12-应用审计
本章节下载: 12-应用审计 (394.78 KB)
本帮助主要介绍以下内容:
· 特性简介
¡ 基本概念
¡ 报文审计流程
¡ 审计策略
¡ 过滤条件
¡ 审计规则
· 配置指南
¡ 配置关键字组
¡ 配置审计策略
本特性会解析出用户报文中的敏感信息和私密信息,请保证将本特性仅用于合法用途。 |
应用审计是在APR(Application Recognition,应用层协议识别)的基础上进一步识别出应用的具体行为和行为内容,据此对用户的上网行为进行审计和记录。
各种应用和软件在使用过程中会表现不同的行为特征,比如IM聊天软件的登录、发消息;FTP的上传文件、下载文件等。
行为内容是指某一行为的具体内容,比如IM聊天软件登录的行为内容是账号信息,FTP上传文件的行为内容是文件名信息等。行为内容的匹配方式包括两种:字符串和数字。
图-1 报文审计流程图
不同类型的审计策略能对符合过滤条件的报文进行差异化处理。
审计策略分为如下三种类型:
· 审计策略:对匹配策略中所有过滤条件的报文进行审计。
· 免审计策略:对匹配策略中所有过滤条件的报文进行免审计。
· 阻断策略:对匹配策略中所有过滤条件的报文进行阻断。
设备上可以存在多个审计策略,报文按照策略的配置顺序进行匹配,一旦与某个策略匹配成功便结束匹配过程。若报文未与任何策略匹配成功,则设备将根据审计策略的缺省动作对报文进行处理。
审计策略的配置顺序可在“审计策略”页面查看,配置顺序与策略的创建顺序有关,先创建的策略优先进行匹配,也可以通过移动策略的位置来调整策略的配置顺序。根据以上审计策略的匹配原理,为使设备上部署的审计策略对流经设备的报文能够达到更好、更精准的审计效果,需要在配置审计策略时遵循“深度优先”的原则,即先配置审计范围小的,再配置审计范围大的。
审计策略中可以配置多种过滤条件,具体包括:源安全域、目的安全域、源IP地址、目的IP地址、服务、用户、应用和生效时间段。策略被匹配成功的条件是:策略中已配置的过滤条件均被匹配成功。
每种过滤条件中也可以配置多个匹配项,比如一个源IP地址中可以指定多个地址对象组等。每种过滤条件被匹配成功的条件是:过滤条件的任何一个匹配项被匹配成功即可。
在审计类型的审计策略中可以配置一系列的审计规则对某一应用的具体行为和行为内容进行精细化审计,并输出审计信息。
审计规则的匹配模式分为顺序匹配和全匹配两种,不同模式下审计规则的匹配原则如下:
· 顺序匹配:按照审计规则ID从小到大的顺序进行匹配,一旦报文与某条审计规则匹配成功便结束此匹配过程,并根据该审计规则中的动作对此报文进行相应处理。
· 全匹配:按照审计规则ID从小到大的顺序进行匹配,若报文与某条动作为允许的规则匹配成功,则继续匹配后续规则直到最后一条;若报文与某条动作为阻断的规则匹配成功,则不再进行后续规则的匹配。设备将根据所有匹配成功的审计规则中优先级最高的动作(阻断的优先级高于允许)对此报文进行处理。
若报文未与任何审计规则匹配成功,则根据审计规则的缺省动作对此报文进行处理。
应用审计功能的配置思路如下图所示:
图-2 应用审计配置指导图
在配置应用审计功能之前,需要先配置安全策略使流量可在设备上通过。有关安全策略的相关介绍请参见“安全策略联机帮助”。
配置关键字组具体步骤如下:
1. 在应用审计的“关键字组”页面,单击<新建>按钮,进入“新建关键字组”页面。
2. 新建关键字组,具体配置内容如下表所示:
表-1 关键字组配置参数表
参数 |
说明 |
名称 |
关键字组的名称 |
描述 |
通过合理编写描述信息,便于管理员快速理解和识别本关键字组 |
关键字 |
配置需要审计的关键字信息,多个关键字之间用回车分隔 |
3. 在“新建关键字组“页面,单击<确定>按钮,新建关键字组成功,并会在“关键字组”页面中显示。
配置审计策略的具体步骤如下:
1. 在应用审计的“审计策略”页面,单击<新建>按钮,进入“新建审计策略”页面。
2. 新建审计策略,具体配置内容如下表所示:
表-2 审计策略配置参数表
参数 |
说明 |
名称 |
配置审计策略的名称 |
类型 |
根据对报文审计需求选择对应的策略类型,类型包括审计、免审计和阻断 |
启用 |
选择开启后,此审计策略才能生效 |
源安全域 |
配置源安全域作为审计策略的过滤条件 |
目的安全域 |
配置目的安全域作为审计策略的过滤条件 |
源IP地址 |
配置源IP地址作为审计策略的过滤条件 |
目的IP地址 |
配置目的IP地址作为审计策略的过滤条件 |
服务 |
配置服务作为审计策略的过滤条件 |
用户 |
配置身份识别用户作为审计策略的过滤条件 |
应用 |
配置应用或应用组作为审计策略的过滤条件 |
时间段 |
配置审计策略生效的时间段 |
审计规则 |
配置审计规则对某一应用的具体行为和行为内容进行精细化审计,此项仅审计类型的策略可配 |
3. 在“新建审计策略“页面,单击<确定>按钮,新建审计策略成功,并会在“审计策略”页面中显示。
4. 新建审计策略后,需要激活才能生效。如需立即激活,请单击<提交>按钮。否则,设备默认40秒后自动激活。
审计策略变更后(包括新建、编辑、删除、启用和禁用),需要激活才能生效。如需立即激活,请单击<提交>按钮。否则,设备默认40秒后自动激活。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!