1、 網(wǎng)神SecFox安全審計系統(tǒng)（業(yè)務(wù)審計型）快速指南Legendsec SecFox-NBA （Business Audit）User s ManualVersion 2.9+ Revision 1網(wǎng)神信息技術(shù)（北京）股份有限公司 網(wǎng)神SecFox-NBA快速指南版權(quán)說明本文的內(nèi)容是網(wǎng)神SecFox安全審計系統(tǒng)（業(yè)務(wù)審計型）的用戶手冊。文中的資料、說明等相關(guān)內(nèi)容歸 網(wǎng)神信息技術(shù)（北京）股份有限公司 所有。本文中的任何部分未經(jīng) 網(wǎng)神信息技術(shù)（北京）股份有限公司（以下簡稱“網(wǎng)神”）許可，不得轉(zhuǎn)印、影印或復(fù)印、發(fā)行。2006-2015 版權(quán)所有 網(wǎng)神信息技術(shù)（北京）股份有限公司商標(biāo)聲明本手冊中所談及

2、的網(wǎng)神產(chǎn)品的名稱是網(wǎng)神信息技術(shù)（北京）股份有限公司的商標(biāo)。手冊中涉及的其他公司的注冊商標(biāo)屬各商標(biāo)注冊人所有，恕不逐一列明。聯(lián)系信息北京海淀區(qū)上地開拓路 七號先鋒大廈二段 一 層 2Section 1F，Xianfeng Building， No.7 Kaituo Road , Shangdi Information Industry Base, Haidian District , Beijing客服熱線：400-610-8220傳真（Fax）郵編（Post Code）：100085 安全源于管理 管理驅(qū)動安全第16頁 共16頁目 錄目

3、錄3概述41. 部署方式41.1. 端口鏡像41.2. 無端口鏡像52. 設(shè)備安裝62.1. 安裝注意事項62.2. 檢查安裝場所73.2.1 溫度/濕度要求73.2.2 潔凈度要求73.2.3 抗干擾要求82.3. 安裝82.4. 加電啟動83. 管理主機(jī)83.1. 管理主機(jī)要求83.2. 配置網(wǎng)絡(luò)可達(dá)94. IP地址配置95. 基礎(chǔ)數(shù)據(jù)配置95.1. 策略配置105.2. 審計對象105.3. 關(guān)聯(lián)規(guī)則116. 鏡像口配置參考116.1. 華為交換機(jī)116.1.1. 6506/6503/6506R116.1.2. 3500/3026F/3050116.2. 思科交換機(jī)126.2.1. 40

4、00/6000126.2.2. 2950/3550126.2.3. 2900/3500126.2.4. 190012概述SecFox-NBA系統(tǒng)缺省支持三種管理方式： 通過web方式管理 通過SSH工具管理 通過console方式管理其中，經(jīng)過的方式，能讓管理員通過其它PC機(jī)器進(jìn)行web管理，系統(tǒng)所有功能點均可以配置，為推薦的管理方式。通過、的配置，可完成的部分功能，主要用于設(shè)備的調(diào)試。1. 部署方式使用交換機(jī)（Switch）作為網(wǎng)絡(luò)中心交換設(shè)備的網(wǎng)絡(luò)，交換機(jī)（Switch）工作在OSI模型的鏈路層，交換機(jī)各端口之間能有效分隔沖突域，由交換機(jī)連接的網(wǎng)絡(luò)會將整個網(wǎng)絡(luò)分隔成很多小的網(wǎng)域。1.1.

5、端口鏡像大多數(shù)三層或者三層以上的交換機(jī)以及部分二層交換機(jī)都具有端口鏡像功能，當(dāng)網(wǎng)絡(luò)中使用的交換機(jī)具備此功能時，可在交換機(jī)上配置好鏡像端口，將SecFox-NBA的監(jiān)聽口和交換機(jī)的鏡像口相連，即可以捕獲網(wǎng)絡(luò)中所有的通訊數(shù)據(jù)。說明：v 紅色端口為“監(jiān)聽口”，藍(lán)色端口為“鏡像口”，將交換機(jī)的鏡像口與NBA系統(tǒng)的數(shù)據(jù)采集口相連v 將NBA的管理口連接到網(wǎng)絡(luò)中，能夠被其它主機(jī)通過瀏覽器訪問即可。圖中客戶端即為任意具有IE7+瀏覽器的主機(jī)1.2. 無端口鏡像一些簡易的交換機(jī)不具有鏡像功能，不能通過端口鏡像的方式來監(jiān)控網(wǎng)絡(luò)狀況，那么可以通過采用集線器（Hub）或者分接器（Tap）的方法進(jìn)行部署。說明：v 將

6、分接器串聯(lián)到交換機(jī)的向外通路上，然后將NBA與分接器相連v 將NBA的管理口連接到網(wǎng)絡(luò)中，能夠被其它主機(jī)通過瀏覽器訪問即可,圖中客戶端即為任意具有IE7+瀏覽器的主機(jī)v 使用分接器時，成本高，需要安裝雙網(wǎng)卡；性能高，網(wǎng)絡(luò)流量大時，也不會影響網(wǎng)絡(luò)性能2. 設(shè)備安裝2.1. 安裝注意事項本章列出各條安全使用注意事項，請仔細(xì)閱讀并在使用SecFox-NBA過程中嚴(yán)格執(zhí)行。這將有助于您更安全地使用和維護(hù)本設(shè)備。 請您確認(rèn)使用的本設(shè)備采用220V交流電源，確認(rèn)工作電壓且務(wù)必使用三芯帶接地電源插頭和插座。良好地接地是您的網(wǎng)絡(luò)、安全設(shè)備正常工作的主要保證 為了使本設(shè)備正常工作，請不要將其放置于高溫或者潮濕的

7、地方 請不要將本設(shè)備放在不穩(wěn)定的機(jī)架或者工作臺上，避免因為跌落對本設(shè)備造成嚴(yán)重?fù)p害 請保持室內(nèi)通風(fēng)良好并保持本設(shè)備的通氣孔暢通 為了減少電擊的危險，在設(shè)備工作時不要打開外殼，即使在不帶電的情況下，也不要隨意打開本設(shè)備的機(jī)箱 清潔本設(shè)備前，請先將設(shè)備電源插頭拔出。不要使用濕潤的布料擦拭設(shè)備，同時禁止使用液體清洗本設(shè)備2.2. 檢查安裝場所SecFox-NBA必須在室內(nèi)使用，無論您將本設(shè)備安裝在機(jī)柜內(nèi)還是直接放在工作臺上，都需要保證以下條件： 確認(rèn)本設(shè)備的入風(fēng)口以及通風(fēng)口處留有空間，以利于本設(shè)備機(jī)箱散熱 確認(rèn)機(jī)柜或工作臺自身有良好的通風(fēng)散熱系統(tǒng) 確認(rèn)機(jī)柜或工作臺足夠牢固，能夠支撐本設(shè)備以及其安裝附

8、件的重量 確認(rèn)機(jī)柜或工作臺的良好接地為保證本設(shè)備正常工作和延長使用壽命，安裝場所還應(yīng)該滿足下列要求3.2.1 溫度/濕度要求為保證SecFox-NBA正常工作和使用壽命，機(jī)房內(nèi)需要維持一定的溫度和濕度。若機(jī)房內(nèi)長期濕度過高，易造成絕緣材料絕緣不良甚至漏電，以及發(fā)生材料機(jī)械性能變化、金屬部件銹蝕等現(xiàn)象；若相對濕度過低，絕緣墊片會干縮而引起緊固螺絲松動，同時在干燥的氣候環(huán)境下，易產(chǎn)生靜電，危害本設(shè)備的電路。溫度過高則危害更大，長期高溫將加速絕緣材料的老化過程，使本設(shè)備的可靠性大大降低，嚴(yán)重影響其使用壽命。3.2.2 潔凈度要求灰塵對設(shè)備的運行安全是一大危害。室內(nèi)灰塵落在機(jī)體上，可以造成靜電吸附，使

9、金屬接插件或金屬接點接觸不良。尤其是在室內(nèi)相對濕度偏低的情況下，更易造成靜電吸附，不但會影響設(shè)備壽命，而且容易造成通信故障。除灰塵外，機(jī)房內(nèi)應(yīng)防止有害氣體（如SO 、H S、 NH 等）的入侵。這些有害氣體會加速金屬的腐蝕和某些部件的老化過程。同時本設(shè)備機(jī)房對空氣中所含的鹽、酸、硫等化合物也有嚴(yán)格要求。3.2.3 抗干擾要求SecFox-NBA在使用中可能收到來自系統(tǒng)外部的干擾，這些干擾通過電容/電感耦合，電磁波輻射，公共阻抗（包括接地系統(tǒng)）耦合和導(dǎo)線（電源線、信號線和輸出線等）的傳導(dǎo)方式對設(shè)備產(chǎn)生影響。為此應(yīng)注意以下條件： 交流供電系統(tǒng)為TN系統(tǒng)，交流電源插座應(yīng)采用有保護(hù)地線（PE）的單相三

10、線電源插座，使設(shè)備上的濾波電路能有效的濾除電網(wǎng)干擾 本設(shè)備的工作地點遠(yuǎn)離強(qiáng)功率無線電發(fā)射臺、雷達(dá)發(fā)射臺、高頻大電流設(shè)備 電纜要求在室內(nèi)走線，禁止戶外走線，以防止因雷電產(chǎn)生的過電壓、過電流將設(shè)備信號口損壞2.3. 安裝SecFox-NBA可以放置在桌子上，也可以放在標(biāo)準(zhǔn)的機(jī)架上。安放在桌面上不需要特別的操作，安放在機(jī)架上時需要自備螺絲刀，使用螺釘將設(shè)備固定在機(jī)架上。2.4. 加電啟動本設(shè)備啟動步驟如下： 將設(shè)備安裝在機(jī)架上或者穩(wěn)定的一個水平桌面或者工作臺上 連接電源線 通過網(wǎng)線將設(shè)備與管理主機(jī)相連 接通電源，按下設(shè)備上的電源開關(guān)，設(shè)備加電啟動 設(shè)備信號指示燈亮，表示設(shè)備開始啟動當(dāng)使用SSH命令行

11、、web瀏覽器或者console口可以登錄到本設(shè)備，則表示啟動成功如果設(shè)備未正常啟動，請按以上步驟進(jìn)行檢查其，如果仍然無法解決問題，請聯(lián)系供應(yīng)商相關(guān)技術(shù)支持人員。3. 管理主機(jī)3.1. 管理主機(jī)要求管理主機(jī)必須具備以下條件：具有windows 7/8或以上任意一種操作系統(tǒng)具有IE8+瀏覽器、Chrome瀏覽器、火狐瀏覽器，屏幕顯示設(shè)置為1024768或者使用SSH客戶端工具或者使用“超級終端”工具管理主機(jī)準(zhǔn)備好以后，通過網(wǎng)線將管理主機(jī)與SecFox-NBA的管理網(wǎng)口進(jìn)行連接（如果是自適應(yīng)網(wǎng)卡，網(wǎng)線可以使用直連線鏈接。如果不是自適應(yīng)網(wǎng)卡，可能需要使用交叉線進(jìn)行連接）。3.2. 配置網(wǎng)絡(luò)可達(dá)設(shè)備默

12、認(rèn)網(wǎng)絡(luò)屬性為：IP地址：掩 碼：網(wǎng) 關(guān)：52當(dāng)管理主機(jī)與設(shè)備通過網(wǎng)絡(luò)連接后，需要修改管理主機(jī)的IP地址為能與SecFox-NBA可達(dá)的網(wǎng)絡(luò)地址。4. IP地址配置在管理主機(jī)上運行IE8+瀏覽器、Chrome瀏覽器、火狐瀏覽器，在瀏覽器地址欄輸入：，使用sysadmin賬號登錄到設(shè)備，點擊【系統(tǒng)配置】-【管理口配置】，按照要求輸入新的網(wǎng)絡(luò)屬性即可。修改完成后，該網(wǎng)絡(luò)地址【https:/新ip】如果能夠訪問成功，則說明對設(shè)備的網(wǎng)絡(luò)屬性配置成功。5. 基礎(chǔ)數(shù)據(jù)配置初始化系統(tǒng)的目的，是為了讓SecFox-NBA能夠

13、適應(yīng)用戶的網(wǎng)絡(luò)環(huán)境和業(yè)務(wù)審計需求，配置對系統(tǒng)本身的訪問控制策略；另外，針對策略的符合性，告警的及時性，合規(guī)性報表等進(jìn)行策略設(shè)置，利于完善網(wǎng)絡(luò)行為的事前、事中、事后的審計。5.1. 策略配置是為實現(xiàn)業(yè)務(wù)審計目標(biāo)來制定的一系列行為步驟。是對網(wǎng)絡(luò)行為進(jìn)行審計的前提。只有符合策略的網(wǎng)絡(luò)行為才會被審計。由于網(wǎng)絡(luò)中，包含有很多類別的設(shè)備、軟件、應(yīng)用程序等，而用戶所需要保護(hù)的核心資產(chǎn)具體來說體現(xiàn)在數(shù)據(jù)庫的數(shù)據(jù)、文件服務(wù)器上的文件以及這些資產(chǎn)的宿主能夠被正常運行，能夠被正常訪問，并且這些訪問是合法和善意的。所以我們的策略就將網(wǎng)絡(luò)行為具體分為了對主機(jī)的訪問、對數(shù)據(jù)庫的訪問，以及訪問所使用的協(xié)議和所提供的服務(wù)上。

14、數(shù)據(jù)庫策略：針對數(shù)據(jù)庫的遠(yuǎn)程訪問行為v 支持種類：Oracle、MS Sql Server、Mysql、Sybase、DB2、Informix、達(dá)夢數(shù)據(jù)庫等v 關(guān)注內(nèi)容：n 用戶認(rèn)證：登錄、注銷n 庫表操作：創(chuàng)建、修改、刪除n 數(shù)據(jù)記錄：添加、更新、刪除、查詢n 用戶權(quán)限：授權(quán)、撤銷服務(wù)策略：針對服務(wù)的遠(yuǎn)程訪問行為v FTP：登錄、注銷、一般操作v HTTP：URL操作5.2. 審計對象包含有數(shù)據(jù)庫、服務(wù)類。是審計網(wǎng)絡(luò)行為的基礎(chǔ)對象，只有明確的核心資產(chǎn)，審計才有意義。當(dāng)明確添加需要審計的核心資產(chǎn)后，立刻就可以進(jìn)行如下的審計分析：v 事件統(tǒng)計v 行為分析v 會話分析v 統(tǒng)計報表v 事件查詢5.3

15、. 關(guān)聯(lián)規(guī)則是告警的基礎(chǔ)，該規(guī)則是通過多個事件，進(jìn)行綜合性分析并能夠及時響應(yīng)。一旦網(wǎng)絡(luò)行為符合規(guī)則指定的條件，將會產(chǎn)生如下響應(yīng)：v 郵件告警：通過郵件的方式給管理員發(fā)送告警信息v 短信告警：通過手機(jī)短信的方式給管理員發(fā)送告警信息v SNMP Trap：通過SNMP Trap的方式發(fā)送告警到第三方軟件或者設(shè)備中6. 鏡像口配置參考6.1. 華為交換機(jī)6.1.1. 6506/6503/6506R支持端口的進(jìn)出方向的流量鏡像：switchmirroring-group 1 inbound Ethernet4/0/1 mirrored-to Ethernet4/0/2switchmirroring-g

16、roup 1 outbound Ethernet4/0/1 mirrored-to Ethernet4/0/26.1.2. 3500/3026F/3050 基于流鏡像的數(shù)據(jù)流程，針對某些流進(jìn)行鏡像，每個連接都有兩個方向的數(shù)據(jù)流，對于交換機(jī)來說這兩個數(shù)據(jù)流是要分開鏡像的。l 老版本3026E基于流鏡像：switch(config)#access-list 100 matech-order auto switch(config)#access-list 100 permit ip any anyswitch(config)#mirrored-to ip-group 100 eth 0/1l 基于三

17、層流的鏡像定義一條擴(kuò)展訪問控制表：switchacl num 101switch-acl-adv-101rule 0 permit ip source 0 destination any(定義源地址為/32)switch-acl-adv-101rule 1 permit ip source any destination 0 (定義目的地址為/32)switchmirrored-to ip-group 101 interface e0/8（符合ACL規(guī)則的報文鏡像到E0/8端口）6.2. 思科交換機(jī)l 輸入enablel 輸入配置模式的密碼l 輸入“conf t” 進(jìn)入配置模式，端口鏡像功能就在此模式下配置。有些情況需要進(jìn)入端口模式才能配置（如2900，1900）則：v conf tv int 端口號例如：“int fa0/2”就是進(jìn)入端口配置模式，表示現(xiàn)在配置的是第二個端口6.2.1. 4000/6000例如設(shè)置源端口為6/17，目標(biāo)端口為6/19：set span 6/17 6/19 6.2.2. 2950/3550monitor session 1 source interface fastethernet 0/17 both /源端口mon