Firewall 即使文件阻止配置文件到位,也不会阻止 txt 文件和脚本文件
14746
Created On 10/28/21 09:49 AM - Last Modified 05/15/23 09:34 AM
Symptom
尽管文件阻止配置文件配置为阻止所有文件,但文本文件和脚本文件未被阻止。
Environment
- 帕洛阿尔托 Firewall
- PAN-OS 10.0
- 配置文件阻止
Cause
- 对于文本文件或脚本文件 PaloAltoFirewall依赖文件类型扩展名。
- 当删除文本文件 (.txt) 扩展名时,它没有任何幻数或标头来识别文件类型。在这种情况下Firewall无法将文件识别为导致问题的文本文件。
Resolution
如果有任何需要保护的数据可能会通过文本文件或脚本文件泄漏,则配置企业数据丢失防护(DLP ) 是最好的选择。
Additional Information
- 帕洛阿尔托Firewall使用多种方法或以下方法的组合来识别文件类型
- 文件扩展名
- 带有元数据的文件头
- 明文文件类型(如 ps1 或 shell 脚本)的特殊关键字(可能与扩展名结合使用)
- 文件类型的性质可能与我们在文件扩展名中看到的不同。
- 要查找文件的真实扩展名或类型,我们可以使用 Linux 命令“file <filename.extn>”
- 或者使用 Linux 命令“xxd -a <filename.extn>| head -10”以十六进制和 ascii 格式显示文件内容,我们可以在其中找到也显示实际文件类型的幻数。