• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置举例(E6411 R6609)-6W107

目录

03-行为审计功能典型配置举例

本章节下载 03-行为审计功能典型配置举例  (731.37 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/ACG/H3C_SecPath_ACG1000/Configure/Typical_Configuration_Example/ACG1000_CE(E6411_R6609)-6W107/202009/1334126_30005_0.htm

03-行为审计功能典型配置举例


1  简介

本文档介绍ACG1000设备行为审计配置举例,包括网络社区行为审计、IM聊天软件行为审计、搜索引擎行为审计和其它应用行为审计。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解行为审计特性。

3  使用限制

·     ACG1000 R 6605版本尚未支持HTTPS协议审计,故暂时无法审计基于HTTPS协议的应用内容,例如无法审计基于HTTPS协议的Google搜索引擎内容和论坛发帖内容。

·     ACG1000 R 6605版本尚未支持SSL协议审计,故暂时无法审计基于SSL协议的应用内容,例如无法审计使用邮件客户端进行SSL加密的收发邮件内容。

·     ACG1000 R 6605版本对于采用私有算法进行加密的应用,无法审计其内容,例如无法审计QQ聊天内容。

4  配置举例

4.1  组网需求

图1所示,某公司内网存在研发网段和财务网段,IP地址分别为192.168.3.0/24和172.16.2.0/24。使用ACG1000设备的ge2和ge3接口作为透明桥,串接部署在核心交换机和出口路由器之间,启用行为审计功能,具体应用需求如下:

·     针对研发网段,审计搜索引擎类应用、即时通讯类应用、以及新浪微博应用的内容,其它应用行为不进行审计。

·     针对财务网段,审计所有应用的上网行为。

图1 行为审计功能配置组网图

 

4.2  配置思路

·     根据源IP地址不同,配置两条IPv4策略分别对研发网段和财务网段进行审计。

·     在IPv4策略中的应用过滤页面上,根据需求配置审计策略。

·     当需要将审计日志发送至外部日志服务器时,需要注意审计日志中配置的日志级别需要高于日志过滤中配置的发送级别。

4.3  使用版本

本举例是在R6605版本上进行配置和验证的。

4.4  配置注意事项

·     一般情况下,推荐在选择应用时选择应用类。如果必须选择具体应用,请在选择框中输入应用名称,并观察返回的应用列表中是否存在iOS版或Android版,根据情况选择需要审计的应用。

·     报文对应会话上的应用对象,在进行应用审计策略匹配时,需遍历所有应用审计策略。如果可以匹配到某条具体应用审计策略,则根据策略的动作进行允许或拒绝。如果匹配不到任何一条应用审计策略,则默认被允许。

·     支持针对应用的具体动作配置单独的审计策略,但此时必须选择单个应用,不可以选择应用类。

4.5  配置步骤

4.5.1  配置ACG1000系列产品

1. 登录Web网管

图2所示,使用http或https的方式登录ACG1000设备的Web网管,默认的用户名和密码是admin/admin,输入验证码,并点击<登录>按钮。

图2 登录H3C ACG Web网管

 

2. 配置地址对象

图3所示,进入“对象管理>地址>IPv4地址对象”,点击<新建>,IP地址配置为192.168.3.0/24,创建研发网段地址对象,点击<提交>。按照同样的方法配置财务网段地址对象。

图3 配置地址对象

 

图4所示,创建成功的地址对象配置如下:

图4 地址对象配置成功

 

3. 配置研发网段审计策略

(1)     配置研发网段IPv4策略

图5所示,进入“上网行为管理>策略配置> IPv4策略”,点击<新建>,“源地址”配置为研发网段,接着点击“应用过滤”页面。

图5 配置研发网段IPv4策略

 

(2)     配置研发网段搜索引擎审计策略

图6所示,在IPV4策略页面的应用策略部分的“应用审计”页面,点击<新建>,“应用审计”配置为搜索引擎、“处理动作”配置为允许、“日志级别”配置为信息,其它配置保持默认,点击<提交>。

图6 配置搜索引擎类审计策略

 

图7所示,在“应用审计”中查看,创建成功的搜索引擎审计策略配置如下:

图7 搜索引擎类审计策略配置成功

 

(3)     配置研发网段即时通讯审计策略

图8所示,按照同样的方法,配置即时通讯审计策略,创建成功的即时通讯审计策略配置如下:

图8 即时通讯类审计策略配置成功

 

(4)     配置研发网段新浪微博审计策略

图9所示,此时在“应用审计”部分页面点击新建,“应用审计”配置为新浪微博并选择“处理动作”配置为允许、“日志级别”配置为信息,其它配置保持默认,并点击<提交>。

图9 配置新浪微博审计策略

 

图10所示,创建成功的新浪微博审计策略配置如下:

图10 新浪微博审计策略配置成功

 

图11所示,按照同样的方法,添加“新浪微博(iOS版)”和“新浪微博(Android版)”审计策略,点击<提交>最终完成的研发网段审计策略。

图11 研发网段审计策略配置完成

 

4. 配置财务网段审计策略

(1)     配置财务网段IPv4策略

图12所示,进入“上网行为管理>策略配置> IPv4策略”,点击<新建>,选择源地址为财务网段,接着点击“应用过滤”页面。

图12 配置财务网段IPv4策略

 

(2)     配置财务网段全部应用审计策略

图13所示,在IPV4策略页面的应用策略部分“应用审计”中,点击<新建>,“应用审计”配置为any、“处理动作”配置为允许、“日志级别”配置为信息,其它配置保持默认,并点击<提交>。

图13 配置所有应用全部审计策略

 

图14所示,创建成功的财务网段审计策略配置如下,点击<提交>最终完成的财务网段审计策略的配置。

图14 财务网段审计策略配置成功

 

4.6  验证配置

(1)     验证研发网段审计策略效果

图15所示,进入“日志查询>应用审计日志>搜索引擎日志”查看,发现已经审计到研发网段(IP地址为192.168.3.0/24)用户的搜索引擎内容,并正确地记录了日志。

图15 查看研发网段搜索引擎日志

 

图16所示,进入“日志查询>应用审计日志> IM聊天日志”查看,发现已经审计到研发网段(IP地址为192.168.3.0/24)用户的即时通讯内容,并正确地记录了日志。

图16 查看研发网段IM聊天软件日志

 

图17所示,进入“日志查询>应用审计日志>社区日志”,点击页面左上角的<查询>,在“应用”输入框里输入“新浪微博”,选择新浪微博并点击页面下方的<查询>。

图17 查询研发网段新浪微博审计日志

 

图18所示,点击查询后返回日志,发现已经审计到研发网段(IP地址为192.168.3.0/24)用户的新浪微博内容,并正确地记录了日志。

图18 研发网段新浪微博日志

 

(2)     验证财务网段审计策略效果

图19所示,进入“日志查询>应用审计日志>其它应用日志”,点击页面左上角的<查询>,可以看到财务网段已经被正确记录了所有应用日志,而研发网段并没有记录除了搜索引擎、即时通讯和新浪微博以外的其它应用日志。

图19 财务网段其它应用日志

 

4.7  配置文件

!

address 研发网段

 ip subnet 192.168.3.0/24

!       

address 财务网段

 ip subnet 172.16.2.0/24

!

policy any any 研发网段 any any any any always audit  1

 app-policy 1 category Search_Engine any any keyword include any accept info FilterIMLoginAction 

  app-policy enable 1

 app-policy 2 category IM_Software any any keyword include any accept info FilterIMLoginAction 

  app-policy enable 2

 app-policy 3 application Sina_Weibo any any keyword include any accept info FilterIMLoginAction 

  app-policy enable 3

 app-policy 4 application Sina_Weibo_iPhone any any keyword include any accept info FilterIMLoginAction 

  app-policy enable 4

 app-policy 5 application Sina_Weibo_Android any any keyword include any accept info FilterIMLoginAction 

  app-policy enable 5

 website-policy malware disable

policy any any 财务网段 any any any any always audit 2

 app-policy 1 application any any any keyword include any accept info FilterIMLoginAction 

  app-policy enable 1

 website-policy malware disable

policy default-action permit

policy white-list enable

!

5  相关资料

·     《H3C SecPath ACG1000系列应用控制网关故障处理手册》中的“应用识别与审计故障处理”

·     《H3C SecPath ACG1000系列应用控制网关开局指导书》中的“应用审计”

·     《H3C SecPath ACG1000系列应用控制网关对外测试手册》中的“审计测试”

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们