• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置(R6612 E6453)-6W109

03-审计功能典型配置举例

本章节下载  (1.03 MB)

03-审计功能典型配置举例


1  简介

本文档介绍设备的行为审计配置举例,包括HTTP类行为审计、邮件类行为审计、即时通讯类行为审计、网络基础协议类行为审计、娱乐股票类行为审计和网络应用其它应用行为审计。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解行为审计特性。

3  使用限制

设备对于采用私有算法进行加密的应用,无法审计其内容,例如无法审计QQ聊天内容。

4  审计策略配置举例

4.1  组网需求

图1所示,某公司内网存在研发部和产品部,IP地址分别为10.1.1.0/24和10.1.2.0/24。使用设备的ge1和ge4接口跑三层转发,串接部署在核心交换机和出口路由器之间,启用行为审计功能,具体应用需求如下:

·     针对研发部,审计HTTP类行为、邮件类行为,其它应用行为不进行审计。

·     针对产品部,审计所有上网应用行为。

图1 审计功能配置组网图

 

4.2  配置思路

·     根据源IP地址不同,配置两条审计策略分别对研发部和产品部进行审计。

·     在审计策略审计对象页面上,根据需求配置审计策略。

·     在用户管理高级选项全局配置页面上,配置具体用户识别访问。

·     在解密策略上配置网页及邮件类解密策略。

·     当需要将审计日志发送至外部日志服务器时,需要注意审计日志中配置的日志级别需要高于日志过滤中配置的发送级别。

4.3  使用版本

本举例是在R6612版本上进行配置和验证的。

4.4  配置注意事项

·     一般情况下,目前应用都是应用行为进行审计,如果是HTTPS访问的应用,则需要优先配置HTTPS解密策略,优先进行解密才能进一步进行审计。HTTPS解密策略的配置请参考“解密策略典型配置举例”。

·     审计策略匹配是由上至下进行匹配,策略匹配到之后将不会往下继续匹配。

4.5  配置步骤

4.5.1  配置设备

1. 配置地址对象

图2所示,进入“策略配置>对象管理>地址对象>IPv4地址对象”,点击<新建>,IP地址配置为10.1.1.0/24,创建研发部地址对象,点击<提交>。按照同样的方法配置产品部地址对象。

图2 配置地址对象

 

 

图3所示,创建成功的地址对象配置如下:

图3 地址对象配置成功

 

2. 配置研发部审计策略

(1)     配置研发部审计策略

图4所示,进入“策略配置>审计策略”,点击<新建>,“源地址”配置为研发部,然后点击“审计对象”页面。

图4 配置研发部审计策略

 

(2)     配置研发部审计对象

图5所示,在审计策略页面的“审计对象”页面,勾选“HTTP类审计”和“邮件类审计”对象,其它配置保持默认,点击<提交>。

图5 配置HTTP类审计对象

 

图6所示,在“审计策略”页面中查看,研发部审计策略配置完成。

图6 研发部审计策略配置完成

 

3. 配置产品部审计策略

(1)     配置产品部IPv4策略

图7所示,进入“策略配置>审计策略”,点击<新建>,选择源地址为产品部,然后点击“审计对象”页面。

图7 配置产品部审计策略

 

(2)     配置产品部全部应用审计策略

图8所示,在审计策略配置页面 “审计对象”中,勾选所有类审计对象,其它配置保持默认,并点击<提交>。

图8 配置所有审计对象

 

 

图9所示,创建成功的产品部审计策略配置如下,点击<提交>完成配置。

图9 产品部审计策略配置成功

 

4. 配置用户识别范围

(1)     配置地址对象组

图10所示,进入“策略配置>对象管理>地址对象>地址组对象”,点击<新建>,配置一个地址对象组,将配置的研发部和产品部都选上,点击<提交>。

图10 地址组对象配置

 

图11所示,在地址组对象页面查看,创建地址组对象完成。

图11 地址组对象配置完成

 

(2)     配置用户识别范围

图12所示,进入“用户管理>认证管理>高级选项>全局配置”,识别范围选择地址组对象配置的内网用户,识别方式选择强制模式,点击<提交>按钮,用户识别配置完成。

图12 用户识别配置完成

 

5. 配置HTTP解密策略

(1)     配置HTTPS对象

图13所示,进入“策略配置>对象管理>URL对象>HTTPS对象”,点击<新建>按钮,新建一条HTTPS对象,根据需求选择预定义对象和配置自定义https对象。

图13 新建HTTPS对象

 

图14所示,HTTPS对象配置完成之后,点击<提交>按钮,HTTPS对象配置完成。

图14 HTTPS对象配置完成

 

(2)     生成CA证书

图15所示,进入“策略配置>对象管理>CA服务器>根CA配置管理”,点击<生成CA根证书>。

图15 生成CA根证书

 

图16所示,在生成CA证书以后,导出证书。.

图16 导出CA证书

 

(3)     导入本地证书

图17所示,进入“策略配置>对象管理>本地证书>证书>本地证书”,点击<导入>,选择之前生成的CA证书。

 

图17 导入证书

 

图18所示,导入成功的证书如下:

图18 导入证书成功

 

(4)     配置解密策略

图19所示,进入“策略配置>策略配置>SSL解密策略”,点击<新建>按钮,配置一条HTTPS解密策略,根据需求配置指定的源目地址,解密类型选择https解密,解密 对象选择步骤1上配置的https对象,点击<提交>按钮。

图19 HTTPS解密策略配置

 

图20所示,点击<提交>按钮之后,https解密策略配置完成。

图20 HTTPS解密策略配置完成

 

图21所示,按步骤2的方法再配置一条邮件解密策略,解密类型选择邮箱解密,配置完成如下图所示。

图21 HTTPS邮箱解密配置完成

 

4.6  验证配置

(1)     验证研发部审计策略效果

图22所示,进入“数据中心>日志中心>审计日志>访问网站日志”,查看已经审计到研发部(IP地址为10.1.1.0/24)用户的网页浏览日志行为,并正确地记录了日志。

图22 查看研发部访问网站日志

 

图23所示,进入“数据中心>日志中心>审计日志>社区日志”查看,查看已经审计到研发部(IP地址为10.1.1.0/24)用户的网络社区登录发帖内容,并正确地记录了日志。

图23 查看研发部网络社区日志

 

图24所示,进入“数据中心>日志中心>审计日志>搜索引擎日志”,查看已经审计到研发部(IP地址为10.1.1.0/24)用户的网页搜索关键字日志行为,并正确地记录了日志。

图24 查询研发部搜索引擎审计日志

 

图25所示,进入“数据中心>日志中心>审计日志>邮件日志”,查看已经审计到研发部(IP地址为10.1.1.0/24)用户的收发邮件日志行为,并正确地记录了日志。

图25 研发部收发邮件日志

 

图26所示,进入“数据中心>日志中心>审计日志>文件传输日志”,查看已经审计到研发部(IP地址为10.1.1.0/24)用户的web网盘上传下载文件以及http文件上传下载行为,并正确地记录了日志。

图26 研发部网盘上传下载日志

 

(2)     验证产品部审计策略效果

图27所示,进入“数据中心>日志中心>审计日志>IM聊天软件日志”,点击页面左上角的<查询>,可以看到产品部已经被正确记录了即时通讯日志,而研发部并没有记录除了HTTP类、邮件类以外的其它应用日志。

图27 产品部IM聊天软件日志

 

 

5  IPv6审计策略配置举例

5.1  组网需求

图28所示,内网用户IP地址为222::100,通过设备访问HTTP服务器,HTTP服务器地址为111::100,启用审计策略,对内网用户的上网行为进行审计。

图28 IPv6审计策略组网图

 

5.2  配置思路

·     配置设备接口地址、NAT。

·     配置内网用户地址对象及地址对象组。

·     配置用户识别范围。

·     配置审计策略。

5.3  使用版本

本举例是在R6612版本上进行配置和验证的。

5.4  配置步骤

(1)     配置接口地址

图29所示,进入“网络配置>接口配置>物理接口”,点击ge6、ge7<编辑>按钮,分别配置ge6和ge7为111::1/64,222::1/64。

图29 配置接口地址

 

(2)     配置源NAT

(2)图30所示,进入“策略配置>NAT转换策略>源NAT”,配置源NAT,点击<新建>。

图30 配置源NAT

 

(3)     配置内网用户地址对象

(3)图31所示,进入“策略配置>对象管理>地址对象”,点击<新建>按钮创建内用户地址对象,222::100点击<提交>。

图31 配置内网用户地址对象

 

(4)     配置地址组对象

图32所示,进入“策略配置>对象管理>地址对象”,点击<新建>按钮创建地址组对象。

图32 配置地址组对象

 

(5)     配置用户识别范围

(5)图33所示,进入“认证管理>高级选项>全局配置”页面,识别范围选择“内网用户”,其它配置默认,提交配置。

图33 用户识别范围

 

(6)     配置审计策略

图34所示,进入“策略配置>审计策略”,源地址选择内网用户,审计对象配置所有,其它配置默认,<提交>策略。

图34 配置审计策略

5.5  配置注意事项

·     用户需被识别范围。

5.6  验证配置

图35所示,用户(222::100)访问http 服务器(111::100),启用审计策略则产生审计日志, ,禁用审计策略,用户访问网页将不被审计。

图35 启用审计策略产生日志

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们