H3C的ACG(应用控制网关)设备可以对微信、QQ的文件传输行为进行审计与控制,但无法直接审计或记录到文件的具体内容。这主要是因为主流即时通讯软件的文件传输普遍采用了端到端加密,这是由技术限制决定的。
能做什么,不能做什么?
可以做到的:
精确行为审计:识别并记录微信的“登录”、“发消息”、“发文件/图片”等具体动作。
精细化行为控制:根据动作进行管控,比如“允许登录聊天,但禁止发送文件”,或“禁止发送文件,但允许接收文件”。
做不到的:
无法审计文件内容:受加密协议限制,无法查看或记录传输文件的具体内容(如文件名、文件内容)。
无法单独限制方向:对于QQ文件传输,因早期型号无法区分方向,限制“发文件”时必须同时限制“收文件”。
配置与优化步骤
为确保能精细控制微信/QQ,需确保特征库最新并正确配置策略。
步骤一:更新应用识别特征库
获取授权:确认已购买并激活ACG的特征库升级License。
自动更新:设备连网后,通常在“系统管理” > “升级中心”开启自动更新。
手动更新:若无法自动更新,需登录官网下载对应型号的
.dat特征库文件,然后通过“系统管理” > “升级中心”的“手动升级”上传。验证成功:通过
display application-identification feature命令检查特征库版本是否更新。
步骤二:配置应用审计与过滤策略
登录WEB界面,进入“策略配置” > “IPv4控制策略”(或类似路径)。
点击“新建”,针对需要管控的用户/IP范围创建策略。
在策略的“应用过滤”选项卡中:
搜索并添加“微信”应用。展开后勾选需要控制的动作,如 “微信-文件传输” 。
对QQ的处理:若固件版本较老,请同时添加“QQ-文件发送”和“QQ-文件接收”进行限制。较新版本则可能只需选择“QQ-文件传输”。
根据需要,选择动作 “允许” (记录但放行)或 “拒绝” (直接阻断)。
配置应用审计:在策略中开启“应用审计”功能,勾选需要记录的微信/QQ相关动作。
步骤三:验证策略是否生效
确认策略匹配:在“数据中心” > “日志中心” > “应用控制日志”中查看是否有匹配记录。
客户端实际测试:用测试客户端尝试操作,确认策略效果。
检查策略顺序:确保新建的策略未被排在前面且动作是“允许”的宽泛策略所覆盖。
前置准备
确认已激活应用识别、内容安全授权,先备份配置,升级应用特征库、文件特征库到最新版:
update schedule app-signature daily
update schedule file-signature daily
需确保业务全量流量经过ACG(串接或镜像引流都需覆盖上下行流量)。
核心配置
1. 开启应用识别:
app-profile wx_qq_recog
rule permit app 微信 QQ 微信文件传输 QQ文件传输
业务接口下调用
interface GigabitEthernet 1/0/1
app-profile apply wx_qq_recog inbound
app-profile apply wx_qq_recog outbound
2. 配置文件审计/管控:
content-aware enable
content-policy file_control
rule 1 match app 微信文件传输 QQ文件传输
match file-type exe docx # 按需指定要管控的文件格式
action audit # 审计填audit,需阻断填deny
业务接口下调用
interface GigabitEthernet 1/0/1
content-policy apply file_control inbound
content-policy apply file_control outbound
3. 如需留存日志,对接日志服务器:
info-center loghost <日志平台IP>
content log enable
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论