15-H3C SecPath UTM系列协议内容审计典型配置举例.pdf

《15-H3C SecPath UTM系列协议内容审计典型配置举例.pdf》由会员分享，可在线阅读，更多相关《15-H3C SecPath UTM系列协议内容审计典型配置举例.pdf（9页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、i H3C SecPath UTM 系列协议内容审计典型配置举例 关键词：协议内容审计，关键词：协议内容审计，Syslog 摘摘 要：本文主要描述了要：本文主要描述了 UTM 设备的协议内容审计功能的典型配置方法。设备的协议内容审计功能的典型配置方法。缩略语：缩略语：缩略语 英文全名 中文解释 UTM Unified Threat Management 统一威胁管理 ii 目 录 1 特性简介.1 2 应用场合.1 3 注意事项.1 4 配置举例.1 4.1 组网需求.1 4.2 配置思路.2 4.3 使用版本.2 4.4 配置步骤.2 4.4.1 基本配置.2 4.4.2 主要配置步骤.3

2、4.5 验证结果.6 5 相关资料.7 5.1 其它相关资料.7 1 1 特性简介特性简介 UTM 协议内容审计主要包括如下几个协议的审计：?HTTP 协议的审计。审计的内容包括：用户访问的 URI 和 host 字段。?SMTP/POP3 协议审计。审计的内容包括：通过 SMTP/POP3 协议接受或者发送邮件的收件人、发件人、抄送人、暗送人和邮件标题。?FTP 协议审计。审计的内容包括：用户上传或者下载的文件名等信息。协议内容审计产生的日志支持输出到 syslog 主机。2 应用场合应用场合 需要对网络中用户的上网行为进行审计和分析，了解网络中的热点 WEB 网站、网站访问最频繁的用户、网

3、站访问量趋势等信息。3 注意事项注意事项 在配置过程中，请注意以下几点：?已经应用到段上的协议内容审计策略不能删除。?一个报文在一个段上只能匹配一条协议内容审计段策略。当一个段上应用了多个协议内容审计策略，则系统在对报文进行匹配时，会根据段策略中指定的 IP 地址范围的精确程度，越精确的（即 IP 地址范围越小的）段策略越优先匹配；当有多个段策略的 IP 地址范围精确程度相同时，则先配置的段策略优先匹配。?主要配置步骤中的配置是在“应用安全策略”界面进行的，在左侧导航栏中点击“IPS|AV|应用控制 高级设置”，点击“应用安全策略”链接就可以进入“应用安全策略”界面。4 配置举例配置举例 4.

4、1 组网需求 某公司的内网网段为 192.168.1.0/24。在 UTM 上配置协议内容审计策略，对该公司的用户（除 IP地址为 192.168.1.50 的主机外）通过 FTP、SMTP 和 POP3 协议进行访问的网络流量进行协议内容审计。同时配置将协议内容审计的日志发送到位于外网的 IP 地址为 192.168.96.11 的 syslog 主机上。2 图4-1 协议内容审计与 SecCenter 配合配置举例组网图 IP networkHost192.168.1.2/24UTMGE0/0192.168.1.1/24GE0/2192.168.103.171/22Syslog Serve

5、r192.168.96.11/22 4.2 配置思路?创建协议内容审计策略?配置协议内容审计规则?配置通知动作，使协议内容审计日志发送到目的 syslog 主机?应用策略到指定段上 4.3 使用版本 display version H3C Comware Platform Software Comware Software,Version 5.20,Beta 5112 Copyright(c)2004-2009 Hangzhou H3C Tech.Co.,Ltd.All rights reserved.H3C SecPath U200-S uptime is 0 week,3 days,22

6、hours,52 minutes CPU type:RMI XLS404 800MHz CPU 512M bytes DDR2 SDRAM Memory 32M bytes Flash Memory PCB Version:Ver.B Logic Version:2.0 Basic BootWare Version:1.21 Extend BootWare Version:1.21 FIXED PORT CON (Hardware)Ver.B,(Driver)1.0,(Cpld)2.0 FIXED PORT GE0/0 (Hardware)Ver.B,(Driver)1.0,(Cpld)2.0

7、 FIXED PORT GE0/1 (Hardware)Ver.B,(Driver)1.0,(Cpld)2.0 FIXED PORT GE0/2 (Hardware)Ver.B,(Driver)1.0,(Cpld)2.0 FIXED PORT GE0/3 (Hardware)Ver.B,(Driver)1.0,(Cpld)2.0 FIXED PORT GE0/4 (Hardware)Ver.B,(Driver)1.0,(Cpld)2.0 SUBCARD 1 The SubCard is not present 4.4 配置步骤 4.4.1 基本配置 1.接口配置 配置GE0/0的 IP 地址为

8、192.168.1.1/24，安全域为 Trust；GE0/2的 IP 地址为192.168.103.171/22，安全域为 Untrust。3 图4-2 接口配置 2.NAT 配置 在 GE0/2 接口上配置 NAT 策略，选择 ACL 为 3000，地址转换方式为“Easy IP”。图4-3 地址转换配置 其中 ACL3000 的规则为允许源地址为 192.168.1.0/24 的报文通过。图4-4 ACL 配置 3.路由信息 配置静态默认路由，其中的下一跳地址 192.168.100.254 为外网中的路由器与 GE0/2 在同一个网段的接口地址。图4-5 路由信息配置 4.引流策略 配

9、置将 Trust 和 Untrust 之间匹配 ACL 3000 的流量都引到段 31 上。图4-6 引流策略配置 4.4.2 主要配置步骤 创建协议内容审计策略 在左侧导航栏中点击“IPS|AV|应用控制 高级设置”，点击“应用安全策略”链接进入“应用安全策略”界面。选择“协议内容审计 策略管理”，进入协议内容审计策略的显示页面。4 图4-7 策略管理 单 击 按 钮，进 入 创 建 协 议 内 容 审 计 策 略 的 配 置 页 面，输 入 策 略 名 称 为“FTP+SMTP+POP3”，输入描述为“Audit policy for FTP+SMTP+POP3”，选择从指定策略拷贝规则为

10、“Audit Policy”，单击按钮完成操作。图4-8 创建策略 配置协议内容审计规则 完成策略配置后，页面跳转到“协议内容审计 规则管理”的页面，策略已默认选择为“FTP+SMTP+POP3”，进行如下配置：在规则列表中选中名称为“HTTP”的规则，单击按钮完成操作。图4-9 规则管理 配置通知动作 选择“系统管理 动作管理 通知动作列表”，单击 Notify 动作对应的图标。5 图4-10 通知动作列表 在 Notify 动作的修改页面进行如下配置：选中通知方式“输出到 syslog 主机”前的复选框。输入名称为“host1”。输入 IP 地址为“192.168.96.11”。输入端口号

11、为“514”。单击按钮将syslog 主机的配置添加到 syslog 主机列表框中。在 syslog 主机列表框中选中“host1”。单击按钮完成操作。图4-11 修改通知动作 应用协议内容审计策略到段上 选择“协议内容审计 段策略管理”，单击按钮。图4-12 段策略管理 在应用策略页面进行如下配置：选择要关联的段为“31”，选择策略为“FTP+SMTP+POP3”，选择方向为“双向”，在内部域 IP 地址列表中添加 IP 地址为“192.168.1.0/24”，在内部域例外IP 地址列表中添加 IP 地址为“192.168.1.50”，单击按钮完成操作。6 图4-13 应用策略 激活配置 完

12、成上述的配置后，页面跳转到段策略的显示页面。单击按钮，弹出确认对话框。在确认对话框中单击按钮后，将配置激活。图4-14 配置激活 4.5 验证结果?按照如上配置，用户登录位于外网的 IP 地址为 192.168.100.10 的 FTP 服务器，进行文件上传和下载的操作，在 syslog 主机上可以收到以下 FTP 协议内容审计日志：Thu Apr 09 15:06:24 2009:Apr 9 15:07:23 2009 H3C%11DATALOG/6/AUDIT(l):-DEV_TYPE=UTM-PN=210231A91NA08B000004data_type(1)=audit;log_ty

13、pe(2)=ftp audit;app_protocol_name(6)=(84020904)FTPControl;src_ip(22)=192.168.1.2;src_port(23)=2619;dst_ip(24)=192.168.100.10;dst_port(25)=21;ifname_in(16)=eth0/1;ifname_out(17)=eth0/1;user_name(93)=anonymous;ftp_cmd(91)=USER;Thu Apr 09 15:06:57 2009:Apr 9 15:07:57 2009 H3C%11DATALOG/6/AUDIT(l):-DEV_

14、TYPE=UTM-PN=210231A91NA08B000004data_type(1)=audit;log_type(2)=ftp audit;app_protocol_name(6)=(84020904)FTPControl;src_ip(22)=192.168.1.2;src_port(23)=2619;dst_ip(24)=192.168.100.10;dst_port(25)=21;ifname_in(16)=eth0/1;ifname_out(17)=eth0/1;ftp_cmd(91)=RETR;file_name(92)=rfc868.txt;7 Thu Apr 09 15:0

15、7:16 2009:Apr 9 15:08:15 2009 H3C%11DATALOG/6/AUDIT(l):-DEV_TYPE=UTM-PN=210231A91NA08B000004data_type(1)=audit;log_type(2)=ftp audit;app_protocol_name(6)=(84020904)FTPControl;src_ip(22)=192.168.1.2;src_port(23)=2619;dst_ip(24)=192.168.100.10;dst_port(25)=21;ifname_in(16)=eth0/1;ifname_out(17)=eth0/1

16、;ftp_cmd(91)=STOR;file_name(92)=notes.txt;?用户收发邮件的服务器为位于外网的 IP 地址为 192.168.100.240 邮件服务器，用户收发邮件时，在 syslog 主机上可以收到如下 SMTP 和 POP3 的协议内容审计日志：Thu Apr 09 15:12:29 2009:Apr 9 15:13:29 2009 H3C%11DATALOG/6/AUDIT(l):-DEV_TYPE=UTM-PN=210231A91NA08B000004data_type(1)=audit;log_type(2)=smtp audit;app_protocol_

17、name(6)=(84021328)SMTP;src_ip(22)=192.168.1.2;src_port(23)=2633;dst_ip(24)=192.168.100.240;dst_port(25)=25;ifname_in(16)=eth0/1;ifname_out(17)=eth0/1;from(94)=;to(95)=;cc(96)=;subject(98)=hello;Thu Apr 09 15:12:35 2009:Apr 9 15:13:34 2009 H3C%11DATALOG/6/AUDIT(l):-DEV_TYPE=UTM-PN=210231A91NA08B00000

18、4data_type(1)=audit;log_type(2)=pop3 audit;app_protocol_name(6)=(84020174)pop3(TCP);src_ip(22)=192.168.1.2;src_port(23)=110;dst_ip(24)=192.168.100.240;dst_port(25)=2634;ifname_in(16)=eth0/1;ifname_out(17)=eth0/1;from(94)=;to(95)=;cc(96)=;subject(98)=hello;?用户访问外网 WEB 服务器时，syslog 主机不会收到 HTTP 协议的内容审计日志，因为配置的策略中 HTTP 协议已经被禁止审计了。5 相关资料相关资料 5.1 其它相关资料 Web 配置手册 协议内容审计