产品安装调试实施指导

网神SecFox・LAS・BH运维审计系统

产品安装调试实行方案

一布署构造

网神SecFox-LAS-BH运维审计系统提供了灵活的布署方式，既可以采用串

连模式，也可以采用单臂模式接入到企业内部网络中，可按照企业网络架构的实

际状况冠活接入。

采用串连模式布署时，网神SecFox-LAS-BH运维审计系统具有一定程度上

的网络控制的功能，可提高关键服务器访问的安全性；

采用单臂旁路模式布署时，不变化网络拓扑，安装调试过程简朴，仅需要为

系统分派一种IP,并俣证该地址与需要运维的主机IP可达，协议可访问。

维护人员维护被管服务器或者网络设备时.，首先以WEB方式登录堡垒主机，

然后通过堡垒主机上展现的访问资源列表直接访问授权资源。

不管运维人员以何种方式（局域网直连、VPN、ADSL拨号等）访问网神

SecFox-LAS-BH运维审计系统，只要保证运维工作站与网神SccFox-LAS-BH运

维审计系统路由可达即可。

网神SecFox-LAS-BH运维审计系统布署采在分区域、分安全域布署，根据

实际网络环境，每个安全域布署一台（套），采用“分布式布署，集中式管理”

模式，即“物理分布，逻辑集中”。

1.1区域内布署

网神SecFox-LAS-BH运维审计系统单臂布署逻辑图:

网神

AIXWindowsLinux安全设备

内网用户

192.168.1.X

如图，网神SecFox-LAS-BH运维审计系统串联布署在被管服务器区的访问

途径上，运维区域和被管服务器资源区不在同一种网络区域内，互相隔离；被管

资源通过互换机集中连接内控堡垒主机口勺管理口，管理运维人员通过访问网神

SecFox-LAS-BH运维审计系统的运维管理地址，对被管资源进行运维管理。

1.2分布式布署

网神SccFox-LAS-BH运维审计系统分布布署图:

如图，以IDC机房运维为例，在分布在各地的IDC机房内视其网络安全域

划分状况布署网神SecFox-LAS-BH运维审计系统。运维人员只需登陆被管资源

所属的网神SecFox-LAS-BH运维审计系统即可对该资源进行运维操作。

二上线配置

在地址栏上输入系统URL。例如：s:〃ip

系统默认的超级管理员口勺帐号:admin,密码:admin123。网神SecFox-LAS-BH

运维审计系统启用后，应及时修改口令，以免被非法登录。

2.1上线前准备

需要在维护工作站上安装如下软件、工具:

安装SSO工具

使用SSO安装程序安装单点登录工具。

1用EM

储包Jti51电ww笈再*If1T"也在揩寰vmtfi许姗密1和钺置1

■我31分柯a*Q皿分u“o<wo）崎•c5®«/EMWFR

>%*溯窜西源名体惭“AMM黄源ae

*东制8

VfSftSS■•b应闲■叁0

(197IM11)

>n«

算12东・页上一?5T-贡聿克叵）出"甫”|国

*»®as

4

•。城曼城*

・LHEMI文

■"山必内工•

•口皿主机

■i主纨

■n««

安装成功后可以在“控制面板”中的“添加、删除程序”中显示:

RICOHR5U23OMediaDriverver,2.06.02.02RICOH

■SecurityUpdateforMicrosoftVisualBasicforApplicati...

0SSHSecureShell

j"Zssosetup3.0,6.1

©SystemUpdateLenovo

QThinkPadBluetoothwithEnhancedDataRateSoftwareBroadco

回ThinkPadFullScreenMagnifier

黑ThinkPadModemAdapterConexan

卜ThinkPadPowerManagementDriver

与ThinkPadUltraNavUtilityLenovo

照ThinkPadWirelessLANAdapterSoftwareREALTEK

©ThinkPad电源莒理器

。ThinkVantageAccessConnectionsLenovo

QThinkVantageActiveProtectionSystemLenovo

______________________川j►

产品版本：

注意：如维护工作站日勺浏览器版本为IE8.0,需要在其“Internet选项”中把网神

SecFox-LAS-BH运维审计系统WEB访问地址加入“可信站点”，并把“信任站

点”的安全级别设为“低级”。

Internet选项

常规安全隐私I内容连接程序高级

选择要查看的区域或更改安全设置。

Inttrntt本地可信站点受限站点

Intranet

.可信站在

渴、6)

，舞麴解黯繁的计算机或

该区域中有网站。

该区域的安全级别8)

自

定决t

自

定义

密

要

重

击

“

二S8i

黑

用

清

存

要.

，队级别”

启用保护模式要求重新启动InternetExplorer)(P)

【自定义级别©…:［默认级别而~1

将所有丝域重建为默认级别(x)

确定取消』用®

2.2建立目录树及主帐号（自然人）创立

主帐号创立由布署人员配合安全管理员，采用超级顾客添加不一样顾客（自

然人

“目录树”实行提议

目录树设计如下:

»资源分组信息

:〉所有资源

»未分组

▼服务器类

7明棚务器

&Unix服务器

华发布服务器

修路由器类

▼交换机类

仁核心交换机

a楼层交换机

结合实际环境，将目录树按照登录人员和资源分别进行分组。

服务器类：所有服务器主机加入该组。

Win服务器：所有Windows主机加入该组。

Unix服务器：所有Unix数据库资源加入改组。

公布服务器：公布服务器加入改组。

互换机组：所有互换机类网络设备加入该组。

关键互换机：所有关键互换机加入该组。

楼层互换机：所有楼层互换机加入该组。

2.3“主账号”实行提议

结合实际状况，给每个使用人员分派一种独自的“主账号”，主账号1D（即

登录网神SecFox-LAS-BH运维审计系统账号）为人员姓全拼+名字首字母，新建

时所有配置成初始化口令，初始化口令为“123123”。这样，使用人员初次登录

网神SecFox-LAS-BH运维审计系统时必须进行密码重置）。

2.4资源及资源从帐号创立

资源及资源从帐号创立由布署人员配合系统管理员，采用系统管理员添加被

管资源及被管资源上H勺从帐号。

“资源创立”实行提议

分步分批加入被管资源，前期先把“网络设备”加入。稳定运行后再分步加

入其他所有资源。

II禽佬量IRTIfIJWWWT审”5，IIEWIrWftIWt»ffI美干*品

•»Imr*口Kin««]Q»

>

MM»K«MSB段依修岭

“心□Hrt冈中卫士人所制利*10H3.1S«应四户/什-・**

>naiisiUKtee11q安MK&B尸侵**

■b”“建心■员上一a下一员余三叵］方横।北贡

m

*saae

•最

•《•士优

■

■主爪

■（皿）

•ntMK（*4i）

•»•<*«）

■印（得■jD

・・・、自用

•普冉便网⑦走牝呆

“资源从帐号创立”实行提议

根据调研表确定所有设备均有哪些从帐号，可以以什么协议登录。调研清晰

后对资源从帐号进行添加。

2.5管理角色的创立

由布署人员根据顾客实际环境与有关管理制度在目录树对应分组中建立多

种角色，例如系统管理员、资源管理员、审计员等多种角色。将新建的角色授予

自然人，完毕内部授权过程。授权后，自然人只具有角色所在分组的分组管理权

限，满足各部门资源由各部门自行管理内规定。

“角色”实行提议

调研所有使用人员日勺内部使用权限，然