H3C安全_ACG1000旁路模式使用日志分析与管理平台实现行为审计

【如果在实验中有什么疑问,欢迎关注微信公众号“IT后院”给我留言,我会抽空回答你的问题】

1.配置需求 如下组网图所示,需要在原有的网络中增加ACG1000来审计内网PC用户上网行为,为最小程度避免影响原有网络,所以ACG1000采用旁路模式部署进原有网络;为了更好的分析与管理日志,需要把ACG1000生成的日志输出到日志分析服务器进行分析与管理。

2.网络拓扑 H3C安全_ACG1000旁路模式使用日志分析与管理平台实现行为审计插图 IP分配 PC:192.168.1.10 ACG1000:192.168.1.11 日志分析服务器:192.168.1.12 网关:192.168.1.254

3.ACG1000详细配置 3.1 登录web管理界面 设备管理口(ge0)的默认地址配置为192.168.1.1/24。默认允许对该接口进行PING,HTTPS操作。将终端与设备ge0端口互联,在终端打开浏览器输入https://192.168.1.1登录设备管理界面。默认用户名与密码均为admin。

H3C安全_ACG1000旁路模式使用日志分析与管理平台实现行为审计插图1 3.2 配置旁路接口 选择“系统管理”>“部署方式”>“旁路部署”中勾选ge1接口,在弹出的对话框中选择“确定”。 H3C安全_ACG1000旁路模式使用日志分析与管理平台实现行为审计插图2

3.3 配置接口IP 选择“网络配置”>“接口”>“物理接口”中将ge1接口IP地址修改为192.168.1.11/24,然后选择管理方式为“Center-monitor”然后点击“提交。 选择“网络配置”>“路由”>“静态路由”>“新建”中创建静态路由。目的地址和掩码都设置为:0.0.0.0(代表所有网段),下一跳地址配置192.168.1.254(路由器下联接口地址),配置完成后点击提交。

3.4 配置IPV4策略 选择“上网行为管理”>“策略配置”>“IPV4策略”>“新建”中创建审计策略。 H3C安全_ACG1000旁路模式使用日志分析与管理平台实现行为审计插图3

新建应用审计策略用来审计所有应用。

H3C安全_ACG1000旁路模式使用日志分析与管理平台实现行为审计插图4 H3C安全_ACG1000旁路模式使用日志分析与管理平台实现行为审计插图5

新建URL审计策略审计所有网站,配置完成后选择提交完成所有配置。 H3C安全_ACG1000旁路模式使用日志分析与管理平台实现行为审计插图6 H3C安全_ACG1000旁路模式使用日志分析与管理平台实现行为审计插图7

3.3 配置日志输出 在“系统管理à日志设定à日志服务器”里勾选“启用”并配置服务器的IP地址192.168.1.12 点击“提交”。保证服务器的地址和ACG1040设备能正常通信。 H3C安全_ACG1000旁路模式使用日志分析与管理平台实现行为审计插图8

3.5 保存配置 在设备管理界面右上角点击配置保存,保存当前配置。

4 日志分析与管理平台配置 4.1 安装日志分析与管理平台 首先需要在华三官网 www.h3c.com.cn “产品支持与服务\软件下载\安全”下载安装软件“H3C SecPath ACG1000 日志分析与管理平台”。(软件版本下载账号:yx800 密码为:01230123)

下载完成后将版本文件解压到电脑上,然后双击“setup.exe”开始安装,请按照安装提示完成软件安装。 H3C安全_ACG1000旁路模式使用日志分析与管理平台实现行为审计插图9 H3C安全_ACG1000旁路模式使用日志分析与管理平台实现行为审计插图10 H3C安全_ACG1000旁路模式使用日志分析与管理平台实现行为审计插图11 安装成功后,启动浏览器,输入登录信息。在PC上启动IE浏览器(建议使用IE9.0 及以上版本),例如:安装服务器在地址栏中输入http://127.0.0.1 或者用该服务器的IP地址http://192.168.1.12 后单击“Enter”键,即可进入下图所示的SecPath ACG1000日志分析与管理平台登录页面。 输入系统缺省的用户名“super”和密码“super.123”,并输入验证码,点击“登录”按钮即可进入ACG1000 Manager并进行管理操作。 H3C安全_ACG1000旁路模式使用日志分析与管理平台实现行为审计插图12

4.2 添加ACG设备 在ACG日志分析与管理中心的页面的导航栏中选择“设备管理—>设备管理”,选择添加“设备”来添加ACG1000设备,输入设备的IP地址“192.168.1.11”,账号密码为“admin/admin”点击“确定”。 成功添加ACG1040设备,可以查看到ACG1000的 CPU、内存以及磁盘的信息,在管理平台上点击“WEB管理”可以直接进入被管理的ACG1040的管理页面。 H3C安全_ACG1000旁路模式使用日志分析与管理平台实现行为审计插图13

4.3 查看日志 管理平台成功管理到ACG1000后,可以在管理平台里查看ACG1000审计到下面终端相关日志。 H3C安全_ACG1000旁路模式使用日志分析与管理平台实现行为审计插图14

允许转载,但必须注明出版处与原文链接,否则追究其法律责任,谢谢合作!

(原文博客:https://blog.51cto.com/11179786)

原文链接:https://blog.51cto.com/u_11179786/2450959

© 版权声明
THE END
喜欢就支持一下吧
点赞14 分享