Deep Security安装实施方案

DeepSecurity安装实施方案2014年4月

目录1 概述 42 环境准备 42.1 IP地址分配 42.2 网络访问 42.3 部署结构图 42.4 部署独立组件虚拟机需求 52.5 程序准备 63 安装步骤说明 73.1 部署vShield 73.1.1 资源表 73.1.2 部署后配置 73.1.3 部署Endpoint到ESXi 93.2 安装SQL数据库 123.2.1 资源表 123.2.2 安装步骤 123.2.3 安装后配置 123.3 安装DSM 153.3.1 资源表 153.3.2 安装步骤 163.3.3 安装后配置 163.4 部署DS驱动到ESXi 323.4.1 部署DS驱动到ESXi主机（维护模式） 323.5 部署DSVA到ESXi主机 343.5.1 资源表 343.5.2 部署DSVA 343.5.3 配置DSVA项 373.5.4 激活DSVA组件 413.6 部署VMwaretools（重启VM） 43

概述本手册适用于DeepSecurity9.0的实施，根据现有环境情况和虚拟化环境规划。环境准备IP地址分配网络访问DSM同时部署DSR更新组建，需要申请因特网访问权限。其他无防火墙限制，因此不需要内部网络访问申请。部署结构图部署2台DSM，1台SQLServer2008数据库。部署独立组件虚拟机需求部署范围需求数量用途系统及应用程序需求硬件需求及资源备注电信主环境VM虚拟机2趋势DSM管理端，双机部署VM虚拟主机(Windows2008x64)CPU:2.0G*2/内存：8G/硬盘空间：80G提前申请共享存储VM虚拟机1DSM后台SQL数据库VM虚拟主机(Windows2008x64)+SQL2008R2CPU:2.0G*2/内存：8G/硬盘空间：80G提前申请共享存储vShieldEndpointManager1VMWareVShieldManager服务器NA导入OVF模板共享存储DSVAXX套DSVA无代理防护组件NAESXi本地磁盘空间大于25G本地磁盘，避免自动漂移程序准备以下程序由趋势科技提供：序号程序名版本语言备注1DeepSecurity9.0SP1中文版2vShieldManager5.1中文版3DeepSecurity序列号9.0SP1中文版

安装步骤说明当申请的虚拟机到位时可以进行如下步骤进行安装部署vShield资源表序号资源名称资源内容备注1操作系统DSM准备的服务器Windows2008R264位需求参见服务器资源详细章节2安装程序vShieldManager5.1的OVA模版文件3密码vShieldManager的密码参见密码表4IP地址IP：/5/6MASK：Gatwey：54DNS：1DNS：25主机和存储部署在资源占用较小的ESXi主机和存储中6操作人员Vmware管理员通过VphereClient完成操作部署后配置IE登录VshieldManager，以及5/6控制台用户名密码见密码表配置vcenter信息进行同步vShield服务输入3，需要VMware管理员输入用户名密码弹出的安全警告点击“是”加载vCenter完毕如下部署Endpoint到ESXiVMwareVshieldManager部署Endpoint到ESXiServer访问管理控制台/5用户名：admin密码：default展开【数据中心】到新增加的ESXiServer，点中后，右侧Summery显示vShieldEndpoint安装选项，点击右侧的【Install】刷新到安装界面，直接点击【Install】按钮。安装过程，页面将自动刷新，不要参与处理安装过程将会有添加端口组合防火墙端口的信息在任务窗口显示安装成功后后再次刷新的【Summary】显示如下图。

安装SQL数据库资源表序号资源名称资源内容备注1操作系统DSM准备的服务器Windows2008R264位，需求参见服务器资源详细章节2安装程序MicrosoftSQL2008R264位3IP地址IP：MASK：Gatwey：54DNS：1DNS：24密码Sa账户预设的密码，参见密码表安装步骤安装数据库到所分配的主机中安装后配置在开始菜单中找到SQLServerManagementStudio，打开打开SQL连接服务器界面，在服务器名称处输入点“.”或输入“”，身份验证选择“SqlServer身份验证”，并输入sa账户和密码，密码详细见密码表。点击连接进入在打开的管理界面，右键单击“数据库”，选择“新建数据库”新建数据库页面，在数据库名称处填写大写的“DSM”并确定创建完毕后会在数据库中显示DSM数据库名称安装DSM资源表序号资源名称资源内容备注1操作系统DSM准备的服务器Windows2008R264位，需求参见服务器资源详细章节2安装程序DeepSecurity9.0SP1程序3IP地址IP：/2MASK：Gatwey：54DNS：1DNS：25密码DSM管理账户masteradmin预设的密码数据库Sa账户的密码vShieldManager用户名密码vCenter管理员账户密码详细参见密码表安装步骤安装后配置添加vCenter到DSM在IE地址栏输入:4119点击“继续浏览此网站”并输入用户名：masteradmin密码见密码表进入欢迎界面，取消勾选“Showthisagainafterthenextsign-in”，并点击close关闭该窗口打开控制台页面如下显示选择“Computers”右键单击左侧栏的“Computers”选择“AddVMwarevCenter”，添加vCenter弹出提示狂输入vCenter信息，本次仅注册一厂主环境和二厂主环境，逐一添加，重复第5步开始。并点击Next继续ServerAddress=3（10）ServerPort=443Name=默认Description=FAW-VWUsername=vCenter管理员账户，vmware管理员输入Password=vCenter管理员密码，vmware管理员输入弹出提示匡输入vShieldManager信息，并Next继续 ManagerAddress=（） ManagerPort=443 Username=admin Password=default验证vCenter&vShieldManager可以连接过程确认链接信息点击“Accept”继续开始注册添加完毕提示发现的主机及虚拟机信息，点击Finish连接成功提示，直接close注册完毕后控制台界面如下更新配置手动更新点击“Administration”管理，并选择“Updates”在安全更新选项卡最下方点击“DownloadSecurityUpdates”弹出更新向导，点击“finish”完成，并开始更新注意：手册更新过程时间较长，约30分钟以上，此时保留该页面可以进行其他操作更新完毕后会显示所有更新情况信息任务更新在“Administration”“ScheduledTasks”中点击“New”弹出的向导页面，选择type中“DownloadSecurityUpdates”，“Daily”并点击Next继续StartTime选择00:30执行，EveryDay应用主机为AllComputers创建完成信息确认，并点击Finish创建完成后如下显示新建的任务策略模版设置在Policies中选择Policies，并选择New创建新策略NewPolicy策略名称输入“电信集团虚拟化防御策略”，在Inhritfrom中选择DeepSecurity根路径，并next继续默认选择，点击next继续选择要部署的主机，并next继续初期部署仅选择“MalwareScan”、“IntrusionPreventionRules”共3个模块，避免因防火墙及日志审计等引起虚拟机异常，部署稳定后逐一测试和条件开启。确认开启的模块，点击Finish创建完毕点击close打开策略详细，开始配置，开启“MalwareScan”、“IntrusionPreventionRules”的两个，并保存部署DS驱动到ESXi部署DS驱动到ESXi主机（维护模式）注意：提前完成vMontion要部署的ESXi主机上的所有虚拟机到其他主机。登陆管理控制台，:4119用户名：masteradmin密码：见密码表右键单击要部署的ESXiServer，【操作】【部署ESX…】安装向导，点击【继续】安装过程ESXServer将进入维护模式，确认上面的VM都已经迁移到其他ESX主机后点击【继续】部署过程在vshareclient看到状态如下安装完毕后，要选【不，稍后部署。】并点击【继续】完成驱动部署部署完成后，会在控制台显示【已准备】部署DSVA到ESXi主机资源表序号资源名称资源内容备注1本地存储ESXi主机本地存储大于20G2IP地址根据IP地址对照表，对应ESXi主机VLANID部署DSVA注意：确认要部署的ESXi主机本地存储有20G以上空间，确认DSVA的VLANID。登陆DSM控制台，右键单击新的ESXiServer，【操作】【部署设备…】部署向导开始部署信息填写：【设备名称】规则为DSVA+ESXServer名称，如VMMSDSVA1【数据存储】务必存储到datastore上，即部署到ESXiServer本机磁盘中，避免PDM自动vMonitonDSVA。【文件夹】选择当前部署的vCenter名称；【管理网络】选择虚拟交换机的VLAN(提前确认)填写【设备主机名】与上一步设置的【设备名称】相同。在TCP/IP中，根据已分配IP地址填写。点击【继续】存储虚拟磁盘分配，选择【完整配置格式】。点击【完成】部署生成设备软件包，无需参与SSL证书许可，点击【接受】如果IP地址已经设置并能正常通信点击立即激活，否则选择【不，稍后激活】并点击【关闭】配置DSVA项VC中网络配置使用vSphereClient登陆vCenter，右键单击已部署的DSVA虚拟机，点击【编辑设置】在打开的虚拟机属性中找到“网络适配器1”，点中后在右侧“网络标签”下拉选择虚拟交换机，【确定】完成配置虚拟机中配置使用vSphereClient打开DSVA的控制台按键盘“F2”进入配置项，输入的用户名和密码都是：dsva键盘向下选择“Con