匯源LPS網(wǎng)絡(luò)管理功能.doc

上海耐爾信息科技有限公司匯源LPS網(wǎng)絡(luò)管理功能終端網(wǎng)絡(luò)管理通過網(wǎng)絡(luò)途徑進(jìn)行信息泄漏或者竊取會(huì)給各個(gè)機(jī)構(gòu)造成難以挽回的損失。LPS系統(tǒng)在網(wǎng)絡(luò)層、傳輸層以及應(yīng)用層都提供了恰當(dāng)?shù)目刂撇呗裕共僮鞴芾韱T可以方便的控制各個(gè)網(wǎng)址、端口、IP地址以及郵件域等等，在很大程度上避免了企業(yè)內(nèi)部的信息通過網(wǎng)絡(luò)途徑造成泄漏。訪問網(wǎng)址控制n 網(wǎng)址控制狀態(tài)分為聯(lián)網(wǎng)USB KEY存在、離網(wǎng)USB KEY存在、聯(lián)網(wǎng)USB KEY不存在、離網(wǎng)USB KEY不存在四種狀態(tài)；n 網(wǎng)址控制分為“放開所有網(wǎng)址”、“禁用所有網(wǎng)址”、“按選擇訪問網(wǎng)址”三種選擇策略。n “按選擇訪問網(wǎng)址”分為“白名單”、“黑名單”兩種條件。n 配置網(wǎng)址控制策略時(shí)，需要注意，不必配置網(wǎng)址全名，只需配置關(guān)鍵詞部分即可（如鍵入sina, 則客戶端用戶無(wú)法訪問含有sina字符串的網(wǎng)址）；n 網(wǎng)址名單配置完成之后，在主界面上點(diǎn)擊“保存”按鈕，地址控制策略將發(fā)送相應(yīng)客戶端中；n 點(diǎn)擊“允許記錄訪問日志”，LPS系統(tǒng)會(huì)記錄客戶端所有上網(wǎng)日志，并上傳到服務(wù)器，管理員可以通過“訪問網(wǎng)址審計(jì)”查看日志。n 設(shè)置“訪問日志白名單”中的網(wǎng)址不記錄到訪問日志中。訪問網(wǎng)址審計(jì)n 選擇“訪問網(wǎng)址審計(jì)”選項(xiàng)，在顯示界面當(dāng)中設(shè)定查詢條件，選擇“開始查詢” 即可通過新彈出的窗口瀏覽到詳細(xì)的審計(jì)內(nèi)容。n 在指定條件范圍內(nèi)，查詢某個(gè)客戶端或者所有客戶端用戶的瀏覽網(wǎng)頁(yè)的記錄，雙擊記錄可以通過IE瀏覽器直接查看網(wǎng)頁(yè)內(nèi)容；郵件發(fā)送控制n 郵件發(fā)送控制分為聯(lián)網(wǎng)USB KEY存在、離網(wǎng)USB KEY存在、聯(lián)網(wǎng)USB KEY不存在、離網(wǎng)USB KEY不存在四種狀態(tài)；n 郵件發(fā)送地址控制分為“放開所有郵件域”、“禁用所有郵件域”、“按選擇訪問郵件域”三種選擇策略。n “按選擇訪問郵件域”分為“白名單”、“黑名單”兩種條件。n 在“添加郵件域或者郵件地址”欄，輸入郵件域或者郵件地址，點(diǎn)擊“添加”按鈕，將其添加到右側(cè)的黑名單列表中。n 選擇功能區(qū)上面的“允許記錄郵件內(nèi)容”，可以記錄客戶端主機(jī)發(fā)出的郵件內(nèi)容。n 點(diǎn)擊“保存”按鈕，將策略保存。郵件發(fā)送審計(jì)n 選擇“郵件發(fā)送審計(jì)”選項(xiàng)，在顯示界面當(dāng)中設(shè)定查詢條件，選擇“開始查詢” 即可通過新彈出的窗口瀏覽到詳細(xì)的審計(jì)內(nèi)容；n 在指定條件范圍內(nèi)，查詢某個(gè)客戶端或者所有客戶端用戶發(fā)送郵件的記錄；n 雙擊某一條發(fā)送記錄，可以審計(jì)已發(fā)送郵件的具體內(nèi)容（包含附件），要說明的是，查看郵件內(nèi)容需要在管理控制臺(tái)所在的主機(jī)預(yù)先安裝Outlook。郵件接受控制n 郵件發(fā)送控制分為聯(lián)網(wǎng)USB KEY存在、離網(wǎng)USB KEY存在、聯(lián)網(wǎng)USB KEY不存在、離網(wǎng)USB KEY不存在四種狀態(tài)；n 郵件發(fā)送地址控制分為“放開所有服務(wù)器”、“禁用所有服務(wù)器”、“按條件訪問服務(wù)器”三種選擇策略。n “按條件訪問服務(wù)器”分為“白名單”、“黑名單”兩種條件。n 在“添加POP3服務(wù)器”欄，輸入POP3服務(wù)器名稱和POP3服務(wù)器IP地址，點(diǎn)擊“添加”按鈕，將其添加到右側(cè)的黑白名單列表中。n 選擇功能區(qū)上面的“允許記錄郵件內(nèi)容”，可以記錄客戶端主機(jī)接受的郵件內(nèi)容。n 點(diǎn)擊“保存”按鈕，將策略保存。郵件接收審計(jì)n 選擇“郵件接收審計(jì)”選項(xiàng)，在顯示界面當(dāng)中設(shè)定查詢條件，選擇“開始查詢” 即可通過新彈出的窗口瀏覽到詳細(xì)的審計(jì)內(nèi)容；n 在指定條件范圍內(nèi)，查詢某個(gè)客戶端或者所有客戶端用戶接收郵件的記錄；n 雙擊某一條發(fā)送記錄，可以審計(jì)接收郵件的具體內(nèi)容（包含附件），要說明的是，查看郵件內(nèi)容需要在管理控制臺(tái)所在的主機(jī)預(yù)先安裝Outlook。FTP-訪問控制n FTP訪問控制分為聯(lián)網(wǎng)USB KEY存在、離網(wǎng)USB KEY存在、聯(lián)網(wǎng)USB KEY不存在、離網(wǎng)USB KEY不存在四種狀態(tài)；n FTP訪問控制分為“放開所有服務(wù)器”、“禁用所有服務(wù)器”、“按條件訪問服務(wù)器”三種選擇策略。n “按條件訪問服務(wù)器”分為“白名單”、“黑名單”兩種條件。n 在“添加FTP服務(wù)器”欄，輸入FTP服務(wù)器名稱和FTP服務(wù)器IP地址，點(diǎn)擊“添加”按鈕，將其添加到右側(cè)的黑白名單列表中。n 選擇功能區(qū)上面的“允許記錄FTP訪問日志”，可以記錄客戶端主機(jī)訪問FTP的內(nèi)容。n 點(diǎn)擊“保存”按鈕，將策略保存。FTP-訪問審計(jì)n 選擇“FTP訪問審計(jì)”選項(xiàng)，在顯示界面當(dāng)中設(shè)定查詢條件，選擇“開始查詢” 即可通過新彈出的窗口瀏覽到詳細(xì)的審計(jì)內(nèi)容；n 在指定條件范圍內(nèi)，查詢某個(gè)客戶端或者所有客戶端用戶FTP的訪問日志；n 雙擊某一條發(fā)送記錄，可以審計(jì)FTP的具體網(wǎng)址，要說明的是，查看FTP網(wǎng)址需要在管理控制臺(tái)所在的主機(jī)預(yù)先安裝瀏覽器。地址端口控制n 地址端口控制狀態(tài)分為聯(lián)網(wǎng)USB KEY存在、離網(wǎng)USB KEY存在、聯(lián)網(wǎng)USB KEY不存在、離網(wǎng)USB KEY不存在四種狀態(tài)；n 地址端口控制分為“放開所有地址端口”、“禁用所有地址端口”、“按條件訪問地址端口”三種選擇策略。n “按條件訪問地址端口”分為“白名單”、“黑名單”兩種條件。n 界面上“添加”表示添入黑（白）名單，“刪除已選”表示從黑（白）名單中刪除已經(jīng)選擇的地址端口；“刪除全部”表示全部刪除黑（白）名單內(nèi)的地址端口。撥號(hào)連接控制n 點(diǎn)擊“撥號(hào)連接控制”。在功能顯示區(qū)點(diǎn)擊“禁止撥號(hào)連接”后，點(diǎn)擊“保存”發(fā)送策略，客戶端用戶進(jìn)行的撥號(hào)連接將被禁止。網(wǎng)絡(luò)共享控制n 選擇“允許使用網(wǎng)絡(luò)驅(qū)動(dòng)器/網(wǎng)上鄰居”，點(diǎn)擊“保存”發(fā)送策略后，客戶端可以通過映射磁盤或者網(wǎng)絡(luò)鄰居方式訪問網(wǎng)絡(luò)資源；n 選中“允許設(shè)置共享文件夾”，點(diǎn)擊“保存”發(fā)送策略后，客戶端允許共享文件夾。取消“允許設(shè)置共享文件夾”，客戶端不能共享文件夾；n “允許使用Admin$”和“允許使用IPC$”默認(rèn)策略為允許使用這兩項(xiàng)共享功能.在windows xp和windows 2003系統(tǒng)下不支持對(duì)IPC$的關(guān)閉功能。非法接入管理n 選擇“非法計(jì)算機(jī)接入時(shí)報(bào)警”后，未經(jīng)注冊(cè)的計(jì)算機(jī)接入網(wǎng)絡(luò)時(shí)，控制臺(tái)會(huì)顯示報(bào)警信息；n 選擇“非法計(jì)算機(jī)接入時(shí)阻斷”后，未經(jīng)注冊(cè)的計(jì)算機(jī)接入網(wǎng)絡(luò)時(shí)，會(huì)被自動(dòng)阻斷連接安全域。IP地址管理n 點(diǎn)擊“添加信任IP”，在彈出的對(duì)話框中輸入機(jī)器名、IP地址、子網(wǎng)掩碼和MAC地址，單擊“確定”即可添加信任主機(jī)地址；n 在列表內(nèi)選擇安裝客戶端的主機(jī)（綠色），點(diǎn)擊“綁定”即可綁定客戶端的IP地址和MAC地址；n 在列表內(nèi)選擇安裝客戶端的主機(jī)（綠色），點(diǎn)擊“修改客戶端IP”即可修改客戶端IP地址和網(wǎng)關(guān)地址；n 在列表內(nèi)選擇信任IP主機(jī)（藍(lán)色），點(diǎn)擊“刪除IP”即可刪除該信任IP地址；n 非法IP 地址在列表內(nèi)為黃色顯示。邏輯安全域邏輯安全域：具有安全屬性的一組內(nèi)網(wǎng)計(jì)算機(jī)的邏輯集合，邏輯安全域內(nèi)計(jì)算機(jī)之間的網(wǎng)絡(luò)通信是合法安全可靠的；邏輯域內(nèi)與域外計(jì)算機(jī)之間不可進(jìn)行網(wǎng)絡(luò)通信。加裝了邏輯安全域的客戶端主機(jī)具有如下功能：n 同一邏輯安全域內(nèi)的計(jì)算機(jī)之間網(wǎng)絡(luò)通信正常，域內(nèi)機(jī)器和域外機(jī)器之間不能進(jìn)行網(wǎng)絡(luò)通信，雙向阻斷。n 通過配置白名單IP地址，可以允許不安裝客戶端的計(jì)算機(jī)與域內(nèi)主機(jī)進(jìn)行正常通信n 通過啟用網(wǎng)絡(luò)代理，實(shí)現(xiàn)對(duì)雙網(wǎng)卡機(jī)器的控制，即局域網(wǎng)內(nèi)服務(wù)器配備有雙網(wǎng)卡，其中一個(gè)連外網(wǎng)，一個(gè)連內(nèi)網(wǎng)，各主機(jī)可通過配置網(wǎng)絡(luò)代理實(shí)現(xiàn)上網(wǎng)功能邏輯安全域具有如下特點(diǎn)：n 完備的聯(lián)網(wǎng)/離網(wǎng)雙向非法網(wǎng)絡(luò)連接阻斷；n 客戶端自身的安全性得到有效保障；n 非法阻斷由本機(jī)完成，不依賴于LPS服務(wù)器和其他內(nèi)外主機(jī)；n 系統(tǒng)資源消耗??；n 對(duì)網(wǎng)絡(luò)負(fù)載無(wú)影響；n 可跨VLAN部署，支持3層交換網(wǎng)絡(luò)。啟用邏輯安全域后，可以有效控制網(wǎng)絡(luò)通信，防止可信內(nèi)網(wǎng)計(jì)算機(jī)的數(shù)據(jù)通過網(wǎng)絡(luò)聯(lián)接流失到域外，防止通過網(wǎng)絡(luò)傳輸非法竊取、篡改內(nèi)網(wǎng)的重要信息，防止外來計(jì)算機(jī)對(duì)受保護(hù)主機(jī)的非法接入和網(wǎng)絡(luò)攻擊行為。終端遠(yuǎn)程管理“終端遠(yuǎn)程管理”功能模塊為了方便管理員管理客戶端提供了消息通知、時(shí)間同步、進(jìn)程控制、服務(wù)控制、窗口控制、軟件分發(fā)、開關(guān)機(jī)設(shè)置功能，這些功能可以幫助操作管理員很方便的管理安全域內(nèi)部的客戶端。消息通知n 在節(jié)點(diǎn)樹中選擇要發(fā)送消息的客戶端名稱；n 在“遠(yuǎn)程通知消息”處輸入通知的消息后，點(diǎn)擊“發(fā)送”即可發(fā)送剛輸入的消息到客戶端；n 點(diǎn)擊“清空”可以清空發(fā)送消息對(duì)話框中的消息，方便管理員輸入新的消息。時(shí)間同步n 選擇節(jié)點(diǎn)樹中客戶端節(jié)點(diǎn)名稱，在“同步系統(tǒng)時(shí)間”處打鉤，點(diǎn)擊“保存”即可；n 這里的同步系統(tǒng)時(shí)間，指的是同步客戶端和LPS服務(wù)器的系統(tǒng)時(shí)間。進(jìn)程、服務(wù)控制n LPS系統(tǒng)提供了專門禁止某種“服務(wù)”或者“進(jìn)程”的相關(guān)操作。如果希望在某個(gè)客戶端上禁掉某項(xiàng)“服務(wù)”或者某個(gè)“進(jìn)程”，可以通過此功能模塊進(jìn)行相關(guān)操作。n 服務(wù)、進(jìn)程控制策略分為聯(lián)網(wǎng)USB KEY存在、離網(wǎng)USB KEY存在、聯(lián)網(wǎng)USB KEY不存在、離網(wǎng)USB KEY不存在四種策略；n 在中間的“名稱”一欄處輸入希望禁止掉的“服務(wù)”或者“進(jìn)程”的名稱；n 在下面提供了一些常用的進(jìn)程名稱和進(jìn)程說明。n 在“聯(lián)網(wǎng)策略”或者“離網(wǎng)策略”中點(diǎn)擊“添加”按鈕； n 配置好進(jìn)程策略或服務(wù)策略之后，在主界面上點(diǎn)擊“保存”按鈕，策略將被發(fā)送到客戶端用戶處。相關(guān)“服務(wù)”或“進(jìn)程”會(huì)在相應(yīng)狀態(tài)下被禁止；n 如果希望使某項(xiàng)已被禁止的“服務(wù)”或者“進(jìn)程”恢復(fù)，只需選中相應(yīng)“服務(wù)”或“進(jìn)程”，然后點(diǎn)擊“刪除已選”按鈕，在點(diǎn)擊“保存”即可。名詞解釋：USB Key 。一種usb存儲(chǔ)設(shè)備，存有CA數(shù)字證書，用來標(biāo)示用戶身份。用戶狀態(tài)。通過聯(lián)網(wǎng)狀態(tài)、離網(wǎng)狀態(tài)、USB Key構(gòu)成了LPS系統(tǒng)的離網(wǎng)（USB Key不存在）、聯(lián)網(wǎng)（USB Key不存在）、離網(wǎng)（USB Key存在）、聯(lián)網(wǎng)（USB Key存在）四種用戶狀態(tài)來更好的管理用戶。窗口控制n LPS系統(tǒng)可以通過窗口名稱控制客戶端運(yùn)行的系統(tǒng)窗口；n 選擇策略生效條件，例如：離網(wǎng)（USB Key 不存在）；n 輸入需要禁止窗口名稱（foxmail），點(diǎn)擊“添加”按鈕添加，點(diǎn)擊“保存”發(fā)送策略；n 客戶端將禁止窗口名稱為foxmail的程序運(yùn)行。軟件分發(fā)n 在“ ”選擇需要傳輸文件的路徑；n 選擇“保存到指定路徑”，右邊會(huì)有路徑欄，請(qǐng)?jiān)诖随I入希望保存的路徑；n 選擇“保存到用戶桌面”，文件會(huì)保存在用戶的桌面中；n 選擇“保存到客戶端后自動(dòng)運(yùn)行或打開”，文件傳輸完畢自動(dòng)運(yùn)行，請(qǐng)用戶安裝相應(yīng)瀏覽器；n 點(diǎn)擊“開始傳輸”，用戶可以通過查看上面的進(jìn)度條查看傳輸進(jìn)度。開關(guān)機(jī)設(shè)置n 在節(jié)