上网行为管理之内容审计实验

实验设备

1、 山石网科（hillstone）防火墙（作为上网行为管理，实训平台v1.0中hillstone设备）

2、 二层交换机一台（实训平台v1.0中cisco iol switch设备）

3、 Windows一台 （实训平台v1.0中windows设备中win.xp）

4、 增加一个网络net：cloud0

实验目的

1. 掌握上网行为管理设备配置审计策略

2. 掌握上网行为管理设备审计上网行为日志的原理及配置

3. 掌握审计http及https应用的原理与区别

实验需求、步骤及配置

1. 内网办公区window主机配置，指定主机ip为192.168.10.1/24，网关为192.168.10.254，

dns 114.114.114.114 

接入层交换机IOL_SW的配置：

Switch(config)#vlan 10

Switch(config-vlan)#exit

Switch(config)#interface e0/0

Switch(config-if)#switchport trunk encapsulation dot1q

Switch(config-if)#switchport mode trunk

Switch(config)#interface e0/1

Switch(config-if)#switchport trunk encapsulation dot1q

Switch(config-if)#switchport mode trunk

上网行为管理的配置：

基本配置：修改e0/0口属性为管理口且采用http管理方式，默认启动DHCP。

login: hillstone //用户名和密码都为hillstone

password:

SG-6000# conf

SG-6000(config)# interface e0/0

SG-6000(config-if-eth0/0)# manage http

SG-6000(config-if-eth0/0)# show interface 查看e0/0自动获得的IP地址，为管理IP

接下来，在物理主机上，通过浏览器访问管理IP，使用图形化管理：

配置e0/1接口：绑定安全区域为trust三层安全区域(路由模式)、IP地址等：

配置e0/0接口：修改绑定安全区域为untrust三层安全区域(路由模式)、IP等：

为路由模式，配置源NAT策略（即动态NAT），实现内网上公网需求：

为路由模式，配置安全策略即包过滤策略（默认拒绝区域间访问），配置策略

让内网网段可以访问公网，即e0/1 trust区域访问e0/0 untrust区域：

接下来测试内网主机是否可以上公网，如图代表ok：

当内网用户上网时，进行上网行为日志记录，配置如下:

当内网用户web外发信息时，进行敏感信息过滤并阻断，配置如下:

如果需要支持对HTTPS网站做过滤，则需开启ssl代理，创建ssl代理模板

修改策略，开启数据安全相关功能、SSL代理并绑定相应模板，配置如下：

查看上网行为日志、内容过滤日志、上网应用汇总报表等，如下