3.6        邮件过滤

『组网需求』:<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

      要求内部向外发送邮件时,对附件文件名、内容、收件人、主题进行过滤。
『配置实例』:

1.  要求参考“ASPF配置”,开启“HTTPTCP”检测功能。
2.  在系统视图分别开启attachcontentrcpttosubject相关过滤。
[Secpath]firewall smtp-filter attach enable
[Secpath]firewall smtp-filter content enable
[Secpath]firewall smtp-filter subject enable
3.  在系统视图下配置附件文件名过滤(attach)。
[Secpath]firewall smtp-filter attach add word
[Secpath]firewall smtp-filter attach add huawei
[Secpath]dis firewall smtp-filter attach item-all

   SN  Match-Times  Keywords

   ----------------------------------------------

    1          0    word

    2          0    huawei

4.  在系统视图下配置内容过滤(content)。
[Secpath]firewall smtp-filter content load-file 123.txt

[Secpath]dis firewall smtp-filter content item-all

   SN  Match-Times  Keywords

   ----------------------------------------------

    1          0    安全

    2          0    gogo

5.  在系统视图下配置收件人过滤(rcptto)。
[Secpath]firewall smtp-filter rcptto add deny yuyankui@126.com
[Secpath]dis firewall smtp-filter rcptto item-all
   SN  Match-Times  Keywords

   ----------------------------------------------

    1          0    <deny>yuyankui@126.com

6.  在系统视图下配置主题过滤(subject)。
[Secpath]firewall smtp-filter subject load-file 456.txt
[Secpath]dis firewall smtp-filter subject item-all

   SN  Match-Times  Keywords

   ----------------------------------------------

    1          0    公告

    2          0    案例

    3          0    安全

    4          0    gogo

 

 『注意事项』:

1、  目前可对邮件的附件文件名(attach)、内容(content)、收件人(rcptto)、主题(subject)进行过滤。
2、  开启附件文件名(attach)、内容(content)、收件人(rcptto)、主题(subject)过滤,要先配置ASPF策略,detect smtpdetect tcp,才能使以上过滤功能生效。
3、  在配置ASPF时,ASPFACL分别应下发在内网接口的inboundoutbound方向。
4、  SMTP是发送邮件协议,因此在发送邮件时进行相关的过滤。
 

 

3.7        ***防范

『组网需求』:

      要求防火墙的***防范功能能够检测出多种类型的网络***,并能采取相应的措施保护内部网络免受恶意***,保证内部网络及系统的正常运行。
『配置实例』:

1.  在“trust”和“untrust”域当中启用报文统计功能。
[Secpath]firewall zone trust
[Secpath-zone-trust]statistic enable ip inzone
[Secpath-zone-trust]statistic enable ip outzone
[Secpath]firewall zone untrust
[Secpath-zone-untrust]statistic en ip inzone
[Secpath-zone-untrust]statistic en ip outzone
2.  在系统视图下开启所有的***防范功能。
[Secpath]firewall defend all

3.  对于相应的防范功能的意义,请查看相关资料。
 

 『注意事项』:

1、   1,对于***防范功能,某些是可以在透明模式下使用。例如:IP欺骗***防范功能就不可以在透明模式下使用。
2、必须在域中使能受保护域的IP统计功能。
3SecPath的系统统计功能提供了对连接数量、连接速率的限制,在配置流量限制功能前,必须开启对应的统计功能。
4、请慎重使用关闭系统统计功能的命令,如果关闭系统统计功能后,和系统统计相关的检测功能也失效。