IP Source Guard学习指南

目录第一章IP-guard简介 (1)1.1 前言 (1)1.2 功能介绍 (2)第二章IP-guard安装和部署 (5)2.1 基本运行框架 (5)2.2 软硬件环境 (6)2.3 安装和部署服务器和控制台 (7)2.3.1安装数据库 (7)2.3.2安装服务器和控制台模块 (9)2.3.3服务器注册 (10)2.3.4设置系统检验码 (12)2.3.5服务器日志 (13)2.4 部署客户端模块 (13)2.4.1直接安装客户端 (13)2.4.2远程推送客户端 (14)2.4.3域登录脚本安装 (16)2.5 系统升级 (17)2.5.1升级服务器和控制台 (17)2.5.2升级客户端 (18)2.6 卸载IP-GUARD (18)2.6.1卸载IP-guard服务器和控制台 (18)2.6.2卸载客户端 (19)第三章IP-guard使用 (21)3.1 登录控制台 (21)3.1.1登录控制台 (21)3.1.2修改密码 (22)3.2 控制台简介 (22)3.3 计算机和用户操作 (26)3.3.1查看基本信息 (26)3.3.2分组操作 (28)3.3.3查找 (29)3.3.4删除 (30)3.3.5重命名 (30)3.4 控制 (30)3.4.1发送通知消息 (31)3.4.2锁定/解锁计算机 (31)3.4.3注销用户、关闭/重启计算机 (31)3.5 辅助功能说明 (32)3.5.1导出和导入 (32)3.5.2打印、打印预览 (33)第四章统计 (34)4.1 应用程序统计 (34)4.2 上网浏览统计 (37)4.3 网络流量统计 (39)第五章日志 (44)5.1 基本事件日志 (44)5.2 应用程序日志 (46)5.3 上网浏览日志 (48)5.4 文档操作日志 (49)5.5 共享文档操作日志 (51)5.6 文档打印日志 (52)5.7 移动存储操作日志 (54)5.8 资产变更日志 (55)5.9 策略日志 (56)5.10 系统日志 (57)第六章策略 (58)6.1 策略简介 (58)6.2 基本策略 (61)6.3 设备控制策略 (65)6.4 应用程序策略 (67)6.5 上网浏览策略 (68)6.6 屏幕记录策略 (69)6.7 日志记录策略 (69)6.8 远程控制策略 (70)6.9 系统报警策略 (71)6.10 流量控制策略 (72)6.11 网络控制策略 (74)6.12 控制策略 (76)6.13 IM文件传送策略 (78)6.14 文档操作策略 (79)6.15 打印控制策略 (81)6.16 移动存储授权策略 (82)第七章监视 (84)7.1 即时通讯容 (84)7.2 容 (85)7.3 实时屏幕 (87)7.4 多屏监视 (88)7.5 查询屏幕历史 (89)7.6 查看屏幕历史 (90)7.6.1界面简介 (91)7.6.2显示 (91)7.6.3视图 (92)7.6.4查询栏 (92)7.6.5导出为视频文件 (93)第八章远程维护 (94)8.1 远程维护 (94)8.1.1应用程序列表 (94)8.1.2进程列表 (95)8.1.3性能 (95)8.1.4设备管理器 (96)8.1.5系统服务 (96)8.1.6磁盘管理 (97)8.1.7共享文件夹 (97)8.1.8计划任务 (98)8.1.9用户和组 (98)8.2 远程控制 (99)8.2.1远程控制 (99)8.2.2远程文件传送 (101)第九章资产管理 (103)9.1 资产管理 (103)9.1.1资产类别及资产属性说明 (103)9.1.2资产类别管理 (104)9.1.3硬件资产查询 (106)9.1.4硬件资产变更 (109)9.1.5软件资产查询 (110)9.1.6软件资产变更 (110)9.1.7其它资产 (110)9.2 补丁管理 (111)9.2.1补丁模式 (113)9.2.2计算机模式 (114)9.3 漏洞检查 (115)9.3.1漏洞模式 (115)9.3.2计算机模式 (116)9.4 软件分发 (116)9.4.1分发程序包 (116)9.4.2分发任务 (120)第十章网络接入检测 (122)10.1.1启动接入检测 (122)10.1.2启动接入控制功能 (123)10.1.3其它设置功能 (124)第十一章...................................... 数据备份12710.1 使用数据库备份 (127)10.2 控制台备份及查看 (129)10.2.1备份数据 (129)10.2.2加载和卸载备份数据 (131)第十二章.......................................... 工具13212.1 账户管理 (132)12.2 计算机管理 (135)12.3 警报信息 (137)12.4 分类管理 (137)12.4.1应用程序分类 (137)12.4.2分类 (139)12.4.3移动存储分类 (139)12.4.4时间类型分类 (142)12.4.5网络地址分类 (142)12.4.6网络端口分类 (143)12.5 服务器管理 (143)12.6 客户端工具 (144)12.6.1确认码计算器 (144)12.7 选项 (145)12.7.1控制台参数设置 (145)12.7.2服务器参数设置 (146)第十三章................................... 审计控制台15013.1 审计控制台的登录 (150)13.2 审计控制台界面简介 (151)13.3 审计控制台的使用 (152)第一章IP-guard简介1.1前言在知识型经济之下，企业信息资产显得特别重要，能否有效保护专有技术等部信息，更是求存成功的关键，业务保障的基础。

IP-Guard是一款企业级的网络监控软件，用于全面审计、严格管控和安全稳定的加密企业信息。

以下是IP-Guard的使用手册：1. 安装和部署在安装和部署IP-Guard之前，需要先确认软硬件环境符合要求。

具体要求可参考IP-Guard的官方文档或者与供应商联系以获取支持。

安装和部署服务器和控制台时，需要按照IP-Guard的安装指南逐步进行。

这通常涉及到安装软件、配置网络设置、进行系统更新等步骤。

2. 配置管理在开始使用IP-Guard之前，需要对各项参数进行配置。

这包括但不限于：设定监控策略、配置加密方式、设置网络参数等。

具体的配置步骤和参数可能会因IP-Guard的版本和用户需求的不同而有所差异，建议参考具体的使用手册或者联系供应商以获取更详细的指导。

3. 使用操作IP-Guard的具体使用操作可能会因不同的功能模块而有所不同。

一般来说，操作步骤如下：* 文档操作管理：可以通过IP-Guard对电脑上的文档进行操作管理，如禁止复制、剪切、删除等操作，或者对特定文档进行加密保护。

* 即时通讯：可以监控员工使用即时通讯工具的行为，如QQ、微信等，并可以设置禁止使用或者限定使用时间等。

* 邮件管控：可以监控员工的邮件往来，并对邮件进行过滤和拦截。

* 资产管理：可以对企业的资产进行管理，如硬件设备、软件许可等，并可以实时监控其使用状态。

* 移动存储设备：可以限制员工使用移动存储设备，如U盘、移动硬盘等，以防止信息泄露。

* 上网行为管理：可以监控员工的上网行为，如访问网站、下载文件等，并可以设置禁止访问某些网站或者对特定文件进行过滤。

* 屏幕监控：可以实时监控员工的电脑屏幕，查看员工正在进行的操作。

* 系统管理：可以对操作系统进行管理，如禁用某些程序、设置系统参数等。

4. 维护与更新IP-Guard需要定期进行维护和更新以保证其稳定运行和持续更新。

维护和更新工作一般由专业人员负责，包括对系统进行定期检查、清理垃圾文件、升级软件等操作。

开启Cisco交换机IP Source Guard功能-------------------------------------------------------------------------------- 日期：2009-4-3 浏览次数：8469出处：一、IP地址盗用IP地址的盗用方法多种多样，其常用方法主要有以下几种：1、静态修改IP地址对于任何一个TCP/IP实现来说，IP地址都是其用户配置的必选项。

如果用户在配置TCP/IP或修改TCP/IP配置时，使用的不是授权分配的IP地址，就形成了IP地址盗用。

由于IP地址是一个逻辑地址，因此无法限制用户对于其主机IP地址的静态修改。

2、成对修改IP-MAC地址对于静态修改IP地址的问题，现在很多单位都采用IP与MAC绑定技术加以解决。

针对绑定技术，IP盗用技术又有了新的发展，即成对修改IP-MAC地址。

现在的一些兼容网卡，其MAC地址可以使用网卡配置程序进行修改。

如果将一台计算机的IP地址和MAC 地址都改为另外一台合法主机的IP地址和MAC地址，其同样可以接入网络。

另外，对于那些MAC地址不能直接修改的网卡来说，用户还可以采用软件的办法来修改MAC地址，即通过修改底层网络软件达到欺骗上层网络软件的目的。

3、动态修改IP地址某些攻击程序在网络上收发数据包，可以绕过上层网络软件，动态修改自己的IP地址（或IP-MAC地址对），以达到IP欺骗。

二、IP Source Guard技术介绍IP源防护（IP Source Guard，简称IPSG）是一种基于IP/MAC的端口流量过滤技术，它可以防止局域网内的IP地址欺骗攻击。

IPSG能够确保第2层网络中终端设备的IP地址不会被劫持，而且还能确保非授权设备不能通过自己指定IP地址的方式来访问网络或攻击网络导致网络崩溃及瘫痪。

交换机内部有一个IP源绑定表（IP Source Binding Table）作为每个端口接受到的数据包的检测标准，只有在两种情况下，交换机会转发数据：所接收到的IP包满足IP源绑定表中Port/IP/MAC的对应关系所接收到的是DHCP数据包其余数据包将被交换机做丢弃处理。

1.1 IP Source Guard简介1.1.1 概述IP Source Guard功能用于对接口收到的报文进行过滤控制，通常配置在接入用户侧的接口上，以防止非法用户报文通过，从而限制了对网络资源的非法使用（比如非法主机仿冒合法用户IP接入网络），提高了接口的安全性。

IP Source Guard绑定表项可以通过手工配置和动态获取两种方式生成。

图1-1 IP Source Guard功能示意图1.6 IP Source Guard典型配置举例1.6.1 IPv4静态绑定表项配置举例1. 组网需求如图1-2所示，Host A、Host B分别与Device B的接口GigabitEthernet2/0/2、GigabitEthernet2/0/1相连；Host C与Device A的接口GigabitEthernet2/0/2相连。

Device B接到Device A的接口GigabitEthernet2/0/1上。

各主机均使用静态配置的IP地址。

要求通过在Device A和Device B上配置IPv4静态绑定表项，满足以下各项应用需求：∙ Device A的接口GigabitEthernet2/0/2上只允许Host C发送的IP报文通过。

∙ Device A的接口GigabitEthernet2/0/1上只允许Host A发送的IP报文通过。

∙ Device B的接口GigabitEthernet1/0/1上允许Host B发送的IP报文通过。

2. 组网图图1-2 配置静态绑定表项组网图3. 配置步骤(1) 配置Device A# 配置各接口的IP地址（略）。

# 在接口GigabitEthernet2/0/2上配置IPv4接口绑定功能，绑定源IP地址和MAC 地址。

<DeviceA> system-view[DeviceA] interface gigabitethernet 2/0/2[DeviceA-GigabitEthernet2/0/2] ip verify source ip-address mac-address# 配置IPv4静态绑定表项，在Device A的GigabitEthernet1/0/2上只允许MAC地址为0001-0203-0405、IP地址为192.168.0.3的数据终端Host C发送的IP报文通过。

IP Source Guard 目录目录第1章 IP Source Guard配置................................................................................................... 1-11.1 IP Source Guard简介........................................................................................................ 1-11.2 配置静态绑定表项.............................................................................................................. 1-11.3 配置动态绑定功能.............................................................................................................. 1-21.4 IP Source Guard显示........................................................................................................ 1-21.5 IP Source Guard典型配置举例.......................................................................................... 1-31.5.1 静态绑定表项配置举例 ............................................................................................ 1-31.5.2 动态绑定功能配置举例 ............................................................................................ 1-51.6 常见配置错误举例.............................................................................................................. 1-61.6.1 静态绑定表项配置和动态绑定功能配置失败............................................................ 1-6第1章 IP Source Guard配置1.1 IP Source Guard简介通过IP Source Guard绑定功能，可以对端口转发的报文进行过滤控制，防止非法IP地址和MAC地址的报文通过端口，提高了端口的安全性。

IP Source Guard配置说明●IP Source Guard原文说明：●IP Source Guard解释----IP Source Guard是一种二层网络安全技术，应用在一个非路由端口下,可以通过dhcp 状态表或手工绑定的ip binding进行流量的严格限制。

应用后，在端口下会被产生一个隐藏的port acl，该acl将限制只有ip source binding的数据流可以流过该端口-—--IP Source Guard可以应用在accesss端口，也可以应用在trunk端口下—-——使用IP Source Guard时，必须配合ip dhcp snooping使用，当应用在access端口下时，打开该端口所属VLAN的ip dhcp snooping,应用在trunk口下时，打开终端连接端口所属VLAN的ip dhcp snooping--—-IP Source Guard可以基于ip地址进行流量过滤（只要ip地址符合即可通过）；也可以基于ip 和mac进行过滤（必须ip和mac同时匹配才可以通过），●IP Source Guard配置及步骤说明以下所有的说明基于以下拓扑：拓扑说明：一台核心交换机，提供vlan 30，vlan 40的网关,通过trunk与接入层交换机连接,所有的配置在核心交换机上完成，接入层交换机上使用了两个vlan（30,40)，user1 和user2分别位于vlan 30和vlan 401.打开dhcp snooping功能命令：（config）#ip dhcp snooping2.在需要进行IP Source Guard的vlan下打开dhcp snooping功能,针对某个vlan进行实施,如果有多个vlan，则需要打开多个vlan的dhcp snooping功能(这里举例vlan40）命令:（config)＃ip dhcp snooping vlan 403.进行IP和MAC地址绑定,例如：命令：ip source binding 00C0。

默认情况下，交换机在二层接口上转发数据时，只查看数据包的MAC地址，并不会查看数据包的IP地址，如果要让交换机根据数据包的IP或者同时根据IP与MAC做出转发决定，有多种方法可以实现。

如根据IP 转发，可以通过在接口上应用Port ACL来实现，如果要根据MAC转发，可以通过应用port-security来实现，但无论是Port ACL还是port-security，都存在一些局限性，下面介绍一种扩展性较高的安全防护特性- IP Source Guard，IP Source Guard可以根据数据包的IP地址或IP与MAC地址做出转发决定，如果数据包的IP或MAC是不被允许的，那么数据包将做丢弃处理。

因为IP Source Guard需要根据数据包的IP或者同时根据IP与MAC做出转发决定，所以IP Source Guard 在工作时，需要有一张IP和MAC的转发表，在这张表中，明确记录着哪些IP是可以转发的，哪些MAC可以被转发，其它不能被转发的统统丢弃。

这表转发表称为IP source binding table，并且只能被IP source guard使用。

而IP source binding table表，只有在交换机上开启DHCP snooping功能后，才会生成。

IP Source Guard的这张转发表的条目可以自动学习，也可以手工静态添加，如果是自动学习，是靠DHCP snooping功能学习的，所以只有客户端是通过DHCP请求获得地址，并且DHCP服务器的回复是经过交换机时，才能被DHCP snooping学习到。

当在交换机上同时开启了IP Source Guard与DHCP snooping后，交换机将在开启了的接口上拒绝所有流量通过，只放行DHCP流量，并且会自动应用一条ACL到接口上，也只有ACL允许的IP才能通过，这条ACL无法在正常配置中查看，只能通过表的方式查看。

IP-GUARD功能详解⽂档加密模块：⽂档透明加密以⾼效⽽可靠的加密技术将Office、AutoCAD、Photoshop等各类常见电⼦⽂档⾃动强制加密，⽤户没有被授权使⽤相关的⽂档格式或者⽂档离开授信使⽤环境即⽆法使⽤。

加密过程完全透明，不影响⽤户原有的⽂档操作习惯。

默认禁⽌截屏、打印、复制/粘贴、拖拽等各种可能造成泄密的操作。

⽀持多达三⼗余种常见的电⼦⽂档格式，并能够根据⽤户实际需要进⾏免费定制扩展。

⽂档使⽤授权采⽤安全区域与安全级别相结合的机制对内部⽤户进⾏⽂档使⽤授权。

允许管理者根据电⼦⽂档的部门归属与重要程度将其归⼊不同的安全区域与安全级别，并根据保密需要管理⽤户可以访问的安全区域与安全级别，从⽽建⽴起“⽤户-安全区域+安全级别-加密⽂档”的对应关系，实现差异化的⽂档使⽤授权。

离线权限控制对于⽤户使⽤笔记本电脑出差、在家⼯作等特殊离线情况，可以根据具体情况调整其对离线设备中的加密⽂档的使⽤权限。

规定离线授权的有效期做出规定，到期之后⽂档使⽤权限会⾃动收回。

⽂档外发控制为代理商、供应商等外部合作伙伴提供外发加密⽂档查看器，发送给相应⽤户的⽂档只能由其在⼀定的时间范围内按照规定的使⽤权限使⽤。

加密⽂档外发之前需要经过审批，在特定情况下，⽤户也可以申请将加密⽂档解密之后进⾏外发。

提供了代理管理员的设定，⽅便管理员外出时审批⼯作的正常进⾏。

⽂档操作审计与备份完整记录和查询加解密、解密/外发申请、解密/外发审批、保密属性调整等⽂档操作。

结合IP-guard原有的⽂档安全保护功能，记录⽂档的创建、修改、重命名、复制、删除、外发、上传、下载等操作。

在⽂档外发或解密之前对其进⾏完整备份以防意外损失，同时提供更完整的审计。

服务稳定性保证采⽤虚拟计算技术，确保⽂档不会在加密过程中因断电、死机等情况意外损坏。

设置备⽤授权服务器，在主服务器宕机时即时投⼊使⽤，有效保证系统的连续运转。

在⽂档备份服务器上明⽂备份加密⽂档，以保证在意外出现时⽤户的⽂档依然可⽤。

DHCP+IP SOURCE GUARD的配置实例在正常开启DHCP Snooping的情况下：Ruijie(config-FastEthernet 0/1)#ip verify sourceRuijie#ping 192.168.1.2Sending 5, 100-byte ICMP Echoes to 192.168.1.2, timeout is 2 seconds:< press Ctrl+C to break >…..Success rate is 0 percent (0/5)此情况证明此端口已经应用了根防护，所以端口下得主机自己配置了地址之后无法通过端口。

之后在全局下配置：Ruijie(config)#ip source binding 0025.6454.b680 vlan 1 192.168.1.2 int f 0/1Ruijie#ping 192.168.1.2Sending 5, 100-byte ICMP Echoes to 192.168.1.2, timeout is 2 seconds:< press Ctrl+C to break >Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms此现象表明，在全局下绑定了端口信息之后，既可以通过。

此绑定信息是通过IP MAC VLAN 端口等四元组来确定信息的。

Ruijie#sh ip verify sourceInterface Filter-type Filter-mode Ip-address Mac-address VLAN-------------------- ----------- ----------- --------------- -------------- --------FastEthernet 0/1 ip active 192.168.1.2 1FastEthernet 0/1 ip active deny-allRuijie#sh ip verRuijie#sh ip soRuijie#sh ip source binRuijie#sh ip source bindingMacAddress IpAddress Lease(sec) Type VLAN Interface------------------ --------------- ------------ ------------- ----- --------------------0025.6454.b680 192.168.1.2 infinite static 1 FastEthernet 0/1Total number of bindings: 1Ruijie#sh ip verify sourceInterface Filter-type Filter-mode Ip-address Mac-address VLAN-------------------- ----------- ----------- --------------- -------------- --------FastEthernet 0/1 ip active 192.168.1.2 1FastEthernet 0/1 ip active deny-all。

您好：感谢您使用H3C的系列产品和长期以来对我们工作的支持！！推荐您使用ip源防护来防止ARP攻击比较好：如果您网络内使用DHCP分配，则使用动态ip源防护；如果您网络内的PC都是使用手工分配IP地址，这推荐您使用静态源防护，具体操作请参考以下内容:1.1 IP Source Guard简介通过IP Source Guard绑定功能，可以对端口转发的报文进行过滤控制，防止非法IP地址和MAC地址的报文通过端口，提高了端口的安全性。

端口接收到报文后查找IP Source Guard绑定表项，如果报文中的特征项与绑定表项中记录的特征项匹配，则端口转发该报文，否则做丢弃处理。

IP Source Guard支持的报文特征项包括：源IP地址、源MAC地址，可支持端口与如下特征项的组合（下文简称绑定表项）：●源IP●源MAC●源IP＋源MAC该特性提供两种绑定机制：一种是通过手工配置方式提供绑定表项，称为静态绑定；另外一种由DHCP Snooping提供绑定表项，称为动态绑定。

而且，绑定是针对端口的，一个端口被绑定后，仅该端口被限制，其他端口不受该绑定影响。

注意：IP Source Guard功能与端口加入聚合组互斥。

1.2 配置静态绑定表项表1-1 配置静态绑定表项说明：●绑定策略：不支持一个端口上相同表项的重复绑定；相同的表项可以在多个端口上绑定。

●合法绑定表项的MAC地址不能为全0、全F（广播MAC）和组播MAC，IP地址必须为A、B、C三类地址之一，不能为127.x.x.x和0.0.0.0。

1.3 配置动态绑定功能端口上使能动态绑定功能后，根据设备对各动态绑定类型的支持情况，IP Source Guard会选择接收并处理相应的DHCP Snooping表项。

表项内容包括MAC地址、IP地址、VLAN信息、端口信息及表项类型。

IP Source Guard把这些动态获取的表项添加到动态绑定表项中，实现过滤端口转发报文的功能。

DAI(动态ARP监控技术)和IP Source Guard一、ARP Poisoning(ARP毒化技术)正常情况下PC-A是正常PC，路由器是我们的网关，正常情况下PC-A作一个ARP Request请问10.1.1.1这个网关的MAC地址是多少，网关正常就会回网关是10.1.1.1，MAC地址是 C.C.C.C，PC-A会有一个正常的ARP条目:这样PC-A就可以正常把流量交给网关了就上网了，但是现在PC-B这个攻击者作了ARP毒化的处理，它会伪装网关给PC-A 发送一个免费ARP毒化PC-A的ARP的映射表项，让PC-A的ARP映射表项映射为这个时候PC-A上网的流量就会送给PC-B，然后PC-B代理交给服务器，同样PC-B还会作一个毒化ARP的映射去毒化网关的ARP说10.1.1.2的MAC地址是B.B.B.B，这样网关回的包也会绕到PC-B，这样去回的包都要受攻击者来控制。

毒化的过程（1）ARP这种解析是后到者优先，当你们正常合法的映射已经完成时，攻击者就会作一个免费ARP的Replies来毒化你们的ARP的缓存。

（2）免费ARP：免费ARP有好处，也有坏处的。

免费ARP好处：比如我一个PC的地址设置为1.1.1.1，当我开机的时候可能会弹出一个报错，什么MAC地址跟我的IP址重叠，这是怎么发现的呢？比如PC开机就会发送一个免费ARP，免费ARP的内容是请问1.1.1.1的MAC地址是多少，自己问自己IP地址的MAC地址是多少，它不希望任何人可以回应这个，如果没有人回应MAC地址就没有重叠，如果有人回应了说我是1.1.1.1我的MAC地址是什么什么，这时PC就会报一个错说这个MAC地址它的IP地址和我的重叠了，这是免费ARP的好处。

免费ARP的坏处：ARP这种解析是后到者优先，当你们正常合法的映射已经完成时，攻击者就会作一个免费ARP的Replies来毒化你们的ARP 的缓存。

二、启用DAI动态ARP监控技术能够抵御这种ARP毒化攻击（1）能保护ARP毒化的攻击（2）DAI技术需要使用DHCP Snooping的绑定表，就是利用这个绑定表的资源来判断这个ARP是正确的，还是有问题的（3）这个绑定表是通过来追踪整个DHCP一个过程构建起来的，了解到是合法IP和MAC地址的映射，这样我基于这个绑定表作DAI抵御ARP的欺骗。

IP-guard的使⽤技巧IP-guard的使⽤⼀、账户权限的管理1、管理员a)功能权限控制台上的各个细化功能，能针对各个管理员的职能分配功能权限。

b)管理范围计算机组⽤户组2、审计员a)功能权限查看⽇志删除⽇志b)管理范围管理员审计员⼆、分类管理分类管理的作⽤是⽤于对常⽤的策略设置条件进⾏归类，⽅便策略设置以及⽇志数据的查询统计。

1、时间分类时间的分类管理⾮常重要，时间的分类关系到策略的设置以及数据的查询与统计。

我们对于时间的管理是以半个⼩时为单位，包括所有的数据查询统计条件都是以半⼩时为单位设定的。

2、应⽤程序分类IP-guard的应⽤程序的分类管理会把连接在IP-guard服务器的所有的客户端上运⾏过的应⽤程序信息收集上来，⽤户可以新建分类，对应⽤程序进⾏分类管理。

收集上来的信息包括有应⽤程序唯⼀的摘要值。

因此通过应⽤程序分类设置的策略可以防⽌客户端通过修改程序的进程名称或其它版本信息逃避监控。

3、⽹站分类IP-guard的⽹站分类帮助⽤户对⽹站进⾏归类。

归类⽀持通配符，IP-guard暂时不提供⽹址库，但是⽀持⽹址库的导⼊。

禁⽌⽹站分类：⽬前是上⽹时如新浪新闻⽹站，就按照服务器发过来的分类中的顺序依次匹配下去，匹配到了新浪新闻就根据策略决定是否放⾏，但是这样⽤户对⽹站分类的策划要规划好，因为⽹站分类可能会有重复，策略可能执⾏的并不是⾃⼰所希望的。

⽀持*，？等通配符；这⾥要禁⽌/doc/fbb52801de80d4d8d15a4fed.html 时sina⽆法禁⽌，*sina*，*.sina.*可以禁⽌；策略：禁⽌*/doc/fbb52801de80d4d8d15a4fed.html ，如果我上⽹站/doc/fbb52801de80d4d8d15a4fed.html /index.htm 这时是可以禁⽌的，因为它是针对域名匹配的，⽹站的域名和策略中的域名匹配4、移动存储分类IP-guard会把所有曾经接⼊到客户端的移动存储设备的卷序列号进⾏收集。

H3CIPSourceGuard命令命令手册安全分册 IP Source Guard 目录目录第1章IP Source Guard配置命令...........................................................................................1-11.1 IP Source Guard配置命令..................................................................................................1-11.1.1 display ip check source...........................................................................................1-11.1.2 display user-bind.....................................................................................................1-31.1.3 ip check source.......................................................................................................1-41.1.4 user-bind.................................................................................................................1-5本文中标有“请以实际情况为准”的特性描述，表示各型号对于此特性的支持情况可能不同，本节将对此进行说明。

ipguard使用技巧IPGuard是一款网络安全工具，用于保护服务器和网络免受恶意攻击。

以下是一些使用IPGuard的技巧：1. 定期更新IPGuard：确保你使用的是最新版本的IPGuard软件，以便获取最新的安全补丁和功能改进。

这有助于保持系统的安全性。

2. 配置访问控制列表（ACL）：使用IPGuard的ACL功能，可以限制允许访问服务器的IP地址范围。

通过仅允许特定的IP地址或IP地址段访问服务器，可以减少潜在的攻击风险。

3. 启用防火墙功能：IPGuard具有内置的防火墙功能，可以通过配置规则来限制传入和传出的网络连接。

合理设置防火墙规则，可以阻止不明来源的连接，提高网络安全性。

4. 监控日志：IPGuard会生成详细的日志文件，记录所有尝试访问服务器的活动。

定期检查日志文件，可以及时发现潜在的攻击行为，并采取相应的措施。

5. 配置报警通知：IPGuard支持设置报警通知，当检测到异常活动时，可以通过电子邮件或短信发送警报。

配置报警通知可以及时获知可能存在的安全威胁。

6. 定期备份数据：无论使用任何安全工具，都不能保证完全防止攻击。

因此，定期备份服务器数据是非常重要的。

如果发生安全事件，可以通过备份数据进行恢复，减少损失。

7. 学习和了解最新的安全威胁：网络安全威胁不断演变，新的攻击技术和漏洞不断出现。

保持学习和了解最新的安全威胁，可以帮助你更好地配置和使用IPGuard来应对这些威胁。

请注意，这些只是一些IPGuard的使用技巧，具体的配置和操作可能因个人需求和实际情况而有所不同。

建议在使用IPGuard之前，详细阅读相关文档和指南，以确保正确、安全地使用该工具。

IP-guard系统维护培训目录一、基本流程 (1)二、服务器维护 (2)1、服务器目录文件 (2)2、数据备份 (3)3、数据还原 (3)4、数据清除 (3)5、服务器常见问题 (3)三、客户端维护 (6)1、客户端安装后在控制台上没有显示 (6)2、客户端在控制台上显示离线状态 (6)3、客户端ID冲突 (6)4、客户端策略不生效 (6)5、客户端日志不记录 (7)6、加密系统无法正常启动 (7)7、保存文件没有加密 (7)8、加密文件无法打开 (7)9、启动加密后某些程序运行异常 (8)10、常用工具 (8)四、其他维护 (9)1、控制台无法登陆 (9)2、忘记控制台密码 (9)3、控制台上查询不到数据 (9)4、准入控制不生效 (9)一、基本流程1，提交问题➢详细版本，环境，问题现象等2，分析与检测问题➢是否常见问题➢是否程序BUG➢是否策略设置或者误操作导致3，解决问题➢常见问题处理流程➢出现Bug是否与客户的环境有关系，提交研发解决➢修改策略或和客户说明原因提交问题分析和检测问题解决问题详细版本，环境，问题现象等常见问题BUG 策略/误操作修改策略/说明原因提交研发解决常见问题处理流程二、服务器维护1、服务器目录文件a. 数据文件(目录)OCULAR3.MDF OCULAR3_Log.LDF 文件主数据库文件（保存组织架构，策略，分类库等）DATA 文件夹日志数据库文件保存目录OCULAR3_20120503.BAK 文件主数据库备份文件OCULAR3_DATA.20120516.MDFOCULAR3_DATA.20120516_Log.LDF文件日志数据库文件（按天存储）ZTEMP 文件夹临时数据文件目录1)主数据库：OCULAR3.mdf和OCULAR3_log.ldf，包含账户、分组、分类等基本信息。

2)主数据库备份文件：OCULAR3_[日期].BAK，每隔一个星期自动备份一次，在主数据库被损坏时用来还原数据库。

ipguard使用技巧IPGuard是一种网络安全工具，通过防止和监控网络流量来保护系统和数据的安全。

学习如何使用IPGuard的技巧可以帮助用户最大限度地保护其网络和数据。

以下是一些使用IPGuard的技巧：1. 要定期更新IPGuard的软件版本。

IPGuard的开发者会不断更新软件版本，以修复可能出现的漏洞和安全问题。

因此，定期检查和更新IPGuard的软件版本是非常重要的，以确保系统得到最新的保护。

2. 配置IPGuard的防护策略。

IPGuard允许用户定义和配置防护策略，以满足其特定的安全需求。

用户可以根据自己的网络环境和风险模型，配置IPGuard的防护策略，例如禁止特定IP地址的访问，限制特定端口的访问等。

通过正确配置IPGuard的防护策略，用户可以提高系统的安全性。

3. 设置IPGuard的日志记录功能。

IPGuard可以记录所有网络流量和连接的详细信息，包括源IP地址、目标IP地址、连接时间等。

启用IPGuard的日志记录功能，可以帮助用户追踪和分析网络攻击事件，以及监控系统的安全状态。

用户可以使用IPGuard的日志记录功能来检测和预防可能的网络威胁。

4. 使用IPGuard的报警系统。

IPGuard的报警系统可以提供实时警报和通知，以便用户及时对网络攻击事件做出反应。

用户可以根据自己的需求，配置IPGuard的报警系统，例如设置特定事件的警报级别、选择警报的通知方式等。

通过及时响应IPGuard的警报信息，用户可以更快地发现和应对网络威胁。

5. 加密流量保护数据。

IPGuard支持加密传输协议，如SSL/TLS，可以帮助保护通过网络传输的敏感数据。

用户可以使用IPGuard的加密功能来保护其数据免受中间人攻击和窃听的威胁。

在配置IPGuard时，用户应确保启用加密传输，以便更好地保护其数据。

6. 定期备份IPGuard的配置文件。

IPGuard的配置文件包含了用户定义的所有防护策略和设置信息。

第29章IP Source Guard配置本章主要介绍IP Source Guard功能的使用和配置方法。

本章主要内容：●IP Source Guard功能简介●IP Source Guard基本指令描述●IP Source Guard配置示例●IP Source Guard监控和调试29.1IP Source Guard功能简介通过IP Source Guard绑定功能，可以对端口转发的报文进行过滤控制，防止非法IP地址和MAC地址的报文通过端口，提高了端口的安全性。

端口接收到报文后，通过查找IP Source Guard绑定表项，根据端口上所指定的过滤方式，对报文进行如下处理：⏹当端口的过滤方式为IP过滤时：如果报文中的源IP地址与绑定表项中记录的IP地址相同，端口将转发该报文；若不相同，则丢弃；⏹当端口的过滤方式为IP+MAC过滤时：如果报文中的源MAC地址和源IP地址与绑定表项中记录的MAC地址和IP地址相同，端口将转发该报文；若不相同，则丢弃。

IP Source Guard绑定表项有两个来源，一是IP Source Guard自己手工配置的静态绑定表项，二是直接引用DHCP Snooping所维护的表项。

29.2IP Source Guard基本指令描述注：命令描述前带“*”符号的表示该命令有配置实例详细说明。

注意：一．RM1800-21-AC，RM1800-22-AC和RM1800-23-AC三款设备不支持ip source guard所有配置。

二．以上关于端口的配置只能在LAN上配置生效不能在W AN上配置。

⏹ip source binding在端口开启IP Source Guard功能的情况下，会将配置的绑定表写入交换芯片硬件中，从而实现IP 报文的过滤，具体写入交换芯片硬件的条数由交换芯片硬件分配给IP Source Guard的资源数决定。

如果分配给IP Source Guard功能的交换芯片硬件资源已使用完，还需要添加绑定条目或开启其它端口上的IP Source Guard绑定功能，则需要添加交换芯片硬件资源或删除一些绑定条目，重启设备后才可以继续分配。