網(wǎng)絡(luò)安全審計系統(tǒng)用戶手冊.doc

網(wǎng)絡(luò)安全審計系統(tǒng)用戶操作手冊 立志高遠(yuǎn) 追求卓越 網(wǎng)絡(luò)安全審計系統(tǒng)用戶手冊2010年7月12日 （初稿）目 錄1.1網(wǎng)絡(luò)部署模式21.1.1旁路部署模式21.2系統(tǒng)啟動、登錄21.3系統(tǒng)操作界面介紹31.4系統(tǒng)操作模式41.4.1面向功能的操作模式41.4.2面向?qū)徲媽ο蟮牟僮髂Ｊ?1.5審計對象管理71.5.1機(jī)器組管理81.5.2機(jī)器管理121.6管理策略141.6.1控制策略141.7審計日志查詢231.7.1行為審計231.7.2內(nèi)容審計301.7.3現(xiàn)場觀察331.8網(wǎng)絡(luò)中使用路由器的改造方法351.9設(shè)備使用注意事項35網(wǎng)絡(luò)安全審計系統(tǒng)基本功能簡介1.1 網(wǎng)絡(luò)部署模式1.1.1 旁路部署模式 網(wǎng)絡(luò)安全審計系統(tǒng)旁路基本部署示意圖1.2 系統(tǒng)啟動、登錄網(wǎng)絡(luò)安全審計系統(tǒng)采用B/S模式進(jìn)行管理，用戶在網(wǎng)絡(luò)中任何一臺機(jī)器都可以通過網(wǎng)頁瀏覽器登錄系統(tǒng)：第一步：打開局域網(wǎng)內(nèi)任意機(jī)器的IE瀏覽器，輸入HTTPS:/系統(tǒng)IP地址 ，出現(xiàn)以下安全警報界面，選擇“是”進(jìn)入系統(tǒng)登錄界面：說明：如果不知道系統(tǒng)IP地址，請咨詢系統(tǒng)的安裝人員。第二步：選擇界面顯示的語言（簡體中文/繁體中文/English）、輸入用戶名、密碼以及校驗碼；（系統(tǒng)默認(rèn)用戶名admin密碼123456）第三步：點擊“登錄”按鈕進(jìn)入系統(tǒng)主界面，或點擊“重置”按鈕清除當(dāng)前輸入框中所有數(shù)據(jù)重新錄入進(jìn)行登錄； 注意：1. 在登錄時系統(tǒng)主窗口采用彈出式，因此請您務(wù)必檢查是否有IE插件限制了彈出窗口；2. 網(wǎng)絡(luò)安全審計系統(tǒng)出廠時的用戶名是admin,密碼是123456。為了安全起見,請在首次登錄時通過“個性設(shè)置-我的帳號-密碼修改”功能，修改默認(rèn)密碼。1.3 系統(tǒng)操作界面介紹為了便于說明，本手冊將系統(tǒng)操作界面分成四個部分，通常頁面的上部為系統(tǒng)名稱和快捷按鈕區(qū)，頁面的左側(cè)為導(dǎo)航菜單區(qū)，右側(cè)為數(shù)據(jù)顯示區(qū)，其中數(shù)據(jù)顯示區(qū)的上部為查詢區(qū)，中間為信息顯示區(qū)。除中間的數(shù)據(jù)顯示區(qū)外，其它各個區(qū)都可以選擇隱藏。用戶可以在導(dǎo)航菜單欄選擇不同的系統(tǒng)操作模式，另外，數(shù)據(jù)顯示區(qū)采用OUTLOOK風(fēng)格，當(dāng)用戶在數(shù)據(jù)顯示區(qū)點擊數(shù)據(jù)列表中的記錄，列表下方將實時顯示該記錄的詳情，在數(shù)據(jù)顯示區(qū)上方為數(shù)據(jù)查詢區(qū)，用戶可以通過設(shè)置具體查詢條件以便在數(shù)據(jù)列表中只顯示特定的記錄； 1.4 系統(tǒng)操作模式網(wǎng)絡(luò)安全審計系統(tǒng)為用戶提供了兩種操作模式，以滿足不同用戶操作習(xí)慣和不同操作目的的需求：1 面向功能的操作模式2 面向?qū)徲媽ο蟮牟僮髂Ｊ?.4.1 面向功能的操作模式點擊左側(cè)導(dǎo)航菜單欄的“功能列表”標(biāo)簽按鈕進(jìn)入面向功能的操作模式，在該模式下，導(dǎo)航菜單欄顯示如下圖在此種操作模式下，通過點擊左側(cè)導(dǎo)航菜單欄的菜單列表選項進(jìn)行操作；該種操作模式可以方便地對某一項或某幾項網(wǎng)絡(luò)應(yīng)用的使用狀況進(jìn)行設(shè)置、查詢、統(tǒng)計和分析。以查看當(dāng)天網(wǎng)頁訪問審計數(shù)據(jù)為例：第一步：在左側(cè)導(dǎo)航菜單欄中選擇行為審計，在二級菜單中選擇網(wǎng)頁訪問；第二步：右側(cè)數(shù)據(jù)顯示區(qū)顯示網(wǎng)頁訪問審計頁面， 第三步：點擊機(jī)器/組框旁的，彈出“選擇單個機(jī)器或機(jī)器組”對話框: 第四步：在查詢區(qū)，點擊“顯示高級查詢區(qū)”按鈕，輸入網(wǎng)頁訪問記錄的組合查詢條件，點擊“查詢”按鈕，查詢結(jié)果顯示如下圖，點擊任何一條查詢記錄可在下方區(qū)域查看詳情。1.4.2 面向?qū)徲媽ο蟮牟僮髂Ｊ?面向被監(jiān)控機(jī)器該操作模式下，所有被審計對象以機(jī)器ip地址為標(biāo)識。點擊左側(cè)導(dǎo)航菜單欄的機(jī)器列表標(biāo)簽即可進(jìn)入面向被監(jiān)控機(jī)器的操作模式，該模式下，導(dǎo)航菜單欄及數(shù)據(jù)顯示區(qū)顯示如下圖：在機(jī)器列表操作模式下，系統(tǒng)在左側(cè)導(dǎo)航欄中不提供系統(tǒng)升級、系統(tǒng)配置等功能，所有操作均以審計對象為核心。左側(cè)導(dǎo)航菜單欄以樹狀形式顯示機(jī)器組及對應(yīng)的機(jī)器列表，點擊某一個組或機(jī)器后，數(shù)據(jù)顯示區(qū)將顯示該組/機(jī)器對應(yīng)的屬性，如：機(jī)器/機(jī)器組名稱、機(jī)器/機(jī)器組策略、狀態(tài)等信息。另外，數(shù)據(jù)顯示區(qū)上方還提供了操作菜單欄，如下圖所示，選擇要查看的審計類型，數(shù)據(jù)列表區(qū)將實現(xiàn)對應(yīng)的審計記錄或評估報表。在導(dǎo)航菜單欄，通過使用鼠標(biāo)右鍵可對機(jī)器或機(jī)器組進(jìn)行相關(guān)操作，如下圖所示：1.5 審計對象管理網(wǎng)絡(luò)安全審計系統(tǒng)對所有審計對象采用“組”和“審計對象”兩個級別進(jìn)行管理，用戶可以根據(jù)自身網(wǎng)絡(luò)管理的需要或業(yè)務(wù)組織結(jié)構(gòu)通過網(wǎng)絡(luò)安全審計系統(tǒng)把所有的審計對象劃分成不同的組，管理員可以為每個組制定組管理策略，也可以為每個審計對象設(shè)定只針對此機(jī)器的管理策略。1.5.1 機(jī)器組管理網(wǎng)絡(luò)安全審計系統(tǒng)中，默認(rèn)提供三個機(jī)器組信息：機(jī)器信息、默認(rèn)組、機(jī)器回收站。所有機(jī)器組均創(chuàng)建在“機(jī)器信息”下面。在沒有設(shè)置自動創(chuàng)建機(jī)器組功能，或者新發(fā)現(xiàn)的機(jī)器未設(shè)置自動添加到機(jī)器組的功能時，所有發(fā)現(xiàn)的機(jī)器均添加到“默認(rèn)組”中。執(zhí)行刪除操作的機(jī)器將被移入機(jī)器回收站。在機(jī)器列表的每個機(jī)器組名稱后面會有“線機(jī)器數(shù)/該組總的機(jī)器數(shù)”顯示機(jī)器組的下拉功能菜單如下圖 添加機(jī)器組用鼠標(biāo)點擊左側(cè)導(dǎo)航欄機(jī)器列表,然后在機(jī)器信息上使用鼠標(biāo)右鍵，在彈出菜單中選擇添加子組，在數(shù)據(jù)顯示區(qū)將顯示添加機(jī)器組頁面，錄入相關(guān)信息后，按“確定”按鈕即可添加成功。如下圖所示： 更改、設(shè)置機(jī)器組屬性機(jī)器組屬性包括： 機(jī)器組名稱：機(jī)器組名稱必須唯一； 機(jī)器組策略：當(dāng)前應(yīng)用于該機(jī)器組生效的機(jī)器組管理策略； 是否使用私有策略：如果使用私有策略，當(dāng)上級組的組策略更改時，該組策略不發(fā)生變化； 是否需要認(rèn)證：當(dāng)采用LDAP或本地帳號上網(wǎng)認(rèn)證時，需要選擇該項； 是否默認(rèn)組：在沒有設(shè)置自動創(chuàng)建機(jī)器組功能，或者新發(fā)現(xiàn)的機(jī)器未設(shè)置自動添加到機(jī)器組的功能時，所有發(fā)現(xiàn)的機(jī)器均添加到“默認(rèn)組”中，僅有一個機(jī)器組為默認(rèn)組，如果某個組被設(shè)置為默認(rèn)組，則原先設(shè)置的默認(rèn)組會自動改為非默認(rèn)組； 是否把機(jī)器自動增加到組中：設(shè)定是否開啟“自動分組IP段內(nèi)的新增機(jī)器發(fā)現(xiàn)后自動添加到該組內(nèi)“的功能； 自動分組IP段設(shè)置：指定IP段，所有屬于該地址段內(nèi)的機(jī)器將被自動添加到機(jī)器組中（需把“是否把機(jī)器自動增加到組”設(shè)置為“是”）； 機(jī)器組描述：標(biāo)識該組職能或類別，非唯一；用戶可以在建立機(jī)器組時設(shè)置機(jī)器組屬性，也可以在彈出菜單欄中選擇“修改本組”項，更改機(jī)器組原有屬性； 刪除機(jī)器組用鼠標(biāo)右鍵點擊機(jī)器列表中所要刪除的機(jī)器組，在彈出菜單中選擇“刪除本組”即可刪除選定的機(jī)器組；被刪除的機(jī)器組內(nèi)的機(jī)器將被自動移入“recycle”內(nèi)。 向指定機(jī)器組添加機(jī)器用鼠標(biāo)右鍵點擊機(jī)器組，彈出機(jī)器組管理菜單,在菜單欄中選擇“添加機(jī)器”項，右側(cè)數(shù)據(jù)顯示區(qū)顯示添加機(jī)器頁面，如下圖網(wǎng)絡(luò)安全審計系統(tǒng)提供了兩種向機(jī)器組中添加機(jī)器的操作方式： 手動添加單臺機(jī)器；錄入必要的機(jī)器屬性信息：機(jī)器名稱、IP、MAC地址（打*號的為必填項）；其它非必要信息用戶可以在添加操作完成后通過修改機(jī)器屬性進(jìn)行更改；點擊“確定”完成添加； 批量添加機(jī)器；在IP段內(nèi)指定需要批量添加的機(jī)器的IP范圍，點擊“添加”按鈕，用戶可以一次添加多個IP段，已添加的IP段將依次顯示在下方信息框內(nèi)，用戶可以選擇某一個IP段，通過點擊“刪除選中”按鈕對已添加的IP段進(jìn)行刪除操作，用戶對已添加的IP段確定無誤后點擊“確定”按鈕，所添加IP段內(nèi)的機(jī)器將被自動添加到當(dāng)前機(jī)器組內(nèi)；說明：批量添加機(jī)器功能只用于將已發(fā)現(xiàn)的機(jī)器從別的機(jī)器組移入當(dāng)前機(jī)器組，而不是批量創(chuàng)建新的機(jī)器名。 刪除機(jī)器在任意機(jī)器組/機(jī)器上使用鼠標(biāo)右鍵將彈出功能菜單，選擇“移入機(jī)器回收站”菜單子項，將彈出“移入機(jī)器回收站？”的問詢框。在回收站中刪除機(jī)器只有在該機(jī)器不存在任何審計日志情況下才可刪除，否則彈出“存在審計日志不能刪除”提示框。 機(jī)器組策略在面向?qū)徲媽ο蟮牟僮髦?，用戶可以方便的針對機(jī)器組進(jìn)行審計策略的修改，步驟如下：第一步：點擊要修改審計策略的機(jī)器組。 第二步：點擊數(shù)據(jù)顯示區(qū)上方的“查看策略”按鈕，系統(tǒng)顯示當(dāng)前機(jī)器組策略如下圖所示，用戶可在當(dāng)前頁面修改當(dāng)前機(jī)器組策略，點擊“確定”按鈕保存該策略設(shè)置。 批量更改機(jī)器組成員屬性為了操作方便，在機(jī)器組屬性界面中提供了批量更改該機(jī)器組下所有成員的監(jiān)控屬性的操作，步驟如下：第一步：點擊要修改的機(jī)器組，此時數(shù)據(jù)顯示區(qū)將顯示該機(jī)器組的屬性界面。第二步：點擊數(shù)據(jù)顯示區(qū)上方的“機(jī)器列表”按鈕。系統(tǒng)將在數(shù)據(jù)顯示區(qū)顯示當(dāng)前機(jī)器組內(nèi)所有審計對象的機(jī)器屬性。第三步：通過點擊機(jī)器名稱前的選擇框選擇全部或多臺機(jī)器，然后在操作項下拉框選擇對應(yīng)的操作，如下圖部分操作項說明： 更改屬組：將當(dāng)前選擇的機(jī)器移入到其他機(jī)器組內(nèi)。 批量添加黑白名單在機(jī)器列表界面后，在要設(shè)置為黑白名或者白名單的機(jī)器名稱前打勾，再選擇“操作項”列表中的“黑名單”或者“白名單”即可。說明： 白名單：白名單中的機(jī)器不受審計管理策略限制，系統(tǒng)不記錄，也不限制白名單內(nèi)的機(jī)器的上網(wǎng)行為； 黑名單：黑名單中的機(jī)器所有的上網(wǎng)行為將全部被封堵；1.5.2 機(jī)器管理下面介紹針對單個審計對象的管理功能：機(jī)器屬性、機(jī)器策略，其它的評估報表、現(xiàn)場觀察、內(nèi)容審計、行為審計等功能與機(jī)器組管理中的功能相似的操作。 機(jī)器屬性點擊機(jī)器列表內(nèi)任意一臺機(jī)器，數(shù)據(jù)顯示區(qū)將顯示該機(jī)器的機(jī)器屬性，如下圖 機(jī)器屬性說明如下： 機(jī)器名稱： 即機(jī)器在網(wǎng)絡(luò)上的標(biāo)識名，正常狀態(tài)下無須用戶手動輸入，網(wǎng)絡(luò)安全審計系統(tǒng)可以通過對網(wǎng)絡(luò)內(nèi)所有機(jī)器進(jìn)行掃描自動解析所有機(jī)器的機(jī)器名稱，如果目標(biāo)機(jī)器安裝了防火墻等軟件，系統(tǒng)有可能無法正確解析出目標(biāo)主機(jī)的機(jī)器名稱而采用IP代替； 使用者：網(wǎng)絡(luò)管理者在系統(tǒng)中用來唯一確認(rèn)/綁定每臺目標(biāo)主機(jī)的標(biāo)識； IP 地址：同機(jī)器名稱，無須用戶手動輸入，系統(tǒng)可自動解析獲得； MAC 地址：同機(jī)器名稱，無須用戶手動輸入，系統(tǒng)可自動解析獲得； 是否使用私有策略：如果使用私有策略，當(dāng)其組策略更改時，該機(jī)器策略不發(fā)生變化； 是否需要認(rèn)證：對機(jī)器進(jìn)行上網(wǎng)認(rèn)證時，需開啟該設(shè)置項； 機(jī)器策略：顯示當(dāng)前機(jī)器應(yīng)用的策略，用戶可以通過下拉列表選擇其它管理策略； 監(jiān)控系統(tǒng)：在分布式環(huán)境下，用戶可以選擇其所屬的監(jiān)控系統(tǒng)，單機(jī)版該項不可更改； 狀態(tài)：用戶可以通過狀態(tài)下拉列表更改當(dāng)前審計對象的受控狀態(tài)，也可以在機(jī)器列表的右鍵彈出菜單欄中選擇對應(yīng)的選項更改其受控狀態(tài)；l 正常受控：屬于正常審計對象范圍，根據(jù)審計管理策略對所屬范圍內(nèi)的所有審計行為進(jìn)行審計記錄和管理；l 白名單：白名單中的機(jī)器不受審計管理策略限制，系統(tǒng)不記錄，也不限制管理白名單內(nèi)的機(jī)器的上網(wǎng)行為；l 黑名單：黑名單中的機(jī)器所有的上網(wǎng)行為將全部被封堵；更改機(jī)器屬性完畢，點擊“確定”按鈕保存設(shè)置； 機(jī)器策略跟機(jī)器組策略類似，系統(tǒng)提供針對單個機(jī)器進(jìn)行策略修改的功能。操作步驟如下：第一步：在機(jī)器列表中點擊要修改策略的機(jī)器名稱。第二步：點擊數(shù)據(jù)顯示區(qū)上方的“查看策略”按鈕，系統(tǒng)顯示當(dāng)前機(jī)器組策略如下圖，用戶可在當(dāng)前頁面修改當(dāng)前機(jī)器組策略，點擊“確定”按鈕保存該策略設(shè)置1.6 管理策略系統(tǒng)管理員通過網(wǎng)絡(luò)安全審計系統(tǒng)的管理策略配置功能，可以對審計對象的上網(wǎng)行為管理和審計的措施進(jìn)行配置組合；策略可以被應(yīng)用于機(jī)器組和機(jī)器中,點擊功能列表中的管理策略進(jìn)入各項策略配置頁面。1.6.1 控制策略控制策略又稱用戶策略，管理員可以創(chuàng)建多條控制策略并把它們運(yùn)用到不同的機(jī)器或者機(jī)器組?？刂撇呗耘渲媒缑嫒鐖D所示： 策略管理對策略的管理功能主要有新增、修改、刪除、設(shè)置默認(rèn)策略、導(dǎo)出、導(dǎo)入、策略查詢、策略應(yīng)用到具體機(jī)器和賬號的查詢，初始安裝系統(tǒng)帶有default策略，并被設(shè)置為默認(rèn)策略，默認(rèn)策略不允許被刪除。1. 新增策略點擊控制按鈕區(qū)的新增按鈕進(jìn)入增加控制策略頁面，如下圖所示：配置策略完畢后，點“確定”按鈕保存策略配置。添加策略操作成功后，用戶可在操作欄下方策略列表中找到新增的策略項；2. 修改策略在策略列表中點擊需要修改的策略名稱，該策略對應(yīng)配置將顯示在策略列表下方，修改完畢，點擊“確認(rèn)”按鈕保存設(shè)置；如下圖所示:3. 刪除策略方法1：點擊策略列表中所要刪除的策略后面對應(yīng)的按鈕，在確認(rèn)刪除對話框中選擇確認(rèn)，系統(tǒng)提示刪除成功；方法2：通過點擊策略列表所要刪除的策略名稱前的選擇框，選擇單個或多個需要刪除的策略，然后點擊控制按鈕區(qū)的“刪除”按鈕，在確認(rèn)刪除對話框中選擇確認(rèn)，系統(tǒng)提示刪除成功；說明：默認(rèn)策略和正在使用的策略不能被刪除。4. 設(shè)置默認(rèn)策略點擊策略列表所要設(shè)為默認(rèn)策略的策略名稱前的選擇框，只能選一條策略，點擊操作欄“設(shè)置默認(rèn)”按鈕，系統(tǒng)提示設(shè)置默認(rèn)策略成功；說明： 默認(rèn)策略不能對其進(jìn)行刪除； 新發(fā)現(xiàn)的機(jī)器將默認(rèn)使用“默認(rèn)策略”；5. 導(dǎo)出策略選擇需要導(dǎo)出的策略，然后點擊控制按鈕區(qū)的“導(dǎo)出”按鈕，在彈出對話框中點擊“保存”，選擇策略保存的位置后即可。6. 導(dǎo)入策略點擊控制按鈕區(qū)的 “導(dǎo)入”按鈕，系統(tǒng)顯示導(dǎo)入策略頁面，如下圖所示：點擊“瀏覽”按鈕選擇需要導(dǎo)入的策略文件（如：機(jī)器策略.BIN），然后點擊應(yīng)用對象欄的按鈕，選擇策略所要應(yīng)用的機(jī)器或機(jī)器組即可。7. 查詢策略系統(tǒng)提供按策略名稱、策略描述、策略狀態(tài)進(jìn)行查詢的功能，如下圖所示?？梢允褂靡环N或全部查詢條件進(jìn)行組合查詢，以便只顯示符合條件的策略列表。 策略基本信息在基本信息配置項中用戶可以配置：策略名稱：當(dāng)前策略的策略名稱；策略描述：在策略描述中對策略的用途予以說明；是否公開：設(shè)定此策略的狀態(tài)屬性，如果選擇“是”即設(shè)為公共策略，則其他用戶登錄后也能看到并使用該策略，反之選擇“否”即設(shè)為私有策略，其他用戶登錄后將看不到這個策略。只有公開策略才能被設(shè)置為默認(rèn)策略。策略關(guān)聯(lián)機(jī)器和賬號的查看：點擊“關(guān)聯(lián)機(jī)器”，就可以查看該條策略具體應(yīng)用到了那些機(jī)器； 時間段設(shè)置管理員可以在時間段設(shè)置頁面通過“全局”選項控制所有上網(wǎng)行為的時間段，也可以單獨針對某一種上網(wǎng)行為進(jìn)行設(shè)置。新增策略的時間段設(shè)置缺省為空，即所有上網(wǎng)行為在任何時間都被禁止。用戶可通過鼠標(biāo)拖動設(shè)置時間段，也可以通過下方的“全部上班時間、全部下班時間、全部時間、全部全清” 快捷按鈕設(shè)置時間段，或在具體協(xié)議上使用鼠標(biāo)右鍵，使用彈出的下拉菜單來設(shè)置時間段。如圖說明： 時間段設(shè)置界面，藍(lán)色顯示塊表示允許上網(wǎng)，白色表示禁止上網(wǎng)。 工作時間需要在“系統(tǒng)管理-系統(tǒng)配置”中進(jìn)行設(shè)置。 時間段設(shè)置的最小單位是0.5小時。 通過標(biāo)簽頁可以對星期一到星期天進(jìn)行不同的時間段設(shè)置。 通過“應(yīng)用于”功能按鈕，可以將當(dāng)前星期幾的時間段設(shè)置快捷地應(yīng)用到其他日。 端口控制端口控制用于設(shè)置開放或關(guān)閉網(wǎng)絡(luò)中的某些端口，端口是網(wǎng)絡(luò)服務(wù)協(xié)議及應(yīng)用的重要標(biāo)識，管理員可以通過網(wǎng)絡(luò)安全審計系統(tǒng)指定開放和禁止的端口，實現(xiàn)對各種上網(wǎng)行為的有效控制；操作說明: 添加允許使用的端口點擊“只能使用指定端口”操作欄的更改設(shè)置，彈出添加端口對話框，如上圖所示。在端口輸入框中錄入所要添加的端口，點擊“添加”按鈕，列表中將顯示您添加的端口。點擊“保存”按鈕保存所添加的端口并且返回端口控制主頁面； 添加禁止使用的端口點擊“禁止使用指定端口”操作欄的更改設(shè)置，彈出禁止端口設(shè)置對話框，在端口輸入框中錄入所要禁止的端口，點擊“添加”按鈕，列表中將顯示您添加的端口。點擊“保存”按鈕保存所添加的端口并且返回端口控制主頁面；在端口控制主頁面的狀態(tài)欄選擇框選擇需要在當(dāng)前策略中生效的端口控制設(shè)置。（說明：只能使用指定端口與禁止使用指定端口兩項為互斥關(guān)系，不可同時選擇）。 采用“只能使用指定端口”進(jìn)行控制時：上網(wǎng)行為使用的端口號在“只能使用指定端口”內(nèi)的將被允許，其他上網(wǎng)行為將被封堵。 采用“禁止使用指定端口”進(jìn)行控制時：上網(wǎng)行為使用的端口號在“禁止使用指定端口”內(nèi)的將被封堵，其他上網(wǎng)行為將被允許。 網(wǎng)頁訪問通過網(wǎng)頁訪問控制策略，管理員可以根據(jù)需要通過分類網(wǎng)址過濾庫、URL關(guān)鍵字、搜索關(guān)鍵字等設(shè)置過濾策略，控制審計對象可以訪問的網(wǎng)站類別及網(wǎng)頁，禁止用戶通過網(wǎng)頁下載某種指定類型的文件，記錄審計對象的網(wǎng)頁上傳內(nèi)容等；操作說明： 只允許訪問包含關(guān)鍵字的URL網(wǎng)絡(luò)安全審計系統(tǒng)可以對用戶訪問網(wǎng)頁的URL進(jìn)行搜索和分析，根據(jù)用戶設(shè)置的敏感關(guān)鍵字與訪問URL進(jìn)行對比模糊匹配，當(dāng)發(fā)現(xiàn)審計對象所訪問的URL中不包含有敏感關(guān)鍵字時，系統(tǒng)將對該網(wǎng)頁進(jìn)行封堵；用戶通過點擊“只允許訪問包含關(guān)鍵字的URL”欄的“更改設(shè)置”按鈕進(jìn)入URL關(guān)鍵字設(shè)置對話框添加需要設(shè)置的關(guān)鍵字； 過濾所有含有關(guān)鍵字的URL網(wǎng)絡(luò)安全審計系統(tǒng)可以對用戶訪問網(wǎng)頁的URL進(jìn)行搜索和分析，根據(jù)用戶設(shè)置的敏感關(guān)鍵字與訪問URL進(jìn)行對比匹配，當(dāng)發(fā)現(xiàn)審計對象所訪問的URL中包含有敏感關(guān)鍵字時，系統(tǒng)將對該網(wǎng)頁進(jìn)行封堵；用戶通過點擊過濾所有含關(guān)鍵字的URL欄的“更改設(shè)置”按鈕進(jìn)入URL關(guān)鍵字過濾設(shè)置對話框添加需要設(shè)置的敏感關(guān)鍵字，其中“類型”為用戶自行設(shè)置起標(biāo)識作用。 允許通過IP訪問網(wǎng)頁禁止或允許用戶直接在網(wǎng)頁瀏覽器地址欄中以IP的形式訪問網(wǎng)站，該功能默認(rèn)狀態(tài)為不允許； 搜索引擎的搜索關(guān)鍵字過濾在搜索關(guān)鍵字列表中添加需要禁止的搜索關(guān)鍵字，如果審計對象在搜索引擎中輸入的搜索關(guān)鍵字與系統(tǒng)設(shè)定的搜索關(guān)鍵字列表中的關(guān)鍵字相匹配，則系統(tǒng)將發(fā)送封堵信息禁止審計對象通過搜索引擎以該關(guān)鍵詞來搜索；操作設(shè)置同過濾所有含關(guān)鍵字的URL項； 記錄通過網(wǎng)頁上傳的內(nèi)容（網(wǎng)頁發(fā)貼或網(wǎng)頁發(fā)送郵件）該項設(shè)置允許管理員通過網(wǎng)絡(luò)安全審計系統(tǒng)V4.0記錄審計對象通過網(wǎng)頁形式上傳的內(nèi)容，包括網(wǎng)頁發(fā)貼、網(wǎng)頁上傳文件以及以WEBMAIL的形式發(fā)送的郵件內(nèi)容等； 禁止網(wǎng)頁上傳過多內(nèi)容或超大文件系統(tǒng)可以設(shè)定允許通過網(wǎng)頁上傳內(nèi)容或文件的最大限度，如果審計對象上傳的大小超過此數(shù)值，系統(tǒng)將會發(fā)送封堵信息斷開連接。 郵件通過郵件收發(fā)審計策略的設(shè)置，管理員可方便的對被監(jiān)控機(jī)器的郵件行為進(jìn)行記錄和控制。說明：該控制項僅對SMTP/POP3郵件協(xié)議有效！操作說明： 限制收發(fā)郵件的服務(wù)器在收發(fā)郵件控制的主頁面，用戶可以通過以下四項限定允許或禁止接收/發(fā)送郵件的郵件服務(wù)器：l 允許從指定的POP3服務(wù)器接收郵件l 禁止從指定的POP3服務(wù)器接收郵件l 允許使用指定的SMTP服務(wù)器發(fā)送郵件l 禁止使用指定的SMTP服務(wù)器發(fā)送郵件 禁止發(fā)送超大郵件/禁止接收超大郵件系統(tǒng)可以控制基于POP3/SMTP協(xié)議收發(fā)的郵件的大小，用戶可以在下列允許接收/發(fā)送郵件的大小閥值設(shè)置對話框中設(shè)置允許審計對象發(fā)送的郵件的最大值，超過最大值的發(fā)送/接收郵件將被禁止收發(fā)。 禁止向敏感郵箱地址發(fā)送郵件系統(tǒng)可以通過定義敏感收件人郵箱地址列表對外發(fā)郵件的收件人進(jìn)行限制，當(dāng)審計對象利用OUTLOOK或FOXMAIL通過SMTP協(xié)議發(fā)送郵件時，系統(tǒng)將把解析出的收件人地址與發(fā)送郵件敏感地址列表進(jìn)行比對，如果匹配則禁止把該郵件發(fā)送；用戶可在發(fā)送郵件敏感地址設(shè)置對話框中依次添加敏感郵件收件人地址，這個設(shè)置支持通配符形式，例如輸入: 163.com，則所有發(fā)向以163.com結(jié)束的郵件地址的郵件都被封堵。 BT下載網(wǎng)絡(luò)安全審計系統(tǒng)可以禁止訪問BT相關(guān)URL和禁止訪問常見的BT服務(wù)器地址，用戶可以設(shè)定被禁止的地址，一旦用戶訪問該地址，系統(tǒng)將即刻進(jìn)行封堵；1.7 審計日志查詢網(wǎng)絡(luò)安全審計系統(tǒng)提供了三種方式的審計模式： 行為審計：行為審計是網(wǎng)絡(luò)安全審計系統(tǒng)的基本功能模塊，行為審計主要對所有支持的審計協(xié)議的上網(wǎng)行為的基本信息進(jìn)行記錄和審計； 內(nèi)容審計：內(nèi)容審計是網(wǎng)絡(luò)安全審計系統(tǒng)的高級功能模塊，內(nèi)容審計主要針對聊天、郵件、網(wǎng)頁P(yáng)OST、文件傳輸?shù)壬婕暗接锌赡艹霈F(xiàn)因涉密引起法律糾紛的上網(wǎng)行為，系統(tǒng)可以完全記錄此類上網(wǎng)行為的內(nèi)容； 現(xiàn)場觀察：現(xiàn)場觀察是網(wǎng)絡(luò)安全審計系統(tǒng)的基本功能模塊，用戶可以通過現(xiàn)場觀察實時審計單個或一組審計對象當(dāng)前的上網(wǎng)行為、狀態(tài)或網(wǎng)絡(luò)流量；1.7.1 行為審計 基本查詢條件基本查詢條件面向所有的上網(wǎng)行為，是所有審計日志的基本信息，用戶可以通過查詢區(qū)對基本查詢條件的設(shè)置來縮小查詢范圍，基本查詢條件包括：機(jī)器/組、機(jī)器IP、源MAC、開始日期、結(jié)束日期、時間設(shè)置、機(jī)器名稱、使用者、狀態(tài)； 機(jī)器/組：設(shè)定審計對象范圍，可以是單臺機(jī)器，也可以是一個機(jī)器組或者全部機(jī)器； 機(jī)器IP：單個目標(biāo)審計對象的IP，用戶可以不在機(jī)器/組中選定審計對象范圍的前提下，在機(jī)器IP中輸入目標(biāo)審計對象的IP，直接定位查詢出該目標(biāo)審計對象的所有審計日志； 源MAC：設(shè)定被查詢的機(jī)器的源MAC，系統(tǒng)根據(jù)該MAC進(jìn)行查詢； 開始/結(jié)束日期：設(shè)定所要查詢的審計日志的開始/結(jié)束日期，開始/結(jié)束日期的默認(rèn)值都是當(dāng)前日期，支持時分秒的設(shè)置，選擇年月時分秒后，最后點擊日期結(jié)束設(shè)置，彈出窗口會自動關(guān)閉。 時間設(shè)置：設(shè)定在開始/結(jié)束日期間所要進(jìn)行查詢的時間段，系統(tǒng)默認(rèn)時間段為全部時間，用戶可以在時間段設(shè)置對話框中設(shè)置所要查詢的時間段：全部時間、工作時間、非工作時間、上午工作時間、下午工作時間、自定義開始/結(jié)束時間段，如圖所示； 機(jī)器名稱/使用者：根據(jù)機(jī)器屬性的機(jī)器名稱與使用者定位目標(biāo)審計對象； 狀態(tài)：提供全部/限制/報警/正常四種狀態(tài)選擇； 高級查詢條件用戶通過高級查詢條件設(shè)定所要審計的上網(wǎng)行為的關(guān)鍵標(biāo)識信息，縮小查詢范圍，把查詢結(jié)果精確定位到某一條或某幾條審計日志；查詢結(jié)果可以點擊表頭的列名進(jìn)行排序。1. 網(wǎng)頁訪問（網(wǎng)址 網(wǎng)頁標(biāo)題 目標(biāo)端口 文件名 網(wǎng)址分類）： 網(wǎng)址/網(wǎng)頁標(biāo)題：設(shè)定查詢關(guān)鍵字，系統(tǒng)通過搜索分析網(wǎng)頁訪問審計日志記錄的網(wǎng)址及網(wǎng)頁標(biāo)題字段，列出所有網(wǎng)址及網(wǎng)頁標(biāo)題中包含目標(biāo)關(guān)鍵字的日志記錄； 外網(wǎng)IP/外網(wǎng)端口：在代理服務(wù)器環(huán)境下網(wǎng)頁訪問的目標(biāo)端口有可能會發(fā)生改變，不是默認(rèn)的80端口，用戶可以通過目標(biāo)端口找出所有通過代理服務(wù)器形式進(jìn)行的網(wǎng)頁訪問記錄；（在查詢結(jié)果中鼠標(biāo)停留在外網(wǎng)IP地址上，可以查看到外網(wǎng)IP所屬地提示信息）2. 網(wǎng)址分類：每一條網(wǎng)頁訪問記錄的網(wǎng)址都對應(yīng)了系統(tǒng)所提供的過濾庫中一個網(wǎng)址類別，用戶可以通過網(wǎng)址分類查詢找出所有訪問某一類網(wǎng)站的網(wǎng)頁訪問日志記錄3. 郵件訪問（郵件標(biāo)題 郵件內(nèi)容 發(fā)信人 收信人 源地址 目的地址 郵件類型）： 郵件標(biāo)題/郵件內(nèi)容/發(fā)信人/收信人：設(shè)定查詢關(guān)鍵字，系統(tǒng)通過搜索分析郵件訪問審計日志記錄的郵件標(biāo)題/郵件內(nèi)容/發(fā)信人/收信人字段，列出所有包含目標(biāo)關(guān)鍵字的日志記錄； 源地址/目的地址：源地址代表此郵件訪問行為發(fā)起者的IP，即無論被審計對象是接收或是發(fā)送郵件，源地址均指的是審計對象的IP，目的地址代表審計對象進(jìn)行郵件接收/發(fā)送行為的目標(biāo)服務(wù)器的IP，用戶可以根據(jù)源/目的IP，查詢定位所有從某一個審計對象處發(fā)送或接收的郵件訪問記錄，以及所有從某一郵件服務(wù)器轉(zhuǎn)發(fā)或接收的郵件訪問記錄； 郵件類型：全部/接收郵件/發(fā)送郵件/網(wǎng)頁收發(fā)郵件4. WEBMAIL（郵件帳號 郵件服務(wù)器 ）: 郵件賬號：通過郵件賬號信息查詢訪問記錄 郵件服務(wù)器：通過郵件服務(wù)器地址查詢訪問記錄 根據(jù)機(jī)器IP，機(jī)器名，外網(wǎng)IP進(jìn)行查詢定位5. 網(wǎng)絡(luò)聊天（聊天工具 標(biāo)志 聊天帳號）： 聊天工具：QQ, MSN, ICQ，雅虎通， 等； 標(biāo)志：發(fā)送/接收，標(biāo)識每一條聊天信息的狀態(tài)； 聊天帳號：記錄每一種聊天工具當(dāng)前登錄所用帳號。 6. 音視頻（目標(biāo)IP，音視頻工具，網(wǎng)頁視頻）： 目標(biāo)IP：目標(biāo)IP代表提供音視頻流點播服務(wù)的網(wǎng)站服務(wù)器IP，用戶可以通過目標(biāo)站點的IP查詢所有鏈接到該站點的音視頻訪問記錄； 音視頻協(xié)議 ：表示審計對象進(jìn)行音視頻點播其客戶端所采用的工具的服務(wù)所基于的協(xié)議，根據(jù)提供音視頻流服務(wù)的協(xié)議（如：MMS，STSP 等）可查詢對應(yīng)類型的審計記錄； 網(wǎng)頁視頻：主要支持對于現(xiàn)在流行的一些視頻網(wǎng)站的審計，主要有土豆網(wǎng)，酷6網(wǎng)，優(yōu)酷網(wǎng),56網(wǎng)以及迅雷看看7. 網(wǎng)絡(luò)游戲（游戲名稱 目標(biāo)地址）： 游戲名稱：網(wǎng)絡(luò)安全審計系統(tǒng)支持對多種流行的網(wǎng)絡(luò)游戲的審計，用戶可以通過在“游戲名稱”中選擇對應(yīng)的游戲工具，如：聯(lián)眾、傳奇、邊鋒、QQ平臺游戲等，查詢與某一種游戲相關(guān)的所有審計記錄，也可選擇“全部”；8. FTP訪問 (命令 源/目標(biāo)地址 命令/命令列表)： 命令：網(wǎng)絡(luò)安全審計系統(tǒng)可以記錄FTP命令； 目標(biāo)地址：FTP服務(wù)器的IP； 源地址：源地址代表利用FTP客戶端工具從服務(wù)器端上傳下載文件的審計對象的IP； 命令/命令列表：輸入需要查詢的FTP的命令字，或者在命令列表中選擇FTP命令字9. BT下載（BT服務(wù)器）： BT服務(wù)器：通過BT服務(wù)器地址查詢審計信息； 根據(jù)機(jī)器IP，機(jī)器名，外網(wǎng)IP進(jìn)行查詢定位。10. P2P下載（P2P工具）： P2P工具：PPLIVE，PPSTREAM，VNN 根據(jù)機(jī)器IP，機(jī)器名，外網(wǎng)IP進(jìn)行查詢定位 標(biāo)志：發(fā)送/接收，標(biāo)識每一條信息的狀態(tài) 11. 股票行情 股票工具：根據(jù)選擇的股票工具、外網(wǎng)端口、用戶名，查詢與股票行情有關(guān)的上網(wǎng)行為； 根據(jù)機(jī)器IP，機(jī)器名，使用者，外網(wǎng)IP/外網(wǎng)端口進(jìn)行查詢定位。網(wǎng)絡(luò)安全審計系統(tǒng)支持的股票工具有：1.7.2 內(nèi)容審計內(nèi)容審計功能中不僅可以查看到上網(wǎng)行為，而且可以查詢到上網(wǎng)行為的具體內(nèi)容，具體使用方法同行為審計！下面對個別內(nèi)容審計的操作說明如下：1. 郵件內(nèi)容（標(biāo)題，內(nèi)容，發(fā)信人，收信人，郵件類型，附件名，有無附件）在高級查詢區(qū)選擇填入標(biāo)題、內(nèi)容、發(fā)信人、收信人、郵件類型、附件名、有無附件，以及機(jī)器IP，機(jī)器名，外網(wǎng)IP進(jìn)行查詢定位。查詢結(jié)果見下圖所示，可顯示附件標(biāo)志，在“詳情”欄里可打開附件查看附件內(nèi)容。2. 網(wǎng)頁發(fā)帖（內(nèi)容，源/目的地址）： 內(nèi)容：根據(jù)關(guān)鍵字檢索的方式對所有網(wǎng)頁發(fā)帖的POST內(nèi)容進(jìn)行查詢，列出POST內(nèi)容中包含所設(shè)關(guān)鍵字的POST審計記錄； 源/目的地址：源地址代表網(wǎng)頁發(fā)帖者的IP，目的地址代表審計對象網(wǎng)頁發(fā)帖的目標(biāo)服務(wù)器的IP，用戶可以根據(jù)源/目的IP，查詢定位所有從某一個審計對象處發(fā)送帖子的審計記錄，以及所有在某