DeepSecurity75安装及功能测试手册V2..docx

Deep Security 7.5安装及测试手册Deep Security 7.5 安装及测试文档 TAM 2011年2月目录1.简介22. 环境准备32.1无代理方式（VMware）应用环境准备32.2代理方式（物理服务器）应用环境准备43. Vmware环境安装步骤53.1安装Vmware环境53.2安装vShield Manager53.3配置vShield Manager93.4安装VM的vShield Endpoint驱动113.5安装DSM7.5113.5在DSM上添加vCenter123.6部署Filter Driver&DSVA153.7检查各功能组件状态204.物理环境安装步骤214.1安装Deep Security Manager214.2安装DSA程序214.3添加Computer225.基本配置226. 功能测试236.1 Anti-Malware236.2 FireWall246.3 Deep Packet Inspection256.4 Integrity Monitoring256.5 Log Inspection277.使用Smart Scan Server287.1下载TMSSS程序287.2安装TMSSS程序287.3配置TMSSS程序287.4配置Deep Security使用Smart Scan298.常见问题301. 简介Trend Micro Deep Security是一种在虚拟、云计算和传统的数据中心环境之间统一安全性的服务器和应用程序防护软件。它帮助组织预防针对操作系统和应用程序漏洞的非法入侵，监控系统的完整性，并集中管理风险日志，符合包括 PCI 在内的关键法规和标准，并有助于降低运营成本。虚拟化能够帮助用户显著地节省数据中心运营成本，用户减少硬件成本和能源需求并且可以在部署关键应用方面获得更大的灵活性和可用性。在虚拟化中，IT人员所面对的最大挑战是应用安全机制，即如何能使用户充分利用其在虚拟化方面的投资。这包括如何使用户能够在相同的物理服务器上将虚拟机设置成不同的安全等级，在使用诸如vMotion机制的同时提供持续的防护，当虚拟机在休眠或离线状态下仍能对其进行防护，并且使用户能够扩展其虚拟化环境以充分利用云计算技术。趋势科技Deep Security不但可以对物理服务器上的操作系统、应用程序和数据进行防护，同时利用VMware vShield技术来保护处于运行状态和休眠状态的虚拟机，同时提供集中的控管平台，获得最大化的性能和操作灵活性。产品特性：操作系统灵活性：针对于运行关键任务应用程序和存储敏感数据的多种平台，包括Microsoft Windows、Solaris和Linux等，提供目标明确的、基于软件的防护，而无论是运行在物理环境或是诸如VMware、Citrix或Microsoft的虚拟平台上。无代理恶意软件防护：通过与VMware的紧密集合实现无代理为esx中的虚拟主机提供病毒和恶意软件的防护。虚拟补丁：对于公司至关重要的操作系统和应用程序中存在一些常见的软件漏洞，虚拟补丁有助于拦截针对上述漏洞的威胁。最终，能够定期地高效率部署这些补丁，从而减少对于主机或IT资源的影响。攻击检测和防御：检测并预防针对敏感数据的攻击并且可以立即发出警报。与VMware vCenter Server紧密集成： 这种紧密协作可以将来自vCenter和ESX 结点的公司信息和运营信息输入Deep Security管理器，同时将详细安全策略应用于企业VMware基础设施。集中并基于web的管理：这种最新型方法使IT人员能够通过熟悉且具有资源管理器风格的用户界面来创建并管理安全策略，同时对于威胁和响应过程中所采取的预防性措施进行跟踪。主动防护建议：为了更加迅速并且容易地确保采取正确的措施，该解决方案主动建议基于策略和所部属的应用程序为服务器提供适当的防护措施。策略模板部署：可以将该解决方案内置于模板中，以简化部署。日志：在发生意外时，该解决方案自动通知IT人员，同时提供包括攻击者、攻击时间和攻击对象的详细日志信息。报告：该解决方案生成并发出大量基于指定或临时信息的详细报告，以记录攻击并提供安全配置和变更的审计历史。自动更新：该解决方案定期提供安全更新以保护最新公布的漏洞免受攻击。2. 环境准备2.1无代理方式（VMware）应用环境准备需要准备2台ESX主机，用来测试DS7.5的所有功能。注意：DSM主机最好用64位系统描述程序操作系统功能ESX1DSMWin2003 sp2 32/64 Win2008 32/64DS管理控制台*至少分配4GB内存vShield ManagerVMware VShield管理平台vCenterWin2003_x64Windows操作系统Win2003_x32Agent方式测试主机ESX2DSVADS ApplianceWindows操作系统Win7_x64Agentless+Agent方式测试主机Windows操作系统Win2008_x64Agentless测试主机软件名称用途VMware-vShield-Manager-4.1.0-287872.ovavShield ManagerVMware-vShield-Endpoint-Driver-1.0.0-289485.x86_64.msiEndPoint 驱动64位平台VMware-vShield-Endpoint-Driver-1.0.0-289485.x86_32.msiEndPoint 驱动32位平台Manager-Windows-7.5.1378.x64.exeDSM 64位平台Manager-Windows-7.5.1378.i386.exeDSM 32位平台FilterDriver-ESX-7.0.0-894.x86_64.zipESX平台FilterDriverAppliance-ESX-7.5.0-1600.x86_64.zipDSVAAgent-Windows-7.5.0-1602.x86_64.msiDSA64位平台Agent-Windows-7.5.0-1602.i386.msiDSA32位平台激活码到期时间用途DX-9J38-4SE5J-V9AL2-GHH92-NYHCX-W7KHN2011-03-03DS激活码TJ42L-H01DQ-M83TT-A04RK-30KH160天vShield EndPoint2.2代理方式（物理服务器）应用环境准备Agent方式应用只需准备DSM服务器和测试服务器；程序操作系统IP地址功能DSMWin2008_x64DS管理控制台Test-win2008Win2008_x64Agent测试主机软件列表：软件名称用途Manager-Windows-7.5.1378.x64.exeDSM 64位平台Manager-Windows-7.5.1378.i386.exeDSM 32位平台Agent-Windows-7.5.0-1602.x86_64.msiDSA64位平台Agent-Windows-7.5.0-1602.i386.msiDSA32位平台产品激活码：激活码到期时间用途DX-9J38-4SE5J-V9AL2-GHH92-NYHCX-W7KHN2011-03-03DS激活码3. Vmware环境安装步骤3.1安装Vmware环境1. 安装vCenter Server和Client 4.1注：vCenter主机名不能超过15个字符，否则安装失败2. 安装ESX/ESXi 4.13. 在vCenter中创建数据中心，并添加ESX/ESXi主机4. 安装所需操作系统（Windows2008 64bit、Windows2003 32bit等）5. 为操作系统安装VMWARE TOOLS6. 配置个主机使用IP地址3.2安装vShield Manager 1. 确保vSphere Client所在计算机，能解析所有相关主机名2. 确保所有相关计算机，能解析其他主机3. 建议在测试环境中增加域控制器（DNS）4. 登录vCenter 控制台5. File-Deploy OVF Template- VMware-vShield-Manager-4.1.0-287872.ova6. 如果用户有VLAN配置，需要先修改vShield Manager的网卡配置7. 启动vShield Manger主机8. 进入vShield Manger Console，默认用户名：admin，密码：default9. 输入”enable”命令和密码default10. 输入”setup”命令进入IP 地址配置，配置预分配的IP地址、网关和DNS注：进入”setup”命令需要等待vShield Manager主机完全启动完成11. 输入”exit”或”reboot”命令完成IP地址配置3.3配置vShield Manager 1. 输入https:/登录vShield Manager web控制台2. 配置vCenter Server信息,点击”Save”3. 点击Register按钮4.5. 注册成功后，状态会发生变化6.7. 在vCenter中添加vShield EndPoint授权进入”Home”-”Licensing”-Report line select ”Asset”，进入”vShield-Endpoint”，”Enter Key”。8. 输入https:/登录vShield Manager web控制台，为被保护ESX主机安装EndPoint组件安装完毕后的结果如下显示。3.4安装VM的vShield Endpoint驱动 1. 执行驱动程序2. 重新启动vm3.5安装DSM7.5 1. 将DSM7.5安装程序全部放到同一目录下，再执行DSM Manager程序，这样DSM会自动导入”FilterDriver”和”Appliance”程序，无需后续手工导入2. 安装过程中需要选择数据库类型和”Manager Address”等信息，如果用户全部是域环境可以使用主机名，否则建议修改”Manager Address”为IP地址，这样可以避免很多通讯问题3. 安装完成后可以通过https:/:4119/来登录控制台3.5在DSM上添加vCenter1. 进入DSM控制台2. 选择”Computer”-”Add VMware vCenter”3. 输入vCenter信息4. 输入vShield Manager信息5. VM Kernel VNIC配置，请保持默认6. 同意SSL证书7. 摘要信息8. 添加完成3.6部署Filter Driver&DSVA1. 进入DSM控制台的”Computer”界面，选择vCenter中的ESX，右键选择”Action”-”Prepared ESX”2. 此过程必须保证ESX能够与DSM主机通讯3. 部署驱动需要ESX进入到维护模式下完成4. 程序等待ESX进入维护模式5. 手工关闭此ESX主机上的所有VM，并等待安装Filter Driver6. Filter Driver部署完成，部署Appliance7. 部署DSVA到ESX上，输入Appliance 名称8. 选择磁盘使用模式9. 部署中，Building过程可能需要几分钟10. SSL证书11. 部署DSVA的OVF文件，并开启DSVA12. 登录DSVA控制台，用户名：dsva 密码：dsva13. 进入”Configure Management Network”，输入IP地址信息，按”Enter”保存14. 进入”Configure Time Zone”，设置为”Asia/Chongqing”15. 退出配置界面。注意：DSVA界面会现在该IP应用到哪块网卡上，如果IP地址有VLAN，请在VM设置中修改。16. 激活DSVA17. 选择”Security Profile”模板给DSVA，此Profile为系统默认模板，如果需要使用SSH登录DSVA，修改”Deep Security Virtual Appliance”模板18. 选择需要激活的VM注：如果VM关机状态会提示Active fail，请提前开启vm19. 部署和激活完成20. 登录控制检查激活状态和An-Malware状态3.7检查各功能组件状态登录DSM控制台，并进入”Computer”页，查看ESX的Filter Driver和DSVA运行是否正常注：”Integrity Monitoring”和”LogInspection”需要安装DSA才能实现4. 物理环境安装步骤4.1安装Deep Security Manager参考3.5章4.2安装DSA程序注：安装过程会导致主机网络中断一次在目标主机上执行” Agent-Windows-7.5.0-1602.i386.msi”4.3添加Computer1. 进入”Computer”页面，选择”New”-”New Computer”2. 输入目标主机的主机名或IP地址3. 添加完成4. 检查Agent状态5. 基本配置 请参考Deep Security 7.5 用户手册6. 功能测试6.1 Anti-MalwareDeep Security防恶意软件的功能能够在无代理的模式下为虚拟机提供病毒、间谍软件防护，可以使得每个vm都能得到病毒防护，其功能如下：通过VMware vShield Endpoint Security环境保护每一台已激活的虚拟机自定义配置应用到Security Profiles中提供实时、手动和计划扫描Smart Scan Server 支持隔离文件管理测试方法：通过在虚拟机上下载或者文件共享方式将恶意文件保存到虚拟机上，检查恶意程序是否被隔离。1. 进入DSM控制台，进入一个被管理状态的计算机详细信息，在Security Profile项选择”Windows Anti-Malware Protection”2. 单击”Svae”保存配置3. 在被保护主机上下载eicar测试病毒，或通过文件共享方式拷贝eicar测试病毒到被保护主机上4. 观察eicar文件是否被创建注：由于此过程需要将文件传递到DSVA，扫描完成后才返回Action，所以文件共享方式处理时间可能较长，但此过程中文件已经被锁定5. 进入DSM控制台，右键选择被保护主机”Action”-”Get Event”，通过DSM控制台的”Anti-Malware”-”Anti-Malware Events”中查看日志注：如测试过程中发现没有日志产生，请尝试修改”Period”项为”Last 24 Hours”，这可能由于各系统的时间不同步导致6.2 FireWallDeep Security 防火墙模块确保服务器在所必需的端口和协议上通信，并阻止其他所有端口和协议，降低对服务器进行未授权访问的风险。其功能如下： 虚拟机隔离：使虚拟机能够隔离在云计算或多租户虚拟环境中，无需修改虚拟交换机配置即可提供虚拟分段。细粒度过滤：通过实施有关 IP 地址、Mac 地址、端口及其他内容的防火墙规则过滤通信流。可为每个网络接口配置不同的策略。覆盖所有基于 IP 的协议：通过支持全部数据包捕获简化了故障排除，并且可提供宝贵的分析见解，有助于了解增加的防火墙事件 TCP、UDP、ICMP 等。侦察检测：检测端口扫描等活动。还可限制非 IP 通信流，如 ARP 通信流。预定义的防火墙配置文件：对常见企业服务器类型（包括 Web、LDAP、DHCP、FTP 和数据库）进行分组，确保即使在大型复杂的网络中也可快速、轻松、一致地部署防火墙策略。详细的报告：通过详细的日志记录、警报、仪表板和灵活的报告，Deep Security 防火墙模块可捕获和跟踪配置更改（如策略更改内容及更改者），从而提供详细的审计记录。测试方法：测试两个功能：ping 和远程桌面；通过启用和关闭下图的防火墙策略来实现；（防火墙策略建议使用策略模板，修改策略直接修改模板即可）1. 为被主机部署一个”Windows Server 2008”默认Profile2. 测试是否能通过远程桌面连接该虚拟机，会提示连接失败3. 进入被保护主机的属性中，”Firewall”-”Firewall Rules”4. 选中“Remote Access RDP”，保存5. 测试是否能通过远程桌面连接该主机，提示连接成功预期结果：允许访问时访问正常，禁止访问时远程桌面无法访问；无法ping 通；6.3 Deep Packet Inspection功能描述：操作系统或应用程序不能及时打补丁的主机，经常会面临病毒等恶意软件的攻击，但大量终端的补丁管理很难做到一步到位，并且新发布的补丁与业务系统的兼容性也需要验证的时间；Deep Security的DPI模块提供针对这些未防范的漏洞提供防护策略，避免恶意软件的威胁；测试方法：利用Metasploit免费开源模拟攻击测试工具，对windows 2008进行模拟攻击，利用微软MS09-050漏洞，该漏洞是Microsoft SMBV2协议存在远程代码执行漏洞，远程攻击者可以特殊的SMBV2报文触发该漏洞，导致远程命令执行，成功利用该漏洞的攻击者者可以执行任意代码或导致系统死机；Deep Security中对应的DPI策略编号是1003712；如图2-1，操作步骤见Metasploit使用教程图2-1预期结果：在没有启用DPI策略时，可以攻击成功，Deep Security防护的主机无法攻击成功，并有日志记录攻击过程；6.4 Integrity Monitoring功能描述：任何恶意事件的发生都会伴随着文件或注册表、服务进程的改变，Deep Security 完整性监控模块可监控关键的操作系统和应用程序文件（如目录、注册表项键值）以及服务进程的变化，用以检测可疑行为。使用预设的完整性检查规则可对文件和目录针对多方面的更改进行监控，包括：内容、属性（如所有者、权限和大小）以及日期与时间戳。还可监控对 Windows 注册表键值、访问控制列表以及日志文件进行的添加、修改或删除操作，并提供警报。此功能适用于 PCI DSS 10.5.5 要求。测试方法：对系统hosts文件的监控，对应的策略如图3-1，首先启用策略，建立基准线如图3-2，修改系统windowssystem32driveretchosts文件，增加一行IP与域名；1. 进入目标主机的详细信息页面2. 进入Inteegrity Monitoring Rule中，选中”1002773-Microsoft Windows “Hosts”file modified”，保存3. 进入”Integrity Monitoring”-”View Baseline”检查基线是否存在，如果不存在执行”Rebuild Baseline”4. 进入目标计算机修改hosts文件5. 运行”Scan For Integrity Changes”命令6. 在Integrity Monitoring Event中检查事件情况6.5 Log Inspection功能描述：对于管理大量服务器的管理员来讲，如何在海量的日志信息中发现威胁，是个费时费力的事情；使用 Deep Security 日志审计模块可收集并分析操作系统和应用程序日志，以查找安全事件。日志审计规则优化了对多个日志条目中隐藏的重要安全事件进行识别的能力。收集事件，这些事件包括：Microsoft Windows、Linux 和 Solaris 平台间的事件；来自 Web 服务器、邮件服务器、SSHD、Samba、Microsoft FTP 等的应用程序事件；自定义应用程序日志事件。关联不同事件：包括系统消息（如磁盘已满、通信错误、服务事件、关机和系统更新）、应用程序事件（如帐户登录/注销/故障/锁定、应用程序错误和通信错误）、管理员操作（如管理员登录/注销/故障/锁定、策略更改和帐户更改）。关联分析以后，可生成安全事件的完整审计记录，以帮助满足合规性要求，如 PCI 10.6测试方法：启用windows系统事件日志审计功能；1. 在Security Profile中创建一个Log Inspection的Profile；2. 修改Log Inspection Rule，选中”Microft Windows Events”；3. 部署该Profile文件至目标服务器；4. 登录目标服务器，清空所有系统日志；5. 查看Log Inspection event；预期结果：系统中的风险日志信息被汇总到Deep Security控制台；7. 使用Smart Scan ServerDeep Security 7.5现在仅支持TMSSS1.x版本，请登录TrendMicro UpdateCenter下载7.1下载TMSSS程序/index.php?clk=tbl&clkval=1765®s=NABU&lang_loc=1#undefined7.2安装TMSSS程序1. 在esx/esxi创建一个Linux 64bit系统，分配1G内存和20G存储空间；2. 选择tmsss光盘启动3. 安装并配置主机名和IP地址信息7.3配置TMSSS程序1. 登录TMSSS控制台https:/ 2. 配置更新计划7.4配置Deep Security使用Smart Scan1. 进入”System”-”System Settings”-”Anti-Malware”页面，调整”Smart Scan”为On，并添加Smart Scan Server地址，格式为http:/tmcss2. 配置完成，已使用Smart Scan模式8. 常见问题1. 为什么部署FilterDriver和Appliance不需要手工导入程序包？在DS7.5版本后在安装DSM时支持自动导入程序包2. 如何强制使用IP通讯（DSMESX）修改.Program FilesTrend MicroDeep Security ManagerWebClientwebappsROOTWEB-INF下的perties文件中添加一行“hssHostnameIPDisplaynameClientname=ture”实现使用IP通讯ESX。3. Deep Security使用哪些通讯端口？4. DSVA有两块网卡该如何配置与DSM通讯使用网卡？默认DSVA7.5会有两块网卡，其中一块连接vmservice-trend-pg，一块连接VM Network如果管理IP网络不在默认的VM Network上，请选修改 VM Network这块网卡；注：连接vmservice-trend-pg是用于与vmkernal通讯，不要进行修改5. 如何开启DSVA的SSH登录？在DSVA界面上按 ALT-F2. 用户名：dsva 密码：dsva启动ssh服务$ ssh-server start注意：如果为DSVA部署了Security Profile后，需要在Profile中打开SSH6. 如何测试DSVA与vmkernal的通讯SSH登录DSVADSVA上测试到VMKernel连接 dsvadsva:$ sudo ping PING (): 56 data bytes 84 bytes from : icmp_seq=0 ttl=64 time=0.3 ms 84 bytes from : icmp_seq=1 ttl=64 time=0.3 msESX上测试到DSVA的连接 # ping 9 PING 9 (9): 56 data bytes7. 如何检查DSVA的运行状况？ dsvadsva:$ netstat -an Active Internet connections (servers and establishe