联想网御科技（北京）有限公司 深度过滤第1页声明：文档所包含文字和图片版权均属联想网御科技（北京）有限公司所有，任何单位或个人不得擅自出版或发行，违者必究案例背景强5防火墙除了能对地址，协议等4层以下内容控制外，还可以通过深度过滤功能，对应用信息进行访问控制，丰富了防火墙的安全功能。目前Power V防火墙可以对HTTP，FTP和SMTP协议进行控制，本案例将介绍深度过滤的配置方法。案例拓扑配置步骤HTTP过滤1 按照拓扑配置防火墙IP地址，默认网关，取消默认允许，配置全通包过滤策略，NAT规则，确保内网PC可以访问互联网。2 在防火墙资源定义下深度过滤基本配置中，配置http，ftp，smtp的端口，如果是标准的，不用修改，然后点“启动深度过滤”3 在URL组中添加URL关键字，比如我们要过滤sohu网站，如图：4 配置过滤策略，启用http url关键字过滤，选择黑名单方式。如图：注意，这里如果选择百名单方式，则意味着只允许访问url为www.sohu.com的网页，其他都禁止，使用是要注意。5 在包过滤策略中引用dpi深度过滤策略。如图：此时，内网PC无法访问sohu网站，但其他网站访问正常。6 系统监控中可以看到深度过滤报表。如图：FTP过滤1 添加深度过滤文件名组关键字，如图：2 配置过虑策略，启用ftp过滤，注意，如果只是禁止下载匹配的文件名，不要选择“禁止下载”选项，否则，则是禁止下载所有文件。记录日志。3 在包过滤策略中引用dpi过滤策略。此时，内网PC可以访问外网的ftp服务器，但无法下载WinMD5.exe文件，而其他文件可以下载。4 在深度过滤报表中，可以查看相关信息，如图：5 同样的方法可以实现限制ftp上传某些文件。SMTP过滤1 添加深度过滤邮件地址组关键字，如图：2 配置顾虑策略，启用smtp过滤，过滤发件人地址，记录日志，如图：3 在包过滤规则中，引用dpi过滤策略。此时，当防火墙检测到发件人匹配hechenleadsec.com.cn时，将阻止该邮件的发送，而不会阻止其他发件人的邮件。4 在深度过滤报表中可以查看相关信息，如图：类似的配置，可以实现基于收件人地址和反邮件中转过滤。5 配置深度过滤的关键字组，如图：6 在深度过滤策略中，启用SMTP 邮件主题过滤，记录日志，如图：7 在包过滤策略中引用dpi过滤策略。此时，当防火墙检测发送的邮件主题匹配“暴力”关键字时，则阻止该邮件的发送，而不会阻止其他主题的邮件。8 在深度过滤报表中可查看相应信息。如图：