02-应用审计与管理配置
本章节下载: 02-应用审计与管理配置 (310.50 KB)
目 录
应用审计与管理是在APR(Application Recognition,应用层协议识别)的基础上进一步识别出应用的具体行为(比如IM聊天软件的用户登录、发消息等)和行为对象(比如IM聊天软件登录的行为对象是账号信息等),据此对用户的上网行为进行审计和记录。
本特性会解析出用户报文中的敏感信息和私密信息,请保证将本特性仅用于合法用途。
在应用审计与管理策略中通过配置过滤条件、审计规则和审计动作,可以实现对符合过滤条件的报文进行审计处理。
应用审计与管理策略分为如下三种类型:
· 审计策略:对匹配策略中所有过滤条件的报文进行审计。
· 免审计策略:对匹配策略中所有过滤条件的报文进行免审计。
· 阻断策略:对匹配策略中所有过滤条件的报文进行阻断。
应用审计与管理策略中可以配置多种过滤条件,具体包括:源安全域、目的安全域、源IP地址、目的IP地址、服务、用户、用户组、应用。每种过滤条件中均可以配置多个匹配项,比如源安全域过滤条件中可以指定多个源安全域等。
在审计类型的应用审计与管理策略中可以配置一系列的审计规则对某一应用的具体行为和行为对象进行精细化审计,并输出审计信息。
审计规则的匹配模式分为顺序匹配和全匹配两种,不同模式下审计规则的匹配原则如下:
· 顺序匹配:按照审计规则ID从小到大的顺序进行匹配,一旦报文与某条审计规则匹配成功便结束此匹配过程,并根据该审计规则中的动作对此报文进行相应处理。
· 全匹配:按照审计规则ID从小到大的顺序进行匹配,若报文与某条动作为允许的规则匹配成功,则继续匹配后续规则直到最后一条;若报文与某条动作为阻断的规则匹配成功,则不再进行后续规则的匹配。设备将根据所有匹配成功的审计规则中优先级最高的动作(阻断的优先级高于允许)对此报文进行处理。
设备可以对匹配审计规则的报文输出审计日志,其输出方式包括:系统日志和快速日志。
应用审计与管理对报文的处理流程如下图所示:
图1-1 应用审计与管理的报文处理流程图
应用审计与管理对报文的处理流程如下:
(1) 将报文的属性信息与应用审计与管理策略中的过滤条件进行匹配。每种过滤条件的多个匹配项之间是或的关系,即报文与某一个过滤条件中的任意一项匹配成功,则报文与此条过滤条件匹配成功;若报文与某一个过滤条件中的所有项都匹配失败,则报文与此条过滤条件匹配失败。
(2) 若报文与某条策略中的所有过滤条件都匹配成功(用户与用户组匹配一项即可),则报文与此条策略匹配成功。若有一个过滤条件不匹配,则报文与此条策略匹配失败,报文继续匹配下一条策略。以此类推,直到最后一条策略,若报文还未与策略匹配成功,则对报文执行策略的缺省动作。
(3) 报文与某条策略匹配成功后便结束此匹配过程,并根据此策略的类型对报文进行如下处理:
¡ 若策略类型为免审计类型,则允许报文通过;
¡ 若策略类型为阻断类型,则阻断报文;
¡ 若策略类型为审计类型,则继续将报文与此策略中的审计规则进行详细匹配。
(4) 根据报文与审计规则的匹配结果,将对报文进行如下处理:
¡ 若报文与审计规则的所有审计项匹配成功,则执行审计规则配置的动作。
¡ 若报文仅与审计规则的应用/应用分类审计项匹配成功,则放行报文。
¡ 若报文与审计规则的应用/应用分类审计项匹配失败,则执行审计规则缺省动作。
配置应用审计与管理策略时,请按照“深度优先”的原则(即控制范围小的、条件细化的在前,范围大的在后)进行配置。
请及时更新APR特征库,避免因为应用特征变化导致应用无法识别。
在配置应用审计与管理策略之前,需完成以下任务:
· 升级APR特征库到最新版本(请参见“安全配置指导”中的“APR”)。
· 配置时间段(请参见“ACL和QoS配置指导”中的“时间段”)。
· 配置IP地址对象组和服务对象组(请参见“安全配置指导”中的“对象组”)。
· 配置应用(请参见“安全配置指导”中的“APR”)。
· 配置用户和用户组(请参见“安全配置指导”中的“用户身份识别与管理”)。
· 配置安全域(请参见“安全配置指导”中的“安全域”)。
应用审计与管理配置任务如下:
(1) 创建应用审计与管理策略
(2) 配置策略过滤条件
(3) (可选)配置策略生效时间
(4) 配置策略审计规则
(5) 配置审计规则关键字
(6) (可选)管理和维护应用审计与管理策略
(1) 进入系统视图。
system-view
(2) 进入应用审计与管理视图。
uapp-control
(3) 创建应用审计与管理策略,并进入应用审计与管理策略视图。
policy name policy-name { audit | deny | noaudit }
(4) 配置应用审计与管理策略的缺省动作。
policy default-action { deny | permit }
缺省情况下,应用审计与管理策略的缺省动作是允许。
(1) 进入系统视图。
system-view
(2) 进入应用审计与管理视图。
uapp-control
(3) 进入应用审计与管理策略视图。
policy name policy-name [ audit | deny | noaudit ]
(4) 配置作为应用审计与管理策略过滤条件的安全域。
¡ 配置作为应用审计与管理策略过滤条件的源安全域。
source-zone source-zone-name
¡ 配置作为应用审计与管理策略过滤条件的目的安全域。
destination-zone destination-zone-name
缺省情况下,未配置作为应用审计与管理策略过滤条件的安全域。
(5) 配置作为应用审计与管理策略过滤条件的地址对象组。
¡ 配置作为应用审计与管理策略过滤条件的源IP地址。
source-address { ipv4 | ipv6 } object-group-name
¡ 配置作为应用审计与管理策略过滤条件的目的IP地址。
destination-address { ipv4 | ipv6 } object-group-name
缺省情况下,未配置作为应用审计与管理策略过滤条件的地址对象组。
(6) 配置作为应用审计与管理策略过滤条件的服务。
service service-name
缺省情况下,未配置作为应用审计与管理策略过滤条件的服务。
(7) 配置作为应用审计与管理策略过滤条件的用户和用户组。
¡ 配置作为应用审计与管理策略过滤条件的用户。
user user-name [ domain domain-name ]
¡ 配置作为应用审计与管理策略过滤条件的用户组。
user-group user-group-name [ domain domain-name ]
缺省情况下,未配置作为应用审计与管理策略过滤条件的用户和用户组。
(8) 配置作为应用审计与管理策略过滤条件的应用。
application { app application-name | app-group application-group-name }
仅在免审计和阻断类型的应用审计与管理策略中可配置应用。
缺省情况下,未配置作为应用审计与管理策略过滤条件的应用。
(1) 进入系统视图。
system-view
(2) 进入应用审计与管理视图。
uapp-control
(3) 进入应用审计与管理策略视图。
policy name policy-name [ audit | deny | noaudit ]
(4) 配置应用审计与管理策略的生效时间。
time-range time-range-name
缺省情况下,应用审计与管理策略在任何时间都生效。
审计规则提供如下功能:
· 通用应用审计功能:对用户的具体应用行为进行精细化控制。
· 邮件保护功能:设备对接收到的邮件进行检测,并基于收件人进行统计,保护收件人不受到邮件攻击,具体功能如下。
¡ 限制邮件发送功能:用于禁止不同域之间的邮件发送。例如,邮箱地址为user1@example1.com的用户不能向user2@example2.com发送邮件。
¡ 邮件炸弹攻击防御功能:用于防止发件人在短时间内向相同的收件人发送大量邮件。
审计规则的功能仅支持在审计类型的应用审计与管理策略中配置。
在审计规则中配置audit-logging参数后:
· 缺省情况下,设备使用普通日志方式输出审计日志,且生成的日志信息不会输出到控制台和监视终端。如需获取该日志,可通过执行display logbuffer命令进行查看。有关普通日志的详细介绍,请参见“网络管理和监控配置指导”中的“信息中心”。有关display logbuffer命令的详细介绍,请参见“网络管理和监控命令参考”中的“信息中心”。
· 若开启了快速日志输出功能(通过在系统视图下执行customlog format dpi audit命令),则设备使用快速日志方式输出审计日志。有关快速日志的详细介绍,请参见“网络管理和监控配置指导”中的“快速日志输出”。
对于QQ,不支持对收/发消息以及传输视频和图片文件的行为进行阻断。
对于微信,不支持对即时通话以及收/发消息的行为进行阻断。
当使用审计规则对通过SMTP协议发送邮件的行为进行阻断时,由于邮件客户端会不断地尝试发送邮件,可能存在长时间后邮件发送成功的情况。
(1) 进入系统视图。
system-view
(2) 进入应用审计与管理视图。
uapp-control
(3) 进入审计类型的应用审计与管理策略视图。
policy name policy-name [ audit ]
(4) 配置应用审计与管理策略的审计规则。
rule rule-id { app app-name | app-category app-category-name | any } behavior { behavior-name | any } bhcontent { bhcontent-name | any } { keyword { equal | exclude | include | unequal } { keyword-group-name | any } | integer { equal | greater | greater-equal | less | less-equal | unequal } { number } } action { deny | permit } [ audit-logging ]
rule rule-id { email-bomb-defense [ interval interval max-number email-number ] | email-send-restriction } * action { deny | permit } [ audit-logging ]
缺省情况下,未配置应用审计与管理策略的审计规则。
(5) 配置审计规则的匹配模式。
rule match-method { all | in-order }
缺省情况下,审计规则的匹配模式为顺序匹配。
(6) 配置审计规则的缺省动作。
rule default-action { deny | permit }
缺省情况下,审计规则的缺省动作为允许。
配置关键字可实现对某一具体信息的匹配和审计。
(1) 进入系统视图。
system-view
(2) 进入应用审计与管理视图。
uapp-control
(3) 创建关键字组,并进入关键字组视图。
keyword-group name keyword-group-name
(4) (可选)配置关键字组的描述信息。
description text
缺省情况下,未配置关键字组的描述信息。
(5) 配置审计关键字。
keyword keyword-value
缺省情况下,未配置审计关键字。
(1) 进入系统视图。
system-view
(2) 进入应用审计与管理视图。
uapp-control
(3) 复制应用审计与管理策略。
policy copy policy-name new-policy-name
(1) 进入系统视图。
system-view
(2) 进入应用审计与管理视图。
uapp-control
(3) 重命名应用审计与管理策略。
policy rename old-policy-name new-policy-name
(1) 进入系统视图。
system-view
(2) 进入应用审计与管理视图。
uapp-control
(3) 移动应用审计与管理策略的位置。
policy move policy-name1 { after policy-name2 | before [ policy-name2 ] }
(1) 进入系统视图。
system-view
(2) 进入应用审计与管理视图。
uapp-control
(3) 进入应用审计与管理策略视图。
policy name policy-name
(4) 禁用应用审计与管理策略。
disable
缺省情况下,应用审计与管理策略处于开启状态。
当应用审计与管理的策略和规则被创建、修改和删除后,需要配置此功能使其策略和规则配置生效。
有关此功能的详细介绍请参见“DPI深度安全配置指导”中的“应用层检测引擎”。
配置此功能会暂时中断DPI业务的处理,为避免重复配置此功能对DPI业务造成影响,请完成部署DPI各业务模块的策略和规则后统一配置此功能。
(1) 进入系统视图。
system-view
(2) 激活应用审计与管理的策略和规则配置。
inspect activate
缺省情况下,应用审计与管理的策略被创建、修改和删除时不生效。
· 某公司内的各部门通过Device与Internet连接,该公司的工作时间为每周工作日的8点到18点。
· 通过配置应用审计与管理策略,对在上班时间登录的QQ账号均进行审计,并记录日志。
图1-2 应用审计与管理策略审计账号登录配置组网图
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由。本举例假设设备Device到达外网服务器5.5.5.5/24的下一跳为2.2.2.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 5.5.5.5 24 2.2.2.2
(3) 配置接口加入安全域。
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置安全策略
# 配置名称为trust-untrust的安全策略规则,使内网Host访问外网Internet的报文可通,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-1-trust-untrust] source-zone trust
[Device-security-policy-ip-1-trust-untrust] destination-zone untrust
[Device-security-policy-ip-1-trust-untrust] source-ip-host 192.168.1.2
[Device-security-policy-ip-1-trust-untrust] source-ip-host 192.168.1.3
[Device-security-policy-ip-1-trust-untrust] source-ip-host 192.168.1.4
[Device-security-policy-ip-1-trust-untrust] action pass
[Device-security-policy-ip-1-trust-untrust] quit
[Device-security-policy-ip] quit
(5) 配置时间段
# 创建名为work的时间段,其时间范围为每周工作日的8点到18点。
[Device] time-range work 08:00 to 18:00 working-day
(6) 升级APR特征库到最新版本(配置步骤略,本举例中APR特征库版本号为1.0.106)
(7) 配置应用审计与管理策略
# 创建一个名称为audit-qq的审计类型的应用审计与管理策略,配置审计规则,对在上班期间登录QQ账号的行为均进行审计并允许登录,同时记录日志。
[Device] uapp-control
[Device-uapp-control] policy name audit-qq audit
[Device-uapp-control-policy-audit-qq] source-zone trust
[Device-uapp-control-policy-audit-qq] destination-zone untrust
[Device-uapp-control-policy-audit-qq] time-range work
[Device-uapp-control-policy-audit-qq] rule 1 app QQ behavior Login bhcontent any keyword equal any action permit audit-logging
[Device-uapp-control-policy-audit-qq] quit
[Device-uapp-control] quit
(8) 激活应用审计与管理的策略和规则配置。
[Device] inspect activate
以上配置完成后,若内网主机上有QQ登录,则设备会对QQ账号登录进行审计,并会有审计日志信息输出。
某公司内的各部门通过Device与Internet连接,通过配置应用审计与管理策略,当内网用户使用微软必应搜索查找的信息中包含“机密”或“恐怖袭击”关键字时,拒绝此次搜索,并记录日志。
图1-3 应用审计与管理策略审计敏感信息配置组网图
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由。本举例假设备Device到达外网服务器5.5.5.5/24的下一跳为2.2.2.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 5.5.5.5 24 2.2.2.2
(3) 配置接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置安全策略
# 配置名称为trust-untrust的安全策略规则,使内网Host访问外网Internet的报文可通,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-1-trust-untrust] source-zone trust
[Device-security-policy-ip-1-trust-untrust] destination-zone untrust
[Device-security-policy-ip-1-trust-untrust] source-ip-host 192.168.1.2
[Device-security-policy-ip-1-trust-untrust] source-ip-host 192.168.1.3
[Device-security-policy-ip-1-trust-untrust] source-ip-host 192.168.1.4
[Device-security-policy-ip-1-trust-untrust] action pass
[Device-security-policy-ip-1-trust-untrust] quit
[Device-security-policy-ip] quit
(5) 升级APR特征库到最新版本(配置步骤略,本举例中APR特征库版本号为1.0.106)
(6) 配置应用审计与管理策略
# 配置名称为keyword-bing的关键字组,用于审计敏感信息。
[Device] uapp-control
[Device-uapp-control] keyword-group name keyword-bing
[Device-uapp-control-keyword-group-keyword-bing] keyword 机密
[Device-uapp-control-keyword-group-keyword-bing] keyword 恐怖袭击
[Device-uapp-control-keyword-group-keyword-bing] quit
# 创建一个名称为audit-bing的审计类型的应用审计策略,配置审计规则,当内网用户使用微软必应搜索查找的信息中包含关键字组中的关键字时,拒绝此次搜索并记录日志。
[Device-uapp-control] policy name audit-bing audit
[Device-uapp-control-policy-audit-bing] source-zone trust
[Device-uapp-control-policy-audit-bing] destination-zone untrust
[Device-uapp-control-policy-audit-bing] rule 2 app Bing behavior Search bhcontent Keyword keyword include keyword-bing action deny audit-logging
[Device-uapp-control-policy-audit-bing] quit
[Device-uapp-control] quit
(7) 激活应用审计与管理的策略和规则配置。
[Device] inspect activate
以上配置完成后,当内网用户使用微软必应搜索查找的信息中包含“机密”或“恐怖袭击”关键字时,此次搜索会没有响应,并会有审计日志信息输出。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!