30-审计策略
本章节下载: 30-审计策略 (493.92 KB)
目 录
审计策略是基于用户上网行为进行审计,审计从HTTP、邮件、即时通讯、基础协议、娱乐股票、网络应用等6大维度进行审计。
本功能具有如下功能点:
· 审计策略可单独支持增、删、改、查、启用、禁用、优先级调整。
· 审计策略目前基于应用行为进行审计,不再基于应用或应用组进行审计,配置逻辑简单清晰。
· 审计策略适用于IPv4和IPv6网络的审计。
· 如果未开启https解密功能,系统默认只对内置的https网站访问进行审计,可以通过https audit all 命令设置对所有的https网站访问进行审计,但是开启后可能会产生大量的审计日志。建议使用默认配置(https audit predefine),如需对加密的网站进行审计,可配合https解密策略进行审计。
· 对于一些加密的应用行为需要在设备上配置HTTPS解密策略,优先进行HTTPS解密,解密之后再审计;如未开启解密,则加密的应用行为将不会进行审计。
· 网络应用类的应用行为审计是需要有登录账号或评论等操作才会产生相应的日志,只是访问页面查询将不会进行审计。
通过菜单“策略配置 > 审计策略”,进入审计策略显示页面,如图1-1所示。审计策略页面显示项含义如表1-1所示。
标题项 |
说明 |
状态 |
策略的状态: · 表示策略启用和时间生效; · 表示策略禁用和时间失效。 |
ID |
审计策略ID。 |
用户 |
匹配审计策略的用户对象,可以在策略外点进去单独进行编辑。 |
源接口/域 |
匹配审计策略的源接口/域,可以在策略外点进去单独进行编辑。 |
目的接口/域 |
匹配审计策略的目的接口/域,可以在策略外点进去单独进行编辑。 |
源地址 |
匹配审计策略的源地址,可以在策略外点进去单独进行编辑。 |
目的地址 |
匹配审计策略的目的地址,可以在策略外点进去单独进行编辑。 |
终端 |
匹配审计策略的终端类型。 |
描述 |
审计策略描述。 |
匹配次数 |
匹配审计策略的次数。 |
审计对象 |
匹配审计策略的审计对象。 |
时间 |
匹配审计策略的时间对象。 |
操作 |
修改:对当前审计策略进行编辑修改操作。 删除:对当前审计策略进行删除操作。 |
单击<新建>按钮,进入审计策略配置页面,如图1-2所示。
图1-2 审计策略基础配置页面
单击“审计对象”标签页,进入审计对象配置页面,如图1-3所示。
单击“高级配置”标签页,进入高级配置页面,如图1-4所示。
审计策略详细配置含义如表1-2所示。
表1-2 审计策略详细配置
标题项 |
说明 |
启用 |
新建策略默认勾选该项,表示策略启用;不勾选表示禁用状态。 |
描述 |
审计策略描述。 |
用户 |
匹配审计策略的用户对象。 |
接口 |
匹配审计策略的源目的接口/域。 |
源地址 |
匹配审计策略的源地址。 |
目的地址 |
匹配审计策略的目的地址。 |
HTTP |
HTTP类审计对象,可以对HTTP类行为进行审计,主要包括网页访问、网络社区、网页搜索、HTTP文件上传下载、web网盘文件上传下载审计。 |
邮件 |
邮件类审计对象,可以对邮件类行为进行审计,主要包括SMTP、POP3、IMAP、Webmail收发邮件及附件审计。 |
即时通讯 |
即时通讯类审计对象,主要包括常用通讯软件QQ、微信、飞信等登录账号审计,以及收发消息行为审计,还有其它类通讯软件登录行为审计。 |
基础协议 |
基础协议类审计对象,主要包括FTP登录上传下载文件审计。 |
娱乐股票 |
娱乐股票类审计对象,主要包括娱乐股票类应用登录账号以及评论类审计。 |
网络应用 |
网络应用类审计对象,主要包括出上面具体应用行为外的其它一些应用行为进行审计。 |
时间 |
匹配审计策略的时间对象。 |
日志级别 |
审计策略日志记录级别,默认是信息级别,可以根据需求配置日志级别。 |
终端 |
匹配审计策略终端类型,默认是any所有终端类型,可以根据需求配置终端类型进行审计。 |
终端型号 |
选择终端型号,默认为any。此功能依赖于第三方用户同步中的ddi终端用户功能,需要将终端型号信息同步给设备。 |
通过菜单“策略配置 > 审计策略”,进入审计策略显示页面,如图1-5所示。
勾选要启用或者禁用的审计策略,单击<启用>按钮或<禁用>按钮可以启动和禁用该审计策略。
图1-5 审计策略启用禁用
通过菜单“策略配置 > 审计策略”,进入审计策略显示页面。单击需要复制的审计策略后面的 按钮,然后单击“确定”按钮,进入复制后的策略编辑页面,最后点“提交”按钮即可以对该审计策略进行复制,生成一个新的审计策略。
图1-6 审计策略复制
通过菜单“策略配置 > 审计策略”,进入审计策略显示页面,选择需要调整的审计策略,点击<优先级>按钮,进入审计策略优先级配置页面,如图1-6所示。
图1-7 审计策略优先级配置
审计策略优先级详细配置说明,如表1-3所示。
表1-3 审计策略优先级配置
标题项 |
说明 |
被移动的策略ID |
被移动的策略ID。 |
目标位置 |
移动后的位置: · 策略最前指移动到所有策略的最前面。 · 策略ID之前指移动到某条固定的策略之前。 · 策略ID之后指移动到某条固定的策略后面。 · 策略最后指移动到所有策略的后面。 |
目标位置策略ID |
参考策略ID。 |
通过菜单“策略配置 > 审计策略”,进入审计策略显示页面,点击<查询>按钮,进入审计策略查询页面,如图1-7所示。
图1-8 审计策略查询
审计策略查询项查询条件说明,如表1-4所示。
表1-4 审计策略查询
标题项 |
说明 |
匹配ID |
被搜索的策略ID。 |
源接口/域 |
策略所选择的源接口/域。 |
源地址 |
策略所配置包含该地址的地址对象(可基于地址对象、IP地址、域名搜索)。 |
用户 |
策略所选择的用户。 |
目的接口/域 |
策略所选择的目的接口/域。 |
目的地址 |
策略所配置包含该地址的地址对象(可基于地址对象、IP地址、域名搜索)。 |
描述 |
策略所对应的描述信息。 |
内网用户通过设备访问外网,工作时间(9:00-18:00)现需对内网用户访问外网的所有行为进行审计。
图1-9 审计策略配置举例组网图
(1) 配置时间对象。通过菜单“策略配置>对象管理>时间对象>日计划”,点击<新建>按钮,进入日计划配置页面,如图1-10所示。
图1-10 配置时间对象
点击<提交>按钮,提交日计划时间对象配置,如图1-11所示。
(2) 配置审计策略。通过菜单“策略配置 > 审计策略”,点击<新建>按钮,进入审计策略配置页面,匹配条件按默认配置,如图1-12所示,审计对象选择所有,如图1-13所示,高级配置中时间对象选择配置的时间对象,如图1-13所示。
图1-14 审计策略高级配置
点击策略下方的<提交>按钮,审计策略配置完成,如图图1-15所示。
配置完成后,内网用户在工作时间段(9:00-18:00)访问外网的上网行为均被审计到,工作时间外访问外网将不进行审计。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!