- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
02-应用审计与管理配置
本章节下载: 02-应用审计与管理配置 (257.51 KB)
目 录
应用审计与管理是在APR(Application Recognition,应用层协议识别)的基础上进一步识别出应用的具体行为(比如IM聊天软件的用户登录、发消息等)和行为对象(比如IM聊天软件登录的行为对象是账号信息等),据此对用户的上网行为进行审计和记录。
本特性会解析出用户报文中的敏感信息和私密信息,请保证将本特性仅用于合法用途。
在应用审计与管理策略中通过配置过滤条件、审计规则和审计动作,可以实现对符合过滤条件的报文进行审计处理。
应用审计与管理策略分为如下三种类型:
· 审计策略:对匹配策略中所有过滤条件的报文进行审计。
· 免审计策略:对匹配策略中所有过滤条件的报文进行免审计。
· 阻断策略:对匹配策略中所有过滤条件的报文进行阻断。
应用审计与管理策略中可以配置多种过滤条件,具体包括:源IP地址、目的IP地址、服务、用户、用户组、应用,每种过滤条件中均可以配置多个匹配项。
在审计类型的应用审计与管理策略中可以配置一系列的审计规则对某一应用的具体行为和行为对象进行精细化审计,并输出审计信息。
审计规则的匹配模式分为顺序匹配和全匹配两种,不同模式下审计规则的匹配原则如下:
· 顺序匹配:按照审计规则ID从小到大的顺序进行匹配,一旦报文与某条审计规则匹配成功便结束此匹配过程,并根据该审计规则中的动作对此报文进行相应处理。
· 全匹配:按照审计规则ID从小到大的顺序进行匹配,若报文与某条动作为允许的规则匹配成功,则继续匹配后续规则直到最后一条;若报文与某条动作为阻断的规则匹配成功,则不再进行后续规则的匹配。设备将根据所有匹配成功的审计规则中优先级最高的动作(阻断的优先级高于允许)对此报文进行处理。
设备可以对匹配审计规则的报文输出审计日志,其输出方式包括:系统日志和快速日志。
应用审计与管理对报文的处理流程如下图所示:
图1-1 应用审计与管理的报文处理流程图
应用审计与管理对报文的处理流程如下:
(1) 将报文的属性信息与应用审计与管理策略中的过滤条件进行匹配。每种过滤条件的多个匹配项之间是或的关系,即报文与某一个过滤条件中的任意一项匹配成功,则报文与此条过滤条件匹配成功;若报文与某一个过滤条件中的所有项都匹配失败,则报文与此条过滤条件匹配失败。
(2) 若报文与某条策略中的所有过滤条件都匹配成功(用户与用户组匹配一项即可),则报文与此条策略匹配成功。若有一个过滤条件不匹配,则报文与此条策略匹配失败,报文继续匹配下一条策略。以此类推,直到最后一条策略,若报文还未与策略匹配成功,则对报文执行策略的缺省动作。
(3) 报文与某条策略匹配成功后便结束此匹配过程,并根据此策略的类型对报文进行如下处理:
¡ 若策略类型为免审计类型,则允许报文通过;
¡ 若策略类型为阻断类型,则阻断报文;
¡ 若策略类型为审计类型,则继续将报文与此策略中的审计规则进行详细匹配。
(4) 若报文与审计规则匹配成功,则对报文执行审计规则中配置的动作;若匹配失败,则对报文执行审计规则的缺省动作。
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
产品系列 |
产品型号 |
产品代码 |
说明 |
|
WX3500X系列 |
· WX3510X · WX3520X · WX3540X |
· EWP-WX3510X · EWP-WX3520X · EWP-WX3540X |
支持 |
|
WX3500X-E系列 |
WX3508X-E |
EWP-WX3508X-E |
支持 |
|
WCG380系列 |
WCG382 |
EWP-WCG382 |
不支持 |
|
产品系列 |
产品型号 |
产品代码 |
说明 |
|
WX3800X系列 |
· WX3820X · WX3840X |
· EWP-WX3820X · EWP-WX3840X |
支持 |
配置应用审计与管理策略时,请按照“深度优先”的原则(即控制范围小的、条件细化的在前,范围大的在后)进行配置。
在配置应用审计与管理策略之前,需完成以下任务:
· 升级APR特征库到最新版本(请参见“DPI深度安全配置指导”中的“APR”)。
· 配置时间段(请参见“安全配置指导”中的“时间段”)。
· 配置IP地址对象组和服务对象组(请参见“安全配置指导”中的“对象组”)。
· 配置应用(请参见“DPI深度安全配置指导”中的“APR”)。
· 配置用户和用户组(请参见“用户接入与认证配置指导”中的“用户身份识别与管理”)。
应用审计与管理配置任务如下:
(1) 创建应用审计与管理策略
(2) 配置策略过滤条件
(3) (可选)配置策略生效时间
(4) 配置策略审计规则
(5) 配置审计规则关键字
(6) (可选)管理和维护应用审计与管理策略
(1) 进入系统视图。
system-view
(2) 进入应用审计与管理视图。
uapp-control
(3) 创建应用审计与管理策略,并进入应用审计与管理策略视图。
policy name policy-name { audit | deny | noaudit }
(4) 配置应用审计与管理策略的缺省动作。
policy default-action { deny | permit }
缺省情况下,应用审计与管理策略的缺省动作是允许。
(1) 进入系统视图。
system-view
(2) 进入应用审计与管理视图。
uapp-control
(3) 进入应用审计与管理策略视图。
policy name policy-name [ audit | deny | noaudit ]
(4) 配置作为应用审计与管理策略过滤条件的地址对象组。
¡ 配置作为应用审计与管理策略过滤条件的源IP地址。
source-address { ipv4 | ipv6 } object-group-name
¡ 配置作为应用审计与管理策略过滤条件的目的IP地址。
destination-address { ipv4 | ipv6 } object-group-name
缺省情况下,未配置作为应用审计与管理策略过滤条件的地址对象组。
(5) 配置作为应用审计与管理策略过滤条件的服务。
service service-name
缺省情况下,未配置作为应用审计与管理策略过滤条件的服务。
(6) 配置作为应用审计与管理策略过滤条件的用户和用户组。
¡ 配置作为应用审计与管理策略过滤条件的用户。
user user-name [ domain domain-name ]
¡ 配置作为应用审计与管理策略过滤条件的用户组。
user-group user-group-name [ domain domain-name ]
缺省情况下,未配置作为应用审计与管理策略过滤条件的用户和用户组。
(7) 配置作为应用审计与管理策略过滤条件的应用。
application { app application-name | app-group application-group-name }
仅在免审计和阻断类型的应用审计与管理策略中可配置应用。
缺省情况下,未配置作为应用审计与管理策略过滤条件的应用。
(1) 进入系统视图。
system-view
(2) 进入应用审计与管理视图。
uapp-control
(3) 进入应用审计与管理策略视图。
policy name policy-name [ audit | deny | noaudit ]
(4) 配置应用审计与管理策略的生效时间。
time-range time-range-name
缺省情况下,应用审计与管理策略在任何时间都生效。
审计规则的功能仅支持在审计类型的应用审计与管理策略中配置。
在审计规则中配置audit-logging参数后:
· 缺省情况下,设备使用普通日志方式输出审计日志,且生成的日志信息不会输出到控制台和监视终端。如需获取该日志,可通过执行display logbuffer命令进行查看。有关普通日志的详细介绍,请参见“设备管理配置指导”中的“信息中心”。有关display logbuffer命令的详细介绍,请参见“设备管理命令参考”中的“信息中心”。
对于微信和QQ,仅支持对整个应用进行阻断,不支持对指定的行为和内容进行阻断。
(1) 进入系统视图。
system-view
(2) 进入应用审计与管理视图。
uapp-control
(3) 进入审计类型的应用审计与管理策略视图。
policy name policy-name [ audit ]
(4) 配置应用审计与管理策略的审计规则。
rule rule-id { app app-name | app-category app-category-name | any } behavior { behavior-name | any } bhcontent { bhcontent-name | any } { keyword { equal | exclude | include | unequal } { keyword-group-name | any } | integer { equal | greater | greater-equal | less | less-equal | unequal } { number } } action { deny | permit } [ audit-logging ]
缺省情况下,未配置应用审计与管理策略的审计规则。
(5) 配置审计规则的匹配模式。
rule match-method { all | in-order }
缺省情况下,审计规则的匹配模式为顺序匹配。
(6) 配置审计规则的缺省动作。
rule default-action { deny | permit }
缺省情况下,审计规则的缺省动作为允许。
配置关键字可实现对某一具体信息的匹配和审计。
(1) 进入系统视图。
system-view
(2) 进入应用审计与管理视图。
uapp-control
(3) 创建关键字组,并进入关键字组视图。
keyword-group name keyword-group-name
(4) (可选)配置关键字组的描述信息。
description text
缺省情况下,未配置关键字组的描述信息。
(5) 配置审计关键字。
keyword keyword-value
缺省情况下,未配置审计关键字。
(1) 进入系统视图。
system-view
(2) 进入应用审计与管理视图。
uapp-control
(3) 复制应用审计与管理策略。
policy copy policy-name new-policy-name
(1) 进入系统视图。
system-view
(2) 进入应用审计与管理视图。
uapp-control
(3) 重命名应用审计与管理策略。
policy rename old-policy-name new-policy-name
(1) 进入系统视图。
system-view
(2) 进入应用审计与管理视图。
uapp-control
(3) 移动应用审计与管理策略的位置。
policy move policy-name1 { after | before } policy-name2
(1) 进入系统视图。
system-view
(2) 进入应用审计与管理视图。
uapp-control
(3) 进入应用审计与管理策略视图。
policy name policy-name
(4) 禁用应用审计与管理策略。
disable
缺省情况下,应用审计与管理策略处于开启状态。
当应用审计与管理的策略和规则被创建、修改和删除后,需要配置此功能使其策略和规则配置生效。
有关此功能的详细介绍请参见“DPI深度安全配置指导”中的“应用层检测引擎”。
配置此功能会暂时中断DPI业务的处理,为避免重复配置此功能对DPI业务造成影响,请完成部署DPI各业务模块的策略和规则后统一配置此功能。
(1) 进入系统视图。
system-view
(2) 激活应用审计与管理的策略和规则配置。
inspect activate
缺省情况下,应用审计与管理的策略被创建、修改和删除时不生效。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
