天清入侵防御系统V60安装手册

1、用户安装手册天清入侵防御系统产品名称：天清入侵防御系统版本标识：V6.0.1.0单 位：北京启明星辰信息技术有限公司版 权 声 明本手册中任何信息包括文字叙述、文档格式、插图、照片、方法、过程等内容，其著作权及相关权利均属于北京启明星辰信息技术有限公司（以下简称“本公司”），特别申明的除外。未经本公司书面同意，任何人不得以任何方式或形式对本手册内的全部或部分内容进行修改、复制、发行、传播、摘录、备份、翻译或将其全部或部分用于商业用途。本公司对本手册中提及的所有计算机软件程序享有著作权，受著作权法保护。该内容仅用于为最终用户提供信息，且本公司有权对其作出适时调整。 “天清”商标为本公司的注册商标

2、，受商标法保护。未经本公司许可，任何人不得擅自使用，不得进行仿冒、伪造。本公司对本手册中提及的或与之相关的各项技术或技术秘密享有专利（申请）权、专有权，提供本手册并不表示授权您使用这些技术（秘密）。您可通过书面方式向本公司查询技术（秘密）的许可使用信息。免责声明本公司尽最大努力保证其内容本手册内容的准确可靠，但并不对因本手册内容的完整性、准确性或因对该信息的误解、误用而导致的损害承担法律责任。信息更新本手册依据现有信息制作，其内容如有更改，本公司将不另行通知。出版时间本文档由北京启明星辰信息技术有限公司2007年3月出版。北京启明星辰信息技术有限公司保留对本手册及本声明的最终解释权和修改权。目

3、 录第1章 软件安装11.1 准备条件11.2 系统需求11.2.1 控制中心系统需求11.2.2 显示中心系统需求21.3 安装过程31.3.1 MSDE数据库41.3.2 入侵防御系统41.3.3 天清使用Oracle数据库的注意事项10第2章 软件卸载11第3章 硬件安装133.1 准备条件133.2 标识说明133.2.1 接口说明133.3 超级终端安装及设置143.4 天清网络引擎配置203.4.1 选项介绍213.4.2 初始应用23附录一：快速使用指南24快速使用流程24多级管理设置28附录三：数据源的配置32第1章 软件安装1.1 准备条件1.2 系统需求为了更好的运行天清入

4、侵防御系统，我们建议您采用下面的配置作为起点。系统实际运行的性能与网络环境和策略配置都有关系，配置越高性能会越好。如果您打算将多个模块安装在一台计算机上，则需要更快的处理器，更多的内存和更大的硬盘空间。由于系统运行过程中需要不断的读写数据库，为了提高系统的处理速度和性能，我们建议您准备专门的数据库服务器，并将管理控制中心和显示中心分别安装在不同的机器上。1.2.1 控制中心系统需求对于小规模的部署方式（单级管理，控制台连接2个以下的引擎），要求：CPU：P 4 2.0 以上RAM：1G以上硬盘：20G以上的剩余空间网卡：Intel百兆或千兆电口网卡辅件：光驱、键盘、鼠标对于大规模部署方式（多级

5、管理或者控制台连接2个以上的引擎），要求：CPU：P 4 2.0 以上RAM：2G以上硬盘：80G以上的剩余空间网卡：Intel百兆或千兆电口网卡辅件：光驱、键盘、鼠标 1.2.2 显示中心系统需求标准PCCPU：P 4 2.0 以上RAM：1G以上硬盘：20G以上的剩余空间网卡：Intel百兆或千兆电口网卡辅件：光驱、键盘、鼠标 注：推荐您最好专机专用，安装天清控制台的机器不要作为其他用途的服务器。软件要求：操作系统：推荐使用Windows 2000 sp4(中文版)、Windows 2003(中文版)，可以使用Windows xp sp2(中文版)杀毒软件（可选）：瑞星、诺顿办公软件（可选

6、）：Office 2000/XP/2003(中文版)下面将介绍关于天清入侵防御系统完整的安装过程，其中包括控制台软件的安装及设置、硬件的安装及设置，及安装过程中需要的注意事项。注：为保证安装的顺利进行，我们建议您以administrator身份登陆操作系统。1.3 安装过程打开天清入侵防御系统的安装光盘，您会看到一个setup程序，启动程序后，出现如下界面，如图1-1所示：图1-1安装光盘分为两部分：MSDE数据库：这是微软提供的桌面版的小容量数据库，用来进行存放天清产品的所需的数据结构和产生的相关事件日志信息，最大存储容量为2G。如需要更大的存储空间或更高效的数据库管理能力，建议采用独立的企

7、业级数据库。入侵防御系统：这部分包含天清入侵防御相关的管理控制中心、综合显示中心和日志分析中心，这些组件可以被安装在一台高性能的计算机上，也可以分别安装在不同的计算机上。每个管理控制中心可以连接多个综合显示中心和日志分析中心。点击启动界面左列的相应文字就可以对这些产品进行安装，下面分别介绍这几部分的具体安装过程。1.3.1 MSDE数据库如果用户的机器上没有安装过MSDE或其它SQL Server的客户端软件，也没有安装过Oracle客户端软件，天清入侵防御系统将无法正常运行，您可以点击这一项来安装MSDE。安装完成后用户需要重启操作系统。注：如果先安装MSDE英文版，然后再安装SQL Ser

8、ver的中文版客户端软件，会导致SQL Server的BCP功能无法使用从而使得天清数据库维护模块某些功能失效，请慎重使用1.3.2 入侵防御系统1、安装的第一步会判断本机是否有SQL SERVER或MSDE或Oracle，并要求系统先安装数据库如图所示：图1-2注：使用SQL SERVER数据库时，如果用户准备使用网络数据库服务器的话本机可以不装MSDE，但需要注意的是本机必须有SQL SERVER的客户端工具，能支持建立SQL server类型的ODBC数据源，否则在后面建立数据库的时候将无法完成。同样，使用Oracle数据库，如果需要使用网络数据库，也需要在本机安装Oracle客户端工具

9、。2、在安装完数据库或数据库客户端后将进入天清入侵防御系统的主安装界面。如图1-3所示：图1-3 3、按照安装向导的选择进行安装。如图1-4所示：图1-44、选择安装类型，“完全”是安装所有的组件，“定制”是需要用户手工选择安装路径及要安装的组件，如图1-5所示：图1-5 5、等待数据库驱动安装完成进入建立数据库的步骤。这里分两种情况：如果用户使用SQL SERVER数据库，请在SqlServer界面上配置好数据库服务器名称、数据库名称、数据库文件存储目录、数据库模板文件的目录（ACCESS模板，一般在安装天清入侵防御系统的目录下）、ODBC数据源名称，点击“确定”即可。如图1-7所示：图1-

10、7下面介绍界面各部分的作用：服务器：填写要创建的数据库所在的机器名称或ip地址。可以是本机服务器也可以是网络数据库服务器。在这里也可以修改本地服务器的sa用户的密码，点击下面的修改本地服务器密码按钮，填入原始密码和新密码就可以了。但是不能在此处修改远程服务器的密码。注：1、MSDE默认的密码为空，如果您修改了密码，请务必牢记。2、默认情况下，用户机器上只有一个实例，如果用户的机器上有多个SQL实例，你只需要将数据库导入到一个实例中，请在这里填写“IP地址实例名称”。数据库名：填写你要创建的数据库名称。用户ID：SQL数据库的用户名（默认是sa），必须输入具有sa权限的用户名。密码：上面所填写的

11、数据库用户的密码。文件目录：数据库文件存放的位置，需要确保数据库文件所在的分区中有足够的磁盘空间（不小于100M，为确保用户的系统能长时间正常运行，最好选择剩余磁盘空间较大的分区，建议2G以上）。数据源ACCESS文件：系统提供的原始数据库模型文件（一个ACCESS数据库），一般在天清控制中心的安装目录下，名称是CenterDB.mdb。数据源名称：ODBC数据源名称，这个数据源指向要创建的SQL Server数据库，天清入侵防御系统通过这个数据源访问数据库。注意：如果在建立数据库的过程中出现如图1-8所示错误，请检查以下几项是否正确：网络是否正常、数据库服务器运行是否正常、用户ID是否具有s

12、a权限、密码是否正确、远程服务器的文件目录是否存在！图1-8如果用户使用的是Oracle数据库，请在Oracle界面上设置网络服务名、访问用户名和密码、数据库模板文件的目录（ACCESS模板，一般在安装天清入侵防御系统的目录下）、ODBC数据源名称等信息，然后点击“确定”，如图：图1-9注意：天清目前只支持oracle9i以上的版本，如果要运行此程序，用户的机器上至少安装oracle的客户端而且能通过服务名连接到oracle数据库。下面介绍界面各部分的作用：网络服务名：Oracle系统需要用网络服务名连接到指定的数据库上，如果服务名错误，数据库导入程序可能不会正确执行。用户ID：需要一个有DB

13、A身份的用户，否则导入可能不成功。密码：用户的密码。6、导入成功后会给出成功的提示，如图1-10所示：图1-10注：（1）这里建表和导入记录具体的数字可能随着版本的不同有所变化；7、在数据库导入成功后安装将继续进行。8、如果用户机器上还没有安装启明星辰的自动升级系统，安装程序会继续安装升级系统，选择全部安装即可。如果机器上已经安装自动升级系统，请选择“修改”即可。9、接着进行其它相关程序的安装，安装完成后，给出提示，到此入侵防御系统组件的安装就全部完成了。注：在极少的环境下，天清入侵防御系统使用的一个控件（Cfx4032.ocx）在某些安装windows 2000的操作系统的主机上可能无法注册

14、成功，影响了特定功能的实现，请按如下方法检查和解决。具体现象：在安装完成后，打开管理控制中心，您如果发现下方的业务曲线窗口是一片空白，没有任何网格，说明发生了此问题。解决方法：启动开始运行在编辑框中输入：regsvr32 “天清安装目录/ Cfx4032.ocx”。例如：如果您的天清入侵防御系统安装在C盘下，输入regsvr32 C:Program FilesVenustechCyberVisionIMS6.0Cfx4032.ocx。如果还是没有效果，请到天清安装目录下运行RegCom.dat文件即可。1.3.3 天清使用Oracle数据库的注意事项如果用户选择使用Oracle数据库，请注意以

15、下几点：l 目前天清只支持Oracle9i以上的版本。建立Oracle数据库的过程请Oracle数据库管理员协助进行，天清的数据库建议专人维护。l 请为天清建立独立的表空间和临时表空间，表空间的大小建议20G以上，临时表空间2G以上，均设置为自动增长。l 请为天清设置单独的用户，用户需要具有DBA的权限。第2章 软件卸载 1、在控制面板中选择“添加或删除程序”，找到“Cybervision Intrusion Protection System”，点击“删除”。如图2-1所示：图2-1 2、选择“删除”3、按照删除向导完成即可。如果界面提示需要重启，请用户重启操作系统以便完全卸载。其它产品的卸

16、载界面类似。注：卸载时如下组件将不会随着天清主系统一并卸载：snmp agent、数据库、水晶报表组件。第3章 硬件安装在这部分里主要介绍的是硬件引擎的安装、设置、如何接入到网络中以及必要的配置操作。3.1 准备条件环境要求：千兆设备：工作温度：040工作湿度：585%储存温度：-2075储存湿度：595%电源输入：AC90260V 47-63HZ百兆设备：工作温度：045工作湿度：1090%储存温度：-2060储存湿度：595%电源输入：AC90260V 47-63HZ3.2 标识说明3.2.1 接口说明网络引擎上一共有三种用途的信号接口，他们的说明如下：超级终端的连接端口；：硬件引擎的数据

17、包监听/串接端口，连接交换机的镜像端口；：硬件引擎的管理控制端口，主要用于与控制台通讯；某些型号的千兆引擎的机器后面有两个红色按钮，如图：按钮1按钮2按钮1正常情况下在机盖下面，被一个螺丝钉覆盖，是一个报警按钮，如果引擎在通电情况下打开机盖，会发出报警声，按下后，不再报警。按钮2平时就能看到，千兆引擎可使用双电源，如果您只连接了一根电源线，引擎也会发出报警声，按下这个按钮后，不再报警。3.3 超级终端安装及设置1、超级终端安装“超级终端”是Windows 9x、Windows NT及Win2k下的程序，是Microsoft操作系统中的一个常用组件。它能够通过串行或并行端口接受或发送ASCII码

18、信息。“超级终端”具有反卷功能，此功能使用户能够看到已经滚动出屏幕的已接收文本。方式1：在安装Windows 95/98/2000/NT/XP操作系统时，选中“通讯”选项中“超级终端”选项。方式2：在安装Windows 95/98/2000/NT/XP操作系统时没有安装“超级终端”，可以通过Windows 95/98/2000/NT/XP的“控制面板”的“添加/删除程序”项安装“超级终端”。2、 启动超级终端(以windows 2000 advanced server为例)。如图3-1所示：图3-1 3、 启动画面。如图3-2所示：图3-2 新建连接名称输入相应名称。如图3-3所示：图3-3

19、选择COM1口还是选择COM2口，应根据通讯线所连接到控制中心PC的COM口号来确定。建议连到COM1口，如果用笔记本电脑进行串口连接，需根据识别出来的相应COM口进行选择连接。如图3-4所示：图3-4 4、 端口设置每秒位数（B）项选择“9600”，其它速率无效；数据位（D）项选择“8”；奇偶校验（P）项选择“无”；停止位“S”项选择“1”；数据流控制（F）项选择“硬件”。如图3-5所示：图3-5 5、 超级终端设置选择“文件”菜单中的“属性”选项，显示如下图所示画面。如果你不想看滚动出屏幕的信息，请把“反卷缓冲区行数（B）”设为“0”。按“设置”按纽，显示屏幕如图3-6所示：图3-6 按“

20、ASCII 码设置（A）.”按纽，使用默认设置即可，显示屏幕如图3-7所示：图3-7 3.4 天清网络引擎配置天清网络引擎利用超级终端进行基本设置，配置好超级终端以后，回车进入探测引擎启动画面。如图3-8所示：图3-8输入用户名：venus，回车后再输入正确的密码(出厂密码设置为)后进入如图3-9所示：图3-9 3.4.1 选项介绍在超级终端上显示的控制界面分成4个部分：配置选项、辅助选项、恢复选项和退出选项。每个选项下有不同的子项，以下依次对这些子项进行介绍：配置选项：【功能1】：显示当前设置显示当前配置信息。包括串接类型、串接模式、串接网卡对、通讯网口的IP地址等【功能2】：更改IP地址/

21、子网掩码更改通讯网口的IP地址及子网掩码。新探测引擎的IP地址及子网掩码请向网络管理员申请。【功能3】：重置引擎认证密钥 选项 “3”可以重置控制中心与引擎认证密钥，当引擎与不同于原控制中心的另外控制中心相连时必须重置密钥。【功能4】：更改路由配置选项“4”，可以添加和更改原有路由配置，输入路由总条数(如输入0 则表示删除当前所有路由)，如果设置错误可以直接按“q”退出原来的路由信息不会改变）。输入目的子网网络地址：如果想要与192.168.5.网段的主机进行通讯则输入192.168.5.0。输入目的子网掩码地址:255.255.255.0。输入网关IP地址：与要设定路由的网口地址在同一个网段

22、内。依此类推，加入所要的路由信息。【功能5】：更改串口登录口令选项“5”，可更改网络引擎密码。网络引擎密码数为7位任意数字或字符。新密码输入多于7位时，取前7位作为新密码；新密码输入少于7位时，新密码无效，旧密码仍然有效。步骤如下： 先输入旧密码 输入新密码 确认新密码注：（1）新网络引擎出厂时密码统一为“”，请注意更改。（2）密码设置不要过于简单，以免被盗用。【功能6】：打开和关闭SSH登录选项“6”用于打开是否支持通过SSH登录本配置界面，缺省为打开。【功能7】：用户自定义通讯端口 用户自定义通讯端口可以修改引擎的通讯端口，缺省为20001，当20001端口被占用时可以修改成其他的数值。【

23、功能8】：重启引擎操作系统选项“8”可以将引擎重新启动。辅助选项：【功能9】：PING测试PING测试，用于测试指定IP地址是否存在活动主机或用于检查IPS的通讯网络是否畅通，提示信息为“连接正常”或者“连接异常”。【功能10】：TRACEROUTE测试TRACEROUTE测试，用于测试引擎能否成功路由到指定IP。【功能11】：显示ETH0 MAC地址显示ETH0的MAC地址。恢复选项：【功能12】：恢复引擎出厂参数恢复引擎的出厂参数，包括通讯网口的IP地址、子网掩码和路由信息等。【功能13】：恢复初始应用程序将引擎的所有应用程序恢复到出厂状态。【功能14】：USB升级可以通过USB升级引擎程

24、序。【功能15】：本地时间设定修改引擎的时间，设定时间时要严格按提示的格式输入注：恢复选项用于出现异常状况时恢复，一般状况无须使用退出选项：【功能16】：退出串口配置程序退出串口配置程序；如果不退出，用户可以通过串口无需登录而直接操作串口配置注：超级终端不能用窗口右上脚的关闭按钮直接关闭 ，因为这样只关闭了“超级终端”的界面，而超级终端与探测引擎的通讯并未关闭。因此，每次更改探测引擎的基本参数后，必须用选项“16”退出。在操作过程中出现错误操作时如需取消当前输入操作请按。如果需要帮助请按。3.4.2 初始应用第一次安装应该配置网络引擎通讯IP地址，出厂缺省地址为：192.168.0.200；如

25、果管理控制中心和网络引擎是跨网段控制，需要使用“更改路由配置”来设置相关路由信息。配置完毕以后可以使用辅助选项中的“PING测试”和“TRACEROUTE测试”来检查是否可以和网络连通。当重新安装了控制中心或更改了控制中心的主机地址，需要使用“重置引擎认证密钥”来清除原来的认证信息保证和新的控制中心建立认证关系。注：更改探测引擎ip，路由和清除密钥的方法和过程见“选项介绍”中的描述。附录一：快速使用指南天清入侵防御系统软硬件安装完毕以后，可以按照本使用指南快速使用，可以使得天清入侵防御系统完成基础运行，如需高级配置或详细了解功能操作细项请参考用户使用手册或联机帮助。快速使用流程1、 建立管理员

26、用户（此步骤可以跳过）在开始菜单中选择“启明星辰”“用户管理审计”，利用用户管理员Admin登录（缺省口令为：venus60），然后为天清入侵防御系统添加一个管理员用户,并设置可以登录。2、 添加网络引擎启动菜单-管理控制中心，第一次启动需要输入控制中心使用序列号，然后输入用户名密码（默认用户名：adm，密码：venus60）登录，添加组件，添加网络引擎，如图19-1所示：图19-13、 检查引擎连通状况设置好引擎的ip地址和上级管理控制中心的ip地址（默认是本级控制中心即总部的ip地址）点击确定即可，同样的方法可以为此控制中心添加多个引擎。连接引擎前，请检查网络是否连通，如果您还是连接不上引

27、擎，请使用引擎的串口配置程序清空认证密钥。4、 导入引擎授权正式销售的产品，在连接上引擎后要导入厂家提供的引擎的授权文件或授权序列号（一般放在产品包装箱的软件盒中）。5、 打开显示中心 显示中心是所有事件的显示窗口，控制中心视图选择综合信息显示，即可打开本地综合显示中心，若需要使用远程的显示中心，则需要在控制中心添加一个显示中心组件：控制中心组件管理增加组件（如下图），在IP地址栏写入运行显示中心的机器的IP地址，在类型栏选择“显示中心”。如图19-2所示：图19-2设置好显示中心的ip地址点击“确定”即可。同样的方法可以为一个控制中心添加多个显示中心，这些显示中心可以运行在网络中其它的机器上

28、，目的是为了实现多点的监控。注意：只在这里设置还不能使显示中心和控制中心连接，还需要启动显示中心，然后在显示中心的系统系统设置菜单中的连接设置页设置控制中心的ip地址以及数据源（如果是显示中心在本机上，无需设置数据源，使用默认即可；如果显示中心在远程计算机上，需要建立一个系统DSN指向控制中心连接的数据库，然后显示中心使用这个数据源），这样两者才能成功连接进行通讯。6、 事件库更新为了保证产品具备最新攻击的防御能力，需要进行事件更新，具体操作如下：进入天清管理控制中心，点击菜单栏中的“更新升级”“手工更新”你可以从启明星辰网站手工下载事件更新包进行导入或选择直接从网站获取，完成事件库更新。7、

29、 策略定制和下发最后，请根据网络状况，选择一个合适的策略集下发给所属引擎，也可以在主控直接下发策略集给子控和子控的引擎。如果您是第一次使用天清控制中心，最好自己衍生一个用户自定义策略集，推荐使用策略向导模式，方法如下：在控制中心的菜单策略任务入侵防御策略编辑中打开策略编辑界面，点击策略向导按钮调用策略向导，如图19-3所示：图19-3选择您需要检测的事件，生成一个初始策略集。选择需要应用到的网络引擎，进行策略下发和应用。通过显示中心或日志分析中心可以看到相应的报警信息。在使用过程中根据环境不断调整优化策略集，可以获得良好的防御效果。8、 设置数据库自动维护设置数据库自动维护可以防止日志量过大造

30、成系统维护困难。数据库维护工具可实现数据库日志的自动删除、自动备份、手动删除和手动备份的工作。选择菜单“日志管理”“日志维护”或点击工具栏的可以执行日志维护工具进行自动维护设置或进行手动维护。在这里用户可以设置数据库的自动备份的时间（自动备份后会删除数据库中一些陈旧的数据），到达用户设置得时间时系统就会自动调用数据库维护程序来对数据库进行维护。备份的数据是设定时间段的前一个时间段的数据，例如设置每月1日备份，那么备份出来的数据是上上个月1日到上个月1日的数据。多级管理设置1. 如果要进行多级的管理与控制，请将下级控制中心添加到本级控制中心，在总部控制中心的添加组件界面组件类型选择管理控制中心即可。如图19-4所示：图19-42. 注意填好子控制中心（如分部的控制中心）的ip地址和它上级主控制中心的ip地址。用类似的方法您可以将多个其它的控制中心设置为自己的子控制中心。3. 您也可以为分部添加一个子控制中心如把某个下属机构设为子控中心，这样在分部您就可以对这个下属机构的控制中心及其各组件进行管理了。4. 添加组件完成后，系统管理结构就配置完成了，主控制中心界面如图19-5所示：图19-55. 全部配置完成后，根据各级控制中心管理的需要，在每个下级控制中心的分级管理菜单中，进行本级设置。这里可以设