选择区域语言: EN CN HK

H3C SecPath U系列统一威胁管理产品 UTM深度检测功能Web配置手册-5PW103

12-协议审计

本章节下载  (400.23 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/TYWX/SecPath_U200/Configure/User_Manual/H3C_SecPath_U_UTM_SDJC_Web-5PW103/201207/749519_30005_0.htm

12-协议审计


1 协议审计

1.1  概述

协议审计主要包括如下几个协议的审计:

l              HTTP协议的审计。审计的内容包括:用户访问的URI和host字段。

l              SMTP/POP3协议审计。审计的内容包括:通过SMTP/POP3协议接受或者发送邮件的收件人、发件人、抄送人、暗送人和邮件标题。

l              FTP协议审计。审计的内容包括:用户上传或者下载的文件名等信息。

协议审计产生的日志支持输出到syslog主机。

1.2  配置协议审计

1.2.1  配置概述

协议审计配置的推荐步骤如表1-1所示。

表1-1 协议审计配置步骤

步骤

配置任务

说明

1

1.2.2  创建协议审计策略

可选

创建一个协议审计策略,并从一个已存在的策略中拷贝规则

缺省情况下,存在名为“Audit Policy”的协议审计策略,该策略可以修改、拷贝和设置与段关联,但不允许删除

2

1.2.3  配置策略中的规则

可选

对策略拷贝来的规则进行修改,可以修改规则的使能状态和动作集

缺省情况下,默认协议审计策略“Audit Policy”中存在4条的规则:POP3、HTTP、SMTP、FTP审计规则。这些规则可以修改,但不允许删除

规则的动作集目前只能选择Permit+Notify或Permit

3

配置“Notify”动作

可选

在“系统管理 > 动作管理 > 通知动作列表”中配置“Notify”动作的的通知方式为“输出到syslog主机”,并正确设置syslog主机的相关信息。具体配置请参见“UTM深度检测功能Web配置手册  动作管理”

4

1.2.4  在段上应用协议审计策略

必选

对指定段或段内的特定IP地址应用协议审计策略

 

5

配置激活

必选

将策略、规则、策略应用、动作等的配置激活,使配置生效

(1)      系统中有两类配置,配置完成后直接生效的为A类配置,配置完成后需要进行激活操作才能生效的为B类配置

(2)      所有B类配置的相关页面都有<激活>按钮,单击任何一个<激活>按钮,都会将所有的B类配置激活。建议用户完成所需的B类配置后,再单击<激活>按钮统一激活

 

1.2.2  创建协议审计策略

在导航栏中选择“协议审计 > 策略管理”,进入协议审计策略的显示页面,如图1-1所示。单击<创建策略>按钮,进入创建协议审计策略的配置页面,如图1-2所示。

图1-1 策略管理

 

图1-2 创建策略

 

创建协议审计策略的详细配置如表1-2所示。

表1-2 创建协议审计策略的详细配置

配置项

说明

策略类型

显示当前要创建的策略类型为协议审计策略

名称

设置要创建的协议审计策略的名称

描述

描述策略的详细信息,如策略的用途等

从指定策略拷贝规则

设置从已存在的协议审计策略继承规则到新策略中

当通过在“策略管理”页面中单击某策略所对应的图标进入“创建策略”页面时,此配置项不可配置,默认为源策略

 

可点击返回“表1-1 协议审计配置步骤”。

1.2.3  配置策略中的规则

在导航栏中选择“协议审计 > 规则管理”,进入如图1-3所示的页面。页面上半部分可对协议审计策略的名称和描述进行修改;下半部分为所选协议审计策略的规则列表。

图1-3 规则管理

 

在规则管理页面可以对策略中的规则进行如下操作:

l              选中某条规则前的复选框,单击<使能规则>或<禁止规则>按钮,可直接修改选中规则的使能状态;单击<重置规则>,可使选中规则恢复到系统默认的配置。

l              单击某条规则对应的图标,进入如图1-4所示的页面,可以查看规则的详细信息,并对规则的动作集和使能状态进行修改。

图1-4 规则

 

可点击返回“表1-1 协议审计配置步骤”。

1.2.4  在段上应用协议审计策略

在导航栏中选择“协议审计 > 段策略管理”,进入协议审计策略应用的显示页面,如图1-5所示。单击<创建策略应用>按钮,进入协议审计策略应用的配置页面,如图1-6所示。

图1-5 段策略管理

 

图1-6 应用策略

 

在段上应用协议审计策略的详细配置如表1-3所示。

表1-3 在段上应用协议审计策略的详细配置

配置项

说明

要关联的段

设置要应用策略的段ID

可选的段在“系统管理 > 网络管理 > 段配置”中配置

选择策略

设置要应用的协议审计策略

方向

设置要应用协议审计策略的数据流的方向,包括内部到外部、双向、外部到内部

内部对应段的内部域;外部对应段的外部域

内部域配置

IP地址列表

设置策略只对内部域中属于IP地址列表,且不属于例外IP地址列表的IP地址有效

内部域例外IP地址必须包含在内部域IP地址列表中

如果不配置此项,则策略对整个内部域都有效

例外IP地址列表

外部域配置

IP地址列表

设置策略只对外部域中属于IP地址列表,且不属于例外IP地址列表的IP地址有效

外部域例外IP地址必须包含在外部域IP地址列表中

如果不配置此项,则策略对整个外部域都有效

例外IP地址列表

 

可点击返回“表1-1 协议审计配置步骤”。

1.3  协议审计典型配置举例

1. 组网需求

某公司的内网网段为192.168.10.0/24。在Device上配置协议审计策略,对该公司的用户(除IP地址为192.168.10.50的主机外)通过SMTP、POP3协议进行访问的网络流量进行协议审计。同时配置将协议审计的日志发送到IP地址为192.168.10.1的syslog主机上。

图1-7 协议审计配置组网图

 

2. 配置步骤

# 创建一个协议审计策略“SMTP+POP3”。

l              在导航栏中选择“协议审计 > 策略管理”,单击<创建策略>按钮,进行如下配置,如图1-8所示。

图1-8 创建策略

 

l              输入名称为“SMTP+POP3”。

l              输入描述为“Audit policy for SMTP+POP3”。

l              选择从指定策略拷贝规则为“Audit Policy”。

l              单击<确定>按钮完成操作。

# 配置协议审计策略中的规则。

l              完成上述配置后,页面跳转到“协议审计 > 规则管理”的页面,策略已默认选择为“SMTP+POP3”,进行如下配置,如图1-9所示。

图1-9 规则管理

 

l              在规则列表中选中名称为“HTTP”和“FTP”的规则。

l              单击<禁止规则>按钮完成操作。

# 配置Notify动作。

l              在导航栏中选择“系统管理 > 动作管理 > 通知动作列表”,单击Notify动作对应的图标,进行如下配置,如图1-10所示。

图1-10 修改Notify动作

 

l              选中通知方式“输出到syslog主机”前的复选框。

l              输入名称为“host1”。

l              输入IP地址为“192.168.10.1”。

l              输入端口号为“514”。

l              单击<增加>按钮将syslog主机的配置添加到syslog主机列表框中。

l              在syslog主机列表框中选中选中“host1”。

l              单击<确定>按钮完成操作。

# 在该公司访问Internet对应的段“0”上应用协议审计策略。

l              在导航栏中选择“协议审计 > 段策略管理”,单击<创建策略应用>按钮,进行如下配置,如图1-11所示。

图1-11 应用策略

 

l              选择要关联的段为“0”。

l              选择策略为“SMTP+POP3”。

l              选择方向为“双向”。

l              在内部域IP地址列表中添加IP地址为“192.168.10.0/24”。

l              在内部域例外IP地址列表中添加IP地址为“192.168.10.50/32”。

l              单击<确定>按钮完成操作。

# 将配置激活。

l              完成上述的配置后,页面跳转到段策略的显示页面,如图1-12所示。单击<激活>按钮,弹出确认对话框。

l              在确认对话框中单击<确定>按钮后,将配置激活。

图1-12 配置激活

 

1.4  注意事项

配置协议审计时需要注意如下事项:

(1)        已经应用到段上的协议审计策略不能删除。

(2)        协议审计审计产生的日志只支持输出到syslog主机,因此,必须配置syslog主机的信息。

(3)        一个报文在一个段上只能匹配一条协议审计段策略。当一个段上应用了多个协议审计策略,则系统在对报文进行匹配时,会根据段策略中指定的IP地址范围的精确程度,越精确的(即IP地址范围越小的)段策略越优先匹配;当有多个段策略的IP地址范围精确程度相同时,则先配置的段策略优先匹配。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!