网络安全审计系统用户手册.docx
《网络安全审计系统用户手册.docx》由会员分享,可在线阅读,更多相关《网络安全审计系统用户手册.docx(38页珍藏版)》请在冰豆网上搜索。
网络安全审计系统用户手册
网络安全审计系统
用户手册
2010年7月12日
初稿)
1.1网络部署模式3
1.1.1旁路部署模式3
1.2系统启动、登录3
1.3系统操作界面介绍4
1.4系统操作模式5
1.4.1面向功能的操作模式5
1.4.2面向审计对象的操作模式7
1.5审计对象管理8
1.5.1机器组管理8
1.5.2机器管理13
1.6管理策略15
1.6.1控制策略15
1.7审计日志查询23
1.7.1行为审计24
1.7.2内容审计30
1.7.3现场观察32
1.8网络中使用路由器的改造方法34
1.9设备使用注意事项35
网络安全审计系统基本功能简介
1.1网络部署模式
1.1.1旁路部署模式
网络安全审计系统旁路基本部署示意图
1.2系统启动、登录
网络安全审计系统采用B/S模式进行管理,用户在网络中任何一台机器都可以通过网页浏览器登录系统:
第一步:
打开局域网内任意机器的IE浏览器,输入HTTPS:
//系统IP地址,出现以下安全警报界面,选择“是”进入系统登录界面:
说明:
如果不知道系统IP地址,请咨询系统的安装人员。
第二步:
选择界面显示的语言(简体中文/繁体中文/English)、输入用户名、密码以及校验码;(系统默认用户名admin密码123456)
第三步:
点击“登录”按钮进入系统主界面,或点击“重置”按钮清除当前输入框中所有数据重新录入进行登录;
1.在登录时系统主窗口采用弹出式,因此请您务必检查是否有IE插件限制了弹出窗口;
2.网络安全审计系统出厂时的用户名是admin,密码是123456。
为了安全起见,请在首次登录时通过“个性设置->我的帐号->密码修改”功能,修改默认密码。
1.3系统操作界面介绍
为了便于说明,本手册将系统操作界面分成四个部分,通常页面的上部为系统名称和快捷按钮区,页面的左侧为导航菜单区,右侧为数据显示区,其中数据显示区的上部为查询区,中间为信息显示区。
除中间的数据显示区外,其它各个区都可以选择隐藏。
用户可以在导航菜单栏选择不同的系统操作模式,另外,数据显示区采用OUTLOOK风格,当用户在数据显示区点击数据列表中的记录,列表下方将实时显示该记录的详情,在数据显示区上方为数据查询区,用户可以通过设置具体查询条件以便在数据列表中只显示特定的记录;
1.4系统操作模式
网络安全审计系统为用户提供了两种操作模式,以满足不同用户操作习惯和不同操作目的的需求:
1.面向功能的操作模式
2.面向审计对象的操作模式
1.4.1面向功能的操作模式
示如下图
点击左侧导航菜单栏的“功能列表”标签按钮进入面向功能的操作模式,在该模式下,导航菜单栏显
在此种操作模式下,通过点击左侧导航菜单栏的菜单列表选项进行操作;该种操作模式可以方便地对
某一项或某几项网络应用的使用状况进行设置、查询、统计和分析。
以查看当天网页访问审计数据为例:
第一步:
在左侧导航菜单栏中选择[行为审计],在二级菜单中选择[网页访问];
第二步:
右侧数据显示区显示网页访问审计页面,
第三步:
点击机器/组框旁的,弹出“选择单个机器或机器组”对话框
第四步:
在查询区,点击“显示高级查询区”按钮,输入网页访问记录的组合查询条件,点击“查询”按钮,查询结果显示如下图,点击任何一条查询记录可在下方区域查看详情。
1.4.2面向审计对象的操作模式
1.4.2.1面向被监控机器
该操作模式下,所有被审计对象以机器ip地址为标识。
点击左侧导航菜单栏的[机器列表]标签即
可进入面向被监控机器的操作模式,该模式下,导航菜单栏及数据显示区显示如下图:
在机器列表操作模式下,系统在左侧导航栏中不提供系统升级、系统配置等功能,所有操作均以审计对象为核心。
左侧导航菜单栏以树状形式显示机器组及对应的机器列表,点击某一个组或机器后,数据显示区将显示该组/机器对应的属性,如:
机器/机器组名称、机器/机器组策略、状态等信息。
另外,数据显示区上方还提供了操作菜单栏,如下图所示,选择要查看的审计类型,数据列表区将实现对应的审计记录或评估报表。
在导航菜单栏,通过使用鼠标右键可对机器或机器组进行相关操作,如下图所示:
1.5审计对象管理
网络安全审计系统对所有审计对象采用“组”和“审计对象”两个级别进行管理,用户可以根据自身网络管理的需要或业务组织结构通过网络安全审计系统把所有的审计对象划分成不同的组,管理员可以为每个组制定组管理策略,也可以为每个审计对象设定只针对此机器的管理策略。
1.5.1机器组管理
网络安全审计系统中,默认提供三个机器组信息:
机器信息、默认组、机器回收站。
所有机器组均创建在“机器信息”下面。
在没有设置自动创建机器组功能,或者新发现的机器未设置自动添加到机器组的
功能时,所有发现的机器均添加到“默认组”中。
执行删除操作的机器将被移入机器回收站。
在机器列表
的每个机器组名称后面会有“线机器数/该组总的机器数”显示机器组的下拉功能菜单如下图
1.5.1.1添加机器组
[添加
用鼠标点击左侧导航栏[机器列表],然后在[机器信息]上使用鼠标右键,在弹出菜单中选择
子组],在数据显示区将显示添加机器组页面,录入相关信息后,按“确定”按钮即可添加成功。
如下
图所示:
1.5.1.2更改、设置机器组属性
机器组属性包括:
机器组名称:
机器组名称必须唯一;
机器组策略:
当前应用于该机器组生效的机器组管理策略;
是否使用私有策略:
如果使用私有策略,当上级组的组策略更改时,该组策略不发生变化;是否需要认证:
当采用LDAP或本地帐号上网认证时,需要选择该项;是否默认组:
在没有设置自动创建机器组功能,或者新发现的机器未设置自动添加到机器组的功能时,所有发现的机器均添加到“默认组”中,仅有一个机器组为默认组,如果某个组被设置为默认组,则原先设置的默认组会自动改为非默认组;是否把机器自动增加到组中:
设定是否开启“自动分组IP段内的新增机器发现后自动添加到该组内“的功能;
自动分组IP段设置:
指定IP段,所有属于该地址段内的机器将被自动添加到机器组中(需把“是否把机器自动增加到组”设置为“是”);机器组描述:
标识该组职能或类别,非唯一;
用户可以在建立机器组时设置机器组属性,也可以在弹出菜单栏中选择“修改本组”项,更改机器组原有属性;
1.5.1.3删除机器组
用鼠标右键点击机器列表中所要删除的机器组,在弹出菜单中选择“删除本组”即可删除选定的
机器组;被删除的机器组内的机器将被自动移入“recycle”内。
1.5.1.4向指定机器组添加机器
用鼠标右键点击机器组,弹出机器组管理菜单
在菜单栏中选择“添加机器”项,右侧数据显示区
显示添加机器页面,如下图
网络安全审计系统提供了两种向机器组中添加机器的操作方式:
手动添加单台机器;
录入必要的机器属性信息:
机器名称、IP、MAC地址(打*号的为必填项);其它非必要信息用户可
以在添加操作完成后通过修改机器属性进行更改;点击“确定”完成添加;
批量添加机器;
在IP段内指定需要批量添加的机器的IP范围,点击“添加”按钮,用户可以一次添加多个IP段,已添加的IP段将依次显示在下方信息框内,用户可以选择某一个IP段,通过点击“删除选中”按钮对已添加的IP段进行删除操作,用户对已添加的IP段确定无误后点击“确定”按钮,所添加IP段内的机器将被自动添加到当前机器组内;
说明:
批量添加机器功能只用于将已发现的机器从别的机器组移入当前机器组,而不是批量创建新的机
1.5.1.5删除机器
在任意机器组/机器上使用鼠标右键将弹出功能菜单,选择“移入机器回收站”菜单子项,将弹出
移入机器回收站?
”的问询框。
在回收站中删除机器只有在该机器不存在任何审计日志情况下才可删除,否则弹出“存在审计日志不能删除”提示框。
1.5.1.6机器组策略
在面向审计对象的操作中,用户可以方便的针对机器组进行审计策略的修改,步骤如下:
第一步:
点击要修改审计策略的机器组。
第二步:
点击数据显示区上方的“查看策略”按钮,系统显示当前机器组策略如下图所示,用户可在当前页面修改当前机器组策略,点击“确定”按钮保存该策略设置。
1.5.1.7批量更改机器组成员属性
为了操作方便,在机器组属性界面中提供了批量更改该机器组下所有成员的监控属性的操作,步
骤如下:
第一步:
点击要修改的机器组,此时数据显示区将显示该机器组的属性界面。
第二步:
点击数据显示区上方的“机器列表”按钮。
系统将在数据显示区显示当前机器组内所有审计对象的机器属性。
第三步:
通过点击机器名称前的选择框选择全部或多台机器,然后在操作项下拉框选择对应的操
作,如下图
部分操作项说明:
更改属组:
将当前选择的机器移入到其他机器组内。
1.5.1.8批量添加黑白名单
在机器列表界面后,在要设置为黑白名或者白名单的机器名称前打勾,再选择“操作项”列表中的“黑名单”或者“白名单”即可。
说明:
白名单:
白名单中的机器不受审计管理策略限制,系统不记录,也不限制白名单内的机器的上网行为;
黑名单:
黑名单中的机器所有的上网行为将全部被封堵;
1.5.2机器管理
下面介绍针对单个审计对象的管理功能:
机器属性、机器策略,其它的评估报表、现场观察、内容审
计、行为审计等功能与机器组管理中的功能相似的操作。
1.5.2.1机器属性
点击机器列表内任意
台机器,数据显示区将显示该机器的机器属性,如下图
机器属性说明如下:
机器名称:
即机器在网络上的标识名,正常状态下无须用户手动输入,网络安全审计系统可以通过对网络内所有机器进行扫描自动解析所有机器的机器名称,如果目标机器安装了防火墙等软件,系统有可能无法正确解析出目标主机的机器名称而采用IP代替;使用者:
网络管理者在系统中用来唯一确认/绑定每台目标主机的标识;
IP地址:
同机器名称,无须用户手动输入,系统可自动解析获得;
MAC地址:
同机器名称,无须用户手动输入,系统可自动解析获得;是否使用私有策略:
如果使用私有策略,当其组策略更改时,该机器策略不发生变化;是否需要认证:
对机器进行上网认证时,需开启该设置项;机器策略:
显示当前机器应用的策略,用户可以通过下拉列表选择其它管理策略;监控系统:
在分布式环境下,用户可以选择其所属的监控系统,单机版该项不可更改;状态:
用户可以通过状态下拉列表更改当前审计对象的受控状态,也可以在机器列表的右键弹出菜单栏中选择对应的选项更改其受控状态;正常受控:
属于正常审计对象范围,根据审计管理策略对所属范围内的所有审计行为进行审计记录和管理;白名单:
白名单中的机器不受审计管理策略限制,系统不记录,也不限制管理白名单内的机器的上网行为;黑名单:
黑名单中的机器所有的上网行为将全部被封堵;更改机器属性完毕,点击“确定”按钮保存设置;
1.5.2.2机器策略
跟机器组策略类似,系统提供针对单个机器进行策略修改的功能。
操作步骤如下:
第一步:
在[机器列表]中点击要修改策略的机器名称。
第二步:
点击数据显示区上方的“查看策略”按钮,系统显示当前机器组策略如下图,用户可在
当前页面修改当前机器组策略,点击“确定”按钮保存该策略设置
1.6管理策略
系统管理员通过网络安全审计系统的管理策略配置功能,可以对审计对象的上网行为管理和审计的措施进行配置组合;策略可以被应用于机器组和机器中,点击功能列表中的[管理策略]进入各项策略配置页面。
1.6.1控制策略
控制策略又称用户策略,管理员可以创建多条控制策略并把它们运用到不同的机器或者机器组。
控制策略配置界面如图所示:
1.6.1.1策略管理
对策略的管理功能主要有新增、修改、删除、设置默认策略、导出、导入、策略查询、策略应用到具体机器和账号的查询,初始安装系统带有default策略,并被设置为默认策略,默认策略不允许被删除。
1.新增策略
点击控制按钮区的[新增]按钮进入增加控制策略页面,如下图所示:
配置策略完毕后,点“确定”按钮保存策略配置。
添加策略操作成功后,用户可在操作栏下方策
略列表中找到新增的策略项;
2.修改策略
在策略列表中点击需要修改的策略名称,该策略对应配置将显示在策略列表下方,修改完毕,点
击“确认”按钮保存设置;如下图所示:
3.删除策略
方法1:
点击策略列表中所要删除的策略后面对应的按钮,在确认删除对话框中选择确认,系
统提示删除成功;
方法2:
通过点击策略列表所要删除的策略名称前的选择框,选择单个或多个需要删除的策略,然后点击控制按钮区的“删除”按钮,在确认删除对话框中选择确认,系统提示删除成功;说明:
默认策略和正在使用的策略不能被删除。
4.设置默认策略点击策略列表所要设为默认策略的策略名称前的选择框,只能选一条策略,点击操作栏“设置默认”按钮,系统提示设置默认策略成功;
说明:
默认策略不能对其进行删除;
新发现的机器将默认使用“默认策略”;
5.导出策略选择需要导出的策略,然后点击控制按钮区的“导出”按钮,在弹出对话框中点击“保存”,选择策略保存的位置后即可。
6.导入策略
点击控制按钮区的“导入”按钮,系统显示导入策略页面,如下图所示:
.BIN),然后点击应用对象栏的按
点击“浏览”按钮选择需要导入的策略文件(如:
机器策略钮,选择策略所要应用的机器或机器组即可。
7.查询策略
系统提供按策略名称、策略描述、策略状态进行查询的功能,如下图所示。
可以使用一种或全部
查询条件进行组合查询,以便只显示符合条件的策略列表。
1.6.1.2策略基本信息
在基本信息配置项中用户可以配置:
策略名称:
当前策略的策略名称;
策略描述:
在策略描述中对策略的用途予以说明;是否公开:
设定此策略的状态属性,如果选择“是”即设为公共策略,则其他用户登录后也能看到并使用该策略,反之选择“否”即设为私有策略,其他用户登录后将看不到这个策略。
只有公开策略才能被设置为默认策略。
策略关联机器和账号的查看:
点击“关联机器”,就可以查看该条策略具体应用到了那些机器;
1.6.1.3时间段设置
管理员可以在时间段设置页面通过“全局”选项控制所有上网行为的时间段,也可以单独针对某一种上网行为进行设置。
新增策略的时间段设置缺省为空,即所有上网行为在任何时间都被禁止。
用户可通过鼠标拖动设置时间段,也可以通过下方的“全部上班时间、全部下班时间、全部时间、全部全清”快捷按钮设置时间段,或在具体协议上使用鼠标右键,使用弹出的下拉菜单来设置时间段。
如图
说明:
时间段设置界面,蓝色显示块表示允许上网,白色表示禁止上网。
工作时间需要在“系统管理->系统配置”中进行设置。
时间段设置的最小单位是0.5小时。
通过标签页可以对星期一到星期天进行不同的时间段设置。
通过“应用于⋯”功能按钮,可以将当前星期几的时间段设置快捷地应用到其他日。
1.6.1.4端口控制
端口控制用于设置开放或关闭网络中的某些端口,端口是网络服务协议及应用的重要标识,管理
员可以通过网络安全审计系统指定开放和禁止的端口,实现对各种上网行为的有效控制;
操作说明:
添加允许使用的端口点击“只能使用指定端口”操作栏的更改设置,弹出添加端口对话框,如上图所示。
在端口输入框中录入所要添加的端口,点击“添加”按钮,列表中将显示您添加的端口。
点击“保存”按钮保存所添加的端口并且返回端口控制主页面;
添加禁止使用的端口点击“禁止使用指定端口”操作栏的更改设置,弹出禁止端口设置对话框,在端口输入框中录入所要禁止的端口,点击“添加”按钮,列表中将显示您添加的端口。
点击“保存”按钮保存所添加的端口并且返回端口控制主页面;在端口控制主页面的状态栏选择框选择需要在当前策略中生效的端口控制设置。
(说明:
只能使用指定端口与禁止使用指定端口两项为互斥关系,不可同时选择)。
采用“只能使用指定端口”进行控制时:
上网行为使用的端口号在“只能使用指定端口”内的将被允许,其他上网行为将被封堵。
采用“禁止使用指定端口”进行控制时:
上网行为使用的端口号在“禁止使用指定端口”内的将被封堵,其他上网行为将被允许。
1.6.1.5网页访问
URL关键字、搜索关键字等设
通过网页访问控制策略,管理员可以根据需要通过分类网址过滤库、
置过滤策略,控制审计对象可以访问的网站类别及网页,禁止用户通过网页下载某种指定类型的文件,
记录审计对象的网页上传内容等;
操作说明:
只允许访问包含关键字的URL网络安全审计系统可以对用户访问网页的URL进行搜索和分析,根据用户设置的敏感关键字与访
问URL进行对比模糊匹配,当发现审计对象所访问的URL中不包含有敏感关键字时,系统将对该
网页进行封堵;用户通过点击“只允许访问包含关键字的URL”栏的“更改设置”按钮进入URL关
键字设置对话框添加需要设置的关键字;
过滤所有含有关键字的URL
网络安全审计系统可以对用户访问网页的
URL进行搜索和分析,根据用户设置的敏感关键字与访
问URL进行对比匹配,当发现审计对象所访问的URL中包含有敏感关键字时,系统将对该网页进
行封堵;用户通过点击过滤所有含关键字的URL栏的“更改设置”按钮进入URL关键字过滤设置对话框添加需要设置的敏感关键字,其中“类型”为用户自行设置起标识作用。
允许通过IP访问网页
禁止或允许用户直接在网页浏览器地址栏中以IP的形式访问网站,该功能默认状态为不允许;搜索引擎的搜索关键字过滤
在搜索关键字列表中添加需要禁止的搜索关键字,如果审计对象在搜索引擎中输入的搜索关键字与系统设定的搜索关键字列表中的关键字相匹配,则系统将发送封堵信息禁止审计对象通过搜索引擎以该关键词来搜索;操作设置同过滤所有含关键字的URL项;
记录通过网页上传的内容(网页发贴或网页发送邮件)
该项设置允许管理员通过网络安全审计系统V4.0记录审计对象通过网页形式上传的内容,包括网页发贴、网页上传文件以及以WEBMAIL的形式发送的邮件内容等;
禁止网页上传过多内容或超大文件系统可以设定允许通过网页上传内容或文件的最大限度,如果审计对象上传的大小超过此数值,系统将会发送封堵信息断开连接。
1.6.1.6邮件
通过邮件收发审计策略的设置,管理员可方便的对被监控机器的邮件行为进行记录和控制。
说明:
该控制项仅对SMTP/POP3邮件协议有效!
操作说明:
限制收发邮件的服务器
在收发邮件控制的主页面,用户可以通过以下四项限定允许或禁止接收/发送邮件的邮件服务器:
允许从指定的POP3服务器接收邮件
禁止从指定的POP3服务器接收邮件
允许使用指定的SMTP服务器发送邮件
禁止使用指定的SMTP服务器发送邮件
禁止发送超大邮件/禁止接收超大邮件
系统可以控制基于POP3/SMTP协议收发的邮件的大小,用户可以在下列允许接收/发送邮件的大小
阀值设置对话框中设置允许审计对象发送的邮件的最大值,超过最大值的发送/接收邮件将被禁止收发。
禁止向敏感邮箱地址发送邮件系统可以通过定义敏感收件人邮箱地址列表对外发邮件的收件人进行限制,当审计对象利用
OUTLOOK或FOXMAIL通过SMTP协议发送邮件时,系统将把解析出的收件人地址与发送邮件敏感地址列表进行比对,如果匹配则禁止把该邮件发送;用户可在发送邮件敏感地址设置对话框中依次添加敏感邮件收件人地址,这个设置支持通配符形式,例如输入:
@,则所有发向以
@结束的邮件地址的邮件都被封堵。
1.6.1.7BT下载
网络安全审计系统可以禁止访问BT相关URL和禁止访问常见的BT服务器地址,用户可以设定被
禁止的地址,一旦用户访问该地址,系统将即刻进行封堵;
1.7审计日志查询
网络安全审计系统提供了三种方式的审计模式:
行为审计:
行为审计是网络安全审计系统的基本功能模块,行为审计主要对所有支持的审计协议的上网行为的基本信息进行记录和审计;
内容审计:
内容审计是网络安全审计系统的高级功能模块,内容审计主要针对聊天、邮件、网页POST、文件传输等涉及到有可能出现因涉密引起法律纠纷的上网行为,系统可以完全记录此类上网行为的内容;
现场观察:
现场观察是网络安全审计系统的基本功能模块,用户可以通过现场观察实时审计单个或一组审计对象当前的上网行为、状态或网络流量;
1.7.1行为
升级会员 