ESAFENET网络控制策略设置

个进程名，且进程名称不能带扩展名。目前每条 PROGRESS 策略只支持三项：IP
地址(两个)【如果需要访问多个 IP，可通过多条策略实现】，策略, 进程名称；其它
项目前不支持（可选可不选），表示指定的进程除设置的 IP 地址外，按照策略进行

访问，例如下述策略：
策略类型：POLICYTYPE_PROCESS 策略：DENY 外机地址：192.168.0.3 192.168.0.8 进程名称：EXPLORER
例如：
1. 某主机 A(IP=192.128.168.3)禁止所有未装 netlock 的机器连入本机[设单向连接，如为双
向，需将_IN 去掉，下同],可设策略如下：
策略类型
策略
协议
POLICYTYPE_PROTOCAL CONNECT_IN TCP
对于想连入主机 A 的机器 B(IP=192.128.168.8)，可设置如下策略[注意体会最小范围原则]:
亿赛通科技
北京亿赛通科技发展有限责任公司
NetLock 策略设置说明
部门 项目名称 项目代号 项目组 文档编号 创建时间 作者
EST_CTO_20060909
日期
2006-09-09 2010-06-13
版本
Ver 0.1 Ver 0.2
修改历史
描述
作者
梁金千 梁金千
1
亿赛通科技
1． 主要功能
北京亿赛通科技发展有限责任公司
GuestAddr:192.128.168.3 到 192.128.168.3
或
5) POLICYTYPE_GUEST
CONNECT
TCP
GuestAddr:192.128.168.3 到 192.128.168.3
GuestPort: 400 到 400
6) POLICYTYPE_GUEST
CONNECT_OUT TCP
端口，其它地址不需要
7. POLICYTYPE_NETADDR 是类型 2 和 3 的“或”运算类型，针对 Host 端口和 Guest
地址，其它地址不需要
8. POLICYTYPE_NETALL 是类型 2,和 5 的“或”运算类型，所有地址必须添
9. POLICYTYPE_PROCESS 跟踪指定进程对网络的操作，目前每条策略只支持一
2
亿赛通科技
3. 驱动的安装和卸载
北京亿赛通科技发展有限责任公司
通过控制台程序的“安装驱动”和“卸载驱动”即可安装和卸载驱动.
4. 策略设置
4.1 策略匹配规则
1． 策略的匹配按策略的优先级进行，在优先级高的策略匹配后，不再匹配优先级低 的策略。
2． 策略的优先级由策略在策略文件中的顺序确定，排在前面策略的优先级高于排在 后面策略的优先级。
1． 支持 IP、TCP、UDP(仅实现 V4 版本，结构兼容 V6 版本)；IPX 和 SPX 2． 能够对给定协议根据策略设施禁止接收、禁止发送操作 3． 能够对给定协议的数据包根据策略设施加密、解密操作【仅对数据包解密，不
解密协议头】 4． 解密算法采用 RC4 5． 支持应用层 SMB 协议的禁止连接。
2. 测试策略是否符合功能要求 在各种范围下测试 CONNECT 和 DENIED 的功能完成情况。
5.2．压力测试
测试在网络大流量的情况下驱动程序的承受能力
6
亿赛通科技
5.3 测试用例
北京亿赛通科技发展有限责任公司
因可组成的基本策略类型多达 8*8*5=320 种，在下列测试用例中，不可能一一列举， 所以仅举几个主要的用例，在充分理解后，测试人员可根据具体情况进行具体设置。
POLICY_DENIED
是 POLICY_IN 和 POLICY_OUT“或”运算后的策略
POLICY_DECRYPT_IN 解密策略范围内进入的数据包
POLICY_ENCRYPT_OUT 加密发送到策略范围内的计算机的数据包
POLICY_ENCRYPT
是_ENCRPT_IN 和_ENCRYPT_OUT“或”运算后的策略
第 2 条策略则不会对连入其它机器产生影响，因此，在实际设置策略时，我们要选择第 2
条策略。
2. 某主机(IP=192.128.168.3)禁止未装 netlock 的机器连入本机端口为 400 的服务程序[设为双
向连接],可设策略如下：
策略类型
策略
协议
POLICYTYPE_HOSTPORT
CONNECT_IN TCP
POLICY_CONNECT_OUT 用于连入“设置为禁止连入的机器”
POLICY_CONNECT 是_CONNECT_IN 和_CONNECT_OUT“或”运算后的策略
POLICY_DENIED_IN 禁止接受策略范围内的数据包
POLICY_DENIED_OUT 禁止发送数据包到策略范围内的计算机
1. 如何从 Debug 信息中获得网络连接的协议和地址? 2. 如何从 Debug 信息中获得网络连接的方向？[需将策略设置为_CONNECT]，注意：UDP
等协议无连接！！！
方法：启动 Debug 版本的 Netlock, 从输出中即可查看 例如:
协议[其它协议类似] IP 地址 端口 Host 端口 filter_buffer:: Tcp pakcet GuestIp=63.88.212.184:80, hostport=1083, headerlen=28, …
POLICY_PASS 放过符合该策略的网络连接，可用于从总的控制策略中放过某些具有特
殊要求的机器，PASS 类型的策略必须放在整个策略的前面，原因见匹配
规则
POLICY_CONNECT_IN 禁止策略范围内的计算机非法连入【如果连入方安装了 NetLock
且至少设置了 POLICY_CONNET_OUT 策略则可以连入】
2. 网络术语和方向的定义
图 1 策略设置中的术语定义[图中表示在设置计算机 A 的策略] 在策略设置中，两台连接的计算机不分服务器端(Server)和客户机(Client)[因为在双向
连接中，其中的任何一台既是服务器也是客户机]，而是以被设置的计算机为中心，分别称 为本机/主机(Host)和外机(Guest)。将被设置的计算机称作本机/主机(Host)，即在那台计算 机上进行策略设置，该计算机就是本机，从被设置的主机向外看，其它任何计算机均为该 机的外机/客机(Guest)。例如在图 1 中，当设置计算机 A 的策略时，计算机 A 称作 Host,计 算机 B 称作 Guest, 反之，当设置计算机 B 的策略时，计算机 B 称作 Host, 计算机 A 则称 作 Guest.
1) POLICYTYPE_PROTOCAL CONNECT_OUT TCP
或
2) POLICYTYPE_GUESTADDR CONNECT_OUT TCP
GuestAddr:192.128.168.3 到 192.128.168.3
上面两条策略均可满足 B 机连入 A 机的要求，但第 1 条策略会影响 B 机连入其它机器，而
禁止等操作
3
亿赛通科技
4.3 策略类型说明：
北京亿赛通科技发展有限责任公司
策略类型是用来表示策略的控制范围，在下述策略类型中，类型 1 表示的范围最大， 类型 8 表示的范围最小. 其中“协议类”可控制所有的机器，“地址类”可控制具体的机器， “端口类”可控制机器上具体的程序。
一般来来说，设置为小范围的策略一定可以用设置为大范围的策略来代替，但大范围 的策略会对其它机器产生不必要的负面影响，因此在设置具体的策略时，应该遵循的基本 原则【最小范围原则】是：
!!!!!在策略满足要求的情况下，采用尽可能小的策略范围！！！ [可参考测试用例来理解这条原则]
1. POLICYTYPE_PROTOCOL 针对具体协议,和地址无关
2. POLICYTYPE_HOSTPORT
针对 Host 端口，其它地址不需要
3. POLICYTYPE_GUESTADDR 针对 Guest 地址，其它地址不需要
TCP
或
2) POLICYTYPE_PROTOCAL CONNECT_OUT TCP
或
3) POLICYTYPE_GUESTADDR CONNECT
TCP
7
亿赛通科技
北京亿赛通科技发展有限责任公司
GuestAddr:192.128.168.3 到 192.128.168.3
或
4) POLICYTYPE_GUESTADDR CONNECT_OUT TCP
3． 对网络的控制只针对满足策略要求的网络连接进行控制，对不满足控制策略的网 络连接不进行控制。
4.2 支持的策略类型
1. 支持以协议方式进行设置 2. 例如： 禁止 UDP 协议，对所有 IP 协议加密等. 3. 支持以地址范围[如 IP 地址、IPX 节点地址等]的方式进行设置： 4. 例如： 对地址 192.168.158.1 到 192.168.158.10 的加解密、禁止等操作 5. 支持以端口的方式进行设置： 6. 例如： 对某协议的端口地址 200 到 300 进行加解密、禁止等操作 7. 支持以地址范围的方式进行设置： 8. 例如： 对地址 192.168.158.1 到 192.168.158.10 的加解密、禁止等操作 9. 支持以地址、端口范围的方式进行设置： 10. 例如： 对地址 192.168.158.1 －－ 192.168.158.10【端口 200－300】进行加解密、
4.5 协议说明
协议和策略类型一样，也是用来表示策略的控制范围。
PROTOCOL_IP
表示该策略仅针对 IP 协议
PROTOCOL_IPX
表示该策略仅针对 IPX 协议
PROTOCOL_TCP 表示该策略仅针对 TCP 协议
PROTOCOL_UDP 表示该策略仅针对 UDP 协议
PROTOCOL_SPX 表示该策略仅针对 SPX 协议
Host Port： 400 到 400
注意：
在该策略下，其它未装 Netlock 的机器仍然可以连入该机的其它端口，如 Ftp[21 端口]，
http【80 端口】等
对于想连入主机 A 的机器 B(IP=192.128.168.8)，可设置如下策略[注意体会最小范围原则]
1) POLICYTYPE_PROTOCAL CONNECT
GuestAddr:192.128.168.3 到 192.128.168.3
GuestPort: 400 到 400
5
亿赛通科技
5. 测试要求
北京亿赛通科技发展有限责任公司
注意： 必须【同时】记录网络两端的 Debug 信息，只记录一端的信息，没有任何意义!!!! 在测试时，首先需要弄清网络连接所使用的协议类型以及具体的地址和端口(方法 1：
采用网络工具；方法 2: 通过 NetLock 提供的 debug 信息获得),同时要知道网络连接是单向 连接还是双向连接。
This connect request will be AGREED[DENIED]! 表示网络连接为 IN This connect request will be LOCKED! 表示网络连接为 OUT
5.1. 功能测试
1. 测试策略范围的控制是否精确 以协议为基本单位，分别测试 IP，TCP，UDP 三种协议下不同策略类型下的策略执行情 况
表示 ExplORER 进程只能访问 192.168.0.3 和 192.168.0.8，不能访问其它计算机。
4
亿赛通科技
4.4 策略说明
北京亿赛通科技发展有限责任公司
策略用于控制网络连接的具体行为，在目前所支持的策略中，某些策略可能作由冗余， 比如 POLICY_DENIED_IN 和 POLICPOLICY_DENIED_OUT, 由于网络连接的双向性，禁 止任何一个方向的连接和禁止双向连接没有本质的区别，因此，这两条策略一般来说和策 略 POLICPOLICY_DENIED 没有区别，但可能在某些特殊环境下具有作用，比如对于某些 单向连接的木马等具有控制作用。在下面的叙述中，“非法”表示未装 Netlock 或安装了 NetLock 但设置的策略不满足要求的情况。
4. POLICYTYPE_GUESTPORT 针对 Guest 端口，其它地址不需要
5. POLICYTYPE_GUEST
是类型 3 和 4 的“或”运算类型，针对 Guest 地址和端
口，其它地址不需要
6. POLICYTYPE_NETPORT 是类型 2 和 4 的“或”运算类型，针对 Host 端口和 Guest