更新时间:2023-09-22
第一步:以旁路模式部署深信服AC设备。
步骤1.在导航菜单栏进入到[系统管理/网络配置/部署模式]栏,选择旁路部署模式开始配置。
步骤2.选择管理接口并配置对应的IP地址,管理IP需要能够与安装准入客户端的PC通信。
步骤3.配置管理口默认网关和DNS。
步骤4.配置镜像口、监控网段以及服务器地址。当用户内网存在多份镜像流量需要AC审计时,可以在AC上配置多个镜像口用于接收不同源的镜像流量。
步骤5.确认配置无误后,点击完成重启设备。
第二步:配置交换机镜像流量。(本次以H3C交换机配置示例)。
<Sysname> system-view
#进入配置模式
[Sysname] mirroring-group 1 local
#创建名为“1”的本地镜像组
[Sysname] mirroring-group 1 mirroring-port G/0/1-G/0/8 both
#将交换机G0/0/1-G0/0/8口作为镜像源端口添加到镜像组“1”中,源端口可 以按照用户实际情况来选择。必须将源端口的inbound和outbound双向流量 均镜像给AC设备,示例命令中的both参数即表示镜像源端口的双向流量。
[Sysname] mirroring-group 1 monitor-port G0/0/9
#定义镜像流量的目的端口为G0/0/9口。
通过上述示例命令,将交换机G0/0/1-G0/0/8的双向流量均镜像到交换机的G0/0/9口,此时在交换机的G0/0/9口即可监听到G0/0/1-G0/0/8口所有的会话,最后将交换机的G0/0/9口与AC的镜像口连通。
:
1.源端口的总流量大小不能超过目的端口的带宽大小,否则会丢失部分数据包,造成审计不完整的现象。同理,从交换机镜像到AC设备的镜像流量大小不能超过AC设备镜像口的带宽。
2.源端口必须镜像双向的流量,即inbound和outbound的流量,否则无法正常审计。
3.需要审计的业务的流量必须镜像到AC,否则无法审计。
第三步:推送并安装准入客户端。
可以通过AD域策略推送准入助手,也可以借助用户内部第三方桌管平台推送安装。或者重定向到准入助手的下载界面,让用户自行下载安装。
:
客户端审计需要借助准入助手来实现,与802.1x认证的准入助手为同一个软件。在不开启准入功能时,准入助手安装后默认隐藏。
第四步:配置审计策略
步骤1.配置SSL解密策略,因为涉及到审计邮件外发以及审计网盘上传等场景,需要先配置好SSL解密策略。
步骤2.在导航菜单栏的[行为管理/SSL解密策略]栏,点击<新增>添加SSL解密策略。
在配置页面[界面方式]选择客户端代理解密,降低解密对设备性能的损耗。
步骤3.勾选[加密WEB应用内容识别]以及[加密邮件内容识别],仅识别使用25、465、995、143、993、587端口的SMTP加密邮件内容。
步骤4.配置上网审计策略,为了能够审计网页版的邮箱外发以及网盘上传,在[行为审计/上网审计策略]中点击<新增>按钮,添加相应的上网审计策略。
步骤5.勾选[应用审计],在右侧的配置栏中点击<添加>按钮,勾选Web邮箱、网盘、HTTP外发与下载等审计对象,在配置好适用对象后点击<提交>即可。
步骤6.配置客户端应用审计策略
在[行为审计/客户端审计策略]栏中点击<新增>按钮,选择客户端审计策略。勾选[客户端应用审计]策略,并在右侧的配置栏中勾选邮件客户端等审计对象,在配置栏底端的[离线审计]选择启用,最后配置好适用对象后点击提交即可。
步骤7.配置U盘审计策略
在[行为审计/客户端审计策略]栏中点击<新增>按钮,选择客户端审计策略。勾选[外接设备审计]策略后,在配置栏勾选[移动存储介质]选项,如果需要可以勾选[离线终端审计]功能。在配置好适用对象后点击提交保存即可。
步骤8.配置浏览器外发审计策略。
在[行为审计/客户端审计策略]栏中点击<新增>按钮,选择客户端审计策略,勾选[浏览器外发审计],选择需要审计的浏览器。