目录1.1网络部署模式 (3)1.1.1旁路部署模式 (3)1.2系统启动、登录 (3)1.3系统操作界面介绍 (4)1.4系统操作模式 (5)1.4.1面向功能的操作模式 (5)1.4.2面向审计对象的操作模式 (7)1.5审计对象管理 (8)1.5.1机器组管理 (8)1.5.2机器管理 (13)1.6管理策略 (15)1.6.1控制策略 (15)1.7审计日志查询 (23)1.7.1行为审计 (24)1.7.2内容审计 (30)1.7.3现场观察 (32)1.8网络中使用路由器的改造方法 (34)1.9设备使用注意事项 (35)网络安全审计系统基本功能简介1.1网络部署模式1.1.1旁路部署模式网络安全审计系统旁路基本部署示意图1.2系统启动、登录网络安全审计系统采用B/S模式进行管理，用户在网络中任何一台机器都可以通过网页浏览器登录系统：第一步：打开局域网内任意机器的IE浏览器，输入HTTPS://系统IP地址，出现以下安全警报界面，选择“是”进入系统登录界面：说明：如果不知道系统IP地址，请咨询系统的安装人员。

第二步：选择界面显示的语言（简体中文/繁体中文/English）、输入用户名、密码以及校验码；（系统默认用户名admin密码123456）第三步：点击“登录”按钮进入系统主界面，或点击“重置”按钮清除当前输入框中所有数据重新录入进行登录；注意：1.在登录时系统主窗口采用弹出式，因此请您务必检查是否有IE插件限制了弹出窗口；2.网络安全审计系统出厂时的用户名是admin,密码是123456。

为了安全起见,请在首次登录时通过“个性设置->我的帐号->密码修改”功能，修改默认密码。

1.3系统操作界面介绍为了便于说明，本手册将系统操作界面分成四个部分，通常页面的上部为系统名称和快捷按钮区，页面的左侧为导航菜单区，右侧为数据显示区，其中数据显示区的上部为查询区，中间为信息显示区。

除中间的数据显示区外，其它各个区都可以选择隐藏。

用户可以在导航菜单栏选择不同的系统操作模式，另外，数据显示区采用OUTLOOK风格，当用户在数据显示区点击数据列表中的记录，列表下方将实时显示该记录的详情，在数据显示区上方为数据查询区，用户可以通过设置具体查询条件以便在数据列表中只显示特定的记录；1.4系统操作模式网络安全审计系统为用户提供了两种操作模式，以满足不同用户操作习惯和不同操作目的的需求：1．面向功能的操作模式2．面向审计对象的操作模式1.4.1面向功能的操作模式点击左侧导航菜单栏的“功能列表”标签按钮进入面向功能的操作模式，在该模式下，导航菜单栏显示如下图在此种操作模式下，通过点击左侧导航菜单栏的菜单列表选项进行操作；该种操作模式可以方便地对某一项或某几项网络应用的使用状况进行设置、查询、统计和分析。

以查看当天网页访问审计数据为例：第一步：在左侧导航菜单栏中选择[行为审计]，在二级菜单中选择[网页访问]；第二步：右侧数据显示区显示网页访问审计页面，第三步：点击机器/组框旁的，弹出“选择单个机器或机器组”对话框:第四步：在查询区，点击“显示高级查询区”按钮，输入网页访问记录的组合查询条件，点击“查询”按钮，查询结果显示如下图，点击任何一条查询记录可在下方区域查看详情。

1.4.2面向审计对象的操作模式1.4.2.1面向被监控机器该操作模式下，所有被审计对象以机器ip地址为标识。

点击左侧导航菜单栏的[机器列表]标签即可进入面向被监控机器的操作模式，该模式下，导航菜单栏及数据显示区显示如下图：在机器列表操作模式下，系统在左侧导航栏中不提供系统升级、系统配置等功能，所有操作均以审计对象为核心。

左侧导航菜单栏以树状形式显示机器组及对应的机器列表，点击某一个组或机器后，数据显示区将显示该组/机器对应的属性，如：机器/机器组名称、机器/机器组策略、状态等信息。

另外，数据显示区上方还提供了操作菜单栏，如下图所示，选择要查看的审计类型，数据列表区将实现对应的审计记录或评估报表。

在导航菜单栏，通过使用鼠标右键可对机器或机器组进行相关操作，如下图所示：1.5审计对象管理网络安全审计系统对所有审计对象采用“组”和“审计对象”两个级别进行管理，用户可以根据自身网络管理的需要或业务组织结构通过网络安全审计系统把所有的审计对象划分成不同的组，管理员可以为每个组制定组管理策略，也可以为每个审计对象设定只针对此机器的管理策略。

1.5.1机器组管理网络安全审计系统中，默认提供三个机器组信息：机器信息、默认组、机器回收站。

所有机器组均创建在“机器信息”下面。

在没有设置自动创建机器组功能，或者新发现的机器未设置自动添加到机器组的功能时，所有发现的机器均添加到“默认组”中。

执行删除操作的机器将被移入机器回收站。

在机器列表的每个机器组名称后面会有“线机器数/该组总的机器数”显示机器组的下拉功能菜单如下图1.5.1.1添加机器组用鼠标点击左侧导航栏[机器列表],然后在[机器信息]上使用鼠标右键，在弹出菜单中选择[添加子组]，在数据显示区将显示添加机器组页面，录入相关信息后，按“确定”按钮即可添加成功。

如下图所示：1.5.1.2更改、设置机器组属性机器组属性包括：✓机器组名称：机器组名称必须唯一；✓机器组策略：当前应用于该机器组生效的机器组管理策略；✓是否使用私有策略：如果使用私有策略，当上级组的组策略更改时，该组策略不发生变化；✓是否需要认证：当采用LDAP或本地帐号上网认证时，需要选择该项；✓是否默认组：在没有设置自动创建机器组功能，或者新发现的机器未设置自动添加到机器组的功能时，所有发现的机器均添加到“默认组”中，仅有一个机器组为默认组，如果某个组被设置为默认组，则原先设置的默认组会自动改为非默认组；✓是否把机器自动增加到组中：设定是否开启“自动分组IP段内的新增机器发现后自动添加到该组内“的功能；✓自动分组IP段设置：指定IP段，所有属于该地址段内的机器将被自动添加到机器组中（需把“是否把机器自动增加到组”设置为“是”）；✓机器组描述：标识该组职能或类别，非唯一；用户可以在建立机器组时设置机器组属性，也可以在弹出菜单栏中选择“修改本组”项，更改机器组原有属性；1.5.1.3删除机器组用鼠标右键点击机器列表中所要删除的机器组，在弹出菜单中选择“删除本组”即可删除选定的机器组；被删除的机器组内的机器将被自动移入“recycle”内。

1.5.1.4向指定机器组添加机器用鼠标右键点击机器组，弹出机器组管理菜单,在菜单栏中选择“添加机器”项，右侧数据显示区显示添加机器页面，如下图网络安全审计系统提供了两种向机器组中添加机器的操作方式：✓手动添加单台机器；录入必要的机器属性信息：机器名称、IP、MAC地址（打*号的为必填项）；其它非必要信息用户可以在添加操作完成后通过修改机器属性进行更改；点击“确定”完成添加；批量添加机器；在IP段内指定需要批量添加的机器的IP范围，点击“添加”按钮，用户可以一次添加多个IP段，已添加的IP段将依次显示在下方信息框内，用户可以选择某一个IP段，通过点击“删除选中”按钮对已添加的IP段进行删除操作，用户对已添加的IP段确定无误后点击“确定”按钮，所添加IP段内的机器将被自动添加到当前机器组内；说明：批量添加机器功能只用于将已发现的机器从别的机器组移入当前机器组，而不是批量创建新的机器名。

1.5.1.5删除机器在任意机器组/机器上使用鼠标右键将弹出功能菜单，选择“移入机器回收站”菜单子项，将弹出“移入机器回收站？”的问询框。

在回收站中删除机器只有在该机器不存在任何审计日志情况下才可删除，否则弹出“存在审计日志不能删除”提示框。

1.5.1.6机器组策略在面向审计对象的操作中，用户可以方便的针对机器组进行审计策略的修改，步骤如下：第一步：点击要修改审计策略的机器组。

第二步：点击数据显示区上方的“查看策略”按钮，系统显示当前机器组策略如下图所示，用户可在当前页面修改当前机器组策略，点击“确定”按钮保存该策略设置。

1.5.1.7批量更改机器组成员属性为了操作方便，在机器组属性界面中提供了批量更改该机器组下所有成员的监控属性的操作，步骤如下：第一步：点击要修改的机器组，此时数据显示区将显示该机器组的属性界面。

第二步：点击数据显示区上方的“机器列表”按钮。

系统将在数据显示区显示当前机器组内所有审计对象的机器属性。

第三步：通过点击机器名称前的选择框选择全部或多台机器，然后在操作项下拉框选择对应的操作，如下图部分操作项说明：更改属组：将当前选择的机器移入到其他机器组内。

1.5.1.8批量添加黑白名单在机器列表界面后，在要设置为黑白名或者白名单的机器名称前打勾，再选择“操作项”列表中的“黑名单”或者“白名单”即可。

说明：✓白名单：白名单中的机器不受审计管理策略限制，系统不记录，也不限制白名单内的机器的上网行为；✓黑名单：黑名单中的机器所有的上网行为将全部被封堵；1.5.2机器管理下面介绍针对单个审计对象的管理功能：机器属性、机器策略，其它的评估报表、现场观察、内容审计、行为审计等功能与机器组管理中的功能相似的操作。

1.5.2.1机器属性点击机器列表内任意一台机器，数据显示区将显示该机器的机器属性，如下图机器属性说明如下：✓机器名称：即机器在网络上的标识名，正常状态下无须用户手动输入，网络安全审计系统可以通过对网络内所有机器进行扫描自动解析所有机器的机器名称，如果目标机器安装了防火墙等软件，系统有可能无法正确解析出目标主机的机器名称而采用IP代替；✓使用者：网络管理者在系统中用来唯一确认/绑定每台目标主机的标识；✓IP 地址：同机器名称，无须用户手动输入，系统可自动解析获得；✓MAC 地址：同机器名称，无须用户手动输入，系统可自动解析获得；✓是否使用私有策略：如果使用私有策略，当其组策略更改时，该机器策略不发生变化；✓是否需要认证：对机器进行上网认证时，需开启该设置项；✓机器策略：显示当前机器应用的策略，用户可以通过下拉列表选择其它管理策略；✓监控系统：在分布式环境下，用户可以选择其所属的监控系统，单机版该项不可更改；✓状态：用户可以通过状态下拉列表更改当前审计对象的受控状态，也可以在机器列表的右键弹出菜单栏中选择对应的选项更改其受控状态；●正常受控：属于正常审计对象范围，根据审计管理策略对所属范围内的所有审计行为进行审计记录和管理；●白名单：白名单中的机器不受审计管理策略限制，系统不记录，也不限制管理白名单内的机器的上网行为；●黑名单：黑名单中的机器所有的上网行为将全部被封堵；更改机器属性完毕，点击“确定”按钮保存设置；1.5.2.2机器策略跟机器组策略类似，系统提供针对单个机器进行策略修改的功能。