信安系统主要功能模块流程说明

设备已配置正确DNS，审计端设备能连通。1、CU管理器:执行单元：block模块，执行封堵功能2、般情况下抓包口是审计设备的eth0和eth1，具体抓包口需要根据实际使用进行配置网卡流量确tcpdump：tcpdump–ieth0网卡驱动确审计端vi/etc/modprobe.conf 100，则可以正常安装或升级。- 看一下这个数字：如果这个数字加上上面配置文件里面的一起还是<100,100进程确 cd/usr/seentech/netguard/tools---下图中的rp标号每隔几秒会进行更新，没有进行更新时需要重启该进程。 shrun.sh 其他配置信息确 CU管理服务器已配置正常的范围，先界面确认配置正确，再进行数据审计端确认范围已同步，与设置范围一致。sys_machine_info du-shactiondu-shpost_filedu-shethtoolKeth4rxofftxoffsgofftsooffethtoolk关闭混杂模式令：ifconfigeth0-promisc（有宽广设备时考虑改操作，其他情况慎操开启混杂模式令：ifconfigeth0promisc3、流策略选取说对于下发策略前需要确认选取哪些IP，，URL，关键字作为策略的内容，需满足下选择的目的IP，源IP，，URL，关键字对应的URL均需要是能审计到的，即选择的IP//URL在审计的流水表http_xxxx_xx_xx中是可以查询到的；(界面上查自己所选取的，确认流量能都流入机房确认所的的IP在范围内实现过由管局侧下发监测策略---→CU管理服务器收到策略后转发给审计端---→审计端通过中为信息----→CU管理服务器进行汇总处理----→信息上报给管局进程说CU管理服务器进程 CU管理服务器mand（显示接受的管局下发的策略表，管理指令菜单内容， scheme_id user_（IP，，URL经中间件加载库表，入此库才能生效，tab__keyword（含有关键字的策略经中间件加载库表入此库才能生效，scheme_idURL中间件入库t_开头的那几张表，并合并策略，将含有关键字的策略保存到CUalarm_collect_config（rule_identifier日志的策略标识）alarm_http_2014_03_07（rule_identifier日志的策略标识）http_2014_03_07(flag=2会记录为日志注意关键字时http_2014_xx_xx表中flag值为4，alarm_http_2014_xx_xx表flag值2。日志产生和上报说、审计端审计数据在协议模块里面提取出ipurl关键字等信息之后将、tab__protocl_proclist志记录数，匹配中策略的记录则上报到CU管理服务器（本地未保存数据）在审计端本身手动创建alarm_http_YYY_MM_DD(从CU管理服务器过来)等对应的数据表，才能够存入数据。配置项为：/usr ns_netinel.conf配置文件中，设置write_alarm_to_local=1，然后重启进程即可】write_alarm_to_local=0时，CU管理服务器主进程接收到中间件上传的数据后，再次匹配一次策略（CU管理完全和审计端的策略不一致作了一个保障，基本可以不管匹配好的入库CU管理服务器的alarm_http_xxxx_xx_xx等数据表。CUAlarmOptSalarm_collect_config表里面配置的，从对应的数据表里面(alarm_http_xxxx_xx_xx等表)获取数据，分析放入到alarm_collect_xxxx_xx_xx流水表中。的table_name当前处理表必须为当前的时间查询的id值为更新为查询到的alarm_http_xxxx_xx_xx记录数。alarm_collect_xxxx_xx_xxrule_identifier一般需能在策略表如t_表中查询到。rule_identifier=scheme_id。日志上报给管局，需alarm_collect_xxxx_xx_xx表中的日志所对应的策略号rule_identifier在mandrule_identifier=commandID，且该commandID（commandID在mand4、IP/URL/封堵流管局下发过滤策略--→CU管理服务器接收到策略后下发到流量管理平台（以下分--→流量管理平台设备为第设备，则直接转发给第设备完成封关键--→审计端通过中间件加载策 →数据流到审计端后与策略进行关键字匹配，得URL--→URLCU管理服务器--→CU管理服务器接收--→流量管理平台设备为第设备，则直接转发给第设备完成封进程说CU管理服务器进程：流量管理进程IP/URL/过滤策略下CUPHPCU管理服务器流量管理平台 (数据库：blockServer)自身设备执行封堵：审计端执行单元(数据库：clear,过滤信息入此库才能生效)URL的过程，所以其策略下发入表同CUPHPCUt_ URLURLCU 如果是第设备执行封堵：第设备将封堵日志通过ftp上传给CU管理服务器/tmp/kuanguang/block_logs，CU管理服务器解析封堵日志文件入库即可。统计封堵日志。封堵产生的日志首先生成在clear数据库里面管理平台的collectData进程从数据库clear数据，读完后会清除掉，另外写入封堵日志文/usr/seentech/block/data/logfile，然后由dleanC进程上传到流量管理平台下的/usr/seentech/block_interface/block_logs（封堵日志）和/usr/seentech/block_interface/block_count（）下，并且在数据库blockServer做了一个备份一级中心通过一个线程将封堵日志和封堵统计匹配策略并写入数据库。/usr/seentech/block_interface/block_logs有未解析和已解析的dat文件，只有已解析的文件才能产生数据库记录，dleanS进程会继续处理未datblock_file_log_back，如图所示：封堵日志block_http_xxxx_xx_xx或block_xxxx_xx_xx表中对应的策略号rule_identifier一般需能在策略表block_scheme表中查询到。block_http_xxxx_xx_xxblock_xxxx_xx_xx表中的日志所对应的策略号rule_identifier在mand表能都查到，即rule_identifier=在mand表中只能查询到一条记录，有两条表示一条是新增一条是删除就5、CU管理服务器和EU支持组合策略的和封堵，IP/URL//关键字等类型，支范围下这个URL有该关键字才能产生或封堵效果。组合策略的生效都是将多种类型的组合转换为单类型的策略或较简单的组合策略组合策转换类6、CU管理服务器导入批量策略进行下发，下发到审计端后由中批量策批量策略不同于正常下发单条策略下发单条策略时是一条指令对应一个策略在数据库表中的体现为（1W1WURL的批量策略为CU1Wuser_（1W个URL入此库才能生效tab__keyword（1W个关键字入此库才能生效1W1W次。IP//url的批量过滤策略处理过程：界面的下发的批量策略分单条入库到CU管CU该快速通道使用NMP_User（批量过滤策略不经过流量管理平台，直接由快速通道下发）CUblock_scheme（1WURL记录快速通道：NMP_User 审计端执行单元（clear数据库block_url_（1W条URL记录，入此表才能生效关键字批量过滤策CUCU管理官的策略表中，直接写入到审计端的策略表中，CUt_ tab__keyword（中间间加载后1W条关键字URLURL7、文件51~55是私有接口定义的文件，属于自定义，其他厂商不一定按照此格式上文件1 经营者表 send_flag=0and机房表用户表: ftpstatus=1andsend_flag=0andcheckdata=1and文件2 IPismsm_housemonitor表中，才会上报给管res_ips表中creatorid=autoicpstatus=1res_表中icpstatus=1（1表示未备案2表示备案3表示异常IP地址类型：errorIP的各种类型（01：IP2：IP登记有误，3：IP未登记 记录实际 文件 日志查询结果上报条件：管局下发CU管理服务器日志查询指令，从审计端查询到满足条件的数CU管理端收到的日志查询指令表文件 监测日志文件 过滤日志文件6管理指令查询结果：企业侧正在生效的策上报条件：管局下发管理指令查询指令，CU管理服务器从策略表中查询到正在生效的指令后直接在生成上报文件文件7 ISMS活动状态：机房的状态和设备使用状况sys_machine_statCU管理服tab_sys_machine_stat10分钟上报一次。CUisms_house_stat_collect，2企业对应配置表：tab_sysconfig，`configid`LIKE文件51基础数据及备案信息：IP、信息，机房机位信IP，的上报：审计端从审计数据中提取IP和信息，res_ips，res_，理服务器判断将段内的IP通过私有接口上报给管局上报条件：res_,res__ip表中都有数据，且res_表_type=2ANDlocation_type=0ANDsend_flag0IP上报条件：res_ips表`commandID`2andcreatoridautoANDsend_flag=0文件52量数据CU管理服务器的53过滤状态res_,res_ips表中isstop为1表示过54CU55虚拟帐号数据999对应处理结果 数据上报过CU管理端在/usr/seentech/netguardServer/data/的具体文件夹下可以查看是否文件生成后由idc_load进程完成上报生成的上报文件在上报完成后会自动清除，xml文件会记录一次上报的详细信息，该文件时间会进行更新ftp服务正常。8、备份后在CU管理端的位置为将备份的数据开拷贝到本地并变更备份文件的名称为xxxxxxx.tar.gz,如 导入改tar.gz文件，在数据库中flushtablexxxxxxxxxx(表名)，及可恢复数据。备份路径：一般配置为/data/ftpback/idc00000X（X为数据库编号，备份后的数据9、审计端统计表说 BBS统计量rpt_daily_hostorder_2014_02统计量rpt_daily_weiboorder_2014_03统计量rpt_daily_wtypeorder_2014_02类型统计量统计分析进以下部分内容在没有特殊要求下一般使用不到10、IPV6bufipv6的数据包放到该进程中处理（tools下面IPv6与IPv4的对应关系保存到审计端数据库ipv4_ipv6_info表里，中间件上报到中心入ipv_ipv6_info表里。 11、审计说页面数据库日志流水表中(如 （类型）/in_port（端口）字段。类型没有数据库表，是界面写