配置了内容过滤后影响了正常内容的传输

发布时间:  2014-09-20 浏览次数:  88 下载次数:  0
问题描述
NGFW上配置了内容过滤功能,想要阻断包含特定关键字的内容在安全区域间的传输。但是内网用户在使用时发现不包含关键字的内容也无法正常传输。
处理过程
步骤 1 原因一:流量没有匹配正确的安全策略。
1. 选择“监控 > 日志 > 策略命中日志”。
2. 单击右上方的“高级查询”后,输入“源用户”和“应用”。
 源用户:内网用户上传或下载时使用的用户账号的名称,例如“User0001”。
 应用:内网用户上传或下载时使用的协议或者应用程序名称。
3. 单击“查询”。
4. 在显示的安全策略日志中,查看内网用户上传或下载时的流量是否匹配了正确的安全策略。
 如果没有匹配正确的安全策略,则选择“策略 > 安全策略 > 安全策略”,调整安全策略的顺序或参数。
 如果确定匹配了正确的安全策略,则执行步骤2。
步骤 2 原因二:流量被其他内容安全功能阻断。
1. 单击步骤1中查询到的安全策略的名称,在“修改安全策略”界面可以看到安全策略引用的配置文件。
2. 根据引用的安全配置文件,分别查看不同的日志。
 反病毒、入侵防御:选择“监控 > 日志 > 威胁日志”。
 URL过滤:选择“监控 > 日志 > URL日志”。
 文件过滤、内容过滤、应用行为控制:选择“监控 > 日志 > 内容日志”。
3. 在相应的日志界面,单击右上方的“高级查询”后,输入“安全策略”的名称。
4. 单击“查询”,在显示的日志中查看“动作”为“阻断”的日志。
 如果流量被内容过滤配置文件阻断,则执行步骤3。
 如果流量被其他配置文件阻断,则查看相关配置文件判断此流量是否确实需要被阻断。
− 如果是,则结束故障诊断。
− 如果不是,则修改相关配置文件的参数。
步骤 3 原因三:内容过滤配置文件配置错误。
1. 单击步骤2中查询到的内容过滤配置文件的名称,在“修改内容过滤配置文件”界面查看内容过滤规则。
2. 调整内容过滤规则的参数,保证内容过滤规则的条件不匹配正常的内容传输条件。
步骤 4 原因四:关键字组配置错误。
1. 选择“对象 > 关键字组”。
2. 单击内容过滤配置文件引用的关键字组,查看“关键字列表”中的自定义和预定义关键字是否包含了不需要过滤的内容。
 如果包含,则修改关键字组的配置,使其不包正常的内容。
 如果不包含,则执行步骤5。
步骤 5 原因五:关键字权重取值过大或“阻断阈值”取值过小。

      说明:管理员修改阻断阈值和关键字权重值时,需要反复测试和调整。

1. 选择“对象 > 安全配置文件 > 内容过滤”,查看“阻断阈值”的大小。如果数值过小则调大“阻断阈值”。
2. 选择“对象 > 关键字组”,查看关键字的权重。如果数值过大则调小权重值。
根因
原因一:流量没有匹配正确的安全策略。
原因二:流量被其他内容安全功能阻断。
原因三:内容过滤配置文件配置错误。
原因四:关键字组配置错误。
原因五:关键字权重取值过大或“阻断阈值”取值过小。

END