天网网络行为管理系统解决方案公共场所安全审计

1、天网网络行为管理系统旅业、酒店等公共场所上网安全审计解决方案（Version ）天讯瑞达通信技术有限公司网址：Copy right 2006 Guangdong Telecom Science & Technology Development Co., Ltd2006年3月版权声明天讯瑞达通信技术有限公司版权所有，保留一切权力。未经天讯瑞达通信技术有限公司同意不得擅自复制、传播。信息反馈对我们的产品如有任何宝贵意见或建议，请反馈：Email: 地址：广州市天河区珠江新城华利路19号三楼 电话真 录 TOC o 1-3 h z HYPERL

2、INK l _Toc105575294 第一章 宾馆、酒店等上网服务场所的现状 PAGEREF _Toc105575294 h 4 HYPERLINK l _Toc105575295 第二章 需求分析与解决方案 PAGEREF _Toc105575295 h 5 HYPERLINK l _Toc105575296 2.1 上网服务场所安全管理的几种主要需求 PAGEREF _Toc105575296 h 5 HYPERLINK l _Toc105575297 2.2 解决方案 PAGEREF _Toc105575297 h 5 HYPERLINK l _Toc105575298 2.3 实施需

3、要解决的几种问题及解决办法 PAGEREF _Toc105575298 h 6 HYPERLINK l _Toc105575299 第三章 天网网络行为管理系统介绍 PAGEREF _Toc105575299 h 9 HYPERLINK l _Toc105575300 3.1 天网网络行为管理系统简介 PAGEREF _Toc105575300 h 9 HYPERLINK l _Toc105575301 3.2 天网网络行为管理系统的特点 PAGEREF _Toc105575301 h 9 HYPERLINK l _Toc105575302 3.2.1 全模块化设计，扩展性极高 PAGEREF

4、 _Toc105575302 h 9 HYPERLINK l _Toc105575303 3.2.2 简洁、高效的工作模式 PAGEREF _Toc105575303 h 9 HYPERLINK l _Toc105575304 3.2.3 自主设计的规则语言 PAGEREF _Toc105575304 h 10 HYPERLINK l _Toc105575305 3.2.4 多种阻断手段 PAGEREF _Toc105575305 h 10 HYPERLINK l _Toc105575306 3.2.5 高度的整合性及稳定性 PAGEREF _Toc105575306 h 10 HYPERLI

5、NK l _Toc105575307 支持基于帐号的审计 PAGEREF _Toc105575307 h 10 HYPERLINK l _Toc105575308 2.2.7 安装简单、即插即用、WEB管理 PAGEREF _Toc105575308 h 11 HYPERLINK l _Toc105575309 2.2.8 性能卓越 PAGEREF _Toc105575309 h 11 HYPERLINK l _Toc105575310 3.3 天网网络行为管理系统的主要功能 PAGEREF _Toc105575310 h 11 HYPERLINK l _Toc105575311 3.3.1

6、事件日志 PAGEREF _Toc105575311 h 11 HYPERLINK l _Toc105575312 3.3.2 统计图表 PAGEREF _Toc105575312 h 12 HYPERLINK l _Toc105575313 3.3.3 行为控制（规则动作） PAGEREF _Toc105575313 h 12 HYPERLINK l _Toc105575314 3.3.4 防火墙策略 PAGEREF _Toc105575314 h 14 HYPERLINK l _Toc105575315 3.3.5 系统管理 PAGEREF _Toc105575315 h 14 HYPER

7、LINK l _Toc105575316 3.4自主设计的规则语言介绍 PAGEREF _Toc105575316 h 15 HYPERLINK l _Toc105575317 第四章 天网网络行为管理系统的实施 PAGEREF _Toc105575317 h 16 HYPERLINK l _Toc105575318 4.1实施简介 PAGEREF _Toc105575318 h 16 HYPERLINK l _Toc105575319 4.2 两种典型连接方案 PAGEREF _Toc105575319 h 16 HYPERLINK l _Toc105575320 4.2.1 透明网桥连接方

8、式 PAGEREF _Toc105575320 h 16 HYPERLINK l _Toc105575321 4.2.2 旁路监听模式（HUB或交换机镜像口） PAGEREF _Toc105575321 h 17第一章 宾馆、酒店等上网服务场所的现状随着网络技术的发展，宽带已经进入了各个宾馆、酒店等场所，具有一定规模的宾馆、酒店提供了上互连网的服务。从目前上网的情况看，大概有一下几种情况。第一种情况、简单的内部局域网，客房、娱乐、休闲场所、业务网简单地通过交换机或是集线器连接在同一个局域网，没有做子网或虚拟子网或端口隔离，Internet接入采用宽带路由器，宽带路由器实现Internet接入、

9、DHCP工作站IP地址动态分配。第二种情况、内部局域网做一定的管理、网络划分、对外具有一定的网络安全隔离（如：防火墙等），对提供上网方面一般都是采用DHCP进行分配IP地址。以上两种情况，对上网者具体做了那些网络行为都不知道。由于宾馆、酒店是一种流动人员活动的地方，使得上网浏览信息、发布信息难以控制，也是一些网络犯罪嫌疑犯常出现的地方。公安网络安全监察部门对这些场所上网进行规范、上网安全审计、触警报警具有迫切的需要。宾馆、酒店等场所与Internet网络接入与普通的网络接入是一样的，一般采用具有固定IP地址的专线，一种是采用拨号的动态IP分配（如：宽带LAN、ADSL等）。无论采用什么接入方式

10、，最终内网上外网都需要一个路由器（防火墙）做网关。宾馆、酒店等场所的上网主要体现在以上两个特点：移动性：消费者自带笔记本电脑，一般采用DHCP动态地址分配，便于使用。不固定性：每一个房间不同时期都有不同消费者使用，难以识别上网者。这样决定了不能在工作站电脑上安装任何软件，而且在网络部署网络审计或监控系统不容易给上网者发觉，同时对宾馆、酒店管理要比较方便，才便于推广。第二章 需求分析与解决方案针对宾馆、酒店等上网服务场所的网络安全管理，广东天讯电信科技有限公司研发了一套专门适合于宾馆、酒店等场所上网安全管理系统，实现了上网的安全审计、报警、处置功能、网络管理功能的网络行为管理系统。2.1 上网服

11、务场所安全管理的几种主要需求针对宾馆、酒店等上网服务场所的网络安全管理，从管理部门的需要做到的几方面需求：作为上网安全审计功能，将所有上网的日志到记录到网络安全管理系统，以便日后做查询、分析、以及追踪，为安全事件、侦查部门提供第一手资料和证据。报警功能，符合管理部门（公安机关）部署的网络策略，将作出相应的报警信息，为管理部门（公安机关）提供实时信息，为作出下一步行动提供可靠信息。处置功能，对一些敏感信息、反动信息的浏览或发布必须做及时的处置，防止非法信息散发影响社会，以及对触警者进一步追查。信息的定位和可追溯性。一旦需要定位到某个对象，管理系统应该能够很方便的将相关的资料获取到，可以获得某个被

12、监控目标的网络行为和证据。（数据中心）对可疑目标的数据采集及辅助分析、监控报警。在数据中心部署监控对象的策略，然后发布到各个监控端（网络行为管理系统），一旦目标上网，将触发监控策略，将可以发出报警信息、保存数据、目标锁定定位等到数据中心。为公安机关采取进一步行动提供准确、实时的信息。2.2 解决方案针对安全审计方面，实现对常用互联网协议、常用实时通讯、常用网络游戏等三大部分的审计。安全审计方面是天网网络行为管理系统的一个最基本功能。目前系统已经实现了对常用互联网协议进行审计的有：HTTP(网页浏览、表单提交、Webmail)、FTP(文件传输)、SMTP(发送邮件)、POP3(接受邮件)、Te

13、lnet(远程主机登陆、BBS)；常用实时通讯的审计有：QQ、MSN、Yahoo Messger等；常用网络游戏：联众游戏、中国游戏等。随着版本的升级将会增加更多的实时通讯和网络游戏的审计。报警处置功能方面天网网络行为管理系统实现了多种报警方式，实时后台报警（或屏幕报警）、电子邮件报警、手机短信报警（以后可以支持、需要增加手机短信硬件模块）；报警具有很强的可管理性，不是基于系统固定方式的报警内容，而是基于每条监控策略的自定义方式，使得操作性很强大。处置功能：对匹配到的监控策略将按照策略做出相应的处置功能，如阻断连接、保存数据。系统对重要协议作到更深入的分析，实现了对网页内容、表单提交内容、发送

14、邮件、接收邮件的审计分析、阻断、报警等。使得规则策略的控制更深入、更全面、更有效。审计信息的定位和可追溯性：所有审计信息都记录到系统的存储器上，普通的审计信息只做日志，不保存原始内容信息，对符合规则策略，根据策略的要求可以做数据的保存，使得信息可以得到还原。所有审计日志，系统不提供删除操作，系统具有自动维护的机制，最少保存60天日志。数据中心方面：数据中心也叫后台系统，实现对各个使用单位的网络安全系统进行集中管理、统一部署、采集数据、查询分析日志等功能。安装在使用单位的系统是作为探针，天网网络行为管理系统支持与数据中心进行联接。2.3 实施需要解决的几种问题及解决办法宾馆、酒店等上网服务场所的

15、网络安全管理在实际实施中遇到问题或需要解决的问题。如何定位目标上网者的网络位置，从而获得目标上网的网络行为日志？通过获得上网者的出口IP地址，可以定位为上网者的区域范围，如：哪个城市。通过IP地址的进一步分析（或网络提供商）可以定位为哪个单位，如：宽带LAN上网与电信提供的宽带帐号确定使用单位。通过使用单位的网络连接结构，可以将交换机的连接端口与房间号的信息插座建立对应关系，实现设备端口与房间号的对应。通过天网网络行为管理系统与交换机（必须有此功能支持的可管理交换）端口（房间号）可以定位出某特定时间段（住宿时间）上网的物理地址（电脑网卡MAC地址）。通过天网网络行为管理系统可以定位出某个上网者

16、的所有网络行为日志。 对某个可疑目标对象的全面上网信息收集，从而部署动作呢？要对目标对象进行全面监控，必须有全面的监控点和数据中心（后台）。如：一开始对目标对象只有简单的信息，很难了解到可疑目标所做的网络行为。这时，可以通过网络行为管理系统逐步搜集目标对象的网络行为。如：能够知道该可疑目标对象的QQ号码，可以在数据中心部署一条规则，如：QQ号码为：12345678，则系统报警到数据后台。一旦目标对象一上线，数据后台则接收到报警信息，然后后台系统可以启动采用目标对象所在的使用单位的网络行为管理系统的审计日志，得到了目标对象的所有网络行为日志，可以得知目标对象的更多信息（如：浏览哪些网站、web提

17、交哪些信息、发送哪些邮件、接收哪些邮件、有那些网络游戏帐号），从而收发邮件方面，能进一步分析出与那些人进行联系，从网络游戏帐号中也可以了解到网络的虚拟身份等方面。根据从各个地方采集到的网络行为日志，可以进一步分析出目标对象一段时间范围的行踪。第一种方法：基于硬件支持的网络环境解决方案，需要使用方网络设备的支持。可能对初期投入增大，但是日常管理维护方便。如下面示意图（图2-1）。第二种方法：基于登陆验证帐号的解决方案，需要增加登陆验证帐号或开通，需要人员维护管理，增大维护成本。如下面示意图（图2-2）。基于硬件支持的网络环境解决方案Internet使用单位：ABC酒店数据中心（后台）采集数据策略

18、部署探针管理上网路由/网关鸿雁网络行为管理系统端口绑定IP地址、动态地址分配可管理交换机-1可管理交换机-2Port:2-8房间号：No.408信息插座408网卡：MAC电脑/客户机（笔记本电脑）图2-1基于登陆验证帐号的解决方案Internet使用单位：ABC酒店登记开通登陆帐号（或与治安联接）数据中心（后台）采集数据策略部署探针管理上网路由/网关启用验证功能鸿雁网络行为管理系统审计记录所有登陆用户名交换机-1交换机-2房间号：No.408信息插座408先登陆验证，才能上网网卡：MAC电脑/客户机（笔记本电脑）图2-2第三章 天网网络行为管理系统介绍3.1 天网网络行为管理系统简介天网网络行

19、为管理系统，就是对网络使用者的网络行为进行记录、控制、限制等管理，达到上网安全审计、上网信息过滤、上网行为规范。对常用上网协议服务：浏览网页、WEB表单提交、邮件外发(SMTP)、接收邮件(POP3)、文件上传下载传输(FTP)、远程主机登陆(TELNET)、即时通讯（聊天软件QQ、MSN）、常用在线游戏等进行安全审计，对符合设定的规则进行动作（阻断、保存数据、报警等）等信息过滤。系统内置防火墙实现基于IP/子网策略、基于部门/分组策略、基于用户帐号策略，实现对（员工）上网行为进行策略规范。天网网络行为管理系统根据使用单位的不同侧重点，分成公安版和企业版。公安版重点在于审计功能及规则触发报警。

20、企业版不但具有安全审计及规则触发报警之外，具有用户验证及上网行为规范策略，可以根据子网/IP地址定义一组上网策略、根据部门或工作组定义一组上网策略、根据个别员工定义上网策略。随着网络技术和信息技术的快速发展，网络行为具有好的一方面，也有坏的一方面，网络行为已经变得越来越复杂，管理网络行为也是势在必行,对于网络管理者和网络管理部门显得很重要。天网网络行为管理系统就是满足此需求而研发的新一代网络行为管理系统。3.2 天网网络行为管理系统的特点 全模块化设计，扩展性极高系统内部采用全模块化设计，数据引擎模块获取线路上流过的数据包，并将数据包进行IP碎片重组、TCP流重组等处理，分发给各个协议分析模块

21、进行分析。 目前已经实现了HTTP、SMTP、POP3、TELNET、FTP、QQ、MSN、Yahoo！等常用协议共25个模块。以后支持的协议将会随着开发越来越多。上述各大功能均有相应独立的功能模块，用户可根据自己的需要进行增加、扩展，能满足不同需求的使用单位。 简洁、高效的工作模式本系统的工作模式可以概括为六个字：事件规则动作。即是：用户的网络活动产生事件，事件的产生触发了设定的规则，最后系统根据规则做出反应动作。 自主设计的规则语言为了实现更强大、灵活、易用的规则，我们设计了规则语言，并自行开发了规则语言的编译器和虚拟机。为了提高规则匹配的速度，规则编译器将规则语言编译成中间代码，运行时虚

22、拟机运行的是中间代码，大大提高了匹配的速度。规则语言支持嵌套的逻辑与、或、非运算，支持字符串、数字、布尔型的比较运算，大大提高了系统对规则的描述能力。 多种阻断手段为了使系统在桥接模式和旁路模式下都能对连接进行阻断，我们采用了内置防火墙和欺骗包相结合的阻断手段，在桥接模式采用内置防火墙，能够彻底阻断所有数据包的通过，而在旁路模式下，采用发送RST欺骗包给连接双方，可以阻断TCP连接。 高度的整合性及稳定性一些厂家产品系统使用了Squid、Postfix等第三方软件来处理HTTP、SMTP等协议，虽然节省了可观的开发投入，但这些软件只能工作在代理模式下，极易使系统成为网络的瓶颈，同时应用程序的不

23、稳定将造成网络的瘫痪，同时系统内部的整合也显得混乱。考虑到这些因素，我们投入了大量的时间，所有协议分析模块都自行开发，实现内部统一的模块接口，可以工作在桥接、旁听模式下，大大降低系统对网络的影响，也提高了整个系统的整合度及稳定性。支持基于帐号的审计很多情况下，虽然我们可以基于IP和MAC地址对网络活动进行记录和控制，但很多情况下我们无法得知某个IP的使用者是谁，而在客户机经常变动的情况下，基于MAC地址的控制也无法实现，例如在宾馆酒店这些场所。Honya行为管理系统支持基于帐号的审计和控制，用户在访问网络前须提供用户名和密码进行验证，系统会将网络活动连同用户名记录下来，这样无论用户使用了哪个I

24、P，我们都可以知道是哪个用户进行了哪些网络活动。 安装简单、即插即用、WEB管理本系统是一套独立的硬件系统，无需专用的管理程序和管理平台；对用户的操作系统平台没有特别要求；用户可完全保留现有的网络结构和配置；可以采用透明网桥模式，也可以作为旁路侦听模式。所有管理都是基于WEB界面。 性能卓越采用先进的架构及算法，在理想的网络环境下，系统基本上接近线速，对网络的影响很小。3.3 天网网络行为管理系统的主要功能 事件日志网络活动日志：滚动式地显示出当前网络的活动情况，以及包含常用各种服务协议的状态。HTTP日志：默认列出当天所有http会话，包括：源ip、源port、目的ip、目的port、URL

25、、访问时间、（登陆名、姓名、部门、组名），多条件组合查询所有历史审计日志。 WEB提交日志：默认列出当天所有http会话，包括：源ip、源port、目的ip、目的port、主机、访问时间、下载内容、（登陆名、姓名、部门、组名）。多条件组合查询所有历史日志。FTP文件传输日志：默认列出当天所有ftp会话，包括：源ip、源port、目的ip、目的port、访问时间、ftp帐号、文件名称、上行或下行，并提供上、下行内容的下载、（登陆名、姓名、部门、组名）；多条件组合查询所有历史ftp审计日志。TELNET日志：默认列出当天所有telnet会话，包括：源ip、源port、目的ip、目的port、登陆时

26、间、退出时间、帐号、（登陆名、姓名、部门、组名）；多条件组合查询所有历史telnet审计日志。SMTP(发送邮件)日志：默认列出当天所有smtp会话，以邮件为单位，包括源ip、源port、目的ip、目的port、访问时间、邮件主题、发件人、收件人、邮件大小、有无附件, 并提供邮件内容的下载、（登陆名、姓名、部门、组名）；多条件组合查询所有历史smtp(发送邮件)审计日志。POP3（接收邮件）日志：默认列出当天所有pop3会话，以邮件为单位，包括源ip、源port、目的ip、目的port、访问时间、邮件主题、用户名、发件人、收件人、邮件大小（编码后）、有无附件，并提供邮件内容的下载、（登陆名、姓

27、名、部门、组名）；多条件组合查询所有历史pop3(收邮件)审计日志即时通讯日志：能够列出当天所有即时通讯（如：QQ、MSN等）登录情况：包括：源ip，源port，目的ip，目的port，客户机MAC地址、用户标识、上线时间、下线时间、流量、（登陆名、姓名、部门、组名）；多条件组合查询所有历史审计日志。 网络游戏日志：能够列出当天所有网络游戏（如：联众等）登录情况：包括：源ip，源port，目的ip，目的port，客户机MAC地址、游戏类型、帐号、登陆时间、退出时间、流量、（登陆名、姓名、部门、组名）。多条件组合查询所有历史审计日志。 统计图表每天IP流量图表：显示当天的各IP流量图，横轴流量（

28、单位KB），纵轴客户端IP；报表范围：客户端IP，数据：上行流量，下行流量（KB）。每天端口流量图表：显示当天的各服务端口的流量图，横轴流量（单位KB），纵轴为服务端口；报表范围：服务端口，数据：上行流量，下行流量（KB）。每小时IP流量图表：显示某一客户端IP一天小时流量曲线图，横轴时间（单位小时），纵轴为流量(单位KB)；报表范围：时间（小时），数据：上行流量，下行流量（KB）。每小时端口流量图表：显示每小时的各服务端口的流量图，横轴流量（单位KB），纵轴为服务端口；报表范围：服务端口，数据：上行流量，下行流量（KB）。出口流量图表：显示当天的出口流量曲线图，横轴时间（单位小时），纵轴流量

29、（单位字节）；报表范围：开始结束时间，维：时间（单位：天或小时可选），数据：上行流量，下行流量（字节）。 行为控制（规则动作）规则语言：为了实现更强大、灵活、易用的规则，我们设计了规则语言，并自行开发了规则语言的编译器和虚拟机。为了提高规则匹配的速度，规则编译器将规则语言编译成中间代码，运行时虚拟机运行的是中间代码，大大提高了匹配的速度。规则语言支持嵌套的逻辑与、或、非运算，支持字符串、数字、布尔型的比较运算，大大提高了系统对规则的描述能力。URL库规则：URL过滤规则的增加、修改、删除、分类URL库，用户可以自己增加分类和增加补充URL库。HTTP规则：规则分为浏览网页规则、网页内容规则、表

30、单提交规则。规则的定义采用规则语言，具有普通菜单界面模式和编辑器高级模式。浏览网页规则可以处理的条件有：用户名、用户部门、用户组、服务器IP地址、服务器端口、客户端IP地址、客户端端口、网站主机名、访问url等，动作支持有：保存数据、断开连接、屏幕报警、邮件报警。网页内容规则可以处理的条件有：文档类型、网页内容、用户名、用户部门、用户组、服务器IP地址、服务器端口、客户端IP地址、客户端端口等，动作支持有：保存数据、断开连接、屏幕报警、邮件报警。表单提交规则可以处理的条件有：用户名、用户部门、用户组、服务器IP地址、服务器端口、客户端IP地址、客户端端口、网站主机名、表单内容等，动作支持有：保

31、存数据、断开连接、屏幕报警、邮件报警。SMTP规则（邮件外发）：规则的定义采用规则语言，具有普通菜单界面模式和编辑器高级模式。目前规则可以处理的条件有：用户名、用户部门、用户组、服务器IP地址、服务器端口、客户端IP地址、客户端端口、发件人、收件人、抄送人、邮件主题、纯文本格式邮件内容、html格式邮件内容、邮件大小、附件名、附件数量等，动作支持有：保存数据、断开连接、屏幕报警、邮件报警。 POP3规则（接收邮件）：规则的定义采用规则语言，具有普通菜单界面模式和编辑器高级模式。目前规则可以处理的条件有：用户名、用户部门、用户组、服务器IP地址、服务器端口、客户端IP地址、客户端端口、邮件帐号、

32、发件人、收件人、抄送人、邮件主题、纯文本格式邮件内容、html格式邮件内容、邮件大小、附件名、附件数量等，动作支持有：保存数据、屏幕报警、邮件报警。FTP规则：规则的定义采用规则语言，具有普通菜单界面模式和编辑器高级模式。目前规则可以处理的条件有：用户名、用户部门、用户组、服务器IP地址、服务器端口、客户端IP地址、客户端端口、FTP用户名、上传、下载等，动作支持有：断开连接、屏幕报警、邮件报警。Telnet规则：规则的定义采用规则语言，具有普通菜单界面模式和编辑器高级模式。目前规则可以处理的条件有：用户名、用户部门、用户组、服务器IP地址、服务器端口、客户端IP地址、客户端端口等，动作支持有

33、：断开连接、屏幕报警、邮件报警。IM规则（即时通讯QQMSN）：规则的定义采用规则语言，具有普通菜单界面模式和编辑器高级模式。目前规则可以处理的条件有：用户名、用户部门、用户组、通讯软件类型、帐号、客户端IP地址、客户端端口等，动作支持有：断开连接、屏幕报警、邮件报警。游戏规则：规则的定义采用规则语言，具有普通菜单界面模式和编辑器高级模式。目前规则可以处理的条件有：用户名、用户部门、用户组、软件类型、帐号、客户端IP地址、客户端端口等，动作支持有：断开连接、屏幕报警、邮件报警。 防火墙策略本系统内置防火墙，防火墙一方面用于与上面规则动作进行配合联动，阻断网络连接，另一方面的应用体现在IP/子网

34、策略、部门/工作组策略、用户个人策略。是个面向应用的防火墙，具有良好的可管理性。IP/子网策略:是针对整个子网或单个IP做策略，策略可以是：直通；拒绝，除了以下几种服务；允许，除了以下几种服务。服务可以是：常用网络协议（HTTP上网、https、FTP文件传输、SMTP发送邮件、SMTP发送邮件、POP3接收邮件、IMAP4邮件传输、windows终端服务、LADP目录服务、QQ、icq、DNS、SQL、SSH等等）及自定义TCP服务、UDP服务。部门/组策略：针对部门或分组定义一组上网策略。策略可以是：直通；拒绝，除了以下几种服务；允许，除了以下几种服务。服务可以是：常用网络协议（HTTP上

35、网、https、FTP文件传输、SMTP发送邮件、SMTP发送邮件、POP3接收邮件、IMAP4邮件传输、windows终端服务、LADP目录服务、QQ、icq、DNS、SQL、SSH等等）及自定义TCP服务、UDP服务。用户策略：针对个人帐号定义上网策略，帐号策略可以是按照部门或分组的默认策略，也可以是个别定义策略。策略可以是：直通；拒绝，除了以下几种服务；允许，除了以下几种服务。服务可以是：常用网络协议（HTTP上网、https、FTP文件传输、SMTP发送邮件、SMTP发送邮件、POP3接收邮件、IMAP4邮件传输、windows终端服务、LADP目录服务、QQ、icq、DNS、SQL、

36、SSH等等）及自定义TCP服务、UDP服务。 系统管理网络设置：设置网络参数，系统的安装模式，透明网桥或者是旁路侦听，设置如：IP地址、子网、网关等。通讯设置：设置与升级服务器/公安中心连接的各种参数。系统操作员管理：系统具有一个超级管理员，实现系统操作员的增加、删除、编辑，以及各种功能模块的使用、操作权限的授权工作。数据备份：实现数据库的备份，以及远程下栽数据的功能，同时具有数据备份日志报表。磁盘空间：一方面具有磁盘空间自动维护机制，当存储到达临界值时，系统启动维护程序，删除旧数据，另一方面，删除60天旧日志。系统重启：设备/系统的控制功能，实现系统的停止/启动，设备的重启/关机。密码修改：

37、修改当前用户的密码。操作日志：操作员的操作日志、增加、删除、修改等日志。3.4自主设计的规则语言介绍为了实现更强大、灵活、易用的规则，我们设计了规则语言，并自行开发了规则语言的编译器和虚拟机。为了提高规则匹配的速度，规则编译器将规则语言编译成中间代码，运行时虚拟机运行的是中间代码，大大提高了匹配的速度。规则语言支持嵌套的逻辑与、或、非运算，支持字符串、数字、布尔型的比较运算，大大提高了系统对规则的描述能力。在规则语言的支持下，规则界面显得异常简洁，而规则却可任意组合，可谓随心所欲！ 下面是一些例子：a、不允许客户端0访问 : match http.client_ip = “0” & http.host = “” do conn.break = true end;b、阻断在google查”girl”关键字，并报警： match http.host = “” & h