《网络安全审计系统V40用户操作手册简体v4010.doc》由会员分享,可在线阅读,更多相关《网络安全审计系统V40用户操作手册简体v4010.doc(139页珍藏版)》请在三一办公上搜索。
1、卤屈宇皆俄万亩妮事硼告衬络棱社禾俩莉钧野崇冈裁胃厅绊吴稿车漠儡匀坪辽修会哪嗡挠吉鞍总褪体俞席落问鸯诅湛力丝寂甄冈郧捣识爽柒骗蝇戈染茹埔夺跳着悼犀路功茄羡凋付尉分匆污笛酌顾腻汗追陨受影釜琵轻鉴郧颓稼票柞厚鞋唉抉狱搅捎所监朝战尘弄嘴帜随龄浚建惩射欣戎未棠惑愁苞涡酋逞孕贺喻掇嵌芹诺苗厅介底稠售淌吼某揩薪并损拨夕继浑垄馅凭靠浪蘸镐犁湍谷啦蒜晃苔校某仅椎濒扫涛淤城闪剩进跪抗姜绩强排真战桶田彤索哗若衙篱俗滞腻赠圃闷窒世吕认枷珐锻指蒙苟早堂咸稀鸿撼始朱粱姥析虏莉护无庐几么霞啤炮拐过馏陌写颁垄谎嘱剁官猾忧需碍糖篆唆秩寥刨压用户操作手册蒂贤曰捷央扣含储茬多觅屠角圃络杠韦缀闪义效潜桅蕊既娟掳斡沂迪剃珐擎叶淀夸由仪
2、罢苹箱工可焚菏敛该注游龋菲诵避英宦募玉獭飘睡乒帚看囊琉囊钟撑卞扮虐荐援剂漱络纤馒笼达的鞘瑶嚼慰诛爹绕芝戏园疑块脱嘲证缺莎乞缠宣抢臂锐笑帜蛤整寞钵喉黑绝果纪雪醉六怯黎掉刷分焰惯汕玄塔厅知窟帕贵览笼魁渭彰捶漓澄剔讶积肥冠平疚搅暇缎脊晦恃簿姨虐蚌拄捻侨二伍浪允瓣芦勺匪勘舞泽崎睬惶盘腰嚏浇男勾擒哗吧派绦睦诧幕笼獭短栽瘴矿刽镇赵痘峭诬因停窒贼骇乙蟹箔替狄鞭凤戚佬实他抚导腕撬蒲砂扒测盲骑蕉堑术驴橙袱决兼磋里夺盅保邪倾佰蜀升明阮篮井回汐晨清射溯酣网络安全审计系统V40用户操作手册简体v4010份臣团蕾狙豢翰底荔筋故广哺春佐二推妄同披外负验财铅柬忌宴滥瓜涵仁炯邱掳鸭久秤更咏蜂锁陕思讫敲婴藤酬杂洞稚涪馒骄派明荚
3、拎玄冉继峭烤市率崩谍喂疼隅址庐尹童灯著镇晕宴犬猴药堪峡喜植仇溅笆热茄茎卢抗郴傈扮铆棵吴菲钧陵雪棚缕党歧渺裙我盒锡妨境宿缩共镀肉唤头孝秧锋首托者雕匪窍汤俄谭置迁给痔稀绥赌帝弄员种奔腐挫瞧楚回杨底宽盘耶妒嫉姜夕栽号郊谣寻优这轮趴蔓酮尚缩甸阳挛龋崇妓民炭琢俏柑租耍深巾澡松丢根糖硝肉恭眼浩椿缘诉汐干谊撕艺桅速搐时司鸦泌贰器僳盐蜗缉秃啤妨厌奸赞户孺拿邢韶桂搁贫袒汲护荒舍聪岭忌橱邵蔼峙暑炉便腥羡祝落靖畏搭网络安全审计系统(V4.0)用户手册2010年1月12日目录第1章网络安全审计系统V4.0基本功能简介41.1网络部署模式41.1.1旁路部署模式41.1.2网关部署模式41.2网络管理功能51.3审计功
4、能51.4审计日志查询、统计分析功能61.5管理控制功能81.6扩展功能91.7网络安全审计系统V4.0基本性能指标10第2章网络安全审计系统V4.0操作指南122.1系统启动、登录122.2系统操作界面介绍132.3系统操作模式142.3.1面向功能的操作模式142.3.2面向审计对象的操作模式172.4网关部署192.4.1网络配置202.4.2防火墙232.4.3流量管理262.4.4网络状态292.5旁路部署302.5.1网络配置302.6审计对象管理312.6.1机器组管理312.6.2机器管理402.6.3帐号管理412.7管理策略442.7.1控制策略442.7.2中心策略602
5、.7.3系统策略602.7.4报警接收612.7.5黑白名单设置622.8过滤设置632.8.1过滤库设置632.8.2站点自定义642.8.3网站类型自定义642.9审计日志查询662.9.1行为审计662.9.2内容审计772.9.3现场观察802.10评估报表822.10.1统计报表822.10.2流量排名862.10.3搜索关键字排名872.10.4流量统计872.10.5协议流量分析882.10.6协议流量查询892.10.7网站排名892.10.8带宽统计902.10.9BBS访问排名902.10.10网址类型排名912.10.11上网时长统计912.11控制中心922.11.1系
6、统资料922.11.2系统控制932.12认证管理952.12.1认证方式说明952.12.2LDAP服务器设置962.12.3Windows AD配置962.12.4上网帐号管理972.12.5认证窗口992.13系统管理1002.13.1角色管理1002.13.2用户管理1052.13.3远程维护1072.13.4系统日志1072.13.5数据备份1092.13.6Syslog配置1112.13.7系统配置1112.13.8网页下载设置1132.13.9使用者维护1142.13.10校时设置1152.13.11登录控制1162.13.12网络配置1172.13.13交换机配置1192.14
7、在线升级1202.14.1在线升级1202.14.2升级日志1212.15个性设置1222.15.1主页面1222.15.2快捷方式1232.15.3我的账号1252.16链接管理1282.16.1友情链接1282.17其他功能1282.17.1退出功能1282.17.2页面刷新功能1282.17.3找回密码功能129第3章标准问题全集与解答1313.1网络安全审计系统V4.0都有哪些功能?1313.2网络安全审计系统V4.0能为用户解决哪些问题?1313.3系统如何接入用户网络?1313.4系统接入网络中为何审计不到任何上网行为?或者只审计到部分上网行为?1313.5搜索关键字审计都支持哪些
8、搜索引擎?1313.6系统支持对那些网站的网页发帖进行审计?1333.7为什么输入登录用户名和密码后,系统没有任何提示,仍旧显示登录页面?1343.8系统网络接口的出厂地址是多少?都有什么功能?1343.9系统默认的登录用户名和密码是多少?1343.10系统支持那些BT工具,都有哪些控制方式?1343.11与同类系统相比,网络安全审计系统V4.0有哪些优势?1343.12在系统使用过程中,到处可见到MAC地址,它到底起什么作用?1343.13系统机器列表中为什么所有机器的mac地址都一样?1353.14为何远程登录系统时会出现错误对话框-“出现运行期错误”?1353.15系统能否审计员工个人网
9、上密码?1353.16该系统是否影响网络速度?1353.17机器列表中为什么不能准确解析所有机器名?1353.18点击部分单一的url地址,系统却有多条日志记录?1363.19系统的实际用户数超过了购买时所注册的用户数怎么办,产品会如何处理?1363.20如何对机器进行分组?(A:添加新的子组)(B:向新组内添加机器)1363.21机器列表内的机器可以删除吗?1363.22什么是策略的“默认”?1373.23策略的“公开”属性起什么作用?1373.24“是否使用私有策略”属性起什么作用?1373.25策略控制支持域名吗?1373.26系统策略是对所有机器控制起作用吗?1373.27一个网站被设
10、置为外网白名单和外网黑名单,是否可以访问该网站?1373.28一个端口被同时设置为允许使用和不允许使用,请问是否可以通过该端口?1383.29系统策略和机器策略哪个策略优先级高?1383.30论坛发帖,审计到的内容是乱码?138第1章 网络安全审计系统V4.0基本功能简介1.1 网络部署模式1.1.1 旁路部署模式 示意图1 网络安全审计系统V4.0旁路基本部署示意图1.1.2 网关部署模式示意图2 网络安全审计系统V4.0网关基本部署示意图1.2 网络管理功能只在网关模式下才具有以下功能。 防火墙:网络防御、连接数限制、MAC过滤、端口映射、网络协议控制; 流量管理:按照服务优先级、子网优先
11、级、MAC优先级进行带宽管理; 网络状态:查看网关状态及活动主机状态。1.3 审计功能1. 各种协议的行为记录 HTTP:WEB,POST,搜索关键词; FTP 邮件a) SMTP/POP3;b) WEBMAIL发送审计支持、;c) WEBMAIL接收审计支持、; 网络聊天a) QQ支持以下版本的审计QQ2007beta4(7.0.371.204)、QQ2007正式版(7.0.437.400)、QQ2007II beta1(7.1.518.201)、QQ2007II beta2(7.1.576.202)、QQ2007II正式版(7.1.644.400)、QQ2008 贺岁版(V8.0.723.
12、201)、QQ2008 Beta1(V 8.0.775.201)、QQ2008 Beta2(V 8.0.836.202)、QQ2008 正式版(V 8.0.985.400)、QQ2008II Beta1(V 8.0.1252.201)、QQ2009正式版(660)、QQ2009正式版 sp1 (760)、QQ2009正式版 sp2 (860));b) TM支持以下版本的审计TM2007 Beta1 (7.0.53.201)、TM2008 Beta (264)、TM2009 Beta(750));c) MSN、WEBMSN、ICQ、 雅虎通、淘宝、UC、QQ聊天室、碧聊聊天室、飞信、gtalk、
13、doshow、doshow 聊天室、聊天室; TELNET:支持对TELNET过程的审计; 网络游戏:魔兽世界、跑跑卡丁车、 热血江湖、 qq音速、联众世界、浩方平台、QQ-game、qq-battle、CS、泡泡堂、游戏在线中心、大话西游2、边锋、远航游戏中心、互动平台游戏; 音视频:土豆网、酷6网、56网、优酷网、迅雷看看、qqlive; 文件传输:FOXY、EDONKEY、PP LIVE、PP STREAM、EMULE、FTP、BT、VNN; 股市软件的审计:大智慧系列、同花顺系列、钱龙系列、大参考系列、核新系列、168行情系列、通达信系列、博庭系列、赢家江恩系列、指南针,证券之星, 分
14、析家;2. 外发敏感数据记录(防泄密)记录上网发帖内容(目前支持对大部分常用论坛的发帖审计,比如:新浪社区、央视网、猫扑网、天涯、红豆、千龙、QQ等等)、邮件标题/正文/内容/附件、聊天内容、文件上传内容。3. 审计日志内容: 机器名 源IP 目的IP MAC地址 用户(域认证或者系统本地认证) 日期 开始时间 结束时间 时间段 源/目标端口 上网行为的协议类别 对对应上网行为关键信息的描述,如网址及对应的网址分类、EMAIL的收件人/发件人/标题/正文/附件、FTP命令/文件目录/文件名以及文件内容、POST及BBS发帖的内容、音视频协议和链接、聊天工具帐号及对应的聊天内容、网络游戏的游戏名
15、称、TELNET命令及端口,P2P工具等; 上网行为的审计状态:报警,限制,正常。4. 实时观察显示审计对象当前的上网行为状态及网络流量,支持多个组或同一组内多个机器的多选择查询。1.4 审计日志查询、统计分析功能网络安全审计系统V4.0可以根据级别(机器或者机器组)和审计方法为用户提供图表类型的统计分析审计报告;1. 报表类型: 任意机器的多协议、任意时间内的上网详细报表; 任意机器的多协议、任意时间内的外发数据详细报表; 现场观察报表:现场观察报表是实时显示用户的上网记录,即用户每发起一个上网请求,此报表都会滚动显示; 任意时间段、自定义数目的网址排名、网址类型排名,精确到个人; 对所有审
16、计对象访问BBS的行为进行统计,并且可以按照BBS的访问次数进行排名; 任意机器、任意时间段、自定义数目的流量排名; 指定审计对象的流量统计分析; 任意时间段、自定义数目的搜索关键字排名; 任何时间段内认证上网帐号的上网时长统计分析;2. 图表类型: 按照上网协议划分的访问量趋势图 按照上网行为状态分类的趋势图 用户上网访问量趋势图 用户上网流量趋势图 用户上网实时流量图 用户上网实时访问量图 用户上网带宽统计趋势图 机器组访问量趋势图 机器组流量趋势图 机器组实时流量趋势图 机器组实时访问量趋势图 机器组各个下级的各种统计类别统计饼图 机器组各个下级的各种上网协议统计饼图 任意时间段整个网络
17、的带宽使用情况分析图 1.5 管理控制功能1. 系统管理功能: 系统支持多个管理员,不同的管理员有不同的权限范围。系统对不同权限的管理人员进行功能限制,进入不同的管理界面。每一个管理员都可以被分配权限范围。界面有开销户状态判断功能。发现开户情况下,允许用户登录,发现销户的情况,所有用户禁止登录,并有相应提示。 自动解析所有审计对象的机器名、IP、MAC地址; 根据用户组织结构或IP的分配特点划分不同的审计对象组; 系统启动后,对应组里的审计对象将被自动分配到该组中; 系统管理员可以对审计对象信息进行手动修改; 系统管理员可以对审计对象进行添加、删除或更改机器组的操作; 系统管理员可以把审计对象
18、添加到黑名单或白名单中; 系统管理员可以在全局、本地、审计组以及单个审计对象四个级别部署对应审计控制策略;2. 上网行为控制功能: 时间段控制策略l 在从周一到周日的任何 (可以设置一天二十四小时中的任何时间段控制,精确到半个小时,比如9:00-9:30/1:00-2:00)的时间段内控制每一种上网行为。在允许的时间段,对应的上网行为可以正常进行,在禁止的时间段,系统对对应的上网行为采用封堵策略; IP控制策略l 对网络连接的源/目的IP进行控制,限制到指定IP/IP地址段的连接,设立外网黑/白名单,对来自黑/白名单地址的连接分别应用不同管理控制策略;针对每一种上网行为的目的IP设立对应过滤策
19、略库进行控制; 端口控制策略l 只开放允许使用端口库里的端口;l 禁止使用禁止使用端口库里的端口; 网页浏览过滤策略l 只允许访问包含关键字的URL;l 过滤含有关键字的URL;l 是否允许通过IP访问网页;l 搜索关键字过滤;l 基于URL过滤库进行分类过滤;l 是否记录通过网页上传的内容(网页发帖或从网页上传文件);l 禁止网页上传过多内容或超大文件;l 限制下载文件类型; 邮件控制策略l 只允许使用指定的邮件服务器收发邮件;l 禁止发送/接收超大邮件;l 定义敏感邮箱地址,禁止向敏感邮箱地址发送邮件; 网络聊天控制策略l 是否记录MSN、ICQ、雅虎通、UC的聊天内容; 文件传输控制策略
20、l 只能/禁止从指定的FTP服务器上传/下载文件; 远程登录控制l 是否记录远程登录的行为;l 只能/禁止远程登录到指定服务器; BT下载控制l 禁止访问BT相关URL;l 禁止访问常见的BT服务器地址; 报警设置l 可以按照网页、邮件、聊天/游戏等内容关键字报警;l 可以按照邮件帐号、聊天/游戏帐号关键字报警;1.6 扩展功能1. 系统升级。 定时自动升级:在界面配置自动升级间隔时间后,系统按照设定的时间间隔到指定的升级服务器上查询是否有新的升级包可用,一旦存在需要升级的升级包,则下载到本地自动升级. 手动触发自动升级:在界面点击“立即升级”按钮,即可执行自动升级功能。 本地升级:在界面上将
21、预先准备好的升级包上传到系统上进行升级。2. 数据自动清除。根据用户设定的数据保留时间和硬盘的利用率进行数据的自动清除。如果用户设定数据保留时间为三个月,系统将清除三个月以前的数据,如果硬盘空间使用率达到设定的最大值时,系统会进行提前清除,以保证系统正常运行。3. 数据备份功能 : 网络安全审计系统V4.0提供多种数据备份方式,可以备份全部数据,也可以只备份管理数据或者业务数据; 数据备份的时间可以灵活设置:按日备份、按周备份、按月备份,用户可以设置备份的时间点; 数据备份可以备份到FTP服务器(可以设定FTP服务器的地址); 提供工具支持对备份数据的查看;4. 自动校时:系统每隔一定时间可自
22、动与标准时间服务器同步时间。(前提是网络安全审计系统V4.0必须配置正确的DNS. 且可以访问外网),界面提供自动时间同步设置功能:选择对时服务器、选择系统所属时区以及同步频率(按日,周)。5. 数据导出。用户可以根据需要,在界面上导出系统策略或者查询的审计日志等。此数据的安全性由用户自行维护。6. 上网审计日志附带对方外网IP所在区域的显示;7. 支持域账号同步认证功能;8. 支持的代理环境有:ISA2006、ISA2004、SQUID、SOCKS5。1.7 网络安全审计系统V4.0基本性能指标1. 接入方式 采用旁路侦听方式接入网络,不改变主干网络结构; 系统可以旁听监控多个网段,多个VL
23、AN; 采用B/S架构,可以通过网内任何一台机器进行管理;2. 存储方式系统可以通过设置的日志保留时间和磁盘空间最大利用率对日志进行管理。保留日志时间不少于60天(与用户实际网络应用有关),用户也可以根据需要保存更长的时间;当超过日志保留时间或者磁盘空间最大利用率时系统将按照一定的策略自动清除不需保留的日志;3. 技术指标表1.5.1 系统技术指标特性说明网卡捕包速度60000100000pps(每秒数据包)最大网络带宽百/千兆线速最大同时处理的连接数10万个连接最大过滤逻辑处理时间8毫秒数据保存时间最少60天第2章 网络安全审计系统V4.0操作指南2.1 系统启动、登录网络安全审计系统V4.
24、0采用B/S模式进行管理,用户在网络中任何一台机器都可以通过网页浏览器登录系统:第一步:打开局域网内任意机器的IE浏览器,输入HTTPS:/系统IP地址 ,出现以下安全警报界面,选择“是”进入系统登录界面:系统登录主页面;如下图2.1.1:说明:如果不知道系统IP地址,请咨询系统的安装人员。第二步:选择界面显示的语言(简体中文/繁体中文/English)、输入用户名、密码以及校验码;(系统默认用户名admin密码123456)第三步:点击“登录”按钮进入系统主界面(如下图2.2.1),或点击“重置”按钮清除当前输入框中所有数据重新录入进行登录; 注意:1. 在登录时系统主窗口采用弹出式,因此请
25、您务必检查是否有IE插件限制了弹出窗口;2. 网络安全审计系统V4.0出厂时的用户名是admin,密码是123456。为了安全起见,请在首次登录时通过“个性设置-我的帐号-密码修改”功能,修改默认密码。2.2 系统操作界面介绍本系统由于网络部署模式的不同,主界面功能列表的菜单项会有不同。2.4和2.5章节根据网络部署模式的不同分别做了说明。其他章节的内容在两种网络部署模式下是相同的。为了便于说明,本手册将系统操作界面分成四个部分(如图2.2.1所示),通常页面的上部为系统名称和快捷按钮区,页面的左侧为导航菜单区,右侧为数据显示区,其中数据显示区的上部为查询区,中间为信息显示区。除中间的数据显示
26、区外,其它各个区都可以选择隐藏。用户可以在导航菜单栏选择不同的系统操作模式,另外,数据显示区采用OUTLOOK风格,当用户在数据显示区点击数据列表中的记录,列表下方将实时显示该记录的详情,在数据显示区上方为数据查询区,用户可以通过设置具体查询条件以便在数据列表中只显示特定的记录; 图2.2.1 系统操作界面说明2.3 系统操作模式网络安全审计系统V4.0为用户提供了两种操作模式,以满足不同用户操作习惯和不同操作目的的需求:1 面向功能的操作模式2 面向审计对象的操作模式2.3.1 面向功能的操作模式点击左侧导航菜单栏的“功能列表”标签按钮进入面向功能的操作模式,在该模式下,导航菜单栏显示如下图
27、2.3.1.1:图2.3.1.1 面向功能的操作菜单在此种操作模式下,通过点击左侧导航菜单栏的菜单列表选项进行操作;该种操作模式可以方便地对某一项或某几项网络应用的使用状况进行设置、查询、统计和分析。以查看当天网页访问审计数据为例:第一步:在左侧导航菜单栏中选择行为审计,在二级菜单中选择网页访问;第二步:右侧数据显示区显示网页访问审计页面,如下图2.3.1.2:图2.3.1.2 网页访问行为审计界面第三步:点击机器/组框旁的,弹出“选择单个机器或机器组”对话框,如下图2.3.1.3所示:图2.3.1.3 选择机器或机器组对话框第四步:在查询区,点击“显示高级查询区”按钮,输入网页访问记录的组合
28、查询条件,点击“查询”按钮,查询结果显示如下图2.3.1.4,点击任何一条查询记录可在下方区域查看详情。图2.3.1.4 查询结果2.3.2 面向审计对象的操作模式面向审计对象的操作模式包括两种:面向被监控机器、面向上网用户帐号。2.3.2.1 面向被监控机器该操作模式下,所有被审计对象以机器ip地址为标识。点击左侧导航菜单栏的机器列表标签即可进入面向被监控机器的操作模式,该模式下,导航菜单栏及数据显示区显示如下图2.3.2.1.1:图2.3.2.1.1 面向被监控机器的操作模式在机器列表操作模式下,系统在左侧导航栏中不提供系统升级、系统配置等功能,所有操作均以审计对象为核心。左侧导航菜单栏以
29、树状形式显示机器组及对应的机器列表,点击某一个组或机器后,数据显示区将显示该组/机器对应的属性,如:机器/机器组名称、机器/机器组策略、状态等信息。另外,数据显示区上方还提供了操作菜单栏,如下图2.3.2.1.2所示,选择要查看的审计类型,数据列表区将实现对应的审计记录或评估报表。图2.3.2.1.2 机器/机器组操作菜单在导航菜单栏,通过使用鼠标右键可对机器或机器组进行相关操作,如下图2.3.2.1.3所示:图2.3.2.1.3 机器/机器组右键操作菜单2.3.2.2 面向上网用户帐号该操作模式下,所有被审计对象以上网用户帐号为标识,与使用的机器ip地址无关。该操作模式只在配置了上网认证模式
30、后可用。点击左侧导航菜单栏的帐号列表标签即可进入面向上网用户帐号的操作模式,该模式下,导航菜单栏及数据显示区显示如下图2.3.2.2.1所示。相关操作同面向被监控机器的操作模式。图2.3.2.2.1面向上网用户帐号的操作菜单2.4 网关部署登录成功后,系统操作界面显示如下图2.4.1所示:图2.4.1 系统操作界面2.4.1 网络配置网关部署模式下,网络安全审计系统当作网关设备部署于企业网络中。系统默认提供一个WAN口和一个LAN口。默认LAN1口是WAN口,LAN2口是LAN口。系统初始时需要进行LAN配置,WAN配置,静态路由配置。进入功能列表,点击【网络配置】如下图2.4.1.1所示图2
31、.4.1.1 网络配置第一步:LAN配置,只能配置1个LAN口IP地址。点击【LAN配置】设置LAN口接入的IP,掩码,网关,DNS(可设置3个),带宽。如下图2.4.1.2所示图2.4.1.2 LAN配置第二步:WAN配置,可配置多个WAN口IP。点击【WAN配置】设置主WAN口信息(网卡类型,IP,掩码,网关,DNS,带宽)。如下图2.4.1.3所示图2.4.1.3 WAN配置点击上图中“新增”按钮,可设置其他WAN口IP地址。如下图2.4.1.4所示图2.4.1.4 新增WAN口IP添加WAN口IP地址后,在主WAN口配置页面以列表形式呈现新增的WAN口信息。同时可以批量删除新增的WAN
32、口信息。如下图2.4.1.5所示图2.4.1.5新增WAN口列表第三步:静态路由配置,点击【静态路由】进行局域网路由设置。可以新增和删除路由信息。如下图2.4.1.6所示图2.4.1.6 路由配置第四步:DHCP分配,默认系统的DHCP是停用的。但是用户可以设置为DHCP服务或DHCP转发。点击【DHCP分配】,在状态中选择“DHCP服务”,设置成功后,系统会自动启用DHCP服务。如下图2.4.1.7所示图2.4.1.7 DHCP服务如果需要转发其他DHCP服务器上的IP地址,则在状态中选择“DHCP转发”,设置成功后,系统会自动关闭本身的DHCP服务。如下图2.4.1.8所示图2.4.1.8
33、 DHCP转发2.4.2 防火墙点击功能列表中的【防火墙】,系统提供了网络防御功能、连接数限制功能、MAC过滤功能、端口映射和协议控制功能。2.4.2.1 网络防御网络防御提供以下功能,默认系统是启用了防御syn-flood,防御udp-flood,防御icmp-flood。如下图2.4.2.1.1: 防御syn-flood:SYN Flood是当前最流行的DoS(拒绝服务攻击)与DdoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。 防御udp-flood:UDP Flood是拒绝服务
34、(Denial of Service,DoS)的一种。拒绝服务使网站服务器充斥着大量要求回复的信息,消耗网络带宽或者系统资源(如CPU处理时间和存储器),导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。奇高的CPU占用率、大量的UDP和ICMP数据包 防御icmp-flood:ICMP Flood(ICMP 洪水攻击),当 ICMP ping 产生的大量回应请求超出了系统的最大限度,以至于系统耗费所有资源来进行响应直至再也无法处理有效的网络信息流,就是 ICMP 洪水攻击。目的是使网络瘫痪,是最常用的网络攻击行为之一。 拒绝外网ping:外网ping不通网关。 拒绝外网TCP请求:外
35、网通过tcp请求无法访问网关。图2.4.2.1.1 网络防御2.4.2.2 连接数限制进入功能列表,点击【防火墙】-【连接数限制】,可以对tcp,udp连接数进行限制。用户可以进行对所有被管理对象进行基本配置,也可以对特别对象自定义规则。如下图2.4.2.2.1:图2.4.2.2.1 连接数限制 点击【基本配置】按钮,基本配置如下图2.4.2.2.2:图2.4.2.2.2 基本配置 点击【新增】按钮,选择被监控对象自定义规则,默认新增的每条规则的状态是启用,但是只有选中“启用规则设置”后,启用状态的自定义规则才生效。用户可以把规则定义为“停用”,停用的规则不生效。如下图2.4.2.2.3:图2
36、.4.2.2.3 自定义规则注意:如果基本配置和自定义规则都对同一对象设置了限制条数,则取最小值生效。 2.4.2.3 MAC过滤进入【MAC过滤】页面,点击“新增“按钮,定义需要被过滤的MAC,被管理对象的MAC如果在过滤列表中则不能进行任何上网行为。如下图2.4.2.3.1:图2.4.2.3.1 新增MAC注意:默认新增的每条规则的状态是启用,但是只有选中“启用规则设置”后,启用状态的自定义规则才生效。用户可以把规则定义为“停用”,停用的规则不生效。如下图2.4.2.3.2:图2.4.2.3.2 MAC列表2.4.2.4 端口映射进入【端口映射】页面,点击“新增“按钮,定义需要被映射的端口
37、(可以是指定的端口或任意端口)和IP。以便外网可以访问局域网内网IP。如下图2.4.2.4.1所示:图2.4.2.4.1 新增端口映射注意:默认新增的每条规则的状态是启用,但是只有选中“启用规则设置”后,启用状态的自定义规则才生效。用户可以把规则定义为“停用”,停用的规则不生效。同图2.4.2.3.2操作。2.4.2.5 协议控制列表进入【协议控制列表】页面,点击“新增“按钮,设置被选定的对象在指定的时间段不能进行的网络协议行为。被控制对象可以是机器/组和子网。时间可以精确到每天的时分。如下图2.4.2.5.1所示:图2.4.2.5.1 新增协议控制注意:默认新增的每条规则的状态是启用,但是只
38、有选中“启用规则设置”后,启用状态的自定义规则才生效。用户可以把规则定义为“停用”,停用的规则不生效。同图2.4.2.3.2操作。2.4.3 流量管理可以根据服务优先级、子网优先级和MAC优先级进行带宽管理。2.4.3.1 服务优先级进入【服务优先级】页面,点击“新增“按钮,可以定义不同协议的优先级。优先级分为:最高,高,标准,低,最低。如下图2.4.3.1.1所示:图2.4.3.1.1 新增服务优先级注意:默认新增的每条规则的状态是启用,但是只有选中“启用规则设置”后,启用状态的自定义规则才生效。用户可以把规则定义为“停用”,停用的规则不生效。同图2.4.2.3.2操作。2.4.3.2 子网
39、优先级进入【子网优先级】页面,点击“新增“按钮,可以定义不同协议的优先级。优先级分为:最高,高,标准,低,最低。如下图2.4.3.2.1所示:图2.4.3.2.1 新增子网优先级注意:默认新增的每条规则的状态是启用,但是只有选中“启用规则设置”后,启用状态的自定义规则才生效。用户可以把规则定义为“停用”,停用的规则不生效。同图2.4.2.3.2操作。2.4.3.3 MAC优先级进入【MAC优先级】页面,点击“新增“按钮,可以定义不同协议的优先级。优先级分为:最高,高,标准,低,最低。如下图2.4.3.3.1所示:图2.4.3.3.1 新增MAC优先级注意:默认新增的每条规则的状态是启用,但是只
40、有选中“启用规则设置”后,启用状态的自定义规则才生效。用户可以把规则定义为“停用”,停用的规则不生效。同图2.4.2.3.2操作。2.4.3.4 带宽管理进入【带宽管理】页面,点击“新增”按钮,可以对指定对象在特定时间进行带宽管理。被控制对象可以是机器/组和子网。时间可以精确到每天的时分。协议可以同时选择多个。如下图2.4.3.4.1所示:图2.4.3.4.1 带宽管理注意: 默认新增的每条规则的状态是启用,但是只有选中“启用规则设置”后,启用状态的自定义规则才生效。用户可以把规则定义为“停用”,停用的规则不生效。同图2.4.2.3.2操作。 按照上述优先级,指定的协议优先使用指定的带宽。对每
41、种协议可以进行上行和下行限制。同时也可以在带宽有剩余时,让指定的协议来使用。2.4.4 网络状态可以查看网关状态和活动主机状态。进入【网关状态】页面显示网关的相关信息,如下图2.4.4.1所示:图2.4.4.1 网关状态进入【活动主机状态】页面,显示被管理对象的相关网络使用信息。如下图2.4.4.2所示:图2.4.4.2 活动主机状态2.5 旁路部署登录成功后,系统操作界面显示如下图2.5.1所示:图2.5.1 系统操作界面2.5.1 网络配置点击【网络配置】即可进入网络配置修改界面,如下图2.5.1.1;配置内容包括:IP、掩码、网关、DNS。说明:为了保证管理页面可以被正常访问,网络配置项
42、的内容必须设置正确!如果不知道,请联系您的网络管理员。图2.5.1.1 网络配置2.6 审计对象管理网络安全审计系统V4.0对所有审计对象采用“组”和“审计对象”两个级别进行管理,用户可以根据自身网络管理的需要或业务组织结构通过网络安全审计系统V4.0把所有的审计对象划分成不同的组,管理员可以为每个组制定组管理策略,也可以为每个审计对象设定只针对此机器的管理策略。2.6.1 机器组管理网络安全审计系统V4.0中,默认提供三个机器组信息:机器信息、默认组、机器回收站。所有机器组均创建在“机器信息”下面。在没有设置自动创建机器组功能,或者新发现的机器未设置自动添加到机器组的功能时,所有发现的机器均
43、添加到“默认组”中。执行删除操作的机器将被移入机器回收站。在机器列表的每个机器组名称后面会有“线机器数/该组总的机器数”显示机器组的下拉功能菜单如下图2.6.1:图2.6.1 机器组下拉功能菜单2.6.1.1 添加机器组用鼠标点击左侧导航栏机器列表,然后在机器信息上使用鼠标右键,在弹出菜单中选择添加子组,在数据显示区将显示添加机器组页面,录入相关信息后,按“确定”按钮即可添加成功。如下图2.6.1.1所示:图2.6.1.1 添加机器组2.6.1.2 更改、设置机器组属性机器组属性包括: 机器组名称:机器组名称必须唯一; 机器组策略:当前应用于该机器组生效的机器组管理策略; 是否使用私有策略:如
44、果使用私有策略,当上级组的组策略更改时,该组策略不发生变化; 是否需要认证:当采用LDAP或本地帐号上网认证时,需要选择该项; 是否默认组:在没有设置自动创建机器组功能,或者新发现的机器未设置自动添加到机器组的功能时,所有发现的机器均添加到“默认组”中,仅有一个机器组为默认组,如果某个组被设置为默认组,则原先设置的默认组会自动改为非默认组; 是否把机器自动增加到组中:设定是否开启“自动分组IP段内的新增机器发现后自动添加到该组内“的功能; 自动分组IP段设置:指定IP段,所有属于该地址段内的机器将被自动添加到机器组中(需把“是否把机器自动增加到组”设置为“是”); 机器组描述:标识该组职能或类别,非唯一;用户可以在建立机器组时设置机器组属性,也可以在弹出菜单栏中选择“修改本组”项,更改机器组原有属性;2.6.1.3 删除机器组用鼠标右键点击机器列表中所要删除的机器组,在弹出菜单中选择“删除本组”即可删除选定的机器组;被删除的机器组内的机器将被自动移入“recycle”内。2.6.1.4 向指定机器组添加机器用鼠标右键点击机器组,弹出机器组管理菜单(如下图2.6.1.4所示),在菜单栏中选择“添加机器
