入侵检测 (eTrust Intrusion Detection)-8
第 9 章 常见问题解答
本章将强调某些常见的安全性问题,以及入侵检测 (eTrust Intrusion Detection) 如何在一体化的软件包中集成使用情况报告、内容扫描、入侵探测、即时安全冲突警告、非法网络会话自动阻塞和其它企业 Internet 使用保护功能。
入侵检测 (eTrust Intrusion Detection) 如何防止网络出现有害的事件?
当本地或企业网络连接到 WWW 并且在公司内使用 Internet 技术时,公司将面临两个主要的问题:
l 防止公司受到外部入侵和服务拒绝攻击。
l 避免公司受到内部滥用和损失生产效率。
Computer Associates 为解决这两个问题提供了有效和经济的方式,并且不需要更改当前网络拓扑结构,而且不带来任何网络性能开销和更多规划。
拒绝服务探测和防护
WinNuke、Ping of Death、SYN 攻击,它们仅仅是对网络功能进行蓄意破坏的一部分。入侵检测 (eTrust Intrusion Detection) 对付该问题的方法是自动探测许多拒绝服务攻击。在探测到之后,入侵检测 (eTrust Intrusion Detection) 响应的方法是发送对攻击进行立即回应的警告。入侵检测 (eTrust Intrusion Detection) 同时提供有关这些情况和其它可疑网络活动的详细报告。
已知模式的入侵探测
入侵检测 (eTrust Intrusion Detection) 不仅能够探测破坏或降低公司网络功能的企图,而且能够帮助用户处理这些情况。例如,入侵可以包括误用企图和搞乱 FTP 服务器、获得 Web 服务器上目录列表的企图或者读取网络上文件的企图。当探测到这些事件后,入侵检测 (eTrust Intrusion Detection) 将立即发送警告。警告消息包括入侵来源、入侵活动说明以及如何对付这些行为的建议。
病毒探测和活动电子邮件内容
由于电子邮件的发送和接收可以通过企业网络进行,因此网络就暴露在病毒和活动组件之下,它们可能对网络的工作方式产生影响。为了保护网络不受此类滥用的危害,而且仍然允许用户使用电子邮件功能,入侵检测 (eTrust Intrusion Detection) 可以对所有进出的电子邮件检查病毒、Java applets 和其它活动组件。在探测到这些组件后,入侵检测 (eTrust Intrusion Detection) 将立即发送警告。警告消息包括有关病毒或活动组件的详细信息,以及如何作出反应的建议。
URL 活动内容探测和保护
许多 Web 页面都包含活动组件(例如 Java 小程序和 ActiveX),它们可能调用重要的功能。这些功能可以是执行网络上的某些文件、读取网络上的文件或者打开 socket 侦听网络流量。当用户在 Web 上“冲浪”和查看 Web 页面时,他们可能无意中使网络处于危险情况。但是,用入侵检测 (eTrust Intrusion Detection) 可以探测这些活动组件,并且用户可以决定合适的处理行为。入侵检测 (eTrust Intrusion Detection) 将网络控制返回给您的公司。
防止服务器受到恶意访问
用户可以方便地访问 Internet 和 Intranet 服务器。常规访问控制是通过很容易窃取的密码完成的。在许多情况下,一旦用户能够访问服务器之后,访问权力就很容易改变。入侵检测 (eTrust Intrusion Detection) 可以防止服务器受到恶意访问,它使用的方法是阻塞特定用户组、站或环境对特定服务器的访问;记录和阻塞将来用错误密码对服务器的访问;发现利用服务器中已知漏洞来更改访问权力的企图;以及提供可以用于跟踪恶意访问来源的详细使用情况报告。
发现异常使用和特殊协议
诸如 RealAudio 和 Net2Phone 的协议占用了大量带宽。过度使用这些协议会在很大程度上降低网络流量速度。通过入侵检测 (eTrust Intrusion Detection) 收集的数据可以方便地查明这些协议的用户,然后决定减少或终止这些活动的方式。入侵检测 (eTrust Intrusion Detection) 还可以探测未授权站使用网络上特定服务的情况(例如,组织外部的用户正在使用组织的电子邮件服务器来接收邮件,或者没有连接到本地网络的机器正在使用根权限发起 Telnet 会话)。
阻塞网络游戏
网络游戏不仅仅会降低生产效率,它们还会降低网络流量速度。作为对这种问题的解决方案,入侵检测 (eTrust Intrusion Detection) 能够阻塞 Doom 和 Quake — 两种交互式网络游戏。
更新病毒和入侵模式列表
新病毒和入侵类型正在不断地发现。作为我们保护客户网络不受入侵、滥用和生产效率损失的一部分承诺,入侵检测 (eTrust Intrusion Detection) 包括了能够更新内部病毒和入侵列表的订阅功能。这些列表包括用于病毒检查的已知病毒列表、入侵探测规则列表和用于阻塞目的的分类 URL 列表。
理解网络的使用方式
入侵检测 (eTrust Intrusion Detection) 提供的工具可以查看网络的使用方式、帮助用户分析该信息,以及用该信息来保护网络。
协议使用情况
谁正在用什么协议?这些协议如何在网络上分布?在网络上使用了什么异常协议?入侵检测 (eTrust Intrusion Detection) 可以提供所有这些问题的答案。用入侵检测 (eTrust Intrusion Detection) 不仅可以看到每个协议上当前客户和服务器活动的实时划分,而且可以查看有关协议使用情况的不同图形和请求报告。
URL 使用情况监控
对 Internet 的无限制访问很容易导致生产效率降低、网络速度降低,甚至收入损失。这种现象的主要原因在于过度访问与工作无关的站点和下载大型文件。为了控制职员访问的站点,您可以请求入侵检测 (eTrust Intrusion Detection) 中的 Web 冲浪报告,然后用该信息确定谁在使用 Internet 进行与工作无关的冲浪。根据该信息还可以设置监控和警告违反者的参数—或者可以简单地阻塞对某些站点的访问,例如含有暴力或色情内容的站点。
电子邮件使用情况监控
越来越多的组织和个人用电子邮件技术来传送消息,而且它正在迅速替代传统的通讯方式。今天,电子邮件消息甚至可以在法庭上使用。电子邮件大范围使用所带来的最严重问题是不正常和骚扰邮件的发送。在入侵检测 (eTrust Intrusion Detection) 中可以通过设置过滤器来确保工作人员不会误用公司的电子邮件设施。例如,过滤器可以设置为查找与竞争者互相发送的消息、包含保密信息的消息和包含冒犯词语的消息。过滤器也可以用于搜索本地用户从外部服务器检索的消息和本地用户发送到外部服务器的消息。
网络负载监控
监控网络使用情况的方法可以是查看网络流量的实时图形,或者请求特定时间段的网络流量分类报告。
报告重点
如果您想知道在入侵检测 (eTrust Intrusion Detection) 中可以使用什么报告 – 答案就是“您可以想到的几乎任何报告”。入侵检测 (eTrust Intrusion Detection) 不仅提供了大量报告 – 它还允许用 Crystal Reports Designer 创建个人报告。用户可以选择是否报告包含当前或历史数据、在报告中包括的“站”以及如何对报告中的数据排序。此外入侵检测 (eTrust Intrusion Detection) 还允许计划在每天、每周、每月或者每年的任何小时生成报告,只要单击几下鼠标就可以了。即使用户不在办公室中,也仍然可以了解发生的活动。在报告生成之后,它们可以在屏幕上查看、打印到默认打印机、作为电子邮件发送或者用一些格式保存到磁盘。
警告系统
入侵检测 (eTrust Intrusion Detection) 可以探测安全漏洞和入侵企图。但是,如果用户不在办公室中怎么办?用入侵检测 (eTrust Intrusion Detection) 的警告系统可以选择不同的通知方式,这样即使不在办公室中也可以采取行动。这些方法包括在运行入侵检测 (eTrust Intrusion Detection) 的计算机屏幕上显示消息、发送电子邮件消息、发送传真、播放声音或者将消息发送到呼机。入侵检测 (eTrust Intrusion Detection) 同时包括了能够在 FireWall-1 上定义规则的 OPSEC 支持。
用入侵检测 (eTrust Intrusion Detection) 实施公司策略规则
入侵检测 (eTrust Intrusion Detection) 包括了许多功能,它们能够定义安全性策略以保护公司的网络。在定义安全性策略时,应该确定要监控的客户和服务器、要监控的服务以及应该探测的入侵和可疑网络活动。
Web 使用情况监控和阻塞
如前所述,对 Web 的无控制访问可能有一些缺点。但是,正确使用 Web 访问也有许多优点。用入侵检测 (eTrust Intrusion Detection) 可以确定用户能够访问的站点。通过 Web 使用情况报告,您可以选择与工作无关的类别(例如游戏和约会服务)以及应该根据其等级进行监控的站点。分类为暴力、性、裸露和语言的站点可以根据不同级别的严重性进行分类。
电子邮件使用监控和相关规则定义
默认情况下入侵检测 (eTrust Intrusion Detection) 记录所有进入和外出的电子邮件消息,允许您查看消息的实际内容。您也可以定义规则以便记录或阻塞与特定“站”之间发送的电子邮件消息以及包含某些文本串(例如侮辱语言)的消息。
入侵检测 (eTrust Intrusion Detection) 作为诉讼避免工具
在电子邮件消息中发送不合适的材料可能导致敌意工作环境,或者在严重的情况下可能被认为是一种骚扰,从而导致法律行为。为了避免这种情况,您可以监控特定内容的电子邮件消息。此外,入侵检测 (eTrust Intrusion Detection) 还允许对每个日志文件进行加密和签名,从而保护日志不受未授权访问和确保法庭案件的文件完整性。授权管理员也可以根据时间、协议或客户有选择性地删除不需要的日志内容。
入侵检测 (eTrust Intrusion Detection) 作为网络分析员
入侵检测 (eTrust Intrusion Detection) 是会话级别的网络分析员,它可以扫描所有 TCP 和 UDP 网络流量。与这些会话有关的信息可以用许多格式查看,例如二进制和 ASCII。也可以进行这些格式之间的转换。入侵检测 (eTrust Intrusion Detection) 能够显示会话层网络活动细节的能力使它成为调试会话层应用程序的重要工具。
入侵检测 (eTrust Intrusion Detection) 作为系统防火墙之外的安全性增强
用入侵检测 (eTrust Intrusion Detection) 可以查看和监控内部及 Internet 网络活动。用户可以通过查看网络而不是单点的流量来保护 Intranet 用户及服务器。
如果有了防火墙,为什么还需要入侵检测 (eTrust Intrusion Detection) 呢?
如果已经有了防火墙,那么入侵检测 (eTrust Intrusion Detection) 可以提高网络保护层次。入侵检测 (eTrust Intrusion Detection) 在会话层工作,因此可以探测到在消息包层工作的防火墙一般无法发现的入侵企图。所以,防火墙完成的是基本过滤,而入侵检测 (eTrust Intrusion Detection) 完成为网络提高最高保护所需的微调。
对 FireWall-1 的 OPSEC 支持
在有了 OPSEC支持之后,入侵检测 (eTrust Intrusion Detection) 用户可以定义一些规则,这些规则在触发之后能够在 FireWall-1 上执行某些行为。这些行为可以是关闭活动会话或者在有限或无限时间内阻塞(解除阻塞)主机或客户。
附录 A
硬件选项
兼容网卡
硬件需求
入侵检测 (eTrust Intrusion Detection) 需要有 NDIS3 驱动程序的网卡 (NIC),该驱动程序支持混合操作模式。下面的列表包含已知兼容和不兼容 NIC。
已知兼容 NIC 卡
入侵检测 (eTrust Intrusion Detection) 可以用于任何能够在混合模式下运行的 NIC。下面是已经经过测试并且能够与入侵检测 (eTrust Intrusion Detection) 协作的 NIC。
以太网
l 3Com 3C509 (10 Mbps Ethernet ISA)
l 3Com 3C589D (10 Mbps Ethernet PCMCIA)
l 3Com 3C595 10/100 PCI
l 3Com 3C905 10/100 PCI
l 3Com 3C509B-TPO (10/100 Eth ISA Combo)
l DEC FastEtherWORKS PCI 10/100 (10/100 Ethernet PCI 和 OEM 中常用的 DEC 21140 控制器)
l D-Link 530CT (PCI)
l Intel EtherExpress PRO/100 (10/100 Ethernet PCI)
l Novell NE-2000 (10 Mbps Ethernet ISA)
l Xircom CE3-100BTX PCMCIA (10/100 Mbps)
l Xircom CE2-10BT PCMCIA (10 Mbps)
l Xircom CBE-10/100BTX (卡式总线)
令牌环
l 3Com TokenLink - PCI 和 EISA(不是 3C689 PCMCIA)
l Intel TokenExpress ISA/16
l Madge Smart 16/4 令牌环适配器。这些卡必须设置为混合模式才能与 SessionWall 协作。如果您需要有关该步骤的帮助,请打电话给 Madge 技术支持:1-(800)-TRMADGE。
l Madge Smart 16/4 PCI Ringnode
l Madge Smart 16/4 ISA Client PnP Ringnode
l Madge Smart 16/4 AT Plus Ringnode
l Madge Smart 16/4 PCMCIA Ringnode
l Madge Smart EISA Ringnode
l Madge Smart MC Ringnode
l Madge Smart MC32 Ringnode
l Olicom OC-3118 ISA 适配器
l Olicom OC-3129 MCA 适配器
l Olicom OC-3133 EISA 适配器
l Olicom OC-3136 PCI 适配器
l Olicom OC-3127 PCI/II 适配器
l Olicom OC-3221 GoCard 适配器
l Proteon - EISA 和 PCI
FDDI
SysKonnect SK-NET FDDI EISA(在 Windows NT 下)
3Com FDDILink 3C795
3Com FDDILink 3C796
已知不兼容 NIC 卡
3Com TokenLink PCMCIA (3C689 - 非混合)
IBM Token-Ring Network PC Adapter
IBM Token-Ring Network PC Adapter II(短卡)
IBM Token-Ring Network PC Adapter II(长卡)
IBM Token-Ring Network 16/4 Adapter
IBM Token-Ring Network PC Adapter/A
IBM Token-Ring Network 16/4 Adapter/A
IBM Token-Ring Network 16/4 Busmaster Server Adapter/A
IBM 型号 TR482 部件号 72H3482
IBM PCI Token-Ring Adapter MDIS 2/3
Microdyne (Excelan) EXOS 205
Microdyne (Excelan) EXOS 205T
Microdyne (Excelan) EXOS 205T/16
Hewlett-Packard 27250A EtherTwist PC LAN Adapter Card/8
Hewlett-Packard 27245A EtherTwist PC LAN Adapter Card/8
Hewlett-Packard 27247A EtherTwist PC LAN Adapter Card/16
Hewlett-Packard 27248A EtherTwist EISA PC LAN Adapter Card/32
HP 27247B EtherTwist Adapter Card/16 TP Plus
HP 27252A EtherTwist Adapter Card/16 TP Plus
HP J2405A EtherTwist PC LAN Adapter NC/16 TP
基于 TROPIC 芯片集的适配器一般不支持混合模式。
Compaq Netelligent 10/100 TX Embedded UTP Controller
附录 B
用户识别增强选件
入侵检测 (eTrust Intrusion Detection) ADCP Server 安装指导
用入侵检测 (eTrust Intrusion Detection) 可隐蔽地检测用户 ID、IP 地址和 MAC 地址。作为身份识别增强选件,入侵检测 (eTrust Intrusion Detection) 还包括了身份验证设备通讯协议 (ADCP) 代理。该代理可将 NT 和 MS 远程访问服务器用户 ID 与它们正在使用的 IP 地址联系起来。这样就可以根据 NT 用户 ID 和 RAS 用户 ID 用入侵检测 (eTrust Intrusion Detection) 来添加跟踪和阻塞规则。该级别的控制是通过将 ADCP 代理放在适当的域控制器和 MS 远程访问服务器来达到的。这些 ADCP 代理可以帮助将用户 ID 与 IP 地址和 MAC 地址关联。
同时使用入侵检测 (eTrust Intrusion Detection) ADCP 代理和入侵检测 (eTrust Intrusion Detection) 可以使入侵检测 (eTrust Intrusion Detection) 能够:
l 通过同一系统跟踪登录到 NT 的不同用户。
l 跟踪远程拨号的单个用户(在该功能出现之前很难将远程用户与 IP 和 MAC 地址关联起来,因为它们是共享的)。
如果入侵检测 (eTrust Intrusion Detection) 安装在网络网关上,那么它仍然能够根据用户 ID 确定用户(即使他们跨越内部网络登录到 NT 域控制器,从而远离入侵检测 (eTrust Intrusion Detection) 正在监控的段)。
ADCP 代理和入侵检测 (eTrust Intrusion Detection) 之间的通讯是加密的,并且使用特殊的安全握手协议以确保通讯和内容的完整性。
本附录介绍身份验证设备通讯协议安装和配置步骤。ADCP 软件可以从 Computer Associates 得到。请与我们的技术支持部门联系以便了解得到该软件的详细信息。
详细信息
身份验证设备通讯协议 (ADCP) 将安装在拥有身份验证设备的机器上。也就是说,如果在网络上有 RAS、PDC 或 BDC 的任意组合,那么应该在安装了这些组件的每台机器上安装 ADCP 代理。ADCP 代理将收集下列信息:
l 通过 NT RAS 连接的用户。在这种情况下,ADCP 代理应该安装在 RAS 服务器上。
l 已经从局域网连接的客户(WinNT、Win95 或 Win98)登录的用户(通过 NT 登录确认和身份验证机制)。在这种情况下,ADCP 服务器应该安装在 PDC 和 BDC 上。
l 通过信任关系连接到共享资源的用户。用户的 ID/PASS 将根据 PDC/BDC 中的域用户策略数据库进行检验。在这种情况下,ADCP 服务器应该安装在 PDC/BDC 上。
安装 ADCP
注意:操作系统要求为 Windows 95 (OSR 2 )、Windows 98、Windows NT 4.0( SP3以上 ), Windows 2000
下面是如何安装 ADCP 的指导。ADCP 应该安装在已经安装了身份验证设备的机器上,例如 NT 服务器、RAS、PDC 或 BDC。
1. 插入入侵检测 (eTrust Intrusion Detection) 光盘。
2. 访问 CD-ROM 驱动器(光盘通常会自动激活)。
3. 要开始安装,请使用资源管理器浏览 CD 上的产品,然后选择“入侵检测 (eTrust Intrusion Detection) ADCP 代理”。
4. 按提示安装。
5. 在“安装 ACDP 代理”对话框中从“可用来源”窗口中选择来源。这样入侵检测 (eTrust Intrusion Detection) 将只监控选定身份验证设备类型的事件。单击“添加”按钮可以将选定的来源移动到“要安装的来源”列表。
6. 单击“下一步”按钮,然后单击“完成”按钮。
7. 重新启动服务器。
注意:在安装 Windows NT 域控制器来源类型之后,必须配置 PDC 以便开始捕获事件。为此:
1. 选择“开始”、“程序”、“管理工具”、“用户域管理器”。
2. 选择“规则”、“审核”。
3. 选择“审核这些事件”。
4. 选择“登录和注销”选项旁的“成功”。
启动 ADCP 服务
启动 ADCP 服务的步骤如下:
1. 选择“开始”、“设置”、“控制面板”、“服务”。与下面对话框类似的对话框将出现。
2.选择“Computer Associates ADCP Agent”,然后单击“启动”。也可以更改启动参数以便在将来自动启动服务。
修改 ADCP 代理配置
修改 ADCP 配置的步骤如下:
1. 选择“开始”、“程序”、“ADCP 代理”、“配置”。在“配置”对话框中可以看到能够在 ADCP 代理上运行的身份验证设备列表。
2. 单击“Preferences”按钮,更改 TCP 端口。
注意:端口号必须符合入侵检测 (eTrust Intrusion Detection) 配置的端口号才能使用 ADCP 代理。
卸载 ADCP 服务
卸载 ADCP 服务:
l 选择“开始”、“程序”、“ADCP 代理”、“卸载 ADCP 代理”。
配置入侵检测 (eTrust Intrusion Detection) 以便使用 ADCP 代理
按照下面的指导可以配置入侵检测 (eTrust Intrusion Detection) 以便使用 ADCP 代理。
1. 在入侵检测 (eTrust Intrusion Detection) 中选择“设置”、“工作站用户”。“定义工作站用户”对话框将出现。
2. 选择“使用域控制器代理”单选按钮。如果已经安装,那么代理及其端口应该已经显示在窗口中。
3. 添加代理:
l 单击“添加”按钮。
l 输入域控制器名或者浏览查找它。
l 输入服务器端口—确保该端口号符合在配置 ADCP 代理时输入的端口号。
附录 C
词汇表
用于 Internet 和 Intranet 保护术语的列表
行为 (Action)
行为是当入侵检测 (eTrust Intrusion Detection) 将规则中的规则类型标准与会话匹配时发生的响应。
高级参数 (Advanced Parameters)
高级用户可以用这些参数设置提高入侵检测 (eTrust Intrusion Detection) 功能和效率的某些参数值。例如,改变统计数据更新频率和探测新入侵检测 (eTrust Intrusion Detection) 产品。
阻塞器 (Blockers)
已经定义为由一系列阻塞规则进行阻塞的事件。当已阻塞的会话启动时,程序将阻塞它,然后激活特定行为,例如警告或记录。
BOOTP
Bootstrap 协议 - 使(例如)无盘工作站可以从集中管理的服务器获得其 IP 地址的 TCP/IP 协议。
描述 (Description)
对规则的简短说明,用于参考目的。
DHCP
使主机(例如,无盘工作站)可以从集中管理的服务器获得临时 IP 地址(从池中)的 TCP/IP 协议。主机运行 DHCP 服务器,工作站运行 DHCP 客户。
域 (Domain)
一组计算机(站),它们的主机名公用同一域名,例如 .net(网络操作)、com(商业)。
有效时间 (Effective Time)
规则生效的时间。
合格用户 (Eligible Users)
网络管理员已经为其分配了密码的用户,它们有权访问入侵检测 (eTrust Intrusion Detection) 和查看特定的数据。
事件 (Events)
事件记录了网络上发生并且匹配规则条件的会话或活动。在“树”窗口中可以看到日志和阻塞事件的列表。
助手 (Helper)
可以用定义的命令行在入侵检测 (eTrust Intrusion Detection) 内激活的主机应用程序,通过它可以扩展在“视图”窗口中所查看的事件视图。
MAPI
MAPI(邮件 API)是 Microsoft 电子邮件和消息传递接口。如果要通过 Microsoft 应用程序发送电子邮件和传真,那么必须在系统上安装和定义它。
网络对象 (Network Objects)
入侵检测 (eTrust Intrusion Detection) 网络对象使管理员能够将规则集中于特定或一般的客户和服务器组。网络对象可以是特定的 IP 地址、MAC 地址、域、一组地址或者它们的组合。
选项 (Options)
可以用于增强入侵检测 (eTrust Intrusion Detection) 操作的其它功能和参数。在“选项”对话框中可以定义“助手”、“首选项”、“本地网络”、“地址”和“高级参数”。
包 (Packet)
在终端系统(主机计算机)之间交换的(OSI 第 3 层)数据单元。
首选项 (Preferences)
在启用或禁用后能够对入侵检测 (eTrust Intrusion Detection) 操作进行微调的选项列表。例如探测新客户或服务器活动,或者在启动入侵检测 (eTrust Intrusion Detection) 时启动报告计划程序。
查询报告 (Query Report)
提供当前网络流量状态的临时报告。
服务 (Service)
TCP/IP 和端口号的组合。
会话日志 (Session Log)
会话日志定义了客户和服务器之间的协商,并且遵循数据消息。它包括不属于数据内容本身的所有信息。
快照 (Snapshot)
数据库中的文件,在其中存储了用于生成报告的“冷冻数据”文件。在需要的时候,任何快照都可以用于生成报告。
统计 (Statistics)
入侵检测 (eTrust Intrusion Detection) 提供的统计数据与客户和服务器所传输的数据量、NT 工作站用户所传输数据量、新网络活动数据、最近活动和网络上使用的其它服务有关的统计数据。
字符串 (String)
连续字母数字字符集,不包含用于计算的数字。名称、地址、单词和句子都是字符串。
子网 (Subnet)
可以在物理上独立于网络段的部分网络,它共享网络地址和网络的其它部分,并且可以根据子网号码来区分。
子网掩码 (Subnet Masks)
创造子网掩码(也成为地址掩码)的目的是通过划分网络来简化内部网络路由。单个 IP(网际协议)网络可以划分为许多子网,它们用 IP 地址的主机地址中的 MS(高位)作为子网 ID。
交换集线器 (Switching Hub)
用于星型拓扑通讯线路的中央交换设备。
TCP/IP
TCP/IP(传输控制协议/网际协议)是非常流行的一组数据通讯协议。它可以用于大多数操作系统和硬件平台,并且得到许多硬件厂商的支持(从个人计算机到主机)。它包括提供电子邮件功能的 FTP 和 SMTP。TCP 协议控制数据传输,IP 协议提供路由机制。
令牌地址 (Token Address)
一般情况下,令牌是在合作代理之间传送的抽象概念,它的用途是确保对共享资源的同步访问。令牌的所有者对令牌控制的资源有独占访问权。在网络中,令牌是由控制计算机不断传送到网络中的帧。帧可以包含数据或者为空。当某个终端或计算机需要发送消息时,它就等待空令牌。在发现空令牌后,它首先在帧中填写目标站地址和部分或全部消息。这就是令牌地址。
UDP
UDP(用户数据报协议)是一种 TCP/IP 协议,它允许应用程序将消息发送到目标机器上运行的应用程序。
工作区 (Workspace)
工作区包括网络流量的当前状况、设置和定义。
本章将强调某些常见的安全性问题,以及入侵检测 (eTrust Intrusion Detection) 如何在一体化的软件包中集成使用情况报告、内容扫描、入侵探测、即时安全冲突警告、非法网络会话自动阻塞和其它企业 Internet 使用保护功能。
入侵检测 (eTrust Intrusion Detection) 如何防止网络出现有害的事件?
当本地或企业网络连接到 WWW 并且在公司内使用 Internet 技术时,公司将面临两个主要的问题:
l 防止公司受到外部入侵和服务拒绝攻击。
l 避免公司受到内部滥用和损失生产效率。
Computer Associates 为解决这两个问题提供了有效和经济的方式,并且不需要更改当前网络拓扑结构,而且不带来任何网络性能开销和更多规划。
拒绝服务探测和防护
WinNuke、Ping of Death、SYN 攻击,它们仅仅是对网络功能进行蓄意破坏的一部分。入侵检测 (eTrust Intrusion Detection) 对付该问题的方法是自动探测许多拒绝服务攻击。在探测到之后,入侵检测 (eTrust Intrusion Detection) 响应的方法是发送对攻击进行立即回应的警告。入侵检测 (eTrust Intrusion Detection) 同时提供有关这些情况和其它可疑网络活动的详细报告。
已知模式的入侵探测
入侵检测 (eTrust Intrusion Detection) 不仅能够探测破坏或降低公司网络功能的企图,而且能够帮助用户处理这些情况。例如,入侵可以包括误用企图和搞乱 FTP 服务器、获得 Web 服务器上目录列表的企图或者读取网络上文件的企图。当探测到这些事件后,入侵检测 (eTrust Intrusion Detection) 将立即发送警告。警告消息包括入侵来源、入侵活动说明以及如何对付这些行为的建议。
病毒探测和活动电子邮件内容
由于电子邮件的发送和接收可以通过企业网络进行,因此网络就暴露在病毒和活动组件之下,它们可能对网络的工作方式产生影响。为了保护网络不受此类滥用的危害,而且仍然允许用户使用电子邮件功能,入侵检测 (eTrust Intrusion Detection) 可以对所有进出的电子邮件检查病毒、Java applets 和其它活动组件。在探测到这些组件后,入侵检测 (eTrust Intrusion Detection) 将立即发送警告。警告消息包括有关病毒或活动组件的详细信息,以及如何作出反应的建议。
URL 活动内容探测和保护
许多 Web 页面都包含活动组件(例如 Java 小程序和 ActiveX),它们可能调用重要的功能。这些功能可以是执行网络上的某些文件、读取网络上的文件或者打开 socket 侦听网络流量。当用户在 Web 上“冲浪”和查看 Web 页面时,他们可能无意中使网络处于危险情况。但是,用入侵检测 (eTrust Intrusion Detection) 可以探测这些活动组件,并且用户可以决定合适的处理行为。入侵检测 (eTrust Intrusion Detection) 将网络控制返回给您的公司。
防止服务器受到恶意访问
用户可以方便地访问 Internet 和 Intranet 服务器。常规访问控制是通过很容易窃取的密码完成的。在许多情况下,一旦用户能够访问服务器之后,访问权力就很容易改变。入侵检测 (eTrust Intrusion Detection) 可以防止服务器受到恶意访问,它使用的方法是阻塞特定用户组、站或环境对特定服务器的访问;记录和阻塞将来用错误密码对服务器的访问;发现利用服务器中已知漏洞来更改访问权力的企图;以及提供可以用于跟踪恶意访问来源的详细使用情况报告。
发现异常使用和特殊协议
诸如 RealAudio 和 Net2Phone 的协议占用了大量带宽。过度使用这些协议会在很大程度上降低网络流量速度。通过入侵检测 (eTrust Intrusion Detection) 收集的数据可以方便地查明这些协议的用户,然后决定减少或终止这些活动的方式。入侵检测 (eTrust Intrusion Detection) 还可以探测未授权站使用网络上特定服务的情况(例如,组织外部的用户正在使用组织的电子邮件服务器来接收邮件,或者没有连接到本地网络的机器正在使用根权限发起 Telnet 会话)。
阻塞网络游戏
网络游戏不仅仅会降低生产效率,它们还会降低网络流量速度。作为对这种问题的解决方案,入侵检测 (eTrust Intrusion Detection) 能够阻塞 Doom 和 Quake — 两种交互式网络游戏。
更新病毒和入侵模式列表
新病毒和入侵类型正在不断地发现。作为我们保护客户网络不受入侵、滥用和生产效率损失的一部分承诺,入侵检测 (eTrust Intrusion Detection) 包括了能够更新内部病毒和入侵列表的订阅功能。这些列表包括用于病毒检查的已知病毒列表、入侵探测规则列表和用于阻塞目的的分类 URL 列表。
理解网络的使用方式
入侵检测 (eTrust Intrusion Detection) 提供的工具可以查看网络的使用方式、帮助用户分析该信息,以及用该信息来保护网络。
协议使用情况
谁正在用什么协议?这些协议如何在网络上分布?在网络上使用了什么异常协议?入侵检测 (eTrust Intrusion Detection) 可以提供所有这些问题的答案。用入侵检测 (eTrust Intrusion Detection) 不仅可以看到每个协议上当前客户和服务器活动的实时划分,而且可以查看有关协议使用情况的不同图形和请求报告。
URL 使用情况监控
对 Internet 的无限制访问很容易导致生产效率降低、网络速度降低,甚至收入损失。这种现象的主要原因在于过度访问与工作无关的站点和下载大型文件。为了控制职员访问的站点,您可以请求入侵检测 (eTrust Intrusion Detection) 中的 Web 冲浪报告,然后用该信息确定谁在使用 Internet 进行与工作无关的冲浪。根据该信息还可以设置监控和警告违反者的参数—或者可以简单地阻塞对某些站点的访问,例如含有暴力或色情内容的站点。
电子邮件使用情况监控
越来越多的组织和个人用电子邮件技术来传送消息,而且它正在迅速替代传统的通讯方式。今天,电子邮件消息甚至可以在法庭上使用。电子邮件大范围使用所带来的最严重问题是不正常和骚扰邮件的发送。在入侵检测 (eTrust Intrusion Detection) 中可以通过设置过滤器来确保工作人员不会误用公司的电子邮件设施。例如,过滤器可以设置为查找与竞争者互相发送的消息、包含保密信息的消息和包含冒犯词语的消息。过滤器也可以用于搜索本地用户从外部服务器检索的消息和本地用户发送到外部服务器的消息。
网络负载监控
监控网络使用情况的方法可以是查看网络流量的实时图形,或者请求特定时间段的网络流量分类报告。
报告重点
如果您想知道在入侵检测 (eTrust Intrusion Detection) 中可以使用什么报告 – 答案就是“您可以想到的几乎任何报告”。入侵检测 (eTrust Intrusion Detection) 不仅提供了大量报告 – 它还允许用 Crystal Reports Designer 创建个人报告。用户可以选择是否报告包含当前或历史数据、在报告中包括的“站”以及如何对报告中的数据排序。此外入侵检测 (eTrust Intrusion Detection) 还允许计划在每天、每周、每月或者每年的任何小时生成报告,只要单击几下鼠标就可以了。即使用户不在办公室中,也仍然可以了解发生的活动。在报告生成之后,它们可以在屏幕上查看、打印到默认打印机、作为电子邮件发送或者用一些格式保存到磁盘。
警告系统
入侵检测 (eTrust Intrusion Detection) 可以探测安全漏洞和入侵企图。但是,如果用户不在办公室中怎么办?用入侵检测 (eTrust Intrusion Detection) 的警告系统可以选择不同的通知方式,这样即使不在办公室中也可以采取行动。这些方法包括在运行入侵检测 (eTrust Intrusion Detection) 的计算机屏幕上显示消息、发送电子邮件消息、发送传真、播放声音或者将消息发送到呼机。入侵检测 (eTrust Intrusion Detection) 同时包括了能够在 FireWall-1 上定义规则的 OPSEC 支持。
用入侵检测 (eTrust Intrusion Detection) 实施公司策略规则
入侵检测 (eTrust Intrusion Detection) 包括了许多功能,它们能够定义安全性策略以保护公司的网络。在定义安全性策略时,应该确定要监控的客户和服务器、要监控的服务以及应该探测的入侵和可疑网络活动。
Web 使用情况监控和阻塞
如前所述,对 Web 的无控制访问可能有一些缺点。但是,正确使用 Web 访问也有许多优点。用入侵检测 (eTrust Intrusion Detection) 可以确定用户能够访问的站点。通过 Web 使用情况报告,您可以选择与工作无关的类别(例如游戏和约会服务)以及应该根据其等级进行监控的站点。分类为暴力、性、裸露和语言的站点可以根据不同级别的严重性进行分类。
电子邮件使用监控和相关规则定义
默认情况下入侵检测 (eTrust Intrusion Detection) 记录所有进入和外出的电子邮件消息,允许您查看消息的实际内容。您也可以定义规则以便记录或阻塞与特定“站”之间发送的电子邮件消息以及包含某些文本串(例如侮辱语言)的消息。
入侵检测 (eTrust Intrusion Detection) 作为诉讼避免工具
在电子邮件消息中发送不合适的材料可能导致敌意工作环境,或者在严重的情况下可能被认为是一种骚扰,从而导致法律行为。为了避免这种情况,您可以监控特定内容的电子邮件消息。此外,入侵检测 (eTrust Intrusion Detection) 还允许对每个日志文件进行加密和签名,从而保护日志不受未授权访问和确保法庭案件的文件完整性。授权管理员也可以根据时间、协议或客户有选择性地删除不需要的日志内容。
入侵检测 (eTrust Intrusion Detection) 作为网络分析员
入侵检测 (eTrust Intrusion Detection) 是会话级别的网络分析员,它可以扫描所有 TCP 和 UDP 网络流量。与这些会话有关的信息可以用许多格式查看,例如二进制和 ASCII。也可以进行这些格式之间的转换。入侵检测 (eTrust Intrusion Detection) 能够显示会话层网络活动细节的能力使它成为调试会话层应用程序的重要工具。
入侵检测 (eTrust Intrusion Detection) 作为系统防火墙之外的安全性增强
用入侵检测 (eTrust Intrusion Detection) 可以查看和监控内部及 Internet 网络活动。用户可以通过查看网络而不是单点的流量来保护 Intranet 用户及服务器。
如果有了防火墙,为什么还需要入侵检测 (eTrust Intrusion Detection) 呢?
如果已经有了防火墙,那么入侵检测 (eTrust Intrusion Detection) 可以提高网络保护层次。入侵检测 (eTrust Intrusion Detection) 在会话层工作,因此可以探测到在消息包层工作的防火墙一般无法发现的入侵企图。所以,防火墙完成的是基本过滤,而入侵检测 (eTrust Intrusion Detection) 完成为网络提高最高保护所需的微调。
对 FireWall-1 的 OPSEC 支持
在有了 OPSEC支持之后,入侵检测 (eTrust Intrusion Detection) 用户可以定义一些规则,这些规则在触发之后能够在 FireWall-1 上执行某些行为。这些行为可以是关闭活动会话或者在有限或无限时间内阻塞(解除阻塞)主机或客户。
附录 A
硬件选项
兼容网卡
硬件需求
入侵检测 (eTrust Intrusion Detection) 需要有 NDIS3 驱动程序的网卡 (NIC),该驱动程序支持混合操作模式。下面的列表包含已知兼容和不兼容 NIC。
已知兼容 NIC 卡
入侵检测 (eTrust Intrusion Detection) 可以用于任何能够在混合模式下运行的 NIC。下面是已经经过测试并且能够与入侵检测 (eTrust Intrusion Detection) 协作的 NIC。
以太网
l 3Com 3C509 (10 Mbps Ethernet ISA)
l 3Com 3C589D (10 Mbps Ethernet PCMCIA)
l 3Com 3C595 10/100 PCI
l 3Com 3C905 10/100 PCI
l 3Com 3C509B-TPO (10/100 Eth ISA Combo)
l DEC FastEtherWORKS PCI 10/100 (10/100 Ethernet PCI 和 OEM 中常用的 DEC 21140 控制器)
l D-Link 530CT (PCI)
l Intel EtherExpress PRO/100 (10/100 Ethernet PCI)
l Novell NE-2000 (10 Mbps Ethernet ISA)
l Xircom CE3-100BTX PCMCIA (10/100 Mbps)
l Xircom CE2-10BT PCMCIA (10 Mbps)
l Xircom CBE-10/100BTX (卡式总线)
令牌环
l 3Com TokenLink - PCI 和 EISA(不是 3C689 PCMCIA)
l Intel TokenExpress ISA/16
l Madge Smart 16/4 令牌环适配器。这些卡必须设置为混合模式才能与 SessionWall 协作。如果您需要有关该步骤的帮助,请打电话给 Madge 技术支持:1-(800)-TRMADGE。
l Madge Smart 16/4 PCI Ringnode
l Madge Smart 16/4 ISA Client PnP Ringnode
l Madge Smart 16/4 AT Plus Ringnode
l Madge Smart 16/4 PCMCIA Ringnode
l Madge Smart EISA Ringnode
l Madge Smart MC Ringnode
l Madge Smart MC32 Ringnode
l Olicom OC-3118 ISA 适配器
l Olicom OC-3129 MCA 适配器
l Olicom OC-3133 EISA 适配器
l Olicom OC-3136 PCI 适配器
l Olicom OC-3127 PCI/II 适配器
l Olicom OC-3221 GoCard 适配器
l Proteon - EISA 和 PCI
FDDI
SysKonnect SK-NET FDDI EISA(在 Windows NT 下)
3Com FDDILink 3C795
3Com FDDILink 3C796
已知不兼容 NIC 卡
3Com TokenLink PCMCIA (3C689 - 非混合)
IBM Token-Ring Network PC Adapter
IBM Token-Ring Network PC Adapter II(短卡)
IBM Token-Ring Network PC Adapter II(长卡)
IBM Token-Ring Network 16/4 Adapter
IBM Token-Ring Network PC Adapter/A
IBM Token-Ring Network 16/4 Adapter/A
IBM Token-Ring Network 16/4 Busmaster Server Adapter/A
IBM 型号 TR482 部件号 72H3482
IBM PCI Token-Ring Adapter MDIS 2/3
Microdyne (Excelan) EXOS 205
Microdyne (Excelan) EXOS 205T
Microdyne (Excelan) EXOS 205T/16
Hewlett-Packard 27250A EtherTwist PC LAN Adapter Card/8
Hewlett-Packard 27245A EtherTwist PC LAN Adapter Card/8
Hewlett-Packard 27247A EtherTwist PC LAN Adapter Card/16
Hewlett-Packard 27248A EtherTwist EISA PC LAN Adapter Card/32
HP 27247B EtherTwist Adapter Card/16 TP Plus
HP 27252A EtherTwist Adapter Card/16 TP Plus
HP J2405A EtherTwist PC LAN Adapter NC/16 TP
基于 TROPIC 芯片集的适配器一般不支持混合模式。
Compaq Netelligent 10/100 TX Embedded UTP Controller
附录 B
用户识别增强选件
入侵检测 (eTrust Intrusion Detection) ADCP Server 安装指导
用入侵检测 (eTrust Intrusion Detection) 可隐蔽地检测用户 ID、IP 地址和 MAC 地址。作为身份识别增强选件,入侵检测 (eTrust Intrusion Detection) 还包括了身份验证设备通讯协议 (ADCP) 代理。该代理可将 NT 和 MS 远程访问服务器用户 ID 与它们正在使用的 IP 地址联系起来。这样就可以根据 NT 用户 ID 和 RAS 用户 ID 用入侵检测 (eTrust Intrusion Detection) 来添加跟踪和阻塞规则。该级别的控制是通过将 ADCP 代理放在适当的域控制器和 MS 远程访问服务器来达到的。这些 ADCP 代理可以帮助将用户 ID 与 IP 地址和 MAC 地址关联。
同时使用入侵检测 (eTrust Intrusion Detection) ADCP 代理和入侵检测 (eTrust Intrusion Detection) 可以使入侵检测 (eTrust Intrusion Detection) 能够:
l 通过同一系统跟踪登录到 NT 的不同用户。
l 跟踪远程拨号的单个用户(在该功能出现之前很难将远程用户与 IP 和 MAC 地址关联起来,因为它们是共享的)。
如果入侵检测 (eTrust Intrusion Detection) 安装在网络网关上,那么它仍然能够根据用户 ID 确定用户(即使他们跨越内部网络登录到 NT 域控制器,从而远离入侵检测 (eTrust Intrusion Detection) 正在监控的段)。
ADCP 代理和入侵检测 (eTrust Intrusion Detection) 之间的通讯是加密的,并且使用特殊的安全握手协议以确保通讯和内容的完整性。
本附录介绍身份验证设备通讯协议安装和配置步骤。ADCP 软件可以从 Computer Associates 得到。请与我们的技术支持部门联系以便了解得到该软件的详细信息。
详细信息
身份验证设备通讯协议 (ADCP) 将安装在拥有身份验证设备的机器上。也就是说,如果在网络上有 RAS、PDC 或 BDC 的任意组合,那么应该在安装了这些组件的每台机器上安装 ADCP 代理。ADCP 代理将收集下列信息:
l 通过 NT RAS 连接的用户。在这种情况下,ADCP 代理应该安装在 RAS 服务器上。
l 已经从局域网连接的客户(WinNT、Win95 或 Win98)登录的用户(通过 NT 登录确认和身份验证机制)。在这种情况下,ADCP 服务器应该安装在 PDC 和 BDC 上。
l 通过信任关系连接到共享资源的用户。用户的 ID/PASS 将根据 PDC/BDC 中的域用户策略数据库进行检验。在这种情况下,ADCP 服务器应该安装在 PDC/BDC 上。
安装 ADCP
注意:操作系统要求为 Windows 95 (OSR 2 )、Windows 98、Windows NT 4.0( SP3以上 ), Windows 2000
下面是如何安装 ADCP 的指导。ADCP 应该安装在已经安装了身份验证设备的机器上,例如 NT 服务器、RAS、PDC 或 BDC。
1. 插入入侵检测 (eTrust Intrusion Detection) 光盘。
2. 访问 CD-ROM 驱动器(光盘通常会自动激活)。
3. 要开始安装,请使用资源管理器浏览 CD 上的产品,然后选择“入侵检测 (eTrust Intrusion Detection) ADCP 代理”。
4. 按提示安装。
5. 在“安装 ACDP 代理”对话框中从“可用来源”窗口中选择来源。这样入侵检测 (eTrust Intrusion Detection) 将只监控选定身份验证设备类型的事件。单击“添加”按钮可以将选定的来源移动到“要安装的来源”列表。
6. 单击“下一步”按钮,然后单击“完成”按钮。
7. 重新启动服务器。
注意:在安装 Windows NT 域控制器来源类型之后,必须配置 PDC 以便开始捕获事件。为此:
1. 选择“开始”、“程序”、“管理工具”、“用户域管理器”。
2. 选择“规则”、“审核”。
3. 选择“审核这些事件”。
4. 选择“登录和注销”选项旁的“成功”。
启动 ADCP 服务
启动 ADCP 服务的步骤如下:
1. 选择“开始”、“设置”、“控制面板”、“服务”。与下面对话框类似的对话框将出现。
2.选择“Computer Associates ADCP Agent”,然后单击“启动”。也可以更改启动参数以便在将来自动启动服务。
修改 ADCP 代理配置
修改 ADCP 配置的步骤如下:
1. 选择“开始”、“程序”、“ADCP 代理”、“配置”。在“配置”对话框中可以看到能够在 ADCP 代理上运行的身份验证设备列表。
2. 单击“Preferences”按钮,更改 TCP 端口。
注意:端口号必须符合入侵检测 (eTrust Intrusion Detection) 配置的端口号才能使用 ADCP 代理。
卸载 ADCP 服务
卸载 ADCP 服务:
l 选择“开始”、“程序”、“ADCP 代理”、“卸载 ADCP 代理”。
配置入侵检测 (eTrust Intrusion Detection) 以便使用 ADCP 代理
按照下面的指导可以配置入侵检测 (eTrust Intrusion Detection) 以便使用 ADCP 代理。
1. 在入侵检测 (eTrust Intrusion Detection) 中选择“设置”、“工作站用户”。“定义工作站用户”对话框将出现。
2. 选择“使用域控制器代理”单选按钮。如果已经安装,那么代理及其端口应该已经显示在窗口中。
3. 添加代理:
l 单击“添加”按钮。
l 输入域控制器名或者浏览查找它。
l 输入服务器端口—确保该端口号符合在配置 ADCP 代理时输入的端口号。
附录 C
词汇表
用于 Internet 和 Intranet 保护术语的列表
行为 (Action)
行为是当入侵检测 (eTrust Intrusion Detection) 将规则中的规则类型标准与会话匹配时发生的响应。
高级参数 (Advanced Parameters)
高级用户可以用这些参数设置提高入侵检测 (eTrust Intrusion Detection) 功能和效率的某些参数值。例如,改变统计数据更新频率和探测新入侵检测 (eTrust Intrusion Detection) 产品。
阻塞器 (Blockers)
已经定义为由一系列阻塞规则进行阻塞的事件。当已阻塞的会话启动时,程序将阻塞它,然后激活特定行为,例如警告或记录。
BOOTP
Bootstrap 协议 - 使(例如)无盘工作站可以从集中管理的服务器获得其 IP 地址的 TCP/IP 协议。
描述 (Description)
对规则的简短说明,用于参考目的。
DHCP
使主机(例如,无盘工作站)可以从集中管理的服务器获得临时 IP 地址(从池中)的 TCP/IP 协议。主机运行 DHCP 服务器,工作站运行 DHCP 客户。
域 (Domain)
一组计算机(站),它们的主机名公用同一域名,例如 .net(网络操作)、com(商业)。
有效时间 (Effective Time)
规则生效的时间。
合格用户 (Eligible Users)
网络管理员已经为其分配了密码的用户,它们有权访问入侵检测 (eTrust Intrusion Detection) 和查看特定的数据。
事件 (Events)
事件记录了网络上发生并且匹配规则条件的会话或活动。在“树”窗口中可以看到日志和阻塞事件的列表。
助手 (Helper)
可以用定义的命令行在入侵检测 (eTrust Intrusion Detection) 内激活的主机应用程序,通过它可以扩展在“视图”窗口中所查看的事件视图。
MAPI
MAPI(邮件 API)是 Microsoft 电子邮件和消息传递接口。如果要通过 Microsoft 应用程序发送电子邮件和传真,那么必须在系统上安装和定义它。
网络对象 (Network Objects)
入侵检测 (eTrust Intrusion Detection) 网络对象使管理员能够将规则集中于特定或一般的客户和服务器组。网络对象可以是特定的 IP 地址、MAC 地址、域、一组地址或者它们的组合。
选项 (Options)
可以用于增强入侵检测 (eTrust Intrusion Detection) 操作的其它功能和参数。在“选项”对话框中可以定义“助手”、“首选项”、“本地网络”、“地址”和“高级参数”。
包 (Packet)
在终端系统(主机计算机)之间交换的(OSI 第 3 层)数据单元。
首选项 (Preferences)
在启用或禁用后能够对入侵检测 (eTrust Intrusion Detection) 操作进行微调的选项列表。例如探测新客户或服务器活动,或者在启动入侵检测 (eTrust Intrusion Detection) 时启动报告计划程序。
查询报告 (Query Report)
提供当前网络流量状态的临时报告。
服务 (Service)
TCP/IP 和端口号的组合。
会话日志 (Session Log)
会话日志定义了客户和服务器之间的协商,并且遵循数据消息。它包括不属于数据内容本身的所有信息。
快照 (Snapshot)
数据库中的文件,在其中存储了用于生成报告的“冷冻数据”文件。在需要的时候,任何快照都可以用于生成报告。
统计 (Statistics)
入侵检测 (eTrust Intrusion Detection) 提供的统计数据与客户和服务器所传输的数据量、NT 工作站用户所传输数据量、新网络活动数据、最近活动和网络上使用的其它服务有关的统计数据。
字符串 (String)
连续字母数字字符集,不包含用于计算的数字。名称、地址、单词和句子都是字符串。
子网 (Subnet)
可以在物理上独立于网络段的部分网络,它共享网络地址和网络的其它部分,并且可以根据子网号码来区分。
子网掩码 (Subnet Masks)
创造子网掩码(也成为地址掩码)的目的是通过划分网络来简化内部网络路由。单个 IP(网际协议)网络可以划分为许多子网,它们用 IP 地址的主机地址中的 MS(高位)作为子网 ID。
交换集线器 (Switching Hub)
用于星型拓扑通讯线路的中央交换设备。
TCP/IP
TCP/IP(传输控制协议/网际协议)是非常流行的一组数据通讯协议。它可以用于大多数操作系统和硬件平台,并且得到许多硬件厂商的支持(从个人计算机到主机)。它包括提供电子邮件功能的 FTP 和 SMTP。TCP 协议控制数据传输,IP 协议提供路由机制。
令牌地址 (Token Address)
一般情况下,令牌是在合作代理之间传送的抽象概念,它的用途是确保对共享资源的同步访问。令牌的所有者对令牌控制的资源有独占访问权。在网络中,令牌是由控制计算机不断传送到网络中的帧。帧可以包含数据或者为空。当某个终端或计算机需要发送消息时,它就等待空令牌。在发现空令牌后,它首先在帧中填写目标站地址和部分或全部消息。这就是令牌地址。
UDP
UDP(用户数据报协议)是一种 TCP/IP 协议,它允许应用程序将消息发送到目标机器上运行的应用程序。
工作区 (Workspace)
工作区包括网络流量的当前状况、设置和定义。
0
相关文章
关注我们
