实验拓扑

AC 内容审计实验 - 图1

图 1-1

实验需求

  1. 为了防止公司信息泄密,深圳总部要求对员工上网时的微博论坛发帖内容、Web 外发邮件内容进行审计
  2. 为了防止公司员工通过互联网访问敏感内容,深圳总部要求对关键词 法伦功 进行过滤,搜索关键词或外发邮件包含关键词的行为均被禁止
  3. 深圳总部对 QQ 聊天的内容和发送的文件内容进行审计

实验解法

  1. 在深圳总部的 AC 设备上配置上网行为审计,对员工的上网行为进行内容审计
    步骤 1:登录 AC,点击 策略管理-上网策略,点击 新增-上网审计策略,如图 1-2 所示
    AC 内容审计实验 - 图2
    图 1-2
    步骤 2:在弹出的策略设置页面勾选 应用审计,点击 添加,再点击小按钮添加审计对象,如图 1-3 所示
    AC 内容审计实验 - 图3
    图 1-3
    步骤 3:在弹出的审计对象编辑页面,勾选对需求要求的相关内容进行审计,并确定提交,如图 1-4 所示
    AC 内容审计实验 - 图4
    图 1-4
    步骤 4:切换到 适用对象,勾选对象为 所有用户,并提交,如图 1-5 所示
    AC 内容审计实验 - 图5
    图 1-5

  2. 外发邮件审计效果测试
    步骤 1:在深圳总部的 PC 上,登录新浪邮箱,不要勾选 全程加密,如图 1-6 所示
    AC 内容审计实验 - 图6
    图 1-6
    步骤 2:编辑并发送邮件,如图 1-7 所示
    AC 内容审计实验 - 图7
    图 1-7
    步骤 3:在 AC 上,点击右上角 内置日志中心,如图 1-8 所示
    AC 内容审计实验 - 图8
    图 1-8
    步骤 4:进入内置日志中心后,点击 日志查询-邮件收发日志,选择要查询的日志时间范围,点击查询,如图 1-9,1-10 所示
    AC 内容审计实验 - 图9
    图 1-9
    AC 内容审计实验 - 图10
    图 1-10
    步骤 5:刚才发的测试邮件已经被 AC 审计了,点击详情,可以看到邮件的内容和附件都被完整记录了,如图 1-11 所示
    注意:日志中心中的记录会有延迟,需要等待 1 分钟左右
    AC 内容审计实验 - 图11
    图 1-11

  3. 在 AC 上配置对 HTTPS 站点的外发加密邮件进行内容审计
    分析:上面配置的策略只能够审计到明文内容,如果员工访问的是 HTTPS 站点,内容将会被加密,即使审计到了,也无法被解读
      如需要对访问 HTTPS 站点的内容进行审计,还需要另外配置 SSL 内容识别
    步骤 1:在 AC 上创建 上网权限策略,勾选 SSL 内容识别,在右边点击 域名列表,在弹出的域名列表中写入需要审计内容的 HTTPS 站点,如图 1-12 所示
    AC 内容审计实验 - 图12
    图 1-12
    步骤 2:选择策略适用对象为 所有用户,并确定提交,如图 1-13 所示
    AC 内容审计实验 - 图13
    图 1-13

  4. HTTPS 外发邮件审计效果测试
    步骤 1:在深圳总部的 PC 上登录 QQ 邮箱的 HTTPS 站点,发现弹出证书错误报警,如图 1-14 所示
    分析:深信服 AC 的 SSL 内容识别功能是基于证书欺骗,所以此处 AC 向客户端颁发伪造的 QQ 邮箱站点的证书,会被客户端报警
    AC 内容审计实验 - 图14
    图 1-13
    步骤 2:在 AC 上,点开 SSL 内容识别的策略,点击下载 AC 根证书,如图 1-14 所示
    AC 内容审计实验 - 图15
    图 1-14
    步骤 3:把下载的证书文件分发到员工的 PC,手动双击导入证书文件到 受信任的根证书颁发机构,如图 1-15 所示
    AC 内容审计实验 - 图16
    图 1-15
    步骤 4:再次访问 QQ 邮箱的 HTTPS 站点,发现已经没有证书报警了,登录邮箱,如图 1-16 所示
    AC 内容审计实验 - 图17
    图 1-16
    步骤 5:编辑并发送邮件,如图 1-17 所示
    AC 内容审计实验 - 图18
    图 1-17
    步骤 6:打开 AC 的内置日志中心,可以看到 HTTPS 加密的邮件内容也被审计了,如图 1-18 所示
    AC 内容审计实验 - 图19
    图 1-18

  5. 在深圳总部的 AC 上配置 Web 关键字过滤,拒绝访问含有相关关键词的页面
    步骤 1:登录 AC,点击 对象定义-关键字组,点击 新增,添加需要过滤的关键字,如图 1-19 所示
    AC 内容审计实验 - 图20
    图 1-19
    步骤 2:创建 上网权限策略,勾选 Web 关键字过滤,点击 添加,选择需要过滤的关键字组,动作选择 拒绝并告警,如图 1-20 所示
    AC 内容审计实验 - 图21
    图 1-20
    步骤 3:切换到 HTTP 上传,也添加关键字过滤,并设置动作为 拒绝并告警,如图 1-21 所示
    AC 内容审计实验 - 图22
    图 1-21
    步骤 3:选择策略适用对象为 所有用户,并确定提交,如图 1-22 所示
    AC 内容审计实验 - 图23
    图 1-22
    步骤 4:考虑到使用 HTTPS 访问包含关键字页面的问题,所以同样需要配置 SSL 内容识别,并把需要过滤的相关站点加入域名列表,如图 1-23 所示
    AC 内容审计实验 - 图24
    图 1-23

  6. Web 关键字过滤效果测试
    步骤 1:使用百度搜索关键字,发现页面被拒绝访问,如图 1-24 所示
    AC 内容审计实验 - 图25
    图 1-24
    步骤 2:外发包含关键字的邮件,也无法发送,如图 1-25 所示
    AC 内容审计实验 - 图26
    图 1-25

  7. 在深圳总部上配置准入策略,对员工的 QQ 聊天内容进行审计
    分析:由于 QQ 使用腾讯私有的协议和算法对聊天内容进行加密,所以无法通过 SSL 内容识别来审计内容,这里需要通过配置准入策略来实现对 QQ 聊天内容的审计
    步骤 1:在 AC 上新增 准入策略,如图 1-26 所示
    AC 内容审计实验 - 图27
    图 1-26
    步骤 2:勾选 准入策略,点击 添加,分别添加 IM 聊天内容监控IM 发送文件内容监控,如图 1-27 所示
    AC 内容审计实验 - 图28
    图 1-27
    步骤 3:选择适用对象为 所有用户,确认并提交

  8. QQ 内容审计效果测试
    步骤 1:QQ 审计的准入策略生效后,用户再次上网,会弹出安装插件的页面,如 AC 检测到 PC 上没有运行该插件,则不允许上网,如图 1-28 所示
    AC 内容审计实验 - 图29
    图 1-28
    步骤 2:下载并安装插件
    步骤 3:确认可以上网后,登录 QQ
    步骤 4:登录 AC 的内置日志中心,点击 日志查询-即时通讯日志,如图 1-29 所示
    AC 内容审计实验 - 图30
    图 1-29
    步骤 5:选择要查看日志的时间范围后,可以看到 QQ 的聊天记录已经被完整记录下来了,如图 1-30 所示
    AC 内容审计实验 - 图31
    图 1-30
    http://www.dengfm.com/15290644936000.html