记录网络连接的URL配置信息

任务引言

当前，公司员工在单位里的网络行为代表公司行为，如果一个员工利用公司网络进行不法行为，公司有不可推卸的责任，因此，记录员工的网络行为相当重要。

学习目标

理解URL记录的意义；

掌握记录上网URL配置。

知识引入

上网URL的记录是通过防火墙的日志功能实现的，在防火墙配置日志记录用户的URL，则管理员可查看网络用户的上网行为。

防火墙日志审计服务是辅助网络安全管理人员全面掌握网络安全状况，并衡量防火墙性能和作用的重要手段。上网URL记录可帮助公司对员工的网络行为进行分析和掌握，对公司网络安全起着重要作用。

【工作任务】——记录上网URL配置

1．工作任务背景

千山公司深圳总公司进行了一次网络安全专题学习周，在提高员工网络安全意识的同时，公司也认识到记录员工上网内容的重要性。于是，公司决定在防火墙配置记录上网URL，如图5-12-1所示。

图5-12-1　记录上网URL配置

2．工作任务分析

环境设备如表5-12-1和表5-12-2所示。

表5-12-1　深圳总公司部门网络信息

表5-12-2　网络参数设置

配置上网URL记录，PC1和PC2访问Internet的URL均记录在防火墙日志中。

【任务实现】

1．根据所学知识完成交换机s1 VLAN划分、端口添加及IP地址配置

s1（config）#vlan 80

s1（Config-Vlan80）#switchport interface ethernet 0/0/1-10

s1（Config-Vlan80）#exit

s1（config）#int vlan 1

s1（Config-if-Vlan1）#ip address 192.168.1.1 255.255.255.0

s1（Config-if-Vlan1）#no shutdown

s1（Config-if-Vlan1）#exit

s1（config）#int vlan 80

s1（Config-if-Vlan80）#ip address 192.168.80.1 255.255.255.0

s1（Config-if-Vlan80）#no shutdown

s1（Config-if-Vlan80）#exit

s1（config）#router ospf 1

s1（config-router）#network 192.168.1.0/24 area 0

s1（config-router）#network 192.168.80.0/24 area 0

s1（config-router）#exit

2．根据所学知识完成交换机s2 VLAN划分、端口添加及IP地址配置

s2（config）#vlan 10

s2（Config-Vlan10）#switchport interface ethernet 0/0/1-4

s2（Config-Vlan10）#exit

s2（config）#vlan 20

s2（Config-Vlan20）#switchport interface ethernet 0/0/5-8

s2（Config-Vlan20）#exit

s2（config）#int vlan 1

s2（Config-if-Vlan1）#ip address 192.168.1.2 255.255.255.0

s2（Config-if-Vlan1）#exit(www.xing528.com)

s2（config）#int vlan 10

s2（Config-if-Vlan10）#ip address 192.168.10.1 255.255.255.0

s2（Config-if-Vlan10）#no shutdown

s2（Config-if-Vlan10）#int vlan 20

s2（Config-if-Vlan20）#ip address 192.168.20.1 255.255.255.0

s2（Config-if-Vlan20）#no shutdown

s2（Config-if-Vlan20）#exit

s2（config）#router ospf 1

s2（config-router）#network 192.168.1.0/24 area 0

s2（config-router）#network 192.168.10.0/24 area 0

s2（config-router）#network 192.168.20.0/24 area 0

s2（config-router）#exit

3．根据所学知识完成防火墙端口与基本策略配置

（1）接口配置，如图5-12-2所示。

图5-12-2　接口配置列表

（2）设置防火墙策略允许trust访问untrust，如图5-12-3所示。

图5-12-3　安全策略配置

4．根据验证环境配置防火墙外网接口IP和策略，使内网用户能访问Internet

（1）添加一条出外网的默认路由，如图5-12-4所示。

图5-12-4　默认路由配置

（2）添加源NAT出外网都转换成接口IP地址。

5．创建HTTP Profile

（1）选择“应用”，单击“HTTP控制”，在弹出的HTTP Profile配置界面，在Profile名称输入“http-profile”，上网日志选为“启用”，如图5-12-5所示。

图5-12-5　创建HTTP Profile

（2）创建Profile组，添加http-profile。选择“对象”，单击“Profile组”，在Profile组配置界面名称输入“http-profile组”，将“http-profile”添加为组成员，如图5-12-6所示。

图5-12-6　创建Profile组

（3）创建安全策略，在策略中引用Profile组。选择“防火墙”，单击“策略”，创建trust到untrust的策略，勾选“Profile组”，并把“http-profile组”添加到这里，如图5-12-7所示。

图5-12-7　URL记录规则

（4）开启流量日志。选择“事件日志”，单击“配置”，在流量日志配置界面里勾选“启用”，并单击“确认”；如图5-12-8所示。

图5-12-8　开启流量日志

6．验证配置

PC1访问www.baidu.com和www.163.com，然后单击日志列表，选择流量日志的上网日志，则可看到访问日志，如图5-12-9所示。

图5-12-9　日志记录

【问题探究】

日志记录应用。

【知识拓展】

略。

【任务拓展】

千山公司深圳总公司为提高公司网络安全，在防火墙配置策略，记录员工的会话日志。