- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
02-應用審計與管理配置
本章節下載: 02-應用審計與管理配置 (271.77 KB)
目 錄
應用審計與管理是在APR(Application Recognition,應用層協議識別)的基礎上進一步識別出應用的具體行為(比如IM聊天軟件的用戶登錄、發消息等)和行為對象(比如IM聊天軟件登錄的行為對象是賬號信息等),據此對用戶的上網行為進行審計和記錄。
本特性會解析出用戶報文中的敏感信息和私密信息,請保證將本特性僅用於合法用途。
在應用審計與管理策略中通過配置過濾條件、審計規則和審計動作,可以實現對符合過濾條件的報文進行審計處理。
應用審計與管理策略分為如下三種類型:
· 審計策略:對匹配策略中所有過濾條件的報文進行審計。
· 免審計策略:對匹配策略中所有過濾條件的報文進行免審計。
· 阻斷策略:對匹配策略中所有過濾條件的報文進行阻斷。
應用審計與管理策略中可以配置多種過濾條件,具體包括:源安全域、目的安全域、源IP地址、目的IP地址、服務、用戶、用戶組、應用。每種過濾條件中均可以配置多個匹配項,比如源安全域過濾條件中可以指定多個源安全域等。
在審計類型的應用審計與管理策略中可以配置一係列的審計規則對某一應用的具體行為和行為對象進行精細化審計,並輸出審計信息。
審計規則的匹配模式分為順序匹配和全匹配兩種,不同模式下審計規則的匹配原則如下:
· 順序匹配:按照審計規則ID從小到大的順序進行匹配,一旦報文與某條審計規則匹配成功便結束此匹配過程,並根據該審計規則中的動作對此報文進行相應處理。
· 全匹配:按照審計規則ID從小到大的順序進行匹配,若報文與某條動作為允許的規則匹配成功,則繼續匹配後續規則直到最後一條;若報文與某條動作為阻斷的規則匹配成功,則不再進行後續規則的匹配。設備將根據所有匹配成功的審計規則中優先級最高的動作(阻斷的優先級高於允許)對此報文進行處理。
設備可以對匹配審計規則的報文輸出審計日誌,其輸出方式包括:係統日誌和快速日誌。
應用審計與管理對報文的處理流程如下圖所示:
圖1-1 應用審計與管理的報文處理流程圖
應用審計與管理對報文的處理流程如下:
(1) 將報文的屬性信息與應用審計與管理策略中的過濾條件進行匹配。每種過濾條件的多個匹配項之間是或的關係,即報文與某一個過濾條件中的任意一項匹配成功,則報文與此條過濾條件匹配成功;若報文與某一個過濾條件中的所有項都匹配失敗,則報文與此條過濾條件匹配失敗。
(2) 若報文與某條策略中的所有過濾條件都匹配成功(用戶與用戶組匹配一項即可),則報文與此條策略匹配成功。若有一個過濾條件不匹配,則報文與此條策略匹配失敗,報文繼續匹配下一條策略。以此類推,直到最後一條策略,若報文還未與策略匹配成功,則對報文執行策略的缺省動作。
(3) 報文與某條策略匹配成功後便結束此匹配過程,並根據此策略的類型對報文進行如下處理:
¡ 若策略類型為免審計類型,則允許報文通過;
¡ 若策略類型為阻斷類型,則阻斷報文;
¡ 若策略類型為審計類型,則繼續將報文與此策略中的審計規則進行詳細匹配。
(4) 若報文與審計規則匹配成功,則對報文執行審計規則中配置的動作;若匹配失敗,則對報文執行審計規則的缺省動作。
配置應用審計與管理策略時,請按照“深度優先”的原則(即控製範圍小的、條件細化的在前,範圍大的在後)進行配置。
在配置應用審計與管理策略之前,需完成以下任務:
· 升級APR特征庫到最新版本(請參見“安全配置指導”中的“APR”)。
· 配置時間段(請參見“ACL和QoS配置指導”中的“時間段”)。
· 配置IP地址對象組和服務對象組(請參見“安全配置指導”中的“對象組”)。
· 配置應用(請參見“安全配置指導”中的“APR”)。
· 配置用戶和用戶組(請參見“安全配置指導”中的“用戶身份識別與管理”)。
· 配置安全域(請參見“安全配置指導”中的“安全域”)。
應用審計與管理配置任務如下:
(1) 創建應用審計與管理策略
(2) 配置策略過濾條件
(3) (可選)配置策略生效時間
(4) 配置策略審計規則
(5) 配置審計規則關鍵字
(6) (可選)管理和維護應用審計與管理策略
(1) 進入係統視圖。
system-view
(2) 進入應用審計與管理視圖。
uapp-control
(3) 創建應用審計與管理策略,並進入應用審計與管理策略視圖。
policy name policy-name { audit | deny | noaudit }
(4) 配置應用審計與管理策略的缺省動作。
policy default-action { deny | permit }
缺省情況下,應用審計與管理策略的缺省動作是允許。
(1) 進入係統視圖。
system-view
(2) 進入應用審計與管理視圖。
uapp-control
(3) 進入應用審計與管理策略視圖。
policy name policy-name [ audit | deny | noaudit ]
(4) 配置作為應用審計與管理策略過濾條件的安全域。
¡ 配置作為應用審計與管理策略過濾條件的源安全域。
source-zone source-zone-name
¡ 配置作為應用審計與管理策略過濾條件的目的安全域。
destination-zone destination-zone-name
缺省情況下,未配置作為應用審計與管理策略過濾條件的安全域。
(5) 配置作為應用審計與管理策略過濾條件的地址對象組。
¡ 配置作為應用審計與管理策略過濾條件的源IP地址。
source-address { ipv4 | ipv6 } object-group-name
¡ 配置作為應用審計與管理策略過濾條件的目的IP地址。
destination-address { ipv4 | ipv6 } object-group-name
缺省情況下,未配置作為應用審計與管理策略過濾條件的地址對象組。
(6) 配置作為應用審計與管理策略過濾條件的服務。
service service-name
缺省情況下,未配置作為應用審計與管理策略過濾條件的服務。
(7) 配置作為應用審計與管理策略過濾條件的用戶和用戶組。
¡ 配置作為應用審計與管理策略過濾條件的用戶。
user user-name [ domain domain-name ]
¡ 配置作為應用審計與管理策略過濾條件的用戶組。
user-group user-group-name [ domain domain-name ]
缺省情況下,未配置作為應用審計與管理策略過濾條件的用戶和用戶組。
(8) 配置作為應用審計與管理策略過濾條件的應用。
application { app application-name | app-group application-group-name }
僅在免審計和阻斷類型的應用審計與管理策略中可配置應用。
缺省情況下,未配置作為應用審計與管理策略過濾條件的應用。
(1) 進入係統視圖。
system-view
(2) 進入應用審計與管理視圖。
uapp-control
(3) 進入應用審計與管理策略視圖。
policy name policy-name [ audit | deny | noaudit ]
(4) 配置應用審計與管理策略的生效時間。
time-range time-range-name
缺省情況下,應用審計與管理策略在任何時間都生效。
審計規則的功能僅支持在審計類型的應用審計與管理策略中配置。
在審計規則中配置audit-logging參數後:
· 缺省情況下,設備使用普通日誌方式輸出審計日誌。有關普通日誌的詳細介紹,請參見“網絡管理和監控配置指導”中的“信息中心”。
· 若為DPI業務開啟了快速日誌輸出功能(通過在係統視圖下執行customlog format dpi命令),則設備使用快速日誌方式輸出審計日誌。有關快速日誌的詳細介紹,請參見“網絡管理和監控配置指導”中的“快速日誌輸出”。
對於微信和QQ,僅支持對整個應用進行阻斷,不支持對指定的行為和內容進行阻斷。
(1) 進入係統視圖。
system-view
(2) 進入應用審計與管理視圖。
uapp-control
(3) 進入審計類型的應用審計與管理策略視圖。
policy name policy-name [ audit ]
(4) 配置應用審計與管理策略的審計規則。
rule rule-id { app app-name | app-category app-category-name | any } behavior { behavior-name | any } bhcontent { bhcontent-name | any } { keyword { equal | exclude | include | unequal } { keyword-group-name | any } | integer { equal | greater | greater-equal | less | less-equal | unequal } { number } } action { deny | permit } [ audit-logging ]
缺省情況下,未配置應用審計與管理策略的審計規則。
(5) 配置審計規則的匹配模式。
rule match-method { all | in-order }
缺省情況下,審計規則的匹配模式為順序匹配。
(6) 配置審計規則的缺省動作。
rule default-action { deny | permit }
缺省情況下,審計規則的缺省動作為允許。
配置關鍵字可實現對某一具體信息的匹配和審計。
4配置步驟
(1) 進入係統視圖。
system-view
(2) 進入應用審計與管理視圖。
uapp-control
(3) 創建關鍵字組,並進入關鍵字組視圖。
keyword-group name keyword-group-name
(4) (可選)配置關鍵字組的描述信息。
description text
缺省情況下,未配置關鍵字組的描述信息。
(5) 配置審計關鍵字。
keyword keyword-value
缺省情況下,未配置審計關鍵字。
(1) 進入係統視圖。
system-view
(2) 進入應用審計與管理視圖。
uapp-control
(3) 複製應用審計與管理策略。
policy copy policy-name new-policy-name
(1) 進入係統視圖。
system-view
(2) 進入應用審計與管理視圖。
uapp-control
(3) 重命名應用審計與管理策略。
policy rename old-policy-name new-policy-name
(1) 進入係統視圖。
system-view
(2) 進入應用審計與管理視圖。
uapp-control
(3) 移動應用審計與管理策略的位置。
policy move policy-name1 { after | before } policy-name2
(1) 進入係統視圖。
system-view
(2) 進入應用審計與管理視圖。
uapp-control
(3) 進入應用審計與管理策略視圖。
policy name policy-name
(4) 禁用應用審計與管理策略。
disable
缺省情況下,應用審計與管理策略處於開啟狀態。
當應用審計與管理的策略和規則被創建、修改和刪除後,需要配置此功能使其策略和規則配置生效。
有關此功能的詳細介紹請參見“DPI深度安全配置指導”中的“應用層檢測引擎”。
配置此功能會暫時中斷DPI業務的處理,為避免重複配置此功能對DPI業務造成影響,請完成部署DPI各業務模塊的策略和規則後統一配置此功能。
(1) 進入係統視圖。
system-view
(2) 激活應用審計與管理的策略和規則配置。
inspect activate
缺省情況下,應用審計與管理的策略被創建、修改和刪除時不生效。
· 某公司內的各部門通過Device與Internet連接,該公司的工作時間為每周工作日的8點到18點。
· 通過配置應用審計與管理策略,對在上班時間登錄的QQ賬號均進行審計,並記錄日誌。
圖1-2 應用審計與管理策略審計賬號登錄配置組網圖
(1) 配置接口IP地址、路由、安全域及域間策略保證網絡可達,具體配置步驟略
(2) 配置時間段
# 創建名為work的時間段,其時間範圍為每周工作日的8點到18點。
<Device> system-view
[Device] time-range work 08:00 to 18:00 working-day
(3) 配置應用審計與管理策略
# 進入應用審計與管理視圖。
[Device] uapp-control
# 創建一個名稱為audit-qq的應用審計與管理策略,其類型為審計,並進入應用審計與管理策略視圖。
[Device-uapp-control] policy name audit-qq audit
# 配置應用審計與管理審計策略audit-qq過濾條件的源安全域為Trust。
[Device-uapp-control-policy-audit-qq] source-zone trust
# 配置應用審計與管理審計策略audit-qq過濾條件的目的安全域為Untrust。
[Device-uapp-control-policy-audit-qq] destination-zone untrust
# 配置應用審計與管理審計策略audit-qq的生效時間段為work。
[Device-uapp-control-policy-audit-qq] time-range work
# 配置審計規則,對在上班時間登錄的QQ賬號均進行審計允許登錄,並記錄日誌。
[Device-uapp-control-policy-audit-qq] rule 1 app QQ behavior Login bhcontent any keyword equal any action permit audit-logging
[Device-uapp-control-policy-audit-qq] quit
[Device-uapp-control] quit
(4) 激活應用審計與管理的策略和規則配置。
[Device] inspect activate
以上配置完成後,若內網主機上有QQ登錄,則設備會對QQ賬號登錄進行審計,並會有審計日誌信息輸出。
某公司內的各部門通過Device與Internet連接,通過配置應用審計與管理策略,當內網用戶使用微軟必應搜索查找的信息中包含“機密”或“恐怖襲擊”關鍵字時,拒絕此次搜索,並記錄日誌。
圖1-3 應用審計與管理策略審計敏感信息配置組網圖
(1) 配置接口IP地址、路由、安全域及域間策略保證網絡可達,具體配置步驟略
(2) 配置應用審計與管理策略
# 進入應用審計與管理視圖。
<Device> system-view
[Device] uapp-control
# 配置名稱為keyword-bing的關鍵字組,用於審計敏感信息。
[Device-uapp-control] keyword-group name keyword-bing
# 在關鍵字組keyword-bing中,添加關鍵字“機密”和“恐怖襲擊”。
[Device-uapp-control-keyword-group-keyword-bing] keyword 機密
[Device-uapp-control-keyword-group-keyword-bing] keyword 恐怖襲擊
[Device-uapp-control-keyword-group-keyword-bing] quit
# 創建一個名稱為audit-bing的應用審計與管理策略,其類型為審計,並進入應用審計與管理策略視圖。
[Device-uapp-control] policy name audit-bing audit
# 配置應用審計與管理審計策略audit-bing過濾條件的源安全域為Trust。
[Device-uapp-control-policy-audit-bing] source-zone trust
# 配置應用審計與管理審計策略audit-bing過濾條件的目的安全域為Untrust。
[Device-uapp-control-policy-audit-bing] destination-zone untrust
# 配置審計規則,當內網用戶使用微軟必應搜索查找的信息中包含“機密”或“恐怖襲擊”關鍵字時,拒絕此次搜索,並記錄日誌。
[Device-uapp-control-policy-audit-bing] rule 2 app Bing behavior Search bhcontent Keyword keyword include keyword-bing action deny audit-logging
[Device-uapp-control-policy-audit-bing] quit
[Device-uapp-control] quit
(3) 激活應用審計與管理的策略和規則配置。
[Device] inspect activate
以上配置完成後,當內網用戶使用微軟必應搜索查找的信息中包含“機密”或“恐怖襲擊”關鍵字時,此次搜索會沒有響應,並會有審計日誌信息輸出。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
