东软防火墙NetEyeFW用户管理器使用
东软NetEye网络审计系统产品用户手册
东软NetEye网络审计系统V5.0用户手册2014年9月目录第一部分产品快速向导 (1)1图形界面格式约定 (1)2环境要求 (1)3接线方式 (1)4登录设备 (2)5刷新/保存/注销 (3)6密码恢复 (3)第二部分产品配置 (4)7设备状态 (4)8实时监控 (6)8.1设备资源 (6)8.2物理接口 (7)8.3服务监控 (8)8.3.1服务趋势叠加图 (8)8.3.2服务组趋势图 (9)8.3.3活跃服务统计 (10)8.3.4所有服务统计 (10)8.4用户监控 (11)8.4.1流量分析 (11)8.4.2会话分析 (12)8.4.3活跃会话 (13)8.5上网行为 (14)8.6在线用户 (15)8.7防共享上网 (17)8.8当前黑名单 (18)8.9应用限额用户 (20)9系统配置 (21)9.1设备工作模式 (21)9.1.1网桥模式 (21)9.1.2路由模式 (23)9.1.3旁路模式 (24)9.2系统维护 (25)9.2.1系统升级 (25)9.2.2自动升级 (27)9.2.3备份与恢复 (28)9.2.4重启/关机 (29)9.3系统管理员 (30)9.3.1配置系统管理员 (30)9.3.2角色管理 (32)9.4网管策略 (33)9.6网络工具 (35)9.6.1Ping (35)9.6.2TraceRoute (36)9.7系统时间 (37)9.8系统信息 (38)9.9邮件配置 (38)9.10集中管理 (39)10系统对象 (40)10.1地址簿 (40)10.2网络服务 (41)10.2.1内置服务 (41)10.2.2自定义普通服务 (42)10.2.3自定义特征识别 (43)10.2.4自定义论坛/网评特征 (44)10.2.5协议剥离 (45)10.3时间计划 (47)10.4URL库 (48)10.5关键字组 (49)10.6文件类型 (50)11网络配置 (52)11.1接口配置 (52)11.1.1物理接口 (52)11.1.2链路聚合 (53)11.1.3VLAN接口 (54)11.1.4PPPoE (55)11.1.5DHCP客户端 (56)11.1.6GRE隧道 (56)11.2配置IP地址 (57)11.3静态路由 (58)11.4OSPF路由 (59)11.4.1网络配置 (59)11.4.2接口配置 (60)11.4.3参数配置 (61)11.4.4虚连接配置 (62)11.4.5信息显示 (63)11.5策略路由 (65)11.5.1策略路由 (65)11.5.2均衡策略 (67)11.5.3持续路由 (69)11.5.4链路健康检查 (70)11.6DNS 配置 (72)11.7DDNS 配置 (73)11.8智能DNS (73)11.8.3均衡策略 (75)11.8.4DNS策略 (77)11.9ARP表 (79)11.10DHCP配置 (80)11.10.1基本参数 (80)11.10.2DHCP中继 (81)11.10.3已分配IP地址 (82)11.11SNMP服务器 (82)11.12代理服务器列表 (82)11.13代理配置 (83)12防火墙 (85)12.1安全策略 (85)12.2NAT规则 (87)12.2.1内网代理 (87)12.2.2一对一地址转换 (88)12.2.3端口映射 (90)12.2.4服务器池 (92)12.3防DOS攻击 (93)12.4ARP 欺骗防护 (94)12.5应用层网关 (95)12.6加速老化 (96)12.7防病毒设置 (97)12.8移动终端管理 (97)13VPN配置 (99)13.1IPSec (99)13.1.1IPSec隧道 (99)13.1.2IPSec规则 (100)13.2PPTP (102)13.3L2TP (103)13.4VPN 用户 (104)14组织管理 (105)14.1组织结构 (105)14.1.1定位并选中当前操作对象 (105)14.1.2修改根组 (106)14.1.3新增子组 (106)14.1.4修改子组 (107)14.1.5新增普通用户 (109)14.1.6新增认证用户 (110)14.1.7修改用户 (111)14.1.8绑定检查 (112)14.1.9导出用户和组 (116)14.1.10移动用户和组 (117)14.2批量导入 (120)14.3LDAP/AD导入 (120)14.4扫描内网主机 (122)14.5临时账户管理 (124)14.5.1临时账户设置 (124)14.5.2申请临时账户的步骤(页面与Email获取密码) (127)14.5.3申请临时账户的步骤(短信获取密码) (129)14.5.4未审核账户列表 (130)14.5.5已审核账户列表 (131)14.5.6批量生成 (131)14.6Dkey管理 (132)15流量管理 (133)15.1线路带宽配置 (133)15.2基于策略的流控 (134)15.3基于用户的流控 (137)16行为管理 (141)16.1认证策略 (142)16.2上网策略 (145)16.2.1上网权限策略 (145)16.2.2终端提醒策略 (155)16.2.3准入策略 (158)16.2.4应用限额策略 (162)16.2.5黑名单策略 (163)16.2.6上网审计策略 (166)16.3认证选项 (169)16.3.1跨三层MAC识别 (169)16.3.2认证参数 (170)16.3.3自定义认证页面 (171)16.3.4未认证权限 (172)16.3.5SSO (173)16.3.6短信认证 (181)16.4认证服务器 (184)16.4.1RADIUS服务器 (184)16.4.2AD服务器 (185)16.4.3LDAP服务器 (186)16.4.4POP3服务器 (187)16.4.5服务器测试 (188)16.5白名单管理 (189)16.5.1IP 白名单 (190)16.5.2URL 白名单 (191)16.5.3即时通讯白名单 (192)17酒店管理-即插即用 (193)19系统日志 (197)19.1命令日志 (197)19.2事件日志 (198)19.3PPTP/L2TP日志 (199)19.4IPSec日志 (199)19.5黑名单日志 (200)19.6安全日志 (201)19.7日志服务器 (202)19.8短信配置 (203)19.9告警配置 (203)20故障排除 (209)20.1捕获数据包 (209)20.2查看数据包 (210)20.3调试信息下载 (210)20.4上网故障调试 (211)21报表中心 (212)21.1报表中心配置 (212)21.2内置报表中心 (213)第一部分产品快速向导1图形界面格式约定2环境要求设备系列产品可在如下环境使用:输入电压: 220~240V温度: -10~50 ℃湿度: 5~90%电源:交流电源110V ~230V为保证系统能长期稳定的运行,应保证电源有良好的接地措施、防尘措施、保持使用环境的空气通畅和室温稳定。
东软防火墙 NetEye FW 安装
5
2012-10-8
Neusoft Group Ltd.
管理主机的配置要求
• 硬件要求 – Pentium 450、256M内存、硬盘4GB以上的自由空间、 10M/100M以太网卡(ISA/PCI) • 软件要求 – Windows 2000、Windows XP – 安装Internet Explorer 4.0或以上版本 – TCP/IP协议 – IP地址为192.168.1.0网段
6
2012-10-8
Neusoft Group Ltd.
管理软件ቤተ መጻሕፍቲ ባይዱ安装
• • •
将机箱中 NetEye 防火墙管理系统安装光盘放入管理主机的光驱中,自动弹出“选择 安装程序”窗口; 此光盘显示:管理工具和认证客户端,其中管理工具安装在管理主机上; 想浏览整个光盘的内容,点击右下角的光盘图标;
7
2012-10-8
12
2012-10-8
Neusoft Group Ltd.
管理软件的安装
13
2012-10-8
Neusoft Group Ltd.
管理软件的安装
14
2012-10-8
Neusoft Group Ltd.
浏览开始菜单
• 四个应用程序
15
NetEye Firewall的架构
•
网卡
• • •
防火墙
管理主机
• •
防火墙是接入到网络中实现访问控 制等功能的网络设备; 防火墙上的所有软件在出厂时已经 安装完毕; 防火墙没有配置鼠标、键盘、显示 器等设备; 管理主机用于管理防火墙,配置防 火墙的安全策略等; 管理主机和防火墙之间的通信是经 过加密的; 管理主机需要用户单独准备;
NetEye东软防火墙配置手册
东软防火墙配置手册版本历史目录第一章文档说明 (4)1.1 编写目的 (4)1.2 项目背景 (4)第二章配置命令 (5)2.1 通过WEB登录 (5)2.2 虚拟系统 (6)2.2.1 查看虚拟系统信息 (6)2.2.2 创建一个虚拟系统 (6)2.2.3 删除一个虚拟系统 (7)2.2.4 添加描述 (8)2.2.5 启用/ 禁用虚拟系统 (8)2.2.6 切换虚拟系统 (9)2.3 制定安全策略 (10)2.3.1 IP包过滤 (10)2.3.2 安全策略流程 (12)2.4 地址转换NA T (14)2.5 高可用性HA (15)第一章文档说明1.1 编写目的编写该手册的主要目的是针对贵州二次安防项目工程技术人员提供东软防火墙基本的操作规范,同时,也可以作为贵州二次安防项目东软防火墙维护人员的参考阅读手册。
1.2 项目背景本项目是贵州电网公司根据《电力二次系统安全防护规定》(电监会5号令)、《电力系统安全防护总体方案》(国家电力监管委员会[2006]34号文及配套文件)和《南方电网电力二次系统安全防护技术实施规范》等电力二次系统安全防护相关规程规范的要求完成贵州电网公司省/地两级调度中心及220kV及以上电压等级变电站的生产控制大区业务系统接入电力调度数据网系统工程。
通过本项目的实施建立健全贵州电网电力二次系统安全防护体系。
项目的重点是通过有效的技术手段和管理措施保护电力实时监控系统及调度数据网络的安全,在统一的安全策略下保护重要系统免受黑客、病毒、恶意代码等的侵害,特别是能够抵御来自外部有组织的团体、拥有丰富资源的威胁源发起的恶意攻击,能够减轻严重自然灾害造成的损害,并能在系统遭到损害后,迅速恢复绝大部分功能,防止电力二次系统的安全事件引发或导致电力一次系统事故或大面积停电事故,保障贵州电网安全稳定运行。
第二章配置命令2.1 通过WEB登录1. 在可通过网络连接到NetEye 的计算机上打开Web 浏览器。
东软防火墙配置手册01
第1章用户管理该章节中的操作仅在root用户登录后可用。
语法:1.添加用户NetEye(config)# user username{ local | radius } { security [ audit ] | audit [ security ] } 2.配置RADIUS服务器NetEye(config)# radius-server host ipaddress]3.配置RADIUS服务器端口NetEye(config)#radius-server port number4.设置RADIUS服务器密码NetEye(config)# radius-server secret5.将RADIUS服务器设置为默认状态NetEye(config)# no radius-server6.查看RADIUS服务器1-1NetEye防火墙3.2.2命令手册NetEye# show radius-server7.删除用户NetEye(config)# no user username8.更改用户口令NetEye(config)# password [ username ]9.显示当前防火墙上的用户信息(包括用户名、权限、认证方式) NetEye#show user [ username ]1-2第1章用户管理表1-1 命令描述关键字和变量描述user 用户管理security 安全员权限audit 审计员权限radius-server 设置RADIUS服务器host RADIUS服务器主机port RADIUS服务器端口secret RADIUS服务器密码password 修改用户的口令show 查看信息username 用户名WORD{1-12}number 端口号<1-65535>ipaddress RADIUS服务器的ip地址1-3。
东软防火墙配置
阅读指南〖手册目标〗本手册是沈阳东软软件股份有限公司的产品NetEye防火墙CLI的使用指南,它详细地介绍了CLI的功能和操作。
通过阅读本手册,用户可以掌握NetEye防火墙CLI的使用方法。
〖阅读对象〗本手册专为购买NetEye防火墙的用户编写。
用户在使用防火墙之前请仔细阅读本手册,以免误操作,造成不必要的损失。
〖手册构成〗本手册主要由以下几个部分组成:1.2.3.4. 第1章用户管理介绍管理员(root)登录CLI后所能进行的操作,如添加、编辑或删除其他具有管理权限的用户,以及修改自身或其它用户口令。
第2章安全管理介绍具有安全管理权限的用户登录CLI后所能进行的一系列操作,主要是防火墙接口的配置以及各种规则的配置。
第3章审计管理介绍具有安全管理权限的用户登录CLI后所能进行的关于审计功能的开启和关闭的操作。
附录命令速查为用户提供了快速查找命令的工具。
〖手册约定〗CLI约定y斜体——命令行参数(命令中必须由实际值进行替代的部分)采用斜体表示。
y[ ]——表示用“[ ]”括起来的部分在命令配置时是可选的。
y{ x | y | ... }——表示从两个或多个选项中必须选取一个。
y[ x | y | ... ]——表示从两个或多个选项中选取一个或者不选。
范例:sync { info-down | info-up } ipaddress filenamesync info-down 10.1.2.110 neteyefwCLI模式NetEye防火墙CLI配置共提供三种模式,分别为:普通模式:管理员(root)和安全员可以进入该模式。
在该模式下可以进行的操作有:进入特权模式、退出和语言管理。
特权模式:管理员(root)和安全员可以进入该模式。
在该模式下,可以查看系统信息及配置信息,可以对系统进行高级别的操作,但不能更改配置信息。
不同权限的用户进入特权模式后,所能做的操作也不同。
管理员(root)进入特权模式后可以进行的操作有:进入全局配置模式、退出特权模式、退出命令控制台、测试连通性、显示和终端配置。
NetEye FW 过滤规则配置
4-13
连接建立过程
内网接口 192.168.0.2
外网接口 Internet
服务器
客户端
3 2 ‘
ACK SYN ACK SYN
3 ‘ 2 1 ‘
ACK SYN ACK SYN
1
NetEye Firewall 使用指南
4-14
外到内的访问,拒绝
提示: • 允许只是部分的允许; • 拒绝是绝对的禁止;
NetEye Firewall 使用指南
4-6
经过防火墙的典型访问
192.168.0.0/24 ……
内部网络
Internet
•
举例: 192.168.0.2 能够通过防火墙访问 ;
NetEye Firewall 使用指南
4-32
新建包过滤规则-3.2
•
•
可以输入:单个IP地址、IP地 址范围、域名; “去除下列地址”是指在一个 地址范围中,被去除的地址不 匹配此规则;
NetEye Firewall 使用指南
4-33
新建包过滤规则-3.3
•
例如: 192.168.0.16 属于 192.168.0.15 - 192.168.0.20 这个范围,但管理员不希望这 个IP匹配这个规则,就 “去 除”这个IP地址的,去除的IP 地址前面用“!”标识;
• •
NetEye Firewall 使用指南
4-28
新建包过滤规则-2.1
• • • 拒绝”意味着匹配该规则的连 接不允许通过; “允许”意味着匹配该规则的 连接可以通过;“允许”包括 两个内容; 选中复选框“对TCP连接进行 认证” ,表示:防火墙对TCP 请求包进行认证后,才允许通 过,认证需要的用户名/密码信 息存放在指定的认证域中,关 于认证域请参见《NetEye Firewall安全控制台使用指南》 中的“认证管理”章节;
东软防火墙NetEye FW5000系列技术白皮书
NetEye Firewall 5000 Series东软防火墙NetEye FW5000系列技术白皮书目录应用背景 (3)东软NetEye FW5000系列的技术特点 (4)面向关键业务提供全面可用性保证 (4)优异的网络适应性 (5)充分适应特殊应用环境要求 (6)支持基于策略的透明VPN (7)强大的攻击防御能力 (7)东软NetEye FW5000系列防火墙主要功能 (8)基于状态检测技术的访问控制 (8)网络地址转换(NAT) (8)IP与MAC地址绑定 (9)支持VLAN Trunk (9)支持 Radius 、XAUTH、Web等认证协议 (10)支持NTP (10)SCM安全集中管理 (11)服务器负载均衡 (12)并发连接数限制 (12)对多播协议的支持 (12)可视化管理 (12)强大便利的向导功能 (13)支持SNMP (13)2应用背景网络和信息安全基础设施己经和电力、水力一样,成为国家稳定和发展的关键基础设施。
因此,保证关键行业的业务应用和信息资产安全显得日益紧迫和重要。
在这些应用环境中,业务服务器、核心骨干设备以及内网的安全性和可用性一旦遭到破坏,后果不堪设想,因此必须采用高性能的防火墙设备加以严密保护。
政府、金融、电信、电力等行业对网络安全的强劲需求推动了防火墙技术的不断发展。
本白皮书将说明东软NetEye FW5000系列防火墙如何帮助客户满足关键网络骨干节点的安全防护和性能保障要求。
关键行业骨干节点的边界安全防护有着共同的特点,最主要的就是对防火墙的性能、稳定性、网络适应性和应用适应性有着严苛的要求。
以性能的要求为例,一些大型商业银行数据中心的服务器数量高达上千台,仅备份网络的带宽就达 2.5G;大型政府网站的对外服务处理的查询量高达每秒20000次以上,而响应时间的要求是5秒以下。
因此,理想的防火墙设备应该能够提供最佳的安全性、性能、网络适应性和应用适应性,达到以下标准:l将高安全性放在首要地位,可抵御各种网络入侵和攻击,在瞬间做出安全和流量路由决策,即使在处理数Gbps的网络流量时也能做到这一点;l支持多样化的部署方式,具备面向复杂应用环境的功能特性,适应复杂且变化迅速的业务需求;l采用高性能的硬件架构,提供最佳的产品性价比,提高行业安全项目建设的投资回报率。
NetEye FW 配置使用技术培训v3
Page 4
认识工程
NETEYE防火墙是基于工程的 结构框架,实现对防火墙运行 模式、硬件配置、规则策略制 定等功能操作。左框架为防火 墙工作于路由模式的一个基本 配置结构。
•
运行模式: 运行模式: 运行模式是防火墙一个重要 属性,他指定防火墙运行方 式。 交换模式:也称为桥模式, 是一种不更改网络拓朴的应 用模式。运行此模式下的防 火墙多处于原网络路由及交 换机间 路由模式:与桥模式相对不 同,此模式需对原网络结构 进行修改。运行此模式下的 防火墙可以看作是一台路由 器及运行于桥模式下的防火 墙
© 2004, 东软
Page 2
首次登录
防火墙初始root用户,密码为 neteye。此用户只可用于管理 用户(如新增用户,重置用户密 码)。初始化帐户ROOT无法更 改用户名,但用户可以根据自 己需要更改其初始密码。
•
注意事项: 注意事项: NETEYE系列防火墙对登录 错误是有限制,超过五次错 误登录,防火墙将暂时锁定 请于半个小时再次登录。锁 定期间,即使输入正确用户 名及密码防火墙也不予登录 内置ROOT用户的权限权可 管理用户。并可重置用户新 建帐户的密码,所以请慎重 更改其口令。如防火墙管理 帐户口令遗失或忘记可与我 们联系。
步骤 1
步骤 2
步骤 3
新建工程
建立规则
应用规则
© 2004, 东软
Page 5
新建工程
新建工程时,首先需要确认的 就是此工程的运行模式。图示 选择为交换模式。系统默认的 default工程即为一个全通规则 的交换模式工程。 •
小知识: 小知识:
源路由攻击: 源路由攻击: 攻击者利用TCP/IP协议支 持IP包的源路由选项这一特 性,指定一个IP包传输时所 经过的特定路由,从而绕开 网络安全检查。
东软防火墙NetEye FW5000系列技术白皮书
NetEye Firewall 5000 Series东软防火墙NetEye FW5000系列技术白皮书目录应用背景 (3)东软NetEye FW5000系列的技术特点 (4)面向关键业务提供全面可用性保证 (4)优异的网络适应性 (5)充分适应特殊应用环境要求 (6)支持基于策略的透明VPN (7)强大的攻击防御能力 (7)东软NetEye FW5000系列防火墙主要功能 (8)基于状态检测技术的访问控制 (8)网络地址转换(NAT) (8)IP与MAC地址绑定 (9)支持VLAN Trunk (9)支持 Radius 、XAUTH、Web等认证协议 (10)支持NTP (10)SCM安全集中管理 (11)服务器负载均衡 (12)并发连接数限制 (12)对多播协议的支持 (12)可视化管理 (12)强大便利的向导功能 (13)支持SNMP (13)2应用背景网络和信息安全基础设施己经和电力、水力一样,成为国家稳定和发展的关键基础设施。
因此,保证关键行业的业务应用和信息资产安全显得日益紧迫和重要。
在这些应用环境中,业务服务器、核心骨干设备以及内网的安全性和可用性一旦遭到破坏,后果不堪设想,因此必须采用高性能的防火墙设备加以严密保护。
政府、金融、电信、电力等行业对网络安全的强劲需求推动了防火墙技术的不断发展。
本白皮书将说明东软NetEye FW5000系列防火墙如何帮助客户满足关键网络骨干节点的安全防护和性能保障要求。
关键行业骨干节点的边界安全防护有着共同的特点,最主要的就是对防火墙的性能、稳定性、网络适应性和应用适应性有着严苛的要求。
以性能的要求为例,一些大型商业银行数据中心的服务器数量高达上千台,仅备份网络的带宽就达 2.5G;大型政府网站的对外服务处理的查询量高达每秒20000次以上,而响应时间的要求是5秒以下。
因此,理想的防火墙设备应该能够提供最佳的安全性、性能、网络适应性和应用适应性,达到以下标准:l将高安全性放在首要地位,可抵御各种网络入侵和攻击,在瞬间做出安全和流量路由决策,即使在处理数Gbps的网络流量时也能做到这一点;l支持多样化的部署方式,具备面向复杂应用环境的功能特性,适应复杂且变化迅速的业务需求;l采用高性能的硬件架构,提供最佳的产品性价比,提高行业安全项目建设的投资回报率。
东软 NetEye 日志审计系统用户手册
东软东软NetEye日志审计系统用户手册1目录一、概述 (4)1.1日志审计的必要性 (4)1.2日志审计系统 (4)二、日志审计系统架构和运行环境 (5)2.1总体架构 (5)2.2运行环境 (5)三、硬件配置平台 (6)3.1初始状态说明: (6)3.2网络配置 (7)3.3时间调整 (8)3.4数据备份 (8)四、主要业务及流程 (9)4.1采集管理 (9)4.2资产管理 (10)4.3事件分析 (10)4.4审计管理 (10)4.5安全监控 (10)4.6报表管理 (11)五、基础功能 (11)5.1功能概述 (11)5.1.1什么是日志 (11)5.1.2日志是如何采集的 (11)5.1.3什么是安全事件 (12)5.1.4标准化 (12)5.1.5什么是过滤和归并 (13)5.2采集管理 (13)5.2.1相关操作 (13)5.3资产管理 (20)5.3.1什么是安全资产 (20)5.3.2安全资产的属性 (20)5.3.3什么是网络 (21)5.3.4什么是资产视图 (21)5.3.5相关操作 (21)5.4事件分析 (26)5.4.1安全事件的关联 (26)5.4.2相关操作 (27)5.5审计管理 (34)5.5.1什么是审计 (34)5.5.2相关操作 (34)5.6安全监控 (54)5.6.1什么是告警 (54)5.6.2告警的级别 (54)5.6.3告警的处理 (54)5.6.4什么是实时监控 (55)5.6.5相关操作 (55)5.7报表管理 (59)5.7.1相关操作 (59)5.8知识库管理 (65)5.8.1知识库有哪些分类 (65)5.8.2相关操作 (65)5.9拓扑管理 (67)5.9.1相关操作 (67)5.10系统管理 (72)5.10.1用户管理 (72)5.10.2日志管理 (79)5.10.3系统参数管理 (81)5.10.4内置对象管理 (84)5.10.5升级管理 (85)5.10.6许可证管理 (85)5.11其它 (86)5.11.1安全概览 (86)5.11.2个人工作台 (87)5.11.3全文检索 (88)附录1专家模式查询语法 (88)一、概述1.1日志审计的必要性随着信息技术持续地发展,各类组织、企业对信息系统的运用也不断深入,为了在复杂条件下应付各类安全情况(如黑客的攻击、内部员工的有意或无意地进行越权或违规操作),企业部署了大量的、不同种类、形态各异的信息安全产品:⏹为了监控黑客的攻击控制,部署了各种入侵检测或入侵防御设备⏹为了控制内部员工的非法接入,部署了网络终端管理、网络准入等系统⏹为了控制数据的非法泄露或重要数据被修改,部署了防泄漏系统、数据库审计系统⏹…另外,除了这些专用安全设备或系统每日会产生各种日志,组织或企业日常使用的业务系统、主机系统、网络设备等也会生成许多和安全相关的日志,这存在如下问题:⏹它们格式差异巨大,没有统一标准⏹它们数量巨大,用户无法进行重点分析⏹难以挖掘各类日志之间的关联关系,从而难以审计上述这些原因均会导致日志审计工作难以开展,所以各组织或企业需要部署集中的日志分析系统;另外,各组织或企业部署集中日志分析系统的意义在于:⏹它是信息安全管理的需要:因为日志审计是日常信息安全管理中最为重要的环节之一;能从纷繁复杂的日志中萃取出具有价值的部分是各类信息安全管理者、参与者、相关者最大的诉求,故选择一款高可靠、高性能、具备强大功能的日志集中审计系统就成为必须;⏹它是安全技术保障体系建设要求的需要:一个完整的信息安全技术保障体系应由检测、保护和响应三部分组成,而日志审计是检测、分析安全事件的不可或缺的重要手段之一。
NetEye使用说明
NetEye 网络配置使用说明EYE win2.0 监控系统采用客户服务器结构,既可单机运行也可配置成多机系统运行,各工作站通过以太网连接,通过NetEye.exe可以完成EYE win2.0系统的网络配置功能,在系统运行时NetEye也可完成网络上各工作站的网络通信状态实时监视及网络身份显示功能。
保存配置增加记录选中某条记录后,点击此图标删除该记录网络状态刷新外挂模块配置一.网络配置1.1网络节点配置启动NetEye.exe显示如下画面,图1图1选中网络配置可编辑定义网络配置信息:1.节点名:填写网络节点的计算机名,这里的节点是指网络上的一台计算机2.A网地址:网络节点第一块网卡的IP地址,如无效,填-13.B网地址:网络节点第二块网卡的IP地址,如无效,填-14.主控机:该节点在运行当中是否可成为主机(具体程序为EYEwin.exe),点击该处,如图2会出现下拉列表框供选择,选中“是”则该节点在运行当中可以成为主服务器,如网络上有主服务器运行,则该节点做为主服务器的热备用以备服务器的身份运行,一旦主服务器退出,则备服务器切换为主服务器;选中“否”则该节点在运行当中只是作为客户机运行。
图25.前置机:该节点是否可启动前置机程序(具体程序为PremNet.exe),点击该处,如图3出现下拉列表框,选中“是”,则该节点可以启动前置机程序,“否”则不能启动,即便把前置程序启起来,主服务器也会认为其非法,不会与之建立连接。
图31.2 数据库外挂模块配置EYE win2.0 系统数据库外挂模块放置在Plugin目录下,主要有五防、VQC、接地选线、双位遥信等功能模块,这些模块的启用也可通过NetEye.exe配置,在系统默认情况下,数据库外挂模块是由主服务器启动的,也可通过配置分布到各个节点上分别启动。
NetEye启动时会将Plugin目录下所有的模块显示到界面中,点击工具栏图标,会弹出外挂模块调用方式配置对话框,如图4,有两种调用方式,一种是仅主机启动,如选中此配置,点击保存后,如图5则所有的数据库外挂模块都由运行中的主服务器启动,当主服务器发生切换时,所有的数据库外挂模块也随之迁移。
NetEye FW 实时监控系统
5-38 -
捕捉器设置
NetEye Firewall 使用指南
5-39 -
连接设置
NetEye Firewall 使用指南
5-40 -
协议设置
NetEye Firewall 使用指南
5-41 -
协议设置- 协议设置-端口设置
NetEye Firewall 使用指南
5-42 -
协议设置- 协议设置-端口范围设置
NetEye Firewall 使用指南
查看捕捉数据- 查看捕捉数据-注意事项
如果安全员要继续捕捉, 如果安全员要继续捕捉,生成的捕捉文件与原来 已经存在的文件重名,系统会提示用户是否覆盖, 已经存在的文件重名,系统会提示用户是否覆盖, 如果确定,则原文件中的内容丢失; 如果确定,则原文件中的内容丢失; 查看捕捉数据” “查看捕捉数据”的功能只能查看最近一次捕捉 的结果。对于以前的捕捉结果, 的结果。对于以前的捕捉结果,安全员可以打开 或另存。具体操作参见“打开/另存捕捉文件 另存捕捉文件” 或另存。具体操作参见“打开/另存捕捉文件”;
5-30 -
以柱状图显示
NetEye Firewall 使用指南
5-31 -
以锥形图显示
NetEye Firewall 使用指南
5-32 -
用户信息收集
• 收集内容
收集与防火墙各块网卡相连的网络内的所有用 户的相关信息,包括IP地址 地址、 地址、 户的相关信息,包括 地址、MAC地址、主 地址 机名、组以及网卡接口; 机名、组以及网卡接口; 这里收集的“主机名” 这里收集的“主机名”和“组”为基于 NetBIOS协议的机器名称和工作组。比如配置 协议的机器名称和工作组。 协议的机器名称和工作组 了NetBIOS的Windows操作系统以及配置了 的 操作系统以及配置了 Samba服务的 服务的Linux操作系统中的“计算机名 操作系统中的“ 服务的 操作系统中的 工作组” 称”和“工作组”;
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
9
2019/5/12
Neusoft Group Ltd.
断开连接
• 管理员在工作过程中,可能会因为某些原因,需要暂时 离开一段时间,建议管理员在这种情况下执行“断开连 接”。
10
2019/5/12
更改登录口令
Neusoft Group Ltd.
11
2019/5/12
维护防火墙用户
Neusoft Group Ltd.
12
2019/5/12
添加用户
Neusoft Group Ltd.
• 3个权限代表可以使用不同的管理组 件; – 管理器 – 安全控制台和实时监控 – 审计分析系统
13
2019/5/12
Neusoft Group Ltd.
不同用户的权限
• 不同权限的用户,具有不同的NetEye专业称谓 – 使用管理器的用户为:用户管理员; – 使用安全控制台和实时监控系统的用户为:安全员; – 使用审计分析系统的用户为:审计员;
1.帐号发起“登录防火墙”的请求
管理主机
5.防火墙根据Radius返回的认证信息,如果成功,则 允许此帐号登录;如果失败,给出相应的错误提示
防火墙
2.防火墙检测此帐号为Radius认证,将管理主机 发送过来的用户名 / 口令发送给Radius服务器
4. Radius服务器将认证 结果返回给防火墙主机
3. Radius服务器根据用 户名 / 口令检查数据库
User admin ……
pass ***
Radius服务器
18
2019/5/12
Neusoft Group Ltd.
Radius认证的设置
– 通过超级终端修改防火墙主机上的文件
/fwsys/var/conf/auth.conf ,格式如下
RADIUS:host
Neusoft Group Ltd.
NetEye Firewall管理器使用指南
2019/5/12
目标
• 维护管理用户信息
Neusoft Group Ltd.
2
2019/5/12
Neusoft Group Ltd.
20
2019/5/12
Neusoft Group Ltd.
Q&A
Q:使用同一个帐号连续登录5次失败后,帐号不可用? A:防火墙认为你可能进行暴力破解,为保护帐号安
全,故锁定,必须等待20分钟后,此帐号自动激活。 在此期间,即使输入正确密码也无效。
Q:登录管理器的root口令忘记,怎么办?
A:通过超级终端登录到防火墙,进入目录 /fwsys/services/bin ,执行 ./authuser –n root ,即 可根据提示修改口令。
21
2019/5/12
Neusoft Group Ltd.
Q&A
Q:管理器的root帐号不能被删除?
A:防火墙的初始化帐号,必须存在,不能修改其认证 方式,不能修改名字,否则无法通过管理器登录到防 火墙。
Q:超级终端登录的root口令忘记怎么办? A:向东软NetEye产品维护人员寻求帮助。
22
可以同时维护多个防火墙;
4
2019/5/12
添加防火墙IP
Neusoft Group Ltd.
• IP地址是指要维护的防火墙IP地址,通常为防火墙的管理口IP;出厂时,管理 口网卡默认为eth0,IP地址为192.168.1.100;
• 主机名只是一个标识,不具有实际意义;
5
2019/5/12
物理连接防火墙
7
2019/5/12
管理器连接防火墙
Neusoft Group Ltd.
root neteye
• 防火墙出厂时,管理器默认的用户名 / 口令为: root / neteye ;
8
2019/5/12
Neusoft Group Ltd.
新建NetEye防火墙管理器
• 再启动一个防火墙管理器程序,当需要同时管理多台防 火墙时,用到此功能。
16
2019/5/12
Neusoft Group Ltd.
NetEye防火墙支持的Radius认证 • 只要是其认证产品符合标准的Radius协议,都可 以与NetEye防火墙的认证机制兼容
– RSA公司的Secure ID等等……
17
2019/5/12
Neusoft Group Ltd.
Radius认证的工作原理
Neusoft Group Ltd.
防火墙
网卡Biblioteka • 使用交叉线连接管理主机和防火 墙的管理口;
• 交叉线和网线有一定的区别; • 管理主机的IP必须为192.168.1.0
网段;
管理主机
6
2019/5/12
管理器连接防火墙
Neusoft Group Ltd.
• 在已有的地址簿中,选择要维护 的防火墙IP地址,进行连接;
192.168.1.105
RADIUS:port
1645
RADIUS:secret secretkey
–执行“/fwsys/scripts/rc.auth restart”,使配置 生效
19
2019/5/12
通过超级终端调试防火墙
串口
Neusoft Group Ltd.
防火墙
管理主机
• 使用串口线连接防火墙的串口和管理主机的串口; • 启动管理主机中,程序->附件->超级终端; • 设置属性,还原为默认值(波特率为9600) • 用户名/口令为:root / neteye; • 此帐号为超级终端的登录帐号,与管理器中的root没有任何关系;
14
2019/5/12
用户的约束关系
Neusoft Group Ltd.
用户 / 权限
root 用户管理员 安全员 审计员
管理用户权限
用户管理员 安全员
+
+
+
审计员 + +
安全控制权限 +
审计权限 +
15
2019/5/12
Neusoft Group Ltd.
认证方式
• 本地认证代表用户名 / 口令信息存放在防火墙上 • Radius认证采用第三方标准的认证方式
用户分类
• 管理用户 – 本章讲述的内容 – 配置、维护防火墙主机
• 普通认证用户 – 《NetEye Firewall安全控制台使用指南》中讲述 – 对经过防火墙的网络连接进行身份认证
3
2019/5/12
启动管理器
Neusoft Group Ltd.
• 会默认地去打开“地址簿”窗口; • 几个管理组件共用一个“地址簿”; • 因为地址簿的存在,一个管理主机