联想信息安全技术培训(1).ppt

,,,,联想信息安全技术培训,入侵检测技术,2,,黑客离我们有多远,黑客无处不在，或许就在你的身边,3,,近年来国际上著名的黑客攻击事件,4,近年来国际上著名的黑客攻击事件,1999.1www.greenpeace.org,5,近年来国际上著名的黑客攻击事件,1999.3www.cambridge.gov.uk,6,,黑客就在你身边,7,黑客就在你身边,1999.11中科院武汉物理与数学研究所,1998.10天津教育科研网,1998河池视窗,1998中国纺织大学,中国人权研究会、中国西藏...,8,2000.8.24海信集团,黑客就在你身边,海信妙计安天下，赔了品牌又丢人,9,1999.2www.specialink.nasa.gov美国国家安全部门,黑客就在你身边,10,影响北约、美国印尼、印度台湾、日本组织红色力量绿色兵团傲气雄鹰。。。。。。,本页面保存于,黑客就在你身边,11,东芝（中国）公司2000.9.8,黑客就在你身边,12,从前面的分析可以看出攻击在增加内部攻击代价更大系统更复杂Hacking成为一种习惯好奇与工具尝试攻击造成的损失增大,网络威胁无处不在,13,对于被攻击目标软件缺陷系统配置对于黑客有一套行之有效的攻击方法、工具和手段,他们为什么能够入侵成功呢,14,软件缺陷常见于服务器守护进程、客户应用、操作系统、网络堆栈等。可分类为缓冲区溢出多数安全漏洞的产生由此造成。典型例子登录用户名限制（256字符）未处理的输入多数程序只处理有效输入，并未考虑当输入不合规定时会发生什么。,软件缺陷,15,软件缺陷,未期望信息关联处理不同层次信息的关联攻击。例如输入“|mail/etc/passwd”。可执行。因为PERL要求操作系统执行具有此输入的特殊程序，系统执行管道‘|’命令，发出‘mail’，使口令文件被传送给入侵者。竞争条件多数系统按“多任务/多线程”工作。在两个程序访问同一数据时会发生竞争，出现非预期结果。,16,系统配置缺陷可按以下方式分类缺省配置系统发布时提供用户的“缺省易用”的配置，但“易用”意味着“易侵入”。缺省配置的UNIX和WinNT机器非常容易侵入。懈怠的管理员相当多的机器配置了空root/administrator口令。这由于管理员太贪图方便，没有及时正确进行配置就开始调试机器。随后就忘记了解决口令问题。入侵者在网络上做的第一件事就是扫描机器发现空口令。,系统配置问题,17,系统配置问题,留下安全漏洞程序可配置在不安全模式运行，管理员会留下安全漏洞。最好关闭不必要的服务以避免偶然出现的漏洞。信任关系入侵者常进行跳跃式网络信任关系探测，并利用它侵入网络。,18,踩点（信息收集）对目标网络及其主机系统进行信息收集，包括获取目标网络拓扑、目标主机开放端口、目标主机操作系统版本等基本信息。系统安全弱点扫描对网络上的每台主机以及网络设备（包括路由器、交换机等）进行检测，以发现该主机的安全漏洞或弱点。入侵，从薄弱点突破一旦找到一个存在严重安全问题的主机，就发起攻击，并设法获取对系统的控制权限。破坏现场，消除入侵痕迹在获取系统权限后，会通过修改或删除系统日志等方法来销毁入侵痕迹。并安装后门程序以便长期控制该主机。进行纵身攻击，扩大入侵范围在进入一台主机之后，会试图通过这台主机来攻击网络中的其他主机，以扩大入侵的范围。,黑客攻击的步骤,19,,这种攻击主要是对目标网络或主机进行信息收集，以便为下一步入侵做准备，他一般不会对网络或系统造成破坏，信息收集型攻击主要分为如下几类网络扫描网络拓扑探测服务信息收集,踩点信息收集型攻击,20,,某主机192.168.1.53,,Ping192.168.1.53,,,,对ping进行响应，说明192.168.1.53主机存在,地址扫描,21,Port1Port2Port3Port4Port5Port81,202.12.23.5,Scan202.12.23.5from0to65536,,,,,,,,,,,,,,,扫描发现主机202.12.23.5的80端口开放,使用扫描软件对大范围主机的一系列TCP/UDP端口进行扫描，报告开放或关闭的端口,Port80,端口扫描,22,,,,AAA,WINDOWS2000,ZZZ,SUNSolaris,YYY,HP-UNIX,XXX,WINDOWSNT4.0,返回的响应,操作系统类型,已知响应类型的数据库,,,,,,,,,,,,,,SendMessage,运行什么OS,SendMessage,SendMessage,,,,,,返回的响应XXX,返回的响应XXX,返回的响应XXX,匹配返回的响应XXX,,,,XXX匹配成功,获知对方运行的操作系统为WINDOWSNT4.0,,主机系统类型扫描（TCP/IP协议栈指纹鉴别技术）,23,,SNMP检测用来查阅网络系统路由器的路由表，从而了解目标主机所在网络的拓扑结构及其内部细节。TraceRoute获得到达目标主机所要经过的网络数和路由器数，攻击者可以利用这些信息来了解目标网络的拓扑结构。,网络拓扑探测,24,,Whois通过Whois服务可以查询有关的DNS域和相关的管理信息DNS域传输如果目标DNS服务器没有限制域传输，黑客只需实施一次域传输操作就能得到您所有主机的名称以及内部IP地址。Finger服务黑客使用finger命令来刺探一台finger服务器以获取关于该系统的用户的信息。LDAP服务黑客使用LDAP协议窥探网络内部的系统和他们的用户的信息。,服务器及单机的信息收集,25,那么，如何来防止黑客利用这些漏洞进行攻击呢,网络入侵检测系统,26,IDS技术简介联想网御IDS产品介绍,目录,27,IDS技术简介,,,28,,,IDS技术简介目录,,入侵检测概念,入侵检测起源,入侵检测分类,入侵检测形态,入侵检测术语,技术原理介绍,29,入侵检测概念,,,对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性,进行入侵检测的软件与硬件的组合便是入侵检测系统,IDSIntrusionDetectionSystem,30,入侵检测产品的起源,监测系统的问题区提供有效的灾难恢复阻止系统的不正当使用,,审计技术产生、记录并检查按时间顺序排列的系统事件记录的过程,审计的目标,监测系统的问题区,阻止系统的不正当使用,评估损失,提供有效的灾难恢复,重建事件,确定和保持系统活动中每个人的责任,31,为什么需要入侵检测系统,,网络攻击的破坏性、损失的严重性,入侵很容易,网络边界的设备自身可以被攻破,对某些攻击保护很弱,不是所有的威胁来自防火墙外部,各种工具唾手可得,入侵教程随处可见,32,防火墙,,,一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。,两个安全域之间通信流的唯一通道,,,根据访问控制规则决定进出网络的行为,,,33,穿过防火墙的攻击行为,c11c,c11c,Dirc\,绕过防火墙的攻击,,34,防火墙的局限性,防火墙就象一道门，它可以阻止一类人群的进入，但无法阻止同一类人群中的破坏分子，也不能阻止内部的破坏分子访问控制系统可以不让低级权限的人做越权工作，但无法保证高级权限的做破坏工作，也无法保证低级权限的人通过非法行为获得高级权限,,35,其它问题,再加上入侵工具容易获得，入侵教程随处可见。,,36,IDS与防火墙的配合使用,达到最佳的防护效果,解决之道,,37,什么是入侵,入侵是指一些人试图进入或者滥用你的系统。这里的滥用可以包括从严厉的偷窃机密数据到一些次要的事情比如滥用你的电子邮件系统发垃圾邮件。,,38,入侵者的分类,外部的你网络外面的侵入者，或者可能攻击你的外部存在。外部的侵入者可能来自Internet,拨号线,物理介入,或者从同你网络连接的伙伴网络内部的合法使用你的互连网络的侵入者。包括滥用权力的人和模仿更改权力的人。,其中，仅由于数据泄密造成的损失就高达70，195，900,,39,入侵者如何进入系统,物理侵入如果一个侵入者对主机有物理进入权限。比如他们能使用键盘或者参与系统,应该可以进入。方法包括控制台特权一直到物理参与系统并且移走磁盘在另外的机器读/写。甚至BIOS保护也很容易穿过的事实上所有的BIOS都有后门口令。,,40,入侵者如何进入系统,系统侵入这类侵入表现为侵入者已经拥有在系统用户的较低权限。如果系统没有打最新的漏洞补丁，就会给侵入者提供一个利用知名漏洞获得系统管理员权限的机会。如未打过补丁的IIS发布系统，会存在UNICODE漏洞，可能会使得入侵者远程访问系统文件。http/ip/scrtpts/..c11c../winnt/system32/./cdir,,41,入侵者如何进入系统,远程侵入这类入侵指入侵者通过网络远程进入系统。侵入者从无特权开始这种侵入方式包括多种形式。比如如果在他/她和受害主机之间有防火墙存在，侵入就要复杂得多。这类入侵通常是很漫长的，从系统扫描开始，获得较低的权限，然后通过先验经验获得更高的权限。,,42,为什么会有入侵,软件总是存在bug。系统管理员和开发人员永远无法发现和解决所有的可能漏洞。侵入者只要发现一个漏洞就可以入侵系统。有证据表明每一千行代码中就会存在五至十五个BUG,,43,缓冲区溢出,缓冲区溢出大部分的安全漏洞都属于这类。攻击者通过发送精心构造的超过堆栈最大容量的数据，跳转执行自己想要的代码。如IIS发布系统中的ida/idq以及.printf溢出漏洞，攻击者很容易利用工具获得系统的root权限。,,44,意外结合,意外结合程序通常被组合成很多层代码。侵入者常可以发送一些对于一层无意义的输入,却对其他层有意义。在“|mail1024bytesmeanspossiblebufferoverflow},,69,模式匹配,优点只需收集相关的数据集合，显著减少系统负担技术已相当成熟缺点计算负荷大检测准确率低没有理解能力,,70,协议分析,,协议分析充分利用了网络协议的高度有序性，使用这些知识快速检测某个攻击特征的存在,因为系统在每一层上都沿着协议栈向上解码，因此可以使用所有当前已知的协议信息，来排除所有不属于这一个协议结构的攻击。,71,典型例子,,,第一步直接跳到第13个字节，并读取2个字节的协议标识。如果值是0800，则说明这个以太网帧的数据域携带的是IP包，基于协议解码的入侵检测利用这一信息指示第二步的检测工作。,第二步跳到第24个字节处读取1字节的第四层协议标识。如果读取到的值是06，则说明这个IP帧的数据域携带的是TCP包，入侵检测利用这一信息指示第三步的检测工作。,72,第四步让解析器从第55个字节开始读取URL。URL串将被提交给HTTP解析器，在它被允许提交给Web服务器前，由HTTP解析器来分析它是否可能会做攻击行为。,第三步跳到第35个字节处读取一对端口号。如果有一个端口号是0080，则说明这个TCP帧的数据域携带的是HTTP包，基于协议解码的入侵检测利用这一信息指示第四步的检测工作。,典型例子,,73,优势,,基于状态的分析,反规避能力,系统资源开销小,提高了性能,提高了准确性,74,,,网御入侵检测产品介绍,NIDS的技术原理,Ethernet,IP,TCP,模式匹配,,Ethernet,IP,TCP,协议分析,,HTTP,Unicode,XML,基于特征的检测,75,,,网御入侵检测产品介绍,NIDS的技术原理,模式匹配原理,00050dac6f2d600b0d04dcbaa08004500.P.......M....E.10015731054000800600000a0a0231d850.W1.........1.P20111106a30050df62322e413a9cf15018.....P.b2.A..P.3016d0f6e50000474554202f70726f6475......GET/produ406374732f776972656c6573732f696d61cts/wireless/ima506765732f686f6d655f636f6c6c616765ges/home_collage60322e6a706720485454502f312e310d0a2.jpgHTTP/1.1..704163636570743a202a2f2a0d0a526566Accept*/*..Ref80657265723a20687474703a2f2f777777erer,76,,,网御入侵检测产品介绍,NIDS的技术原理,协议分析原理,00050dac6f2d600b0d04dcbaa08004500.P.......M....E.10015731054000800600000a0a0231d850.W1.........1.P20111106a30050df62322e413a9cf15018.....P.b2.A..P.3016d0f6e50000474554202f70726f6475......GET/produ406374732f776972656c6573732f696d61cts/wireless/ima506765732f686f6d655f636f6c6c616765ges/home_collage60322e6a706720485454502f312e310d0a2.jpgHTTP/1.1..704163636570743a202a2f2a0d0a526566Accept*/*..Ref80657265723a20687474703a2f2f777777erer,77,协议分析,,FrameHeader,,,,IPDatagramHeader,,ICMP/UDP/TCPHeader,,FrameDataArea,IPData,ProtocolData,,,,,,InterfaceLayer,InternetLayer,TransportLayer,,78,面临的问题,,随着能力的提高，入侵者会研制更多的攻击工具，以及使用更为复杂精致的攻击手段，对更大范围的目标类型实施攻击,入侵者采用加密手段传输攻击信息,日益增长的网络流量导致检测分析难度加大,缺乏统一的入侵检测术语和概念框架,79,面临的问题,,不适当的自动响应机制存在着巨大的安全风险,存在对入侵检测系统自身的攻击,过高的错报率和误报率，导致很难确定真正的入侵行为,采用交换方法限制了网络数据的可见性,高速网络环境导致很难对所有数据进行高效实时分析,80,发展方向,,更有效的集成各种入侵检测数据源，包括从不同的系统和不同的传感器上采集的数据，提高报警准确率,在事件诊断中结合人工分析,提高对恶意代码的检测能力，包括email攻击Java，ActiveX等,81,发展方向,,采用一定的方法和策略来增强异种系统的互操作性和数据一致性,研制可靠的测试和评估标准,提供科学的漏洞分类方法，尤其注重从攻击客体而不是攻击主体的观点出发,82,,,网御入侵检测产品介绍,83,,,网御入侵检测产品介绍,联想网御IDSN200的特点和功能,应用案例,IDS产品的基本概念,84,,,网御入侵检测产品介绍,IDS能做什么,监控网络和系统,发现入侵企图或异常现象,实时报警,为取证提供依据,85,,,网御入侵检测产品介绍,IDS与防火墙,相辅相成，在网络安全解决方案中承担不同的角色,POLICYS,86,,,网御入侵检测产品介绍,NIDS的技术原理,,NIDS分类基于所分析的数据对象,基于数据包分析的NIDS,这种NIDS是建立在组成会话的每个数据包的基础上几乎所有商用NIDS都是这种类型，还包括Snort等软件优势–简单的规则匹配，易于实现缺点–在检测实时攻击时性能不高，误报率高,基于会话分析的NIDS,这种NIDS按照server-client间的通信内容，把数据包重组为连续的会话流。优势–检测实时攻击时性能优良，低误报率缺点–在会话没建立的情况下，检测能力差,87,,,网御入侵检测产品介绍,NIDS的技术原理,为什么基于会话的NIDS比基于数据包的更优秀,GET/cgi-bin/phfQaliasx0a/bin/cat20/etc/passwd\n,GET/cgi-bin/ph,fQaliasx0a/bin/,GET/cgi-bin/phfQaliasx0a/bin/cat20/etc/passwd\n,,cat20/etc/passwd\n,GET/cgi-bin/ph,fQaliasx0a/bin/,cat20/etc/passwd\n,源数据,服务器识别,执行检测规则,传输,1,1,2,3,2,3,传输,88,,,网御入侵检测产品介绍,NIDS的技术原理,为什么基于会话的NIDS比基于数据包的更优秀,Client,Server,,,,,,,GET/cgi-bin/phf,syn,syn,ack,ack,基于数据包的NIDS通过简单的‘get/cgi-bin/phf’特征码匹配就判断为攻击,89,,,网御入侵检测产品介绍,NIDS的技术原理,为什么基于会话的NIDS比基于数据包的更优秀,Client,Server,,,无意义数据包-10K,syn,syn,ack,ack,,,,,,,真实攻击,基于会话的NIDS检测到1次攻击,基于数据包的NIDS检测到21K攻击,无意义数据包-10K,由于基于会话的NIDS对于整个会话流进行分析,因此可有效地过滤虚假攻击。因此防止事件风暴产生的同时,还提高了检测准确度,90,产品形态,网御探测器Sensor1U高度的硬件，安装在网络中，实时收集分析网络数据,网御管理控制台Manager软件形式，接收来自探测器的分析报告,,91,,,网御入侵检测产品介绍,网御IDSN200概况,网御IDSN200概述是基于网络的入侵检测系统。网御IDSN200在不影响网络性能的情况下，通过分析网络中传输的数据包和会话流检测各种攻击行为。,92,,,网御入侵检测产品介绍,网御IDS技术特点,网御IDSN200技术特点,业界领先的LEADER引擎,1400种攻击特征匹配库，与中国国家反计算机入侵及病毒防范中心合作共建,灵活的多对多连接管理方式,93,,,网御入侵检测产品介绍,网御IDS技术特点,联想自主开发的LEADER引擎，综合使用了特征匹配、协议重组、协议分析和异常行为检测等方法，采用了独创的√自适应多协议融合分析技术（AMPFAT，AdaptiveMutipleProtocolFusionAnalysisTechnique）√安全策略预检分流及事件缩略再分析技术√自主细粒度分析算法综合采用IP碎片重组、TCP流会话重组技术，进行内容深度检测，有效地改善了许多IDS普遍存在的高误报，高漏报问题。,LEADER＝LEnovoAdvancedDEtectionResponse,94,,,网御入侵检测产品介绍,网御IDS技术特点,LEADER引擎,,安全策略预检分流,数据收集及缩略,告警及报告,主动响应,事件缩略再分析,,,,,,,,,,,,,数据收集及缩略,告警及报告,被动响应,,,误用分析,异常行为检测,,,,,,,,95,事件分析过程,,,数据采集单元,,,策略预检,协议流管理器,事件合并处理,,,响应单元,,,,,,,,,,,网御IDS技术特点,96,,,网御入侵检测产品介绍,网御IDS技术特点,攻击特征匹配库,与中国国家反计算机入侵及病毒防范中心合作，共建、共享攻击特征匹配库攻击特征匹配库符合国际CVE标准1400余种攻击特征攻击特征匹配模式库的定时升级与紧急升级,97,,,网御入侵检测产品介绍,NIDS的技术特点,网御IDSN200产品配置架构,,管理,事件,,,,,,主控制台,,,,控制,事件,,,,,,,,主控制台,从控制台,,,,,,,,98,网御IDS的功能介绍,检测与分析功能告警与响应功能报表与审计功能自身安全性功能管理与配置功能规则升级与技术支持,,99,,,网御入侵检测产品介绍,网御IDSN200功能,检测与分析功能采用基于AMPFAT技术的LEADER引擎，支持事件统计分析，协议异常检测，可有效防止各种攻击欺骗；在MACLayer中检测及响应，提高系统效率；会话级碎片重组，对付数据包分割攻击告警与响应功能在发现入侵或者异常行为之后，可以根据安全规则提供电子邮件，声讯警示，消息警示窗，TCP阻断等多种响应方式；并且可以与联想网御2000防火墙联动，及时切断入侵通道，达到主动式防御目的；,100,,,网御入侵检测产品介绍,网御IDSN200功能,报表与审计功能提供20多种基本的日志与审计报告样式，并支持用户灵活定制报告样式，支持将报告转换为MS-Office或HTML格式；可实时以图表的形成显示各个探测器Sensor所监视的网络情况，包括PPSpacket/sec，BPSbit/secSeesion个数等；能够生成多个探测器的综合分析报告；,101,,,网御入侵检测产品介绍,网御IDSN200功能,管理与配置功能支持探测器Sensor和管理控制台Manager之间多对多的分布式管理；可远程设置探测器（Sensor）的环境，入侵检测规则及响应方法；可配置在线升级和备份、完整性Integrity检查等计划任务，按用户希望的时间周期自动执行；用户可定制管理员视图；,102,网御IDS的产品特点介绍,自身安全性高碎片重组与其他安全产品协同灵活的管理控制方式庞大的入侵检测规则库,,内容丰富的报表系统实时监控网络流量完善的日志库管理多种多样的响应方式,103,产品特点,自身安全性高联想网御入侵检测系统隐藏了自身探测IP从而避开黑客对入侵检测系统的直接攻击联想网御入侵检测系统的探测器和管理控制台之间采用基于公用密钥的认证及SSL加密通讯，确保了认证及事件传输的安全系统在启动时自动执行完整性检查，使得系统安全得到了进一步的增强,,104,产品特点,碎片重组功能有一些攻击行为会以IP碎片的方式进行。如果不能对以碎片的形式传播的数据进行很好的重组，就不可能对整个网络中的行为进行完整的监测。另外，还有基于IP碎片的欺骗攻击。攻击者发送大量IP碎片包来达到阻塞IDS的目的，网御IDS可以分辨出这种异常的分片。,,105,碎片攻击过程,,,,,,Internet,110010101,100010101,000010101,attack分片、乱序tatkca,000010101,100010101,110010101,110010101,100010101,000010101,,,,,,,,,,,,,,,,,,,,,,,,,,,重组,接收数据attack被攻击,,,攻击,,报警,,106,产品特点,与其他安全产品的协同工作可以很好的与联想网御2000防火墙进行联动向SNMP系统传递IDS报警日志,,,,,,,,,,,,linda,mark,,,bob,charles,受保护网络,,Internet,,,,,,,,,发起攻击,发送通知报文,验证报文并采取措施,发送响应报文,,,,识别出攻击行为,,阻断连接或者报警等,,攻击,网御,,发送消息给SNMP系统,,107,灵活的管理控制方式管理控制台与探测器的连接方式可以灵活设置注虚线表示可以有也可以没有,产品特点,主控制台,副控制台,,,,,,,,,,,,,,108,产品特点,庞大的入侵检测规则库联想网御入侵检测系统的检测规则库由国家反计算机入侵和防病毒研究中心与联想公司合作建设。依托联想公司和国家反计算机入侵和防病毒研究中心强大的资源投入，保证了检测规则库的权威性和时效性联想网御入侵检测系统目前拥有1,400多种入侵探测攻击特征（Signature），可以探测所有已知的入侵，并做出响应；此外，用户还可自定义新的攻击特征（Signature），并对此进行探测及设置响应策略可供选择的在线/离线两种类型的升级方式，还可以定制进行自动升级,,109,产品特点,内容丰富的报表系统网御IDS对所记录的日志进行综合分析，为用户提供审计分析报告，报告的内容包括以下几方面入侵检测日志报告系统审计日志报告统计报告（表格/图形）系统设置信息报告,,110,产品特点,实时监控网络流量能以数据包/字节为基准的方式对网络层/IP服务的流量进行实时的监测。还能对数据包大小进行统计。除了对流量的监测外，还提供了对这些数据的均值计算，能够得出到当前为止的平均数据包大小和平均数据处理量。,,111,产品特点,完善的日志库管理网御IDS的日志分为入侵检测日志和系统审计日志。入侵检测日志记录的是探测器发现的网络行为，系统审计日志记录的是系统本身的操作行为。除了在界面上可以实时看到日志外，系统还提供了日志检索工具，可以根据用户的需要，按照特定的条件对日志进行快速的检索，而不需要在报表系统中查询。,,112,产品特点,多种多样的响应方式网御IDS提供的响应方式分为两种被动响应报警（报警信息、声音报警、弹出窗口）记录日志E-MAIL与SNMP系统联动主动响应重置连接执行自定义程序与防火墙联动,,113,售后服务体系,热线安全通告服务事件特征库升级软件升级硬件维修安装、调试应急响应,,114,资质证书,公安部销售许可证XKC31141,,115,资质证书,国家保密局涉密信息产品测评认证证书,,116,资质证书,国家信息安全测评认证中心产品证书号CNITSEC2003TYP188,,117,部署方式,,118,案例,,,119,,,网御入侵检测产品介绍,NeoAdminESMEnterpriseSecurityManager,网御IDS控制台,网御IDSN200探测器,,,网御IDSN200典型应用,,120,,,网御入侵检测产品介绍,网御IDSN200典型应用,,,,Manager,Internet,,,,,,,,,DMZ,PCs,Servers,Sensor,,①,②,②,③,③,①DMZ保护DMZ的主要服务②防火墙输入/输出口检测通过防火墙的数据流③网络内部主要node检测网络内的入侵其它安装位置其他网段WANrouter,WAPservermodempool,Wiringcloset,,121,,,网御入侵检测产品介绍,网御IDSN200典型应用,,,,控制台,探测器,,,,,,,,,,主控制台,从控制台,从控制台,,,,,,,,,,,,,,,,,,企业总部,子网一,子网二,122,谢谢,