安全web过滤.docVIP

安全产品实验报告 第一部分 web和邮件过滤 实验人：贾文宇 1.1实验内容 1.2 实验目的 1.3 实验设备 1.4 实验环境及组网 1.5 实验步骤 1.5.1配置防火墙基本配置 1.5.2配置aspf 打开web和邮件过滤 1.5.3 打开调试命令，进行测试测试 1.5.4实验配置中的经验总结 第二部分 静态动态黑名单 2.1实验内容 2.2 实验目的 2.3 实验设备 2.4实验环境及组网 2.5实验步骤 第一部分 Web 和邮件过滤 1.1实验内容 防火墙Web 地址过滤、Web 内容过滤、SQL 注入攻击防范、邮件地址过滤、邮件主题过滤、邮件内容过滤、邮件附件过滤 1.2实验目的 由于大家会经常接到咨询内容过滤的问题，但由于操作手册及配置实例中解释稍欠详细，所以这次做了这个实验对一些配置中需要注意的地方特别在配置中标明。 1.3web和邮件过滤的介绍及原理 Web 和邮件过滤简介 在传统的网络安全方案中，对网络攻击的防范主要针对于来自外部的各种攻击。但 是随着网络在各行各业的普及，来自一个局域网内部的攻击也越来越多，这就要求 网络设备能够应对构建安全内网的需求，需要增加内网安全特性。 防火墙的Web 和邮件过滤功能可以阻止内部用户访问非法的网址或访问含有非法 内容的网页，防止内网用户向外网非法邮件地址发送邮件或向外发送与工作无关的 邮件。当内部网络受到外部的攻击时，通过邮件告警功能，可以向网络管理员发送 告警邮件，通知网络管理员采取相应措施。 SecPath 防火墙还提供了对来自外部的SQL（Structure Query Language，结构化 查询语言）注入攻击进行防范的功能。防火墙通过检查接收到的HTTP 报文中的 HTTP 命令以判断其是否为对数据库的攻击，从而有效的保护网络中数据库的安全。 自己理解的原理 web和邮件过滤的实现是建立在aspf应用层\传输层协议检测基础上的，状态防火墙――ASPF（Application Specific Packet Filter）是针对应用层及传输层的包过滤，即基于状态的报文过滤。它能够检查应用层协议信息，如报文的协议类型和端口号等信息，并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被ASPF 维护并用于动态地决定数据包是否被允许通过防火墙进入内部网络，以便阻止恶意的入侵。 如上图所示，为了保护内部网络，一般情况下需要在安全网关上配置静态访问控制 列表，以便允许内部网的主机的访问外部网络，同时拒绝外部网络的主机访问内部 网络。但静态访问控制列表会将用户发起连接后返回的报文过滤掉，导致连接无法 正常建立。当在安全网关上配置了应用层协议检测后，ASPF 可以检测每一个应用 层的会话，并创建一个状态表和一个临时访问控制表（TACL）。状态表在检测到第 一个外发报文时创建，用于维护了一次会话中某一时刻会话所处的状态，并检测会 话状态的转换是否正确。临时访问控制列表的表项在创建状态表项的时候同时创建， 会话结束后删除，它相当于一个扩展ACL 的permit 项。TACL 主要用于匹配一个会 话中的所有返回的报文，可以为某一应用返回的报文在防火墙的外部接口上建立了 一个临时的返回通道。 而web和邮件过滤的原理就是，通过配置相应过滤关键字，打开对应的http\snmp\tcp aspf应用检测，当数据包不和关键字匹配时动态的创建tacl建立临时通道，当关键字匹配 时，不建立临时通道，以起到过滤功能。 1.2实验设备 SecPath 1000F、SecEngine D200、s2016-ei 1.3实验环境及组网 注：由于，公司对mac地址的限制，所以不能直接不能直接把防火墙连接到外网做过滤测试，所以我拿了一台支持web网管的设备作为web服务器做web测试，邮件过滤通过在和以前公司同事帮忙，在外网测试。 实验步骤： 搭建网络环境，配置防火墙基本配置，设为透明模式，将相应接口加入区域，配置管理i