网络安全审计系统用户手册(共35页).doc

《网络安全审计系统用户手册(共35页).doc》由会员分享，可在线阅读，更多相关《网络安全审计系统用户手册(共35页).doc（35页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上网络安全审计系统用户手册2010年7月12日 （初稿）目 录网络安全审计系统基本功能简介1.1 网络部署模式1.1.1 旁路部署模式 网络安全审计系统旁路基本部署示意图1.2 系统启动、登录网络安全审计系统采用B/S模式进行管理，用户在网络中任何一台机器都可以通过网页浏览器登录系统：第一步：打开局域网内任意机器的IE浏览器，输入HTTPS:/系统IP地址 ，出现以下安全警报界面，选择“是”进入系统登录界面：说明：如果不知道系统IP地址，请咨询系统的安装人员。第二步：选择界面显示的语言（简体中文/繁体中文/English）、输入用户名、密码以及校验码；（系统默认用户名a

2、dmin密码）第三步：点击“登录”按钮进入系统主界面，或点击“重置”按钮清除当前输入框中所有数据重新录入进行登录； 注意：1. 在登录时系统主窗口采用弹出式，因此请您务必检查是否有IE插件限制了弹出窗口；2. 网络安全审计系统出厂时的用户名是admin,密码是。为了安全起见,请在首次登录时通过“个性设置-我的帐号-密码修改”功能，修改默认密码。1.3 系统操作界面介绍为了便于说明，本手册将系统操作界面分成四个部分，通常页面的上部为系统名称和快捷按钮区，页面的左侧为导航菜单区，右侧为数据显示区，其中数据显示区的上部为查询区，中间为信息显示区。除中间的数据显示区外，其它各个区都可以选择隐藏。用户可

3、以在导航菜单栏选择不同的系统操作模式，另外，数据显示区采用OUTLOOK风格，当用户在数据显示区点击数据列表中的记录，列表下方将实时显示该记录的详情，在数据显示区上方为数据查询区，用户可以通过设置具体查询条件以便在数据列表中只显示特定的记录； 1.4 系统操作模式网络安全审计系统为用户提供了两种操作模式，以满足不同用户操作习惯和不同操作目的的需求：1 面向功能的操作模式2 面向审计对象的操作模式1.4.1 面向功能的操作模式点击左侧导航菜单栏的“功能列表”标签按钮进入面向功能的操作模式，在该模式下，导航菜单栏显示如下图在此种操作模式下，通过点击左侧导航菜单栏的菜单列表选项进行操作；该种操作模式

4、可以方便地对某一项或某几项网络应用的使用状况进行设置、查询、统计和分析。以查看当天网页访问审计数据为例：第一步：在左侧导航菜单栏中选择行为审计，在二级菜单中选择网页访问；第二步：右侧数据显示区显示网页访问审计页面， 第三步：点击机器/组框旁的，弹出“选择单个机器或机器组”对话框: 第四步：在查询区，点击“显示高级查询区”按钮，输入网页访问记录的组合查询条件，点击“查询”按钮，查询结果显示如下图，点击任何一条查询记录可在下方区域查看详情。1.4.2 面向审计对象的操作模式1.4.2.1 面向被监控机器该操作模式下，所有被审计对象以机器ip地址为标识。点击左侧导航菜单栏的机器列表标签即可进入面向被

5、监控机器的操作模式，该模式下，导航菜单栏及数据显示区显示如下图：在机器列表操作模式下，系统在左侧导航栏中不提供系统升级、系统配置等功能，所有操作均以审计对象为核心。左侧导航菜单栏以树状形式显示机器组及对应的机器列表，点击某一个组或机器后，数据显示区将显示该组/机器对应的属性，如：机器/机器组名称、机器/机器组策略、状态等信息。另外，数据显示区上方还提供了操作菜单栏，如下图所示，选择要查看的审计类型，数据列表区将实现对应的审计记录或评估报表。在导航菜单栏，通过使用鼠标右键可对机器或机器组进行相关操作，如下图所示：1.5 审计对象管理网络安全审计系统对所有审计对象采用“组”和“审计对象”两个级别进

6、行管理，用户可以根据自身网络管理的需要或业务组织结构通过网络安全审计系统把所有的审计对象划分成不同的组，管理员可以为每个组制定组管理策略，也可以为每个审计对象设定只针对此机器的管理策略。1.5.1 机器组管理网络安全审计系统中，默认提供三个机器组信息：机器信息、默认组、机器回收站。所有机器组均创建在“机器信息”下面。在没有设置自动创建机器组功能，或者新发现的机器未设置自动添加到机器组的功能时，所有发现的机器均添加到“默认组”中。执行删除操作的机器将被移入机器回收站。在机器列表的每个机器组名称后面会有“线机器数/该组总的机器数”显示机器组的下拉功能菜单如下图1.5.1.1 添加机器组用鼠标点击左

7、侧导航栏机器列表,然后在机器信息上使用鼠标右键，在弹出菜单中选择添加子组，在数据显示区将显示添加机器组页面，录入相关信息后，按“确定”按钮即可添加成功。如下图所示：1.5.1.2 更改、设置机器组属性机器组属性包括： 机器组名称：机器组名称必须唯一； 机器组策略：当前应用于该机器组生效的机器组管理策略； 是否使用私有策略：如果使用私有策略，当上级组的组策略更改时，该组策略不发生变化； 是否需要认证：当采用LDAP或本地帐号上网认证时，需要选择该项； 是否默认组：在没有设置自动创建机器组功能，或者新发现的机器未设置自动添加到机器组的功能时，所有发现的机器均添加到“默认组”中，仅有一个机器组为默认

8、组，如果某个组被设置为默认组，则原先设置的默认组会自动改为非默认组； 是否把机器自动增加到组中：设定是否开启“自动分组IP段内的新增机器发现后自动添加到该组内“的功能； 自动分组IP段设置：指定IP段，所有属于该地址段内的机器将被自动添加到机器组中（需把“是否把机器自动增加到组”设置为“是”）； 机器组描述：标识该组职能或类别，非唯一；用户可以在建立机器组时设置机器组属性，也可以在弹出菜单栏中选择“修改本组”项，更改机器组原有属性；1.5.1.3 删除机器组用鼠标右键点击机器列表中所要删除的机器组，在弹出菜单中选择“删除本组”即可删除选定的机器组；被删除的机器组内的机器将被自动移入“recyc

9、le”内。1.5.1.4 向指定机器组添加机器用鼠标右键点击机器组，弹出机器组管理菜单,在菜单栏中选择“添加机器”项，右侧数据显示区显示添加机器页面，如下图网络安全审计系统提供了两种向机器组中添加机器的操作方式： 手动添加单台机器；录入必要的机器属性信息：机器名称、IP、MAC地址（打*号的为必填项）；其它非必要信息用户可以在添加操作完成后通过修改机器属性进行更改；点击“确定”完成添加； 批量添加机器；在IP段内指定需要批量添加的机器的IP范围，点击“添加”按钮，用户可以一次添加多个IP段，已添加的IP段将依次显示在下方信息框内，用户可以选择某一个IP段，通过点击“删除选中”按钮对已添加的IP

10、段进行删除操作，用户对已添加的IP段确定无误后点击“确定”按钮，所添加IP段内的机器将被自动添加到当前机器组内；说明：批量添加机器功能只用于将已发现的机器从别的机器组移入当前机器组，而不是批量创建新的机器名。1.5.1.5 删除机器在任意机器组/机器上使用鼠标右键将弹出功能菜单，选择“移入机器回收站”菜单子项，将弹出“移入机器回收站？”的问询框。在回收站中删除机器只有在该机器不存在任何审计日志情况下才可删除，否则弹出“存在审计日志不能删除”提示框。1.5.1.6 机器组策略在面向审计对象的操作中，用户可以方便的针对机器组进行审计策略的修改，步骤如下：第一步：点击要修改审计策略的机器组。 第二步

11、：点击数据显示区上方的“查看策略”按钮，系统显示当前机器组策略如下图所示，用户可在当前页面修改当前机器组策略，点击“确定”按钮保存该策略设置。1.5.1.7 批量更改机器组成员属性为了操作方便，在机器组属性界面中提供了批量更改该机器组下所有成员的监控属性的操作，步骤如下：第一步：点击要修改的机器组，此时数据显示区将显示该机器组的属性界面。第二步：点击数据显示区上方的“机器列表”按钮。系统将在数据显示区显示当前机器组内所有审计对象的机器属性。第三步：通过点击机器名称前的选择框选择全部或多台机器，然后在操作项下拉框选择对应的操作，如下图部分操作项说明： 更改属组：将当前选择的机器移入到其他机器组内

12、。1.5.1.8 批量添加黑白名单在机器列表界面后，在要设置为黑白名或者白名单的机器名称前打勾，再选择“操作项”列表中的“黑名单”或者“白名单”即可。说明： 白名单：白名单中的机器不受审计管理策略限制，系统不记录，也不限制白名单内的机器的上网行为； 黑名单：黑名单中的机器所有的上网行为将全部被封堵；1.5.2 机器管理下面介绍针对单个审计对象的管理功能：机器属性、机器策略，其它的评估报表、现场观察、内容审计、行为审计等功能与机器组管理中的功能相似的操作。 1.5.2.1 机器属性点击机器列表内任意一台机器，数据显示区将显示该机器的机器属性，如下图 机器属性说明如下： 机器名称： 即机器在网络上

13、的标识名，正常状态下无须用户手动输入，网络安全审计系统可以通过对网络内所有机器进行扫描自动解析所有机器的机器名称，如果目标机器安装了防火墙等软件，系统有可能无法正确解析出目标主机的机器名称而采用IP代替； 使用者：网络管理者在系统中用来唯一确认/绑定每台目标主机的标识； IP 地址：同机器名称，无须用户手动输入，系统可自动解析获得； MAC 地址：同机器名称，无须用户手动输入，系统可自动解析获得； 是否使用私有策略：如果使用私有策略，当其组策略更改时，该机器策略不发生变化； 是否需要认证：对机器进行上网认证时，需开启该设置项； 机器策略：显示当前机器应用的策略，用户可以通过下拉列表选择其它管理

14、策略； 监控系统：在分布式环境下，用户可以选择其所属的监控系统，单机版该项不可更改； 状态：用户可以通过状态下拉列表更改当前审计对象的受控状态，也可以在机器列表的右键弹出菜单栏中选择对应的选项更改其受控状态；l 正常受控：属于正常审计对象范围，根据审计管理策略对所属范围内的所有审计行为进行审计记录和管理；l 白名单：白名单中的机器不受审计管理策略限制，系统不记录，也不限制管理白名单内的机器的上网行为；l 黑名单：黑名单中的机器所有的上网行为将全部被封堵；更改机器属性完毕，点击“确定”按钮保存设置； 1.5.2.2 机器策略跟机器组策略类似，系统提供针对单个机器进行策略修改的功能。操作步骤如下：

15、第一步：在机器列表中点击要修改策略的机器名称。第二步：点击数据显示区上方的“查看策略”按钮，系统显示当前机器组策略如下图，用户可在当前页面修改当前机器组策略，点击“确定”按钮保存该策略设置1.6 管理策略系统管理员通过网络安全审计系统的管理策略配置功能，可以对审计对象的上网行为管理和审计的措施进行配置组合；策略可以被应用于机器组和机器中,点击功能列表中的管理策略进入各项策略配置页面。1.6.1 控制策略控制策略又称用户策略，管理员可以创建多条控制策略并把它们运用到不同的机器或者机器组。控制策略配置界面如图所示：1.6.1.1 策略管理对策略的管理功能主要有新增、修改、删除、设置默认策略、导出、

16、导入、策略查询、策略应用到具体机器和账号的查询，初始安装系统带有default策略，并被设置为默认策略，默认策略不允许被删除。1. 新增策略点击控制按钮区的新增按钮进入增加控制策略页面，如下图所示：配置策略完毕后，点“确定”按钮保存策略配置。添加策略操作成功后，用户可在操作栏下方策略列表中找到新增的策略项；2. 修改策略在策略列表中点击需要修改的策略名称，该策略对应配置将显示在策略列表下方，修改完毕，点击“确认”按钮保存设置；如下图所示:3. 删除策略方法1：点击策略列表中所要删除的策略后面对应的按钮，在确认删除对话框中选择确认，系统提示删除成功；方法2：通过点击策略列表所要删除的策略名称前的

17、选择框，选择单个或多个需要删除的策略，然后点击控制按钮区的“删除”按钮，在确认删除对话框中选择确认，系统提示删除成功；说明：默认策略和正在使用的策略不能被删除。4. 设置默认策略点击策略列表所要设为默认策略的策略名称前的选择框，只能选一条策略，点击操作栏“设置默认”按钮，系统提示设置默认策略成功；说明： 默认策略不能对其进行删除； 新发现的机器将默认使用“默认策略”；5. 导出策略选择需要导出的策略，然后点击控制按钮区的“导出”按钮，在弹出对话框中点击“保存”，选择策略保存的位置后即可。6. 导入策略点击控制按钮区的 “导入”按钮，系统显示导入策略页面，如下图所示：点击“浏览”按钮选择需要导入

18、的策略文件（如：机器策略.BIN），然后点击应用对象栏的按钮，选择策略所要应用的机器或机器组即可。7. 查询策略系统提供按策略名称、策略描述、策略状态进行查询的功能，如下图所示。可以使用一种或全部查询条件进行组合查询，以便只显示符合条件的策略列表。1.6.1.2 策略基本信息在基本信息配置项中用户可以配置：策略名称：当前策略的策略名称；策略描述：在策略描述中对策略的用途予以说明；是否公开：设定此策略的状态属性，如果选择“是”即设为公共策略，则其他用户登录后也能看到并使用该策略，反之选择“否”即设为私有策略，其他用户登录后将看不到这个策略。只有公开策略才能被设置为默认策略。策略关联机器和账号的查

19、看：点击“关联机器”，就可以查看该条策略具体应用到了那些机器； 1.6.1.3 时间段设置管理员可以在时间段设置页面通过“全局”选项控制所有上网行为的时间段，也可以单独针对某一种上网行为进行设置。新增策略的时间段设置缺省为空，即所有上网行为在任何时间都被禁止。用户可通过鼠标拖动设置时间段，也可以通过下方的“全部上班时间、全部下班时间、全部时间、全部全清” 快捷按钮设置时间段，或在具体协议上使用鼠标右键，使用弹出的下拉菜单来设置时间段。如图说明： 时间段设置界面，蓝色显示块表示允许上网，白色表示禁止上网。 工作时间需要在“系统管理-系统配置”中进行设置。 时间段设置的最小单位是0.5小时。 通过

20、标签页可以对星期一到星期天进行不同的时间段设置。 通过“应用于”功能按钮，可以将当前星期几的时间段设置快捷地应用到其他日。1.6.1.4 端口控制端口控制用于设置开放或关闭网络中的某些端口，端口是网络服务协议及应用的重要标识，管理员可以通过网络安全审计系统指定开放和禁止的端口，实现对各种上网行为的有效控制；操作说明: 添加允许使用的端口点击“只能使用指定端口”操作栏的更改设置，弹出添加端口对话框，如上图所示。在端口输入框中录入所要添加的端口，点击“添加”按钮，列表中将显示您添加的端口。点击“保存”按钮保存所添加的端口并且返回端口控制主页面； 添加禁止使用的端口点击“禁止使用指定端口”操作栏的更

21、改设置，弹出禁止端口设置对话框，在端口输入框中录入所要禁止的端口，点击“添加”按钮，列表中将显示您添加的端口。点击“保存”按钮保存所添加的端口并且返回端口控制主页面；在端口控制主页面的状态栏选择框选择需要在当前策略中生效的端口控制设置。（说明：只能使用指定端口与禁止使用指定端口两项为互斥关系，不可同时选择）。 采用“只能使用指定端口”进行控制时：上网行为使用的端口号在“只能使用指定端口”内的将被允许，其他上网行为将被封堵。 采用“禁止使用指定端口”进行控制时：上网行为使用的端口号在“禁止使用指定端口”内的将被封堵，其他上网行为将被允许。1.6.1.5 网页访问通过网页访问控制策略，管理员可以根

22、据需要通过分类网址过滤库、URL关键字、搜索关键字等设置过滤策略，控制审计对象可以访问的网站类别及网页，禁止用户通过网页下载某种指定类型的文件，记录审计对象的网页上传内容等；操作说明： 只允许访问包含关键字的URL网络安全审计系统可以对用户访问网页的URL进行搜索和分析，根据用户设置的敏感关键字与访问URL进行对比模糊匹配，当发现审计对象所访问的URL中不包含有敏感关键字时，系统将对该网页进行封堵；用户通过点击“只允许访问包含关键字的URL”栏的“更改设置”按钮进入URL关键字设置对话框添加需要设置的关键字； 过滤所有含有关键字的URL网络安全审计系统可以对用户访问网页的URL进行搜索和分析，

23、根据用户设置的敏感关键字与访问URL进行对比匹配，当发现审计对象所访问的URL中包含有敏感关键字时，系统将对该网页进行封堵；用户通过点击过滤所有含关键字的URL栏的“更改设置”按钮进入URL关键字过滤设置对话框添加需要设置的敏感关键字，其中“类型”为用户自行设置起标识作用。 允许通过IP访问网页禁止或允许用户直接在网页浏览器地址栏中以IP的形式访问网站，该功能默认状态为不允许； 搜索引擎的搜索关键字过滤在搜索关键字列表中添加需要禁止的搜索关键字，如果审计对象在搜索引擎中输入的搜索关键字与系统设定的搜索关键字列表中的关键字相匹配，则系统将发送封堵信息禁止审计对象通过搜索引擎以该关键词来搜索；操作

24、设置同过滤所有含关键字的URL项； 记录通过网页上传的内容（网页发贴或网页发送邮件）该项设置允许管理员通过网络安全审计系统V4.0记录审计对象通过网页形式上传的内容，包括网页发贴、网页上传文件以及以WEBMAIL的形式发送的邮件内容等； 禁止网页上传过多内容或超大文件系统可以设定允许通过网页上传内容或文件的最大限度，如果审计对象上传的大小超过此数值，系统将会发送封堵信息断开连接。1.6.1.6 邮件通过邮件收发审计策略的设置，管理员可方便的对被监控机器的邮件行为进行记录和控制。说明：该控制项仅对SMTP/POP3邮件协议有效！操作说明： 限制收发邮件的服务器在收发邮件控制的主页面，用户可以通过

25、以下四项限定允许或禁止接收/发送邮件的邮件服务器：l 允许从指定的POP3服务器接收邮件l 禁止从指定的POP3服务器接收邮件l 允许使用指定的SMTP服务器发送邮件l 禁止使用指定的SMTP服务器发送邮件 禁止发送超大邮件/禁止接收超大邮件系统可以控制基于POP3/SMTP协议收发的邮件的大小，用户可以在下列允许接收/发送邮件的大小阀值设置对话框中设置允许审计对象发送的邮件的最大值，超过最大值的发送/接收邮件将被禁止收发。 禁止向敏感邮箱地址发送邮件系统可以通过定义敏感收件人邮箱地址列表对外发邮件的收件人进行限制，当审计对象利用OUTLOOK或FOXMAIL通过SMTP协议发送邮件时，系统将

26、把解析出的收件人地址与发送邮件敏感地址列表进行比对，如果匹配则禁止把该邮件发送；用户可在发送邮件敏感地址设置对话框中依次添加敏感邮件收件人地址，这个设置支持通配符形式，例如输入: ，则所有发向以结束的邮件地址的邮件都被封堵。1.6.1.7 BT下载网络安全审计系统可以禁止访问BT相关URL和禁止访问常见的BT服务器地址，用户可以设定被禁止的地址，一旦用户访问该地址，系统将即刻进行封堵；1.7 审计日志查询网络安全审计系统提供了三种方式的审计模式： 行为审计：行为审计是网络安全审计系统的基本功能模块，行为审计主要对所有支持的审计协议的上网行为的基本信息进行记录和审计； 内容审计：内容审计是网络安

27、全审计系统的高级功能模块，内容审计主要针对聊天、邮件、网页POST、文件传输等涉及到有可能出现因涉密引起法律纠纷的上网行为，系统可以完全记录此类上网行为的内容； 现场观察：现场观察是网络安全审计系统的基本功能模块，用户可以通过现场观察实时审计单个或一组审计对象当前的上网行为、状态或网络流量；1.7.1 行为审计1.7.1.1 基本查询条件基本查询条件面向所有的上网行为，是所有审计日志的基本信息，用户可以通过查询区对基本查询条件的设置来缩小查询范围，基本查询条件包括：机器/组、机器IP、源MAC、开始日期、结束日期、时间设置、机器名称、使用者、状态； 机器/组：设定审计对象范围，可以是单台机器，

28、也可以是一个机器组或者全部机器； 机器IP：单个目标审计对象的IP，用户可以不在机器/组中选定审计对象范围的前提下，在机器IP中输入目标审计对象的IP，直接定位查询出该目标审计对象的所有审计日志； 源MAC：设定被查询的机器的源MAC，系统根据该MAC进行查询； 开始/结束日期：设定所要查询的审计日志的开始/结束日期，开始/结束日期的默认值都是当前日期，支持时分秒的设置，选择年月时分秒后，最后点击日期结束设置，弹出窗口会自动关闭。 时间设置：设定在开始/结束日期间所要进行查询的时间段，系统默认时间段为全部时间，用户可以在时间段设置对话框中设置所要查询的时间段：全部时间、工作时间、非工作时间、上

29、午工作时间、下午工作时间、自定义开始/结束时间段，如图所示； 机器名称/使用者：根据机器属性的机器名称与使用者定位目标审计对象； 状态：提供全部/限制/报警/正常四种状态选择；1.7.1.2 高级查询条件用户通过高级查询条件设定所要审计的上网行为的关键标识信息，缩小查询范围，把查询结果精确定位到某一条或某几条审计日志；查询结果可以点击表头的列名进行排序。1. 网页访问（网址 网页标题 目标端口 文件名 网址分类）： 网址/网页标题：设定查询关键字，系统通过搜索分析网页访问审计日志记录的网址及网页标题字段，列出所有网址及网页标题中包含目标关键字的日志记录； 外网IP/外网端口：在代理服务器环境下

30、网页访问的目标端口有可能会发生改变，不是默认的80端口，用户可以通过目标端口找出所有通过代理服务器形式进行的网页访问记录；（在查询结果中鼠标停留在外网IP地址上，可以查看到外网IP所属地提示信息）2. 网址分类：每一条网页访问记录的网址都对应了系统所提供的过滤库中一个网址类别，用户可以通过网址分类查询找出所有访问某一类网站的网页访问日志记录3. 邮件访问（邮件标题 邮件内容 发信人 收信人 源地址 目的地址 邮件类型）： 邮件标题/邮件内容/发信人/收信人：设定查询关键字，系统通过搜索分析邮件访问审计日志记录的邮件标题/邮件内容/发信人/收信人字段，列出所有包含目标关键字的日志记录； 源地址/

31、目的地址：源地址代表此邮件访问行为发起者的IP，即无论被审计对象是接收或是发送邮件，源地址均指的是审计对象的IP，目的地址代表审计对象进行邮件接收/发送行为的目标服务器的IP，用户可以根据源/目的IP，查询定位所有从某一个审计对象处发送或接收的邮件访问记录，以及所有从某一邮件服务器转发或接收的邮件访问记录； 邮件类型：全部/接收邮件/发送邮件/网页收发邮件4. WEBMAIL（邮件帐号 邮件服务器 ）: 邮件账号：通过邮件账号信息查询访问记录 邮件服务器：通过邮件服务器地址查询访问记录 根据机器IP，机器名，外网IP进行查询定位5. 网络聊天（聊天工具 标志 聊天帐号）： 聊天工具：QQ, M

32、SN, ICQ，雅虎通， 等； 标志：发送/接收，标识每一条聊天信息的状态； 聊天帐号：记录每一种聊天工具当前登录所用帐号。 6. 音视频（目标IP，音视频工具，网页视频）： 目标IP：目标IP代表提供音视频流点播服务的网站服务器IP，用户可以通过目标站点的IP查询所有链接到该站点的音视频访问记录； 音视频协议 ：表示审计对象进行音视频点播其客户端所采用的工具的服务所基于的协议，根据提供音视频流服务的协议（如：MMS，STSP 等）可查询对应类型的审计记录； 网页视频：主要支持对于现在流行的一些视频网站的审计，主要有土豆网，酷6网，优酷网,56网以及迅雷看看7. 网络游戏（游戏名称 目标地址）

33、： 游戏名称：网络安全审计系统支持对多种流行的网络游戏的审计，用户可以通过在“游戏名称”中选择对应的游戏工具，如：联众、传奇、边锋、QQ平台游戏等，查询与某一种游戏相关的所有审计记录，也可选择“全部”；8. FTP访问 (命令 源/目标地址 命令/命令列表)： 命令：网络安全审计系统可以记录FTP命令； 目标地址：FTP服务器的IP； 源地址：源地址代表利用FTP客户端工具从服务器端上传下载文件的审计对象的IP； 命令/命令列表：输入需要查询的FTP的命令字，或者在命令列表中选择FTP命令字9. BT下载（BT服务器）： BT服务器：通过BT服务器地址查询审计信息； 根据机器IP，机器名，外网

34、IP进行查询定位。10. P2P下载（P2P工具）： P2P工具：PPLIVE，PPSTREAM，VNN 根据机器IP，机器名，外网IP进行查询定位 标志：发送/接收，标识每一条信息的状态 11. 股票行情 股票工具：根据选择的股票工具、外网端口、用户名，查询与股票行情有关的上网行为； 根据机器IP，机器名，使用者，外网IP/外网端口进行查询定位。网络安全审计系统支持的股票工具有：1.7.2 内容审计内容审计功能中不仅可以查看到上网行为，而且可以查询到上网行为的具体内容，具体使用方法同行为审计！下面对个别内容审计的操作说明如下：1. 邮件内容（标题，内容，发信人，收信人，邮件类型，附件名，有无

35、附件）在高级查询区选择填入标题、内容、发信人、收信人、邮件类型、附件名、有无附件，以及机器IP，机器名，外网IP进行查询定位。查询结果见下图所示，可显示附件标志，在“详情”栏里可打开附件查看附件内容。2. 网页发帖（内容，源/目的地址）： 内容：根据关键字检索的方式对所有网页发帖的POST内容进行查询，列出POST内容中包含所设关键字的POST审计记录； 源/目的地址：源地址代表网页发帖者的IP，目的地址代表审计对象网页发帖的目标服务器的IP，用户可以根据源/目的IP，查询定位所有从某一个审计对象处发送帖子的审计记录，以及所有在某个网站出现的网页发帖3. BBS发帖（标题，内容，源/目的地址）

36、： 标题：审计系统可以准确记录BBS发帖的标题内容； 内容：根据关键字检索的方式对所有BBS发帖的内容进行查询，列出内容中包含所设关键字的BBS审计记录； 源/目的地址：源地址代表BBS发帖者的IP，目的地址代表审计对象BBS发帖的目标服务器的IP，用户可以根据源/目的IP，查询定位所有从某一个审计对象处发送帖子的审计记录，以及所有在某个网站出现的BBS发帖, 审计系统可以准确记录BBS发帖的当前网址图2.9.2.3 bbs发贴1.7.3 现场观察现场观察提供了以下三种方式的实时审计功能，帮助实时观察审计对象上网行为。1.7.3.1 实时流量实时流量页面以图表的形式实时显示机器/机器组的流量变

37、化轨迹，系统默认的刷新时间间隔为3秒。刷新的时间间隔可以在系统管理-系统配置中进行设置，考虑到系统负载，设置的时间间隔不能小于3秒，如下图所示。1.7.3.2 实时观察实时观察页面以列表的形式实时的显示所选机器的一切上网行为，系统默认的刷新时间间隔为3秒，刷新的时间间隔可以在系统管理-系统配置中进行设置，考虑到系统负载，设置的时间间隔不能小于3秒，如图所示。点击“暂停跟踪”按钮可停止实时刷新。1.7.3.3 数据包流量数据包流量以列表的形式显示所选机器的数据包流量和流速，包括总数据包数、外发数据包数、外发包速、流入数据包数、流入包速、总流量、流入流量、流入速度、流出流量、流出速度，点击“查询”

38、列出实时的流量数据表，如图所示。排列顺序的选择有两种方式： “排序列”下拉框选择列名； 点击表头的列名可按此列排序。1.8 网络中使用路由器的改造方法 针对很多学校办公室使用路由器，致使哨兵无法分析出路由下联设备的详细信息的情况，建议进行改造：将普通路由更换为交换机，并将下联计算机配置上固定的ip地址。在不更换路由的情况下，可以把路由当做交换机使用，即不使用路由器的wan口，只使用路由器的lan口连接计算机。 在使用无线路由的情况下可以改成有线连接方式（可采取以上方法），或者使用无线AP设备。1.9 设备使用注意事项 请勿将网络哨兵从学校网络中移除。 网络哨兵正常运行状态下，前面板POWER灯常亮，RUN灯不定时闪烁。 网络哨兵后面板接有2 根网线，LAN1 口接镜像交换机或者核心交换机的镜像口，LAN2 口接入学校内部网络。线缆不能随意变动或者移除。 保持网络哨兵安装位置通风环境良好，机架环境温度维持在10-30。 保持网络哨兵供电良好，不能随意拔插电源或者经常性断电。专心-专注-专业