北信源VRVEDP内网安全管理系统手册.doc

特特 别别 声声 明明 本使用手册由 北信源内网安全及补丁分发管理系统 产品安装 配置指导手册 用户手册 产品维护手册三部分组成 其内容将 随着北信源软件的不断升级而改变 以光盘中电子版发行时为最 新版 恕不另行通知 需要者请从北信源公司网站下载本手册 的最新电子版或者直接联系北信源公司索取 北信源内网安全及补丁分发管理系统 产品由 北信源内网安 全管理系统 及 补丁分发管理系统 两大套件构成 本使用手册为 北信源内网安全及补丁分发管理系统 通用说明 书 若您独立购买 北信源内网安全管理系统 或 北信源补丁 分发管理系统 之一产品 本说明书的其它功能将不具备 两大套件主要区别 北信源补丁分发管理系统 不具备违规联 网监控 客户端安全管理和桌面管理功能 北信源内网安全管 理系统 不具备补丁自动分发功能 请您在使用过程中选择性阅 读相应章节 感谢您购买北京北信源自动化技术有限公司研制开发的内网安全 管理及补丁自动分发系列软件 请在使用本软件之前认真阅读本 使用手册 当您开始使用该软件时 北信源公司认为您已经阅读 了本使用手册 快速阅读指南快速阅读指南 1 详细阅读本软件组件功能 组成 作用 应用构架 确切了解 本软件的系统应用 2 安装准备软件环境 Microsoft SQL Server2000 Windows 2000 Server Internet 服务管理器 建议将数据库管理系统 区 域管理器 WEB 管理平台安装在同一服务器上 确认区域管理器所在 机器的 88 端口不被占用 即非主域控制器 防火墙应允许打开 88 2388 2399 22105 8900 8901 22106 22108 8889 端口 3 按步骤安装各组件后 通过 http vrveis 登录 Web 管理平台 首先对 Web 管理平台进行如下配置 添加区域 划分该 区域 IP 范围 指定区域管理器 指定区域扫描器 4 双击屏幕右下角区域管理器 单击主机保护进行通讯参数配置 5 在 VRV VRVEIS download 目录中 使用 RegTools exe 工具修 改 DeviceRegist exe 文件中的本地区域管理器 IP 将修改后的注 册程序 DeviceRegist exe 放在机构网站上进行静态网页注册 或者 在机构网站上加载动态网页检测注册脚本语句 进行动态设备注册 6 系统升级 联系北信源公司获取最新的软件组件升级包 确保 Web 管理平台 区域管理器 客户端注册程序等组件的升级 特别提示 默认管理员用户 特别提示 默认管理员用户 adminadmin 密码 密码 123456123456 系统指定 系统指定 审计用户名 审计用户名 audit audit 密码 密码 123456123456 请注意修改 请注意修改 第一章 系统介绍 5 1 1 产品组成 5 1 2 应用构架 7 第二章 系统安装 8 2 1 安装环境 8 2 2 安装注意事项 9 2 2 1 软件安装监控服务器部署注意事项 9 2 2 2 软件安装和应用过程中注意事项 10 2 3 系统组件安装 11 2 3 1 安装 SQL server 数据库 11 2 3 2 安装 WinPcap 驱动模块 11 2 3 3 安装远程技术支持模块 11 2 3 4 初始化数据库 11 2 3 5 安装 Web 中央管理平台 14 2 3 6 安装区域管理器 Region Manage 15 2 3 7 配置设备扫描器模块 Region scan 16 2 3 8 安装补丁下载服务器模块 17 2 3 9 安装管理器主机保护模块 18 2 3 10 安装报警中心模块 18 2 3 11 客户端注册及下载 18 第三章 系统应用 27 3 1 配置与管理 27 3 1 1 区域划分 27 3 1 2 区域管理器配置 30 3 1 3 扫描器配置 35 3 1 4 注册程序配置 38 3 1 5 注册部门配置与管理 41 3 1 6 自定义组分配与管理 44 3 1 7 IP 与 MAC 绑定列表 45 3 2 策略中心 46 3 2 1 阻断违规接入管理 46 3 2 2 策略管理中心 47 3 3 数据查询 85 3 3 1 设备信息查询 87 3 3 1 2 注册设备资产查询 89 3 3 1 3 硬件变化设备查询 89 3 3 1 4 设备安装软件查询 90 3 3 1 5 设备首次运行进程查询 91 3 3 1 6 共享目录查询 92 3 3 1 7 设备 IP 占用状况列表 92 3 3 7 移动设备审计查询 93 3 3 7 安全策略违规查询 95 3 3 8 涉密检查查询 96 3 3 9 消息确认查询 97 3 3 11 软件分发查询 97 3 3 12 软件分发统计 98 3 4 终端控制 99 3 4 1 终端管理 99 3 4 2 行为控制 105 3 4 3 VPro 远程管理 109 3 4 4 远程协助 111 3 5 补丁分发 111 3 6 运维信息 113 3 6 1 客户端流量排名 113 3 6 2 客户端流量统计 113 3 6 3 运维状态异常 114 3 6 4 网络拓扑发现 115 3 7 报警事件 116 3 7 1 报警数据查询 116 3 7 2 图形化报警 120 3 7 3 本地报警数据汇总 123 3 8 级联总控 123 3 9 统计报表 129 3 10 系统维护 131 第四章 补丁分发管理 138 4 1 区域管理器补丁管理设置 138 4 2 补丁自动下载分发 139 4 3 客户端补丁检测 一 144 4 4 客户端补丁检测 二 146 4 5 本地补丁分发综合查询 146 4 6 补丁级联下载 147 第五章 客户端阻断 149 5 1 扫描器组件配置 149 5 2 阻断策略应用 149 5 2 1 违规自动阻断策略 150 5 2 2 手动设置针对设备的单独阻断策略 150 5 2 3 硬件防火墙联动阻断策略 151 第六章 网络接入认证管理 153 6 1 策略中心 接入认证策略 补丁与杀毒软件认证 153 6 2 策略中心 接入认证策略 进程服务注册表认证 155 6 3 策略中心 接入认证策略 802 1X 接入认证认证 159 6 4 环境准备方法 160 RADIUS 安装与配置 160 安装 RADIUS 160 6 5 各厂商交换机配置 173 1 Cisco2950 配置方法 173 2 华为 3COM 3628 配置 174 3 锐捷 RGS21 配置 178 第七章 系统备份及系统升级 179 7 1 系统数据库数据备份及还原 179 7 2 系统组件升级 180 7 2 1 区域管理器 扫描器模块升级 180 7 2 2 升级网页管理平台 180 7 2 3 客户端注册程序升级 180 7 2 4 检查系统是否升级成功 181 7 3 级联管理模式升级及配置 181 第八章 售后服务 183 第九章 附录 185 附录 一 微软 SQLSERVER系统安装步骤 185 附录 二 北信源内网管理系统名词注释 191 附录 三 移动存储设备认证工具操作说明 192 附录 四 主机保护工具操作说明 202 附录 六 组态报表管理系统操作说明 209 附录 七 信息安全通告平台 218 第一章 系统第一章 系统介绍介绍 1 11 1 产品组成产品组成 北信源内网安全及补丁分发管理系统由 8 部分组成 WinPcap 程序 SQL Server 管理信息库 安装包 环境初始化程序 Web 中央管理配置平台 安装 包 网页管理平台 区域管理器 安装包 Region Manage 原区域扫描器已作 为模块集成到区域管理器 客户端注册程序 安装包 注册程序 补丁下载 服务器 管理器主机保护模块 报警中心模块 环境初始化程序 环境初始化程序 SQL Server 管理信息库 建立北信源内网安全及补丁分 发管理系统的初始化数据库 包括 网络客户端设备属性信息 区域管理器信 息 设备扫描器信息 区域管理范围信息 注册 未注册 机器信息 设备属 性变化信息 报警信息等 扫描器将设备最新状态信息同数据库中原有信息进 行遍历搜索对比 根据规则要求在管理平台上报警 WebWeb 管理平台 管理平台 Web 中央管理配置平台 本系统的管理配置中心 包括区域 管理器 扫描器 注册客户端的功能参数设定 网络设备信息发现 系统应用 策略制订 报警信息显示 定义任务功能制订 系统用户维护等配置操作 RegionRegion ManageManage 区域管理器 系统数据处理中心 与管理信息数据库通讯 接收注册程序提供的用户信息 将用户信息 用户填写的物理信息和系统自动 采集的硬件信息 并行存入数据库 接受来自控制台的命令操作 发送到客户 端 扫描器执行 对于存在多级管理要求的广域网 网络中可以存在多个区域管理器 系统 数据提供逐级上报 转发 模式 区域管理器内置网络扫描器 扫描器将设备最新状态信息报送至区域管理 器 由区域管理器处理后 同数据库中原有信息进行遍历搜索对比 根据管理 规则在管理平台上报警 扫描器配合区域管理器进行工作 可以在分级模式下使用 扫描器只依据 Web 管理平台中配置的工作范围进行扫描 超越其范围 将不负责执行操作 WinPcapWinPcap 程序 程序 嗅探驱动软件 监听共享网络上传送的数据 客户端注册程序 客户端注册程序 用户访问指定网站自动获得 用户填写本机信息 填写 必要信息后上报区域管理器 注册程序自动探测系统硬件信息 连同用户填写 的信息一同上报区域管理器 用户将本机注册信息发送到区域管理器后 区域 管理器自动将客户端驻留程序应用策略发送给用户 并自动更新 客户端驻留程序功能 客户端驻留程序功能 1 1 进行本机硬件属性信息变化监视 进行本机硬件属性信息变化监视 2 2 进行本机进行本机 IPIP MACMAC 地址变化审计 地址变化审计 3 3 本机系统补丁 软件安装 运行进程状况监测 本机系统补丁 软件安装 运行进程状况监测 4 4 探测本机是否有违规联网行为 在内网管理中心或外网报警平台报警 探测本机是否有违规联网行为 在内网管理中心或外网报警平台报警 5 5 接受接受 WebWeb 管理平台的管理命令 管理平台的管理命令 6 6 阻断本机非法外联行为 阻断本机非法外联行为 7 7 执行执行 WebWeb 管理平台下发的各种策略操作 管理平台下发的各种策略操作 补丁下载服务器 补丁下载服务器 安装在与 Internet 网络连接的机器上 用于实时下载 补丁厂商发布的补丁 管理器主机保护模块 管理器主机保护模块 管理器主机保护模块可根据管理器或其他服务器具 体使用的端口 网络协议 通信 IP 范围和具体的其他网络应用来定义该计算 机使用的安全级较高的网络配置 从而防止该计算机受到恶意的 IP 冲突以及 各种网络 病毒攻击 报警中心模块 报警中心模块 安装在可与区域管理器所在服务器正常通讯的计算机上 本模块可以根据管理员在系统中所配置的报警事件和危险级别提供给管理员包 括电子邮件 信使服务 SNMP Trap 手机短信等多种报警方式 注 区域管理器 Region Manage 区域扫描器模块 Region scan 注 册程序部分系统的参数配置集中体现在网页管理平台操作上 上述三部分功能 参数 功能项数值统一在网页管理平台中进行配置 区域管理器 Region Manage 扫描器模块 Region scan 部分参数在自身软件组件中配置 1 21 2 应用构架应用构架 北信源内网安全及补丁分发管理系统应用于局域网 广域网构架 支持跨 网段 跨地域的内网远程客户端管理及非法移动设备接入检测 网内计算机违 规联网监视 网络安全隔离度监控等 系统应用主要分为以下两种构架 基本构架 对于一般网络 例如 1 个 C 类地址或若干个 C 类地址的局域网 范围 可使用一套本系统软件 集中管理所属区域内的所有设备 扩展构架 对于大规模的多个局域网或者跨地域广域网 包括基于国家 省 市 县等多级管理模式的网络结构 可使用本系统提供的多区域集中管 理构架 即一个或多个网段各拥有一套独立北信源内网安全及补丁分发管理系 统的同时 将本级所有设备信息再转发给上级管理数据库 使得上一级管理人 员对整个网络的设备状况也能够完全掌握 图 1 1 北信源内网安全及补丁分发管理系统应用拓扑 第二章 系统安装第二章 系统安装 2 12 1 安装环境安装环境 条件一 硬件环境条件一 硬件环境 SQLSQL ServerServer 数据库服务器 数据库服务器 用于安装系统管理信息数据库 PC 服务器或更 高档服务器 Pentium 2 4C 以上 CPU 512M 以上内存 区域管理器 区域管理器 用于安装区域管理器程序 百兆或千兆网卡 PC 服务器或更 高档服务器 Pentium 2 4C 以上 CPU 512M 以上内存 扫描器模块 扫描器模块 配置同区域管理器 如单独安装扫描器模块 比较高档的 PC 计算机即可 本系统各程序可安装在同一台计算机上 也可在不同机器上安装 SQL 数据 库 IIS 服务器 区域管理器 扫描器模块等 此时推荐该计算机内存为 1G 以 上 建议将区域管理器 扫描器 网页管理平台安装在同一台机器上 作为监 控服务器 条件二 提供数据库 条件二 提供数据库 IISIIS 服务服务 操作系统操作系统 Windows 2000 或 Windows 2003 企业版操作系统 SQLSQL Server2000Server2000 软件 软件 配备 SQL Server 数据库系统 用于北信源内网安 全及补丁分发管理系统建立管理信息库数据库列表项 IISIIS 服务 服务 配备 IIS 服务器提供 Web 服务 用于安装 Web 网页管理配置平 台 如所装操作系统为 Windows 2003 企业版 则需要按照安装光盘中的 Windows 2003 的 IIS 配置说明进行 IIS 配置 条件三 为本系统提供相应端口条件三 为本系统提供相应端口 北信源内网安全及补丁分发管理系统区域管理器将占用操作系统 88 端口 必须确保安装区域管理器的机器该端口不被占用 区域内的防火墙应打开如下 端口 80 88 2388 2399 8901 8900 161 137 22105 8889 22106 22108 以及 ICMP 协议 同时最好将 DNS 服务迁移至其它服务器 2 22 2 安装注意事项安装注意事项 软件安装时 推荐将区域管理器 扫描器 数据库安装在同一台机器上 以下称为监控服务器 建议按照下面要求进行监控服务器部署 软件安装 客户端注册 2 2 12 2 1 软件安装监控服务器部署注意事项软件安装监控服务器部署注意事项 1 1 监控服务器在网络中放置位置注意点 监控服务器在网络中放置位置注意点 确保该监控服务器能够 ping 通所有被管理网络中任意一台客户端机器 同时被管理客户端可以正常连接服务器的 TCP 的 80 88 两个端口 监控服务器给客户端下达策略的端口为 TCP 端口 22105 监控服务器扫描发现客户端利用以下协议及端口 ICMP 协议 发现 IP 地址存在的其中一种方式 NETBIOS 协议 UDP 端口 137 为了发现机器名和 MAC 地址 SNMP 协议 TCP 端口 161 为了发现智能设备如路由器 交换机等 在本地网络中若划分了 VLAN 或本地网络存在防火墙 请注意上述问 题 2 2 存在网中子网 如经过地址转换 的网络布置点 存在网中子网 如经过地址转换 的网络布置点 对于网络中存在网中网现象 如采用 NAT 地址转化或者代理方式在 10 网络中接入 192 网段 这些子网用户的管理方式如下 情况一 子网有专人管理 并且有独立机房 则应在该子网中安装一套完整 的监控系统 情况二 子网无专人管理 或无独立机房 可采用以下 3 种方式之一处理 1 机器数量少的建议统一更改 IP 为 10 网段 2 由管理员监督子网中所有机器进行注册并保证不得遗漏 3 在该网络中指定一台工作站专门安装区域管理器软件和区域扫描模块 并将区域管理器配置中 SQL 服务器地址指向监控服务器 2 2 22 2 2 软件安装和应用过程中注意事项软件安装和应用过程中注意事项 1 1 必须按照软件安装步骤进行安装 必须按照软件安装步骤进行安装 1 确认本机 IIS 服务正常 2 确认本机 SQL 已正常安装并能正常使用 以本地系统账户方式安装 3 确认目标安装盘剩余空间不小于 10G 4 请务必按照指定顺序安装各个模块 5 请在区域扫描模块所在计算机中安装 SNMP 服务 6 安装完所有系统模块后 请一定按照说明文档进行客户端程序的配置及 分发安装 2 2 监控服务器的安全性问题 监控服务器的安全性问题 管理服务器安装 Windows2000 Server 操作系统 带 IIS MS SQL Server2000 数据库后 一定要确保对 Windows2000 SQL 和 IE 进行重要安全补 丁修补 规范操作系统 数据库的口令和密码设置 保证 SQL IIS 的正常启动 运行 确保本服务器无病毒 同时可配置本服务器网络通讯端口仅打开 80 88 6800 8901 8900 22105 2388 2399 8889 3 3 保护机制的应用 保护机制的应用 对大多数交换机 路由器 非 Windows 设备 需要将其设置为保护状态 避免被阻断导致网络不通 其它如有系统无法识别的重要设备 请在网页管 理平台设备信息查询中手动将其设置为保护状态 2 32 3 系统组件安装系统组件安装 安装顺序依次为 安装顺序依次为 安装 SQL Server 数据库 安装 WinPcap 驱动程序 安装并运行环境初始化程序 初始化数据库 安装网页平台并进行划分区域 配置区域 IP 范围 区域管理器参数 设 备扫描器参数 等 推荐安装在默认路径下 安装区域管理器 推荐安装在默认路径下 通知所有用户下载并运行注册客户端代理探头程序 2 3 12 3 1 安装安装 SQLSQL serverserver 数据库数据库 略 见附录 一 2 3 22 3 2 安装安装 WinPcapWinPcap 驱动模块驱动模块 在安装页面中选择 安装 WinPcap 驱动模块 按钮 单击 下一步 安装 在区域扫描器所在计算机上 2 3 3 安装远程技术支持模块安装远程技术支持模块 该模块是一个程序附属工具 一般不需要安装 在客户端安装程序里带有该 程序 是用户远程桌面管理及控制 有便于管理员帮助终端用户解决问题 2 3 42 3 4 初始化数据库初始化数据库 初始化数据库是在 SQL 数据库中初始化建立 VRVEIS 数据库并生成系统必需 的相关数据表格 在此过程中需要利用本地数据或者调用远程 SQL 数据库 用 户需要根据实际安装情况按以下两种方式进行操作 本地本地 SQLSQL 数据库服务器环境初始化数据库服务器环境初始化 1 环境初始化 建立初始数据库 在 SQL 服务器地址栏中添加本地机器 IP 地址 SQL 用户名 及 SQL 用户 密码 图 2 3 4 1 SQL 数据库服务器环境初始化 2 检查数据库初始化是否成功 图 2 3 4 2 检查数据库初始化 当有如图 初始化数据库结构成功 提示框弹出时 说明已成功创建初 始化数据库 否则会出现如下图所示提示信息 图 2 3 4 3 初始化数据库失败提示信息 如果出现如上图所示提示信息 用户需要检查所填入的 SQL 数据库 IP 地 址 用户名以及用户密码 重新初始化数据库 远程远程 SQLSQL 数据库服务器环境初始化数据库服务器环境初始化 建议非特殊情况不采用远程方式 建议非特殊情况不采用远程方式 1 输入远程数据库信息 配置 SQL 客户端 安装远程数据库需要首先输入 远程数据库 IP 地址 用户名称 用户密码 然后点击 配置 SQL 客户端 出 现如下界面 图 2 3 4 4 配置 SQL 客户端 2 在通用栏中 启用 TCP IP 协议 在通用栏中 选用 TCP IP 协议 并 启用 然后单击别名 进行别名添加设置 图 2 3 4 5 启用所选协议 3 进行客户端别名的添加 单击上图中所圈中的别名 出现如下所示 图 2 3 4 6 对客户端别名的添加 4 进行网络协议的选择和服务器别名的添加 此时用户需要首先选择网 络协议 选定为 TCP IP 服务器别名根据用户需要自由添加 点击确定后完成 数据库初始化 2 3 52 3 5 安装安装 WebWeb 中央管理平台中央管理平台 安装安装 WebWeb 管理平台管理平台 此部分程序要求安装在默认路径下 安装过程中请确保信息填写正确 否 则 Web 服务器可能不能正确访问 SQL Server 数据库 WebWeb 中央管理平台中央管理平台访问访问 Web 管理平台安装以后在 IIS 目录上以虚拟目录的形式存在 虚拟目录名 称为 VRVEIS 用户在安装完成以后 用 http Webhttp Web 服务器域名 服务器域名 IPIP VRVEIS VRVEIS 的形式访问 Web 管理平台主页面 默认用户名为 admin 密码为 123456 以下 的都是用 admin 登陆进行说明的 审计用户名为 audit 默认密码为 123456 详 见附录 六 如果 http Webhttp Web 服务器域名 服务器域名 IPIP VRVEIS VRVEIS 访问无效 则以 http Webhttp Web 服务器域名 服务器域名 IPIP VRVEIS INDEX ASP VRVEIS INDEX ASP 方式登录 Windows2003 下 IIS 配置以及 NTFS 磁盘格式配置注意事项见附录 七 2 3 62 3 6 安装区域管理器安装区域管理器 RegionRegion ManageManage 在 Web 中央管理平台中划分区域及指定区域管理器后 参见 Web 中央管理 平台配置 安装区域管理器组件 安装后进行以下两项配置 SQLSQL 客户端配置客户端配置 如果 区域管理器 没有同 SQL 装在同一台服务器上 需要在如下图所示 窗口中将默认网络库选择为 TCP IP 使客户端能够远程访问数据库 在 区 域管理器 中选择 配置 系统配置 配置 SQL 客户端 也可以通过 Alt S 热键 进入配置 图 2 3 6 1 SQL 常规配置 上述配置完毕以后 需要重新启动 区域管理器 使系统生效 区域管理器系统配置区域管理器系统配置 SQLSQL 服务器配置 服务器配置 进入 系统配置 逐步输入 SQL 服务器 IP 地址 用户 名称及密码 数据库名称 默认为 VRVEIS 单击 确定 完成 SQL 服务器配 置 图 2 3 6 2 区域管理器中 SQL 配置 2 3 72 3 7 配置设备扫描器配置设备扫描器模块模块 RegionRegion scanscan 在配置好 Web 防护系统区域及其区域管理器后做以下步骤 在配置管理里 点击 扫描器配置 可以添加扫描器 配置扫描范围 图 2 3 7 区域扫描器配置 填写相关信息之后重新启动区域管理器 程序会自动缩小到系统托盘 表 示数据库连接成功 程序运行正常 此时通过上图中 扫描器配置 项来查看 扫描器相关运行信息 2 3 82 3 8 安装补丁下载服务器安装补丁下载服务器模块模块 在安装页面中选择 补丁下载服务器安装模块 按钮 输入序列号 SN 单 击 下一步 在桌面生成 DownPatch exe 快捷方式 执行后如下图所示 图 2 3 8 1 补丁下载服务器主界面 点击系统配置系统配置弹出如下图 图 2 3 8 2 补丁下载索引解析界面 添加补丁索引添加补丁索引 从北信源站点获取补丁索引 用以获取补丁厂商发布补丁 信息 通过对补丁索引的解析 下载补丁 按照补丁索引 管理配置要求从补 丁厂商站点获取补丁 补丁下载支持各种方式 下载线程 下载时间 自定义 下载补丁 图 2 3 8 3 补丁下载参数设置 2 3 92 3 9 安装管理器主机保护模块安装管理器主机保护模块 选择安装在安装页面中选择 安装管理器主机保护模块 按钮 输入序列 号 SN 单击 下一步 在桌面生成 nsscenter EXE 快捷方式 执行后在系统 右下角任务栏所示绿色的图标 鼠标右键点击 可以对其进行相应的 设置 具体设置参见附录 四 2 3 102 3 10 安装报警中心模块安装报警中心模块 选择安装在安装页面中选择 安装报警中心模块 按钮 输入序列号 SN 单击 下一步 在桌面生成 nsscenter EXE 快捷方式 具体设置参见附录 五 2 3 112 3 11 客户端注册及下载客户端注册及下载 一 客户端注册原理及注册程序配置 一 客户端注册原理及注册程序配置 客户端注册客户端注册原理原理 执行注册程序 根据要求填入指定信息 系统自动将所添加信息和系统自 动采集获得的设备信息发送到区域管理器 设置为转发模式的将发送到上级区 域管理器 区域管理器将注册信息导入 SQL 数据库保存 在 Web 管理平台中设 置的客户端参数策略将由区域扫描器扫描客户端后 发送给客户端驻留程序保 存执行 该客户端驻留程序驻留在系统内部 以服务的方式实时运行 一旦某个客 户端非法接入互联网或设备改变违规 客户端就向 web 管理平台发送报警数据 同时本机将显示报警信息 修改客户端注册程序配置文件修改客户端注册程序配置文件 在 web 平台中配置管理 注册程序配置 注册程序使用前需要网管人员的 配置 主要是设置区域管理器 IP 地址 注册时客户端信息发向该 IP 地址所在 的区域管理器 如区域管理器为 192 168 0 244 配置如下图所示 图 2 3 11 1 注册程序配置 在这里 可以对注册时需要填加的单位 注册密码进行编辑 如下图所示 图 2 3 11 2 单位和部门添加删除 二 客户端注册方法 二 客户端注册方法 客户端注册方法包括网页静态注册 网页动态注册 手动注册 网关重定 向强制注册等 网页静态注册 网页静态注册 静态注册比较简单 客户端只需要将配置好的注册文件上传到公共主页上 即可 做一个链接 访问主页后手动下载注册 主要讲述动态注册 这种方法适用于网络用户较多的情况 客户端只要访 问网络内公共网站 网页将自动对客户端进行探测 弹出提示窗口 提示用户 进行注册 网页动态注册 网页动态注册 利用网络中已经构建好的内部网站 一方面网络客户端可以通过手动获得 注册程序 也可以通过在主网页上加载弹出页面的方式进行提示性注册 本手 册将主要介绍后一种方式 当网络中客户端计算机访问本网络内部网站时 在该主页代码中加入一段 代码 如下 本代码作用在于首先获得该客户端计算机的 IP 地址 再读取数 据库里面相关 IP 地址的注册和其它相关信息 如果该 IP 地址的设备存在 系 统会根据其是否完成 注册 信任 保护 三项操作进行判断 只要满足 其中任意一条件 都不会提示注册 否则会弹出窗口提示注册 网页加载弹出程序方法如下 编辑已有主页的源程序 在需要加载弹出窗 口主页的源代码中放入以下代码 注意 需要将其中的 http 192 168 0 253 vrveis quest asp 换成 http 安装内网安全管理网页平台计算机 IP vrveis quest asp 即可 此时 当网络中计算机访问该内部主页时 会自动弹出如下提示页面 图 2 3 11 3 网页动态注册 使用网页动态注册时 请管理员通知注册人 在访问本网站时 暂时关闭 网页弹出拦截程序或将本网站添加到不拦截列表中 手动注册 手动注册 除了自动注册设备外 遇到需要手工注册新增设备时 也可通 过 WEB 管理平台中数据查询 设备信息查询中的手动添加设备功能 将新增设 备的具体信息详细登记填写至数据库中 并将其置为保护设备 注意 注意 1 多级级联注册 如果系统为多级级联方式 必须在区域管理器的高级配 置中的 系统配置 策略配置 选项中的级联选项选中 并正确添加上级管 理器的 IP 地址 各级区域会将自己所管辖的区域管理 IP 段上报到上级数据库 中存储 此时 当网络中任意一台下级区域客户端计算机访问主网站的同时 会根 据最上级区域数据库中存储的各级上报 IP 段信息 自动将该客户端注册程序文 件下载路径指向为自己所处 IP 段的本级区域注册器上 做到各个区域的客户端 计算机在访问同一网站进行注册程序下载时 所下载的客户端程序均为自己所 在区域的专用注册程序 如果网络中内部网站 网络管理员可以通知网络内计算机在本系统 Web 管 理平台的登录页面中点击下载注册程序完成系统注册 或者在此页面下按上面 的步骤做好弹出提示窗口方式注册 注册程序界面如下 图 2 3 11 4 客户端注册信息 无论采取哪种方式 在注册成功以后 注册程序除了将主动添加的信息自 动上报以外 还会自动收集其它和系统相关的信息进行上报 客户端和区域管理器连接通讯不正常的情况下 将提示用户 缺省注册成 功 表示客户端探头已经注册完毕 但还没有与区域管理器通讯 当区域扫描 器扫到该计算机的 IP 地址时 才会将添加的信息及系统采集信息上报到区域管 理器 存储在数据库当中 2 本系统使用初期 若要求对下属网络中的计算机信息进行统计 注册 入库 必须在 Web 管理平台中管理器设置项内选中 允许客户端注册 如注册 时需要密码 也需要在 WEB 管理平台中进行设置 如下图所示 图 2 3 11 5 允许客户端注册 图 2 3 11 6 注册信息编辑 网关重定向 网关重定向 作用 注册信息重定向 如果没注册的客户机上网 那么他会把上网的网址重 定向到指定的注册页面上 1 正确安装运行注册认证网关 2 启动注册认证网关进行配置 图 2 3 11 7 注册认证网关配置 3 在系统参数里选择可以监听到整个网络包的网卡 一般这台机器为网关 图 2 3 11 8 系统参数 4 在重定向配置里 填写对未注册 保护和信任的机器的重定向网址 策略配 置为在多长时间内重定向的次数 超过这个次数 将不再重定向 图 2 3 11 9 重定向配置 5 通讯配置 填写区域管理器的 IP 地址 通讯端口 一般为 88 同步信息 间隔为同步区域管理的信息 即发现是否有新注册的信息 本地配置 侦 听端口为 688 图 2 3 11 10 通讯配置 6 配置完后点确认 然后启动注册认证网关 退出重起就可以用了 建议把 这个用在网关处或总的交换机出口处 这样可以捕获所有的信息包 三 三 客户端客户端卸载卸载 网络客户根据情况需要卸载客户端探头程序时 运行安装程序包中的探头 卸载程序 UnInstallEdp exe 如图 图 2 3 11 11 客户端卸载 记录下序列号 并将序列号复制到如下图的第一个方框中 图 2 3 11 12 查看卸载密码 点击查看将会产生一个卸载密码 将其输入卸载密码框中点击卸载即可 图 2 3 11 13 卸载密码 或通过 WEB 管理平台中的点 点控制中的终端卸载终端卸载如图 图 2 3 11 14 终端点对点 终端卸载 第三章第三章 系统系统应用应用 本平台配置主要指北信源内网安全及补丁分发管理系统的网页平台操作 网页平台是整个北信源内网安全及补丁分发管理系统的配置操作核心 整个内 网安全及补丁分发管理系统功能的实现全部在 Web 操作中实现 Web 方式有助 于管理员远程维护系统 进行统一配置和统一管理 掌握对网页平台的功能操 作和配置对使用本系统来提高整个网络的安全性和解决网络管理的效率有着重 要作用 菜单功能模块 系统策略中心 数据查询 终端控制 补丁分发 运维信息 报警事件 级联总控 统计报表 系统维护等模块 3 3 1 1 配置与管理配置与管理 3 1 13 1 1 区域划分区域划分 在网页平台安装完毕之后 访问 http Webhttp Web 服务器域名 服务器域名 IPIP VRVEIS VRVEIS 访 问 WEB 管理平台登录界面 如下所示 图 3 1 1 1 Web 管理登录界面 其中客户端工具下载菜单提供了包括用户注册器下载 补丁检测中心 多用户注册器下载 补丁检测中心 多 路帮助平台 普通工具下载 管理员工具下载 工具上传管理路帮助平台 普通工具下载 管理员工具下载 工具上传管理等功能 用户按 照页面提示操作即可 图 3 1 1 2 客户端工具下载界面 系统默认用户为 adminadmin 密码为 123456123456 登录后建议管理员修改管理员密 码 成功登录后 进入系统的主界面 如下图所示 图 3 1 1 3 Web 管理主界面 在所处的在所处的 IPIP 地址段内 进行区域划地址段内 进行区域划分操作分操作 首先进行区域添加和划分操作 区域划分 区域划分 单击配置管理里的 区域划分与配置 对网络中的客户端 进行区域划分管理 按照提示依次添加区域 增加区域 IP 管理范围 分配 区域管理器 并完成系统组件运行参数配置 具体步骤 具体步骤 区域描述配置栏中填写好一些必要的与区域相关的信息 如区域机构代码 区域名称 负责人姓名等 其他信息可以酌情依照实际用途填写 本区域 IP 划分 根据用户实际需要在下图所示的文本框中填入需要管辖的 IP 地址 其中保留 IP 段为该网段目前没有网络设备存在的网段 如有设备存在 则 会产生报警信息 图 3 1 1 4 区域划分与配置 下级区域划分 下级区域划分 在已有区域页面中点击 增加下级区域增加下级区域 按钮进行下级区 域添加 如集团总部下属总裁办 行政部 财务部等 图 3 1 1 5 增加区域 3 1 23 1 2 区域管理器配置区域管理器配置 区域管理器 区域管理器 区域管理器为系统策略控制及数据接收处理中心 具有控制 完成系统相关的动作行为处理功能 同时与本级数据库系统连接 统一接收注 册程序提供的信息 将用户信息 填写的计算机使用人姓名 联系电话 E mail 等 计算机 IP MAC 地址 硬盘 CPU 内存等其它硬件信息均为自动采 集 存入数据库 根据本区域客户端 IP 管理情况确定对 IP 地址的管理方式 若选择 IP MAC 地址绑定 需要在静态 IP 环境下进行设置 允许客户端控头升级允许客户端控头升级 设置本区域管理器管理范围内的客户端的升级操作 设置设置 vpnvpn 网络虚拟管理器网络虚拟管理器 IPIP 是指添加 VPN 虚拟服务器的 IP 地址 管理器标识管理器标识 是指管理器的标记 当服务器迁移时需要设置与之相同的管 理器标识 管理器可直接通信网段管理器可直接通信网段 在管理多个独立子网时 该配置填写区域管理器服 务器可直接通信的地址 允许客户端注册允许客户端注册 是指任意一台在区域范围内的客户端都可以在服务器上 注册 管理器配置同步管理器配置同步 当选中 下级区域 时下级区域的配置应该和上级区域 管理器的配置相同 当选中 全部区域 时是指下面的任意级联区域都要和区 域管理器的配置同步 图 3 1 2 1 区域管理器参数设置 区域管理器系统配置 区域管理器系统配置 当设置完当前页面这时我们可以配置刚才安装好的 内网安全管理管理器去桌面双击 内网安全管理管理器内网安全管理管理器 快捷方式弹出如下界 面 图 3 1 2 2 区域管理器系统配置 先进行先进行 SQLSQL 服务器配置 服务器配置 进入 系统配置系统配置 逐步输入 SQL 服务器 IP 地 址 用户名称及密码 数据库名称 默认为 VRVEIS 单击 确定 完成 SQL 服务器配置 图 3 1 2 3 SQL 服务器配置 管理器配置 管理器配置 本软件默认机器操作系统 88 端口 若其它应用程序占用该端 口 将自动更改为 188 如果区域管理器应用于多级管理 每级都有独立的 SQL server 和相应的内 网安全管理及补丁自动分发管理平台 的级联构架体系 其上级还有区域管理 器的情况下 当前区域管理器需要将所有信息上报到上级管理器 区域管理器支持多级级联 如国家 省 市 县多级规模网络管理构架 下属区域管理器将其所有计算机报警信息转报到上级数据库 注 需要把 上报给上级管理器 上 输入上级管理器地址 升级配置 用于配置区域管理器的自动升级 升级服务器地址为上级区域 管理器 IP 区域管理器配置区域管理器配置 高级设置高级设置 系统配置 系统配置 锁定下级策略锁定下级策略是指下级不能够更改策略信息 上报给上级区域管理器上报给上级区域管理器是指下级的策略 阻断 违规信息上报给上级区域 管理器 在此处打上 添加上上级管理器地址 配置级联 图 3 1 2 4 区域管理器 阻断配置 阻断配置 图 3 1 2 5 阻断配置 探头阻断 目前常用的阻断方式 由扫描器调度探头完成阻断任务 只要 保证一个网段 VLAN 中有一台存活的已注册计算机 就可以实现阻断 防火墙阻断 该方式必须与防火墙结合使用 需要设置必要的防火墙规则 集和安全认证 与其它厂商防火墙不兼容 报警过滤 报警过滤 本软件系统提供对多种违规变化行为的报警 非法外联 设备 未注册 IP 绑定变化 设备变化 探头被卸载 病毒行为报警等 本地报警种类过滤 仅对本地网络中区域管理器管理范围内的违规变化行 为进行报警显示 用户根据自身管理要求进行筛选 图 3 1 2 6 报警种类过滤 策略配置 策略配置 系统支持对各种文件的分发 在 Web 中央管理平台进行软件分 发操作前 必须对本项进行配置 默认将分发文件放在 C VRV RegionManage DistributeC VRV RegionManage Distribute 目录下 管理员可 根据需要自行更改路径 同时 修改本路径后 补丁下载存放的位置也会相应 改变 图 3 1 2 7 策略配置 补丁下载 补丁下载 将待分发操作系统补丁放置在设置好的补丁路径的目录下 在 Web 中央管理平台中进行分发操作 管理员通过对参数项的选择进行下载配置 级联 IP 提供对上一级补丁的下 载获取 图 3 1 2 8 补丁下载 其他配置 其他配置 主要是硬件网关重定向配置 此功能必须配合硬件设备使用 图 3 1 2 9 其他配置 3 1 33 1 3 扫描器配置扫描器配置 点击增加扫描器增加扫描器设置扫描器扫描网络 IP 范围 机构代码机构代码 一般为阿拉伯数字 由用户单位根据管理要求进行设定 扫描间隔扫描间隔 根据管理 IP 范围大小进行设置 建议设置为 10 分钟 图 3 1 3 1 区域扫描器参数设置 注注 扫描器配合区域管理器进行工作 扫描器的扫描范围不可能超过它的区 域管理器管理的 IP 范围 扫描器除了指定扫描的 IP 范围外还能够指定排除不扫描的地址范围 如有 某些网段不需要扫描器发现设备 为缩短扫描时间 可在扫描器设置中增加禁 止扫描地址段的设置 扫描器高级配置扫描器高级配置 图 3 1 3 2 扫描器配置 系统配置 扫描器高级配置扫描器高级配置 系统配置 系统配置 扫描频率设定 用户可以根据网络中网络带宽占用情况 灵活设置扫描频 率 同样可以选择是否 使用 SNMP 扫描 扫描方式 如果选择 使用 SNMP 扫 描 则系统能够自动对网络设备 例如交换机 路由器 网络打印机等 进行 扫描 并自动登记到设备列表库中 阻断选项 如果用户选择 扫描器阻断 此时可采取 轻量级阻断 和 重量级阻断 两种方式 轻量级阻断 轻量级阻断 阻断计算机向网络中广播一个 ARP 请求报文 将被阻断计算 机的 IP 地址及对应的假 MAC 地址发送给网络内所有的计算机 每台计算机收 到请求后便会对本地的 ARP 缓存进行更新 将收到的请求中的 IP 和对应的假 MAC 地址存储在 ARP 缓存中 这样对于网络中的计算机看来 被阻断计算机 的 IP 地址没有变化 而它的 MAC 地址已经不是原来那个了 由于局域网的网 络通信不是根据 IP 地址进行 而是按照 MAC 地址进行传输 因此 被阻断计 算机便接收不到网络中计算机 不含阻断计算机 传送过来的信息 重量级阻断 重量级阻断 阻断计算机冒充网络中的其他计算机 本网段 1 255 给被阻 断计算机发送定向 ARP 应答报文 被阻断计算机收到请求后便会对本地的 ARP 缓存进行更新 将收到的请求中的 IP 和对应的假 MAC 地址存储在 ARP 缓存中 这样对于被阻断计算机看来 网络中的计算机的 IP 地址没有变化 而 它们的 MAC 地址已经不是原来那个了 因此 被阻断计算机便不能向网络中 的计算机 不含阻断计算机 传送信息 扫描器高级配置扫描器高级配置 交换机扫描配置 交换机扫描配置 交换机扫描用于扫描发现交换机 进行拓扑发现 Snmp 团体名 根据拓扑 管理需要输入网络中所有网络设备的 snmp 读团体名用 隔开 图 3 1 3 3 交换机扫描配置 如上图 配置扫描间隔时间一般设成 5 10 分钟 IP 范围设置需要扫描的 ip 段 snmp 读团体名称是根据交换机口令设置的 该功能的启用需要下载交换机拓扑模块 安装后进行网络拓扑发现 进入 web 管理平台主页面 运维监控 菜单 启用网络拓扑图 安装交换机拓扑模 块后进行网络拓扑发现 3 1 43 1 4 注册程序配置注册程序配置 控制页面如下 管理员可以通过设置来按照需求来配置客户端注册程序 让用 户填入相应的信息 方便以后管理 其中的项有启用 必选 还可以对输入数 据进行控制 后面的功能设置必须对每个功能模块启用 图 3 1 4 1 注册程序配置 选择编辑单位编辑单位 部门部门弹出如下图 图 3 1 4 2 编辑单位 部门 先选择修改单位修改单位弹出如下窗口 图 3 1 4 3 修改单位 填写单位名称和单位备注消息点击添加添加 修改单位 修改单位 最后点击保存修改保存修改关闭窗口返回上级窗口如下图 图 3 1 4 4 保存修改 可以看到刚才添加的单位 在此输入每个单位所对应的部门 部门备注信息 选择保存修改保存修改可以完成单位 和部门的配置 点击设置注册密码设置注册密码弹出如下窗体原注册密码为空 设置注册密码是为了防止新接入设备非法进行注册 图 3 1 4 5 直接添加新注册密码保存修改保存修改就可以 注册单位与注册部门产生联动注册单位与注册部门产生联动 当对单位和注册部门设置为必填必填和仅选择仅选择 这时客户端注册程序 对单位和部门的填写只能按照管理员的设置来选择 不能 手动填写 使用静默注册 使用静默注册 以上的设置都不生效这时客户端注册程序只需选择下载运 行就可以 注册程序会自己上报终端的计算机名和 IP 地址 MAC 地址 选择保存修改保存修改点击打包注册程序打包注册程序这时完成客户端注册程序配置 3 1 53 1 5 注册部门配置与管理注册部门配置与管理 新增单位 该功能作用基本与 从系统注册单位导入 相似 不同的是 它可以加入备注信息 图 3 1 5 1 再新增单位 具体方法 选择新增单位新增单位弹出如下窗体 图 3 1 5 2 再新增单位 从已注册的单位选择一个单位然后进行单位描述点击添加 添加 后可以在左边 看到新增的单位之后选择新增