天玥网络安全审计系统用户手册

天玥网络安全审计系统V6.0 用户使用手册

启明星辰信息技术有限公司

2005-03

版权声明

北京启明星辰信息技术有限公司?2005版权所有，保留一切权力。

本文档中的信息归北京启明星辰信息技术有限公司所有并受中国知识产权法和国际公约保护。本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明,未经启明星辰书面同意不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。

“天玥”为北京启明星辰信息技术有限公司的注册商标，不得仿冒。

信息更新

本文档及其相关计算机软件程序（以下文中称为“文档”）仅用于为最终用户提供信息，并且随时可由北京启明星辰信息技术有限公司（下称“启明星辰”）更改或撤回。

声明

本手册的内容随时更改，恕不另行通知。

启明星辰公司对本手册的内容不提供任何担保，本手册如有谬误，启明星辰公司概不负责，对于使用本手册造成的与其有关的直接或间接损失，亦概不负责。

出版时间

本文档由北京启明星辰信息技术有限公司2005年03月制作出版。

启明星辰信息技术有限公司 1

地址：北京市海淀区中关村南大街12号188信箱

电话：010-********

传真：010-********

目录

目录 (2)

第一章 天玥网络安全审计系统简介 (4)

1.1 系统概述 (4)

1.2 系统功能 (4)

1.3 系统特征 (6)

第二章 系统组成和运行环境 (7)

2.1 系统组成说明 (7)

2.1.1 审计引擎 (7)

2.1.2 数据中心 (7)

2.1.3 审计中心 (8)

2.2 系统运行环境要求 (8)

2.2.1 审计引擎 (8)

2.2.2 数据中心 (8)

2.2.3 审计中心 (9)

2.3 典型应用 (9)

第三章 系统安装和操作 (11)

3.1 天玥网络安全审计系统安装说明 (11)

3.1.1 审计引擎的配置 (11)

3.1.1.1超级终端安装及设置 (11)

3.1.1.2 审计引擎串口配置 (15)

3.1.1.3 审计引擎串口应用配置 (17)

3.1.1.4重点审计内网IP地址范围配置 (18)

3.1.2 数据中心的安装 (19)

3.1.3 审计中心的安装 (20)

3.2 天玥网络安全审计系统操作指南 (20)

3.2.1 第一步：数据中心配置 (20)

3.2.2 第二步：审计配置管理 (27)

3.2.3 第三步：审计中心操作 (31)

3.3 维护天玥网络安全审计系统 (43)

启明星辰信息技术有限公司 2

地址：北京市海淀区中关村南大街12号188信箱

电话：010-********

传真：010-********

3.3.1 用户管理 (43)

3.3.2 数据库维护 (49)

3.4 天玥网络安全审计系统卸载 (50)

第四章 应用实例 (51)

第五章 使用FAQ (54)

启明星辰信息技术有限公司 3

地址：北京市海淀区中关村南大街12号188信箱

电话：010-********

传真：010-********

第一章 天玥网络安全审计系统简介

1.1 系统概述

天玥网络安全审计系统是启明星辰信息技术有限公司自主开发的网络安全审计产品，天玥网络安全审计系统基于网络数据流的高速俘获、协议分析、会话重组技术，通过旁路侦听的方式对网络数据流进行采集、分析和识别，实时监视网络系统的运行状态，记录网络事件，发现安全隐患，并对网络活动的相关信息进行存储、分析和审计回放。

来自网络的安全威胁日益增多，很多威胁并不是以网络入侵的形式进行的，这些威胁事件多数是来自于内部合法用户的误操作或恶意操作，为了有效监控这类操作，需要专门的网络安全审计系统。网络安全审计通常要求专门细致的协议分析技术，完整的跟踪能力，数据查询和过程回放功能，仅靠系统自身的日志功能不能满足这些网络安全事件的审计要求。在这样的安全审计需求下，启明星辰凭借在入侵检测领域多年的技术积累和研发经验，推出了适用于百兆和千兆网络环境的天玥网络安全审计系统。

天玥网络安全审计系统主要用于网络安全事件的事后查询和取证工作，可以部署在用户网络环境中具有关键资产的网段，审计对象通常为重要的网络应用内容，如网页浏览、收发邮件、存取文件等；天玥网络安全审计系统可以对普通网络用户的上网行为进行审计。

天玥网络安全审计系统强大而完善的功能、简单的操作、友好的用户界面、全面的技术支持解除了您的后顾之忧，是您值得信赖的网络安全产品。

1.2 系统功能

1．典型网络行为审计

系统提供对HTTP、SMTP、POP3、TELNET、FTP等典型网络协议应用进行审计，记录网络事件的源IP地址、源主机名、目的IP地址、目的端口、协议类型、连接时间以及详细的连接过程数据，并可以对用户行为进行完整回放，有效监控用户的上网行为和常用网络操作。2．文件共享审计

天玥网络安全审计系统能够对Windows网络环境中基于Netbios的文件共享服务进行审计，实时监控并记录网络用户对网络资源的文件共享操作。

3．数据库操作审计

启明星辰信息技术有限公司 4

地址：北京市海淀区中关村南大街12号188信箱

电话：010-********

传真：010-********

天玥网络安全审计系统能够实时监控并记录网络用户对数据库服务器的读、写、查询、添加、修改以及删除等操作，并可以对数据库操作命令进行回放。目前天玥网络安全审计系统支持对SQL Server数据库服务器的操作审计。

4．非法网站跟踪审计或内容含有关键字审计

对某些非法网站，可以配置非法网站跟踪审计，实时记录网络用户对非法网站的访问操作。对内容含有关键字的审计，用户可以自定义关键字。在网络中存在关键字的内容，则系统会实时记录访问的操作和内容。

5．流量审计

系统提供网络流量审计功能，实时监控网络中的TCP、UDP、ICMP和IGMP协议字节流量和IP包流量。

6．事件回放

系统提供网络事件回放功能，用户可以对网络事件原始内容进行完整回放，直观地查看网络用户的上网行为及相关操作，例如对于HTTP协议事件可以回放用户所浏览的网页内容，对SMTP和POP3协议事件可以回放邮件的完整内容，包括邮件主题、内容以及附件。 7．数据查询

系统提供历史审计数据查询功能，操作者可以在权限范围内对历史审计数据进行查询、浏览、报表制作等操作。

8．审计报表

系统提供审计报表生成功能，用户可以将历史审计数据的查询结果导出为不同形式的审计报表，向相关主管部门进行汇报。

9．自定义黑名单审计

天玥网络安全审计系统为用户提供了黑名单设置功能，用户可以根据自己网络的实际状况，重点审计主机列入黑名单。天玥网络安全审计系统对黑名单上的主机进行重点监控，并在审计中心实时显示黑名单主机的活动情况。

10．用户管理

为了保证网络审计数据的安全性和隐私性，天玥网络安全审计系统采用多用户分权限管理，用户只能在其权限内对网络数据进行审计和相关操作。用户管理同时还可以对每一种权限的使用人员的操作进行审计记录，可以由用户管理员进行查看，具有一定的自身安全审计功能。

启明星辰信息技术有限公司 5

地址：北京市海淀区中关村南大街12号188信箱

电话：010-********

传真：010-********

1.3 系统特征

1．分布式集中管理体系

天玥网络安全审计系统在设计上采用审计引擎、数据中心和审计中心三层结构，每个数据中心以一对多的方式连接管理多个网络审计引擎，审计中心和数据中心可以多对多进行审计控制显示。天玥网络安全审计系统的三层结构设计满足了用户在大型网络环境中分布式部署网络安全审计系统的需求，同时审计中心控制台可以灵活安装在网络的不同位置，配合天玥网络安全审计系统的用户管理程序，满足不同级别的用户对审计数据的管理查询。 2．全面的网络审计能力

天玥网络安全审计系统提供对常见网络应用的审计功能，同时为用户提供了多种自定义审计内容设置，如制定黑名单等，方便了用户根据自身的网络结构和网络应用情况定制审计对象和审计内容。

3．高度的自主安全保障

天玥网络安全审计系统在设计上充分考虑到了自身的安全保障问题，在网络审计引擎端采用基于Linux内核定制的安全操作系统，并用无IP网口对被审计网络进行旁路侦听。同时网络审计引擎与数据中心进行互相认证，数据传输加密。在审计中心采用多用户分权限管理机制，既保证特定用户只能对其权限内的审计内容进行审计操作，同时用户管理程序具有自审计功能，对于每一种权限的使用人员的操作都有详细的审计记录。

启明星辰信息技术有限公司 6

地址：北京市海淀区中关村南大街12号188信箱

电话：010-********

传真：010-********

启明星辰信息技术有限公司 7 地址：北京市海淀区中关村南大街12号188信箱 电话：010-******** 传真：010-********

第二章 系统组成和运行环境

2.1 系统组成说明

天玥网络安全审计系统包括三部分：审计引擎、数据中心和审计中心，天玥网络安全审

计系统连接示意图如图所示：

图天玥网络安全审计系统连接示意图

2.1.1 审计引擎

天玥网络安全审计系统的网络审计引擎采用旁路侦听的方式，动态监视网络上流过的所有数据包。对网络中的常见网络应用如：HTTP、SMTP，POP3、FTP、TELNET、NetBios 文件共享、数据库操作等，以及用户自定义应用进行检测，并将事件上报数据中心，由数据中心将数据存入审计数据库并上报审计中心。审计引擎适用的检测网络类型为TCP/IP 网络。

2.1.2 数据中心

天玥网络安全审计系统数据中心集中管理审计引擎和审计数据，数据中心连接审计引擎，接收审计引擎上报的网络事件数据，将事件概要信息实时存入数据库，并定时将引擎端

的事件详细信息同步到数据库。数据中心负责响应审计中心的连接请求，向审计中心发送审计引擎上报的网络事件。通过天玥网络安全审计系统数据中心可以进行审计引擎管理、数据库配置和管理以及审计配置管理和审计配置下发。为了保证审计数据的安全性和隐私性，天玥网络安全审计系统数据中心采用多用户分权限管理模式，只有授权用户才能对数据中心进行配置和管理。用户管理同时还可以对每一种权限的使用人员的操作进行审计记录，可以由用户管理员进行查看，具有一定的自身安全审计功能。

2.1.3 审计中心

天玥网络安全审计系统审计中心是一个高性能的数据显示和查询系统，审计中心连接天玥网络安全审计系统数据中心进行工作，一方面实时显示审计引擎上报的网络数据以及网络流量，并根据用户要求进行协议重组实现事件回放功能；另一方面可以根据用户要求查询审计数据库中的历史网络数据，并根据用户需求生成审计报表。天玥网络安全审计系统审计中心采用和天玥网络安全审计系统数据中心相同的多用户分权限管理模式，只有授权用户才能进入审计中心进行网络安全审计工作。

2.2 系统运行环境要求

为了保证天玥网络安全审计系统V6.0的稳定运行和网络审计数据的安全性，建议用户将天玥网络安全审计系统数据中心安装在专门的服务器上，不要和其他应用程序装在一起。如果您的机器有非常充足的系统资源，可以和其他的应用装在一起。天玥网络安全审计系统审计中心可以根据用户需求安装在网络的合适位置， 也可以安装在天玥网络安全审计系统数据中心专用服务器上。

2.2.1 审计引擎

网络接口：100/1000M具有监听/镜像功能的网络端口

2.2.2 数据中心

操作系统 Windows 2000（中文版），SP4以上

启明星辰信息技术有限公司8

地址：北京市海淀区中关村南大街12号188信箱

电话：010-********

传真：010-********

数据库 MSDE、SQL Server2000，SP4以上

处理器 Pentium 4 2GMHz或更高

内存 不低于256M，建议512M以上

空闲磁盘空间 不低于100G

其他设备 光盘驱动器、网卡、键盘、鼠标、显示器 以上配置不包括对存放日志的MS SQL Server数据库服务器的要求。MS SQL Server数据库服务器的配置要求请参考微软公司提供的基本要求和建议配置。

2.2.3 审计中心

操作系统 Windows 2000（中文版），SP4以上

处理器 Pentium 4 1GMHz以上处理器或其他兼容处理

器

内存 256M以上，建议512M

硬盘 硬盘空间/剩余空间10G以上

网卡 Intel 100M或其他100M以太网卡

其他设备 光盘驱动器、网卡、键盘、鼠标、显示器

2.3 典型应用

天玥网络安全审计系统典型应用如下图所示，图中红色连接为审计引擎和天玥网络安全审计系统数据中心之间的通讯连接，绿色连接为天玥网络安全审计系统审计中心和天玥网络安全审计系统数据中心之间的连接。

启明星辰信息技术有限公司9

地址：北京市海淀区中关村南大街12号188信箱

电话：010-********

传真：010-********

启明星辰信息技术有限公司 10 地址：北京市海淀区中关村南大街12号188信箱 电话：010-******** 传真：010-********

天玥网络安全审计系统典型应用示意图

第三章 系统安装和操作

3.1 天玥网络安全审计系统安装说明

3.1.1 审计引擎的配置

3.1.1.1超级终端安装及设置

1、超级终端安装

“超级终端”是Windows 9x、Windows NT及Win2k下的程序，是Microsoft操作系统中的一个常用组件。它能够通过串行或并行端口接受或发送ASCII码信息。“超级终端”具有反卷功能，此功能使用户能够看到已经滚动出屏幕的已接收文本。

方式1：

在安装Windows 95/98/2000/NT/XP操作系统时，选中“通讯”选项中“超级终端”选项。

方式2：

在安装Windows 95/98/2000/NT/XP操作系统时没有安装“超级终端”，可以通过Windows 95/98/2000/NT/XP的“控制面板”的“添加/删除程序”项安装“超级终端”。

2、启动超级终端(以windows2003server为例)

3、启动画面

启明星辰信息技术有限公司11

地址：北京市海淀区中关村南大街12号188信箱

电话：010-********

传真：010-********

新建连接名称—输入相应名称tianyue：

选择COM1口还是选择COM2口，应根据通讯线所连接到控制中心PC的COM口号来确定。建议连到COM1口。

启明星辰信息技术有限公司12

地址：北京市海淀区中关村南大街12号188信箱

电话：010-********

传真：010-********

4、端口设置

每秒位数（B）项选择“9600”，其它速率无效；资料位（D）项选择“8”；奇偶校验（P）项选择“无”；停止位“S”项选择“1”；数据流控制（F）项选择“硬件”。

5、超级终端设置

启明星辰信息技术有限公司13

地址：北京市海淀区中关村南大街12号188信箱

电话：010-********

传真：010-********

选择“文件”菜单中的“属性”选项，显示如下图所示画面。如果你不想看滚动出屏幕的信息，请把“反卷缓冲区行数（B）”设为“0”。

按“设置”按扭，显示如下屏幕。

按“ASCII 码设置（A）...”按扭，显示如下屏幕。

启明星辰信息技术有限公司14

地址：北京市海淀区中关村南大街12号188信箱

电话：010-********

传真：010-********

3.1.1.2 审计引擎串口配置

天玥审计引擎利用超级终端进行基本设置，配置好超级终端以后，回车进入探测引擎启动画面：

启明星辰信息技术有限公司15

地址：北京市海淀区中关村南大街12号188信箱

电话：010-********

传真：010-********

输入正确密码进入(出厂设置为1234567)。

启明星辰信息技术有限公司16 地址：北京市海淀区中关村南大街12号188信箱

电话：010-********

传真：010-********

3.1.1.3 审计引擎串口应用配置

出厂第一次安装应该配置网络引擎ip地址，如果要跨网段控制还要更改网关路由配置。

在超级终端上显示的控制界面分成2个部分：配置选项和退出选项。每个选项下有不同的子项。在“VENUS：”提示符后面输入1－7的数字，可以进入对引擎的各个配置选项。以下依次对这些子项进行介绍：

【功能1】：显示当前设置

显示当前配置信息，包括通讯网口的IP地址、子网掩码、路由配置等信息

【功能2】：更改IP地址/子网掩码

更改通讯网口的IP地址及子网掩码。新探测引擎的IP地址及子网掩码请向网络管理员申请。

【功能3】：更改路由配置

可以添加和更改原有路由配制。

启明星辰信息技术有限公司17

地址：北京市海淀区中关村南大街12号188信箱

电话：010-********

传真：010-********

输入路由总条数(如输入0 则表示删除当前所有路由)：（在每次输入后，会自动覆盖原来路由信息但是，如果设置错误可以直接按“q”退出原来的路由信息不会改变）。

输入目的子网网络地址：如果想要与192.168.5.网段的主机进行通讯则输入192.168.5.0。

输入目的子网掩码地址：255.255.255.0。

输入网关IP地址：192.168.1.1(与要设定路由的网口地址在同一个网段内)。

依此类推，加入所要的路由信息。

【功能4】：更改串口登录口令

可更改网络引擎密码。网络引擎密码数为7位任意数字或字符。新密码输入多于7位时，取前7位作为新密码；新密码输入少于7位时，新密码无效，旧密码仍然有效。步骤如下：z先输入旧密码

z输入新密码

z确认新密码

注：①新网络引擎出厂时密码统一为“1234567”，请注意更改。

②密码设置不要过于简单，以免被盗用。

【功能5】：打开或关闭SSH登录

打开SSH登录到引擎，或者关闭SSH到引擎的登录。

【功能6】：重起引擎操作系统

可以将引擎重新启动。

【功能7】：退出串口配置程序

退出串口配置程序；如果不退出，用户可以通过串口无需登录而直接操作串口配置

程序。

注：超级终端不能用窗口右上脚的关闭按钮直接关闭，因为这样只关闭了“超级终端”的界面，而超级终端与探测引擎的通讯并未关闭。因此，每次更改探测引擎的基本参数后，必须用选项“7”退出。在操作过程中出现错误操作时如需取消当前输入操作请按。如果需要帮助请按。

3.1.1.4重点审计内网IP地址范围配置

1．远程登录审计引擎

登录天玥审计引擎。有关登录情况，请咨询启明星辰公司技术人员。

启明星辰信息技术有限公司18

地址：北京市海淀区中关村南大街12号188信箱

电话：010-********

传真：010-********

2．配置文件flow_rule.conf

编辑安装目录下\audit\conf文件夹中的文件flow_rule.conf，将ip_range的值（等号后的值）设置为被检测网段。（命令：vi flow_rule.conf）

#flow_rule defination file

[\all_flow\define\]

event_id = 00000002

type = all

ip_range = 192.168.0.0-192.168.254.255

# 设置为被检测网段，支持A类网段IP地址，此设置为系统IP段流量的统计显示

[\ip_flow\define]

event_id = 00000004

type = ip_flow

ip_range = 192.168.1.0-192.168.1.255

解释说明：每个事件id按顺序增加，所对应的是一个被检测Ｃ类网段。此设置是重点显示客户关注的每个IP段的事件和流量，在内网IP列表中显示的IP地址的数据流量统计。在配置监控网络段时只支持C类网段，也就是支持10.1.3.0-10.1.3.255，不支持用户配置的0.0.0.0-255.255.255.255。用户要配置10.1.0.0-10.1.255.255的网络监控，则必须配置255条IP地址网络段

3．配置完毕后需存盘（命令：：wq），并重新启动系统（命令：reboot），上述配置才可生效

3.1.2 数据中心的安装

1.准备工作

数据中心的运行需要SQL Server数据库支持.安装数据中心之前，请确认系统中是否安装了SQL Server数据库。如果没有，可以安装光盘中自带的MSDE,或者用户自行安装SQL Server 企业版. 安装MSDE，只要点击MSDE文件下的setup.exe就可以。安装完需重启机器。SQL Server企业颁布的安装过程请参考安装手册.

2.数据中心的安装

以上准备工作完成之后,进入天玥数据中心的安装.将天玥网络安全审计系统 6.0安装

启明星辰信息技术有限公司19

地址：北京市海淀区中关村南大街12号188信箱

电话：010-********

传真：010-********