第 3 章 查看受保护的网络


在安装之后，入侵检测 (eTrust Intrusion Detection) 立即根据默认参数和定义收集网络信息。本章介绍主界面各项内容的含义，如何查看网络信息，以及如何对收集的数据进行有效地管理。


3.1 入侵检测 (eTrust Intrusion Detection) 主界面


入侵检测 (eTrust Intrusion Detection) 在设计上尽可能做到对用户友好，并且强调表达的清晰度和数据访问的方便性。


主界面分为三个部分：

l “树”窗口

l “视图”窗口

l “统计”窗口


3.1.1 “树”窗口


左上方的窗口称为“树”窗口。该窗口显示记录或阻塞的会话。在“树”窗口中选择了会话后，该会话的详细信息将出现在“视图”窗口（屏幕的右边）中。


3.1.2 “视图”窗口


右边的窗口显示选定会话的详细信息。将指针放在该窗口上，单击鼠标右键就可以在查看格式化和无格式化形式（ASCII、EBCDIC 和十六进制）数据之间切换。

在该窗口中也可以查看实时网络活动图，启用/禁用规则和创建阻塞规则。这些选项的详细信息将在本章后面提到。


3.1.3 “统计”窗口


在屏幕底部的窗口包含有关网络流量的统计数据。它显示网络上客户和服务器的使用情况、使用特定协议第一次探测到某个站的日志、最近网络活动日志、NT 工作站用户详细信息和“树”窗口中不包括的其它服务日志。单击列标题可以将统计数据排序。


3.2 查看入侵检测 (eTrust Intrusion Detection) 日志或阻塞事件


如前所述，记录或阻塞的事件列表显示在“树”窗口中。当在“树”窗口中选择了事件后，该事件的详细信息将出现在“视图”窗口中。通过选择“树”窗口底部的相关选项卡可以查看按服务、客户、服务器或规则记录的事件。在“树”窗口中也可以查看活动会话列表。

查看日志或阻塞的事件步骤：

1. 选择“查看”菜单上的“显示日志事件”或“显示阻塞事件”。

2. 在“树”窗口中选择事件。事件的详细信息将出现在“视图”窗口中。

注意：如果日志文件大于 64K，入侵检测 (eTrust Intrusion Detection) 将显示消息框。然后可以选择取消请求、加载整个文件或者只加载 64K 文件。

3. 使用“上下文菜单”按钮或者用鼠标右键单击，可以在“树”和“视图”窗口中查看有更多选项的菜单。


3.3 从“视图”窗口定义规则


在查看日志事件的详细信息时，可以定义阻塞这些事件的规则。也可以定义 URL 的类别。


3.3.1 为已查看事件定义阻塞规则


当在“视图”窗口中查看事件的详细信息时可以根据该事件阻塞将来的会话。

定义阻塞器：

1. 在“树”窗口中选择要阻塞的事件。

2. 在“视图”窗口中单击鼠标右键，或者单击“上下文菜单”按钮以显示选项菜单。

3. 选择“阻塞器”，“定义事件阻塞器”对话框将出现。如果选择了使用代理服务器的会话，那么“通过代理服务器阻塞访问”对话框将出现。如图所示。

　

4. 选择下列用于定义事件阻塞器的选项：

l 特定客户到特定服务器。

l 特定客户到任何服务器。

l 任何客户到特定服务器。

l 任何客户到任何服务器。

5. 如果选择使用代理服务器阻塞会话，那么可以编辑要阻塞的协议和主机名后缀。

6. 单击“确定”。然后可以在“监控/警告/阻塞规则”对话框中查看阻塞的规则。


3.3.2 定义 URL 类别


在“视图”窗口中查看记录的 HTTP 会话时，可以对 URL 指定一个或多个类别。该信息可以用于创建监控和阻塞规则。

定义 URL 类别：

1. 在“视图”窗口中显示事件。

2. 单击鼠标右键，或者单击“上下文菜单”按钮显示其它选项的列表。

3. 选择“定义 URL 类别”。如图所示。

　

4. 选择“使用单一 IP 地址”为特定的 IP 地址定义类别，或者选择“定位 DNS 名称的所有 IP”为该特定 URL 地址可用的所有 IP 地址定义类别。

5. 在 URL 类别列表中选择类别。

6. 单击“确定”接受改动。


3.4 刷新会话日志


在“视图”窗口中刷新详细信息的方式可以是手工刷新，或者在特定间隔自动刷新。


3.4.1 自动刷新会话日志


自动刷新会话日志的步骤如下：

1. 从“编辑”菜单上选择“自动刷新”。或者选择工具栏上的“刷新”按钮，以便在自动刷新和手工刷新之间切换。

2. 然后从“设置”菜单中选择“选项”，再选择“高级”选项卡。

3. 选择“查看刷新时间间隔”。定义时间间隔，然后单击“确定”。


3.4.2 手工刷新会话日志


手工刷新会话日志的步骤如下：

1. 在“编辑”菜单中选择“手工刷新”，或者单击工具栏上的“手工刷新”按钮（在自动刷新和手工刷新之间切换）。

2. 在每次需要刷新“视图”窗口时选择“编辑”、“手工刷新”，或者使用“上下文”菜单。


3.5 查看各项统计数据

入侵检测 (eTrust Intrusion Detection) 允许用户控制显示在“统计”窗口中的统计数据。在“树”窗口中可以选择查看工作站用户名、查看最近网络活动、查看其它服务活动的统计数据，以及查看新的网络活动。


3.5.1 查看活动会话


在“树”窗口中可以查看匹配某个规则并且仍然活动的当前会话。查看活动会话步骤为：

1. 单击“树”窗口中的“活动会话”选项卡。如图所示。

　

2. 选择会话，然后单击下面图标中的一个：

终止当前会话。

显示“树”窗口中某个事件的会话日志。

将会话添加到日志事件列表中。如果要添加的文件大于 64KB，那么入侵检测 (eTrust Intrusion Detection) 将发出警告。


友好提示 — 用鼠标右键也可以查看这些选项。


3.5.2 查看补充信息


1. 从“查看”菜单中选择“用户 ID”/“客户视图选项”。如图所示。

　

2. 选择“显示工作站用户”可以在“树”窗口中显示用户名。您可以在启用和禁用该选项之间切换，也可以选择查看在站名之前或之后查看用户名。

3. 在“统计”窗口中切换查看或隐藏下列信息：

l 显示最近活动：在“统计”窗口中显示“最近活动”选项卡。

l 显示其它服务：在“统计”窗口中显示“其它服务”选项卡。

l 显示新网络活动：在“统计”窗口中显示“新网络活动”选项卡。

4. 单击“确定”接受改动。


3.6 查看工作站用户


在“树”窗口的客户名旁可以查看工作站用户的详细信息。入侵检测 (eTrust Intrusion Detection) 通过 sniffing 或者域控制器代理来探测工作站用户名。当使用 sniffer 时，入侵检测 (eTrust Intrusion Detection) 只发现新的网络活动。但是，代理能够存储所有用户的登录信息并在需要时应用该信息。

如果选择域控制器代理，那么必须在安装了身份验证设备的机器（例如 NT Server、RAS）上安装代理软件（可以从 Computer Associates 得到）。


查看工作站用户：

1. 从“设置”菜单中选择“工作站用户”。

2. 在“定义工作站用户”对话框中选择“使用窃听”或者“使用域控制器代理”作为确定工作站用户的方式。如图所示。

　

3. 如果选择使用域控制器代理，那么请单击“添加”以添加域控制器。然后可以：

l 单击“属性”编辑域控制器属性。

l 选择域控制器名，然后单击“删除”，从列表中删除该域控制器。

4. 在定义了域控制器属性后，请单击“确定”。此时在“树”窗口的客户名旁可以看到工作站用户的详细信息。括号中的第一个名称是域名，第二个名称是工作站用户名。

如图所示。



3.7 显示探测到的入侵检测 (eTrust Intrusion Detection) 产品


入侵检测 (eTrust Intrusion Detection) 可以探测网络上运行最新或早期入侵检测 (eTrust Intrusion Detection) 版本的所有其它计算机。您可以查看这些站的列表，以及更改入侵检测 (eTrust Intrusion Detection) 探测站的频率。


显示探测到的入侵检测 (eTrust Intrusion Detection)产品：

1. 选择“设置”、“选项”、“高级”，设置入侵检测 (eTrust Intrusion Detection) 搜索其它产品的频率。将“探测时间间隔”值设置为“0”可以禁止探测。

2. 选择“查看”菜单上的“检测”，或者单击工具栏上的“探测”查看按钮 。弹出“检测到的产品”对话框。

选择项目，然后单击：

清空列表。

开始重新探测。


3.8 查看警告消息


在定义规则时，可以选择当某个会话匹配该规则中的条件时就显示警告消息。当规则匹配时，工具栏上的“显示警告消息”按钮将闪烁。


查看报警消息的步骤如下：

1. 选择“查看”菜单上的“警告消息”，或者单击工具栏上的“显示警告消息”按钮 。弹出报警消息框。如图所示。

　

2. 选择消息，然后单击 清空列表中的所有消息。

3. 选择消息，然后单击 显示消息。如图所示。

　

4. 选择消息，然后单击 删除消息。

5. 关闭“报警消息”框。


3.9 查看安全冲突


入侵检测 (eTrust Intrusion Detection) 包括了许多预定义的安全冲突。当入侵检测 (eTrust Intrusion Detection) 探测到这些冲突时，工具栏中的“显示安全冲突”按钮将闪烁。单击该按钮可以显示包括冲突细节的窗口。


显示安全冲突：

1. 单击“显示安全冲突”按钮 ，或者选择“查看”菜单上的“安全冲突”。弹出“检测到安全冲突”对话框。如图所示。

　

2. 单击鼠标右键，然后选择“忽略该活动”可以忽略引发警告的活动。如果在连续数据交换过程中出现连续警告，那么该选项就很有用。

3. 从工具栏中选择下列按钮之一，或者从“上下文”菜单中选择选项：

清除列表中的所有冲突。

删除选中的安全冲突。

更改 MAC 地址。

删除没有标记为“忽略该活动”的所有项目。

4. 关闭“探测到安全冲突”对话框。