Intrusion Defense Firewall 1.5 Administrator’s Guide

Size: px
Start display at page:

Download "Intrusion Defense Firewall 1.5 Administrator’s Guide"

Transcription

1 入侵防御防火墙 为端点提供高级威胁防护 适用于防毒墙网络版 管理员指南

2 趋势科技 ( 中国 ) 有限公司保留对本文档以及此处所述产品进行更改而不通知的权利 在安装并使用本软件之前, 请阅读自述文件 发布说明 ( 如果有 ) 和最新版本的适用用户文档, 这些文档可以通过趋势科技的以下 Web 站点获得 : Trend Micro Trend Micro t- 球徽标 Intrusion Defense Firewall OfficeScan 和 TrendLabs 等是趋势科技 ( 中国 ) 有限公司 /Trend Micro Incorporated 的商标或注册商标 所有其他产品或公司名称为其各自所有者的商标或注册商标 版权所有 2011 趋势科技 ( 中国 ) 有限公司 /Trend Micro Incorporated 保留所有权利 文档编号 :OSCM15225/ 发布日期 :2011 年 10 月

3 趋势科技入侵防御防火墙的用户文档介绍了该软件的主要功能, 以及生产环境的安装说明 在安装或使用本软件之前, 请先详细阅读该文档 有关如何使用本软件中特定功能的详细信息, 请参阅联机帮助文件以及趋势科技 Web 站点上的联机知识库 趋势科技一直致力于改进其文档 如对该文档或趋势科技的任何其他文档有任何问题 意见或建议, 请通过 与我们联系 我们始终欢迎您的反馈

4 目录 目录 前言 入侵防御防火墙文档...xiv 适用对象...xiv 文档约定...xv 第 1 章 : 入侵防御防火墙简介 关于入侵防御防火墙 此发行版中的新增功能 第 2 章 : 入侵防御防火墙入门 IDF 服务器插件 IDF 客户端插件 打开 IDF 服务器插件界面 IDF 服务器插件界面 导航窗格 任务窗格 分页控件 查看控件 工具栏 搜索和高级搜索 状态栏 上下文菜单 程序概览 控制台 警报 报告 i

5 趋势科技 入侵防御防火墙 1.5 管理员指南 第 3 章 : 控制台 第 4 章 : 警报 第 5 章 : 报告 计算机 安全配置文件 防火墙 深度包检查 组件 系统 关于控制台 关于 Widget 定制控制台 配置 Widget 布局 添加和移除控制台 Widget 按标记过滤信息 按日期 / 时间范围过滤信息 按计算机和计算机域过滤 管理控制台配置 打开已保存的控制台配置 关于警报 查看警报 配置警报 设置警报电子邮件 关于报告 生成报告 ii

6 目录 第 6 章 : 管理计算机 关于计算机 查看计算机信息 查看计算机预览 检查计算机的状态 搜索计算机 将计算机列表与防毒墙网络版同步 扫描计算机上打开的端口 取消当前正在执行的所有端口扫描操作 扫描计算机上有无建议项目 管理建议扫描结果 配置建议的规则 清除建议 分配安全配置文件 将安全配置文件分配给计算机 将安全配置文件分配到当前域 管理客户端插件 配置插件通信 部署客户端插件 从服务器部署客户端插件 使用独立客户端插件安装程序 激活 / 重新激活客户端插件 停止和启动客户端插件 更新计算机上的客户端插件 手动升级客户端插件 停用计算机上的客户端插件 卸载客户端插件 查看计算机的事件 清除警告 / 错误 锁定和解锁计算机 iii

7 趋势科技 入侵防御防火墙 1.5 管理员指南 分配计算机资产值 查看和编辑计算机详细信息 计算机信息 继承与覆盖 其他属性 查看计算机或安全配置文件覆盖 第 7 章 : 安全配置文件 关于安全配置文件 管理安全配置文件 创建安全配置文件 查看并编辑安全配置文件详细信息 第 8 章 : 使用 IDF 防火墙 关于 IDF 防火墙 打开或关闭防火墙 防火墙事件 查看防火墙事件属性 过滤列表和 / 或搜索事件 导出事件 标记防火墙事件 防火墙规则 关于防火墙规则 规则处理措施 规则优先级 组合使用规则处理措施和规则优先级 状态过滤 放行规则 iv

8 目录 防火墙规则顺序 有关日志记录的注意事项 将所有内容汇总设计防火墙策略 务必要记住的重要事项 创建和应用新防火墙规则 状态配置 管理状态配置 第 9 章 : 使用深度包检查 关于深度包检查 数据包处理顺序 打开或关闭深度包检查 DPI 事件 过滤列表和 / 或搜索事件 查看 DPI 事件属性 导出事件日志 标记 DPI 事件 DPI 规则 创建和编辑 DPI 规则属性 创建定制的 DPI 规则 DPI 规则的注意事项 Hello World XML 引用 应用程序类型和规则方向 使用 State 修正规则 添加注释 更多规则处理措施 重置连接 (drop) 了解 检测 和 阻止 模式 延迟重置连接 (setdrop) v

9 趋势科技 入侵防御防火墙 1.5 管理员指南 第 10 章 : 组件 关于规则属性的更多信息 状态 区分大小写的匹配 距离约束 使用计数器 关于特征码的更多信息 高级规则处理措施 寄存器分配 访问寄存器 比较寄存器 执行顺序 UDP 假连接 URI 的 Web 规则 Web 资源和查询规则 Web 规则的注意事项 应用程序类型 关于组件 IP 列表 IP 列表属性 MAC 列表 MAC 列表属性 端口列表 端口列表属性 配置端口扫描设置 上下文 上下文属性 时间表 时间表属性 vi

10 目录 第 11 章 : 管理 IDF 服务器插件 第 12 章 : 系统 保护 IDF 服务器插件的安全 升级服务器插件 迁移到更大的数据库 将受管计算机迁移到新的 IDF 服务器 将单个受管计算机迁移至新 IDF 服务器 优化嵌入式数据库 MS SQL Server Express 具有 4GB 的容量限制 归档日志 最小化数据库使用的空间 压缩 IDF 数据库的大小 将 IDF 数据迁移至其他数据库 备份和恢复 IDF 备份 恢复 修改备份和恢复选项 备份 使用 IDFBackup.bat 设置预设备份 恢复 卸载服务器插件 关于系统 查看系统事件 过滤列表和搜索事件 导出事件 事件标记 标记事件 vii

11 趋势科技 入侵防御防火墙 1.5 管理员指南 第 13 章 : 日志记录 系统设置 计算机 防火墙和 DPI 设置 接口隔离设置 上下文设置 侦察设置 扫描设置 通知设置 排序设置 更新 系统 标记 任务 使用授权 更新 安全更新 应用安全更新 客户端插件更新 服务器诊断 关于日志记录 配置日志 配置通知 Syslog SNMP 脚本 viii

12 目录 第 14 章 : 获取帮助 配置 Syslog 集成 在 Red Hat Enterprise 上设置 Syslog IDF 服务器插件设置 解析 Syslog 消息 防火墙事件日志格式 DPI 事件日志格式 系统事件日志格式 高级日志记录策略模式 联系趋势科技 技术支持 趋势科技知识库 TrendLabs 安全信息中心 将可疑文件发送给趋势科技 文档反馈 附录 A:IDF 使用的端口端口 : A-1 端口 :4119 ( 缺省 )... A-2 端口 :4120 ( 缺省 )... A-2 端口 :514 ( 缺省 )... A-2 端口 :25 ( 缺省 )... A-3 端口 :80... A-3 端口 : A-3 端口 : 随机选择... A-4 ix

13 趋势科技 入侵防御防火墙 1.5 管理员指南 附录 B: 计算机和客户端插件状态 附录 C: 事件 计算机状态... B-2 客户端插件状态... B-4 计算机错误... B-5 防火墙事件... C-2 DPI 事件... C-4 系统事件... C-7 客户端插件事件...C-21 x

14 表列表 表列表 表 P-1. 防毒墙网络版文档 xiv 表 P-2. 文档约定 xv 表 9-1. XML 引用 表 9-2. 特征码 表 9-3. 保留字符 表 9-4. 虚拟寄存器 表 9-5. 相等 表 9-6. 有符号比较 表 9-7. 无符号比较 表 9-8. Modulo32 比较 表 9-9. 基本算法指令 表 按位指令 表 客户端插件激活相关的命令行选项 表 签名 ID 表 防火墙事件扩展字段 表 DPI 事件日志格式扩展 表 系统事件日志格式扩展 xi

15 趋势科技 入侵防御防火墙 1.5 管理员指南 表 被忽略的事件 表 B-1. 计算机状态 B-2 表 B-2. 客户端插件状态 B-4 表 B-3. 计算机错误 B-5 表 C-1. 防火墙事件 C-2 表 C-2. DPI 事件 C-4 表 C-3. 系统事件 C-7 表 C-4. 客户端插件事件 C-21 xii

16 前言 前言 欢迎使用 趋势科技 入侵防御防火墙管理员指南 本指南讨论入门信息 客户端安装过程, 以及入侵防御防火墙 (IDF) 服务器和客户端管理 本章包含下列主题 : 第 xiv 页的入侵防御防火墙文档 第 xiv 页的适用对象 第 xv 页的文档约定 xiii

17 趋势科技 入侵防御防火墙 1.5 管理员指南 入侵防御防火墙文档 入侵防御防火墙文档包括以下内容 : 表 P-1. 防毒墙网络版文档 文档部署指南管理员指南帮助自述文件知识库 描述 讨论有关安装 IDF 服务器插件 升级服务器插件以及安装 IDF 客户端插件的要求和过程的 PDF 文档 讨论有关入门信息 IDF 客户端插件安装过程以及 IDF 服务器插件和客户端插件管理的 PDF 文档 提供 方法教学 使用建议和文本框特定信息的 HTML 文件 您可以从 IDF 服务器插件用户界面获取该帮助 包含已知问题列表和基本安装步骤 该文件可能还包含联机帮助或印制文档中尚未包括的最新产品信息 包含问题解决和故障排除信息的联机数据库 它提供已知产品问题的最新信息 要访问该知识库, 请转到以下 Web 站点 : bank/ 可以从以下位置下载最新版本的 PDF 文档和自述文件 : 适用对象 入侵防御防火墙文档适用于负责防毒墙网络版管理的防毒墙网络版管理员 这些用户应具有丰富的网络 服务器管理和防毒墙网络版相关知识 xiv

18 前言 文档约定 为了帮助您轻松找到信息并快速理解, 在防毒墙网络版文档中使用下列约定 : 表 P-2. 文档约定 约定全部大写粗体斜体工具 > 客户端工具 描述 首字母缩略词 缩写 特定命令的名称以及键盘上按键的名称 菜单和菜单命令 命令按钮 选项卡 选项以及任务 引用其他文档或新的技术组件 位于过程开头处的 痕迹导航, 帮助用户导航至相关的 Web 控制台窗口 多个痕迹导航表示有多种方式可以到达同一窗口 < 文本 > 表示尖括号内的文本应替换为实际数据 例如, C:\Program Files\<file_name> 可以替换为 C:\Program Files\sample.jpg 注意 : 文本 提供配置注意事项或建议 提示 : 文本 提供最佳实践信息和趋势科技建议 警告! 文本 提供有关可能危害网络中计算机的活动的警告 xv

19 趋势科技 入侵防御防火墙 1.5 管理员指南 xvi

20 第 1 章 入侵防御防火墙简介 本章介绍趋势科技 入侵防御防火墙并描述此发行版中的新增功能 本章包含下列主题 : 第 1-2 页的关于入侵防御防火墙 第 1-2 页的此发行版中的新增功能 1-1

21 趋势科技 入侵防御防火墙 1.5 管理员指南 关于入侵防御防火墙 适用于防毒墙网络版的趋势科技 入侵防御防火墙 1.5 是一款高级入侵防御系统 它为防御攻击提供了最后一道且效果极佳的防线, 可抵御利用商用和定制软件 ( 包括 Web 应用程序 ) 中的漏洞进行的攻击 通过入侵防御防火墙 (IDF), 您可以创建并执行主动式保护敏感数据 应用程序 计算机或网段的各种安全策略 该系统包含一个 IDF 服务器插件和多个 IDF 客户端插件 此发行版中的新增功能 趋势科技 入侵防御防火墙包含下列新特性和增强功能 : 性能和可伸缩性 入侵防御防火墙 1.5 显著提高了安全更新部署 波动信号 建议扫描的速度和效率并改进了内存使用情况和 IDF 服务器插件用户界面, 从而提升了整体的性能和可伸缩性 自动激活和 / 或保护新添加的计算机 目前, 通过任务可以为以下计算机有条件地的自动激活和 / 或分配安全配置文件 : 通过启动客户端插件的激活添加的计算机 同步防毒墙网络版客户端清单时添加的计算机 扩展的防毒墙网络版 (OSCE) 支持 入侵防御防火墙 1.5 支持以下防毒墙网络版功能 : OSCE 10.6 和 PLM 2.0 防毒墙网络版控制台 Widget 防毒墙网络版混合 Widget 事件标记 通过事件标记, 您可以使用预定义标签或定制标签手动标记事件, 从而启用可应用于单个事件 类似多个事件, 甚至应用于将来出现的所有类似事件的专用事件视图 控制板和报告 1-2

22 入侵防御防火墙简介 扩展的平台和文件系统支持入侵防御防火墙 1.5 支持以下客户端和服务器平台 : 32 位和 64 位客户端和服务器 单独的 32 位和 64 位客户端部署 FAT32 文件系统 Microsoft SQL Server 2008 多语言支持入侵防御防火墙 1.5 提供多个语言版本 请联系趋势科技以了解可用的语言 1-3

23 趋势科技 入侵防御防火墙 1.5 管理员指南 1-4

24 第 2 章 入侵防御防火墙入门 本章介绍趋势科技 入侵防御防火墙服务器插件, 讲述服务器插件界面的基本知识, 并提供服务器插件窗口的概览 有关如何安装及配置 IDF 的描述, 请参阅 入侵防御防火墙部署指南 本章包含下列主题 : 第 2-2 页的 IDF 服务器插件 第 2-2 页的 IDF 客户端插件 第 2-3 页的打开 IDF 服务器插件界面 第 2-4 页的 IDF 服务器插件界面 第 2-8 页的程序概览 2-1

25 趋势科技 入侵防御防火墙 1.5 管理员指南 IDF 服务器插件 IDF 服务器插件是用于管理所有客户端计算机的应用程序 该服务器执行两项重要功能 : 安装 监控和管理 IDF 客户端 下载客户端所需的大多数组件 服务器会从趋势科技 ActiveUpdate 服务器下载组件, 然后将它们分发到各个客户端 IDF 服务器插件可以在服务器与客户端之间提供实时的双向通信 IDF 服务器插件作为防毒墙网络版的插件来运作, 允许您从基于浏览器的防毒墙网络版 Web 控制台管理客户端, 而且您几乎可以从网络上的任意位置访问该 Web 控制台 服务器与客户端 ( 以及客户端与服务器 ) 通过超文本传输协议 (HTTP) 进行通信 IDF 客户端插件 通过在每台计算机上安装 IDF 客户端插件, 保护计算机抵御安全风险 客户端提供 端口扫描 和 建议扫描 2-2

26 入侵防御防火墙入门 打开 IDF 服务器插件界面 IDF 插件界面是监控入侵防御防火墙的中心位置 IDF 插件界面会作为防毒墙网络版 Web 控制台的插件打开 登录防毒墙网络版 Web 控制台后, 您便可以访问 IDF 服务器插件 打开 IDF 服务器插件 : 1. 打开防毒墙网络版 Web 控制台 2. 在导航面板中, 单击插件管理器 3. 在 入侵防御防火墙 部分中, 单击管理程序 将显示 入侵防御防火墙 入门 窗口 4. 如果不希望在下次打开 IDF 时显示 入门 窗口, 请选择下次访问入侵 防御防火墙时不再显示此信息 5. 在 入侵防御防火墙 入门 窗口中, 单击继续 将打开 IDF 界面并显示控制台 图 2-1. IDF 控制台 2-3

27 趋势科技 入侵防御防火墙 1.5 管理员指南 IDF 服务器插件界面 IDF 服务器插件基于 Web 的用户界面使您可以轻松访问 IDF 系统的所有元素 下面介绍了该界面的主要功能 图 2-2. IDF 用户界面 导航窗格 导航窗格中包含树状结构导航系统 IDF 系统的组成元素如下 : 控制台 :IDF 系统状态速览 警报 : 与系统或安全事件相关的最新严重警报和警告警报的摘要 报告 : 可生成系统状态摘要和活动摘要的报告生成器 计算机 : 网络上计算机的列表, 并带有每台计算机的状态信息 安全配置文件 : 已定义安全配置文件的列表 2-4

28 入侵防御防火墙入门 防火墙 防火墙事件 : 与安全相关的防火墙活动的日志 防火墙规则 : 此处可定义和管理防火墙规则 状态配置 : 此处可定义和管理状态配置 深度包检查 DPI 事件 : 与安全相关的 DPI 活动的日志 DPI 规则 : 此处可定义和管理 DPI 规则 应用程序类型 : 应用程序类型由连接方向 协议和端口来定义 它们定义应用 DPI 规则产生的流量 组件 :IDF 系统的各种元素所使用的常见组件列表 系统 : 在此可找到用于管理 IDF 系统运行的管理工具, 并可查看系统事件的记录和报告 任务窗格 单击导航窗格中的元素, 任务窗格中即会显示该元素的窗口 几乎所有任务都在任务窗格的窗口上完成 可以通过单击工具栏 ( ) 中的添加 / 删除列按钮, 在任务窗格显示项目列表的位置添加或删除列 通过将列拖动到新的位置, 可以控制列的显示顺序 可按照任意列的内容来排序和搜索所列出的项目 分页控件 任务窗格中显示的某些列表会包含很多项目, 无法全部显示在一个窗口上 在这种情况下, 分页信息会显示您所查看的项目子集 请使用分页工具逐页翻阅列表, 或者在文本框中输入项目号来启动列表 可以在 系统 部分配置每页要显示的项目数 2-5

29 趋势科技 入侵防御防火墙 1.5 管理员指南 查看控件 在适当情况下, 查看控件会提供用于显示已列出项目的选项 例如, 当在导航窗格中单击某个计算机域时, 将在任务窗格中列出属于该域的计算机 使用查看控件可以选择是仅显示该域的计算机, 还是显示该域及所有子域的计算机 在适当情况下, 查看控件允许您按类别组织所列项目 例如, 您可能希望按已分配给所列计算机的安全配置文件来为这些计算机定义域 工具栏 工具栏中包含了可对您所在的窗口执行各种相应操作的按钮 通常包括删除 修改及创建项目列表的按钮 许多工具栏选项也都可在上下文菜单中看到 使用 IDF 服务器插件使您可以保存搜索以供重复使用 这实际上使您可以创建可重复使用的过滤器, 以便应用于所列项目 搜索和高级搜索 最简单的搜索方式是使用 简单 搜索栏 图 2-3. 简单 搜索栏 这将搜索数据库, 以在所列项目 ( 防火墙 窗口上的防火墙事件 系统事件 窗口上的系统事件等 ) 中查找匹配项 注意 : 将会搜索所有项目, 而不仅仅是当前显示的项目 例如, 如果您查看所有计算机最近 7 天内的防火墙事件, 则 防火墙事件 窗口可能会显示一条消息, 如 仅包括最新的 1,000 个项目 ( 共 55,056 个项目 ) 请考虑缩小日期范围或使用其他搜索条件 尽管只显示 1000 个项目, 但会搜索所有的 55,056 个项目 搜索引擎将彻底搜索数据库中除日期之外的每个字段 2-6

30 入侵防御防火墙入门 对于更加复杂的搜索, 请单击 高级搜索, 然后单击 打开高级搜索 图 2-4. 高级搜索 使用期间工具栏可以过滤列表, 从而只显示在特定时间范围内发生的事件 使用计算机工具栏, 可以按照域或计算机安全配置文件来组织事件日志条目的显示 图 2-5. 计算机 工具栏 搜索功能 ( 搜索不区分大小写 ): 包含 : 选定列中的条目包含该搜索字符串 不包含 : 选定列中的条目不包含该搜索字符串 等于 : 选定列中的条目完全符合该搜索字符串 不等于 : 选定列中的条目并不完全符合该搜索字符串 2-7

31 趋势科技 入侵防御防火墙 1.5 管理员指南 在范围内 : 选定列中的条目与其中的一个逗号分隔的搜索字符串条目完全匹配 不在范围内 : 选定列中的条目不与任何逗号分隔的搜索字符串条目完全匹配按搜索栏右侧的 加号 按钮 (+) 将显示另一个搜索栏, 这样可将多个参数应用于搜索 准备就绪后, 按 提交 按钮 ( 位于工具栏右侧, 带右向箭头 ) 状态栏 状态栏会显示 IDF 系统当前状态的相关信息 状态栏右侧会显示活动警报的数量 ( 如果有 ) 状态栏左侧会动态显示目前正在执行的操作, 例如计算机发现 端口扫描操作 客户端插件激活 客户端插件更新或客户端插件升级 上下文菜单 IDF 服务器插件的许多窗口都有上下文相关菜单 例如, 右键单击一个安全配置文件后会出现上下文菜单, 可让您快速访问工具栏中适合该窗口的大多数选项 右键单击某个计算机域后会显示上下文菜单, 内含管理当前域或创建新组的选项 注意 : 当鼠标指针悬停在 UI 的元素上时, 许多元素会显示信息工具提示 程序概览 服务器插件提供下列窗口来管理入侵防御防火墙 : 控制台 警报 报告 计算机 安全配置文件 2-8

32 入侵防御防火墙入门 防火墙 深度包检查 组件 系统 控制台 控制台 提供了 IDF 系统的状态速览 下图显示了控制台显示的示例 图 2-6. 控制台 窗口 控制台中显示的信息面板称为 "widget", 可以在该窗口中定制这些 widget 并按照日期 / 时间范围进行筛选 有关控制台的详细信息, 请参阅控制台, 开始于 3-1 页 2-9

33 趋势科技 入侵防御防火墙 1.5 管理员指南 警报 警报 窗口允许您查看并配置 IDF 警报 IDF 警报会在发生需要采取处理措施的重要事件时通知您 下图显示了 警报 窗口 图 2-7. 警报 窗口 有关 警报 窗口的详细信息, 请参阅警报, 开始于 4-1 页 2-10

34 入侵防御防火墙入门 报告 报告 窗口允许您生成报告 下图显示了 报告 窗口 图 2-8. 报告 窗口 有关生成报告的详细信息, 请参阅报告, 开始于 5-1 页 2-11

35 趋势科技 入侵防御防火墙 1.5 管理员指南 计算机 计算机 窗口允许您管理网络中的计算机 下图显示了 计算机 窗口 图 2-9. 计算机 窗口 有关如何管理计算机的详细信息, 请参阅管理计算机, 开始于 6-1 页 2-12

36 入侵防御防火墙入门 安全配置文件 使用安全配置文件可为防火墙规则 状态配置和 DPI 规则保存通用配置, 以方便为多台计算机分配这些配置 下图显示了 安全配置文件 窗口 图 安全配置文件 窗口 有关安全配置文件的详细信息, 请参阅安全配置文件, 开始于 7-1 页 2-13

37 趋势科技 入侵防御防火墙 1.5 管理员指南 防火墙 防火墙 窗口允许您管理防火墙, 包括监控防火墙事件和配置防火墙规则 下图显示了 防火墙规则 窗口 图 防火墙 窗口 有关管理防火墙的更多信息, 请参阅使用 IDF 防火墙, 开始于 8-1 页 2-14

38 入侵防御防火墙入门 深度包检查 深度包检查 窗口允许您监控 DPI 事件并配置 DPI 规则 下图显示了 DPI 规则 窗口 图 深度包检查 DPI 规则 窗口 有关管理深度包检查的更多信息, 请参阅使用深度包检查, 开始于 9-1 页 2-15

39 趋势科技 入侵防御防火墙 1.5 管理员指南 组件 组件 窗口允许您管理 IP 列表 MAC 列表 端口列表 上下文和时间表 下图显示了 组件端口列表 窗口 图 组件端口列表 窗口 有关管理组件的更多信息, 请参阅组件, 开始于 10-1 页 2-16

40 入侵防御防火墙入门 系统 系统 窗口允许您管理系统任务, 包括监控系统事件 配置系统设置 定义事件标记 定义任务, 以及管理使用授权和更新 下图显示了 系统事件 窗口 图 系统事件 窗口 有关更多信息, 请参阅系统, 开始于 12-1 页 2-17

41 趋势科技 入侵防御防火墙 1.5 管理员指南 2-18

42 第 3 章 控制台 本章介绍如何使用趋势科技 入侵防御防火墙控制台 本章包含下列主题 : 第 3-2 页的关于控制台 第 3-3 页的定制控制台 第 3-5 页的管理控制台配置 第 3-6 页的打开已保存的控制台配置 3-1

43 趋势科技 入侵防御防火墙 1.5 管理员指南 关于控制台 控制台是您登录 IDF 服务器插件后显示的第一个窗口 控制台通过显示称为 Widget 且可配置数量的信息面板提供 IDF 系统状态速览, 这些 Widget 可提供警报历史记录和状态 计算机状态 防火墙活动 DPI 活动 侦察扫描历史记录以及系统事件历史记录等信息 登录到 IDF 服务器插件时, 服务器插件中仍保留上次会话的控制台布局 图 3-1. 控制台 要打开控制台, 请在 IDF 主菜单中选择控制台 关于 Widget 许多 Widget 都包含链接, 使您能够 详细分析 数据 例如, 单击 DPI 历史记录图表中的列将显示 DPI 事件 窗口, 其中列出当天发生的所有 DPI 事件 注意 : 1x1 Widget 中数值旁边的趋势指示器 正三角或倒三角表示与前一段时间相比是增加了还是减少了, 水平线表示没有明显变化 3-2

44 控制台 定制控制台 您可以对控制台的许多方面进行配置和定制, 而且可以将布局保存起来, 以便在下次登录时显示 ( 即控制台会以您上次退出时的配置显示 ) 控制台显示的可配置元素按标记分类, 包括取用数据的时间段 显示哪些计算机或计算机域的数据 显示哪些 Widget 以及这些 Widget 在窗口上的布局等项目 配置 Widget 布局 可以通过选择 Widget ( 按标题栏 ), 然后将其拖放到新位置, 在窗口上重新排列 Widget 将 Widget 移到现有的 Widget 之上, 两者会交换位置 ( 将被取代的 Widget 会暂时变灰 ) 也可以在控制台窗口上添加或移除 Widget 图 3-2. 更改 Widget 布局 3-3

45 趋势科技 入侵防御防火墙 1.5 管理员指南 添加和移除控制台 Widget 单击控制台右上角的添加 / 移除 Widget... 可打开 添加 / 移除 Widget 窗口, 以查看可用 Widget 列表并选择要显示的 Widget 图 3-3. 添加和移除控制台 Widget 要从控制台移除 Widget, 请单击 Widget 右上角的 X 按标记过滤信息 通过控制台, 您可以按一个或多个标记过滤信息, 或者查看所有信息或未标记的信息 要在这些视图之间切换, 请使用窗口顶部的下拉菜单 图 3-4. 按标记查看 要按标记过滤, 请在标记框中输入标记名称 可以使用 * 表示任意字符串, 使用? 表示任意字符 要移除过滤器, 请选择全部或未标记 3-4

46 控制台 按日期 / 时间范围过滤信息 控制台会显示过去 24 小时或过去七天的数据 要在这两个视图之间切换, 请使用窗口顶部的下拉菜单 图 3-5. 日期 / 时间范围 按计算机和计算机域过滤 使用 计算机 : 下拉菜单过滤显示的数据, 以便只显示特定计算机上的数据 图 3-6. 计算机和计算机域 管理控制台配置 可以使用控制台右上角的配置菜单保存 加载和删除各个控制台配置 保存控制台配置 : 路径 :IDF 主菜单 控制台 1. 根据需要添加 移除和重新排列 Widget, 以及设置任意过滤器 2. 单击控制台右上角的配置菜单, 然后选择保存配置 在名称框中输入名称, 然后单击确定 删除控制台配置 : 路径 :IDF 主菜单 控制台 单击控制台右上角的配置菜单, 然后单击配置名称旁边的 X 3-5

47 趋势科技 入侵防御防火墙 1.5 管理员指南 打开已保存的控制台配置 要打开已保存的配置, 请单击配置, 然后从下拉菜单中选择配置 图 3-7. 打开已保存的控制台配置 3-6

48 第 4 章 警报 本章介绍如何使用趋势科技 入侵防御防火墙警报来监控事件 本章包含下列主题 : 第 4-2 页的关于警报 第 4-2 页的查看警报 第 4-3 页的配置警报 第 4-4 页的设置警报电子邮件 4-1

49 趋势科技 入侵防御防火墙 1.5 管理员指南 关于警报 有 60 多种情况会导致在 IDF 系统中触发警报 警报的作用大致上是警告系统状态异常, 例如计算机脱机或 DPI 规则过期, 不过有一些警报是警告您, 系统检测到指纹扫描和其他安全性相关的事件 ( 关于个别 DPI 和防火墙事件的通知, 可考虑设置一个 Syslog 服务器 ) 查看警报 警报 窗口会显示所有活动警报 警报以摘要视图 ( 将类似警报分域显示 ) 显示, 或以列表视图 ( 逐一列出每个警报 ) 显示 要在两个视图之间切换, 请使用窗口标题中 警报 旁边的下拉菜单 图 4-1. 警报 在 摘要视图 中, 展开警报面板 ( 单击显示详细信息 ) 可显示生成该特定警报的所有计算机 ( 单击计算机将会显示计算机的 详细信息 窗口 ) 在 摘要视图 中, 如果计算机列表中的计算机超过五个, 则第五个计算机后面会出现省略号 ("...") 单击省略号可显示完整列表 采取适当的操作处理警报后, 选中警报目标旁边的复选框, 然后单击解除链接, 即可解除警报 ( 在 列表视图 中, 右键单击警报即可查看上下文菜单中的选项列表 ) 警报有两种 : 系统和安全 系统警报由系统事件 ( 客户端插件脱机 计算机上的时钟更改等 ) 触发 安全警报由 DPI 和防火墙规则触发 可以通过单击配置警报... 来配置警报 注意 : 使用计算机过滤栏, 可以只查看在特定计算机域中 具有特定安全配置文件等计算机的警报 4-2

50 警报 配置警报 可以打开或关闭警报, 将严重性设置为 警告 或 严重, 以及出现 警报 时采取下列哪一项处理措施 在引发此警报时, 发送电子邮件进行通知 在此警报的条件发生更改 ( 如项目数 ) 时, 发送电子邮件进行通知 在此警报不再存在时, 发送电子邮件进行通知 配置警报 : 路径 :IDF 主菜单 警报 路径 :IDF 主菜单 系统 > 系统设置 > 系统 1. 单击 警报 窗口右上方或 系统 窗口中的配置警报..., 然后单击查看警报配置... 此时将打开 警报配置 窗口, 其中显示警报列表, 以及严重性和打开 / 关闭信息 2. 要过滤该列表, 请从窗口顶部的下拉列表中选择按严重性或无分组 3. 要查看警报信息并编辑每个警报所引发的处理措施, 请右键单击警报, 然后选择属性... 以打开 属性 窗口 可以打开或关闭警报, 并可在 警告 和 严重 之间切换其严重程度 注意 : 不能为各个安全配置文件或计算机配置不同的警报 警报属性的所有更改都是全局的 您可以指定一个缺省的电子邮件地址, 所有电子邮件警报都会发送至此地址 要设置警报电子邮件, 请参阅下一节设置警报电子邮件 4-3

51 趋势科技 入侵防御防火墙 1.5 管理员指南 设置警报电子邮件 当触发已选警报时, IDF 服务器插件会发送电子邮件 要启用电子邮件系统, 必须授予 IDF 服务器插件访问 SMTP 邮件服务器的权限 您必须配置 SMTP 设置, 并选择将触发电子邮件的警报 有 30 多种情况会触发警报, 而您可能不希望所有情况都触发发送电子邮件 配置 SMTP 设置 : 路径 :IDF 主菜单 系统 > 系统设置 > 系统 1. 在 "SMPTP" 区域中, 键入 SMTP 邮件的地址 ( 必要时加上端口 ) 2. 输入要发送电子邮件的 发件人 电子邮件地址 可以选择键入 退信 地址, 无法发送警报电子邮件时, 会将失败通知发送到该地址 3. 如果 SMTP 邮件服务器需要传出认证, 请键入用户名和密码凭证 输入必要的信息后, 请使用测试 SMTP 设置来测试设置 配置哪些警报会触发发送电子邮件 : 路径 :IDF 主菜单 系统 > 系统设置 4. 单击系统选项卡, 然后单击查看警报配置..., 以显示所有警报的列表 打开 列中的复选标记表示警报是否已打开 如果已开启, 则表示若出现相应的情况将会触发警报, 但并不表示将会发送电子邮件 5. 双击警报以查看其警报配置窗口, 或右键单击警报并从弹出菜单中选择属性 要使警报触发电子邮件, 请选择打开, 然后至少选中一个发送电子邮件复选框 4-4

52 第 5 章 报告 本章介绍如何配置并生成趋势科技 入侵防御防火墙报告 本章包含下列主题 : 第 5-2 页的关于报告 第 5-2 页的生成报告 5-1

53 趋势科技 入侵防御防火墙 1.5 管理员指南 关于报告 报告 窗口生成的大部分报告都含有可配置参数, 如日期范围或按计算机域生成报告 不适用于报告的参数选项将被禁用 可用的报告类型包括 : 警报报告 攻击报告 防火墙报告 取证计算机审计报告 计算机报告 DPI 报告 建议报告 摘要报告 可疑应用程序活动报告 系统事件报告 生成报告 可以生成 PDF 或 RTF 格式的报告 您可以选择报告的类型, 并依据标记 时间段 安全配置文件和域或计算机来筛选要包含的信息 您可以选择使用密码来保护报告 生成报告 : 路径 :IDF 主菜单 报告 1. 在 报告 区域中, 选择要生成的报告的类型和格式 报告可以输出为 PDF 或 RTF 格式 2. 在 标记过滤器 区域中, 为该报告定义任意标记 选择包含事件数据的报告时, 可以选择使用 事件标记 过滤报告数据 仅为标记的事件选择所有, 仅为未标记的事件选择未标记, 或选择标记并指定一个或多个标记以仅包含那些具有所选标记的事件 5-2

54 报告 3. 在 时间过滤器 区域中, 您可以为存在记录的任一时间段设置时间过滤器 这对安全审计非常有用 注意 : 报告使用计数器中存储的数据 计数器中的数据是定期从事件聚合的数据 最近三天的计数器数据会每小时聚合一次 三天前的数据将存储在按天聚合的计数器中 基于此原因, 最近三天的报告所涵盖的时间段能以每小时级别的粒度来指定, 但是, 如果超出三天, 此时间段只能以每天级别的粒度来指定 4. 在 计算机过滤器 区域中, 设置其数据将包含在报告中的计算机 5. 在 加密 区域中, 可以设置密码保护 注意 : 如果 IDF 服务器插件包含的原始报告不能满足您的报告要求, 则可以为您设计定制报告 有关更多信息, 请联系您的支持提供商 5-3

55 趋势科技 入侵防御防火墙 1.5 管理员指南 5-4

56 第 6 章 管理计算机 本章介绍如何管理趋势科技 入侵防御防火墙计算机和 IDF 客户端插件 本章包含下列主题 : 第 6-2 页的关于计算机 第 6-2 页的查看计算机信息 第 6-5 页的扫描计算机上打开的端口 第 6-6 页的扫描计算机上有无建议项目 第 6-10 页的将安全配置文件分配给计算机 第 6-10 页的管理客户端插件 第 6-17 页的查看计算机的事件 第 6-19 页的锁定和解锁计算机 第 6-19 页的分配计算机资产值 第 6-20 页的查看和编辑计算机详细信息 第 6-27 页的继承与覆盖 6-1

57 趋势科技 入侵防御防火墙 1.5 管理员指南 关于计算机 使用入侵防御防火墙, 您可以监控网络中的计算机 管理每台计算机上的客户端插件 执行端口扫描和建议扫描 分配安全配置文件以及查看计算机的事件 查看计算机信息 使用 计算机 窗口, 您可以管理和监控网络上的计算机, 显示受管计算机及每台计算机的相关信息 ( 例如, 平台 安全配置文件 状态和上次成功更新日期 ) 要打开 计算机 窗口, 请在 IDF 主菜单中单击计算机 图 6-1. 计算机 窗口 此窗口会定期自我更新 要添加或删除信息列, 请单击工具栏中的添加 / 删除列按钮, 然后从添加 / 删除列弹出式窗口中选择要包含的列 6-2

58 管理计算机 查看计算机预览 预览 会在列出的计算机下方展开一个显示区域 预览窗格显示客户端插件是否存在 其状态以及有关防火墙和 DPI 模块的详细信息 图 6-2. 计算机预览窗格 查看计算机预览 : 路径 :IDF 主菜单 计算机 1. 单击工具栏中的预览 2. 选择要预览的计算机 预览 选项会一直保持启用状态, 直到您再次单 击预览按钮 检查计算机的状态 此命令只是检查计算机的状态, 而不尝试执行扫描或激活 有关计算机状态的详细信息, 请参阅第 B-1 页的计算机和客户端插件状态 检查状态 : 路径 :IDF 主菜单 计算机 1. 选择要检查其状态的计算机 2. 右键单击以显示弹出式菜单, 然后选择处理措施 > 检查状态 6-3

59 趋势科技 入侵防御防火墙 1.5 管理员指南 搜索计算机 使用 搜索 文本框在列出的计算机中搜索特定的计算机 对于更复杂的搜索选项, 请使用下面的 高级搜索 选项 高级搜索功能 ( 搜索不区分大小写 ): 包含 : 选定列中的条目包含该搜索字符串 不包含 : 选定列中的条目不包含该搜索字符串 等于 : 选定列中的条目完全符合该搜索字符串 不等于 : 选定列中的条目并不完全符合该搜索字符串 在范围内 : 选定列中的条目与其中的一个逗号分隔的搜索字符串条目完全匹配 不在范围内 : 选定列中的条目不与任何逗号分隔的搜索字符串条目完全匹配 将计算机列表与防毒墙网络版同步 每次启动服务器插件时都会自动将 IDF 计算机列表与防毒墙网络版同步, 但是, 如果在运行服务器插件时将计算机添加至防毒墙网络版, 则不会更新此列表 当服务器插件正在运行时, 使用工具栏上的与防毒墙网络版同步按钮可强制与防毒墙网络版同步 注意 : 在计算机上安装了防毒墙网络版客户端后, 防毒墙网络版服务器将为其分配一个唯一标识号 防毒墙网络版和入侵防御防火墙使用此唯一标识号来跟踪各台计算机 如果将防毒墙网络版客户端从计算机中卸载后重新安装 ( 同时安装入侵防御防火墙客户端插件 ), 防毒墙网络版将为计算机分配一个新的唯一 ID 下次与防毒墙网络版同步以便更新计算机列表时, 入侵防御防火墙将识别该新的唯一标识号, 并将此计算机作为一个新条目对待 由于计算机的主机名不会改变, 因此计算机所对应的新列出名称将在主机名后附加 _1 ( 或 _2 _3 等 ) 现在, 同一计算机会被列出两次 : 一次为 hostname, 另一次为 hostname_1 您应删除第一个列出项 ( hostname ), 保留第二个列出项 ( hostname_1 ) ( 删除原来的列出项后, 可将 hostname_1 重命名为 hostname ) 6-4

60 管理计算机 扫描计算机上打开的端口 端口扫描会在所有选定的计算机上执行扫描, 也会检查计算机上安装的客户端插件, 以确定客户端插件的状态是 要求停用客户端插件 要求激活客户端插件 要求重新激活客户端插件 还是 联机 ( 缺省情况下扫描操作扫描端口 您可以在系统 > 系统设置部分的扫描选项卡中更改此范围 ) 有关如何配置要扫描的端口的信息, 请参阅第 10-5 页的配置端口扫描设置 注意 : 无论端口范围设置如何, 一律会扫描端口 4118 在计算机上, 服务器插件发起的通信就是在此端口上发送的 如果计算机的通信方向设置为 客户端插件发起的 ( 计算机详细信息 > 系统 > 设置 > 计算机 > 通信方向 ), 会关闭端口 4118 从计算机列表扫描打开的端口 : 路径 :IDF 主菜单 计算机 1. 选择要扫描的计算机 2. 单击工具栏中的扫描打开的端口, 或右键单击并从弹出式菜单中选择处理 措施 > 扫描打开的端口 从计算机的 防火墙 窗口扫描打开的端口 : 路径 :IDF 主菜单 计算机 1. 选择计算机 2. 右键单击并从弹出式菜单中选择详细信息 在导航窗格中, 单击防火墙 4. 单击扫描打开的端口按钮 另一种启动端口扫描的方法是创建预设任务以针对计算机列表定期执行端口扫描 6-5

61 趋势科技 入侵防御防火墙 1.5 管理员指南 取消当前正在执行的所有端口扫描操作 如果启动对许多台计算机和 / 或很大范围内的端口的一系列端口扫描, 并且扫描需要花费很长的时间, 则使用此选项可取消扫描 取消扫描 : 路径 :IDF 主菜单 计算机 1. 选择要取消扫描的计算机 2. 右键单击以显示弹出式菜单, 然后选择处理措施 > 取消扫描打开的端口或 取消扫描建议 扫描计算机上有无建议项目 扫描建议 会促使 IDF 服务器插件扫描计算机, 然后根据检测结果提出安全规则建议 可以在各种 规则 窗口的计算机 详细信息 窗口看到建议扫描结果 有关更多信息, 请参阅第 6-20 页的查看和编辑计算机详细信息 当您指示 IDF 在计算机上运行建议扫描时,IDF 客户端插件会扫描计算机的注册表 正在运行的进程 打开的端口 文件系统和服务以查找已知的漏洞 客户端插件不仅扫描操作系统, 还扫描安装的应用程序 IDF 将根据检测结果建议使用的 DPI 规则 注意 : 对于大型部署, 趋势科技建议在安全配置文件级别管理建议 也就是说, 所有要扫描的计算机都应已分配安全配置文件 这样, 您就可以从单个源 ( 安全配置文件 ) 进行所有规则分配, 而不必在各个计算机上管理各个规则 可手动启动建议扫描, 也可以创建预设任务以定期在某些计算机上运行扫描 手动扫描建议 : 路径 :IDF 主菜单 计算机 1. 选择要扫描的计算机 2. 单击工具栏中的扫描建议, 或右键单击并从弹出式菜单中选择处理措施 > 扫描建议 6-6

62 管理计算机 创建建议扫描预设任务 : 路径 :IDF 主菜单 系统 > 任务 1. 单击工具栏上的新建并选择新建预设任务, 以显示新建预设任务向导 2. 从类型菜单中选择 扫描计算机上有无建议项目, 并选择要进行扫描的 频率 单击下一步 3. 在下一个窗口中, 您可以根据选择, 对扫描频率进行更具体的设置 做出 选择并单击下一步 4. 现在, 选择将扫描的计算机并单击下一步 注意 : 通常, 对于大型部署, 最好通过安全配置文件执行所有操作 5. 最后, 为新的预设任务指定名称, 选择是否在 完成 时运行任务, 并单击完成 6-7

63 趋势科技 入侵防御防火墙 1.5 管理员指南 管理建议扫描结果 完成建议扫描后, 打开分配给刚扫描的计算机的安全配置文件 导航至深度包检查 > DPI 规则 按应用程序类型 对规则进行排序, 然后从显示过滤器菜单中选择 显示建议分配的项目 : 图 6-3. 建议扫描结果 将列出安全配置文件中包含的针对所有计算机提出的所有建议 注意 : 有两种绿色标志 完整标志 ( ) 和部分标志 ( ) 建议的规则始终具有完整标志 应用程序类型可能具有完整标志或部分标志 如果标志为完整标志, 则表示建议分配为此应用程序类型一部分的所有规则 如果标志为部分标志, 则表示仅建议分配为此应用程序类型一部分的某些规则 6-8

64 管理计算机 另请注意以上窗口截图中的工具提示 它显示 : 建议在将此安全配置文件分配到的 3 台 ( 共 21 台 ) 计算机上使用此 DPI 规则 趋势科技建议将所有建议的规则分配给安全配置文件涉及的所有计算机 这可能表示会将某些规则分配给不需要这些规则的计算机 但是, 使用安全配置文件带来的易于管理优势远大于对性能造成的轻微影响 请记住, 建议扫描将针对 DPI 规则提出建议 建议扫描运行后, 将在提出建议的所有计算机上发出警报 注意 : 建议扫描的结果还可包含取消分配规则的建议 如果卸载了应用程序, 应用了来自制造商的安全 Patch, 或已手动应用不必要的规则, 则可能会发生此情况 要查看建议取消分配的规则, 请从显示过滤器菜单中选择 显示建议取消分配的项目 配置建议的规则 某些规则需要进行配置才可以应用 例如, 一个 DPI 规则要求您为预计当天到达的电子邮件的数量设置最小阈值和最大阈值 在这种情况下, 将在提出建议的计算机上发出警报 警报的文本将包含配置规则需要的信息 清除建议 清除在该计算机上执行建议扫描后生成的规则建议 这也会移除在执行建议扫描后生成的警报中列出的相应计算机 注意 : 此操作不会取消分配根据以往建议分配的任何规则 清除建议 : 路径 :IDF 主菜单 计算机 1. 选择要清除建议的计算机 2. 右键单击以显示弹出式菜单, 然后选择处理措施 > 清除建议 6-9

65 趋势科技 入侵防御防火墙 1.5 管理员指南 分配安全配置文件 您可以为一台或多台计算机分配安全配置文件, 也可以为当前域分配配置文件 有关安全配置文件的详细信息, 请参阅安全配置文件, 开始于 7-1 页 将安全配置文件分配给计算机 您可以为一台或多台计算机分配安全配置文件 计算机 列表中的 安全配置文件 列会显示分配给计算机的安全配置文件的名称 注意 : 如果将其他设置应用到计算机 ( 例如, 添加其他防火墙规则或修改状态配置设置 ), 安全配置文件的名称将会使用粗体, 表示缺省设置已更改 为一台或多台计算机分配安全配置文件 : 路径 :IDF 主菜单 计算机 1. 选择要为其分配配置文件的计算机 2. 单击工具栏中的分配安全配置文件..., 或右键单击并从弹出式菜单中选择 处理措施 > 分配安全配置文件 在分配安全配置文件窗口中, 选择要分配的安全配置文件, 然后单击确定 将安全配置文件分配到当前域 将安全配置文件分配到域相当于将该配置文件分配给该域中的每一台计算机 请记住, 安全配置文件是在计算机级别 ( 不是在域级别 ) 分配给计算机的 将安全配置文件分配到域会将该安全配置文件分配到该域中的所有计算机, 但不会自动将该安全配置文件分配给后来添加到域中的任何计算机 管理客户端插件 客户端插件安装在网络中的所有客户端计算机上, 允许服务器插件与客户端计算机进行通信并管理其安全 6-10

66 管理计算机 配置插件通信 在缺省设置 ( 双向 ) 下, 客户端插件将会启动波动信号, 不过仍会侦听客户端插件端口的服务器插件连接, 而服务器插件可自由连接客户端插件, 以便根据需要执行操作 服务器插件发起的 表示服务器插件会启动所有通信 当服务器插件执行预设更新 执行波动信号操作时 ( 见下文 ), 以及当您从服务器插件界面中选择 启动 / 重新启动 或 立即更新 选项时, 就会启动地址通信 如果要将计算机与远程资源所启动的通信隔离, 可以选择由客户端插件自身定期检查更新及控制波动信号操作 如果是这样, 请选择 客户端插件发起的 注意 : 服务器插件在波动信号过程中收集了下列信息 : 驱动程序的状态 ( 联机或脱机 ) 客户端插件的状态 ( 包括时钟时间 ) 自上次波动信号以来的客户端插件日志 用来更新计数器的数据, 以及客户端插件安全配置的指纹 ( 用来确定是否为最新 ) 您可以更改波动信号发生的频率 ( 客户端插件发起的还是服务器插件发起的 ), 以及在触发警报之前可错过的波动信号数量 此设置 ( 和其他许多设置一样 ) 可按三个级别配置 : 在所有计算机上 ( 设置全系统的缺省值 ) 只在已分配特定安全配置文件的计算机上, 以及在个别计算机上 在系统上整体配置 : 1. 转至服务器插件的系统 > 系统设置窗口, 然后单击计算机选项卡 2. 从 通信方向 面板的下拉列表中, 选择 服务器插件发起的 客户 端插件发起的 或 双向 仅在已分配特定安全配置文件的计算机上 : 1. 打开要配置其通信设置的安全配置文件的安全配置文件属性窗口 2. 转至系统 > 系统设置, 然后转至计算机选项卡 3. 在 IDF 服务器插件到客户端插件之间的通信方向 : 下拉菜单中, 选择三个选项 ( 服务器插件发起的 客户端插件发起的 或 双向 ) 中的一个, 或选择 已继承 如果选择 已继承, 安全配置文件将继承之前在服务器插件的系统 > 系统设置窗口中指定的设置 选择其他任一选项将会覆盖全局选择 4. 单击保存应用更改 6-11

67 趋势科技 入侵防御防火墙 1.5 管理员指南 仅在特定计算机上 : 1. 打开要配置其通信设置的计算机的详细信息窗口 2. 转至系统 > 系统设置, 然后转至计算机选项卡 3. 在 IDF 服务器插件到客户端插件之间的通信方向 : 下拉菜单中, 选择三个选项 ( 服务器插件发起的 客户端插件发起的 或 双向 ) 中的一个, 或选择 已继承 如果选择 已继承, 该计算机将继承之前在其安全配置文件的 详细信息 窗口或服务器插件的 系统 > 系统设置 窗口中指定的设置 选择其他任一选项将会覆盖安全配置文件和 / 或全局选择 4. 单击保存应用更改 注意 : 客户端插件会根据服务器插件的主机名在网络中查找 IDF 服务器插件 因此, 您的本地 DNS 中必须有服务器插件的主机名, 才能执行客户端插件发起的通信或双向通信 部署客户端插件 通常可以使用服务器插件界面来安装和管理客户端插件 但是, 在某些情况下, 必须在客户端计算机本机上执行操作 从服务器部署客户端插件 在防毒墙网络版客户端上安装客户端插件时, 会自动激活客户端插件 注意 : 客户端插件将安装到 <PROGRAM FILES>Trend Micro\IDF Client ( 这是缺省位置, 无法更改 ) 部署客户端插件 : 路径 :IDF 主菜单 计算机 1. 选择要在其上部署客户端插件的计算机 2. 右键单击以显示弹出式菜单, 然后选择处理措施 > 部署客户端插件 6-12

68 管理计算机 使用独立客户端插件安装程序 IDF 独立客户端插件安装程序数据包是在客户端计算机上运行的自解压缩.msi 文件, 可以根据需求从趋势科技支持人员那里获得 客户端计算机上必须已经安装了 OSCE 客户端 安装后客户端插件将执行自动代理启动的激活, 但是客户端插件启动的激活却必须从 IDF 服务器插件控制台启用, 才能执行自动激活 ( 系统 > 系统设置 > 计算机 ) 独立安装程序使用 OSCE 客户端执行 IDF 客户端插件的安装, 并认为 OSCE 客户端已经安装在缺省位置 : C:\Program Files\Trend Micro\OfficeScan Client 使用独立客户端插件安装程序 : 1. 如果不需要日志记录 : 在 32 位平台上, 双击 IdfClient xxxx-en.i386.msi 在 64 位平台上, 双击 IdfClient xxxx-en.x86_64.msi ( xxxx 是内部 Build 号 ) 2. 如果需要日志记录, 请执行以下操作而不是上面的步骤 1: a. 打开命令窗口 b. 导航到包含独立 msi 的文件夹 c. 运行以下命令 : msiexec /i IdfClient xxxx-en.i386.msi /l*v idf_standalone.log 日志文件名为 idf_standalone.log 3. 验证计算机窗口中是否列出客户端, 并验证其状态是否为 被管理 注意 : 由于独立安装程序会暂时中断客户端的网络连接, 因此安装程序必须在主机计算机上本地运行 6-13

69 趋势科技 入侵防御防火墙 1.5 管理员指南 激活 / 重新激活客户端插件 当计算机未受管理时, 只有激活客户端插件才能使计算机进入受管状态 客户端插件在激活之前处于下列状态之一 : 没有客户端插件 : 指明缺省端口上没有正在运行或侦听的客户端插件 没有客户端插件 状态也可能表示客户端插件已安装且正在运行, 但正在配合另一个服务器插件工作, 并且通信已配置为 客户端插件发起的, 因此, 客户端插件没有侦听此服务器插件 ( 如果要更正后面这种情况, 必须在该计算机上停用客户端插件 ) 已安装客户端插件 : 客户端插件已安装且正在侦听, 随时可由服务器插件激活 要求激活客户端插件 : 客户端插件已安装且正在侦听, 正等待服务器插件激活 要求重新激活客户端插件 : 客户端插件已安装且正在侦听, 正等待服务器插件激活 要求停用客户端插件 : 客户端插件已安装且正在侦听, 但已被另一个服务器插件激活 要让此服务器插件激活该客户端插件, 必须在计算机上本地停用该客户端插件 客户端插件在成功激活后, 状态将变成 被管理 如果激活失败, 计算机状态将显示 客户端插件激活失败, 同时在括号中注明失败原因 单击此链接会显示系统事件, 以提供激活不成功的详细原因 激活客户端插件 : 路径 :IDF 主菜单 计算机 1. 选择要在其上激活客户端插件的计算机 2. 右键单击以显示弹出式菜单, 然后选择处理措施 > 激活 / 重新激活 6-14

70 管理计算机 停止和启动客户端插件 仅可在计算机上本地停止或启动客户端插件 停止或启动客户端插件 : 停止 : 从命令行运行以下命令 :sc stop ds_agent 启动 : 从命令行运行以下命令 :sc start ds_agent 更新计算机上的客户端插件 更新计算机上的客户端插件会将您对该计算机所做的所有配置更改从服务器插件部署到客户端插件 发出每个波动信号时会自动执行更新, 但如果要立即应用更改, 您可以使用此选项 使用立即更新按钮可覆盖计算机访问时间表, 或强制服务器插件重试更新 ( 如果前次尝试失败 ) 注意 : 如果通信未配置为 客户端插件发起的, 实际上会立即执行自动更新 ; 如果配置为 客户端插件发起的, 则会在发出下一个波动信号时才执行更新 更新客户端插件 : 路径 :IDF 主菜单 计算机 1. 选择要在其上停用客户端插件的计算机 2. 右键单击以显示弹出式菜单, 然后选择处理措施 > 立即更新 手动升级客户端插件 可能会出现因服务器插件计算机和客户端插件计算机之间存在连接限制, 而无法从服务器插件界面升级计算机上的客户端插件软件的情况 在这种情况下, 需要手动升级计算机上的客户端插件软件 需要手动从趋势科技下载专区下载新的客户端插件软件 要手动升级客户端插件, 请将客户端插件安装程序复制到计算机上并运行它 程序会检测先前的客户端插件并执行升级 6-15

71 趋势科技 入侵防御防火墙 1.5 管理员指南 停用计算机上的客户端插件 停用客户端插件和卸载客户端插件不同 停用只是从客户端插件删除所有的规则 过滤器等, 以及解除服务器插件对它的专属控制绑定 ( 服务器插件激活客户端插件之后, 入侵防御防火墙系统的其他安装将不能再与客户端插件通信 停用之后, 任意入侵防御防火墙都可以重新激活客户端插件, 并拥有其专属控制权 ) 如果服务器插件无法再与客户端插件通信, 则需手动停用 您可能需要在两个 IDF 服务器插件安装之间转移计算机 / 客户端插件的控制权 如果是这样, 必须停用客户端插件, 然后让新的服务器插件将其重新激活 可以在计算机本地通过客户端插件 UI 停用客户端插件, 也可以通过当前管理该客户端插件的服务器插件来停用 ( 不必连接计算机也能停用 如果某个无法访问的已停用计算机现在又可以访问了, 则该计算机在计算机列表中只会显示为 新的 ( 未知 ) 计算机 ) 从服务器插件停用客户端插件 : 路径 :IDF 主菜单 计算机 1. 选择要在其上停用客户端插件的计算机 2. 右键单击以显示弹出式菜单, 然后选择处理措施 > 停用 手动停用客户端插件 : 1. 在客户端计算机上, 打开命令提示符窗口 ( 开始 > 运行 > cmd.exe) 2. 转至客户端插件安装目录 : cd c:\program Files\Trend Micro\IDF Client 3. 指示要停用的客户端插件 : dsa_control /r /c ds_agent.crt 客户端插件现在可以由另一个 ( 或同一个 ) 入侵防御防火墙服务器激活 注意 : 计算机现已不再受入侵防御防火墙过滤器和规则的保护 6-16

72 管理计算机 卸载客户端插件 通常可以从服务器插件界面卸载客户端插件 ; 但是, 在某些情况下, 必须从客户端计算机手动卸载客户端插件 注意 : 不能使用 控制面板 中的 添加或删除程序 Applet 卸载 IDF 客户端插件 从服务器移除客户端插件 : 路径 :IDF 主菜单 计算机 1. 选择要从中移除客户端插件的计算机 2. 右键单击以显示弹出式菜单, 然后选择处理措施 > 移除客户端插件 手动卸载客户端插件 : 1. 在客户端计算机上, 打开命令提示符窗口 ( 开始 > 运行 > cmd.exe) 2. 对于 32 位 Windows, 键入以下命令并按 Enter: rundll32 "C:\Program Files\Trend Micro\IDF Client\ IdfClientAgent.dll",Uninstall 3. 对于 64 位 Windows, 键入以下命令并按 Enter: rundll32 "C:\Program Files (x86)\trend Micro\IDF Client\ IdfClientAgent.dll",Uninstall 查看计算机的事件 您可以检查与特定计算机关联的系统事件和管理事件 ( 也就是与安全无关的事件 ), 也可以检查从该计算机的客户端插件上传的最新防火墙事件 您可以覆盖正常事件检索时间表 ( 通常在发出每个波动信号时 ), 并立即从计算机检索事件日志 有关计算机事件的详细信息, 请参阅第 C-21 页的客户端插件事件 6-17

73 趋势科技 入侵防御防火墙 1.5 管理员指南 查看计算机的系统事件 : 路径 :IDF 主菜单 计算机 1. 选择要查看其系统事件的计算机 2. 右键单击以显示弹出式菜单, 然后选择查看 > 查看系统事件 此时会打开一个新窗口, 其中显示所选计算机的系统事件 有关系统事件 的信息, 请参阅第 C-7 页的系统事件 查看计算机的防火墙事件 : 路径 :IDF 主菜单 计算机 1. 选择要查看其防火墙事件的计算机 2. 右键单击以显示弹出式菜单, 然后选择查看 > 查看防火墙事件 此时会打开一个新窗口, 其中显示所选计算机的防火墙事件 有关系统事 件的信息, 请参阅第 C-2 页的防火墙事件 立即从客户端插件获取事件 : 路径 :IDF 主菜单 计算机 1. 选择要从中获取事件的计算机 2. 右键单击以显示弹出式菜单, 然后选择处理措施 > 立即获取事件 清除警告 / 错误 如果客户端插件已在本地重置, 或者在停用或从 计算机列表 删除计算机之前, 就已经从网络中移除客户端插件, 则可清除针对该计算机生成的任何警告或错误 清除警告和错误 : 路径 :IDF 主菜单 计算机 1. 选择要清除警告和错误的计算机 2. 右键单击以显示弹出式菜单, 然后选择处理措施 > 清除警告 / 错误 6-18

74 管理计算机 锁定和解锁计算机 如果要对计算机执行一些维护工作, 又不希望在服务器插件中触发一连串的警报, 您可以锁定计算机 注意 : 在这种状态下, 计算机状态将显示为 已锁定, 且服务器插件不会与客户端插件通信, 也不会触发任何与计算机 / 客户端插件相关的警报 现有的计算机警报不受影响 允许正在进行的计算机更新正常完成 请注意, 客户端插件不知道计算机处于锁定状态 如果客户端插件与服务器插件之间的通信已设置为 客户端插件发起的 或 双向, 客户端插件可能会生成一个事件, 在最后再次联系到服务器插件时会报告此事件 锁定计算机 : 路径 :IDF 主菜单 计算机 1. 选择要锁定的计算机 2. 右键单击以显示弹出式菜单, 然后选择处理措施 > 锁定 解锁计算机 : 路径 :IDF 主菜单 计算机 1. 选择要解锁的计算机 2. 右键单击以显示弹出式菜单, 然后选择处理措施 > 解锁 分配计算机资产值 计算机资产值是一种 ( 可定制 ) 评估系统, 用于将值分配给计算机 评估系统中的每个级别都使用介于 1 和 100 之间的值 将此值乘以规则的严重性值就可以给防火墙和 DPI 规则事件排序 要配置排序, 请转到系统 > 系统设置 > 排序 分配计算机资产值 : 路径 :IDF 主菜单 计算机 1. 选择要分配资产值的计算机 2. 右键单击以显示弹出式菜单, 然后选择处理措施 > 分配资产值 在分配资产值窗口中, 选择资产值, 然后单击确定 6-19

75 趋势科技 入侵防御防火墙 1.5 管理员指南 查看和编辑计算机详细信息 计算机的 详细信息 窗口反映 IDF 服务器插件的主界面 它包括所有设置和配置, 可以更改所有这些设置和配置以覆盖任何更高级别的设置和配置 打开 计算机详细信息 窗口 : 路径 :IDF 主菜单 计算机 1. 选择要查看或编辑其详细信息的计算机, 然后单击工具栏中的 详细信息, 或右键单击以显示弹出式菜单, 然后选择查看 > 详细信息 此时会打开一个新窗口, 其中显示导航栏以用于访问所选计算机的详细信息 图 6-4. 计算机详细信息 窗口 6-20

76 管理计算机 计算机信息 通过 计算机详细信息 窗口的 计算机信息 窗口, 您可以编辑所选计算机的相关信息 ( 例如, 主机名和域 ), 也可以查看信息 ( 例如, 客户端插件状态 ) 查看或编辑计算机信息 : 路径 :IDF 主菜单 计算机 > 详细信息 1. 选择计算机, 然后单击工具栏中的详细信息, 或右键单击以显示弹出式菜单, 然后选择详细信息 在 常规 区域中, 编辑下列任意选项 : 主机名 : 显示在 计算机 窗口的 名称 列中 此名称必须是计算机的 IP 地址或计算机的主机名 ( 如果使用主机名来代替 IP 地址, 则将使用完全限定主机名或相对主机名 ) 描述 : 计算机的描述 平台 : 此处将显示计算机操作系统的详细信息 域 : 计算机所属的计算机域将显示在下拉列表中 可以将计算机重新分配给任何其他现有的计算机域 安全配置文件 : 分配给此计算机的安全配置文件 ( 如果有 ) 注意 : 请记住, 从计算机上取消分配安全配置文件时, 如果规则是独立于安全配置文件进行分配的, 则这些规则在该计算机上可能仍然生效 资产重要性 :IDF 服务器插件会使用排序系统来量化安全事件的重要性 为规则分配 严重性级别 ( 高 中 低等 ), 为资产 ( 计算机 ) 分配 资产重要性 级别 这些级别均有数值显示 触发计算机上的规则时, 就会将 资产重要性 值与 严重性级别 值相乘 这样将产生一个得分, 可用于按照重要性对事件进行排序 ( 在 事件 窗口中可以看到事件排序 ) 使用此 资产重要性 下拉列表, 为此计算机分配资产重要性级别 ( 要编辑与严重性级别和重要性级别相关的数值, 请转至系统 > 系统设置 > 排序 ) 6-21

77 趋势科技 入侵防御防火墙 1.5 管理员指南 锁定计算机 ( 阻止所有通信 ): 设置此选项会阻止客户端插件与服务器插件之间的所有通信 计算机的安全配置文件仍然处于活动状态 ( 所有规则仍然应用于所有网络通信 ), 但如果生成警报, 不会将其发送到服务器插件 注意 : 如果准备对计算机执行一些维护工作, 又不希望服务器插件中出现一连串警报, 您可能需要锁定计算机 3. 在 状态 区域中, 可以使用下列 状态 信息和选项 : 状态 : 显示当前的计算机状态, 如下所示 : 当计算机未被管理时, 其状态会显示 未被管理, 后面紧跟括在括号中的客户端插件状态 ( 没有客户端插件 未知 需要重新激活 需要激活 或 需要停用 ) 如果计算机被管理且未出现任何计算机错误, 该状态会显示 被管理, 后面紧跟括在括号中的客户端插件状态 ( 联机 或 脱机 ) 如果计算机被管理且客户端插件正在执行操作 ( 例如, 正在升级客户端插件 ( 已发送安装程序 ) 等 ), 将显示相应的任务状态 如果计算机发生错误 ( 例如, 脱机 更新不成功 等 ), 该状态将显示错误 当发生一个以上的错误时, 此状态会显示 多个错误, 且其后会列出各个错误 防火墙 : 防火墙是处于打开状态还是关闭状态以及有多少个规则生效 DPI:DPI 是处于打开状态还是关闭状态以及有多少个规则生效 联机 : 指出服务器插件当前是否可与客户端插件通信 上次通信 : 服务器插件上次与此计算机上的客户端插件成功通信的时间 检查状态 : 使用此按钮, 可强制服务器插件立即执行波动信号操作, 以检查客户端插件的状态 检查状态 不会更新客户端插件 ( 如果需要更新, 请单击 操作 选项卡上的 立即更新 按钮 ) 当服务器插件与客户端插件之间的通信设置为 客户端插件发起的 时, 将禁用 检查状态 按钮 ( 检查状态不会更新此计算机的日志 要更新此计算机的日志, 请转至 操作 选项卡 ) 清除警告 / 错误 : 解除此计算机上的任何警报或错误 6-22

78 管理计算机 4. 在 激活 区域中, 可以使用下列信息和选项 : 需要通过 IDF 服务器插件 激活 新安装的 IDF 客户端插件, 然后才能向其发送安全配置文件 规则以及事件日志请求等 激活过程包括彼此交换唯一标识服务器插件 ( 或其节点之一 ) 与客户端插件的 SSL 密钥 通过 IDF 服务器插件激活后, 客户端插件将只接受激活它的 IDF 服务器插件 ( 或其中一个节点 ) 的指令, 或者只与该 IDF 服务器插件 ( 或其中一个节点 ) 进行通信 未激活的客户端插件可以由任意 IDF 服务器插件来激活 客户端插件只能在计算机上本地停用, 或者通过激活它的 IDF 服务器插件来停用 如果客户端插件已激活, 则此区域中的按钮将显示为 重新激活, 而不是 激活 重新激活与激活的效果是一样的 重新激活会将客户端插件重置为第一次安装之后的状态, 并启动新一组 SSL 密钥的交换 5. 在 更新 区域中, 可以使用下列信息和选项 : 当使用 IDF 服务器插件更改计算机上客户端插件的配置 ( 应用新的 DPI 规则 更改日志记录设置等 ) 时, IDF 服务器插件必须将新信息发送给该客户端插件 此过程即为更新 更新通常会立即执行, 但也可以通过单击 立即更新 按钮来强制执行更新 6. 在 软件 区域中, 可以使用下列信息和选项 : 该设置将显示当前计算机上所运行的客户端插件的版本 如果有适用于该计算机平台的更新版本的客户端插件可用, 可以单击 升级客户端插件... 按钮, 从 IDF 服务器插件远程升级该客户端插件 可以在 IDF 服务器插件主窗口中转至 系统 > 更新, 将 IDF 服务器插件配置为在有适用于任何计算机的新客户端插件版本时触发警报 6-23

79 趋势科技 入侵防御防火墙 1.5 管理员指南 7. 在 支持 区域中, 您可以创建诊断数据包 : 创建诊断数据包... 按钮可创建计算机上客户端插件状态的快照 支持提供商可能会要求创建此快照以进行故障排除 如果失去与计算机的通信, 则可在本地创建诊断数据包 在 Windows 计算机上本地创建诊断数据包 : a. 从命令行键入 : C:\Program Files\Trend Micro\IDF Client Plug-in> dsa_control.exe /d 并按 Enter b. 将在同一目录中创建一个包含诊断信息的已编号 zip 文件 ( 例如 zip) 8. 要查看接口或对接口进行任何更改, 请单击导航窗格中的接口 接口 窗口会显示在计算机上检测到的接口 如果具有多个接口分配的安全配置文件已分配给此计算机, 则将标识与在安全配置文件中定义的特征码相匹配的接口 9. 要查看警报或对警报进行任何更改, 请单击导航窗格中的警报 除了只显示与此计算机相关的警报外, 警报的显示方式与它们在主 IDF 服务器插件窗口中的显示方式相同 如果在此处解除警报, 则也将在主 IDF 服务器插件窗口中解除该警报 有关警报的详细信息, 请参阅警报, 开始于 4-1 页 10. 要查看防火墙设置或对防火墙设置进行任何更改, 请单击导航窗格中的防火墙 除非您选择覆盖它们, 否则此计算机的防火墙将从其安全配置文件或 IDF 服务器插件中的全局设置继承其打开或关闭状态 注意 : 如果将已关闭防火墙的安全配置文件应用到计算机, 而该计算机设置为继承防火墙设置, 则会关闭该计算机上的所有防火墙元素 ( 防火墙规则和状态配置 ), 甚至包括在应用安全配置文件之前已直接分配给该计算机的元素 事件 : 除了只显示与此计算机相关的事件外, 防火墙事件的显示方式与它们在主 IDF 服务器插件窗口中的显示方式相同 6-24

80 管理计算机 规则 : 此处显示 IDF 服务器插件中定义的防火墙规则 选择将在此计算机上处于活动状态的防火墙规则 如果计算机具有多个接口, 则单击向下箭头, 然后使用下拉菜单选择是将防火墙规则应用于所有接口还是只应用于特定接口 图 6-5. 规则 请注意活动防火墙规则旁边的复选标记 变成灰色的复选标记表示防火墙规则在此计算机上处于活动状态, 因为它已由安全配置文件应用 ( 同样的情况适用于所有其他类型的规则 ) 图 6-6. 规则复选标记 状态配置 : 选择要应用于此计算机的状态配置 ( 如果有 ) 如果计算机具有多个接口, 您可以为每个接口指定独立的配置 11. 单击导航窗格中的深度包检查以查看或进行任何更改 除非您选择覆盖它们, 否则此计算机的 DPI 引擎将从 IDF 服务器插件中的全局设置或分配给该计算机的安全配置文件继承其打开或关闭状态 其桥接行为及其建议扫描行为 事件 : 除了只显示与此计算机相关的事件外, DPI 事件的显示方式与它们在主 IDF 服务器插件窗口中的显示方式相同 规则 : 此处显示 IDF 服务器插件中定义的 DPI 规则 选择将在此计算机上处于活动状态的 DPI 规则 6-25

81 趋势科技 入侵防御防火墙 1.5 管理员指南 应用程序类型 : 此处显示 IDF 服务器插件中定义的应用程序类型 可以对其属性进行全局编辑, 也可以仅针对此安全配置文件进行编辑 SSL 配置 :IDF 服务器插件支持 SSL 流量的 DPI 分析 SSL 配置 窗口允许您为一个或多个接口上的指定凭证 - 端口对创建 SSL 配置 证书可以使用 P12 或 PEM 格式导入, 而 Windows 计算机可以选择直接使用 Windows CryptoAPI 要创建新的 SSL 配置, 请单击新建并遵循 SSL 配置向导中的步骤 如果您正在配置的计算机安装在托管 IDF 服务器插件的计算机上, 则该向导将允许您使用已经存储在 IDF 服务器插件中的凭证 双击现有配置以显示其 属性 窗口 分配 : 常规信息 :SSL 配置的名称和描述, 以及在此计算机上是否已启用 接口分配 : 要应用此配置的接口 IP 分配 : 应用此配置的一个或多个 IP 端口选择 : 应用此配置的端口 凭证 : 凭证选项卡中列出了现有凭证, 且提供了分配新的凭证... 按钮, 可用于更改这些凭证 注意 : IDF 客户端插件支持过滤 SSL 流量 客户端插件不支持过滤实现 SSL 压缩的 SSL 连接 12. 要查看或编辑系统信息, 请单击系统 系统设置或系统事件, 以打开 系统 窗口 系统事件 : 除了只显示与此计算机相关的事件外, 系统事件的显示方式与它们在主 IDF 服务器插件窗口中的显示方式相同 系统设置 : 此处显示可在特定计算机上覆盖的 IDF 服务器插件的所有系统设置 13. 单击覆盖以查看或编辑已针对该计算机覆盖的元素 6-26

82 管理计算机 继承与覆盖 全局设置可以被安全配置文件或计算机级别的设置所覆盖 例如, 通过转至主 IDF 服务器插件窗口的 防火墙 窗口, 然后将 防火墙 设置为关闭, 可以将防火墙全局关闭 图 6-7. 防火墙设置 6-27

83 趋势科技 入侵防御防火墙 1.5 管理员指南 缺省情况下, 层次结构中的较低级别从比其高的级别继承设置 因此, 如果您在全局级别关闭了防火墙, 则将在所有设置为 继承 的安全配置文件和计算机中关闭防火墙 图 6-8. 继承 6-28

84 管理计算机 其他属性 防火墙规则和 DPI 规则之类的元素可以针对特定的计算机更改其部分属性 例如, 假设有一条名为 FirewallRuleAlpha 的防火墙规则, 其属性之一是它在传入端口 上工作, 因为您设计防火墙规则的目标应用程序通常在该端口上工作 但是, 假定您有一台应用程序在端口 工作的特定计算机 我们无需为此计算机编写新的防火墙规则, 只需打开该计算机的 详细信息 窗口, 转至 防火墙规则, 在列表中查找防火墙规则, 然后右键单击它并选择 属性 ( 适用于此计算机 ) 图 6-9. 属性 ( 适用于此计算机 ) 6-29

85 趋势科技 入侵防御防火墙 1.5 管理员指南 在此防火墙规则的 属性 窗口中, 现在您将看到许多属性旁边都有一个名为 继承 的复选框 这意味着该设置是从继承层次结构中的上一层继承的 ( 从安全配置文件或从全局清单 ) 清除 端口 : 旁边的 已继承 并将它更改为 44444, 意味着此计算机上的这条防火墙规则目前仅对端口 起作用 图 继承属性 如果该防火墙规则属于安全配置文件的一部分, 则也可以在安全配置文件级别上执行此操作 您需要打开安全配置文件的 详细信息 窗口, 并进行相同的更改 ( 然后您可以再次覆盖特定计算机上的规则 ) 6-30

86 管理计算机 查看计算机或安全配置文件覆盖 通过打开 详细信息 窗口并转至 覆盖 窗口, 可以查看在安全配置文件或计算机中覆盖了哪些元素 图 查看覆盖 6-31

87 趋势科技 入侵防御防火墙 1.5 管理员指南 6-32

88 第 7 章 安全配置文件 本章介绍趋势科技 入侵防御防火墙安全配置文件 本章包含下列主题 : 第 7-2 页的关于安全配置文件 第 7-2 页的管理安全配置文件 第 7-3 页的查看并编辑安全配置文件详细信息 7-1

89 趋势科技 入侵防御防火墙 1.5 管理员指南 关于安全配置文件 使用安全配置文件可为防火墙规则 状态配置和 DPI 规则 ( 连同各自的接口分配 ) 保存通用配置, 以方便为多台计算机分配这些配置 管理安全配置文件 要打开 安全配置文件 窗口, 请单击 IDF 主菜单中的 安全配置文件 在 安全配置文件 主窗口上, 可以看到现有配置文件的列表 在该窗口中, 您可以 : 从头开始创建新的安全配置文件 ( 新建 ) 从 XML 文件导入安全配置文件 ( ) 注意 : 不要将较新的安全更新中的安全配置文件导入到运行较旧的安全更新的系统 新的安全配置文件可能会引用旧版本中不存在的规则 请确保您的安全更新始终是最新的 查看或修改现有安全配置文件的属性 ( ) 复制 ( 然后修改并重新命名 ) 现有的安全配置文件 ( ) 删除安全配置文件 ( ) 将安全配置文件导出到 XML 文件 ( ) 7-2

90 安全配置文件 创建安全配置文件 单击 新建 ( 新建 ) 会打开 安全配置文件 向导, 此向导会提示您输入新配置文件的名称, 然后提供用于打开 安全配置文件属性 窗口的选项 单击 详细信息 ( ) 会显示 安全配置文件详细信息 窗口 注意 : 可以根据计算机的建议扫描来创建新的安全配置文件 要执行此操作, 请选择一台计算机, 然后运行建议扫描 ( 在 计算机 窗口上右键单击该计算机, 然后选择处理措施 > 扫描建议 ) 扫描完成后, 请返回至 安全配置文件 窗口, 然后单击新建, 以显示 新建安全配置文件 向导 出现提示时, 选择在 现有计算机的当前配置 上建立新的安全配置文件 然后从计算机属性中选择 建议的应用程序类型和 DPI 规则 注意 : 安全配置文件将仅包含计算机上建议的元素, 而不会考虑当前将哪些规则分配给了该计算机 查看并编辑安全配置文件详细信息 主 IDF 服务器插件窗口用于管理和组织整个 IDF 系统的元素, 而 安全配置文件详细信息 窗口则用于从 IDF 服务器插件中选择可用元素, 并将这些元素应用于特定的安全配置文件 除了 安全配置文件详细信息 窗口中的所有元素专门应用于安全配置文件外, 安全配置文件详细信息 窗口与主 IDF 服务器插件窗口非常相似 缺省情况下, 所有设置都将从主 IDF 服务器插件窗口的全局设置继承 可以在安全配置文件窗口中进行仅适用于此安全配置文件的更改 当在主 IDF 服务器插件窗口中修改某个元素 ( 防火墙规则 DPI 规则等 ) 的属性时, 唯一的选项是修改 属性 当在安全配置文件详细信息窗口中修改某个元素的属性时, 有其他选项可用 : 属性 ( 适用于此安全配置文件 ) 7-3

91 趋势科技 入侵防御防火墙 1.5 管理员指南 图 7-1. 安全配置文件详细信息 如果编辑 属性 ( 适用于此安全配置文件 ), 则只有在此安全配置文件将元素应用于计算机时, 更改才会对该元素产生影响 如果编辑 属性, 则更改将对元素产生全局影响 ( 该元素被覆盖的其他位置除外 ) 7-4

92 安全配置文件 已 针对此安全配置文件 编辑其属性的元素将以粗体字显示在任务窗格中, 表示该元素在作为此安全配置文件的一部分应用于计算机时具有特殊属性 图 7-2. 属性 ( 适用于此安全配置文件 ) 查看或编辑安全配置文件 : 路径 :IDF 主菜单 安全配置文件 1. 选择要查看或编辑的配置文件, 然后单击, 或是在配置文件上单击鼠标右键, 然后选择详细信息 在 详细信息 窗口中, 使用导航窗格导航整个窗口, 然后对下列项目进行所需的全部更改 : 接口类型 : 如果计算机具有多个接口, 您可以将安全配置文件的各个元素 ( 例如防火墙规则 ) 分配给每个接口 要为多个接口配置安全配置文件, 请选择 多个接口分配, 然后在下面的文本框中键入与字符串匹配的名称和特征码 接口类型名称仅供参考 虽然任何名称都可用于映射到您的网络拓扑, 但常见名称有 "LAN" "WAN" "DMZ" 和 "Wi-Fi" 7-5

93 趋势科技 入侵防御防火墙 1.5 管理员指南 匹配 定义了一个基于通配符的接口名称匹配, 用于将接口自动映射到相应的接口类型 例如 "Local Area Connection *" "eth*" 和 "Wireless *" 无法自动映射接口时将触发警报 可以从计算机的 详细信息 窗口中的 接口 窗口对其进行手动映射 注意 : 如果在计算机上检测到接口, 但这些接口不与其中任何一个条目匹配, 则服务器插件将会触发警报 警报 : 除了只显示与使用此安全配置文件的计算机相关的警报外, 警报的显示方式与它们在主 IDF 服务器插件窗口中的显示方式相同 如果在此处解除警报, 则也将在主 IDF 服务器插件窗口中解除该警报 防火墙 ( 事件 规则和状态配置 ): 除非您选择覆盖它们, 否则此安全配置文件的防火墙将从 IDF 服务器插件中的全局设置继承其打开或关闭状态 注意 : 如果将已关闭防火墙的安全配置文件应用到计算机, 而该计算机设置为继承防火墙设置, 则会关闭该计算机上的所有防火墙元素 ( 防火墙规则和状态配置 ), 甚至包括在应用安全配置文件之前已直接分配给该计算机的元素 事件 : 除了只显示与使用此安全配置文件的计算机相关的事件外, 防火墙事件的显示方式与它们在主 IDF 服务器插件窗口中的显示方式相同 7-6

94 安全配置文件 规则 : 此处显示 IDF 服务器插件中定义的防火墙规则 选择将在此安全配置文件中处于活动状态的防火墙规则 如果您已为此配置文件定义了多个接口 ( 如上所示 ), 则请使用灰色下拉菜单选择是将防火墙规则应用于所有接口还是只应用于某些特定接口 图 7-3. 属性 ( 适用于此安全配置文件 ) 状态配置 : 选择要应用于此安全配置文件的状态配置 如果您已为此配置文件定义了多个接口 ( 如上所示 ), 则可以为每个接口指定独立的配置 深度包检查 ( 事件 规则和应用程序类型 ): 除非您选择覆盖它们, 否则此安全配置文件的 DPI 引擎将从全局设置或安全配置文件设置继承其打开或关闭状态 桥接行为及建议扫描行为 事件 : 除了只显示与使用此安全配置文件的计算机相关的事件外, DPI 事件的显示方式与它们在主 IDF 服务器插件窗口中的显示方式相同 规则 : 此处显示 IDF 服务器插件中定义的 DPI 规则 选择将在此安全配置文件中处于活动状态的防火墙规则 如果您已为此配置文件定义了多个接口 ( 如上所示 ), 则请使用灰色下拉式菜单选择是将 DPI 规则应用于所有接口还是只应用于某些特定接口 应用程序类型 : 此处显示 IDF 服务器插件中定义的应用程序类型 与处于安全配置文件级别的其他元素一样, 应用程序类型的属性可以进行全局编辑, 也可以仅针对此安全配置文件进行编辑 7-7

95 趋势科技 入侵防御防火墙 1.5 管理员指南 系统 : 事件 ( 针对计算机 ): 除了只显示与使用此安全配置文件的计算机相关的事件外, 系统事件的显示方式与它们在主 IDF 服务器插件窗口中的显示方式相同 事件 ( 针对安全配置文件 ): 此处将显示针对此安全配置文件 ( 如果已创建 修改等 ) 的系统事件 系统设置 : 此处显示可在特定安全配置文件上覆盖的 IDF 服务器插件的所有系统设置 覆盖 : 覆盖 会显示已由安全配置文件覆盖的元素 3. 单击保存 7-8

96 第 8 章 使用 IDF 防火墙 本章介绍趋势科技 入侵防御防火墙防火墙 本章包含下列主题 : 第 8-2 页的关于 IDF 防火墙 第 8-2 页的打开或关闭防火墙 第 8-2 页的防火墙事件 第 8-8 页的防火墙规则 第 8-23 页的状态配置 8-1

97 趋势科技 入侵防御防火墙 1.5 管理员指南 关于 IDF 防火墙 IDF 防火墙可保护网络上的客户端和服务器 IDF 服务器插件界面提供多个窗口, 以用于管理防火墙事件 防火墙规则及状态配置 缺省情况下, IDF 服务器插件会在每次有波动信号时, 从 IDF 客户端插件收集防火墙和 DPI 事件日志 防火墙规则会检查数据包中的控制信息, 这可让您根据规则来决定阻止或允许这些数据包 状态配置机制会分析网络通信历史记录上下文中的数据包 TCP 和 IP 标头值的正确性, 以及 TCP 连接状态转换 打开或关闭防火墙 打开或关闭防火墙 : 路径 :IDF 主菜单 防火墙 1. 在 防火墙 区域中, 选择打开或关闭 信息区域将告诉您网络引擎是在桥接模式下运行, 还是在分接模式下运行 以桥接模式运行时, 活动数据包流会经过网络引擎 系统会维护状态表 应用防火墙规则并将执行网络通信规范化, 以便可以将 DPI 规则应用到有效载荷内容 以分接模式运行时, 系统会克隆活动数据包流并从主数据流中转移 在分接模式下, 不会修改活动数据包流, 所有操作都将在克隆的数据流上执行 2. 要在桥接模式和分接模式之间切换, 请转至系统 > 系统设置 > 防火墙和 DPI 防火墙事件 缺省情况下,IDF 服务器插件会在每次有波动信号时, 从 IDF 客户端插件收集防火墙和 DPI 事件日志 ( 可在系统 > 系统设置窗口中的防火墙和 DPI 选项卡中关闭此功能 ) 这些日志的数据用于填充 IDF 服务器插件的各种报告 图形及图表 IDF 服务器插件会将收集到的事件日志保留一段时间, 该时间可在系统 > 系统设置窗口中的系统选项卡上设置 8-2

98 使用 IDF 防火墙 防火墙事件 窗口会显示当前的防火墙事件, 以及以下信息列 : 防火墙事件图标 : 指明事件类型 事件可以是下列任一类型 : 单个事件带有数据的单个事件折叠事件带有数据的折叠事件 注意 : 当多个相同类型事件连续发生时, 事件发生折叠 这样会节省磁盘空间, 并防止企图使日志记录机制过载的 DoS 攻击 时间 : 计算机上发生事件的时间 计算机 : 记录此事件的计算机 ( 如果已移除此计算机, 此条目会显示为 未知计算机 ) 原因 : 此屏幕上的日志条目按照防火墙规则或 状态配置 设置生成 如果条目按照防火墙规则生成, 列条目的开头会加上 防火墙规则 :, 后面跟防火墙规则的名称 否则, 列条目会显示生成此日志条目的 状态配置 设置 标记 : 与事件关联的标记 操作 : 防火墙规则或状态配置所采取的操作 可能的操作有 : 允许 拒绝 强制允许和仅记录 排序 : 排序系统提供一种方法来量化 DPI 和防火墙事件的重要性 先为计算机分配 资产值, 并为 DPI 规则和防火墙规则分配 严重性值, 然后, 将两个值相乘便可得出事件的重要性 ( 等级 ) 这样, 您在查看 DPI 或防火墙事件时, 就可以按 等级 对事件进行分类 方向 : 受影响数据包的方向 ( 传入或传出 ) 接口 : 数据包所经过的接口的 MAC 地址 帧类型 : 可疑数据包的帧类型 可能的值有 "IP" "ARP" "REVARP" 和 其他 :XXXX, 其中 XXXX 代表帧类型的四位数十六进制码 协议 : 可能的值有 "ICMP" "IGMP" "GGP" "TCP" "PUP" "UDP" "IDP" "ND" "RAW" "TCP+UDP" "N/A" 和 其他 :nnn, 其中, nnn 代表三位数的十进制值 8-3

99 趋势科技 入侵防御防火墙 1.5 管理员指南 标志 : 数据包中已设置的标志 源 IP: 数据包的源 IP 源 MAC: 数据包的源 MAC 地址 源端口 : 数据包的源端口 目标 IP: 数据包的目标 IP 地址 目标 MAC: 数据包的目标 MAC 地址 目标端口 : 数据包的目标端口 数据包大小 : 数据包的大小 ( 以字节为单位 ) 注意 : 如果可疑数据包随后没有被 拒绝 规则或未允许该数据包的 允许 规则停止, 则 仅记录 规则将只生成日志条目 如果数据包被这两种规则中的其中之一所停止, 将由这两种规则生成日志条目, 而不是由 仅记录 规则生成 如果没有后续规则停止数据包, 则 仅记录 规则会生成条目 从 防火墙事件 窗口, 您可以 : 查看 ( ) 特定事件的属性 过滤列表 : 使用 期间 和 计算机 工具栏来过滤事件列表 将事件列表数据导出 ( ) 为 CSV 文件 搜索 ( ) 特定事件另外, 右键单击日志条目可提供下列选项 : 添加标记 : 为此事件添加事件标记 ( 请参阅第 12-5 页的事件标记 ) 移除标记 : 移除现有事件标记 计算机详细信息 : 查看生成日志条目的计算机的 详细信息 窗口 防火墙规则属性 : 查看与此事件关联的防火墙规则的属性 Whois 源 IP: 对源 IP 执行 Whois Whois 目标 IP: 对目标 IP 执行 Whois 查询 8-4

100 使用 IDF 防火墙 查看防火墙事件属性 双击某个事件会显示该条目的 属性 窗口, 这样将在一个窗口上显示该事件的所有信息 标记 选项卡显示已附加到此事件的标记 要配置事件标记, 请转至系统 > 标记 有关事件标记的更多信息, 请参阅第 12-5 页的事件标记 过滤列表和 / 或搜索事件 从 高级搜索 下拉菜单中选择 打开高级搜索, 可切换为显示高级搜索选项 使用 期间 工具栏可以过滤列表, 从而只显示在特定时间范围内发生的事件 使用 计算机 工具栏, 可以按照计算机域或计算机安全配置文件来组织事件日志条目的布局 图 8-1. 计算机 工具栏 高级搜索功能 ( 搜索不区分大小写 ): 包含 : 选定列中的条目包含该搜索字符串 不包含 : 选定列中的条目不包含该搜索字符串 等于 : 选定列中的条目完全符合该搜索字符串 不等于 : 选定列中的条目并不完全符合该搜索字符串 8-5

101 趋势科技 入侵防御防火墙 1.5 管理员指南 在范围内 : 选定列中的条目与其中的一个逗号分隔的搜索字符串条目完全匹配 不在范围内 : 选定列中的条目不与任何逗号分隔的搜索字符串条目完全匹配按搜索栏右侧的 加号 按钮 (+) 将显示另一个搜索栏, 这样可将多个参数应用于搜索 准备就绪后, 按 提交 按钮 ( 位于工具栏右侧, 带右向箭头 ) 导出事件 单击导出... 按钮, 可将所有或选定的事件导出为 CSV 文件 标记防火墙事件 事件标记可让您使用定制标签 ( 例如 已分配给 Tom 查看 ) 来手动标记防火墙事件 事件标记启用专门的事件视图 控制板和报告, 并应用于单个事件 类似事件, 甚至应用于将来出现的所有类似事件 将标记应用到一或多个选定的事件 : 路径 :IDF 主菜单 防火墙 > 防火墙事件 1. 在事件列表中选择事件, 然后右键单击并选择添加标记 键入标记的名称 (IDF 服务器插件会在您键入时向您建议与现有标记匹配的名称 ) 3. 选择 1 个选定的系统事件 ( 如果从 事件 列表中选择了多个事件, 则将显示选择的事件的数量 ) 单击下一步 4. 输入一些可选注释并单击完成 查看 事件 列表, 就可以看到该事件现已被标记 标记多个类似事件 : 1. 右键单击事件列表中的代表性事件, 并选择添加标记 键入标记的名称 (IDF 服务器插件会在您键入时向您建议与现有标记匹配的名称 ) 3. 选择类似的防火墙事件 8-6

102 使用 IDF 防火墙 4. 如果您要缩小事件选择范围, 请选择包含高级选项 5. 单击下一步 6. 如果您选择了 高级选项, 则进行选择 例如, 只能在特定计算机或计 算机域上查找类似事件 如果是这样情况, 请进行选择然后单击下一步 7. 选择将要检查以确定事件是否类似的属性 在大多数情况下, 属性选项与 事件 列表窗口中列所显示的信息相同 已选择要包括在事件选择过程 中的属性后, 单击下一步 8. 选择应应用此规则的类似防火墙事件的类型 注意 : 请注意 保存自动标记规则 选项 可以保存已指定的选择条件, 以便将来累积新事件时重新应用这些条件 保存的自动标记规则可以在 系统 > 标记 窗口中找到 9. 单击下一步 10. 输入一些可选注释并单击下一步 11. 查看事件选择条件摘要, 然后单击完成 查看 事件 列表, 就可以看到原始事件和所有类似事件都已被标记 标记多个类似事件以及将来出现的类似事件 : 标记多个类似事件及未来事件的过程与上述过程类似, 只不过在步骤 8 中还要选择新防火墙事件 选择新建防火墙事件会导致 IDF 服务器插件每五秒 ( 或更长时间 ) 对其数据库的新事件进行一次扫描, 并对相应的事件进行标记 注意 : 仅当事件从客户端插件被检索到 IDF 服务器插件的数据库后, 才会进行标记 8-7

103 趋势科技 入侵防御防火墙 1.5 管理员指南 防火墙规则 防火墙规则会检查各个数据包中的控制信息 然后, 根据这些窗口中定义的规则来阻止或允许数据包 防火墙规则直接分配到计算机, 或分配到安全配置文件再转而分配到计算机或计算机组 关于防火墙规则 IDF 防火墙规则既有规则处理措施, 又有规则优先级 这两种属性配合使用可让您创建非常有弹性且功能强大的规则集 其他防火墙使用的规则集可能要求依照运行时应有的顺序定义规则, 与此不同的是, IDF 防火墙规则是根据规则处理措施和规则优先级的确定顺序运行的, 与其定义或分配的顺序无关 规则处理措施 每个规则可以有五种处理措施之一 : 放行 : 如果数据包符合放行规则, 则无论同一优先级级别的其他任意过滤器为何, 数据包均可通过防火墙和 DPI 引擎 仅记录 : 如果数据包符合 仅记录 规则则会通过, 而事件将被记录 强制允许 : 如果数据包符合强制允许规则, 则无论同一优先级的其他任意规则为何, 数据包均可通过 拒绝 : 如果数据包符合拒绝规则, 则会遭到丢弃 允许 : 如果数据包符合允许规则, 则可通过 不符合允许规则之一的任意流量均会遭到拒绝 8-8

104 使用 IDF 防火墙 添加 允许 规则将拒绝其他一切流量 : 图 8-2. 允许 规则 拒绝 规则可以优先于 允许 规则执行, 以阻止某些类型的流量 : 图 8-3. 拒绝 规则 8-9

105 趋势科技 入侵防御防火墙 1.5 管理员指南 强制允许 规则可以应用于被拒绝的流量之上, 以允许某些异常通过 : 图 8-4. 强制允许 规则 规则优先级 拒绝和强制允许类型的规则处理措施可以定义在 5 种优先级的任一种中加以定义, 以便进一步修正允许过滤器集所定义的允许流量 规则以最高 ( 优先级 4) 到最低 ( 优先级 0) 的优先级顺序运行 在特定的优先级级别中, 规则是根据规则操作的顺序 ( 强制允许 拒绝 允许 仅记录 ) 得到处理的 优先级上下文可让管理员使用拒绝 / 强制允许组合依次修正流量控制, 以达到更大的灵活性 在同一优先级上下文中, 可以使用拒绝规则否定允许规则, 也可以使用强制允许规则否定拒绝规则 注意 : 允许类型的规则处理措施只在优先级 0 时运行, 而仅记录类型的规则处理措施只在优先级 4 时运行 8-10

106 使用 IDF 防火墙 组合使用规则处理措施和规则优先级 规则以最高 ( 优先级 4) 到最低 ( 优先级 0) 的优先级顺序运行 在特定的优先级级别中, 会根据规则处理措施的顺序处理规则 优先级相同的规则处理顺序如下 : 放行 仅记录 强制允许 拒绝 允许 注意 : 请记住, 允许类型的规则处理措施只在优先级为 0 时运行, 而仅记录类型的规则处理措施只在优先级为 4 时运行 注意 : 请记住, 如果在同一优先级有强制允许规则和拒绝规则, 则强制允许规则比拒绝规则优先, 因此将会允许符合强制允许规则的流量 状态过滤 启用状态分析时, 会在流量历史记录 TCP 和 IP 标头值正确性, 以及 TCP 连接状态转换的上下文中分析数据包 在无状态协议 ( 例如, UDP 和 ICMP) 情况下, 会根据历史流量分析执行假状态机制 如果数据包经由静态规则明确允许, 将会通过状态例程 会检查连接表中是否有匹配的端点, 以检查数据包是否属于现有的连接 检查 TCP 标头的正确性 ( 例如, 序号 标志组合 ) 启用后, 状态引擎会应用至通过接口的所有流量 缺省情况下, UDP 假状态检查会拒绝任何传入的 未经请求的 UDP 数据包 如果计算机运行的是 UDP 服务器, 则策略中必须包含强制允许规则, 以允许访问该服务 例如, 如果在 DNS 服务器上已启用 UDP 状态检查, 则必须有允许 UDP 流量通往端口 53 的强制允许规则 8-11

107 趋势科技 入侵防御防火墙 1.5 管理员指南 缺省情况下, ICMP 假状态检查会拒绝任何未经请求的传入 ICMP 的请求回复和错误类型数据包 要允许未经请求的 ICMP 数据包, 必须明确定义强制允许 除非使用静态规则明确允许, 否则会丢弃其他所有 ICMP ( 非请求回复或错误类型 ) 数据包 放行规则 有一类特殊的防火墙规则, 称为放行规则 它专用于使用媒体密集型的协议, 而这类协议可能不希望执行过滤 要创建放行规则, 应在新建防火墙规则时选择 放行 做为规则的 处理措施 防火墙规则上的 放行 处理措施与强制允许规则有下列不同之处 : 符合放行的数据包不会由 DPI 规则处理 与强制允许不同的是, 当状态配置开启时, 放行不会自动允许对 TCP 连接进行响应 ( 有关更多信息, 请参阅后面内容 ) 有些放行规则已经过优化, 流量会很有效率地流动, 客户端插件就跟不存在一般 ( 有关更多信息, 请参阅后面内容 ) 注意 : 将放行防火墙规则发送至早于版本 5.0 的客户端插件时, 该规则将被视为 强制允许, 这样将不会跳过 DPI 规则处理 在状态配置开启时使用放行 如果您打算使用放行规则以对通往 TCP 目标端口 N 的传入流量跳过 DPI 规则, 而且状态配置已设置为对 TCP 执行状态检查, 则必须为源端口 N 创建配对的传出过滤器, 以便允许 TCP 响应 ( 若是强制允许规则, 则不必如此操作, 因为状态引擎仍会处理强制允许流量 ) 所有放行规则都是单向的 每个方向的流量都需要使用显式的规则 8-12

108 使用 IDF 防火墙 优化 放行规则旨在允许匹配的流量以尽可能快的速率通过 采用下列 ( 全部 ) 设置可达到最大的吞吐量 : 优先级 : 最高 帧类型 :IP 协议 :TCP UDP 或其他 IP 协议 ( 请勿使用 任何 选项 ) 源 IP 和 MAC 与目标 IP 和 MAC: 均为 任何 如果协议为 TCP 或 UDP, 且流量方向为 传入, 则目标端口必须为一个或多个指定的端口 ( 不是 任何 ), 而源端口则必须为 任何 如果协议为 TCP 或 UDP, 且流量方向为 传出, 则源端口必须为一个或多个指定的端口 ( 不是 任何 ), 而目标端口则必须为 任何 时间表 : 无 日志记录 符合放行规则的数据包不会被记录 此选项不可配置 防火墙规则顺序 到达运行客户端插件的计算机的数据包会先按防火墙规则进行处理, 接着根据状态配置条件进行处理, 最后再按 DPI 规则进行处理 以下是应用防火墙规则的顺序 ( 传入和传出 ): 1. 具有优先级 4 ( 最高 ) 的防火墙规则 a. 放行 b. 仅记录 ( 仅记录 规则只能分配优先级 4 ( 最高 )) c. 强制允许 d. 拒绝 8-13

109 趋势科技 入侵防御防火墙 1.5 管理员指南 2. 具有优先级 3 ( 高 ) 的防火墙规则 a. 放行 b. 强制允许 c. 拒绝 3. 具有优先级 2 ( 一般 ) 的防火墙规则 a. 放行 b. 强制允许 c. 拒绝 4. 具有优先级 1 ( 低 ) 的防火墙规则 a. 放行 b. 强制允许 c. 拒绝 5. 具有优先级 0 ( 最低 ) 的防火墙规则 a. 放行 b. 强制允许 c. 拒绝 d. 允许 ( 请注意, 允许 规则只能分配优先级 0 ( 最低 )) 在同一优先级上下文中, 拒绝规则会覆盖允许规则, 而强制允许规则将会覆盖拒绝规则 使用规则优先级方法, 可以制订较高优先级的拒绝规则来覆盖较低优先级的强制允许规则 考虑一个 DNS 服务器策略示例, 该策略使用强制允许规则, 从而允许所有经由 TCP/UDP 端口 53 的传入 DNS 查询 创建优先级高于强制允许规则的拒绝规则, 则可以指定某特定范围的 IP 地址并必须禁止使用这些地址来访问同一个公共服务器 通过基于优先级的规则集, 您可以设置应用规则时所要依据的顺序 如果已设置具有最高优先级的拒绝规则, 而且同一优先级中没有强制允许规则, 则会自动丢弃匹配该拒绝规则的任何数据包, 并忽略其余的规则 相反地, 如果有最高优先级的强制允许规则存在, 则会自动允许匹配该强制允许规则的任何传入数据包通过, 且不针对任何其他规则进行检查 8-14

110 使用 IDF 防火墙 有关日志记录的注意事项 放行规则从不生成日志条目 此选项不可配置 仅当有问题的数据包后来没有被下列任一规则阻止时, 仅记录 规则才会生成日志条目 : 拒绝规则, 或 排除该数据包的允许规则 如果数据包被上述两种规则中的一种阻止, 则这些规则 ( 但不是 仅记录 规则 ) 将生成日志条目 如果没有后续规则停止数据包, 则 仅记录 规则会生成条目 将所有内容汇总设计防火墙策略 一般而言, 定义计算机的防火墙策略有两种方法 : 禁止 : 禁止一切未明确允许的流量 可以通过使用允许规则描述允许的流量, 使用拒绝规则进一步限制允许的流量, 将两种方法相结合以创建禁止策略 允许 : 允许一切未明确禁止的流量 可单独使用拒绝规则描述应丢弃的流量, 以创建允许策略 一般而言, 应优先使用禁止策略, 而尽量避免使用允许策略 强制允许规则只有与允许规则和拒绝规则结合使用, 才能允许由允许规则和拒绝规则所禁止的流量子集 已启用 ICMP 和 UDP 状态时, 还要求使用强制允许规则以允许未经请求的 ICMP 和 UDP 流量 以下是如何为 Web 服务器创建简单防火墙策略的示例 1. 首先使用已启用 TCP UDP 和 ICMP 选项的全局状态配置启用这些选项的状态检查 2. 添加防火墙规则以允许回复来自工作站的请求的 TCP 和 UDP 数据包 为实现此目的, 请创建传入允许规则并将协议设置为 "TCP + UDP", 并选中 特定标志 下的 非 复选框和 Syn 复选框 此时, 该策略只允许回复由工作站上的用户启动的请求的 TCP 和 UDP 数据包 例如, 结合步骤 1 中已启用的状态分析选项, 此规则允许此计算机上的用户执行 DNS 查询 ( 通过 UDP) 以及通过 HTTP (TCP) 浏览 Web 8-15

111 趋势科技 入侵防御防火墙 1.5 管理员指南 3. 添加防火墙规则以允许回复来自工作站的请求的 ICMP 数据包 为实现此目的, 请创建传入允许规则并将协议设置为 "ICMP", 并选中任何标志复选框 这意味着此计算机上的用户可以 ping 其他的工作站并收到回复, 但是其他用户将无法 ping 此计算机 4. 添加防火墙规则, 选中 特定标志 部分下的 Syn 复选框, 以允许通往端口 80 和 443 的传入 TCP 流量 这意味着外部用户可以访问此计算机上的 Web 服务器 此时, 我们已拥有一个基本的防火墙策略, 该策略允许请求的 TCP UDP 和 ICMP 回复, 允许外部访问此计算机上的 Web 服务器, 并拒绝所有其他传入流量 关于如何使用拒绝和强制允许规则处理措施进一步修正此配置文件的示例, 请考虑要如何限制来自网络中其他计算机的流量 例如, 我们可能要允许内部用户访问此计算机上的 Web 服务器, 但是拒绝 DMZ 中的任意计算机进行访问 通过添加拒绝规则, 禁止位于 DMZ IP 范围中的服务器进行访问即可实现此目的 5. 接下来我们针对源 IP 为 /24 的传入 TCP 流量添加一个拒绝规则, 此 IP 位于分配给 DMZ 中计算机的 IP 范围 此规则拒绝 DMZ 中的计算机与此计算机之间的任何流量 但是, 我们可能要进一步修正此策略, 以允许从 DMZ 中的邮件服务器传入的流量 6. 为实现此目的, 我们对来自源 IP 的传入 TCP 流量使用强制允许规则 此强制允许规则会覆盖在前一步骤创建的拒绝规则, 以允许来自 DMZ 中此计算机的流量 务必要记住的重要事项 所有流量都要先对照防火墙规则进行检查, 再由状态检查引擎进行分析 如果流量通过了防火墙规则, 则状态检查引擎会接着对其进行分析 ( 前提条件是状态配置中已启用状态检查 ) 允许规则是禁止的 未在允许规则中指定的任何流量都会自动丢弃 这包括其他帧类型的流量, 因此您必须记住包含允许其他类型的必要流量的规则 例如, 如果未使用静态 ARP 表, 别忘了包含允许 ARP 流量的规则 8-16

112 使用 IDF 防火墙 如果启用了 UDP 状态检查, 则必须使用强制允许规则以允许未经请求的 UDP 流量 例如, 如果在 DNS 服务器上启用了 UDP 状态, 则端口 53 必须强制允许, 以允许服务器接受传入的 DNS 请求 如果启用了 ICMP 状态检查, 则必须使用强制允许规则, 以允许未经请求的 ICMP 流量 例如, 如果您要允许外部的 ping 请求, 则需要使用 ICMP 类型 3 (Echo 请求 ) 的强制允许规则 强制允许仅在相同的优先级上下文中才是最佳的做法 如果您未配置 DNS 或 WINS 服务器 ( 在测试环境中很常见 ), 则必须为 NetBios 配置强制允许传入 UDP 端口 137 规则 注意 : 故障排除新防火墙策略时, 应执行的第一件事是检查客户端插件上的防火墙规则日志 防火墙规则日志包含判断所定义的防火墙项目拒绝了哪些流量所需的信息, 以便可以根据需要进一步修正策略 创建和应用新防火墙规则 防火墙规则 窗口允许您查看 创建和编辑防火墙规则 该窗口会显示当前防火墙规则的列表, 以及含有下列项目的信息列 : 防火墙图标 : 为每个规则指明以下规则 : 常规防火墙规则 根据时间表运行的防火墙规则 操作 : 不管其他任意会阻止数据包的规则, 客户端 / 设备一律允许匹配规则条件的数据包通过 ( 强制允许 ); 阻止匹配规则条件的数据包 ( 拒绝 ); 仅允许匹配规则条件的数据包, 阻止其他所有数据包 ( 允许 ); 或记录匹配规则条件的数据包并让数据包通过 ( 仅记录 ) 在同一优先级级别中 ( 请参阅下一个项目 ), 按以下顺序应用规则 : a. 放行 b. 强制允许 c. 拒绝 d. 允许 e. 仅记录 8-17

113 趋势科技 入侵防御防火墙 1.5 管理员指南 优先级 : 防火墙规则的优先级可从 0 ( 最低 ) 到 4 ( 最高 ) 系统会先应用高优先级的规则 数据包流向 : 数据包是传入数据包还是传出数据包 数据包源 : 描述数据包源的所有信息 ( 帧类型 协议 IP 端口 标志等) 数据包目标 : 描述数据包目标的所有信息 ( 帧类型 协议 IP 端口 标志等 ) 特定标志 : 必须为要触发的规则设置特定标志 ( 标志会根据协议而有所不同 ) 从 防火墙规则 窗口, 您可以 : 从头开始创建新的防火墙规则 ( 新建 ) 从 XML 文件导入 ( ) 防火墙规则 查看或修改现有防火墙规则的属性 ( ) 复制 ( 然后修改 ) 现有的防火墙规则 ( ) 删除防火墙规则 ( ) 将一个或多个防火墙规则导出 ( ) 到 XML 文件 ( 单击导出... 按钮可导出所有防火墙规则, 或者从下拉列表中进行选择, 只导出选定或显示的那些防火墙规则 ) 注意 : 无法删除已分配给一台或多台计算机或属于安全配置文件的防火墙规则 单击新建 ( 新建 ) 或属性 ( ) 会显示 防火墙规则属性 窗口 创建或编辑防火墙规则 : 路径 :IDF 主菜单 防火墙 > 防火墙规则 1. 单击 新建从头开始创建新防火墙规则, 或选择现有的防火墙规则并单 击属性 ( ) 以修改防火墙规则 2. 在弹出窗口中, 在常规选项卡的 常规信息 区域中指定所需的全部信息 名称 : 防火墙规则的名称 描述 : 防火墙规则的详细描述 8-18

114 使用 IDF 防火墙 操作 : 防火墙规则有四种不同的行为方式 下面按照优先级对此进行说明 : 网络通信可以完全绕开防火墙 这是一个特殊规则, 可造成数据包完全绕开防火墙和 DPI 引擎 对于不需要过滤的媒体密集协议, 可使用此设置 如需进一步了解放行规则, 请参阅第 8-12 页的放行规则 过滤器操作可设置为 仅记录 这意味着它只会在日志中写入条目, 而不干扰网络通信 它可以强制允许已定义的流量 ( 允许此规则所定义的流量, 但不排除其他任何网络通信 ) 它可以拒绝网络通信 ( 拒绝此规则定义的网络通信 ) 它可以允许流量 ( 单方面允许此规则所定义的传输 ) 注意 : 对于任何特定的数据包只会应用一个规则处理措施, 优先级相同的规则按上述顺序应用 优先级 : 如果已选择 强制允许 拒绝 或 仅记录 作为规则处理措施, 则可以在此处设置 0 ( 低 ) 到 4 ( 最高 ) 的优先级 设置优先级可让您结合规则操作实现一系列规则效果 仅记录 规则的优先级只能是 4, 而 允许 规则的优先级只能是 0 注意 : 优先级确定规则的应用顺序 先应用高优先级的规则, 然后应用低优先级的规则 例如, 在对数据包应用优先级为 2 的端口 80 传入强制允许规则之前, 优先级为 3 的端口 80 传入拒绝规则会丢弃该数据包 数据包流向 : 选择此规则是要应用于传入流量还是传出流量 帧类型 : 选择或指定规则查找的帧类型 使用此复选框可指定是要过滤该帧类型, 还是过滤除该帧类型以外的其他任何类型 注意 : 有关帧类型的列表, 请访问 Internet Assigned Numbers Authority (IANA) Web 站点 8-19

115 趋势科技 入侵防御防火墙 1.5 管理员指南 协议 : 选择或指定规则查找的协议 使用此复选框可指定是要过滤该协议, 还是过滤除该协议以外的其他任何协议 注意 : 您可以从预定义的常用协议下拉列表中选择, 也可以选择 其他, 然后自行输入协议代码 ( 介于 0 和 255 之间的三位数十进制值 ) 3. 在 数据包源 区域中, 指定要应用至数据包标头的源信息的任意选项 IP: 指定 IP 地址 屏蔽的 IP 地址和 IP 范围, 或从您在 IP 列表 屏幕上定义的 IP 列表中选择 IP 列表 MAC: 指定 MAC 地址, 或从您在 MAC 列表 屏幕中定义的 MAC 列表中选择 MAC 列表 端口 : 您可以在端口选项中指定逗号分隔的端口列表 短划线分隔的端口范围, 以及单个端口 ( 例如 ), 或从您在 端口列表 屏幕中定义的端口列表中选择端口列表 4. 在 数据包目标 区域中, 指定要应用至数据包标头的目标信息的任意选项 IP: 指定 IP 地址 屏蔽的 IP 地址和 IP 范围, 或从您在 IP 列表 屏幕上定义的 IP 列表中选择 IP 列表 MAC: 指定 MAC 地址, 或从您在 MAC 列表 屏幕中定义的 MAC 列表中选择 MAC 列表 端口 : 您可以在端口选项中指定逗号分隔的端口列表 短划线分隔的端口范围, 以及单个端口 ( 例如 ), 或从您在 端口列表 屏幕中定义的端口列表中选择端口列表 5. 在 特定标志 区域中, 如果在以上 常规信息 部分中选择了 TCP ICMP 或 TCP+UDP 作为协议, 您可以指示防火墙规则监控特定的标志 6. 在弹出窗口中, 在常规选项卡的 常规信息 区域中指定所需的全部信息 8-20

116 使用 IDF 防火墙 7. 单击选项选项卡并指定所需的全部信息 警报 : 选择此防火墙规则是否在触发时触发警报 如果只要在特定时间段激活此规则, 请在下拉列表中指定某个预设时间 注意 : 只能将 处理措施 设置为 拒绝 或 仅记录 的防火墙规则配置为触发警报 ( 这是因为警报是由计数器触发的, 而计数器会随着日志文件中数据的增加而递增 ) 时间表 : 选择是否应只在预设时间段激活防火墙规则 注意 : 防火墙规则 窗口会显示只在预设时间活动的防火墙规则, 同时这些规则图标的上方会提供一个小时钟 () 上下文 : 规则上下文是根据计算机网络环境实施不同安全策略的强大途径 上下文最常用于创建以下安全配置文件 : 该安全配置文件根据计算机 ( 通常是便携式计算机 ) 是在办公室内还是办公室外应用不同的防火墙和 DPI 规则 上下文与防火墙规则或 DPI 规则相关联 如果满足了上下文中定义的与规则相关的条件, 则应用此规则 为了确定计算机的位置, 上下文会检查计算机与其域控制器连接的性质 有关上下文的更多信息, 请参阅第 10-6 页的上下文 注意 : 对于使用上下文实施防火墙规则的安全配置文件的示例, 则请查看 Windows 便携式计算机 安全配置文件的属性 8. 单击已分配给选项卡可查看包括此防火墙规则的安全配置文件的列表, 以及已直接指定此防火墙规则的任何计算机 可以在 安全配置文件 窗口上将防火墙规则分配给安全配置文件 ; 可以在 计算机 窗口上将防火墙规则分配给计算机 9. 单击确定 8-21

117 趋势科技 入侵防御防火墙 1.5 管理员指南 现在, 您必须将新防火墙规则分配给计算机 将防火墙规则应用于计算机的最佳管理方法是使用安全配置文件 例如, 使用名为 开发人员膝上型电脑 的安全配置文件, 可以创建一组专门用于 开发人员膝上电脑 运行的特殊环境的防火墙规则 接着, 可以将这些规则全部分配给 开发人员膝上型电脑 安全配置文件, 再将该安全配置文件分配给该组计算机 任何时候您若是需要为 开发人员膝上型电脑 创建及分配新防火墙规则, 仅需将其分配到安全配置文件, 则所有 开发人员膝上型电脑 计算机都会使用此新的防火墙规则进行更新 在安全配置文件中包含新防火墙规则 : 路径 :IDF 主菜单 安全配置文件 1. 双击要为其分配新规则的安全配置文件 这将打开配置文件的 详细信息 窗口 2. 单击左侧导航窗格中的防火墙规则 3. 从列表中找到您的新防火墙规则, 并选中相应的复选框 4. 单击保存 如果在系统 > 系统设置窗口的 计算机 选项卡上已启用 更改趋势科技服务器深度安全防护系统的任一方面后自动更新所有受影响的计算机 选项, 则会根据新规则更新已分配有该安全配置文件的所有计算机 直接将新防火墙规则分配给计算机 : 路径 :IDF 主菜单 计算机 1. 双击要为其分配新规则的计算机 2. 单击左侧导航窗格中的防火墙规则 3. 从列表中找到您的新防火墙规则, 并选中相应的复选框 4. 单击保存 如前所述, 如果在系统 > 系统设置窗口的计算机选项卡上已启用 更改 IDF 系统的任一方面后自动更新所有受影响的计算机 选项, 则会根据该新规则更新已分配有该安全配置文件的所有计算机 注意 : 如果对计算机应用了其他设置 ( 例如, 添加了其他防火墙规则, 或修改了状态配置设置 ), 则安全配置文件名称旁边会显示一个星号 ( 在 计算机 窗口中的 安全配置文件 列内 ), 指明已更改缺省设置 8-22

118 使用 IDF 防火墙 状态配置 IDF 的状态配置机制会分析流量历史记录上下文中的每个数据包 TCP 和 IP 标头值的正确性, 以及 TCP 连接状态转换 如果使用无状态协议 ( 例如 UDP 和 ICMP), 则会根据网络通信历史记录分析而实施虚拟状态机制 状态机制处理数据包的方式如下 : 1. 如果静态防火墙规则条件允许数据包通过, 数据包会传递至状态例程 ; 2. 检查状态机制所创建的联机表中是否有匹配的端点, 以判断数据包是否属于现有的连接 ; 3. 检查 TCP 标头的正确性 ( 例如, 序列号 标志组合等 ) 管理状态配置 通过 状态配置 窗口可以定义多个状态检查配置, 然后, 您可以将这些配置加入安全配置文件 该窗口会列出当前的状态配置, 以及包含名称 描述和 常规状态配置 图标 ( ) 在内的信息 在工具栏或上下文菜单中可以执行下列操作 : 从头开始创建新的 ( 新建 ) 状态配置 从 XML 文件导入 ( ) 状态配置 查看或修改现有状态配置的属性 ( ) 复制 ( )( 然后修改 ) 现有的状态配置 删除状态配置 ( ) 将一个或多个状态配置导出 ( ) 到 XML 文件 ( 单击 导出... 按钮可导出所有状态配置, 或者从下拉列表中进行选择, 只导出选定或显示的那些状态配置 ) 单击 新建 ( 新建 ) 或属性 ( ) 显示 状态配置属性 窗口 8-23

一 登录 crm Mobile 系统 : 输入 ShijiCare 用户名和密码, 登录系统, 如图所示 : 第 2 页共 32 页

一 登录 crm Mobile 系统 : 输入 ShijiCare 用户名和密码, 登录系统, 如图所示 : 第 2 页共 32 页 第 1 页共 32 页 crm Mobile V1.0 for IOS 用户手册 一 登录 crm Mobile 系统 : 输入 ShijiCare 用户名和密码, 登录系统, 如图所示 : 第 2 页共 32 页 二 crm Mobile 界面介绍 : 第 3 页共 32 页 三 新建 (New) 功能使用说明 1 选择产品 第 4 页共 32 页 2 填写问题的简要描述和详细描述 第 5 页共

More information

智力测试故事

智力测试故事 II 980.00 ... 1... 1... 1... 2... 2... 2... 3... 3... 3... 3... 4... 4... 5... 5... 6... 6... 7... 7... 8... 8... 8... 9... 9...10...10...10 I II...11...11...11...12...13...13...13...14...14...14...15...15...15...16...16...17...17...18...18...19...19...19...19...20...20...21...21...21

More information

30,000,000 75,000,000 75,000, (i) (ii) (iii) (iv)

30,000,000 75,000,000 75,000, (i) (ii) (iii) (iv) 30,000,000 75,000,000 75,000,000 24 (i) (ii) (iii) (iv) # * 1,800,000 1,800,000 15% 3,400,000 3,400,000 15% 4,200,000 4,200,000 10% 8,600,000 8,600,000 10% 12,600,000 12,600,000 88% 10% 16,000,000 16,000,000

More information

目 录 汉 邦 高 科 介 绍 局 域 网 设 置 广 域 网 设 置 网 络 访 问 常 见 问 题 销 售 服 务 网 络 2

目 录 汉 邦 高 科 介 绍 局 域 网 设 置 广 域 网 设 置 网 络 访 问 常 见 问 题 销 售 服 务 网 络 2 易 家 电 子 整 理 发 布 汉 邦 高 科 技 术 系 列 文 档 嵌 入 式 产 品 网 络 设 置 方 法 编 号 : 2009001-V10 北 京 汉 邦 高 科 数 字 技 术 有 限 公 司 版 权 所 有 2009 年 12 月 1 目 录 汉 邦 高 科 介 绍 局 域 网 设 置 广 域 网 设 置 网 络 访 问 常 见 问 题 销 售 服 务 网 络 2 一 公 司 简 介

More information

长 安 大 学 硕 士 学 位 论 文 基 于 数 据 仓 库 和 数 据 挖 掘 的 行 为 分 析 研 究 姓 名 : 杨 雅 薇 申 请 学 位 级 别 : 硕 士 专 业 : 计 算 机 软 件 与 理 论 指 导 教 师 : 张 卫 钢 20100530 长安大学硕士学位论文 3 1 3系统架构设计 行为分析数据仓库的应用模型由四部分组成 如图3 3所示

More information

水晶分析师

水晶分析师 大数据时代的挑战 产品定位 体系架构 功能特点 大数据处理平台 行业大数据应用 IT 基础设施 数据源 Hadoop Yarn 终端 统一管理和监控中心(Deploy,Configure,monitor,Manage) Master Servers TRS CRYSTAL MPP Flat Files Applications&DBs ETL&DI Products 技术指标 1 TRS

More information

奇闻怪录

奇闻怪录 ... 1... 1... 2... 3... 3... 4... 4... 5... 5... 6... 8... 9... 10... 10... 11... 11... 13... 13... 14... 14... 15... 16... 17... 21 I ... 22... 23... 23... 24... 25... 25... 26... 27... 28... 29 UFO...

More information

Microsoft Word - John_Ch_1202

Microsoft Word - John_Ch_1202 新 约 圣 经 伴 读 约 翰 福 音 目 录 说 明..I 序 言 : 圣 经 中 神 圣 启 示 的 三 层.II 按 时 分 粮 的 原 则..VIII 纲 目 XI 第 一 章..1 第 二 章 13 第 三 章 25 第 四 章 37 第 五 章 49 第 六 章 61 第 七 章 73 第 八 章 85 第 九 章 97 第 十 章..109 第 十 一 章..121 第 十 二 章..133

More information

燃烧器电子控制系统 目录 2

燃烧器电子控制系统 目录 2 聚焦 REC27 燃烧器电子控制系统 燃烧器电子控制系统 目录 2 REC27 燃烧器电子控制系统 2 概述 燃烧器电子控制系统 2 2 2 2 2 A B1 B2 C D E 22 2 2 系统图示 2 2 2 2 2 2 主要特征及优点 燃烧器电子控制系统 2 2 集成控制 2 2 节能 安全运行 运行模式 远程锁定复位 可根据需求提供特殊机型 无接合间隙及机械迟滞 简单的试运行及燃烧器设定 2

More information

工程项目进度管理 西北工业大学管理学院 黄柯鑫博士 甘特图 A B C D E F G 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 甘特图的优点 : 直观明了 ( 图形化概要 ); 简单易懂 ( 易于理解 ); 应用广泛 ( 技术通用 ) 甘特图的缺点 : 不能清晰表示活动间的逻辑关系 WBS 责任分配矩阵 ( 负责〇审批

More information

施 的 年 度 維 修 工 程 已 於 4 月 15 日 完 成, 並 於 4 月 16 日 重 新 開 放 給 市 民 使 用 ii. 天 水 圍 游 泳 池 的 年 度 維 修 工 程 已 於 3 月 31 日 完 成, 並 於 4 月 1 日 重 新 開 放 給 市 民 使 用 iii. 元

施 的 年 度 維 修 工 程 已 於 4 月 15 日 完 成, 並 於 4 月 16 日 重 新 開 放 給 市 民 使 用 ii. 天 水 圍 游 泳 池 的 年 度 維 修 工 程 已 於 3 月 31 日 完 成, 並 於 4 月 1 日 重 新 開 放 給 市 民 使 用 iii. 元 地 委 會 文 件 2016/ 第 25 號 ( 於 6.5.2016 會 議 討 論 ) 康 樂 及 文 化 事 務 署 在 元 朗 區 內 舉 辦 的 康 樂 體 育 活 動 及 設 施 管 理 綜 合 匯 報 (2016 年 5 月 號 報 告 ) 目 的 本 文 件 旨 在 向 各 委 員 匯 報 康 樂 及 文 化 事 務 署 ( 康 文 署 ) 於 2016 年 2 月 至 5 月 在

More information

2015年廉政公署民意調查

2015年廉政公署民意調查 報 告 摘 要 2015 年 廉 政 公 署 周 年 民 意 調 查 背 景 1.1 為 了 掌 握 香 港 市 民 對 貪 污 問 題 和 廉 政 公 署 工 作 的 看 法, 廉 政 公 署 在 1992 至 2009 年 期 間, 每 年 均 透 過 電 話 訪 問 進 行 公 眾 民 意 調 查 為 更 深 入 了 解 公 眾 對 貪 污 問 題 的 看 法 及 關 注, 以 制 訂 適 切

More information

Enter the help project title here

Enter the help project title here ESET Mobile Security Windows Mobile 安装手册和用户指南 目录 ESET Mobile Security 10.4 删除垃圾邮件...18 Copyright 2010 ESET, spol. s.r.o. ESET Mobile Security ESET, spol. s r.o. 11. 查看日志和统计信息...19 www.eset.com 12. 故障排除和支持...21

More information

????????

???????? 深度学习 项目简介 葛丽丽 译 西蒙菲沙大学 教育学院 富有想像力的教育研究中心 电邮 ierg-ed@sfu.ca 网址: http://www.ierg.net 基本思想 开学的第一个星期 每个学生都会接到一个任意布置的主题 从此将围绕这个主题 进行深度学习 这些主题可能包括 鸟 苹果 马戏团 火车 和 太阳系 等内容 在接下来的小学 初中以及高中阶段 除了基本课程以外 学 生将继续深入地学习指定的题目

More information

Microsoft Word - COC HKROO App I _Chi_ Jan2012.doc

Microsoft Word - COC HKROO App I _Chi_ Jan2012.doc 附 錄 I 目 錄 項 目 貨 品 描 述 頁 數 (I) 活 動 物 ; 動 物 1 (II) 植 物 2 (III) 動 物 或 植 物 脂 肪 及 油 及 其 分 化 後 剩 餘 的 ; 經 處 理 可 食 的 脂 肪 ; 動 物 或 植 物 蠟 2 (IV) 經 配 製 的 食 品 ; 飲 料 酒 及 醋 ; 煙 草 及 製 成 的 煙 草 代 替 品 2 (V) 礦 產 5 (VI) 化

More information

对联故事

对联故事 980.00 ... 1... 1... 2... 3... 3... 4... 4... 5... 5... 6... 7... 7... 8... 9...10...10...11...12...13...13...14...15...15...16...17 I II...18...18...19...19...20...21...21...22...22...23...24...25...25...26...26...27...28...29...29...30...30...31...32...32...33...34...34...35

More information

「保險中介人資格考試」手冊

「保險中介人資格考試」手冊 目 錄 內 容 頁 次 1. 引 言.. 1 2. 考 試.. 1 3. 報 考 詳 情.. 3 4. 註 冊 手 續.. 3 5. 考 試 費.. 4 6. 准 考 證.. 5 7. 選 擇 考 試 時 間.. 5 8. 電 腦 或 系 統 出 現 問 題..... 5 9. 考 試 規 則.. 5 10. 取 消 資 格.. 6 11. 核 實 考 生 身 分.. 6 12. 發 出 成 績 通

More information

財 務 委 員 會 審 核 2014 至 2015 年 度 開 支 預 算 的 報 告 2014 年 7 月

財 務 委 員 會 審 核 2014 至 2015 年 度 開 支 預 算 的 報 告 2014 年 7 月 香 港 特 別 行 政 區 立 法 會 財 務 委 員 會 審 核 2014 至 2015 年 度 開 支 預 算 的 報 告 2014 年 7 月 財 務 委 員 會 審 核 2014 至 2015 年 度 開 支 預 算 的 報 告 2014 年 7 月 章 節 目 錄 頁 數 I 序 言 1-2 II 公 務 員 事 務 3-9 III 司 法 及 法 律 事 務 10-19 IV 財 經 事

More information

(譯本)

(譯本) 檔 號 : LD SMW 86-1/2(C) 立 法 會 參 考 資 料 摘 要 最 低 工 資 條 例 ( 第 608 章 ) 僱 傭 條 例 ( 第 57 章 ) 2015 年 最 低 工 資 條 例 ( 修 訂 附 表 3) 公 告 2015 年 僱 傭 條 例 ( 修 訂 附 表 9) 公 告 引 言 A 在 二 零 一 五 年 一 月 六 日 的 會 議 上, 行 政 會 議 建 議, 行

More information

Microsoft Word - Entry-Level Occupational Competencies for TCM in Canada200910_ch _2_.doc

Microsoft Word - Entry-Level Occupational Competencies for TCM in Canada200910_ch _2_.doc 草 稿 致 省 級 管 理 單 位 之 推 薦 書 二 零 零 九 年 十 月 十 七 日 加 拿 大 中 醫 管 理 局 聯 盟 All rights reserved 序 言 加 拿 大 中 醫 管 理 局 聯 盟, 於 二 零 零 八 年 一 月 至 二 零 零 九 年 十 月 間, 擬 定 傳 統 中 醫 執 業 之 基 礎 文 件 由 臨 床 經 驗 豐 富 之 中 醫 師 教 育 者 及

More information

http://www.tenda.com.cn Tenda 无线网卡说明书 第一章产品简介...1 1.1...1 1.2...1 1.3...1 1.4...2 1.5...2 1.6...2 1.7...4 第二章安装指南...5 第三章使用系统自带的无线配置程序...10 3.1...10 第四章客户端应用程序使用...18 4.1...19 4.1.1...20 4.1.2...21 4.1.3...23

More information

<4D F736F F D20BB4FAA46BFA4B2C4A447B4C15F D313038A67E5FBAEEA658B56FAE69B9EAAC49A4E8AED72D5FAED6A977A5BB5F >

<4D F736F F D20BB4FAA46BFA4B2C4A447B4C15F D313038A67E5FBAEEA658B56FAE69B9EAAC49A4E8AED72D5FAED6A977A5BB5F > 行 政 院 104 年 11 月 2 日 院 臺 綜 字 第 1040149345A 號 函 核 定 臺 東 縣 第 二 期 (105-108 年 ) 綜 合 發 展 實 施 方 案 ( 核 定 本 ) 臺 東 縣 政 府 中 華 民 國 1 0 4 年 1 1 月 臺 東 縣 第 二 期 (105-108 年 ) 綜 合 發 展 實 施 方 案 ( 核 定 本 ) 目 錄 第 一 章 前 言...

More information

II II

II II I I II II III 1. 2. 3. III 4. IV 5. 6. 8. 9. 10. 12. IV V V VI VI VII VII VIII VIII IX IX X X XI XI XII XII 1 1 2 2 3 3 4 33 35 4 5 5 6 6 7 ( ) 7 8 8 9 9 10 10 11 11 12 12 13 13 14 14 15 15 16 16 17 17

More information

<D6D0B9FAB9C5CAB757512E6D7073>

<D6D0B9FAB9C5CAB757512E6D7073> 黄 河 文 明 的 历 史 变 迁 丛 书 编 委 会 学 术 顾 问 李 学 勤 朱 绍 侯 姚 瀛 艇 郝 本 性 晁 福 林 王 巍 主 任 李 小 建 苗 长 虹 副 主 任 覃 成 林 高 有 鹏 牛 建 强 刘 东 勋 主 编 李 玉 洁 编 委 苗 书 梅 程 遂 营 王 蕴 智 张 新 斌 郑 慧 生 涂 白 奎 袁 俊 杰 薛 瑞 泽 陈 朝 云 孔 学 郑 贞 富 陈 彩 琴 石

More information

一、

一、 ... 1...24...58 - 2 - - 3 - - 4 - - 5 - - 6 - - 7 - - 8 - i. ii. iii. iv. i. ii. iii. iv. v. vi. vii. viii. ix. x. - 9 - xi. - 10 - - 11 - -12- -13- -14- -15- C. @ -16- @ -17- -18- -19- -20- -21- -22-

More information

Microsoft Word - MP2018_Report_Chi _12Apr2012_.doc

Microsoft Word - MP2018_Report_Chi _12Apr2012_.doc 人 力 資 源 推 算 報 告 香 港 特 別 行 政 區 政 府 二 零 一 二 年 四 月 此 頁 刻 意 留 空 - 2 - 目 錄 頁 前 言 詞 彙 縮 寫 及 注 意 事 項 摘 要 第 一 章 : 第 二 章 : 第 三 章 : 第 四 章 : 附 件 一 : 附 件 二 : 附 件 三 : 附 件 四 : 附 件 五 : 附 件 六 : 附 件 七 : 引 言 及 技 術 大 綱 人

More information

南華大學數位論文

南華大學數位論文 1 i -------------------------------------------------- ii iii iv v vi vii 36~39 108 viii 15 108 ix 1 2 3 30 1 ~43 2 3 ~16 1 2 4 4 5 3 6 8 6 4 4 7 15 8 ----- 5 94 4 5 6 43 10 78 9 7 10 11 12 10 11 12 9137

More information

李天命的思考藝術

李天命的思考藝術 ii iii iv v vi vii viii ix x 3 1 2 3 4 4 5 6 7 8 9 5 10 1 2 11 6 12 13 7 8 14 15 16 17 18 9 19 20 21 22 10 23 24 23 11 25 26 7 27 28 12 13 29 30 31 28 32 14 33 34 35 36 5 15 3 1 2 3 4 5 6 7 8 9 10 11

More information

皮肤病防治.doc

皮肤病防治.doc ...1...1...2...3...4...5...6...7...7...9...10... 11...12...14...15...16...18...19...21 I ...22...22...24...25...26...27...27...29...30...31...32...33...34...34...36...36...37...38...40...41...41...42 II

More information

性病防治

性病防治 ...1...2...3...4...5...5...6...7...7...7...8...8...9...9...10...10... 11... 11 I ...12...12...12...13...14...14...15...17...20...20...21...22...23...23...25...27...33...34...34...35...35 II ...36...38...39...40...41...44...49...49...53...56...57...57...58...58...59...60...60...63...63...65...66

More information

中国南北特色风味名菜 _一)

中国南北特色风味名菜 _一) ...1...1...2...3...3...4...5...6...7...7...8...9... 10... 11... 13... 13... 14... 16... 17 I ... 18... 19... 20... 21... 22... 23... 24... 25... 27... 28... 29... 30... 32... 33... 34... 35... 36... 37...

More information

01

01 ZEBRA 技术白皮书 条码编码 101 相关知识介绍 引言 20 70 数据 80 20 90 (JIT) AIAG EIA HIBCC HAZMAT 条码的优势提高数据准确性 99% 85% / / 提升效率 / 2 Zebra Technologies 保持一致性 ID 改进库存和资产管理 成本 / 效益分析 ID ID ID (ERP) RFID Zebra Technologies 3 ID

More information

西施劇本_04Dec2003.doc

西施劇本_04Dec2003.doc A n o u i l h, B r e c h t, C l a u d e l, C o c t e a u, E l i o t, G i r a u d o u x, L o r c a, O N e i l l, P i r a n d e l l o, S a l a c r o u, S a r t r e i ii i i i iv v v i vii v i i i i x x xi

More information

歡 迎 您 成 為 滙 豐 銀 聯 雙 幣 信 用 卡 持 卡 人 滙 豐 銀 聯 雙 幣 信 用 卡 同 時 兼 備 港 幣 及 人 民 幣 戶 口, 讓 您 的 中 港 消 費 均 可 以 當 地 貨 幣 結 算, 靈 活 方 便 此 外, 您 更 可 憑 卡 於 全 球 近 400 萬 家 特

歡 迎 您 成 為 滙 豐 銀 聯 雙 幣 信 用 卡 持 卡 人 滙 豐 銀 聯 雙 幣 信 用 卡 同 時 兼 備 港 幣 及 人 民 幣 戶 口, 讓 您 的 中 港 消 費 均 可 以 當 地 貨 幣 結 算, 靈 活 方 便 此 外, 您 更 可 憑 卡 於 全 球 近 400 萬 家 特 歡 迎 您 成 為 滙 豐 銀 聯 雙 幣 信 用 卡 持 卡 人 滙 豐 銀 聯 雙 幣 信 用 卡 同 時 兼 備 港 幣 及 人 民 幣 戶 口, 讓 您 的 中 港 消 費 均 可 以 當 地 貨 幣 結 算, 靈 活 方 便 此 外, 您 更 可 憑 卡 於 全 球 近 400 萬 家 特 約 商 戶 簽 賬, 尊 享 種 種 購 物 飲 食 及 娛 樂 消 費 優 惠 如 需 查 詢 滙

More information

我 非 常 希 望 该 小 组 的 建 议 尤 其 是 其 执 行 摘 要 能 受 到 将 于 2000 年 9 月 来 纽 约 参 加 千 年 首 脑 会 议 的 所 有 领 导 人 的 注 意 这 次 历 史 性 的 高 级 别 会 议 提 供 了 一 个 独 特 的 机 会 使 我 们 能 够

我 非 常 希 望 该 小 组 的 建 议 尤 其 是 其 执 行 摘 要 能 受 到 将 于 2000 年 9 月 来 纽 约 参 加 千 年 首 脑 会 议 的 所 有 领 导 人 的 注 意 这 次 历 史 性 的 高 级 别 会 议 提 供 了 一 个 独 特 的 机 会 使 我 们 能 够 联 合 国 A/55/305 大 会 安 全 理 事 会 Distr.: General 21 August 2000 Chinese Original: English 大 会 第 五 十 五 届 会 议 临 时 议 程 项 目 87 整 个 维 持 和 平 行 动 问 题 所 有 方 面 的 全 盘 审 查 安 全 理 事 会 第 五 十 五 年 2000 年 8 月 21 日 秘 书 长 给

More information

<4D6963726F736F667420576F7264202D20B1B1BEA9D6B8C4CFD5EBBFC6BCBCB7A2D5B9B9C9B7DDD3D0CFDEB9ABCBBEB4B4D2B5B0E5CAD7B4CEB9ABBFAAB7A2D0D0B9C9C6B1D5D0B9C9CBB5C3F7CAE9A3A8C9EAB1A8B8E532303136C4EA36D4C23230C8D5B1A8CBCDA3A92E646F63>

<4D6963726F736F667420576F7264202D20B1B1BEA9D6B8C4CFD5EBBFC6BCBCB7A2D5B9B9C9B7DDD3D0CFDEB9ABCBBEB4B4D2B5B0E5CAD7B4CEB9ABBFAAB7A2D0D0B9C9C6B1D5D0B9C9CBB5C3F7CAE9A3A8C9EAB1A8B8E532303136C4EA36D4C23230C8D5B1A8CBCDA3A92E646F63> ( 北 京 市 海 淀 区 黑 泉 路 8 号 宝 盛 广 场 B 座 6 层 6001 室 ) 首 次 公 开 发 行 股 票 并 在 创 业 板 上 市 ( 申 报 稿 ) 本 公 司 的 发 行 申 请 尚 未 得 到 中 国 证 监 会 核 准 本 ( 申 报 稿 ) 不 具 有 据 以 发 行 股 票 的 法 律 效 力, 仅 供 预 先 披 露 之 用 投 资 者 应 当 以 正 式 公

More information

上海现代设计集团建筑协同设计平台研究与应用

上海现代设计集团建筑协同设计平台研究与应用 邓雪原 苏 昶 孙 朋 王国俭 上海交通大学土木工程系 上海 上海现代建筑设计 集团 有限公司 上海 本文首先分析了建筑 协同设计发展过程中存在的问题 指出建筑 协同设计的发展需要经过二维协同设计向三维协同设计的过渡 接着对适合于大型建筑设计企业的建筑 协同设计平台的关键问题进行了阐述 通过上海现代建筑设计集团一个实际工程项目 详细描述了建筑工程协同设计的方法与过程 然后对建筑协同设计的标准统一 工种协同等特点和高效沟通及超大项目的应用优势进行了讨论

More information

2. 我 沒 有 說 實 話, 因 為 我 的 鞋 子 其 實 是 [ 黑 色 / 藍 色 / 其 他 顏 色.]. 如 果 我 說 我 現 在 是 坐 著 的, 我 說 的 是 實 話 嗎? [ 我 說 的 對 還 是 不 對 ]? [ 等 對 方 回 答 ] 3. 這 是 [ 實 話 / 對 的

2. 我 沒 有 說 實 話, 因 為 我 的 鞋 子 其 實 是 [ 黑 色 / 藍 色 / 其 他 顏 色.]. 如 果 我 說 我 現 在 是 坐 著 的, 我 說 的 是 實 話 嗎? [ 我 說 的 對 還 是 不 對 ]? [ 等 對 方 回 答 ] 3. 這 是 [ 實 話 / 對 的 附 錄 美 國 國 家 兒 童 健 康 與 人 類 發 展 中 心 (NICHD) 偵 訊 指 導 手 冊 I. 開 場 白 1. 你 好, 我 的 名 字 是, 我 是 警 察 [ 介 紹 房 間 內 的 其 他 人, 不 過, 在 理 想 狀 態 下, 房 間 裡 不 該 有 其 他 人 ] 今 天 是 ( 年 月 日 ), 現 在 是 ( 幾 點 幾 分 ) 我 是 在 ( 地 點 ) 問 你

More information

Hong Kong Filmography Vol VIII (1975-1979)

Hong Kong Filmography Vol VIII (1975-1979) 序 言 蒲 鋒 到 外 地 旅 行, 假 如 不 跟 旅 行 社, 我 們 總 會 帶 地 圖 有 了 地 圖, 整 個 旅 程 便 不 再 是 封 閉 地 由 一 個 旅 遊 點 跳 到 另 一 個 旅 遊 點, 而 是 在 一 個 平 面 上 展 開, 可 以 從 地 圖 上 知 道 每 個 旅 遊 點 之 間 的 相 對 位 置 一 個 完 整 的 片 目, 就 好 像 電 影 的 時 間 地

More information

Microsoft Word - Paper on PA (Chi)_2016.01.19.docx

Microsoft Word - Paper on PA (Chi)_2016.01.19.docx 立 法 會 發 展 事 務 委 員 會 二 零 一 六 年 施 政 報 告 及 施 政 綱 領 有 關 發 展 局 的 措 施 引 言 行 政 長 官 在 二 零 一 六 年 一 月 十 三 日 發 表 題 為 創 新 經 濟 改 善 民 生 促 進 和 諧 繁 榮 共 享 的 二 零 一 六 年 施 政 報 告 施 政 報 告 夾 附 施 政 綱 領, 臚 列 政 府 推 行 的 新 措 施 和

More information

<4D6963726F736F667420576F7264202D203938BEC7A67EABD7B942B0CAC15AC075B3E6BF57A9DBA5CDC2B2B3B92DA5BFBD542E646F63>

<4D6963726F736F667420576F7264202D203938BEC7A67EABD7B942B0CAC15AC075B3E6BF57A9DBA5CDC2B2B3B92DA5BFBD542E646F63> 98 年 3 月 11 日 依 本 校 98 學 年 度 招 生 委 員 會 第 1 次 會 議 核 定 大 同 技 術 學 院 98 學 年 度 重 點 運 動 項 目 績 優 學 生 單 獨 招 生 簡 章 大 同 技 術 學 院 招 生 委 員 會 編 印 校 址 :600 嘉 義 市 彌 陀 路 253 號 電 話 :(05)2223124 轉 203 教 務 處 招 生 專 線 :(05)2223124

More information

(i) (ii) (iii) (iv) (v) (vi) (vii) (viii) (ix) (x) (i) (ii)(iii) (iv) (v)

(i) (ii) (iii) (iv) (v) (vi) (vii) (viii) (ix) (x) (i) (ii)(iii) (iv) (v) 1948 12 1 1986 1 1995 1995 3 1995 5 2003 4 2003 12 2015 82015 10 1 2004 2 1 (i) (ii) (iii) (iv) (v) (vi) (vii) (viii) (ix) (x) (i) (ii)(iii) (iv) (v) (vi) (vii)(viii) (ix) (x) (xi) 2013 8 15 (i) (ii) (iii)

More information

Microsoft Word - Final Chi-Report _PlanD-KlnEast_V7_ES_.doc

Microsoft Word - Final Chi-Report _PlanD-KlnEast_V7_ES_.doc 九 龍 東 商 業 的 統 計 調 查 - 行 政 摘 要 - 2011 年 5 月 統 計 圖 行 政 摘 要...1 圖 I: 在 不 同 地 區 及 樓 宇 類 別 的 數 目 及 比 例...9 圖 II: 影 響 選 擇 地 點 的 因 素 的 重 要 程 度 對 比 就 現 時 所 在 地 點 各 項 因 素 的 滿 意 程 度...20 圖 III: 影 響 選 擇 樓 宇 的 因 素

More information

《小王子》 (法)圣埃克苏佩里 原著

《小王子》 (法)圣埃克苏佩里 原著 小 王 子 ( 法 ) 圣 埃 克 苏 佩 里 原 著 献 给 莱 翁 维 尔 特 请 孩 子 们 原 谅 我 把 这 本 书 献 给 了 一 个 大 人 我 有 一 条 正 当 的 理 由 : 这 个 大 人 是 我 在 世 界 上 最 好 的 朋 友 我 另 有 一 条 理 由 : 这 个 大 人 什 么 都 懂 ; 即 使 儿 童 读 物 也 懂 我 还 有 第 三 条 理 由 ; 这 个 大

More information

「保險中介人資格考試」手冊

「保險中介人資格考試」手冊 保 險 中 介 人 資 格 考 試 手 冊 目 錄 內 容 頁 次 1. 引 言.. 1 2. 考 試... 1 3. 報 考 詳 情... 3 4. 報 名 手 續... 4 5. 考 試 費... 5 6. 准 考 證... 5 7. 選 擇 考 試 時 間... 6 8. 電 腦 或 系 統 出 現 問 題...... 6 9. 考 試 規 則..... 6 10. 取 消 資 格... 7

More information

穨學前教育課程指引.PDF

穨學前教育課程指引.PDF i 1 1.1 1 1.2 1 4 2.1 4 2.2 5 2.3 7 2.4 9 2.5 11 2.6 1 2 1 5 3.1 1 5 3.2 1 5 19 4.1 19 4.2 19 4.3 2 1 4.4 29 4.5 38 4.6 4 3 4.7 47 50 5.1 5 0 5.2 5 0 5.3 6 2 5.4 9 4 5.5 1 2 6 ( ) 1 2 7 ( ) 1 31 ( ) 1

More information

山东出版传媒招股说明书

山东出版传媒招股说明书 ( 山 东 省 济 南 市 英 雄 山 路 189 号 ) 首 次 公 开 发 行 股 票 ( 申 报 稿 ) 保 荐 机 构 ( 主 承 销 商 ) 中 银 国 际 证 券 有 限 责 任 公 司 ( 上 海 市 浦 东 银 城 中 路 200 号 中 银 大 厦 39 层 ) 首 次 公 开 发 行 股 票 ( 一 ) 发 行 股 票 类 型 : 人 民 币 普 通 股 (A 股 ) ( 二 )

More information

5498 立 法 會 2013 年 3 月 27 日 李 國 麟 議 員, S.B.S., J.P. 林 健 鋒 議 員, G.B.S., J.P. 梁 君 彥 議 員, G.B.S., J.P. 黃 定 光 議 員, S.B.S., J.P. 湯 家 驊 議 員, S.C. 何 秀 蘭 議 員 李

5498 立 法 會 2013 年 3 月 27 日 李 國 麟 議 員, S.B.S., J.P. 林 健 鋒 議 員, G.B.S., J.P. 梁 君 彥 議 員, G.B.S., J.P. 黃 定 光 議 員, S.B.S., J.P. 湯 家 驊 議 員, S.C. 何 秀 蘭 議 員 李 立 法 會 2013 年 3 月 27 日 5497 會 議 過 程 正 式 紀 錄 2013 年 3 月 27 日 星 期 三 上 午 11 時 正 會 議 開 始 出 席 議 員 : 主 席 曾 鈺 成 議 員, G.B.S., J.P. 何 俊 仁 議 員 李 卓 人 議 員 涂 謹 申 議 員 陳 鑑 林 議 員, S.B.S., J.P. 梁 耀 忠 議 員 劉 皇 發 議 員, 大 紫

More information

39898.indb

39898.indb 1988 4 1998 12 1990 5 40 70.................................................. 40.............................................................. 70..............................................................

More information

穨ecr2_c.PDF

穨ecr2_c.PDF i ii iii iv v vi vii viii 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 1 26 27 2 28 29 30 31 32 33 34 35 36 37 38 39 40 3 4 41 42 43 5 44 45 46 6 47 48 49 50 51 52 1 53 2 54 55 3 56

More information

電腦相關罪行跨部門工作小組-報告書

電腦相關罪行跨部門工作小組-報告書 - ii - - iii - - iv - - v - - vi - - vii - - viii - (1) 2.1 (2) (3) 13.6 (4) 1.6 (5) 21 (6) (7) 210 (8) (9) (10) (11) ( ) ( 12) 20 60 16 (13) ( ) (

More information

i

i i ii iii iv v vi vii viii ===== 1 2 3 4 5 6 7 8 9 10 ==== 11 12 13 14 15 16 17 18 19 ==== ==== 20 .. ===== ===== ===== ===== ===== ======.. 21 22 ===== ===== ===== ===== 23 24 25 26 27 28 29 ==== ====

More information

发展党员工作手册

发展党员工作手册 发 展 党 员 工 作 问 答 目 录 一 总 论...9 1. 发 展 党 员 工 作 的 方 针 是 什 么? 如 何 正 确 理 解 这 个 方 针?... 9 2. 为 什 么 强 调 发 展 党 员 必 须 保 证 质 量?... 9 3. 如 何 做 到 慎 重 发 展?... 10 4. 如 何 处 理 好 发 展 党 员 工 作 中 的 重 点 与 一 般 的 关 系?...11 5.

More information

- 2 - 获 豁 免 计 算 入 总 楼 面 面 积 及 / 或 上 盖 面 积 的 环 保 及 创 新 设 施 根 据 建 筑 物 条 例 的 规 定 4. 以 下 的 环 保 设 施 如 符 合 某 些 条 件, 并 由 有 关 人 士 提 出 豁 免 申 请, 则 可 获 豁 免 计 算 入

- 2 - 获 豁 免 计 算 入 总 楼 面 面 积 及 / 或 上 盖 面 积 的 环 保 及 创 新 设 施 根 据 建 筑 物 条 例 的 规 定 4. 以 下 的 环 保 设 施 如 符 合 某 些 条 件, 并 由 有 关 人 士 提 出 豁 免 申 请, 则 可 获 豁 免 计 算 入 屋 宇 署 地 政 总 署 规 划 署 联 合 作 业 备 考 第 1 号 环 保 及 创 新 的 楼 宇 引 言 为 了 保 护 和 改 善 建 筑 及 自 然 环 境, 政 府 推 广 建 造 环 保 及 创 新 的 楼 宇, 目 的 是 鼓 励 业 界 设 计 和 建 造 加 入 以 下 措 施 的 楼 宇 : (a) 采 用 楼 宇 整 体 使 用 周 期 方 法 规 划 设 计 建 造 和

More information

國立中山大學學位論文典藏.PDF

國立中山大學學位論文典藏.PDF I II III IV V VI VII VIII IX X 苷 XI XII 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57

More information

<4D6963726F736F667420576F7264202D20B6ABD0CBD6A4C8AFB9C9B7DDD3D0CFDEB9ABCBBECAD7B4CEB9ABBFAAB7A2D0D0B9C9C6B1D5D0B9C9CBB5C3F7CAE9A3A8C9EAB1A8B8E5202032303134C4EA33D4C23131C8D5B1A8CBCDA3A92E646F63>

<4D6963726F736F667420576F7264202D20B6ABD0CBD6A4C8AFB9C9B7DDD3D0CFDEB9ABCBBECAD7B4CEB9ABBFAAB7A2D0D0B9C9C6B1D5D0B9C9CBB5C3F7CAE9A3A8C9EAB1A8B8E5202032303134C4EA33D4C23131C8D5B1A8CBCDA3A92E646F63> 东 兴 证 券 股 份 有 限 公 司 ( 住 所 : 北 京 市 西 城 区 金 融 大 街 5 号 ( 新 盛 大 厦 )12 15 层 ) 首 次 公 开 发 行 股 票 招 股 说 明 书 ( 申 报 稿 ) 保 荐 人 ( 主 承 销 商 ) 瑞 银 证 券 有 限 责 任 公 司 住 所 : 北 京 市 西 城 区 金 融 大 街 7 号 英 蓝 国 际 金 融 中 心 12 层 15

More information

注 释 说 明 本 说 明 书 中 使 用 以 下 样 式 : 图 标 : 提 醒 您 如 何 应 对 可 能 出 现 的 情 况 或 提 供 关 于 如 何 使 用 其 它 功 能 操 作 的 小 贴 士 商 标 brother 标 识 是 兄 弟 工 业 株 式 会 社 的 注 册 商 标 br

注 释 说 明 本 说 明 书 中 使 用 以 下 样 式 : 图 标 : 提 醒 您 如 何 应 对 可 能 出 现 的 情 况 或 提 供 关 于 如 何 使 用 其 它 功 能 操 作 的 小 贴 士 商 标 brother 标 识 是 兄 弟 工 业 株 式 会 社 的 注 册 商 标 br 基 于 移 动 设 备 的 打 印 及 扫 描 说 明 书 ( 适 用 于 Brother iprint&scan) 版 本 E SCHN 注 释 说 明 本 说 明 书 中 使 用 以 下 样 式 : 图 标 : 提 醒 您 如 何 应 对 可 能 出 现 的 情 况 或 提 供 关 于 如 何 使 用 其 它 功 能 操 作 的 小 贴 士 商 标 brother 标 识 是 兄 弟 工 业 株

More information

目 录 院 领 导 职 责... 1 院 长 职 责... 1 医 疗 副 院 长 职 责... 1 教 学 副 院 长 职 责... 2 科 研 副 院 长 职 责... 2 后 勤 副 院 长 职 责... 3 主 管 南 院 区 副 院 长 职 责... 3 党 委 书 记 职 责... 4

目 录 院 领 导 职 责... 1 院 长 职 责... 1 医 疗 副 院 长 职 责... 1 教 学 副 院 长 职 责... 2 科 研 副 院 长 职 责... 2 后 勤 副 院 长 职 责... 3 主 管 南 院 区 副 院 长 职 责... 3 党 委 书 记 职 责... 4 目 录 院 领 导 职 责... 1 院 长 职 责... 1 医 疗 副 院 长 职 责... 1 教 学 副 院 长 职 责... 2 科 研 副 院 长 职 责... 2 后 勤 副 院 长 职 责... 3 主 管 南 院 区 副 院 长 职 责... 3 党 委 书 记 职 责... 4 纪 委 书 记 职 责... 5 院 长 办 公 室... 6 院 长 办 公 室 工 作 职 责...

More information

(b) 3 (a) (b) 7 (a) (i) (ii) (iii) (iv) (v) (vi) (vii) 57

(b) 3 (a) (b) 7 (a) (i) (ii) (iii) (iv) (v) (vi) (vii) 57 (i) (ii) (iii) A. 123 2 3(1) (2) (i) 41 (ii) (iii) 121 4(3) (i) (ii) (iii) 123A 3 (a) 56 (b) 3 (a) (b) 7 (a) (i) (ii) (iii) (iv) (v) (vi) (vii) 57 (viii) (ix) (x) 4B(2)(d) (e) (f) (xi) (xii) (b) (a) (i)

More information

- 1 - ( ) ( ) ( )

- 1 - ( ) ( ) ( ) : 2 2868 4679 airportcomments@edlb.gov.hk www.edlb.gov.hk/edb/chi/papers/cdoc/ - 1 - ( ) 2. 3. 4. 2004 ( ) 60 5. ( ) - 2-6. ( 483 ) 7. ( 32 ) ( 448 ) 1995 ( ) 1 8. 1 ( ) 128 129 130 - 3-9. (i) (ii) (iii)

More information

兒 童 會 4 摩 爾 門 經 本 教 材 專 為 8-11 歲 的 兒 童 設 計 耶 穌 基 督 後 期 聖 徒 教 會 台 北 發 行 中 心 印 行

兒 童 會 4 摩 爾 門 經 本 教 材 專 為 8-11 歲 的 兒 童 設 計 耶 穌 基 督 後 期 聖 徒 教 會 台 北 發 行 中 心 印 行 兒 童 會 4 摩 爾 門 經 8-11 歲 兒 童 會 4 摩 爾 門 經 本 教 材 專 為 8-11 歲 的 兒 童 設 計 耶 穌 基 督 後 期 聖 徒 教 會 台 北 發 行 中 心 印 行 1997, 1997 by Intellectual Reserve, Inc. 1997 耶 穌 基 督 後 期 聖 徒 教 會 版 權 所 有 台 北 發 行 中 心 印 行 英 語 核 准 日

More information

H

H CGN Power Co., Ltd. * 1816 (1) 2014 (2) 2014 (3) 2014 (4) 2014 (5) 2014 (6) 2015 (7) 2015 (8) 2015 (9) (10) (11) H (12) (13) (14) (15) (16) (17) 2014 5 41 42 43 44 55 2015 5 26 88 JW 3 N-1 N-5 (i) 2015

More information

款 及 赔 偿 限 额 及 限 制 给 付 下 述 保 险 金, 但 有 关 医 疗 费 用 及 受 保 服 务 必 须 是 : i. 医 学 上 合 适 及 必 须 的, 及 ii. 由 医 疗 服 务 提 供 者 开 单 收 费 的, 及 iii. 符 合 通 常 惯 性 及 合 理 水 平 的

款 及 赔 偿 限 额 及 限 制 给 付 下 述 保 险 金, 但 有 关 医 疗 费 用 及 受 保 服 务 必 须 是 : i. 医 学 上 合 适 及 必 须 的, 及 ii. 由 医 疗 服 务 提 供 者 开 单 收 费 的, 及 iii. 符 合 通 常 惯 性 及 合 理 水 平 的 富 德 财 产 保 险 股 份 有 限 公 司 留 学 美 国 学 生 医 疗 综 合 保 险 条 款 总 则 第 一 条 合 同 构 成 本 保 险 合 同 由 保 险 条 款 投 保 单 保 险 单 批 单 或 其 他 保 险 凭 证 组 成 凡 涉 及 本 保 险 合 同 的 约 定, 均 应 采 用 书 面 形 式 第 二 条 被 保 险 人 及 被 保 险 资 格 任 何 身 体 健 康

More information

群科課程綱要總體課程計畫書

群科課程綱要總體課程計畫書 核 准 文 號 :102 年 4 月 22 日 臺 教 國 署 高 字 第 1020036237 號 國 立 曾 文 高 級 農 工 職 業 學 校 群 科 課 程 綱 要 總 體 課 程 計 畫 書 (102 學 年 度 入 學 學 生 適 用 ) 中 華 民 國 102 年 04 月 22 日 國 立 曾 文 高 級 農 工 職 業 學 校 群 科 課 程 綱 要 總 體 課 程 計 畫 書 核

More information

Microsoft Word - NCH final report_CHI _091118_ revised on 10 Dec.doc

Microsoft Word - NCH final report_CHI _091118_ revised on 10 Dec.doc 十 八 區 區 議 會 的 簡 介 會 (1) 東 區 區 議 會 (2008 年 4 月 24 日 ) III. 中 環 新 海 濱 城 市 設 計 研 究 第 二 階 段 公 眾 參 與 ( 東 區 區 議 會 文 件 第 51/08 號 ) 10. 主 席 歡 迎 發 展 局 副 秘 書 長 ( 規 劃 及 地 政 ) 麥 駱 雪 玲 太 平 紳 士 規 劃 署 副 署 長 / 地 區 黃 婉

More information

<4D6963726F736F667420576F7264202D205B345DB5D8AE4CACD732303135AECAAFC5C1C9C1DCBDD0AB48A4CEB3F8A657AAED>

<4D6963726F736F667420576F7264202D205B345DB5D8AE4CACD732303135AECAAFC5C1C9C1DCBDD0AB48A4CEB3F8A657AAED> 華 夏 盃 全 國 全 國 數 學 奧 林 匹 克 邀 請 賽 ( 華 南 賽 區 ) 晉 級 賽 比 賽 詳 情 : 一 比 賽 對 象 : 小 學 一 至 六 年 級 中 學 一 二 年 級 二 比 賽 日 期 及 時 間 : 年 2 月 15 日 ( 星 期 日 ) 小 學 組 小 一 級 小 二 級 小 三 級 小 四 級 小 五 級 小 六 級 時 間 13:10~1:20 13:10~1:20

More information

Microsoft Word - ????:?????????????

Microsoft Word - ????:????????????? 春 秋 航 空 股 份 有 限 公 司 ( 住 所 : 上 海 市 长 宁 区 定 西 路 1558 号 乙 ) 首 次 公 开 发 行 股 票 招 股 意 向 书 保 荐 人 ( 主 承 销 商 ) 瑞 银 证 券 有 限 责 任 公 司 住 所 : 北 京 市 西 城 区 金 融 大 街 7 号 英 蓝 国 际 金 融 中 心 12 层 15 层 春 秋 航 空 股 份 有 限 公 司 首 次

More information

前 言 根 据 澳 门 特 别 行 政 区 第 11/1999 号 法 律 第 三 条 规 定, 审 计 长 执 行 其 职 责, 已 经 对 财 政 局 提 交 的 2011 年 度 澳 门 特 别 行 政 区 总 帐 目 ( 总 帐 目 ) 进 行 了 审 计 与 2010 年 度 相 同, 本 年 度 的 总 帐 目 由 政 府 一 般 综 合 帐 目 及 特 定 机 构 汇 总 帐 目, 两

More information

目 录 涵 盖 内 容... 1 涵 盖 内 容... 1 初 始 安 装... 1 高 级 工 具 和 设 置... 6 Belkin 路 由 器 管 理... 7 使 用 浏 览 器 手 动 安 装... 8 将 计 算 机 添 加 到 网 络... 9 路 由 器 入 门... 11 前 面

目 录 涵 盖 内 容... 1 涵 盖 内 容... 1 初 始 安 装... 1 高 级 工 具 和 设 置... 6 Belkin 路 由 器 管 理... 7 使 用 浏 览 器 手 动 安 装... 8 将 计 算 机 添 加 到 网 络... 9 路 由 器 入 门... 11 前 面 疾速 宽带无线路由器 用户手册 F7D2301zh 8820zh00372 目 录 涵 盖 内 容... 1 涵 盖 内 容... 1 初 始 安 装... 1 高 级 工 具 和 设 置... 6 Belkin 路 由 器 管 理... 7 使 用 浏 览 器 手 动 安 装... 8 将 计 算 机 添 加 到 网 络... 9 路 由 器 入 门... 11 前 面 板... 11 后 面 板...

More information

Microsoft Word - Panel Paper on T&D-Chinese _as at 6.2.2013__final_.doc

Microsoft Word - Panel Paper on T&D-Chinese _as at 6.2.2013__final_.doc 二 零 一 三 年 二 月 十 八 日 會 議 討 論 文 件 立 法 會 CB(4)395/12-13(03) 號 文 件 立 法 會 公 務 員 及 資 助 機 構 員 工 事 務 委 員 會 公 務 員 培 訓 及 發 展 概 況 目 的 本 文 件 介 紹 公 務 員 事 務 局 為 公 務 員 所 提 供 培 訓 和 發 展 的 最 新 概 況, 以 及 將 於 二 零 一 三 年 推 出

More information

第 二 輯 目 錄.indd 2 目 錄 編 寫 說 明 附 : 香 港 中 學 文 憑 中 國 語 文 科 評 核 模 式 概 述 綜 合 能 力 考 核 考 試 簡 介 及 應 試 技 巧 常 用 實 用 文 文 體 格 式 及 寫 作 技 巧 綜 合 能 力 分 項 等 級 描 述 練 習 一

第 二 輯 目 錄.indd 2 目 錄 編 寫 說 明 附 : 香 港 中 學 文 憑 中 國 語 文 科 評 核 模 式 概 述 綜 合 能 力 考 核 考 試 簡 介 及 應 試 技 巧 常 用 實 用 文 文 體 格 式 及 寫 作 技 巧 綜 合 能 力 分 項 等 級 描 述 練 習 一 作 出 發 者 : 劉 梓 淩 版 : 精 工 出 版 社 行 : 精 工 印 書 局 香 港 銅 鑼 灣 道 168 號 電 話 :2571 1770 2554 1247 傳 真 :2806 0974 2873 2412 網 二 O 一 一 年 址 :http://www.jingkung.com 初 版 版 權 所 有, 翻 版 必 究 如 未 獲 得 本 公 司 同 意, 不 得 用 任 何

More information

# # # # # # # # #

# # # # # # # # # 实现政治问责的三条道路 马 骏 建立一个对人民负责的政府是现代国家治理的核心问题 实现这一目标 需要解决两个最基本的问题 谁来使用权力 如何使用权力 选举制度是解决前一问题相对较好的制度 而预算制度是解决第二个问题最好的制度 通过历史比较分析 可以总结出三条实现政治问责的道路 世纪的欧洲道路 从建国到进步时代改革的美国道路以及雏形初现的中国道路 这意味着 西方经验并不是唯一的实现政治问责的道路 相对于西方经验来说

More information

<4D6963726F736F667420576F7264202D20CDF2B4EFB5E7D3B0D4BACFDFB9C9B7DDD3D0CFDEB9ABCBBECAD7B4CEB9ABBFAAB7A2D0D0B9C9C6B1D5D0B9C9CBB5C3F7CAE9A3A8C9EAB1A8B8E532303134C4EA34D4C23137C8D5B1A8CBCDA3A92E646F63>

<4D6963726F736F667420576F7264202D20CDF2B4EFB5E7D3B0D4BACFDFB9C9B7DDD3D0CFDEB9ABCBBECAD7B4CEB9ABBFAAB7A2D0D0B9C9C6B1D5D0B9C9CBB5C3F7CAE9A3A8C9EAB1A8B8E532303134C4EA34D4C23137C8D5B1A8CBCDA3A92E646F63> ( 住 所 : 北 京 市 朝 阳 区 建 国 路 93 号 万 达 广 场 B 座 11 层 ) 首 次 公 开 发 行 A 股 股 票 ( 申 报 稿 ) 保 荐 人 ( 主 承 销 商 ) 住 所 : 上 海 市 浦 东 银 城 中 路 200 号 中 银 大 厦 39 层 万 达 电 影 院 线 股 份 有 限 公 司 首 次 公 开 发 行 股 票 本 公 司 的 发 行 申 请 尚 未

More information

就財務委員會委員審核2015至16年度開支預算所提出初步問題的答覆

就財務委員會委員審核2015至16年度開支預算所提出初步問題的答覆 索 引 財 務 委 員 會 審 核 二 零 一 五 至 一 六 年 度 節 會 議 綜 合 檔 案 名 稱 :DEVB(W)-2-c1.docx 問 題 編 號 委 員 姓 名 總 目 綱 領 DEVB(W)001 2007 陳 恒 鑌 159 - DEVB(W)002 0152 陳 偉 業 159 (4) 起 動 九 龍 東 DEVB(W)003 0701 陳 婉 嫻 159 (2) 文 物 保

More information

Microsoft Word - 0B 封裡面.doc

Microsoft Word - 0B 封裡面.doc 國 立 臺 灣 大 學 校 總 區 東 區 規 劃 調 整 委 託 技 術 服 務 報 告 書 定 稿 版 目 錄 審 核 意 見 修 正 辦 理 情 形 壹 計 畫 緣 起 及 目 標 1-1 計 畫 緣 起 1 1-2 計 畫 目 標 與 效 益 1 1-3 計 畫 範 圍 2 1-4 計 畫 期 程 2 貳 基 地 環 境 概 述 2-1 東 ( 北 ) 區 使 用 現 況 3 2-2 東

More information

商丘职业技术学院

商丘职业技术学院 国 家 骨 干 高 等 职 业 院 校 建 设 项 目 ( 中 央 财 政 重 点 支 持 专 业 ) 二 〇 一 二 年 六 月 畜 牧 兽 医 专 业 建 设 指 导 委 员 会 主 任 委 员 : 朱 金 凤 ( 河 南 省 高 等 学 校 教 学 名 师 ) 副 主 任 委 员 : 王 居 强 ( 河 南 省 肉 牛 工 程 技 术 开 发 中 心 ) 潘 书 林 ( 中 牟 县 奶 业 科

More information

untitled

untitled 13.01 A1 13.02 [ 2013 1 1 ] 13.03 13.04 13.05 (1) 21 (2) (3) 1/13 13 1 13.06 (1) (2) (3) 21 13.06A 13.06B 13.07 13.08 13.09 (1) 13.10 1. 13.10 13 2 1/13 2. (2) 13.10 (1) (2) 1 1. 13.10(2) XIVA 1/13 13

More information

FPGAs in Next Generation Wireless Networks WPChinese

FPGAs in Next Generation Wireless Networks WPChinese FPGA 2010 3 Lattice Semiconductor 5555 Northeast Moore Ct. Hillsboro, Oregon 97124 USA Telephone: (503) 268-8000 www.latticesemi.com 1 FPGAs in Next Generation Wireless Networks GSM GSM-EDGE 384kbps CDMA2000

More information

尿路感染防治.doc

尿路感染防治.doc ...1...1...2...4...6...7...7...10...12...13...15...16...18...19...24...25...26...27...28 I II...29...30...31...32...33...34...36...37...37...38...40...40...41...43...44...46...47...48...48...49...52 III...55...56...56...57...58

More information

榫 卯 是 什 麼? 何 時 開 始 應 用 於 建 築 中? 38 中 國 傳 統 建 築 的 屋 頂 有 哪 幾 種 形 式? 40 大 內 高 手 的 大 內 指 什 麼? 42 街 坊 四 鄰 的 坊 和 街 分 別 指 什 麼? 44 北 京 四 合 院 的 典 型 格 局 是 怎 樣 的

榫 卯 是 什 麼? 何 時 開 始 應 用 於 建 築 中? 38 中 國 傳 統 建 築 的 屋 頂 有 哪 幾 種 形 式? 40 大 內 高 手 的 大 內 指 什 麼? 42 街 坊 四 鄰 的 坊 和 街 分 別 指 什 麼? 44 北 京 四 合 院 的 典 型 格 局 是 怎 樣 的 目 錄 中 華 醫 藥 以 醫 術 救 人 為 何 被 稱 為 懸 壺 濟 世? 2 什 麼 樣 的 醫 生 才 能 被 稱 為 華 佗 再 世? 4 中 醫 如 何 從 臉 色 看 人 的 特 質? 6 中 醫 怎 樣 從 五 官 看 病? 8 中 醫 看 舌 頭 能 看 出 些 什 麼 來? 10 中 醫 真 的 能 靠 一 個 枕 頭, 三 根 指 頭 診 病 嗎? 12 切 脈 能 判 斷

More information

心理障碍防治(下).doc

心理障碍防治(下).doc ( 20 010010) 787 1092 1/32 498.50 4 980 2004 9 1 2004 9 1 1 1 000 ISBN 7-204-05940-9/R 019 1880.00 ( 20.00 ) ...1...2...2...3...4...5...6...7...8...9...10... 11...12...13...15...16...17...19...21 I ...23...24...26...27...28...30...32...34...37...39...40...42...42...44...47...50...52...56...58...60...64...68

More information

绝妙故事

绝妙故事 980.00 III... 1... 1... 4... 5... 8...10...11...12...14...16...18...20...23...23...24...25...27...29...29...31...34...35...36...39...41 IV...43...44...46...47...48...49...50...51...52...54...56...57...59...60...61...62...63...66...67...68...69...70...72...74...76...77...79...80

More information

14A 0.1%5% 14A 14A.52 1 2 3 30 2

14A 0.1%5% 14A 14A.52 1 2 3 30 2 2389 30 1 14A 0.1%5% 14A 14A.52 1 2 3 30 2 (a) (b) (c) (d) (e) 3 (i) (ii) (iii) (iv) (v) (vi) (vii) 4 (1) (2) (3) (4) (5) 400,000 (a) 400,000300,000 100,000 5 (b) 30% (i)(ii) 200,000 400,000 400,000 30,000,000

More information

穨_2_.PDF

穨_2_.PDF 6 7.... 9.. 11.. 12... 14.. 15.... 3 .. 17 18.. 20... 25... 27... 29 30.. 4 31 32 34-35 36-38 39 40 5 6 : 1. 2. 1. 55 (2) 2. : 2.1 2.2 2.3 3. 4. ( ) 5. 6. ( ) 7. ( ) 8. ( ) 9. ( ) 10. 7 ( ) 1. 2. 3. 4.

More information

137677_Eta_press Folder-cn用的.indd

137677_Eta_press Folder-cn用的.indd 美卓回收业务线废金属打包机林德曼 EP 系列金属打包机 ( Lindemann Eta Press ) 2 MINAO SAWES Eta Press 1920 1921 1922 1923 1924 1925 1926 1927 1928 1929 1930 1931 1932 1933 1934 1935 1936 1937 1938 1939 1940 1941 1942 1943 1944

More information

What is Easiteach

What is Easiteach 安装指南 目录 安装选项... 3 DVD 安装... 3 网站下载... 3 安装 RM TM Easiteach TM Next Generation... 4 安装 Corbis 多媒体资源包... 10 安装 TTS 语音... 12 重新启动... 15 卸载 RM TM Easiteach TM Next Generation... 16 技术要求... 17 支持... 18 RM Education

More information

飞鱼星多WAN防火墙路由器用户手册

飞鱼星多WAN防火墙路由器用户手册 WAN VER: 20110218 Copyright 2002-2011 VOLANS WAN VR4600 VR4900 VR7200 VR7500 VR7600 1.1 1.2 IP 1.3 2.1 2.2 2.2.1 2.2.2 3.1 3.2 3.2.1 3.2.2 3.2.3 4.1 4.2 4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.2.6 4.3 4.3.1 4.3.2

More information

北京市工商局网络安全系统解决方案

北京市工商局网络安全系统解决方案 WebST 20021 01062988822 010 ...3...3 1.1...4 1.1.1...4 1.1.2...4 1.1.3...4 1.2...5 1.3...5 1.4...9 1.4.1...9 1.4.2...12 1.4.3...15 1.4.4...18 1.4.5...24 1.5...25 01062988822 010 1997 1 Check PointISS NokiaSymantec/Axent

More information

中山大學學位論文典藏,PDF

中山大學學位論文典藏,PDF 濶 II 恊 III IV V VI VII VIII IX X 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 1995 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 给 46 47 48 49 50 51 52 53 nd 54 55 56

More information

捕捉儿童敏感期

捕捉儿童敏感期 目弽 2010 捕捉儿童敏感期 I a mao 2010-3-27 整理 早教资料每日分享 http://user.qzone.qq.com/2637884895 目弽 目彔 目弽... I 出版前言... - 1 竨一章 4 丢孝子癿敂感朏敀乞... - 1 - 妞妞 0 4 岁 海颖 妞妞癿妈妈... - 1 黑白相亝癿地斱... - 1 斵转... - 2 就丌要新帰子... - 2 小霸王...

More information

Symantec™ Sygate Enterprise Protection 防护代理安装使用指南

Symantec™ Sygate Enterprise Protection 防护代理安装使用指南 Symantec Sygate Enterprise Protection 防 护 代 理 安 装 使 用 指 南 5.1 版 版 权 信 息 Copyright 2005 Symantec Corporation. 2005 年 Symantec Corporation 版 权 所 有 All rights reserved. 保 留 所 有 权 利 Symantec Symantec 徽 标 Sygate

More information

通过动态路由协议实现链路备份

通过动态路由协议实现链路备份 通过动态路由协议实现链路备份 实验名称 通过动态路由协议实现链路备份 实验目的 掌握通过在不同链路上配置不同的路由协议实现链路备份 背景描述 你是公司高级网络管理员, 公司内部有一个很重要的服务器所在网段为 192.168.12.0/24, 平常访问通过 R1,R3 的 OSPF 路由协议, 为了保证该网段随时能够访问, 不能因为链路故障出问题, 要求你实现一个备份冗余的功能, 请给予支持 实现功能

More information

(Microsoft Word - LE PETIT PRINCE\244\244\244\345\252\251.doc)

(Microsoft Word - LE PETIT PRINCE\244\244\244\345\252\251.doc) LE PETIT PRINCE 小 王 子 [ 法 ] 聖. 德 克 旭 貝 里 ( 此 劇 本 由 簡 體 中 文 版 轉 錄 而 來 ) ********************************************************************* 獻 給 列 翁. 維 爾 特 我 請 孩 子 們 原 諒 我 把 這 本 書 獻 給 了 一 個 大 人 我 有 一 個

More information

C160832199Ann.indd

C160832199Ann.indd 718 (I)(1) (2) 1.00 (II) TAI Capital LLC 3,002,000,000 1.00 3,002,184,872 871,643,074 58.07% 1,743,286,148 1,743,286,148 1 2,988,000,000 0.99 1,245,000,000 (i)659,000,000(ii) 586,000,000 1,778,000,000(i)586,000,000

More information

untitled

untitled 19.01 19.02 19.03 [ 2009 1 1 ] 19.04 (1) 19.29 19.73 19.72 (c) (d) 200% (e) 1/13 19 1 (i) 20.06(3) 19.04(8) 20.06(17) (ii) (iii) 19.04(8) 20.06(17) (A) (aa) 1 (bb) (B) (f) (i) 19.04(1)(g) (ii) (iii) (A)

More information

樹 木 管 理 專 責 小 組 報 告 人 樹 共 融 綠 滿 家 園

樹 木 管 理 專 責 小 組 報 告 人 樹 共 融 綠 滿 家 園 樹 木 管 理 專 責 小 組 報 告 人 樹 共 融 綠 滿 家 園 序 言 我 們 都 愛 樹, 愛 那 鬱 鬱 葱 葱 的 綠 意, 愛 那 股 清 新 的 氣 息, 更 愛 那 溽 暑 中 遍 地 搖 曳 的 斑 斕 樹 蔭 人 與 樹 本 應 是 那 麼 近, 但 去 年 8 月 赤 柱 塌 樹 意 外, 卻 令 我 們 赫 然 發 現, 樹 木 原 來 也 可 以 潛 藏 著 危 險,

More information

飞行模拟设备的鉴定和使用规则

飞行模拟设备的鉴定和使用规则 中 国 民 用 航 空 总 局 民 航 总 局 令 第 141 号 飞 行 模 拟 设 备 的 鉴 定 和 使 用 规 则 (2005 年 3 月 7 日 公 布 ) CCAR-60 中 国 民 用 航 空 总 局 令 第 141 号 飞 行 模 拟 设 备 的 鉴 定 和 使 用 规 则 已 经 2005 年 2 月 5 日 中 国 民 用 航 空 总 局 局 务 会 议 通 过, 现 予 公 布,

More information

Intel Active System Console 帮助

Intel Active System Console 帮助 Intel Active System Console 帮助 概述... 1 系统要求... 1 安装... 2 查看系统信息... 3 主页组件... 3 系统信息页面组件... 3 系统监控阈值... 4 电子邮件通知设置... 4 查找和安装软件更新... 5 LANDesk Software 产品的试用版... 5 版权与商标声明... 6 概述 Intel Active System Console

More information

eipo 3. eipo 20143182014321 (i) 8 62 443

eipo 3. eipo 20143182014321 (i) 8 62 443 1. 申 eipowww.eipo.com.hk eipo 2. 18 S eipo(i) (ii) 442 eipo 3. eipo 20143182014321 (i) 8 62 443 48 189 22 189 2930 183 191908 3 12 88 7701 444 (ii) (a) 88 88 1027 63 617-623B 8A-10 215, 222223 (b) 20 442-444

More information