《北信源内网安全管理系统(服务器版)安装说明》由会员分享,可在线阅读,更多相关《北信源内网安全管理系统(服务器版)安装说明(21页珍藏版)》请在金锄头文库上搜索。
1、快速阅读指南快速阅读指南 1.本使用手册为北信源终端安全管理系列产品全功能用户手册, 请按照所购 买产品对应相关的产品说明进行配置使用(该手册第一、二、三章为终端安全管 理产品共有部分, 凡购买任何一款终端安全管理产品都应首先详细阅读此三个章 节) 。 2.详细阅读本软件组件功能、组成、作用、应用构架,确切了解本软件的系 统应用。 3.安装准备软件环境:Microsoft SQL Server2000、Windows 2000 Server、 Internet 服务管理器。SQL 安装注意事项请参照第二章 2-3-1 所示。建议将数 据库管理系统、区域管理器、WEB 管理平台安装在同一服务器上
2、,确认区域管理 器所在机器的 88 端口不被占用 (即非主域控制器) ; 防火墙应允许打开 88, 2388, 2399,22105,8900,8901,22106,22108,8889 端口。 4.按步骤安装各组件后,通过 http:/*.*.*.*/vrveis 登录 Web 管理平台, 首先对 Web 管理平台进行如下配置:添加区域划分该区域 IP 范围指定区域 管理器指定区域扫描器。 5.双击屏幕右下角区域管理器、单击主机保护进行通讯参数配置。 6.在 VRVVRVEISdownload 目 录 中 , 使 用 RegTools.exe 工 具 修 改 DeviceRegist.exe
3、 文件中的本地区域管理器 IP,将修改后的注册程序 DeviceRegist.exe 放在机构网站上进行静态网页注册,或者在机构网站上加载 动态网页检测注册脚本语句,进行动态设备注册。 7.系统升级:联系北信源公司获取最新的软件组件升级包,确保 Web 管理平 台、区域管理器、客户端注册程序等组件的升级。 8.如果本说明书中的插图与实际应用的产品有出入,以实际产品为主。 特别提示特别提示:默认管理员用户默认管理员用户:adminadmin,密码密码:123456123456;系统指定审计用户名系统指定审计用户名: audit,audit,密码:密码:123456123456 请注意修改。请注意
4、修改。 前前言言 目前国内政府机关、军队、公安、保密部门、科研机构、金融、证券等企事业单位中的 网络都具有相当的规模, 网络中大量使用计算机及其它网络设备。 这些设备带来高效应用的 同时, 由于自身确实存在着安全风险隐患, 应该采用相关网络安全技术手段来保障整个网络 运行的安全。 目前单位自身内部网络分为以下几种类型: 1 1、 办公网:办公网:企事业单位中的普通办公网络、公司企业网,它们通过有限出口接企事业单位中的普通办公网络、公司企业网,它们通过有限出口接入入 InternetInternet 网络;网络; 2 2、 内部专网内部专网:政府办公网政府办公网、金融运营网及各系统重要的实时网络
5、金融运营网及各系统重要的实时网络,该种网络一般为内该种网络一般为内 部专用网络,此类网络同外部网络采取物理隔离的方式实现相互独立部专用网络,此类网络同外部网络采取物理隔离的方式实现相互独立; 3 3、保密网:、保密网:政府机关、军队、公安、保密部门的内部机密安全网络,一般采用专门的政府机关、军队、公安、保密部门的内部机密安全网络,一般采用专门的 网络通道,要求具有绝对的内网隔离度。网络通道,要求具有绝对的内网隔离度。 尽管以上大多数用户采用了专门的网络通道技术、物理隔离技术、安全网段划分、安全 防护设施(如防火墙、入侵检测、漏洞扫描)等方式保证自己的网络安全,但是,对类似下 面的安全问题仍然无
6、法做到真正意义上的解决: 1 1、 如何发现终端设备的系统漏洞并自动分发补丁;如何发现终端设备的系统漏洞并自动分发补丁; 2 2、 如何防范移动设备随意接入内网;如何防范移动设备随意接入内网; 3 3、 如何防范内网设备违规进入外网;如何防范内网设备违规进入外网; 4 4、 如何管理终端资产并真正控制、管理终端设备的运行;如何管理终端资产并真正控制、管理终端设备的运行; 5 5、 如何制订整体安全策略并全网执行;如何制订整体安全策略并全网执行; 6 6、 如何管理控制终端设备的数据流;如何管理控制终端设备的数据流; 7、 平台、安全平台等诸多设备如何衔接并统一管理。平台、安全平台等诸多设备如何
7、衔接并统一管理。 北信源终端安全管理产品 VRV EDP(Enterprise desk planning)能够完全解决上述网 络安全管理工作中遇到的常见问题。VRV EDP 系统强化对网络计算机终端的控制,管理内容 包括:资源资产、终端安全策略、桌面风险审计、补丁检测分发、终端运行状态监控以及终 端行为审计等。北信源终端安全管理产品提供了防火墙、IDS、防病毒系统、专业网管软件 所不能提供的防护功能,对它们管理的盲区进行监控,成为一个实时的安全监控系统,并能 够同其它网络安全设备或网络安全系统进行安全集成和报警联动。 北信源终端安全管理产品针对网络管理工作中遇到的实际管理需求, 进行网络安全
8、资源 规划,如防止移动设备非法接入内部网络、IP 资源分配管理、静态 IP 同 MAC 地址的绑定、 提供设备资源登记及硬件设备(硬盘、CPU、内存等)变化报警、进行内部网络连接阻断等 功能。 同时,为有效解决网络中计算机非法接入和非法外联问题, VRV EDP 系统提供实时监 控的强大功能,即实时报警以及实时切断非法计算机同内网的连接。 北信源终端安全管理产品通过 Web 方式对整个系统进行应用策略配置, 管理网络和查询 报警数据,方便用户操作,有效防范不安全因素对内部网络构成的威胁,真正做到内部网络 的完全安全管理。 北信源终端安全管理产品支持基于局域网、 广域网的国家省市县多级级联管理模
9、 式。 第一章产品介绍第一章产品介绍 1-11-1 产品构架产品构架 北信源终端安全管理产品由 8 部分组成:WinPcap 程序、SQL Server 管理信息库(安装 包:环境初始化程序) 、Web 中央管理配置平台(安装包:网页管理平台) 、区域管理器(安 装包:Region Manage,原区域扫描器已作为模块集成到区域管理器)、客户端注册程序(安 装包:注册程序) 、补丁下载服务器、管理器主机保护模块、报警中心模块。 环境初始化程序:环境初始化程序:SQL Server 管理信息库,建立北信源终端安全管理产品的初始化数 据库。初始化的信息包括:网络客户端设备属性信息、区域管理器信息、
10、设备扫描器信息、 区域管理范围信息、注册(未注册)机器信息、设备属性变化信息、报警信息等。扫描器将 设备最新状态信息同数据库中原有信息进行遍历搜索对比,根据规则要求在管理平台上报 警。 W Webeb 管理平台:管理平台:Web 中央管理配置平台,本系统的管理配置中心。包括区域管理器、扫 描器、 注册客户端的功能参数设定, 网络设备信息发现、 系统应用策略制订、 报警信息显示、 定义任务功能制订、系统用户维护等配置操作。 RegionRegion ManageManage:区域管理器,系统数据处理中心,负责与管理信息数据库通讯扫描终 端设备、控制服务器、客户端之间的信息、指令的下达、接受。比如
11、:接收注册程序提供的 用户信息, 将用户信息 (用户填写的物理信息和系统自动采集的硬件信息) 并行存入数据库; 接受来自控制台的命令操作,发送到客户端、扫描器执行。 对于存在多级管理要求的广域网, 网络中可以存在多个区域管理器, 实现系统数据逐级 上报(转发) ,对网络终端的多级管理。 区域管理器内置网络扫描器, 扫描器用来发现网络的终端设备。 将发现的设备信息交由 区域管理器处理。 、设备最新状态信息报送至区域管理器,由区域管理器处理后,同数据库 中原有信息进行遍历搜索对比,根据管理规则在管理平台上报警。 扫描器配合区域管理器进行工作, 可以在分级模式下使用。 扫描器只依据 Web 管理平台
12、 中配置的工作范围进行扫描,如果终端 IP 超越其范围,将不负责执行操作。 WinPcapWinPcap 程序:程序:嗅探驱动软件,监听共享网络上传送的数据。 客户端注册程序客户端注册程序:将接收并执行服务器下发的指令。该程序可以在“工具下载-用户注 册器下载”处下载。访问指定网站自动获得,用户填写必要的信息后,运行该程序,区域管 理器将收到注册终端的相关信息,同时终端可以接收、执行各种下发的指令。注册程序自动 探测系统硬件信息, 连同用户填写的信息一同上报区域管理器。 用户将本机注册信息发送到 区域管理器后,区域管理器自动将客户端驻留程序应用策略发送给用户,并自动更新。 客户端驻留程序功能:
13、客户端驻留程序功能: 1.1. 进行本机硬件属性信息变化监视;进行本机硬件属性信息变化监视; 2.2. 进行本机进行本机 IPIP、MACMAC 地址变化审计;地址变化审计; 3.3. 本机系统补丁、软件安装、运行进程状况监测;本机系统补丁、软件安装、运行进程状况监测; 4.4. 探测本机是否有违规联网行为,在内网管理中心或外网报警平台报警;探测本机是否有违规联网行为,在内网管理中心或外网报警平台报警; 5.5. 接受接受 WebWeb 管理平台的管理命令;管理平台的管理命令; 6.6. 阻断本机非法外联行为;阻断本机非法外联行为; 7. 执行执行 WebWeb 管理平台下发的各种策略操作管理
14、平台下发的各种策略操作。 补丁下载服务器补丁下载服务器: 安装在与 Internet 网络连接的机器上, 用于实时下载补丁厂商发布 的补丁。 管理器主机保护模块:管理器主机保护模块:管理器主机保护模块可根据管理器或其他服务器具体使用的端 口、 网络协议、 通信 IP 范围和具体的其他网络应用来定义该计算机使用的安全级较高的网 络配置,从而防止该计算机受到恶意的 IP 冲突以及各种网络、病毒攻击。 报警中心模块:报警中心模块:安装在可与区域管理器所在服务器正常通讯的计算机上,本模块可以 根据管理员在系统中所配置的报警事件和危险级别提供给管理员包括电子邮件、 信使服务、 SNMP Trap、手机短
15、信等多种报警方式。 注:区域管理器(Region Manage) 、区域扫描器模块(Region scan) 、注册程序部分 系统的参数配置集中体现在网页管理平台操作上,上述三部分功能参数、功能项数值统一 在网页管理平台中进行配置。区域管理器(Region Manage) 、扫描器模块(Region scan) 部分参数在自身程序组件中配置。 1-21-2 应用构架应用构架 北信源终端安全管理应用于局域网、广域网构架,支持跨网段、跨地域的内网远程客 户端管理及非法移动设备接入检测、网内计算机违规联网监视、网络安全隔离度监控等。 系统应用主要分为以下两种构架: 基本构架:对于一般网络(例如 1
16、个 C 类地址或若干个 C 类地址的局域网范围) ,可使 用一套本系统软件,通过一个管理器集中管理所属区域内的所有设备。 扩展构架:对于大规模的多个局域网或者跨地域广域网(包括基于国家、省、市、县 等多级管理模式的网络结构) , 可使用本系统提供的多区域集中管理构架, 即一个或多个网 段各拥有一套独立北信源终端安全管理的同时,将本级所有设备信息再转发给上级管理数 据库,使得上一级管理人员对整个网络的设备状况也能够完全掌握。 图 1-1 北信源终端安全管理应用拓扑 第二章产品安装第二章产品安装 2-12-1 安装环境安装环境 条件一:硬件环境条件一:硬件环境 SQLSQL ServerServer 数据库服务器数据库服务器:用于安装系统管理信息数据库。PC 服务器或更高档服务器, Pentium 2.4C 以上 CPU,512M 以上内存。 区域管理器区域管理器:用于安装区域管理器程序。百兆或千兆网卡,PC 服务器或更高档服务器, Pentium 2.4C 以上 CPU,512M 以上内存。 扫描器模块扫描器
