联想网御1014 事件服务器安装配置手册-

联想网御事件服务器安装配置手册声明本手册所含内容若有任何改动,恕不另行通知。在法律法规的最大允许范围内,联想网御科技(北京有限公司除就本手册和产品应负的瑕疵担保责任外,无论明示或默示,不作其它任何担保,包括(但不限于本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。在法律法规的最大允许范围内,联想网御科技(北京有限公司对于您的使用或不能使用本产品而发生的任何损坏(包括,但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其它损失,不负任何赔偿责任。本手册含受版权保护的信息,未经联想网御科技(北京有限公司书面允许不得对本手册的任何部分进行影印、复制或翻译。联想网御科技(北京有限公司北京海淀区中关村南大街6号中电信息大厦8层章节目录章节目录(3第一章前言(51.导言(52.本书适用对象(53.本书适合的产品(54.手册章节组织(5第二章系统安装(51.安装环境:(52.事件服务器安装(63.事件服务器卸载(114.其他(15第三章系统启动和配置(151.事件服务启动和配置(151.1.事件服务启动(151.2.事件服务配置(161.3.关闭事件服务配置(202.控制台启动和用户登录(202.1.控制台启动(202.2.登录说明(213.审计系统登录(21第四章设备管理(221.设备管理(221.1.设备(231.2.添加管理设备(231.3.删除管理设备(261.4.查看和修改设备属性(272.设备监控(272.1.安全事件监控(272.2.设备状态监控(292.3.配置设备监控的参数(313.主机管理(323.1.主要概念(323.2.功能详细描述(32第五章系统管理功能(361.用户管理(361.1.基本概念(361.2.功能操作描述(362.系统日志(392.1.浏览日志(392.2.查询日志(402.3.清空日志(41第六章安全审计(411.安全事件查询(411.1.主要概念(421.2.主要功能(442.安全信息分析(462.1.主要概念(472.2.主要功能(482.3.各个安全信息分析的条件和结果含义(503.系统配置(503.1.系统参数配置(504.帮助和退出(51第七章相关软件的安装(511.安装MicrosoftSQLServer2000EnterpriseEdition(512.安装Windows操作系统组件(573.MicrosoftSQLServer2000数据库参数修改(593.1.限制数据库所使用的最大内存数(593.2.扩展数据库的存储空间(604.联想网御防火墙,网闸设备配置(62第八章常见问题解答(FAQ(631.为什么在WindowsServer2003下安装后无法访问审计界面?(632.为什么在重新启动计算机后总是连接不到数据库?(643.为什么在审计界面中进行查询时,查询结果中记录总数总是不返回?(644.为什么出现要求我重新登陆审计系统的提示?(645.为什么设备管理日志统计的条数不为空,可是事件监控中却没有具体事件显示?656.通过Web方式访问审计系统的方式是什么?(65第一章前言1.导言《安装配置手册》是联想网御事件服务器手册中的一本。用来说明联想网御事件服务器安装和配置的方法。2.本书适用对象本文档为用户和支持人员提供安装配置指南,以便能够快速、顺利的实施事件服务器系统。使用本手册的读者,应掌握Windows操作系统使用、数据库、TCP/IP协议,IP地址及子网掩码等基本知识。3.本书适合的产品本书适合联想网御事件服务器Ver3.5。4.手册章节组织本手册按照以下章节编排:第一章:前言,描述本书适用的读者,手册章节组织及相关参考手册等。第二章:系统安装,描述系统安装的环境条件和安装步骤,以及如何卸载系统。第三章:系统启动和配置:描述如何启动整套系统,并对关键参数需要进行的配置。第四章:设备管理,描述如何添加和管理安全设备第五章:系统管理,管理系统用户和系统日志第六章:审计系统,描述审计系统的简单使用方法第七章:相关软件安装,说明与系统安装配置相关软件的安装与配置方法第二章系统安装1.安装环境:推荐系统满足以下硬件要求:z1G以上的内存z2.0GHz以上的P4CPUz保存数据的磁盘分区有30G以上的空闲空间,并采用NTFS格式系统需要满足以下软件条件:zWindows2000Server(打sp4以上补丁z混合模式安装MicrosoftSQLServer2000EnterpriseEdition(必须打上sp3的补丁zWindows操作系统必须安装IIS和snmp组件,注意对于WindowsServer2003在安装IIS时必须zInternetExplorer6.0(建议打sp1以上的补丁,注意访问事件服务器Web应用程序必须都采用IE6.0以上的版本;zMicrosoftOffice2000或MicrosoftOfficeXP需要安装补丁zAcrobatReader对于以上软件的安装可以参考“相关软件安装说明”一章。2.事件服务器安装以管理员账户登陆系统,进行安装:放入安装光盘,双击光盘中的Setup.exe进行安装;在欢迎界面点击“下一步(N”按钮;1在许可证协议窗口,在确定接受该协议的情况下,选择“我接受许可证协议中条款(A”,并点击“下一步(N”按钮,否则点击“取消”按钮退出安装程序;2在客户信息窗口,确定输入的用户信息正确后,点击“下一步(N”按钮;3在系统需求窗口,列出了安装前所必需的要求,如果满足要求清点击“下一步(N”按钮,否则清点击“取消”按钮,在确定满足要求后再重新进行安装;4在选择目的地位置窗口,显示了事件服务器安装的目录,可以通过点击“更改…”按钮来改变安装目录的位置,如果要安装到当前指定的目录,就可以点击“下一步(N”按钮,注意如果指定的最后一层目录不是以LeadsecSMS结束,那么安装程序就会自动添加一层叫LeadsecSMS的目录;5在数据库信息窗口中,需要用户输入具有系统管理权限的数据库用户名称和密码,通常填写sa用户及其密码;6在结束的窗口上点击“安装”按钮开始进行安装;7安装程序首先安装数据库,如果上述7中用户提供的数据库用户名密码有误,则会提示用户重新输入,否则在安装完成后会出现下面的提示窗口,点击“确定”按钮;8在安装完成程序后,会提示是否安装网御事件服务器Web应用程序,通常要安装,点击“确定”。如果没有安装,后面也可以通过点击安装盘上AuditFiles目录下的AuditSetup.exe文件来单独安装该Web应用程序,该应用程序必须与事件服务器协同使用,事件服务器程序组中存在该Web应用程序的快捷方式;9Web应用程序首先要检测系统并安装Web应用程序,这可能需要一段时间;10然后会出现Web应用程序安装完成的提示,分别点击“关闭”和“确定”;11最后出现安装完成的窗口,建议选择“是,立即重新启动计算机”,点击“完成”按钮,等待计算机重新启动,安装完成。3.事件服务器卸载事件服务器卸载的步骤如下:1卸载之前请退出控制台程序;2点击“程序”-〉“联想网御信息安全”-〉“联想网御事件服务器”-〉“卸载”;3在“欢迎”窗口中只可以选择“卸载”,点击“下一步(N”按钮;4弹出窗口将提醒用户卸载程序将卸载程序和数据库,如果需要请先通过SQLServer企业管理器备份数据。点击“是(Y”按钮则可以继续卸载,否则退出卸载程序;5如果联想网御事件服务器配置仍然在运行,就会有下述提示,请先关闭联想网御事件服务器配置再退出联想网御事件服务器配置,然后点击“是(Y”按钮继续安装,否则退出安装程序;6在数据库信息窗口,输入具有系统管理权限的数据库用户名称和密码,通常填写sa用户及其密码;7因为卸载了事件服务器后事件服务器Web应用程序就无法使用了,因此,这时会启动事件服务器Web应用程序卸载程序,请选择“移除”选项,然后点击“完成”开始卸载事件服务器Web应用程序;8卸载事件服务器Web应用程序后出现完成窗口,点击“关闭(C”按钮;9开始卸载事件服务器,然后出现完成窗口,希望选择“是,立即重新启动计算机”,点击“完成”按钮,等待计算机重新启动,完成卸载。4.其他在安装盘上还有EventConsole目录,其中存在事件服务器控制台安装程序,可以使用其在安装事件服务器以外的机器上安装控制台程序,方便用户使用。安装和卸载过程与上面类似不再赘述,注意在询问事件服务器地址的窗口必须正确填写事件服务器的IP地址。无法在事件服务器所在的机器上安装是因为安装事件服务器时会自动安装控制台程序,无需另外安装。第三章系统启动和配置事件服务器在正确安装后包括三部分:事件服务,控制台,审计系统,在此以启动的先后顺序分别介绍。1.事件服务启动和配置1.1.事件服务启动事件服务启动后,在系统的通知区显示一个图标,如图:灰色表示服务停止,亮色表示服务在运行。启动方式有三种:z自动启动:事件服务器在安装完成后,重启Windows系统后,事件服务将自动启动。z手工启动:使用事件服务配置,进行服务的启动和停止操作,参见下面说明1.2.事件服务配置事件服务启动后,双击系统通知区的事件服务图标;或者右键单击事件服务图标,弹出菜单:选择“恢复”菜单。系统弹出事件服务配置主界面:通过菜单“文件-〉启动“可以启动事件服务。界面中显示控制台的连接状态。当某个控制台连接成功后,将显示这个控制台的IP地址和登录账户。界面底部的状态栏右侧显示事件服务运行状态。绿色表示系统运行正常,红色表示事件服务被暂停运行,红色带X的表示系统没有正常启动。注意,系统运行时,在事件服务配置界面上点击标题栏的关闭按钮,事件服务配置将只隐藏界面,而不会退出。1.2.1.配置参数通过事件服务的配置界面,可以配置和事件服务运行相关的参数。1.2.2.启动配置界面在事件服务配置界面,选择菜单选项-->系统配置;或者在Windows系统通知区,鼠标左键单击事件服务图标,选择菜单系统配置:系统弹出系统配置对话框,开始系统配置。配置采用向导的方式,步骤和内容如下,每步设置完点击下一步完成设置。.证书设置必须输入服务端CA证书文件名、服务端许可证文件名。点击右侧的“浏览”按钮打开文件对话框,分别选择文件名。如果需要系统保存证书的口令,请选择“记住证书口令”,并在证书口令输入框中输入正确的证书口令。这样,系统下次启动时,将不要求输入证书口令。可以修改证书的口令。单击“修改证书口令”按钮,系统弹出下面的对话框:顺序输入旧口令、新口令(输入两次,确定。如果输入正确,口令修改将立即生效,不可以取消。安装完成后,证书口令缺省是LeadsecSMS。控制台端口是指控制台所用得端口和Syslog端口是接受设备收到的Syslog信息的端口,设备监控周期是对设备进行采用的周期,一般使用缺省值就可以了。.管理中心管理中心需要另外进行购买,以实现对多种安全设备进行集中管理。如果没有购买和安装则无须进行配置,只要去掉该选项就可以了。.报警邮件设置报警邮件设置,当需要向管理人员发送报警邮件时将利用这里的配置。包括收件人、发件人地址,发件服务器的地址,如果SMTP需要认证,则需要填写上相应的账号和密码。发送周期是用来控制经过多长时间后将需要发送的报警邮件一次发送。通过点击测试按钮可以测试上述参数是否有效。.数据库必须输入数据库服务器和连接数据库的账号。在数据库口令的输入框中输入正确的数据库口令。注意数据库的名称必需是LeadSecLogDB。数据库服务器表示当前使用的是哪个数据库,可以填写数据库的IP地址,如,如果填入的是MSDE则表示数据库是本地数据库。在安装后数据库账号缺省是LeadsecES,密码缺省是LeadsecSMS。.日志维护如果启用磁盘容量检查被选中,则系统将检查所有日志记录所占据的数据库磁盘空间,当超过指定的大小时,最老的日志将被删除,直到日志记录的磁盘空间小于指定磁盘空间为止。建议将LeadSecLogDB数据库文件所在磁盘的容量至少到日志文件最大容量的三倍以上,而且采用NTFS格式。如果启用自动清除过期日志被选中,系统将删除保留天数之前的日期(从昨天开始计数所接收到的日志。如果启动报表数据自动清除被选中,系统将删除保留天数之前的日期(从昨天开始计数所生成的报表,注意如果删除了报表数据那么在生成的报表中对象项将为空。.日志自动导出联想网御事件服务器提供日志自动导出的功能。在指定时间,服务器将把接收到的日志以文本文件的格式导出到数据库服务器上一个指定的目录中,并从数据库中删除这些已经被导出的日志记录。系统在每周日凌晨2:00执行日志自动导出操作。将从上次操作时间的前一天的0:00分开始,到本次操作时间的前二天(前天的23:59:59秒为止所接收到的日志,导出到相应的文件中。选中“启用日志自动导出”,将启用该功能。点击“浏览”按钮,在对话框中选择一个数据库服务器的文件目录,作为日志自动导出的目录。日志将被自动导出到这个目录下,并以[TYPE]_[YYMMDD]_[YYMMDD].txt的文件名保存。([TYPE]是日志类型,[YYMMDD]分别是这一周的起始和结束日期。选择“导出后删除日志”,被导出的日志将被从数据库中删除,否则不删除日志。启用了日志自动导出功能后,请定期到数据库服务器上整理导出目录下的文件,以保证该目录有足够的磁盘空间存放新产生的日志导出文件。1.3.关闭事件服务配置在事件服务配置界面中选择菜单文件-->关闭,或者在系统通知区的事件服务配置运行图标上点击右键,选择菜单-->关闭。系统进入暂停状态。再选择“文件-->退出”,配置系统退出。2.控制台启动和用户登录2.1.控制台启动选择“程序”-〉“联想网御信息安全”-〉“联想网御事件服务器”-〉“联想网御事件服务器控制台”,启动控制台登录界面。2.2.登录说明系统缺省用户为admin,密码为admin123,输入口令后,进入控制台系统主界面。若要以其他用户身份登陆系统,请点击“切换用户”,选择在安装事件服务时候导出的管理员用户证书文件(通常是管理员用户名+.id的文件名。manager地址为运行事件服务的主机IP地址。z如果您输入的口令不正确,系统将提示“口令不对,请重新输入。剩余次数:3”。三次口令输入失败,程序退出;z如果此时指定地址的事件服务未启动,系统提示“无法连接到服务器”,程序退出。此时请通过事件服务配置启动事件服务。z如果用户不是合法用户,系统提示“用户验证错误”,程序退出。此时请切换为合法的管理员用户,重新登录。3.审计系统登录审计系统是通过Web应用程序提供给用户的。选择“程序”-〉“联想网御信息安全”-〉“联想网御事件服务器”-〉“审计界面”,进入审计系统,也可以在IE中输入地址:http:///eventaudit,进入审计系统。如果需要远程访问则只需要在IE中输入http://[事件服务器IP地址]/eventaudit就可以了,注意[事件服务器IP地址]需要用真实的IP地址代替。之后可以通过输入用户名和密码,点击“登陆”按钮进入系统。系统安装时有admin和auditor两个缺省用户可以访问审计系统,其密码分别为admin123和auditor相同。第四章设备管理进入事件服务器控制台后,选择左边的设备管理功能,会看到包含三个子功能:设备管理、设备监控、主机管理。1.设备管理设备管理功能包括被管理设备的手动/自动发现,设备的查看、添加、删除,以及设备属性的查看和修改。设备都挂接在设备管理树中,设备状态使用三种颜色来表示其不同状态:z灰色:断开状态,网络不同z明黄色:连通状态,设备正常使用中z明黄色带一红叉:故障状态,设备网络连通,但是无法通过snmp协议进行监控如图:1.1.设备在联想网御事件服务器中,设备(Device是一个被命名的有一个管理IP地址的安全设备,包括防火墙、NIDS、病毒服务器、网闸设备。管理IP地址可以是设备的一个IP地址,也可以是其它的相关设备(管理代理的一个IP地址。在一个联想网御事件服务器系统中,设备名称可以修改,用户通过设备名称来监控设备状态或修改设备属性。设备有状态,包括已断开、正常(已连接和故障三种状态。每个设备都有属性,所有的属性均以“属性名—值”的形式显示,并且属性可以以列表的形式提供。设备的基本属性包括:管理地址、设备名称、产品型号、产品版本号、。除此以外,每种设备还有一些自己的专有属性。管理员可以修改设备的基本属性(名称、管理地址、设备放置地点、管理员联系方式、CPU利用率显示阈值、内存利用率阈值、说明。设备专有属性的修改则要视设备的特性而定。1.设备的基本属性名称:设备的名称,用于用户标识该设备。设备管理地址:设备的IP地址。产品型号:产品的正式名称,例如“联想网御3000百兆防火墙”。版本号:产品的版本号。当前状态:描述设备当前所处的状态。在设备树上,也会以不同的小图标表示这个设备当前的状态。CPU利用率显示阈值:CPU利用率超过阈值时,相应设备利用率显示状态会以红色显示。内存利用率阈值:内存利用率超过阈值时,相应设备利用率显示状态会以红色显示。2.设备的专有属性联想网御3000防火墙产品序列号:这台设备的序列号(机身编号,不可以修改。设备位置:设备存放的具体方位。管理员联系方式:负责管理这个设备的管理员,以及他的联系方式。1.2.添加管理设备安全设备要被管理,必须加入到设备管理列表中,有三种方法可以使用,注意必须首先配置防火墙或网闸设备使其能够接受事件服务器的管理,配置方法见第七章第4节:1.2.1.手动发现设备手动发现设备是通过输入IP地址的范围,使系统主动搜索网络中还没有被系统所管理的网络安全设备或代理。操作方式:三种方式:z单击操作区工具栏的“搜索新设备”按钮;z在系统菜单“设备管理”,选择“搜索新设备”;z在左侧设备树中右键单击任意节点,弹出菜单,选择“搜索新设备”。系统弹出搜索设备对话框,要求输入搜索的IP地址范围:输入搜索的开始地址和结束地址,输入完成后,单击下一步。系统弹出对话框,提示搜索已经开始,以及大概需要的时间。系统开始搜索该地址范围内的所有新设备或代理。这可能需要一些时间,其间控制台可以执行其它功能。搜索完成后,如果搜索到了新设备,系统弹出下图的对话框,提示已经找到了新设备。选择“是”,就可以启动添加新发现设备的过程,选择“否”,则不进行添加新发现设备的操作。以后需要将新发现的设备添加到系统中时,只需要在系统菜单“设备管理”中选择“新设备管理”就可以启动添加新发现设备的过程。如果系统中有新发现的设备,系统会弹出下图的对话框:新设备的IP地址会列在对话框的列表中。选择一个设备,单击“添加”按钮,系统弹出设备属性对话框,要求用户输入设备属性,其中部分属性由系统从设备上获得,直接填写在对话框中。对话框见“添加设备”一节。对列出的有效设备可以进行添加操作。填写完成后,单击“确定”,稍等片刻,系统将返回到新设备列表的对话框。如果新设备添加成功,系统给出对话框,提示新设备添加成功,同时,这个新设备的IP地址将从新设备列表对话框的新设备列表中删除。如果这个设备添加失败,系统将弹出对话框提示新设备添加失败,同时,在对话框中,这个新设备的IP地址将显示一个错误标记。如果所有的设备已经添加完成,或者不想继续添加设备,则单击“完成”按钮,结束这次的新设备搜索过程。注意事项:联想网御事件服务器的手动发现设备是系统的后台功能。系统的用户界面在搜索设备时,可以进行任何操作。系统搜索新设备完成后,会自动弹出新设备的列表对话框。1.2.2.自动发现设备自动发现设备(设备即插即用是通过系统接收的能够被管理的网络安全设备主动发送的设备接入的通告信息,并通过用户界面将新设备的接入通告呈现出来的功能。当符合联想网御事件服务器要求的设备接入管理网络并正确配置以后,联想网御事件服务器的管理中心能够获得该设备接入的通告,自动获取该设备的类型等配置参数,并通知管理员将设备加入到正确的安全域中。当系统发现新设备后,会自动弹出发现新设备的通知对话框。后面的操作和手动发现的过程相同。1.2.3.直接添加设备添加设备是创建一个新的网络安全设备。操作方式有三种:z单击操作区工具栏的“添加设备”按钮;z在系统菜单“设备管理”中,选择“添加设备”;z在左侧设备树中右键单击设备,弹出菜单,选择“添加设备”。系统弹出对话框:在设备地址框中输入要添加的设备的IP地址。然后单击“下一步”。如果这个IP地址是有效的,并且不与已有的设备IP地址重复,系统会关闭这个对话框。稍候片刻,系统弹出下图属性对话框。首先在基本属性页中输入名称,该设备的产品型号和版本号(请查阅该设备的说明手册。如果设备此刻已经开启并被正确的配置,系统将读出该设备的产品型号、产品版本号,并自动地填写在对话框中,不需要修改。完成后,点击“确定”按钮,稍等片刻。如果新设备添加成功,系统弹出对话框,提示新设备添加成功,同时设备树中就会在正确的位置显示这个设备的图标,并且在右侧显示这个设备的属性。如果新设备添加失败,则弹出一个对话框提示新设备添加失败。1.3.删除管理设备添加了错误的设备,或设备不再进行管理监控时,使用删除设备来删除一个已经存在的设备。操作方式:在设备组织树上选中一个需要删除的安全设备后,有三种方式:z单击操作区工具栏的“删除设备”按钮;z在系统菜单“设备管理”中,选择“删除”;z在左侧所要删除的设备上右键单击,弹出菜单,选择“删除”。系统弹出确认对话框,询问是否删除。如果确定删除,单击“是”按钮。这个设备将从设备树上删除。1.4.查看和修改设备属性查看和修改属性是查看和修改一个已经存在的设备的属性。操作方式:在设备组织树上选中一个需要修改属性的安全设备后,有三种方式:z单击操作区工具栏的“属性”按钮;z在系统菜单“设备管理”中,选择“属性”;z在左侧所要查看或修改的设备上右键单击,弹出菜单,选择“属性”。系统弹出设备属性对话框,显示这个设备的属性信息。和添加设备的对话框相同。可修改部分与添加时一样修改完成后,单击确认,完成属性的修改。如果需要从设备获得最新设备的产品型号、产品版本号的配置信息,请点击“从设备更新(R”按钮。2.设备监控设备监控主要包括安全事件的实时监控和安全设备的设备状态实时监控。2.1.安全事件监控安全事件监控提供对防火墙及网闸设备日志的实时监控功能。开始监控之前,请确认防火墙或网闸设备已经设置了正确的日志服务器地址(请参考“联想网御防火墙,网闸配置”一节;进入系统监控后,系统将默认打开安全事件监控。如果没有,请选择菜单:安全事件监控-->显示事件监控,或按操作区工具栏中的按钮。安全事件监控界面如下:2.1.1.按安全设备察看事件在界面的上半部分的事件树,按照设备,显示了每个设备每种类型事件的数量。默认情况下,事件的数量统计是从控制台启动后的时间开始计算的。在事件树中选择一个设备,在界面下半部分会显示该设备的描述,以及该设备最近发出的日志。每个设备最多显示1000条日志。需要察看描述时,请点击下部的“描述”标签,需要察看最近发出的日志时,请点击下部的“事件”标签。选择某个设备下的事件类型节点,下半部分将显示该事件类型的描述,和该设备的最近发出的这种类型的事件。注意,由于每个设备只保留1000条最近接收的日志,就会出现其他类型的事件过多,造成该类型虽然显示接收到了一定数量的日志,但在下面的最近事件列表的却没有显示的现象。如果需要察看这些日志,请使用日志审计部分的查询功能来查看。而且可以通过右下角的下拉框选择只显示某些级别的事件,而且可以通过“最近事件聚类”来将同类事件进行聚类显示,方便了解情况。将最近收到的事件进行聚类,就是按照属性的重要性进行了聚类,可以一目了然地看出具有相同属性值的事件的数量,并可以一级一级扩展聚类事件的属性,使监控者可以进一步了解事件的情况。2.1.2.按事件类型察看事件点击界面操作区工具栏的下拉组合框,选择“按事件类型显示”,可以按照事件类型显示每种类型事件的数量。在事件树中选择事件类型节点,界面下半部分将显示该事件的描述信息,以及所有设备最近发出的该类型事件。选择事件类型节点下的某个设备节点,将显示该设备的描述和该类型事件的描述,并显示该设备最近发出的该类型事件,以及对最近收到的事件进行聚类显示。同样,由于每个设备只保留1000条最近接收的日志,也会出现某个类型事件没有最近事件列表的现象。在显示事件时,可以通过在右下角的下拉框中选择只显示哪个级别的事件。2.1.3.清除计数器选择菜单:安全信息监控-->清除计数器或用操作区工具栏的按钮,日志计数器将被清零,重新开始计数。此时,最近事件列表里的事件数据仍会保留,以便管理员浏览察看。2.1.4.冻结显示而选择菜单:安全信息监控-->清除计数器或用操作区工具栏中的冻结显示按钮则可以将当前显示冻结和显示最新数据之间进行切换。2.2.设备状态监控设备状态监控可以监控设备的运行状态参数,包括防火墙及网闸设备的CPU、内存、网口流量等。显示的内容包括设备当前状态,以及最近一段时间(数分钟内的状态变化历史曲线。2.2.1.启用设备状态监控要使用设备状态监控,请先确认:(请参考“联想网御防火墙,网闸设备配置”一节1要监控的防火墙或网闸设备已经设置了集中管理主机,主机IP地址是设备管理中为该设备分配的IP地址;2防火墙或网闸设备已经打开了集中管理功能。进入系统监控界面后,请选择菜单:安全信息监控-->显示状态监控进入状态监控界面,或点击操作区工具栏中的按钮。2.2.2.察看设备当前状态在界面的上半部分,显示了被系统所管理的设备的主要运行参数,包括工作状态、CPU、内存、网络流量等,可以整体上了解全部设备的工作状态。其中状态灯,在设备无法连接时为红色,设备型号异常时为黄色,设备正常运行时为绿色。报警灯在收到设备报警后将从绿变红,用户在选中设备,并在下半部分察看过设备报警后,报警灯将从红变绿。在上半部分的监控设备列表中选中一个设备,将在下半部分的监控显示区显示该设备的信息,设备可监控参数的当前值,以及部分监控参数的历史曲线。也可以在这里用如果要查看该设备的设备描述,请点击下半部分的“设备描述”标签。如果要查看该设备的监控数据,请点击下半部分的“设备监控”标签。如果要查看该设备某个监控数据的历史图形曲线,可以在“设备监控”部分选中要查看的监控项目,单击右键。如果该监控项目有图形曲线,会弹出菜单:选择“显示监控曲线”,系统会显示出该监控项目的监控曲线。或者点击该下班部分的“图形”标签,再在标签右侧的选择框中选择要查看的项目。下图就是监控曲线。在曲线附近单击左键,曲线上将显示该点的数据值,并保留10秒。最近事件聚类同样以相同事件聚类的方式显示最近收到的事件,同样可以决定显示哪些级别的事件。设备报警是设备以SNMPTrap的形式发送过来的设备报警信息。当收到设备报警信息后,上半部分的报警灯将变为红色。2.3.配置设备监控的参数通过点击“安全信息监控”-〉“选项”,就会弹出如下窗口改变事件监控和设备状态监控的刷新周期。3.主机管理3.1.主要概念3.1.1.主机主机(Host指受到安全设备监控保护的服务器、PC业务设备。这些设备不直接受到联想网御事件服务器的管理和监控,却是整个事件服务器要管理的最终目标。通过安全设备发送的事件,系统就可以了解这些主机的安全状况。主机的属性包括主机地址、主机名称、部门、Windows计算机名、说明。3.1.2.部门部门是一组相关主机或部门的集合。部门可以嵌套,即部门可以包括部门(被包括的下级部门称为子部门,该上级部门称为子部门的父部门。每个部门在联想网御事件服务器的安全审计中被当作一个审计主体。部门的属性包括部门名称、上级部门、说明。3.1.3.主机列表主机列表由主机和部门组成,以一棵树的形式表现。整个主机列表树以根部门作为根节点,部门作为分支节点和叶节点,主机只能作为叶节点。树的层数可以达到9层,系统的部门总数可以达到50个,主机数量可以达到1000个。3.2.功能详细描述3.2.1.添加部门创建新部门是在主机管理树中创建一个新的部门。操作方式:在主机管理树上选中一个部门后(初始主机管理树为空,添加根部门时,不必先选中部门,有三种方式:z单击操作区工具栏的“添加部门”按钮;z在系统菜单“主机管理”,点击其中的“添加部门”项;z在当前的主机列表树中单击鼠标右键弹出菜单,选择“添加部门”项。系统弹出一个“部门属性”的对话框。建立一个新的部门,并将这个部门加入到某个已经存在的部门下。建立新的部门时,需要指定部门的名称(4-64字符、父部门。需要的话,可以给出不超过255个字符的描述。注意事项:部门的名称不能够重名。3.2.2.删除部门删除部门是在主机列表中删除一个已经存在的部门。操作方式:在选中主机管理树中要删除的某个部门后,有两种方式:z在系统菜单“主机管理”,点击其中的“删除部门”项;z在当前的主机列表树中单击鼠标右键弹出菜单,选择“删除部门”项。系统弹出一个“确认删除部门”的对话框。点击“是”按钮后,系统将除部门从主机列表中删除。注意事项:删除一个已经存在的部门。如果部门中已经加入了子部门或设备,则提示“该部门具有子节点”,并拒绝删除。3.2.3.修改部门修改部门是在主机列表中修改一个已经存在部门的属性。操作方式:在选中主机管理树中要修改的某个部门后,有两种方式:z在系统菜单“主机管理”,点击其中的“部门属性”项;z在当前的主机列表树中单击鼠标右键弹出菜单,选择“属性”项。系统弹出一个“部门属性”的对话框。可以直接修改。注意事项:部门的名称、说明、上级部门都可以修改。3.2.4.添加新主机添加新主机是在主机列表中添加一个新的主机。操作方式:在主机列表上选中一个部门。三种方式:z单击操作区工具栏的“添加主机”按钮;z在系统菜单“主机管理”,点击其中的“添加主机”项;z在当前的主机列表树中单击鼠标右键弹出菜单,选择“添加主机”项。系统弹出一个“主机属性”的对话框。建立一个新的主机,并加入到某个部门中。建立新主机时,需要指定新主机的名称(4-64字符、IP地址、描述(不超过255字符等属性。注意事项:主机的IP地址不可重复,主机的名称也不能重复。3.2.5.删除主机删除主机是在主机列表中删除一个已经存在的主机。操作方式:在主机列表上选中一个主机后,有三种方式:z单击操作区工具栏的“删除主机”按钮;z在系统菜单“主机管理”,点击其中的“删除主机”项;z在右侧主机列表中单击鼠标右键弹出菜单,选择“删除主机”项。系统弹出一个“确认删除主机”的对话框。点击“是”按钮后,系统将该主机从主机列表中删除。3.2.6.修改主机属性修改主机属性是在主机列表中修改一个已经存在主机的属性。操作方式:选中主机列表中要修改的某个主机。三种方式:z单击操作区工具栏的“主机属性”按钮;z在系统菜单“主机管理”,点击其中的“主机属性”项;z在当前的主机列表树中单击鼠标右键弹出菜单,选择“属性”项。系统弹出一个“主机属性”的对话框。可以直接修改。注意事项:修改指定主机的名称、部门、Windows计算机名、说明等属性。主机地址不能被修改。第五章系统管理功能系统管理主要包括用户管理,系统日志的查询和维护功能。1.用户管理用户管理功能主要是对系统的用户(网络安全管理人员的账号和权限的管理。用户管理包括对用户帐号的查看、添加、删除,以及权限的查看和修改。1.1.基本概念.用户帐号用户帐号是联想网御事件服务器系统的用户(网络安全管理人员的账号。系统维护每个能够使用事件服务器的用户的账号及权限,每个用户的账号由系统管理员创建。用户帐号由用户名和口令组成。在系统创建用户帐号时,系统将用户名和口令保存在数据库中。同时生成一对保存用户名和口令的公私密钥对,并将公钥保存在数据库中,将私钥用计算机文件的形式导出到系统之外。私钥的名称就是用户名,口令保存在私钥文件中。.用户权限联想网御事件服务器系统对系统的所有用户划分权限进行管理。为了方便用户使用,管理方式分为用户管理和组管理。用户管理以每个用户为单元,为每个用户设定用户帐号、口令、信息和权限;组管理以每个组为单元,在组中添加用户,该用户就具有该组已设定的权限。系统预先设定三个用户组,分别是:z系统管理组:具有启动和操作系统管理控制台的权限;z设备管理组:具有启动设备维护和配置控制台的权限,进行设备维护,以及启动安全监控控制台的权限,实时监视网络安全事件,并接收事件警报;z安全审计组:具有启动日志审计控制台的权限,对全网安全设备的日志进行查询、统计、分析,并产生报表。1.2.功能操作描述单击联想网御事件服务器系统控制台功能选择区的“用户管理”按钮,进入用户管理模块。用户可以使用用户管理的各项功能。1.2.1.添加用户添加用户是在系统中创建一个新的用户,并导出该用户的许可证文件。操作方式:添加用户有三种方式:z单击显示区的工具条中“添加用户”按钮;z单击菜单的“用户管理”菜单项中的“添加用户”项;z在显示区树图中单击右键,弹出菜单,单击“添加用户”菜单项;以上任一方式会弹出添加用户对话框,请填入相应项,进行添加用户。输入过程中,请注意:用户名可以是英文字母和数字,且长度为1-10位,且不能与已有用户重复;口令为1-10位;如果添加时以上条件未满足,系统会提示输入错误,请重新输入。如果输入无误,请点击“确定”,系统将为用户生成许可证,请等待几秒钟。1.2.2.删除用户删除用户是在系统中删除一个已经存在的用户。操作方式:在显示区列表选中用户后,有三种方式:z单击显示区的工具条中的“删除用户”按钮;z单击菜单的“用户管理”菜单项中的“删除用户”项;z在显示区列表中单击右键,弹出菜单,单击“删除用户”菜单项;使用以上三种方式的任一种,会弹出确定是否删除的提示框,提示是否真的要删除该用户。1.2.3.查看和修改用户属性查看和修改用户属性是在系统中查看和修改一个已经存在的用户的属性。操作方式:在显示区列表选中用户后,有四种方式:z单击显示区的工具条中的“用户属性”按钮;z单击菜单的“用户管理”菜单项中的“用户属性”项;z在显示区列表中单击右键,弹出菜单,单击“用户属性”菜单项;z双击显示区列表中的用户条目。使用以上方式的任一种,会弹出用户属性对话框,就可以看到相应用户的属性。如果需要就进行相应的用户属性的修改操作。用户名称是不可以修改的,弹出的用户属性对话框中用户名称项变灰。可以修改的用户属性是用户描述信息。2.系统日志系统日志供系统管理员对管理中心产生的日志进行查看。由于联想网御日志服务器系统是分布式大型管理系统,系统管理员可以通过在系统管理控制台查看当前管理中心的运行状况,与其它组件连接情况,用户登录情况,以及操作情况。单击功能选择区的“系统日志”按钮,进入系统日志界面。系统日志功能主要分为查询和清空。系统日志主要分为如下几大类:系统日志,用户登录日志,适配器登录日志,系统管理日志,设备管理日志,策略管理日志。系统日志的内容主要有如下几项:时间、类型、用户、终端、操作、结果、原因、日志原文。2.1.浏览日志浏览日志是在浏览系统中的系统运行及管理日志。操作方式:选中显示区树图根结点,显示区列表区将显示所有的系统日志;依次单击树图标中的“用户登录日志”,“系统管理日志”,“设备管理日志”等等,显示区列表区将分别显示该类型的日志。查询日志可以分别按照类型和时间,以及类型和时间的组合进行查询。操作方式:查询操作日志有三种方式:z单击显示区的工具条中“查询”按钮;z单击菜单的“系统日志”菜单项中的“查询”项;z在显示区树图中单击右键,弹出菜单,单击“查询”菜单项;显示区下拉出查询日志界面,可以根据时间段对列表中显示的日志进行筛选。时间段选好后,单击“确定”,查询日志界面自动缩回,列表显示符合树图的选择类型和设定时间段的所有日志条目。2.3.清空日志清空日志是根据日期的设定,清空该日期以前的系统中的日志。操作方式:有三种方式:z单击显示区的工具条中“清空”按钮;z单击菜单的“系统日志”菜单项中的“清空”项;z在显示区树图中单击右键,弹出菜单,单击“清空”菜单项;系统将自动删除设定日期之前的所有日志条目。注意:系统不会删除当天的日志。第六章安全审计这里介绍的是联想网御事件服务器Web应用程序的主要概念和操作方式。Web应用程序主要向用户提供了安全事件查询和安全信息分析功能。在进行安全信息分析时可提供一定的在线分析功能。在安全审计界面等顶部功能条就是安全审计功能的划分,包括:安全事件查询、安全信息分析、系统配置、帮助和退出。其各项功能的含义见以下各节分别说明。1.安全事件查询通过安全事件查询功能用户可以查询到所有由管理系统收集到的安全事件。在任何情况下,通过点击顶部功能条上的“安全事件查询”就可以进入安全事件查询的功能。其中左侧为可以进行查询的13种事件类型,可以通过点击各个事件类型来进入各种事件的查询。右侧显示的是该项查询的条件或结果。1.1.主要概念1.1.1.安全事件安全事件是指安全设备发送的安全日志和安全事件,联想网御事件服务器的审计系统共处理八类安全事件:包过滤、代理、用户访问、入侵攻击、邮件过滤、URL过滤、设备运行状况、设备管理、IPSecVPN日志、HA运行日志、HA探测日志查询及网闸数据传输日志,因此共产生了13种不同安全事件的查询,如下所示。z包过滤日志查询:用来查询各种防火墙产生的包过滤日志z代理日志查询:用来查询各种防火墙产生的代理日志z用户访问日志查询:用来查询各种防火墙产生的用户访问日志z入侵攻击事件查询:用来查询各种防火墙、网络入侵检测系统产生的入侵攻击事件日志z邮件过滤事件查询:用来查询各种防火墙、邮件过滤系统产生的邮件过滤事件日志zURL过滤日志查询:用来查询各种防火墙产生的URL过滤日志z设备运行状态日志:用来查询各种安全设备产生的设备运行状况的日志z设备管理日志查询:用来查询各种安全设备被管理时产生的日志zIPSecVPN日志查询:用来查询VPN设备产生的各种日志zHA运行日志日志查询:用来查询各种安全设备HA集群运行日志zHA探测日志日志查询:用来查询各种安全设备HA集群探测日志z网闸数据传输日志:用来查询网闸设备产生的各种数据交换日志z更多事件查询:包括无法被正确解析的日志同时为了可能出现的未知的日志类型,因此还保留了未知类型事件查询。1.1.2.安全设备安全设备,也可以简称为设备。指的是防火墙,安全隔离网闸,IDS等网络安全设备。用户可以选择查询哪个设备发出的安全事件。其界面如下所示。用户可以直接点击设备节点,从而选中某个安全设备。注意在选择后,仍可以通过点击某些节点以去掉对其的选择。1.1.3.部门和主机将受到安全设备监控保护的服务器、PC等业务设备按照部门组织成树状,并将受到安全设备监控保护的服务器、PC等业务设备称作主机,参见“主机管理”。用户可以通过部门选定主机,如下图所示。当用户选定了某个部门时,表示选定的是其下的所有主机,以及其各级子部门及其主机都将被选中。可以去掉已经选择的主机或部门。注意:在系统中加入一个主机时,虽然其Windows计算机名不是必须输入的属性,但如果不提供,可能会造成某些信息审计不全面。1.1.4.事件级别事件级别表示事件可能的危害程度和需要被处理的紧迫程度,系统将其从严重到正常分为四级:高、中、低、无。1.1.5.地址地址通常包括IP地址、Windows计算机名、URL地址和电子邮件地址等形式。用户可以通过部门指定一台主机,将该主机的IP地址作为地址,也可以通过如下的界面,自行输入任何形式的地址。这两种方式填写的内容的并集是地址的范围。注意:其支持所有的SQL语句的通配符。有些地址只能够是IP地址,在这种情况下,弹出窗口中只存在上述IP地址输入的相关内容。1.1.6.时间的概念时间范围可以选择开始时间和结束时间来说明,也可以通过选择最近若干小时/天,最近的含义是从开始查询的时间算起往前推算的时间。例如10:30:00开始的最近2小时是指从8:30:00开始到10:30:00结束的时间。如果是从弹出窗口中选择开始或结束时间,那么在选择好时间后通过点击日期就可以选定时间从弹出窗口中返回。1.2.主要功能在进入安全事件查询后,用户可以查询所关心的安全事件,并将安全事件查询的结果导出到文件或打印出来。而但打印的范围是当前页。1.2.1.查询所关心的安全事件可以通过点击各个事件类型来进入各种事件的查询。进入相应的事件查询后,首先需要填写各个查询条件。查询条件包括公共查询条件和每种事件特有的查询条件。条件的设置见“事件查询条件设置和查询结果显示”。除了“时间范围”条件是用户必须使用的条件外,其他查询条件用户可以通过点击条件名称前的选择框来选择使用该条件。条件之间是与的关系,也就是用户指定的条件越详细,查询结果的范围越小。注意有些条件存在多种指定方式,因此只有将方式前的选择选上,该种方式所填写的内容才起作用。下图就是选择了事件级别作为条件。某些条件中会存在按钮,这样用户需要点击该按钮,这时会弹出一个窗口,用户只需在该窗口中进行选择或输入就可以了。注意用户选择使用某条件后,必须填写相应的条件内容。否则,系统报错——将要求用户填写空白条件,如下图所示。在填写好条件后,用户点击页面底部的查询按钮,就可以开始查询,并将查询结果显示出来。用户可以设置每一页显示多少条查询结果,参见“参数配置”,缺省值为20条。显示结果如下图所示。最上面的是查询的题目,例中是对包过滤日志进行查询,所以为“包过滤日志查询结果”。在左上方是对查询结果的导航按钮,其中表示下/上十页查询结果,是上一页,是下一页,如果为灰色为不可用。在右上方的是功能按钮,其中按钮可以返回到原来的查询条件页面,重新进行查询。和表示将当前页查询结果导出到文件或进行打印。除了未知类型事件查询外查询结果的列表中都有按钮,点击该按钮将弹出一个窗口显示原始报文。1.2.2.导出安全事件查询结果到文件点击按钮就会弹出导出到文件窗口。注意导出后可能需要手动关闭一个空白IE窗口。1.2.3.打印安全事件查询结果点击按钮,就会弹出一个窗口将当前页查询结果编辑成可打印的形式,此时点击IE浏览器的“文件”菜单下的“打印(P…”就可以打印该查询结果了。2.安全信息分析用户可以通过安全信息分析对所收集到的安全信息进行汇总分析,并提供部分在线分析的功能。在任何情况下,通