【网络安全】上网行为代理服务器Network Agent配置

本文基于websense （现在称为Forcepoint）的Network Agent 配置。

About Network Agent Settings

Configure communication between Network Agent and Filtering Service, identify proxy and cache machines in your network, and specify which NICs to use to monitor and block requests. These settings are specific to the selected Network Agent instance.
“配置网络代理与过滤服务之间的通信，确定网络中的代理和缓存机器，并指定要使用哪些网络接口卡来监视和阻止请求。这些设置是针对所选的网络代理实例而言的。”

网络代理监视网络的所有或指定网段的Internet流量。

在Web Security部署和集成的URL过滤部署中，Network Agent是一个可选组件，管理员可以根据环境需求决定是否启用，启用后可用于:

• Manage non-HTTP requests
• Provide enhanced logging
• Manage Internet access based on bandwidth
• Log bandwidth usage data

在独立的URL过滤部署中，网络代理是管理HTTP和非HTTP流量的必要组件，它支持:

• Policy enforcement
• Network protocol and Internet application management
• Bandwidth management
• Logging of bytes transferred

当Network Agent用于管理非http协议时，它可以检测恶意的点对点应用程序和间谍软件，即使它们在通常用于合法Internet通信的端口上建立隧道。此外，Network Agent还可以管理用于即时消息传递、流媒体、文件共享、避免代理、Internet邮件以及其他网络或数据库操作的Internet应用程序的请求。

Ignore Internal Traffic

Ignore Internal Traffic 忽略内部流量，用于配置network agent不对内部的地址进行监控。
看看原文说明：Identify the IP address ranges and individual addresses that make up your internal network. By default, Network Agent ignores communication between these IP addresses, monitoring only requests to outside machines (Internet activity).
确定内部网络的IP地址范围或者单个地址。默认情况下，Network Agent忽略这些IP地址之间的通信，只监视对外部机器的请求(Internet活动)。

我们可以通过添加内部IP地址范围或者单个IP地址，让network agent不对内部流量进行监控，而只是对访问Internet的流量进行监控。
配置路径：

WEB->setting->Network Agent->Global->Ignore Internal Traffic->Add

在配置忽略的地址，可以配置单个的IP地址，也可以配置IP address range。在企业内网当中，通常会配置三大段私有IP地址，具体情况根据内部网络中的IP地址使用情况而定。

在IPv4中，保留私有地址：

• 10.0.0.0 到 10.255.255.255
• 172.16.0.0 到 172.31.255.255
• 192.168.0.0 到 192.168.255.255

如果企业内部有配置负载均衡机制，建议再增加组播地址：

• 224.0.0.0到224.0.0.255：为特定的本地网络服务保留。
• 224.0.1.0到238.255.255.255：可供组织和应用程序使用。

当然，一起以现场实际环境需求为主，以上仅仅是参考范例。

组播地址是IPv4网络中用于一对多通信的特殊地址。它允许数据包被发送到一组特定的目标设备，而不是单个设备或所有设备。组播地址用于实现一种分发数据的方式，能够将数据同时传输到多个目标，适用于流媒体、在线视频、网络游戏和多播文件传输等场景。

Internal Traffic to Monitor

Internal Traffic to Monitor 内部流量监控，前面我们提到了对内部地址流量监控忽略，但是也会有一些特殊情况，需要对内网的地址进行流量监控。

官方说明如下：
If you want Network Agent to monitor requests sent to one or more IP addresses that are part of your internal network (as defined above), list those addresses here.

WEB->setting->Network Agent->Global->Internal Traffic to Monitor->Add

增加内部地址监控，也可以配置单个IP或者IP地址段。案例参考如下：

Additional Settings

Additional Settings附加配置

Bandwidth calculation interval

在对流量进行监控时，可以附加配置流量带宽监控的间隔时间。可以配置间隔时间时1-300 senonds。以配置10 senonds为例，表示每间隔10 senonds统计一下流量带宽。如果需要统计精度，则可以适当缩小间隔时间，但是同步也会增加服务器的处理效率和存储空间。

Log protocol traffic periodically

第二个附件配置是记录协议流量，这个功能这个功能的作用在于创建日志条目来记录网络流量中不同协议的使用情况。

启用此选项后，系统会定期记录网络流量中使用的各种协议，比如HTTP、HTTPS、FTP等。这些日志可以提供有关网络活动的详细信息，帮助管理员了解哪些协议被频繁使用、哪些协议占用了更多的带宽，以及可能存在的安全风险。

日志记录间隔可选时间为1-300 minutes。选择记录间隔的大小取决于您对于实时监控与详细记录的需求。较小的间隔提供更实时的数据，但可能会增加日志量，而较大的间隔可以减少日志量，但可能降低对于短时间内活动的观察粒度。
举例如下：
1分钟间隔：选择1分钟间隔，系统非常频繁地记录协议流量。这意味着日志文件会快速地增长，并且会捕获到更多短时间内的活动。这对于需要更实时了解网络活动的情况很有用，但同样也会增加日志管理和存储的负担。

300分钟间隔：选择300分钟间隔会使系统以更长的时间间隔记录协议流量。这意味着日志文件的增长速度会减慢，每次记录会包含更长时间内的流量。这可能更适合在需要更宽泛概览网络活动而不需频繁检查的情况下使用，同时减少了日志管理的需求。

当然，也可以按需选择，在有需要的时候，缩短日志记录间隔，而在不需要的时候，则增加日志记录间隔。

推荐阅读

• 【网络安全】上网行为代理服务器启用Alerts
• 【网络安全】WebCatcher识别未分类的URL
• 【网络安全】Suspicious DNS Query（可疑的DNS查询）
• 资深IT告诉你为什么网络监控非常重要

代码007普通

打赏 收藏 海报 链接