什么是文件过滤？

文件过滤有何作用

既防外敌又防内鬼：文件过滤通过识别网络传输中特定的文件类型，检查传入和传出的数据流，筛选允许或阻止特定类型的文件，来减少潜在的威胁，和安全风险。

• 降低病毒文件进入公司内部网络的风险。

  病毒常常包含在可执行文件中，且病毒的反检测和渗透的能力越来越强。因此，阻止内网用户从外网下载可执行文件或阻断外网用户上传可执行文件到内网服务器，可以大大降低病毒进入内网的风险。

• 降低机密信息泄露的风险。

  机密信息一般保存在文档中，而且文档可以被压缩形成压缩文件。员工上传包含机密的文档到外网或者黑客从内网服务器窃取机密文档，都会导致公司机密或用户信息的泄露。因此，阻止内网用户上传文档文件和压缩文件到外网，以及阻止外网用户从内网服务器下载文档文件和压缩文件，可以大大降低机密信息泄露的风险。

• 阻止占用带宽和影响员工工作效率的文件传输。

  公司员工下载大量与工作无关的视频和压缩文件，占用公司网络带宽，降低工作效率。因此，阻止内网用户从外网下载视频和压缩文件，可以保证正常业务的带宽和员工的工作效率。

• 协助企业合规性和政策实施。

  文件过滤可以帮助企业组织实施和遵守法律和内部政策，确保员工在网络上传输的文件，符合安全标准。

文件过滤是如何工作的

文件过滤功能能够识别自身传输的文件类型，并且可以对特定类型的文件进行阻断或告警。

当经过设备的文件（流量）匹配了一条动作为permit且引用了文件过滤配置文件的安全策略规则时，此文件需要进行文件过滤检测。

1. 设备识别出承载文件的应用、文件传输方向、文件类型和文件扩展名。当文件的真实类型无法识别时，防火墙还可以根据文件的扩展名对文件进行过滤。
   • 承载文件的应用：文件是承载在应用协议上传输的，例如HTTP、FTP、SMTP、POP3、NFS、SMB、IMAP。
   • 文件传输方向：包括上传和下载。
   • 文件类型：设备能够识别文件真正的类型。例如：一个Word文档file.doc的文件名可以被修改为file.exe，但是它的文件类型仍然为doc。
   • 文件扩展名：文件名称（包含压缩文件）的后缀。例如：file.doc和file.exe中的doc和exe为文件扩展名。
2. 设备将识别出的文件属性（应用、方向、文件类型、文件扩展名）与管理员定义的文件过滤配置文件的规则进行匹配。

   如果文件的属性与规则的匹配条件全部匹配，则此文件成功匹配文件过滤配置文件的规则。如果其中有一个条件不匹配，则继续匹配下一条规则。以此类推，如果所有规则都不匹配，则设备会允许此文件传输。

   如果文件成功匹配一条规则，设备将会执行此规则的动作。如果动作为“阻断”，则设备会阻断此文件传输。如果动作为“告警”，则设备会允许此文件传输并记录日志。

   更多信息参考华为防火墙产品文档：HiSecEngine USG6000F 产品文档。