瑞星卡卡安全论坛

首页 » 企业产品讨论区 » 瑞星防毒墙5.0、瑞星下一代防火墙 » 瑞星新一代导线式防毒墙应用场景之关键字内容过滤
麦青儿 - 2022-6-9 16:45:00
背景

2021年12月,英国消费者保护组织发布警告称,有攻击者冒充英国国家卫生局(NHS)发送网络钓鱼邮件,这些电子邮件声称为收件人提供免费的Omicron PCR测试,可以帮助他们绕过限制。收件人一旦轻信,将被带到虚假NHS网站,输入其全名、出生日期、家庭住址、手机号码和电子邮件地址,同时还会被要求支付1.24英镑。

由于疫情再次“抬头”,不少网络诈骗或病毒又开始利用“新冠”、“Omicron”等热点作为关键词,诱骗用户点击不明邮件或钓鱼网站,从而进行网络攻击。

利用虚假信息、网络谣言、网络诈骗等方式的攻击已屡见不鲜,这些网络攻击都会通过一些关注度较高的词汇吸引用户眼球,诱导点击或下载恶意信息,从而窃取用户钱财,或传播病毒、盗取用户隐私信息等。

图:假冒英国国家卫生局的钓鱼邮件

麦青儿 - 2022-6-9 16:46:00
场景

由于企业员工经常需要访问互联网并下载各种文件,一旦访问了虚假网站,或下载非法信息(暴力、色情、封建迷信、反动思想和言论)的内容或恶意文件,不仅会给企业造成不良的负面影响,还可能引起病毒在企业内部传播,带来经济损失及商业机密丢失等危害。
因此,在企业网关处针对非法信息或有害信息进行关键字过滤,可以杜绝虚假信息或诈骗信息在企业内网中传播,降低企业被网络攻击的风险。

产品

瑞星新一代导线式防毒墙

解决方案

在互联网出口处部署瑞星新一代导线式防毒墙,配置防毒墙对所有进入企业内网的网络流量进行内容安全过滤,在发现包含异常或非法关键字的内容和文件时,能够及时阻断拦截对应的数据,并记录安全事件日志。
麦青儿 - 2022-6-9 16:46:00
操作方法

1. 配置内容过滤策略

首先增加内容过滤配置文件,点击菜单“策略配置”,再点击左列“网络过滤”下的“内容过滤”,进入内容过滤配置文件的配置管理页面。


新一代导线式防毒墙RSW-NL出厂时未提供默认的内容过滤配置文件,管理员需要根据实际应用需求,创建新的内容过滤配置文件,实现对指定关键字的内容过滤。


点击右上角的“创建配置文件”。


在“创建内容过滤配置文件”页面,填写“配置名称”,点击右侧的“添加规则”,能够为内容过滤配置文件添加过滤规则。


规则按自上而下顺序进行匹配,命中其中一条规则即停止,保证每组规则只产生一条过滤日志。


在规则配置页面,填写“规则名称”,点击“过滤点”,在弹出的下拉菜单中选择一个或多个需要进行内容过滤的过滤点;点击“关键字”,在弹出的下拉菜单中,根据实际情况引用一个关键字对象或关键字组;设置处理动作和日志等级,点击“确定”。


这样就增加了一条新创建的内容过滤配置文件。

麦青儿 - 2022-6-9 16:47:00
2. 创建安全策略并应用内容过滤配置文件

内容过滤安全功能,需要通过安全策略予以应用后才会生效。接下来可以创建一条安全策略来应用内容过滤配置文件。

在“策略配置”页面,点击左侧“安全策略”。进入策略配置页面,可看到出厂有一条自带的“默认全通策略”,不做任何的规则匹配,也不应用任何的安全策略。



点击右上角“创建策略”。在创建策略页面,填写 “策略名称”,点击“配置文件选项”下的“内容过滤文件”,选择已创建的内容过滤配置文件,点击“确定”。




这样就创建了一条应用了内容过滤配置文件的安全策略。此策略当前的状态为“已停用”。其位置在“默认全通策略”之上。
麦青儿 - 2022-6-9 16:47:00
3. 启用安全策略

对刚创建的安全策略还需要进行“启用”才可生效。勾选此安全策略,点击页面上方的“启用”来启用此策略。


此策略变为“已启用”,至此我们配置的安全策略开始生效,其中应用的内容过滤配置文件开始生效,所有经过防毒墙的流量都将按照选择的内容过滤配置文件进行关键字内容过滤。




4. 日志查看

当防毒墙按照以上策略和配置执行并发现有包含指定关键字内容的数据包时,将会进行检测和拦截,阻止异常或非法数据进入内网,可以在内容过滤日志中查看具体检测拦截的结果。

在防毒墙界面点击上方“数据中心”,然后点击左列“日志”下的“内容过滤”,可看到默认显示30天内内容过滤事件日志。

1
查看完整版本: 瑞星新一代导线式防毒墙应用场景之关键字内容过滤