东软防火墙日志审计系统培训资料

东软东软NetEye数据库审计系统技术白皮书NetEye数据库审计系统目录一、前言 (4)二、数据库安全建设的必要性 (5)2.1合规指导要求 (7)2.2提高安全水平 (9)2.3促进稳定运行 (10)2.4对传统安全体系进行强化 (11)2.4.1传统安全设备的薄弱点 (11)2.4.2数据库自身审计的局限性 (12)三、东软NETEYE数据库审计系统简介 (13)3.1主要应用目标 (13)3.2功能模块构成 (14)3.3产品架构设计 (15)3.4专门保护SQL应用 (17)四、主要功能模块 (17)4.1数据库审计与分析 (17)4.1.1详细日志记录 (18)4.1.2本地审计代理 (19)4.1.3双向审计能力 (19)4.1.4三层关联分析 (19)4.1.5自我审计机制 (20)4.1.6多级管理体系 (20)4.1.7全程监控跟踪 (20)4.1.8多种告警方式 (21)4.1.9敏感数据隐藏 (21)4.1.10非法攻击检测 (21)4.1.11旁路阻断防御 (21)4.1.12应用代理模式 (22)NetEye数据库审计系统4.1.13规则导入导出 (22)4.1.14攻击回放追溯 (22)4.1.15角色分权管理 (22)4.1.16数据报表与分析 (23)4.2数据库过滤防护 (24)4.2.1消除隐蔽通道 (24)4.2.2强力访问控制 (25)4.2.3数据库攻击防御 (26)4.2.4自动学习建模 (27)4.2.5保证口令强度 (27)4.3数据库状态监控 (27)4.3.1Oracle监控 (27)4.3.2SQL Server监控 (28)4.3.3MySql监控 (29)4.4数据库风险评估 (30)4.4.1口令检测 (30)4.4.2风险扫描 (31)4.4.3SQL注入 (31)4.4.4扫描策略管理 (31)4.5Web审计与关联分析 (32)4.5.1日志审计 (32)4.5.2三层关联 (32)4.5.3兼容CA (33)五、关键技术的采用 (33)5.1分析/检测扁平化 (33)5.2分析粒度超细化 (33)5.3软硬件平台化 (34)5.4检索/存储定制化 (34)六、产品部署模式 (34)6.1串联网关模式 (35)6.2旁路监听模式 (36)6.3软件探针模式 (37)七、产品技术特点 (38)NetEye数据库审计系统7.1数据库兼容性 (38)7.2产品简要特征 (39)7.3核心技术实力 (40)八、产品应用价值 (41)8.1贯彻合规要求 (41)8.2防止权限滥用 (42)8.3保护重要数据 (42)8.4独立审计机制 (43)8.5定制分析报表 (43)8.6促进管理监督 (43)NetEye数据库审计系统一、前言本文档适用于沈阳东软系统集成工程有限公司(以下简称东软公司、东软或者本公司)制造的NetEye数据库审计系统的销售工作，力图从产品技术角度提供必要的参考说明。

东软防火墙日志审计系统培训资料杭州亿普科技有限公司咨询服务部2008-08-15目录一、概述 (3)二、防火墙日志审计功能设置 (4)1、防火墙管理方式的利弊分析 (4)2、B/S管理方式的防火墙日志审计设置 (5)3、C/S管理方式的防火墙日志审计设置 (9)四、常见问题 (10)1、日志客户端无法登陆 (10)2、忘记了ROOT用户密码 (10)3、可以登陆日志客户端但无审计结果显示 (10)一、概述随着国家信息系统安全等级保护工作的逐步开展，会逐步要求我们把信息安全作为日常化的一些工作来开展，信息系统存在、应用着就会有信息安全的工作内容需要做，要求我们在网络技术及运维管理方面都要具备更高的层次。

这就要求我们日后的工作重点不在是如何高效率的搭建、维护一个网络平台和应用环境了，而是能清楚的了解网络里的访问流量是否正常、是否有威胁到我们信息完全的不当配置和漏洞，怎么样保证信息系统的安全运行成了体现我们价值的一个重要途径。

那么针对整个浙江火电的信息系统，对中心机房以及各项目的物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、信息安全管理要求方面都有一系列的工作需要开展，为了使这些工作能够顺利、有效的进行，第一步是提高我们管理人员的专业技术管理能力，所以从这次培训开始我们将会进行后续的信息安全相关的一些培训工作，如：信息安全等级保护的培训、信息安全等级保护的实施方法、网络安全、主机安全、数据安全、备份恢复等相关技术培训。

同时也希望大家能够引起足够的重视，通过本次的防火墙日志审计系统的培训工作来为我们日后逐步开展的信息安全工作来开一个好头。

我想通过我们做的这些工作对公司或对我们自己都是一个很好的锻炼机会，最后祝大家能够迅速的成长起来，来体现自己的能力和价值。

二、防火墙日志审计功能设置1、防火墙管理方式的利弊分析首先我们来了解一下我们使用的东软防火墙，平常我们在管理防火墙的时（如设置NAT、包过滤规则、MAC地址绑定规则等）是用厂家提供的GUI管理工具，然后我们使用的这种人性化管理工具又分为C/S结构和B/S结构的，那么两者之间有什么区别呢？大家都知道东软早期的防火墙是基于X86架构的，如早期的使用4016和4032的一些型号，其中使用B/S结构管理界面的这些是在内部运行有apache服务，这就占用了防火墙大量的资源，有时候因为apache服务的缘故会导致重新启动防火墙需要半个多小时或更长的时间，给我们制造设备故障的假象。

防火墙培训资料一、什么是防火墙防火墙（Firewall）是一种网络安全设备，可用于监控和控制网络流量，保护内部网络不受外部网络的未经授权的访问、攻击和恶意软件的侵害。

它通过策略控制功能、访问控制列表和网络地址转换等技术，实现对数据包的过滤、审计和管理，以实现网络安全的目标。

二、防火墙的工作原理1. 包过滤防火墙包过滤防火墙是最早发展的一种防火墙技术，它基于网络层和传输层的协议信息，对数据包进行过滤判断。

当数据包进入防火墙时，防火墙会根据其源IP地址、目标IP地址、传输层协议类型和端口号等参数进行检查，根据预设的安全策略决定是否允许通过或阻止。

2. 应用代理防火墙应用代理防火墙是在传输层和应用层之间建立代理，充当客户端和服务器之间的中间人。

它可以深度检查数据包的内容，根据应用层协议的特点进行精细化的过滤和认证控制，更加有效地保护网络安全。

3. 状态检测防火墙状态检测防火墙通过对网络连接的状态进行监控和分析，识别出正常连接和恶意连接。

它会建立一个连接表，记录所有网络连接的状态，包括已建立连接、正在建立连接和已关闭连接等。

当有新的连接请求进来时，防火墙会与连接表进行比较，识别出可疑连接，并根据访问控制策略进行相应的处理。

三、防火墙的功能1. 访问控制防火墙可以根据预设的策略，限制外部网络对内部网络的访问，只允许经过授权的合法连接通过，有效防止未经允许的外部网络攻击和非法入侵。

2. 流量监控和审计防火墙可对网络流量进行监控和审计，记录所有进出网络的数据包的信息，包括源IP地址、目标IP地址、传输协议等，这对于分析网络安全事件和应对网络威胁非常重要。

3. 地址转换防火墙可以通过网络地址转换（NAT）技术，将内部网络的私有IP 地址转换为公共IP地址，使内部网络可以通过共享少量公共IP地址实现访问互联网，同时起到隐藏内部网络的作用，增强网络安全性。

四、防火墙的部署策略1. 网络边界防火墙网络边界防火墙部署在内部网络与外部网络的边界位置，主要用于保护内部网络免受外部网络攻击和未经授权的访问。

精选全文完整版（可编辑修改）关于公司邮件安全管理，下列哪项描述不正确（）A:严禁盗用他人邮箱帐号或伪造他人邮箱地址发送邮件B:可以使用公司邮箱帐号在互联网上注册用户C:禁止运行可疑邮件的附件以免被植入恶意代码D:邮箱帐号和密码仅限本人使用，不得转借他人B负责公司信息安全管理的部门是（）A:人力资源部B:行政管理部C:信息安全管理中心D:法律部C信息安全工作依据的国际标准是（）A:CMMIB:ISO9001C:ISO27001D:ISO14001C关于移动设备管理，下列哪项描述不正确（）A:在工作场所内，未经允许禁止使用个人笔记本电脑:U盘等B:笔记本电脑等移动设备可以随意带出办公区域C:部门公用的移动设备在使用过程中由使用人负责保管D:带出办公区域的移动存储介质中的涉密信息必须进行适当加密B关于人员安全管理，下列哪项描述正确（）A:离职后保密协议就没有作用了B:离职后仍须对在职期间接触到的涉密信息履行保密义务C:离职后，我可以带走我做过项目的资料，因为这是我个人的劳动成果D:实习生在公司实习期间可以不遵守公司规定，等正式入职后再遵守B下列哪项不属于信息安全的三要素（）A:保密性B:完整性C:可用性D:价值性DISMS是指（）体系A:信息安全管理B:IT服务管理C:认证审核管理D:质量管理A公司的信息安全管理方针是（）A:管理风险，保障信息安全，提升经营持续性B:降低风险，保障信息安全，提升经营持续性C:以人为本，追求个人与社会的共同发展D:关爱生命，保护环境，服务社会，平衡发展A信息安全是（）A:防火墙:路由器等技术B:计算机的安全C:保持信息的保密性:完整性和可用性等D:网络的安全C关于设备管理，下列哪项描述不正确（）A:设备报废时须检查设备的存储硬件，彻底清除存储的涉密信息，确保信息不可恢复B:低耗类存储设备（如移动硬盘:U盘等）必须经部门审批后方可报废C:客户设备的报废必须与客户协商后再进行处理D:存有涉密信息的设备报废时，可以直接卖给废品收购公司D下列哪些资料属于项目开发中的涉密信息（）A:设计文档B:需求文档C:项目管理资料D:客户信息E:测试数据ABCDE关于网络使用，下列哪些行为不正确（）A:由于工作需要，经申请为我开通了更大的访问权限，由于其他同事也需要做类似的网络访问，于是我把自己的密码告诉了其他同事B:由于工作需要，经申请为我开通了更大的访问权限，由于其他同事也需要做类似的网络访问，于是我用我的帐户登录，供其他同事使用C:网络权限是按照特定的原则分配的，因此我不会同他人共享我的帐户和密码D:为了提高效率，项目组将申请的真IP用在一台无线路由器上，这样每个人都可以自由访问网络了ABD关于信息安全事件管理，下列哪几项描述正确（）A:信息安全事件发生后，相关人员须第一时间报告给部门的信息安全主管B:部门发生信息安全事件后，隐瞒不报:私自处理C:负责处理信息安全事件的组织叫做信息安全事件处理小组ISIRTD:事件处理完毕以后一周内，部门信息安全事件处理小组ISIRT须对事件进行认真总结和分析ACD关于防病毒管理，下列哪几项描述正确（）A:公司统一要求安装的防病毒软件是KES（卡巴斯基）B:计算机终端至少每月执行一次病毒扫描C:IT服务中心负责卸载防病毒软件，禁止员工私自停用或卸载D:如发现感染病毒或设备出现异常时，应立即拔掉网线，断开网络连接ABCD日常工作中，员工应（）A:按要求参加信息安全培训B:遵守《员工信息安全日常行为规范》要求C:配合部门信息安全专员实施信息安全检查工作D:办理内部调转或离职手续时，必须先履行部门内部的相关异动手续ABCD关于员工卡的使用，下列哪几项描述正确（）A:员工卡是员工身份的标识，工作期间应正确佩戴员工卡B:如果员工卡丢失，须在24小时内上报部门门禁管理员C:员工卡可以借给和自己关系好的同事使用D:如果忘带员工卡，应在相关管理人员处借用临时卡E:我在门口遇到了同事，他刷卡开门，我跟着进就可以了ABD关于开发活动的信息安全要求，下列哪几项描述正确（）A:项目启动前，项目人员须接受相关信息安全培训B:必须确保测试环境:开发环境与运行环境相互隔离C:开发过程中使用客户提供并且需要注册的软件时，必须使用客户信息进行注册D:不同项目:不同业务之间，应确保数据安全，不可以相互泄露ABCD关于不再使用的或保密期限到期的涉密文档的销毁，下列哪几项描述正确（）A:含涉密信息的纸张不一定用碎纸机销毁，可以扔进垃圾桶或用手撕毁B:含涉密信息的纸张可以重复使用C:存储涉密信息的光盘需物理破坏D:办公设备分配给其他员工前，应及时彻底清除设备中存储的信息CD公司的涉密信息密级划分为（）A:东软绝密Neusoft Top SecretB:东软内部公开Neusoft Internal PublicC:东软秘密Neusoft ConfidentialD:公开PublicABC在客户现场出差，下列哪些做法正确（）A:未经客户许可，不得私自下载使用QQ:迅雷等软件B:闲暇时间利用客户网络玩游戏:上娱乐网站C:由于工作需要使用的特殊软件应向客户提出申请，经审批后方可使用D:工作需要使用移动设备就将自己的U盘直接插入PC机使用，免得向客户申请麻烦AC项目进行过程中应该遵守的信息安全规范/要求为（）A:公司的信息安全规范B:客户的信息安全要求C:部门的信息安全规范D:相关法律法规的要求ABCD关于信息安全责任，下列哪几项描述正确（）A:信息安全人人有责B:信息安全责任只由部门信息安全主管与信息安全专员承担C:公司最高管理者承担公司信息安全管理工作最高责任，部门负责人承担部门信息安全管理工作最高责任D:根据信息安全事件的影响程度，公司将按照《东软信息安全管理办法》处罚事件责任人ACD关于上网行为，下列哪几项描述不正确（）A:使用办公电话线，通过拨号上网方式访问Internet资源B:使用客户提供的业务专属网络访问Internet资源C:通过在业务专属网络上架设的代理服务器访问Internet资源D:通过公司代理服务器访问Internet资源ABC计算机终端必须进行的安全配置包括（）A:安装公司要求的防病毒软件B:开启审核策略:帐户锁定策略C:设置带密码保护的屏幕保护程序，等待时间不得超过5分钟D:系统帐户应取消“密码永不过期”设置并停用Guest帐户E:配置公司提供的补丁更新服务，并及时安装ABCDE关于涉密信息管理，下列哪几项描述正确（）A:公司或客户的涉密信息，可以带回家去B:不能通过信息共享的方式（如个人简历:博客等）公开发布项目信息及客户信息C:涉密信息是指对公司具有一定价值或敏感的信息，不能公开发布:展示:泄露D:涉密信息须按照公司的要求进行密级标识BCD员工在客户现场出差，应注意下列哪些方面（）A:出差前应该接受相关信息安全培训并签订《客户现场信息安全日常行为规范》B:未经客户许可，禁止项目人员多人共用同一帐户访问客户应用系统C:需要对客户现场开发设备的物理位置:配置:网络访问方式等进行变更时，应在得到客户允许后实施D:未经授权禁止向客户提供合同/协议以外的产品及服务ABCD强密码策略适用于（）A:邮箱帐号密码B:计算机终端开机登录密码C:服务器登录密码D:应用系统/程序的帐户密码ABCD依据对公司或相关方造成的影响及损失程度，将信息安全事件分为（）A:重大信息安全事件B:严重信息安全事件C:一般信息安全事件D:普通信息安全事件ABC经常来访的人员比较熟悉，可以不进行登记，直接进入办公大厅。

阅读指南〖手册目标〗本手册是沈阳东软软件股份有限公司的产品NetEye防火墙CLI的使用指南，它详细地介绍了CLI的功能和操作。

通过阅读本手册，用户可以掌握NetEye防火墙CLI的使用方法。

〖阅读对象〗本手册专为购买NetEye防火墙的用户编写。

用户在使用防火墙之前请仔细阅读本手册，以免误操作，造成不必要的损失。

〖手册构成〗本手册主要由以下几个部分组成：1.2.3.4. 第1章用户管理介绍管理员（root）登录CLI后所能进行的操作，如添加、编辑或删除其他具有管理权限的用户，以及修改自身或其它用户口令。

第2章安全管理介绍具有安全管理权限的用户登录CLI后所能进行的一系列操作，主要是防火墙接口的配置以及各种规则的配置。

第3章审计管理介绍具有安全管理权限的用户登录CLI后所能进行的关于审计功能的开启和关闭的操作。

附录命令速查为用户提供了快速查找命令的工具。

〖手册约定〗CLI约定y斜体——命令行参数（命令中必须由实际值进行替代的部分）采用斜体表示。

y[ ]——表示用“[ ]”括起来的部分在命令配置时是可选的。

y{ x | y | ... }——表示从两个或多个选项中必须选取一个。

y[ x | y | ... ]——表示从两个或多个选项中选取一个或者不选。

范例：sync { info-down | info-up } ipaddress filenamesync info-down 10.1.2.110 neteyefwCLI模式NetEye防火墙CLI配置共提供三种模式，分别为：普通模式：管理员（root）和安全员可以进入该模式。

在该模式下可以进行的操作有：进入特权模式、退出和语言管理。

特权模式：管理员（root）和安全员可以进入该模式。

在该模式下，可以查看系统信息及配置信息，可以对系统进行高级别的操作，但不能更改配置信息。

不同权限的用户进入特权模式后，所能做的操作也不同。

管理员（root）进入特权模式后可以进行的操作有：进入全局配置模式、退出特权模式、退出命令控制台、测试连通性、显示和终端配置。