选择区域语言: EN CN HK

H3C SecPath U系列统一威胁管理产品 UTM深度检测功能Web配置手册-5PW103

10-内容监控

本章节下载  (322.47 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/TYWX/SecPath_U200/Configure/User_Manual/H3C_SecPath_U_UTM_SDJC_Web-5PW103/201207/749517_30005_0.htm

10-内容监控


1 内容监控

1.1  概述

在传统的网络安全方案中,对网络攻击的防范主要针对于来自外部的各种攻击。随着网络在各行各业的普及,来自局域网内部的攻击也越来越多,这就要求网络设备能够应对构建安全内部网络的需求,增加内部网络安全特性。

内容监控特性能够对用户的上网行为,如Web网页访问、IM(Instant Messaging,即时消息服务)应用、远程交互应用和数据库应用进行过滤或监控,并产生相应的监控日志。具体包括如下内容:

l              支持对访问的Web网页的内容关键字进行过滤和监控。

l              支持对通过Web方式上传/下载的文件类型进行过滤和监控。

l              支持对ActiveX、Java Applet和Script脚本进行过滤和监控。

l              支持对即时通讯应用程序QQ和MSN进行监控。

l              支持对远程交互应用程序FTP进行监控。

l              支持对Oracle、Sybase、SQL Server和MySQL数据库的应用进行监控。

1.2  配置内容监控

1.2.1  配置概述

内容监控配置的推荐步骤如表1-1所示。

表1-1 内容监控配置步骤

步骤

配置任务

说明

1

1.2.2  内容监控的动作参数

必选

配置对匹配内容监控策略的HTTP请求进行处理的相关参数,以及日志输出的相关参数

2

1.2.3  配置全局过滤关键字

可选

全局过滤关键字对所有内容监控策略中的关键字过滤规则都生效

建议配置的关键字长度不少于5个字符,否则可能会导致报文频繁命中关键字,使系统性能下降

3

1.2.4  配置全局过滤文件类型

可选

全局过滤文件类型对所有内容监控策略中的文件类型过滤规则都生效

4

1.2.5  创建并应用内容监控策略

必选

创建内容监控策略,配置策略中的监控规则,并对指定段或段内的特定IP地址应用内容监控策略

 

5

配置激活

必选

将动作、关键字、文件类型、策略等的配置激活,使配置生效

(1)      系统中有两类配置,配置完成后直接生效的为A类配置,配置完成后需要进行激活操作才能生效的为B类配置

(2)      所有B类配置的相关页面都有<激活>按钮,单击任何一个<激活>按钮,都会将所有的B类配置激活。建议用户完成所需的B类配置后,再单击<激活>按钮统一激活

 

1.2.2  配置内容监控的动作参数

在导航栏中选择“内容监控 > 全局配置”,单击“日志设置”前的扩展按钮(默认已展开),展开内容监控动作参数的配置页面,如图1-1所示。

图1-1 内容监控设置

 

内容监控动作参数的详细配置如表1-2所示。

表1-2 内容监控动作参数的详细配置

配置项

说明

HTTP响应

重定向到URL

设置将匹配内容监控策略的HTTP请求重定向到指定的URL。选中此项后,需要设置URL地址

返回应答页面

设置向匹配内容监控策略的HTTP请求的发出方返回应答页面。选中此项后,需要设置返回的应答页面的内容

日志设置

输出到本地数据库

设置将产生的日志输出到本地数据库,这样就可以在“日志管理 > 内容监控日志”中查看记录的内容监控日志

输出到syslog主机

设置将产生的日志输出到日志主机,此时需要从日志主机列表框中选择要输出到的日志主机,可以选择多个

日志主机列表框中可选的日志主机由用户手工设置。每条日志主机信息包括日志主机的名称、描述、IP地址和监听端口号(一般为514),设置好这些参数后,单击“<<增加”按钮即可向日志主机列表框中添加该日志主机。可选的日志主机是全局有效的,最多可以配置10个

 

1.2.3  配置全局过滤关键字

在导航栏中选择“内容监控 > 全局配置”,单击“关键字配置”前的扩展按钮,展开过滤关键字的显示和配置页面,如图1-2所示。在文本框中输入要过滤的关键字,单击<添加>按钮,即可向下方的列表中添加该关键字。全局配置关键字会存在于任何一个内容监控策略。

图1-2 关键字配置

 

1.2.4  配置全局过滤文件类型

在导航栏中选择“内容监控 > 全局配置”,单击“文件类型配置”前的扩展按钮,展开过滤文件类型的显示和配置页面,如图1-3所示。在文本框中输入要过滤的文件类型,单击<添加>按钮,即可向下方的列表中添加该文件类型。全局配置文件类型会存在于任何一个内容监控策略。

图1-3 文件类型配置

 

1.2.5  创建并应用内容监控策略

在导航栏中选择“内容监控 > 策略管理”,进入如图1-4所示的页面。单击<创建策略应用>进入如图1-5所示的页面。在“规则配置”的监控分类中单击某一类应用监控,在页面右边可以显示和配置该类型应用监控的规则

图1-4 策略管理

 

图1-5 创建策略

 

内容监控策略的详细配置如表1-3所示。

表1-3 内容监控策略的详细配置

配置项

描述

名称

设置要创建的内容监控策略的名称

描述

描述策略的详细信息,如策略的用途等

Web应用监控

关键字过滤

设置关键字过滤规则

选择要在上传(即客户端到服务器)或下载(即服务器到客户端)方向进行关键字匹配,并分别指定两个方向上匹配成功所执行的动作,可选的动作包括阻断且记录日志、阻断、允许且记录日志

单击“关键字过滤”前的扩展按钮,可以配置仅对本策略生效的过滤关键字

建议配置的关键字长度不少于5个字符,否则可能会导致报文频繁命中关键字,使系统性能下降

文件类型过滤

设置文件类型过滤规则

选择要在上传(即客户端到服务器)或下载(即服务器到客户端)方向进行文件类型匹配,并分别指定两个方向上匹配成功所执行的动作,可选的动作包括阻断且记录日志、阻断、允许且记录日志

单击“文件类型过滤”前的扩展按钮,可以配置仅对本策略生效的过滤文件类型

脚本过滤

设置脚本过滤规则

选择要进行过滤的脚本类型,包括Script、Java Applet、ActiveX,并分别指定对每种类型的脚本所执行的动作,可选的动作包括替换且记录日志、替换、允许且记录日志。替换是指将脚本过滤掉,但所访问的网页仍可以正常显示

时间表

设置Web应用监控规则的生效时间

IM应用监控

QQ监控

设置QQ应用监控规则

选择要进行监控的QQ应用类型,包括登录、游戏、电影,并分别指定对每种类型的QQ应用所执行的动作,目前只能选择允许且记录日志

MSN监控

设置MSN应用监控规则

选择要进行监控的MSN应用类型,包括登录、文字聊天、语音聊天、视频聊天,并分别指定对每种类型的MSN应用所执行的动作,目前只能选择允许且记录日志

时间表

设置IM应用监控规则的生效时间

远程交互应用监控

FTP监控

设置FTP应用监控规则

选择要进行监控的FTP应用类型,包括登录、文件上传、文件下载、目录遍历,并分别指定对每种类型的FTP应用所执行的动作,目前只能选择允许且记录日志

时间表

设置远程交互应用监控规则的生效时间

数据库应用监控

Oracle监控

设置Oracle应用监控规则

选择要进行监控的Oracle应用类型,包括用户登录、用户操作,并分别指定对每种类型的Oracle应用所执行的动作,目前只能选择允许且记录日志

Sybase监控

设置Sybase应用监控规则

选择要进行监控的Sybase应用类型,包括用户登录、用户操作,并分别指定对每种类型的Sybase应用所执行的动作,目前只能选择允许且记录日志

SQL Server监控

设置SQL Server应用监控规则

选择要进行监控的SQL Server应用类型,包括用户登录、用户操作,并分别指定对每种类型的SQL Server应用所执行的动作,目前只能选择允许且记录日志

UTM全系列产品暂不支持用户登录功能

MySQL监控

设置MySQL应用监控规则

选择要进行监控的MySQL应用类型,包括用户登录、用户操作,并分别指定对每种类型的MySQL应用所执行的动作,目前只能选择允许且记录日志

时间表

设置数据库应用监控规则的生效时间

策略应用范围

设置该内容监控策略的所应用的范围,必须至少配置一条应用范围表项

单击<添加>按钮,弹出如图1-6所示的页面,可以配置内容监控策略的应用范围,详细配置如表1-4所示

 

图1-6 内容监控策略的应用范围

 

表1-4 内容监控策略应用范围的详细配置

配置项

说明

设置要应用策略的段ID

 

方向

设置应用内容监控策略的数据流的方向,包括内部到外部、双向、外部到内部

内部对应段的内部域,外部对应段的外部域

内部域配置

IP地址列表

设置策略只对内部域中属于IP地址列表,且不属于例外IP地址列表的IP地址有效

内部域例外IP地址必须包含在内部域IP地址列表中

如果不配置此项,则策略对整个内部域都有效

例外IP地址列表

外部域配置

IP地址列表

设置策略只对外部域中属于IP地址列表,且不属于例外IP地址列表的IP地址有效

外部域例外IP地址必须包含在外部域IP地址列表中

如果不配置此项,则策略对整个外部域都有效

例外IP地址列表

 

1.3  内容监控典型配置举例

1. 组网需求

在Device上进行配置,在段0的内部到外部和外部到内部两个方向上应用内容监控策略:

l              对下载方向的报文进行关键字“game”的检测,记录日志但不进行阻断。

l              对QQ登录进行监控。

l              对FTP文件上传进行监控。

图1-7 内容监控配置组网图

 

2. 配置步骤

# 配置将日志输出到本地数据库。

l              在导航栏中选择“内容监控 > 全局配置”,在“日志设置”中进行如下配置,如图1-8所示。

图1-8 配置将日志输出到本地数据库

 

l              选中“输出到本地数据库”前的复选框。

l              单击<确定>按钮完成操作。

# 创建并应用内容监控策略。

l              在导航栏中选择“内容监控 > 策略管理”,单击<创建策略应用>按钮,进行如下配置,如图1-9所示。

图1-9 配置内容监控策略和Web应用监控规则

 

l              输入名称为“test_policy”。

l              选中关键字过滤“下载”前的复选框,选择下载对应的动作为“允许且记录日志”。

l              单击“关键字过滤”前的扩展按钮。

l              输入关键字为“game”,单击<添加>按钮。

l              单击监控分类“IM应用监控”,选中QQ监控“登录”前的复选框,如图1-10所示。

图1-10 配置IM应用监控

 

l              单击监控分类“远程交互应用监控”,选中FTP监控“文件上传”前的复选框,如图1-11所示。

图1-11 配置远程交互应用监控

 

l              在“策略应用范围”中单击<添加>按钮,在弹出的页面中进行如下配置,如图1-12所示。

图1-12 配置内容监控策略的应用范围

 

l              选择段编号为“0”。

l              选择方向为“双向”。

l              单击<确定>按钮完成设置。

l              单击<取消>按钮关闭添加策略应用页面。

l              在创建策略页面单击<确定>按钮完成操作,如图1-13所示。

图1-13 完成创建并应用内容监控策略的配置

 

# 将配置激活。

l              完成上述的配置后,页面跳转到段策略应用的显示页面,如图1-14所示。单击<激活>按钮,弹出确认对话框。

l              在确认对话框中单击<确定>按钮后,将配置激活。

图1-14 配置激活

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!