实验九：防火墙安全认证和审计实验

【实验目的】

通过配置防火墙安全配置，实现防火墙内部行为管控和审计。

【知识点】

入侵保护、安全防护配置。

【场景描述】

在企业信息系统中新增了Web服务器、重要文件服务器，需要为内部不同部门设置相关的安全策略，例如技术部门可以访问Web服务器，但不能访问重要文件服务器，请根据相关业务和安全需求，实现相关解决方案的设计与实施。工程师在运维过程中发现，考虑到内部网络、DMZ以及互联网之间的通信存在安全威胁，相对各个区域之间通过防火墙做一下安全防护和审计策略，具体要求如下：

• 部门A是张三的客户端，无需进行上网认证，部门B是李四的客户端，需要进行web portal 上网认证。
• 为避免跨部门间通过邮件信息泄露，部门A和部门B之间进行邮件敏感字段审计
• 为避免内部员工遭受钓鱼互联网恶意URL钓鱼或者网络诈骗的的困扰，通过防火墙对恶意站点URL进行过滤（以部门A为例）
• 为防止内部员工通过互联网非法传输公司敏感信息和文件，对部门终端进行文件类型过滤（以excel为例）
• 为防止内部员工通过互联网非法传输敏感信息，造成用户数据泄露，对部门终端进行内容审计（以身份证、电话号为例）

如果你是运维工程师，以上技术需求，该如何实现？

【实验原理】

1.内容审查技术

内容检查是对进出防火墙的数据进行检查，在应用层判断从内部网络流向外部网络的数据中是否包含涉密/敏感信息。防火墙在网络边界实施应用层的内容扫描，实现了实时的内容过滤。内容过滤技术是指采取适当的技术措施，对不良的信息和不安全的内容进行过滤。原理示意图如下图所示。

（1）当流量进入防火墙时，凡是与预先定义的内容协议组（例如HTTP， SNMP，POP3和IMAP等协议）相匹配的所有内容流量，将被引导到TCP/IP协议栈。

（2）当接收到网络流量时开始进行内容扫描。内容流一开始被接收时， TCP/IP栈先建立到客户端和服务器端的连接，然后栈接收数据包，把IP包转换为基于会话的内容流，TCP/IP栈将产生内容流送到业务类型区分器。

（3）业务类型区分器的作用是将内容流按照它们的业务类型而被分开。内容协议携带Web流量（HTTP），邮件流量（SMTP、POP3、IMAP）和其他类型协议将被分开。

（4）经过分类的内容流下一步被输送到相关的解析器。它们能解析和理解高层协议。例如POP3和HTTP协议分别进入POP3解析器和HTTP解析器。解析器分析内容流的内容，这里面的内容有可能包含了病毒/蠕虫、被禁止的内容或其他攻击性的内容等。

（5）数据从解析器输出，分别发送到相应的扫描模块，即病毒扫描模块和内容扫描模块，进行扫描处理；如果数据流包含上传/下载的文件或邮件附件，它就被送入病毒扫描模块。所有其他内容则被路由到内容过滤模块。若文件或附件经检测不存在病毒，则将文件或附件送至内容过滤模块再次检查。

（6）经过检查不存在问题的内容流将被引导回TCP/IP协议栈，并将内容流进行拼接重组转换回IP数据包，最后发送到目的地。

综上描述的是下一代防火墙（NGFW）或UTM（统一威胁管理）设备 最核心的功能之一：应用层内容安全检测 。简单来说，它的核心逻辑是："先拆包看内容，再决定是放行还是拦截"。

总体概念：什么是内容审查？

传统的防火墙只看"信封"（IP头、端口），比如看一眼发件人是谁，收件人是谁，走的是哪个门（端口80）。

而内容审查则是把信封拆开，看里面的"信纸"写了什么（应用层数据）。如果发现信纸里写了脏话（敏感词）、带了违禁品（病毒文件），就直接扣下。

---

逐条深度解读

第一步：流量进入与识别（抓人）

原文：当流量进入防火墙时，凡是与预先定义的内容协议组（例如HTTP, SNMP, POP3和IMAP等协议）相匹配的所有内容流量，将被引导到TCP/IP协议栈。

• 解读：防火墙就像一个海关。它首先看进港的船只（数据包）是运载什么货物的。

• 动作：如果是普通的网页浏览（HTTP）或者收发邮件（POP3/IMAP），海关（防火墙）就会把这些船只引导到专门的"安检通道"（TCP/IP栈准备区），准备进行详细检查。

第二步：建立连接与组装（收信）

原文：当接收到网络流量时开始进行内容扫描。内容流一开始被接收时， TCP/IP栈先建立到客户端和服务器端的连接，然后栈接收数据包，把IP包转换为基于会话的内容流...

• 解读：因为网络数据是分成很多小包裹（数据包）传输的，防火墙必须在内存里把这些小包裹重新拼凑成一封完整的"信"。

• 动作：防火墙先建立好连接，等待所有的数据片段到达，把它们组装成一条完整的"内容流"，然后才准备开始读这封信。

第三步：业务类型区分（分拣信件）

原文：业务类型区分器的作用是将内容流按照它们的业务类型而被分开。内容协议携带Web流量（HTTP），邮件流量（SMTP、POP3、IMAP）和其他类型协议将被分开。

• 解读：信组装好了，海关人员要看这是什么类型的信。是情书（Web浏览）？是账单（邮件）？还是挂号信（SNMP）？

• 动作 ：业务类型区分器就像一个分拣员，把Web流量（HTTP）、邮件流量（SMTP/POP3）分门别类，送往不同的处理部门。

第四步：协议解析（翻译信件）

原文：经过分类的内容流下一步被输送到相关的解析器。它们能解析和理解高层协议...解析器分析内容流的内容，这里面的内容有可能包含了病毒/蠕虫、被禁止的内容或其他攻击性的内容等。

• 解读：不同国家的信件写法不一样。解析器就是翻译官。

• 动作：

  • HTTP解析器：专门懂网页代码，能把乱码HTML翻译成人类能看懂的文字和图片链接。

  • POP3解析器：专门懂邮件格式，能把邮件正文和附件分离出来。

  • 目的：提取出真正需要检查的核心数据，看看里面有没有明显的恶意特征。

第五步：双模块扫描（安检与审查）

原文：数据从解析器输出，分别发送到相应的扫描模块，即病毒扫描模块和内容扫描模块...若文件或附件经检测不存在病毒，则将文件或附件送至内容过滤模块再次检查。

• 解读：这是最关键的一步，有两个安检门：

  1. 病毒扫描模块 ：专门针对文件/附件。如果发现了.exe病毒、宏病毒，直接拦截。

  2. 内容过滤模块 ：专门针对文字内容。检查正文里有没有骂人的话、有没有身份证号、银行卡号等敏感词。

• 逻辑：如果是附件，先查毒（没毒也不代表能过），查完毒还要送去内容过滤模块看一眼（比如这个Excel文件虽然没毒，但里面全是公司机密）。

第六步：放行或阻断（通关）

原文：经过检查不存在问题的内容流将被引导回TCP/IP协议栈，并将内容流进行拼接重组转换回IP数据包，最后发送到目的地。

• 解读：如果这封信通过了前面的所有检查（没带违禁品、没写敏感词），海关就把信重新封好，打包成标准的快递包裹，继续送往目的地。

• 反面：如果有问题，在这一步之前就会被扔进垃圾桶（阻挡文件）。

---

结合你的实验来看

这个原理图解释了为什么你的实验能做以下几件事：

1. 邮件敏感字段审计：对应步骤3（区分邮件） + 步骤4（邮件解析器） + 步骤5（内容扫描模块找敏感词）。

2. 文件类型过滤（Excel）：对应步骤4（解析出附件） + 步骤5（识别出文件后缀或类型）。

3. 内容审计（身份证/电话）：对应步骤5（内容过滤模块的正则表达式匹配）。

总结

这段原理的核心在于**"深度包检测（DPI）"** 和**"应用层代理"** 。防火墙不再只是一个路障，它变成了一个智能审查员，能够理解网络传输的具体内容，从而实现对行为的精细化管控。

补充知识点：

1.内容审查技术的优点：

• 简单、有效，技术成熟，使用范围广。

• 可对不良信息进行过滤。
  2.内容审查技术的缺点

• 内容过滤实质还是关键字过滤，内容过滤的速度取决于关键字模式的查找速度。如果特征更新速度无法保证，则内容过滤毫无意义。

• 目前大多过滤技术在网络处理的应用层实现，适应性和安全性较差。

• 内容过滤是针对明文进行的，一些经过加密的信息不能进行内容过滤的。如base64编码、SSL、SSH等。

• 内容过滤中的病毒检测过程需要消耗大量资源和时间，当内容过滤完成后，需要对会话进行还原，耗费大量的时间和资源。

【实验设备】

• 服务器：Centos 7 1台，Windows server 2008 1台，windows server 2016 1台；
• 安全设备：防火墙 1台；
• 网络设备：交换机 1台，路由器 1台；
• 终端设备：windows 7 2台，windwos 10 1台

【实验拓扑】

拓扑说明：

本拓扑模拟的一个完整的企业网网络功能，受资源限制，不能完全仿真，仅对关键功能和区域进行模拟。

企业网络总共分为9个安全区域，互联网电信、互联网联通、运维区、DMZ区域、部门A、部门B、部门C、数据中心、DNS服务器。其中：

• 互联网电信、互联网联通属于企业互联网边界，拓扑模拟了两条运营商链路，一条来自电信，一条来自联通。
• 运维区属于运维人员对设备进行管理和运维的区域，包括设备巡检、日志分析、设备升级等工作
• DMZ区域也叫隔离区或者非军事化管理区。企业中对互联网开放的服务和应用如门户网站、邮件系统都部署在DMZ区域。
• 部门A、部门B、部门C模拟的是企业内部各个部门。由于部门之间的业务不尽相同，通常他们的网络也是有区别管理的，如销售部、财务部、研发部，其权限是不同的。
• 数据中心属于企业中最核心、最有价值的区域，所有核心数据如研发数据、生成材料、财务数据、企业管理数据都存于此处，仅向有权限的人或部门开放。
• DNS服务器用于模拟内、外网DNS服务器，主要用作内、外网域名服务解析使用。

本次实验并不会用到所有资源，仅启用拓扑中蓝色高亮图标设备。

【实验思路】

1. 配置web portal认证；
2. 配置邮件审计；
3. 配置恶意URL防护；
4. 配置敏感文件过滤；
5. 配置特殊行为管控（防泄漏）。

【实验预期】

1. 部门A终端免认证上网，部门B终端需要认证通过之后才能访问联通互联网。
2. 部门B通过李四账户向部门A张三发送含有敏感字段的邮件被阻拦。
3. 部门A在访问恶意URL时被阻断，访问正常网站时可以通信。
4. 部门A终端在互联网共享平台上传和下载excel时都被阻拦。
5. 部门A和部门B在上传身份证号码敏感信息时都被阻拦。

【实验步骤】

1.配置web portal认证

1.1核心概念

Web Portal 认证（或称强制门户认证）是一种三层以上的身份认证机制。

原理：当用户（如部门B的李四）首次访问互联网时，防火墙会劫持（Hijack）HTTP/HTTPS请求，并返回一个由防火墙自身提供的认证页面（Portal页面），而不是直接放行流量。

免认证（例外放行）：对于部门A的张三，防火墙通过策略匹配其IP/MAC/用户组，直接放行流量，不进行劫持。

1.2为什么需要区分部门A和部门B？

这体现了**"最小权限原则"与"责任追溯"**。

（1）目前部门A和部门B都可以正常访问联通区域的网站。接下来需要为这两个部门配置安全认证策略。首先需要配置用户。假设内部员工"张三"属于部门A，员工"李四"属于部门B。登录管理终端，打开浏览器并访问防火墙地址https://10.0.0.1，进入防火墙web管理界面，单击【对象配置】→【用户】→【用户】菜单，在【用户】配置页面中，点击【+添加】按钮进行认证用户添加

（2）在弹出的【添加认证用户】对话框中，【名称】输入zhangsan，【密码】和【确认密码】均输入123456，【有效期至】不填写内容默认为永久有效。配置完成后，单击【确定】按钮，关闭【添加认证用户】对话框，如图所示。依据用户zhangsan添加方式，继续添加用户lisi（此处添加过程省略），其中【名称】输入lisi，【描述】填写"李四"，【密码】和【确认密码】均输入123456，【有效期至】不填写内容默认为永久有效。

（3）为方便管理，通常是将多个本地用户进行分组管理，可对认证用户组中的成员进行批量绑定或解除绑定。单击【对象配置】→【用户】→【用户组】菜单，进入【用户组】配置页面，单击【用户组】配置页面下的【+添加】按钮

（4）在弹出的【添加认证用户组】对话框中，【名称】填入"部门A员工"，【成员】的【可选】列表中，选择刚刚创建的认证用户zhangsan，单击向右箭头，将zhangsan用户加入到【已选】列表中，配置完成后，单击【确定】按钮

（5）同样操作，把lisi用户添加到"部门B员工"组中。添加完毕后可在用户组列表中查看到相关条目

（6）接下来配置认证用户角色，认证用户角色是对认证用户实现基于用户角色的管理方式，认证用户角色需要用户添加角色名称，在对认证用户进行角色批量绑定或者解除绑定。单击【对象配置】→【用户】→【用户角色】菜单，进入【用户角色】配置页面，单击【用户角色】配置页面下的【+添加】按钮

（7）在弹出的【添加认证用户角色】对话框中，【名称】填入"员工"， 【成员】的【可选】列表中，选择刚刚创建的认证用户zhangsan和lisi，单击向右箭头，将zhangsan和lizi用户加入到【已选】列表中，配置完成后，单击【确定】按钮，关闭【添加认证用户角色】对话框

（8）返回至【用户角色】配置页面，可查看到配置成功的【员工】用户角色

（9）完成认证用户配置后，需要配置认证服务器。单击【对象配置】→【用户】→【认证服务器】菜单，进入【认证服务器】配置页面，防火墙默认包含一个local认证服务器，该服务器不可删除。单击local右侧【操作】列中的笔型标志，编辑local认证服务器信息

（10）在弹出的【编辑认证服务器】对话框中，【用户成员】的【可选】列表中，选择认证用户zhangsan、lisi，单击向右箭头，将zhangsan和lisi用户加入到【已选】列表中，配置完成后，单击【确定】按钮，关闭【编辑认证服务器】对话框

（11）返回至【认证服务器】配置页面中，可查看local右侧【详细信息】中显示2 members

（12）设置好认证用户和认证服务器后，需要将IP地址与认证用户进行绑定，绑定方式可通过手工绑定或AD联动。其中绑定后的用户属于免认证用户，可以直接访问互联网，而非绑定用户属于认证用户，在连接互联网时，需要进行认证。本实验中只对zhangsan用户采用手动绑定方式，lisi用户不绑定。Zhangsan用户IP为内网IP地址为172.16.1.2。单击【对象配置】→【用户】→【手工绑定】菜单，进入【手工绑定】配置页面，单击【手工绑定】配置页面下的【+添加】按钮

（13）在弹出【添加手工绑定】对话框中，【认证服务器】选择默认的local选项，【用户名】选择zhangsan选项，【IP地址】填入172.16.1.2。配置完成后，单击【确定】按钮，关闭【添加手工绑定】对话框。

（14）返回至【手工绑定】配置页面中，可查看到配置成功的手工绑定列表

（15）认证用户相关配置完成后，配置安全认证策略。单击【策略配置】→【安全认证】→【WEB认证】菜单，进入【WEB认证】配置页面，勾选【WEB认证】旁的【启用】选项，【认证模式】选择HTTP选项，【HTTP端口】使用默认的配置65080，【登录配置】模块采用默认参数即可，由于使用的是HTTP方式，因此【HTTPS配置】不需调整，单击【应用】按钮

（16）弹出【提示】对话框，可看到防火墙提示执行成功。单击【确定】按钮，关闭"提示"对话框。

（17）配置认证策略。单击【策略配置】→【安全认证】→【认证策略】菜单，进入【认证策略】配置页面，单击【认证策略】配置页面下的【+添加】按钮

（18）在弹出的【添加认证策略】对话框中，【名称】输入"部门A-联通上网认证"，【动作】选择"WEB认证"，【源安全域】选择"部门AB安全域"，【目的安全域】选择"联通安全域"，【源地址】选择"部门A地址段，【目的地址】选择"联通地址段"，【认证服务器】选择"local"。配置完成后，点击【确定】按钮，关闭"添加认证策略"对话框，如图所示

（19）继续添加认证策略。【名称】输入"部门B-联通上网认证"，【动作】选择"WEB认证"，【源安全域】选择"部门AB安全域"，【目的安全域】选择"联通安全域"，【源地址】选择"部门B地址段"，【目的地址】选择"联通地址段"，【认证服务器】选择"local"。配置完成后，点击【确定】按钮，关闭"添加认证策略"对话框

（20）返回至【认证策略】配置页面中，可查看到添加成功的认证策略，如图所示。

2.配置邮件审计

这段配置步骤的核心目的是实现**"基于特定收件人/发件人的邮件阻断"**。

通俗地说，就是告诉防火墙："只要邮件是发给张三（zhangsan），或者是李四（lisi）发出来的，就直接拦截，不许发送。"

（1）在未配置邮件过滤配置时，先验证一下邮件跨部门能否正常通信。登录管理终端，访问防火墙配置页面添加部门B访问dmz区域（注：公司内网邮件服务器部署于DMZ服务器之上）安全策略。具体操作为单击【策略配置】→【安全策略】菜单，点击左上角【+添加】按钮，进行策略添加

（2）在所弹出策略添加对话框中填写相关信息，其中【名称】填写"部门B-DMZ"，【动作】选择"允许"，【源安全域】选择"部门AB安全域"，【目的安全域】选择"dmz"，【源地址/地区】选择"部门B地址段"，【目的地址/地区】选择"DMZ服务器"，【服务】选择any，其他选项默认或者"any"，点击【确定】按钮完成策略配置，如图所示。

（3）添加完成后，即可在安全策略列表中查看到相关信息，如图所示。

（4）接下来使用部门B用户李四的邮件账户（lisi@shangcheng.com）向无关部门A用户张三（zhangsan@shangcheng.com）发送泄密邮件。具体操作为登录部门B终端（由于用作部门B访问DMZ服务器的安全策略为该实验临时创建，因此在该安全策略未完成创建之前，部门B终端中的邮件客户端会向DMZ服务器中的邮件服务端发起请求，此时就会出现连接超时问题，在桌面所弹出的"脱机工作"对话框中点击【重试(T)】按钮，重新建立邮件服务连接），打开foxmail邮件客户端，复制桌面"公司外网漏洞信息.txt"文件中的内容作为邮件内容，并进行发送，如图所示。

（5）同样在部门A终端中，张三也能正常接受且能回复邮件，具体操作切换到部门A终端上，打开foxmai邮件客户端，点击【收取】按键，即可接收到邮件，并且还能对邮件进行回复，如图所示。

第一阶段：建立"黑名单词库" (步骤 6-14)

【操作本质】：定义什么是"敏感信息"。这里不是指"内容敏感"，而是指"人敏感"。

解析：

###### 步骤6-11：你在防火墙里建立了一个叫**"邮件审计1"** 的词库，里面录入了关键词 `zhangsan`。又建了一个**"邮件审计2"** ，录入了 `lisi`。

###### **目的** ：把"人"变成"特征码"。防火墙不懂人情世故，它只认识字符。现在它知道了：`zhangsan`= 敏感词A，`lisi`= 敏感词B。

（6）为了避免此类敏感信息的泄露，下面在防火墙上配置邮件过滤策略，对两位员工通信进行屏蔽。切换到防火墙管理终端，登陆防火墙web管理界面，单击【对象配置】→【关键字组】菜单，进入【关键字组】配置页面，单击【关键字组】配置页面下的【+添加】按钮。配置关键字组对象，如图所示。

（7）在弹出的【添加关键字组】对话框中，【名称】填入"邮件审计1"，【命中数】配置为1（方便验证实验效果，匹配数设定为1），【匹配条件】选择【只要有1个关键字命中】选项）。单击【自定义关键字列表】配置模块中的【+添加】按钮，如图所示。

（8）在弹出的【添加自定义关键字】对话框中，【名称】填入"张三"，【匹配模式】选择【文本】选项，【匹配串】填入zhangsan，配置完成后，单击【确定】按钮，关闭【添加自定义关键字】对话框，如图所示。

（9）确定后返回添加列表，确认张三添加的信息，如图所示。

（10）同样方式，将用户lisi也添加为关键字，如图所示

（11）点击确定后，返回至【关键字组】配置页面，可查看配置成功的关键字组对象，选中【邮件审计1】和【邮件审计2】前边的方框，单击【关键字组】配置页面中的【提交】按钮，如图所示。

（12）在弹出的【确认】对话框中，单击【确认】按钮，关闭【确认】按钮，如图所示。

（13）在弹出的【提示】对话框中，可以看到"执行成功"的提示，单击【确定】按钮，关闭【提示】对话框，如图所示。

（14）返回至【关键字组】配置页面，可查看到已经提交成功的关键字组对象，如图所示。

第二阶段：制定"拦截规则" (步骤 15-18)

【操作本质】：编写逻辑判断语句（IF-THEN）。

解析：

###### 步骤15-16：新建一个叫**"邮件过滤"**的大规则包。

###### 步骤17（**最关键的逻辑**）：你在这个规则包里下了一道死命令：

*

  ###### **规则名称**："邮件过滤策略"

*

  ###### **触发条件**：

  *

    ###### **发件人** ​ 包含 `lisi`(来自邮件审计2) **OR**

  *

    ###### **收件人** ​ 包含 `zhangsan`(来自邮件审计1)

*

  ###### **执行动作** ：**阻断**​ (Block)

###### **逻辑翻译**：

*

  ###### *如果（发件人是李四）或者（收件人是张三），那么（禁止发送）。*

（15）接下来配置邮件过滤策略。单击【对象配置】→【安全配置文件】→【邮件过滤】菜单，进入【邮件过滤】配置页面，单击【邮件过滤】配置页面下的【+添加】按钮，如图所示。

（16）在弹出的【添加邮件过滤】对话框中，【名称】填入"邮件过滤"，【默认动作】选择"允许"，单击【策略列表】配置模块中的【+添加】按钮，如图所示。

（17）在弹出的【添加策略列表】对话框中，【名称】填入"邮件过滤策略"，【发件人关键字】选择"邮件审计2"，【收件人关键字】选择邮件审计1选项，【操作方式】选择"发送"选项，【默认动作】选择"阻断"，配置完成后，点击【确定】按钮，关闭"添加策略列表"对话框，如图所示。

（18）返回至"添加邮件过滤"对话框中，单击【确定】按钮，关闭对话框，如图所示。

第三阶段：绑定"安检通道" (步骤 19-21)

【操作本质】：将规则应用到具体的网络路径上。

解析：

###### 步骤19-21：你之前已经有一条允许"部门A/B访问DMZ（邮件服务器）"的策略（步骤1-3）。

###### 现在，你在这个"允许通过"的门上，加装了一个**"内容安检机"**（引用安全配置文件 -\> 邮件过滤）。

###### **目的**：意思是"流量可以走这条路，但必须先过安检机，如果触发了刚才设定的'李四发信'或'发给张三'规则，就在门口拦下来"。

（19）接下来加载策略。单击【策略配置】→【安全策略】菜单，进入【安全策略】配置页面中，找到【部门A-DMZ】策略，点击编辑，如图所示。

（20）在弹出的【编辑安全策略】对话框中，单击下方的【高级配置】折叠按钮，【配置文件类型】选择【安全配置文件】，在下方的引用安全配置文件列表中，【邮件过滤】选择"邮件过滤"。配置完成后，单击【确定】按钮，关闭【编辑安全策略】对话框，如图所示。

（21）同样方式，编辑"部门B-DMZ"安全策略，在弹出的【编辑安全策略】对话框中，单击下方的【高级配置】折叠按钮，【配置文件类型】选择【安全配置文件】，在下方的引用安全配置文件列表中，【邮件过滤】选择"邮件过滤"。配置完成后，单击【确定】按钮，关闭【编辑安全策略】对话框。如图所示。

3.配置恶意URL防护

这段配置步骤的核心目的是实现**"基于URL特征的网页访问阻断"**。

通俗地说，就是告诉防火墙："凡是访问这个赌博网站（URL）的请求，一律拦截，不让内部员工看到。"

建立"黑名单网站库" (步骤 2-4)

【操作本质】：定义什么是"非法网站"。

解析：

###### 步骤2：你进入了防火墙的**"URL分类管理"**界面。这里通常预置了很多分类（如"色情"、"赌博"、"钓鱼"），你也可以自定义。

###### 步骤3（**关键操作** ）：你创建了一个自定义的黑名单分类，名叫**"非法博彩链接"**。

###### **URL填写技巧** ：你填入了 `/*`。这是一种**通配符** 用法。意思是"只要网址里包含 `/`这个通用路径的，都算匹配"。在这个实验的特定语境下，它的真实含义是**"精确匹配实验手册指定的那个赌博测试网站"** 。在实际生产中，这里会填写具体的域名（如 `*.bet.com`）或URL路径。

###### **父类选择**：把它归到"安全隐患"下面，方便统一管理。

###### **目的**：把"具体的网址"变成防火墙能识别的"特征码"

（1）联通互联网区域的网站被篡改，下面被挂入了非法赌博网站，在未对防火墙进行安全配置之前，首先看一下赌博网站访问情况。切入到部门A终端，打开浏览器，输入网址"www.any.com/bocai",显示的是非法博彩页面，如图所示。

（2）为了防止内部员工遭受非法博彩的困扰，需要在防火墙上配置安全策略，对非法URL进行过滤。具体操作，切换到防火墙管理终端，打开防火墙的web管理界面。单击【对象配置】→【URL分类】菜单，进入【URL分类】配置页面，在【URL分类】配置页面下，单击【+添加】按钮，如图所示。

（3）在弹出的【添加自定义URL分类】对话框中，【名称】填入非法博彩链接，【父类】可以选择【安全隐患】选项，【URL】填入www.any.com/bocai/*，此网站是本实验的目标网站。配置完成后，单击【确定】按钮，关闭【添加自定义URL分类】对话框，如图所示。

（4）添加完成后，回到URL分类主界面，对刚才添加的非法链接进行提交（注：所弹出对话框依次点击"【确定】按钮），如图所示。

(5-7)配置步骤是**"恶意URL防护"实验的收尾阶段** ，核心目的是将之前定义的"非法博彩网站黑名单"真正应用到网络流量中，实现**"访问即阻断"**。

制作"拦截规则包" (步骤 5-6)

【操作本质】：创建一个具体的执行计划（安全配置文件），告诉防火墙遇到黑名单该怎么办。

解析：

###### 步骤5：进入 **【URL过滤】**​ 配置界面。这里就是防火墙的"杀毒软件定义区"。

###### 步骤6（**关键配置** ）：你创建了一个名为 **"博彩网站过滤"**​ 的规则包。

*

  ###### **默认动作**：设为"阻断"。意思是"除非我允许，否则都拦住"（这是一种白名单思维，但在这个实验里主要用来拦黑名单）。

*

  ###### **引用黑名单** ：你在规则里勾选了之前创建的 **"非法博彩链接"** ​ 分类，并明确将其动作设为 **"阻断"**。

###### **逻辑翻译**：

*

  ###### *如果（访问的URL命中了"非法博彩链接"分类），那么（执行阻断动作）。*

（5）完成URL分类对象配置后，配置安全配置文件，对URL分类对象进行引用。单击【对象配置】→【安全配置文件】→【URL过滤】菜单，进入【URL过滤】配置页面，单击【URL过滤】配置页面下的【+添加】按钮

（6）在弹出的"添加URL过滤"对话框中，【名称】填入"博彩网站过滤"，【动作】选择"阻断"，在【规则】配置模块中，单击【URL分类】选项卡，将【非法博彩链接】一行右侧的【动作】设置为"阻断"。配置完成后，点击【确定】按钮，关闭对话框，如图所示。

挂载"安检机" (步骤 7-8)

【操作本质】：将规则应用到具体的网络路径上，让流量强制接受检查。

解析：

###### 步骤7：找到之前已经存在的 **"部门A-联通"**​ 安全策略。这条策略原本的作用是允许部门A访问联通互联网。

###### 步骤8（**核心生效步骤** ）：你修改了这条"允许通过"的策略，在它的 **【高级配置】** ​ 里，加装了一个 **"安检机"**（引用安全配置文件 -\> URL过滤 -\> 博彩网站过滤）。

###### **目的** ：意思是"部门A的流量可以去联通上网，但**必须先过URL安检机**，如果安检机说这个URL是博彩网站，就别放过"。

（7）单击【策略配置】→【安全策略】菜单，进入【安全策略】配置页面中，找到【部门A-联通】策略进行编辑

（8）在弹出的【编辑安全策略】对话框中，单击下方的【高级配置】折叠按钮，【配置文件类型】选择"安全配置文件"选项，在下方的引用安全配置文件列表中，【URL过滤】选择"博彩网站过滤"。配置完成后，单击【确定】按钮，关闭编辑安全策略对话框，如图所示。

4.配置敏感文件过滤

这段配置步骤的核心目的是实现**"基于文件后缀名的敏感数据防泄漏（DLP）"**。

通俗地说，就是告诉防火墙："凡是内部员工想通过互联网上传或下载 Excel 文件（.xls/.xlsx），一律拦截。"

第一阶段：验证"患病状态" (步骤 1)

【操作本质】：确认攻击确实存在，建立基准线。

（1）为了避免公司内部核心资料泄密到互联网上，需要对特殊敏感文件进行过滤审计。目前联通互联网上有员工私自搭建了一套共享平台，访问地址http://10.150.50.2:8080,首先看一下在没有防护的情况下进行访问和上传excel文件的操作。切换到部门A终端，打开浏览器，输入地址http://10.150.50.2:8080，进入到共享目录，下载"应收账款账龄分析表.xls"文件和上传"销售预算分析表xls"文件（注：该文件存放在桌面"财务报表-商业秘密"文件夹中），发现均可正常完成，如图所示。

第二阶段：制定"拦截规则包" (步骤 2-6)

【操作本质】：定义什么是"敏感文件"以及如何处理。

• 解析：

  • 步骤2-5：你进入 【文件过滤】 ​ 配置界面，创建了一个名为 "文件过滤策略" ​ 的大规则包，并在其中添加了一条具体的规则 "excel文件防护"。

  • 关键参数解读：

    • 应用：选"常用协议"。这意味着防火墙会在 HTTP、FTP 等常用文件传输协议中检查文件。

    • 文件类型 ：选 xls和 xlsx。这是基于后缀名的检测，不是基于文件内容。

    • 方向 ：选"双向"。意思是既防上传（出），也防下载（入）。

    • 动作：选"阻断"。

  • 逻辑翻译：

    • 如果在常用协议里发现了 .xls 或 .xlsx 文件，不管是上传还是下载，都直接拦下来。

（2）下面我们在防火墙上做关于Excel文件的防护策略。切换到防火墙管理终端，单击【对象配置】→【安全配置文件】→【文件过滤】菜单，进入文件过滤配置页面，点击左上角的【+添加】按钮进行策略添加，如图所示。

（3）在弹出的【添加文件过滤】对话框中，【名称】填入"文件过滤策略"，在【规则列表】配置模块中单击【+添加】按钮，如图所示。

（4）在弹出的添加规则对话框中，【名称】输入"excel文件防护"，【应用】选择"常用协议"，即本过滤规则只对此应用有效，【文件类型】选择"xls"和"xlsx"，即本规则要过滤xls和xlsx类型文件，【方向】选择"双向"，【动作】选择"阻断"。配置完成后，点击【确定】按钮完成规则添加，如图所示。

（5）返回至"添加文件过滤"对话框，点击【确定】按钮，关闭对话框，如图所示

（6）添加完成后，即可在文件过滤规则列表中查看到相关信息，如图所示。

挂载"安检机" (步骤 7-8)

【操作本质】：将规则应用到具体的网络路径上。

解析：

###### 步骤7-8：你找到了之前允许"部门A访问联通互联网"的 **【部门A-联通】**​ 安全策略。

###### 在它的 **【高级配置】** ​ 里，你加装了一个 **"安检机"**（引用安全配置文件 -\> 文件过滤 -\> 文件过滤策略）。

###### **目的** ：意思是"部门A的流量可以去联通上网，但**必须先过文件安检机**，如果安检机发现是 Excel 文件，就在门口拦下来"。

（7）接下来需要将已创建的策略加载到安全策略中。单击【策略配置】→【安全策略】菜单，进入安全策略配置页面中，编辑名称为"部门A-联通"安全策略，如图所示。

（8）在弹出的【编辑安全策略】对话框中，单击下方的【高级配置】折叠按钮，【配置文件类型】选择"安全配置文件"，【文件过滤】选择"文件过滤策略"。配置完成后，点击【确定】按钮完成策略编辑，如图所示。

5.配置特殊行为管控（防泄露）

核心目的是实现**"基于内容特征（身份证号）的深度防泄漏（DLP）"**。

通俗地说，就是告诉防火墙："不管员工传输的是什么文件（哪怕是.txt文本），只要内容里包含'身份证号'这几个字，或者符合身份证格式，一律拦截。"

第一阶段：制定"内容安检标准" (步骤 1-4)

【操作本质】：创建一个基于"关键字"的内容识别规则。

解析：

###### 步骤1-4：你进入了 **【内容过滤】** ​ 配置界面，创建了名为 **"身份证信息过滤"** ​ 的规则包，并添加了一条具体规则 **"身份证过滤规则"**。

###### **关键参数解读（与之前的区别）**：

*

  ###### **关键字** ：选了 **"身份证号"** 。这是**基于内容**的检测，而不是基于文件名或后缀。

*

  ###### **文件类型** ：选了 **"全部"** 。这意味着**无论传输的是Word、Excel、PDF还是纯文本，只要内容里有身份证号，都要检查**。

*

  ###### **方向** ：**"双向"**。既阻止员工把含有身份证的信息发给外网，也阻止外网把含有身份证的信息传给员工（虽然防泄露主要是防发出）。

*

  ###### **动作** ：**"阻断"**。

###### **逻辑翻译**：

*

  ###### *如果在网络流量中扫描到了"身份证号"这个关键字，不管它在哪个文件里，直接切断连接。*

（1）为了减少信息泄露的风险，需要在部门A和部门B两个区域做重要信息防护，例如身份证信息等（注：在没有做防护之前，部门A和部门B可以向联通互联网上传任意文件）。接下来需要在防火墙上做内容审计策略。登录管理终端，打开浏览器并访问防火墙web管理界面，单击【对象配置】→【安全配置文件】→【内容过滤】菜单，进入内容过滤配置页面，点击【+添加】按钮进行过滤策略添加，如图所示。

（2）在弹出的添加内容过滤对话框中填入相关信息，其中【名称】填入"身份证信息过滤"，在规则列表选项中单机【+添加】按键，如图所示。

（3）在弹出的添加规则对话框中，完成详细规则信息。其中【名称】填写"身份证过滤规则"，【应用】选择"常用协议"，【关键字】选择"身份证号"，【文件类型】选择"全部"，【方向】选择"双向"，【动作】选择"阻断"，单击【确定】按钮完成规则配置，如图所示。

（4）添加完成后，即可在内容过滤列表中查看到相关信息，如图所示。

为部门A挂载"安检机" (步骤 5-6)

【操作本质】：将内容过滤规则应用到部门A的外网访问策略上。

解析：

###### 步骤5-6：找到 **【部门A-联通】** ​ 策略，在 **【高级配置】** ​ 里引用了刚才建的 **"身份证信息过滤"**。

###### **目的**：部门A的员工现在访问互联网时，除了之前可能有的URL过滤、文件过滤，又多了一层"身份证号内容审查"。

（5）将已创建的过滤规则加载到安全策略中，具体操作单击【策略配置】→【安全策略】菜单，进入安全策略配置页面中，对名称为"部门A-联通"安全策略进行编辑，如图所示。

（6）在弹出的【编辑安全策略】对话框中，单击下方的【高级配置】折叠按钮，【配置文件类型】选择"安全配置文件"，在下方的引用安全配置文件列表中，【内容过滤】选择"身份证信息过滤"，配置完成后，单击【确定】按钮完成策略修改。至此，内容过滤设置生效，如图所示。

为部门B挂载"多重安检机" (步骤 7-8)

【操作本质】：为部门B配置一套"组合拳"防护策略。

解析：

###### 步骤7-8：编辑 **【部门B-联通】**​ 策略。

###### **重点** ：这里引用了**多个**安全配置文件：

1.

   ###### **内容过滤**：身份证信息过滤（防身份证泄露）

2.

   ###### **URL过滤**：博彩网站过滤（防访问赌博网站）

3.

   ###### **文件过滤**：文件过滤策略（防传输Excel文件）

###### **目的**：部门B受到的保护更全面，三重关卡同时生效。

###### **隐含逻辑** ：这说明在实际业务中，**不同部门可能有不同的安全级别**。部门A可能只需要防身份证泄露，而部门B（可能是财务或销售）需要防文件、防网址、防身份证全方位保护。

（7）同样方式，将内容过滤规则加载到"部门B-联通"安全策略中，具体操作单击【策略配置】→【安全策略】菜单，进入安全策略配置页面中，对名称为"部门B-联通"安全策略进行编辑，如图所示。

（8）在弹出的【编辑安全策略】对话框中，单击下方的【高级配置】折叠按钮，【配置文件类型】选择"安全配置文件"，在下方的引用安全配置文件列表中，【内容过滤】选择"身份证信息过滤"，以及配置前置操作所添加的审计策略，其中【URL过滤】选择"博彩网站过滤"，【文件过滤】选择"文件过滤策略"。配置完成后，点击【确定】按钮完成策略修改，至此，内容过滤设置生效，如图所示。

【实验结论】

1.部门A终端免认证上网，部门B终端需要认证通过之后才能访问联通互联网。

（2）登录部门B终端，打开浏览器并访问www.any.com地址，发现需要进行认证操作后才能进行访问，如图所示。

（3）在web认证登录界面，输入用户名lisi，密码123456，点击【立即登录】按钮进行登录，如图所示。

（4）在浏览器中打开新的标签页，输入域名地址www.any.com进行访问，如图所示。

（5）综上实验，部门A张三配置用户名和IP绑定，访问互联网时免认证，而部门B李四未配置用户名和IP绑定，需认证通过后才能正常上网，满足实验预期1。

2.部门B通过李四账户向部门A张三发送含有敏感字段的邮件被阻拦。

（1）使用部门B李四向部门A张三再次发邮件测试。切换到部门B终端，打开lisi邮件，编辑邮件进行发送，出现发送不成功的情况，如图所示。

（2）切换至部门A终端，使用张三邮箱账户编辑邮件发送部门B终端李四邮件账户，发现可以进行正常通信，如图所示。

（3）切换至管理终端，打开防火墙web管理界面，查看防护日志，发现存在邮件过滤日志信息。具体操作单击【数据中心】→【日志】→【邮件过滤日志】菜单，在邮件过滤日志列表中可查看到相关信息，如图所示。

（4）综上所述，部门B李四账户向部门A张三用户所发送含有敏感字段的邮件被阻拦，满足实验预期2。

3.部门A在访问恶意URL时被阻断，访问正常网站时可以通信。

（1）登录部门A终端，再次访问非法博彩网站，发现被阻拦，如图所示

若出现下面的情况

"能正常访问网站"且"没有过滤日志"的情况，说明流量根本没有经过防火墙的拦截引擎。防火墙就像个安检门，如果人没从这个门过，门卫（防火墙）就没法拦住你，自然也不会有记录。你的终端电脑并没有真正把流量交给防火墙处理，而是绕过了防火墙直接访问了互联网。

对比你电脑的 IP 地址

1. 回到你的 Windows 电脑，打开命令提示符（cmd），输入：

   ipconfig

终端（部门A）的 IP 是 172.16.1.2/24，它的正确网关应该是防火墙的 GE2 接口 IP：172.16.3.1 ，而不是 172.16.1.1

（2）当访问正常的网站www.any.com时，页面正常，如图所示。

（3）切换至管理终端，打开防火墙web管理界面，查看URL过滤日志，发现存在URL过滤日志信息。单击【数据中心】→【日志】→【url过滤日志】菜单，在URL过滤日志列表中可查看到相关信息，如图所示。

（4）综上所述，部门A终端访问恶意URL时会被阻断，访问正常网站时可以通信，满足实验预期3。

4.部门A终端在互联网平台上传和下载excel文件时都被阻拦。

（1）登录部门A终端，验证上传和下载是否正常。首先验证下载功能，打开浏览器并访问互联网文件共享平台http://10.150.50.2:8080，进入共享资源库，选中其中的"应收账款账龄分析表.xlsx"文件进行下载，此时会提示下载错误（注：下载时出现页面访问错误属正常现象），如图所示。

（2）继续验证上传功能是否正常。在互联网共享平台中，单机左下角【操作】菜单中的【上传】按键，选择桌面中"财务报表-商务秘密"文件夹下的"成本费用.xlsx"文件，点击【上传】按钮提交上传，此时会提示上传错误，说明防火墙的文件过滤策略已经生效，如图所示。

（3）切换至管理终端，打开防火墙web管理界面，查看防护日志，发现存在内容日志信息。单击【数据中心】→【日志】→【内容日志】菜单，在内容日志列表中可以查看到相关信息，如图所示。

（4）综上所述，部门A终端在互联网共享平台上传和下载excel文件时都会被阻拦，满足实验预期4。

5.部门A和部门B在上传身份证号码敏感信息时都被阻拦。

（1）登录部门A终端，打开浏览器并访问互联网共享平台http://10.150.50.2:8080，上传桌面"测试文件"文件夹中的"身份证信息.txt"文件，点击【上传】按钮提交后显示访问页面被阻拦界面，如图所示。

（2）同样方式，登录部门B终端进行验证，检测内容审计策略是否有效。上传桌面"测试文件"文件夹中的"身份证信息.txt"文件（注：若需进行上网认证，填入用户名lisi，密码123456即可），点击【上传】按钮提交后依然显示阻拦界面，如图所示。

（3）切换至管理终端，打开防火墙web管理界面，查看防护日志，发现新增其他内容日志信息。具体操作单击【数据中心】→【日志】→【内容日志】菜单，在内容日志列表中可查看到相关信息，如图所示。

（4）综上所述，部门A和部门B终端在上传身份证敏感信息时都会被阻拦，满足实验预期5。