Hillstone宽带运营商基于用户的日志审计.pdfVIP

Hillstone宽带运营商基于用户的日志审计 解决方案 需求分析 公安部82号令规定，互联网服务提供单位能够记录并留存用户登录和退出时间、主叫号码、账号、互联网地 址或域名，并且在使用内部网络地址与互联网网络地址转换方式为用户提供接入服务时，能够记录并留存用户使用 的互联网网络地址和内部网络地址对应关系。应对这一监管要求，宽带运营商都会要求互联网出口的NAT设备配合 完成NAT等日志输出到日志审计系统。 普通的日志审计方案如图所示，由于日志审计系统接收到的日志是基于IP地址的，网监在提出溯源需求时，运 营商的管理员不仅需要查日志审计系统，还要查AAA系统，才能定位到被溯源用户的用户账号，使得工作量增加、 工作效率低下。尤其是当日志审计系统分布式部署，而AAA系统集中部署，两个系统分别由不同管理员管理时，更 是难以协调快速溯源。 图1 普通日志审计方案溯源流程 销售/服务热线：400-828-6655 解决方案 2解决方案 Hillstone提出了基于用户的日志审计解决方案。运营商需要将B-RAS发给AAA 的计费报文镜像给Hillstone 防火墙一份，Hillstone防火墙从其中解析出用户账号和IP地址对应关系，并直接将用户账号作为一个字段添加到输 出的NAT等日志中。Hillstone 日志审计系统（HSA ）将接收到日志入库存储，网监提供公网地址和端口，可直接从 HSA中查询到带用户账号的日志。 图2 Hillstone 日志审计方案溯源流程 典型应用 Hillstone防火墙作为NAT网关部署在宽带运营商的接入设备B-RAS上端，为宽带用户上网提供地址转换服务， 同时进行基于用户的上网日志审计，满足上级单位的监管要求。 图3 Hillstone基于用户的日志审计方案典型组网 4