- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
02-應用審計與管理配置
本章節下載: 02-應用審計與管理配置 (320.96 KB)
目 錄
應用審計與管理是在APR(Application Recognition,應用層協議識別)的基礎上進一步識別出應用的具體行為(比如IM聊天軟件的用戶登錄、發消息等)和行為對象(比如IM聊天軟件登錄的行為對象是賬號信息等),據此對用戶的上網行為進行審計和記錄。
本特性會解析出用戶報文中的敏感信息和私密信息,請保證將本特性僅用於合法用途。
在應用審計與管理策略中通過配置過濾條件、審計規則和審計動作,可以實現對符合過濾條件的報文進行審計處理。
應用審計與管理策略分為如下三種類型:
· 審計策略:對匹配策略中所有過濾條件的報文進行審計。
· 免審計策略:對匹配策略中所有過濾條件的報文進行免審計。
· 阻斷策略:對匹配策略中所有過濾條件的報文進行阻斷。
應用審計與管理策略中可以配置多種過濾條件,具體包括:源安全域、目的安全域、源IP地址、目的IP地址、服務、用戶、用戶組、應用。每種過濾條件中均可以配置多個匹配項,比如源安全域過濾條件中可以指定多個源安全域等。
在審計類型的應用審計與管理策略中可以配置一係列的審計規則對某一應用的具體行為和行為對象進行精細化審計,並輸出審計信息。
審計規則的匹配模式分為順序匹配和全匹配兩種,不同模式下審計規則的匹配原則如下:
· 順序匹配:按照審計規則ID從小到大的順序進行匹配,一旦報文與某條審計規則匹配成功便結束此匹配過程,並根據該審計規則中的動作對此報文進行相應處理。
· 全匹配:按照審計規則ID從小到大的順序進行匹配,若報文與某條動作為允許的規則匹配成功,則繼續匹配後續規則直到最後一條;若報文與某條動作為阻斷的規則匹配成功,則不再進行後續規則的匹配。設備將根據所有匹配成功的審計規則中優先級最高的動作(阻斷的優先級高於允許)對此報文進行處理。
設備可以對匹配審計規則的報文輸出審計日誌,其輸出方式包括:係統日誌和快速日誌。
應用審計與管理對報文的處理流程如下圖所示:
圖1-1 應用審計與管理的報文處理流程圖
應用審計與管理對報文的處理流程如下:
(1) 將報文的屬性信息與應用審計與管理策略中的過濾條件進行匹配。每種過濾條件的多個匹配項之間是或的關係,即報文與某一個過濾條件中的任意一項匹配成功,則報文與此條過濾條件匹配成功;若報文與某一個過濾條件中的所有項都匹配失敗,則報文與此條過濾條件匹配失敗。
(2) 若報文與某條策略中的所有過濾條件都匹配成功(用戶與用戶組匹配一項即可),則報文與此條策略匹配成功。若有一個過濾條件不匹配,則報文與此條策略匹配失敗,報文繼續匹配下一條策略。以此類推,直到最後一條策略,若報文還未與策略匹配成功,則對報文執行策略的缺省動作。
(3) 報文與某條策略匹配成功後便結束此匹配過程,並根據此策略的類型對報文進行如下處理:
¡ 若策略類型為免審計類型,則允許報文通過;
¡ 若策略類型為阻斷類型,則阻斷報文;
¡ 若策略類型為審計類型,則繼續將報文與此策略中的審計規則進行詳細匹配。
(4) 根據報文與審計規則的匹配結果,將對報文進行如下處理:
¡ 若報文與審計規則的所有審計項匹配成功,則執行審計規則配置的動作。
¡ 若報文僅與審計規則的應用/應用分類審計項匹配成功,則放行報文。
¡ 若報文與審計規則的應用/應用分類審計項匹配失敗,則執行審計規則缺省動作。
本特性的支持情況與設備型號有關,請以設備實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
F1000-L係列 |
F1003-L、F1003-L-S、F1005-L、F1010-L |
支持 |
|
F1003-L-C |
不支持 |
|
|
F10X0係列 |
F1003-M、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
F1003-C、F1003-S |
不支持 |
|
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9110、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190、F1000-AK9210 |
支持 |
|
F1000-AK9109 |
不支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
配置應用審計與管理策略時,請按照“深度優先”的原則(即控製範圍小的、條件細化的在前,範圍大的在後)進行配置。
請及時更新APR特征庫,避免因為應用特征變化導致應用無法識別。
在配置應用審計與管理策略之前,需完成以下任務:
· 升級APR特征庫到最新版本(請參見“安全配置指導”中的“APR”)。
· 配置時間段(請參見“ACL和QoS配置指導”中的“時間段”)。
· 配置IP地址對象組和服務對象組(請參見“安全配置指導”中的“對象組”)。
· 配置應用(請參見“安全配置指導”中的“APR”)。
· 配置用戶和用戶組(請參見“安全配置指導”中的“用戶身份識別與管理”)。
· 配置安全域(請參見“安全配置指導”中的“安全域”)。
應用審計與管理配置任務如下:
(1) 創建應用審計與管理策略
(2) 配置策略過濾條件
(3) (可選)配置策略生效時間
(4) 配置策略審計規則
(5) 配置審計規則關鍵字
(6) (可選)管理和維護應用審計與管理策略
(1) 進入係統視圖。
system-view
(2) 進入應用審計與管理視圖。
uapp-control
(3) 創建應用審計與管理策略,並進入應用審計與管理策略視圖。
policy name policy-name { audit | deny | noaudit }
(4) 配置應用審計與管理策略的缺省動作。
policy default-action { deny | permit }
缺省情況下,應用審計與管理策略的缺省動作是允許。
(1) 進入係統視圖。
system-view
(2) 進入應用審計與管理視圖。
uapp-control
(3) 進入應用審計與管理策略視圖。
policy name policy-name [ audit | deny | noaudit ]
(4) 配置作為應用審計與管理策略過濾條件的安全域。
¡ 配置作為應用審計與管理策略過濾條件的源安全域。
source-zone source-zone-name
¡ 配置作為應用審計與管理策略過濾條件的目的安全域。
destination-zone destination-zone-name
缺省情況下,未配置作為應用審計與管理策略過濾條件的安全域。
(5) 配置作為應用審計與管理策略過濾條件的地址對象組。
¡ 配置作為應用審計與管理策略過濾條件的源IP地址。
source-address { ipv4 | ipv6 } object-group-name
¡ 配置作為應用審計與管理策略過濾條件的目的IP地址。
destination-address { ipv4 | ipv6 } object-group-name
缺省情況下,未配置作為應用審計與管理策略過濾條件的地址對象組。
(6) 配置作為應用審計與管理策略過濾條件的服務。
service service-name
缺省情況下,未配置作為應用審計與管理策略過濾條件的服務。
(7) 配置作為應用審計與管理策略過濾條件的用戶和用戶組。
¡ 配置作為應用審計與管理策略過濾條件的用戶。
user user-name [ domain domain-name ]
¡ 配置作為應用審計與管理策略過濾條件的用戶組。
user-group user-group-name [ domain domain-name ]
缺省情況下,未配置作為應用審計與管理策略過濾條件的用戶和用戶組。
(8) 配置作為應用審計與管理策略過濾條件的應用。
application { app application-name | app-group application-group-name }
僅在免審計和阻斷類型的應用審計與管理策略中可配置應用。
缺省情況下,未配置作為應用審計與管理策略過濾條件的應用。
(1) 進入係統視圖。
system-view
(2) 進入應用審計與管理視圖。
uapp-control
(3) 進入應用審計與管理策略視圖。
policy name policy-name [ audit | deny | noaudit ]
(4) 配置應用審計與管理策略的生效時間。
time-range time-range-name
缺省情況下,應用審計與管理策略在任何時間都生效。
審計規則提供如下功能:
· 通用應用審計功能:對用戶的具體應用行為進行精細化控製。
· 郵件保護功能:設備對接收到的郵件進行檢測,並基於收件人進行統計,保護收件人不受到郵件攻擊,具體功能如下。
¡ 限製郵件發送功能:用於禁止不同域之間的郵件發送。例如,郵箱地址為[email protected]的用戶不能向[email protected]發送郵件。
¡ 郵件炸彈攻擊防禦功能:用於防止發件人在短時間內向相同的收件人發送大量郵件。
審計規則的功能僅支持在審計類型的應用審計與管理策略中配置。
在審計規則中配置audit-logging參數後:
· 缺省情況下,設備使用普通日誌方式輸出審計日誌,且生成的日誌信息不會輸出到控製台和監視終端。如需獲取該日誌,可通過執行display logbuffer命令進行查看。有關普通日誌的詳細介紹,請參見“網絡管理和監控配置指導”中的“信息中心”。有關display logbuffer命令的詳細介紹,請參見“網絡管理和監控命令參考”中的“信息中心”。
· 若開啟了快速日誌輸出功能(通過在係統視圖下執行customlog format dpi audit命令),則設備使用快速日誌方式輸出審計日誌。有關快速日誌的詳細介紹,請參見“網絡管理和監控配置指導”中的“快速日誌輸出”。
對於QQ,不支持對收/發消息以及傳輸視頻和圖片文件的行為進行阻斷。
對於微信,不支持對即時通話以及收/發消息的行為進行阻斷。
當使用審計規則對通過SMTP協議發送郵件的行為進行阻斷時,由於郵件客戶端會不斷地嚐試發送郵件,可能存在長時間後郵件發送成功的情況。
(1) 進入係統視圖。
system-view
(2) 進入應用審計與管理視圖。
uapp-control
(3) 進入審計類型的應用審計與管理策略視圖。
policy name policy-name [ audit ]
(4) 配置應用審計與管理策略的審計規則。
rule rule-id { app app-name | app-category app-category-name | any } behavior { behavior-name | any } bhcontent { bhcontent-name | any } { keyword { equal | exclude | include | unequal } { keyword-group-name | any } | integer { equal | greater | greater-equal | less | less-equal | unequal } { number } } action { deny | permit } [ audit-logging ]
rule rule-id { email-bomb-defense [ interval interval max-number email-number ] | email-send-restriction } * action { deny | permit } [ audit-logging ]
缺省情況下,未配置應用審計與管理策略的審計規則。
(5) 配置審計規則的匹配模式。
rule match-method { all | in-order }
缺省情況下,審計規則的匹配模式為順序匹配。
(6) 配置審計規則的缺省動作。
rule default-action { deny | permit }
缺省情況下,審計規則的缺省動作為允許。
配置關鍵字可實現對某一具體信息的匹配和審計。
(1) 進入係統視圖。
system-view
(2) 進入應用審計與管理視圖。
uapp-control
(3) 創建關鍵字組,並進入關鍵字組視圖。
keyword-group name keyword-group-name
(4) (可選)配置關鍵字組的描述信息。
description text
缺省情況下,未配置關鍵字組的描述信息。
(5) 配置審計關鍵字。
keyword keyword-value
缺省情況下,未配置審計關鍵字。
(1) 進入係統視圖。
system-view
(2) 進入應用審計與管理視圖。
uapp-control
(3) 複製應用審計與管理策略。
policy copy policy-name new-policy-name
(1) 進入係統視圖。
system-view
(2) 進入應用審計與管理視圖。
uapp-control
(3) 重命名應用審計與管理策略。
policy rename old-policy-name new-policy-name
(1) 進入係統視圖。
system-view
(2) 進入應用審計與管理視圖。
uapp-control
(3) 移動應用審計與管理策略的位置。
policy move policy-name1 { after policy-name2 | before [ policy-name2 ] }
(1) 進入係統視圖。
system-view
(2) 進入應用審計與管理視圖。
uapp-control
(3) 進入應用審計與管理策略視圖。
policy name policy-name
(4) 禁用應用審計與管理策略。
disable
缺省情況下,應用審計與管理策略處於開啟狀態。
當應用審計與管理的策略和規則被創建、修改和刪除後,需要配置此功能使其策略和規則配置生效。
有關此功能的詳細介紹請參見“DPI深度安全配置指導”中的“應用層檢測引擎”。
配置此功能會暫時中斷DPI業務的處理,為避免重複配置此功能對DPI業務造成影響,請完成部署DPI各業務模塊的策略和規則後統一配置此功能。
(1) 進入係統視圖。
system-view
(2) 激活應用審計與管理的策略和規則配置。
inspect activate
缺省情況下,應用審計與管理的策略被創建、修改和刪除時不生效。
· 某公司內的各部門通過Device與Internet連接,該公司的工作時間為每周工作日的8點到18點。
· 通過配置應用審計與管理策略,對在上班時間登錄的QQ賬號均進行審計,並記錄日誌。
圖1-2 應用審計與管理策略審計賬號登錄配置組網圖
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由。本舉例假設設備Device到達外網服務器5.5.5.5/24的下一跳為2.2.2.2,實際使用中請以具體組網情況為準,具體配置步驟如下。
[Device] ip route-static 5.5.5.5 24 2.2.2.2
(3) 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置安全策略
# 配置名稱為trust-untrust的安全策略規則,使內網Host訪問外網Internet的報文可通,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-1-trust-untrust] source-zone trust
[Device-security-policy-ip-1-trust-untrust] destination-zone untrust
[Device-security-policy-ip-1-trust-untrust] source-ip-host 192.168.1.2
[Device-security-policy-ip-1-trust-untrust] source-ip-host 192.168.1.3
[Device-security-policy-ip-1-trust-untrust] source-ip-host 192.168.1.4
[Device-security-policy-ip-1-trust-untrust] action pass
[Device-security-policy-ip-1-trust-untrust] quit
[Device-security-policy-ip] quit
(5) 配置時間段
# 創建名為work的時間段,其時間範圍為每周工作日的8點到18點。
[Device] time-range work 08:00 to 18:00 working-day
(6) 升級APR特征庫到最新版本(配置步驟略,本舉例中APR特征庫版本號為1.0.106)
(7) 配置應用審計與管理策略
# 創建一個名稱為audit-qq的審計類型的應用審計與管理策略,配置審計規則,對在上班期間登錄QQ賬號的行為均進行審計並允許登錄,同時記錄日誌。
[Device] uapp-control
[Device-uapp-control] policy name audit-qq audit
[Device-uapp-control-policy-audit-qq] source-zone trust
[Device-uapp-control-policy-audit-qq] destination-zone untrust
[Device-uapp-control-policy-audit-qq] time-range work
[Device-uapp-control-policy-audit-qq] rule 1 app QQ behavior Login bhcontent any keyword equal any action permit audit-logging
[Device-uapp-control-policy-audit-qq] quit
[Device-uapp-control] quit
(8) 激活應用審計與管理的策略和規則配置。
[Device] inspect activate
以上配置完成後,若內網主機上有QQ登錄,則設備會對QQ賬號登錄進行審計,並會有審計日誌信息輸出。
某公司內的各部門通過Device與Internet連接,通過配置應用審計與管理策略,當內網用戶使用微軟必應搜索查找的信息中包含“機密”或“恐怖襲擊”關鍵字時,拒絕此次搜索,並記錄日誌。
圖1-3 應用審計與管理策略審計敏感信息配置組網圖
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由。本舉例假設備Device到達外網服務器5.5.5.5/24的下一跳為2.2.2.2,實際使用中請以具體組網情況為準,具體配置步驟如下。
[Device] ip route-static 5.5.5.5 24 2.2.2.2
(3) 配置接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置安全策略
# 配置名稱為trust-untrust的安全策略規則,使內網Host訪問外網Internet的報文可通,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-1-trust-untrust] source-zone trust
[Device-security-policy-ip-1-trust-untrust] destination-zone untrust
[Device-security-policy-ip-1-trust-untrust] source-ip-host 192.168.1.2
[Device-security-policy-ip-1-trust-untrust] source-ip-host 192.168.1.3
[Device-security-policy-ip-1-trust-untrust] source-ip-host 192.168.1.4
[Device-security-policy-ip-1-trust-untrust] action pass
[Device-security-policy-ip-1-trust-untrust] quit
[Device-security-policy-ip] quit
(5) 升級APR特征庫到最新版本(配置步驟略,本舉例中APR特征庫版本號為1.0.106)
(6) 配置應用審計與管理策略
# 配置名稱為keyword-bing的關鍵字組,用於審計敏感信息。
[Device] uapp-control
[Device-uapp-control] keyword-group name keyword-bing
[Device-uapp-control-keyword-group-keyword-bing] keyword 機密
[Device-uapp-control-keyword-group-keyword-bing] keyword 恐怖襲擊
[Device-uapp-control-keyword-group-keyword-bing] quit
# 創建一個名稱為audit-bing的審計類型的應用審計策略,配置審計規則,當內網用戶使用微軟必應搜索查找的信息中包含關鍵字組中的關鍵字時,拒絕此次搜索並記錄日誌。
[Device-uapp-control] policy name audit-bing audit
[Device-uapp-control-policy-audit-bing] source-zone trust
[Device-uapp-control-policy-audit-bing] destination-zone untrust
[Device-uapp-control-policy-audit-bing] rule 2 app Bing behavior Search bhcontent Keyword keyword include keyword-bing action deny audit-logging
[Device-uapp-control-policy-audit-bing] quit
[Device-uapp-control] quit
(7) 激活應用審計與管理的策略和規則配置。
[Device] inspect activate
以上配置完成後,當內網用戶使用微軟必應搜索查找的信息中包含“機密”或“恐怖襲擊”關鍵字時,此次搜索會沒有響應,並會有審計日誌信息輸出。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
