登录

欢迎user新华三退出

简体中文

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置举例(R6618)-5W100

目录

04-审计功能典型配置举例

本章节下载 04-审计功能典型配置举例  (949.05 KB)

04-审计功能典型配置举例

目录

1 简介

2 配置前提

3 使用限制

4 审计策略配置举例

4.1 组网需求

4.2 配置思路

4.3 使用版本

4.4 配置注意事项

4.5 配置步骤

4.5.1 配置设备

4.6 验证配置

5 数据库审计配置举例

5.1 组网需求

5.2 配置思路

5.3 配置步骤

5.4 验证配置

5.5 使用限制

1  简介

本文档介绍设备的行为审计配置举例,包括HTTP类行为审计、邮件类行为审计、即时通讯类行为审计、网络基础协议类行为审计、娱乐股票类行为审计和网络应用其它应用行为审计。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解行为审计特性。

3  使用限制

设备对于采用私有算法进行加密的应用,无法审计其内容,例如无法审计QQ聊天内容。

4  审计策略配置举例

4.1  组网需求

图1所示,某公司内网存在研发部和产品部,IP地址分别为10.1.1.0/24和10.1.2.0/24。使用设备的ge1和ge4接口跑三层转发,串接部署在核心交换机和出口路由器之间,启用行为审计功能,具体应用需求如下:

·     针对研发部,审计HTTP类行为、邮件类行为,其它应用行为不进行审计。

·     针对产品部,审计所有上网应用行为。

图1 审计功能配置组网图

 

4.2  配置思路

·     根据源IP地址不同,配置两条审计策略分别对研发部和产品部进行审计。

·     在审计策略审计对象页面上,根据需求配置审计策略。

·     在用户管理高级选项全局配置页面上,配置具体用户识别访问。

·     在解密策略上配置网页及邮件类解密策略。

·     当需要将审计日志发送至外部日志服务器时,需要注意审计日志中配置的日志级别需要高于日志过滤中配置的发送级别。

4.3  使用版本

本举例是在R6618版本上进行配置和验证的。

4.4  配置注意事项

·     一般情况下,目前应用都是应用行为进行审计,如果是HTTPS访问的应用,则需要优先配置HTTPS解密策略,优先进行解密才能进一步进行审计。HTTPS解密策略的配置请参考“解密策略典型配置举例”。

·     审计策略匹配是由上至下进行匹配,策略匹配到之后将不会往下继续匹配。

4.5  配置步骤

4.5.1  配置设备

1. 配置地址对象

进入“策略配置>对象管理>地址对象>地址对象”,点击<新建>,IP地址配置为10.1.1.0/24,创建研发部地址对象,点击<提交>。按照同样的方法配置产品部地址对象。

图2 创建地址对象

 

2. 配置研发部审计策略

(1)     配置研发部审计策略

图3所示,进入“策略配置>审计策略”,点击<新建>,“源地址”配置为研发部,然后点击“审计对象”页面。

图3 配置研发部审计策略

 

(2)     配置研发部审计对象

图4所示,在审计策略页面的“审计对象”页面,勾选“HTTP类审计”和“邮件类审计”对象,其它配置保持默认,点击<提交>。

图4 配置HTTP类审计对象

 

3. 配置产品部审计策略

(1)     配置产品部审计策略

图5所示,进入“策略配置>审计策略”,点击<新建>,选择源地址为产品部,然后点击“审计对象”页面。

图5 配置产品部审计策略

 

(2)     配置产品部全部应用审计策略

图6所示,在审计策略配置页面 “审计对象”中,勾选所有类审计对象,其它配置保持默认,并点击<提交>。

图6 配置所有审计对象

 

4. 配置用户识别范围

(1)     配置地址对象组

图7所示,进入“策略配置>对象管理>地址对象>地址组对象”,点击<新建>,配置一个地址对象组,将配置的研发部和产品部都选上,点击<提交>。

图7 地址组对象配置

 

(2)     配置用户识别范围

图8所示,进入“用户管理>认证管理>高级选项>全局配置”,识别范围选择地址组对象配置的内网用户,识别方式选择强制模式,点击<提交>按钮,用户识别配置完成。

图8 用户识别配置完成

 

5. 配置HTTP解密策略

(1)     配置HTTPS对象

图9所示,进入“策略配置>对象管理>URL对象>HTTPS对象”,点击<新建>按钮,新建一条HTTPS对象,根据需求选择预定义对象和配置自定义https对象。

图9 新建HTTPS对象

 

图10所示,HTTPS对象配置完成之后,点击<提交>按钮,HTTPS对象配置完成。

图10 HTTPS对象配置完成

 

(2)     生成CA证书

图11所示,进入“策略配置>对象管理>CA服务器>根CA配置管理”,点击<生成CA根证书>。

图11 生成CA根证书

图12所示,在生成CA证书以后,导出证书。.

图12 导出CA证书

 

(3)     导入本地证书

图13所示,进入“策略配置>对象管理>本地证书>证书>本地证书”,点击<导入>,选择之前生成的CA证书。

 

图13 导入证书

图14所示,导入成功的证书如下:

图14 导入证书成功

 

(4)     配置解密策略

图15所示,进入“策略配置>策略配置>SSL解密策略”,点击<新建>按钮,配置一条HTTPS解密策略,根据需求配置指定的源目地址,解密类型选择https解密,解密 对象选择步骤1上配置的https对象,点击<提交>按钮。

图15 HTTPS解密策略配置

 

图16所示,点击<提交>按钮之后,https解密策略配置完成。

图16 HTTPS解密策略配置完成

 

图17所示,按步骤2的方法再配置一条邮件解密策略,解密类型选择邮箱解密,配置完成如下图所示。

图17 HTTPS邮箱解密配置完成

 

4.6  验证配置

(1)     验证研发部审计策略效果

图18所示,进入“数据中心>日志中心>审计日志>访问网站日志”,查看已经审计到研发部(IP地址为10.1.1.0/24)用户的网页浏览日志行为,并正确地记录了日志。

图18 查看研发部访问网站日志

图19所示,进入“数据中心>日志中心>审计日志>社区日志”查看,查看已经审计到研发部(IP地址为10.1.1.0/24)用户的网络社区登录发帖内容,并正确地记录了日志。

图19 查看研发部网络社区日志

 

图20所示,进入“数据中心>日志中心>审计日志>搜索引擎日志”,查看已经审计到研发部(IP地址为10.1.1.0/24)用户的网页搜索关键字日志行为,并正确地记录了日志。

图20 查询研发部搜索引擎审计日志

 

图21所示,进入“数据中心>日志中心>审计日志>邮件日志”,查看已经审计到研发部(IP地址为10.1.1.0/24)用户的收发邮件日志行为,并正确地记录了日志。

图21 研发部收发邮件日志

 

图22所示,进入“数据中心>日志中心>审计日志>文件传输日志”,查看已经审计到研发部(IP地址为10.1.1.0/24)用户的web网盘上传下载文件以及http文件上传下载行为,并正确地记录了日志。

图22 研发部网盘上传下载日志

 

(2)     验证产品部审计策略效果

图23所示,进入“数据中心>日志中心>审计日志>IM聊天软件日志”,点击页面左上角的<查询>,可以看到产品部已经被正确记录了即时通讯日志,而研发部并没有记录除了HTTP类、邮件类以外的其它应用日志。

图23 产品部IM聊天软件日志

 

5  数据库审计配置举例

5.1  组网需求

图24所示,某企业内网由多个业务部门组成,各部门用户可以访问企业的数据库服务器并进行各种操作。现需要对各部门访问企业数据库服务器的操作进行监控和审计,将设备部署在企业内网中,对各部门访问企业的数据库服务器的操作进行监控和审计。

图24 数据库审计配置举例组网图

 

5.2  配置思路

·     按照组网需求进行组网

·     配置基础网络

·     配置数据库识别对象

·     配置数据库类审计策略

·     配置日志过滤

·     开启数据库日志统计

5.3  配置步骤

(1)     配置基础网络

进入“网络配置>接口配置>物理接口”页面,按组网图配置物理接口地址,如图25所示。

图25 配置接口IP地址

进入“网络配置>路由管理>静态路由”页面,配置内网能访问外网的路由,如图26所示。

图26 配置静态路由

进入“策略配置>NAT转换策略>源NAT”页面,如图27所示,配置源NAT。

图27 配置源NAT

 

(2)     配置数据库识别对象

进入“策略配置>对象管理>数据库识别”页面,配置MySQL数据库识别对象和Postgres数据库识别对象,如图28所示。

图28 配置数据库识别对象

 

(3)     配置数据库审计策略

进入“策略配置>审计策略”页面,配置审计策略,审计对象选择“数据库类审计”,勾选数据库类型(与配置的数据库识别对象对应),如图29所示。

图29 配置数据库审计策略

 

(4)     配置日志过滤

进入“系统管理>系统设定>日志设定>日志过滤”页面,配置本地记录数据库审计日志,如图30所示。

图30 配置日志过滤

 

(5)     开启数据库日志统计

进入“数据中心>数据分析>数据库日志统计”页面,开启数据库日志统计功能,如图31所示。

图31 开启数据库日志统计

 

5.4  验证配置

(1)     内网用户通过设备分别访问MyQL和Postgres数据库,并操作数据库语句。

(2)     登录Web管理页面,进入“数据中心>日志中心>审计日志>数据库审计日志”页面,可以查看到用户操作数据库的详细信息,如图32所示。

图32  数据库审计日志

 

(3)     进入“数据中心>数据分析>数据库日志统计”页面,可以查看现网中使用的数据库类型、操作的类型、以及操作数据库用户等统计信息,如图33所示。

图33  数据库日志统计

 

5.5  使用限制

(1)     数据库审计支持的数据库版本及部署方式如下表。

 

数据库类型

数据库安装环境

支持版本

数据库管理客户端支持情况

Mysql

linux

8.0.28 版本

Navicat和DBeaver

Postgresql

linux

14版本

Navicat和DBeaver

Oracle

linux

11g版本

Navicat、sqldeveloper、DBeaver

SQL Server

linux

2019版本

Navicat、sqldeveloper、DBeaver

Sybase

linux

ase16版本

DBeaver和DBVisualizer

Informix

linux

14.10版本

DBeaver和DBVisualizer

DB2

linux

11.5版本

DBeaver和DBVisualizer

 

(2)     数据库客户端与服务端之间的交互需要通过明文方式传输,设备才能审计到客户端访问数据库的相关行为。

(3)     SQL Server字符集默认为ISO-8859-1转码格式为UCS-2LE,DB2字符集为EBCDIC。MySQL和Postgresql字符集为UTF8。Sybase字符集为ASCII,Sybase不支持中文。

(4)     当SQL语句超长分包传输时,设备会对报文进行缓存,最大缓存4000字节数据,超过部分不再进行缓存。

(5)     当一个SQL操作语句中出现多个操作类型的关键字时,将以第一个关键字作为这个语句的操作类型,不支持词法解析;

(6)     由客户端图形化操作界面引起的SQL语句中语句和键值参数分离的情况,审计日志将只记录SQL语句。

(7)     由客户端图形化操作界面产生的部分操作的报文中没有相关SQL语句,系统不会记录日志。

(8)     当导出数据时SQL语句中包含多个双引号,未将单个双引号转换成两个双引号从而导致分列,建议使用文本编辑工具打开查看导出数据。

(9)     无硬盘设备上不支持数据库审计日志和数据库日志统计功能。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们