《北信源补丁分发系统用户手册》由会员分享,可在线阅读,更多相关《北信源补丁分发系统用户手册(40页珍藏版)》请在金锄头文库上搜索。
1、北信源补丁分发系统用户手册目录1 系统介绍 3.2 系统安装 4.2.1 安装环境 4.2.2 安装注意事项6.2.2.1 软件安装监控服务器部署注意事项 62.2.2 软件安装和应用过程中注意事项 62.3 系统组件安装7.2.3.1 安装WinPcap驱动模块82.3.2 初始化数据库8.2.3.3 安装Web中央管理平台 112.3.4 安装区域管理器Region Manage112.3.5 配置设备扫描器模块 Region scan122.3.6 安装补丁下载服务器模块 132.3.7 客户端注册及下载1. 42.4 区域管理器补丁管理设置2. 03 策略中心2.14 补丁分发3.05
2、 补丁自动下载分发3.36客户端补丁检测(一) 3. 77客户端补丁检测(二) 3. 88本地补丁分发综合查询 3. 99 补丁级联下载 3.91 系统介绍北信源微软补丁升级管理系统是北信源公司在为国家各大部委机关、各大行业网络用户进行病毒安全服务、总结安全运营保障经验的基础上,分析当前网络客户端实际安全管理要求研发的,系统支持推、拉两种方式自动下载补丁。整个补丁管理运行平台构架是:通过北信源外网补丁下载服务器及时从补丁厂商网站获取最新补丁;补丁安全测试后,通过补丁分发管理中心服务器对网络用户进行分发安装;补丁安装支持自动和手动两种方式。北信源微软补丁升级管理系统由6部分组成:WinPcap程
3、序、SQL Server管理信息库(安装包:环境初始化 程序)、 Web 中央管理配置平台 (安装包: 网页管理平 台)、 区域 管理器(安装包: RegionManage, 原区域扫描器已作为模块集成到区域管理器 ) 、客户端注册程序(安装包:注册程序) 、补丁下载服务器。环境初始化程序:SQL Server管理信息库,建立北信源微软补丁升级管理系统的初始化数据库。包括:网络客户端设备属性信息、区域管理器信息、设备扫描器信息、区域管理范围信息、注册(未注册)机器信息、设备属性变化信息、报警信息等。扫描器将设备最新状态信息同数据库中原有信息进行遍历搜索对比,根据规则要求在管理平台上报警。Web
4、 管理平台: Web 中央管理配置平台,本系统的管理配置中心。包括区域管理器、扫描器、注册客户端的功能参数设定,网络设备信息发现、系统应用策略制订、报警信息显示、定义任务功能制订、系统用户维护等配置操作。Region Manage: 区域管理器,系统数据处理中心。与管理信息数据库通讯,接收注册程序提供的用户信息,将用户信息(用户填写的物理信息和系统自动采集的硬件信息)并行存入数据库;接受来自控制台的命令操作,发送到客户端、扫描器执行。对于存在多级管理要求的广域网,网络中可以存在多个区域管理器,系统数据提供逐级上报(转发)模式。区域管理器内置网络扫描器,扫描器将设备最新状态信息报送至区域管理器,
5、由区域管理器处理后,同数据库中原有信息进行遍历搜索对比,根据管理规则在管理平台上报警。扫描器配合区域管理器进行工作,可以在分级模式下使用。扫描器只依据Web 管理平台中配置的工作范围进行扫描,超越其范围,将不负责执行操作。WinPcap程序:嗅探驱动软件,监听共享网络上传送的数据。客户端注册程序: 用户访问指定网站自动获得,用户填写本机信息,填写必要信息后上报区域管理器。注册程序自动探测系统硬件信息,连同用户填写的信息一同上报区域管理器。用户将本机注册信息发送到区域管理器后,区域管理器自动将客户端驻留程序应用策略发送给用户,并自动更新。客户端驻留程序功能:1. 进行本机硬件属性信息变化监视;2
6、. 进行本机 IP 、 MAC 地址变化审计;3. 本机系统补丁、软件安装、运行进程状况监测;4. 探测本机是否有违规联网行为,在内网管理中心或外网报警平台报警;5. 接受Web 管理平台的管理命令;6. 阻断本机非法外联行为;7. 执行Web 管理平台下发的各种策略操作。补丁下载服务器: 安装在与 Internet 网络连接的机器上,用于实时下载补丁厂商发布的补丁。注:区域管理器( Region Manage ) 、区域扫描器模块(Region scan) 、注 册程 序部 分系统的参数配置集中体现在网页管理平台操作上,上述三部分功能参数、功能项数值统一在网页管理平台中进行配置。区域管理器(
7、 Region Manage)、扫描器模块(Region scan)部 分参数在自身软件组件中配置。2 系统安装2.1 安装环境条件一:硬件环境SQL Server数据库服务器:用于安装系统管理信息数据库。PC服务器或更高档服务器, Pentiums 2. 4C 以上 CPU, 512M 以上内存。区域管理器: 用于安装区域管理器程序。百兆或千兆网卡, PC 服务器或更高档服务器,Pentiums 2. 4C 以上 CPU, 512M 以上内存。扫描器模块: 配置同区域管理器。如单独安装扫描器模块,比较高档的 PC 计算机即可。本系统各程序可安装在同一台计算机上,也可在不同机器上安装 SQL
8、数据库、 IIS 服务器、区域管理器、扫描器模块等,此时推荐该计算机内存为1G 以上。建议将区域管理器、扫描器、网页管理平台安装在同一台机器上,作为监控服务器。条件二:提供数据库、 IIS 服务操作系统 : Windows 2000 或 Windows 2003 企业版操作系统。SQL Server2000软件:配备SQL Server数据库系统,用于北信源微软补丁升级管理系统建立管理信息库数据库列表项。IIS服务:配备IIS服务器提供 Web服务,用于安装 Web网页管理配置平台。如所装操作系统为 Windows 2003 企业版,则需要按照安装光盘中的 Windows 2003 的 IIS
9、 配置说明 进行 IIS 配置。条件三:为本系统提供相应端口北信源微软补丁升级管理系统区域管理器将占用操作系统88 端口,必须确保安装区域管理器的机器该端口不被占用。区域内的防火墙应打开如下端口: 80, 88, 2388 , 2399,8901, 8900, 161, 137, 22105, 8889, 22106, 22108 以及 ICMP 协议。同时最好将DNS 服务迁移至其它服务器。2.2 安装注意事项软件安装时,推荐将区域管理器、扫描器、数据库安装在同一台机器上(以下称为监控服务器) ,建议按照下面要求进行监控服务器部署、软件安装、客户端注册。2.2.1 软件安装监控服务器部署注意
10、事项1、监控服务器在网络中放置位置注意点确保该监控服务器能够ping 通所有被管理网络中任意一台客户端机器,同时被管理客户端可以正常连接服务器的 TCP 的 80, 88 两个端口。监控服务器给客户端下达策略的端口为: TCP 端口 22105;监控服务器扫描发现客户端利用以下协议及端口:ICMP 协议(发现IP 地址存在的其中一种方式) ;NETBIOS 协议 , UDP 端口 137(为了发现机器名和 MAC 地址 ) ;SNMP 协议 , TCP 端口 161(为了发现智能设备如路由器、交换机等) ;在本地网络中若划分了 VLAN ,或本地网络存在防火墙,请注意上述问题。2、存在网中子网
11、(如经过地址转换)的网络布置点对于网络中存在网中网现象,如采用 NAT 地址转化或者代理方式在 10.*. *. *网络中接入 192.*. *. * 网段,这些子网用户的管理方式如下:情况一:子网有专人管理,并且有独立机房应在该子网中安装一套完整的监控系统。情况二:子网无专人管理,或无独立机房,可采用以下 3 种方式之一处理机器数量少的建议统一更改 IP 为 10.*. *. * 网段。由管理员监督子网中所有机器进行注册并保证不得遗漏。在该网络中指定一台工作站专门安装区域管理器软件和区域扫描模块,并将区域管理器配置中 SQL 服务器地址指向监控服务器。2.2.2 软件安装和应用过程中注意事项
12、1、必须按照软件安装步骤进行安装1)确认本机IIS 服务正常;2)确认本机SQL 已正常安装并能正常使用(以本地系统账户方式安装);3)确认目标安装盘剩余空间不小于10G ;4)请务必按照指定顺序安装各个模块;5)请在区域扫描模块所在计算机中安装SNMP 服务;6)安装完所有系统模块后,请一定按照说明文档进行客户端程序的配置及分发安装。2、监控服务器的安全性问题管理服务器安装 Windows2000 Server操作系统(带IIS)、MS SQL Server2000数据库后,一定要确保对Windows2000、 SQL 和 IE 进行重要安全补丁修补,规范操作系统、数据库的口令和密码设置,保
13、证 SQL 、 IIS 的正常启动运行。确保本服务器无病毒,同时可配置本服务器网络通讯端口仅打开: 80, 88, 6800,8901 , 8900, 22105 , 2388, 2399, 8889 。3、保护机制的应用对大多数交换机、路由器、非Windows 设备,需要将其设置为保护状态(避免被阻断导致网络不通) ,其它如有系统无法识别的重要设备,请在网页管理平台设备信息查询中手动将其设置为保护状态。2.3 系统组件安装安装顺序依次为:* 安装 SQL Server 数据库;* 安装 WinPcap 驱动程序;* 安装并运行环境初始化程序,初始化数据库;* 安装网页平台并进行划分区域,配置
14、区域IP 范围、区域管理器参数、设备扫描器参数等(推荐安装在默认路径下) ;* 安装区域管理器(推荐安装在默认路径下) ;* 通知所有用户下载并运行注册客户端代理探头程序。2.3.1 安装WinPcap驱动模块在安装页面中选择“安装 WinPcap驱动模块”按钮,单击“下一步”安装在区域扫描 器所在计算机上。2.3.2 初始化数据库初始化数据库是在SQL数据库中初始化建立 VRVEIS数据库并生成系统必需的相关数据表格,在此过程中需要利用本地数据或者调用远程SQL数据库,用户需要根据实际安装情况按以下两种方式进行操作:本地SQL数据库服务器环境初始化1)、环境初始化,建立初始数据库在SQL服务
15、器地址栏中添加本地机器IP地址、SQL用户名、以及SQL用户密码。国grm,嘉计奥利拓化上一步但JI干一步退I家哨SQL数据库服务器环境初始化2)、检查数据库初始化是否成功:检查数据库初始化当有如图“初始化数据库结构成功”提示框弹出时,说明已成功创建初始化数据库。否则会出现如下图所示提示信息:初始化数据库失败提示信息如果出现如上图所示提示信息,用户需要检查所填入的SQL数据库IP地址、用户名以及用户密码,重新初始化数据库。远程SQL数据库服务器环境初始化(建议非特殊情况不采用远程方式)1)、输入远程数据库信息,配置 SQL客户端:安装远程数据库需要首先输入远程数据库 IP地址、用户名称、用户密码,然后点击“配置 SQL客户端”,出现如下界面:配置SQL客户端2)、在通用栏中,启用 TCP/IP协议:在通用栏中,选用TCP/IP协议,并启用,然后单击别名,进行别名添加设置。启用所选协议3)、进行客户端别名的添加:单击上图中所圈中的别名,出现如下所示:
