信安系統(tǒng)主要功能模塊流程說明文檔_0314

1、信安系統(tǒng)主要功能模塊流程說明該文檔的所有章節(jié)前提是系統(tǒng)已正常運行，數(shù)據(jù)庫正常，各設(shè)備之前連接正常。設(shè)備已配置正確 DNS，審計端設(shè)備能連通外網(wǎng)。1、 審計流程數(shù)據(jù)流進(jìn)來后，優(yōu)先到網(wǎng)卡，經(jīng)由網(wǎng)卡驅(qū)動加載后，然后由審計進(jìn)行完成審計工作。般情況下抓包口是審計設(shè)備的ethO和ethl ，具體抓包口1.1. 網(wǎng)卡流量確認(rèn)1) tcpdump : tcpdump - ethO 可以看到是否有流量進(jìn)來2) ifconfig,查看是否有丟包或者"RX packets:11180 ”收到包的數(shù)據(jù)是否有變化。root®localhosl Tfr ifconfig ethOethO Link e

2、ncap:Ethernet HWaddr B4 :B5:2F: 5C : 28IIP BROADC：AST R【臨TMG MULTICAST MTU; 1500 Ketric：lKX packets:2B6180057B errors:0 droj>pd:0 nerruns:0 frane:0 TX packets!0 errors!0 dropped!0 overruns:0 carrier!0:0 txqueueleniLOOORX bytes：996184030 (9F0. 0 MiB) TX bytes：0 (0.0 b) Interrupt:S3You. have new ma

3、il in /var/spool/mail/rootI -in r1 ik r-n11 lr-i r-k n -F112 網(wǎng)卡驅(qū)動確認(rèn)1）審計端的內(nèi)核包編譯過后，一般網(wǎng)卡驅(qū)動會有改變，如下圖所示:rootSlocalhost J# lsinoA | grep ane ne_cp_meni695361 tnx2_ng2）目前使用的編譯驅(qū)動下需確認(rèn)已將網(wǎng)卡注釋掉:審計端 vi /etc/modprobe.conf#表示已注釋_匸口口tMocalhost T# vi /etc/modprobcconfT |lia£LiliasSias alias alLas ialias:elhO tg3

4、i ethl tg3；eth2 lg3；ethS tgSscsi_host adapt cr ircg3raid_sas scsi_ho s t adapt erl ahcinet -pf-10 offipv6 off【備注】一般設(shè)備能都正常起來情況下，網(wǎng)卡驅(qū)動只需進(jìn)行前面兩步驟即可。若機器無法正常啟動，需認(rèn)真核查下面信息3）安裝程序或者升級過程中，驅(qū)動加載不上時，確認(rèn)設(shè)備硬件信息，方法如下A.查看機器的內(nèi)存信息roiotOlocalhost 匚口nrf*free -Imtot alusedfr EEsharedbufferscachedMem:80713 610851487LOr：8204

5、74| 34 5High:72503217-/+ buffers/cache:2118552巨相卩；51220加2roionsiocalhasr corrf#如果紅圈標(biāo)明的值明顯大于超出100，則可以正常安裝或升級。如果不夠，繼續(xù)往下：B.查看機器原本加載的buf大小是否足夠。a) 查看本機的內(nèi)核版本：un ame -rn 種 n 忖.j t iwroart&loclhost con尸護(hù) unaine -r 2.6.19-274nq. el 5PAEroott&localnost confIb) 進(jìn)入到對應(yīng)的文件下面看配置文件打開驅(qū)動配置文件：cat zrcp.confdriy

6、r.verslon=l f驅(qū)羽名稱；驅(qū)動文件名稱 memf ile=nf_buf；駆動韁沖塊數(shù)量 buffers=12B；驅(qū)勤網(wǎng)卡數(shù)屋netcard_num=2；加戟歸斷日志網(wǎng)卡驅(qū)動0；不啟劭；久：啟功 1og_Ard=0；陽斷曰志網(wǎng)卡驅(qū)動耀沖塊數(shù)量1og_huffers=64;拷閃GET毅據(jù)到新煖沖：不啟動：“啟動 us a_get_but = 0；GA姿據(jù)繾 沖塊邀量 get_Luf_51 ze=3 2-看這個原始驅(qū)動的配置大小，如果是>=100的，那么就直接升級。-如果是<100的，那么繼續(xù)一下操作:C.查看機器本身內(nèi)存信息：free -Imrooti&'lo

7、calhosT 匚d門f十 free -IniTot alU5 edf r EEshar edbuffecachedMem:3071369143 7508514 87LOW；8204 74345Hi qh:72 503217-/-» buffer s/c ache:211859 52諭3卩；汕220root ©"I oca "I host conf#<100,或者是剛超出看一下這個數(shù)字：如果這個數(shù)字加上上面配置文件里面的一起還是100的，那么就暫停升級,13 進(jìn)程確認(rèn)1）審計進(jìn)程說明如下:rootOlocalhostJ# ps-ef grep Nr

8、oot55415457008:5591oo；oo；oi./NMP_EKecutorroot6011008:55700:00:0?./NetGetroot60161008:5500:00:04root50181008:55100;00;04./MetOtherroot3055721340010:5800:00:00grep N./NetGet :網(wǎng)頁訪問審計（）./NetPost :網(wǎng)頁發(fā)帖審計，BBS審計，微博審計（POST）./NetOther :郵件審計，遠(yuǎn)程登錄審計，文件傳輸審計（SMTP/POP3,TELNET,FTP），圖片審計2）進(jìn)程正常情況下，審計將會讀寫入庫，需確認(rèn)讀寫指針正常

9、進(jìn)入 cd /usr/seentech/netguard/tools（以POST為例）執(zhí)行./zero_tools -m1 -b32 -mfnf_postF圖中的rp標(biāo)號每隔幾秒會進(jìn)行更新，沒有進(jìn)行更新時需要重啟該進(jìn)程。«P： 17137rp; gruindEX_pointL7137>rp: S435 wp<一Mndci0wp: 17419rp： S702in.de K_pClnt17419咚<i S7170wp: 17630rp： B702index_p ciintL7&S0>rp: S978 wpVMndez0ojp: 17964rp： 8702i

10、ndex jointI79S4wp<>rp： 92E2 qp<Mndeiwp： LE24rp： E7Q2indPT_p 匚 int1324vr<.一>rp: 9542 wp<-一>ind&yI.wp； 1B53E叩；87OZindei_poinrt18538wp<>rp ； S33& wp< niei0wp; 1891&rp; 8702ind±K_pcini:18319>rp: 10217 wp<>index0wp： 19192rn： R7Q2indci_pcintHl佢>rp

11、: 10493 wp<>indci014 數(shù)據(jù)庫表中配置確認(rèn)1)審計端表get_db_conf 表中只有一條配置信息，無重復(fù)配置曰 jlob3l_pnlit7同 Mtp_20U_Oas ntt20i 匸時口E5 http uri pce action目 dc_(pt_csnfgB ip*Mi|w6Jnto圍 maGhne m3il_201<C3_12晰30 行，幵始行數(shù)| 以.水平卜|侯式顯示并且在1000個單元格宕重復(fù)標(biāo)是* T-£&rvic0_codedbpdb_portdb_name 夕X1192.168,5.1653306idcOOOOOl1_ 全苗

12、/全部不遠(yuǎn)迭咿拓 /X苗1.5.其他配置信息確認(rèn)1) 監(jiān)控范圍配置A. CU管理服務(wù)器已配置正常的監(jiān)控范圍，先界面確認(rèn)配置正確，再進(jìn)行數(shù)據(jù)庫tab_service_ in formati on表確認(rèn)ft控范廚crerfe_M*rieremarkterkd flajj葉HflWW!自iP 丁啓上e七于字i-EHl；qH-D3-13H ?1 S111(p_r*ngc ©氐&1 135 163 125-出 .01 15&W THE SAi- -nft-tjn- P1IMRA J 注I:弓H 即匸卵R EflB/QMCjeorsnCC*B Ub_saivcq_ri1lirna

13、lMin 呂曲Hh-IU耶Q 古ib EiaruciabbsJtypGiB iab_3horicirtH faJhB.審計端確認(rèn)監(jiān)控范圍已同步，與設(shè)置監(jiān)控范圍一致。審計端數(shù)據(jù)庫表 sys_mach ine_infoS rpt_ijri_fi|l0i_conligS 4y8_rDF(g3 w si司?y5_m&c hirrejifc9 Gy$_n»diiiHjnbJe|iigS 劌匸EBch|ne_atjj(dtscription gid1ipmac1 00 j 匚 C9.DO.r7.5Oip_nnge61.115 169J2561 135 169.125J6

14、1 155.106 2gj 1552）后臺查看入庫配置審計端服務(wù)器確認(rèn)配置為審計入庫:vi /usr/see ntech/netguard/c on/ns_n etse nti nel.c onf-處理http類型1 -單條入庫2-1 oad data批量入庫 Eeal_http_type二1；-批量入庫時，文件存放路徑 filedira-t/usr/seerLtech/net guard/data/action該配置需為1 （單條入庫）或2 （批量入庫）3) 查看緩存是否較大審計審計端：cd/usr/see ntech/netguard/datadu -sh acti on du -sh p

15、ost_filedn -sh action/du -sh post_fiL=du -sh ht tp_L Qg/血-sh ht tp_logrootlccalhost data# SOKaction/rootlGclhcst data# 4-OKpcstfilexoaitlocalhost data# 16Khll:p_log/LToolQloealhost dt aj# 16Khitp_loedataj#4）確認(rèn)抓包網(wǎng)卡協(xié)商模式關(guān)閉關(guān)閉協(xié)商命令ethtool -K eth4 rx off tx off sg off tso offethtool -k 端口查看協(xié)商配置情況!_ UL 口 L

16、X LJ H X 1.1 b L 11U OIL CJ-L 丄 7 基 7 JL J. 17 丄 H XX UJ.LIIXX W" 3 Xraottlocalhost T# ethtool -k ethOOf fl oad paranieters for ethO:Cannot get device udp large send offload settings: Operation not supported rx-checksunming: off t x-checksummi ng: off scatter-gather: offtop segmentation offload

17、: offudp fragmentation cffload: offgeneric segmentation offload: off呂匕ntrit-r亡口注d: off5）審計端口默認(rèn)需開啟混雜模式注：在寬廣按照 MAC地址做鏡像時，需關(guān)閉端口的混雜模式關(guān)閉混雜模式的命令：ifconfig ethO -promise（有寬廣設(shè)備時考慮改操作，其他情況慎操作）開啟混雜模式的命令：ifconfig ethO promise up2、報警流程2.1.策略選取說明對于下發(fā)策略前需要確認(rèn)選取哪些IP，域名，URL,關(guān)鍵字作為策略的內(nèi)容，需滿足下列條件：【很重要】1）選擇的目的IP，源IP，域名，UR

18、L，關(guān)鍵字對應(yīng)的 URL均需要是能審計到的，即 選擇的IP/域名/URL在審計的流水表_xxxx_xx_xx中是可以查詢到的；2）自己訪問所選取的網(wǎng)站，確認(rèn)流量能都流入機房；3）確認(rèn)所訪問的網(wǎng)站的IP在監(jiān)控范圍內(nèi)；4）對于內(nèi)容關(guān)鍵字的選取，在滿足前三者的基礎(chǔ)上，還需是該網(wǎng)頁的源文件中能夠找到的（直觀看到的網(wǎng)站信息和網(wǎng)站源文件不一定一致，內(nèi)容關(guān)鍵字必須是源文件中操作方式1:打開網(wǎng)站，點擊右鍵，選擇“查看源文件”，紅色框中才能選為策略關(guān)鍵字游憂網(wǎng)收藏更舊臺晉舷件M1芝色蛉rr!T3a-baekir.ak!_Tac34564443;cl;體： fonr-31 za : 12pt; rr.y一n 日

19、e * 一FmT一i y itso-far£as-J£ont-£aziiily: Cambir"葉取寸干畫持握名指向的應(yīng)甫服勢(spanX/spanX/sf class=n a.Xspan style = * ±meriej_gr)fc :±ont±amiiy: 耒休； f nt-22 報警實現(xiàn)過程由管局側(cè)下發(fā)監(jiān)測策略-CU管理服務(wù)器收到策略后轉(zhuǎn)發(fā)給審計端-審計端通過 中間件加載策略-數(shù)據(jù)流到審計端后與策略進(jìn)行匹配，匹配到后將數(shù)據(jù)進(jìn)行報警標(biāo)識為報警信息-報警信息在CU管理服務(wù)器進(jìn)行匯總處理-報警信息上報給 管局23進(jìn)程說明1

20、) CU管理服務(wù)器報警進(jìn)程：./AlarmOptSroctlocalhost # ps efI grep Aroot2059610 18:05 pts/700:00:00. /UbAPrusss”Maintenancesroot2064310 13:05 pts/700:00:00 .TAlaridOptH2) 審計端中間件進(jìn)程：./ ProxyComm;-ef gref. Pre vyCroot1ii0E：55700! 00 ； 00 sh -c od . /Prflij/Cflnini Sfi sh run. sh &.工口 口 t10OS： 5500!001 sh -c cd T

21、, /ProiyC口mi/ 豳.ZdatgEl EatnC t.r 口口十isn49605ii03:55OD：DO：02叫i?oot2134Diip1s/200：00：00 rep FroiyC24策略表說明1)CU管理服務(wù)器：ismsc_idccomma nd（顯示接受的管局下發(fā)的策略表，信息安全管理指令菜單內(nèi)容,commandlD 管局指令I(lǐng)D， scheme_id企業(yè)側(cè)策略ID的對應(yīng)關(guān)系表）t_alarm_co nte nt（下發(fā)的具體報警內(nèi)容，可以找到策略號scheme_id）t_policyt_policy_servicet_schemet_scheme_policyt_scheme

22、_u nit_app（界面顯示的指令的下發(fā)狀態(tài)，可通過改此表更改狀態(tài)）scheme_id 連接所有的策略表2） 審計端t_alarm_c ontent（下發(fā)的具體報警內(nèi)容）t_policy t_policy_service t_scheme t_scheme_policy t_scheme_ uni t_appuser_policy（IP，域名，URL經(jīng)中間件加載后入庫表，報警入此庫才能生效）tab_policy_keyword（含有關(guān)鍵字的策略經(jīng)中間件加載后入庫表，報警入此庫才能生效）scheme_id 連接所有的策略表2.5.策略下發(fā)說明1） CU管理服務(wù)器的那幾張表，并下發(fā)指令給中間件2

23、)中間件入庫t_開頭的那幾張表，并合并策略，將IP，域名，URL策略保存到3)4)2.6.1)user_policy中間件入庫表中，并通知審計端獲取。t_開頭的那幾張表，并合并策略，將含有關(guān)鍵字的策略保存到tab_policy_keyword 表中，并通知審計端獲取。審計端最終加載的策略是user_policy 和tab_policy_keyword表中保存的策略。報警日志表說明CU管理端:alarm collect 2014 03 07alarm_collect_c onfig（rule_ide ntifier報警日志的策略標(biāo)識）alarm_2014_03_07( rule_ide ntif

24、ier報警日志的策略標(biāo)識 )alarm_post_2014_03_052）審計端:_2014_03_07 （ flag=2 會記錄為報警日志）2.7.報警日志產(chǎn)生和上報說明1）審計端審計數(shù)據(jù)，在協(xié)議模塊里面提取出ip、url、域名，關(guān)鍵字等信息之后，將flag值置為2并寫入到對應(yīng)的流水表中，如：_xxxx_xx_xx表中。2)中間件根據(jù) tab_proxy_protocl_proclist表中的配置【見下圖】，從對應(yīng)的流水表中獲取flag值為2的數(shù)據(jù)進(jìn)行策略匹配。查詢的id值為更新為最新查詢到的審計工:Td0車出心亠pe口日 b.ieia口 豪rpL d e：叩持20111-OSMlflltl

25、 00rpa_dia M_has£ord:日ideleleO丿尹02015-11-09 30:0£fc00iptdel&le口 /Xrpdfiibb&jrder0Diiiii-oasoi odtcinrpfl_dia _ub5 ddJs<iptdalfeteC丿X川肯門即砒的0rp(Ldaiptdel#n /Xrpl_rnid_ilLi “jbyepp0UU 00Wdalede口 /家巾5聞_臨1“腳幣020 00.00nA."1財&|金 ZXhotW72T2l0IM1»O9OT00JD000010 XEHQJDitii-o

26、ioadObaoijostM010 Zy02013-11-0900 go QQ啊oca /mal1*Joi $-11-00 00X)(fc00巾印ii0004日志記錄數(shù)，匹配中策略的記錄則上報到CU管理服務(wù)器（本地未保存報警數(shù)據(jù)）【注：在IP、域名、URL規(guī)則數(shù)比較多的情況下，為了盡快得到相關(guān)數(shù)據(jù)，采用不傳 遞給CU管理服務(wù)器，而直接在本地進(jìn)行統(tǒng)計的方式，例如電信、聯(lián)通的測試環(huán)境。需 要在審計端本身手動創(chuàng)建alarm_YYY_MM_DD（從CU管理服務(wù)器復(fù)制過來）等對應(yīng)的報警數(shù)據(jù)表，才能夠存入數(shù)據(jù)。配置項為：/usr/see ntech/ProxyComm/co nf/ns_netsentin

27、el.conf配置文件中，設(shè)置write_alarm_to_local=1，然后重啟進(jìn)程即可 】3) 在 write_alarm_to_local=0時，CU管理服務(wù)器主進(jìn)程接收到中間件上傳的數(shù)據(jù)后，再次匹配一次策略（防止CU管理完全和審計端的策略不一致作了一個保障，基本可以不管），匹配好的入庫 CU管理服務(wù)器的alarm_xxxx_xx_xx 等報警數(shù)據(jù) 表。4）CU管理服務(wù)器AlarmOptS 進(jìn)程根據(jù)alarm_collect_config表里面配置的，從對應(yīng)的報警數(shù)據(jù)表里面（alarm_xxxx_xx_xx等報警表）獲取報警數(shù)據(jù)，分析放入到alarm_collect_xxxx_xx_x

28、x流水表中。5）界面從alarm_collect_xxxx_xx_xx流水表中提取相關(guān)的報警信息展示在界面上。該表的table_name當(dāng)前處理表必須為當(dāng)前的時間。查詢的id值為更新為最新查詢至U的 alarm_xxxx_xx_xx 記錄數(shù)。S elVFniN 07pro nain林以自那港r.iddateg alarm coll 8-d corigi百 slarm_htlp_2014jD2_17ri sfefm.hrtfOoujOJJEnxhttpa larm http 20l4 D3 13D2013)6-1300:00:00i i|y Xpostalarw_ptKt_20l4_03_l30

29、2013 0& 13000000H flam help 20li 02 19Fl aiaFmj®p_20i4jQ_D4El slanri KTp 20*4 21 05n y >bbsaiarm_bbs_7014_03_1302013-OM3 00:00:00Jxmailalarm rail_2(. 2 .03 %02013-06-13 00 OU )0B4JI 1_DG iilarin_Ktf>_20i4_03_07B plfl rm past 2O1d D3 QSn y xfilealarm file 2QU 33 1302013 06-13 00:00:00

30、J xdbalarm db 2C14 03 1302013413 00 DODOB bioGk._2(14_Q2_1BH btodt OOulTl config5 btoclchctp_M i4_O2_l0n z xwcho3 la rm_wp ibc_2Q 1302fl1? 06 13 00 W Wletneia lain14_C3_1306) alarm_collect_xxxx_xx_xx 表中的日志所對應(yīng)的策略號rule_ide ntifier 般需能在策略表如 t_policy 表中查詢到。rule_identifier=scheme_id7）報警日志上報給管局，需alarm_col

31、lect_xxxx_xx_xx表中的日志所對應(yīng)的策略號rule_identifier 在 idc_command表能都查至打即 rule_identifier=commandlD ,且該commandlD的策略沒有取消，是正在生效的。（用該commandlD在idc_comma nd表中只能查詢到一條記錄，有兩條表示一條是新增一條是刪除就不屬于正在生效的策略）。3、過濾流程5.1. IP/URL/域名封堵流程管局下發(fā)過濾策略-CU管理服務(wù)器接收到策略后下發(fā)到流量監(jiān)控管理平臺（以下分兩種情況）-流量監(jiān)控管理平臺設(shè)備為第三方設(shè)備，則直接轉(zhuǎn)發(fā)給第三方設(shè)備完成圭寸堵15-流量監(jiān)控管理平臺設(shè)備為自身設(shè)備

32、，則發(fā)送給審計端執(zhí)行單元，由執(zhí)行單元完成封堵52關(guān)鍵字封堵流程管局下發(fā)過濾策略-CU管理服務(wù)器收到策略入 t_*策略表后轉(zhuǎn)發(fā)給審計端 t_*策略表 - 審計端通過中間件加載策略-數(shù)據(jù)流到審計端后與策略進(jìn)行關(guān)鍵字匹配，得到關(guān)鍵字的URL- 將匹配到的關(guān)鍵字 URL上傳給CU管理服務(wù)器-CU管理服務(wù) 器接收到策略后下發(fā)到流量監(jiān)控管理平臺（以下分兩種情況處理）-流量監(jiān)控管理平臺設(shè)備為第三方設(shè)備，則直接轉(zhuǎn)發(fā)給第三方設(shè)備完成圭寸堵-流量監(jiān)控管理平臺設(shè)備為自身設(shè)備，則發(fā)送給審計端執(zhí)行單元，由執(zhí)行單元完成封5.3.進(jìn)程說明1）CU管理服務(wù)器進(jìn)程：流量監(jiān)控管理進(jìn)程./NMP_Userrootl acaihos

33、t 岸 ps -ef grep MProot263465S80 11:20>OO:Q0:Q0 , /NMP_Managerroot5636315120 13:22pts/600:00:00 grep NMProot671265930 0:0200:00:02 . /hlMPxecutorroot860816 Q9煙M：L3：01 f /NMPUser2） 審計端：執(zhí)行單元進(jìn)程./NMP_Executor （原使用）root26346588011:2000:00:00 . /MPJanagerroot67126593009:02000:00:02 . /NMP_Executorrootse

34、es1609:02?00:18:2D . /W_Userrootn125051 131512013:26r 1pts/&1 100:00:1 IF:00 grep NP_92m 4 7 粵 3 4 /I 口 J丄丄V 7 & J 7 J i"# ps -ef | grep NKP_Eroo-tilocalhost54IP/URL/域名過濾策略下發(fā)1） CU管理服務(wù)器：JAVA界面下發(fā)過濾策略：ismsm_selfidccomma nd（界面顯示的策略狀態(tài)在此表修改）ismsm_selfidccomma ndcontentPHP界面下發(fā)過濾策略:ismsj_isstop

35、_c ontentismsj_isstop_ infoismsj_isstop_u ni t_app（界面顯示的策略狀態(tài)在此表修改）block_scheme （策略表）2）CU管理服務(wù)器流量監(jiān)控管理平臺（數(shù)據(jù)庫：blockserver ）t_ip_block_list t_domain_block_listt_url_block_listt_domainp_block_list（組合策略）3）第三方設(shè)備執(zhí)行圭寸堵：策略直接從CU管理服務(wù)器發(fā)送到外部設(shè)備4）自身設(shè)備執(zhí)行封堵：審計端執(zhí)行單元（數(shù)據(jù)庫：clear,過濾信息入此庫才能生效）block_url_policyblock_doma in _

36、policytab_pass_ip_policyb lock_ip_domain_policy（組合策略）5.5.關(guān)鍵字過濾策略下發(fā)關(guān)鍵字過濾策略的生效需要先完成關(guān)鍵字轉(zhuǎn)換為URL的過程，所以其策略下發(fā)入表同報警策略一致。1）CU管理服務(wù)器：JAVA界面下發(fā)過濾策略：ismsm_selfidccomma nd（界面顯示的策略狀態(tài)在此表修改）ismsm_selfidccomma ndcontentPHP界面下發(fā)過濾策略：ismsj_isstop_c ontentismsj_isstop_ infoismsj_isstop_u ni t_app（界面顯示的策略狀態(tài)在此表修改）block_schem

37、e（策略表）2）CU管理服務(wù)器：t_policyt_policy_service（關(guān)鍵字的具體封堵信息在該表中查看）t_schemet_scheme_policyt_scheme_ uni t_apptab_keyword_url （關(guān)鍵字的對應(yīng)的 URL）3）審計端：t_policyt_policy_servicet_schemet_scheme_policyt_scheme_ uni t_appuser_policytab_policy_keywordtab_keyword（產(chǎn)生關(guān)鍵字對應(yīng)的URL）4）關(guān)鍵字的URL轉(zhuǎn)換成功后，走 URL過濾策略的流程56封堵日志表說明CU管理服務(wù)器:bl

38、ock_2014_03_06（非關(guān)鍵字的過濾日志，rule_ide ntifier標(biāo)識日志的策略號 ）block_2014_01_19（關(guān)鍵字的過濾日志）5.7.封堵日志的產(chǎn)生和上報說明1）如果是第三方設(shè)備執(zhí)行封堵：第三方設(shè)備將封堵日志通過ftp上傳給CU管理服務(wù)器/tmp/kuanguang/block_logs，CU管理服務(wù)器解析封堵日志文件入庫即可。2）如果自身設(shè)備執(zhí)行封堵：執(zhí)行單元通過發(fā)出封堵干擾包實現(xiàn)封堵，通過發(fā)出封堵包統(tǒng)計封堵日志。封堵產(chǎn)生的日志首先生成在clear數(shù)據(jù)庫里面，管理平臺的collectData進(jìn)程從數(shù)據(jù)庫clear讀取數(shù)據(jù)，寫入封堵日志文件，封堵日志文件生成的文件分

39、別放在執(zhí)行單元的下的/usr/see ntech/block/data/logfile，然后上報到流量監(jiān)控管理平臺下的/usr/see ntech/block_i nterface/block_logs（圭寸堵日志）和 /usr/see ntech/block_i nterface/block_cou nt（圭寸堵統(tǒng)計）目錄下，并且在數(shù)據(jù)庫blockServer做了一個備份。一級中心后臺通過一個線程將圭寸堵日志和圭寸堵統(tǒng)計匹配策略并寫入數(shù)據(jù)庫。8）圭寸堵日志 block xxxx xx xx 或 block_xxxx_xx_xx 表中 對應(yīng)的 策略號rule_identifier 般需能在策略

40、表 block_scheme 表中查詢到。ruleden tifier=schemed。3）圭寸堵日志上報給管局，需block xxxx xx xx 或block_xxxx_xx_xx 表中的日志所對應(yīng)的策略號 rule_identifier 在 idc_command表能都查到，即 rule_identifier=commandlD，且該commandlD的策略沒有取消，是正在生效的。（用該commandlD在idc_command表中只能查詢到一條記錄，有兩條表示一條是新增一條是刪除就不屬于正在生效的策略）。4、組合策略1）CU管理服務(wù)器和 EU支持組合策略的報警和封堵，IP/URL/域名

41、/關(guān)鍵字等類型，支持這些類型兩兩、三三、四四組合的策略。組合策略及表示生效的網(wǎng)頁需要同時 滿足多個要求，只符合其中一個要求不能觸發(fā)其生效。如關(guān)鍵字+IP+URL組合，該IP范圍下這個URL有該關(guān)鍵字才能產(chǎn)生報警或封堵效果。2）組合策略的生效都是將多種類型的組合轉(zhuǎn)換為單類型的策略或較簡單的組合策略處理，具體的轉(zhuǎn)換對應(yīng)關(guān)系如下：組合策略轉(zhuǎn)換類型關(guān)鍵詞+IPip+url關(guān)鍵詞+URLurl關(guān)鍵詞+HOSTurl22關(guān)鍵詞+IP+URLip+url關(guān)鍵詞+IP+HOSTip+url關(guān)鍵詞+URL+HOSTurl關(guān)鍵詞+IP+URL+HOSTip+urlIP+URL+HOSTip+urlIP+URLip

42、+urlIP+HOSTip+hostURL+HOSTurl5、批量策略批量策略的處理方式是由 CU管理服務(wù)器導(dǎo)入批量策略進(jìn)行下發(fā)，下發(fā)到審計端后由中間件對所有策略加載匹配，產(chǎn)生生效效果。5.1. 批量報警策略1）批量報警策略不同于正常下發(fā)單條策略,下發(fā)單條策略時是一條指令對應(yīng)一個策略號，而導(dǎo)入的一批次批量策略是作為同一個策略號進(jìn)行處理。策略，這1W關(guān)鍵字是同一個策略下的，即一個策略包含有 件是加載一次有多條內(nèi)容的策略。2）在數(shù)據(jù)庫表中的體現(xiàn)為（以一次下發(fā)1W關(guān)鍵字，一次下發(fā)為例）a）CU管理服務(wù)器：界面導(dǎo)入一條1W條關(guān)鍵字的策略t_alarm_c ontentt_policyt_policy_

43、servicet_schemet_scheme_policyt_scheme_ uni t_app如導(dǎo)入1W條關(guān)鍵字1W個關(guān)鍵字。中間1W URL的批量策略t_*這些策略表中都只有兩條記錄，一條URL的，一條關(guān)鍵字的b）審計端 t_alarm_c ontentt_policyt_policy_servicet_schemet_scheme_policyt_scheme_ uni t_appt_*這些策略表中都只有兩條記錄，一條URL的，一條關(guān)鍵字的user_policy（ 1W個URL入此庫才能生效）tab_policy_keyword （ 1W個關(guān)鍵字報警入此庫才能生效）5.2. 非關(guān)鍵字批

44、量過濾策略1）批量的過濾策略下發(fā)與單類型的過濾策略下發(fā)一樣，沒一個封堵關(guān)鍵字對應(yīng)一個策略，則實際準(zhǔn)備的關(guān)鍵字的數(shù)量就是下發(fā)到審計端的策略的數(shù)據(jù)。如下發(fā)1W內(nèi)容關(guān)鍵字的過濾策略，下發(fā)到審計端就是1W條策略，中間件需要加載 1W次。2）IP/域名/url的批量過濾策略處理過程：界面的下發(fā)的批量策略分單條入庫到CU管理端block_scheme 表中，CU管理服務(wù)器的使用快速通道將過濾策略分發(fā)到審 計端，該快速通道使用NMP_User數(shù)據(jù)庫過緩沖，調(diào)用分發(fā)程序下發(fā)到審計端。（批量過濾策略不經(jīng)過流量監(jiān)控管理平臺，直接由快速通道下發(fā)。）253）非關(guān)鍵字的批量策略入庫模式（以 1WURL下發(fā)為例說明）a）

45、CU管理服務(wù)器：block_scheme （ 1W 條 URL 記錄）b）快速通道：NMP_User 緩沖隊列表（所有的策略由該數(shù)據(jù)庫緩沖下發(fā)，策略下發(fā)成功后表為空）cmd_queue_app（下發(fā)成功后無記錄）cmd_queue_doma incmd_queue_doma inipcmd_queue_ipcmd_queue_ipportcmd_queue_portcmd_queue_url（下發(fā)成功后無記錄）c）審計端執(zhí)行單元（clear數(shù)據(jù)庫）block_ip_doma in _policyblock_ on e_doma in _policyblock_url_policy （1W 條U

46、RL記錄，入此表才能生效 ）tab_pass_ip_policy53關(guān)鍵字批量過濾策略1）單條關(guān)鍵字過濾下發(fā)時， 策略到CU管理端的策略表中，由同步程序同步到審計端。 同步時會進(jìn)行排隊，一條一條策略下發(fā)，無法多條策略同時下發(fā)。批量的關(guān)鍵字過 濾策略處理機制為策略到CU管理官的策略表中，直接寫入到審計端的策略表中，由中間件加載后生效。2）策略下發(fā)入庫形式：a） CU管理服務(wù)器：t_policyt_policy_service（關(guān)鍵字的具體封堵信息在該表中查看）t_schemet_scheme_policyt_scheme_ uni t_apptab_keyword_url（關(guān)鍵字的轉(zhuǎn)換的 URL

47、，由審計端tab_keyword 上傳）b）審計端：t_policyt_policy_servicet_schemet_scheme_policyt_scheme_ uni t_appuser_policytab_policy_keyword （中間間加載后 1W 條關(guān)鍵字） tab_keyword（產(chǎn)生關(guān)鍵字對應(yīng)的URL）c）關(guān)鍵字轉(zhuǎn)換URL后走URL的過濾策略生效流程。6、數(shù)據(jù)上報說明數(shù)據(jù)上報的類型如下，類型前數(shù)字編號為該類型數(shù)據(jù)上報的文件夾編號6.1. 十二種類型數(shù)據(jù)說明文件17是工信部定義接口的上報文件，上報需嚴(yán)格按照其上報格式上報文件5155是私有接口定義的文件，屬于我司自定義，其他

48、廠商不一定按照此格式上 報1）文件1基礎(chǔ)數(shù)據(jù)：經(jīng)營者信息，運營商機房信息，用戶信息上報條件：運營商機房信息完整，包含有IP地址段信息和互聯(lián)網(wǎng)出入口信息互氏冋岀入匚信自才倉丘怪；TSAI'S用戶信息完整，有用戶的基本信息和服務(wù)列表用nr1軸軸WF11Ja)經(jīng)營者表：ismsx_idcbasicinfosend_flag=0 and ftpstatus=1 b) 機房表:tab_service_information（checkdata 為1表示數(shù)據(jù)完ftpstatus=1 and sen d_flag=O and checkdata=1整）c) 用戶表：res_customer ftps

49、tatus=1 and send_flag =0 and checkdata=1 andusertype=1 或 22）文件2 基礎(chǔ)數(shù)據(jù)監(jiān)測數(shù)據(jù)：基礎(chǔ)數(shù)據(jù)異常監(jiān)測數(shù)據(jù)上報條件：運營商機房的監(jiān)測狀態(tài)已經(jīng)開啟機馬地址機房管理員信蠱晁明市五華區(qū)龍泉路五 忖凌云mJ域名和IP表中有未備案的數(shù)據(jù)時，會寫入到ismsm_housemonitor表中，才會上報 給管局和 icpstatus=1 或 3a) res_ips 表中 creatorid=autob)res_domain 表中 icpstatus=1（1表示未備案 2表示備案 3表示異常）當(dāng)域名和IP表中的數(shù)據(jù)滿足這些條件時，ismsm_house

50、monitor會產(chǎn)生數(shù)據(jù)。IP地址類型：error字段記錄IP的各種類型（0 :正常，1 : IP登記保留，實際為啟用2 : IP登記域名有誤，3: IP未登記)；domain 記錄實際域名regDomain 記錄封堵域名3) 文件3 訪問日志查詢結(jié)果：上報條件：管局下發(fā)CU管理服務(wù)器訪問日志查詢指令，從審計端查詢到滿足條件的數(shù)據(jù)后生成上報文件CU管理端收到的訪問日志查詢指令表：ismsqogquery4) 文件4 監(jiān)測日志：上報條件：CU管理服務(wù)器的封堵日志表alarm_2014_03_07 中有日志，產(chǎn)生這些日志的策略在策略表中進(jìn)行比對，需是從管局下發(fā)的沒有過期的正在生效的策略。5) 文件

51、5 過濾日志：上報條件：CU管理服務(wù)器的報警日志block_2014_03_06,block_2014_01_19 中有日志，產(chǎn)生這些日志的策略在策略表中進(jìn)行比對，需是從管局下發(fā)的沒有過期的正在生效的策略。6) 文件6 信息安全管理指令查詢結(jié)果：企業(yè)側(cè)正在生效的策略上報條件：管局下發(fā)管理指令查詢指令，CU管理服務(wù)器從策略表中查詢到正在生效的指令后直接在后臺生成上報文件7) 文件7 ISMS活動狀態(tài)：機房的在線狀態(tài)和設(shè)備使用狀況上報條件：非接口模式：審計端統(tǒng)計設(shè)備狀態(tài)sys_machine_stat ，將該表的信息上報給CU管理服務(wù)器的tab_sys_machine_stat，再生成上報文件，每

52、隔10分鐘上報一次。接口模式：審計端統(tǒng)計設(shè)備狀態(tài)信息上報到CU管理服務(wù)器的isms_house_stat_collect再生成上報文件8) 文件51基礎(chǔ)數(shù)據(jù)及備案信息：IP、域名信息，機房機位信息IP,域名的上報：審計端從審計數(shù)據(jù)中提取IP和域名信息，res_ips，res_domain ,res_domain_two，將這些表中的數(shù)據(jù)上傳到CU管理服務(wù)器相同名稱的表中，CU管理管理服務(wù)器判斷將監(jiān)控段內(nèi)的IP域名通過私有接口上報給管局a) 域名上報條件： res_domai n, res_domai np 表中都有數(shù)據(jù)，且 res_domai n 表中 domain_type=2 AND location_type !=0 AND send_flag =0或 2b) IP 上報條件：res_ips 表 'commandlD' =