登錄

歡迎userBOB登陆 退出

簡體中文

  • 產品與解決方案
  • 行業解決方案
  • 服務
  • 支持
  • 合作夥伴
  • 關於我們

03-策略

目錄

12-應用審計

本章節下載 12-應用審計  (394.29 KB)

12-應用審計

 

本幫助主要介紹以下內容:

·     特性簡介

¡     基本概念

¡     報文審計流程

¡     審計策略

¡     過濾條件

¡     審計規則

·     配置指南

¡     配置關鍵字組

¡     配置審計策略

·     使用限製和注意事項

特性簡介

本特性會解析出用戶報文中的敏感信息和私密信息,請保證將本特性僅用於合法用途。

 

應用審計是在APRApplication Recognition,應用層協議識別)的基礎上進一步識別出應用的具體行為和行為內容,據此對用戶的上網行為進行審計和記錄。

基本概念

應用行為

各種應用和軟件在使用過程中會表現不同的行為特征,比如IM聊天軟件的登錄、發消息;FTP的上傳文件、下載文件等。

行為內容

行為內容是指某一行為的具體內容,比如IM聊天軟件登錄的行為內容是賬號信息,FTP上傳文件的行為內容是文件名信息等。行為內容的匹配方式包括兩種:字符串和數字。

報文審計流程

圖-1 報文審計流程圖

 

審計策略

不同類型的審計策略能對符合過濾條件的報文進行差異化處理。

策略類型

審計策略分為如下三種類型:

·     審計策略:對匹配策略中所有過濾條件的報文進行審計。

·     免審計策略:對匹配策略中所有過濾條件的報文進行免審計。

·     阻斷策略:對匹配策略中所有過濾條件的報文進行阻斷。

策略的匹配原則

設備上可以存在多個審計策略,報文按照策略的配置順序進行匹配,一旦與某個策略匹配成功便結束匹配過程。若報文未與任何策略匹配成功,則設備將根據審計策略的缺省動作對報文進行處理。

審計策略的配置順序可在“審計策略”頁麵查看,配置順序與策略的創建順序有關,先創建的策略優先進行匹配,也可以通過移動策略的位置來調整策略的配置順序。根據以上審計策略的匹配原理,為使設備上部署的審計策略對流經設備的報文能夠達到更好、更精準的審計效果,需要在配置審計策略時遵循“深度優先”的原則,即先配置審計範圍小的,再配置審計範圍大的。

過濾條件

審計策略中可以配置多種過濾條件,具體包括:源安全域、目的安全域、源IP地址、目的IP地址、服務、用戶、應用和生效時間段。策略被匹配成功的條件是:策略中已配置的過濾條件均被匹配成功。

每種過濾條件中也可以配置多個匹配項,比如一個源IP地址中可以指定多個地址對象組等。每種過濾條件被匹配成功的條件是:過濾條件的任何一個匹配項被匹配成功即可。

審計規則

在審計類型的審計策略中可以配置一係列的審計規則對某一應用的具體行為和行為內容進行精細化審計,並輸出審計信息。

審計規則的匹配模式分為順序匹配和全匹配兩種,不同模式下審計規則的匹配原則如下:

·     順序匹配:按照審計規則ID從小到大的順序進行匹配,一旦報文與某條審計規則匹配成功便結束此匹配過程,並根據該審計規則中的動作對此報文進行相應處理。

·     全匹配:按照審計規則ID從小到大的順序進行匹配,若報文與某條動作為允許的規則匹配成功,則繼續匹配後續規則直到最後一條;若報文與某條動作為阻斷的規則匹配成功,則不再進行後續規則的匹配。設備將根據所有匹配成功的審計規則中優先級最高的動作(阻斷的優先級高於允許)對此報文進行處理。

若報文未與任何審計規則匹配成功,則根據審計規則的缺省動作對此報文進行處理。

配置指南

應用審計功能的配置思路如下圖所示:

圖-2 應用審計配置指導圖

 

在配置應用審計功能之前,需要先配置安全策略使流量可在設備上通過。有關安全策略的相關介紹請參見“安全策略聯機幫助”。

配置關鍵字組

配置關鍵字組具體步驟如下:

1.     在應用審計的“關鍵字組”頁麵,單擊<新建>按鈕,進入“新建關鍵字組”頁麵。

2.     新建關鍵字組,具體配置內容如下表所示:

表-1 關鍵字組配置參數表

參數

說明

名稱

關鍵字組的名稱

描述

通過合理編寫描述信息,便於管理員快速理解和識別本關鍵字組

關鍵字

配置需要審計的關鍵字信息,多個關鍵字之間用回車分隔

 

3.     在“新建關鍵字組“頁麵,單擊<確定>按鈕,新建關鍵字組成功,並會在“關鍵字組”頁麵中顯示。

配置審計策略

配置審計策略的具體步驟如下:

1.     在應用審計的“審計策略”頁麵,單擊<新建>按鈕,進入“新建審計策略”頁麵。

2.     新建審計策略,具體配置內容如下表所示:

表-2 審計策略配置參數表

參數

說明

名稱

配置審計策略的名稱

類型

根據對報文審計需求選擇對應的策略類型,類型包括審計、免審計和阻斷

啟用

選擇開啟後,此審計策略才能生效

源安全域

配置源安全域作為審計策略的過濾條件

目的安全域

配置目的安全域作為審計策略的過濾條件

IP地址

配置源IP地址作為審計策略的過濾條件

目的IP地址

配置目的IP地址作為審計策略的過濾條件

服務

配置服務作為審計策略的過濾條件

用戶

配置身份識別用戶作為審計策略的過濾條件

應用

配置應用或應用組作為審計策略的過濾條件

時間段

配置審計策略生效的時間段

審計規則

配置審計規則對某一應用的具體行為和行為內容進行精細化審計,此項僅審計類型的策略可配

 

3.     在“新建審計策略“頁麵,單擊<確定>按鈕,新建審計策略成功,並會在“審計策略”頁麵中顯示。

4.     新建審計策略後,需要激活才能生效。如需立即激活,請單擊<提交>按鈕。否則,設備默認40秒後自動激活。

使用限製和注意事項

審計策略變更後(包括新建、編輯、刪除、啟用和禁用),需要激活才能生效。如需立即激活,請單擊<提交>按鈕。否則,設備默認40秒後自動激活。

不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!

BOB登陆 官網
聯係我們