FlowEye安全域流监控系统产品白皮书_V6.0.11.9_星辰

启明星辰天镜网站安全监测系统用户手册目录1产品概述 (4)1.1概述 (4)1.2工作环境要求 (4)1.3用户权益说明 (4)2安装说明 (5)2.1硬件安装 (5)2.2启动网站安全监测系统 (5)2.3配置网卡 (7)2.3.1web配置网卡 (7)2.4上传授权文件授权 (8)2.5升级 (8)2.5.1漏洞库升级 (8)2.5.2web平台升级 (10)3新手上路指导 (11)3.1启动网站安全监测系统 (11)3.2多级账户管理 (12)3.2.1新建三级账户 (12)3.2.2三级账户的应用 (14)3.2.3账户管理 (14)3.2.4留言管理 (15)3.3网站管理 (16)3.3.1网站列表 (16)3.3.2网站发现 (25)3.4使用检测管理扫描漏洞 (27)3.4.1建立扫描任务并执行扫描 (27)3.4.3查看扫描结果 (40)3.5使用监控管理对可用性监控 (44)3.5.1添加监控站点 (44)3.5.2查看监控信息 (47)3.5.3查看监控结果 (49)3.6检测站点变更情况 (50)3.6.1手动添加变更检测站点 (51)3.6.2查看变更信息 (55)3.7检测DNS域名 (59)3.7.1添加域名站点 (59)3.7.2查看DNS管理详细信息 (61)3.8挂马管理 (62)3.8.1添加检测站点 (62)3.8.2挂马任务管理 (62)3.9敏感词管理 (63)3.9.1添加检测站点 (63)3.9.2策略管理与导出 (63)3.9.3敏感词任务管理 (63)3.10系统配置 (64)3.10.1邮件管理 (64)3.10.2告警管理 (66)3.11操作员个人配置 (68)4用户管理 (70)4.1后台登录 (70)4.2任务中心 (70)4.3报表中心 (71)4.4配置中心 (72)4.4.2部门列表 (73)4.4.3用户列表 (74)4.4.4登录配置 (76)4.4.5语音配置 (77)4.4.6短信配置 (77)4.4.7主视图配置 (78)4.4.8网站发现引擎配置 (79)4.4.9漏洞列表 (79)4.4.10网站常见路径 (79)4.4.11关键词定义 (80)4.4.12敏感词定义 (81)4.4.13邮件服务器设置 (81)4.4.14升级方式与授权设置 (82)4.4.15DNS服务器配置 (82)4.4.16可用性监测点配置 (83)4.4.17引擎配置 (84)4.4.18子节点配置 (88)4.4.19系统配置 (92)4.4.20时间服务器 (93)4.5管理员个人配置 (94)5审计员管理 (96)5.1操作日志 (96)5.2报警日志 (96)5.3日志操作 (96)1 产品概述1.1概述欢迎您选用启明星辰公司的网站安全监测系统。

天镜脆弱性扫描与管理系统V6.0（分布版）产品白皮书启明星辰信息技术有限公司版权声明北京启明星辰信息技术有限公司2004版权所有，保留一切权利。

本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外,其著作权或其他相关权利均属于北京启明星辰信息技术有限公司。

未经北京启明星辰信息技术有限公司书面同意不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。

本文档中的信息归北京启明星辰信息技术有限公司所有并受著作权法保护。

“天镜”为北京启明星辰信息技术有限公司的注册商标，不得仿冒。

信息更新本文档及其相关计算机软件程序（以下文中称为“文档”）仅用于为最终用户提供信息，并且随时可由北京启明星辰信息技术有限公司（下称“启明星辰”）更改或撤回。

声明本手册的内容随时更改，恕不另行通知。

北京启明星辰信息技术有限公司可能已经拥有或正在申请与本文档主题相关的各项专利。

提供本文档并不表示授权您使用这些专利。

您可将许可权查询资料用书面方式寄往北京启明星辰信息技术有限公司（地址）北京启明星辰信息技术有限公司对本手册的内容不提供任何担保，本手册如有谬误，北京启明星辰信息技术有限公司概不负责，对于使用本手册造成的与其有关的直接或间接损失，亦概不负责。

目录1 产品组成 (4)2 产品部署 (4)2.1 方案一：单机式部署 (4)2.2 方案二：分布式部署 (5)2.3 方案三：多级式部署 (6)3 系统配置 (6)4 功能特色 (7)4.1 管理功能 (7)4.1.1 分布管理、集中分析 (7)4.1.2 多级管理 (8)4.2 系统配置功能 (8)4.3 策略管理 (8)4.3.1 扫描计划定制 (8)4.3.2 系统使用授权限制 (9)4.4 自定义显示功能 (10)4.4.1 自定义分类结构显示 (10)4.4.2 显示自定义窗口 (10)4.4.3 重点关注自定义 (10)4.5 扫描功能 (11)4.5.1 端口服务智能识别 (11)4.5.2 可识别的扫描对象 (12)4.5.3 扫描漏洞分类 (12)4.5.4 数据库扫描 (12)4.5.5 Web扫描 (12)4.6 漏洞信息规范 (12)4.7 报告功能 (13)4.7.1 趋势分析 (14)4.7.2 安全评估 (14)4.7.3 安全信息手册 (15)4.8 安全管理平台 (15)4.9 用户管理与审计 (16)4.10 系统升级能力 (17)5 扫描技术特色 (17)6 天镜产品型号组成 (17)1产品组成天镜分布式产品组成包含几个部分：z管理控制中心：负责添加、修改扫描引擎的属性，进行策略编辑和扫描任务制定和下发执行，完成漏洞库和扫描方法的升级，同时支持主、子控设置；z综合显示中心：实时显示扫描的结果信息。

云安全管理平台产品白皮书版本信息文档名称密级创建人云安全管理平台产品技术白皮书2.0.3V1.0公开云安全公司修订记录修订日期修订内容修订人2019.7新建，适用于云安全管理平台V2.0.3，文档版本2.0.3V1.0云安全公司版权声明：奇安信集团及其关联公司对其发行的或与合作伙伴共同发行的产品享有版权，本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程描述等内容，除另有特别注明外，所有版权均属奇安信集团及其关联公司所有；受各国版权法及国际版权公约的保护。

对于上述版权内容，任何个人、机构未经奇安信集团或其关联公司的书面授权许可，不得以任何方式复制或引用本文的任何片断；超越合理使用范畴、并未经上述公司书面许可的使用行为，奇安信集团或其关联公司均保留追究法律责任的权利。

免责声明奇安信集团，是专注于为政府、军队、企业，教育、金融等机构和组织提供企业级网络安全技术、产品和服务的网络安全公司，包括但不限于以下主体：北京奇安信科技有限公司、网神信息技术（北京）股份有限公司、北京网康科技有限公司，以及上述主体直接或者间接控制的法律实体。

奇安信集团在此特别声明，对如下事宜不承担任何法律责任：1、本产品经过详细的测试，但不能保证与所有的软硬件系统或产品完全兼容，不能保证本产品完全没有错误。

如果出现不兼容或错误的情况，用户可拨打技术支持电话将情况报告奇安信集团，获得技术支持。

2、在适用法律允许的最大范围内，对因使用或不能使用本产品所产生的损害及风险，包括但不限于直接或间接的个人损害、商业盈利的丧失、贸易中断、商业信息的丢失或任何其它经济损失，奇安信集团不承担任何责任。

3、对于因电信系统或互联网网络故障、计算机故障或病毒、信息损坏或丢失、计算机系统问题或其它任何不可抗力原因而产生的损失，奇安信集团不承担任何责任，但将尽力减少因此而给用户造成的损失和影响。

4、对于用户违反本协议规定，给奇安信集团造成损害的，奇安信集团将有权采取包括但不限于中断使用许可、停止提供服务、限制使用、法律追究等措施。

内网安全管理系统产品白皮书Leadsec-ISM V1.1全面的终端运维管理终端主机可进行全面的安全保护、监控、审计和管理，功能不分模块销售。

实名制的管理与审计管理策略根据人员身份制定，做到策略到人，控制到人，审计到人，解决一机多人、一人多机的难题。

三级联防的准入控制体系系统采用端点控制、局域接入控制、边界网关控制三级接入控制体系，可最大程度上适应用户网络环境，提供方便的准入管理。

数据防泄漏数据信息及信息交换做到可加密、可控制、可审计。

文件保密设置简单，移动存储加密保护，可保证私人专用要求。

全面协同防护协同防火墙产品可实现终端的准入控制协同IDS/IPS产品可实现入侵行为的阻断协同SAG产品可实现远程用户的准入控制和身份的策略管理地址：北京海淀区中关村南大街6号中电信息大厦8层（100086） 公司电话：010-********服务热线：400-810-7766(7X24小时) 2目录一、内网安全管理系统背景 (5)1.1内网安全概述 (6)1.2内网安全管理的重要性 (8)1.2.1内网威胁 (8)1.2.2如何加强内网安全 (10)二、内网安全管理系统概述 (12)三、内网安全管理系统架构 (13)四、内网安全管理系统功能 (17)4.1产品九大功能 (17)4.1.1准入控制管理 (17)4.1.2数据防泄漏 (18)4.1.3实名制管理 (21)4.1.4终端维护管理 (22)4.1.5补丁分发管理 (25)4.1.6终端资产管理 (26)4.1.7上网行为管理 (27)4.1.8报警控制台 (28)4.1.9产品协同防护 (29)五、内网安全管理系统功效 (30)5.1整体功效 (30)5.2文件监控与审计 (30)5.2.1杜绝文件操作不留痕迹现象 (30)5.2.2杜绝信息拷贝的无管理状态 (31)5.3网络行政监管 (31)5.3.1屏幕监控 (31)地址：北京海淀区中关村南大街6号中电信息大厦8层（100086） 公司电话：010-********服务热线：400-810-7766(7X24小时) 35.3.2应用程序报告及应用程序日志 (31)5.3.3浏览网站报告及浏览网站日志 (32)5.3.4应用程序禁用 (32)5.4网络辅助管理 (32)5.4.1远程桌面管理 (32)5.4.2远程控制 (32)5.4.3远端计算机事件日志管理 (32)5.4.4远程计算机管理 (33)5.4.5信息化资产管理 (33)5.5网络客户机安全维护 (33)5.5.1补丁分发管理 (33)5.5.2网络漏洞扫描 (34)5.6安全接入管理 (34)5.6.1非法主机网络阻断 (34)5.6.2网络白名单策略管理 (35)5.6.3IP和MAC绑定管理 (35)5.7策略管理 (35)5.7.1基于策略优先级的用户行为管理功能 (35)5.7.2基于网络场景的管理策略 (35)5.7.3基于用户帐户的策略管理 (36)5.7.4基于在线、离线状态的策略管理 (36)5.7.5基于分组的策略管理 (37)六、内网安全管理系统特色 (38)6.1全网产品协同防护 (38)6.2定向访问控制 (38)6.3实名制管理 (38)6.4报警控制台 (39)6.5流量管理 (39)地址：北京海淀区中关村南大街6号中电信息大厦8层（100086） 公司电话：010-********服务热线：400-810-7766(7X24小时) 46.6ARP病毒免疫 (39)6.7可扩展的高端应用接口 (40)6.8补丁统一分发 (40)6.9管理策略强制执行 (40)6.10多元化的管理模式 (40)6.11虚拟安全域管理 (41)6.12策略的优先级管理 (41)七、实施部署 (42)7.1产品部署示意图 (42)7.1.1典型部署 (42)7.1.2多级部署 (43)7.2部署位置 (43)7.3部署方式 (44)地址：北京海淀区中关村南大街6号中电信息大厦8层（100086） 公司电话：010-********服务热线：400-810-7766(7X24小时) 5一、内网安全管理系统背景信息技术发展到今天，人们的工作和生活已经越来越依赖于计算机和网络；然而，自网络诞生的那一天起，它就存在着一个重大隐患——安全问题，人们在享受着网络所带来的便捷同时，不得不承受着网络安全问题带来的隐痛。

关于本文档海康威视网络安全白皮书，旨在概览海康威视针对网络产品安全问题所进行的探索与实践，以开放透明的视角让广大用户了解海康威视的安全能力。

海康威视可能对本文档进行更新，最新版将发布于公司官网（/cn/）。

版权声明© 2018 杭州海康威视数字技术股份有限公司。

版权所有。

未经海康威视事先书面许可，任何公司或个人不得以任何方式复制、翻译、修改、分发本文档中的任何内容。

商标声明、为海康威视的商标或注册商标。

本文档中提及的其他公司名称或商标由其各自所有者拥有。

责任声明在法律允许的最大范围内，本文档所述内容均“按照现状”提供，海康威视不提供任何明示或默示保证，包括但不限于适合特定目的、商用性等保证。

海康威视不保证本文档内容的精确性，并保留对其进行纠正或修改的权利，不另行通知。

任何使用或信赖本文档的内容而做出的决定及因此造成的后果由行为人自行承担。

如本文档中所述内容与适用的法律相冲突，则以法律规定为准。

修订记录首次发布于2018年1月关于海康威视海康威视是以视频为核心的物联网解决方案提供商，为全球提供安防、可视化管理和大数据服务。

海康威视全球员工超25000人（截止2017年6月30日），其中研发人员超10000人，研发投入占企业销售额的7-8%，绝对数额占据业内前茅。

海康威视是博士后科研工作站单位，在国内设有五大研发中心，在海外建立蒙特利尔研发中心和硅谷研究所，海康威视拥有视音频编解码、视频图像处理、视音频数据存储等核心技术，及云计算、大数据、深度学习等前瞻技术，针对公安、交通、司法、文教卫、金融、能源和智能楼宇等众多行业提供专业的细分产品、IVM智能可视化管理解决方案和大数据服务。

在视频监控行业之外，海康威视基于视频技术，将业务延伸到智能家居、工业自动化和汽车电子等行业，为持续发展打开新的空间。

海康威视在中国大陆35个城市设立分公司及售后服务站，在境外，设立香港、荷兰、南非、印度、迪拜、美国、加拿大、巴西、俄罗斯、新加坡、意大利、澳大利亚、法国、西班牙、波兰、英国、韩国、哥伦比亚、哈萨克斯坦和土耳其等33个分支机构。

安防管理平台技术白皮书及说明书两篇篇一：安防集成综合监控管理平台技术白皮书1 平台概述1.1 背景需求如今，人们已不再满足于仅仅建设独立的视频监控、门禁控制和防范报警系统，如何将这些系统完美地融合在一起，发挥出1+1+1>3的作用，成为新的关注点。

由此，构建一个开放式安防集成平台的呼声也日益增大。

安防系统的集成一直是业主、集成商、工程商追求的一个目标，安防的集成可以给用户带来很多的好处，也体现了安防信息时代的一个大趋势；同时也是一个项目难点，因为安防系统主要包括防盗报警系统、闭路电视监控系统、门禁系统，同时可能根据项目需要还要与其它子系统进行集成，各个子系统，可能来自不同的厂家，相互之间的接口、协议互联互通等问题都是安防集成的障碍。

安防集成平台可以简单地理解为，在同一平台上对各子系统进行集中的控制和管理，集成平台根据各子系统产生的信息变化情况，让各子系统作出相应协调动作，从而达到信息的交换、共享和处理等等。

但是目前由于技术和市场的原因，目前视频监控、门禁控制和报警主机系统大多采用专有的通讯协议实现内部的数据传递，软件架构采用封闭的模型，对外缺乏符合国际标准的第三方接口，造成了各子系统之间无法实现信息的共享更谈不上联动、互操作了。

统一的安防集成管理平台是完善安全管理机制的必然选择，客观上要求各子系统在集成平台全局性管理指导下，有条不紊的执行各种复杂的指令动作，充分发挥1+1+1>3的系统集成合力。

1.2 设计思路IPS安防集成平台是我公司研发人员历经多年探索和钻研，结合大量的成功安防工程案例开发完成的大型安防集成综合管理平台，秉持了传统与技术进步兼容并蓄的理念，按照信息化理论和软件工程的思想，充分深入用户的需求，系统不仅架构完整、易于组建大型安防集成系统，能够接入市场上主流的DVR/DVS/IP Camera、门禁主机与报警主机。

IPS安防集成平台将GIS技术引入安防管理领域。

地理信息系统可将视频监控、门禁控制、防盗/入侵/周界报警等各种信息与地理空间位置很好地结合在一起，图文并茂、简捷直观。

绿盟WEB应用防火墙（主机版）产品白皮书© 2022 绿盟科技■ 版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，并受到有关产权及版权法保护。

任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

■ 商标信息绿盟科技、NSFOCUS是绿盟科技的商标。

目录一. 前言 (1)二. 网页篡改现状 (1)2.1概述 (1)2.2攻击手段 (2)2.2.1 Mass SQL注入攻击造成网页篡改/挂马 (3)三. 网页篡改防护解决思路 (4)3.1WEB应用/技术发展 (4)3.2早期的网页篡改防护技术 (5)3.3解决思路 (6)四. 绿盟WEB应用防火墙（主机版）解决方案 (6)4.1概述 (6)4.2功能组件 (7)4.2.2 集中管理服务器 (7)4.2.3 网站服务器代理 (8)4.2.4 发布服务器代理 (8)4.2.5 备份服务器代理 (8)4.3产品核心技术 (8)4.3.1 WEB应用攻击防护技术 (8)4.3.2 网页挂马检测 (9)4.3.3 核心内嵌技术 (10)4.3.4 文件保护技术 (10)4.3.5 自动同步技术 (10)4.4跨平台支持 (10)4.5自身安全性 (11)4.6强大的告警功能 (11)4.7丰富的审计功能 (11)4.8NSFOCUS WAF部署 (12)五. 结论 (12)插图索引图 2.1 MASS SQL INJECTION攻击原理 (4)图 3.1 WEB应用/技术发展 (5)图 4.1 NSFOCUS WAF组件 (7)图 4.2 NSFOCUS WAF典型部署 (12)一. 前言随着网络与信息技术的发展，尤其是互联网的广泛普及和应用，如电子政务、电子商务、网络办公、网络媒体以及虚拟社区的出现，正深刻影响人们生活与工作的方式。

与此同时，信息安全的重要性也在不断提升。

冰之眼网络入侵检测系统产品白皮书©7/14/2021绿盟科技■声明本文中出现的任何文字表达、文档格式、插图、照片、方法、过程等内容，除另有特别注明，均属绿盟科技所有，并受到有关产权及法保护。

任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

■商标信息绿盟科技、NSFOCUS、冰之眼是绿盟科技的商标。

目录一. 前言1二. 为什么需要入侵检测系统12.1防火墙的局限22.2入侵检测系统的特点2三. 如何评价入侵检测系统3四. 绿盟科技网络入侵检测系统34.1产品功能34.2体系架构44.3产品特点54.3.1 基于对象的虚拟系统54.3.2 准确细致的检测技术64.3.3 强大丰富的管理能力64.3.4 可扩展的入侵保护84.3.5 高可靠的自身平安性94.4解决方案94.4.1 小型网络之精细管理方案94.4.2 中型网络之集中管理方案104.4.3 大型网络之分级管理方案11五. 结论12一. 前言随着信息化技术的深入和互联网的迅速开展，整个世界正在迅速地融为一体，计算机网络已经成为国家的经济根底和命脉。

众多的企业、组织与政府部门都在组建和开展自己的网络，并连接到Internet上，以充分共享、利用网络的信息和资源。

计算机网络在经济和生活的各个领域正在迅速普及，其地位越来越重要，整个社会对网络的依赖程度越来越大。

伴随着网络的开展，也产生了各种各样的问题，其中平安问题尤为突出。

现在，网络中蠕虫、病毒及垃圾肆意泛滥，木马无孔不入，DDOS攻击越来越常见，网络资源滥用〔包括P2P下载、IM即时通讯、网络游戏、在线视频等行为〕，黑客攻击行为几乎每时每刻都在发生，所有这些极大的困扰着包括企业、组织、政府部门与机构等在内的各种网络用户。

能否及时发现网络黑客的入侵、有效的检测出网络中的异常行为，成为所有网络用户面临的一个重要问题。

二. 为什么需要入侵检测系统随着网络的普及，网络平安事件的发生离我们越来越近，我们可能遇到如下情况：◆公司的网络系统被入侵了，造成效劳器瘫痪，但不知道什么时候被入侵的；◆客户抱怨公司的网页无法正常翻开，检查发现是效劳器被攻击了，但不知道遭受何种方式的攻击；◆公司XX资料被窃，给公司造成巨大的损失，但是检查不出是谁干的；◆公司网络瘫痪，检查出遭受蠕虫病毒攻击，但是不知道如何去除和防止再次遭到攻击；◆公司网络被入侵了，平安事件调查中缺乏证据。

Inspur NOS安全技术白皮书文档版本V1.0发布日期2022-12-16版权所有© 2022浪潮电子信息产业股份有限公司。

保留一切权利。

未经本公司事先书面许可，任何单位和个人不得以任何形式复制、传播本手册的部分或全部内容。

商标说明Inspur浪潮、Inspur、浪潮、Inspur NOS是浪潮集团有限公司的注册商标。

本手册中提及的其他所有商标或注册商标，由各自的所有人拥有。

技术支持技术服务电话：400-860-0011地址：中国济南市浪潮路1036号浪潮电子信息产业股份有限公司邮箱：***************邮编：250101前言文档用途本文档阐述了浪潮交换机产品Inspur NOS的安全能力及技术原理。

注意由于产品版本升级或其他原因，本文档内容会不定期进行更新。

除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

读者对象本文档提供给以下相关人员使用：●产品经理●运维工程师●售前工程师●LMT及售后工程师变更记录目录1概述 (1)2缩写和术语 (2)3威胁与挑战 (3)4安全架构 (4)5安全设计 (5)5.1账号安全 (5)5.2权限控制 (5)5.3访问控制 (6)5.4安全协议 (6)5.5数据保护 (7)5.6安全加固 (7)5.7日志审计 (7)5.8转发面安全防护 (7)5.9控制面安全防护 (8)6安全准测和策略 (9)6.1版本安全维护 (9)6.2加强账号和权限管理 (10)6.3TACACS+服务授权 (10)6.4加固系统安全 (12)6.4.1关闭不使用的服务和端口 (12)6.4.2废弃不安全通道 (12)6.4.3善用安全配置 (12)6.5关注数据安全 (13)6.6保障网络隔离 (14)6.7基于安全域访问控制 (14)6.8攻击防护 (15)6.9可靠性保护 (16)7安全发布 (18)随着开放网络的快速发展，白盒交换机做为一种软硬件解耦的开放网络设备，应用越来越广泛。

绿盟WEB应用防火墙产品白皮书© 2014 绿盟科技■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。

任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录一. 概述 (1)二. 关键特性 (1)2.1客户资产视角C USTOMER A SSET P ERSPECTIVE (1)2.2优化的向导系统O PTIMIZED C ONFIGURATION W IZARD (2)2.3细致高效的规则体系M ULTIPLE R ULE-B ASED I NSPECTIONS (3)2.4辅助PCI-DSS合规PCI-DSS C OMPLIANCE R EPORT (4)2.5多层次的防护机制L AYERED S ECURITY M ECHANISM (4)2.6智能自学习白名单E FFECTIVE A NTO-LEARNING AND W HITE L IST (5)2.7透明部署，即插即用T RANSPARENT，D ROP-IN D EPLOYMENT (6)2.8智能补丁应急响应E MERGENCY R ESPONSE THROUGH C LOUD S ECURITY S ERVICE (7)三. 典型部署 (7)四. 典型应用 (9)4.1网站访问控制 (9)4.2网页篡改在线防护 (9)4.3敏感信息泄漏防护 (9)4.4DD O S联合防护 (10)4.5虚拟站点防护 (11)五. 附录 (11)5.1业务资产定义 (11)5.2规则体系定义 (12)插图索引图表1 WAF的资产视角 (2)图表2向导体系过滤站点规则 (3)图表3资产分层及其防护层级 (5)图表4 防护体系 (6)图表5智能补丁 (7)图表6 WAF的典型部署 (8)图表7绿盟WAF和绿盟ADS的DDoS联合防护方案 (10)图表8站点的定义 (11)图表9主机名的定义 (11)图表10 URI及相关字段的定义 (12)一. 概述绿盟科技Web应用防火墙（简称WAF）将客户资产作为组织Web安全解决方案的依据，用黑、白名单机制相结合的完整防护体系，通过精细的配置将多种Web安全检测方法连结成一套完整（COMPLETE）的解决方案，并整合成熟的DDoS攻击抵御机制，能够在IPV4、IPV6及二者混合环境中抵御OWASP Top 10等各类Web安全威胁和拒绝服务攻击，并以较低的运营成本为各种机构提供透明在线部署、路由旁路部署和云部署，能方便快捷的部署上线，保卫您的Web应用免遭当前和未来的安全威胁。

安全启明星辰产品解决方案1. 引言安全问题是当前互联网发展中的一个重要议题，特别是对于企业而言，数据安全和信息安全是至关重要的。

为了应对各种安全威胁和保护企业的核心资产，安全启明星辰提供了一套全面的安全产品解决方案。

2. 安全启明星辰产品概览安全启明星辰旨在为企业提供多层次、多角度的安全防护手段，确保企业网络的安全与稳定。

以下是安全启明星辰产品的概览：2.1 星辰防火墙星辰防火墙是安全启明星辰提供的核心产品之一，具有以下特点： - 支持高性能的网络流量处理，确保网络的流畅运行； - 提供丰富的安全策略设置，包括访问控制、入侵检测、攻击防御等； - 支持多种VPN技术，提供远程接入安全保障； - 提供实时流量监控和日志分析功能，帮助用户追溯和分析安全事件。

2.2 星辰云安全平台星辰云安全平台是基于云计算架构构建的安全解决方案，具有以下特点： - 支持多租户架构，适用于大中型企业的安全需求； - 集成多种安全功能，包括云端防火墙、入侵检测和防御、漏洞扫描等； - 提供强大的日志管理和事件响应功能，帮助用户发现和应对安全威胁； - 支持与第三方系统集成，实现安全信息的共享和交换。

2.3 星辰终端安全管理星辰终端安全管理是面向企业终端设备的安全解决方案，具有以下特点： - 提供全面的终端安全管理功能，包括杀毒、防火墙、漏洞扫描等； - 支持集中管理和远程配置，提高安全管理效率； - 支持设备远程锁定、数据删除等功能，保护企业机密信息的安全； - 提供实时监测和告警功能，及时发现和应对安全事件。

2.4 星辰安全培训与咨询服务除了产品解决方案，安全启明星辰还提供安全培训与咨询服务，帮助企业构建健全的安全体系，并提供定期的安全风险评估与应急响应服务。

3. 安全启明星辰产品优势安全启明星辰的产品解决方案具有以下优势：3.1 专业性和可靠性安全启明星辰拥有多年的安全研发经验和深厚的技术实力，其产品在行业内被广泛认可和信赖，具有较高的专业性和可靠性。

天清入侵防御系统产品白皮书————————————————————————————————作者：————————————————————————————————日期：第1章概述1.1 关于天清天清入侵防御系统（Intrusion Prevention System）是启明星辰信息技术有限公司自行研制开发的入侵防御类网络安全产品。

天清入侵防御系统围绕深层防御、精确阻断这个核心，通过对网络中深层攻击行为进行准确的分析判断，在判定为攻击行为后立即予以阻断，主动而有效的保护网络的安全。

启明星辰坚信，不了解黑客技术的最新发展，就谈不上对黑客入侵的有效防范。

为了了解黑客活动的前沿状况，把握黑客技术的动态发展，深化对黑客行为的本质分析，预防黑客的突然袭击并以最快速度判断黑客的最新攻击手段，启明星辰专门建立了积极防御实验室(V-AD-LAB)，通过持续不断地研究、实践和积累，逐渐建立起一系列数据、信息和知识库作为公司产品、解决方案和专业服务的技术支撑，如攻击特征库、系统漏洞库、系统补丁库和IP定位数据库等。

启明星辰在入侵检测技术领域的成就受到了国家权威部门的肯定和认可，成为国家计算机网络应急技术处理协调中心(CNCERT)和CNCVE的承建单位.启明星辰对国内外最新的网络系统安全漏洞与应用软件漏洞一直进行着最及时和最紧密的跟踪，对重大安全问题成立专项研究小组进行技术攻关，并将发现的漏洞及时呈报给国际CVE（Common Vulnerabilities and Exposures）组织。

目前已有多个漏洞的命名被国际CVE 组织采用，获得了该组织机构唯一的标识号。

天清入侵防御系统强大的功能、简单的操作、友好的用户界面、全面的技术支持解除了您的后顾之忧，是您值得信赖的网络安全产品。

1.2 入侵防御首先我们来探讨一个问题：入侵攻击行为包括哪些？什么样的行为可以称为入侵攻击行为？我们来看对入侵行为的标准定义：入侵是指在非授权的情况下，试图存取信息、处理信息或破坏系统以使系统不可靠，不可用的故意行为。

产品说明书今天的网络变得越来越复杂，部分原因是物联网设备 (IoT) 的迅速采用，而这些设备通常很难检测和管理。

为了利用移动和物联网的运营效率，许多组织正在部署各种各样的设备，而没有充分理解安全性和合规性的含义。

Aruba ClearPass Device Insight 提供了整个网络的全方位可见性，具有所有连接设备的上下文。

上下文信息包括关键属性，例如设备类型、供应商、硬件版本和行为，包括访问的应用程序和资源。

这使组织能够创建更精细的访问策略，降低安全风险，并满足关键的法规遵从性要求。

作为 Aruba 行业领先的 ClearPass 访问控制解决方案系列的一部分，ClearPass Device Insight 提供了做出更明智的网络访问控制决策所需的可见性。

与 ClearPass Policy Manager 的集成提供了全面的策略控制，并可实时执行。

这使得 ClearPass Device Insight 提供的可见性具有可操作性，并提高了连接到网络的所有设备的整体安全性和合规性水平。

全方位可见性ClearPass Device Insight 解决了最多样化网络环境中最严格的可见性要求。

这包括能够广泛而准确地识别连接到网络的所有无线和有线设备，从传统的 IT 管理设备到以前未检测到的物联网设备，例如摄像机、医疗设备和其他难以检测的端点。

ARUBA CLEARPASS DEVICE INSIGHT网络连接设备的全方位可见性和识别ClearPass Device Insight 利用一组独特的主动（NMAP、WMI、SNMP、SSH）和被动（SPAN、DHCP、NetFlow/ S-flow/IPFIX）发现方法，以便发现和分类更广泛的设备类型。

这些功能通过使用深度数据包检查得到进一步增强，深度数据包检测提供了额外的上下文和行为信息，可以进一步识别连接到网络的难以检测的设备。

丰富的上下文和行为智能通过利用数据收集和深度包检查技术，ClearPass Device Insight 能够分析任何设备的特征和行为模式，并提取每个设备的特定属性。

河北移动案例案例背景中国移动通信集团河北有限公司（简称河北移动），作为2013年中国移动集团安全域流量监控系统试点重要省份之一，经过充分的调研和分析，结合厂商的规模、研发实力和安全服务能力，最终选择北京启明星辰安全技术有限公司（简称启明星辰）作为试点系统的供应商，选择启明星辰的“FlowEye”产品作为安全域流量监控系统项目的产品。

案例建设方案基于河北移动的现状，启明星辰的信息安全专家和河北移动网络部用户一起，根据河北移动安全域的划分情况，针对安全防护要求和集团试点技术规范要求，选择了数据网管这个大系统进行试点建设，对数据网管的外联出口和MDCN出口的流量进行采集，计划对数据网管安全域内部各个安全子域间的互联关系进行监控和梳理；计划对包含短信，彩信，彩铃、GPRS等系统与数据网管之间的互联关系进行监控和梳理。

一方面在规范的指引下进行系统建设，另一方面对规范内容进行验证并总结经验和建议。

（1）实施范围河北移动从试点阶段，就选择了从大网的角度来考察启明星辰产品的实际效果。

通过在“数据网管的外联出口和MDCN出口”部署流量采集引擎，从而检验产品对数据网管内部各安全子域间的互联监控和梳理、对短信，彩信，彩铃、GPRS等系统与数据网管之间的互联监控和梳理是否有效和准确。

另一方面，也检验了产品的性能，为全网安全域流量的梳理摸索出经验和数据。

（2）设备数量河北移动试点阶段部署了2台流量采集引擎和1台数据分析中心，通过实际检验，启明星辰的产品成功支撑了河北移动现网的大流量数据。

案例效果（1）实施功能效果⏹通过启明星辰FlowEye产品的实施，成功的将安全域可视化，将河北移动的公网域、DMZ域、私网域可视化，将域间的互联关系达到了可视化，将域间的互联事件属于黑白名单进行了可视化示例图1 示例图2⏹通过启明星辰FlowEye产品的实施，成功的将各安全域、系统间的设备之间的互联关系进行了梳理，按照业务设计原则进行了黑白名单的梳理，同时，成功的发现了若干没有按照业务设计原则进行实施的业务问题，若干没有按照安全管理规定进行实施的违规业务通过启明星辰FlowEye产品的实施，成功的发现若干未对系统进行加固就匆忙上线的系统，这些系统存在若干高风险端口被境外设备访问的高安全风险问题。

信息安全应急处置工具箱产品白皮书目录应急处置工具箱•需求分析•产品简介•功能特点•技术优势•典型应用•用户价值需求分析近十年互联网科技高速发展的同时，国内外各类网络安全事件频发。

国家高速重视，公安部、中央网信办、中央机构编制委员会办公室、工业和信息化部相继发布一系列政策、法规、通知。

为切实做好网络安全事件的防范和应急处置工作，进一步提高预防和控制网络安全突发事件的能力水平，减轻或消除突发事件的危害和影响，确保国家网络与信息安全。

启明星辰根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联合网络安全保护管理办法》等有关法规文件精神，并结合公司多年应急响应各类网络安全突发事件实践经验，特推出天镜网络安全事件应急处置工具箱产品。

产品简介产品简介天镜网络安全事件应急处置工具箱（简称：天镜应急工具箱），是一款通过安全策略快速定位问题，融合多种网络安全应急处置能力与实践经验，针对网络攻击、网络入侵、恶意程序等导致的网络安全突发事件，实现快速响应，并尽可能将事件造成的损失和影响降到最低的应急处置设备。

天镜应急工具箱旨在制定安全应急响应计划、记录和跟踪安全事件、抑制和根除安全隐患、为安全事件的解决提供指导和建议，是安全防护人员应急响应安全事件的“瑞士军刀”。

能够帮助用户进行现场应急处置：安全加固、电子取证、数据恢复、恶意代码检查和日常安全检测工作，从容面对网络安全事件的巨大挑战。

功能特点•安全应急知识库丰富集各种网络安全应急响应知识和静态漏洞库于一身，为应急处置过程提供知识支撑。

•安全应急工具库使用集各类异常检测、电子取证、信息收集、数据操作、安全加固等应急实用工具60多款，灵活应对处置现场各类技术难题。

•安全应急处置模型专业采用国际通用应急响应模型“准备、检测、抑制、根除、恢复、跟踪”，专业指导应急处置每一环节。

•安全应急处置报告详细详细记录应急处置过程中的每一个细节，方便同类事件参考和学习。

版权声明本文档的相关权力归成都三零盛安信息系统有限公司所有。

白皮书中的任何部分未经本公司许可，不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。

© 2008 成都三零盛安信息系统有限公司All rights reserved.信息反馈您的意见和建议请反馈至：成都三零盛安信息系统有限公司Chengdu 30san Information System Co., Ltd总部：成都市高新区创业路8号邮编：610041电话：800-886-3030 (028)85168307E-mail：support-cd@免责条款根据相关法律的许可范围，本文档不承担任何形式的担保，在任何情况下，本公司都不会对最终用户或任何第三方因使用本文档造成的任何直接或间接损失或损坏负责。

出版时间本文档由成都三零盛安信息系统有限公司2008年9月制作出版, 本资料将定期更新。

目录前言 (1)产品概况 (1)主要功能 (2)网络入侵检测 (2)网络行为审计 (3)网络流量监控 (5)全网预警 (5)警报联动 (5)技术优势 (6)高性能核心抓包机制 (6)灵活的自定义规则 (7)二次事件的准确挖掘 (8)警报关联显示模式 (8)全面丰富的警报分析报表 (8)独特的检测参数设置模式 (9)攻击数据内容恢复 (9)数据合并能力 (10)方便实用的警报忽略功能 (10)独具特色的镜像控制台功能 (10)大规模分布式部署与管理能力 (10)完备的自身安全性 (11)部署方式 (12)技术指标 (13)前言信息化社会中，随着网络应用的深入，网络攻击手段也层出不穷，网络所面临的安全威胁日益严重。

由于关系到个人隐私、商业机密甚至于国家利益，网络安全问题受到了空前的关注。

在此背景下，众多门类的网络安全产品如雨后春笋般纷涌出现。

其中，入侵行为检测、网络协议审计、数据库审计、流量分析等各类产品从不同侧重点对网络安全加以保障，业已成为政府与企事业单位在构建网络系统时必须考虑的重要手段。

启明星辰天玥网络安全审计系统（MA系列V6.0.1.0）产品白皮书（版本2.0）北京启明星辰信息技术股份有限公司2010年6月版权声明北京启明星辰信息技术股份有限公司©2010版权所有，保留一切权利。

未经北京启明星辰信息技术股份有限公司（以下简称启明星辰）书面同意不得擅自传播、复制、泄露或复写本文档的全部或部分内容。

本文档中的信息归启明星辰所有并受中国知识产权法和国际公约的保护。

信息更新本文档及与之相关的计算机软件程序（以下称为文档）用于为最终用户提供信息，并且随时可由启明星辰更改或撤回。

发布日期：2010年6月适用范围：《天玥网络安全审计系统V6.0》（MA系列）信息反馈如有任何意见或建议，请按如下联系方式反馈给启明星辰。

邮政地址：北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦邮政编码：100094电话：86-10-82779088 传真：86-10-82779000E-mail：cpyj@免责条款根据适用法律的许可范围，启明星辰按“原样”提供本文档而不承担任何形式的担保，包括（但不限于）任何隐含的适销性、特殊目的适用性或无侵害性。

在任何情况下，启明星辰都不会对最终用户或任何第三方因使用本文档造成的任何直接或间接损失或损坏负责，即使启明星辰明确得知这些损失或损坏，这些损失或损坏包括（但不限于）利润损失、业务中断、信誉或数据丢失。

本文档中所有引用产品的使用及本文档均受最终用户可适用的特许协议约束。

目录1产品概述 (3)1.1产品简介 (3)1.2适用场景 (3)1.3核心价值 (4)1.4能够从天玥MA系列获益的用户 (4)2用户需求（面临的问题） (5)2.1内部人员操作安全隐患 (5)2.2第三方维护人员安全隐患 (5)2.3系统共享账号安全隐患 (5)2.4最高权限用户安全隐患 (5)3产品原理 (6)4产品主要功能 (6)4.1功能流程图 (7)4.2SOX合规性解决方案 (8)4.3集中管理 (9)4.3.1单点登陆（Single Sign-On） (9)4.3.2用户身份管理 (9)4.3.3部门以及权限管理 (9)4.3.4设备以及资源管理 (10)4.3.5资源账号管理 (11)4.4访问控制以及权限控制 (11)4.5操作审计 (12)4.6日志报表 (13)4.7高级功能 (13)4.8跨平台支持 (15)4.9快速部署 (16)4.10天玥IV RDP模块 (17)4.10.1RDP代理简介 (17)4.10.2工作原理 (17)4.10.3体系结构 (18)5客户收益 (19)5.1.1满足合规性要求，顺利通过IT审计 (19)5.1.2有效减少核心信息资产的破坏和泄漏 (19)5.1.3有效控制运维操作风险，便于事后追查原因与界定责任 (19)5.1.4有效控制业务运行风险，直观掌握业务系统运行的安全状况 (19)5.1.5实现独立审计与三权分立，完善IT内控机制 (19)5.1.6一体化、低成本、可操作的4A解决方案 (20)6部署与使用 (21)6.1单台部署 (21)6.2分布式部署 (22)7典型用户 (23)1 产品概述1.1 产品简介天玥网络安全审计系统（MA业务堡垒机系列），以下简称天玥（MA），是启明星辰综合内控系列产品之一。