天网行为管理系统规则策略帮助.docVIP

天网网络行为管理系统 规则策略说明文档 VERSION 2.3 广州天网安系统集成有限公司 2005年9月 天网网络行为管理系统 1 规则策略说明文档 1 VERSION 2.3 1 1. 规则动作语言 3 1.1、 规则语言书写格式规范 3 1.2、 规则语言中常用通用的参数 4 12.1、变量参数 4 12.2、动作参数 5 12.3、其他参数 5 1.3、 规则语言中的运算符 5 1.4、 系统各个部分规则语言详细解说 5 1.4.1、网站访问规则 6 1.4.2、邮件发送规则 6 1.4.3、邮件收取规则 7 1.4.4、文件传输规则 8 1.4.5、远程登陆规则 8 1.4.6、实时通讯规则 9 1.4.7、网络游戏规则 9 2. 防火墙策略 10 2.1、网络策略 10 2.2、群组策略 11 2.3、用户策略 12 2.4、用户登陆 13 3. 结合例子说明 14 3.1、针对个人的上网策略 15 例子1： 15 例子2： 15 3.2、针对部门的上网策略 15 例子1： 15 例子2： 15 例子3： 16 3.3、针对企业制度的上网策略 16 例子1： 16 例子2： 16 4、总结 17 规则动作语言 为了实现更强大、灵活、易用的规则，我们设计了规则语言，并自行开发了规则语言的编译器和虚拟机。为了提高规则匹配的速度，规则编译器将规则语言编译成中间代码，运行时虚拟机运行的是中间代码，大大提高了匹配的速度。 规则语言支持嵌套的逻辑与（并且）、或（或者）、非（否定）运算，支持字符串（一切字母和中文）、数字（阿拉伯数字）、布尔型（是与否）的比较运算，大大提高了系统对规则的描述能力。在规则语言的支持下，规则界面显得异常简洁，而规则却可任意组合，可谓随心所欲！ 规则语言书写格式规范 首先说说规则语言要用到的几个关键字： match关键字 match关键字表示匹配条件的开始，匹配条件是一个逻辑表达式或关系表达式。 do关键字 do关键字表示如果match的条件符合则要执行的动作，do后面是一个赋值语句，如“alert=1”表示执行报警动作。一句语句里可以有多个do关键字，如 “do alert=1 do save=1”表示抱警，同时保存内容。 break,continu关键字 语句的最后是流程控制关键字break或continue，continue表示继续执行下一条规则，break表示停止规则的匹配。 规则语言的书写是有一定的格式的。如图所示，要写一条新的规则，要求先写说明，也就是规则作用的描述。先输入两个井号（#），然后打一个空格，后面写上注释。如：。然后回车，下面是规则的正文，规则正文的一般格式就拿上面那条注释的例子来说说吧： 同样开头是井号，不过这里的井号的意义和前面那两个有点相同，这里的井号代表规则起用的状态，如果有输入井号，那么实际上这条规则还是没起用的，也是注释掉的意思，要起用规则，把井号去掉即可，可以在普通模式中看到，井号如果存在，那么普通模式下，规则前面的复选框就没打上勾，代表暂时不起用，去掉井号至相反。 再来解释一下这条规则的意思。首先，match在这里是捕获，也可以理解成如果，match后面中括号中是条件，然后是do，很好理解，就是“做”的意思，同样后面中括号里就是要系统做的事情。这里带两个参数，“”和“alert.msg”，分别是“用户的名字”和“屏幕警报”的意思。那么这样看来，这句规则就可以简单看成是：如果捕获用户的名字叫user，那么叫屏幕警报，内容为“游戏警报”。end代表结束。 注意：还有一点就是值的表示，如果赋给变量的值或和变量做比较的值是字符串的话，那一定要加上双引号。如果是数字（半角）或同样也是变量就不用。 另外，在高级模式中写的规则，在普通模式中就会出现（上图），详细设置中有你对每个变量赋值的文本框，您能够在那里修改对变量的赋值。如下图： 规则语言中常用通用的参数 这节会跟大家说说规则语言中比较常用的变量，和系统7种规则中都有的通用的变量。其他变量将分别在各个部分中的详细解说中再一一介绍。 12.1、变量参数 首先是变量的参数，有8个，如下表： 变量名 中文解释 例子 值范围 time. month 系统时间中的月份值 {time.month==1} 1~12 time. day 系统时间中的日期值 {time.day==12} 1~31 time. hour 系统时间中的小时值 {time.hour8} 0~23 time. minute 系统时间中的分钟值 {time.minute30} 0~59 time. week 系统时间中的星期值 {time.week==0} 0~6 user. name 登陆系统的用户名字 {==”Tom”} 用户名 user.