• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置(R6616)-6W101

目录

30-EBM终端行为管理典型配置

本章节下载 30-EBM终端行为管理典型配置  (1.38 MB)

30-EBM终端行为管理典型配置


1  简介

本文档用于介绍设备与EBM终端插件的对接,通过推送用户终端安装插件的方式,实现用户终端的行为审计。

主要包含以下功能:

·              用户终端行为审计策略配置。

·              设备作为控制器为用户终端推送插件。

·              设备作为服务器接收和响应用户终端推送过来的消息。包括策略的获取、日志的接收、存储和展示。

·              用户终端与设备之间的保活。

·              设备会集成一个EBM的SDK进程。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解EBM终端行为管理的特性。

3  使用限制

(1)      客户端安装插件后需要重启才会生效。

(2)      当客户机安装的杀毒软件比如360安全卫士,火绒线等会发送两条邮件记录日志,其中有一条为火绒线发送。

(3)      光驱刻录审计,必须指定特定的软件:C:\iNode DAMAgent\components\LdCdBurn.exe。

(4)      光驱刻录日志,刻录文件大小 是指的总的文件夹的大小,详情里面会有文件夹里面每个文件的大小,不会每一条显示的某一个文件的大小。

(5)      授权管理,在线终端不支持HA主备环境。备机授权得重新导入,在线终端,流量同步过来会自动识别。

(6)      蓝牙传输审计,只审计PC 发送的,不审计接收的。

(7)      移动终端不支持插件安装。

(8)      终端插件客户端一旦安装了,授权使用数会加一,如果客户端卸载了不会立即减一,按照注册数判断,一个月自动清理一次。

(9)      论坛聊天记录,不支持https网站。

(10)   移动终端不支持插件安装。

4  配置举例

4.1  组网需求

图1所示,某公司内网办公网段IP地址为6.6.6.0/24。使用设备的ge3(6.6.6.5)口连接内网设备,ge0(10.210.3.2)口连接外网,在设备开启EBM插件推送及业务功能。

终端插件支持的功能如下:

(1)      网页浏览审计。

(2)      即时聊天内容、聊天文件的审计,以及控制附件是否可以发送。

(3)      邮件内容审计。

(4)      应用程序限制。

(5)      外设监控:打印机打印审计以及控制、驱动器限制、蓝牙接入审计、USB设备类型识别、磁盘限制等功能。

图1 与EBM对接组网图

 

4.2  配置思路

·              配置接口地址、路由、NAT策略。

·              配置DNS域名管理。

·              配置插件推送。

·              配置终端行为业务策略。

4.3  使用版本

本举例是在R6614上进行配置和验证。

4.4  配置注意事项

·              需要预先获取终端插件的安装文件。

·              客户端访问https网站推送插件,需要在设备上配置https解密策略并在客户机上安装证书。

·              必须开启DNS服务器,设置的DNS域名为http://www.agebm.com/,域名对应的IP地址需要与客户端的IP地址可达。

·              目前设备默认有5个试用授权,后续用户需要扩容,可以导入授权。

·              策略配置什么时候下发,依赖于插件请求策略,如一开始配置策略请求周期过长,比如1440分钟,策略下发后,如等待时间过长,不利于测试,建议一开始不要设置太长时间。

4.5  配置步骤

4.5.1  配置设备

1. 配置接口地址、路由、NAT策略

图2所示,在设备上进入“网络配置>接口配置>物理接口”页面,配置物理接口地址。

图2 配置物理接口地址

图3所示,在设备上进入“网络配置>接口配置>路由管理>静态路由”页面,配置静态路由。

图3 配置静态路由

图4所示,在设备上进入“策略配置>NAT转换策略>源NAT”页面,配置源NAT。

图4 配置源NAT

 

2. 配置DNS域名管理

图5所示,在设备上进入“网络配置>基础网络>DNS服务>域名管理”页面。

图5 配置DNS域名管理

3. 配置插件推送

图6所示,在设备上进入“用户管理>终端行为管理>插件推送>”页面,假设已获取插件客户端文件,点击<选择文件>,上传插件文件,如下图,配置源IP地址范围。

图6 配置插件推送

 

4. 配置终端业务配置

在设备上进入“用户管理>终端行为管理>业务配置>”页面,配置如下。

图7 配置业务策略

图8 配置业务策略-外设监控策略

图9 配置业务策略-上网策略

图10 配置业务策略-应用程序限制策略

 

图11 配置业务策略-水印策略

 

4.6  验证配置

1. 验证插件推送效果

(1)      客户端打开浏览器,访问网站推送插件,如果访问https网站,需在设备上配置https解密策略,并在客户端上安装证书。

图12所示,客户端弹出插件安装的页面,点击下载。

图12 客户端访问网站推送插件

 

(2)      下载插件,安装插件根据提示信息安装,安装完成后重启电脑。

(3)      查看终端在线,如图13所示,进入“用户管理>终端行为管理>业务配置>在线终端”页面,查看终端在线。

图13 在线终端

 

2. 验证网页浏览审计效果

客户端访问网站,查看终端审计日志,如图14所示,进入“数据中心>日志中心>终端审计日志>网页浏览记录日志”页面,查看日志。

图14 网页浏览记录日志

3. 验证IM审计效果

客户端通过即时聊天工具(比如QQ)发送文件、文字或者图片,进入“数据中心>日志中心>终端审计日志>聊天记录日志”页面,查看终端审计日志,如图15所示。

图15 聊天记录日志

点击“下载”可以将传送的文件和图片下载到本地。

点击“详细”进行查看聊天的内容,如图16所示。

图16 聊天内容详情

 

4. 验证邮件审计效果

客户端发送邮件、收取邮件会被审计,如图17所示,进入“数据中心>日志中心>终端审计日志>邮件记录日志”页面,查看日志。

图17 邮件记录日志

5. 验证蓝牙配对效果

在客户端开启蓝牙,连接一台iPhone手机,手机端开启蓝牙,两边匹配成功。如图18所示,进入“数据中心>日志中心>终端审计日志>蓝牙配对改变日志”页面,查看日志(此处客户端以win10操作系统为例)。

图18 蓝牙配对改变日志

6. 验证蓝牙文件审计效果

在客户端开启蓝牙,连接一台手机,手机也开启蓝牙,两边匹配成功。通过蓝牙发送文件或图片,如图19所示,进入“数据中心>日志中心>终端审计日志>蓝牙配对改变日志”页面,查看日志(此处客户端以win10操作系统为例)。

图19 蓝牙文件审计日志

7. 验证USB设备识别效果

在客户端插入USB,插拔USB的行为会被审计,如图20所示,进入“数据中心>日志中心>终端审计日志>USB设备识别日志”页面,查看日志。

图20 USB设备识别日志

8. 验证应用程序使用限制效果

在客户端开启、关闭应用程序会被审计。设置窗口标题限制策略以及软件版本限制策略,如图21图22所示。

图21 配置窗口标题限制策略

 

图22 软件版本限制策略

 

客户端打开http://www.baidu.com/时,命中窗口标题限制策略时,浏览器直接退出;

客户端登录QQ,打开聊天窗口,窗口标题命中策略时,QQ整个软件关闭;

客户端打开foxmail,命中软件版本限制策略时,立即退出。

图23所示,进入“数据中心>日志中心>终端审计日志>应用程序使用日志”页面,查看日志。

 

图23 应用程序使用日志

9. 验证打印控制及审计效果

设置打印权限控制“允许所有打印机打印”。设置请参考 配置终端业务配置,通过客户端打印文件,

进入“数据中心>日志中心>终端审计日志>打印审计日志”页面,查看日志,如图24所示。

图24 打印审计日志

 

如果设置打印权限为“禁止打印”,客户端打印文件无法打印,如图25所示

图25 客户端无法启动打印任务

 

4.7  配置文件

Host:WD-D# display inode-audit config

plugin-push enable

plugin filename iNodeSetup7.3(C0559).exe

flow-pass enable

src-ip subnet 6.6.6.0/24

inode-audit enable

policy-period 1

log-period 1

log-limit 100

client data-save 1

device-control enable

disk-control removable-disk run deny

disk-control network-disk run deny

disk-control cd run permit

disk-control removable-disk auto-run permit

disk-control network-disk auto-run deny

disk-control cd auto-run permit

driver-block cd allow

driver-block usb allow

usb-audit enable

bluetooth-audit disable filebackuplimit 2

printer-control specified .doc

cd-burn record disable

cd-burn backup enable filebackuplimit 2

software limit-type forbid-version process 1234 org-file 1234 file-md5 1234

im send-file deny

im filebackuplimit 2

im audit enable

im picture audit enable

im tool-file audit disable

im tool-file limit disable

web audit enable

forum audit enable

popmail audit enable

webmail audit enable

printer watermark enable

printer watermark keyword test

screen watermark enable

screen watermark keyword test

5  插件客户端获取使用说明

5.1  官网下载可用的iNode管理中心

官网链接地址,最新适配支持情况请同业软确认iNode最新支持版本

https://www.h3c.com/cn/Service/Document_Software/Software_Download/IP_Management/iNode/iNode_PC/?CHID=56726&v=612

本次以E0589支持版本举例,获取对应版本iNode管理中心:iNode Management Center for Windows 7.3 (E0589).exe

5.2  安装管理中心

1. 安装完成后运行

 

2. 定制终端使用客户端

点击客户端定制,功能组件勾选DLP,配置DLP客户端定制信息,DLP服务器ip:配置ACG管理地址,或者勾选DLP服务器域名:配置http://www.agebm.com/,勾选ACG定制。

确定后点击完成有如下提示

这里DAM也填一下,地址随便填一下就行,这个是EBM功能要求的。

点击确定之后点击完成,勾选默认场景和生成定制的客户端安装程序,其他默认就行

 

3. 查找生成的客户端

4. 设备上上传生成的客户端,配置推送地址范围

5. 设备配置dns域名管理,域名为定制客户端时dlp服务器配置的域名,地址为ACG设备管理地址

6. 终端访问外网推送插件安装

下载安装,安装前确认终端是否有安装其他安全杀毒软件,如有运行请先退出在进行安装,避免安装有问题

7. 安装完成后需要重启设备,重启完成后运行客户端即可

8. 设备上查看在线终端记录

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们