13-应用审计
本章节下载: 13-应用审计 (434.06 KB)
本帮助主要介绍以下内容:
· 特性简介
○ 基本概念
○ 报文审计流程
○ 审计策略
○ 过滤条件
○ 审计规则
· 配置指南
○ 配置关键字组
○ 配置审计策略
本特性会解析出用户报文中的敏感信息和私密信息,请保证将本特性仅用于合法用途。 |
应用审计是在APR(Application Recognition,应用层协议识别)的基础上进一步识别出应用的具体行为和行为内容,据此对用户的上网行为进行审计和记录。
各种应用和软件在使用过程中会表现不同的行为特征,比如IM聊天软件的登录、发消息;FTP的上传文件、下载文件等。
行为内容是指某一行为的具体内容,比如IM聊天软件登录的行为内容是账号信息,FTP上传文件的行为内容是文件名信息等。行为内容的匹配方式包括两种:字符串和数字。
图-1 报文审计流程图
不同类型的审计策略能对符合过滤条件的报文进行差异化处理。
审计策略分为如下三种类型:
· 审计策略:对匹配策略中所有过滤条件的报文进行审计。
· 免审计策略:对匹配策略中所有过滤条件的报文进行免审计。
· 阻断策略:对匹配策略中所有过滤条件的报文进行阻断。
设备上可以存在多个审计策略,报文按照策略的配置顺序进行匹配,一旦与某个策略匹配成功便结束匹配过程。若报文未与任何策略匹配成功,则设备将根据审计策略的缺省动作对报文进行处理。
审计策略的配置顺序可在“审计策略”页面查看,配置顺序与策略的创建顺序有关,先创建的策略优先进行匹配,也可以通过移动策略的位置来调整策略的配置顺序。根据以上审计策略的匹配原理,为使设备上部署的审计策略对流经设备的报文能够达到更好、更精准的审计效果,需要在配置审计策略时遵循“深度优先”的原则,即先配置审计范围小的,再配置审计范围大的。
审计策略中可以配置多种过滤条件,具体包括:源安全域、目的安全域、源IP地址、目的IP地址、服务、用户、应用和生效时间段。策略被匹配成功的条件是:策略中已配置的过滤条件均被匹配成功。
每种过滤条件中也可以配置多个匹配项,比如一个源IP地址中可以指定多个地址对象组等。每种过滤条件被匹配成功的条件是:过滤条件的任何一个匹配项被匹配成功即可。
在审计类型的审计策略中可以配置一系列的审计规则对某一应用的具体行为和行为内容进行精细化审计,并输出审计信息。
审计规则的匹配模式分为顺序匹配和全匹配两种,不同模式下审计规则的匹配原则如下:
· 顺序匹配:按照审计规则ID从小到大的顺序进行匹配,一旦报文与某条审计规则匹配成功便结束此匹配过程,并根据该审计规则中的动作对此报文进行相应处理。
· 全匹配:按照审计规则ID从小到大的顺序进行匹配,若报文与某条动作为允许的规则匹配成功,则继续匹配后续规则直到最后一条;若报文与某条动作为阻断的规则匹配成功,则不再进行后续规则的匹配。设备将根据所有匹配成功的审计规则中优先级最高的动作(阻断的优先级高于允许)对此报文进行处理。
若报文未与任何审计规则匹配成功,则根据审计规则的缺省动作对此报文进行处理。
审计规则中同时支持配置邮件保护功能。设备可对接收到的邮件进行检测,并基于收件人进行统计,保护收件人不受到邮件攻击,具体功能如下:
· 限制邮件发送功能:用于限制用户向其他域名邮箱地址发送邮件。例如,邮箱地址为user1@abc.com的用户不能接收来自user2@123.com地址的邮件。
· 邮件炸弹攻击防御功能:用于防御收件人在短时间内收到同一发件人的大量邮件。
· 审计策略变更后(包括新建、编辑、删除、启用和禁用),需要激活才能生效。如需立即激活,请单击<提交>按钮。否则,设备默认40秒后自动激活。激活会暂时中断DPI业务的处理,可能导致其他基于DPI功能的业务同时出现中断。例如,安全策略无法对应用进行访问控制等。
· 本功能的支持情况与设备型号有关,请以设备实际情况为准。
应用审计功能的配置思路如下图所示:
图-2 应用审计配置指导图
在配置应用审计功能之前,需要先配置安全策略使流量可在设备上通过。有关安全策略的相关介绍请参见“安全策略联机帮助”。
配置关键字组具体步骤如下:
1. 在应用审计的“关键字组”页面,单击<新建>按钮,进入“新建关键字组”页面。
2. 新建关键字组,具体配置内容如下表所示:
表-1 关键字组配置参数表
参数 |
说明 |
名称 |
关键字组的名称 |
描述 |
通过合理编写描述信息,便于管理员快速理解和识别本关键字组 |
关键字 |
配置需要审计的关键字信息,多个关键字之间用回车分隔 |
3. 在“新建关键字组“页面,单击<确定>按钮,新建关键字组成功,并会在“关键字组”页面中显示。
配置审计策略的具体步骤如下:
1. 在应用审计的“审计策略”页面,单击<新建>按钮,进入“新建审计策略”页面。
2. 新建审计策略,具体配置内容如下表所示:
表-2 审计策略配置参数表
参数 |
说明 |
名称 |
配置审计策略的名称 |
类型 |
根据对报文审计需求选择对应的策略类型,类型包括审计、免审计和阻断 |
启用 |
选择开启后,此审计策略才能生效 |
源安全域 |
配置源安全域作为审计策略的过滤条件 |
目的安全域 |
配置目的安全域作为审计策略的过滤条件 |
源IP地址 |
配置源IP地址作为审计策略的过滤条件 |
目的IP地址 |
配置目的IP地址作为审计策略的过滤条件 |
服务 |
配置服务作为审计策略的过滤条件 |
用户 |
配置身份识别用户作为审计策略的过滤条件 |
应用 |
配置应用或应用组作为审计策略的过滤条件 |
时间段 |
配置审计策略生效的时间段 |
审计规则 |
配置审计规则对某一应用的具体行为和行为内容进行精细化审计,此项仅审计类型的策略可配 |
规则ID |
审计规则的ID |
应用 |
表示对指定的应用进行审计 |
行为 |
表示对应用的具体行为进行审计 |
行为内容 |
表示对行为的具体内容进行审计 |
匹配类型 |
表示行为内容的类型,包括如下取值: · 关键字:行为内容为字符串 · 数字:行为内容为数字 |
匹配关键字 |
表示审计规则与行为内容见的匹配方式,取值包括: · 关键字类型行为内容:包含、不包含、等于和不等于 · 数字类型行为内容:大于、小于、等于、大于等于、小于等于和不等于 |
邮件保护 |
表示邮件保护功能,包括限制邮件发送和防御邮件炸弹 |
限制邮件发送 |
开启本功能后,设备将限制用户向其他域名邮箱地址发送邮件 |
防御邮件炸弹 |
开启本功能后,设备防御收件人在短时间内收到同一发件人的大量邮件。需要配置的参数如下: · 检测时间:表示邮件炸弹攻击的检测时长 · 邮件数量:表示检测时长内,同一收件人允许接收到的邮件数量的最大值 |
动作 |
表示对与审计规则匹配成功的报文执行的动作,取值包括允许和阻断 |
日志 |
表示是否记录日志 |
3. 在“新建审计策略“页面,单击<确定>按钮,新建审计策略成功,并会在“审计策略”页面中显示。
4. 新建审计策略后,需要激活才能生效。如需立即激活,请单击<提交>按钮。否则,设备默认40秒后自动激活。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!