- 设置了内容过滤处理,为什么没起作用?
-
发布时间:2005-12-31 17:40:04
发布时间:2005-12-31 17:40:04
要使内容过滤有效要有以下条件:要正确设置拒绝的内容类型,配置中的都是要拒绝的类型,而不是要接受的类型,不要弄反;要确认内容过滤服务器启动(用“show state”命令);在进行内容过滤的规则之前不要有其他的相同的规则,但action是ACCEPT,使后面得内容过滤规则无效;目前内容过滤服务器只支持对HTTP、FTP、SMTP和POP-3协议的内容过滤,其他类型的协议不处理;在规则中要加入相应的处理内容过滤的规则。 以下例子中,设192.168.1.0/24为内网,172.16.0.2为内部WWW服务器,172.16.0.3为内部FTP服务器,172.16.0.4为内部MAIL服务器。 HTTP内容过滤: “add rule tcp any any www external content” 表示对从任意地址的外网返回的http协议信息进行内容过滤(针对外部返回信息),检查是否有不允许的信息内容; “add rule tcp any 172.16.0.2 www external content” 表示对从任意地址的外网向内网WWW服务器的http协议请求进行内容过滤,检查是否有非法请求在其中(可能的网络攻击),请注意和上一条规则的区别; “add rule tcp 192.168.1.0/24 any www internal content” 表示对从内网发起的http协议请求信息进行过滤(URL过滤); FTP内容过滤: “add rule tcp 192.168.1.0/24 any ftp internal content” 表示对从内网发起的FTP协议请求信息进行过滤。 由于对内部FTP服务器的访问控制可通过FTP配置文件进行,可以不必进行内容过滤; MAIL内容过滤: “add rule tcp 192.168.1.0/24 any pop-3 internal accept” “add rule tcp any any pop-3 external content” 表示对从任意地址的外网返回的POP-3协议信息进行内容过滤(针对外部返回信息),检查是否有不允许的附件文件类型,而对于由内网向外网发出的pop-3请求可以另外加一条规则直接“accept”; “add rule tcp 192.168.1.0/24 any smtp internal content” 表示对从内网发起的SMTP协议请求信息进行过滤(发邮件过滤),由于对内部MAIL服务器的访问控制可通过MAIL配置文件进行,可以不必进行内容过滤。