就是上网行为的限制

行为管理一般是通过审计/控制策略实现，具体可根据设备版本进行设置，参考如下：

https://www.h3c.com/cn/d_202104/1406565_30005_0.htm

您好，请知：

可以通过审计控制策略来实现，以下是配置举例:

4  审计策略配置举例

4.1  组网需求

如图1所示，某公司内网存在研发部和产品部，IP地址分别为10.1.1.0/24和10.1.2.0/24。使用设备的的ge1和ge4接口跑三层转发，串接部署在核心交换机和出口路由器之间，启用行为审计功能，具体应用需求如下：

·     针对研发部，审计HTTP类行为、邮件类行为，其它应用行为不进行审计。

·     针对产品部，审计所有上网应用行为。

图1 审计功能配置组网图

4.2  配置思路

·     根据源IP地址不同，配置两条审计策略分别对研发部和产品部进行审计。

·     在审计策略审计对象页面上，根据需求配置审计策略。

·     在用户管理高级选项全局配置页面上，配置具体用户识别访问。

·     在解密策略上配置网页及邮件类解密策略。

·     当需要将审计日志发送至外部日志服务器时，需要注意审计日志中配置的日志级别需要高于日志过滤中配置的发送级别。

4.3  使用版本

本举例是在R6612版本上进行配置和验证的。

4.4  配置注意事项

·     一般情况下，目前应用都是应用行为进行审计，如果是HTTPS访问的应用，则需要优先配置HTTPS解密策略，优先进行解密才能进一步进行审计。HTTPS解密策略的配置请参考“解密策略典型配置举例”。

·     审计策略匹配是由上至下进行匹配，策略匹配到之后将不会往下继续匹配。

4.5  配置步骤

4.5.1  配置设备

1. 配置地址对象

如图2所示，进入“策略配置>对象管理>地址对象>IPv4地址对象”，点击<新建>，IP地址配置为10.1.1.0/24，创建研发部地址对象，点击<提交>。按照同样的方法配置产品部地址对象。

图2 配置地址对象

如图3所示，创建成功的地址对象配置如下：

图3 地址对象配置成功

2. 配置研发部审计策略

(1)     配置研发部审计策略

如图4所示，进入“策略配置>审计策略”，点击<新建>，“源地址”配置为研发部，然后点击“审计对象”页面。

图4 配置研发部审计策略

(2)     配置研发部审计对象

如图5所示，在审计策略页面的“审计对象”页面，勾选“HTTP类审计”和“邮件类审计”对象，其它配置保持默认，点击<提交>。

图5 配置HTTP类审计对象

如图6所示，在“审计策略”页面中查看，研发部审计策略配置完成。

图6 研发部审计策略配置完成

3. 配置产品部审计策略

(1)     配置产品部IPv4策略

如图7所示，进入“策略配置>审计策略”，点击<新建>，选择源地址为产品部，然后点击“审计对象”页面。

图7 配置产品部审计策略

(2)     配置产品部全部应用审计策略

如图8所示，在审计策略配置页面 “审计对象”中，勾选所有类审计对象，其它配置保持默认，并点击<提交>。

图8 配置所有审计对象

如图9所示，创建成功的产品部审计策略配置如下，点击<提交>完成配置。

图9 产品部审计策略配置成功

4. 配置用户识别范围

(1)     配置地址对象组

如图10所示，进入“策略配置>对象管理>地址对象>地址组对象”，点击<新建>，配置一个地址对象组，将配置的研发部和产品部都选上，点击<提交>。

图10 地址组对象配置

如图11所示，在地址组对象页面查看，创建地址组对象完成。

图11 地址组对象配置完成

(2)     配置用户识别范围

如图12所示，进入“用户管理>认证管理>高级选项>全局配置”，识别范围选择地址组对象配置的内网用户，识别方式选择强制模式，点击<提交>按钮，用户识别配置完成。

图12 用户识别配置完成

5. 配置HTTP解密策略

(1)     配置HTTPS对象

如图13所示，进入“策略配置>对象管理>URL对象>HTTPS对象”，点击<新建>按钮，新建一条HTTPS对象，根据需求选择预定义对象和配置自定义https对象。

图13 新建HTTPS对象

如图14所示，HTTPS对象配置完成之后，点击<提交>按钮，HTTPS对象配置完成。

图14 HTTPS对象配置完成

(2)     生成CA证书

如图15所示，进入“策略配置>对象管理>CA服务器>根CA配置管理”，点击<生成CA根证书>。

图15 生成CA根证书

如图16所示，在生成CA证书以后，导出证书。.

图16 导出CA证书

(3)     导入本地证书

如图17所示，进入“策略配置>对象管理>本地证书>证书>本地证书”，点击<导入>，选择之前生成的CA证书。

图17 导入证书

如图18所示，导入成功的证书如下：

图18 导入证书成功

(4)     配置解密策略

如图19所示，进入“策略配置>策略配置>SSL解密策略”，点击<新建>按钮，配置一条HTTPS解密策略，根据需求配置指定的源目地址，解密类型选择https解密，解密 对象选择步骤1上配置的https对象，点击<提交>按钮。

图19 HTTPS解密策略配置

如图20所示，点击<提交>按钮之后，https解密策略配置完成。

图20 HTTPS解密策略配置完成

如图21所示，按步骤2的方法再配置一条邮件解密策略，解密类型选择邮箱解密，配置完成如下图所示。

图21 HTTPS邮箱解密配置完成

4.6  验证配置

(1)     验证研发部审计策略效果

如图22所示，进入“数据中心>日志中心>审计日志>访问网站日志”，查看已经审计到研发部（IP地址为10.1.1.0/24）用户的网页浏览日志行为，并正确地记录了日志。

图22 查看研发部访问网站日志

如图23所示，进入“数据中心>日志中心>审计日志>社区日志”查看，查看已经审计到研发部（IP地址为10.1.1.0/24）用户的网络社区登录发帖内容，并正确地记录了日志。

图23 查看研发部网络社区日志

如图24所示，进入“数据中心>日志中心>审计日志>搜索引擎日志”，查看已经审计到研发部（IP地址为10.1.1.0/24）用户的网页搜索关键字日志行为，并正确地记录了日志。

图24 查询研发部搜索引擎审计日志

如图25所示，进入“数据中心>日志中心>审计日志>邮件日志”，查看已经审计到研发部（IP地址为10.1.1.0/24）用户的收发邮件日志行为，并正确地记录了日志。

图25 研发部收发邮件日志

如图26所示，进入“数据中心>日志中心>审计日志>文件传输日志”，查看已经审计到研发部（IP地址为10.1.1.0/24）用户的web网盘上传下载文件以及http文件上传下载行为，并正确地记录了日志。

图26 研发部网盘上传下载日志

(2)     验证产品部审计策略效果

如图27所示，进入“数据中心>日志中心>审计日志>IM聊天软件日志”，点击页面左上角的<查询>，可以看到产品部已经被正确记录了即时通讯日志，而研发部并没有记录除了HTTP类、邮件类以外的其它应用日志。

图27 产品部IM聊天软件日志

行为管理主要是针对人员，按照七层匹配来限制