内容筛选

基于文件类型的内容筛选

以前，根据 MIME 类型、文件扩展名和协议命令执行内容过滤以阻止或允许某些类型的流量。内容过滤器根据配置的过滤器列表检查流量，从而控制网关上的文件传输。这种基于文件类型的评估仅在 Junos OS 21.4R1 版之前的 Junos OS 版本上受支持。

从 Junos OS 21.4R1 版开始，将根据文件内容进行内容评估。不推荐使用基于文件类型的内容评估，并隐藏相关配置。

如果您不想迁移到增强的内容过滤功能，则可以使用旧版功能。您将被允许使用旧配置，但所有旧配置旋钮都将弃用并隐藏。此外，当您使用旧配置选项时，您将收到系统日志和错误消息警告。

在这种类型的评估中，内容过滤器模块先于所有其他内容安全模块（Web 过滤除外）评估流量。因此，如果流量满足内容过滤器中配置的条件，则内容过滤器会首先对此流量采取措施。

您可以配置以下类型的内容过滤器：

• MIME 模式过滤器 — MIME 模式用于识别 HTTP 和 MAIL 协议中的流量类型。内容筛选器使用两个 MIME 模式列表来确定要执行的作。阻止 MIME 列表包含内容筛选器要阻止的 MIME 类型流量列表。MIME 例外列表包含内容过滤器不会阻止的 MIME 模式，通常是阻止列表中项的子集。请注意，例外列表的优先级高于阻止列表。如果两个列表上都有显示的 MIME 条目，则内容筛选器不会阻止这些 MIME 类型，因为例外列表具有优先级。因此，在将项目添加到例外列表时，具体一点对您有利。

• 阻止扩展名列表 — 由于文件名在文件传输期间可用，因此使用文件扩展名是阻止或允许文件传输的一种非常实用的方法。内容筛选器列表包含要阻止的文件扩展名列表。所有协议都支持使用块扩展列表。

• 协议命令阻止和允许列表 — 不同的协议使用不同的命令在服务器和客户端之间进行通信。通过阻止或允许某些命令，可以在协议命令级别控制流量。

  阻止和允许命令列表旨在组合使用，允许列表充当阻止列表的例外列表。

  如果协议命令同时出现在允许列表和阻止列表中，则允许该命令。

  从 Junos OS 15.1X49-D100 版开始，Web 过滤和内容安全功能支持 HTTP、FTP、SMTP、POP3、IMAP 协议的 IPv6 直通流量。

由于并非所有有害文件或组件都可以通过 MIME 类型或文件扩展名进行控制，因此您还可以使用内容过滤器模块来阻止 ActiveX、Java Applet 和其他类型的内容。以下类型的内容阻止仅支持 HTTP：

• 阻止 ActiveX

• 块 Java 小程序

• 阻止 Cookie

• 阻止 EXE 文件

• 阻止 ZIP 文件

基于文件内容的内容过滤

以前基于文件类型、MIME 类型、内容类型和协议命令执行内容过滤。使用 MIME 类型、协议命令过滤器或文件扩展名过滤器进行文件检测并不总是可靠的。识别文件类型的最简单方法是通过文件扩展名，但它不是真实的，因为任何扩展名都可以赋予任何类型的文件。

从 Junos OS 21.4R1 版开始，内容安全会执行内容过滤，以根据文件内容（而不是文件扩展名）确定文件类型。首先分析文件内容以准确确定文件类型。此功能是对应用识别（应用 ID）的补充，允许您配置防火墙来识别和控制对 Web（HTTP 和 HTTPS）流量的访问，并保护您的网络免受攻击。当应用 ID 确认最终应用程序匹配时，将考虑使用匹配的内容安全策略进行内容筛选。

基于文件内容的内容过滤按如下方式执行：

• 文件标识：对于每种文件类型，都定义了用于检查内容和确定文件类型的规则。内容安全过程使用文件内容，并将其与定义的规则进行匹配，以确定文件类型。

• 定义流量方向的内容过滤规则：内容安全进程从 CLI 读取配置，解析和解释规则集和规则。您可以定义内容过滤规则并强制执行这些规则来引导流量。

  规则集和规则配置添加在层次结构级别之下 [edit security utm utm-policy <utm-policy-name> content-filtering] 。

  您可以在内容过滤器规则中配置连接重置选项。检测到规则中列出的内容时，协议处理程序将完全按照策略中的配置与客户端和服务器执行 TCP 连接重置。

  注意：

  不支持基于 mime-type、content-type 和 protocol 命令的内容过滤选项。升级到 Junos OS 21.4R1 版后，不支持和[edt security utm feature-profile content-filtering profile <profile-name>层次结构下先前存在的基于文件扩展名的内容过滤选项[edit security utm utm-policy <utm-policy-name> content-filtering]。

• 使用为内容过滤定义的规则和规则集：您可以使用层次结构中上面 [edit security utm default-configuration content-filtering 定义的规则和规则集。这些规则和规则集允许您配置特定方向的内容过滤器和连接重置。

• 内容过滤的内容安全策略选择：通过应用 ID 确认最终应用程序匹配后，将选择定义内容过滤规则的潜在匹配内容安全策略进行处理。

  对于每个内容安全策略，都会创建一个包含规则集节点列表的链，并将在规则集下配置的所有规则添加到列表中，然后附加到相应的规则集节点。

  通过所有检查后，将为配置的每个规则集和规则分配一个唯一 ID，以便在本地内存中保留和组织相应的信息。本地内存中的此存储是跟踪您所做的配置更改和同步更新所必需的。

• 验证：使用以下命令查看内容过滤系统统计信息和错误。

  • 要在根逻辑系统的策略中显示内容过滤统计信息，请使用 show security utm content-filtering statistics utm policy <utm policy name> 和 show security utm content-filtering statistics root-logical-system utm-policy <utm policy name> 命令。

  • 要在指定逻辑系统内的策略中显示内容过滤统计信息，请使用命令 show security utm content-filtering statistics logical-system <logical-system-name> utm-policy <utm policy name> 。

如果迁移到此新功能，并且配置中有旧选项，则将收到以下错误消息，并且提交将失败。

已弃用的功能不能与增强的内容过滤（规则集/规则）\n“）;删除标记为已弃用的配置以取得领先（有关详细信息：show security utm）\n“）

如果您不想迁移到增强的内容过滤功能，可以使用旧版内容过滤功能。旧配置选项已弃用并已隐藏。使用已弃用的旧选项时，您将收到以下错误消息。

ERRMSG（“不推荐使用配置 \'%s\'”， “安全 utm utm-policy <>内容过滤 http-profile”）

HTTP 支持

HTTP 协议支持所有内容过滤功能。使用 HTTP，内容过滤器保留在网关中，检查 HTTP 客户端和服务器之间的每个请求和响应。

如果由于内容过滤而丢弃 HTTP 请求，客户端将收到如下响应：

因此，可能会显示一条消息，如下所示：

FTP 支持

FTP 协议不支持所有内容过滤功能。它仅支持以下内容：阻止扩展列表和协议命令阻止列表。

当内容过滤阻止 FTP 请求时，将通过控制通道发送以下响应：

因此，可能会显示一条消息，如下所示：

电子邮件支持

电子邮件协议（SMTP、IMAP、POP3）对以下功能的内容过滤支持有限：块扩展列表、协议命令块列表和 MIME 模式过滤。由于以下原因，对电子邮件协议的支持有限：

• 内容过滤器仅扫描电子邮件标头的一个级别。因此，不会扫描递归电子邮件标头和加密附件。

• 如果整封电子邮件都经过 MIME 编码，则内容筛选器只能扫描 MIME 类型。

• 如果电子邮件的任何部分由于内容过滤而被阻止，则原始电子邮件将被删除，并由一个文本文件代替，其中包含电子邮件被阻止原因的解释。

从 Junos OS 19.4R1 版开始，防病毒和内容过滤功能支持隐式和显式 SMTPS、IMAPS 和 POP3S 协议，并且仅支持显式被动模式 FTPS。

隐式模式 — 使用安全通道连接到 SSL/TLS 加密端口。

显式模式 — 首先连接到不安全通道，然后发出 STARTTLS 命令来保护通信。对于 POP3S，请使用 STLS 命令。

目的

查看内容过滤统计信息。

行动

要在 CLI 中查看内容过滤统计信息，请输入 user@host > show security utm content-filtering statistics 命令。

内容过滤 show statistics 命令显示以下信息：

要使用 J-Web 查看内容过滤统计信息，请执行以下作：

1. 选择 “清除内容筛选统计信息”“监视器>安全性>UTM>内容筛选”监视器>安全性>UTM>内容筛选。

   以下统计信息可在右窗格中查看。

2. 您可以单击 “清除内容过滤统计信息 ”以清除所有当前可见统计信息并开始收集新的统计信息。