SecPath UTM协议内容审计的典型配置

SecPath UTM协议内容审计的典型配置

一．用户需求

某公司的内网网段为192.168.1.0/24。UTM上配置协议内容审计策略，对该公司的用户通过UTM访问外网的网络流量进行协议内容审计。同时配置将协议内容审计的日志发送到位于公网的IP地址为192.168.96.11的SecCenter上进行详细的分析和审计。

二．组网图

三．配置步骤

1.接口配置

配置GE0/0的IP地址为192.168.1.1/24，安全域为Trust；GE0/2的IP地址为192.168.103.171/22，安全域为Untrust。

2.NAT配置

在GE0/2接口上配置NAT 策略，选择ACL为3000，地址转换方式为“Easy IP”。

其中ACL3000的规则为允许源地址为192.168.1.0/24的报文通过。

3.路由配置

配置静态默认路由，其中的下一跳地址192.168.100.254为外网中的路由器与GE0/2在同一个网段的接口地址。

4.引流策略

配置将Trust和Untrust之间匹配ACL 3000的流量都引到段31上。

5.启用SNMP代理功能

[U200S] snmp-agent

[U200S] snmp-agent sys-info version all

[U200S] snmp-agent community read public

[U200S] snmp-agent community write private

6.进入“应用安全策略”界面

点击导航栏“IPS | AV | 应用控制 > 高级设置”，点击“应用安全策略”，进入深度 检测页面。

7.配置协议内容审计策略

（1）选择“协议内容审计 > 段策略管理”界面，将默认的协议内容审计策略Audit Policy应用到段31上。

（2）查看默认规则

（3）UTM配置通知动作Notify

选择“系统管理 > 动作管理 > 通知动作列表”界面，syslog主机的IP地址配置为SecCenter的IP地址，端口号为30514。

8.SecCenter添加UTM设备

选择“系统管理 > 设备管理 > 设备列表 > 添加设备”界面，“设备主机名或IP地址”为UTM的G0/2接口上的IP地址。如果UTM的系统时区为UTC，则“时间矫正”选择“以格林威治时钟处理”，输入设备标签，其他选项采用默认配置即可。

四．验证结果

按照如上配置，SenCenter可以接收到UTM上报的协议内容审计日志，并进行分析和 审计（只以WEB访问为例）。

选择“行为审计 > 用户行为审计 > WEB应用审计”界面，查看WEB访问明细列表。

（1）WEB访问明细列表

（2）选择“行为审计 > 用户行为分析 > WEB网站综合分析”界面，查看网站排行和用户排行。

（3）用户排行