北零社区 » 『 正版杀毒软件 』 » =Agnitum Outpost Network Security企业网络安全防火墙=
2008-1-21 21:32
xzqipeng
=Agnitum Outpost Network Security企业网络安全防火墙=
[font=新宋体][img]http://www.version-2.com/outpost_network_security/outpost_network_security.jpg[/img]
[/font][font=新宋体][size=2]Outpost Network Security适合大中小型企业,能保护企业的网络、工作站,以免受到内外威胁。Outpost Network Security配合获奖无数的防火墙及强大的反间谍软体,能为你公司的数据提供简单易用、价钱合理、可靠的保护。另外,其中央管理及自动运作表面配置更令保护运作得更快捷。
Outpost Network Security功能包括广告和图片过滤、内容过滤、电子邮件附件过滤等,能够预防来自Internet的网络攻击、浏览器攻击、後门程式、窃密软体、广告软体和其他的网络威胁。Outpost Firewall的内容感应提示,在输入资料时更能获得理想的保护效果。现在让我们先看看它的主要优点。
[color=#00008b](一) 用户端反间谍软体功能--主动防御零天攻击(Zero-day)[/color]
Outpost Network Security以其多方面的防御措施确保没有间谍软体能进入网络。监控器避免间谍软体於工作站上活动、自动移除一切间谍软体痕迹,保障工作站操作上的运作。
扫瞄器根据用户自订的日程进行快捷及全面的间谍软体检查,以保工作站没有间谍软体入侵。
[color=#00008b](二) 可管理的防火墙 --防火墙强力粉碎多种威胁[/color]
配合其坚固的侵入侦测系统,数据、应用层面过滤,密码保护工具及独特的乙太网络数据保安,Outpost Network Security 是遏制一切与互联网有关的侵袭及入侵最重要的装备。先进的连接规则及自订的设定更为系统提供最灵活的保障。
[color=#00008b](三) 防止资讯盗窃--确保机密资讯不会从工作站泄露出去[/color]
有如银行户口号码、保险条款资料,Outpost Network Security独特的资料保护功能让用户自订字符串以及为资料加密,确保资料不会外传。
[color=#00008b](四) 轻松管理--中央管理及部署减低IT 工作量[/color]
Outpost Network Security能保护所有或已选的工作站、中央过滤及检阅事件日志。组别管理让行政人员弹性地分配不同组别的用户设定,该类设定可於任何时候作出改动、而且无需重新启动工作站。
[color=#00008b](五) 简单、快捷的升级--中央管理及自动运作的更新系统[/color]
Agnitum Update Service让使用者只需下载单一用户网络更新软件包,即可安心在各个工作站,大大减少频宽、管理人的时间。每天更新的间谍软体特徵让终端机保持最新的保护。
Security and Privacy
- Always up-to-date, automated spyware protection prevents infection and keeps machines running smoothly
- Targeted data protection prevents confidential corporate information from leaving the network
- Data traffic monitoring and unauthorized connection blocking right out of the box
- 'Cloak' systems so hackers cannot ‘see’ and exploit them.
- Attack Detection module prevents known and unknown attacks
- Unique Ethernet defense prevents internal network tampering and blocks attempts to disrupt wired or wireless network communication
- Administrator-assigned application rules control workstation Internet access policies
- Embedded code defense mechanisms protect workstations from application injection and spoofing
- Blocks installation and activation of malicious self-starting code within the browser.
- Stops suspect email attachments from activating, preventing network-wide virus and worm propagation.
- Customizable content filter blocks inappropriate site content
Control and Manageability
- Centralized deployment, management and updating provide trouble-free, automated protection and low IT overheads.
- Support for user groups enables different configurations and access policies to be deployed to different users depending on their degree of vulnerability
- Automated spyware and firewall protection keeps client machines functioning smoothly and keeps users productive.
- Firewall presets for commonly-used applications and network-specific communications ease the initial access configuration definitions
[img]http://www.version-2.com/outpost_network_security/op_ne2.gif[/img]
Outpost Network Security
Outpost Network Security PowerPoint Presentation (PPS) [[url=http://www.version-2.com/outpost_network_security/download/Outpost%20Network%20Security%20PPT%20TC.ppt][color=#2f5fa1]官方繁体中文[/color][/url] / [url=http://www.version-2.com/outpost_network_security/download/Outpost%20Network%20Security%20PPT%20SC.ppt][color=#2f5fa1]官方簡体中文[/color][/url] / [url=http://www.version-2.com/outpost_network_security/download/OutpostNetworkSecurity.pps][color=#2f5fa1]英[/color][/url]] - Outpost Office Firewall presentation describing its features and benefits.
Outpost Network Security PowerPoint Presentation (PPS):
[/size][/font][url=http://www.agnitum.com/download/networksecurity/Outpost_Network_Security.pps][size=2][font=新宋体][url=http://www.agnitum.com/download/networksecurity/Outpost_Network_Security.pps][color=#2f5fa1]http://www.agnitum.com/download/networksecurity/Outpost_Network_Security.pps[/color][/font][/url][/size][font=新宋体][/url]
[/font][font=新宋体][size=2]Outpost Network Security Data Sheet (PDF):
[/size][/font][url=http://www.agnitum.com/download/OutpostNetworkSecurityDatasheetEn.pdf][size=2][font=新宋体][url=http://www.agnitum.com/download/OutpostNetworkSecurityDatasheetEn.pdf][color=#2f5fa1]http://www.agnitum.com/download/OutpostNetworkSecurityDatasheetEn.pdf[/color][/font][/url][/size][font=新宋体][/url]
[/font][font=新宋体][size=2]Outpost Network Security Administrator's Guide (PDF):
[/size][/font][url=http://www.agnitum.com/download/networksecurity/Administrator%20Guide.pdf][size=2][font=新宋体][url=http://www.agnitum.com/download/networksecurity/Administrator%20Guide.pdf][color=#2f5fa1]http://www.agnitum.com/download/networksecurity/Administrator%20Guide.pdf[/color][/font][/url][/size][font=新宋体][/url]
[/font][font=新宋体][size=2]Outpost Network Security Technical Reference (PDF):
[/size][/font][url=http://www.agnitum.com/download/networksecurity/Technical%20Reference.pdf][size=2][font=新宋体][url=http://www.agnitum.com/download/networksecurity/Technical%20Reference.pdf][color=#2f5fa1]http://www.agnitum.com/download/networksecurity/Technical%20Reference.pdf[/color][/font][/url][/size][font=新宋体][/url]
[/font][size=2][font=新宋体][color=#2f5fa1][img]http://www.version-2.com/outpost_network_security/op_ne1.gif[/img]
[/color][/font][/size][size=3][url=http://www.agnitum.com/download/onsdl/2bb1bbc6f490e2a0afae280f06169ffb/aons.exe][color=#ff0000][font=新宋体][color=#2f5fa1]官方英文版程序下载[/color][/font][/url]
[url=http://www.version-2.com/outpost_network_security/download/aons_ch_hk_en.exe][font=新宋体][color=#2f5fa1]官方中文版(简、繁、英)程序下载[/color][/font][/url][/color][/size]
[size=3][color=#ff0000][/color][/size]
[size=3][color=#ff0000][/color][/size]
[img]http://www.version-2.com/outpost_network_security/op_ne1.gif[/img]
[img]http://www.version-2.com/outpost_network_security/op_ne2.gif[/img]
[b]Outpost Network Security 企業級網絡安全專家[/b]
[b]一站式管理.安裝與更新一 Click 輕鬆發佈[/b]
互聯網處處危機四伏,無論是中小企業還是跨國集團,身為系統管理員不得不花盡心機確保工作站安全。然而,確保伺服器安全無誤並不困難,但要讓千百台接連的客戶端電腦也同樣不受外來入侵,包括各種後門程式、木馬、安全漏洞等,實在是大傷腦筋!當然,系統管理員不可能單靠用戶自我保護,同時卻也騰不出人手為所有電腦進行防火牆安裝與設定。為簡化這些繁鎖的工序,Outpost Network Security 就完全做到中央集中管理,所有安裝、設定、更新與發佈工作都可以從伺服器端一口氣搞定!
[b]
[color=#0000ff]A. 安裝 Agnitum Command Center 管理中心[/color][/b]
面對中小企業可能需要同時管理過 100 台客戶端的網絡安全情況,Outpost Network Security 特別提供了專為集中式管理而設的 Agnitum Command Center 程式。只要把它安裝到伺服器上並透過 GPO 功能,就能簡單地對網域所有客戶端或指定群組進行 Outpost Network Security Client 的遙控安裝、規則設置、及軟體升級等,既靈活又快速!
Step 1
[img]http://www.version-2.com/outpost_network_security/img/install/a01.jpg[/img]
首先,系統管理員可先到 [url=http://www.version-2.com/][color=#2f5fa1]www.version-2.com[/color][/url] 的 Outpost Network Security 產品資料頁,下載 30 天全功能試用版安裝檔案,體積約為 31MB。
Step 2
[img]http://www.version-2.com/outpost_network_security/img/install/SNAP001.jpg[/img]
[img]http://www.version-2.com/outpost_network_security/img/install/SNAP003.jpg[/img]
下載後在伺服器端執行安裝檔,選擇所需介面語言,便可以進行 Agnitum Command Center 程式的安裝工作。
[b]伺服器端的作業系統要求[/b]
Agnitum Command Center 並無限制必須安裝到伺服器或 Domain Controller 上,只要是 Windows 2000 或以上版本的作業系統即可。但鑑於該程式耗用系統資源不多,並為可更方便運用 Active Directory 等功能,安裝到 Domain Controller 則更為方便,本例中則安裝到兼具 Domain Controller 與 DNS Server 的 Windows Server 2003 伺服器上。
Step 3
[img]http://www.version-2.com/outpost_network_security/img/install/SNAP004.jpg[/img]
[img]http://www.version-2.com/outpost_network_security/img/install/SNAP005.jpg[/img]
先選擇同意協議、輸入使用者名稱與公司名稱後,請按下一步繼續。
Step 4
[img]http://www.version-2.com/outpost_network_security/img/install/SNAP006.jpg[/img]
[img]http://www.version-2.com/outpost_network_security/img/install/SNAP008.jpg[/img]
選擇安裝路徑後,便會進行程式檔案複製程序,稍等一會即可完成安裝動作。
Step 5
[img]http://www.version-2.com/outpost_network_security/img/install/SNAP009.jpg[/img]
這裡必須輸入正確的本機 IP 位置,與適用的 Agnitum 發行服務埠與更新服務埠。
[b]必須使用固定 IP 地址[/b]
由於稍後安裝了 Outpost Network Security Client 的客戶端電腦 ,需要定時與安裝了 Agnitum Command Center 的伺服器端進行通訊與發送軟體更新等資料,故此伺服器端必須使用固定 IP 地址,同時亦要確保 2 個連接埠不被封鎖與佔用。
[img]http://www.version-2.com/outpost_network_security/img/install/Snap17.jpg[/img]
使用 DHCP 分配 IP 位置的話將出現警告訊息。
Step 6
[img]http://www.version-2.com/outpost_network_security/img/install/snap010.jpg[/img]
[img]http://www.version-2.com/outpost_network_security/img/install/snap011.jpg[/img]
最後,輸入你的正版軟體序號,又或是留空白並免費試用 30 天,按「跳過」的話便可以完成整個安裝程序。
[b][color=#0000ff]B. 客戶端遙距安裝 Outpost Network Security Client[/color][/b]
在僅有數台至十數台電腦的中小企業內,系統管理員或可利用全手動方式對客戶端進行 Outpost Network Security Client 安裝;但企業規模一旦擴展至數十台、乃至數百台電腦,利用 Active Directory 與 GPO 來進行全自動安裝工序就顯得非常重要。
[b]Client 安裝檔在哪裡?[/b]
一旦 Outpost Network Security 在伺服器上安裝成功,用於客戶端上的 Client 安裝檔將會複製至 C:\Program Files\Agnitum\Outpost Network Security\Command Center\oofclnt 路徑並自動共享。另外,請注意 Client 程式不可與 Agnitum Command Center 安裝至同一台電腦上;若該電腦安裝了其他防火牆程式,請確保用於 Agnitum Publisher Service 的連接埠不被阻擋,否則將影響客戶端的 Client 程式存取資源。
Step 1
首先,請先確保各客戶端電腦上沒有安裝任何防火牆程式,如有則請先進行手動卸載。
Step 2
[img]http://www.version-2.com/outpost_network_security/img/install/snap037.jpg[/img]
在示範中,ONSTESTING.COM 網域已建立了名為 BETATESTER 的 Organization Unit,並利用當中的多位 User 進行 Client 程式的遙控安裝。先啟動 Group Policy Management Console 程式,然後點選 Group Policy Objects (GPO)。
Step 3
[img]http://www.version-2.com/outpost_network_security/img/install/snap038.jpg[/img]
[img]http://www.version-2.com/outpost_network_security/img/install/snap039.jpg[/img]
在這裡右擊選擇「New / GPO」,並鍵入新 GPO 名稱。這樣新 GPO 便會顯示於視窗內,請右擊它選擇「Edit」。
Step 4
[img]http://www.version-2.com/outpost_network_security/img/install/snap040.jpg[/img]
我們將利用 GPO 中的 Software Installation 選項進行客戶端的 Client 遙控安裝,你可以選擇經由 Computer 或 User 進行軟體發佈。在「Software Settings / Software Installation」下,右擊選擇「New / Package」功能。
Step 5
[img]http://www.version-2.com/outpost_network_security/img/install/snap041.jpg[/img]
以網絡路徑方式選取 Client 安裝檔,並選 Open 完成動作。
Step 6
[img]http://www.version-2.com/outpost_network_security/img/install/snap042.jpg[/img]
選擇所需的發佈方式,包括 Published 與 Assigned 兩種,視乎你的企業環境需要。
Step 7
[img]http://www.version-2.com/outpost_network_security/img/install/snap050.jpg[/img]
由於在客戶端安裝 Client 時,Windows Installer 需要使用更的權限,請在 Group Policy 中把「User Configuration\Administrative Templates\Windows Component\Windows Installer」當中的 Always install with elevated privileges修改成 Enabled。而「Computer Configuration\Administrative Templates\Windows Component\Windows Installer」同一選項亦是。
[size=2]Step 8
[img]http://www.version-2.com/outpost_network_security/img/install/snap044.jpg[/img]
完成建立與編輯 GPO 後,可以右擊需要連結的 Organization Unit (OU) 並選擇「Link an Existing GPO」。
Step 9
[img]http://www.version-2.com/outpost_network_security/img/install/snap045.jpg[/img]
選擇剛才建立的 GPO 物件,然後點選 OK。這樣軟體發佈的伺服器端工序便完成了。
Step 10
[img]http://www.version-2.com/outpost_network_security/img/install/e01.jpg[/img]
[img]http://www.version-2.com/outpost_network_security/img/install/e02.jpg[/img]
當屬於該 OU 的客戶端用戶與電腦再次登入網址時,便會自動經由網絡進行 Outpost Network Security Client 遙距安裝,與自動進行預設的防火牆設置。
[b][color=#0000ff]C. 單一介面集中管理客戶端 - 防止用戶擅改防火牆設定[/color][/b]
一旦客戶端安裝了 Client 程式,系統管理員便可以透過 Agnitum Command Center 進行全面的防火牆設置工作,並利用單一介面監察與管理所有防火牆數據與細節,實在非常方便。
[img]http://www.version-2.com/outpost_network_security/img/install/snap013.jpg[/img]
在 Agnitum Command Center 介面裡,其實亦包含了 Agnitum Update Service、Agnitum Publisher Service 與 Client Configuartion Editor 於其中。其中用戶可以從 Client Computers 項目下看到現時正連結存取防火牆訊息的客戶端名稱,並可透過建立不的群組,對不同的使用者進行個別的防火牆配置。
[img]http://www.version-2.com/outpost_network_security/img/install/snap046.jpg[/img]
[img]http://www.version-2.com/outpost_network_security/img/install/snap047.jpg[/img]
當然,為了讓網絡安全管理更為統一,系統管理員可透過 Agnitum Command Center 限制客戶端用戶擅自更改 Outpost Network Security Client 的防火牆設定,並將設定值的修改簡易地即時發佈至所有客戶端上。
Step 1
[img]http://www.version-2.com/outpost_network_security/img/install/snap028.jpg[/img]
先點選所需要限制的群組名稱,然後選擇「Configure Security Settings」。
step 2
[img]http://www.version-2.com/outpost_network_security/img/install/snap030.jpg[/img]
選擇供客戶端作為預設的保護模式後,再選擇「Password」頁面,選擇「Enable password protection for client firewall settings」,並輸入密碼確認。注意,若不容許用戶自行關閉 Client 程式,請勾選下方的選項「Client firewall service from being stopped」。
Step 3
[img]http://www.version-2.com/outpost_network_security/img/install/snap031.jpg[/img]
按下確認後,你需要為這次修改的新設定,鍵入適用而簡明的 Comment 作為發佈訊息。
Step 4
[img]http://www.version-2.com/outpost_network_security/img/install/snap048.jpg[/img]
完成後回到主介面,在 Agnitum Publisher Service 下的 Publication History 下會發現新設定已發佈出去,並可在 Service Log 中看到已更新設定的客戶端名稱。
Step 5
[img]http://www.version-2.com/outpost_network_security/img/install/e03.jpg[/img]
[img]http://www.version-2.com/outpost_network_security/img/install/e04.jpg[/img]
更新後,使用者若想在客戶端上手動關閉 Outpost Network Security Client,便會彈出需要密碼框,必須輸入正確密碼才能關閉。
Step 6
[img]http://www.version-2.com/outpost_network_security/img/install/e05.jpg[/img]
[img]http://www.version-2.com/outpost_network_security/img/install/e06.jpg[/img]
同樣地,若使用者想自行修改防火牆設定,也同樣需要擁有正確的密碼。
[b]中央統籌下載更新檔.更強大的網絡保安功能[/b]
Outpost Network Security 功能非常強大,但操作與管理卻輕鬆簡單,下一篇文章我們將會繼續示範如何透過 Agnitum Command Center 中央管理下載升級檔與向客戶端發佈更新,及探討如何利用 Client Configuartion Editor 製作針對性的網絡安全設定。[/size]
[b][img]http://www.version-2.com/outpost_network_security/op_ne1.gif[/img]
[img]http://www.version-2.com/outpost_network_security/op_ne2.gif[/img]
[size=3]Outpost Network Security 企業級網絡安全專家 (下)[/size]
[size=3]一站式管理.安裝與更新一 Click 輕鬆發佈[/size][/b][size=2]
在上一篇文章中,我們扼要地示範了如何在 Windows Server 2003 伺服器上部署 Outpost Network Security (ONS) 的伺服器端程式,並透過 GPO 對網域裡的客戶端進行遙距安裝工作,大大簡化了系統管理員在網絡安全維護上的工序。在本篇文章裡,我們將再深入探討伺服器端上的 ONS 各組件,包括 Agnitum Command Center、Agnitum Update Service、Agnitum Publisher Service 及 Client Configuration Editor 的使用方法,讓你毋須親自逐台客戶端設定,也能一口氣讓整個網絡上的電腦更新防火牆保安設定。
[b][color=#0000ff]A. 檢視 Agnitum Command Center 一站式管理中心[/color][/b]
只要安裝好 ONS,伺服器就能隨時啟動 Agnitum Command Center 介面,對防火牆保安工作進行設定與發布!Agnitum Command Center 是 ONS 唯一的管理介面,整合了其他 3 套重要的升級、發布與設定服務,因此系統管理員只要在此進行操作即可,簡單而集中。在 Command Center 的初始畫面裡會顯示 Getting Started 項目,包括輸入合法序號來為 30 天試用版解鎖、進行更新檔中央下載管理、及為客戶端製作防火牆保護設定檔。
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap1.jpg[/img]
[b][color=#0000ff]B. 中央管理與下載更新檔更省頻寬[/color][/b]
要讓所有客戶端都能夠迅速更新防火牆版本,以往多任由客戶端程式主動對外存取防火牆官方伺服器,檢查最新版本與下載更新檔的做法;但對於客戶端數目多達數百、甚至上千的大型企業來說,所有客戶端同時各自下載內容相同的更新檔,不但浪費了大量對外頻寬,亦霸佔了其他正常工作所需的網絡流量。因此 ONS 中採取中央統一下載更新檔的方式,並由 Agnitum Update Service 直接經由局域網主動分發,既可確保所有客戶端即時更新至最新版本,亦可大大減少網絡流量。
Step 1
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap2.jpg[/img]
首先,在首頁點擊「Configure Centralized Updates for Client Computers」,或從右方點擊 Agnitum Update Service 並從 Tasks 中選擇「Configure Centralized Updates」。在 General 頁面裡,你可以設定是否啟用更新服務,並選擇所有更新檔的儲存位置,預設為開啟服務。
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap5.jpg[/img]
更新檔預設下載於 Documents and Settings 中的指定位置,各更新檔並以 ZIP 格式壓縮收藏。
Step 2
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap3.jpg[/img]
在 Schedule 頁面裡,你可以指定特定時間連結到 Agnitum 官方伺服器檢查是否有更新檔,由於更新檔不定期推出,建議採用 Daily 方式並於網絡流量較低的時段進行。同時亦可設置重試的次數與間隔時間,確保檢查更新不會因網絡狀況不穩而中斷。
Step 3
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap4.jpg[/img]
至於 Connection 頁面,則可修改網絡連接設定,一般選擇 Detect Automaically 已足夠;若出現問題時則可依企業網絡環境選擇是否採用 Proxy Server。若使用 Proxy Server 需要帳號登入,則可在 Proxy Authorization 中輸入有關資料。
Step 4
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap7.jpg[/img]
完成所有設定後,Agnitum Update Service 便會自動依時進行更新檢查。若你想即時測試或手動進行更新,可以在 Agnitum Update Service 頁面裡的 Quick Tasks 選擇「Check for updates now」項目,當選項變成灰色時表示正在連結官方伺服器進行檢查。
Step 5
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap8.jpg[/img]
進入 Download History 頁面,可以檢視下載記錄,包括最近更新日期與版本號,另外檢查後並無任何新更新檔提供,則會顯示 Up to date 訊息。
[b]客戶端何時進行更新?[/b]
一般來說,客戶端作業系統每次啟動時均會連接 Agnitum Command Center 檢測防火牆版本是否最新,並在隔一小時均會再度連接檢查,過程均為自動進行,毋須系統管理員與使用者操心。有關記錄可於 Agnitum Publisher Service 的 Service Log 中檢視。
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap9.jpg[/img]
[/size][size=2][b][color=#0000ff]C. 為指定用戶群建立特定網絡安全規則[/color]
初試限制 BT 活動與瀏覽不明網站 [/b]
從 Agnitum Command Center 的 Client Computer 項目中,系統管理員可以輕鬆檢視到現正連接伺服器的已安裝與已上線 Client 程式的客戶端數目,並可得到阻擋惡意入侵、廣告與有害電郵的統計數字,由此可監察企業網絡是否有任何被攻擊的可能性。同時,亦可在此針對不同用戶的工作特性劃分成若干用戶組,並為他們度身訂造適合的網絡安全規則,例如限制不必要的應用程式存取網絡佔用頻寬,又或是規管存取工作以外的網站資源。
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap10.jpg[/img]
Step 1
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap11.jpg[/img]
於 Client Computer 頁面點擊 Related Tasks 中的「Create new group」,即可建立新用戶組。請輸入用戶組名稱,並可選擇引用原有的哪一組網絡安全規則,不用擔心,引用後你即可對規則進行修改。
Step 2
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap12.jpg[/img]
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap13.jpg[/img]
建立新用戶組後,用戶組名稱將出現在左方,此時你可右擊介面中的任何客戶端名稱,選擇 Move To 功能並轉移至新的用戶組去。
Step 3
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap14.jpg[/img]
選擇適當的客戶端後,可點選用戶組名稱,然後從 Group Tasks 中點按 Configure Security Settings 修訂安全規則。
Step 4
正式進入 Client Configuration Editor 介面,這裡顯示了一共 10 個不同功能分頁,當中設定有部分與 Outpost Firewall 類似,但功能更為全面與深入。以下扼要解說各頁面用途:
General
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap15.jpg[/img]
預設防火牆規則模式與介面顯示設定
包括可選擇以 Rules Wizard、Allow Most、Block Most、Block All 與 Disable Mode 來處理未知的網絡存取動作,預設選項是 Rules Wizard。同時,亦可設定被點選最小化與關閉時,是否以系統圖示方式常註,節省桌面空間。
Application Rules
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap16.jpg[/img]
指定應用程式度身訂造的防火牆設定
為了讓系統管理員更具彈性處理各種企業內部狀況,ONS 特別設有針對指定應用程式的防火牆規則設定,而毋須單以限制 Port 存取的方式來進行。系統預設了多達十多組不同的軟體組別供管理員進行分類使用,當中亦已預訂針對該類軟件的有效防火牆規則;若有特別需要,更可自訂新組別,並重新撰寫更貼切的規則,規則寫法與 Outpost Firewall 一樣,在撰寫原則時是採用可選擇性的「事件 + 動作」模式進行,用戶只要在預設的清單中,選擇發生事件與對應的動作,毋須任何編程技巧即可寫出合用的原則,大大方便了日常管理的需要。
Process Control
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap31.jpg[/img]
對使用者開放程序控制權限
若你確定客戶端的使用者具備足夠的安全常識與管理技巧,並有確切的工作需要,可考慮開放預設為 Disable 的 Process Control 與 Hidden Process Control 權限,並設定合理的開放層級。注意,你亦可透過「Block network access if application memory was modified by another process」選項來保障指定可運用 Process Control 的應用程式資料不被非法竄改。
Gloal Rules
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap32.jpg[/img]
客戶端整體通用原則
這裡可設定全體軟件通用的網絡安全存取原則,預設已針對 DNS、TCP、UDP 等常用通訊協定定制,多達十多個項目。你可選擇新增或修改已有項目,注意通用原則可完全覆蓋客戶端使用者所自訂的原則,又或是指定與某些使用者自訂原則融合,視乎系統管理員是否開放權限,有關權限選項設於 Advanced 頁。
ICMP Settings
針對 ICMP 數據的安全處理 [/size]
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap33.jpg[/img]
[size=2]ICMP 協議對網絡資訊傳遞非常重要,但也極容易成為攻擊路由器與主機的手段,因此透過適當地限制 ICMP 訊息可大大減少被入侵的機會。在此已將 ICMP 訊息分類,只要利用方框點選容許接入與發送的類別即可。
LAN Settings
內聯網的劃分與互通
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap34.jpg[/img]
系統管理員可透過此處修改客戶端的 NetBIOS 設定,與增刪它的可信任 IP 範圍。你可透過建立 Trusted Zone 來完全允許指定 IP、網域或子網路遮罩中 IP 的所有通訊,或單純容許 NetBIOS 類的通訊數據。
Plug-Ins
輕易增刪的額外功能元件
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap35.jpg[/img]
ONS Client 具備可隨時增減元件的功能,預設元件一共有 7 項,分別用作攔截廣告、防間碟程式、網頁內容限制、DNS Cache、附件攔截、入侵攻擊檢測與主動式內容監察等。各元件均有獨立選項可供設定。
Log Cleanup 與 Password
防火牆記錄與保安加密
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap37.jpg[/img]
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap38.jpg[/img]
可設定是否保存完整防火牆攔截記錄,或針對性地設定篩選條件;另外,亦可設定密碼,以限制客戶端使用者隨意修改防火牆原則。
Advanced
防火牆原則的覆蓋與保存
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap39.jpg[/img]
在此可設定是否讓客戶端具備複蓋自訂原則之能力,亦可匯入與匯出防火牆原則。
Step 5
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap19.jpg[/img]
舉例來說,我們試試限制員工使用客戶端進行各種 BT 活動吧!先進入 Application Rules 中並選擇 Add Application 功能。在這裡你可以利用 Browse 功能瀏覽這個 BT 應用程式的執行檔,如你並無安裝該程式,則可直接鍵入執行檔名稱。Alias 項目則可選擇性地輸入。
Step 6
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap20.jpg[/img]
在這裡你需要選擇以何種方式對應用程式進行識別,Application file name 是指完全符合你輸入的檔案名稱時才執行防火牆原則;後者 Path stored in the client computer registry 則是以辨別應用程式是否引用登錄檔中指定資料列來識別,當中準確性以後者較佳。
Step 7
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap21.jpg[/img]
在這裡你可以設定是否給予該程式特別權限,只限於例外情況下使用,對於設定禁止網絡存取動作並無作用,可不用理會。
Step 8
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap22.jpg[/img]
建立 Bitcomet.exe 這個應用程式項目後,可以右擊它選擇 Move To... 移至 Blocked Applications 組別下,即可自動進行攔截。請重複 Step 5 至 Step 8 把其餘 BT Client 程式,例如 BitTorrent、BitTornado、ABC 等等逐一建立。
Step 9
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap28.jpg[/img]
若需要對組別修改原則,只要點選該組別再按 Edit 鍵,即可選擇 Allow all、Block all 或 Use custom rules 原則。
Step 10
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap30.jpg[/img]
若使用 Use custom rules,則可自訂原則內容,只需點選對應的引發事件與動作組合即可,即使不懂編寫程式語言亦能輕鬆上手。不過由我們打算把所有 BT Client 都封殺,所以單把它們移至 Blocked Applications 已足夠。
Step 11
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap35.jpg[/img]
剛才簡單幾個步驟就可以輕鬆打擊辦公室內的非法 BT 活動,至於瀏覽不明網站又要怎做呢?只要利用 Plug-Ins 中的 Content 功能即可。
Step 12
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap47.jpg[/img]
在 Content 內容頁面裡有多個功能分頁,其中 Block by Keywords 可以讓 ONS 自動依網頁內容是否含有指定關鍵字,來決定是否攔截該頁面存取;Block by URL 則是直接限制指定網址。不過,如果打算給予員工較大的自由度與工作彈性,使用 Keywords 方式已很足夠,例如輸入不雅字詞作為篩選關鍵字,再按 Add 鍵加進清單即可。
[b]匯出防火牆原則備份 [/b]
透過 Client Configuration Editor 中 Advanced 頁面的 Import/export settings,可以簡單地把新建的防火牆原則備份成單一檔案保存,方便日後引用或覆檢。
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap43.jpg[/img]
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap48.jpg[/img]
[b][color=#0000ff]D. 輕鬆遠端更新客戶端防火牆原則[/color][/b]
好了!現在針對特定用戶組的防火牆原則已撰寫完畢,我們可以將它即時發佈到特定客戶端或整個用戶組去。
Step 1
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap41.jpg[/img]
完成所有原則修改後,選擇 OK 便會彈出 Publish the Configuration 對話盒,在這裡可以輸入防火牆原則的編號與名稱,以方便記認。
Step 2
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap44.jpg[/img]
確定後回到主介面,在 Agnitum Publisher Service 的 Publication History 中可檢視有關防火牆原則的建立訊息,並可看到建立時間與針對用戶組名稱等。
Step 3
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap45.jpg[/img]
再檢視 Service Log,系統管理員可觀察是否已即時更新至用戶組中的所有客戶端去。
Step 4
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap14.jpg[/img]
如需手動行更新,可點擊 Client Computers 下的指定用戶組,並於介面右方 Tasks 下點選 Overwrite configuration 即可;若更新指定用戶端,則僅點選該電腦名稱並選擇 Overwrite Client configuration。
[b]客戶端亦可主動要求更新原則[/b]
至於客戶端的使用者,亦可透過 ONS Client 的「File / Update Client Configuraton」功能,主動向伺服器端的 Agnitum Command Center 取得最新的原則資料。[/size]
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/a01.jpg[/img]
[size=2][b]E. 檢視客戶端防火牆運作實況[/b]
完成設定與發布後,系統管理員應立刻著手檢查新防火牆原則是否切實適用。如本例中,可在客戶端上試行利用 BT Client 進行下載,若下載遲遲未能啟動,並在 ONS Client 的 Network Activity 中出現該 BT Client 的存取動作被攔截,即表示原則成功引用。
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/a03.jpg[/img]
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/a04.jpg[/img]
同樣情況,可試著利用 Internet Explorer 輸入某些受限制的單詞作測試,若出現攔截視窗並顯示系統管理員預設的警告訊息,即表示網頁內容限制原則成功。
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/a05.jpg[/img]
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/a06.jpg[/img]
從認識,到踏入實戰階段!
一口氣看完了 Outpost Network Security 的安全原則設定與發佈過程,相信大家已對 ONS 的使用有基礎的了解,明白到它眾多的功能,但操作卻輕鬆簡便!剛才的示範只是小試牛刀,實際上 ONS 可以快速地應對每家企業的獨特需要,度身訂造合適的防火牆原則,下一篇文章裡我們將試著利用 ONS 應付一些常見的辦公室網絡安全狀況,請繼續密切留意啊![/size]
[size=2][/size]
[font=新宋体][img]http://www.version-2.com/outpost_network_security/outpost_network_security.jpg[/img]
[/font][font=新宋体][size=2]Outpost Network Security适合大中小型企业,能保护企业的网络、工作站,以免受到内外威胁。Outpost Network Security配合获奖无数的防火墙及强大的反间谍软体,能为你公司的数据提供简单易用、价钱合理、可靠的保护。另外,其中央管理及自动运作表面配置更令保护运作得更快捷。
Outpost Network Security功能包括广告和图片过滤、内容过滤、电子邮件附件过滤等,能够预防来自Internet的网络攻击、浏览器攻击、後门程式、窃密软体、广告软体和其他的网络威胁。Outpost Firewall的内容感应提示,在输入资料时更能获得理想的保护效果。现在让我们先看看它的主要优点。
[color=#00008b](一) 用户端反间谍软体功能--主动防御零天攻击(Zero-day)[/color]
Outpost Network Security以其多方面的防御措施确保没有间谍软体能进入网络。监控器避免间谍软体於工作站上活动、自动移除一切间谍软体痕迹,保障工作站操作上的运作。
扫瞄器根据用户自订的日程进行快捷及全面的间谍软体检查,以保工作站没有间谍软体入侵。
[color=#00008b](二) 可管理的防火墙 --防火墙强力粉碎多种威胁[/color]
配合其坚固的侵入侦测系统,数据、应用层面过滤,密码保护工具及独特的乙太网络数据保安,Outpost Network Security 是遏制一切与互联网有关的侵袭及入侵最重要的装备。先进的连接规则及自订的设定更为系统提供最灵活的保障。
[color=#00008b](三) 防止资讯盗窃--确保机密资讯不会从工作站泄露出去[/color]
有如银行户口号码、保险条款资料,Outpost Network Security独特的资料保护功能让用户自订字符串以及为资料加密,确保资料不会外传。
[color=#00008b](四) 轻松管理--中央管理及部署减低IT 工作量[/color]
Outpost Network Security能保护所有或已选的工作站、中央过滤及检阅事件日志。组别管理让行政人员弹性地分配不同组别的用户设定,该类设定可於任何时候作出改动、而且无需重新启动工作站。
[color=#00008b](五) 简单、快捷的升级--中央管理及自动运作的更新系统[/color]
Agnitum Update Service让使用者只需下载单一用户网络更新软件包,即可安心在各个工作站,大大减少频宽、管理人的时间。每天更新的间谍软体特徵让终端机保持最新的保护。
Security and Privacy
- Always up-to-date, automated spyware protection prevents infection and keeps machines running smoothly
- Targeted data protection prevents confidential corporate information from leaving the network
- Data traffic monitoring and unauthorized connection blocking right out of the box
- 'Cloak' systems so hackers cannot ‘see’ and exploit them.
- Attack Detection module prevents known and unknown attacks
- Unique Ethernet defense prevents internal network tampering and blocks attempts to disrupt wired or wireless network communication
- Administrator-assigned application rules control workstation Internet access policies
- Embedded code defense mechanisms protect workstations from application injection and spoofing
- Blocks installation and activation of malicious self-starting code within the browser.
- Stops suspect email attachments from activating, preventing network-wide virus and worm propagation.
- Customizable content filter blocks inappropriate site content
Control and Manageability
- Centralized deployment, management and updating provide trouble-free, automated protection and low IT overheads.
- Support for user groups enables different configurations and access policies to be deployed to different users depending on their degree of vulnerability
- Automated spyware and firewall protection keeps client machines functioning smoothly and keeps users productive.
- Firewall presets for commonly-used applications and network-specific communications ease the initial access configuration definitions
[img]http://www.version-2.com/outpost_network_security/op_ne2.gif[/img]
Outpost Network Security
Outpost Network Security PowerPoint Presentation (PPS) [[url=http://www.version-2.com/outpost_network_security/download/Outpost%20Network%20Security%20PPT%20TC.ppt][color=#2f5fa1]官方繁体中文[/color][/url] / [url=http://www.version-2.com/outpost_network_security/download/Outpost%20Network%20Security%20PPT%20SC.ppt][color=#2f5fa1]官方簡体中文[/color][/url] / [url=http://www.version-2.com/outpost_network_security/download/OutpostNetworkSecurity.pps][color=#2f5fa1]英[/color][/url]] - Outpost Office Firewall presentation describing its features and benefits.
Outpost Network Security PowerPoint Presentation (PPS):
[/size][/font][url=http://www.agnitum.com/download/networksecurity/Outpost_Network_Security.pps][size=2][font=新宋体][url=http://www.agnitum.com/download/networksecurity/Outpost_Network_Security.pps][color=#2f5fa1]http://www.agnitum.com/download/networksecurity/Outpost_Network_Security.pps[/color][/font][/url][/size][font=新宋体][/url]
[/font][font=新宋体][size=2]Outpost Network Security Data Sheet (PDF):
[/size][/font][url=http://www.agnitum.com/download/OutpostNetworkSecurityDatasheetEn.pdf][size=2][font=新宋体][url=http://www.agnitum.com/download/OutpostNetworkSecurityDatasheetEn.pdf][color=#2f5fa1]http://www.agnitum.com/download/OutpostNetworkSecurityDatasheetEn.pdf[/color][/font][/url][/size][font=新宋体][/url]
[/font][font=新宋体][size=2]Outpost Network Security Administrator's Guide (PDF):
[/size][/font][url=http://www.agnitum.com/download/networksecurity/Administrator%20Guide.pdf][size=2][font=新宋体][url=http://www.agnitum.com/download/networksecurity/Administrator%20Guide.pdf][color=#2f5fa1]http://www.agnitum.com/download/networksecurity/Administrator%20Guide.pdf[/color][/font][/url][/size][font=新宋体][/url]
[/font][font=新宋体][size=2]Outpost Network Security Technical Reference (PDF):
[/size][/font][url=http://www.agnitum.com/download/networksecurity/Technical%20Reference.pdf][size=2][font=新宋体][url=http://www.agnitum.com/download/networksecurity/Technical%20Reference.pdf][color=#2f5fa1]http://www.agnitum.com/download/networksecurity/Technical%20Reference.pdf[/color][/font][/url][/size][font=新宋体][/url]
[/font][size=2][font=新宋体][color=#2f5fa1][img]http://www.version-2.com/outpost_network_security/op_ne1.gif[/img]
[/color][/font][/size][size=3][url=http://www.agnitum.com/download/onsdl/2bb1bbc6f490e2a0afae280f06169ffb/aons.exe][color=#ff0000][font=新宋体][color=#2f5fa1]官方英文版程序下载[/color][/font][/url]
[url=http://www.version-2.com/outpost_network_security/download/aons_ch_hk_en.exe][font=新宋体][color=#2f5fa1]官方中文版(简、繁、英)程序下载[/color][/font][/url][/color][/size]
[size=3][color=#ff0000][/color][/size]
[size=3][color=#ff0000][/color][/size]
[img]http://www.version-2.com/outpost_network_security/op_ne1.gif[/img]
[img]http://www.version-2.com/outpost_network_security/op_ne2.gif[/img]
[b]Outpost Network Security 企業級網絡安全專家[/b]
[b]一站式管理.安裝與更新一 Click 輕鬆發佈[/b]
互聯網處處危機四伏,無論是中小企業還是跨國集團,身為系統管理員不得不花盡心機確保工作站安全。然而,確保伺服器安全無誤並不困難,但要讓千百台接連的客戶端電腦也同樣不受外來入侵,包括各種後門程式、木馬、安全漏洞等,實在是大傷腦筋!當然,系統管理員不可能單靠用戶自我保護,同時卻也騰不出人手為所有電腦進行防火牆安裝與設定。為簡化這些繁鎖的工序,Outpost Network Security 就完全做到中央集中管理,所有安裝、設定、更新與發佈工作都可以從伺服器端一口氣搞定!
[b]
[color=#0000ff]A. 安裝 Agnitum Command Center 管理中心[/color][/b]
面對中小企業可能需要同時管理過 100 台客戶端的網絡安全情況,Outpost Network Security 特別提供了專為集中式管理而設的 Agnitum Command Center 程式。只要把它安裝到伺服器上並透過 GPO 功能,就能簡單地對網域所有客戶端或指定群組進行 Outpost Network Security Client 的遙控安裝、規則設置、及軟體升級等,既靈活又快速!
Step 1
[img]http://www.version-2.com/outpost_network_security/img/install/a01.jpg[/img]
首先,系統管理員可先到 [url=http://www.version-2.com/][color=#2f5fa1]www.version-2.com[/color][/url] 的 Outpost Network Security 產品資料頁,下載 30 天全功能試用版安裝檔案,體積約為 31MB。
Step 2
[img]http://www.version-2.com/outpost_network_security/img/install/SNAP001.jpg[/img]
[img]http://www.version-2.com/outpost_network_security/img/install/SNAP003.jpg[/img]
下載後在伺服器端執行安裝檔,選擇所需介面語言,便可以進行 Agnitum Command Center 程式的安裝工作。
[b]伺服器端的作業系統要求[/b]
Agnitum Command Center 並無限制必須安裝到伺服器或 Domain Controller 上,只要是 Windows 2000 或以上版本的作業系統即可。但鑑於該程式耗用系統資源不多,並為可更方便運用 Active Directory 等功能,安裝到 Domain Controller 則更為方便,本例中則安裝到兼具 Domain Controller 與 DNS Server 的 Windows Server 2003 伺服器上。
Step 3
[img]http://www.version-2.com/outpost_network_security/img/install/SNAP004.jpg[/img]
[img]http://www.version-2.com/outpost_network_security/img/install/SNAP005.jpg[/img]
先選擇同意協議、輸入使用者名稱與公司名稱後,請按下一步繼續。
Step 4
[img]http://www.version-2.com/outpost_network_security/img/install/SNAP006.jpg[/img]
[img]http://www.version-2.com/outpost_network_security/img/install/SNAP008.jpg[/img]
選擇安裝路徑後,便會進行程式檔案複製程序,稍等一會即可完成安裝動作。
Step 5
[img]http://www.version-2.com/outpost_network_security/img/install/SNAP009.jpg[/img]
這裡必須輸入正確的本機 IP 位置,與適用的 Agnitum 發行服務埠與更新服務埠。
[b]必須使用固定 IP 地址[/b]
由於稍後安裝了 Outpost Network Security Client 的客戶端電腦 ,需要定時與安裝了 Agnitum Command Center 的伺服器端進行通訊與發送軟體更新等資料,故此伺服器端必須使用固定 IP 地址,同時亦要確保 2 個連接埠不被封鎖與佔用。
[img]http://www.version-2.com/outpost_network_security/img/install/Snap17.jpg[/img]
使用 DHCP 分配 IP 位置的話將出現警告訊息。
Step 6
[img]http://www.version-2.com/outpost_network_security/img/install/snap010.jpg[/img]
[img]http://www.version-2.com/outpost_network_security/img/install/snap011.jpg[/img]
最後,輸入你的正版軟體序號,又或是留空白並免費試用 30 天,按「跳過」的話便可以完成整個安裝程序。
[b][color=#0000ff]B. 客戶端遙距安裝 Outpost Network Security Client[/color][/b]
在僅有數台至十數台電腦的中小企業內,系統管理員或可利用全手動方式對客戶端進行 Outpost Network Security Client 安裝;但企業規模一旦擴展至數十台、乃至數百台電腦,利用 Active Directory 與 GPO 來進行全自動安裝工序就顯得非常重要。
[b]Client 安裝檔在哪裡?[/b]
一旦 Outpost Network Security 在伺服器上安裝成功,用於客戶端上的 Client 安裝檔將會複製至 C:\Program Files\Agnitum\Outpost Network Security\Command Center\oofclnt 路徑並自動共享。另外,請注意 Client 程式不可與 Agnitum Command Center 安裝至同一台電腦上;若該電腦安裝了其他防火牆程式,請確保用於 Agnitum Publisher Service 的連接埠不被阻擋,否則將影響客戶端的 Client 程式存取資源。
Step 1
首先,請先確保各客戶端電腦上沒有安裝任何防火牆程式,如有則請先進行手動卸載。
Step 2
[img]http://www.version-2.com/outpost_network_security/img/install/snap037.jpg[/img]
在示範中,ONSTESTING.COM 網域已建立了名為 BETATESTER 的 Organization Unit,並利用當中的多位 User 進行 Client 程式的遙控安裝。先啟動 Group Policy Management Console 程式,然後點選 Group Policy Objects (GPO)。
Step 3
[img]http://www.version-2.com/outpost_network_security/img/install/snap038.jpg[/img]
[img]http://www.version-2.com/outpost_network_security/img/install/snap039.jpg[/img]
在這裡右擊選擇「New / GPO」,並鍵入新 GPO 名稱。這樣新 GPO 便會顯示於視窗內,請右擊它選擇「Edit」。
Step 4
[img]http://www.version-2.com/outpost_network_security/img/install/snap040.jpg[/img]
我們將利用 GPO 中的 Software Installation 選項進行客戶端的 Client 遙控安裝,你可以選擇經由 Computer 或 User 進行軟體發佈。在「Software Settings / Software Installation」下,右擊選擇「New / Package」功能。
Step 5
[img]http://www.version-2.com/outpost_network_security/img/install/snap041.jpg[/img]
以網絡路徑方式選取 Client 安裝檔,並選 Open 完成動作。
Step 6
[img]http://www.version-2.com/outpost_network_security/img/install/snap042.jpg[/img]
選擇所需的發佈方式,包括 Published 與 Assigned 兩種,視乎你的企業環境需要。
Step 7
[img]http://www.version-2.com/outpost_network_security/img/install/snap050.jpg[/img]
由於在客戶端安裝 Client 時,Windows Installer 需要使用更的權限,請在 Group Policy 中把「User Configuration\Administrative Templates\Windows Component\Windows Installer」當中的 Always install with elevated privileges修改成 Enabled。而「Computer Configuration\Administrative Templates\Windows Component\Windows Installer」同一選項亦是。
[size=2]Step 8
[img]http://www.version-2.com/outpost_network_security/img/install/snap044.jpg[/img]
完成建立與編輯 GPO 後,可以右擊需要連結的 Organization Unit (OU) 並選擇「Link an Existing GPO」。
Step 9
[img]http://www.version-2.com/outpost_network_security/img/install/snap045.jpg[/img]
選擇剛才建立的 GPO 物件,然後點選 OK。這樣軟體發佈的伺服器端工序便完成了。
Step 10
[img]http://www.version-2.com/outpost_network_security/img/install/e01.jpg[/img]
[img]http://www.version-2.com/outpost_network_security/img/install/e02.jpg[/img]
當屬於該 OU 的客戶端用戶與電腦再次登入網址時,便會自動經由網絡進行 Outpost Network Security Client 遙距安裝,與自動進行預設的防火牆設置。
[b][color=#0000ff]C. 單一介面集中管理客戶端 - 防止用戶擅改防火牆設定[/color][/b]
一旦客戶端安裝了 Client 程式,系統管理員便可以透過 Agnitum Command Center 進行全面的防火牆設置工作,並利用單一介面監察與管理所有防火牆數據與細節,實在非常方便。
[img]http://www.version-2.com/outpost_network_security/img/install/snap013.jpg[/img]
在 Agnitum Command Center 介面裡,其實亦包含了 Agnitum Update Service、Agnitum Publisher Service 與 Client Configuartion Editor 於其中。其中用戶可以從 Client Computers 項目下看到現時正連結存取防火牆訊息的客戶端名稱,並可透過建立不的群組,對不同的使用者進行個別的防火牆配置。
[img]http://www.version-2.com/outpost_network_security/img/install/snap046.jpg[/img]
[img]http://www.version-2.com/outpost_network_security/img/install/snap047.jpg[/img]
當然,為了讓網絡安全管理更為統一,系統管理員可透過 Agnitum Command Center 限制客戶端用戶擅自更改 Outpost Network Security Client 的防火牆設定,並將設定值的修改簡易地即時發佈至所有客戶端上。
Step 1
[img]http://www.version-2.com/outpost_network_security/img/install/snap028.jpg[/img]
先點選所需要限制的群組名稱,然後選擇「Configure Security Settings」。
step 2
[img]http://www.version-2.com/outpost_network_security/img/install/snap030.jpg[/img]
選擇供客戶端作為預設的保護模式後,再選擇「Password」頁面,選擇「Enable password protection for client firewall settings」,並輸入密碼確認。注意,若不容許用戶自行關閉 Client 程式,請勾選下方的選項「Client firewall service from being stopped」。
Step 3
[img]http://www.version-2.com/outpost_network_security/img/install/snap031.jpg[/img]
按下確認後,你需要為這次修改的新設定,鍵入適用而簡明的 Comment 作為發佈訊息。
Step 4
[img]http://www.version-2.com/outpost_network_security/img/install/snap048.jpg[/img]
完成後回到主介面,在 Agnitum Publisher Service 下的 Publication History 下會發現新設定已發佈出去,並可在 Service Log 中看到已更新設定的客戶端名稱。
Step 5
[img]http://www.version-2.com/outpost_network_security/img/install/e03.jpg[/img]
[img]http://www.version-2.com/outpost_network_security/img/install/e04.jpg[/img]
更新後,使用者若想在客戶端上手動關閉 Outpost Network Security Client,便會彈出需要密碼框,必須輸入正確密碼才能關閉。
Step 6
[img]http://www.version-2.com/outpost_network_security/img/install/e05.jpg[/img]
[img]http://www.version-2.com/outpost_network_security/img/install/e06.jpg[/img]
同樣地,若使用者想自行修改防火牆設定,也同樣需要擁有正確的密碼。
[b]中央統籌下載更新檔.更強大的網絡保安功能[/b]
Outpost Network Security 功能非常強大,但操作與管理卻輕鬆簡單,下一篇文章我們將會繼續示範如何透過 Agnitum Command Center 中央管理下載升級檔與向客戶端發佈更新,及探討如何利用 Client Configuartion Editor 製作針對性的網絡安全設定。[/size]
[b][img]http://www.version-2.com/outpost_network_security/op_ne1.gif[/img]
[img]http://www.version-2.com/outpost_network_security/op_ne2.gif[/img]
[size=3]Outpost Network Security 企業級網絡安全專家 (下)[/size]
[size=3]一站式管理.安裝與更新一 Click 輕鬆發佈[/size][/b][size=2]
在上一篇文章中,我們扼要地示範了如何在 Windows Server 2003 伺服器上部署 Outpost Network Security (ONS) 的伺服器端程式,並透過 GPO 對網域裡的客戶端進行遙距安裝工作,大大簡化了系統管理員在網絡安全維護上的工序。在本篇文章裡,我們將再深入探討伺服器端上的 ONS 各組件,包括 Agnitum Command Center、Agnitum Update Service、Agnitum Publisher Service 及 Client Configuration Editor 的使用方法,讓你毋須親自逐台客戶端設定,也能一口氣讓整個網絡上的電腦更新防火牆保安設定。
[b][color=#0000ff]A. 檢視 Agnitum Command Center 一站式管理中心[/color][/b]
只要安裝好 ONS,伺服器就能隨時啟動 Agnitum Command Center 介面,對防火牆保安工作進行設定與發布!Agnitum Command Center 是 ONS 唯一的管理介面,整合了其他 3 套重要的升級、發布與設定服務,因此系統管理員只要在此進行操作即可,簡單而集中。在 Command Center 的初始畫面裡會顯示 Getting Started 項目,包括輸入合法序號來為 30 天試用版解鎖、進行更新檔中央下載管理、及為客戶端製作防火牆保護設定檔。
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap1.jpg[/img]
[b][color=#0000ff]B. 中央管理與下載更新檔更省頻寬[/color][/b]
要讓所有客戶端都能夠迅速更新防火牆版本,以往多任由客戶端程式主動對外存取防火牆官方伺服器,檢查最新版本與下載更新檔的做法;但對於客戶端數目多達數百、甚至上千的大型企業來說,所有客戶端同時各自下載內容相同的更新檔,不但浪費了大量對外頻寬,亦霸佔了其他正常工作所需的網絡流量。因此 ONS 中採取中央統一下載更新檔的方式,並由 Agnitum Update Service 直接經由局域網主動分發,既可確保所有客戶端即時更新至最新版本,亦可大大減少網絡流量。
Step 1
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap2.jpg[/img]
首先,在首頁點擊「Configure Centralized Updates for Client Computers」,或從右方點擊 Agnitum Update Service 並從 Tasks 中選擇「Configure Centralized Updates」。在 General 頁面裡,你可以設定是否啟用更新服務,並選擇所有更新檔的儲存位置,預設為開啟服務。
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap5.jpg[/img]
更新檔預設下載於 Documents and Settings 中的指定位置,各更新檔並以 ZIP 格式壓縮收藏。
Step 2
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap3.jpg[/img]
在 Schedule 頁面裡,你可以指定特定時間連結到 Agnitum 官方伺服器檢查是否有更新檔,由於更新檔不定期推出,建議採用 Daily 方式並於網絡流量較低的時段進行。同時亦可設置重試的次數與間隔時間,確保檢查更新不會因網絡狀況不穩而中斷。
Step 3
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap4.jpg[/img]
至於 Connection 頁面,則可修改網絡連接設定,一般選擇 Detect Automaically 已足夠;若出現問題時則可依企業網絡環境選擇是否採用 Proxy Server。若使用 Proxy Server 需要帳號登入,則可在 Proxy Authorization 中輸入有關資料。
Step 4
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap7.jpg[/img]
完成所有設定後,Agnitum Update Service 便會自動依時進行更新檢查。若你想即時測試或手動進行更新,可以在 Agnitum Update Service 頁面裡的 Quick Tasks 選擇「Check for updates now」項目,當選項變成灰色時表示正在連結官方伺服器進行檢查。
Step 5
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap8.jpg[/img]
進入 Download History 頁面,可以檢視下載記錄,包括最近更新日期與版本號,另外檢查後並無任何新更新檔提供,則會顯示 Up to date 訊息。
[b]客戶端何時進行更新?[/b]
一般來說,客戶端作業系統每次啟動時均會連接 Agnitum Command Center 檢測防火牆版本是否最新,並在隔一小時均會再度連接檢查,過程均為自動進行,毋須系統管理員與使用者操心。有關記錄可於 Agnitum Publisher Service 的 Service Log 中檢視。
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap9.jpg[/img]
[/size][size=2][b][color=#0000ff]C. 為指定用戶群建立特定網絡安全規則[/color]
初試限制 BT 活動與瀏覽不明網站 [/b]
從 Agnitum Command Center 的 Client Computer 項目中,系統管理員可以輕鬆檢視到現正連接伺服器的已安裝與已上線 Client 程式的客戶端數目,並可得到阻擋惡意入侵、廣告與有害電郵的統計數字,由此可監察企業網絡是否有任何被攻擊的可能性。同時,亦可在此針對不同用戶的工作特性劃分成若干用戶組,並為他們度身訂造適合的網絡安全規則,例如限制不必要的應用程式存取網絡佔用頻寬,又或是規管存取工作以外的網站資源。
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap10.jpg[/img]
Step 1
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap11.jpg[/img]
於 Client Computer 頁面點擊 Related Tasks 中的「Create new group」,即可建立新用戶組。請輸入用戶組名稱,並可選擇引用原有的哪一組網絡安全規則,不用擔心,引用後你即可對規則進行修改。
Step 2
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap12.jpg[/img]
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap13.jpg[/img]
建立新用戶組後,用戶組名稱將出現在左方,此時你可右擊介面中的任何客戶端名稱,選擇 Move To 功能並轉移至新的用戶組去。
Step 3
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap14.jpg[/img]
選擇適當的客戶端後,可點選用戶組名稱,然後從 Group Tasks 中點按 Configure Security Settings 修訂安全規則。
Step 4
正式進入 Client Configuration Editor 介面,這裡顯示了一共 10 個不同功能分頁,當中設定有部分與 Outpost Firewall 類似,但功能更為全面與深入。以下扼要解說各頁面用途:
General
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap15.jpg[/img]
預設防火牆規則模式與介面顯示設定
包括可選擇以 Rules Wizard、Allow Most、Block Most、Block All 與 Disable Mode 來處理未知的網絡存取動作,預設選項是 Rules Wizard。同時,亦可設定被點選最小化與關閉時,是否以系統圖示方式常註,節省桌面空間。
Application Rules
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap16.jpg[/img]
指定應用程式度身訂造的防火牆設定
為了讓系統管理員更具彈性處理各種企業內部狀況,ONS 特別設有針對指定應用程式的防火牆規則設定,而毋須單以限制 Port 存取的方式來進行。系統預設了多達十多組不同的軟體組別供管理員進行分類使用,當中亦已預訂針對該類軟件的有效防火牆規則;若有特別需要,更可自訂新組別,並重新撰寫更貼切的規則,規則寫法與 Outpost Firewall 一樣,在撰寫原則時是採用可選擇性的「事件 + 動作」模式進行,用戶只要在預設的清單中,選擇發生事件與對應的動作,毋須任何編程技巧即可寫出合用的原則,大大方便了日常管理的需要。
Process Control
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap31.jpg[/img]
對使用者開放程序控制權限
若你確定客戶端的使用者具備足夠的安全常識與管理技巧,並有確切的工作需要,可考慮開放預設為 Disable 的 Process Control 與 Hidden Process Control 權限,並設定合理的開放層級。注意,你亦可透過「Block network access if application memory was modified by another process」選項來保障指定可運用 Process Control 的應用程式資料不被非法竄改。
Gloal Rules
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap32.jpg[/img]
客戶端整體通用原則
這裡可設定全體軟件通用的網絡安全存取原則,預設已針對 DNS、TCP、UDP 等常用通訊協定定制,多達十多個項目。你可選擇新增或修改已有項目,注意通用原則可完全覆蓋客戶端使用者所自訂的原則,又或是指定與某些使用者自訂原則融合,視乎系統管理員是否開放權限,有關權限選項設於 Advanced 頁。
ICMP Settings
針對 ICMP 數據的安全處理 [/size]
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap33.jpg[/img]
[size=2]ICMP 協議對網絡資訊傳遞非常重要,但也極容易成為攻擊路由器與主機的手段,因此透過適當地限制 ICMP 訊息可大大減少被入侵的機會。在此已將 ICMP 訊息分類,只要利用方框點選容許接入與發送的類別即可。
LAN Settings
內聯網的劃分與互通
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap34.jpg[/img]
系統管理員可透過此處修改客戶端的 NetBIOS 設定,與增刪它的可信任 IP 範圍。你可透過建立 Trusted Zone 來完全允許指定 IP、網域或子網路遮罩中 IP 的所有通訊,或單純容許 NetBIOS 類的通訊數據。
Plug-Ins
輕易增刪的額外功能元件
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap35.jpg[/img]
ONS Client 具備可隨時增減元件的功能,預設元件一共有 7 項,分別用作攔截廣告、防間碟程式、網頁內容限制、DNS Cache、附件攔截、入侵攻擊檢測與主動式內容監察等。各元件均有獨立選項可供設定。
Log Cleanup 與 Password
防火牆記錄與保安加密
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap37.jpg[/img]
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap38.jpg[/img]
可設定是否保存完整防火牆攔截記錄,或針對性地設定篩選條件;另外,亦可設定密碼,以限制客戶端使用者隨意修改防火牆原則。
Advanced
防火牆原則的覆蓋與保存
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap39.jpg[/img]
在此可設定是否讓客戶端具備複蓋自訂原則之能力,亦可匯入與匯出防火牆原則。
Step 5
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap19.jpg[/img]
舉例來說,我們試試限制員工使用客戶端進行各種 BT 活動吧!先進入 Application Rules 中並選擇 Add Application 功能。在這裡你可以利用 Browse 功能瀏覽這個 BT 應用程式的執行檔,如你並無安裝該程式,則可直接鍵入執行檔名稱。Alias 項目則可選擇性地輸入。
Step 6
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap20.jpg[/img]
在這裡你需要選擇以何種方式對應用程式進行識別,Application file name 是指完全符合你輸入的檔案名稱時才執行防火牆原則;後者 Path stored in the client computer registry 則是以辨別應用程式是否引用登錄檔中指定資料列來識別,當中準確性以後者較佳。
Step 7
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap21.jpg[/img]
在這裡你可以設定是否給予該程式特別權限,只限於例外情況下使用,對於設定禁止網絡存取動作並無作用,可不用理會。
Step 8
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap22.jpg[/img]
建立 Bitcomet.exe 這個應用程式項目後,可以右擊它選擇 Move To... 移至 Blocked Applications 組別下,即可自動進行攔截。請重複 Step 5 至 Step 8 把其餘 BT Client 程式,例如 BitTorrent、BitTornado、ABC 等等逐一建立。
Step 9
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap28.jpg[/img]
若需要對組別修改原則,只要點選該組別再按 Edit 鍵,即可選擇 Allow all、Block all 或 Use custom rules 原則。
Step 10
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap30.jpg[/img]
若使用 Use custom rules,則可自訂原則內容,只需點選對應的引發事件與動作組合即可,即使不懂編寫程式語言亦能輕鬆上手。不過由我們打算把所有 BT Client 都封殺,所以單把它們移至 Blocked Applications 已足夠。
Step 11
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap35.jpg[/img]
剛才簡單幾個步驟就可以輕鬆打擊辦公室內的非法 BT 活動,至於瀏覽不明網站又要怎做呢?只要利用 Plug-Ins 中的 Content 功能即可。
Step 12
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap47.jpg[/img]
在 Content 內容頁面裡有多個功能分頁,其中 Block by Keywords 可以讓 ONS 自動依網頁內容是否含有指定關鍵字,來決定是否攔截該頁面存取;Block by URL 則是直接限制指定網址。不過,如果打算給予員工較大的自由度與工作彈性,使用 Keywords 方式已很足夠,例如輸入不雅字詞作為篩選關鍵字,再按 Add 鍵加進清單即可。
[b]匯出防火牆原則備份 [/b]
透過 Client Configuration Editor 中 Advanced 頁面的 Import/export settings,可以簡單地把新建的防火牆原則備份成單一檔案保存,方便日後引用或覆檢。
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap43.jpg[/img]
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap48.jpg[/img]
[b][color=#0000ff]D. 輕鬆遠端更新客戶端防火牆原則[/color][/b]
好了!現在針對特定用戶組的防火牆原則已撰寫完畢,我們可以將它即時發佈到特定客戶端或整個用戶組去。
Step 1
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap41.jpg[/img]
完成所有原則修改後,選擇 OK 便會彈出 Publish the Configuration 對話盒,在這裡可以輸入防火牆原則的編號與名稱,以方便記認。
Step 2
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap44.jpg[/img]
確定後回到主介面,在 Agnitum Publisher Service 的 Publication History 中可檢視有關防火牆原則的建立訊息,並可看到建立時間與針對用戶組名稱等。
Step 3
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap45.jpg[/img]
再檢視 Service Log,系統管理員可觀察是否已即時更新至用戶組中的所有客戶端去。
Step 4
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/Snap14.jpg[/img]
如需手動行更新,可點擊 Client Computers 下的指定用戶組,並於介面右方 Tasks 下點選 Overwrite configuration 即可;若更新指定用戶端,則僅點選該電腦名稱並選擇 Overwrite Client configuration。
[b]客戶端亦可主動要求更新原則[/b]
至於客戶端的使用者,亦可透過 ONS Client 的「File / Update Client Configuraton」功能,主動向伺服器端的 Agnitum Command Center 取得最新的原則資料。[/size]
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/a01.jpg[/img]
[size=2][b]E. 檢視客戶端防火牆運作實況[/b]
完成設定與發布後,系統管理員應立刻著手檢查新防火牆原則是否切實適用。如本例中,可在客戶端上試行利用 BT Client 進行下載,若下載遲遲未能啟動,並在 ONS Client 的 Network Activity 中出現該 BT Client 的存取動作被攔截,即表示原則成功引用。
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/a03.jpg[/img]
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/a04.jpg[/img]
同樣情況,可試著利用 Internet Explorer 輸入某些受限制的單詞作測試,若出現攔截視窗並顯示系統管理員預設的警告訊息,即表示網頁內容限制原則成功。
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/a05.jpg[/img]
[img]http://www.version-2.com/outpost_network_security/img/overviews-chi/a06.jpg[/img]
從認識,到踏入實戰階段!
一口氣看完了 Outpost Network Security 的安全原則設定與發佈過程,相信大家已對 ONS 的使用有基礎的了解,明白到它眾多的功能,但操作卻輕鬆簡便!剛才的示範只是小試牛刀,實際上 ONS 可以快速地應對每家企業的獨特需要,度身訂造合適的防火牆原則,下一篇文章裡我們將試著利用 ONS 應付一些常見的辦公室網絡安全狀況,請繼續密切留意啊![/size]
[size=2][/size]
页: [1]
Powered by Discuz! Archiver 5.5.0 © 2001-2006 Comsenz Inc.