（PC连接的网口在GE0上，Internet网口连接在GE1上）：3.1.3.1.建立内部地址对象

单击“对象管理”菜单，选择建立地址对象，单击“新建”按钮。

3.1.3.2.建立外部地址对象

单击“对象管理”菜单，选择建立地址对象，单击“新建”按钮。

3.1.3.3.内容过滤配置

支持Java Applet、Cookie、Script、Object这四种控件进行过滤。

3.1.3.

4.建立安全防护表

单击“防火墙”菜单，选择“安全策略?安全防护表”，单击“新建”按钮，在“名称”中填写相应的名称，选中“WEB过滤”，选中“内容过滤”，在方框中打上钩；点开“日志”，在“WEB过滤”的“本地日志”、“Syslog日志”、“Email 告警”分别打勾，可以选择WEB过滤的日志报告的形式。最后点击“提交”按钮，完成配置。

3.1.3.5.建立安全策略

单击“防火墙”菜单，选择“安全策略”，单击“新建”按钮，在源接口中选择PC1接口“ge0”，地址名选择刚才建立的地址对象“内部地址”，目的接口选择连接PC2的接口“ge1”，地址名选择刚才建立的地址对象“外部地址”，选择服务为“any”，设置时间表为“always”，设置动作为“允许”，选中安全防护

并选择刚才设置好的安全防护表“应用过滤”，点击“提交”按钮。

3.1.3.6.注意事项

?内容过滤暂时没有日志输出，只能在IE网页中查看“查看源文件”，看其中是否还存在相应的对象字段。

3.1.4配置WEB代理阻止

WEB代理阻止：是指当客户在浏览器中设置好Proxy Server后，使用浏览器访问所有WWW站点的请求都不会直接发给目的主机，而是先发给代理服务器，代理服务器接受了客户的请求以后，由代理服务器向目的主机发出请求，并接受目的主机的数据，在USG中具有禁止HTTP代理的功能。

配置步骤（PC连接的网口在GE0上，Internet网口连接在GE1上）：

3.1.

4.1.建立内部地址对象

单击“对象管理”菜单，选择建立地址对象，单击“新建”按钮。

3.1.

4.2.建立外部地址对象

单击“对象管理”菜单，选择建立地址对象，单击“新建”按钮。

3.1.

4.3.建立安全防护表

单击“防火墙”菜单，选择“安全策略?安全防护表”，单击“新建”按钮，在“名称”中填写相应的名称，选中“WEB过滤”，选中“禁止HTTP代理”，在方框中打上钩；点开“日志”，在“WEB过滤”的“本地日志”、“Syslog日志”、“Email告警”分别打勾，可以选择WEB过滤的日志报告的形式。最后点击“提交”按钮，完成配置。

3.1.

4.4.建立安全策略

单击“防火墙”菜单，选择“安全策略”，单击“新建”按钮，在源接口中选择PC接口“ge0”，地址名选择刚才建立的地址对象“内部地址”，目的接口选择连接PC2的接口“ge1”，地址名选择刚才建立的地址对象“外部地址”，选择服务为“any”，设置时间表为“always”，设置动作为“允许”，选中安全防护并选择刚才设置好的安全防护表“应用过滤”，点击“提交”按钮。

PC通过USG对Internet进行访问，当检测出来HTTP代理事件时，就会报告出相应的日志。

3.1.

4.

5.注意事项

无

3.2邮件过滤

3.2.1SMTP命令屏蔽

USG提供了针对SMTP命令的过滤规则，可以关闭执行某些命令。

配置步骤（PC连接的网口在GE0上，邮件服务器的网口连接在GE1上）：3.2.1.1.建立内部地址对象

单击“对象管理”菜单，选择建立地址对象，单击“新建”按钮。

3.2.1.2.建立邮件服务器对象

单击“对象管理”菜单，选择建立地址对象，单击“新建”按钮。

3.2.1.3.SMTP命令过滤配置

3.2.1.

4.建立安全防护表

单击“防火墙”菜单，选择“安全策略?安全防护表”，单击“新建”按钮，在“名称”中填写相应的名称，选中“邮件过滤”，选中SMTP协议下的“SMTP 命令屏蔽”，在方框中打上钩；点开“日志”，在“邮件过滤”的“本地日志”、“Syslog日志”、“Email告警”分别打勾，可以选择邮件过滤的日志报告的形式。最后点击“提交”按钮，完成配置。

3.2.1.5.建立安全策略

单击“防火墙”菜单，选择“安全策略”，单击“新建”按钮，在源接口中选择PC1接口“ge0”，地址名选择刚才建立的地址对象“内部地址”，目的接口选择连接PC2的接口“ge1”，地址名选择刚才建立的地址对象“邮件服务器”，选择服务为“any”，设置时间表为“always”，设置动作为“允许”，选中安全防