网通:
中国电信
上网行为管理:
时间组
午休
下午
晚上:
周未
飞鱼星上网行为管理路由器 功能介绍 -标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
飞鱼星上网行为管理路由器VE系列 产品概述 飞鱼星上网行为管理路由器--VE系列(VOLANS Enterprise Series),专为企业、政府机关、教育及科研机构等用户设计,是具备“上网行为管理”和“多WAN路由器”双重功能的新一代硬件网络接入设备。它能帮助企业对员工使用因特网的情况进行监控、生成报表并进行管理;帮助企业提高员工的生产率、节省网络带宽并且减少法律风险。 飞鱼星VE系列基于INTEL IXP硬件架构,提供2-4条外线接入,为用户提供高性价比的网络解决方案。 飞鱼星上网行为管理路由器VE系列 产品特点 规范上网行为,员工工作效率高 ●在工作时间通过上网行为管理功能,规范员工的网络行为,杜绝办公室沦为“网吧”或 “游戏室”,从企业内部挖潜,大幅提高员工的工作效率。 ●能监控所有用户浏览网址的记录,也能禁止访问最热门的9大类网站,它们包括:休闲娱 乐、新闻资讯、聊天交友、网络游戏、电子购物、论坛博客、证券基金、电子邮件和网上银行等。支持网址分类库自动升级。 ●可以禁止员工在网络论坛上发帖,禁止登陆网页邮箱,保护企业的内部资料不被泄露。过滤 网址的关键字和文件后缀名,防止用户下载危险的文件,减少病毒来源。 ●轻轻松松管制QQ\MSN\飞信\SKYPE等聊天工具,并支持多个业务QQ号码的正常使用,这样 既能支持正常业务开展,又能防止使用员工使用私人QQ闲聊。 ●能有效限制BT\迅雷\PPLIVE\电驴等P2P软件,封锁多种主流炒股软件,既能保证正常工作 有足够的带宽,又能让员工专注工作,上班时间不分心。 ●SMTP邮件监控:对于发送的邮件以及附件进行备份监控,保证企业的信息安全。 多条宽带接入,提高网速又省钱 ●最多同时接入4条ADSL线路,捆绑线路提升带宽,节省费用并降低“单线故障”的风险。 内置电信、联通和教育网最新策略库,确保不同的运营商数据各行其道,让网络更流畅。 ●特有的线路负载均衡技术,可根据线路带宽比例和带宽占用率自动分配数据流,提高双线带 宽利用率,让您真正体验到双线的优势。 ●您还能通过 VPN应用连接到办公网络,安全的访问文件服务器、邮件服务器和局域网的所有 资源,就好像您在办公室一样,特别适合员工出差、在家办公等。 合理分配带宽,网络不卡不掉线 ●灵活的弹性流控能为每台在线的PC分配最佳带宽。网络繁忙时,自动抑制带宽大户,保证
天易成网管软件各版本功能区别
天易成上网行为管理软件的使用 1.登录 双击“天易成上网行为管理软件” 图标,打开软件。 服务端IP:填安装监控软件电脑的IP。如果是本机,则填127.0.0.1;用户名:默认,不能修改; 密码:用户自定义设置一个密码,登录。 2.首次使用 (1)部署模式选择 点击设置向导。根据网络结构和需要,选择部署模式。
(2)监控配置 选择监控网卡。配置名称根据需要自行命名。输入需要控制的IP范围。
(3)网络带宽设置 正确设置网络带宽。 (4)其他设置 A.开机自动开始管理:监控电脑开机后无需登录Windows,软件根据配置自动开始管理网络。 B.阻止ARP防火墙:仅适用ARP网关模式。被控电脑如果使用ARP防火墙会掉线。 C.启用自动均分网络带宽:被管理的电脑平均使用4.2.3中设置的上网带宽。D.定时清除不活动主机:软件会每隔一段时间清除一次关机电脑。 E.提高线程优先级:可提高本软件线程运行的优先级别。建议用户选择。F.限速方式:智能方法:被管理电脑网速稍有点波动,能充分使用上网带宽。精确方法:被管理电脑网速能精确控制,会浪费点上网带宽。 G.区分电脑方式:非VLAN网络环境选择MAC区分电脑,VLAN网络环境选择IP区分电脑。 (5)开始管理 点击快捷开始管理。 功能导航:详见第5章。 主机列表:显示局域网内电脑信息。
日志记录:滚动显示管理信息,并记录入日志数据库。 3.日志查询 通过IP,网卡地址,关键字,日期等查询电脑的上网行为。 (1)常规日志查询 查询日常管理日志 (2) 流量日志查询 查询电脑每天的上网流量 (3)聊天日志查询 查询电脑的聊天内容。专业版可以监控MSN聊天内容,企业版可以监控阿里旺旺聊天内容。 4.导入/导出 将所有配置和策略导出成文件保存。
入侵防御TOPIDP之IPS产品分析 学院:计算机科学与工程学院 年级:大三 学号: 姓名: 专业:信息安全 2013.11.15
摘要 本文介绍了天融信公司开发的入侵防御系统I P S的产品特点、功能、特性以及应用等,使读者对I P S有一个简要的概念。 关键词:特点;特性:功能;
目录 摘要..............................一产品厂家 二产品概述 三产品特点 四产品功能 4、1 入侵防护 4、2 DoS/DDoS防护 4、3 应用管控 4、4 网络病毒检测 4、5 URL过滤 五产品特性 六产品应用 6、1 典型部署 6、2 内网部署 七结论
一、产品厂家 北京天融信网络安全技术有限公司1995年成立于中国信息产业摇篮的北京,十八年来天融信人凭借勇于创新、积极进取、和谐发展的精神,成功打造中国信息安全产业著名品牌——TOPSEC。 天融信是中国领先的信息安全产品与服务解决方案提供商。基于创新的“可信网络架构”以及业界领先的信息安全产品与服务,天融信致力于改善用户网络与应用的可视性、可用性、可控性和安全性,降低安全风险,创造业务价值。 ●构建可信网络安全世界 ●中国安全硬件市场领导者 ●快速成长的安全管理业务 ●互联网安全云服务的开拓者 ●实现安全的业务交付 ●安全研究与前沿探索 ●技术创新引领发展 ●国家安全企业责任 二、产品概述 天融信公司的网络卫士入侵防御系统(以下简称TopIDP产品)采用在线部署方式,能够实时检测和阻断包括溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务、木马、蠕虫、系统漏洞等在内的11大类超过3500种网络攻击行为,有效保护用户网络IT服务资源,使其免受各种外部攻击侵扰。TopIDP产品能够阻断或限制p2p下载、网络视频、网络游戏等各种网络带宽滥用行为,确保网络业务通畅。TopIDP产品还提供了详尽的攻击事件记录、各种统计报表,并以可视化方式动态展示,实现实时的全网威胁分析。 TopIDP产品全系列采用多核处理器硬件平台,基于先进的新一代并行处理技术架构,内置处理器动态负载均衡专利技术,实现了对网络数据流的高性能实时检测和防御。TopIDP产品采用基于目标主机的流检测引擎,可即时处理IP分片和TCP流重组,有效阻断各种逃逸检测的攻击手段。天融信公司内部的攻防专业实验室通过与厂商和国家权威机构的合作,不断跟踪、挖掘和分析新出现的各种漏洞信息,并将研究成果直接应用于产品,保障了TopIDP产品检测的全面、准确和及时有效。
XX公司 上网行为管理解决方案 文档编号文档版本V1.0撰写文档状态发布发起时间发布时间
一、应用背景 随着信息技术、特别是网络技术的普及,互联网已经渗透到工 作和生活的各方面。公司员工使用QQ聊天、网上购物、在线欣赏音乐和电影,通过BT等P2P工具下载互联网资源、收发个人邮件、 在论坛上舞文弄墨……只要员工有兴趣,他们就能在上班时间尽情 享受互联网带来的乐趣。 互联网一方面能够帮助企业提高生产力、促进企业发展;另一 方面也在企业管理、工作效率、信息安全、法律遵从、IT投资等方面给企业提出了严峻的问题与挑战。 针对用户互联网访问行为的管控,为贵公司带来了全面而灵活 的上网行为管理解决方案。帮助企业有选择的禁止、监控BT,炒股,聊天,MSN,管理QQ,监控邮件,带宽流量等,减少病毒,对员工 上网进行正确引导。 二、网络架构概述
XX公司现有网络拓扑结构 WAN:一条6M ADSL,两条4M ADSL 路由器:一台飞鱼星VE900 交换机:一台D-LINK DES1024A,一台TP-LINK TL-SF1024D,全部不带网管功能 8K报表 计算机:现用44台 三、XX公司在上网行为及计算机管理需求 就员工的非工作上网行为而言,可为分为四大类行为: 一类是获取与工作无关的资讯活动,如浏览新闻、看小说、看图片等;
二类是从网络上下载与工作内容无关的数据流,如下载音乐、电影等,以及利用可移动存储设备带走公司相关资料; 三类是从事获取个人收益的活动,如网上购物、炒股、兼职、发布广告等活动; 四类是进行虚拟世界的沟通活动,如上网聊天、BBS论坛、撰写博客、收发私人邮件等。; 另外据反映,有员工突破网络限制,进行非工作上网行为。 这些举动无疑影响了公司正常运营,降低了员工工作效率,还会造成带宽紧张,影响到整个企业的运营,也可能随之给企业带来的严重信息安全隐患。对于现代企业而言,网络无疑是一把棘手的双刃剑,如何改变员工滥用网络的难题,如何对员工上网行为进行有效的管理和控制,使员工上网行为朝着有利于企业大方向发展? 四、上网行为管理的解决方案 对于员工在公司的非工作上网行为,提供以下两个阶段的解决方案: 第一阶段:宽松自觉管理模式 经实地调研网络架构和所有设备后总结,在不改变现有所有设 备的状态下,先根据公司的要求在现有的路由器上(飞鱼星路由器:
飞鱼星路由器设置标准 1、恢复出厂设置,用带尖的物品一直点路由器上的孔,直到所有的灯都闪了一下,恢复后的路由器IP默认为192.168.0.1。 2、设置:系统状态,可以观察路由器的运行状、硬件信息等,系统日志要启动,内网监控要点成允许,然后保存;基础设置,配置向导一般都不会用到。内网配置,可以设置路由器内网IP 等。外网配置,一般都是用两个口,一口光纤,二口AD,然后填写好数据,缺省网关的地址依外网IP地址为标准的情况下,末位改成1,其他的默认,二口也是静态线路,二口网关倒数第二位设为2,其他设置和一口相同,提交后下面的智能均衡策略要选择原地址策略,其他配置就不用管了;网络安全,防火墙设置很少用可以不管,攻击防御,外网的选项全部禁止,内网的选项只禁止最后两个,安全防御等级改为中,其他默认。连接限制,要开启,并且设置为200(网络连接)和500(UDP连接)然后保存。MAC地址绑定要绑定地址必须需要客户机开机的状态下,保存。域名过滤,可以设置多少号到多少号不能开某个网站;Qos流量过滤,一般用传统流控,游戏优先保障要开着,然后设置流量限制,设置光纤和AD流控,光纤上行要保证40KB,下行看网吧的网速,AD上行设置个30KB就行了,下行还是看网吧网速,设置流控时IP地址不能包括路由器IP,服务器等网段要单独设置流控,上行40KB,下行1000KB。应用优先级,最高级优先级拖到QQ上面,QQ和网络应用拖在高级优先级,有
P2P功能的软件拖在最后。(智能流控:网页优先要勾,下面的设置点击自定义,设置都看网吧的网速填写,上下行紧张阀值一般设置为75%,然后保存;二口设置把阀值设置为80%,保存);高级选项,端口映射,部外部都添加3389(只填前面的空),端口映射只映射光纤,备注表明服务器、电影等。Radmin端口4899,mstsc用3389端口,Radmin用4899。静态路由(专网专用),专网IP填好,掩码用:255.255.255.252。网关:10.0.13.1。接2口,保存。原地址路由,添加,默认为0.2到0.250。应用调度,要打开,保存,添加HTTP(80端口)协议,地址填0.2到0.254。还要添加HTPS(443端口);系统工具,管理选项可以改密码等,WEB管理端口8081,允许外部使用WEB管理要勾上(方面外网访问)。固件升级,升级路由器的版本。备份恢复设置,在路由器设置完后要保存设置。 3、升级路由器,飞鱼星官网:https://www.doczj.com/doc/309596381.html,。(arp -d 清除网络缓存,可解链不上网的问题)。根据固件型号在官网上下载升级包。 4、小路由,系统状态,只启动系统日志服务。网络安全全部禁止,内网配置不能和主路由同一个网段,默认192.168.2.1,外网配置配宽带账号,PPPoE 按照电话号码拨号就行了。线路宽带上行1M,下行6M,其他都默认。DHCP服务器配置下不启用DHCP服务。 5、飞鱼星后台管理软件PuTTY,ip填写起,PORT填写10089,
天易成上网行为管理软件企业版功能介绍 PS:企业版非付费用户可免费管理一台电脑。 (1)电脑屏幕实时监控 最多同时监控16台电脑屏幕。使用Ctrl键或Shift键选中要监控的电脑,右键选择…显示屏幕?即可。 双击被监控的单个电脑屏幕会放大显示,再次双击恢复显示。 新增监控:在天易成网管的主机列表里选中要监控的电脑,同上操作即可。 (2) 发送消息 在所有主机列表选中电脑,右键选择…发送消息?。在弹出的对话框输入需要发送的消息。被管理电脑的右下角会弹出发送的消息框。 (3) 查看被管理电脑运行的软件 鼠标双击已联机的电脑,稍等几秒在弹出对话框显示被管理电脑的软件列表。 (4) 结束被管理电脑运行的软件 选中软件,点击右下角?结束选中进程?按钮,即可结束被管理电脑上运行的任意软件。 (5) 禁止未安装内网监控插件的电脑访问互联网 使用内网监控策略的电脑,如卸载插件、停止插件服务、禁止连接监控电脑8900端口等导致监控插件未能连接到监控电脑。天易成禁止他访问互联网,在其浏览器提示如下: 在被管理电脑点击?下载管理插件?,下载插件并安装。比较适用于需要安装插件电脑多的用户。 (6) 监视阿里旺旺聊天内容 监视被管理电脑上阿里旺旺的聊天内容。 (7) 禁用USB网卡和各种随身WIFI 禁用所有的USB网卡和随身WIFI。 (8) USB存储设备控制 控制所有的U盘,USB移动硬盘光驱的使用。 可以完全禁用或者只能读取不能写入。 (9) 常见软件禁用 内置了常见的游戏、网络电视、炒股软件、下载工具、聊天等软件。 完全禁止在被管理电脑上运行选中的软件,有效防止玩单机和局域网游戏以及其他不允许的软件。 (10) 软件禁用-自定义设置 对电脑比较熟悉的用户可以自定义需要禁用的软件。 您需要禁用的软件,找一个特定的DLL,要求是只有此软件使用此DLL。如下图:
天融信网络安全准入解决方案 安全挑战 计算机终端是用户办公和处理业务最重要的工具,对计算机终端的准入管理,可以有效地提高办公效率、减少信息安全隐患、提升网络安全,从而为用户创造更多的业务价值。但目前,大部分终端处于松散化的管理,主要存在以下问题: 接入终端的身份认证,是否为合法用户接入 工作计算机终端的状态问题如下: 操作系统漏洞导致安全事件的发生 补丁没有及时更新 工作终端外设随意接入,如U盘、蓝牙接口等 外来人员或第三方公司开发人员使用移动笔记本电脑未经容许接入到业务专网或办公网系统 工作终端的安全策略不统一,严重影响全局安全策略 解决方案 天融信针对上述安全挑战,提出了网络安全准入解决方案,采用CA数字证书系统、天融信终端安全管理系统TopDesk,结合802.1X技术等,实现完善、可信的网络准入,如下图所示。 天融信网络安全准入解决方案图
终端接安全准入过程如下: 1)网络准入控制组件通过802.1X协议,将当前终端用户身份证书信息发送到交换机。 2)交换机将用户身份证书信息通过RADIUS协议,发送给RADIUS认证组件。 3)RADIUS组件通过CA认证中心对用户身份证书进行有效性判定,并把认证结果返回给交换机,交换机将认证结果传给网络准入控制组件。 4)用户身份认证通过后,终端系统检测组件将根据准入策略管理组件制定的安全准入策略,对终端安全状态进行检测。 5)终端的安全状态符合安全策略的要求,则允许准入流控中心系统网络。 6)如终端身份认证失败,网络准入控制组件通知交换机关闭端口; 7)如终端安全状态不符合安全策略要求,终端系统检测组件将隔离终端到非工作VLAN。 8)在非工作VLAN的终端,终端系统检测组件会自动进行终端安全状态的修复,在修复完成以后,系统自动将终端重新接入正常工作Vlan。 充分利用终端检测与防护技术 终端防护系统对终端的安全状态和安全行为进行全面监管,检测并保障桌面系统的安全,统一制定、下发并执行安全策略,从而实现对终端的全方位保护、管理和维护,有效保障终端系统及有关敏感信息的安全。在终端防护系统的众多功能中,本方案充分利用以下功能: 安全状态自动检测、报告功能。针对终端系统的补丁更新情况、防病毒软件的扫描引擎即病毒库更新情况、个人防火墙情况进行自动检测、报告和安全状态提升,并在接入网络前提供给可信网关进行检查和认证。 监管终端系统的各种网络行为。对终端系统的拨号行为、使用网口情况进行监控,通过策略定制限制终端用户的上网行为,以减少非法接入可能性。 对移动介质的管控功能。外部设备尤其是移动介质是病毒、木马传播、敏感信息泄漏的主要渠道,必须按照有关安全策略进行认证、授权、控制和审计。 安全审计功能。在对收集的安全事件进行详尽的分析和统计的基础上,帮助网络管理员对网络接入情况进行深度挖掘分析,满足对接入进行审计的需求。 非法接入行为阻断功能。通过终端防护系统实现非法接入行为的控制,对终端系统的远程拨号行为、无线上网行为、搭线上网行为进行控制,给出报警并通过个人防火墙、禁用网卡等手段切断该主机与网络的连接,避免由于该终端的非法接入而导致网络遭到破坏。
目录 一、升级路由器固件版本 (2) 二、对路由器进行接口相关的配置 (2) 三、DHCP配置 (4) 四、上网行为管理 (5) 五、网络安全 (9) 六、QOS流量控制 (10)
一、升级路由器固件版本 1.首先去飞鱼星官网检查是否有新的IOS。 去官网查看后,发现有新的IOS,但是有硬件版本要求,硬件版本查看在路由器的下面,条形码附近有V4B4字样,其中V4B就是路由器的硬件版本。 2.下载相应的IOS,在升级IOS前,请将路由器恢复出厂设置 3.等待路由器重启完毕后,点击固件升级功能。选择下载好的IOS文件,耐心等待升级完成。 4.在路由器升级完成后,请再次将路由器恢复出厂设置。以避免再以后使用中出现其他莫名其妙的问题。 升级完毕后,路由器版本如下: 二、对路由器进行接口相关的配置 1.wan口设置
根据校区使用的带宽线路,选择使用PPOE还是静态IP。其中,路由器上的wan1、wan2为固定wan口,不可作为lan口使用。Lan2/wan4、lan3/wan3为动态接口,根据IOS 内部设定自动判定这两个接口为lan口还是为wan口。 https://www.doczj.com/doc/309596381.html,n口设置
根据校区的IP段,输入对应的内网地址,总部规定,路由器地址为**.**.**.254。 更改lan口地址后,再重启路由器后,DHCP也会相应自动改变。 关于接口相关配置,在这里不做过多阐述。 在配置好lan口与wan口后,必须重启路由器,才能使配置生效。 三、DHCP配置
IP与MAC地址绑定功能,可以起到一些防止ARP攻击的效果,电脑较少的校区(20-30),推荐启用。电脑较多的校区(60-80),如果地址池不够大,则不推荐启用。因为每绑定一个MAC地址,将永久性占用一个IP地址,假如地址池不够大,移动设备又多,而且不手动释放DHCP,那么很有可能在很久以后,出现客户机无法获取IP的问题,解决方法为释放DHCP地址。 静态地址分配功能对于IP的规划起到非常好的作用。 这样的好处在于,可以进行人性化的上网行为管理。比如财务网速要求快,高层要求能上各种奇葩网站(不解释)。 比如财务的地址范围为192.168.0.100-192.168.0.105。然后你就可以再行为管理里设置这个段的IP网速比其他段IP的网速要快。也可以设置管理层(总监主任神马的)不在上网行为管理范围中,从而达到可以上各种奇葩网站的目的。 静态地址分配是即时生效,不需要重启路由器。 四、上网行为管理 在讲述上网行为管理之前,有一条需要大家须知: 不在IP组内的IP,将不受到上网行为管理策略的限制。 如果需要对IP 为10.18.128.45的员工,需要临时开通打开奇葩网页的权限,则可以进行IP组分割。 比如现在IP组内内的IP范围为10.18.128.20 -- 10.18.128.120,那么可以分割为: 10.18.128.20 – 10.18.128.44和10.18.128.46-10.18.128.120。 这样,IP为10.18.128.45的电脑,将可以访问奇葩网站。
飞鱼星路由器桥接设置教程 导读:我根据大家的需要整理了一份关于《飞鱼星路由器桥接设置教程》的内容,具体内容:宽带路由器在一个紧凑的箱子中集成了路由器、防火墙、带宽控制和管理等功能,具备快速转发能力,灵活的网络管理和丰富的网络状态等特点。这篇文章主要介绍了(图文详解)的相关资料,这里对桥接设置做... 宽带路由器在一个紧凑的箱子中集成了路由器、防火墙、带宽控制和管理等功能,具备快速转发能力,灵活的网络管理和丰富的网络状态等特点。这篇文章主要介绍了(图文详解)的相关资料,这里对桥接设置做了详细的说明,需要的朋友可以参考下 1、用网线连接电脑和路由器B的LAN(1、 2、 3、4)中的任意一个(我们选择了插在LAN3上;VPN和路由器之间,暂时不需要用网线连接。 2、打开浏览器输入网址:192.168.0.1 将打开路由器登录界面,输入用户名和密码即可登录(默认用户名和密码都是admin) 3、登录成功后,我们首先设置无线网络,点击:无线设置——>基本设置。站点无线SSID统一设置为FYX_360buy,设置好点击保存 4、设置无线连接密码,点击:无线设置——>安全设置。站点统一密码设置为2015JD@https://www.doczj.com/doc/309596381.html,,设置好点击保存 设置到这一步路由器无线信号也就变成了FYX_360buy 密码为 2015JD@https://www.doczj.com/doc/309596381.html,
5、现在就要开始关闭路由器的DHCP服务器功能了,点击:基础设置——>DHCP服务器。把"是否在内网上启用DHCP服务器"前面的勾选框给取消勾选(也就是把"对号"给勾掉),然后保存 6、建议更改下路由器的登录密码,点击:系统工具——>用户密码管理。在密码框内输入新的登录密码保存即可(此步骤可忽略) 7、设置到这里就设置好了,将VPN的LAN(老款的VPN为内网口)口和路由器的LAN1用网线连接起来,然后把路由器重新启动一下,路由器重启完成后电脑与路由器重新连接即可获取到10开头的内网地址,也就是说桥接完成了 相关阅读:路由器安全特性关键点 由于路由器是网络中比较关键的设备,针对网络存在的各种安全隐患,路由器必须具有如下的安全特性: (1)可靠性与线路安全可靠性要求是针对故障恢复和负载能力而提出 来的。对于路由器来说,可靠性主要体现在接口故障和网络流量增大两种情况下,为此,备份是路由器不可或缺的手段之一。当主接口出现故障时,备份接口自动投入工作,保证网络的正常运行。当网络流量增大时,备份接口又可承当负载分担的任务。 (2)身份认证路由器中的身份认证主要包括访问路由器时的身份认证、对端路由器的身份认证和路由信息的身份认证。 (3)访问控制对于路由器的访问控制,需要进行口令的分级保护。有基于IP地址的访问控制和基于用户的访问控制。 (4)信息隐藏与对端通信时,不一定需要用真实身份进行通信。通过地
网络卫士入侵检测系统 TopSentry 产品说明 天融信 TOPSEC? 北京市海淀区上地东路1号华控大厦100085 电话:+8610-82776666 传真:+8610-82776677 服务热线:+8610-8008105119 https://www.doczj.com/doc/309596381.html,
版权声明本手册的所有内容,其版权属于北京天融信公司(以下简称天融信)所有, 未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形 式的担保、立场倾向或其他暗示。 若因本手册或其所提到的任何信息引起的直接或间接的资料流失、 利益损失, 天融信及其员工恕不承担任何责任。本手册所提到的产品规格及资讯仅供参考, 有关内容可能会随时更新,天融信恕不承担另行通知之义务。 版权所有 不得翻印? 1995-2009天融信公司 商标声明本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的 注册商标或是版权,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。 TopSEC?天融信 信息反馈 https://www.doczj.com/doc/309596381.html,
目 录 1 产品概述 (1) 2 产品特点 (1) 3 产品功能 (5) 4 运行环境与标准 (6) 5 典型应用 (8) 5.1 基本的典型应用 (8) 5.2 多级管理部署方式 (8)
1 产品概述 网络卫士入侵检测系统是由北京天融信公司自主研发的基于网络的入侵检测系统。 北 京天融信公司基于多年来积累的安全产品研发和实施经验, 集中强大的研发队伍推出具有 完善功能和出色性能的入侵检测产品。 网络卫士入侵检测系统部署于网络中的关键点,实时监控各种数据报文及网络行为, 提供及时的报警及响应机制。其动态的安全响应体系与防火墙、路由器等静态的安全体系 形成强大的协防体系,大大增强了用户的整体安全防护强度。 2 产品特点 增强的多重入侵检测技术 ?网络卫士 IDS 综合使用误用检测、异常检测、智能协议分析、会话状态分析、实 时关联检测等多种入侵检测技术,大大提高了准确度,减少了漏报、误报现象。 ?采用基于协议分析的误用检测技术,实时跟踪各种系统、软件漏洞,并及时更新 事件库,可以及时、准确地检测到各种已知攻击。 ?网络卫士 IDS 建立了完备的异常统计分析模型, 用户还可以根据实际网络环境适 当调整相关参数,更加准确地检测到行为异常攻击。并且,基于内置的强大协议 解码器,网络卫士 IDS 能够检测到各种违背 RFC协议规范的协议异常攻击。 ?内置了遵循 RFC 规范, 并基于对协议在实践中的具体执行过程的充分理解而建立 的协议解码器。通过详尽、细粒度的应用协议分析技术,提高了检测的准确性。 ?有些网络攻击行为仅靠检测单一的连接请求或响应是检测不到的, 因为攻击行为 包含在多个请求中。加入状态特性分析,即不仅仅检测单一的连接请求或响应, 而是将一个会话的所有流量作为一个整体来考虑。 网络卫士 IDS能够维护完整的 会话列表,并实时跟踪会话状态。通过重组网络数据包、监控并分析会话状态, 在有效地防止 IDS 规避攻击的同时,不仅可以减少误报和漏报,而且可以大大提 高检测性能。
路由器下接三层交换机配置文档 问题类别:基础配置适合:所有浏览:2901次 (一)IP规划及网络拓扑 假设VE1260下接一台三层交换机,三层交换机和VE1260相连的接口IP 地址是192.168.0.2,VE1260的内网口IP 地址是192.168.0.1;三层上划分了3个VLAN,IP段分别为192.168.1.0、192.168.2.0、192.168.3.0。 具体的网络拓扑结构如下:
现要实现内网3个网段的计算机都可正常上外网,可参考如下配置: (二)在VE1260上的具体配置 注意:在配置VE1260之前请务必保证,下面三层交换机已配置静态路由,将所有出访的流量指向上层路由器(192.168.0.1)。 1、外网口配置照旧:外网口的配置和下面没接三层交换机的配置情况一致。 2、内网口配置为192.168.0.1,掩码同三层交换机一致。 3、路由器的模式选择为“NAT”模式。 4、配置内网扩展
在完成以上基本配置的基础之上,还需要在VE1260上分别把192.168.1.0、192.168.2.0、192.168.3.0添加到内网扩展中。首先点击VE1260配置界面中的高级选项>>地址转换>>添加新规则,出现下图所示的界面。 上图是把192.168.1.0添加到内网扩展,同理按照相同的方式把192.168.2. 0和192.168.3.0分别添加到内网扩展中,出现下图所示的界面:
5、配置静态路由 配置完以上步骤之后,下面三个网段计算机还是不能正常打开网页,还需要在VE1260上分别添加指向下面三层交换机不同网段的静态路由。 首先添加指向192.168.1.0的静态路由,具体界面如下:
天融信网络入侵防御TopIDP系列 产品说明 天融信 TOPSEC? 北京市海淀区上地东路1号华控大厦100085 电话:(86)10-82776666 传真:(86)10-82776677 服务热线:400-610-5119 800-810-5119 Http: //https://www.doczj.com/doc/309596381.html,
1前言 (2) 2网络入侵防御系概况 (2) 2.1入侵防御系统与防火墙 (3) 2.2入侵防御系统与IDS (3) 3天融信网络入侵防御系统TOPIDP (3) 3.1产品概述 (3) 3.2T OP IDP体系架构 (4) 3.3T OP IDP主要功能 (5) 3.4天融信网络入侵防御系统T OP IDP特点 (6) 3.4.1领先的多核SmartAMP并行处理架构 (6) 3.4.2强大的攻击检测能力 (6) 3.4.3精准的应用协议识别能力 (7) 3.4.4实用的网络病毒检测功能 (8) 3.4.5智能的上网行为监控和管理 (8) 3.4.6立体的Web安全防护 (8) 3.4.7先进的无线攻击防御能力 (9) 3.4.8精确的QOS流量控制能力 (9) 3.4.9灵活的自定义规则能力 (9) 3.4.10丰富的网络部署方式 (9) 3.4.11高可靠的业务保障能力 (10) 3.4.12可视化的实时报表功能 (10) 4天融信网络入侵防御系统TOPIDP部署方案 (11) 4.1.1典型部署 (11) 4.1.2内网部署 (12) 4.1.3IDP.VS.IDS混合部署 (13) 4.1.4WIPS旁路部署 (14) 5结论 (15)
1前言 随着计算机网络与信息化技术的高速发展,越来越多的企业、政府构建了自己的互联网络信息化系统,互联网络已成为人们生活中必不可缺的工具,在网络带来高效和快捷的同时,网络安全形势也从早期的随意性攻击,逐步走向了以政治或经济利益为主的攻击; 攻击的手段从早期简单的扫描、暴力破解逐步过渡到通过缓冲区溢出、蠕虫病毒、木马后门、间谍软件、SQL注入、DOS/DDoS等各种混合手段攻击;攻击的层面也从网络层,传输层转换到高级别的网络应用层面;而很多黑客攻击行为也由单个个体转变到有组织的群体攻击行为上,其攻击行为有明显的政治或经济诉求目的,给政府、企业的网络信息业务系统安全造成极大隐患。 同时,大量的网络资源滥用充斥在整个网络通路上,各种基于P2P协议的资源下载工具、网络视频、网络游戏、IM视频通讯工具等造成企业网络带宽过度消耗,影响企业正常业务系统运行。 能否主动发现并防御这些网络攻击,规范终端的网络行为,保护企业的信息化资产,保障企业业务系统的正常运行,是企业要面临的重要问题。 2网络入侵防御系概况 网络入侵防御系统,简称IDP(Intrusion Detection and Prevention System ),是串联在计算机网络中可对网络数据流量进行深度检测、实时分析,并对网络中的攻击行为进行主动防御的安全设备;入侵防御系统主要是对应用层的数据流进行深度分析,动态地保护来自内部和外部网络攻击行为的网关设备。必须同时具备以下功能 ●深层检测(deep packet inspection) ●串连模式(in-line mode) ●即时侦测(real-time detection) ●主动防御(proactive prevention) ●线速运行(wire-line speed)
如何设置天易成上网行为管理软件的网桥方式 天易成上网行为管理软件有四种部署模式,其中,以网桥方式效果最好,但其设置却最为复杂,本文讲述的是天易成上网行为管理软件网桥方式的设置方法。注意:一定要先设置好网桥,再安装天易成上网行为管理软件。具体步骤如下: 1.准备一台带双网卡的电脑(建议使用两张千兆网卡); 2.安装支持网桥的操作系统:windows xp、windows server 2003、vista、windows7、windows server 2008; 3.连接网络:用网线,将做网桥的电脑,一张网卡连接路由器/防火墙,另一张连接主交换机,如下图: 4.创建网桥:进入控制面板,点开网络连接,同时选上这两个物理网卡,点鼠标右键,然后选择桥接,如下图: 5.设置网桥:创建网桥成功后,本地连接里会自动虚拟出来一个网络桥,需要对虚拟出来的网络桥设置IP地址、网关和DNS;
注1:网桥设置的IP地址应和路由器在同一个网段。 注2:创建网桥成功后,会产生一个新的MAC,假如您在路由器上做了IP-MAC绑定,应修改对应的规则); 6.安装和设置程序:安装程序(包括服务端和控制台),运行程序,登录服务端。在工具栏的"设置向导",在设置向导第一页,选择网桥模式。在设置向导第二页,在选择网卡那里,应该选接内部交换机的网卡,不能选择桥接出来的网卡(如不知道哪张网卡是靠近内网的网卡,可以两张网卡都试试); 7.点工具栏的"开始管理"图标,即可管理整个局域网; 天易成网管软件的使用 1.登录软件 双击“天易成网络管理系统” 图标,打开软件。 服务端IP:填安装监控软件电脑的IP。如果是本机,则填127.0.0.1; 用户名:默认,不能修改; 密码:此处由用户自定义设置一个密码,登录。 2.首次使用 (1)部署模式选择 点击设置向导。根据网络结构和需要,选择合适的部署模式。
构建安全、稳定、高效的企业网络——飞鱼星企业安全网络解决方案
目录 一、背景分析 (3) 二、企业网络需求分析 (3) 1.多线高速接入 (3) 2.网络带宽管理 (3) 3.抵制不良信息 (4) 4.上网行为管理 (4) 5.信息安全风险 (5) 6.网络稳定安全 (5) 三、飞鱼星解决方案 (5) 1.多条宽带接入,提高网速又省钱 (6) 2.带宽精细化管理 (6) 3.P2P软件过滤,防止带宽被暴力占用 (7) 4.抵制不良信息 (7) 5.上网行为管理,杜绝网络“旷工旷课” (8) (1)网址分类管理,轻松过滤与工作无关的网站 (9) (2)聊天软件过滤,提高工作效率 (9) (3)股票软件过滤,规范工作行为 (10) (4)游戏过滤,防止沉迷网游 (10) (5)邮件监控,防止网络泄密 (11) (6)WEB安全管理,减少网络风险 (12) 6.网络安全管理 (13) (1)外防攻击,内防病毒 (13) (2)全面防御ARP病毒 (13) 7.VPN虚拟专网 (14) 8.好使用易管理 (15) 四、典型应用 (16) 五、灵活部署 (17) 六、实施意义 (18) 1.提高企业员工的工作效率 (18) 2.降低网络风险,维护企业形象与声誉 (18) 3.合理利用优化网络资源 (18) 4.防范机密信息泄漏 (18) 5.创造安全可控的企业网络 (18) 七、设备选型推荐 (19) 八、飞鱼星部分典型企业用户 (19)
一、背景分析 随着企业信息化建设的深入和推广,互联网在企业的应用愈发广泛。从企业门户平台的建设到公文、数据的传递,从VPN企业专用信息通道到网络视频会议,网络应用已经成为广大企业提高工作效率,进行实时沟通的有力保证和手段;同时网络也成为企业收集各类信息、与外界沟通以及员工获得专业知识与信息的重要来源。然而,网络也是各种娱乐活动的渠道,是分散员工精力、生产力流失的根源,重要资料的泄漏和不可控的安全隐患也使广大企业面临巨大经济损失和法律风险。 据美国科技调查机构IDC的调查指出:企业员工大约30%~40%对网络的使用是跟工作无关的。中国企业的情况略高于这个比例。中国员工每周花在网上处理私人事务的时间为5.6小时,中国的IT主管认为员工每周会花费至少6.2小时进行网上冲浪,83%的中层管理人员在办公时间内浏览与工作无关的网站。 如果缺乏管理制度和技术手段,员工不加监管、随意使用网络将导致三个重大问题:(1) 工作效率低下、(2) 网络性能恶化、(3) 网络违法隐患。 二、企业网络需求分析 1.多线高速接入 因为拨号接入方式比专线、光纤便宜很多,一般企业多采用ADSL这类的宽带接入。随着网络的应用越来越多,管理难度越来越大,很多企业一条宽带不够,再增加一条宽带;两条条宽带不够,再增加两条宽带。但这样就会出现多路接入、多个出口的问题,接入设备多,维护成本增大,给管理带来困难。 因此企业需要多路宽带接入,特别是在业务范围覆盖全国的企业,还需要电信、联通线路的同时接入访问,消除跨网互通的问题。 2.网络带宽管理 一般来说,一个2M外网带宽的局域网,只要有2个以上的用户不限速地使用BT,所有人的正常网络浏览都将成为不可完成的任务。如果缺乏有效的技术手段,BT、迅雷、电驴、PPLive等
酒店、宾馆上网行为管理解决方案 背景 现在稍微上档次一点的酒店、宾馆几乎都可以免费上网,这在给住客带来了极大方便的同时也出现了许多问题:有的住客喜欢观看或下载各种P2P电影、视频,导致局域网内别的人上网速度过慢,甚至连网页都打不开,对酒店的服务甚为不满。如果不对酒店网络进行管理,将不利于酒店的形象,严重的还会影响酒店的生意。 解决方案 由成都天易成软件有限公司自主研发的天易成网管软件正是为酒店、宾馆量身定做的上网行为管理系统,用于合理规范旅客上网行为,为客人提供更好的网络服务。部署天易成上网管理软件时,无需安装客户端,安装局域网一台机器即可控制整个局域网主机的上网行为。软件支持5种安装模式,适应各种网络环境。 通过我们的产品,可以实现如下功能: ?合理分配带宽资源,保障酒店所有旅客畅通无阻地使用网络 ?规范部分酒店员工的上网行为,提高工作效率 ?树立酒店良好形象 成都天易成软件有限公司简介
成都天易成软件有限公司位于成都市人民南路四段,是在高新技术应用领域中专业从事上网行为管理软件和企业管理软件开发与销售的高科技公司,公司产品全部拥有自主知识产权。 公司倡导“百分努力百分满意”的企业精神,具有良好的内部机制和优良的工作环境,汇聚了一批年轻的、有学识的、具有实干精神的人才。高素质、高水平、高效率的人才是天易成软件在当今激烈的市场中立于不败之地的保障。 我们提供 专业、完善的产品和解决方案:公司在产品研发方面的高投入,众多项目的实际应用,让我们具备了相应的的创造力和丰富的经验,这将成为您解决疑问和难题的良好保证。并且我们可以为你提供专业、完善的产品解决方案,保证用户使用无忧。 先进、专业的技术支持:公司众多一流人才的深层磨合,对最新技术执拗的探讨精神,使我们能够保证为你提供最专业的应用和服务。 完善、快速、周到的售后服务:我们将以最快的速度、最有效的方法、最先进的技术,保障系统的效果发挥到极至,解除您的后顾之忧。
网络监控系统需求调研报告 1需求 1.1同类产品分析 目前市面上的局域网监控软件种类繁多,良莠不齐。经过多渠道的资料收集与分析,我们对目前使用较为广泛,评价较高的三款局域网监控软件——天易成网管,网眼监控软件,数据伞网络监控软件——进行了安装试用及操作分析,现具体分析如下: 1.1.1天易成网管 天易成网管系统是由成都天易成软件有限公司研发的一款上网行为管理软件。该软件基于C/S(客户机/服务器)架构,无需调整网络结构,安装在局域网内任意一台电脑上,即可全面监控局域网内所有电脑的上网行为。天易成网管通过了360软件安全认证,是一款不含任何恶意代码的绿色软件。
主要功能:网页、下载、股票、聊天、视频、邮件监控,IP绑定,远程开关,远程监控管理,实时同步等。 优点: 1. 有多种监控方式 2. 基于C/S架构,不需要任何客户端软件,安装任意一台电脑,即可监控整个网络的上网情况; 3. 支持分组策略管理 4. 对聊天工具控制最为严格的软件,控制QQ聊天国内最强,只需点击鼠标即可完全控制; 5. 远程监控管理。可以利用局域网、互联网上的任何一台电脑实现远程监控管理。利用互联网上的电脑远程管理时,需要在监控机上安装花生壳或者希网动态域名,并在网关上配置端口映射。缺点: 1.管理后网速变慢 2.开始管理后,可能会出现局域网内机不能上网的情况 3.出现IP冲突 1.1.2网眼监控软件
主要功能:上网监控,视频监控,聊天监控,屏幕监控,邮件监控,文件复制拷贝监控,插入U盘监控,网址过滤,端口封堵等等,即可监管,也可控制,让您对员工的一切电脑操作行为了如指掌。 优点: ·分为两个版本 Internet版本: 1. 拥有局域网版本的功能 2. 可以监控全球范围内的所有 可以联网的员工 3. 可以在全球任意可以上网的 计算机上对员工进行监控 家庭版本: 1. 对孩子浏览的网站了如指 掌,可以正确引导孩子上网。 2. 对孩子用电脑聊天内容,玩 游戏等进行监控,及时掌握孩子 的心理以及实时了解情况。 Internet版本和局域网版本的管 理端界面已经统一,用户可根据 需要随时切换。 ·人性化UI设计缺点: ·界面逻辑复杂
飞鱼星上网行为管理路由器VE900系列 产品概述 飞鱼星上网行为管理路由器--VE系列(VOLANS Enterprise Series) ,专为中小企业、政府机关、教育及科研机构等用户设计,是具备“上网行为管理”和“多WAN路由器”双重功能的新一代硬件网络 接入设备。它能帮助企业对员工使用因特网的情况进行监控、生成报表并进行管理;帮助企业提高员 工的生产率、节省网络带宽并且减少法律风险。 飞鱼星VE900系列适用于50台PC规模内的小型网络,为用户提供高性价比的网络解决方案。 飞鱼星上网行为管理路由器VE900系列 产品特点 规范上网行为,员工工作效率高 在工作时间通过上网行为管理功能,规范员工的网络行为,杜绝办公室沦为“网吧”或“游 戏室”,从企业内部挖潜,大幅提高员工的工作效率。 能监控所有用户浏览网址的记录,也能禁止访问最热门的9大类网站,它们包括:休闲娱乐、 新闻资讯、聊天交友、网络游戏、电子购物、论坛博客、证券基金、电子邮件和网上银行等。 支持网址分类库自动升级。 可以禁止员工在网络论坛上发帖,禁止登陆网页邮箱,保护企业的内部资料不被泄露。过滤网址的关键字 和文件后缀名,防止用户下载危险的文件,减少病毒来源。 轻轻松松管制飞信\SKYPE等聊天工具,并支持多个业务QQ号码的正常使用,这样既\ 能支持正常业务开展,又能防止使用员工使用私人QQ闲聊。 能有效限制迅雷电驴等P2P软件,封锁多种主流炒股软件,既能保证正常工作有 足够的带宽,又能让员工专注工作,上班时间不分心。 多条宽带接入,提高网速又省钱 同时接入两条ADSL线路,捆绑线路提升带宽,节省费用并降低“单线故障”的风险。内置电信、联通和 教育网最新策略库,确保不同的运营商数据各行其道,让网络更流畅。 特有的线路负载均衡技术,可根据线路带宽比例和带宽占用率自动分配数据流,提高双线带宽利用率,让 您真正体验到双线的优势。 您还能通过VPN应用连接到办公网络,安全的访问文件服务器、邮件服务器和局域网的所有资源,就好 像您在办公室一样,特别适合员工出差、在家办公等。 合理分配带宽,网络不卡不掉线 灵活的弹性流控能为每台在线的PC分配最佳带宽。网络繁忙时,自动抑制带宽大户,保证人 多好用;网络空闲时,可充分使用空闲的带宽,做到人少多用。 针对不同应用设置不同的带宽、连接数以及不同的数据优先级,保证您的核心业务能得到有