SANGFOR_AC(外置数据中心)
SANGFOR_AC_防范泄密风险解决方案
深信服AC防范泄密风险解决方案深信服科技有限公司2012年10月目录第1章应用背景 (1)第2章问题分析 (1)第3章防泄密解决办法 (1)3.1封堵泄密风险网络行为 (2)3.1.1URL智能过滤,只许看帖不准发帖, (2)3.2禁止HTTP上传/FTP传文件,IM传文件 (2)3.3禁止远程登录软件的使用 (2)3.4全面的应用行为审计 (3)3.4.1BBS发帖,webmail等正文附件的详细审计 (3)3.4.2邮件延迟审计 (3)3.4.3IM聊天内容得审计 (3)3.4.4免审计Key功能 (4)3.5 3.3安全防范 (5)3.5.1危险行为识别及管控 (5)3.5.2外发文件告警 (5)3.6快速便捷的日志检索功能 (5)第1章应用背景随着综合国力的增强和国际地位的提高,我国已成为各种情报窃密活动的重点目标,同时发达的互联网也为泄密窃密提供了方便的渠道和途径,泄密已经危害到了国家的安全,而另一方基于经济利益的泄密也十分泛滥,黑客通过网络获取他人银行账户里的钱财,组织机构、竞争对手的内部员工通过主动或是被动泄露的商业机密给组织带来了极大的损失,类似的案例屡见不鲜,各个机构都在极力想办法解决泄密的问题针对用户互联网访问行为的管控与审计,美国于2002年颁布实施《萨班斯-奥克斯利法案》对组织内控和行为日志记录率先提出了要求;而中国于2006年3月1日实施《互联网安全保护技术措施规定》-简称公安部82号令的相关条款,也要求互联网服务提供者和联网使用组织记录并留存内网用户发生的各种网络行为日志,包括登录和退出时间、账号、互联网地址或域名等信息,且行为日志至少保留六十天以上,做到有据可查。
第2章问题分析面对上述问题,以下几个问题是需要迫切需要解决的1.黑客通过木马等方式窃取机密信息,上至国家机密,下至商业机密,银行账户信息等2.内网用户通过webmail、、BLOG、BBS发帖等方式人为的泄露商业机密的行为3.内网用户通过mail人为泄密的行为4.内网用户通过QQ/MSN等IM工具或是FTP的方式的泄密行为5.外网用户通过telnet、netmeeting等远程登录的方式导致的内网信息泄密行为第3章防泄密解决办法通过上面的分析我们得知内网目前存在的各种各样的问题会导致的泄密风险?那么我们如何来解决这些问题,任何的上网行为的管理和控制策略都必须要基于用户或是用户组来施行,只有很好的对人员进行认证和区分才能很好的保障上网行为管理策略的成功实施,另一方面,我们需要对应用进行细致全面的识别,只有合理的识别应用类型,进行细致的归类和区分,才能保障我们的上网行为管理的效果,并对相应的应用行为进行细致全面的审计,对泄密的行为做到有效地阻止,对相关的泄密行为进行细致的行为记录,以便在后期有据可查。
深信服外置数据中心安装
SANGFOR DC用户手册2010年08月目录声明 ................................................................................................................................................. i v 前言 .. (v)手册内容 (v)本书约定 (v)图形界面格式约定 (v)各类标志 (v)技术支持 ................................................................................................................................. v i 致谢 ......................................................................................................................................... v i 第1章数据中心的安装 . (2)1.1. 服务器硬件要求 (2)1.2. 服务器软件要求 (2)1.3. 数据中心工作过程 (2)1.4. 数据中心安装过程 (4)第2章数据中心配置端 (9)2.1. 数据库配置 (10)2.2. 数据同步帐号 (12)2.3. 同步器状态查看 (15)2.4. 日志查看 (16)2.5. 工具栏菜单 (17)2.6. 数据中心同步 (20)第3章数据中心日志查看 (22)3.1. 登录WEBUI日志查看器 (22)3.2. 首页 (23)3.3. 历史报表 (23)3.4. 自定义报表 (26)3.4.1. 自定义报表向导 (27)3.4.2. 报表模板 (44)3.5. 风险行为智能报表 (47)3.5.1. 智能报表向导 (47)3.5.2. 智能报表模板 (51)3.6. 对比报表 (52)3.6.1. 汇总对比 (53)3.6.2. 指定对比 (54)3.7. 统计 (60)3.7.1. 上网流量统计 (60)3.7.2. 上网行为统计 (73)3.7.3. 上网关键字统计 (98)3.7.4. 病毒信息统计 (107)3.7.5. 上网时间统计 (112)3.7.6. 快速链接 (122)3.8. 日志查询 (125)3.8.1. 上网行为 (125)3.8.2. 上网流量 (148)3.8.3. 上网时长 (151)3.8.4. 访问指定网站的时长 (152)3.8.5. 网关杀毒日志 (154)3.8.6. 安全事件日志 (155)3.8.7. 准入系统日志 (157)3.8.8. 防火墙日志 (159)3.8.9. 控制台操作日志 (161)3.9. 趋势 (162)3.9.1. 流量趋势 (163)3.9.2. 行为趋势 (174)3.9.3. 快速链接 (182)3.10. 内容搜索 (185)3.10.1. 内容搜索管理 (187)3.10.2. 高级搜索 (192)3.10.3. 主题订阅 (193)3.10.4. 全部内容搜索 (197)3.10.5. 网页搜索 (199)3.10.6. 邮件搜索 (201)3.10.7. 关键字搜索 (203)3.10.8. WebMail/BBS搜索 (204)3.10.9. 聊天内容搜索 (206)3.11. 系统管理 (207)3.11.1. 日志库管理 (208)3.11.2. 用户管理 (210)3.11.3. 系统设置 (213)3.11.4. 配置导入导出 (215)声明Copyright ©2010 深圳市深信服电子科技有限公司及其许可者版权所有,保留一切权利。
深信服上网行为管理-数据中心配置介绍
内置数据中心KEY配置步骤
3、效果演示(对比dkey和nodkey用户登录数据中心查询效果)
dkey用户登录, 有no日d志ke查y用询户权登限录, 没有日志查询权限
外置数据中心KEY配置步骤
1、设备多功能序列号激活数据中心查询key功能,前面有介绍,这里不再重复。 2、建立外置数据中心管理员帐号,如下图
数据中心KEY
适用场景
客户对对日志安全性要求非 常高,只要拿到设备登录密 码,都可以登录数据中心查 询日志,而密码很容易泄漏。 我们推出数据中心key,只有 持有key的人才可以查询进行 日志查询。内置和外置数据 中心都可以使用KEY
内置数据中心KEY配置步骤
1、激活数据中心key
数据中心Key功能默认没有激活。所以测试实施前,请先确认设备是否激活了此功 能,如果没有请联系厂商处理。数据中心key通过多功能序列号激活,如下图所示
该图显示 的是正在 索引时的 状态信息
注意
1、索引没有100%完成时,建立不要通过内容搜索系统搜索日志,如果 搜索了日志,则会导致索引中断,半小时后才继续建立索引,导致整体索 引进度变慢。
2、当外置数据中心只有一天日志时,不能建立索引,所以测试实施请注 意,要从内置同步多天的日志到外置数据中心,才可以建立索引,使用内 容搜索生效。
内置数据中心KEY配置步骤
2、新建控制台用户
生成key前,先 下载key驱动
如图,新建控制台 用户dkey,先安装 key驱动。插入数据 中心查询key,输入 dkey密码。该用户 的“组织权限设置” 和“页面权限设置” 全选。
内置数据中心KEY配置步骤
2、新建控制台用户
生成key前,先 下载key驱动
内容搜索系统使用
SANGFOR_AC_v11.0版本_外置日志中心日志迁移测试指导书
测试指导书SANGFOR_AC_v11.0版本_外置日志中心日志迁移测试指导书深信服科技有限公司目录1 介绍 (3)1.1 文档目的 (3)2 需求背景 (3)3 实现方式 (3)4 测试环境 (3)4.1 测试条件 (3)5 测试过程 (3)6 测试效果 (12)7 注意事项 (12)1 介绍1.1 文档目的为了方便快速达到功能测试效果,减少现场测试出现问题机率。
2 需求背景客户自己的服务器上安装并使用了我司的外置日志中心,最早安装时,日志和附件可能都保存在C盘某路径下,后续日志增多,C盘存储不够,客户想将所有日志迁移到新的磁盘或新的外置服务器上使用,保证新旧日志不受影响。
3 实现方式1.通过重装DC程序实现快速迁移2.通过修改DC配置文件路径实现快速迁移4 测试环境4.1 测试条件一台安装了AC11.0外置日志中心的服务器,并有空闲可供迁移的磁盘。
5 测试过程方法1.保留日志重装外置日志中心程序(推荐)1.客户原来日志存放在C盘DClog下,现在由于C盘存储不够,想全部迁移到服务器上的D盘下面2. 直接选择卸载外置日志中心程序3.卸载的时候,选择保留数据4.卸载完成后,在之前的日志保存路径下可以看到保留下来的日志5.重装外置日志中心程序,重新选择新的存储路径6.将旧日志迁入到新的路径下即可将原C盘下的DClog下的所有文件夹迁移到新的D盘目录的DClog下即可。
1.停掉外置日志中心所有服务2.修改日志中心配置文件中的路径信息一共修改三个配置文件:第一个,/外置日志中心程序安装路径/mysql_path.ini第二个,/外置日志中心程序安装路径/dc/config/sys_config.js第三个,/外置日志中心程序安装路径/ldb/bin/mdb.ini3. 将旧日志迁移到新的路径下4.启动外置日志中心所有服务日志迁移后,旧的日志可以正常查询,新的日志可以正常同步查询。
如图,迁移后,旧日志可以正常查询,说明迁移成功。
SANGFOR_AC&SG_ALL_外置数据中心迁移与重装专题
AC&SG外置数据中心迁移与重装深信服科技有限公司2011年11月17日11、文档范围 (2)2、适用环境 (3)2.1 操作系统 (3)2.2 硬件配置 (3)3、数据中心重装 (4)3.1备份 (4)3.2 重装步骤 (7)3.3 异常处理方法 (8)4、数据中心迁移 (9)4.1 本机迁移 (9)4.2 完全迁移 (10)1、文档范围本文档仅适用于当前已发布的AC&SG版本,即AC&SG3.X版本,最新至3.3r4、3.4、3.5版本,1.9X,2.X版本适用。
考虑到目前设备发货版本均为3.X,本文仅以AC 3.3r3版本为案例描述相关步骤。
22、适用环境外置数据中心无论是迁移或者安装对于服务器的配置有相应的软硬件要求。
2.1 操作系统1、3.x版本数据中心支持2000 SERVER、2003 SERVER、2008 SERVER2、3.0之前版本的数据中心支持2000 SERVER、2003 SERVER3、数据中心目前不支持64位系统4、中文数据中心只支持安装在中文操作系统上,不支持安装在英文操作系统上;英文数据中心只支持安装在英文操作系统上,不支持安装在中文操作系统上。
备注:1、建议数据中心安装在2003 SERVER或2008 SERVER系统,特别是日志量较大的情况下。
2、对于3.X支持2008 SERVER版本,3.0版本有专门另外的安装包,因此3.0版本如果从2003 SERVER 迁移到2008 SERVER版本时需要在2008服务器上面安装支持2008的外置数据中心,再将数据导入。
3.3版本同一个安装包可以支持SERVER 2003 和2008,无需以上操作。
2.2 硬件配置1、硬件配置一般建议内存大于2G,CPU最好双核以上。
2、至少4GB以上硬盘空间,具体需求可根据客户一天日志量大小估算。
33、数据中心重装在某些情况下软件运行出现不稳定或者出现数据中心报错,比如无法启动服务等需要对外置数据中心进行重装。
SANGFOR_AC_内网安全解决方案
深信服AC内网安全解决方案深信服科技有限公司20XX年XX月XX日目录第1章应用背景 (1)第2章问题分析 (1)第3章风险流量识别 (2)3.1URL访问行为 (2)3.2互联网应用类型识别 (2)3.3危险流量识别 (2)第4章防泄密解决办法 (2)4.1细致的访问控制功能,有效管理用户上网 (3)4.2防DOS攻击功能,有效防御内外网的DOS攻击 (3)4.3IPS系统,保证网络免受攻击 (3)4.4高效准确的网络杀毒、防垃圾邮件、防间谍软件功能,保证上网安全44.5危险流量识别和外发文件告警 (4)4.6统一的IT政策 (5)4.7细致全面的日志记录信息 (5)第1章应用背景随着网络的发展和Internet的广泛应用,当今的网络安全威胁已经由原来的针对TCP/IP 协议本身弱点的攻击转向针对特定系统和应用漏洞的攻击和入侵。
回顾2004年以来,以冲击波、震荡波、安哥Bot、MyDoom等蠕虫与木马病毒为主的网络化病毒,加上利用网络协议及应用漏洞进行攻击与入侵行为,给全球企业造成了巨大的损失。
据统计,仅2005年,病毒等恶意程序就给全球造成了1690亿美元的经济损失。
与此同时,越来越多的企业发现,安全威胁不仅来自外部,企业内部的不当互联网访问、滥用互联网以及泄密行为等等,同样会带来安全问题。
据IDC报告,70%的安全损失是由企业内部原因造成的,而不当的资源利用及员工上网行为往往是“罪魁祸首”。
比如:网页浏览、BT下载、IM实时通信、P2P文件共享等行为。
不当的资源利用及员工上网行为带来了间谍软件、恶意程序和计算机病毒,导致了企业网络资源耗尽、机密信息泄漏、内网病毒泛滥等一系列安全问题。
此时,传统的防火墙已经显得无能为力。
例如针对Windows系统和Oracle/SQL Server 等数据库的攻击,这些攻击和入侵手段封装在TCP/IP协议的有效载荷部分。
传统的防火墙由于只查TCP/IP协议包头部分而不检查数据包的内容,所以无法检测出此类攻击。
SANGFOR_AC上网行为管理功能列表
VRRP双机
双机热备 集中管理
其他 售后服务
产品相关资质
其他
Bypass功能 多语言支持
全国除西藏外有31个直属服务机构;海外有5个分支机构(香港、泰国、印度、新加波 品备件;
深圳总部设有60个座席的CTI中心,两路800电话提供7*24小时不间断服务;客户服务
对互联网应用的识别广泛度,正是考验各厂商技术实力的关键所在,不能识别就不能管理 。SANGFOR AC具有国内最大的应用协议识别库,帮助客户有效识别所有主流互联网应用; 同时互联网应用加密化趋势、版本泛滥等SANGFOR AC提供多种应对方案。 网关内置海量预分类URL库,专业团队维护,支持自动更新。 允许管理者手工创建新URL分类; 通过网址关键字识别URL及其分类; 根据管理者提供的关键字、或网址等学习材料,网关实现未知网页的自动识别和分类; 对于SSL加密的网址,网关能够识别和过滤(无需通过封堵TCP 443端口实现); 网关能够过滤搜索引擎输入的指定关键字; 网关能够过滤正文含有指定关键字的网页访问行为; 网关能够过滤含有指定关键字的网络发贴行为; 网关能够过滤含有多个关键字的搜索引擎行为、网络发帖行为; 网关能够基于关键字过滤SSL加密的网络发贴行为; 允许用户浏览论坛、BBS上的帖子,但不允许发送网络帖子; 网关能够识别用户是否使用HTTP代理、SOCK4、SOCK5等代理配置,并封堵; 对于通过HTTP/HTTPS端口传输非网页流量的行为,支持识别并过滤; 能够过滤通过HTTP下载、上传的文件类型,且允许用户通过白名单中网站下载任何文件; 能够过滤通过FTP下载、上传的文件类型,且允许用户通过白名单中网站下载任何文件; 包含24个大类,500多条应用识别规则,涵盖主流互联网应用,国内最大; 管理者可通过协议类型、IP、端口、域名、数据包特征字段等,自定义应用识别规则; 基于数据包应用层特征字段实现对应用的识别; 基于数据包与域名之间的关联实现应用的识别; 基于应用协议行为特征实现应用的识别; 当网关完成数据包的强特征识别后,后续数据包通过若特征识别技术即可完成识别,效率更好、速度 更快; 基于应用协议数据包发送频率、大小、速度等特征实现应用的识别; 识别超过37种IM聊天软件; 识别超过10种IM传文件行为; 识别超过75种网络游戏软件; 识别常见的23种P2P应用,同时可识别加密P2P应用; 针对P2P软件种类多、版本杂、更新快的问题,网关通过对P2P软件行为的分析和统计,智能识别各 种P2P软件并封堵; 识别超过36种在线流媒体软件; 识别超过27种网络炒股软件; 识别超过18种远程登录和木马软件; 识别超过6种加密代理、翻墙软件; 识别超过16种网上银行访问行为; 匹配指定发件人地址、邮件正文和标题关键字、附件类型的外发Email邮件将被网关过滤; 匹配指定收件人地址、邮件大小、附件个数、邮件正文和标题关键字的外发Email邮件,网关将主动 拦安截 装,Em并a在il客人户工端审软核件后,再配外置发使;用SSL加密的POP3和SMTP行为,网关仍然能基于关键字、收发件人 地址等过滤外发Email邮件; 基于正文关键字过滤外发Webmail邮件行为; 允许用户登录webmail邮箱接收邮件,但不准外发; 即使通过SSL加密的webmail外发邮件,网关仍然能基于关键字过滤; 网关能过滤来自互联网的垃圾邮件;
SANGFOR_ACSG_ALL_版本功能支持列表_更新到4.6
4.4支持支持支持支持4.5(4.5RX)支持支持支持支持注:(1)4.3及以上版本的准入已支持监控QQ2011/2012/2013聊天内容,以及MSN2009/2011(带保护盾),(2)2.0(2.0RX)/2.1(2.1RX)/3.3RX/3.4/3.5/4.0-4.2请联系400打QQ监控补丁包,以监控QQ2011/(3)1.96(1.96RX)/3.0(3.0RX)/3.3请升级到更高版本并打QQ监控补丁包,或升级到4.3及以上版本(4)普通方式的MSN聊天内容明文传输,不需要启用准入。
(5)4.X版本监控QQ2013beta6版本请联系400打QQ监控补丁包。
(6)AC4.0开始支持web-msn明文聊天内容。
外置数据中心版本Win2003(32位)Win2008(32位)Win2008(64位)英文系统DC1.96x支持不支持不支持不支持DC2.0x支持不支持不支持不支持DC2.1支持不支持不支持不支持DC3.0x支持支持不支持不支持DC3.2支持支持不支持不支持支持支持不支持不支持支持支持不支持不支持支持支持不支持不支持支持支持不支持不支持支持支持支持不支持支持支持支持不支持支持支持支持不支持支持支持支持不支持支持支持支持不支持DC4.5X支持支持支持不支持DC4.6支持支持支持不支持安装数据中心注意事项:1、建议安装在windows 2003/2008 server服务器上。
2、DC4.0R1外置数据中心开始支持64位操作系统。
3、安装硬盘需要至少4GB的硬盘空间。
4、硬盘分区格式必须是NTFS格式。
5、数据库和操作系统不支持安装在不同的硬盘上。
MSN2011(保护盾)不支持不支持不支持不支持不支持不支持不支持不支持不支持不支持支持支持不支持不支持不支持支持支持不支持不支持不支持不支持不支持不支持不支持不支持不支持不支持不支持不支持不支持支持支持不支持不支持不支持支持支持不支持不支持不支持支持支持不支持不支持不支持支持支持支持支持支持支持支持支持支持支持支持支持支持支持支持支持支持支持支持支持支持支持支持支持支持虚拟机RAID 网络磁盘不支持支持不支持不支持支持不支持不支持支持不支持不支持支持不支持不支持支持不支持QQ2013QQ2013(beta1-beta5)QQ2013(beta6) MSN2009(保护盾)009/2011(带保护盾),SKYPE的聊天内容。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
SANGFOR_AC&SG_V3.X 外置数据中心安装及配置端使用说明
深信服科技有限公司
2011年07月11
AC&SG外置数据中心安装及配置端使用说
明
一、安装环境
(1) 系统条件
建议安装在windows 2000 server、windows 2003 server、windows 2008 server
系统上,较稳定。
XP系统对数据中心支持得不是很好,不建议安装。
注:所有64位系统都不支持安装
(2) 硬件条件
a、安装盘需要至少4GB的硬盘空间。
b、安装盘磁盘格式必须是NTFS格式。
二、安装步骤
(1)设置外置数据中心查询页面端口
(2)设置mysql数据库安装路径
(3)设置数据中心文件安装路径
(4)确认之前设置的路径并开始安装
三、配置端使用说明
(1)配置端登陆
(2)数据库配置
选择日志附件存放的路径,并点击应用,以生成数据库
(3)数据同步账号
新建一个同步账号
设置同步账号的用户名和密码;新建一个数据库并测试连通性;设置开始同步的日期
点击应用,使配置的同步账号生效!
用户在线表示正在同步数据,用户离线则表示同步数据完成
可以查看实时同步日志或者历史同步日志
四、工具的使用
(1)可以修改登陆密码
(2)可以更改HTTP监听端口
(3)可以设置按天数或者按磁盘空间百分比来删除日志
(4)可以设置磁盘预警
(5)可以设置附件是否加密存储。