• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置举例(F6610)-6W104

03-IPv4审计功能典型配置举例

本章节下载  (972.70 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/ACG/H3C_SecPath_ACG1000/Configure/Typical_Configuration_Example/H3C_ACG1000_CE(F6610)-3321/202204/1587472_30005_0.htm

03-IPv4审计功能典型配置举例


1  简介

本文档介绍ACG1000设备行为审计配置举例,包括HTTP类行为审计、邮件类行为审计、即时通讯类行为审计、网络基础协议类行为审计、娱乐股票类行为审计和网络应用其它应用行为审计。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解行为审计特性。

3  使用限制

ACG1000对于采用私有算法进行加密的应用,无法审计其内容,例如无法审计QQ聊天内容。

4  配置举例

4.1  组网需求

图1所示,某公司内网存在研发部和产品部,IP地址分别为10.1.1.0/24和10.1.2.0/24。使用ACG1000设备的ge1和ge4接口跑三层转发,串接部署在核心交换机和出口路由器之间,启用行为审计功能,具体应用需求如下:

·     针对研发部,审计HTTP类行为、邮件类行为,其它应用行为不进行审计。

·     针对产品部,审计所有上网应用行为。

图1 IPv4行为审计功能配置组网图

 

4.2  配置思路

·     根据源IP地址不同,配置两条IPv4策略分别对研发部和产品部进行审计。

·     在IPv4审计策略审计对象页面上,根据需求配置审计策略。

·     在用户管理高级选项全局配置页面上,配置具体用户识别访问。

·     在解密策略上配置网页及邮件类解密策略。

·     当需要将审计日志发送至外部日志服务器时,需要注意审计日志中配置的日志级别需要高于日志过滤中配置的发送级别。

4.3  使用版本

本举例是在F6610版本上进行配置和验证的。

4.4  配置注意事项

·     一般情况下,目前应用都是应用行为进行审计,如果是HTTPS访问的应用,则需要优先配置HTTPS解密策略,优先进行解密才能进一步进行审计。HTTPS解密策略的配置请参考“解密策略典型配置举例”。

·     IPv4审计策略匹配是由上至下进行匹配,策略匹配到之后将不会往下继续匹配。

4.5  配置步骤

4.5.1  配置ACG1000系列产品

1. 登录Web网管

图2所示,使用http或https的方式登录ACG1000设备的Web网管,默认的用户名和密码是admin/admin,输入验证码,并点击<登录>按钮。

图2 登录H3C ACG Web网管

 

2. 配置地址对象

图3所示,进入“上网行为管理>对象管理>地址对象>IPv4地址对象”,点击<新建>,IP地址配置为10.1.1.0/24,创建研发部地址对象,点击<提交>。按照同样的方法配置产品部地址对象。

图3 配置地址对象

 

图4所示,创建成功的地址对象配置如下:

图4 地址对象配置成功

 

3. 配置研发部IPv4审计策略

(1)     配置研发部IPv4审计策略

图5所示,进入“上网行为管理> IPv4审计策略”,点击<新建>,“源地址”配置为研发部,然后点击“审计对象”页面。

图5 配置研发部IPv4审计策略

 

(2)     配置研发部审计对象

图6图7所示,在IPv4审计策略页面的“审计对象”页面,勾选“HTTP类审计”和“邮件类审计”对象,其它配置保持默认,点击<提交>。

图6 配置HTTP类审计对象

 

图7 配置邮件类审计对象

 

图8所示,在“IPv4审计策略”页面中查看,研发部审计策略配置完成。

图8 研发部IPv4审计策略配置完成

 

 

4. 配置产品部IPv4审计策略

(1)     配置产品部IPv4策略

图9所示,进入“上网行为管理> IPv4审计策略”,点击<新建>,选择源地址为产品部,然后点击“审计对象”页面。

图9 配置产品部IPv4审计策略

 

 

(2)     配置产品部全部应用审计策略

图10所示,在IPv4审计策略配置页面 “审计对象”中,勾选所有类审计对象,其它配置保持默认,并点击<提交>。

图10 配置所有审计对象

 

 

图11所示,创建成功的产品部审计策略配置如下,点击<提交>完成配置。

图11 产品部IPv4审计策略配置成功

  

5. 配置用户识别范围

(1)     配置地址对象组

图12所示,进入“上网行为管理>对象管理>地址对象>地址组对象”,点击<新建>,配置一个地址对象组,将配置的研发部和产品部都选上,点击<提交>。

图12 地址组对象配置

 

图13所示,在地址组对象页面查看,创建地址组对象完成。

图13 地址组对象配置完成

 

 

(2)     配置用户识别范围

图14所示,进入“用户管理>高级选项>全局配置”,识别范围选择地址组对象配置的内网用户,识别方式选择强制模式,点击<提交>按钮,用户识别配置完成。

图14 用户识别配置完成

 

6. 配置HTTP解密策略

(1)     配置HTTPS对象

图15所示,进入“上网行为管理>对象管理>URL对象>HTTPS对象”,点击<新建>按钮,新建一条HTTPS对象,根据需求选择预定义对象和配置自定义https对象。

图15 新建HTTPS对象

 

图16所示,HTTPS对象配置完成之后,点击<提交>按钮,HTTPS对象配置完成。

图16 HTTPS对象配置完成

 

(2)     生成CA证书

图17所示,进入“上网行为管理>证书管理>根CA配置管理”,点击<生成CA根证书>。

图17 生成CA根证书

 

图18所示,在生成CA证书以后,导出证书。.

图18 导出CA证书

 

(3)     导入本地证书

图19所示,进入“上网行为管理>证书管理>证书>本地证书”,点击<导入>,选择之前生成的CA证书。

 

图19 导入证书

 

图20所示,导入成功的证书如下:

图20 导入证书成功

 

(4)     配置解密策略

图21所示,进入“上网行为管理>解密策略”,点击<新建>按钮,配置一条HTTPS解密策略,根据需求配置指定的源目地址,解密类型选择https解密,解密 对象选择步骤1上配置的https对象,点击<提交>按钮。

图21 HTTPS解密策略配置

 

图22所示,点击<提交>按钮之后,https解密策略配置完成。

图22 HTTPS解密策略配置完成

 

 

图23所示,按步骤2的方法再配置一条邮件解密策略,解密类型选择邮箱解密,配置完成如下图所示。

图23 HTTPS邮箱解密配置完成

 

 

4.6  验证配置

(1)     验证研发部IPv4审计策略效果

图24所示,进入“数据中心>审计日志>访问网站日志”,查看已经审计到研发部(IP地址为10.1.1.0/24)用户的网页浏览日志行为,并正确地记录了日志。

图24 查看研发部访问网站日志

 

图25所示,进入“数据中心>审计日志>社区日志”查看,查看已经审计到研发部(IP地址为10.1.1.0/24)用户的网络社区登录发帖内容,并正确地记录了日志。

图25 查看研发部网络社区日志

 

图26所示,进入“数据中心>审计日志>搜索引擎日志”,查看已经审计到研发部(IP地址为10.1.1.0/24)用户的网页搜索关键字日志行为,并正确地记录了日志。

图26 查询研发部搜索引擎审计日志

 

图27所示,进入“数据中心>审计日志>邮件日志”,查看已经审计到研发部(IP地址为10.1.1.0/24)用户的收发邮件日志行为,并正确地记录了日志。

图27 研发部收发邮件日志

 

图28所示,进入“数据中心>审计日志>文件传输日志”,查看已经审计到研发部(IP地址为10.1.1.0/24)用户的web网盘上传下载文件以及http文件上传下载行为,并正确地记录了日志。

图28 研发部网盘上传下载日志

 

(2)     验证产品部IPv4审计策略效果

图29所示,进入“数据中心>审计日志>IM聊天软件日志”,点击页面左上角的<查询>,可以看到产品部已经被正确记录了即时通讯日志,而研发部并没有记录除了HTTP类、邮件类以外的其它应用日志。

图29 产品部IM聊天软件日志

 

 

4.7  配置文件

!

address 研发部

 ip subnet 10.1.1.0/24

!

address 产品部

 ip subnet 10.1.2.0/24

!

address-group 内网用户

 member 研发部

 member 产品部

!

https-object httpsurl1

  https-object add domain uploadphotos.baidu.com

  https-object add domain nav.fetiononline.com

  https-object add domain ssl-comments.youku.com

  https-object add domain comments.youku.com

  https-object add domain ptlogin2.minigame.qq.com

  https-object add domain www.9188.com

  https-object add domain www.vip.com

  https-object add domain www.yhd.com

  https-object add domain passport.yhd.com

  https-object add category BBS站点

  https-object add category 商业

  https-object add category 娱乐

  https-object add category 游戏

  https-object add category 网络资源

  https-object add category 求职招聘

  https-object add category 网上交易

  https-object add category 新闻媒体

  https-object add category 在线聊天

  https-object add category 门户网站与搜索引擎

  https-object add category 参考

  https-object add category 旅游

  https-object add category WEB通信

!

policy decrypt any any any https httpsurl1 1

policy decrypt any any any mail 2

policy listen block disable

!

audit_policy any any 研发部 any any always web_access any 1

    audit-behaviour network_community

    audit-behaviour web_search

    audit-behaviour send_web_mail

    audit-behaviour http_send_file

    audit-behaviour http_download_file

    audit-behaviour send_mail

    audit-behaviour receive_mail

    audit-behaviour receive_web_mail

    audit-behaviour web_mail_upload_attachment

    audit-behaviour web_mail_download_attachment

    audit-behaviour web_disk_upload_file

    audit-behaviour web_disk_download_file

    description 研发部审计

    log level info

audit_policy any any 产品部 any any always all any 2

    description 产品部审计

    log level info

audit associate enable

!

ip route 0.0.0.0/0 192.168.2.1

ip route 10.1.1.0/24 10.1.3.2

ip route 10.1.2.0/24 10.1.3.2

!

user-param recognition scope 内网用户 strict

!

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们