网络审计策略包括应用审计、流量与上网时长审计和网页内容审计。
应用审计用于对内网用户通过设备访问外网的行为和内容进行审计。审计对象包括Web邮箱、论坛、微博、网盘、笔记、IM聊天工具、HTTP外发与下载、网络协议、网络命令、其它、URL。以上应用类型可以在设备联网的情况下通过规则库更新。动作可选择审计或不审计。
| 类别 |
功能说明 |
| Web邮箱 |
用于记录内网用户通过web邮箱发送邮件的行为。选择邮箱类型勾选对应的内容审计和附件审计后,可以记录内网用户发送邮件内容和附件。 |
| 论坛 |
用于记录内网用户访问论坛发帖的行为,根据需求勾选内容审计和附件审计。 |
| 微博 |
用于记录内网用户通过微博发送的信息的内容和附件信息,可审计新浪微博、腾讯微博、东方微博、皮皮时光机微博、Twitter等。 |
| 网盘 |
用于记录内网用户通过百度云盘、钉钉网盘、OneDrive、Outlook网盘、微云、115网盘、Google Drice、ShareFile、WeTransfer、Dropbox等网盘上传的附件。 |
| 笔记 |
用于记录内网用户通过为知笔记、印象笔记、有道云笔记等笔记类应用上传的内容和附件以及百度文库上传的附件。 |
| IM聊天工具 |
用于记录内网用户通过即时聊天工具聊天的内容。此处的审计包括网页微信、飞信、 雅虎通、Google Talk和其他IM的内容。 |
| HTTP外发与下载 |
用于记录内网用户通过网页外发的内容和附件、通过网页下载的文件名。 |
| 网络协议 |
用于记录内网用户通过FTP协议上传及下载的附件、POP3/IMAP协议的内容和SMTP协议的内容。 |
| 网络命令 |
用于记录内网用户通过Telnet执行的命令,注意Telnet的端口必须是23号端口。 |
| 其他 |
勾选[其他网络应用]用于记录设备可以识别的网络应用行为; 勾选[未识别的网络应用]用于记录设备无法识别的网络应用行为,包括访问某个地址,某个端口等。因为设备无法识别这类应用,审计时会将访问的目标IP、端口等信息审计下来,会产生大量日志,所以建议不开启。 |
| URL |
用于记录内网用户访问网页的URL。勾选[URL],点击[选择指定URL]用于指定URL类别,如果访问的URL属于选中类别的URL组,则访问的URL才会被记录。 |
| 生效时间 |
可审计全天、上班时间、下班时间,或者自定义的时间组。 |
| 文件类型 |
可选:电影、音乐、图片、文本、压缩文件、应用程序、Office系列、工程制造、娱乐音乐等。建议按需求勾选文件类型,否则审计的附件会占用较大的空间。 |
流量与上网时长审计用于设置是否统计组和用户的网络应用和域名的流量和时长。如果您选择了统计网络应用的流量和时长,那么您在设备的日志中心可以查询到内网访问公网的各种应用的流量和访问时间。勾选了统计域名流量和域名时长,则可以通过日志中心根据域名进行流量与时长统计。
• 记录每个组的网络应用流量:对经过设备访问外网的各种应用流量进行统计,可细化到组来进行统计和排名。若同时勾选[同时记录每个用户的网络应用流量],则可根据用户来统计应用流量。该处配置是日志中心的应用流量统计和排行的基础,必须开启网络应用流量审计,才能在日志中心中查询关于应用流量的信息和排名。
• 统计域名流量:则会对经过设备访问外网的域名流量进行统计,可细化到基于域名来统计流量。
• 统计域名时长:则会对经过设备访问外网的域名时长进行统计,可细化到基于域名来统计上网时长。
• 记录每个用户的网络应用的时长:对经过设备访问外网的各种应用的上网时长进行统计。如果不勾选此项,则不会统计应用的上网时长包括总时长,在日志中心中查询不到关于上网时长的信息和排名。当勾选[忽略非人为产生的流量(如软件后台更新等)]:则在对经过设备访问外网的各种应用的上网时长进行统计时,将不会统计排除应用列表中的各种网络应用的上网时长。
点击<设置排除应用列表>将链接到窗口[排除应用列表],它由“内置列表”、“自定义列表”和“排除端口”三部分组成。在“内置列表”中,定义了一些如软件后台更新的应用流量,用户可以启用或者禁用这些内置软件列表。在“自定义列表”中,用户可以点击选择应用来选择需要排除的应用。在“排除端口”中,可以填入需要排除不统计上网时长的端口。
:
记录每个用户的网络流量会产生更多的日志量,影响日志的查询、统计速度。在日志量太大的情况下,可以选择只记录每个组的网络应用流量,或者只对部分有需要的用户记录用户的网络流量,以获取更高的日志中心性能。用户数超过2W,建议不开启此功能。
网页内容审计用于设置是否对内网用户访问互联网的网页内容进行审计。您可以通过此处的设置审计到所有网页的标题和网页内容,或者只审计指定URL类型的网页标题及网页内容。对网页中含有特定关键字的网页内容,可以设置拒绝、记录网页内容、记录并拒绝网页内容中含有特定关键字的网页。
• 不审计:当勾选时,设备不会记录访问网页的网页标题及内容。
• 审计网页标题及网页内容:分为所有URL类型和指定URL类型。
1)所有URL类型:设备将审计内网用户访问所有URL的网页内容和网页标题。
2)指定URL类型:设备只审计内网用户访问指定URL的网页内容和网页标题。
• 网页内容关键字过滤与审计:用于指定只审计网页中含有特定关键字的网页内容,过滤网页中含有特定关键字的网页。
• 关键字:选择需要生效的关键字组或新增关键字组。
• 生效时间:选择检测此类关键字的生效时间。
• 动作:选择检测到此类关键字时设备的处理方式:有记录网页内容、拒绝和记录网页内容并拒绝三种选项。
:
1.指定关键字存在并且动作包含记录网页内容时,设备会将相应的网页标题及网页内容都记录下来;指定关键字存在并且动作为拒绝时,则会将网页内容拒绝。
2.互联网审计策略可以通过[系统管理/系统配置/授权管理]多功能序列号控制行为审计与内容审计的分离,从低版本升级上来的设备默认开启的是内容审计。序列号只开启行为审计时,控制台界面的互联网审计策略中将无法看到“内容审计”模块。
3.当设备内存占用超过70%会消耗较大性能,建议在无此需求的时候不启用该功能。
需求场景
设置一条审计策略审计微博所发的文本信息和图片信息、审计Webmail邮件和其附件内容、审计用户访问网页和通过网页下载的文件名称、审计各类已知应用的行为实例策略。
操作步骤
步骤1.在[行为监控/行为审计/网络审计策略]新增互联网审计策略,填写[策略名称]和[描述信息],勾选[应用审计],点击<添加>按钮,在弹出的[选择审计对象]窗口选择需要审计的对象。
步骤2.在策应用审计添加审计对象,勾选审计对象Web邮箱、论坛、微博、HTTP外发与下载、URL等。并设置[生效时间]为全天,[动作]为审计,[文件类型]为全部类型。点击<确定>按钮。
步骤3.选择[适用对象],此处选中的用户组和用户将全部匹配此审计策略,点击<提交>按钮完成策略配置。
步骤4.设置[高级配置],高级配置中包含策略过期日期设置、同级别管理员查看编辑权限设置、允许低级管理员查看。
步骤5.由于部分网站为https加密网页,部分WEB邮件使用SMTP、POP3等协议,需要配合[安全防护/应用访问控制/访问权限策略SSL解密策略]进行解密来审计,详细配置请参考新增SSL解密策略章节。
步骤6.点击<提交>配置完成,用户在浏览器上访问新浪微博并发送一条包含文字和图片的微博动态。
步骤7.效果展示,点击设备右上角[行为感知系统]下拉框中的[进入日志中心]进入日志中心中的[日志查询/所有行为日志]查询相关审计日志。
:
1.当需要审计https形式加密的行为和内容需要结合[安全防护/应用访问控制/访问权限策略SSL解密策略]使用。
2.此种场景开启中间人解密会影响全网行为管理设备性能,开启需注意。
建议使用Chrome浏览器访问!
