目  录

1 应用审计与管理

1.1 应用审计与管理简介

1.1.1 应用审计与管理策略

1.1.2 应用审计与管理的报文处理流程

1.2 应用审计与管理配置限制和指导

1.3 应用审计与管理配置准备

1.4 应用审计与管理配置任务简介

1.5 创建应用审计与管理策略

1.6 配置策略过滤条件

1.7 配置策略生效时间

1.8 配置策略审计规则

1.9 配置审计规则关键字

1.10 管理和维护应用审计与管理策略

1.10.1 复制应用审计与管理策略

1.10.2 重命名应用审计与管理策略

1.10.3 移动应用审计与管理策略的位置

1.10.4 禁用应用审计与管理策略

1.11 激活应用审计与管理的策略和规则配置

1.12 应用审计与管理策略典型配置举例

1.12.1 应用审计与管理策略审计账号登录配置举例

1.12.2 应用审计与管理策略审计敏感信息配置举例

应用审计与管理是在APR（Application Recognition，应用层协议识别）的基础上进一步识别出应用的具体行为（比如IM聊天软件的用户登录、发消息等）和行为对象（比如IM聊天软件登录的行为对象是账号信息等），据此对用户的上网行为进行审计和记录。

本特性会解析出用户报文中的敏感信息和私密信息，请保证将本特性仅用于合法用途。

在应用审计与管理策略中通过配置过滤条件、审计规则和审计动作，可以实现对符合过滤条件的报文进行审计处理。

应用审计与管理策略分为如下三种类型：

·     审计策略：对匹配策略中所有过滤条件的报文进行审计。

·     免审计策略：对匹配策略中所有过滤条件的报文进行免审计。

·     阻断策略：对匹配策略中所有过滤条件的报文进行阻断。

应用审计与管理策略中可以配置多种过滤条件，具体包括：源安全域、目的安全域、源IP地址、目的IP地址、服务、用户、用户组、应用。每种过滤条件中均可以配置多个匹配项，比如源安全域过滤条件中可以指定多个源安全域等。

在审计类型的应用审计与管理策略中可以配置一系列的审计规则对某一应用的具体行为和行为对象进行精细化审计，并输出审计信息。

审计规则的匹配模式分为顺序匹配和全匹配两种，不同模式下审计规则的匹配原则如下：

·     顺序匹配：按照审计规则ID从小到大的顺序进行匹配，一旦报文与某条审计规则匹配成功便结束此匹配过程，并根据该审计规则中的动作对此报文进行相应处理。

·     全匹配：按照审计规则ID从小到大的顺序进行匹配，若报文与某条动作为允许的规则匹配成功，则继续匹配后续规则直到最后一条；若报文与某条动作为阻断的规则匹配成功，则不再进行后续规则的匹配。设备将根据所有匹配成功的审计规则中优先级最高的动作（阻断的优先级高于允许）对此报文进行处理。

设备可以对匹配审计规则的报文输出审计日志，其输出方式包括：系统日志和快速日志。

应用审计与管理对报文的处理流程如下图所示：

图1-1 应用审计与管理的报文处理流程图

应用审计与管理对报文的处理流程如下：

(1)     将报文的属性信息与应用审计与管理策略中的过滤条件进行匹配。每种过滤条件的多个匹配项之间是或的关系，即报文与某一个过滤条件中的任意一项匹配成功，则报文与此条过滤条件匹配成功；若报文与某一个过滤条件中的所有项都匹配失败，则报文与此条过滤条件匹配失败。

(2)     若报文与某条策略中的所有过滤条件都匹配成功（用户与用户组匹配一项即可），则报文与此条策略匹配成功。若有一个过滤条件不匹配，则报文与此条策略匹配失败，报文继续匹配下一条策略。以此类推，直到最后一条策略，若报文还未与策略匹配成功，则对报文执行策略的缺省动作。

(3)     报文与某条策略匹配成功后便结束此匹配过程，并根据此策略的类型对报文进行如下处理：

¡     若策略类型为免审计类型，则允许报文通过；

¡     若策略类型为阻断类型，则阻断报文；

¡     若策略类型为审计类型，则继续将报文与此策略中的审计规则进行详细匹配。

(4)     若报文与审计规则匹配成功，则对报文执行审计规则中配置的动作；若匹配失败，则对报文执行审计规则的缺省动作。

配置应用审计与管理策略时，请按照“深度优先”的原则（即控制范围小的、条件细化的在前，范围大的在后）进行配置。

在配置应用审计与管理策略之前，需完成以下任务：

·     升级APR特征库到最新版本（请参见“安全配置指导”中的“APR”）。

·     配置时间段（请参见“ACL和QoS配置指导”中的“时间段”）。

·     配置IP地址对象组和服务对象组（请参见“安全配置指导”中的“对象组”）。

·     配置应用（请参见“安全配置指导”中的“APR”）。

·     配置用户和用户组（请参见“安全配置指导”中的“用户身份识别与管理”）。

·     配置安全域（请参见“安全配置指导”中的“安全域”）。

应用审计与管理配置任务如下：

(1)     创建应用审计与管理策略

(2)     配置策略过滤条件

(3)     （可选）配置策略生效时间

(4)     配置策略审计规则

(5)     配置审计规则关键字

(6)     （可选）管理和维护应用审计与管理策略

(7)     激活应用审计与管理的策略和规则配置

(1)     进入系统视图。

system-view

(2)     进入应用审计与管理视图。

uapp-control

(3)     创建应用审计与管理策略，并进入应用审计与管理策略视图。

policy name policy-name { audit | deny | noaudit }

(4)     配置应用审计与管理策略的缺省动作。

policy default-action { deny | permit }

缺省情况下，应用审计与管理策略的缺省动作是允许。

(1)     进入系统视图。

system-view

(2)     进入应用审计与管理视图。

uapp-control

(3)     进入应用审计与管理策略视图。

policy name policy-name [ audit | deny | noaudit ]

(4)     配置作为应用审计与管理策略过滤条件的安全域。

¡     配置作为应用审计与管理策略过滤条件的源安全域。

source-zone source-zone-name

¡     配置作为应用审计与管理策略过滤条件的目的安全域。

destination-zone destination-zone-name

缺省情况下，未配置作为应用审计与管理策略过滤条件的安全域。

(5)     配置作为应用审计与管理策略过滤条件的地址对象组。

¡     配置作为应用审计与管理策略过滤条件的源IP地址。

source-address { ipv4 | ipv6 } object-group-name

¡     配置作为应用审计与管理策略过滤条件的目的IP地址。

destination-address { ipv4 | ipv6 } object-group-name

缺省情况下，未配置作为应用审计与管理策略过滤条件的地址对象组。

(6)     配置作为应用审计与管理策略过滤条件的服务。

service service-name

缺省情况下，未配置作为应用审计与管理策略过滤条件的服务。

(7)     配置作为应用审计与管理策略过滤条件的用户和用户组。

¡     配置作为应用审计与管理策略过滤条件的用户。

user user-name [ domain domain-name ]

¡     配置作为应用审计与管理策略过滤条件的用户组。

user-group user-group-name [ domain domain-name ]

缺省情况下，未配置作为应用审计与管理策略过滤条件的用户和用户组。

(8)     配置作为应用审计与管理策略过滤条件的应用。

application { app application-name | app-group application-group-name }

仅在免审计和阻断类型的应用审计与管理策略中可配置应用。

缺省情况下，未配置作为应用审计与管理策略过滤条件的应用。

(1)     进入系统视图。

system-view

(2)     进入应用审计与管理视图。

uapp-control

(3)     进入应用审计与管理策略视图。

policy name policy-name [ audit | deny | noaudit ]

(4)     配置应用审计与管理策略的生效时间。

time-range time-range-name

缺省情况下，应用审计与管理策略在任何时间都生效。

审计规则的功能仅支持在审计类型的应用审计与管理策略中配置。

在审计规则中配置audit-logging参数后：

·     缺省情况下，设备使用普通日志方式输出审计日志，且生成的日志信息不会输出到控制台和监视终端。如需获取该日志，可通过执行display logbuffer命令进行查看。有关普通日志的详细介绍，请参见“设备管理配置指导”中的“信息中心”。有关display logbuffer命令的详细介绍，请参见“设备管理命令参考”中的“信息中心”。

·     若开启了快速日志输出功能（通过在系统视图下执行customlog format dpi audit命令），则设备使用快速日志方式输出审计日志。有关快速日志的详细介绍，请参见“网络管理和监控配置指导”中的“快速日志输出”。

对于微信和QQ，仅支持对整个应用进行阻断，不支持对指定的行为和内容进行阻断。

(1)     进入系统视图。

system-view

(2)     进入应用审计与管理视图。

uapp-control

(3)     进入审计类型的应用审计与管理策略视图。

policy name policy-name [ audit ]

(4)     配置应用审计与管理策略的审计规则。

rule rule-id { app app-name | app-category app-category-name | any } behavior { behavior-name | any } bhcontent { bhcontent-name | any } { keyword { equal | exclude | include | unequal } { keyword-group-name | any } | integer { equal | greater | greater-equal | less | less-equal | unequal } { number } } action { deny | permit } [ audit-logging ]

缺省情况下，未配置应用审计与管理策略的审计规则。

(5)     配置审计规则的匹配模式。

rule match-method { all | in-order }

缺省情况下，审计规则的匹配模式为顺序匹配。

(6)     配置审计规则的缺省动作。

rule default-action { deny | permit }

缺省情况下，审计规则的缺省动作为允许。

配置关键字可实现对某一具体信息的匹配和审计。

(1)     进入系统视图。

system-view

(2)     进入应用审计与管理视图。

uapp-control

(3)     创建关键字组，并进入关键字组视图。

keyword-group name keyword-group-name

(4)     （可选）配置关键字组的描述信息。

description text

缺省情况下，未配置关键字组的描述信息。

(5)     配置审计关键字。

keyword keyword-value

缺省情况下，未配置审计关键字。

(1)     进入系统视图。

system-view

(2)     进入应用审计与管理视图。

uapp-control

(3)     复制应用审计与管理策略。

policy copy policy-name new-policy-name

(1)     进入系统视图。

system-view

(2)     进入应用审计与管理视图。

uapp-control

(3)     重命名应用审计与管理策略。

policy rename old-policy-name new-policy-name

(1)     进入系统视图。

system-view

(2)     进入应用审计与管理视图。

uapp-control

(3)     移动应用审计与管理策略的位置。

policy move policy-name1 { after | before } policy-name2

(1)     进入系统视图。

system-view

(2)     进入应用审计与管理视图。

uapp-control

(3)     进入应用审计与管理策略视图。

policy name policy-name

(4)     禁用应用审计与管理策略。

disable

缺省情况下，应用审计与管理策略处于开启状态。

当应用审计与管理的策略和规则被创建、修改和删除后，需要配置此功能使其策略和规则配置生效。

有关此功能的详细介绍请参见“DPI深度安全配置指导”中的“应用层检测引擎”。

配置此功能会暂时中断DPI业务的处理，为避免重复配置此功能对DPI业务造成影响，请完成部署DPI各业务模块的策略和规则后统一配置此功能。

(1)     进入系统视图。

system-view

(2)     激活应用审计与管理的策略和规则配置。

inspect activate

缺省情况下，应用审计与管理的策略被创建、修改和删除时不生效。

·     某公司内的各部门通过Device与Internet连接，该公司的工作时间为每周工作日的8点到18点。

·     通过配置应用审计与管理策略，对在上班时间登录的QQ账号均进行审计，并记录日志。

图1-2 应用审计与管理策略审计账号登录配置组网图

‌

(1)     配置接口IP地址、路由、安全域及域间策略保证网络可达，具体配置步骤略

(2)     配置时间段

# 创建名为work的时间段，其时间范围为每周工作日的8点到18点。

system-view

[Device] time-range work 08:00 to 18:00 working-day

(3)     配置应用审计与管理策略

# 进入应用审计与管理视图。

[Device] uapp-control

# 创建一个名称为audit-qq的应用审计与管理策略，其类型为审计，并进入应用审计与管理策略视图。

[Device-uapp-control] policy name audit-qq audit

# 配置应用审计与管理审计策略audit-qq过滤条件的源安全域为Trust。

[Device-uapp-control-policy-audit-qq] source-zone trust

# 配置应用审计与管理审计策略audit-qq过滤条件的目的安全域为Untrust。

[Device-uapp-control-policy-audit-qq] destination-zone untrust

# 配置应用审计与管理审计策略audit-qq的生效时间段为work。

[Device-uapp-control-policy-audit-qq] time-range work

# 配置审计规则，对在上班时间登录的QQ账号均进行审计允许登录，并记录日志。

[Device-uapp-control-policy-audit-qq] rule 1 app QQ behavior Login bhcontent any keyword equal any action permit audit-logging

[Device-uapp-control-policy-audit-qq] quit

[Device-uapp-control] quit

(4)     激活应用审计与管理的策略和规则配置。

[Device] inspect activate

以上配置完成后，若内网主机上有QQ登录，则设备会对QQ账号登录进行审计，并会有审计日志信息输出。

某公司内的各部门通过Device与Internet连接，通过配置应用审计与管理策略，当内网用户使用微软必应搜索查找的信息中包含“机密”或“恐怖袭击”关键字时，拒绝此次搜索，并记录日志。

图1-3 应用审计与管理策略审计敏感信息配置组网图

‌

(1)     配置接口IP地址、路由、安全域及域间策略保证网络可达，具体配置步骤略

(2)     配置应用审计与管理策略

# 进入应用审计与管理视图。

system-view

[Device] uapp-control

# 配置名称为keyword-bing的关键字组，用于审计敏感信息。

[Device-uapp-control] keyword-group name keyword-bing

# 在关键字组keyword-bing中，添加关键字“机密”和“恐怖袭击”。

[Device-uapp-control-keyword-group-keyword-bing] keyword 机密

[Device-uapp-control-keyword-group-keyword-bing] keyword 恐怖袭击

[Device-uapp-control-keyword-group-keyword-bing] quit

# 创建一个名称为audit-bing的应用审计与管理策略，其类型为审计，并进入应用审计与管理策略视图。

[Device-uapp-control] policy name audit-bing audit

# 配置应用审计与管理审计策略audit-bing过滤条件的源安全域为Trust。

[Device-uapp-control-policy-audit-bing] source-zone trust

# 配置应用审计与管理审计策略audit-bing过滤条件的目的安全域为Untrust。

[Device-uapp-control-policy-audit-bing] destination-zone untrust

# 配置审计规则，当内网用户使用微软必应搜索查找的信息中包含“机密”或“恐怖袭击”关键字时，拒绝此次搜索，并记录日志。

[Device-uapp-control-policy-audit-bing] rule 2 app Bing behavior Search bhcontent Keyword keyword include keyword-bing action deny audit-logging

[Device-uapp-control-policy-audit-bing] quit

[Device-uapp-control] quit

(3)     激活应用审计与管理的策略和规则配置。

[Device] inspect activate

以上配置完成后，当内网用户使用微软必应搜索查找的信息中包含“机密”或“恐怖袭击”关键字时，此次搜索会没有响应，并会有审计日志信息输出。