天玥网络安全审计系统用户手册.pdf

天玥网络安全审计系统 V6.0 天玥网络安全审计系统 V6.0 用户使用手册 用户使用手册 启明星辰信息技术有限公司 2005-03 启明星辰信息技术有限公司 2005-03 天玥网络审计使用手册 启明星辰信息技术有限公司 1 地址：北京市海淀区中关村南大街 12 号 188 信箱 电话传真网址： 版权声明 版权声明 北京启明星辰信息技术有限公司2005 版权所有，保留一切权力。 本文档中的信息归北京启明星辰信息技术有限公司所有并受中国知识产权法和国际公 约保护。本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另 有特别注明,未经启明星辰书面同意不得擅自拷贝、传播、复制、泄露或复写本文档的全部 或部分内容。 “天玥”为北京启明星辰信息技术有限公司的注册商标，不得仿冒。 信息更新 信息更新 本文档及其相关计算机软件程序 （以下文中称为“文档”） 仅用于为最终用户提供信息， 并且随时可由北京启明星辰信息技术有限公司（下称“启明星辰”）更改或撤回。 声明 声明 本手册的内容随时更改，恕不另行通知。 启明星辰公司对本手册的内容不提供任何担保， 本手册如有谬误， 启明星辰公司概不负 责，对于使用本手册造成的与其有关的直接或间接损失，亦概不负责。 出版时间 出版时间 本文档由北京启明星辰信息技术有限公司 2005 年 03 月制作出版。 天玥网络审计使用手册 启明星辰信息技术有限公司 2 地址：北京市海淀区中关村南大街 12 号 188 信箱 电话传真网址： 目录 目录 目录.2 第一章 天玥网络安全审计系统简介.4 1.1 系统概述.4 1.2 系统功能.4 1.3 系统特征.6 第二章 系统组成和运行环境.7 2.1 系统组成说明.7 2.1.1 审计引擎.7 2.1.2 数据中心.7 2.1.3 审计中心.8 2.2 系统运行环境要求.8 2.2.1 审计引擎.8 2.2.2 数据中心.8 2.2.3 审计中心.9 2.3 典型应用.9 第三章 系统安装和操作.11 3.1 天玥网络安全审计系统安装说明.11 3.1.1 审计引擎的配置.11 超级终端安装及设置.11 审计引擎串口配置.15 审计引擎串口应用配置.17 重点审计内网 IP 地址范围配置 .18 3.1.2 数据中心的安装.19 3.1.3 审计中心的安装.20 3.2 天玥网络安全审计系统操作指南.20 3.2.1 第一步：数据中心配置.20 3.2.2 第二步：审计配置管理.27 3.2.3 第三步：审计中心操作.31 3.3 维护天玥网络安全审计系统.43 天玥网络审计使用手册 启明星辰信息技术有限公司 3 地址：北京市海淀区中关村南大街 12 号 188 信箱 电话传真网址： 3.3.1 用户管理.43 3.3.2 数据库维护.49 3.4 天玥网络安全审计系统卸载.50 第四章 应用实例.51 第五章 使用 FAQ.54 天玥网络审计使用手册 启明星辰信息技术有限公司 4 地址：北京市海淀区中关村南大街 12 号 188 信箱 电话传真网址： 第一章 天玥网络安全审计系统简介 第一章 天玥网络安全审计系统简介 1.1 系统概述系统概述 天玥网络安全审计系统是启明星辰信息技术有限公司自主开发的网络安全审计产品， 天 玥网络安全审计系统基于网络数据流的高速俘获、协议分析、会话重组技术，通过旁路侦听 的方式对网络数据流进行采集、 分析和识别， 实时监视网络系统的运行状态， 记录网络事件， 发现安全隐患，并对网络活动的相关信息进行存储、分析和审计回放。 来自网络的安全威胁日益增多， 很多威胁并不是以网络入侵的形式进行的， 这些威胁事 件多数是来自于内部合法用户的误操作或恶意操作， 为了有效监控这类操作， 需要专门的网 络安全审计系统。网络安全审计通常要求专门细致的协议分析技术，完整的跟踪能力，数据 查询和过程回放功能， 仅靠系统自身的日志功能不能满足这些网络安全事件的审计要求。 在 这样的安全审计需求下， 启明星辰凭借在入侵检测领域多年的技术积累和研发经验， 推出了 适用于百兆和千兆网络环境的天玥网络安全审计系统。 天玥网络安全审计系统主要用于网络安全事件的事后查询和取证工作， 可以部署在用户 网络环境中具有关键资产的网段，审计对象通常为重要的网络应用内容，如网页浏览、收发 邮件、存取文件等；天玥网络安全审计系统可以对普通网络用户的上网行为进行审计。 天玥网络安全审计系统强大而完善的功能、简单的操作、友好的用户界面、全面的技术 支持解除了您的后顾之忧，是您值得信赖的网络安全产品。 1.2 系统功能系统功能 1典型网络行为审计 1典型网络行为审计 系统提供对 HTTP、SMTP、POP3、TELNET、FTP 等典型网络协议应用进行审计，记录网络 事件的源 IP 地址、源主机名、目的 IP 地址、目的端口、协议类型、连接时间以及详细的连 接过程数据，并可以对用户行为进行完整回放，有效监控用户的上网行为和常用网络操作。 2文件共享审计 2文件共享审计 天玥网络安全审计系统能够对Windows网络环境中基于Netbios的文件共享服务进行审 计，实时监控并记录网络用户对网络资源的文件共享操作。 3数据库操作审计 3数据库操作审计 天玥网络审计使用手册 启明星辰信息技术有限公司 5 地址：北京市海淀区中关村南大街 12 号 188 信箱 电话传真网址： 天玥网络安全审计系统能够实时监控并记录网络用户对数据库服务器的读、写、查询、 添加、修改以及删除等操作，并可以对数据库操作命令进行回放。目前天玥网络安全审计系 统支持对 SQL Server 数据库服务器的操作审计。 4非法网站跟踪审计或内容含有关键字审计非法网站跟踪审计或内容含有关键字审计 对某些非法网站， 可以配置非法网站跟踪审计， 实时记录网络用户对非法网站的访问操 作。对内容含有关键字的审计，用户可以自定义关键字。在网络中存在关键字的内容，则系 统会实时记录访问的操作和内容。 5流量审计 5流量审计 系统提供网络流量审计功能，实时监控网络中的 TCP、UDP、ICMP 和 IGMP 协议字节流量 和 IP 包流量。 6事件回放 6事件回放 系统提供网络事件回放功能， 用户可以对网络事件原始内容进行完整回放， 直观地查看 网络用户的上网行为及相关操作， 例如对于 HTTP 协议事件可以回放用户所浏览的网页内容， 对 SMTP 和 POP3 协议事件可以回放邮件的完整内容，包括邮件主题、内容以及附件。 7数据查询 7数据查询 系统提供历史审计数据查询功能，操作者可以在权限范围内对历史审计数据进行查询、 浏览、报表制作等操作。 8审计报表 8审计报表 系统提供审计报表生成功能， 用户可以将历史审计数据的查询结果导出为不同形式的审 计报表，向相关主管部门进行汇报。 9自定义黑名单审计自定义黑名单审计 天玥网络安全审计系统为用户提供了黑名单设置功能， 用户可以根据自己网络的实际状 况，重点审计主机列入黑名单。天玥网络安全审计系统对黑名单上的主机进行重点监控，并 在审计中心实时显示黑名单主机的活动情况。 10用户管理 10用户管理 为了保证网络审计数据的安全性和隐私性， 天玥网络安全审计系统采用多用户分权限管 理， 用户只能在其权限内对网络数据进行审计和相关操作。 用户管理同时还可以对每一种权 限的使用人员的操作进行审计记录， 可以由用户管理员进行查看， 具有一定的自身安全审计 功能。 天玥网络审计使用手册 启明星辰信息技术有限公司 6 地址：北京市海淀区中关村南大街 12 号 188 信箱 电话传真网址： 1.3 系统特征系统特征 1分布式集中管理体系 1分布式集中管理体系 天玥网络安全审计系统在设计上采用审计引擎、 数据中心和审计中心三层结构， 每个数 据中心以一对多的方式连接管理多个网络审计引擎， 审计中心和数据中心可以多对多进行审 计控制显示。 天玥网络安全审计系统的三层结构设计满足了用户在大型网络环境中分布式部 署网络安全审计系统的需求， 同时审计中心控制台可以灵活安装在网络的不同位置， 配合天 玥网络安全审计系统的用户管理程序，满足不同级别的用户对审计数据的管理查询。 2全面的网络审计能力 2全面的网络审计能力 天玥网络安全审计系统提供对常见网络应用的审计功能， 同时为用户提供了多种自定义 审计内容设置， 如制定黑名单等， 方便了用户根据自身的网络结构和网络应用情况定制审计 对象和审计内容。 3高度的自主安全保障 3高度的自主安全保障 天玥网络安全审计系统在设计上充分考虑到了自身的安全保障问题， 在网络审计引擎端 采用基于 Linux 内核定制的安全操作系统，并用无 IP 网口对被审计网络进行旁路侦听。同 时网络审计引擎与数据中心进行互相认证， 数据传输加密。 在审计中心采用多用户分权限管 理机制， 既保证特定用户只能对其权限内的审计内容进行审计操作， 同时用户管理程序具有 自审计功能，对于每一种权限的使用人员的操作都有详细的审计记录。 天玥网络审计使用手册 启明星辰信息技术有限公司 7 地址：北京市海淀区中关村南大街 12 号 188 信箱 电话传真网址： 第二章 系统组成和运行环境 第二章 系统组成和运行环境 2.1 系统组成说明系统组成说明 天玥网络安全审计系统包括三部分：审计引擎、数据中心和审计中心，天玥网络安全审 计系统连接示意图如图所示： 图天玥网络安全审计系统连接示意图 2.1.1 审计引擎审计引擎 天玥网络安全审计系统的网络审计引擎采用旁路侦听的方式， 动态监视网络上流过的所 有数据包。对网络中的常见网络应用如：HTTP、SMTP，POP3、FTP、TELNET、NetBios 文件 共享、数据库操作等，以及用户自定义应用进行检测，并将事件上报数据中心，由数据中心 将数据存入审计数据库并上报审计中心。审计引擎适用的检测网络类型为 TCP/IP 网络。 2.1.2 数据中心数据中心 天玥网络安全审计系统数据中心集中管理审计引擎和审计数据，数据中心连接审计引 擎，接收审计引擎上报的网络事件数据，将事件概要信息实时存入数据库，并定时将引擎端 天玥网络审计使用手册 启明星辰信息技术有限公司 8 地址：北京市海淀区中关村南大街 12 号 188 信箱 电话传真网址： 的事件详细信息同步到数据库。 数据中心负责响应审计中心的连接请求， 向审计中心发送审 计引擎上报的网络事件。 通过天玥网络安全审计系统数据中心可以进行审计引擎管理、 数据 库配置和管理以及审计配置管理和审计配置下发。 为了保证审计数据的安全性和隐私性， 天 玥网络安全审计系统数据中心采用多用户分权限管理模式， 只有授权用户才能对数据中心进 行配置和管理。 用户管理同时还可以对每一种权限的使用人员的操作进行审计记录， 可以由 用户管理员进行查看，具有一定的自身安全审计功能。 2.1.3 审计中心审计中心 天玥网络安全审计系统审计中心是一个高性能的数据显示和查询系统， 审计中心连接天 玥网络安全审计系统数据中心进行工作， 一方面实时显示审计引擎上报的网络数据以及网络 流量， 并根据用户要求进行协议重组实现事件回放功能； 另一方面可以根据用户要求查询审 计数据库中的历史网络数据， 并根据用户需求生成审计报表。 天玥网络安全审计系统审计中 心采用和天玥网络安全审计系统数据中心相同的多用户分权限管理模式， 只有授权用户才能 进入审计中心进行网络安全审计工作。 2.2 系统运行环境要求系统运行环境要求 为了保证天玥网络安全审计系统 V6.0 的稳定运行和网络审计数据的安全性，建议用户 将天玥网络安全审计系统数据中心安装在专门的服务器上，不要和其他应用程序装在一起。 如果您的机器有非常充足的系统资源， 可以和其他的应用装在一起。 天玥网络安全审计系统 审计中心可以根据用户需求安装在网络的合适位置， 也可以安装在天玥网络安全审计系统 数据中心专用服务器上。 2.2.1 审计引擎审计引擎 网络接口：100/1000M 具有监听/镜像功能的网络端口 2.2.2 数据中心数据中心 操作系统 Windows 2000（中文版） ，SP4 以上 天玥网络审计使用手册 启明星辰信息技术有限公司 9 地址：北京市海淀区中关村南大街 12 号 188 信箱 电话传真网址： 数据库 MSDE、SQL Server2000，SP4 以上 处理器 Pentium 4 2GMHz 或更高 内存 不低于 256M，建议 512M 以上 空闲磁盘空间 不低于 100G 其他设备 光盘驱动器、网卡、键盘、鼠标、显示器 以上配置不包括对存放日志的 MS SQL Server 数据库服务器的要求。MS SQL Server 数 据库服务器的配置要求请参考微软公司提供的基本要求和建议配置。 2.2.3 审计中心审计中心 操作系统 Windows 2000（中文版） ，SP4 以上 处理器 Pentium 4 1GMHz 以上处理器或其他兼容处理 器 内存 256M 以上，建议 512M 硬盘 硬盘空间/剩余空间 10G 以上 网卡 Intel 100M 或其他 100M 以太网卡 其他设备 光盘驱动器、网卡、键盘、鼠标、显示器 2.3 典型应用典型应用 天玥网络安全审计系统典型应用如下图所示， 图中红色连接为审计引擎和天玥网络安全 审计系统数据中心之间的通讯连接， 绿色连接为天玥网络安全审计系统审计中心和天玥网络 安全审计系统数据中心之间的连接。 天玥网络审计使用手册 启明星辰信息技术有限公司 10 地址：北京市海淀区中关村南大街 12 号 188 信箱 电话传真网址： 天玥网络安全审计系统典型应用示意图 天玥网络审计使用手册 启明星辰信息技术有限公司 11 地址：北京市海淀区中关村南大街 12 号 188 信箱 电话传真网址： 第三章 系统安装和操作 第三章 系统安装和操作 3.1 天玥网络安全审计系统安装说明天玥网络安全审计系统安装说明 3.1.1 审计引擎的配置审计引擎的配置 超级终端安装及设置超级终端安装及设置 1、超级终端安装 “超级终端”是 Windows 9x、Windows NT 及 Win2k 下的程序，是 Microsoft 操作系统 中的一个常用组件。它能够通过串行或并行端口接受或发送 ASCII 码信息。 “超级终端”具 有反卷功能，此功能使用户能够看到已经滚动出屏幕的已接收文本。 方式 1： 在安装 Windows 95/98/2000/NT/XP 操作系统时，选中“通讯”选项中“超级终端”选项。 方式 2： 在安装 Windows 95/98/2000/NT/XP 操作系统时没有安装“超级终端” ，可以通过 Windows 95/98/2000/NT/XP 的“控制面板”的“添加/删除程序”项安装“超级终端” 。 2、 启动超级终端(以 windows2003server 为例) 3、 启动画面 天玥网络审计使用手册 启明星辰信息技术有限公司 12 地址：北京市海淀区中关村南大街 12 号 188 信箱 电话传真网址： 新建连接名称输入相应名称 tianyue： 选择COM1口还是选择COM2口， 应根据通讯线所连接到控制中心PC的COM口号来确定。 建议连到 COM1 口。 天玥网络审计使用手册 启明星辰信息技术有限公司 13 地址：北京市海淀区中关村南大街 12 号 188 信箱 电话传真网址： 4、 端口设置 每秒位数（B）项选择“9600” ，其它速率无效；资料位（D）项选择“8” ；奇偶校验（P） 项选择“无” ；停止位“S”项选择“1” ；数据流控制（F）项选择“硬件” 。 5、 超级终端设置 天玥网络审计使用手册 启明星辰信息技术有限公司 14 地址：北京市海淀区中关村南大街 12 号 188 信箱 电话传真网址： 选择“文件”菜单中的“属性”选项，显示如下图所示画面。如果你不想看滚动出屏幕 的信息，请把“反卷缓冲区行数（B） ”设为“0” 。 按“设置”按扭，显示如下屏幕。 按“ASCII 码设置（A）.”按扭，显示如下屏幕。 天玥网络审计使用手册 启明星辰信息技术有限公司 15 地址：北京市海淀区中关村南大街 12 号 188 信箱 电话传真网址： 审计引擎串口配置审计引擎串口配置 天玥审计引擎利用超级终端进行基本设置， 配置好超级终端以后， 回车进入探测引擎启 动画面： 天玥网络审计使用手册 启明星辰信息技术有限公司 16 地址：北京市海淀区中关村南大街 12 号 188 信箱 电话传真网址： 输入正确密码进入(出厂设置为 1234567)。 天玥网络审计使用手册 启明星辰信息技术有限公司 17 地址：北京市海淀区中关村南大街 12 号 188 信箱 电话传真网址： 审计引擎串口应用配置审计引擎串口应用配置 出厂第一次安装应该配置网络引擎 ip 地址，如果要跨网段控制还要更改网关路由配置。 在超级终端上显示的控制界面分成 2 个部分： 配置选项配置选项和退出选项退出选项。 每个选项下有不同 的子项。在“VENUS： ”提示符后面输入 17 的数字，可以进入对引擎的各个配置选项。 以下依次对这些子项进行介绍： 【功能 1】 ：显示当前设置 显示当前配置信息，包括通讯网口的 IP 地址、子网掩码、路由配置等信息 【功能 2】 ：更改 IP 地址/子网掩码 更改通讯网口的 IP 地址及子网掩码。 新探测引擎的 IP 地址及子网掩码请向网络管理员 申请。 【功能 3】 ：更改路由配置 可以添加和更改原有路由配制。 天玥网络审计使用手册 启明星辰信息技术有限公司 18 地址：北京市海淀区中关村南大街 12 号 188 信箱 电话传真网址： 输入路由总条数(如输入 0 则表示删除当前所有路由)： （在每次输入后，会自动覆盖原来路 由信息但是，如果设置错误可以直接按“q”退出原来的路由信息不会改变） 。 输入目的子网网络地址：如果想要与 192.168.5.网段的主机进行通讯则输入 。 输入目的子网掩码地址：。 输入网关 IP 地址：(与要设定路由的网口地址在同一个网段内)。 依此类推，加入所要的路由信息。 【功能 4】 ：更改串口登录口令 可更改网络引擎密码。 网络引擎密码数为 7 位任意数字或字符。新密码输入多于新密码输入多于7位时， 取前 位时， 取前7位作为新密码；新密码输入少于位作为新密码；新密码输入少于7位时，新密码无效，旧密码仍然有效位时，新密码无效，旧密码仍然有效。步骤如下： ? 先输入旧密码 ? 输入新密码 ? 确认新密码 注：新网络引擎出厂时密码统一为“1234567” ，请注意更改。 密码设置不要过于简单，以免被盗用。 【功能 5】 ：打开或关闭 SSH 登录 打开 SSH 登录到引擎，或者关闭 SSH 到引擎的登录。 【功能 6】 ：重起引擎操作系统 可以将引擎重新启动。 【功能 7】 ：退出串口配置程序 退出串口配置程序；如果不退出，用户可以通过串口无需登录而直接操作串口配置 程序。 注：超级终端不能用窗口右上脚的关闭按钮直接关闭 ，因为这样只关闭了“超级终端”的 界面，而超级终端与探测引擎的通讯并未关闭。因此，每次更改探测引擎的基本参数后，必 须用选项“7”退出。在操作过程中出现错误操作时如需取消当前输入操作请按。如果 需要帮助请按。 重点审计内网重点审计内网 IP 地址范围配置地址范围配置 1远程登录审计引擎 1远程登录审计引擎 登录天玥审计引擎。有关登录情况，请咨询启明星辰公司技术人员。 天玥网络审计使用手册 启明星辰信息技术有限公司 19 地址：北京市海淀区中关村南大街 12 号 188 信箱 电话传真网址： 2配置文件 flow_rule.conf 2配置文件 flow_rule.conf 编辑安装目录下auditconf 文件夹中的文件 flow_rule.conf，将 ip_range 的值（等 号后的值）设置为被检测网段。 （命令：vi flow_rule.conf） #flow_rule defination file all_flowdefine event_id = 00000002 type = all ip_range = -55 # 设置为被检测网段，支持 A 类网段 IP 地址，此设置为系统 IP 段流量的统计显示 ip_flowdefine event_id = 00000004 type = ip_flow ip_range = -55 解释说明：每个事件 id 按顺序增加，所对应的是一个被检测类网段。此设置是重点 显示客户关注的每个 IP 段的事件和流量， 在内网 IP 列表中显示的 IP 地址的数据流量统计。 在配置监控网络段时只支持 C 类网段，也就是支持 -55，不支持用户配置 的 -55。用户要配置 -55 的网络监控，则必须配 置 255 条 IP 地址网络段 3配置完毕后需存盘（命令： ：wq） ，并重新启动系统（命令：reboot） ，上述配置才可生 效 3配置完毕后需存盘（命令： ：wq） ，并重新启动系统（命令：reboot） ，上述配置才可生 效 3.1.2 数据中心的安装数据中心的安装 1.准备工作 1.准备工作 数据中心的运行需要 SQL Server 数据库支持. 安装数据中心之前，请确认系统中是否 安装了 SQL Server 数据库。如果没有，可以安装光盘中自带的 MSDE,或者用户自行安装 SQL Server 企业版. 安装 MSDE，只要点击 MSDE 文件下的 setup.exe 就可以。安装完需重启机 器。SQL Server 企业颁布的安装过程请参考安装手册. 2.数据中心的安装 2.数据中心的安装 以上准备工作完成之后,进入天玥数据中心的安装.将天玥网络安全审计系统 6.0 安装 天玥网络审计使用手册 启明星辰信息技术有限公司 20 地址：北京市海淀区中关村南大街 12 号 188 信箱 电话传真网址： 光盘放入光盘驱动器，双击桌面“我的电脑”图标，然后打开光盘驱动器，运行 DataCenter 目录下的 setup.exe 按提示完成安装。具体操作请参考安装手册 安装完数据中心后，启动数据中心程序。具体操作见 3.2.1 的数据中心配置。 3.1.3 审计中心的安装审计中心的安装 将天玥网络安全审记系统的安装光盘放入光盘驱动器，双击桌面“我的电脑”图标，然 后打开光盘驱动器，运行 audit 目录下的 setup.exe 文件，按提示完成安装。具体操作请参 考安装手册。 3.2 天玥网络安全审计系统操作指南天玥网络安全审计系统操作指南 3.2.1 第一步：数据中心配置第一步：数据中心配置 启动天玥数据中心管理器:启动天玥数据中心管理器: 运行审计引擎管理程序 （开始?程序?启明星辰?天玥网络 安全审计系统?天玥数据中心?天玥数据中心管理器） ，进入登录界面。以系统初始用户管 理员帐号 “Admin” ，默认口令为“cyberaudit”登录。 右击托盘图标，可以进行如图所示的操作： 选择“打开数据中心管理” ，并选择“数据库设置”标签页, 当前使用数据库默认为 本地数据库服务器,即 IP 地址为 。界面如图所示: 天玥网络审计使用手册 启明星辰信息技术有限公司 21 地址：北京市海淀区中关村南大街 12 号 188 信箱 电话传真网址： 创建天玥数据库：创建天玥数据库： 为了使数据中心能够正确运行， 需要创建天玥数据库。 在系统托盘中， 用鼠标右键单击天玥数据中心管理器的图标， 在弹出的菜单中选择 “数据库管理工具-创建 天玥数据库” ，弹出创建数据库窗体，如图所示： 输入数据库服务器的 IP 地址、用户名和密码，点击“创建”即可完成天玥数据库的创建。 更改数据库密码：更改数据库密码：如果用户使用 MSDE 数据库，安装完后默认用户为 sa，密码为空。建 议用户使用“更改数据库密码”修改 sa 用户的密码。在系统托盘中，用鼠标右键单击天玥 天玥网络审计使用手册 启明星辰信息技术有限公司 22 地址：北京市海淀区中关村南大街 12 号 188 信箱 电话传真网址： 数据中心管理器的图标，在弹出的菜单中选择“数据库管理工具-更改数据库密码” ，弹出 更改数据库密码窗体，如图所示： 点击“确定” ，如下图所示： ? 数据库配置 数据库配置 更改数据库服务器：更改数据库服务器：如果用户需要更改数据库服务器，则要选中“更改设置”复选框, 输入数据库服务器的 IP 地址、用户名和密码（默认用户为 sa，密码为空） 。如图所示： 天玥网络审计使用手册 启明星辰信息技术有限公司 23 地址：北京市海淀区中关村南大街 12 号 188 信箱 电话传真网址： 配置后，要测试数据库连接是否成功，否则会影响以后的所有操作。点击“连接测试”按钮， 如果连接数据库成功，并且该数据库服务器上已经创建了天玥数据库，则如图所示： 如果连接成功，但该数据库服务器上没有创建天玥数据库，则会提示未创建数据库，如图所 示： 天玥网络审计使用手册 启明星辰信息技术有限公司 24 地址：北京市海淀区中关村南大街 12 号 188 信箱 电话传真网址： 这时，需要用前面介绍的方法创建天玥数据库。点击“保存配置”按钮保存数据库配置。 数据库类型选择 数据库类型选择 按照系统实际情况选择相应的数据库类型。可以选择“使用 MSDE 数据库” ；也可以选择 “MicroSoft SQLServer 系列其他数据库” ，选择该类型时，要设定数据库开始清理的空间 边界值（默认为 1500M） 。根据用户实际需要决定是否选择“清理前备分数据库” 。设置完后， 点击“保存配置”按钮。 ? 参数设置 参数设置 ? 该功能要在数据中心管理器“参数设置”选项卡中设置，如图所示： ? 关键字内容匹配：关键字内容匹配：系统默认不启用内容匹配。如果要启用内容匹配功能，必须修改 同时控制中心、数据中心、引擎端的配置文件。控制中心的配置文件为安装目录下的 cyberaudit/console/config/CyberAudit.ini 文件中的 http 值为 2；数据中心管理器中的 “参数配置”下启用内容匹配；引擎端的配置文件/audit/conf/Detector.conf，把 HaveHttpLog 项的值改为 yes。 ? 数据库文件存储路径设置：数据库文件存储路径设置： 数据中心的数据文件及备份文件的存储路径用户可以自 天玥网络审计使用手册 启明星辰信息技术有限公司 25 地址：北京市海淀区中关村南大街 12 号 188 信箱 电话传真网址： 行设定。该功能要在数据中心管理器“参数设置”选项卡中设置。如上图所示。路径默认天 玥网络安全审计系统数据中心安装目录下的 cache 文件夹。 ? 磁盘开始清理的空间边界值设定：磁盘开始清理的空间边界值设定： 当系统安装目录所在的磁盘空间达到一个边界值 时，磁盘开始清理。这个边界值是允许用户自定义的，默认为 1000M。 ? 数据中心控制 数据中心控制 ? 启动/停止数据中心 启动/停止数据中心 启动数据中心，则数据中心跟引擎进行通信，处理引擎上报的事件内容。 选择当数据中心管理器启动的时候自动启动数据中心， 则不需要用户手动来启 动数据中心。 ? 获取状状态信息 获取状状态信息 获取数据中心数据库状态信息、 获取数据中心线程状态信息、 获取数据中心引 擎通道状态信息，可以帮助用户查看审计系统的运行状态。 ? 引擎管理 引擎管理 引擎管理界面内容包括引擎信息和操作按钮， 引擎信息显示已经加入到数据中心的引擎 天玥网络审计使用手册 启明星辰信息技术有限公司 26 地址：北京市海淀区中关村南大街 12 号 188 信箱 电话传真网址： 信息，包括 IP 地址和连接状态。点击信息窗口右侧的操作按钮，可以进行添加、删除、刷 新审计引擎等操作。引擎管理界面如图所示： ? 添加引擎 添加引擎 点击“添加引擎”按钮，弹出“引擎地址”窗口，如图所示。输入引擎通讯网卡 IP 地址，点击“确定” 。 ? 删除引擎 删除引擎 选中引擎列表中需要删除的引擎，点击“删除引擎”按钮。 ? 刷新引擎 刷新引擎 点击“刷新状态”按钮，刷新引擎的连接状态. 天玥网络审计使用手册 启明星辰信息技术有限公司 27 地址：北京市海淀区中关村南大街 12 号 188 信箱 电话传真网址： 3.2.2 第二步：审计配置管理第二步：审计配置管理 运行审计配置管理程序 （开始?程序?启明星辰?天玥网络安全审计系统?天玥数据中 心?天玥黑名单管理）启动天玥黑名单管理。系统安装后，初次启动的黑名单管理界面如图 所示： 1.新建策略 1.新建策略 点击工具栏的“新建策略”按钮,然后点击“新建项”按钮，则出现黑名单的配置窗口. 一个黑名单规则包括：协议、事件、源 IP 或目的 IP 等。 1）新建规则 1）新建规则 点击工具栏“新建策略”按钮或者选择菜单“策略-新建策略”,然后点击工具栏“新 建项”按钮或选择菜单“编辑?新建项” ，如图所示： 天玥网络审计使用手册 启明星辰信息技术有限公司 28 地址：北京市海淀区中关村南大街 12 号 188 信箱 电话传真网址： 在弹出的“黑名单规则定义”窗口中选择协议及事件名， 设置 IP 地址范围及时间范围。 点“确定”完成规则定义，新创建的规则显示在规则列表中，如图所示： 天玥网络审计使用手册 启明星辰信息技术有限公司 29 地址：北京市海淀区中关村南大街 12 号 188 信箱 电话传真网址： 2）编辑规则 2）编辑规则 选择黑名单项目列表中需要编辑的