上网行为管理之内容审计实验
实验设备
1、 山石网科(hillstone)防火墙(作为上网行为管理,实训平台v1.0中hillstone设备)
2、 二层交换机一台(实训平台v1.0中cisco iol switch设备)
3、 Windows一台 (实训平台v1.0中windows设备中win.xp)
4、 增加一个网络net:cloud0
实验目的
1. 掌握上网行为管理设备配置审计策略
2. 掌握上网行为管理设备审计上网行为日志的原理及配置
3. 掌握审计http及https应用的原理与区别
实验需求、步骤及配置
1. 内网办公区window主机配置,指定主机ip为192.168.10.1/24,网关为192.168.10.254,
dns 114.114.114.114
接入层交换机IOL_SW的配置:
Switch(config)#vlan 10
Switch(config-vlan)#exit
Switch(config)#interface e0/0
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
Switch(config)#interface e0/1
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
上网行为管理的配置:
基本配置:修改e0/0口属性为管理口且采用http管理方式,默认启动DHCP。
login: hillstone //用户名和密码都为hillstone
password:
SG-6000# conf
SG-6000(config)# interface e0/0
SG-6000(config-if-eth0/0)# manage http
SG-6000(config-if-eth0/0)# show interface 查看e0/0自动获得的IP地址,为管理IP
接下来,在物理主机上,通过浏览器访问管理IP,使用图形化管理:
配置e0/1接口:绑定安全区域为trust三层安全区域(路由模式)、IP地址等:
配置e0/0接口:修改绑定安全区域为untrust三层安全区域(路由模式)、IP等:
为路由模式,配置源NAT策略(即动态NAT),实现内网上公网需求:
为路由模式,配置安全策略即包过滤策略(默认拒绝区域间访问),配置策略
让内网网段可以访问公网,即e0/1 trust区域访问e0/0 untrust区域:
接下来测试内网主机是否可以上公网,如图代表ok:
当内网用户上网时,进行上网行为日志记录,配置如下:
当内网用户web外发信息时,进行敏感信息过滤并阻断,配置如下:
如果需要支持对HTTPS网站做过滤,则需开启ssl代理,创建ssl代理模板
修改策略,开启数据安全相关功能、SSL代理并绑定相应模板,配置如下:
发送qq邮件
开启安全审计
开启后无法正常发送邮件
查看上网行为日志、内容过滤日志、上网应用汇总报表等,如下
