- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
17-應用審計
本章節下載: 17-應用審計 (434.39 KB)
本幫助主要介紹以下內容:
· 特性簡介
○ 基本概念
○ 報文審計流程
○ 審計策略
○ 過濾條件
○ 審計規則
· 配置指南
○ 配置關鍵字組
○ 配置審計策略
|
|
本特性會解析出用戶報文中的敏感信息和私密信息,請保證將本特性僅用於合法用途。 |
應用審計是在APR(Application Recognition,應用層協議識別)的基礎上進一步識別出應用的具體行為和行為內容,據此對用戶的上網行為進行審計和記錄。
各種應用和軟件在使用過程中會表現不同的行為特征,比如IM聊天軟件的登錄、發消息;FTP的上傳文件、下載文件等。
行為內容是指某一行為的具體內容,比如IM聊天軟件登錄的行為內容是賬號信息,FTP上傳文件的行為內容是文件名信息等。行為內容的匹配方式包括兩種:字符串和數字。
圖-1 報文審計流程圖
不同類型的審計策略能對符合過濾條件的報文進行差異化處理。
審計策略分為如下三種類型:
· 審計策略:對匹配策略中所有過濾條件的報文進行審計。
· 免審計策略:對匹配策略中所有過濾條件的報文進行免審計。
· 阻斷策略:對匹配策略中所有過濾條件的報文進行阻斷。
設備上可以存在多個審計策略,報文按照策略的配置順序進行匹配,一旦與某個策略匹配成功便結束匹配過程。若報文未與任何策略匹配成功,則設備將根據審計策略的缺省動作對報文進行處理。
審計策略的配置順序可在“審計策略”頁麵查看,配置順序與策略的創建順序有關,先創建的策略優先進行匹配,也可以通過移動策略的位置來調整策略的配置順序。根據以上審計策略的匹配原理,為使設備上部署的審計策略對流經設備的報文能夠達到更好、更精準的審計效果,需要在配置審計策略時遵循“深度優先”的原則,即先配置審計範圍小的,再配置審計範圍大的。
審計策略中可以配置多種過濾條件,具體包括:源安全域、目的安全域、源IP地址、目的IP地址、服務、用戶、應用和生效時間段。策略被匹配成功的條件是:策略中已配置的過濾條件均被匹配成功。
每種過濾條件中也可以配置多個匹配項,比如一個源IP地址中可以指定多個地址對象組等。每種過濾條件被匹配成功的條件是:過濾條件的任何一個匹配項被匹配成功即可。
在審計類型的審計策略中可以配置一係列的審計規則對某一應用的具體行為和行為內容進行精細化審計,並輸出審計信息。
審計規則的匹配模式分為順序匹配和全匹配兩種,不同模式下審計規則的匹配原則如下:
· 順序匹配:按照審計規則ID從小到大的順序進行匹配,一旦報文與某條審計規則匹配成功便結束此匹配過程,並根據該審計規則中的動作對此報文進行相應處理。
· 全匹配:按照審計規則ID從小到大的順序進行匹配,若報文與某條動作為允許的規則匹配成功,則繼續匹配後續規則直到最後一條;若報文與某條動作為阻斷的規則匹配成功,則不再進行後續規則的匹配。設備將根據所有匹配成功的審計規則中優先級最高的動作(阻斷的優先級高於允許)對此報文進行處理。
若報文未與任何審計規則匹配成功,則根據審計規則的缺省動作對此報文進行處理。
審計規則中同時支持配置郵件保護功能。設備可對接收到的郵件進行檢測,並基於收件人進行統計,保護收件人不受到郵件攻擊,具體功能如下:
· 限製郵件發送功能:用於限製用戶向其他域名郵箱地址發送郵件。例如,郵箱地址為user1@abc.com的用戶不能接收來自user2@123.com地址的郵件。
· 郵件炸彈攻擊防禦功能:用於防禦收件人在短時間內收到同一發件人的大量郵件。
· 審計策略變更後(包括新建、編輯、刪除、啟用和禁用),需要激活才能生效。如需立即激活,請單擊<提交>按鈕。否則,設備默認40秒後自動激活。激活會暫時中斷DPI業務的處理,可能導致其他基於DPI功能的業務同時出現中斷。例如,安全策略無法對應用進行訪問控製等。
· 本功能的支持情況與設備型號有關,請以設備實際情況為準。
應用審計功能的配置思路如下圖所示:
圖-2 應用審計配置指導圖
在配置應用審計功能之前,需要先配置安全策略使流量可在設備上通過。有關安全策略的相關介紹請參見“安全策略聯機幫助”。
配置關鍵字組具體步驟如下:
1. 在應用審計的“關鍵字組”頁麵,單擊<新建>按鈕,進入“新建關鍵字組”頁麵。
2. 新建關鍵字組,具體配置內容如下表所示:
表-1 關鍵字組配置參數表
|
參數 |
說明 |
|
名稱 |
關鍵字組的名稱 |
|
描述 |
通過合理編寫描述信息,便於管理員快速理解和識別本關鍵字組 |
|
關鍵字 |
配置需要審計的關鍵字信息,多個關鍵字之間用回車分隔 |
3. 在“新建關鍵字組“頁麵,單擊<確定>按鈕,新建關鍵字組成功,並會在“關鍵字組”頁麵中顯示。
配置審計策略的具體步驟如下:
1. 在應用審計的“審計策略”頁麵,單擊<新建>按鈕,進入“新建審計策略”頁麵。
2. 新建審計策略,具體配置內容如下表所示:
表-2 審計策略配置參數表
|
參數 |
說明 |
|
名稱 |
配置審計策略的名稱 |
|
類型 |
根據對報文審計需求選擇對應的策略類型,類型包括審計、免審計和阻斷 |
|
啟用 |
選擇開啟後,此審計策略才能生效 |
|
源安全域 |
配置源安全域作為審計策略的過濾條件 |
|
目的安全域 |
配置目的安全域作為審計策略的過濾條件 |
|
源IP地址 |
配置源IP地址作為審計策略的過濾條件 |
|
目的IP地址 |
配置目的IP地址作為審計策略的過濾條件 |
|
服務 |
配置服務作為審計策略的過濾條件 |
|
用戶 |
配置身份識別用戶作為審計策略的過濾條件 |
|
應用 |
配置應用或應用組作為審計策略的過濾條件 |
|
時間段 |
配置審計策略生效的時間段 |
|
審計規則 |
配置審計規則對某一應用的具體行為和行為內容進行精細化審計,此項僅審計類型的策略可配 |
|
規則ID |
審計規則的ID |
|
應用 |
表示對指定的應用進行審計 |
|
行為 |
表示對應用的具體行為進行審計 |
|
行為內容 |
表示對行為的具體內容進行審計 |
|
匹配類型 |
表示行為內容的類型,包括如下取值: · 關鍵字:行為內容為字符串 · 數字:行為內容為數字 |
|
匹配關鍵字 |
表示審計規則與行為內容見的匹配方式,取值包括: · 關鍵字類型行為內容:包含、不包含、等於和不等於 · 數字類型行為內容:大於、小於、等於、大於等於、小於等於和不等於 |
|
郵件保護 |
表示郵件保護功能,包括限製郵件發送和防禦郵件炸彈 |
|
限製郵件發送 |
開啟本功能後,設備將限製用戶向其他域名郵箱地址發送郵件 |
|
防禦郵件炸彈 |
開啟本功能後,設備防禦收件人在短時間內收到同一發件人的大量郵件。需要配置的參數如下: · 檢測時間:表示郵件炸彈攻擊的檢測時長 · 郵件數量:表示檢測時長內,同一收件人允許接收到的郵件數量的最大值 |
|
動作 |
表示對與審計規則匹配成功的報文執行的動作,取值包括允許和阻斷 |
|
日誌 |
表示是否記錄日誌 |
3. 在“新建審計策略“頁麵,單擊<確定>按鈕,新建審計策略成功,並會在“審計策略”頁麵中顯示。
4. 新建審計策略後,需要激活才能生效。如需立即激活,請單擊<提交>按鈕。否則,設備默認40秒後自動激活。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
