二.组网图
三.配置步骤
1.接口配置
配置GE0/0的IP地址为192.168.1.1/24,安全域为Trust;GE0/2的IP地址为192.168.103.171/22,安全域为Untrust。
2.NAT配置
在GE0/2接口上配置NAT 策略,选择ACL为3000,地址转换方式为“Easy IP”。
其中ACL3000的规则为允许源地址为192.168.1.0/24的报文通过。
3.路由配置
配置静态默认路由,其中的下一跳地址192.168.100.254为外网中的路由器与GE0/2在同一个网段的接口地址。
4.引流策略
配置将Trust和Untrust之间匹配ACL 3000的流量都引到段31上。
5.启用SNMP代理功能
[U200S] snmp-agent
[U200S] snmp-agent sys-info version all
[U200S] snmp-agent community read public
[U200S] snmp-agent community write private
6.进入“应用安全策略”界面
点击导航栏“IPS | AV | 应用控制 > 高级设置”,点击“应用安全策略”,进入深度 检测页面。
7.配置协议内容审计策略
(1)选择“协议内容审计 > 段策略管理”界面,将默认的协议内容审计策略Audit Policy应用到段31上。
(2)查看默认规则
(3)UTM配置通知动作Notify
选择“系统管理 > 动作管理 > 通知动作列表”界面,syslog主机的IP地址配置为SecCenter的IP地址,端口号为30514。
8.SecCenter添加UTM设备
选择“系统管理 > 设备管理 > 设备列表 > 添加设备”界面,“设备主机名或IP地址”为UTM的G0/2接口上的IP地址。如果UTM的系统时区为UTC,则“时间矫正”选择“以格林威治时钟处理”,输入设备标签,其他选项采用默认配置即可。
按照如上配置,SenCenter可以接收到UTM上报的协议内容审计日志,并进行分析和 审计(只以WEB访问为例)。
选择“行为审计 > 用户行为审计 > WEB应用审计”界面,查看WEB访问明细列表。
(1)WEB访问明细列表
(2)选择“行为审计 > 用户行为分析 > WEB网站综合分析”界面,查看网站排行和用户排行。
(3)用户排行
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作