信安系統(tǒng)主要功能模塊流程說明

設備已配置正確DNS，審計端設備能連通。1、CU管理器:執(zhí)行單元：block模塊，執(zhí)行封堵功能2、般情況下抓包口是審計設備的eth0和eth1，具體抓包口需要根據(jù)實際使用進行配置網(wǎng)卡流量確tcpdump：tcpdump–ieth0網(wǎng)卡驅動確審計端vi/etc/modprobe.conf 100，則可以正常安裝或升級。- 看一下這個數(shù)字：如果這個數(shù)字加上上面配置文件里面的一起還是<100,100進程確 cd/usr/seentech/netguard/tools---下圖中的rp標號每隔幾秒會進行更新，沒有進行更新時需要重啟該進程。 shrun.sh 其他配置信息確 CU管理服務器已配置正常的范圍，先界面確認配置正確，再進行數(shù)據(jù)審計端確認范圍已同步，與設置范圍一致。sys_machine_info du-shactiondu-shpost_filedu-shethtoolKeth4rxofftxoffsgofftsooffethtoolk關閉混雜模式令：ifconfigeth0-promisc（有寬廣設備時考慮改操作，其他情況慎操開啟混雜模式令：ifconfigeth0promisc3、流策略選取說對于下發(fā)策略前需要確認選取哪些IP，，URL，關鍵字作為策略的內(nèi)容，需滿足下選擇的目的IP，源IP，，URL，關鍵字對應的URL均需要是能審計到的，即選擇的IP//URL在審計的流水表http_xxxx_xx_xx中是可以查詢到的；(界面上查自己所選取的，確認流量能都流入機房確認所的的IP在范圍內(nèi)實現(xiàn)過由管局側下發(fā)監(jiān)測策略---→CU管理服務器收到策略后轉發(fā)給審計端---→審計端通過中為信息----→CU管理服務器進行匯總處理----→信息上報給管局進程說CU管理服務器進程 CU管理服務器mand（顯示接受的管局下發(fā)的策略表，管理指令菜單內(nèi)容， scheme_id user_（IP，，URL經(jīng)中間件加載庫表，入此庫才能生效，tab__keyword（含有關鍵字的策略經(jīng)中間件加載庫表入此庫才能生效，scheme_idURL中間件入庫t_開頭的那幾張表，并合并策略，將含有關鍵字的策略保存到CUalarm_collect_config（rule_identifier日志的策略標識）alarm_http_2014_03_07（rule_identifier日志的策略標識）http_2014_03_07(flag=2會記錄為日志注意關鍵字時http_2014_xx_xx表中flag值為4，alarm_http_2014_xx_xx表flag值2。日志產(chǎn)生和上報說、審計端審計數(shù)據(jù)在協(xié)議模塊里面提取出ipurl關鍵字等信息之后將、tab__protocl_proclist志記錄數(shù)，匹配中策略的記錄則上報到CU管理服務器（本地未保存數(shù)據(jù)）在審計端本身手動創(chuàng)建alarm_http_YYY_MM_DD(從CU管理服務器過來)等對應的數(shù)據(jù)表，才能夠存入數(shù)據(jù)。配置項為：/usr ns_netinel.conf配置文件中，設置write_alarm_to_local=1，然后重啟進程即可】write_alarm_to_local=0時，CU管理服務器主進程接收到中間件上傳的數(shù)據(jù)后，再次匹配一次策略（CU管理完全和審計端的策略不一致作了一個保障，基本可以不管匹配好的入庫CU管理服務器的alarm_http_xxxx_xx_xx等數(shù)據(jù)表。CUAlarmOptSalarm_collect_config表里面配置的，從對應的數(shù)據(jù)表里面(alarm_http_xxxx_xx_xx等表)獲取數(shù)據(jù)，分析放入到alarm_collect_xxxx_xx_xx流水表中。的table_name當前處理表必須為當前的時間查詢的id值為更新為查詢到的alarm_http_xxxx_xx_xx記錄數(shù)。alarm_collect_xxxx_xx_xxrule_identifier一般需能在策略表如t_表中查詢到。rule_identifier=scheme_id。日志上報給管局，需alarm_collect_xxxx_xx_xx表中的日志所對應的策略號rule_identifier在mandrule_identifier=commandID，且該commandID（commandID在mand4、IP/URL/封堵流管局下發(fā)過濾策略--→CU管理服務器接收到策略后下發(fā)到流量管理平臺（以下分--→流量管理平臺設備為第設備，則直接轉發(fā)給第設備完成封關鍵--→審計端通過中間件加載策 →數(shù)據(jù)流到審計端后與策略進行關鍵字匹配，得URL--→URLCU管理服務器--→CU管理服務器接收--→流量管理平臺設備為第設備，則直接轉發(fā)給第設備完成封進程說CU管理服務器進程：流量管理進程IP/URL/過濾策略下CUPHPCU管理服務器流量管理平臺 (數(shù)據(jù)庫：blockServer)自身設備執(zhí)行封堵：審計端執(zhí)行單元(數(shù)據(jù)庫：clear,過濾信息入此庫才能生效)URL的過程，所以其策略下發(fā)入表同CUPHPCUt_ URLURLCU 如果是第設備執(zhí)行封堵：第設備將封堵日志通過ftp上傳給CU管理服務器/tmp/kuanguang/block_logs，CU管理服務器解析封堵日志文件入庫即可。統(tǒng)計封堵日志。封堵產(chǎn)生的日志首先生成在clear數(shù)據(jù)庫里面管理平臺的collectData進程從數(shù)據(jù)庫clear數(shù)據(jù)，讀完后會清除掉，另外寫入封堵日志文/usr/seentech/block/data/logfile，然后由dleanC進程上傳到流量管理平臺下的/usr/seentech/block_interface/block_logs（封堵日志）和/usr/seentech/block_interface/block_count（）下，并且在數(shù)據(jù)庫blockServer做了一個備份一級中心通過一個線程將封堵日志和封堵統(tǒng)計匹配策略并寫入數(shù)據(jù)庫。/usr/seentech/block_interface/block_logs有未解析和已解析的dat文件，只有已解析的文件才能產(chǎn)生數(shù)據(jù)庫記錄，dleanS進程會繼續(xù)處理未datblock_file_log_back，如圖所示：封堵日志block_http_xxxx_xx_xx或block_xxxx_xx_xx表中對應的策略號rule_identifier一般需能在策略表block_scheme表中查詢到。block_http_xxxx_xx_xxblock_xxxx_xx_xx表中的日志所對應的策略號rule_identifier在mand表能都查到，即rule_identifier=在mand表中只能查詢到一條記錄，有兩條表示一條是新增一條是刪除就5、CU管理服務器和EU支持組合策略的和封堵，IP/URL//關鍵字等類型，支范圍下這個URL有該關鍵字才能產(chǎn)生或封堵效果。組合策略的生效都是將多種類型的組合轉換為單類型的策略或較簡單的組合策略組合策轉換類6、CU管理服務器導入批量策略進行下發(fā)，下發(fā)到審計端后由中批量策批量策略不同于正常下發(fā)單條策略下發(fā)單條策略時是一條指令對應一個策略在數(shù)據(jù)庫表中的體現(xiàn)為（1W1WURL的批量策略為CU1Wuser_（1W個URL入此庫才能生效tab__keyword（1W個關鍵字入此庫才能生效1W1W次。IP//url的批量過濾策略處理過程：界面的下發(fā)的批量策略分單條入庫到CU管CU該快速通道使用NMP_User（批量過濾策略不經(jīng)過流量管理平臺，直接由快速通道下發(fā)）CUblock_scheme（1WURL記錄快速通道：NMP_User 審計端執(zhí)行單元（clear數(shù)據(jù)庫block_url_（1W條URL記錄，入此表才能生效關鍵字批量過濾策CUCU管理官的策略表中，直接寫入到審計端的策略表中，CUt_ tab__keyword（中間間加載后1W條關鍵字URLURL7、文件51~55是私有接口定義的文件，屬于自定義，其他廠商不一定按照此格式上文件1 經(jīng)營者表 send_flag=0and機房表用戶表: ftpstatus=1andsend_flag=0andcheckdata=1and文件2 IPismsm_housemonitor表中，才會上報給管res_ips表中creatorid=autoicpstatus=1res_表中icpstatus=1（1表示未備案2表示備案3表示異常IP地址類型：errorIP的各種類型（01：IP2：IP登記有誤，3：IP未登記 記錄實際 文件 日志查詢結果上報條件：管局下發(fā)CU管理服務器日志查詢指令，從審計端查詢到滿足條件的數(shù)CU管理端收到的日志查詢指令表文件 監(jiān)測日志文件 過濾日志文件6管理指令查詢結果：企業(yè)側正在生效的策上報條件：管局下發(fā)管理指令查詢指令，CU管理服務器從策略表中查詢到正在生效的指令后直接在生成上報文件文件7 ISMS活動狀態(tài)：機房的狀態(tài)和設備使用狀況sys_machine_statCU管理服tab_sys_machine_stat10分鐘上報一次。CUisms_house_stat_collect，2企業(yè)對應配置表：tab_sysconfig，`configid`LIKE文件51基礎數(shù)據(jù)及備案信息：IP、信息，機房機位信IP，的上報：審計端從審計數(shù)據(jù)中提取IP和信息，res_ips，res_，理服務器判斷將段內(nèi)的IP通過私有接口上報給管局上報條件：res_,res__ip表中都有數(shù)據(jù)，且res_表_type=2ANDlocation_type=0ANDsend_flag0IP上報條件：res_ips表`commandID`2andcreatoridautoANDsend_flag=0文件52量數(shù)據(jù)CU管理服務器的53過濾狀態(tài)res_,res_ips表中isstop為1表示過54CU55虛擬帳號數(shù)據(jù)999對應處理結果 數(shù)據(jù)上報過CU管理端在/usr/seentech/netguardServer/data/的具體文件夾下可以查看是否文件生成后由idc_load進程完成上報生成的上報文件在上報完成后會自動清除，xml文件會記錄一次上報的詳細信息，該文件時間會進行更新ftp服務正常。8、備份后在CU管理端的位置為將備份的數(shù)據(jù)開拷貝到本地并變更備份文件的名稱為xxxxxxx.tar.gz,如 導入改tar.gz文件，在數(shù)據(jù)庫中flushtablexxxxxxxxxx(表名)，及可恢復數(shù)據(jù)。備份路徑：一般配置為/data/ftpback/idc00000X（X為數(shù)據(jù)庫編號，備份后的數(shù)據(jù)9、審計端統(tǒng)計表說 BBS統(tǒng)計量rpt_daily_hostorder_2014_02統(tǒng)計量rpt_daily_weiboorder_2014_03統(tǒng)計量rpt_daily_wtypeorder_2014_02類型統(tǒng)計量統(tǒng)計分析進以下部分內(nèi)容在沒有特殊要求下一般使用不到10、IPV6bufipv6的數(shù)據(jù)包放到該進程中處理（tools下面IPv6與IPv4的對應關系保存到審計端數(shù)據(jù)庫ipv4_ipv6_info表里，中間件上報到中心入ipv_ipv6_info表里。 11、審計說頁面數(shù)據(jù)庫日志流水表中(如 （類型）/in_port（端口）字段。類型沒有數(shù)據(jù)庫表，是界面寫