《SAFEMAN安全管理系统用户手册.doc》由会员分享,可在线阅读,更多相关《SAFEMAN安全管理系统用户手册.doc(53页珍藏版)》请在三一办公上搜索。
1、SAFEMAN安全管理系统用户手册一前 言3二概述5三初始化配置51.串口方式:52.Web方式:7a.“透明模式”下的设置:10b“网关模式”下的设置:14四.管理中心201.对象管理20a.地址对象:20b.时间对象212.系统管理:21a.系统状态21b.基本设置22c.模块设置24d.网络设置24e.备份与恢复25五策略控制中心261.状态检测包过滤262.NAT服务273.虚拟服务284.静态路由305.ARP策略31六流量管理中心311.流量检测31a.IP检测:31b.协议检测31c.应用协议检测:322.流量管理32a.网络带宽设定32b.通道管理33c.带宽分配34七网络审计
2、控制中心351.FTP审计352.HTTP审计控制36a.网站访问审计36b网站黑白名单访问控制37c.HTTP下载控制393.邮件收发审计40a.邮件外发审计40b.邮件接受审计414.及时通信审计415发帖审计426.TELNET审计42八入侵防御中心431.策略编辑432.攻击监控44九报表中心451.统计类报表452.历史纪录类报表463.MSN会话还原474.用户行为报表49十监控中心491.攻击情况排名与趋势502.流量情况排名与趋势51十一.问题解答52一前 言1 内容本手册主要描述怎样安装、配置和管理SAFEMAN安全管理系统,是SAFEMAN安全管理系统的用户操作指南。2 使
3、用对象本手册是为负责网络安全的系统管理人员编写的,假定系统管理人员已经具备以下背景知识:网络系统管理知识;UNIX和WINDOWS操作系统知识;INTERNET网络协议(IP、 TCP、UDP etc.);了解防火墙和网络安全的基础知识。3 使用指南本手册是SAFEMAN安全管理系统的产品操作指导手册,详尽地介绍SAFEMAN安全管理系统的各项功能及其配置、操作和管理方法,这是本手册的主要内容,用户应当细心阅读本手册的内容,并亲自动手操作和配置。本手册共分十一章,各章节内容简述如下:一前言二概述三初始化配置四管理中心五策略控制中心六流量管理中心七网络审计中心八入侵防御中心九报表中心十监控中心十
4、一.问题解答4 技术支持 WWW.CHINASAFE.COM.CN的主页在网站中可查找有SAFEMAN安全管理系统的技术问题解答和最新帮助信息。 对未记录的提问请留下询问信息,SAFEMAN安全管理系统的技术支持人员将及时给予答复。 使用E-Mail 以下E-Mail可在紧急的要求事项或需要帮助时使用。SAFEMAN的技术工程师将58小时对所有E-Mail提问进行逐项解答。 tech 二概述SAFEMAN安全管理系统是依照SMC(Security Management Center)的理念研发而成的,由安全监控中心,策略控制中心,流量管理中心,入侵防御中心,报表中心,管理中心,六大控制中心组成
5、,关心的安全点是面向整个网络的,不仅仅是外网的黑客攻击威胁,还包括内网的资源滥用,违规操作,间谍软件,木马程序等安全威胁,并且能够对内外网的各种安全威胁进行有效的控制和定位,找到威胁的源头。并且他能对实时监控信息进行汇总分析,把管控范围内的的安全威胁实时的展现,对各种威胁,如攻击行为,异常流量等,通过各种柱状图,饼图,趋势图等各个角度表示,对管理员把握整个网络的实时安全状态非常有帮助。同时通过强大的报表功能从宏观的角度对全网的安全信息进行数据分析和挖掘并以各种表格,图形的形式将各种安全威胁按时间进行统计分析,一方面使企事业单位从整体上把握了自己网络的安全运行状态,另一方面也为后续的安全规划改进
6、奠定了坚实的基础。SAFEMAN安全管理系统符合GA/T 387-2002计算机信息系统安全等级保护网络技术要求等国家与行业技术标准和国家公安部计算机信息安全产品质量监督检验要求,支持GB 17859-1999计算机信息系统安全保护等级划分准则(强制性国家标准)、GA/T 391-2002计算机信息系统安全等级保护管理要求、GB/T 19715-2005 信息技术 信息技术安全管理指南(ISO/IEC TR 13335)、GB/T 19716-2005 信息技术 信息安全管理实用规则(ISO/IEC 17799:2000)、信息安全等级保护管理办法(试行)(公通字20067号)等信息安全管理要
7、求。三初始化配置1.串口方式:本配置方式运行1. 软件环境:客户端WINDOWS超级终端2. 硬件环境:客户端需要有串口端口,标准串口连接线(DB9)打开“超级终端”具体设置如下:连接描述:可以如下填写下一步:选择你连接时使用的端口,如COM4,如图,点击确定填写“COM4属性”的“端口设置”具体参数:每秒位数:9600数据位:8奇偶校验:无停止位:1数据流控制:无或者直接点击 “还原为默认值”然后点击“确定”填写正确的用户名和密码后就可以配置SAFEMAN。(因涉及到后台的一些高级操作,不建议用户使用,如要使用请和厂家联系)2.Web方式:本配置方式运行环境:1. 软件环境:客户端IE 6.
8、0或以上2. 硬件环境:客户端需配置带有以太网网卡,标准568A/568B网络连接线,客户机和SAFEMAN直接相连SAFEMAN默认初始登陆地址为:https:/192.168.0.5,默认模式为:透明模式登陆界面如下图:输入默认的用户名admin,密码netsweet,点击如果需要添加、修改和删除管理员账号,你可以点击:“管理中心”“系统管理”“基本设置”“管理员设置”点击账号右侧的和进行修改和删除帐户信息,点击添加管理员帐户填写用户名、密码、确认密码,以及角色,角色共分为三个等级,各个等级的权限不同,系统管理员可以对SAFEMAN系统进行任何操作,报表监控员仅对报表监控有权限,管理审计员
9、仅对管理审计有操作权限。登陆后的初始界面为:点击“管理中心”“系统管理”“网络设置”选择你要使用的模式:包括网关模式、透明模式。系统默认为透明模式,如果你修改并提交了模式,系统会提示你注意“网口信息”各种模式下的“网口信息”设置页面并不相同,现在对每个模式进行详细说明a.“透明模式”下的设置:在“ 透明模式”下共有2个网口信息,其中“透明网口”为常用的管理口地址配置,在同一网络内的任何机器都可以进行访问;“管理口”为SAFEMAN前置面板上特定的管理网口地址,本网口并不接入网络内,可以直接用网线连接本网口来进行管理。点击“透明网口”右侧的,弹出如下修改界面:l IP地址:设置你的网络所在的网段
10、l MAC地址:系统默认会自动监测系统网卡的MAC地址l 网关:填写你所在网络的网关地址l 掩码:填写你所在网络的掩码地址填写完毕后点击,设置成功“管理口”的设置与“透明网口”设置除你要填写的IP地址不同外其他设置基本相同.下一步要添加路由信息,需要到“策略控制” “安全规则管理” “静态路由”根据内部网络情况,添加回程路由,点,完成上述操作后还需要在“策略控制”“安全规则管理”“状态监测包过滤”里添加一条规则:添加要点:选择“启用”选项,其他项默认,点击并保存。最后要在“管理中心” “系统管理”“网络设置”“本地网络”,点,将内部网络的所有网段添加进去。 经过上述设置,点击系统总页面右上角的
11、,待系统返回“保存设置成功”后SAFEMAN管理系统就可以发挥作用了。b“网关模式”下的设置:“网关模式”下的网口管理共有3个网口需要编辑图12:网关模式下的网口管理其中“内网网口”为连接内部网络的网口;“外网网口”为连接外部网络的接口;“管理口”为SAFEMAN前置面板上特定的管理网口地址,本网口并不接入网络内,你可以直接用网线连接本网口来进行管理。如图点击“内网网口”右侧的按钮,进入如下内网口信息修改界面修改注意事项如下:l IP地址:设置你的网络所需要的网关地址l MAC地址:系统默认会自动监测系统网卡的MAC地址l 网关:为空。 l 掩码:填写你所在网络的掩码地址填写完毕后点击,设置成
12、功点击“外网网口”右侧的按钮,进入如下外网口信息修改界面修改注意事项:l IP地址:设置网络所需要的外网地址l MAC地址:系统默认会自动监测系统网卡的MAC地址l 网关:为设置外网ip的网关地址l 掩码:填写你外网地址的掩码地址填写完毕后点击,设置成功“管理口”设置基本同“内网网口”设置除管理口的IP地址不同外,其他设置相同.下一步要添加路由信息,需要到“策略控制” “安全规则管理” “静态路由”根据内部网络情况,添加回程路由,点,经过上述设置后内部网络还不能访问外部网络,需要在“策略控制”“安全规则管理”“状态监测包过滤”里添加一条规则:添加要点:选择“启用”选项,其他项默认,点击并保存。
13、下一步,在“策略控制”“安全规则管理”“NAT服务”里添加一条规则:如图: “内部地址”为你转换前的地址范围,这以192.168.0.0/24为例;转换后地址范围为外网地址,并选中“启用”,并 最后要在“管理中心”“系统管理”“网络设置”“本地网络”,点,将内部网络的所有网段添加进去。 经过上述设置,点击系统总页面右上角的,待系统返回“保存设置成功”后SAFEMAN管理系统就可以使用了。部署模式选择:SAFEMAN安全管理系统的部署模式有两种:一是网关模式,二是透明模式。在网关模式下SAFEMAN替代防火墙的角色,需要改变原有的网络拓扑结构,而在透明模式下无须改变原有的网络拓扑结构,只是在透明
14、模式下一些功能不能全部发挥。四.管理中心1.对象管理 a.地址对象:地址对象包含:组、主机、网络和地址范围,你都可以点击各项右侧的和按钮进行修改和删除,点击下面的进行相关的添加动作。组:主机:网络:地址范围:b.时间对象你可以点击按钮来添加自定义的时间对象,2.系统管理:a.系统状态系统信息 可以显示:系统时间、系统从上次开始的使用时间、内存已用/共计、CPU占用率、磁盘占用率、会话数目、主机名和软件版本,本页面可以简洁的显示系统当前运行的基本情况 会话状态可以供管理员对有疑问的主机,进行会话查询。b.基本设置 主机设置设置SAFEMAN的主机名时间设置设置SAFEMAN安全管理系统的时间管理
15、员设置点击各项的右侧的和按钮进行修改和删除,点击下面的进行相关的添加动作。c.模块设置本系统提供可选的模块设置,你可以启用或停用某些模块,如:防火墙、流量管理、网络审计与控制、入侵防御,选中模块左侧的复选框则该模块的状态为启动。d.网络设置详细的网络设置请参照“以WEB方式登陆”中的网络设置e.备份与恢复 配置文件备份点击备份系统设置,你可以恢复保存在磁盘上的配置信息,点击浏览保存的配置文件目录,点击把备份的配置信息恢复到系统如果需要重新恢复到出厂设置,可以点击恢复到出厂设置数据清理可以将数据库的信息按照要求进行清理,由两种数据清理的办法,一种是手动清理,可对每一类数据按时间段进行单独清理。第
16、二种是自动清理,可以自定义一个时间间隔自动对所有数据进行清理。所有设置完成后一定要点击主管理页右上角的来保存设置,实现新策略功能。五策略控制中心1.状态检测包过滤状态检测包过滤添加页面,点击启用:是否启用本规则,选中为启用,默认为未选中动作:选择策略的动作,允许或拒绝,默认为允许源IP:可以填写IP地址,也可以从下拉框中选择用户,默认为空目的IP:可以填写IP地址,也可以从下拉框中选择用户,默认为空源端口:根据下面的提示进行填写,默认为全部端口目的端口:根据下面的提示进行填写,默认为全部端口协议:选择策略适合的协议,包括TCP、UDP、ICMP,默认为ALL,根据后面提示填写时间:在下拉框中选
17、择时间对象,选项为预先设置的时间对象,默认为整个时间段高级选项:是否选择高级选项,如果选择下面的状态项请先选中本项,默认为未选中状态:选择连接的状态,选中多选框为启用本状态项,各项默认为未选中描述:填写本策略的描述,默认为空点击提交本条策略,点击各项恢复为默认值2.NAT服务显示NAT服务策略列表,你可以点击各项的右侧的和按钮进行修改和删除,点击和来对各项策略上移或下移,点击下面的进行相关的添加动作。点击:内部网络:一般为你在使用网段的所有地址,如192.168.0.0/24,你可以从下拉框中选择网络地址,默认为空地址范围:转换后的地址,即外网地址,如111.111.111.111,你可以从下
18、拉框中选择网络地址,默认为空协议:选择策略适合的协议,包括TCP、UDP、ICMP,默认为ALL端口范围:填写端口地址范围,以“-”分开,默认为全部启用:是否启用本规则,选中为启用,默认为未选中点击提交本条策略,点击各项恢复为默认值3.虚拟服务把网络外部的地址映射到网络内部地址你可以点击各项的右侧的和按钮进行修改和删除,点击和来对各项策略上移或下移,点击下面的进行相关的添加动作。点击:启用:是否启用本规则,选中为启用,默认为未选中协议:选择策略适合的协议,包括TCP、UDP、ICMP,默认为ALL 映射地址:映射后地址,也可以在下拉列表中选择地址,默认为空真实地址:映射前地址,默认为空映射端口
19、:映射后的端口,默认为空真实端口:映射前的端口,默认为空描述:填写本策略的描述,默认为空点击提交本条策略,点击各项恢复为默认值4.静态路由点击各项的右侧的和按钮进行修改和删除,点击下面的进行相关的添加动作。点击:目的网络:所要到达的目的网络下一跳:下一个跳的 IP 地址,即相邻路由器的端口地址网口:选择本地网络接口,默认为所有接口,可以选择eth0、eth1、eth2视网络接口数目启用:选中为启用本条策略,默认为不选中描述:描述本条策略点击提交本条策略,点击各项恢复为默认值5.ARP策略你可以选择启用或禁用ARP策略,点击来应用策略,当应用ip/mac绑定时,要启用该策略。六流量管理中心1.流
20、量检测a.IP检测:对内部所有主机的流入流出流量的实时速率进行记录,可以按从大到小或从小到大排列。b.协议检测对tcp,udp,icmp等协议的流入流出流量的实时速率进行记录。c.应用协议检测:对内部所有主机产生的各种应用协议的流入流出流量的实时速率进行记录,可以按从大到小或从小到大排列。2.流量管理a.网络带宽设定内网带宽:设置内网的带宽,单位为Kbit,默认为102400外网带宽:设置外网的带宽,单位为Kbit,默认为102400点击提交本条策略,点击各项恢复为默认值b.通道管理点击各项的右侧的和按钮进行修改和删除,点击下面的进行相关的添加动作。带宽通道名称:填写带宽名称,默认为空带宽通道
21、编号:填写通道编号,默认为空带宽通道优先级:通道优先级数字越大,优先级越低,默认为第一级带宽通道动作:包括上传动作和下载动作,根据实际情况选择,默认为上传动作传输速率:填写传输速率,单位为Kbit是否允许借用别的通道的带宽:当其他通道空闲时,可以借用其他通道的带宽,选中为允许借用,默认为不选中。点击提交本条策略,点击各项恢复为默认值选中左侧的复选框,再点击即可删除所有策略。c.带宽分配把已分配的通道分配到各个地址对象点击各项的右侧的和按钮进行修改和删除,点击下面的进行相关的添加动作。带宽策略信息添加页面:上传带宽通道:选择在“通道管理”中设置的通道,默认为“非限制通道”下载带宽通道:选择在“通
22、道管理”中设置的通道,默认为“非限制通道”优先级:优先级数字越大,优先级越低,默认为第一级协议:选择要使用的协议,有全部协议、TCP、UDP、ICMP等协议项,默认为全部协议源IP地址:要限制或保障的IP,默认为空源掩码:源IP地址的网络掩码,默认为空源端口:源IP地址的端口,默认为空服务:选择服务,有HTTP、SMTP、POP3、FTP、TELNET,默认为不选择任何服务目标IP地址:要限制或保障的IP,默认为空目标掩码:目标IP地址的网络掩码,默认为空目标端口:目标IP地址的端口,默认为空服务:选择服务,有HTTP、SMTP、POP3、FTP、TELNET,默认为不选择任何服务点击提交本条
23、策略,点击关闭本添加页面。七网络审计控制中心1.FTP审计 可审计到的资料为:FTP访问时间、用户名、本机IP、目的IP和命令点击各按钮来前后翻页察看内容.2.http审计控制a.网站访问审计可审计到的资料为:访问时间、用户名、本机IP、网络名称和访问路径点击各按钮或直接输入页码并回车来前后翻页察看内容. b网站黑白名单访问控制如果需要白名单和黑名单功能,请点击并来启用或关闭黑白名单控制。点击各项的右侧的和按钮进行修改和删除,点击右上角的进行相关的添加动作。添加白名单名称添加白名单后还需要修改白名单和用户组,点击各个策略项的“编辑白名单”和“编辑用户组”的来修改白名单和用户组白名单:在主页面添
24、加的白名单名称自定义列表:请填写网站的域名如,回车后再添加其他域名预定义列表:SAFEMAN安全管理系统已预定义了一系列的网站,点击来选择预定义的网站域点击提交本条策略,点击关闭本添加页面。点击刚添加的“SAFEMAN”白名单项的“用户组”修改按钮用户组名称:填写要定义的用户组自定义用户IP:每行填写一个IP或者地址范围地址对象:选择下拉列表出现的地址对象。点击提交本条策略,点击关闭本添加页面。黑名单的启用、添加、修改和白名单基本相同,详细设置请见白名单的的启用、添加和修改。 http关键字控制在右上角填写要禁止的关键字点击即可以添加关键字点击各项的右侧的按钮进行删除已添加的关键字。c.htt
25、p下载控制添加要限制的文件类型焦点移到右上角的输入框或者从下拉列表中选择预定义的文件类型,再点击来添加要禁止的文件类型点击各项的右侧的按钮可以删除已添加的关键字类型。3.邮件收发审计a.邮件外发审计审计内容:时间、用户名、本机IP、发件人、收件人和邮件主题b.邮件接受审计审计内容:时间、用户名、本机IP、发件人、收件人和邮件主题4.及时通信审计 MSN通信审计审计内容:时间、用户名、发起通信MSN帐号、接受通信MSN帐号、聊天内容、源和目的IP。点击各按钮或直接输入页码并回车来前后翻页察看内容5发帖审计 审计内容:发帖时间、用户名、本机IP、网站名称、访问路径和发帖内容点击各项“发帖内容”下的
26、“详情请点击”来察看详细的发帖内容6.telnet审计 审计内容:时间、用户名、主机IP、目的IP和操作命令点击各按钮或直接输入页码并回车来前后翻页察看内容八入侵防御中心1.策略编辑本控制页面主要分3个区域:1:策略分类列表,根据各种不同的攻击类型进行分类2:规则信息列表修改,可对每条策略修改启用状态、保护动作等3:规则信息列表,详细显示各种分类策略的规则重置:重置各个规则的选择及保护动作修改启用状态:对选中规则的启用状态进行修改,启用或禁用修改保护动作:拒绝、丢弃和警告,修改各项规则的保护动作2.攻击监控显示攻击的详细信息:产生时间、攻击描述、危险级别、源IP、源端口、目的IP、目的端口和保
27、护动作可以选择列表上面的开始、结束时间和攻击描述作为条件来查询具体的攻击列表。九报表中心1.统计类报表选择列表上侧的查询时间,点击察看你选定时间段内的详细资料,点击来保存选定时间段的数据:2.历史纪录类报表根据开始时间、结束时间以及选择条件并输入相应的条件参数进行查询和保存报表选择时间方法:点击时间框,系统会弹出选择框,点击相应的时间即可在时间框里生成时间,点击查询条件,如源IP,然后在后边输入框里输入源IP地址,点击和即可以在当前页面生成详细报表和保存报表到EXCEL里。点击生成的报表点击出现的文件下载的提示框报表中心的网络审计报表,流量报表,入侵防御报表的操作都可以按上述两大类报表的操作形
28、式操作。3.MSN会话还原本功能可以重现MSN聊天纪录:选择开始时间、结束时间、发起通信账号、接收通信账号,点击会话还原生成如下报表:点击来保存还原后的MSN会话纪录 4.用户行为报表行为包括:网站访问、bbs发帖审计、数据流量、发送邮件、接收邮件、聊天、ftp审计、telnet审计等行为,可对各种行为进行详细的时间段查询、用户(或主机地址)查询。开始时间:点击时间框,选择开始时间结束时间:点击时间框,选择结束时间用户:点击下拉框选择用户,该用户的IP地址会自动在后边的IP地址栏里显示。点击察看你选定时间段内某一个用户ip的详细资料十监控中心本监控中心主要包括三种网络状态“攻击、流量和病毒”及
29、对以上三种状态的“排名、趋势和预警”,通过大屏幕模式直观的显示出当前网络状态1.攻击情况排名与趋势“攻击情况排名与趋势”功能可以直观的描述受到攻击的详细信息包括:n 排名前十位的攻击源n 排名前十位的攻击类型n 排名前十位的攻击目标“攻击趋势分析图”功能可以以线状图描述出攻击的趋势,包括:n 攻击源分析图n 攻击类型分析图n 攻击目标分析图通过统计各种攻击类型的源、目地址及类型,通过系统智能的统计,做出攻击趋势分析图,以供网络管理员参考。2.流量情况排名与趋势“流量情况排名与趋势”功能可以直观的描述流量的详细信息包括:n 排名前十位的外发流量主机n 排名前十位的接收流量主机n 排名前十位的应用
30、协议“流量趋势分析图”功能可以以线状图描述出流量的趋势,包括:n 攻击源分析图n 攻击类型分析图n 攻击目标分析图通过统计各种流量的源、目地址及协议类型,描述各主机的流量情况,各种协议的流量情况攻击情况预警根据管理员在入侵防御模块中制定的策略来进行预警,显示重要的预警和防御信息。十一.问题解答1. 问:为什么我设完相应策略后,却不能实现策略相应功能?答:每进行完一些列策略的设置调整后,都要点击主界面右上角的保存设置按钮后,才能生效。2. 问:为什么流量检测里出现了很多外网的地址或没有任何显示呢?答:需要在 管理中心-系统管理-网络设置-本地网络 ,里将内部网络的所有网段添加进来。3. 问:为什
31、么入侵防御里没有任何报警信息?答:首先要看是否在 管理中心-系统管理-网络设置-本地网络 ,里将内部网络的所有网段添加进来了,再确认模块设置中入侵防御模块是被被选择的。4. 问:我如何组织内部人员使用bt?答:因为随着bt技术的发展为了应对各种各样的bt识别封堵技术,bt已经开始采用协议加密的形式,这就造成了通过bt协议特征分析识别bt数据流进而实现封堵的办法慢慢的失效,但并不是就没有有效的封堵bt的办法。Safeman通过多种综合手段对bt进行控制:a. 在入侵防御-策略编辑-点对点传输大类里,将所有策略启用并设动作为丢弃。b. 在网络审计与控制-http审计控制-http关键字控制里加上b
32、t,emule,电驴,电螺,p2p.c. 在网络审计与控制-http审计控制-http下载控制里加上 .torrent . d. 在流量管理下将网内机器的上网带宽限制到一定范围内比如上传最多10k,下载最多100k.5. 问:为什么我把safeman串接到我的网络里,机器出了网页打不开其它都可以用?答:应为你开起了黑白名单,却没有加回程路由,建议在safeman架设初期就将回程路由加上. 目的网络下一跳192.168.1.0/24192.168.0.3192.168.2.0/24192.168.0.3192.168.3.0/24192.168.0.36. 问:为什么我把safeman透明串接到我的网络里,其它都正常就是qq无法登陆?答:这个问题碰到过天融信防火墙的b/s版本出现过,学要将防火墙允许qq服务通过的策略里的厂家定制的qq服务去掉,自己手动建一个qq组,将udp8000,tcp443,tcp80,加入即可。7. 问:我在黑白名单里加了针对同一个网站,同一组人的限制,哪一个会生效?答:同样的状况下白名单会优先于黑名单生效。
