關注局內網安全：網路衛士LANguard詳解

[psac]

　　 　　現代企業越來越離不開網路，這不僅包括其內部網路INTRANET，也包括國際網際網路絡INTERNET。我們在享受網際網路絡廣泛的開放性便利的同時，也將不得不面對許多新的問題，如來自外部的攻擊，內部員工對網際網路絡的濫用甚至是情報竊取等，因此今天企業的安全僅靠大門口的保安已經遠遠不夠，我們迫切需要一個站在企業網路關鍵位置上的一個衛士，這些正是LANguard所要達到的目的。

　　LANguard的出品人是GFI(www.gfi.com)，一個袖珍全球性公司，它在美、英、德、法、澳等國擁有自己的辦事處，但總員工數只有55人，是微軟認證方案提供商，它最著名的傳真伺服器軟體FAXmaker已經擁有55000用戶，它也是1999年全球成長速度最快的獨立軟體提供商(ISV)之一。

　　LANguard功能非常豐富，它可以說明 防止外部用戶對內部網路的訪問，檢測一些非法的密碼偵測器軟體在內部網路的使用，監視網路帶寬的利用及業務無關站點的使用情況，並對上述所有網路行為可以採取警告、隔絕及記錄措施，LANgurad還可以通過對活動日誌的統計而提交報表及分析圖表。

　　安裝配置及執行

　　LANgurad程序可以通過www.gfi.com或www.languard.com找到，不過這是一個60天的試用版。

　　LANgurad的核心是一個服務，它在後台監視和控制網路信息包，因此它需要NT內核的操作系統，WINDOWS NT伺服器、工作站以及WINDOWS 2000各版本都可以。因為它是一個服務，所以不要以為將配置及監視的主程序視窗關了它就不起作用了，你必須到控制台的服務中去停止它。

　　安裝時必須以超級用戶身份登入，具體的程序安裝十分簡單，不再贅述，需要特別說明的是LANguard在網路中的安裝位置。

　　LANguard使用類似網路偵測器的引擎來監視和控制網路活動，它所處的位置必須要能探測到網路上所有的信息包，否則你將無法完成其應有的功能。您可以按以下步驟來進行判斷：

　　1.訪問INTERNET是用的硬體路由器還是軟體路由或代理伺服器？

　　如果用軟體的方案如用WINDOWS INTERNET SHARE、MICROSOFT PROXY SERVER 、SYGATE等方式接入INTERNET，則將LANguard安裝在這台電腦上。

　　2.如果你使用硬體路由，那麼路由器接入網路用的是集線器HUB還是交換機Switch?

　　是HUB，則將LANguard安裝在接入同一HUB的任一電腦上。

　　是Switch，就稍稍麻煩一點，因為交換機各連接埠之間的通訊是完全隔絕的，LANguard若簡單地接在另一連接埠上是起不到監視和控制作用的。這時你一般有兩種辦法，一是在路由器與交換機之間再接一個額外的小HUB，LANguard則也接入這個附加的HUB(圖-硬體路由HUB連接方案)；二是將路由器與交換機用BNC同軸電纜連接，而LANguard也連入這根電纜。

　　如圖-硬體路由HUB連接方案、如圖-硬體路由BNC連接方案

　　另外還有個方法就是要查詢交換機的我的文件，將接路由器的交換機連接埠的所有信息流鏡像到另一個連接埠，而這個連接埠則接LANguard，不過這種方法要求交換機具備此功能，而且有可能使LANguard只能監視而不能阻止信息流通。

　　程序安裝完畢後首先要做的就是對區域網路絡進行配置，主要功能在主程序視窗的configuration功能表中：

　　1.區域網路定義(Local Network Definition)：設定網路位址及掩碼，這一般可以由操作系統自動讀出，您只需點一下OK即可。

　　2.本機電腦名稱(Local Network Computer Names)：一般也能由LANguard自動探測，你可以重新編輯其名稱使其更具可讀性，也可以用Clear All功能清除掉讓LANguard重新整理這些名稱。

　　網路監視(Network Monitor)

　　這是LANguard的一個主要功能，當你啟動LANguard時，它會自動掃瞄整個網路(可能會需要幾秒鐘)，建立當前在網路上的機器列表，並給出全局瀏覽視圖(圖-監視主視窗)。

　　視窗右邊共有三個標籤，首先是信息(info)標籤，它主要是檢視的各種網路包資料流量的即時統計圖；中間是共享(Shares)標籤，可以檢視某電腦的共享資源情況，不過如果你沒有在左邊的列表樹中選電腦的話，它是不可用的(灰色)；第三個標籤是窺視通道(Peek Channel)標籤，它可以檢視進出某台機器的具體資料，同樣你必須在左側列表樹中選一個連接通道才行。

　　視窗左側的列表樹上方也有許多過濾器可被使用，以便你分別檢視不同的網路資料流類型，如NetBios、HTTP即WWW瀏覽、INTERNET資料流，對於連接來講你可以選項檢視所有連接或者僅是當前連接。

　　如果LANguard發現網路上有機器在使用密碼探測器的話，它將在列表樹中該機器的小圖示上顯示一個放大鏡圖樣，這時你就得小心它了。

　　如圖-監視主視窗

　　網路原則(Network Policy)

　　我們的視窗其實有兩種視圖，一是上面提到的監視模式，第二就是原則模式，只須將視窗功能表下的view下拉式功能表拉下來就可以在二者之間切換。

　　所謂原則，即是一些規則(Rules)的集合，所謂規則，即是規定哪些機器，在哪些時間的哪些網路套用是被允許的或是被禁止的。

　　規則有以下幾種類型：

　　簡單(Simple)
　　簡單規則可以讓新手只用很少幾個選項即達到控制目的
　　進階(Advanced)
　　進階規則包括更多的特性，但要求你需要更多的TCPIP及LANguard的知識
　　全局(Global)
　　這一規則允許你簡單地設定套用於整個網路的規則
　　內容審查(Content checking)
　　這一規則允許你設定哪些內容可以在網路上流通，比如你可以利用它阻止包含SEX單詞的網頁請求.
　　URL審查(URL checking)
　　允許你阻止包含某特定關鍵字的URL訪問
　　1.新增一個簡單規則：

　　從Rules功能表或原則視圖下右擊視窗空白處中選項Add Simple Rule， 即會出現如下視窗(圖-新增簡單規則).這裡你可以選項三種措施，BLOCK阻止連接事件，ALERT連接事件警告，LOG記錄事件，可以選項套用此規則的電腦，還可以選項上述措施針對的連接類型是什麼，你可以在www，ftp，smtp，pop等傳輸協定中任意選項.點擊Schedule則可以按周對此規則設定生效的時間段。

　　注意，若你設定了簡單規則，則它會覆蓋全局規則，因此你可以用簡單規則來設定全局規則的一些例外.

　　如圖-新增簡單規則

　　2.新增一個進階規則

　　這裡的措施比簡單規則多了一個Allow(允許)，一般用它來新增一個例外的規則。其實進階規則最能體現其靈活性的在地方在於你可以自由設定區域網路(Local network Machines)，外界(External network machines)或任意(Any machines)電腦之間的某種連接埠通信規則，傳輸協定功能表中僅列出了幾個常用類型，你可以在上面任意增加，當然你必須瞭解某應用程式使用的連接埠，當你選項了Any(任意)類型，這時邊上的Exclude(排除)就可以用來設定若干個例外，同樣如果你選項了某個特定的傳輸協定或服務，Include(包括)就可以用來同時包含若干其他傳輸協定或服務(圖-新增進階規則)。

　　同樣，進階規則也將覆蓋全局規則.

　　如圖-新增進階規則

　　3.新增一個全局規則

　　這裡有五個措施可選：

　　Block all traffic between Internet and LAN – 阻止進出INTERNET的所有通信；
　　Block all traffic from Internet to LAN – 阻止INTERNET向區域網路的通信流，此時LANguard 就像是一個防火牆；
　　Block traffic from LAN to Internet – 這種方式可以控制何種類型的傳輸協定能夠訪問INTERNET，比如你可以阻止通往INTERNET的IRC聊天；
　　Block all LAN connections to internet except selected type of connections & all connections from the internet to the LAN-阻止除選項的連接類型以外的所有連接從INTERNET通往區域網路絡；
　　Block all connections from internet to LAN except selected type of connections & all connections from the LAN to internet-阻止除選項的連接類型以外的所有連接從區域網路絡通往INTERNET。
　　採取上述措施時請注意對話視窗下面的連接類型選時什麼時候是被排除，什麼時候是被包含。

　　3.建立一個內容審查(Content checking)規則

　　首先請注意，預設情況下內容審查規則對網路上所有電腦有效。設定界面基本與前面講到的規則差不多，只是多了一個字串輸入框和邏輯運算符，比如你在這裡輸入了關鍵字串」sport」，那麼[url]www.nbasports.com就愴/url]|被檢測到，當然你也可以輸入一些短語，如"sex" AND "hot"。

　　4.建立一個URL位址審查規則

　　預設情況下該審查規則也是對網路上所有電腦有效。該規則僅審查URL位址，而內容審查則審查包括位址在內的頁面內容.設定方式也與內容審查相同。

　　5.限制訪問特定站點(Restricting access to certain web sites)

　　很簡單，輸入站點位址即可。

　　6.限制訪問郵件伺服器(Restricting access to mail servers)

　　如果你不想你的員工用其他郵件伺服器向外發信的話，請在此設定。

　　7.警告設定(Alert set-up)

　　當網路中發生違背規則的事件，同時該事件又在規則定義中使用了警告，LANguard則會發出警告，警告的方式有三種，一是簡單的電腦鳴叫，二是傳送一個信息到指定電腦，這時你必須在設定中指定一個接收警告信息的電腦名稱或IP位址，輸入後可以用TEST檢測一下電腦設定是不是正確.此項功能要求您的伺服器及指定電腦上安裝了信使服務(Messenger Service);三是執行一個應用程式，比如啟動一個EMAIL客戶程序向管理員發出一封告知信。該功能在configuration功能表中。

　　INTERNET使用報告

　　該功能使用的是LANguard的日誌瀏覽(Log View)程序，它可以在開始工作列中單獨啟動，也可以從LANguard原則視圖中右擊某規則選項Show Log Entries功能使用。

　　日誌分為(Main Logs)主日誌及定制日誌(Custom Logs)兩種，主日誌記錄了所有的網路信息流，它不過濾任何信息。定制日誌就是你在前面設定規則時選取了LOG措施而產生的，LANguard將會為定制措施新增獨立的日誌文件。由於日誌將會耗費大量的存儲空間，所以請確信審計那些你認為重要的東西，並且加強管理。

　　1.過濾(Filter)日誌

　　由於日誌將包含大量信息，LANguard提供了過濾器讓你可以從中分檢出特定的信息。過濾器有簡單及進階兩種，簡單過濾器允許你過濾出特定服務連接埠的信息，而進階過濾器則在簡單過濾器的基礎上加上了更多的選項，讓你可以指定檢視某兩特定電腦之間、內部電腦與INTERNET之間的連接日誌。

　　2.報表

　　LANguard的報表種類很多：

　　Web access Report-WEB訪問站點的統計資料
　　Ftp Access Report-FTP文件傳輸站點的統計資料
　　All Internet Access Report-所有INTERNET活動站點的統計資料
　　從以上這三個報表中你可以看出哪些站點的訪問量最高
　　User Web Access report-WEB訪問用戶的統計資料，在這裡你可以看到哪些用戶的網路訪問最頻繁
　　Network distribution-檢視不同的網路服務佔用帶寬的比例
　　Time Distribution-檢視某天內不同時間段(以小時為服務機構)訪問的頻率
　　Day Distribution-檢視一周內每天的的訪問情況
　　User bandwidth distribution-檢視用戶佔用帶寬的情況
　　Bandwidth Distribution By Date Range-與Network distribution相同，但多了日期區間選項
　　Global Data Transfer-統計不同傳輸協定類型傳輸的字元數及百分比
　　Data Transfer Per User-統計特定用戶不同傳輸協定類型傳輸的字元數及百分比



編輯: tty