02-应用审计与管理配置
本章节下载: 02-应用审计与管理配置 (316.62 KB)
目 录
应用审计与管理是在APR(Application Recognition,应用层协议识别)的基础上进一步识别出应用的具体行为(比如IM聊天软件的用户登录、发消息等)和行为对象(比如IM聊天软件登录的行为对象是账号信息等),据此对用户的上网行为进行审计和记录。
本特性会解析出用户报文中的敏感信息和私密信息,请保证将本特性仅用于合法用途。
在应用审计与管理策略中通过配置过滤条件、审计规则和审计动作,可以实现对符合过滤条件的报文进行审计处理。
应用审计与管理策略分为如下三种类型:
· 审计策略:对匹配策略中所有过滤条件的报文进行审计。
· 免审计策略:对匹配策略中所有过滤条件的报文进行免审计。
· 阻断策略:对匹配策略中所有过滤条件的报文进行阻断。
应用审计与管理策略中可以配置多种过滤条件,具体包括:源IP地址、目的IP地址、服务、用户、用户组、应用,每种过滤条件中均可以配置多个匹配项。
在审计类型的应用审计与管理策略中可以配置一系列的审计规则对某一应用的具体行为和行为对象进行精细化审计,并输出审计信息。
审计规则的匹配模式分为顺序匹配和全匹配两种,不同模式下审计规则的匹配原则如下:
· 顺序匹配:按照审计规则ID从小到大的顺序进行匹配,一旦报文与某条审计规则匹配成功便结束此匹配过程,并根据该审计规则中的动作对此报文进行相应处理。
· 全匹配:按照审计规则ID从小到大的顺序进行匹配,若报文与某条动作为允许的规则匹配成功,则继续匹配后续规则直到最后一条;若报文与某条动作为阻断的规则匹配成功,则不再进行后续规则的匹配。设备将根据所有匹配成功的审计规则中优先级最高的动作(阻断的优先级高于允许)对此报文进行处理。
设备可以对匹配审计规则的报文输出审计日志,其输出方式包括:系统日志和快速日志。
应用审计与管理对报文的处理流程如下图所示:
图1-1 应用审计与管理的报文处理流程图
应用审计与管理对报文的处理流程如下:
(1) 将报文的属性信息与应用审计与管理策略中的过滤条件进行匹配。每种过滤条件的多个匹配项之间是或的关系,即报文与某一个过滤条件中的任意一项匹配成功,则报文与此条过滤条件匹配成功;若报文与某一个过滤条件中的所有项都匹配失败,则报文与此条过滤条件匹配失败。
(2) 若报文与某条策略中的所有过滤条件都匹配成功(用户与用户组匹配一项即可),则报文与此条策略匹配成功。若有一个过滤条件不匹配,则报文与此条策略匹配失败,报文继续匹配下一条策略。以此类推,直到最后一条策略,若报文还未与策略匹配成功,则对报文执行策略的缺省动作。
(3) 报文与某条策略匹配成功后便结束此匹配过程,并根据此策略的类型对报文进行如下处理:
¡ 若策略类型为免审计类型,则允许报文通过;
¡ 若策略类型为阻断类型,则阻断报文;
¡ 若策略类型为审计类型,则继续将报文与此策略中的审计规则进行详细匹配。
(4) 设备根据报文与审计规则的匹配结果,将对报文进行如下处理:
¡ 若报文与审计规则的所有审计项匹配成功,则执行审计规则配置的动作。
¡ 若报文仅与审计规则的应用/应用分类审计项匹配成功,则放行报文。
¡ 若报文与审计规则的应用/应用分类审计项匹配失败,则执行审计规则缺省动作。
配置应用审计与管理策略时,请按照“深度优先”的原则(即控制范围小的、条件细化的在前,范围大的在后)进行配置。
在配置应用审计与管理策略之前,需完成以下任务:
· 升级APR特征库到最新版本(请参见“DPI深度安全配置指导”中的“APR”)。
· 配置时间段(请参见“安全配置指导”中的“时间段”)。
· 配置IP地址对象组和服务对象组(请参见“安全配置指导”中的“对象组”)。
· 配置应用(请参见“DPI深度安全配置指导”中的“APR”)。
· 配置用户和用户组(请参见“用户接入与认证配置指导”中的“用户身份识别与管理”)。
应用审计与管理配置任务如下:
(1) 创建应用审计与管理策略
(2) 配置策略过滤条件
(3) (可选)配置策略生效时间
(4) 配置策略审计规则
(5) 配置审计规则关键字
(6) (可选)管理和维护应用审计与管理策略
(1) 进入系统视图。
system-view
(2) 进入应用审计与管理视图。
uapp-control
(3) 创建应用审计与管理策略,并进入应用审计与管理策略视图。
policy name policy-name { audit | deny | noaudit }
(4) 配置应用审计与管理策略的缺省动作。
policy default-action { deny | permit }
缺省情况下,应用审计与管理策略的缺省动作是允许。
(1) 进入系统视图。
system-view
(2) 进入应用审计与管理视图。
uapp-control
(3) 进入应用审计与管理策略视图。
policy name policy-name [ audit | deny | noaudit ]
(4) 配置作为应用审计与管理策略过滤条件的地址对象组。
¡ 配置作为应用审计与管理策略过滤条件的源IP地址。
source-address { ipv4 | ipv6 } object-group-name
¡ 配置作为应用审计与管理策略过滤条件的目的IP地址。
destination-address { ipv4 | ipv6 } object-group-name
缺省情况下,未配置作为应用审计与管理策略过滤条件的地址对象组。
(5) 配置作为应用审计与管理策略过滤条件的服务。
service service-name
缺省情况下,未配置作为应用审计与管理策略过滤条件的服务。
(6) 配置作为应用审计与管理策略过滤条件的用户和用户组。
¡ 配置作为应用审计与管理策略过滤条件的用户。
user user-name [ domain domain-name ]
¡ 配置作为应用审计与管理策略过滤条件的用户组。
user-group user-group-name [ domain domain-name ]
缺省情况下,未配置作为应用审计与管理策略过滤条件的用户和用户组。
(7) 配置作为应用审计与管理策略过滤条件的应用。
application { app application-name | app-group application-group-name }
仅在免审计和阻断类型的应用审计与管理策略中可配置应用。
缺省情况下,未配置作为应用审计与管理策略过滤条件的应用。
(1) 进入系统视图。
system-view
(2) 进入应用审计与管理视图。
uapp-control
(3) 进入应用审计与管理策略视图。
policy name policy-name [ audit | deny | noaudit ]
(4) 配置应用审计与管理策略的生效时间。
time-range time-range-name
缺省情况下,应用审计与管理策略在任何时间都生效。
审计规则提供如下功能:
· 通用应用审计功能:对用户的具体应用行为进行精细化控制。
· 邮件保护功能:设备对接收到的邮件进行检测,并基于收件人进行统计,保护收件人不受到邮件攻击,具体功能如下。
¡ 限制邮件发送功能:用于禁止不同域之间的邮件发送。例如,邮箱地址为user1@example1.com的用户不能向user2@example2.com发送邮件。
¡ 邮件炸弹攻击防御功能:用于防止发件人在短时间内向相同的收件人发送大量邮件。
审计规则的功能仅支持在审计类型的应用审计与管理策略中配置。
在审计规则中配置audit-logging时,设备将记录日志并支持如下两种方式输出日志:
· 快速日志:此方式生成的日志信息直接发送到管理员指定的日志主机。
· 系统日志:此方式生成的日志信息将发送到信息中心,由信息中心决定日志的输出方向。本业务产生的系统日志不支持输出到控制台和监视终端。如需快速获取日志信息,可通过执行display logbuffer命令进行查看。
系统日志会对设备性能产生影响,建议采用快速日志方式。
有关display logbuffer命令的详细介绍,请参见“设备管理命令参考”中的“信息中心”;有关快速日志的详细介绍,请参见“网络管理和监控配置指导”中的“快速日志输出”。
对于微信和QQ,不支持对指定的消息内容进行阻断。
(1) 进入系统视图。
system-view
(2) 进入应用审计与管理视图。
uapp-control
(3) 进入审计类型的应用审计与管理策略视图。
policy name policy-name [ audit ]
(4) 配置应用审计与管理策略的审计规则。
rule rule-id { app app-name | app-category app-category-name | any } behavior { behavior-name | any } bhcontent { bhcontent-name | any } { keyword { equal | exclude | include | unequal } { keyword-group-name | any } | integer { equal | greater | greater-equal | less | less-equal | unequal } { number } } action { deny | permit } [ audit-logging ]
rule rule-id { email-bomb-defense [ interval interval max-number email-number ] | email-send-restriction } * action { deny | permit } [ audit-logging ]
缺省情况下,未配置应用审计与管理策略的审计规则。
(5) 配置审计规则的匹配模式。
rule match-method { all | in-order }
缺省情况下,审计规则的匹配模式为顺序匹配。
(6) 配置审计规则的缺省动作。
rule default-action { deny | permit }
缺省情况下,审计规则的缺省动作为允许。
配置关键字可实现对某一具体信息的匹配和审计。
4配置步骤
(1) 进入系统视图。
system-view
(2) 进入应用审计与管理视图。
uapp-control
(3) 创建关键字组,并进入关键字组视图。
keyword-group name keyword-group-name
(4) (可选)配置关键字组的描述信息。
description text
缺省情况下,未配置关键字组的描述信息。
(5) 配置审计关键字。
keyword keyword-value
缺省情况下,未配置审计关键字。
(1) 进入系统视图。
system-view
(2) 进入应用审计与管理视图。
uapp-control
(3) 复制应用审计与管理策略。
policy copy policy-name new-policy-name
(1) 进入系统视图。
system-view
(2) 进入应用审计与管理视图。
uapp-control
(3) 重命名应用审计与管理策略。
policy rename old-policy-name new-policy-name
(1) 进入系统视图。
system-view
(2) 进入应用审计与管理视图。
uapp-control
(3) 移动应用审计与管理策略的位置。
policy move policy-name1 { after | before } policy-name2
(1) 进入系统视图。
system-view
(2) 进入应用审计与管理视图。
uapp-control
(3) 进入应用审计与管理策略视图。
policy name policy-name
(4) 禁用应用审计与管理策略。
disable
缺省情况下,应用审计与管理策略处于开启状态。
缺省情况下,当应用审计与管理策略发生配置变更时(即被创建、修改和删除),系统将会检测在20秒的间隔时间内是否再次发生了配置变更,并根据判断结果执行如下操作:
· 如果间隔时间内未发生任何配置变更,则系统将在下一个间隔时间结束时(即40秒时)执行一次激活操作,使这些策略的配置生效。
· 如果间隔时间内再次发生了配置变更,则系统将继续按照间隔时间周期性地检测是否发生配置变更。
如果用户希望对变更的配置立即进行激活,可执行inspect activate命令手工激活,使配置立即生效。
有关此功能的详细介绍请参见“DPI深度安全配置指导”中的“应用层检测引擎”。
配置此功能会暂时中断DPI业务的处理,为避免重复配置此功能对DPI业务造成影响,请完成部署DPI各业务模块的策略和规则后统一配置此功能。
(1) 进入系统视图。
system-view
(2) 激活应用审计与管理的策略和规则配置。
inspect activate
缺省情况下,应用审计与管理的策略被创建、修改和删除时不生效。
执行此命令会暂时中断DPI业务的处理,可能导致其他基于DPI功能的业务同时出现中断。例如,安全策略无法对应用进行访问控制、七层负载均衡业务无法基于应用进行负载分担等。
如图1-2所示,Switch作为DHCP服务器为AP和Client分配IP地址,其中AP与AC使用VLAN 100建立CAPWAP隧道,Client使用VLAN 200接入无线网络。现要求:
· 通过配置应用审计与管理策略,对在上班时间登录的QQ账号均进行审计,并记录日志。
· 该公司的工作时间为每周工作日的8点到18点。
(1) 配置AC的接口
# 创建VLAN 100及其对应的VLAN接口,并为该接口配置IP地址。AP将获取该IP地址与AC建立CAPWAP隧道。
<AC> system-view
[AC] vlan 100
[AC-vlan100] quit
[AC] interface vlan-interface 100
[AC-Vlan-interface100] ip address 192.1.1.1 24
[AC-Vlan-interface100] quit
# 创建VLAN 200及其对应的VLAN接口,并为该接口配置IP地址。Client使用该VLAN接入无线网络。
[AC] vlan 200
[AC-vlan200] quit
[AC] interface vlan-interface 200
[AC-Vlan-interface200] ip address 192.2.1.1 24
[AC-Vlan-interface200] quit
# 配置AC和Switch相连的接口GigabitEthernet1/0/1为Trunk类型,禁止VLAN 1报文通过,允许VLAN 100和VLAN 200通过,当前Trunk口的PVID为100。
[AC] interface gigabitethernet 1/0/1
[AC-GigabitEthernet1/0/1] port link-type trunk
[AC-GigabitEthernet1/0/1] undo port trunk permit vlan 1
[AC-GigabitEthernet1/0/1] port trunk permit vlan 100 200
[AC-GigabitEthernet1/0/1] port trunk pvid vlan 100
[AC-GigabitEthernet1/0/1] quit
(2) 配置无线服务
# 创建无线服务模板1,并进入无线服务模板视图。
[AC] wlan service-template 1
# 配置SSID为service。
[AC-wlan-st-1] ssid service
# 配置无线客户端上线后加入到VLAN 200。
[AC-wlan-st-1] vlan 200
# 使能无线服务模板。
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
(3) 配置AP
# 创建手工AP,名称为ap1,型号为WA6320。
[AC] wlan ap ap1 model WA6320
# 设置AP序列号为219801A28N819CE0002T 。
[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
# 进入AP的Radio 1视图,并将无线服务模板1绑定到Radio 1上。
[AC-wlan-ap-ap1] radio 1
[AC-wlan-ap-ap1-radio-1] service-template 1
# 开启Radio 1的射频功能。
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] quit
# 进入AP的Radio 2视图,并将无线服务模板1绑定到Radio 2上。
[AC-wlan-ap-ap1] radio 2
[AC-wlan-ap-ap1-radio-2] service-template 1
# 开启Radio 2的射频功能。
[AC-wlan-ap-ap1-radio-2] radio enable
[AC-wlan-ap-ap1-radio-2] quit
[AC-wlan-ap-ap1] quit
(4) 配置时间段
# 创建名为work的时间段,其时间范围为每周工作日的8点到18点。
[AC] time-range work 08:00 to 18:00 working-day
(5) 配置对象组
# 创建名为audit的IP地址对象组,并定义其子网地址为192.2.1.0/24。
[AC] object-group ip address audit
[AC-obj-grp-ip-audit] network subnet 192.2.1.0 24
[AC-obj-grp-ip-audit] quit
(6) 配置应用审计与管理策略
# 进入应用审计与管理视图。
[AC] uapp-control
# 创建一个名称为audit-qq的应用审计与管理策略,其类型为审计,并进入应用审计与管理策略视图。
[AC-uapp-control] policy name audit-qq audit
# 配置应用审计与管理审计策略audit-qq过滤条件的源IP地址对象组audit。
[AC-uapp-control-policy-audit-qq] source-address ipv4 audit
# 配置应用审计与管理审计策略audit-qq的生效时间段为work。
[AC-uapp-control-policy-audit-qq] time-range work
# 配置审计规则,对在上班时间登录的QQ账号均进行审计允许登录,并记录日志。
[AC-uapp-control-policy-audit-qq] rule 1 app QQ behavior Login bhcontent any keyword equal any action permit audit-logging
[AC-uapp-control-policy-audit-qq] quit
[AC-uapp-control] quit
(7) 激活应用审计与管理的策略和规则配置。
[AC] inspect activate
以上配置完成后,若内网主机上有QQ登录,则设备会对QQ账号登录进行审计,并会有审计日志信息输出。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!