- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
03-行为审计功能典型配置举例
本章节下载: 03-行为审计功能典型配置举例 (731.37 KB)
目录
本文档介绍ACG1000设备行为审计配置举例,包括网络社区行为审计、IM聊天软件行为审计、搜索引擎行为审计和其它应用行为审计。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解行为审计特性。
· ACG1000 R 6605版本尚未支持HTTPS协议审计,故暂时无法审计基于HTTPS协议的应用内容,例如无法审计基于HTTPS协议的Google搜索引擎内容和论坛发帖内容。
· ACG1000 R 6605版本尚未支持SSL协议审计,故暂时无法审计基于SSL协议的应用内容,例如无法审计使用邮件客户端进行SSL加密的收发邮件内容。
· ACG1000 R 6605版本对于采用私有算法进行加密的应用,无法审计其内容,例如无法审计QQ聊天内容。
如图1所示,某公司内网存在研发网段和财务网段,IP地址分别为192.168.3.0/24和172.16.2.0/24。使用ACG1000设备的ge2和ge3接口作为透明桥,串接部署在核心交换机和出口路由器之间,启用行为审计功能,具体应用需求如下:
· 针对研发网段,审计搜索引擎类应用、即时通讯类应用、以及新浪微博应用的内容,其它应用行为不进行审计。
· 针对财务网段,审计所有应用的上网行为。
· 根据源IP地址不同,配置两条IPv4策略分别对研发网段和财务网段进行审计。
· 在IPv4策略中的应用过滤页面上,根据需求配置审计策略。
· 当需要将审计日志发送至外部日志服务器时,需要注意审计日志中配置的日志级别需要高于日志过滤中配置的发送级别。
本举例是在R6605版本上进行配置和验证的。
· 一般情况下,推荐在选择应用时选择应用类。如果必须选择具体应用,请在选择框中输入应用名称,并观察返回的应用列表中是否存在iOS版或Android版,根据情况选择需要审计的应用。
· 报文对应会话上的应用对象,在进行应用审计策略匹配时,需遍历所有应用审计策略。如果可以匹配到某条具体应用审计策略,则根据策略的动作进行允许或拒绝。如果匹配不到任何一条应用审计策略,则默认被允许。
· 支持针对应用的具体动作配置单独的审计策略,但此时必须选择单个应用,不可以选择应用类。
如图2所示,使用http或https的方式登录ACG1000设备的Web网管,默认的用户名和密码是admin/admin,输入验证码,并点击<登录>按钮。
如图3所示,进入“对象管理>地址>IPv4地址对象”,点击<新建>,IP地址配置为192.168.3.0/24,创建研发网段地址对象,点击<提交>。按照同样的方法配置财务网段地址对象。
如图4所示,创建成功的地址对象配置如下:
(1) 配置研发网段IPv4策略
如图5所示,进入“上网行为管理>策略配置> IPv4策略”,点击<新建>,“源地址”配置为研发网段,接着点击“应用过滤”页面。
(2) 配置研发网段搜索引擎审计策略
如图6所示,在IPV4策略页面的应用策略部分的“应用审计”页面,点击<新建>,“应用审计”配置为搜索引擎、“处理动作”配置为允许、“日志级别”配置为信息,其它配置保持默认,点击<提交>。
如图7所示,在“应用审计”中查看,创建成功的搜索引擎审计策略配置如下:
(3) 配置研发网段即时通讯审计策略
如图8所示,按照同样的方法,配置即时通讯审计策略,创建成功的即时通讯审计策略配置如下:
(4) 配置研发网段新浪微博审计策略
如图9所示,此时在“应用审计”部分页面点击新建,“应用审计”配置为新浪微博并选择“处理动作”配置为允许、“日志级别”配置为信息,其它配置保持默认,并点击<提交>。
如图10所示,创建成功的新浪微博审计策略配置如下:
如图11所示,按照同样的方法,添加“新浪微博(iOS版)”和“新浪微博(Android版)”审计策略,点击<提交>最终完成的研发网段审计策略。
(1) 配置财务网段IPv4策略
如图12所示,进入“上网行为管理>策略配置> IPv4策略”,点击<新建>,选择源地址为财务网段,接着点击“应用过滤”页面。
(2) 配置财务网段全部应用审计策略
如图13所示,在IPV4策略页面的应用策略部分“应用审计”中,点击<新建>,“应用审计”配置为any、“处理动作”配置为允许、“日志级别”配置为信息,其它配置保持默认,并点击<提交>。
如图14所示,创建成功的财务网段审计策略配置如下,点击<提交>最终完成的财务网段审计策略的配置。
(1) 验证研发网段审计策略效果
如图15所示,进入“日志查询>应用审计日志>搜索引擎日志”查看,发现已经审计到研发网段(IP地址为192.168.3.0/24)用户的搜索引擎内容,并正确地记录了日志。
如图16所示,进入“日志查询>应用审计日志> IM聊天日志”查看,发现已经审计到研发网段(IP地址为192.168.3.0/24)用户的即时通讯内容,并正确地记录了日志。
图16 查看研发网段IM聊天软件日志
如图17所示,进入“日志查询>应用审计日志>社区日志”,点击页面左上角的<查询>,在“应用”输入框里输入“新浪微博”,选择新浪微博并点击页面下方的<查询>。
如图18所示,点击查询后返回日志,发现已经审计到研发网段(IP地址为192.168.3.0/24)用户的新浪微博内容,并正确地记录了日志。
(2) 验证财务网段审计策略效果
如图19所示,进入“日志查询>应用审计日志>其它应用日志”,点击页面左上角的<查询>,可以看到财务网段已经被正确记录了所有应用日志,而研发网段并没有记录除了搜索引擎、即时通讯和新浪微博以外的其它应用日志。
!
address 研发网段
ip subnet 192.168.3.0/24
!
address 财务网段
ip subnet 172.16.2.0/24
!
policy any any 研发网段 any any any any always audit 1
app-policy 1 category Search_Engine any any keyword include any accept info FilterIMLoginAction
app-policy enable 1
app-policy 2 category IM_Software any any keyword include any accept info FilterIMLoginAction
app-policy enable 2
app-policy 3 application Sina_Weibo any any keyword include any accept info FilterIMLoginAction
app-policy enable 3
app-policy 4 application Sina_Weibo_iPhone any any keyword include any accept info FilterIMLoginAction
app-policy enable 4
app-policy 5 application Sina_Weibo_Android any any keyword include any accept info FilterIMLoginAction
app-policy enable 5
website-policy malware disable
policy any any 财务网段 any any any any always audit 2
app-policy 1 application any any any keyword include any accept info FilterIMLoginAction
app-policy enable 1
website-policy malware disable
policy default-action permit
policy white-list enable
!
· 《H3C SecPath ACG1000系列应用控制网关故障处理手册》中的“应用识别与审计故障处理”
· 《H3C SecPath ACG1000系列应用控制网关开局指导书》中的“应用审计”
· 《H3C SecPath ACG1000系列应用控制网关对外测试手册》中的“审计测试”
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
