《网神SecFox安全审计系统(业务审计型)快速指南.doc》由会员分享,可在线阅读,更多相关《网神SecFox安全审计系统(业务审计型)快速指南.doc(16页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、-!网神SecFox安全审计系统(业务审计型)快速指南Legendsec SecFox-NBA (Business Audit)User s ManualVersion 2.9+ Revision 1网神信息技术(北京)股份有限公司-!版权说明本文的内容是网神SecFox安全审计系统(业务审计型)的用户手册。文中的资料、说明等相关内容归 网神信息技术(北京)股份有限公司 所有。本文中的任何部分未经 网神信息技术(北京)股份有限公司(以下简称“网神”)许可,不得转印、影印或复印、发行。2006-2015 版权所有 网神信息技术(北京)股份有限公司商标声明本手册中所谈及的网神产品的名称是网神信息技
2、术(北京)股份有限公司的商标。手册中涉及的其他公司的注册商标属各商标注册人所有,恕不逐一列明。联系信息北京海淀区上地开拓路 七号先锋大厦二段 一 层 2Section 1F,Xianfeng Building, No.7 Kaituo Road , Shangdi Information Industry Base, Haidian District , Beijing客服热线:400-610-8220 010-87002000 传真(Fax):010-62972896 邮编(Post Code):100085 目 录目 录3概述41. 部署方式41.1. 端口镜像41.2. 无端口镜像52.
3、 设备安装62.1. 安装注意事项62.2. 检查安装场所73.2.1 温度/湿度要求73.2.2 洁净度要求73.2.3 抗干扰要求82.3. 安装82.4. 加电启动83. 管理主机83.1. 管理主机要求83.2. 配置网络可达94. IP地址配置95. 基础数据配置95.1. 策略配置105.2. 审计对象105.3. 关联规则116. 镜像口配置参考116.1. 华为交换机116.1.1. 6506/6503/6506R116.1.2. 3500/3026F/3050116.2. 思科交换机126.2.1. 4000/6000126.2.2. 2950/3550126.2.3. 29
4、00/3500126.2.4. 190012概述SecFox-NBA系统缺省支持三种管理方式: 通过web方式管理 通过SSH工具管理 通过console方式管理其中,经过的方式,能让管理员通过其它PC机器进行web管理,系统所有功能点均可以配置,为推荐的管理方式。通过、的配置,可完成的部分功能,主要用于设备的调试。1. 部署方式使用交换机(Switch)作为网络中心交换设备的网络,交换机(Switch)工作在OSI模型的链路层,交换机各端口之间能有效分隔冲突域,由交换机连接的网络会将整个网络分隔成很多小的网域。1.1. 端口镜像大多数三层或者三层以上的交换机以及部分二层交换机都具有端口镜像功
5、能,当网络中使用的交换机具备此功能时,可在交换机上配置好镜像端口,将SecFox-NBA的监听口和交换机的镜像口相连,即可以捕获网络中所有的通讯数据。说明:v 红色端口为“监听口”,蓝色端口为“镜像口”,将交换机的镜像口与NBA系统的数据采集口相连v 将NBA的管理口连接到网络中,能够被其它主机通过浏览器访问即可。图中客户端即为任意具有IE7+浏览器的主机1.2. 无端口镜像一些简易的交换机不具有镜像功能,不能通过端口镜像的方式来监控网络状况,那么可以通过采用集线器(Hub)或者分接器(Tap)的方法进行部署。说明:v 将分接器串联到交换机的向外通路上,然后将NBA与分接器相连v 将NBA的管
6、理口连接到网络中,能够被其它主机通过浏览器访问即可,图中客户端即为任意具有IE7+浏览器的主机v 使用分接器时,成本高,需要安装双网卡;性能高,网络流量大时,也不会影响网络性能2. 设备安装2.1. 安装注意事项本章列出各条安全使用注意事项,请仔细阅读并在使用SecFox-NBA过程中严格执行。这将有助于您更安全地使用和维护本设备。 请您确认使用的本设备采用220V交流电源,确认工作电压且务必使用三芯带接地电源插头和插座。良好地接地是您的网络、安全设备正常工作的主要保证 为了使本设备正常工作,请不要将其放置于高温或者潮湿的地方 请不要将本设备放在不稳定的机架或者工作台上,避免因为跌落对本设备造
7、成严重损害 请保持室内通风良好并保持本设备的通气孔畅通 为了减少电击的危险,在设备工作时不要打开外壳,即使在不带电的情况下,也不要随意打开本设备的机箱 清洁本设备前,请先将设备电源插头拔出。不要使用湿润的布料擦拭设备,同时禁止使用液体清洗本设备2.2. 检查安装场所SecFox-NBA必须在室内使用,无论您将本设备安装在机柜内还是直接放在工作台上,都需要保证以下条件: 确认本设备的入风口以及通风口处留有空间,以利于本设备机箱散热 确认机柜或工作台自身有良好的通风散热系统 确认机柜或工作台足够牢固,能够支撑本设备以及其安装附件的重量 确认机柜或工作台的良好接地为保证本设备正常工作和延长使用寿命,
8、安装场所还应该满足下列要求3.2.1 温度/湿度要求为保证SecFox-NBA正常工作和使用寿命,机房内需要维持一定的温度和湿度。若机房内长期湿度过高,易造成绝缘材料绝缘不良甚至漏电,以及发生材料机械性能变化、金属部件锈蚀等现象;若相对湿度过低,绝缘垫片会干缩而引起紧固螺丝松动,同时在干燥的气候环境下,易产生静电,危害本设备的电路。温度过高则危害更大,长期高温将加速绝缘材料的老化过程,使本设备的可靠性大大降低,严重影响其使用寿命。3.2.2 洁净度要求灰尘对设备的运行安全是一大危害。室内灰尘落在机体上,可以造成静电吸附,使金属接插件或金属接点接触不良。尤其是在室内相对湿度偏低的情况下,更易造成
9、静电吸附,不但会影响设备寿命,而且容易造成通信故障。除灰尘外,机房内应防止有害气体(如SO 、H S、 NH 等)的入侵。这些有害气体会加速金属的腐蚀和某些部件的老化过程。同时本设备机房对空气中所含的盐、酸、硫等化合物也有严格要求。3.2.3 抗干扰要求SecFox-NBA在使用中可能收到来自系统外部的干扰,这些干扰通过电容/电感耦合,电磁波辐射,公共阻抗(包括接地系统)耦合和导线(电源线、信号线和输出线等)的传导方式对设备产生影响。为此应注意以下条件: 交流供电系统为TN系统,交流电源插座应采用有保护地线(PE)的单相三线电源插座,使设备上的滤波电路能有效的滤除电网干扰 本设备的工作地点远离
10、强功率无线电发射台、雷达发射台、高频大电流设备 电缆要求在室内走线,禁止户外走线,以防止因雷电产生的过电压、过电流将设备信号口损坏2.3. 安装SecFox-NBA可以放置在桌子上,也可以放在标准的机架上。安放在桌面上不需要特别的操作,安放在机架上时需要自备螺丝刀,使用螺钉将设备固定在机架上。2.4. 加电启动本设备启动步骤如下: 将设备安装在机架上或者稳定的一个水平桌面或者工作台上 连接电源线 通过网线将设备与管理主机相连 接通电源,按下设备上的电源开关,设备加电启动 设备信号指示灯亮,表示设备开始启动当使用SSH命令行、web浏览器或者console口可以登录到本设备,则表示启动成功如果设
11、备未正常启动,请按以上步骤进行检查其,如果仍然无法解决问题,请联系供应商相关技术支持人员。3. 管理主机3.1. 管理主机要求管理主机必须具备以下条件:具有windows 7/8或以上任意一种操作系统具有IE8+浏览器、Chrome浏览器、火狐浏览器,屏幕显示设置为1024768或者使用SSH客户端工具或者使用“超级终端”工具管理主机准备好以后,通过网线将管理主机与SecFox-NBA的管理网口进行连接(如果是自适应网卡,网线可以使用直连线链接。如果不是自适应网卡,可能需要使用交叉线进行连接)。3.2. 配置网络可达设备默认网络属性为:IP地址:10.0.0.1掩 码:255.255.0.0网
12、 关:10.70.10.252当管理主机与设备通过网络连接后,需要修改管理主机的IP地址为能与SecFox-NBA可达的网络地址。4. IP地址配置在管理主机上运行IE8+浏览器、Chrome浏览器、火狐浏览器,在浏览器地址栏输入:https:/10.0.0.1,使用sysadmin账号登录到设备,点击【系统配置】-【管理口配置】,按照要求输入新的网络属性即可。修改完成后,该网络地址【https:/新ip】如果能够访问成功,则说明对设备的网络属性配置成功。5. 基础数据配置初始化系统的目的,是为了让SecFox-NBA能够适应用户的网络环境和业务审计需求,配置对系统本身的访问控制策略;另外,针
13、对策略的符合性,告警的及时性,合规性报表等进行策略设置,利于完善网络行为的事前、事中、事后的审计。5.1. 策略配置是为实现业务审计目标来制定的一系列行为步骤。是对网络行为进行审计的前提。只有符合策略的网络行为才会被审计。由于网络中,包含有很多类别的设备、软件、应用程序等,而用户所需要保护的核心资产具体来说体现在数据库的数据、文件服务器上的文件以及这些资产的宿主能够被正常运行,能够被正常访问,并且这些访问是合法和善意的。所以我们的策略就将网络行为具体分为了对主机的访问、对数据库的访问,以及访问所使用的协议和所提供的服务上。数据库策略:针对数据库的远程访问行为v 支持种类:Oracle、MS S
14、ql Server、Mysql、Sybase、DB2、Informix、达梦数据库等v 关注内容:n 用户认证:登录、注销n 库表操作:创建、修改、删除n 数据记录:添加、更新、删除、查询n 用户权限:授权、撤销服务策略:针对服务的远程访问行为v FTP:登录、注销、一般操作v HTTP:URL操作5.2. 审计对象包含有数据库、服务类。是审计网络行为的基础对象,只有明确的核心资产,审计才有意义。当明确添加需要审计的核心资产后,立刻就可以进行如下的审计分析:v 事件统计v 行为分析v 会话分析v 统计报表v 事件查询5.3. 关联规则是告警的基础,该规则是通过多个事件,进行综合性分析并能够及时
15、响应。一旦网络行为符合规则指定的条件,将会产生如下响应:v 邮件告警:通过邮件的方式给管理员发送告警信息v 短信告警:通过手机短信的方式给管理员发送告警信息v SNMP Trap:通过SNMP Trap的方式发送告警到第三方软件或者设备中6. 镜像口配置参考6.1. 华为交换机6.1.1. 6506/6503/6506R支持端口的进出方向的流量镜像:switchmirroring-group 1 inbound Ethernet4/0/1 mirrored-to Ethernet4/0/2switchmirroring-group 1 outbound Ethernet4/0/1 mirror
16、ed-to Ethernet4/0/26.1.2. 3500/3026F/3050 基于流镜像的数据流程,针对某些流进行镜像,每个连接都有两个方向的数据流,对于交换机来说这两个数据流是要分开镜像的。l 老版本3026E基于流镜像:switch(config)#access-list 100 matech-order auto switch(config)#access-list 100 permit ip any anyswitch(config)#mirrored-to ip-group 100 eth 0/1l 基于三层流的镜像定义一条扩展访问控制表:switchacl num 101sw
17、itch-acl-adv-101rule 0 permit ip source 1.1.1.1 0 destination any(定义源地址为1.1.1.1/32)switch-acl-adv-101rule 1 permit ip source any destination 1.1.1.1 0 (定义目的地址为1.1.1.1/32)switchmirrored-to ip-group 101 interface e0/8(符合ACL规则的报文镜像到E0/8端口)6.2. 思科交换机l 输入enablel 输入配置模式的密码l 输入“conf t” 进入配置模式,端口镜像功能就在此模式下配
18、置。有些情况需要进入端口模式才能配置(如2900,1900)则:v conf tv int 端口号例如:“int fa0/2”就是进入端口配置模式,表示现在配置的是第二个端口6.2.1. 4000/6000例如设置源端口为6/17,目标端口为6/19:set span 6/17 6/19 6.2.2. 2950/3550monitor session 1 source interface fastethernet 0/17 both /源端口monitor session 1 destination interface fastethernet 0/19 /目标端口6.2.3. 2900/3500interface fastethernet 0/19 /目标端口port monitor fastethernet 0/17 /源端口6.2.4. 1900使用菜单M monitoring:monitor-port monitored 0/17 /源端口monitor-port monitored 0/18 /源端口monitor-port port 0/19 /目标端口monitor-port /开始监控