本机FPolicy文件阻止

最后更新
另存为PDF

Views:: 118

Visibility:: Public

Votes:: 0

Category:: ontap-9

Specialty:: nas

Last Updated:

不可不使用

适用场景

ONTAP 9

问题解答

概述

某些管理员希望具有不允许将某些文件类型存储在文件服务器上的策略。这些文件类型可以是音乐、视频或其他此类文件类型。此类文件的扫描基于
以下两种方式之一：基于文件扩展名（ Data ONTAP 中的本机支持）—例如，阻止所有匹配 *.mp3 的文件。这是一种快速但不太可靠的方法。它不需要对文件进行数据访问。基于文件扩展名的文件阻止的本机支持不需要连接到任何外部 FPolicy 服务器。

基于 File Magic 签名（需要外部服务器）—例如，使用 Magic 和签名匹配 MP3 格式来阻止所有文件。这种速度较慢，因为 FPolicy 服务器需要访问文件中的数据。这一点在签名匹配过程中更加准确、类似于防病毒扫描程序检测病毒的功能。

有关详细信息，请参见以下链接：

ONTAP 9 的 FPolicy 文件阻止

管理员为创建、打开、关闭和重命名请求启用事件。当 FPolicy 服务器收到有关这些事件触发器的通知时、它可以基于两种机制（文件扩展名或文件签名）运行检查、如果找到匹配项则拒绝请求。

配置示例

执行以下步骤配置本机 FPolicy 。

配置策略事件：

Cluster::> vserver fpolicy policy event create -vserver SvmName -event-name Event -protocol cifs -file-operations create,open,rename

Cluster::> vserver fpolicy policy event show -vserver SvmName -event-name Event -instance Vserver: SvmName Event: Event Protocol: cifs File Operations: create, open, rename Filters: - Is Volume Operation Required: false

配置策略：

Cluster::> vserver fpolicy policy create -vserver SvmName -policy-name blockext -events Event -engine native -is-mandatory true -allow-privileged-access no -is-passthrough-read-enabled false

Cluster::> vserver fpolicy policy show -vserver SvmName -instance Vserver: SvmName Policy: blockext Events to Monitor: Event FPolicy Engine: native Is Mandatory Screening Required: true Allow Privileged Access: no User Name for Privileged Access: - Is Passthrough Read Enabled: false Configure Policy Scope:

Cluster::> vserver fpolicy policy scope create -vserver SvmName -policy-name blockext -file-extensions-to-include mp3,mp4,flv,wmv -shares-to-include "*" -is-file-extension-check-on-directories-enabled true

Cluster::> vserver fpolicy policy scope show -vserver SvmName -instance Vserver: SvmName Policy: blockext Shares to Include: * Shares to Exclude: - Volumes to Include: - Volumes to Exclude: - Export Policies to Include: - Export Policies to Exclude: - File Extensions to Include: mp3, mp4, flv, wmv File Extensions to Exclude: - Is File Extension Check on Directories Enabled: true

启用策略：

Cluster::> vserver fpolicy enable -vserver SvmName -policy-name blockext -sequence-number 1

Cluster::> vserver fpolicy show -vserver SvmName Sequence Vserver Policy Name Number Status Engine ------- ----------- -------- ------ ------ SvmName blockext 1 on native

Cluster::> event log show -time > 2m Time Node Severity Event ------------------- ------------ ------------- -------------------------- 3/27/2017 10:35:34 cm2520n2-ams INFORMATIONAL mgmt.fpolicy.policy.enabled: FPolicy policy blockext is enabled on Vserver SvmName.

从 Windows 客户端使用上述策略测试结果：

Attempt to rename a file using mp3, mp4, flv, or wmv extension is Denied Attempt to open a file with mp3, mp4, flv, or wmv extension is Denied Attempt to delete a file with mp3, mp4, flv, or wmv extension is Denied Attempt to copy a file with mp3, mp4, flv, or wmv extension to the share is Denied

有关更多信息、请参见适用于您的 ONTAP 版本的《 CIFS 和 NFS 审核指南》。

追加信息

本机文件阻塞问题常见的 KBS:

不阻止任何内容：

阻止所有内容：

无法将本机文件阻止设置为仅允许写入某些文件

阻止但不阻止正确的分机或位置：
- 本机 FPolicy 在集群模式 Data ONTAP 中不会始终停止阻止的文件扩展
- FPolicy - 本地阻止除特定文件之外的所有内容时