• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置举例(F6610)-6W104

06-日志功能典型配置举例

本章节下载  (982.97 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/ACG/H3C_SecPath_ACG1000/Configure/Typical_Configuration_Example/H3C_ACG1000_CE(F6610)-3321/202204/1587475_30005_0.htm

06-日志功能典型配置举例


1  简介

本文档介绍ACG1000设备日志功能配置举例,包括日志的记录、外发和管理。

ACG1000共有五种类型日志,分别为系统日志、操作日志、安全日志、审计日志、终端日志,可以分别记录如下类型日志:

·     系统日志:记录系统状态变化信息,如接口状态变化、HA状态变化、管理员登录登出日志等。

·     操作日志:记录管理员对系统的操作和修改日志。

·     安全日志:记录的日志包括异常包攻击日志、Flood攻击日志、恶意URL日志以及应用控制日志等。

·     审计日志:记录的日志类型包括访问网站日志、IM聊天软件日志、社区日志、搜索引擎日志、邮件日志、文件传输日志、娱乐/股票日志和其它应用日志。

·     终端日志:记录了用户终端相关的日志,如用户上下线日志、共享介入日志、移动终端日志等。

ACG1000的日志级别表示日志的重要性,用户可以手工设置日志级别。目前ACG1000设备支持的日志级别从高到低,共有紧急、告警、严重、错误、警告、通知、信息和调试八种,当审计日志中配置的日志级别高于日志过滤中配置的发送级别时,日志方可被发送给第三方日志服务器。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解设备日志特性。

3  使用限制

·     ACG1000设备的审计日志和控制日志存储位置为硬盘,操作日志和系统日志存储位置为Flash芯片,其它日志(包括部分安全日志、终端日志)在设备有硬盘时存储到硬盘中,没有硬盘时存储在Flash芯片中。

·     ACG1000-C、ACG1000-B、ACG1005、ACG1010、ACG1020、ACG1000-AK110、ACG1000-AK120、ACG1000-AK130、ACG1005-PWR、ACG1000-BE-PWR、ACG1000-BE、ACG1000-AK210、ACG1000-AK220、ACG1010-X1设备不具有硬盘,故在设备本地仅支持记录安全日志、操作日志和系统日志,如果需要记录应用审计日志和网站访问日志,需要配合SACG日志分析与管理平台服务器使用。

·     当硬盘存储空间占用率达到95%后,设备开始按照时间顺序,从时间最早的文件开始删除硬盘内的日志和邮件缓存文件,直到硬盘存储空间占用率达到85%。

4  配置举例

4.1  组网需求

图1所示,ACG1000设备以透明模式串接在某公司网络的核心交换机和出口路由器之间,内网中部署SACG日志分析与管理平台服务器,具体应用需求如下:

·     ACG1000设备开启日志审计功能,ACG1000设备使用的IP地址为192.168.1.1/24,SACG日志分析与管理平台使用的IP地址为192.168.1.73/24,日志使用默认的UDP 514端口发送。

·     需要审计的日志为:应用审计日志、网站访问日志、安全防护日志和系统日志,上述日志的日志级别分别为信息、信息、警告、通知。

·     ACG1000设备在本地记录日志,同时将日志发送到SACG日志分析与管理平台服务器。

·     将设备上的日志支持导出到PC。

图1 日志功能配置组网图

 

4.2  配置前提

设备正确部署在网络中,内网用户可以正常上网。

4.3  配置思路

·     ACG1000设备配置IPv4审计策略。

·     ACG1000设备开启网络层攻击防护功能,安全防护日志会自动记录。

·     在日志服务器中填写SACG日志分析与管理平台的IP地址。

·     在日志过滤中选择需要记录的日志类型以及发送日志的级别。

4.4  使用版本

本举例是在ACG1000设备的F6610版本和SACG日志分析与管理平台的R0304版本上进行配置和验证的。

4.5  配置注意事项

·     当需要将审计日志发送至外部日志服务器时,需要注意审计日志中配置的日志级别需要高于日志过滤中配置的发送级别。

·     如果只需要在设备本地记录日志,则无需配置日志服务器。

·     配合SACG日志分析与管理平台收集日志时,可选择将日志加密,防止日志遭到窃取。

·     所有日志均支持导出,其中系统日志、操作日志、网络层攻击日志、用户上下线日志、移动终端日志支持一次性导出,不支持选择导出日志的时间范围;其它日志不支持一次性全部导出所有日志内容,支持导出时间范围。

·     导出文件形式为压缩包,当导出日志中某一天无日志记录时不生成该日期的空内容导出文件。

·     用户导出的最大日志大小为25万条左右(对应的文件大小在100M左右,存在一些误差),因此当数据量较大时,用户选择了近三月的数据,可能只导出了几天或十几天的数据。所以导出的日志数量为导出规格的先决条件,其次才是选择的时间范围。

·     不支持负载及附件内容的导出(例如:邮件负载内容及附件)。

·     导出文件存储格式为csv格式,文件内容编码格式为GBK,可直接使用excel打开,使用其它文本查看工具时请注意编码类型,以免中文内容显示为乱码。

4.6  配置步骤

4.6.1  配置ACG1000系列产品

1. 登录Web网管

图2所示,使用http或https的方式登录ACG1000设备的Web网管,默认的用户名和密码是admin/admin,输入验证码,并单击<登录>按钮。

图2 登录H3C ACG Web网管

 

2. 配置IPv4审计策略

(1)     配置IPv4策略

图3所示,进入“上网行为管理>IPv4审计策略”,单击<新建>,基础配置保持默认的全any,接着配置“审计对象”。

图3 配置IPv4审计策略基础配置

 

(2)     配置审计对象

图4所示,在IPV4审计策略的审计对象部分,勾选所有的应用分类。

图4 配置应用审计策略

 

(3)     配置高级配置

图5所示,单击“高级配置”部分,选择时间为“always”,日志级别为“信息”,终端为“any”。最后提交配置。

图5 配置高级配置

 

图6所示,创建成功的IPv4审计策略如下。

图6 IPv4审计策略配置成功

 

3. 配置IPv4控制策略

如下图所示,进入“上网行为管理>IPv4控制策略”,单击<新建>,在控制策略新建页面勾选“启用”,选择行为为“允许”,匹配条件保持默认即可。

图7 IPv4控制策略-匹配条件

 

选择URL过滤页面,在URL控制项中单击<新建>,在弹出的配置框中勾选“启用规则”,URL分了选择“全部”,处理动作选择“允许”,日志级别选择“信息”,然后单击<提交>,配置后如下图所示。

图8 IPv4控制策略-URL控制

 

在恶意URL项中勾选“过滤”选项,其它保持默认,最后提交配置。

图9 IPv4控制策略-恶意URL

 

配置完成后,IPv4控制策略列表显示如下。

图10 IPv4控制策略

 

4. 配置安全防护

图11所示,进入“威胁防御>攻击防护> ARP攻击防护>防ARP欺骗”,在“ARP防欺骗攻击”和“主动防护”上打钩,并单击<提交>。

图11 开启防ARP欺骗

 

图12所示,进入“威胁防御>攻击防护> ARP攻击防护> ARP Flood攻击”,在“启用”上打钩,单击<提交>。

图12 开启防ARP Flood攻击

 

图13所示,进入“威胁防御>攻击防护>异常包攻击防御”,在相应的选项上打钩,并单击<提交>。

图13 开启防异常包攻击

 

5. 配置日志过滤

图14所示,进入“系统管理>日志设定>日志过滤”,在本地日志处单击“记录”,系统日志级别选择“通知”,安全日志发送级别选择“警告”,单击<提交>。

图14 日志过滤配置

 

图15所示,单击“高级配置”,配置记录和发送上网行为日志,选择级别为“信息”,单击<提交>。

图15 日志过滤高级配置

 

6. 配置日志服务器

图16所示,进入“系统管理>日志设定>日志服务器”,配置服务器1的IP地址的为192.168.1.73,端口保持为默认的514,并打开启用开关,单击<提交>。

图16 配置日志服务器

 

4.6.2  配置SACG日志分析与管理平台

图17所示,使用https方式登录ACG1000日志分析与管理平台,默认用户名密码为admin/admin,单击<登录>。

图17 登录日志分析与管理平台

 

图18所示,进入“设备管控>设备管理>设备管理”,单击<新增>,选择“设备”,在弹出的配置框中,“设备IP”配置为ACG1000设备的IP地址192.168.1.1,“用户名”和“密码”配置为ACG1000设备的用户名密码,“名称”、“描述”和“设备型号”配置为ACG1000-S,单击<确定>

图18 添加ACG1000设备

 

图19所示,添加成功的ACG1000设备配置如下。

图19 添加设备成功

 

4.7  验证配置

4.7.1  ACG1000端验证

(1)     验证本地日志

图20所示,在ACG1000设备本地,进入“数据中心>系统日志>系统日志”,可以看到本地收集系统日志正常。

图20 系统日志

 

单击<导出>,可以导出CSV格式的日志,打开后可以看到和实际的日志一致。

图21 导出的日志

 

图22所示,在ACG1000设备本地,进入“数据中心>审计日志>IM聊天软件日志”,可以看到本地收集IM聊天软件日志正常。

图22 ACG1000设备本地记录IM聊天软件日志

 

单击<导出>,在弹出的过滤框中选择需要导出的日志的时间范围,单击<导出>,即可将对应时间段的日志压缩包下载到本地。解压缩后,可以看到带有日期信息的CSV文件。

图23 导出过滤

 

图24 审计日志导出的文件

CSV文件中的日志内容与实际日志内容一致。

图25 审计日志导出内容

 

图26所示,,在ACG1000设备本地,进入“数据中心>审计日志>访问网站日志”,可以看到本地收集网站访问日志正常。和IM聊天软件日志一样,该日志也支持选择时间范围进行导出,不再赘述。

图26 ACG1000设备本地记录网站访问日志

 

(2)     验证本地日志查询

图27所示,在上述访问网站日志页面单击查询,可根据多种条件进行过滤查询,将“URL”配置为baidu,单击<查询>。

图27 访问网站日志查询

 

图28所示,可以看到日志正确返回URL均中含有baidu的日志。

图28 查询到URL中含有baidu的日志

 

4.7.2  日志分析与管理平台端验证

图29所示,在SACG日志分析与管理平台,进入“日志审计>内容审计日志>即时通讯”,在日志过滤页面过滤对应的设备,即可以看到SACG日志分析与管理平台正确收集到了聊天日志。

图29 日志分析与管理平台聊天日志

 

4.8  配置文件

!

policy any any any any any any any always any permit 1

  app-policy control 1 action permit log-level info 

  app-policy control 1 application any

  app-policy control 1 enable

  website-policy malware enable

  website-policy 1 any accept info FilterUrl 

   website-policy enable 1

policy default-action permit

policy white-list enable

!

!policy-decrypt

!

policy listen block disable

!

audit_policy any any any any any always all any 1

    log level info

audit associate enable

!

anti-arp spoof enable

anti-arp broadcast enable

anti-arp flood enable

!

!

anony_user log disable

ap ipmac enable

ip defend attack ping-of-death

ip defend attack tear-drop

ip defend attack jolt2

ip defend attack land-base

ip defend attack winnuke

ip defend attack tcp-flag

ip defend attack smurf

ip defend attack ip-option

ip defend attack ip-spoof

!

ip defend synflood interface bvi0 destination 1500

ip defend udpflood interface bvi0 destination 1500

ip defend icmpflood interface bvi0 destination 1500

ip defend dnsflood interface bvi0 destination 1500

ip defend synflood interface bvi0 source 1500

ip defend udpflood interface bvi0 source 1500

ip defend icmpflood interface bvi0 source 1500

ip defend dnsflood interface bvi0 source 1500

!

!flow-account

!

log command_log server disable

log server addr 192.168.203.240

log server second addr 192.168.200.36

log server enable

!

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们