AC 内容审计实验

实验拓扑

实验需求

1. 为了防止公司信息泄密，深圳总部要求对员工上网时的微博论坛发帖内容、Web 外发邮件内容进行审计
2. 为了防止公司员工通过互联网访问敏感内容，深圳总部要求对关键词 法伦功 进行过滤，搜索关键词或外发邮件包含关键词的行为均被禁止
3. 深圳总部对 QQ 聊天的内容和发送的文件内容进行审计

实验解法

1. 在深圳总部的 AC 设备上配置上网行为审计，对员工的上网行为进行内容审计

   步骤 1：登录 AC，点击 策略管理-上网策略，点击 新增-上网审计策略，如图 1-2 所示

   
   图 1-2

   步骤 2：在弹出的策略设置页面勾选 应用审计，点击 添加，再点击小按钮添加审计对象，如图 1-3 所示

   
   图 1-3

   步骤 3：在弹出的审计对象编辑页面，勾选对需求要求的相关内容进行审计，并确定提交，如图 1-4 所示

   
   图 1-4

   步骤 4：切换到 适用对象，勾选对象为 所有用户，并提交，如图 1-5 所示

   
   图 1-5

2. 外发邮件审计效果测试

   步骤 1：在深圳总部的 PC 上，登录新浪邮箱，不要勾选 全程加密，如图 1-6 所示

   
   图 1-6

   步骤 2：编辑并发送邮件，如图 1-7 所示

   
   图 1-7

   步骤 3：在 AC 上，点击右上角 内置日志中心，如图 1-8 所示

   
   图 1-8

   步骤 4：进入内置日志中心后，点击 日志查询-邮件收发日志，选择要查询的日志时间范围，点击查询，如图 1-9，1-10 所示

   
   图 1-9
   
   图 1-10

   步骤 5：刚才发的测试邮件已经被 AC 审计了，点击详情，可以看到邮件的内容和附件都被完整记录了，如图 1-11 所示

   注意：日志中心中的记录会有延迟，需要等待 1 分钟左右

   
   图 1-11

3. 在 AC 上配置对 HTTPS 站点的外发加密邮件进行内容审计

   　　分析：上面配置的策略只能够审计到明文内容，如果员工访问的是 HTTPS 站点，内容将会被加密，即使审计到了，也无法被解读
   　　如需要对访问 HTTPS 站点的内容进行审计，还需要另外配置 SSL 内容识别
   　　
   步骤 1：在 AC 上创建 上网权限策略，勾选 SSL 内容识别，在右边点击 域名列表，在弹出的域名列表中写入需要审计内容的 HTTPS 站点，如图 1-12 所示

   
   图 1-12

   步骤 2：选择策略适用对象为 所有用户，并确定提交，如图 1-13 所示

   
   图 1-13

4. HTTPS 外发邮件审计效果测试

   步骤 1：在深圳总部的 PC 上登录 QQ 邮箱的 HTTPS 站点，发现弹出证书错误报警，如图 1-14 所示

   　　分析：深信服 AC 的 SSL 内容识别功能是基于证书欺骗，所以此处 AC 向客户端颁发伪造的 QQ 邮箱站点的证书，会被客户端报警
   　　 　　
   

   
   图 1-13

   步骤 2：在 AC 上，点开 SSL 内容识别的策略，点击下载 AC 根证书，如图 1-14 所示

   
   图 1-14

   步骤 3：把下载的证书文件分发到员工的 PC，手动双击导入证书文件到 受信任的根证书颁发机构，如图 1-15 所示

   
   图 1-15

   步骤 4：再次访问 QQ 邮箱的 HTTPS 站点，发现已经没有证书报警了，登录邮箱，如图 1-16 所示

   
   图 1-16

   步骤 5：编辑并发送邮件，如图 1-17 所示

   
   图 1-17

   步骤 6：打开 AC 的内置日志中心，可以看到 HTTPS 加密的邮件内容也被审计了，如图 1-18 所示

   
   图 1-18

5. 在深圳总部的 AC 上配置 Web 关键字过滤，拒绝访问含有相关关键词的页面

   步骤 1：登录 AC，点击 对象定义-关键字组，点击 新增，添加需要过滤的关键字，如图 1-19 所示

   
   图 1-19

   步骤 2：创建 上网权限策略，勾选 Web 关键字过滤，点击 添加，选择需要过滤的关键字组，动作选择 拒绝并告警，如图 1-20 所示

   
   图 1-20

   步骤 3：切换到 HTTP 上传，也添加关键字过滤，并设置动作为 拒绝并告警，如图 1-21 所示

   
   图 1-21

   步骤 3：选择策略适用对象为 所有用户，并确定提交，如图 1-22 所示

   
   图 1-22

   步骤 4：考虑到使用 HTTPS 访问包含关键字页面的问题，所以同样需要配置 SSL 内容识别，并把需要过滤的相关站点加入域名列表，如图 1-23 所示

   
   图 1-23

6. Web 关键字过滤效果测试

   步骤 1：使用百度搜索关键字，发现页面被拒绝访问，如图 1-24 所示

   
   图 1-24

   步骤 2：外发包含关键字的邮件，也无法发送，如图 1-25 所示

   
   图 1-25

7. 在深圳总部上配置准入策略，对员工的 QQ 聊天内容进行审计

   　　分析：由于 QQ 使用腾讯私有的协议和算法对聊天内容进行加密，所以无法通过 SSL 内容识别来审计内容，这里需要通过配置准入策略来实现对 QQ 聊天内容的审计
   　　
   步骤 1：在 AC 上新增 准入策略，如图 1-26 所示

   
   图 1-26

   步骤 2：勾选 准入策略，点击 添加，分别添加 IM 聊天内容监控 和 IM 发送文件内容监控，如图 1-27 所示

   
   图 1-27

   步骤 3：选择适用对象为 所有用户，确认并提交

8. QQ 内容审计效果测试

   步骤 1：QQ 审计的准入策略生效后，用户再次上网，会弹出安装插件的页面，如 AC 检测到 PC 上没有运行该插件，则不允许上网，如图 1-28 所示

   
   图 1-28

   步骤 2：下载并安装插件

   步骤 3：确认可以上网后，登录 QQ

   步骤 4：登录 AC 的内置日志中心，点击 日志查询-即时通讯日志，如图 1-29 所示

   
   图 1-29

   步骤 5：选择要查看日志的时间范围后，可以看到 QQ 的聊天记录已经被完整记录下来了，如图 1-30 所示

   
   图 1-30