- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
03-审计功能典型配置举例
本章节下载 (1.08 MB)
目录
本文档介绍设备的行为审计配置举例,包括HTTP类行为审计、邮件类行为审计、即时通讯类行为审计、网络基础协议类行为审计、娱乐股票类行为审计和网络应用其它应用行为审计。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解行为审计特性。
设备对于采用私有算法进行加密的应用,无法审计其内容,例如无法审计QQ聊天内容。
如图1所示,某公司内网存在研发部和产品部,IP地址分别为10.1.1.0/24和10.1.2.0/24。使用设备的的ge1和ge4接口跑三层转发,串接部署在核心交换机和出口路由器之间,启用行为审计功能,具体应用需求如下:
· 针对研发部,审计HTTP类行为、邮件类行为,其它应用行为不进行审计。
· 针对产品部,审计所有上网应用行为。
· 根据源IP地址不同,配置两条审计策略分别对研发部和产品部进行审计。
· 在审计策略审计对象页面上,根据需求配置审计策略。
· 在用户管理高级选项全局配置页面上,配置具体用户识别访问。
· 在解密策略上配置网页及邮件类解密策略。
· 当需要将审计日志发送至外部日志服务器时,需要注意审计日志中配置的日志级别需要高于日志过滤中配置的发送级别。
本举例是在E6501版本上进行配置和验证的。
· 一般情况下,目前应用都是应用行为进行审计,如果是HTTPS访问的应用,则需要优先配置HTTPS解密策略,优先进行解密才能进一步进行审计。HTTPS解密策略的配置请参考“解密策略典型配置举例”。
· 审计策略匹配是由上至下进行匹配,策略匹配到之后将不会往下继续匹配。
如图2所示,进入“策略配置>对象管理>地址对象>地址对象”,点击<新建>,IP地址配置为10.1.1.0/24,创建研发部地址对象,点击<提交>。按照同样的方法配置产品部地址对象。
如图3所示,创建成功的地址对象配置如下:
(1) 配置研发部审计策略
如图4所示,进入“策略配置>审计策略”,点击<新建>,“源地址”配置为研发部,然后点击“审计对象”页面。
图4 配置研发部审计策略
(2) 配置研发部审计对象
如图5所示,在审计策略页面的“审计对象”页面,勾选“HTTP类审计”和“邮件类审计”对象,其它配置保持默认,点击<提交>。
图5 配置HTTP类审计对象
如图6所示,在“审计策略”页面中查看,研发部审计策略配置完成。
(1) 配置产品部审计策略
如图7所示,进入“策略配置>审计策略”,点击<新建>,选择源地址为产品部,然后点击“审计对象”页面。
图7 配置产品部审计策略
(2) 配置产品部全部应用审计策略
如图8所示,在审计策略配置页面 “审计对象”中,勾选所有类审计对象,其它配置保持默认,并点击<提交>。
如图9所示,创建成功的产品部审计策略配置如下,点击<提交>完成配置。
(1) 配置地址对象组
如图10所示,进入“策略配置>对象管理>地址对象>地址组对象”,点击<新建>,配置一个地址对象组,将配置的研发部和产品部都选上,点击<提交>。
如图11所示,在地址组对象页面查看,创建地址组对象完成。
(2) 配置用户识别范围
如图12所示,进入“用户管理>认证管理>高级选项>全局配置”,识别范围选择地址组对象配置的内网用户,识别方式选择强制模式,点击<提交>按钮,用户识别配置完成。
(1) 配置HTTPS对象
如图13所示,进入“策略配置>对象管理>URL对象>HTTPS对象”,点击<新建>按钮,新建一条HTTPS对象,根据需求选择预定义对象和配置自定义https对象。
如图14所示,HTTPS对象配置完成之后,点击<提交>按钮,HTTPS对象配置完成。
图14 HTTPS对象配置完成
(2) 生成CA证书
如图15所示,进入“策略配置>对象管理>CA服务器>根CA配置管理”,点击<生成CA根证书>。
图15 生成CA根证书
如图16所示,在生成CA证书以后,导出证书。.
图16 导出CA证书
(3) 导入本地证书
如图17所示,进入“策略配置>对象管理>本地证书>证书>本地证书”,点击<导入>,选择之前生成的CA证书。
如图18所示,导入成功的证书如下:
(4) 配置解密策略
如图19所示,进入“策略配置>策略配置>SSL解密策略”,点击<新建>按钮,配置一条HTTPS解密策略,根据需求配置指定的源目地址,解密类型选择https解密,解密 对象选择步骤1上配置的https对象,点击<提交>按钮。
图19 HTTPS解密策略配置
如图20所示,点击<提交>按钮之后,https解密策略配置完成。
图20 HTTPS解密策略配置完成
如图21所示,按步骤2的方法再配置一条邮件解密策略,解密类型选择邮箱解密,配置完成如下图所示。
图21 HTTPS邮箱解密配置完成
(1) 验证研发部审计策略效果
如图22所示,进入“数据中心>日志中心>审计日志>访问网站日志”,查看已经审计到研发部(IP地址为10.1.1.0/24)用户的网页浏览日志行为,并正确地记录了日志。
如图23所示,进入“数据中心>日志中心>审计日志>社区日志”查看,查看已经审计到研发部(IP地址为10.1.1.0/24)用户的网络社区登录发帖内容,并正确地记录了日志。
如图24所示,进入“数据中心>日志中心>审计日志>搜索引擎日志”,查看已经审计到研发部(IP地址为10.1.1.0/24)用户的网页搜索关键字日志行为,并正确地记录了日志。
如图25所示,进入“数据中心>日志中心>审计日志>邮件日志”,查看已经审计到研发部(IP地址为10.1.1.0/24)用户的收发邮件日志行为,并正确地记录了日志。
如图26所示,进入“数据中心>日志中心>审计日志>文件传输日志”,查看已经审计到研发部(IP地址为10.1.1.0/24)用户的web网盘上传下载文件以及http文件上传下载行为,并正确地记录了日志。
(2) 验证产品部审计策略效果
如图27所示,进入“数据中心>日志中心>审计日志>IM聊天软件日志”,点击页面左上角的<查询>,可以看到产品部已经被正确记录了即时通讯日志,而研发部并没有记录除了HTTP类、邮件类以外的其它应用日志。
图27 产品部IM聊天软件日志
!
address 研发部
ip subnet 10.1.1.0/24
!
address 产品部
ip subnet 10.1.2.0/24
!
address-group 内网用户
member 研发部
member 产品部
!
https-object add category BBS站点
https-object add category 商业
https-object add category 娱乐
https-object add category 游戏
https-object add category 网络资源
https-object add category 求职招聘
https-object add category 网上交易
https-object add category 新闻媒体
https-object add category 在线聊天
https-object add category 门户网站与搜索引擎
https-object add category 参考
https-object add category 旅游
https-object add category WEB通信
!
policy decrypt any any any https httpsurl1 1
policy decrypt any any any mail 2
policy listen block disable
!
audit_policy any any 研发部 any any always web_access any 1
audit-behaviour network_community
audit-behaviour web_search
audit-behaviour send_web_mail
audit-behaviour http_send_file
audit-behaviour http_download_file
audit-behaviour send_mail
audit-behaviour receive_mail
audit-behaviour receive_web_mail
audit-behaviour web_mail_upload_attachment
audit-behaviour web_mail_download_attachment
audit-behaviour web_disk_upload_file
audit-behaviour web_disk_download_file
description 研发部审计
log level info
audit_policy any any 产品部 any any always all any 2
description 产品部审计
log level info
audit associate enable
!
ip route 0.0.0.0/0 192.168.2.1
ip route 10.1.1.0/24 10.1.3.2
ip route 10.1.2.0/24 10.1.3.2
!
user-param recognition scope 内网用户 strict
!
如图28所示,内网用户IP地址为222::100,通过设备访问HTTP服务器,HTTP服务器地址为111::100,启用审计策略,对内网用户的上网行为进行审计。。
图28 IPv6审计策略组网图
· 配置设备接口地址、NAT。
· 配置内网用户地址对象及地址对象组。
· 配置用户识别范围。
· 配置审计策略。
本举例是在E6501版本上进行配置和验证的。
(1) 配置接口地址
如图29所示,进入“网络配置>接口配置>物理接口”,点击ge6、ge7<编辑>按钮,分别配置ge6和ge7为111::1/64,222::1/64。
(2) 配置源NAT
如(2)图30所示,进入“策略配置>NAT转换策略>源NAT”,配置源NAT,点击<新建>。
(3) 配置内网用户地址对象
如(3)图31所示,进入“策略配置>对象管理>地址对象”,点击<新建>按钮创建内用户地址对象,222::100点击<提交>。
(4) 配置地址组对象
如图32所示,进入“策略配置>对象管理>地址对象”,点击<新建>按钮创建地址组对象。
(5) 配置用户识别范围
如(5)图33所示,进入“认证管理>高级选项>全局配置”页面,识别范围选择“内网用户”,其它配置默认,提交配置。
(6) 配置审计策略
如图34所示,进入“策略配置>审计策略”,源地址选择内网用户,审计对象配置所有,其它配置默认,<提交>策略。
图34 配置审计策略
· 用户需被识别范围。
如图35所示,用户(222::100)访问http 服务器(111::100),启用审计策略则产生审计日志, ,禁用审计策略,用户访问网页将不被审计。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
