15-H3C SecPath UTM系列协议内容审计典型配置举例

H3C SecPath UTM系列协议内容审计典型配置举例关键词：协议内容审计，Syslog

摘要：本文主要描述了UTM设备的协议内容审计功能的典型配置方法。

缩略语：

缩略语英文全名中文解释UTM Unified Threat Management 统一威胁管理

目录

1 特性简介 (1)

2 应用场合 (1)

3 注意事项 (1)

4 配置举例 (1)

4.1 组网需求 (1)

4.2 配置思路 (2)

4.3 使用版本 (2)

4.4 配置步骤 (2)

4.4.1 基本配置 (2)

4.4.2 主要配置步骤 (3)

4.5 验证结果 (6)

5 相关资料 (7)

5.1 其它相关资料 (7)

1 特性简介

UTM协议内容审计主要包括如下几个协议的审计：

z HTTP协议的审计。审计的内容包括：用户访问的URI和host字段。

z SMTP/POP3协议审计。审计的内容包括：通过SMTP/POP3协议接受或者发送邮件的收件人、发件人、抄送人、暗送人和邮件标题。

z FTP协议审计。审计的内容包括：用户上传或者下载的文件名等信息。

协议内容审计产生的日志支持输出到syslog主机。

2 应用场合

需要对网络中用户的上网行为进行审计和分析，了解网络中的热点WEB网站、网站访问最频繁的用户、网站访问量趋势等信息。

3 注意事项

在配置过程中，请注意以下几点：

z已经应用到段上的协议内容审计策略不能删除。

z一个报文在一个段上只能匹配一条协议内容审计段策略。当一个段上应用了多个协议内容审计策略，则系统在对报文进行匹配时，会根据段策略中指定的IP地址范围的精确程度，越精

确的（即IP地址范围越小的）段策略越优先匹配；当有多个段策略的IP地址范围精确程度相

同时，则先配置的段策略优先匹配。

z主要配置步骤中的配置是在“应用安全策略”界面进行的，在左侧导航栏中点击“IPS|AV|应用控制 > 高级设置”，点击“应用安全策略”链接就可以进入“应用安全策略”界面。

4 配置举例

4.1 组网需求

某公司的内网网段为192.168.1.0/24。在UTM上配置协议内容审计策略，对该公司的用户（除IP 地址为192.168.1.50的主机外）通过FTP、SMTP和POP3协议进行访问的网络流量进行协议内容审计。同时配置将协议内容审计的日志发送到位于外网的IP地址为192.168.96.11的syslog主机上。

图4-1协议内容审计与SecCenter配合配置举例组网图

192.168.1.2/24192.168.96.11/22

4.2 配置思路

z创建协议内容审计策略

z配置协议内容审计规则

z配置通知动作，使协议内容审计日志发送到目的syslog主机

z应用策略到指定段上

4.3 使用版本

display version

H3C Comware Platform Software

Comware Software, Version 5.20, Beta 5112

Copyright (c) 2004-2009 Hangzhou H3C Tech. Co., Ltd. All rights reserved.

H3C SecPath U200-S uptime is 0 week, 3 days, 22 hours, 52 minutes

CPU type: RMI XLS404 800MHz CPU

512M bytes DDR2 SDRAM Memory

32M bytes Flash Memory

PCB Version:Ver.B

Logic Version: 2.0

Basic BootWare Version: 1.21

Extend BootWare Version: 1.21

[FIXED PORT] CON (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0

[FIXED PORT] GE0/0 (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0

[FIXED PORT] GE0/1 (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0

[FIXED PORT] GE0/2 (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0

[FIXED PORT] GE0/3 (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0

[FIXED PORT] GE0/4 (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0

[SUBCARD 1] The SubCard is not present

4.4 配置步骤

4.4.1 基本配置

1. 接口配置

配置GE0/0的IP地址为192.168.1.1/24，安全域为Trust；GE0/2的IP地址为192.168.103.171/22，安全域为Untrust。

图4-2接口配置

2. NAT配置

在GE0/2接口上配置NAT 策略，选择ACL为3000，地址转换方式为“Easy IP”。

图4-3地址转换配置

其中ACL3000的规则为允许源地址为192.168.1.0/24的报文通过。

图4-4ACL配置

3. 路由信息

配置静态默认路由，其中的下一跳地址192.168.100.254为外网中的路由器与GE0/2在同一个网段的接口地址。

图4-5路由信息配置

4. 引流策略

配置将Trust和Untrust之间匹配ACL 3000的流量都引到段31上。

图4-6引流策略配置

4.4.2 主要配置步骤

创建协议内容审计策略

在左侧导航栏中点击“IPS|AV|应用控制 > 高级设置”，点击“应用安全策略”链接进入“应用安全策略”界面。选择“协议内容审计 > 策略管理”，进入协议内容审计策略的显示页面。

图4-7策略管理

单击<创建策略>按钮，进入创建协议内容审计策略的配置页面，输入策略名称为“FTP+SMTP+POP3”，输入描述为“Audit policy for FTP+SMTP+POP3”，选择从指定策略拷贝规则为“Audit Policy”，单击<确定>按钮完成操作。

图4-8创建策略

配置协议内容审计规则

完成策略配置后，页面跳转到“协议内容审计 > 规则管理”的页面，策略已默认选择为“FTP+SMTP+POP3”，进行如下配置：在规则列表中选中名称为“HTTP”的规则，单击<禁止规则>按钮完成操作。

图4-9规则管理

配置通知动作

选择“系统管理 > 动作管理 > 通知动作列表”，单击Notify动作对应的图标。

图4-10通知动作列表

在Notify动作的修改页面进行如下配置：选中通知方式“输出到syslog主机”前的复选框。输入名称为“host1”。输入IP地址为“192.168.96.11”。输入端口号为“514”。单击< 增加>按钮将syslog主机的配置添加到syslog主机列表框中。在syslog主机列表框中选中“host1”。单击< 确定>按钮完成操作。

图4-11修改通知动作

应用协议内容审计策略到段上

选择“协议内容审计 > 段策略管理”，单击< 新建段策略>按钮。

图4-12段策略管理

在应用策略页面进行如下配置：选择要关联的段为“31”，选择策略为“FTP+SMTP+POP3”，选择方向为“双向”，在内部域IP地址列表中添加IP地址为“192.168.1.0/24”，在内部域例外IP地址列表中添加IP地址为“192.168.1.50”，单击< 确定>按钮完成操作。

图4-13应用策略

激活配置

完成上述的配置后，页面跳转到段策略的显示页面。单击< 激活>按钮，弹出确认对话框。在确认

对话框中单击< 确定>按钮后，将配置激活。

图4-14配置激活

4.5 验证结果

z按照如上配置，用户登录位于外网的IP地址为192.168.100.10的FTP服务器，进行文件上传和下载的操作，在syslog主机上可以收到以下FTP协议内容审计日志：

Thu Apr 09 15:06:24 2009: <102>Apr 9 15:07:23 2009 H3C %%11DATALOG/6/AUDIT(l):-DEV_TYPE=UTM-PN=210231A91NA08B000004data_type(1)=au

dit;log_type(2)=ftp

audit;app_protocol_name(6)=(84020904)FTPControl;src_ip(22)=192.168.1.2;src_port(23)=2619;

dst_ip(24)=192.168.100.10;dst_port(25)=21;ifname_in(16)=eth0/1;ifname_out(17)=eth0/1;user_n

ame(93)=anonymous;ftp_cmd(91)=USER;

Thu Apr 09 15:06:57 2009: <102>Apr 9 15:07:57 2009 H3C %%11DATALOG/6/AUDIT(l):-DEV_TYPE=UTM-PN=210231A91NA08B000004data_type(1)=au

dit;log_type(2)=ftp

audit;app_protocol_name(6)=(84020904)FTPControl;src_ip(22)=192.168.1.2;src_port(23)=2619;

dst_ip(24)=192.168.100.10;dst_port(25)=21;ifname_in(16)=eth0/1;ifname_out(17)=eth0/1;ftp_cm

d(91)=RETR;file_name(92)=rfc868.txt;

Thu Apr 09 15:07:16 2009: <102>Apr 9 15:08:15 2009 H3C %%11DATALOG/6/AUDIT(l):-DEV_TYPE=UTM-PN=210231A91NA08B000004data_type(1)=au

dit;log_type(2)=ftp

audit;app_protocol_name(6)=(84020904)FTPControl;src_ip(22)=192.168.1.2;src_port(23)=2619;

dst_ip(24)=192.168.100.10;dst_port(25)=21;ifname_in(16)=eth0/1;ifname_out(17)=eth0/1;ftp_cm

d(91)=STOR;file_name(92)=notes.txt;

z用户收发邮件的服务器为位于外网的IP地址为192.168.100.240邮件服务器，用户收发邮件时，在syslog主机上可以收到如下SMTP和POP3的协议内容审计日志：

Thu Apr 09 15:12:29 2009: <102>Apr 9 15:13:29 2009 H3C %%11DATALOG/6/AUDIT(l):-DEV_TYPE=UTM-PN=210231A91NA08B000004data_type(1)=au

dit;log_type(2)=smtp

audit;app_protocol_name(6)=(84021328)SMTP;src_ip(22)=192.168.1.2;src_port(23)=2633;dst_i

p(24)=192.168.100.240;dst_port(25)=25;ifname_in(16)=eth0/1;ifname_out(17)=eth0/1;from(94)=t

om@https://www.360docs.net/doc/5317218819.html,;to(95)=jack@https://www.360docs.net/doc/5317218819.html,;cc(96)=tom@https://www.360docs.net/doc/5317218819.html,;subject(98)=hello;

Thu Apr 09 15:12:35 2009: <102>Apr 9 15:13:34 2009 H3C %%11DATALOG/6/AUDIT(l):-DEV_TYPE=UTM-PN=210231A91NA08B000004data_type(1)=au

dit;log_type(2)=pop3

audit;app_protocol_name(6)=(84020174)pop3(TCP);src_ip(22)=192.168.1.2;src_port(23)=110;d

st_ip(24)=192.168.100.240;dst_port(25)=2634;ifname_in(16)=eth0/1;ifname_out(17)=eth0/1;from

(94)=tom@https://www.360docs.net/doc/5317218819.html,;to(95)=jack@https://www.360docs.net/doc/5317218819.html,;cc(96)=tom@https://www.360docs.net/doc/5317218819.html,;subject(98)=hello;

z用户访问外网WEB服务器时，syslog主机不会收到HTTP协议的内容审计日志，因为配置的策略中HTTP协议已经被禁止审计了。

5 相关资料

5.1 其它相关资料

《Web配置手册协议内容审计》