02-应用审计与管理配置
本章节下载: 02-应用审计与管理配置 (207.99 KB)
本特性会解析出用户报文中的敏感信息和私密信息,请保证将本特性仅用于合法用途。
应用审计与管理是在APR(Application Recognition,应用层协议识别)的基础上进一步识别出应用的具体行为和行为内容,据此对用户的上网行为进行审计和记录。
各种应用和软件在使用过程中会表现不同的行为特征,比如IM聊天软件的登录、发消息;FTP的上传文件、下载文件等。
行为内容是指某一行为的具体内容,比如IM聊天软件登录的行为内容是账号信息,FTP上传文件的行为内容是文件名信息等。行为内容的匹配方式包括两种:字符串和数字。
图1-1 应用审计与管理的实现流程图
不同类型的应用审计与管理策略能对符合过滤条件的报文进行差异化处理。
应用审计与管理策略分为如下三种类型:
· 审计策略:对匹配策略中所有过滤条件的报文进行审计。
· 免审计策略:对匹配策略中所有过滤条件的报文进行免审计。
· 阻断策略:对匹配策略中所有过滤条件的报文进行阻断。
设备上可以存在多个应用审计与管理策略,报文按照策略的配置顺序进行匹配,一旦与某个策略匹配成功便结束匹配过程。若报文未与任何策略匹配成功,则设备将根据应用审计与管理策略的缺省动作对报文进行处理。
应用审计与管理策略的配置顺序可在应用审计与管理视图下通过display this命令查看,配置顺序与策略的创建顺序有关,先创建的策略优先进行匹配。同时,也可以通过移动策略的位置来调整策略的配置顺序。根据以上应用审计与管理策略的匹配原理,为使设备上部署的应用审计与管理策略对流经设备的报文能够达到更好、更精准的审计效果,需要在配置应用审计与管理策略时遵循“深度优先”的原则,即先配置审计范围小的,再配置审计范围大的。
应用审计与管理策略中可以配置多种过滤条件,具体包括:源安全域、目的安全域、源IP地址、目的IP地址、用户、用户组、应用、应用组、服务和生效时间。策略被匹配成功的条件是:策略中已配置的过滤条件均被匹配成功,但是对于用户和用户组只需匹配一项即可,应用和应用组也是只需匹配一项即可。
每种过滤条件中也可以配置多个匹配项,比如一个源IP地址中可以指定多个地址对象组等。每种过滤条件被匹配成功的条件是:过滤条件的任何一个匹配项被匹配成功即可。
在审计类型的应用审计与管理策略中可以配置一系列的审计规则对某一应用的具体行为和行为内容进行精细化审计,并输出审计信息。
审计规则的匹配模式分为顺序匹配和全匹配两种,不同模式下审计规则的匹配原则如下:
· 顺序匹配:按照审计规则ID从小到大的顺序进行匹配,一旦报文与某条审计规则匹配成功便结束此匹配过程,并根据该审计规则中的动作对此报文进行相应处理。
· 全匹配:按照审计规则ID从小到大的顺序进行匹配,若报文与某条动作为允许的规则匹配成功,则继续匹配后续规则直到最后一条;若报文与某条动作为阻断的规则匹配成功,则不再进行后续规则的匹配。设备将根据所有匹配成功的审计规则中优先级最高的动作(阻断的优先级高于允许)对此报文进行处理。
若报文未与任何审计规则匹配成功,则根据审计规则的缺省动作对此报文进行处理。
设备可以对匹配审计规则的报文输出审计日志,其输出方式包括:普通日志和用户定制日志。缺省情况下,设备使用普通日志方式输出审计日志;执行customlog format dpi命令后,设备使用用户定制日志方式输出审计日志。有关普通日志和用户定制日志的详细介绍请参见“网络管理和监控配置指导”中的“快速日志输出”。
在配置应用审计与管理策略之前,需完成以下任务:
· 配置时间段(请参见“ACL配置指导/ACL”)
· 配置IP地址对象组和服务对象组(请参见“安全配置指导/对象组”)
· 配置应用和应用组(请参见“安全配置指导/APR”)。
· 配置用户和用户组组(请参见“安全配置指导/用户身份识别与管理”)。
· 配置安全域(请参见“安全配置指导/安全域”)
表1-1 应用审计与管理策略配置任务简介
配置任务 |
说明 |
详细配置 |
创建应用审计与管理策略 |
必选 |
|
配置策略的过滤条件 |
可选 |
|
配置策略的审计规则 |
必须 |
|
配置审计规则的关键字 |
可选 |
|
管理和维护应用审计与管理策略 |
可选 |
|
激活DPI各业务模块的策略和规则配置 |
必须 |
· 每类策略中具体可配置的内容不同,其中application命令只能在免审计和阻断类型的策略下配置,rule、rule default-action和rule match-method命令只能在审计类型的策略下配置。
· 创建应用审计与管理策略时必须指定策略类型,进入已存在的策略时不需要指定策略类型。
表1-2 创建应用审计与管理策略
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入应用审计与管理视图 |
uapp-control |
- |
创建应用审计与管理策略,并进入应用审计与管理策略视图 |
policy name policy-name [ audit | deny | noaudit ] |
缺省情况下,不存在应用审计与管理策略 |
(可选)配置应用审计与管理策略的缺省动作 |
policy default-action { deny | permit } |
缺省情况下,应用审计与管理策略的缺省动作是允许 |
表1-3 配置策略的过滤条件
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入应用审计与管理视图 |
uapp-control |
- |
进入应用审计与管理策略视图 |
policy name policy-name |
- |
配置作为应用审计与管理策略过滤条件的源安全域 |
source-zone source-zone-name |
缺省情况下,应用审计与管理策略下不存在过滤条件 |
配置作为应用审计与管理策略过滤条件的目的安全域 |
destination-zone destination-zone-name |
缺省情况下,应用审计与管理策略下不存在过滤条件 |
配置作为应用审计与管理策略过滤条件的源IP地址 |
source-address { ipv4 | ipv6 } object-group-name |
缺省情况下,应用审计与管理策略下不存在过滤条件 |
配置作为应用审计与管理策略过滤条件的目的IP地址 |
destination-address { ipv4 | ipv6 } object-group-name |
缺省情况下,应用审计与管理策略下不存在过滤条件 |
配置作为应用审计与管理策略过滤条件的服务 |
service service-name |
缺省情况下,应用审计与管理策略下不存在过滤条件 |
配置作为应用审计与管理策略过滤条件的用户 |
user user-name |
缺省情况下,应用审计与管理策略下不存在过滤条件 |
配置作为应用审计与管理策略过滤条件的用户组 |
user-group user-group-name |
缺省情况下,应用审计与管理策略下不存在过滤条件 |
配置作为应用审计与管理策略过滤条件的应用和应用组 |
application { app application-name | app-group application-group-name } |
缺省情况下,应用审计与管理策略下不存在过滤条件 仅在免审计和阻断类型的应用审计与管理策略中可配置应用和应用组 |
配置应用审计与管理策略的生效时间 |
time-range time-range-name |
缺省情况下,应用审计与管理策略在任何时间都生效 |
审计规则的功能仅支持在审计类型的应用审计与管理策略中配置。
表1-4 配置策略的审计规则
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入应用审计与管理视图 |
uapp-control |
- |
进入应用审计与管理策略视图 |
policy name policy-name |
- |
配置应用审计与管理策略的审计规则 |
rule rule-id { app app-name | app-category app-category-name | any } behavior { behavior-name | any } bhcontent { bhcontent-name | any } { keyword { equal | exclude | include | unequal } { keyword-group-name | any } | integer { equal | greater | less | unequal } { number } } action { deny | permit } [ audit-logging ] |
缺省情况下,应用审计与管理策略中不存在审计规则 |
(可选)配置审计规则的匹配模式 |
rule match-method { all | in-order } |
缺省情况下,审计规则的匹配模式为顺序匹配 |
(可选)配置审计规则的缺省动作 |
rule default-action { deny | permit } |
缺省情况下,审计规则的缺省动作为允许 |
表1-5 配置审计规则的关键字
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入应用审计与管理视图 |
uapp-control |
- |
创建关键字组,并进入关键字组视图 |
keyword-group name keyword-group-name |
缺省情况下,不存在关键字组 |
配置关键字组的描述信息 |
description text |
缺省情况下,不存在关键字组的描述信息 |
配置关键字 |
keyword keyword-value |
缺省情况下,不存在关键字 |
为方便用户的管理和维护,应用审计与管理策略创建后,可以对其进行如下操作:
· 复制
· 重命名
· 移动
· 禁用
表1-6 管理和维护应用审计与管理策略
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入应用审计与管理视图 |
uapp-control |
- |
复制应用审计与管理策略 |
policy copy policy-name new-policy-name |
- |
重命名应用审计与管理策略 |
policy rename old-policy-name new-policy-name |
- |
移动应用审计与管理策略的位置 |
policy move policy-name1 { after | before } policy-name2 |
- |
进入应用审计与管理策略视图 |
policy name policy-name |
- |
关闭应用审计与管理策略 |
disable |
缺省情况下,应用审计与管理策略处于开启状态 |
当DPI各业务模块的策略和规则被创建、修改和删除后,需要配置此功能使其策略和规则配置生效。
配置此功能会暂时中断DPI业务的处理,为避免重复配置此功能对DPI业务造成影响,请完成部署DPI各业务模块的策略和规则后统一配置此功能。
有关此功能的详细介绍请参见“DPI深度安全配置指导”中的“应用层检测引擎”。
表1-7 激活DPI各业务模块的策略和规则配置
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
激活DPI各业务模块的策略和规则配置 |
inspect activate |
缺省情况下,DPI各业务模块的策略被创建、修改和删除时不生效 |
· 某公司内的各部门通过Device与Internet连接,该公司的工作时间为每周工作日的8点到18点。
· 通过配置应用审计与管理策略,对在上班时间登录的QQ账号均进行审计允许登录,并记录日志。
图1-2 应用审计与管理策略审计账号登录典型配置组网图
(1) 配置各接口的IP地址(略)
(2) 创建安全域并将接口加入安全域(略)
(3) 配置相关的路由和安全策略,保证Trust安全域中的主机可以正常访Internet(略)
(4) 配置时间段
# 创建名为work的时间段,其时间范围为每周工作日的8点到18点。
<Device> system-view
[Device] time-range work 08:00 to 18:00 working-day
(5) 配置应用审计与管理策略
# 进入应用审计与管理视图。
[Device] uapp-control
[Device-uapp-control]
# 创建一个名称为audit-qq的应用审计与管理策略,其类型为审计,并进入应用审计与管理策略视图。
[Device-uapp-control] policy name audit-qq audit
[Device-uapp-control-policy-audit-qq]
# 配置应用审计与管理审计策略audit-qq过滤条件的源安全域为Trust。
[Device-uapp-control-policy-audit-qq] source-zone trust
# 配置应用审计与管理审计策略audit-qq过滤条件的源安全域为Untrust。
[Device-uapp-control-policy-audit-qq] destination-zone untrust
# 配置应用审计与管理审计策略audit-qq的生效时间段为work。
[Device-uapp-control-policy-audit-qq] time-range work
# 配置审计规则,对在上班时间登录的QQ账号均进行审计允许登录,并记录日志。
[Device-uapp-control-policy-audit-qq] rule 1 app QQ behavior Login bhcontent any keyword equal any action permit audit-logging
[Device-uapp-control-policy-audit-qq] quit
[Device-uapp-control] quit
(6) 激活应用审计与管理的策略和规则配置。
[Device] inspect active
以上配置完成后,若内网主机上有账号为1551281595的QQ登录,则设备会对此QQ账号登录进行审计允许登录,并会有审计日志信息输出。
某公司内的各部门通过Device与Internet连接,通过配置应用审计与管理策略,当内网用户使用微软必应搜索查找的信息中包含“机密”或“恐怖袭击”关键字时,拒绝此次搜索,并记录日志。
图1-3 应用审计与管理策略审计敏感信息典型配置组网图
(1) 配置各接口的IP地址(略)
(2) 创建安全域并将接口加入安全域(略)
(3) 配置相关的路由和安全策略,保证Trust安全域中的主机可以正常访Internet(略)
(4) 配置应用审计与管理策略
# 进入应用审计与管理视图。
<Device> system-view
[Device] uapp-control
[Device-uapp-control]
# 配置名称为keyword-bing的关键字组,以审计敏感信息。
[Device-uapp-control] keyword-group name keyword-bing
[Device-uapp-control-keyword-group-keyword-bing]
# 在关键字组keyword-bing中,添加关键字“机密”和“恐怖袭击”。
[Device-uapp-control-keyword-group-keyword-bing] keyword 机密
[Device-uapp-control-keyword-group-keyword-bing] keyword 恐怖袭击
[Device-uapp-control-keyword-group-keyword-bing] quit
# 创建一个名称为audit-bing的应用审计与管理策略,其类型为审计,并进入应用审计与管理策略视图。
[Device-uapp-control] policy name audit-bing audit
[Device-uapp-control-policy-audit-bing]
# 配置应用审计与管理审计策略audit-bing过滤条件的源安全域为Trust。
[Device-uapp-control-policy-audit-bing] source-zone trust
# 配置应用审计与管理审计策略audit-bing过滤条件的源安全域为Untrust。
[Device-uapp-control-policy-audit-bing] destination-zone untrust
# 配置审计规则,当内网用户使用微软必应搜索查找的信息中包含“机密”或“恐怖袭击”关键字时,拒绝此次搜索,并记录日志。
[Device-uapp-control-policy-audit-bing] rule 2 app Bing behavior Search bhcontent keyword keyword include keyword-bing action deny audit-logging
[Device-uapp-control-policy-audit-bing] quit
[Device-uapp-control] quit
(5) 激活应用审计与管理的策略和规则配置。
[Device] inspect active
以上配置完成后,当内网用户使用微软必应搜索查找的信息中包含“机密”或“恐怖袭击”关键字时,此次搜索会没有响应,并会有审计日志信息输出。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!