《15-H3C SecPath UTM系列协议内容审计典型配置举例》由会员分享,可在线阅读,更多相关《15-H3C SecPath UTM系列协议内容审计典型配置举例(9页珍藏版)》请在金锄头文库上搜索。
1、i H3C SecPath UTM 系列协议内容审计典型配置举例 关键词:协议内容审计,关键词:协议内容审计,Syslog 摘摘 要:本文主要描述了要:本文主要描述了 UTM 设备的协议内容审计功能的典型配置方法。设备的协议内容审计功能的典型配置方法。 缩略语:缩略语: 缩略语 英文全名 中文解释 UTM Unified Threat Management 统一威胁管理 ii 目 录 1 特性简介. 1 2 应用场合. 1 3 注意事项. 1 4 配置举例. 1 4.1 组网需求. 1 4.2 配置思路. 2 4.3 使用版本. 2 4.4 配置步骤. 2 4.4.1 基本配置 . 2 4.4
2、.2 主要配置步骤.3 4.5 验证结果. 6 5 相关资料. 7 5.1 其它相关资料. 7 1 1 特性简介特性简介 UTM 协议内容审计主要包括如下几个协议的审计: ? HTTP 协议的审计。审计的内容包括:用户访问的 URI 和 host 字段。 ? SMTP/POP3 协议审计。审计的内容包括:通过 SMTP/POP3 协议接受或者发送邮件的收件人、发件人、抄送人、暗送人和邮件标题。 ? FTP 协议审计。审计的内容包括:用户上传或者下载的文件名等信息。 协议内容审计产生的日志支持输出到 syslog 主机。 2 应用场合应用场合 需要对网络中用户的上网行为进行审计和分析,了解网络中
3、的热点 WEB 网站、网站访问最频繁的用户、网站访问量趋势等信息。 3 注意事项注意事项 在配置过程中,请注意以下几点: ? 已经应用到段上的协议内容审计策略不能删除。 ? 一个报文在一个段上只能匹配一条协议内容审计段策略。当一个段上应用了多个协议内容审计策略,则系统在对报文进行匹配时,会根据段策略中指定的 IP 地址范围的精确程度,越精确的(即 IP 地址范围越小的)段策略越优先匹配;当有多个段策略的 IP 地址范围精确程度相同时,则先配置的段策略优先匹配。 ? 主要配置步骤中的配置是在“应用安全策略”界面进行的,在左侧导航栏中点击“IPS|AV|应用控制 高级设置”,点击“应用安全策略”链
4、接就可以进入“应用安全策略”界面。 4 配置举例配置举例 4.1 组网需求 某公司的内网网段为 192.168.1.0/24。在 UTM 上配置协议内容审计策略,对该公司的用户(除 IP地址为 192.168.1.50 的主机外)通过 FTP、SMTP 和 POP3 协议进行访问的网络流量进行协议内容审计。同时配置将协议内容审计的日志发送到位于外网的 IP 地址为 192.168.96.11 的 syslog 主机上。 2 图4-1 协议内容审计与 SecCenter 配合配置举例组网图 IP networkHost192 .168 .1.2/24UTMGE0/0192.168.1.1/24G
5、E0/2192.168.103.171/22Syslog Server192.168.96.11/22 4.2 配置思路 ? 创建协议内容审计策略 ? 配置协议内容审计规则 ? 配置通知动作,使协议内容审计日志发送到目的 syslog 主机 ? 应用策略到指定段上 4.3 使用版本 display version H3C Comware Platform Software Comware Software, Version 5.20, Beta 5112 Copyright (c) 2004-2009 Hangzhou H3C Tech. Co., Ltd. All rights reserv
6、ed. H3C SecPath U200-S uptime is 0 week, 3 days, 22 hours, 52 minutes CPU type: RMI XLS404 800MHz CPU 512M bytes DDR2 SDRAM Memory 32M bytes Flash Memory PCB Version:Ver.B Logic Version: 2.0 Basic BootWare Version: 1.21 Extend BootWare Version: 1.21 FIXED PORT CON (Hardware)Ver.B, (Driver)1.0, (Cpld
7、)2.0 FIXED PORT GE0/0 (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0 FIXED PORT GE0/1 (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0 FIXED PORT GE0/2 (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0 FIXED PORT GE0/3 (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0 FIXED PORT GE0/4 (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0 SUBCARD 1
8、The SubCard is not present 4.4 配置步骤 4.4.1 基本配置 1. 接口配置 配置GE0/0的 IP 地址为192.168.1.1/24, 安全域为 Trust; GE0/2的 IP 地址为192.168.103.171/22,安全域为 Untrust。 3 图4-2 接口配置 2. NAT 配置 在 GE0/2 接口上配置 NAT 策略,选择 ACL 为 3000,地址转换方式为“Easy IP”。 图4-3 地址转换配置 其中 ACL3000 的规则为允许源地址为 192.168.1.0/24 的报文通过。 图4-4 ACL 配置 3. 路由信息 配置静态默
9、认路由, 其中的下一跳地址 192.168.100.254 为外网中的路由器与 GE0/2 在同一个网段的接口地址。 图4-5 路由信息配置 4. 引流策略 配置将 Trust 和 Untrust 之间匹配 ACL 3000 的流量都引到段 31 上。 图4-6 引流策略配置 4.4.2 主要配置步骤 创建协议内容审计策略 在左侧导航栏中点击“IPS|AV|应用控制 高级设置”,点击“应用安全策略”链接进入“应用安全策略”界面。选择“协议内容审计 策略管理”,进入协议内容审计策略的显示页面。 4 图4-7 策略管理 单 击 按 钮 , 进 入 创 建 协 议 内 容 审 计 策 略 的 配 置
10、 页 面 , 输 入 策 略 名 称 为“FTP+SMTP+POP3”,输入描述为“Audit policy for FTP+SMTP+POP3”,选择从指定策略拷贝规则为“Audit Policy”,单击按钮完成操作。 图4-8 创建策略 配置协议内容审计规则 完成策略配置后,页面跳转到“协议内容审计 规则管理”的页面,策略已默认选择为“FTP+SMTP+POP3”,进行如下配置:在规则列表中选中名称为“HTTP”的规则,单击按钮完成操作。 图4-9 规则管理 配置通知动作 选择“系统管理 动作管理 通知动作列表”,单击 Notify 动作对应的图标。 5 图4-10 通知动作列表 在 No
11、tify 动作的修改页面进行如下配置:选中通知方式“输出到 syslog 主机”前的复选框。输入名称为“host1”。输入 IP 地址为“192.168.96.11”。输入端口号为“514”。单击按钮将syslog 主机的配置添加到 syslog 主机列表框中。在 syslog 主机列表框中选中“host1”。单击按钮完成操作。 图4-11 修改通知动作 应用协议内容审计策略到段上 选择“协议内容审计 段策略管理”,单击按钮。 图4-12 段策略管理 在应用策略页面进行如下配置:选择要关联的段为“31”,选择策略为“FTP+SMTP+POP3”,选择方向为“双向”,在内部域 IP 地址列表中添
12、加 IP 地址为“192.168.1.0/24”,在内部域例外IP 地址列表中添加 IP 地址为“192.168.1.50”,单击按钮完成操作。 6 图4-13 应用策略 激活配置 完成上述的配置后,页面跳转到段策略的显示页面。单击按钮,弹出确认对话框。在确认对话框中单击按钮后,将配置激活。 图4-14 配置激活 4.5 验证结果 ? 按照如上配置,用户登录位于外网的 IP 地址为 192.168.100.10 的 FTP 服务器,进行文件上传和下载的操作,在 syslog 主机上可以收到以下 FTP 协议内容审计日志: Thu Apr 09 15:06:24 2009: Apr 9 15:0
13、7:23 2009 H3C %11DATALOG/6/AUDIT(l):-DEV_TYPE=UTM-PN=210231A91NA08B000004data_type(1)=audit;log_type(2)=ftp audit;app_protocol_name(6)=(84020904)FTPControl;src_ip(22)=192.168.1.2;src_port(23)=2619;dst_ip(24)=192.168.100.10;dst_port(25)=21;ifname_in(16)=eth0/1;ifname_out(17)=eth0/1;user_name(93)=anon
14、ymous;ftp_cmd(91)=USER; Thu Apr 09 15:06:57 2009: Apr 9 15:07:57 2009 H3C %11DATALOG/6/AUDIT(l):-DEV_TYPE=UTM-PN=210231A91NA08B000004data_type(1)=audit;log_type(2)=ftp audit;app_protocol_name(6)=(84020904)FTPControl;src_ip(22)=192.168.1.2;src_port(23)=2619;dst_ip(24)=192.168.100.10;dst_port(25)=21;i
15、fname_in(16)=eth0/1;ifname_out(17)=eth0/1;ftp_cmd(91)=RETR;file_name(92)=rfc868.txt; 7 Thu Apr 09 15:07:16 2009: Apr 9 15:08:15 2009 H3C %11DATALOG/6/AUDIT(l):-DEV_TYPE=UTM-PN=210231A91NA08B000004data_type(1)=audit;log_type(2)=ftp audit;app_protocol_name(6)=(84020904)FTPControl;src_ip(22)=192.168.1.
16、2;src_port(23)=2619;dst_ip(24)=192.168.100.10;dst_port(25)=21;ifname_in(16)=eth0/1;ifname_out(17)=eth0/1;ftp_cmd(91)=STOR;file_name(92)=notes.txt; ? 用户收发邮件的服务器为位于外网的 IP 地址为 192.168.100.240 邮件服务器,用户收发邮件时,在 syslog 主机上可以收到如下 SMTP 和 POP3 的协议内容审计日志: Thu Apr 09 15:12:29 2009: Apr 9 15:13:29 2009 H3C %11DA
17、TALOG/6/AUDIT(l):-DEV_TYPE=UTM-PN=210231A91NA08B000004data_type(1)=audit;log_type(2)=smtp audit;app_protocol_name(6)=(84021328)SMTP;src_ip(22)=192.168.1.2;src_port(23)=2633;dst_ip(24)=192.168.100.240;dst_port(25)=25;ifname_in(16)=eth0/1;ifname_out(17)=eth0/1;from(94)=;to(95)=;cc(96)=;subject(98)=hel
18、lo; Thu Apr 09 15:12:35 2009: Apr 9 15:13:34 2009 H3C %11DATALOG/6/AUDIT(l):-DEV_TYPE=UTM-PN=210231A91NA08B000004data_type(1)=audit;log_type(2)=pop3 audit;app_protocol_name(6)=(84020174)pop3(TCP);src_ip(22)=192.168.1.2;src_port(23)=110;dst_ip(24)=192.168.100.240;dst_port(25)=2634;ifname_in(16)=eth0/1;ifname_out(17)=eth0/1;from(94)=;to(95)=;cc(96)=;subject(98)=hello; ? 用户访问外网 WEB 服务器时,syslog 主机不会收到 HTTP 协议的内容审计日志,因为配置的策略中 HTTP 协议已经被禁止审计了。 5 相关资料相关资料 5.1 其它相关资料 Web 配置手册 协议内容审计
