- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
17-审计策略
本章节下载: 17-审计策略 (888.91 KB)
目 录
审计策略是基于用户上网行为进行审计,从HTTP、邮件、即时通讯、基础协议、数据库、娱乐股票、网络应用等维度进行审计。
(1) 通过菜单“策略配置 > 审计策略”,进入审计策略显示页面,可查看设备上已有的审计策略条目,如图1-1所示。
(2) 单击<新建>按钮,进入审计策略配置页面,如图1-2所示。勾选启用,选择“基础配置”页签,可以设置匹配条件(用户、接口、源地址和目的地址)。
图1-2 审计策略基础配置页面
单击“审计对象”标签页,进入审计对象配置页面,如图1-3所示。设置要审计的行为(包括HTTP、邮件、即时通讯、基础协议、数据库、娱乐股票和网络应用)。
单击“高级配置”标签页,进入高级配置页面,如图1-4所示。选择策略执行的时间段,要审计的日志级别、终端和终端型号等。
审计策略详细配置含义如下表所示。
表1-1 审计策略详细配置
|
标题项 |
说明 |
|
启用 |
新建策略默认勾选该项,表示策略启用;不勾选表示禁用状态。 |
|
描述 |
审计策略描述。 |
|
匹配条件 |
|
|
基础配置 |
选择该条策略的匹配对象,可以为用户/用户组、源/目的接口、源/目的地址。 |
|
审计对象 |
选择该条策略的审计对象。 HTTP:主要包括网页访问、网络社区、网页搜索、HTTP文件上传下载、Web网盘文件上传下载审计。 邮件:主要包括SMTP、POP3、IMAP、Webmail收发邮件及附件审计。 即时通讯:主要包括QQ、微信、等登录账号审计,收发消息行为审计,以及其他通讯软件登录行为审计。 基础协议:主要包括FTP登录、上传下载文件审计。 数据库:审计的数据库类型包括Mysql、Postgresql、Oracle、SQL Server、Sybase、Informix、DB2。 娱乐股票:主要包括娱乐股票类应用登录账号以及评论类审计。 网络应用:主要包括上述行为之外的其他应用行为审计。 |
|
时间 |
匹配审计策略的时间对象。 |
|
日志级别 |
审计策略日志记录级别,默认是信息级别,可以根据需求配置日志级别。 |
|
终端型号 |
选择终端型号,默认为any。此功能依赖于第三方用户同步中的ddi终端用户功能,需要将终端型号信息同步给设备。 |
|
VLAN |
选择策略匹配的虚拟局域网,any表示所有。可配置的范围为0~4094,单个/范围(用-连接),多项用,隔开,最多可配置8组。 |
|
DSCP |
选择策略匹配的差分服务代码点,any表示所有。可配置的范围为0~63,单个/范围(用-连接),多项用,隔开,最多可配置8组。 |
|
网页快照 |
开启网页快照功能后,产生的审计日志中会显示访问的网页快照。在审计日志详情中,点击链接可以查看。 需要审计的网页有标题才会记录网页快照,旁路部署模式不支持HTTPS网站的网页快照功能。 |
设备支持对Mysql、Postgresql、Oracle、SQL Server、Sybase、Informix、DB2等主流数据库进行审计,通过对数据库用户访问数据库行为的记录、分析,对内网数据库网络行为进行监控和审计,提高数据资产安全。
数据库审计支持审计SQL操作语句、源IP地址、目的IP地址、访问时间、MAC地址、数据库用户、客户端等访问数据库的行为。
数据库审计的配置步骤如下:
(1) 配置数据库识别对象
在导航栏选择“策略配置 > 对象管理 > 数据库识别”,单击“新建”,配置数据库识别对象,详细配置请参见“对象管理”章节中数据库识别的配置。
(2) 配置数据库审计策略
在导航栏选择“策略配置 > 审计策略”,新建审计策略,选择“审计对象”页面,在“数据库”类别中选择审计的数据库类型。
图1-5 配置数据库审计策略
(3) 查看数据库审计日志(可选)
进入“系统管理>系统设定>日志设定>日志过滤”,配置数据库审计日志记录本地。
进入“数据中心>数据分析>数据库日志统计”页面,开启数据库日志统计功能,如下图所示。
图1-6 数据库统计设置页面
当内网用户通过设备连接审计的数据库对象,并操作数据库语句时,进入“数据中心>日志中心>审计日志>数据库审计日志”页面,可以查看到用户操作数据库的详细信息,如下图所示。
图1-7 数据库审计日志页面
进入“数据中心>数据分析>数据库日志统计”页面,通过数据库日志统计可以直观看到现网中使用的数据库类型、操作的类型、以及操作数据库的用户,如下图所示。
图1-8 数据库日志统计分析页面
通过菜单“策略配置 > 审计策略”,进入审计策略显示页面,如图1-9所示。
勾选要启用或者禁用的审计策略,单击<启用>按钮或<禁用>按钮可以启动和禁用该审计策略。
通过菜单“策略配置 > 审计策略”,进入审计策略显示页面。单击需要复制的审计策略后面的
按钮,然后单击“确定”按钮,进入复制后的策略编辑页面,最后点“提交”按钮即可以对该审计策略进行复制,生成一个新的审计策略。
图1-10 审计策略复制
通过菜单“策略配置 > 审计策略”,进入审计策略显示页面,选择需要调整的审计策略,点击<优先级>按钮,进入审计策略优先级配置页面,如图1-11所示。
审计策略优先级详细配置说明,如表1-2所示。
|
标题项 |
说明 |
|
被移动的策略ID |
被移动的策略ID。 |
|
目标位置 |
移动后的位置: · 策略最前:调整到最先被匹配的顺序。 · 策略之前:调整到目标位置策略ID对应的策略之前的顺序。 · 策略之后:调整到目标位置策略ID对应的策略之后的顺序。 · 策略最后:调整到最后被匹配的顺序。 |
|
目标位置策略ID |
参考策略ID。 |
通过菜单“策略配置 > 审计策略”,进入审计策略显示页面,点击<查询>按钮,进入审计策略查询页面,如图1-12所示。
审计策略查询项查询条件说明,如表1-3所示。
|
标题项 |
说明 |
|
匹配ID |
被搜索的策略ID。 |
|
源接口/域 |
策略所选择的源接口/域。 |
|
源地址 |
策略所配置包含该地址的地址对象(可基于地址对象、IP地址、域名搜索)。 |
|
用户 |
策略所选择的用户。 |
|
目的接口/域 |
策略所选择的目的接口/域。 |
|
目的地址 |
策略所配置包含该地址的地址对象(可基于地址对象、IP地址、域名搜索)。 |
|
描述 |
策略所对应的描述信息。 |
内网用户通过设备访问外网,现需对内网用户在工作时间(9:00-18:00)访问外网的所有行为进行审计。
图1-13 审计策略配置举例组网图
(1) 配置时间对象。通过菜单“策略配置>对象管理>时间对象>日计划”,点击<新建>按钮,进入日计划配置页面,如图1-14所示。
图1-14 配置时间对象
点击<提交>按钮,提交日计划时间对象配置,如图1-15所示。
(2) 配置审计策略。通过菜单“策略配置 > 审计策略”,点击<新建>按钮,进入审计策略配置页面,匹配条件按默认配置,如图1-16所示,审计对象选择所有,如图1-17所示,高级配置中时间对象选择配置的时间对象,如图1-18所示。
点击策略下方的<提交>按钮,审计策略配置完成,如图图1-19所示。
配置完成后,内网用户在工作时间段(9:00-18:00)访问外网的上网行为均被审计到,工作时间外访问外网将不进行审计。
· 对于一些加密的应用行为需要在设备上配置HTTPS解密策略,优先进行HTTPS解密,解密之后再审计;如未开启解密,则加密的应用行为将不会进行审计。
· 网络应用类的应用行为审计是需要有登录账号或评论等操作才会产生相应的日志,只是访问页面查询将不会进行审计。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
