小哨兵E-Master网络行为审计管理说明书
小哨兵E-Master网络行为审计管理说明书
E-master 网络行为审计管理系统 南京小哨兵信息设备有限公司 E-master 网络行为审计管理系统用户手册 目 录 前言 .........................................................................................................................................5 准备工作 .................................................................................................................................6 2.1 准备PC ...........................................................................................................................6 2.2 系统默认值 ....................................................................................................................6 2.3 网络连接 ........................................................................................................................6 2.4 网络检查 ........................................................................................................................7 2.5 登录系统 ........................................................................................................................7 3 系统设定 .................................................................................................................................8 3.1 系统配置 ........................................................................................................................8 1 2 3.1.1 管理设置....................................................................................................................8 3.1.1.1 3.1.1.2 3.1.1.3 3.1.1.4 3.1.1.5 3.1.1.6 3.1.2 密码管理...........................................................................................................8 系统设置...........................................................................................................9 报告配置...........................................................................................................9 升级配置.........................................................................................................10 License ............................................................................................................10 用户管理......................................................................................................... 11 用户认证..................................................................................................................13 3.1.2.1 3.1.2.2 3.1.2.3 基本配置.........................................................................................................13 用户列表.........................................................................................................13 免认证地址.....................................................................................................14 3.1.3 流量统计..................................................................................................................14 3.1.4 配置管理..................................................................................................................14 3.1.5 系统更新..................................................................................................................15 网络配置 ......................................................................................................................15 3.2 3.2.1 网络模式..................................................................................................................15 3.2.1.1 3.2.1.2 3.2.1.3 3.2.2 网络设置..................................................................................................................20 3.2.2.1 3.2.2.2 3.2.2.3 3.2.2.4 3.2.2.5 3.2.2.6 3.2.2.7 3.2.3 网关模式.........................................................................................................15 网桥模式.........................................................................................................18 旁路模式.........................................................................................................19 多IP绑定 .........................................................................................................20 DNS.................................................................................................................20 远程管理.........................................................................................................21 代理设置.........................................................................................................21 内网服务器.....................................................................................................22 SMTP路由 ......................................................................................................23 负载均衡.........................................................................................................23 DHCP .......................................................................................................................24 3.2.3.1 3.2.3.2 基本配置.........................................................................................................24 DHCP服务 ......................................................................................................24 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 2 of 65 E-master 网络行为审计管理系统用户手册 3.2.3.3 3.2.3.4 3.2.3.5 3.2.4 3.3 子网设置.........................................................................................................25 MAC地址绑定................................................................................................26 IP分配列表 .....................................................................................................27 SNMP.......................................................................................................................27 WEB过滤...........................................................................................................................28 3.3.1 关键字......................................................................................................................28 3.3.2 过滤网址..................................................................................................................29 3.3.3 文件以及应用..........................................................................................................30 3.3.4 上网策略..................................................................................................................31 3.3.5 模板定义..................................................................................................................33 应用控制 ......................................................................................................................34 3.4 3.4.1 MSN过滤 .................................................................................................................34 3.4.1.1 3.4.1.2 3.4.1.3 基本设置.........................................................................................................34 关键字.............................................................................................................34 策略设置.........................................................................................................34 3.4.2 QQ过滤 ....................................................................................................................35 3.4.3 P2P控制 ...................................................................................................................36 防火墙 ..........................................................................................................................37 3.5 3.5.1 基本设置..................................................................................................................37 3.5.2 访问控制..................................................................................................................38 3.5.3 地址设置..................................................................................................................39 3.5.3.1 3.5.3.2 3.5.4 地址设置.........................................................................................................39 分组管理.........................................................................................................42 服务设置..................................................................................................................42 3.5.4.1 3.5.4.2 3.5.4.3 预定义服务.....................................................................................................43 服务设置.........................................................................................................43 服务组.............................................................................................................44 3.5.5 时间段 .................................................................................................................44 3.5.6 虚拟IP .................................................................................................................45 路由设置 ......................................................................................................................47 3.6 3.6.1 静态路由..................................................................................................................47 3.6.2 策略路由..................................................................................................................47 3.6.3 动态路由..................................................................................................................48 3.6.3.1 3.6.3.2 RIP ..................................................................................................................48 OSPF ...............................................................................................................49 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 3 of 65 E-master 网络行为审计管理系统用户手册 3.7 审计管理 ......................................................................................................................50 3.7.1 过滤统计..................................................................................................................50 3.7.2 每日详情..................................................................................................................51 3.7.3 应用日志..................................................................................................................52 3.7.4 访问日志..................................................................................................................54 3.7.5 流量统计..................................................................................................................54 3.7.6 邮件审计..................................................................................................................58 3.7.7 日志设置..................................................................................................................58 3.7.8 操作日志..................................................................................................................61 3.8 串口管理 ......................................................................................................................61 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 4 of 65 E-master 网络行为审计管理系统用户手册 1 前言 版权声明 南京小哨兵信息设备有限公司拥有本产品及相关文档的全部版权。未经本公司书面许 可,任何单位及个人不得以任何方式或理由对本产品的任何部分进行复制、抄录、传播或将 技术文档翻译成他国语言,并不得与其它产品捆绑销售。 信息更新 本产品最新版本信息、升级信息以及相关技术文档将在本公司 www.sentry.com.cn 网 站上及时推出,敬请留意。 信息反馈 南京小哨兵信息设备有限公司欢迎您通过尽可能多的渠道向我们提供尽可能多的信息, 您的意见和问题都会得到我们的重视和妥善处理,请将反馈信息投递到下述地址: 名称:南京小哨兵信息设备有限公司 地址:南京市龙蟠中路 168 号江苏软件园 50 号楼东二楼 电话:(025)86993666 传真:(025)86993951 邮编:210002 邮箱:sales@sentry.com.cn 网站:www.sentry.com.cn 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 5 of 65 E-master 网络行为审计管理系统用户手册 2 准备工作 E-master 网络行为审计管理可以通过远程方式进行使用和管理。用户在远程的管理 PC 上通过 Web 浏览器对 E-master 网络行为审计管理使用和管理。 2.1 准备 PC 配置机器 管理 PC 2.2 操作系统 浏览器 网络接口 串口类型 Windows2000/XP/2003 Server/VISTA IE5.5 以上 10/100Mb RS232 系统默认值 项目 系统帐号 与 管理方式 默认值 管理方式:Web 登录 管理帐号:用户名:systemmaster 管理方式:SSH 管理账号:用户名:systemmaster 管理方式:Console 管理账号:用户名:systemmaster 管理帐号:用户名:systemmaster 密码:1234abcd 密码:1234abcd 密码:1234abcd 密码:1234abcd 登录方式 https://192.168.1.100 接口 IP Eth0:192.168.1.100/255.255.255.0 Eth1:202.96.2.1/255.255.255.0 Eth2:172.16.10.10/255.255.255.0 Eth3:192.168.2.100/255.255.255.0 注:不同的型号,接口的数量、类型也不同。 接口属性 Eth0:lan1,不可修改网口属性,只能为内网口 Eth1:wan1,可修改属性,可为 LAN、WAN、DMZ Eth2:dmz1,可以修改属性,可为 LAN、WAN、DMZ Eth3:lan2,可以修改属性,可为 LAN、WAN、DMZ 注:配置网口属性必须有一个为 WAN 口 管理 IP 0.0.0.0/0.0.0.0 任何 IP 可以管理 管理口 系统默认管理口为 Eth0(LAN1),通过系统每一个接口均可管理系统 控制口属性 超级终端连接属性为: 每秒位数:9600,数据位:8,奇偶校验:无,停止位:1, 数据流控制:无 2.3 网络连接 连接方法: 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 6 of 65 E-master 网络行为审计管理系统用户手册 连接电源线,并打开开关。 将 Eth0 与电脑相连(一般使用平行线),并且将电脑 IP 配置成与 Eth0(LAN)口相同段的 IP 地址,缺省为:192.168.1.100/255.255.255.0,建议 PC IP 地址为:192.168.1.101/25 5.255.255.0。 2.4 网络检查 使用 ping 命令,在管理 PC 上对 E-master 网络行为审计管理进行检测,看网络连接正 常与否。如果网络连接没有问题,就可以登录到 E-master 网络行为审计管理上了。如下图: 2.5 登录系统 在管理 PC 上,打开浏览器,在 IE 的地址栏里输入 https://192.168.1.100,就可以登 录到 E-master 网络行为审计管理系统的管理界面。如下图: 输入账号,用户名:systemmaster ,密码:1234abcd ,登录系统。 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 7 of 65 E-master 网络行为审计管理系统用户手册 3 系统设定 3.1 系统配置 E-master 网络行为审计管理的系统配置包含系统的管理设置、用户认证、流量统计、 配置管理、系统更新,通过本部分功能,可以完成系统的基本配置。 管理设置 密码管理:修改当前用户的密码; 系统配置:重启关闭设备以及时间的修改; 报告配置:配置定时发送报告参数; 升级配置:定义升级服务器; License: License 查询与更新; 用户管理:添加删除以及修改登录用户; 用户认证:启用系统帐号认证,在用户接入外网时,需经过认证后方可接入外网; 流量统计:对网络进行实时以及延时的数据统计; 配置管理:对系统配置的备份与恢复、恢复出厂值; 系统更新:版本升级以及补丁的上传; 3.1.1 管理设置 为了帮助用户对内部网络进行全面管理,E-master 网络行为审计管理通过方便易用的 Web 管理界面,为用户提供远程管理升级功能。包括修改用户密码、系统配置、报告配置、 升级配置、license、用户管理。 3.1.1.1 密码管理 系统配置-〉管理设置-〉密码管理,输入以下信息,可以修改密码,如下图: 系统管理员旧密码:旧密码; 系统管理员新密码:新密码; 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 8 of 65 E-master 网络行为审计管理系统用户手册 确认密码:再次确认新密码; 确认:密码修改生效; 注:密码规则,最小 8 位,最大 19 位,数字字母的组合,不识别空格符号。修改只是当前 登录用户的密码。 3.1.1.2 系统设置 系统配置-〉管理设置-〉系统设置,如下图: 获取系统时间:点击获取系统时间可以获得当前的系统时间; 修改系统时间:在日期和时间栏里输入相应的参数,点击修改系统时间则可以修改当前 的系统时间; 重启设备:系统重新启动; 关闭设备:系统关闭,电源自动关闭; 注:时间修改原则,一般时间不要进行修改,且时间修改不能超过 12 小时,以免影响 License 校验。 3.1.1.3 报告配置 系统配置-〉管理设置-〉报告配置,如下图: 通过这个界面可以设置过滤处理方法中的定时发送报告的相关报告配置。用户可以在这 里设置定时发送报告的邮件账号信息。 SMTP 服务器:输入邮件账号所在的服务器; 邮件地址:完整的邮件地址; 用户名:输入发送邮件的用户名; 密码:如果邮件服务器需要验证,输入邮件账号的密码; 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 9 of 65 E-master 网络行为审计管理系统用户手册 查看邮件 IP:设置报告邮件内查看邮件连接里的 IP 地址。这个设置用于用户设置外网 访问 IP 地址,以便外部用户能够查看其被过滤的邮件,通常地址为公网 IP; 发送时间间隔:发送报告的时间间隔(单位为:小时)。 注意:只有在这个账号信息设置后,功能模块里选择发送定时报告和转发警告信的功能才能 生效,而且这里发送的信息是针对 SMTP 病毒信息。 3.1.1.4 升级配置 系统配置-〉管理设置-〉升级配置,如下图 通过这个界面可以设置数据升级的参数。因为 E-master 网络行为审计管理的不同过滤 功能都有数据升级的要求,如病毒特征库的升级等。因此用户可以设置相应的参数来帮助产 品的数据升级。 升级服务器:选择数据升级的服务器; 启用代理:因为 E-master 网络行为审计管理的数据下载是通过 HTTP 协议来完成的, 因此如果在 E-master 网络行为审计管理通往 Internet 的连接上采用了 HTTP 代理,那就 需要配置代理参数。代理服务器的设置在系统配置-〉网络设置-〉代理设置; 代理账号:如果代理服务器需要验证,那就设置代理服务器的验证账号; 密码:设置验证账号的密码; 3.1.1.5 License 系统配置-〉管理设置-〉license,如下图: 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 10 of 65 E-master 网络行为审计管理系统用户手册 通过这个界面可以更新、查看 License 信息。 License 更新: 产品序列号:显示 E-master 网络行为审计管理的序列号。同时,产品序列号在产品 背部面板上可以查看; 授权码:输入 16 位 License 授权码。然后点击确定,就会将 License 更新,授权码 影响产品使用的功能和使用时间, 注:正式授权码过期不影响功能使用,但不能更新与升级数据;测试授权码过期过滤功 能不能使用和不能更新与升级数据。 系统信息 产品名称:产品的完整名称; 机器型号:产品型号; 序列号:产品的序列号,与产品背部面板序列号保持一致; 授权码:激活功能的验证信息; 注册时间:产品出厂时间或最新更新授权码的时间; 有效时间:产品在服务器的时间; 用户类别:正式用户或试用用户; 功能模块:产品具有功能模块; 管理系统版本:产品当前系统版本; 3.1.1.6 用户管理 系统配置-〉管理设置-〉用户管理,如下图 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 11 of 65 E-master 网络行为审计管理系统用户手册 用户管理选项用于添加管理用户。只有拥有用户管理权限的管理用户能够添加新的管理 用户、修改管理用户权限和删除现有的管理用户。systemmaster 是缺省的管理用户,不能被 删除和修改。 增加用户:点击增加用户,出现上述用户添加界面。管理用户输入相应的设置,就可以 添加相关的管理用户; 用户名:输入新增管理用户的用户名; 密码:输入新增管理用户的密码,密码最少 8 位,采用数字和字母相间的方式来保 证密码的安全性; 确认密码:输入确认密码; 权限:勾选管理用户的权限。相应权限包括:用户管理、查看系统配置、修改系统 配置以及查看系统日志。对于不同管理权限的管理用户,在登录后系统将显示不同 的菜单选项; 添加用户:输入名称以及密码,赋予的权限,点击确定; 修改用户:点击用户列表右边的编辑图标 ,出现以上界面。管理用户可以修改相关用 户的权限; 删除用户:在用户列表界面勾选需删除的用户,点击“删除”按钮删除相关用户; 注:添加用户密码需要保证密码的复杂性,大于或等于 8 位且为数字和字母的组合。 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 12 of 65 E-master 网络行为审计管理系统用户手册 3.1.2 用户认证 E-master 网络行为审计管理提供用户上网认证功能,点击系统配置-〉用户认证可进行 用户认证的相关配置。 3.1.2.1 基本配置 在基本配置中可以通过启用认证开关来设置系统是否启用上网认证功能。在启用认证模 式下,如果用户的 IP 地址和 MAC 地址不在免认证地址中,用户第一次上网将弹出上网认证 界面,用户通过认证后,就可以正常上网了。 一次登录认证有效期:用户经通过认证上网后,如果该用户在 30 分钟内没有上网流量, 系统将自动注销用户的上网功能,如需上网将需要重新认证,时间变动默认为 30 分。 3.1.2.2 用户列表 这里的用户名和密码是提供给用户上网认证用的,可以点击添加用户按钮来新增用户,如下 图: 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 13 of 65 E-master 网络行为审计管理系统用户手册 3.1.2.3 免认证地址 在免认证中的地址,用户无需认证就可直接上网。免认证地址支持 IP 地址和 MAC 地址, mac 输入格式如:00:14:C2:DB:4E:E3 。 3.1.3 流量统计 开启流量统计后,可以实时查看所选择接口所有 IP 的各种流量,结果在统计日志-〉流 量统计中查看,如图: 启用统计接口:开启或关闭流量统计; 流量统计接口:选择需要流量统计的接口,仅对 LAN 和 DMZ 口统计,对 WAN 口不统 计; 刷新频率:采集数据信息的频率,最小设置为 1 分钟; 内部子网地址:设置采集数据的子网信息,多子网设置用回车分开; 3.1.4 配置管理 配置管理完成备份系统配置、恢复存在的配置、恢复系统默认值。 系统配置-〉配置管理,如下图: 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 14 of 65 E-master 网络行为审计管理系统用户手册 下载配置文件:下载,备份系统当前配置; 上传配置文件:将存在的系统配置恢复系统,使其生效; 恢复默认配置:恢复系统出厂默认值; 3.1.5 系统更新 通过系统更新,更新补丁包,并立即生效,生成新的系统版本号。如下图: 3.2 网络配置 网络模式:E-master 网络行为审计管理网络模式有两种,网关模式和网桥模式 网络设置:主要包括了多 IP 绑定、DNS、远程管理、代理服务器、内网服务器、SMTP 路由 多 IP 绑定:实现内网口或者外网口的多 IP 绑定; DNS:根据不同的网络提供商配置不同 DNS; 远程管理:指定 IP 地址管理系统; 代理服务器:对于内部网络使用 HTTP、POP3、SMTP、FTP 等代理; 内网服务器:映射内网服务器,做到保护内网服务器,针对 FTP、WEB、邮件服 务器、文件服务器保护; Smtp 路由:保护邮件服务器; 负载均衡:在网关模式下,并且启用了多 WAN,将显示负载均衡; DHCP:能够启用 DHCP 服务器以及 DHCP 代理; SNMP:简单网络管理协议; 3.2.1 网络模式 E-master 网络行为审计管理的网络模式有三种,网关模式和网桥模式、旁路模式。 3.2.1.1 网关模式 网络配置-〉网络模式-〉网关模式,如下图: 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 15 of 65 E-master 网络行为审计管理系统用户手册 网络模式 当前状态:是指设备当前的运行模式,默认为网关; 设置为网关:勾选后,点击提交。不勾选,点击提交无效; 监测外网网关:对外网默认网关的自动检测,如果探测路由不可到达,将不能添加 路由,出现网络不可到达。在多 WAN 环境下,出现线路中断,将协商从可以到达的 线路转发数据。默认情况不启用此功能。 网关设置 Eth0 设置 z 启用:表示当前网口的运行状态,不可更改; z 网络区域:默认内网,不可更改; z 网络类型:默认静态,不可更改; z IP 地址:192.168.1.100,可以更改; z 掩 码:255.255.255.0,可以更改; z 别 名:默认 lan1,可以更改; Eth1 设置 z 启用:表示当前网口的运行状态,可以更改; z 网络区域:默认外网,可以更改; z 网络类型:默认静态 IP,DHCP、拨号可以更改; z IP 地址:202.96.2.1,可以更改 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 16 of 65 E-master 网络行为审计管理系统用户手册 z 掩 码:255.255.255.0,可以更改 z 网 关:缺省为空,可以更改 z 别 名:默认 wan1,可以更改 Eth2 设置 z 启用:表示当前网口的运行状态,可以更改; z 网络区域:默认 DMZ,可以更改; z 网络类型:默认静态 IP ,DHCP、拨号; z IP 地址:172.16.10.10,可以更改; z 掩 码:255.255.255.0,可以更改; z 网 关:缺省为空,可以更改; z 别 名:默认 DMZ,可以更改; Eth3 设置 z 启用:表示当前网口的运行状态,可以更改 z 网络区域:默认内网,可以更改 z 网络类型:默认静态,可以更改 z IP 地址:192.168.2.100,可以更改 z 掩 码:255.255.255.0,可以更改 z 别 名:默认 lan2,可以更改 注:NAT 开启和关闭、在网口开启 NAT 则在本网口出去的数据将被做源地址转换。 提交 z 提交当前修改配置; 拨号状态:在拨号状态下,点击拨号状态,显示当前拨号信息,并且可以手动拨 号以及手动断开。 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 17 of 65 E-master 网络行为审计管理系统用户手册 动态域名:支持 2 种动态域名 DTDNS 以及华盖 DDNS 3.2.1.2 网桥模式 网络配置-〉网络模式-〉网桥模式,如下图: 网络模式 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 18 of 65 E-master 网络行为审计管理系统用户手册 当前状态:是指设备目前的运行状态; 设置为网桥:勾选后,点击确定。不勾选,点击确定无效; 注:在网桥状态内网介入只有 eth0(LAN1)可用,外网可以根据环境选择网口。 网桥设置 系统 IP 设置:默认为 192.168.1.100 与 LAN1 地址同步; 子网掩码设置:默认 255.255.255.0; 默认网关设置:默认 192.168.1.1; 网桥网卡:在网桥下只有一个内网和一个外网,默认下内网为 eth0,外网为用户 自定义; 确定:提交修改配置; 注意:在改变网络模式前,在系统配置-〉网络设置-〉远程管理中添加远程管理 IP,默认 允许所有人可管理系统。 3.2.1.3 旁路模式 网络配置-〉网络模式-〉旁路模式,如下图: 注:在旁路模式下,eth0 为管理口,eth1 为数据监听口。 网络模式 当前状态:是指设备目前的运行状态; 设置为旁路模式:勾选后,点击确定。不勾选,点击确定无效; 旁路设置 启用:启用 eth0 为旁路的管理口; 网络区域:默认为内网,不可更改; 网络类型:默认为静态 IP; IP 地址:为 eth0 配置的 IP; 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 19 of 65 E-master 网络行为审计管理系统用户手册 掩码:与 IP 地址对应的掩码; 确定:提交修改配置; 网络设置 3.2.2 主要包括了多 IP 绑定、DNS、远程管理、代理服务器、内网服务器、SMTP 路由、负 载均衡。 3.2.2.1 多 IP 绑定 网络配置-〉网络设置-〉多 IP 绑定,如下图: 注:提供多个 IP 地址在网卡上的绑定,只有在网关模式下才可用。 点击绑定新 IP 来创建新的绑定 IP。如果需要删除已有的网卡 IP,勾选相对应网卡 IP 右 边的选择框,然后点击删除按钮。 绑定新 IP IP 地址:输入需要绑定的 IP 地址; 绑定的网卡:输入需要绑定的网卡; 状态:设定是否启动; 掩码:设定 IP 掩码; 注释:输入注释; 点击确认保存绑定 IP 设置,点击返回取消设置; 3.2.2.2 DNS 修改 DNS。DNS 服务器是域名解析过程中必须的,请正确填写 ISP 提供的 DNS 信息。 网络配置-〉网络设置-〉DNS,如下图: 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 20 of 65 E-master 网络行为审计管理系统用户手册 首选 DNS 服务器:设置首选 DNS 服务器; 第二 DNS 服务器:设置第二个 DNS 服务器; 第三 DNS 服务器:设置第三个 DNS 服务器; 第四 DNS 服务器:设置第三个 DNS 服务器; 注:E-master 网络行为审计管理出厂时设置的是深圳电信的 DNS 服务器。请用户根据 ISP 的网络情况设置相应的 DNS 服务器。它将影响系统访问 Internet 升级。 3.2.2.3 远程管理 远程管理可以控制指定 IP 地址管理系统。E-master 网络行为审计管理缺省的远程管理 IP 是 0.0.0.0/0.0.0.0,允许任何人管理,用户可以添加单一 IP 或子网,多个远程管理 IP 之间用回车相隔。 注 : 为 了 提 高 系 统 的 安 全 性 , 建 议 授 权 特 定 的 IP 或 子 网 可 以 管 理 系 统 , 取 消 0.0.0.0/0.0.0.0。 网络配置-〉网络设置-〉远程管理,如下图: 注:用户一定要在修改 E-master 网络行为审计管理的内网 IP 地址或者网桥 IP 地址前,设 置能够访问到该 IP 的远程管理 IP。如果没有设置相应的远程管理 IP,在修改了 IP 后,用 户就无法登录 E-master 网络行为审计管理进行管理。在修改系统 IP 前,请确认系统远程 管理 IP。 3.2.2.4 代理设置 网络配置-〉网络设置-〉代理设置,如下图 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 21 of 65 E-master 网络行为审计管理系统用户手册 对于内部网络使用 HTTP、POP3、SMTP、FTP 等代理,如果需要 E-master 网络行为审 计管理对相应的协议进行保护,就需要设置相应协议的代理信息。特别是在网桥模式下,这 种情况出现的可能性较大。对 HTTP 协议,需要设置代理 IP 地址及其端口;对于其他协议, 需要设置代理端口。点击确定来完成修改。 3.2.2.5 内网服务器 通过内网服务器的设置,E-master 网络行为审计管理能够对内网的服务器进行安全防 护,包括病毒过滤、垃圾邮件过滤、Web 过滤等。配置相应的映射后,外网机器访问 E-master 网络行为审计管理外网口的 Web、邮件或 FTP 端口,E-master 网络行为审计管理就会在安 全过滤后,将内容转发到后面相应的内网服务器。 网络配置-〉网络设置-〉内网服务器,如下图: Web 服务器:使用协议:HTTP,设置进行保护的内网 Web 服务器的 IP 地址和端口。在 路由模式下,需要设置映射的外网 IP 地址。如果需要对同一台 Web 服务器的多个端口 进行保护,可以设置在后面的 Web 服务器设置里。用户目前可以设置三个 Web 服务器。 文件服务器:使用协议:NETBIOS,设置进行保护的文件服务器的 IP 地址以及访问的 网段。对于文件服务器,主要提供 NETBIOS 协议的病毒过滤。例如,放在 DMZ 的文 件服务器,如果要对从内网访问过去的进行过滤,就把访问网段设置成内网。如果在防 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 22 of 65 E-master 网络行为审计管理系统用户手册 火墙的虚拟 IP 里设置了映射 IP,就把映射 IP 填写在这里。用户目前可以设置三个文件 服务器。 邮件服务器:使用协议:SMTP 或 POP3,设置进行保护的内网邮件服务器的 IP。在路 由模式下,需要设置映射的外网 IP 地址。用户目前可以设置三个邮件服务器。 FTP 服务器:设置进行保护的内网邮件服务器的 IP。在路由模式下,需要设置映射的外 网 IP 地址。用户目前可以设置三个 FTP 服务器。 注:在网桥模式下,因为设备的网卡设置在混杂模式,因此如果在内部网络有 Web 服务器、 邮件服务器以及 FTP 服务器,内部的访问可能会被干扰,因此用户需要将这些内网的服务 器 IP 地址在这里输入。 3.2.2.6 SMTP 路由 SMTP 路由模式对邮件服务器进行保护。通过对邮件服务器 MX 纪录的设置,可以将 E-master 网络行为审计管理作为邮件域名的首选服务器,然后由 E-master 网络行为审计管理 将接收的邮件进行过滤后转发到被保护的邮件服务器。 网络配置-〉网络设置-〉smtp 路由,如下图: 启用 SMTP 路由模式:勾选启用 SMTP 路由模式启动 SMTP 路由; 本机 MX 名:在 DNS 服务器为 E-master 网络行为审计管理定义 MX 记录; 保护邮件服务器:域名:是邮件域名(@后面的域名),IP 地址是指邮件服务器的真实 IP 地址; 注:如果启用 SMTP 路由,产品的第一个网口(eth0)用于业务转发。 3.2.2.7 负载均衡 负载均衡在双 WAN 的环境下,系统自动确定外线的选择,系统提供多条外线的接入(WAN1 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 23 of 65 E-master 网络行为审计管理系统用户手册 和 wan2)。可根据 session 方式确定线路的选择,可根据链路的 ISP 供应商来选择。 网络配置-〉网络设置-〉负载均衡,如下图: 优先级:系统根据优先级,确定数据主要从哪条线路出; 恢复默认值:恢复系统缺省值,系统默认从 WAN1 走; 确定:配置生效; 3.2.3 DHCP DHCP 是提供 DHCP Server 服务,它可完成让 PC 或服务器自动从系统获取 IP 地址、子 网掩码、网关、DNS 信息。 网络配置-〉DHCP,如下图: 3.2.3.1 基本配置 不启用:不开启 DHCP Server 服务; DHCP 服务:开启 DHCP 服务,在开启 DHCP 服务时,至少保证系统配置-〉DHCP-〉DHCP 服务的 eth1 的 DHCP 服务启用;否则 DHCP 服务无法正常启动; DHCP 代理:DHCP 客户端利用 E-master 网络行为审计管理作为代理向第三方 DHCP 服务 器获取地址; 确定:配置生效; 3.2.3.2 DHCP 服务 网络配置-〉DHCP-〉DHCP 服务,如下图: 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 24 of 65 E-master 网络行为审计管理系统用户手册 启用 DHCP 服务:选择是; 网关:分配给 DHCP Client 的网关地址; DNS:分配给 DHCP Client 的 DNS; 发送 IP 范围:通过 DHCP Server 可以分配的 IP 地址; 子网掩码:分配给 DHCP Client 的子网掩码; 确定:配置生效; 3.2.3.3 子网设置 子网设置是在 DHCP Server 为代理时,配置才有效。DHCP Server 代理可以根据不同子 网地址的 DHCP 代理转发过来的 DHCP 请求分配不同网段的 IP 地址。点击新建子网,可以 新建子网。 网络配置-〉DHCP-〉子网设置,如下图: 子网地址:分配的子网地址; 子网掩码:分配子网的子网掩码; 网关:DHCP Server 下发给该子网 DHCP 客户端的网关地址; DNS1:DHCP Server 下发给该子网 DHCP 客户端的首选 DNS; DNS2:DHCP Server 下发给该子网 DHCP 客户端的备份 DNS; 发放 IP 范围:DHCP Server 分配给该子网 DHCP 客户端的 IP 地址范围; 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 25 of 65 E-master 网络行为审计管理系统用户手册 3.2.3.4 MAC 地址绑定 MAC 地址绑定使 DHCP Client 总是获取指定的 IP 地址,通过 IP 地址与 MAC 地址绑定实 现。 网络配置-〉DHCP-〉MAC 地址绑定,如下图: 新建绑定 名称:设定的用户名称; IP 地址:指定分配给 DHCP Client 的 IP 地址; MAC 地址:指定的 DHCP Client MAC 地址,格式如:00:14:C2:DB:4E:10,字母不区 分大小写; 确定:配置生效; 返回:放弃配置; 删除绑定 选择要删除的对象,删除。 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 26 of 65 E-master 网络行为审计管理系统用户手册 3.2.3.5 IP 分配列表 IP 分配列表是显示当前租赁期中,分发的 IP 地址与 MAC 地址列表。 网络配置-〉DHCP-〉IP 分配列表,如下图: 3.2.4 SNMP SNMP(Simple Network Management Protocol:简单网络管理协议),E-master 网络行 为审计管理作为 SNMP 的管理代理,接受管理端发来的请求并响应相应的操作,也可主动向 管理端发送请求。E-master 网络行为审计管理目前支持 SNMPV3 版本,其主要参数有:CPU、 内存、网络接口等信息。如下图: 启用服务:是,开启 SNMP 服务;否,关闭 SNMP 服务; 版 本:支持 SNMPV3 版本; 帐 号:用于与管理站连接的帐号,需要管理站与代理保持一致; 系统位置:定位设备的所在的位置; 系统联系人:管理系统的负责人; 安全级别的设定:类别有:认证(MD5).加密(DES)、认证(MD5).不加密、不认证. 不加密; 认证密码:MD5 认证密码; 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 27 of 65 E-master 网络行为审计管理系统用户手册 加密密码:DES 加密密码; 3.3 Web 过滤 E-master 网络行为审计管理的 Web 过滤提供了对内部上网 Web 访问以及 webpost 信息 进行内容控制。对于 Web 访问以及 webpost 信息,E-master 网络行为审计管理提供了黑名单、 白名单、关键字、文件及应用拦截。同时,E-master 网络行为审计管理提供了对用户进行分 组管理的功能。能够针对不同的用户组来制订不同的 Web 过滤策略。 对于 E-master 网络行为审计管理的 Web 过滤策略,用户首先需要对用户和用户组进行 管理。然后,用户需要根据内部的管理需求,设定不同的关键字组、权重关键字组以及过滤 网址组,将关键字、权重关键字以及过滤网址制定成不同的策略组。最后,在“上网策略” 里进行不同用户(地址)组的上网策略设定。 3.3.1 关键字 关键字过滤。对于黑名单关键字,如果在网页以及 webpost 中出现,会被拦截。对于白 名单关键字,如果在网页或 webpost 中出现,不会被过滤。 Web 过滤-〉关键字,如下图: 在选择类别(黑名单或白名单)后,点击创建新组来创建新的关键字组。如果需要删除 已有的关键字组,勾选相对应关键字组右边的选择框,然后点击删除按钮。对于已在上网策 略里使用的关键字组,则不能删除。如果需要编辑已有的关键字组,点击相对应关键字组一 栏的编辑图标。 黑(白)名单:创建黑名单(白)名单关键字,如图: 定义组名:将在上网策略中显示出来的名称; 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 28 of 65 E-master 网络行为审计管理系统用户手册 添加关键字:手动输入或通过浏览导入; 关键字最多长度为 20 位; 注:通过导入添加关键字,文件必须是文本格式,而且每个关键字一行。点击浏览按钮, 就可以选择导入的文件名字。文件名选择完毕后,点击确定按钮导入关键字。 编辑关键字组的界面与新增关键字组基本相同,只有组名是不能编辑的。 3.3.2 过滤网址 E-master 网络行为审计管理提供网址过滤功能,用户通过配置网站服务器和网址 URL 的黑白名单,达到对网站或网页以及 webpost 信息进行过滤的功能。同时,E-master 网络行 为审计管理提供预定义的不同类型网站黑名单。如果设置了过滤站点,E-master 网络行为审 计管理会对整个网站(包括其下属网页)进行过滤。用户可以首先建立不同的过滤网址组, 然后将这些过滤网址组设置在上网策略里。 Web 过滤-〉过滤网址,选项出现如下界面: 在选择类别(黑名单站点、白名单站点、黑名单网址、白名单网址)后,点击创建新组 来创建新的过滤网址组。如果需要删除已有的过滤网址组,勾选相对应过滤网址组右边的选 择框,然后点击删除按钮。对于已在上网策略里使用的过滤网址组,则不能删除。如果需要 编辑已有的过滤网址组,点击相对应过滤网址组一栏的编辑图标。 新增过滤网址组的界面如下: 用户可以根据内部使用情况自定义网站或网址黑名单。定义了黑白名单网站,则网站下 属的所有网页都会被过滤。如定义了“www.baidu.com”黑名单站点,那http://news.baid 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 29 of 65 E-master 网络行为审计管理系统用户手册 u.com.cn也会被阻拦; 新增网址:增加新的网址,在栏中输入敏感网址,然后点击添加增加。新增的网址会在 界面中显示。显示栏右边的删除按钮用于删除相关的网址。网址的最大长度为 100; 网址导入:用户可以导入网址文件。文件必须是文本格式,同时每一敏感网址一行。配 置时,用户点击浏览按扭,选择相关文件,然后点击确定从文件中导入网址; 预定义类别选择:E-master 网络行为审计管理提供色情、赌博、暴力、黑客、游戏、恶 意病毒、聊天、论坛、广告、毒品等预定义类别;同时分成中英文两种。用户可以根据 内部管理的需求选择,在预选项选择后点击确定保存; 注:如果为站点组,则在输入网页只需键入域,例如:要过滤www.baidu.com 只需要添加 baidu.com 3.3.3 文件以及应用 用户可以设置 E-master 网络行为审计管理对通过 HTTP 协议下载的文件类型,以及嵌 入网页的应用类型进行过滤,从而防止恶意程序的破坏,减少终端和网络的安全风险。 Web 过滤-〉文件及应用,如下图: 创建组:点击创建新组来创建新的文件及应用组; 删除组:勾选相对应文件应用组右边的选择框,然后点击删除按钮。对于已在上网策略 里使用的文件应用组,则不能删除; 编辑组:点击相对应文件应用组一栏的编辑图标; 文件以及应用主要分为 HTTP 下载以及 HTTP 应用。 HTTP 下载:E-master 网络行为审计管理设置了.dll、.exe 等十余种预定义文件类型, 用户可对相应的类型进行选择或免选禁止,选择完毕后点击右下角确定按扭保存; 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 30 of 65 E-master 网络行为审计管理系统用户手册 用户自定义需要禁止的下载文件扩展名。在文件扩展名框内输入扩展名后点击添加 增加扩展名。如果要删除已有的扩展名,勾选扩展名一栏右边的选择框,点击删除; HTTP 应用:E-master 网络行为审计管理设置了 Quicktime、Realplay 的嵌入类别, 用户可对相应的类型进行选择或免选禁止,选择完毕后点击右下角确定按扭保存; E-master 网络行为审计管理允许用户自定义需要禁止的 MIME 类型。在应用类型框 内输入 MIME 类型后点击“添加”增加 MIME 类型。注意:MIME 类型需要“/” 标示符。如果要删除已有 MIME 类型,勾选扩展名一栏右边的选择框,点击删除 即可; 3.3.4 上网策略 用户可以灵活地设置用户或用户组上网管理策略的功能。用户需要先在防火墙-〉地址 设置菜单下定义用户和用户组,然后再在这个界面里定义不同用户或用户组的上网策略。 WEB 过滤-> 上网策略,如下图: 点击创建策略来创建新的上网策略。策略是按照顺序来执行。上面的策略优先于下面的 策略。 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 31 of 65 E-master 网络行为审计管理系统用户手册 勾选应用一栏下的选择框,可以设置是否启用该策略; 如果需要删除已有的上网策略,勾选相对应上网策略最右边的选择框,然后点击删除按 钮; 如果需要编辑已有的上网策略,点击相对应上网策略一栏右边的编辑图标 因为策略的执行与其顺序有关,用户可以调整策略的位置。点击相应的上网策略一栏右 ; 边的上下移动图标 ,出现下面界面。用户可以设置将策略向上或者向下移动,移动的 位数由用户输入; 新增上网策略,如下图: 用户/组:选择用户或者用户组。用户和用户组是在“地址管理”里设置的; 注意:只有内网用户/组才可以设置。另外,如果用户没有 IP 地址,这个策略则不会生效。 因为上网管理的策略是基于 IP 地址的。 WEB 过滤:设置是过滤上网(缺省,即需要经过关键字以及网址过滤)、正常上网(即 不经过任何过滤)还是禁止上网; 只允许白名单访问:设置只允许在白名单站点和网址里的网页才可以访问; IP 地址访问:设置是否允许采用 IP 地址访问网站。这是防止用户采用 IP 地址访问在黑 名单上的站点或网址; 黑名单关键字组:设置适用于该用户/组的黑名单关键字组。相关的黑名单关键字组在 “关键字”选项里已经设置好了。如果不选,则为空; 白名单关键字组:设置适用于该用户/组的白名单关键字组。相关的白名单关键字组在 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 32 of 65 E-master 网络行为审计管理系统用户手册 “关键字”选项里已经设置好了。如果不选,则为空; 白名单站点组:设置适用于该用户/组的白名单站点组。相关的白名单站点组在“过滤 网址”选项里已经设置好了。如果不选,则为空; 黑名单网址组:设置适用于该用户/组的黑名单网址组。相关的黑名单网址组在“过滤 网址”选项里已经设置好了。如果不选,则为空; 白名单网址组:设置适用于该用户/组的白名单网址组。相关的白名单网址组在“过滤 网址”选项里已经设置好了。如果不选,则为空; 文件及应用:设置适用于该用户/组的文件及应用组。相关的文件及应用组在“文件及 应用”选项里已经设置好了。如果不选,则为空; Post 过滤 过滤级别:过滤和禁止。过滤只针对于黑白名单进行过滤,如开启禁止则所有的 post 信息不能过滤; 上传文件的许可和禁止; 黑白名单站点组以及黑白名单关键字过滤; 规则是否生效:选择是否让规则生效的状态; 点击添加增加新的上网策略,点击返回取消上网策略的设置; 重启服务:在创建策略后,策略立即生效,勾选后,点击重启策略生效; 编辑上网策略的界面与创建策略基本相同; 3.3.5 模板定义 Web 过滤-〉模板定义,如下图: 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 33 of 65 E-master 网络行为审计管理系统用户手册 3.4 应用控制 针对与用户使用的应用软件进行控制,主要有 msn、qq 以及 P2P 控制。 3.4.1 MSN 过滤 针对 MSN 进行控制以及一些聊天记录的控制。 3.4.1.1 基本设置 应用控制-〉基本设置,如下图: 开启过滤:过滤开启时,不做任何策略的设置,设备默认允许 MSN 登录以及聊天,并 且记录聊天信息; 关闭过滤:过滤关闭时,不做任何策略的设置,设备为允许 MSN 登录以及聊天,但不 会记录聊天信息; 3.4.1.2 关键字 在 MSN 通讯过程中,在 MSN 过滤开启、关键字过滤开启的情况下,可以对聊天内容 进行关键字匹配,若被匹配,系统将拦截关键字内容,客户端将不能收到相应内容。如下图: 3.4.1.3 策略设置 为用户提供灵活的 MSN 控制,用户可以通过策略实现、MSN 登录控制以及是否记录聊 天信息的控制。 应用控制-〉策略设置,如下图: 拒绝策略:新建策略,选择需要控制的用户所在网口以及所在组,动作为拒绝,为启动 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 34 of 65 E-master 网络行为审计管理系统用户手册 状态,点击确定,策略生效,如下图: 允许、记录日志:创建策略方法同上,在动作选择处选择为允许、记录日志,确定后生 效,如下图: 允许、不记录日志:创建策略方法同上,在动作选择处选择为允许、不记录日志,确定 后生效,如下图: 3.4.2 QQ 过滤 提供 QQ 的控制,这里可以对 QQ 进行允许登录以及拒绝登录的控制,并且可以基于时 间端段进行控制。 应用控制-〉QQ 过滤,如下图: 创建规则界面 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 35 of 65 E-master 网络行为审计管理系统用户手册 接口:访问源为用户所在的内网,目的为用户出去的外网; 用户/组:访问源,默认内网,Internal 为 所有用户的意思,可以为用户在地址管理里面 定义的组或单个用户名,目的默认外网组为 External; 服务:服务 QQ,且不可改变; 时间段:默认时间为 always,可以改变为用户在防火墙定义的时间段; 动作:拒绝动作则不允许登录 QQ。允许动作定义可以登录 QQ; 启用和关闭; 确定策略生效; 3.4.3 P2P 控制 为用户提供对常用的一些下载软件以及一些视频软件的控制,如 BT、电驴、迅雷、PPlive、 QQLive、常用股票软件(大智慧、钱龙、同华顺等)。 应用控制-〉P2P 控制,如下图: 创建策略界面 接口:访问源为用户所在的内网,目的为用户出去的外网; 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 36 of 65 E-master 网络行为审计管理系统用户手册 用户/组:访问源,默认内网,Internal 代表所有用户的意思,可以为用户在地址管理里 面定义的组或单个用户名,目的默认外网组为 External; 服务:选择的 P2P 服务; 时间段:默认时间为 always,可以改变为用户在防火墙定义的时间段; 动作:拒绝动作则不允许使用 P2P。允许动作定义可以使用 P2P; 启用和关闭; 确定策略生效; 支持的软件主要有:迅雷、电驴、PPlive、股票交易等; 注:这里只做 P2P 连接的封杀,如果需要完全控制还需在防火墙-〉访问控制中,通过流量 控制策略实现。 3.5 防火墙 防护墙包含基本的安全防护、访问控制、地址管理、服务设置、时间段、虚拟 IP、完 成对用户分组的访问控制以及对外映射服务。 3.5.1 基本设置 防火墙-〉基本设置,如下图: 过滤 TCP 状态 :禁止非正常状态的 TCP 数据包通过; 过滤通用入口扫描 :过滤对网络的接口扫描; 限制并发连接数:限制每个 IP 的 TCP/UDP 并发连接数; 过滤地址欺骗:过滤基于 IP 或 MAC 地址的欺骗; 丢弃分段的 ICMP 包 :过滤小于 48Bytes 或大于 256Bytes ICMP 包; 限制 ICMP 包的并发连接数:限制每秒 ICMP 数据包可到达的并发数; 新增 TCP 并发连接数:限制每个 IP 在每秒钟最大新增连接数; 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 37 of 65 E-master 网络行为审计管理系统用户手册 3.5.2 访问控制 访问控制用于对用户的行为进行控制,控制包括源地址、目标地址、服务、时间、流量、 动作、启动状态、日志记录。 防火墙-〉访问控制,如下图: 创建新规则 访问源接口:选择访问的源接口,可以内网、外网、DMZ; 访问源用户/组:选择访问源用户/用户组。自定义用户/用户组在地址管理设置; 目的接口:选择访问的目的接口,可以内网、外网、DMZ; 访问源用户/组:选择访问目的用户/用户组。自定义用户/用户组在地址管理设置; 服务:选择访问的服务。系统预定具有预定义服务,并且见 BT、讯雷等应用服务 放在此,自定义服务在服务设置中配置; 时间段:选择访问的时间段。如果需要自定义时间,在防火墙-〉时间段设置; 流量控制:系统默认为关闭,开启流控且只有在动作是允许的情况下才会生效,可 以设置上行、下行流量以及流控规则优先级,如下图: z 上行控制上传速度 z 下行控制下载速度 z 优先级:分为 high(高) 、medium(中)、low(低)用于带宽的抢占,先 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 38 of 65 E-master 网络行为审计管理系统用户手册 满足 high,再满足 medium、最后为 low 动作:选择是允许或者拒绝; 流量控制:选择是否启用流量控制选项。流量控制只有在动作是允许的情况下才会 生效; 记录日志:选择是否记录访问控制日志; 启用:选择是否启用该规则; 确定:配置生效; 返回:放弃配置; 删除规则 防火墙-〉访问控制,选择删除的规则,执行删除; 移动规则 调整规则的顺序,规则越前,优先级越高。 注:防火墙规则的优先级与流控中的优先级无关,必须有允许的防火墙规则高于拒绝的规 则允许中的流控才会生效。 3.5.3 地址设置 用户可以设置用户的相关地址,用户可以用 IP 地址来设置或者将 IP 和 MAC 地址绑定 来设置。同时,用户也可以设置一个网段的地址。 3.5.3.1 地址设置 防火墙-〉地址设置-〉地址设置,如下图: 查找:如果地址添加多的情况下,用此功能方便查找 用户名查找:请选择栏下拉为用户名,再在后面框体键入需要查找的用户名称,点 击查找,对应下面框体中的名称; 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 39 of 65 E-master 网络行为审计管理系统用户手册 IP 地址查找:请选择栏下拉为 IP 地址,再在后面框体键入需要查找的 IP 地址,点 击查找,对应下面框体中的 IP 地址; MAC 地址查找:请选择栏下拉为 MAC 地址,再在后面框体键入需要查找的 MAC 地址,点击查找,对应下面框体中的 MAC 地址; 创建用户:手动添加用户,如下图 用户名:可以为中文、字母、数字以及相互的组合使用,必填; IP 地址:用户使用的 IP 地址,必填; 有 效 掩 码 : 对 于 单 个 IP 地 址 对 应 掩 码 格 式 为 255.255.255.255 , 如 添 加 为 255.255.255.0 则相当于一个网段,必填; Mac 地址 z 如 Mac 与 IP 地址绑定,用户出现修改 IP,则无法访问外网以及和我们设 备通信; z 如果该 IP PC 为开启状态,点击“获取”则可以获取到 PC 的 MAC 不需 要手动添加; z 如果该 IP PC 为关闭状态需要手动添加,格式为 ab:cd:ef:gh:00:11,用冒 号隔开; z 在“获取”MAC 地址时需要先选则该 IP PC 说在位置以及所属组; 位置:用户所在内网的网卡位置; 所属组:如果已经在分组管理中创建好分组,则可以在这里选择,默认组为 internal; 确定生成用户,返回取消操作; 批量导入功能:批量获取 IP 与 MAC 地址信息,方便管理员进行配置,如下图: 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 40 of 65 E-master 网络行为审计管理系统用户手册 起始 IP 和结束 IP 的定义 z 起始 IP 和结束 IP 必须定义在一个网段内; z 如果有分组,导入时按组本身所划分的实际网络端输入; 接口:需要做导入的用户所在网口; 扫描地址中已存在的地址:如果勾选则已经做过添加的地址也会显示; 获取,如下图: z IP 地址:获取到的 IP 地址; z MAC 地址:对应 IP 的 MAC 地址; z 计算机:获取到的计算机名称,可以手动更改; z 注释:为了方便客户识别,手动添加的说明; z 需要导入的进行勾选,点击导入,如下图: z 选择位置以及组点击导入,生成用户; 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 41 of 65 E-master 网络行为审计管理系统用户手册 z 点击返回,放弃操作; 注:导入时如果计算机名称出现相同则不会导入成功。 3.5.3.2 分组管理 提供对用户进行分组的功能,这样便于用户在配置上网策略或者访问控制时能够很好地 对用户进行管理。 防火墙-〉地址设置-〉地址设置,如下图: 添加组名选择位置,确定后组创建成功; 用户添加时可以选择自定义的分组; 组可以应用到邮件、web 过滤、防火墙访问控制规则中; 删除分组,在“分组管理”的分组列表里,勾选欲删除的分组,可以多选;点击“删除” 按扭,如果所勾选的分组没有出现在“访问控制”的规则列表中,那么所勾选的即被删 除;否则必须先删除对应的访问控制规则。被删除的分组内的原有用户 IP 不被删除, 且将被归属到“全局组” 。 3.5.4 服务设置 服务设置是查看预定义的服务和自定义服务,可以单独定义一个服务,可以定义服务组。 防火墙-〉服务设置,如下图: 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 42 of 65 E-master 网络行为审计管理系统用户手册 3.5.4.1 预定义服务 预定义服务可以在访问控制中直接选用。 名称:存在服务的名称; 端口:名称所对应的服务端口; 所属组:预定义属于默认的 predefine 组; 3.5.4.2 服务设置 创建服务 防火墙-〉服务设置-〉服务设置-〉创建服务,如下图: 协议:选择创建服务所属的协议,TCP、UDP、ICMP; 服务名称:定义的服务名称,最长 24 位。 类型:有源端口,源地址的源端口;无源端口,目标地址的端口; 端口: z 如果是有源端口类型:输入源端口起始端口和结束端口,和目标起始端口和结 束端口; 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 43 of 65 E-master 网络行为审计管理系统用户手册 z 如果是无源端口类型:输入起始端口和结束端口,点击保存,可以输入多个端 口; 所属组:选择所属的服务组,选择存在的服务组(服务组在服务设置-〉服务组中定 义); 增加:配置生效; 返回:放弃配置; 删除服务 防火墙-〉服务设置,选择删除的服务,删除。如果服务正被使用,则不能被删除; 3.5.4.3 服务组 防火墙-〉服务设置-〉服务组,如下图: 创建新组 防火墙-〉服务设置-〉服务组-〉创建新组,如下图: 组名:创建新组的名称; 注释:补充说明; 增加:配置生效; 返回:放弃配置; 删除新组 防火墙-〉服务设置-〉服务组,选择删除的服务组,删除;如果服务正被使用,则不能删除; 3.5.5 时间段 时间段用于访问控制中,规则在指定的时间范围生效。 创建新时间段 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 44 of 65 E-master 网络行为审计管理系统用户手册 防火墙-〉时间段-〉创建新时间段,如下图: 名称:设置时间段的名称。这个时间段名称可以在访问控制和应用控制里选择。注: 应输入英文名称,有判断。 星期:选择时间段生效的星期; 起始日期:选择时间段生效的起始日期; 结束日期:选择时间段生效的结束日期;(注意:时间段结束时间为所选日期的 0 点) 起始时间:选择时间段生效的起始时间。选项为小时和分钟; 结束时间:选择时间段生效的结束时间。选项为小时和分钟; 备注:输入相关的备注; 确定:配置生效; 返回:放弃配置; 注:如果时间段所有选项为空,系统等同于 always; 删除时间段 防火墙-〉时间段,选择删除的时间对象。如果时间段正被使用,则不能删除; 3.5.6 虚拟 IP 虚拟 IP 有两种模式:静态 NAT 模式和端口转换模式。 静态 NAT 模式是将外网接口的一个 IP 地址(外网 IP)转换成另外一个 IP 地址(转换 IP)。如果在相对应的外网接口上接收到访问外网数据包,会将目的 IP 数据转换到转换 IP 上。 端口转换模式是将外网接口上的一个端口(外网端口)转换到另外一个 IP(转换 IP) 的一个端口(转换端口)。如果在相对应的外网接口上接收到访问外网接口的 IP 地址和外网 端口的数据包,会将目的 IP 替换成转换 IP,目的端口替换成转换端口。 创建新虚拟 IP 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 45 of 65 E-master 网络行为审计管理系统用户手册 NAT 模式 z 模式:静态 NAT 是一对一的映射,端口转换是一对多的映射; z 访问接口:映射中,访问数据的源接口; z 目的 IP:设置需要转换的 IP 地址,对于 ADSL 为空,系统自动获取地址、 域名; z 转换 IP:设置转换后的 IP 地址。通常是网络内的服务器; 端口转换模式 z 模式:端口转换; z 访问接口:映射中,访问数据的源接口; z 目的 IP:设置需要转换的 IP 地址,对于 ADSL 为空,系统自动获取地址、 域名; z 目的端口:转换的目的端口; z 转换 IP:设置转换后的 IP 地址。通常是网络内的服务器; z 目的端口:转换后的 IP 端口; 删除虚拟 IP 防火墙-〉虚拟 IP,选择删除的虚拟 IP。 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 46 of 65 E-master 网络行为审计管理系统用户手册 3.6 路由设置 路由设置包括静态路由、策略路由、RIP、OSPF 配置。 3.6.1 静态路由 路由设置-〉静态路由,如下图: 创建新静态路由 网卡:选择路由的接口,包括 LAN1、WAN1、WAN2; 类型:网络、主机、缺省; 目的:在网络和主机类型下有效; 掩码:在网络和主机类型下有效; 网关:路由可到达的下一跳; 注释:附加说明; 确定:配置生效; 返回:放弃配置; 删除静态路由 路由设置-〉静态路由,选择删除的路由,删除。 3.6.2 策略路由 策略路由用于在双 WAN 或多 WAN 下,通过路由实现线路的选择。 路由设置-〉策略路由,如下图: 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 47 of 65 E-master 网络行为审计管理系统用户手册 创建新策略路由 入口网卡:选择源接口; 源地址类型:网络、主机、缺省; 源地址:子网、IP 地址、所有; 掩码:在网络和主机类型下有效; 出口网卡:选择目标接口; 目的:在网络和主机类型下有效; 掩码:在网络和主机类型下有效; 注释:附加说明; 确定:配置生效; 返回:放弃配置; 删除策略路由 路由设置-〉策略路由,选择删除的路由,删除。 3.6.3 动态路由 动态路由用于系统自动学习路由,需要环境有其他动态路由设备。 3.6.3.1 RIP 路由设置-〉动态路由-〉RIP 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 48 of 65 E-master 网络行为审计管理系统用户手册 基本设置 启用 RIP:开启、关闭 RIP; RIP 版本:支持 RIP 1 和 2; 默认度量:支持的跳数,16 位不可到达; 默认路由:学习默认路由; RIP 计时器 更新计时器:默认时间为 30s; 实效计时器:默认时间为 40s; 超时计时器:默认时间为 80s; 重分发 直连路由:学习直连路由; 静态路由:学习静态路由; 接口设置 选择接口,并输入接口地址、子网; 确定:配置生效; 3.6.3.2 OSPF 路由设置-〉动态路由-〉OSPF 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 49 of 65 E-master 网络行为审计管理系统用户手册 基本设置 启用 OSPF:开启、关闭 OSPF; 默认度量:支持的跳数; 路由 ID: 通常为接口的 IP 地址; OSPF 计时器 延迟计时器:默认时间为 20s; 挂起计时器:默认时间为 10s; 重分发 直连路由:学习直连路由; 静态路由:学习静态路由; 接口设置 选择接口,并输入接口地址、子网,学习的区域; 确定:配置生效; 3.7 审计管理 为用户提供了详细的审计管理数据,使用户对产品的过滤效果一目了然,能够方便地掌 握过滤的状况。 3.7.1 过滤统计 目前记录 7 种协议以及 2 种应用的详细日志。 审计管理-〉过滤统计,如下图: 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 50 of 65 E-master 网络行为审计管理系统用户手册 统计数字显示,分别点击协议可以查看详细信息,例如查看 HTTP 记录信息,则点击 FTP 字样,出现如下图: 3.7.2 每日详情 针对每一个协议,提供了每日详情来显示每个协议每天、每周或者每月的扫描数据。 审计管理-〉每日详情,如下图: 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 51 of 65 E-master 网络行为审计管理系统用户手册 选择欲查看的“协议”、 “统计类型” (按日、按周、或者按月)、点击 Go 即可看到相关 协议的过滤数据及图表。 3.7.3 应用日志 提供详细的每个协议的详细过滤信息。应用日志信息的详细程度是根据日志设置里的参 数决定的。参考审计管理-〉日志设置-〉日志显示。 审计管理-〉应用日志,如下图: 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 52 of 65 E-master 网络行为审计管理系统用户手册 应用日志包括:POP3、SMTP、FTP、HTTP、IMAP、NETBIOS、MSN、QQ 等协议的系统日志。 点击不同的协议可以查看相关的日志。日志列表显示了该协议通信的关键数据; 在应用日志里显示的是特定日期的日志。用户可以点击日期栏选择其它日期。同时也可 以点击日期栏右边的上一天和下一天图标来移动; 查询日志:点击查询输入相关字段即可; 日志导出:在查询结果中,导出 Excel 日志; 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 53 of 65 E-master 网络行为审计管理系统用户手册 3.7.4 访问日志 访问日志用于查看匹配防火墙规则的日志。 审计管理-〉访问日志,如下图: 访问日志里记录了防火墙访问控制规则中匹配规则的数据。同时,用户可以点击“查询” 对访问日志进行查询。用户可以根据协议、源 IP、源端口、目标 IP 和目标端口进行查询。 3.7.5 流量统计 流量统计汇总在系统配置-〉流量统计设置需要记录的接口流量,包含当前所有 IP 流量 统计、流量前 20 位的 IP 排名、IP 流量报告、最近 1 天流量图、一周流量图、一月浏览图 以及单一 IP 实时流量图。 当前所有 IP 的流量,如下: 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 54 of 65 E-master 网络行为审计管理系统用户手册 如需要查看某个 IP 的流量时,点击 IP 地址,弹出详细流量图,如下: 流量 top 前 20 位的 IP 排名 起始日志和结束日期 协议的选择 条件设置完毕,点击查询,如下图: 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 55 of 65 E-master 网络行为审计管理系统用户手册 IP 流量报告 起始日志和结束日期 手工输入需要查询的 IP 条件设置完毕,点击查询,如下图: 最近一天的报告,选择时间,图示和图表两种方式显示,如下图: 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 56 of 65 E-master 网络行为审计管理系统用户手册 最近 1 周,图示和图表两种方式显示,如下图: 最近 1 月流量报告,图示和图表两种方式显示,如下图: 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 57 of 65 E-master 网络行为审计管理系统用户手册 3.7.6 邮件审计 当邮件审计功能开启时,在开启审计的网口对发送邮件会出现延迟审计,会记录在统计 日志-〉邮件审计,需要管理手动审计通过或自动审核(系统默认为 180 分钟后,不审计通过, 系统自动转发)。 审计管理-〉邮件审计,如下图: 点击查看,可以看到邮件内容。 勾选需要通过的邮件,点击审计通过,显示为已发送,则收件人可以收到邮件。 注:本功能需要在邮件过滤-〉邮件延迟审核设置,开启邮件延迟审计功能。 3.7.7 日志设置 日志设置为管理提供了设置日志参数的功能。 审计管理-〉日志设置,如下图: 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 58 of 65 E-master 网络行为审计管理系统用户手册 系统日志保留时间:系统记录日志的最长时间,超时将按照先进先出的原则,清理日志, 默认为 90 天,用户可定义; 日志存储空间报警阀值:系统日志存储量达到总量的 90%,将按照先进先出的原则,清 理日志; 清空日志:手动清除所有日志; 日志级别:系统记录日志的方式; 不记录:系统对客户的任何访问都不记录日志; 记录过滤的访问:系统将记录 POP3、SMTP 的病毒、垃圾邮件记录,FTP、IMAP 的病 毒记录,HTTP 的过滤、病毒记录; 记录所有访问:系统对客户的任何访问记录都将记录日志; 对于 POP3 协议,提供了备份所有邮件的选项; 日志发送 告警日志服务器:设置告警日志服务器 IP。 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 59 of 65 E-master 网络行为审计管理系统用户手册 管理中心服务器:设置管理中心服务器 IP 和端口,格式为 IP:PORT。 时间设置: z 基准时间:与管理中心进行通讯的时间间隔; z 时间范围:在基准时间开始启动的时间范围; z 时间敏感度:记录与中心的通讯的时间; z 性能收集时间:系统采集性能数据的时间间隔; 日志发送:选择要发送到管控中心的协议的日志内容; 发送报表设置 发送时间:每周或每天; 发送内容:选择发送的内容,包括 TOP 病毒名称排名,TOPIP 地址排名(病毒), TOPIP 地址排名(垃圾邮件); TOP:TOPN 排名; 发送到:发送到的邮件地址; 日志显示 应用日志名称:选择某一协议的在应用日志各个字段显示的宽度。 是否可见:勾选后,则在应用日志显示,否则,不显示。 宽度:字段在某一协议所占的百分比宽度。 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 60 of 65 E-master 网络行为审计管理系统用户手册 3.7.8 恢复默认值:将某一应用的设置恢复出厂值。 操作日志 操作日志记录了管理用户的操作行为。 统计日志-〉操作日志,如下图: 时间:通过 web 方式登录系统的时间; 用户名:通过 web 方式登录系统的用户名; 操作模块:记录被改变配置的系统模块; 操作选项:记录被改变配置的具体功能; 动作:记录使用哪一种行为改变配置; 3.8 串口管理 通过超级终端登陆系统管理设备,操作如下: 进入超级终端 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 61 of 65 E-master 网络行为审计管理系统用户手册 配置超级终端 配置串口 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 62 of 65 E-master 网络行为审计管理系统用户手册 进入系统 帐号:systemmaster 密码:1234abcd 串口命令 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 63 of 65 E-master 网络行为审计管理系统用户手册 admiclient z 用途:查看添加管理客户 IP z 格式:admiclient –A IP 添加管理客户端 IP admiclient –D IP 删除管理客户端 IP admiclient –L 查看管理客户端 IP shutdown z 用途:关闭系统 z 格式:shutdown help z 用途:提供帮助; z 格式:help ping z 用途:检测目标主机可到达; z 格式:ping IP clear z 用途:清屏; z 格式:clear telnet z 用途:将所有用户输入送到远方主机进行处理 z 格式:telnet ip [port] 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 64 of 65 E-master 网络行为审计管理系统用户手册 traceroute z 用途:跟踪路由 z 格式:traceroute [IP][-h] arp z 用途:查看 arp 记录 z 格式:arp -a tcpdump z 用途:获取 IP 数据包 z 格式:tcpdump [–i][br0|eth0|eth1|eth2|eth3] [host|net] reboot z 用途:重启系统 z 格式:reboot quit z 用途:退出登录终端 z 格式:quit route z 用途:查看路由表 z 格式:route ifconfig z 用途:查看接口地址 z 格式:ifconfig [ br0|eth0|eth1|eth2|eth3] passwd z 用途:修改 systemmaster 密码 z 格式:passwd systemmaster loaddefault z 用途:恢复系统默认值 z 格式:loaddefault nslookup z 用途:解析域名所对应的 IP 地址 z 格式:nslookup [域名] tcptrack z 用途:流量追踪 z 格式:tcptrack [–i] [br0|eth0|eth1|eth2|eth3][host|net] 南京小哨兵信息设备有限公司 http://www.sentry.com.cn Page 65 of 65