|
常见问题解答(FAQ)
1.常规信息
1.1什么是萨客嘶入侵检测系统?
1.2我能用萨客嘶入侵检测系统做什么?
2. 安装部署篇
2.1
安装萨客嘶入侵检测系统会不会影响网速?
2.2
什么也监控不到。
2.3 为什么我只能监听到本机的信息?
2.4 不能捕捉到任何信息
2.6 HUB或者镜像交换机的推荐型号。
2.7 使用萨客嘶入侵检测系统是否会泄漏公司隐私?
2.8 萨客嘶入侵检测系统的实现原理是什么?
2.9 Active Directory域网络能不能监控?
2.10 重新安装是否需要备份配置和日志?
3. 使用篇
3.1
如何判断使用某台电脑的员工姓名?
3.2
如何查看一台机器的MAC地址?
3.3 MSN用插件加密后还能不能监控到?
3.4 萨客嘶入侵检测系统可以检测出网络中的流量占用吗?
3.5
为什么我在网页中发送的邮件没有在邮件日志中显示出来?
3.6
邮件日志中列出了捕获到的邮件信息,但我双击日志条目想查看邮件的原始信息时,却没办法实现,为什么?
3.7萨客嘶入侵检测系统能找出局域网内感染蠕虫病毒的机器吗?
3.8
我们通过Web界面管理防火墙时,需要在URL后面加10081的端口,但这时我在HTTP日志里没有看到访问的信息,怎么回事?
3.9
我们公司的网站使用https访问,可以分析出服务器的访问信息吗?
3.10
捕获数据包时,发现有些网卡下面有多个IP地址,为什么会这样,是否正常?
3.11
为什么我只能监控到发送的消息,监控不到接收的消息?
4. 购买篇
4.1 为什么要购买正式版?
4.2
如何获取萨客嘶入侵检测系统正式版?
4.3 如何激活本产品?
4.4 远程登陆可以激活吗
1.1什么是萨客嘶入侵检测系统?
萨客嘶入侵检测系统是一个专为网络检测而设计的功能强大,但使用十分简单的网络安全和管理工具。借助本系统的实时采集和数据分析功能,您可以检测网络中攻击行为,一旦发现并对其实施干扰,从而保护网络免受攻击。
返回顶端
1.2我能用萨客嘶入侵检测系统做什么?
如果您是:
【网络管理人员】-- 检测网络攻击,查找感染病毒的机器,统计网络流量,查找发现网络中潜在的安全漏洞...
【公司主管】-- 查看公司内部的网页访问,检测邮件是否安全,检测服务器的非法登录...
【安全管理人员】-- 透视网络传输的具体内容,分析网络异常行为,查找网络潜在安全隐患...
【安全顾问】-- 网络分析,帮助客户解决安全漏洞,优化网络性能...
返回顶端
2.1 安装
萨客嘶入侵检测系统会不会影响网速?
萨客嘶入侵检测系统采用旁路监控的模式,只对数据包的拷贝进行分析,所以不会影响现有的通讯及网速。如果您的网络是通过增加集线器
(HUB)或者镜像交换机来进行监控的,那么当出口带宽小于4M时我们建议使用HUB(请注意HUB的接法),否则需要使用镜像交换机。
返回顶端
2.2 什么也监控不到。
可能是监听的网卡不对。打开“配置”界面,选择“监听设备”下拉框,如果有两个或两个以上的网卡,请检查现在选中的网卡是不是您正在使用的网卡。
如果监听设备中没有找到任何网卡或者信息不正确,则说明您的安装有问题,请重新安装。 如果重新安装后仍然看不到网卡,那么有可能该网卡不支持。
返回顶端
2.3
为什么我只能监听到本机的信息?
说明您的网络是用交换机连接的。要监控其他电脑的通讯,需要增加一个HUB(集线器)或者支持端口镜像的交换机,如果是通过服务器上网的话,也可以直接安装在服务器上。具体请参考"安装指南"。
返回顶端
2.4
不能捕捉到任何信息
说明您的网络是用交换机连接的。在交换机环境下,有时也会接收到其他机器的数据包(偶尔),所以"所有在线"里面有显示。 请参考1.3。
返回顶端
2.6
HUB或者镜像交换机的推荐型号。
HUB(集线器)推荐型号: Tplink的 TL-HP5MU,(5口10M以太网集线器,参考价:¥40)。
镜像交换机推荐型号: Tplink的TL-SF2005,(5口端口镜像交换机,参考价:¥280)。
返回顶端
2.7
使用萨客嘶入侵检测系统是否会泄漏公司隐私?
萨客嘶入侵检测系统只在您公司的局域网内运行,除检查是否有版本更新外不和Internet发生任何数据交换,监控到的信息都在本地封存,不会引起信息的泄漏。
返回顶端
2.8
萨客嘶入侵检测系统的实现原理是什么?
返回顶端
2.9 Active Directory域网络能不能监控?
萨客嘶入侵检测系统可以监控域中的计算机,不过目前还不支持根据域账号进行监控,只能基于MAC地址和IP地址进行监控。
返回顶端
2.10 重新安装是否需要备份配置和日志?
卸载的时候我们会删除配置文件,但不会删除日志文件,因此您重新安装前,请备份好以前的配置
(安装目录下面的“data”目录就是配置文件所在目录)。
返回顶端
3.1 如何判断使用某台电脑的员工姓名?
-
1). 萨客嘶入侵检测系统默认根据MAC地址(网卡地址,用户无法改变)监控。在单网段情况下,MAC地址和电脑是一一对应的关系,根据MAC地址
即可判断对应的员工,如果不知道对方的MAC地址,可以在员工电脑名址表中点击IP地址获取对方的机器名等信息加以判断(如果对方机器有
防火墙则获取不到机器名),您也可以通过对方的聊天工具ID、邮箱等信息来加以判断。
-
2). 在多网段环境下,MAC地址和电脑不是一一对应的关系,需要根据IP地址监控。所以只能通过IP地址来判断用户,因此我们建议在多
网段情况下采用IP和MAC绑定的技术,防止员工通过修改IP来躲避监控。
返回顶端
3.2 如何查看一台机器的MAC地址?
MAC地址即网卡地址(出厂时固化在硬件中,用户无法改动)。点击“开始”->“运行”,输入“cmd”后回车,然后在cmd窗口中输入
“ipconfig /all”。即可看到所有网卡的配置信息,里面的“Physical Address”即MAC地址。
返回顶端
3.3 MSN用插件加密后还能不能监控到?
能监控到,但是聊天内容被插件加密了,您看到将是加密后的内容(将以乱码显示)。
返回顶端
3.4
萨客嘶入侵检测系统可以检测出网络中的流量占用吗?
萨客嘶入侵检测系统可以非常详细地统计整个网络、一个MAC地址、一个IP地址以及一个协议的流量信息,包括总流量,每秒流量,平均流量等。
返回顶端
3.5 为什么我在网页中发送的邮件没有在邮件日志中显示出来?
萨客嘶入侵检测系统的邮件分析功能,支持的协议是SMTP和POP3,而基于网页的邮件发送,使用的是HTTP协议,并使用表单方式进行的提交,所以它不会自动在邮件日志中显示。
返回顶端
3.6
邮件日志中列出了捕获到的邮件信息,但我双击日志条目想查看邮件的原始信息时,却没办法实现,为什么?
萨客嘶入侵检测系统默认情况下并没有保存邮件的复本信息,在这种情况下,你将不能直接查看到邮件的原始信息。要启用该功能,你需要在日志对话框中,选中邮件信息,同时勾选中保存邮件选框,并在右侧选择保存的路径。
返回顶端
3.7萨客嘶入侵检测系统能找出局域网内感染蠕虫病毒的机器吗?
可以。蠕虫病毒分为基于邮件的蠕虫病毒和基于操作系统漏洞的蠕虫病毒两种,基于邮件的蠕虫病毒工作特征主要表现在发送邮件频率高、邮件标题内容相近、邮件附件相同;基于操作系统漏洞的蠕虫病毒工作特征是尝试与局域网内所有主机建立连接、连接的端口都一致且连接之间相隔时间短,流量占用较大。萨客嘶入侵检测系统的邮件日志可以对网络内的邮件收发进行捕获分析并重组,用户根据邮件日志信息,结合邮件蠕虫病毒的工作特征,即可找出局域网内感染邮件蠕虫病毒的机器;通过数据包视图和会话视图,则可以轻松找出感染系统漏洞蠕虫病毒的机器。
返回顶端
3.8
我们通过Web界面管理防火墙时,需要在URL后面加10081的端口,但这时我在HTTP日志里没有看到访问的信息,怎么回事?
默认情况下萨客嘶入侵检测系统分析的HTTP访问,都是基于80端口的。要分析基于其它端口(如这里的10081)的网页访问,你可以在常规对话框中,选中自定义端口,单击右边的按钮,在弹出的对话框中,在HTTP右侧的输入框中加入10081即可。
返回顶端
3.9
我们公司的网站使用https访问,可以分析出服务器的访问信息吗?
不可以。
https是加密传输的,萨客嘶入侵检测系统甚至所有的协议分析软件都只能捕获到https的通讯数据包,但不能分析并重组出它具体的访问信息。
返回顶端
3.10
捕获数据包时,发现有些网卡下面有多个IP地址,为什么会这样,是否正常?
一般情况下,一个网卡下面有多个IP的情况以下几种:
正常情况下,一个网卡配置多个IP。
网关,在数据通讯时,每一个三层设备都会将数据包的源地址改成自己的,并发给下一个设备,所以一个网关对应多个IP是正常的。
ARP攻击,在做ARP攻击的时候,一般会有一个中间人的主机,这台主机的由于需要同时欺骗客户端和网关,所以它会对应多个IP主机。
所以出现一个网卡对应多个IP时,我们需要对其进行分析,如果它属于第1和第2种,则是正常的;但如果是属于第3种,则表示网络中存在攻击,且当前的这个网卡所对应的主机就是攻击源,应立即对其进行彻底排查。
返回顶端
3.11
为什么我只能监控到发送的消息,监控不到接收的消息?
这个现象是由于您的HUB连接方式不对或者交换机端口镜像配置不正确引起的。如果您用的是HUB并且使用了uplink口,那么和uplink口
相连的那个口不能接任何网线的;如果还是不行,把您的网线换个口试试。如果您用的是交换机,请确认是否发送和接收的数据都做了镜像。
返回顶端
4.1 为什么要购买正式版?
做为一个注册用户,您可以享受如下权利。
-
1).完整功能的软件拷贝。
-
2).订阅期内免费升级。
-
3).获取软件升级和新产品的第一资讯。
-
4).终身免费技术支持。
返回顶端
4.2 如何获取
萨客嘶入侵检测系统正式版?
联系我们,我们会给您提供正式版和一套注册码和激活码,通过"激活向导"激活即可获取
萨客嘶入侵检测系统正式版。
返回顶端
4.3 如何激活本产品?
可以在任何时间,通过 Internet 或发送电子邮件来激活产品。 每种选择都只须短短的几个步骤便可完成。
详情见产品激活中心
。
返回顶端
4.4 远程登陆可以激活吗?
远程登陆可以激活,方法和本地登陆激活一样。
返回顶端
|
