第五章 插件操作说明

策略说明:

  策略决定了软件对监控到的数据包在符合配置条件时所采取的动作,共有如下7种处理动作:

  1. 通过:表示允许数据包通过,不产生事件记录
  2. 拦截:表示阻止数据包通过,不产生事件记录
  3. 隔离:表示阻止数据包通过,并隔离相应的内网电脑,不产生事件记录
  4. 通过并记录:表示允许数据包通过,同时产生事件记录
  5. 通过并保存:表示允许数据包通过,同时产生事件记录,并保存相关内容到本地硬盘
  6. 拦截并记录:表示阻止数据包通过,同时产生事件记录
  7. 隔离并记录:表示阻止数据包通过,并将相应的内网电脑划入隔离区,同时产生事件记录
提示:匹配到“通过并保存”策略,不同的过滤模块保存的内容各不相同。例如:HTTP过滤保存网页内容,SMTP过滤保存发送的邮件内容,POP3过滤保存接收的邮件内容等。匹配到“隔离”和“隔离并记录”策略,Active Wall会尝试隔离相应的内网电脑,如果该电脑所在分组未建立隔离区,则单纯阻止数据包通过。此时“隔离”和“隔离并记录”策略等同于“拦截”和“拦截并记录”策略。

通配符说明:

  Active Wall支持的通配符有两个:“*”号和“?”号。“*”表示零至多个字符,“?”表示一个字符。例如:

  1. comput* 可匹配computer(*代表er)、computation(*代表ation)、computing(*代表ing)
  2. wom?n 可匹配woman(?代表a)、women(?代表e)
  3. “*”号和“?”号可混合使用,*.sin?.* 可匹配 news.sina.com.cn(*代表news,?代表a, *代表com.cn)、www.sino.com(*代表www,?代表o,*代表com)

事件记录说明:

  所谓事件记录是各监控模块检测到数据包符合配置条件时所产生的信息,这些信息会滚动显示在程序主界面上。如果日志文件输出或日志数据库输出模块已加载,则这些事件记录会保存到文件或数据库中供日后查询。

5.1. 网络身份验证

  启用网络身份验证后,要求用户输入正确的账号密码才可访问互联网。Active Wall网络身份验证模块支持多种验证方式:

  1. 基于IIS的基本身份验证、Windows集成身份验证、摘要身份验证。
  2. 基于Apache、Netscape等其他WEB服务器的各种身份验证。
  3. 基于ASP、PHP、CGI、Java、.NET的网页表单验证。
  4. 基于C/S结构的自定义身份验证。

操作说明:

  1. 在[监控分组]里选择要设置网络身份验证的电脑组。
  2. 输入验证服务器的IP和端口。
  3. 勾选[启用网络身份验证],表示对该组启用身份验证;否则表示不对该组启用身份验证。
  4. 单击<确定>按钮保存当前设置,单击<取消>按钮取消当前设置。

补充说明:

  1. [服务器IP]:验证服务器的IP地址。服务器IP不能采用127.0.0.1,而必须填写对内网其它电脑可以识别的有效IP地址。
  2. [端口]:验证服务器的端口。如果是WEB身份验证,通常为80。
  3. 服务器IP和端口为所有组共享的全局参数。这意味着:如果您如果修改了某一组的服务器IP和端口,其它各组也同样受影响。
  4. 局域网内部用户访问验证服务器,必须要通过Active Wall所在的网关,否则网络身份验证模块将无法正常工作。
  5. 验证服务器配置:由于Active Wall支持的身份验证方式众多,不能一一罗列,详情请看技术论坛
提示:如使用WEB身份验证请尽量不要采用静态网页,防止浏览器使用缓存而导致Active Wall无法检测到验证数据包。

5.2. 时段过滤

  时段过滤模块可以按周设置一天内允许上网的时间段,最小单位为小时。配置对话框如下所示:

操作说明:

  1. 在[监控分组]里选择要设置时段过滤的电脑组。
  2. 用鼠标单击选中视图上的方格(可以按住鼠标左键拖动选中多个方格),每个方格代表一星期中某天的某个小时。要禁止该组在该时间上网,单击<拦截>按钮即可,视图上将用“X”表示禁止上网的时间。单击<通过>按钮表示该时间允许上网,视图上将用空白表示允许上网的时间。
  3. 单击<确定>按钮保存当前设置,单击<取消>按钮取消当前设置。

补充说明:

  1. 时段视图:时段视图为一个24*7的方格视图。横坐标以小时为单位,范围从0~23;纵坐标以天为单位,范围从周一~周日(ISO 8601标准)。视图中的每个方格表示一个小时的时间。例如:(横坐标:0,纵坐标:周一)表示周一的0点至1点;(横坐标:17,纵坐标:周五)表示周五的17点至18点。
注意:时段过滤为历史遗留的旧有功能模块,仅能限制用户是否能够上网,其最小单位为小时。如果要根据时间做更细致的监控策略请采用分组中的[时段管理]功能。

5.3. 端口过滤

  端口过滤模块通过开放或关闭一些端口,允许内部用户使用或禁止使用互联网上部分服务。配置对话框如下所示:

操作说明:

  1. 在[监控分组]里选择要设置端口过滤的电脑组。
  2. 在[该组端口缺省策略]中选择该组的缺省策略。
  3. 双击[常用端口列表]中的常用端口可以把该端口添加到右边的[下列端口除外]列表中。
  4. 如果要添加的端口不在[常用端口列表]中,可以先在[协议]下拉列表中选择协议,然后在[端口]输入框中输入端口或端口范围,单击<添加>按钮添加到[下列端口除外]列表。
  5. 在右边[下列端口除外]列表中选择要删除的端口或端口范围,单击鼠标右键,单击[删除]菜单,可删除当前选择的端口或端口范围。
  6. 单击<确定>按钮保存当前设置,单击<取消>按钮取消当前设置。

补充说明:

  1. [该组端口缺省策略]与[下列端口除外]列表有互斥关系。如果缺省策略为[拦截],则[下列端口除外]列表中出现的端口为[通过]。如果缺省策略为[通过],则[下列端口除外]列表中出现的端口为[拦截]。
  2. 添加端口时,如果端口与[下列端口除外]列表中已有的端口号连续,且协议相同,将自动合并为一条端口范围。
注意:UDP 53端口为DNS域名解析服务端口,屏蔽该端口可能导致其他网络应用无法正常运行。

5.4. 流量控制

  流量控制模块用于控制网络内部每台电脑或全组的传输速度,及设置网络内部每台电脑或全组每天允许的最大网络流量。配置对话框如下所示:

操作说明:

  1. 在[监控分组]里选择要设置流量控制的电脑组。
  2. [电脑带宽]限制:限制当前组每台电脑的网络传输速度,选中要限制的项目,输入数值。可分别对上行、下行、总计带宽进行限制。勾选[隔离超出带宽限制的电脑],则对超出上行、下行、总计任一带宽限制的电脑执行隔离策略。
  3. [电脑配额]限制:限制当前组每台电脑每天的总流量,选中要限制的项目,输入数值。可分别对上行、下行、总计配额进行限制。勾选[隔离超出配额限制的电脑],则对超出上行、下行、总计任一配额限制的电脑执行隔离策略。
  4. [组带宽]限制:限制当前组全部电脑累加的网络传输速度,选中要限制的项目,输入数值。可分别对上行、下行、总计带宽进行限制。
  5. [组配额]限制:限制当前组全部电脑累加的每天的总流量,选中要限制的项目,输入数值。可分别对上行、下行、总计配额进行限制。
  6. 单击<确定>按钮保存当前设置,单击<取消>按钮取消当前设置。

补充说明:

  1. 带宽:指网络传输速度,以千字节每秒为单位。
  2. 配额:指每天传输的流量,以兆字节每天为单位。
  3. 上行:指局域网发送给互联网的字节。
  4. 下行:指局域网从互联网接收的字节。
  5. 总计:指上行、下行累加的字节。
  6. 此处统计的字节不仅包含TCP、UDP的内容长度,而且包括以太网头部、IP头、TCP头的数据包总长度。

5.5. 实时流量显示

  实施流量显示模块用于设置主界面中[流量显示]的显示方式,管理员可以设置显示何种流量统计图。配置对话框如下所示:

操作说明:

  1. 在[显示以下协议]中打勾选中的选项表示显示该项的流量统计图。
  2. 在统计模式中选择按数据包个数统计还是按字节流量统计。
  3. 在[显示峰值]中可以设置当前显示的最高峰值。
  4. 单击<确定>按钮保存当前设置,单击<取消>按钮取消当前设置。

补充说明:

  1. 总流量:表示经过服务器的所有协议的流量。
  2. TCP:显示以传输控制协议(Transmission Control Protocol)方式经过服务器的流量。
  3. UDP:显示以用户数据报协议(User Datagram Protocol)方式经过服务器的流量。
  4. ICMP:显示以互联网控制信息协议(Internet Control Message Protocol)方式经过服务器的流量。
  5. IGMP:显示以互联网群组管理协议(Internet Group Management Protocol)方式经过服务器的流量。
  6. 统计模式可按字节长度统计也可按数据包个数统计。按字节流量统计时,显示在主界面上的为流经服务器的千字节长度(K=KByte);按数据包个数统计时,显示在主界面上的为流经服务器的数据包个数(P=Packet)。
  7. 按字节流量统计时,统计的字节不仅包含TCP、UDP的内容长度,而且包括以太网头部、IP头、TCP头的数据包总长度。

5.6. MAC地址过滤

  MAC地址过滤模块可以设定内部电脑按网卡MAC地址过滤,并能将MAC地址绑定固定的IP地址。配置对话框如下所示。

操作说明:

  1. [缺省MAC地址过滤策略]中选择默认策略为通过或拦截。
  2. 在列表框选择要做更改的项目,单击鼠标右键,在弹出菜单中可以单击[地址绑定]绑定当前所选地址;单击[取消绑定]取消所选地址的绑定,单击[删除地址]删除当前所选地址;单击[导入地址]可以导入在主程序界面中所有电脑的MAC与IP地址。
  3. 要编辑某项,可在列表中双击该项,编辑完成后单击<增加>按钮保存。
  4. 要添加新地址,先输入[MAC地址]和[IP地址],在[策略]中选择策略,然后单击<增加>按钮。
  5. 单击<确定>按钮保存当前设置,单击<取消>按钮取消当前设置。

补充说明:

  1. [缺省MAC地址过滤策略]:表示没有出现在MAC地址列表框中的所有其他MAC地址的处理策略。
  2. 在MAC地址列表框中,如果某一MAC地址的策略为通过,则允许该MAC地址通过;并检查[地址绑定]策略。
  3. 在MAC地址列表框中,如果某一MAC地址的策略为拦截,则禁止该MAC地址通过。
  4. [地址绑定]:勾选的项目表示该MAC地址与IP地址是绑定的。地址绑定后,该MAC地址只能使用指定的IP地址,如果更改为其他的IP地址则不允许通过。
  5. MAC地址过滤模块只能应用于单一网段的网络环境中。
提示:MAC地址是网卡的物理地址。由于软件以IP鉴别局域网用户,为防止用户随意更改IP地址,建议启用MAC-IP绑定功能。

注意:如果您的网络采用了DHCP服务器自动分配IP地址,请在DHCP服务器中为每个MAC地址指定固定的IP地址,再启用MAC-IP绑定。

5.7. IP地址过滤

  IP地址过滤模块可以过滤内部电脑对互联网上的IP、网段地址的访问。配置对话框如下所示:

操作说明:

  1. 在[监控分组]里选择要设置IP地址过滤的电脑组。
  2. 在列表框中双击左键,即可编辑选中的项目,单击<增加>按钮保存。
  3. 添加IP过滤:选择[IP地址],输入IP地址,选择策略,单击<增加>按钮。
  4. 添加网段过滤:选择[IP网段],输入网络号及掩码长度,选择策略,单击<增加>按钮。
  5. 分类目录过滤:在[分类目录]中选择相应分类条目,在[策略]中选择处理策略,然后单击<更新>按钮。或选择相应分类,单击右键选择处理策略。
  6. 在列表框选择要更改的项目,单击鼠标右键,单击菜单[删除]可删除当前选择的项目,单击菜单选择策略可更改当前选择的项目的处理策略。
  7. 单击<确定>按钮保存当前设置,单击<取消>按钮取消当前设置。

补充说明:

  1. [IP网段]:采用CIDR网络前缀表示法(RFC 1878)。如网络号210.31.233.0,子网掩码255.255.255.0可表示成210.31.233.0/24;网络号166.133.0.0,子网掩码255.255.0.0可表示成166.133.0.0/16;网络号192.168.0.0,子网掩码255.255.255.240可表示成192.168.0.0/28等。
  2. 过滤顺序按IP、网段、分类目录的先后顺序进行过滤。例如IP为"61.141.238.1"策略为"通过",而IP网段"61.141.238.0/24"策略为"拦截",则表示61.141.238.0/24的网段中只有61.141.238.1能通过,其它IP都被拦截。
提示:本模块过滤的IP地址是指外部IP地址,而内部IP地址。要过滤内部IP请在主程序中为该IP所属的组设定过滤策略即可。

5.8. DNS过滤

  DNS过滤模块可以过滤内部电脑向互联网发出的域名查询请求(DNS协议)。配置对话框如下所示:

操作说明:

  1. 在[监控分组]里选择要设置DNS过滤的电脑组。
  2. 在输入框中输入内容,在[策略]中选择相应的策略,单击<增加>按钮增加或保存输入框中的内容。
  3. 在指定域名列表框中选择要更改的项目,单击<向上>或<向下>箭头按钮可移动该项目的先后顺序。
  4. 在指定域名列表框中选择要更改的项目,单击鼠标右键,单击[删除]菜单可删除当前选择的项目。
  5. [指定域名]:在[域名]输入框中输入域名,在[策略]中选择处理策略,然后单击<增加>按钮即可。当用户访问的域名与列表中的条目相匹配时执行对应策略,域名过滤支持通配符
  6. [分类目录]:在[分类]列表框中选择相应分类条目,在[策略]中选择处理策略,然后单击<更新>按钮。或选择相应分类,单击右键选择处理策略。当用户访问的域名与列表中的域名分类目录库地址相匹配时执行对应策略。
  7. 单击<确定>按钮保存当前设置,单击<取消>按钮取消当前设置。

补充说明:

  1. [指定域名]过滤按从上到下的顺序过滤,域名过滤支持通配符。例如首条(域名“www.google.com”、策略“通过”),第二条(域名“*.google.*”、策略“拦截”),表示只有“www.google.com”能通过,而其它包含“.google.”的域名都被拦截。
  2. 域名过滤顺序为先匹配[指定域名],再匹配[分类目录]。如果域名与[指定域名]中某一项目匹配则立即应用该项目策略,而不再查询[分类目录]。
提示:电脑在解析域名时,首先在本地的DNS缓存中查找,如果找不到才向外发送域名查询数据包,否则直接将缓存中的DNS解析项返回。因此对DNS域名进行过滤时有一定的滞后性,新加入的策略可能不会立即影响到被监控电脑,须等这些电脑上的DNS缓存过期后才能生效。

5.9. HTTP过滤

  HTTP过滤模块用于对超文本传送协议(HTTP)进行过滤,该模块可以根据网址、分类目录、媒体类型、网页内容、外发内容、外发文件等设定过滤条件。配置对话框如下所示:

操作说明:

  1. 在[监控分组]里选择要设置HTTP过滤的电脑组。
  2. 在输入框中输入内容,在[策略]中选择相应的策略,单击<增加>按钮增加或保存输入框中的内容。
  3. 在列表框中选择要更改的项目,单击<向上>或<向下>箭头按钮可移动该项目的过滤先后顺序。
  4. 在列表框中选择要更改的项目,单击[删除]菜单可删除当前选择的项目。
  5. [指定网址]:在[网址]输入框中输入内容,该地址不包含“http://”前缀。在[策略]中选择相应的策略,单击<增加>按钮增加或保存输入框中的内容。当用户访问的网页地址与列表中的条目相匹配时执行对应策略,网址过滤支持通配符
  6. [分类目录]:在[分类]列表框中选择相应分类条目,在[策略]中选择处理策略,然后单击<更新>按钮。或选择相应分类,单击右键选择处理策略。当用户访问的网页地址与列表中的网址分类目录库地址相匹配时执行对应策略。
  7. [媒体类型]:在[类型]输入框中输入内容,在[策略]中选择相应的策略,单击<增加>按钮增加或保存输入框中的内容。当用户访问的网络资源的mime类型与列表中的条目相匹配时执行对应策略,媒体类型过滤支持通配符
  8. [网页内容]:在[关键字]输入框中输入内容,在[策略]中选择相应的策略,单击<增加>按钮增加或保存输入框中的内容。当用户访问的网页内容包含有列表中的条目时执行对应策略。
  9. [外发内容]:在[关键字]输入框中输入内容,在[策略]中选择相应的策略,单击<增加>按钮增加或保存输入框中的内容。当用户通过浏览器外发的内容包含有列表中的条目时执行对应策略。
  10. [外发文件]:在[文件名]输入框中输入内容,在[策略]中选择相应的策略,单击<增加>按钮增加或保存输入框中的内容。当用户通过浏览器外发的文件名与列表中的条目相匹配时执行对应策略,外发文件过滤支持通配符
  11. [禁止HTTP隧道代理]:选中时禁止用户使用代理服务器或非HTTP协议的客户端软件通过HTTP端口访问互联网。
  12. [禁止以IP访问主机]:选中时禁止用户以IP形式(如:http://64.233.189.22)直接访问服务器,而必须以域名形式访问(如:http://www.google.com)。
  13. [限制外发内容大小]:选中该选项,在同一行输入要限制的内容大小数值(千字节)。启用限制后,如果用户通过浏览器向外发送的内容超过设定的大小,该行为将被拦截。
  14. [限制下载内容大小]:选中该选项,在同一行输入要限制的内容大小数值(千字节)。启用限制后,如果用户通过浏览器访问的网页或下载的文件超过设定的大小,该行为将被拦截。
  15. 单击<确定>按钮保存当前设置,单击<取消>按钮取消当前设置。

补充说明:

  1. [指定网址]过滤按从上到下的顺序过滤,网址过滤支持通配符。例如首条(网址“admin.*”、策略“通过”),第二条(网址“ad*”、策略“拦截”),表示以“admin.”开始的网址能通过,而其它以“ad”开始的网址都被拦截。
  2. 网址过滤顺序为先匹配[指定域名],再匹配[分类目录]。如果网页地址与[指定网址]中某一项目匹配则立即应用该项目策略,而不再查询[分类目录]。
  3. [媒体类型]过滤按从上到下的顺序过滤,媒体类型(mime)过滤支持通配符。例如首条(类型“application/octet-stream”、策略“通过”),第二条(类型“application/*”、策略“拦截”),表示mime类型为application/octet-stream的网络资源能通过,而其它mime类型为“application/*”的网络资源都被拦截。
  4. [网页内容]过滤按从上到下的顺序过滤。例如首条(关键词“医学”、策略“通过”),第二条(关键词“性爱”、策略“拦截”),表示网页内容中包含“医学”的网页能通过,而其它网页内容中包含“性爱”的网页都被拦截。
  5. [外发内容]过滤按从上到下的顺序过滤。例如首条(关键词“合同”、策略“拦截”),第二条(关键词“@”、策略“通过并保存”),表示外发内容中包含“合同”被拦截,而其它外发内容中包含“@”都允许通过并保存外发内容副本到硬盘。
  6. [外发文件]过滤按从上到下的顺序过滤,外发文件过滤支持通配符。例如首条(文件名“*.doc”、策略“拦截”),第二条(文件名“*”、策略“通过并记录”),表示外发文件后缀名为“.doc”的被拦截,而其它外发文件都允许通过并记录相关事件。
  7. 外发内容过滤仅对“HTTP-POST”协议有效,对“HTTP-GET”协议外发的内容请用网址过滤。
  8. 对网页内容和外发内容过滤时,软件能自动识别ANSI和UTF8文本格式。
  9. 在一次HTTP请求响应过程中包含了多次过滤,只要有一次过滤策略结果为“拦截”或“拦截并记录”,则本次连接将立即被结束。
提示:由于HTTP是互联网上最常用的协议,许多软件为了突破防火墙都采用HTTP隧道技术与外部联系。要禁止这些软件使用HTTP的80端口,只需启用[禁止HTTP隧道代理]即可。

5.10. HTTPS过滤

  HTTPS过滤模块用于对加密超文本传送协议(HTTPS)进行过滤,该模块可以根据IP地址、IP网段、数字证书、加密协议版本等设定过滤条件。配置对话框如下所示:

操作说明:

  1. 在[监控分组]里选择要设置HTTPS过滤的电脑组。
  2. 在输入框中输入内容,在[策略]中选择相应的策略,单击<增加>按钮增加或保存输入框中的内容。
  3. 在列表框中选择要更改的项目,单击<向上>或<向下>箭头按钮可移动该项目的过滤先后顺序。
  4. 在列表框中选择要更改的项目,单击[删除]菜单可删除当前选择的项目。
  5. [IP地址]过滤:选择[IP地址],输入IP地址,选择策略,单击<增加>按钮。当用户访问的HTTPS服务器IP地址与列表中的条目相匹配时执行对应策略。
  6. [IP网段]过滤:选择[IP网段],输入网络号及掩码长度,选择策略,单击<增加>按钮。当用户访问的HTTPS服务器IP网段与列表中的条目相匹配时执行对应策略。
  7. [证书]过滤:过滤允许访问的HTTPS服务器数字证书。在[证书]输入框中输入内容,在[策略]中选择相应的策略,单击<增加>按钮增加或保存输入框中的内容。当用户访问的HTTPS服务器数字证书与列表中的条目相匹配时执行对应策略,证书过滤支持通配符
  8. [禁止HTTPS隧道代理]:选中时禁止用户使用非标准SSL加密协议的客户端软件通过HTTPS端口访问互联网。
  9. [禁止访问无证书服务端]:选中时禁止用户访问采用SSL加密但无数字证书的非标准HTTPS服务器。
  10. [禁止访问无可信任证书服务端]:选中时禁止用户访问访问采用SSL加密但无可信任数字证书的HTTPS服务器。
  11. [禁止使用SSL 2.0]:选中时禁止用户使用SSL 2.0加密协议访问HTTPS服务器。
  12. [禁止使用SSL 3.0]:选中时禁止用户使用SSL 3.0加密协议访问HTTPS服务器。
  13. [禁止使用TLS 1.0]:选中时禁止用户使用TLS 1.0加密协议访问HTTPS服务器。

补充说明:

  1. [IP网段]:采用CIDR网络前缀表示法(RFC 1878)。如网络号210.31.233.0,子网掩码255.255.255.0可表示成210.31.233.0/24;网络号166.133.0.0,子网掩码255.255.0.0可表示成166.133.0.0/16;网络号192.168.0.0,子网掩码255.255.255.240可表示成192.168.0.0/28等。
  2. 过滤顺序按IP、网段范围从小到大进行过滤。例如IP为"61.141.238.1"策略为"通过",而IP网段"61.141.238.0/24"策略为"拦截",则表示61.141.238.0/24的网段中只有61.141.238.1能通过,其它IP都被拦截。
  3. [证书]过滤按从上到下的顺序过滤,证书过滤支持通配符。例如首条(证书“*.icbc.com.cn”、策略“通过”),第二条(证书“*.cn”、策略“拦截”),表示服务端数字证书中以“.icbc.com.cn”结尾的允许通过,而其它以“.cn”结尾的数字证书都被拦截。
  4. 当启用[禁止访问无可信任证书服务端],过滤模块会用本地的CA证书和ROOT证书对服务端提供的数字证书进行签名验证。如果服务端提供的数字证书在本地找到了有效的颁发者则允许通过,如果未找到有效的颁发者则拦截。
提示:由于HTTPS是互联网上常用的协议,许多软件为了突破防火墙都采用HTTPS隧道技术与外部联系。要禁止这些软件使用HTTPS的443端口,只需启用[禁止HTTPS隧道代理]和[禁止访问无证书服务端]即可。

5.11. SMTP过滤

  SMTP过滤模块可对通过SMTP协议发送的邮件进行过滤,该模块可以根据外发邮件的发送地址、接收地址、邮件标题、邮件内容、邮件附件和邮件大小等设定过滤条件。配置对话框如下所示:

操作说明:

  1. 在[监控分组]里选择要设置SMTP过滤的电脑组。
  2. 单击<增加>按钮增加或保存输入框中的内容。
  3. 在列表框中选择要更改的项目,单击<向上>或<向下>箭头按钮可移动该项目的过滤先后顺序。
  4. 在列表框中选择要更改的项目,单击鼠标右键,单击[删除]菜单可删除当前选择的项目。
  5. [发送地址]:在[发送地址]输入框中输入内容,在[策略]中选择处理策略,然后单击<增加>按钮即可。当外发邮件的发送地址与列表中的条目相匹配时执行对应策略,发送地址过滤支持通配符
  6. [接收地址]:在[接收地址]输入框中输入内容,在[策略]中选择处理策略,然后单击<增加>按钮即可。当外发邮件的接收地址与列表中的条目相匹配时执行对应策略,接收地址过滤支持通配符
  7. [邮件标题]:在[邮件标题]输入框中输入内容,在[策略]中选择处理策略,然后单击<增加>按钮即可。当外发邮件的邮件标题与列表中的条目相匹配时执行对应策略,邮件标题过滤支持通配符
  8. [邮件内容]:在[关键字]输入框中输入内容,在[策略]中选择处理策略,然后单击<增加>按钮即可。当外发邮件的邮件内容包含有列表中的条目时执行对应策略。
  9. [邮件附件]:在[文件名]输入框中输入内容,在[策略]中选择处理策略,然后单击<增加>按钮即可。当外发邮件的邮件附件与列表中的条目相匹配时执行对应策略,邮件附件过滤支持通配符
  10. [限制外发邮件大小]:选中该选项,在同一行输入要限制的内容大小数值(千字节)。启用限制后,如果用户外发的邮件大小超过设定的大小,该行为将被拦截。
  11. 单击<确定>按钮保存当前设置,单击<取消>按钮取消当前设置。

补充说明:

  1. SMTP过滤模块仅对通过SMTP协议发送的邮件有效,要过滤WEB发送的邮件请用[HTTP过滤]模块。
  2. [发送地址]过滤按从上到下的顺序过滤,发送地址过滤支持通配符
  3. [接收地址]过滤按从上到下的顺序过滤,接收地址过滤支持通配符
  4. [邮件标题]过滤按从上到下的顺序过滤,邮件标题过滤支持通配符
  5. [邮件内容]过滤按从上到下的顺序过滤。
  6. [邮件附件]过滤按从上到下的顺序过滤,邮件附件过滤支持通配符
  7. 在一次SMTP邮件发送过程中包含了多次过滤,只要有一次过滤策略结果为“拦截”或“拦截并记录”,则本次连接将立即被结束。

5.12. POP3过滤

  POP3过滤模块可对通过POP3协议接收的邮件进行过滤,该模块可以根据接收邮件的发送地址、接收地址、邮件标题、邮件内容、邮件附件和邮件大小等设定过滤条件。配置对话框如下所示:

操作说明:

  1. 在[监控分组]里选择要设置POP3过滤的电脑组。
  2. 单击<增加>按钮增加或保存输入框中的内容。
  3. 在列表框中选择要更改的项目,单击<向上>或<向下>箭头按钮可移动该项目的过滤先后顺序。
  4. 在列表框中选择要更改的项目,单击鼠标右键,单击[删除]菜单可删除当前选择的项目。
  5. [发送地址]:在[发送地址]输入框中输入内容,在[策略]中选择处理策略,然后单击<增加>按钮即可。当接收邮件的发送地址与列表中的条目相匹配时执行对应策略,发送地址过滤支持通配符
  6. [接收地址]:在[接收地址]输入框中输入内容,在[策略]中选择处理策略,然后单击<增加>按钮即可。当接收邮件的接收地址与列表中的条目相匹配时执行对应策略,接收地址过滤支持通配符
  7. [邮件标题]:在[邮件标题]输入框中输入内容,在[策略]中选择处理策略,然后单击<增加>按钮即可。当接收邮件的邮件标题与列表中的条目相匹配时执行对应策略,邮件标题过滤支持通配符
  8. [邮件内容]:在[关键字]输入框中输入内容,在[策略]中选择处理策略,然后单击<增加>按钮即可。当接收邮件的邮件内容包含有列表中的条目时执行对应策略。
  9. [邮件附件]:在[文件名]输入框中输入内容,在[策略]中选择处理策略,然后单击<增加>按钮即可。当接收邮件的邮件附件与列表中的条目相匹配时执行对应策略,邮件附件过滤支持通配符
  10. [限制接收邮件大小]:选中该选项,在同一行输入要限制的内容大小数值(千字节)。启用限制后,如果用户接收的邮件大小超过设定的大小,该行为将被拦截。
  11. 单击<确定>按钮保存当前设置,单击<取消>按钮取消当前设置。

补充说明:

  1. POP3过滤模块仅对通过POP3协议接收的邮件有效,要过滤WEB接收的邮件请用[HTTP过滤]模块。
  2. [发送地址]过滤按从上到下的顺序过滤,发送地址过滤支持通配符
  3. [接收地址]过滤按从上到下的顺序过滤,接收地址过滤支持通配符
  4. [邮件标题]过滤按从上到下的顺序过滤,邮件标题过滤支持通配符
  5. [邮件内容]过滤按从上到下的顺序过滤。
  6. [邮件附件]过滤按从上到下的顺序过滤,邮件附件过滤支持通配符
  7. 在一次POP3邮件接收过程中包含了多次过滤,只要有一次过滤策略结果为“拦截”或“拦截并记录”,则本次连接将立即被结束。
注意:POP3过滤模块不会主动删除被拦截的邮件。而邮件客户端软件通常按队列顺序接收邮件,这可能导致该账户后续的邮件无法接收,除非用户手动删除POP3服务器上被拦截的邮件。

5.13. FTP过滤

  FTP过滤模块用于对文件传输协议(FTP)传输的文件进行过滤,该模块可根据上传、下载的文件名以及文件大小设定过滤条件。配置对话框如下所示:

操作说明:

  1. 在[监控分组]里选择要设置FTP过滤的电脑组。
  2. 单击<增加>按钮增加或保存输入框中的内容。
  3. 在列表框中选择要更改的项目,单击<向上>或<向下>箭头按钮可移动该项目的过滤先后顺序。
  4. 在列表框中选择要更改的项目,单击鼠标右键,单击[删除]菜单可删除当前选择的项目。
  5. [上传文件]:在[文件名]输入框中输入内容,在[策略]中选择处理策略,然后单击<增加>按钮即可。当上传的文件名与列表中的条目相匹配时执行对应策略,上传文件过滤支持通配符
  6. [下载文件]:在[文件名]输入框中输入内容,在[策略]中选择处理策略,然后单击<增加>按钮即可。当下载的文件名与列表中的条目相匹配时执行对应策略,下载文件过滤支持通配符
  7. [限制上传文件大小]:选中该选项,在同一行输入要限制的内容大小数值(千字节)。启用限制后,如果用户上传的文件大小超过设定的大小,该行为将被拦截。
  8. [限制下载文件大小]:选中该选项,在同一行输入要限制的内容大小数值(千字节)。启用限制后,如果用户下载的文件大小超过设定的大小,该行为将被拦截。
  9. 单击<确定>按钮保存当前设置,单击<取消>按钮取消当前设置。

补充说明:

  1. [上传文件]过滤按从上到下的顺序过滤,上传文件过滤支持通配符。例如首条(文件名“*.doc”、策略“拦截”),第二条(文件名“*”、策略“通过并记录”),表示上传文件后缀名为“.doc”的被拦截,而其它上传文件都允许通过并记录相关事件。
  2. [下载文件]过滤按从上到下的顺序过滤,下载文件过滤支持通配符。例如首条(文件名“*.exe”、策略“拦截”),第二条(文件名“*”、策略“通过并记录”),表示下载文件后缀名为“.exe”的被拦截,而其它下载文件都允许通过并记录相关事件。
  3. FTP支持断点续传,当断点续传的文件应用“通过并保存”策略时,用户可能需要手工合并保存到硬盘上的各文件块。该功能不影响被监控客户端的操作。
  4. FTP过滤模块同时支持PORT和PASV模式。

5.14. P2P过滤

  P2P过滤模块可检测并过滤包括迅雷、BitTorrent、电驴、Gnutella等在内的绝大多数P2P软件。配置对话框如下所示:

操作说明:

  1. 在[监控分组]里选择要设置P2p过滤的电脑组。
  2. 在[检测到使用P2P软件的电脑应用策略]中选择处理策略。
  3. 单击<确定>按钮保存当前设置,单击<取消>按钮取消当前设置。

补充说明:

  1. P2P过滤模块通过检测内部IP与外部IP的高端口连接数实现过滤功能,如果高端口连接数超过限定值则认为是P2P连接。
  2. 某些P2P软件可以通过代理或HTTP/HTTPS隧道的方式登录。要彻底拦截P2P软件,建议与其它过滤模块配合使用。在[HTTP过滤]模块中启用[禁止HTTP隧道代理];在[HTTPS过滤]模块中启用[禁止HTTPS隧道代理]和[禁止访问无证书服务端]。

5.15. 即时聊天过滤

  即时聊天过滤模块用于过滤QQ、MSN、ICQ、网易泡泡、雅虎通、新浪UC、阿里旺旺、IRC、Jabber等即时通讯工具。配置对话框如下所示:

操作说明:

  1. 在[监控分组]里选择要设置即时聊天过滤的电脑组。
  2. 在[聊天工具]列表框中选择相应聊天工具条目,在[策略]中选择处理策略,然后单击<更新>按钮。或选择相应聊天工具,单击右键选择处理策略。当用户使用聊天工具与列表聊天工具条目相匹配时执行对应策略。
  3. 单击<确定>按钮保存当前设置,单击<取消>按钮取消当前设置。

补充说明:

  1. 即时聊天过滤模块通过过滤一些常用即时通讯工具的端口、域名、IP列表实现过滤功能。
  2. 某些即时通讯软件可以通过代理或HTTP/HTTPS隧道的方式登录。要彻底拦截即时通讯软件,建议与其它过滤模块配合使用。首先在[端口过滤]模块中关闭不必要的端口;同时在[HTTP过滤]模块中启用[禁止HTTP隧道代理];在[HTTPS过滤]模块中启用[禁止HTTPS隧道代理]和[禁止访问无证书服务端]。
  3. 即时通讯软件仍在不断的发展中,要保证过滤功能有效,建议定时执行在线升级功能。

5.16. 代理转发

  代理转发模块支持DNS、HTTP、SMTP、POP3、FTP、IMAP、NNTP协议。使用该模块可以与普通的代理服务器配合实现透明代理服务,而无需在客户端作任何代理设置。代理转发模块自动将普通应用协议转换成应用代理协议并转发给指定的代理服务器,以实现如:网关杀毒、垃圾邮件处理等更高级的功能。设置对话框如下所示:

操作说明:

  1. 在[监控分组]里选择要设置代理转发的电脑组。
  2. 在[IP地址]、[端口]中填写要转发的代理服务器IP地址和端口。
  3. 在[转发模式]中选择要启用的转发模式。DNS协议只有端口转发模式,无需选择。
  4. 在[分隔符]中选择“账号-服务器”分隔符。DNS协议和HTTP协议无需选择。
  5. 如要将该组某种协议转发给代理服务器,则需要在此协议选项卡中勾选[转发到]选项。
  6. 单击<确定>按钮保存当前设置,单击<取消>按钮取消当前设置。

补充说明:

  1. [IP地址]不能采用127.0.0.1,而必须填写对内网其它电脑可以识别的有效IP地址。
  2. 每种协议的[IP地址]、[端口]、[转发模式]、[分隔符]都是为所有组共享的全局参数。这意味着:如果您如果修改了某一组的[IP地址]、[端口]、[转发模式]、[分隔符],其它各组也同样受影响。
  3. 局域网内部用户访问代理服务器,必须要通过Active Wall所在的网关,否则代理转发模块将无法正常工作。
  4. 转发模式必须根据代理服务器的配置来设定。对普通代理服务器通常采用应用代理模式。端口转发模式应用在特殊配置下,例如http端口转发可应用于SQUID透明代理模式。
  5. 分隔符必须根据代理服务器的配置来设定。以POP3协议为例:原账号为user、pop3服务器为pop.server.com。如果代理服务器要求客户端更改账号为user#pop.server.com,则分隔符为#。
  6. 启用代理转发模块后,客户端无需再设置代理。该模块能自动将客户端的数据转发给代理服务器实现代理上网。

5.17. 日志文件输出

  日志文件输出模块将各过滤模块根据策略生成的事件记录以文件形式输出到硬盘。配置对话框如下所示:

操作说明:

  1. 在[事件记录缓存大小]中填写缓存记录条数。
  2. 单击<浏览>按钮选择日志文件保存路径。
  3. 单击<确定>按钮保存当前设置,单击<取消>按钮取消当前设置。

补充说明:

  1. [事件记录缓存大小]:该数值表示缓存在内存中的事件记录的最大条数,默认为100条。数值太大会占用较多的内存,数值太小会有较多的硬盘IO操作而影响性能。
  2. [日志文件保存路径]:表示日志文件保存的绝对路径,日志文件输出模块将每天生成一个日志文件存放在该目录下。

5.18. 日志数据库输出

  日志数据库输出模块将各过滤模块根据策略生成的事件记录输出到指定的数据库。配置对话框如下所示:

操作说明:

  1. 在[事件记录缓存大小]中填写缓存记录条数。
  2. 单击<浏览>按钮选择数据库连接配置文件(*.udl)。
  3. 单击<测试>按钮可以测试配置文件所指定的数据库链接是否可用。
  4. 单击<配置>按钮可以更改UDL文件中保存的数据库连接信息。
  5. 单击<确定>按钮保存当前设置,单击<取消>按钮取消当前设置。

补充说明:

  1. [事件记录缓存大小]:该数值表示缓存在内存中的事件记录的最大条数,默认为100条。数值太大会占用较多的内存,数值太小会有较多的硬盘IO操作而影响性能。
  2. [数据库配置文件]:保存数据库连接信息的udl文件。UDL是通用数据连接文件,通过该文件可以保存数据库连接字符串。
  3. 安装程序自带Access类型的数据库。用户可以直接输出到Access的数据库中,也可另外创建数据库,再更改数据库连接输出到自己的数据库中。
  4. 创建数据库时请参照以下语句,建立表结构:
    CREATE TABLE [EventLog] (
    [ID] [int] IDENTITY (1, 1) PRIMARY KEY ,
    [EventTime] [datetime] NOT NULL ,
    [LanIP] [nvarchar] (15) NOT NULL ,
    [WanIP] [nvarchar] (15) NOT NULL ,
    [PlugIn] [nvarchar] (20) NOT NULL ,
    [Act] [int] NOT NULL ,
    [Msg] [nvarchar] (255) NOT NULL ,
    [Res] [ntext] NULL
    )

5.19. 告警邮件通知

  告警邮件通知模块以电子邮件的方式有选择的将紧急信息发送到指定的邮箱。配置对话框如下所示:

操作说明:

  1. 单击<增加>按钮增加或保存输入框中的内容。
  2. 在列表框中选择要更改的项目,单击鼠标右键,单击[删除]菜单可删除当前选择的项目。
  3. [告警规则]:在[关键词]输入框中输入内容,然后单击<增加>按钮即可。当事件记录内容包含列表中启用的关键词内容时将发送告警邮件到指定邮箱。
  4. 在[服务设置]中填写发送邮件时必需的收发邮箱、SMTP服务器等配置信息。
  5. 单击<测试>测试当前的服务设置是否正确,如果正确可以在接收邮箱中收到测试邮件。
  6. 单击<确定>按钮保存当前设置,单击<取消>按钮取消当前设置。

补充说明:

  1. [接收邮箱]:接收告警邮件的邮箱地址。
  2. [发送邮箱]:发送邮件的邮箱地址。
  3. [SMTP服务器]:发送邮件的SMTP服务器地址。
  4. [SMTP服务器需要身份认证]:有些SMTP服务器需要验证用户身份才允许发送邮件,如果SMTP邮件服务器需要身份验证,请勾选该项目,并填写[账号]、[密码]。
  5. [账号]:SMTP验证账号。如果SMTP邮件服务器需要身份验证,请填写[账号]。
  6. [密码]:SMTP验证账号。如果SMTP邮件服务器需要身份验证,请填写[密码]。

5.20. 告警消息通知

  告警邮件通知模块以Windows信使消息的方式有选择的将紧急信息发送到指定的电脑桌面。配置对话框如下所示:

操作说明:

  1. 单击<增加>按钮增加或保存输入框中的内容。
  2. 在列表框中选择要更改的项目,单击鼠标右键,单击[删除]菜单可删除当前选择的项目。
  3. [告警规则]:在[关键词]输入框中输入内容,然后单击<增加>按钮即可。当事件记录内容包含列表中启用的关键词内容时将发送告警消息到指定电脑。
  4. 在[目标机器]中填写接收信使消息的电脑,通常为管理员电脑。
  5. 单击<测试>可以测试信使消息是否能够发送到目标机器。
  6. 单击<确定>按钮保存当前设置,单击<取消>按钮取消当前设置。
提示:Windows信使服务默认是关闭的。要使用信使告警功能,发送电脑和接收电脑都必须开启Windows信使服务。

Active Network CO., LTD