配置的内容过滤没有生效

发布时间:  2014-09-20 浏览次数:  109 下载次数:  0
问题描述
NGFW上配置了内容过滤功能,想要阻断包含特定关键字的内容在安全区域间的传输。但是当管理员进行测试的时候发现,应该被阻断的内容仍然能够正常的传输。
处理过程
步骤 1 原因一:流量没有匹配正确的安全策略。
1. 选择“监控 > 日志 > 策略命中日志”。
2. 单击右上方的“高级查询”后,输入“源用户”和“应用”。
 源用户:管理员进行测试时使用的用户账号的名称,例如“User0001”。
 应用:管理员进行测试时使用的协议或者应用程序名称。
3. 单击“查询”。
4. 在显示的安全策略日志中,查看管理员测试时的流量是否匹配了正确的安全策略。
 如果没有匹配正确的安全策略,则选择“策略 > 安全策略 > 安全策略”,调整安全策略的顺序或参数。
 如果确定匹配了正确的安全策略,则执行步骤2。
步骤 2 原因二:安全策略没有或引用了错误的内容过滤配置文件。
1. 单击步骤1中查询到的安全策略的名称,在“修改安全策略”界面可以看到安全策略引用的“内容过滤”配置文件。
 如果安全策略没有引用或者引用的不是正确的“内容过滤”配置文件,则选择在配置规划时此安全策略计划引用的“内容过滤”配置文件。
 如果确定匹配了正确的安全策略,则执行步骤3。
步骤 3 原因三:内容过滤配置文件的匹配条件配置错误。
1. 单击“内容过滤”右侧的“配置”。
2. 在“修改内容过滤配置文件”界面查看各内容过滤规则的条件是否正确。
查看各个规则“应用”、“文件类型”、“方向”是否能够成功匹配所有想要阻断的文件。
 如果内容过滤规则的条件配置不正确,则修改内容过滤规则。
 如果内容过滤规则的条件配置正确,则执行步骤4。
步骤 4 原因四:关键字组配置错误,没有定义想要过滤的关键字。
1. 选择“对象 > 关键字组”。
2. 单击内容过滤配置文件引用的关键字组,查看“关键字列表”中的自定义和预定义关键字是否包含需要过滤的内容。
 如果不包含,则修改关键字组的配置,使其包含需要过滤的内容。
 如果包含,则执行步骤5或步骤6。
步骤 5 原因五:内容过滤规则的“动作”为“告警”。
1. 在“修改内容过滤配置文件”界面查看各内容过滤规则的动作。
 如果“动作”为“告警”,且与配置规划时计划的一致,则说明文件能够传输但记录日志是正常的情况。
 如果“动作”为“告警”,但配置规划时计划的“动作”为“阻断”或“按权重操作”,则需要修改内容过滤规则的动作。
步骤 6 原因六:内容过滤规则的“动作”为“按权重操作”,但关键字的权重和小于“阻断阈值”。

     说明:管理员修改阻断阈值和关键字权重值时,需要反复测试和调整。

1. 选择“对象 > 安全配置文件 > 内容过滤”,查看“阻断阈值”的大小。如果数值过大则调小“阻断阈值”。
2. 选择“对象 > 关键字组”,查看关键字的权重。如果数值过小则调大权重值。
根因
原因一:流量没有匹配正确的安全策略。
原因二:安全策略没有或引用了错误的内容过滤配置文件。
原因三:内容过滤规则的匹配条件配置错误。
原因四:关键字组配置错误,没有定义想要过滤的关键字。
原因五:内容过滤规则的“动作”为“告警”。
原因六:内容过滤规则的“动作”为“按权重操作”,但关键字的权重和小于“阻断阈值”。

END