北信源內(nèi)網(wǎng)安全管理系統(tǒng)手冊

1、特 別 聲 明n 本使用手冊由北信源終端安全管理系列產(chǎn)品安裝配置指導(dǎo)手冊、用戶手冊、產(chǎn)品維護(hù)手冊三部分組成，其內(nèi)容將隨著北信源軟件的不斷升級而改變(以光盤中電子版發(fā)行時為最新版)，恕不另行通知。需要者請從北信源公司網(wǎng)站下載本手冊的最新電子版或者直接聯(lián)系北信源公司索取。n 北信源終端安全管理系列產(chǎn)品由北信源內(nèi)網(wǎng)安全管理系統(tǒng)、北信源補(bǔ)丁及文件分發(fā)管理系統(tǒng)、北信源主機(jī)監(jiān)控審計系統(tǒng)、北信源移動存儲介質(zhì)使用管理系統(tǒng)、北信源網(wǎng)絡(luò)接入控制管理系統(tǒng)及北信源接入認(rèn)證網(wǎng)關(guān)6大套件構(gòu)成。n 本使用手冊為北信源終端安全管理系列產(chǎn)品通用說明書。若您獨(dú)立購買北信源內(nèi)網(wǎng)安全管理系統(tǒng)或北信源補(bǔ)丁及文件分發(fā)管理系統(tǒng)等其中之一產(chǎn)

2、品，本說明書的其它功能將不具備。n 感謝您購買北京北信源軟件股份有限公司研制開發(fā)的北信源終端安全管理系列產(chǎn)品。請在使用本軟件之前認(rèn)真閱讀本使用手冊，當(dāng)您開始使用該軟件時，北信源公司認(rèn)為您已經(jīng)閱讀了本使用手冊?？焖匍喿x指南1. 本使用手冊為北信源終端安全管理系列產(chǎn)品全功能用戶手冊，請按照所購買產(chǎn)品對應(yīng)相關(guān)的產(chǎn)品說明進(jìn)行配置使用（該手冊第一、二、三章為終端安全管理產(chǎn)品共有部分，凡購買任何一款終端安全管理產(chǎn)品都應(yīng)首先詳細(xì)閱讀此三個章節(jié)）。2. 詳細(xì)閱讀本軟件組件功能、組成、作用、應(yīng)用構(gòu)架，確切了解本軟件的系統(tǒng)應(yīng)用。3. 安裝準(zhǔn)備軟件環(huán)境：microsoft sql server2000、window

3、s 2000 server、internet 服務(wù)管理器。sql安裝注意事項請參照第二章2-3-1所示。建議將數(shù)據(jù)庫管理系統(tǒng)、區(qū)域管理器、web管理平臺安裝在同一服務(wù)器上,確認(rèn)區(qū)域管理器所在機(jī)器的88端口不被占用（即非主域控制器）；防火墻應(yīng)允許打開88，2388，2399，22105，8900，8901，22106，22108，8889端口。4. 按步驟安裝各組件后，通過http:/*.*.*.*/vrveis登錄web管理平臺，首先對web管理平臺進(jìn)行如下配置：添加區(qū)域劃分該區(qū)域ip范圍指定區(qū)域管理器指定區(qū)域掃描器。5. 雙擊屏幕右下角區(qū)域管理器、單擊主機(jī)保護(hù)進(jìn)行通訊參數(shù)配置。6. 在vrv

4、vrveisdownload目錄中，使用regtools.exe工具修改deviceregist.exe文件中的本地區(qū)域管理器ip，將修改后的注冊程序deviceregist.exe放在機(jī)構(gòu)網(wǎng)站上進(jìn)行靜態(tài)網(wǎng)頁注冊，或者在機(jī)構(gòu)網(wǎng)站上加載動態(tài)網(wǎng)頁檢測注冊腳本語句，進(jìn)行動態(tài)設(shè)備注冊。7. 系統(tǒng)升級：聯(lián)系北信源公司獲取最新的軟件組件升級包，確保web管理平臺、區(qū)域管理器、客戶端注冊程序等組件的升級。8. 如果本手冊中的插圖與實(shí)際應(yīng)用的產(chǎn)品有出入，以實(shí)際產(chǎn)品為主。特別提示：默認(rèn)管理員用戶：admin，密碼：123456；系統(tǒng)指定審計用戶名：audit,密碼：123456請注意修改。目 錄第一章產(chǎn)品介紹6

5、1-1 產(chǎn)品構(gòu)架61-2 應(yīng)用構(gòu)架8第二章產(chǎn)品安裝92-1 安裝環(huán)境92-2 安裝注意事項102-2-1 軟件安裝監(jiān)控服務(wù)器部署注意事項102-2-2 軟件安裝和應(yīng)用過程中注意事項102-3 產(chǎn)品組件安裝112-3-1 安裝sql server數(shù)據(jù)庫112-3-2 安裝winpcap驅(qū)動模塊122-3-3 安裝遠(yuǎn)程技術(shù)支持模塊132-3-4 初始化數(shù)據(jù)庫132-3-5 安裝web中央管理平臺162-3-6 安裝區(qū)域管理器region manage162-3-7 安裝補(bǔ)丁下載服務(wù)器模塊182-3-8 安裝管理器主機(jī)保護(hù)模塊192-3-9 安裝報警中心模塊192-3-10 客戶端注冊及下載19第三

6、章 產(chǎn)品應(yīng)用263-1配置與管理263-1-1 區(qū)域劃分263-1-2 區(qū)域管理器配置293-1-3 掃描器配置343-1-4 注冊程序配置363-1-5 自定義組分配與管理403-1-6 ip與mac綁定列表413-1-7 系統(tǒng)運(yùn)維監(jiān)控423-2客戶端阻斷443-2-1 掃描器組件配置443-2-2 阻斷策略應(yīng)用44第四章 北信源內(nèi)網(wǎng)安全管理系統(tǒng)474-1策略中心474-2數(shù)據(jù)查詢714-2-1設(shè)備信息查詢724-2-2注冊資產(chǎn)查詢724-2-3安裝軟件查詢734-2-4首次運(yùn)行進(jìn)程查詢744-2-5共享目錄查詢754-2-6設(shè)備ip占用情況列表754-2-7硬件變化查詢764-2-8違規(guī)軟

7、件及進(jìn)程764-2-9安全策略違規(guī)774-2-10消息確認(rèn)查詢774-3終端管理784-3-1終端管理784-3-2行為控制874-3-3遠(yuǎn)程協(xié)助934-4運(yùn)維信息934-4-1客戶端流量排名934-4-2客戶端流量統(tǒng)計944-4-3運(yùn)維狀態(tài)異常944-4-4交換機(jī)端口管理954-4-5網(wǎng)管幫助設(shè)置954-5報表管理964-6報警管理974-6-1報警數(shù)據(jù)查詢974-6-2本地報警數(shù)據(jù)匯總1024-7級聯(lián)總控1034-8系統(tǒng)維護(hù)111第五章 北信源補(bǔ)丁及文件分發(fā)管理系統(tǒng)1165-1 區(qū)域管理器補(bǔ)丁管理設(shè)置1165-2策略中心1175-3補(bǔ)丁分發(fā)1265-4 補(bǔ)丁自動下載分發(fā)1295-5 客戶端

8、補(bǔ)丁檢測（一）1335-6 客戶端補(bǔ)丁檢測（二）1345-7本地補(bǔ)丁分發(fā)綜合查詢1355-8 補(bǔ)丁級聯(lián)下載135第六章 北信源主機(jī)監(jiān)控審計系統(tǒng)1366-1策略中心1366-2數(shù)據(jù)查詢1436-2-1上網(wǎng)訪問審計1436-2-2文件輸出審計1436-2-3文件保護(hù)審計1446-2-4涉密檢查查詢144第七章 北信源移動存儲介質(zhì)使用管理系統(tǒng)1457-1策略中心1457-2數(shù)據(jù)查詢1507-2-1移動設(shè)備審計150第八章 北信源網(wǎng)絡(luò)接入控制管理系統(tǒng)1508-1策略中心1508-2環(huán)境準(zhǔn)備方法1581）安裝radius (windows ias)1588-3各廠商交換機(jī)配置1758-3-1 cisco

9、2950配置方法1758-3-2華為3com 3628配置1768-3-3 銳捷rgs21配置179第九章 北信源接入認(rèn)證網(wǎng)關(guān)1819-1 網(wǎng)關(guān)接入配置認(rèn)證1819-2策略中心182第十章 系統(tǒng)備份及系統(tǒng)升級18710-1 系統(tǒng)數(shù)據(jù)庫數(shù)據(jù)備份及還原18710-2 系統(tǒng)組件升級18710-2-1 區(qū)域管理器、掃描器模塊升級18710-2-2 升級網(wǎng)頁管理平臺18710-2-3 客戶端注冊程序升級18810-2-4 檢查系統(tǒng)是否升級成功18810-3 級聯(lián)管理模式升級及配置188第十一章 售后服務(wù)189第十二章 附錄191附錄（一）北信源終端安全管理產(chǎn)品名詞注釋191附錄（二）移動存儲設(shè)備認(rèn)證工具

10、操作說明191附錄（三）主機(jī)保護(hù)工具操作說明207附錄（四）組態(tài)報表管理系統(tǒng)操作說明208附錄（五）報警平臺操作說明217附錄（六）win2003-iis服務(wù)器配置說明223前 言目前國內(nèi)政府機(jī)關(guān)、軍隊、公安、保密部門、科研機(jī)構(gòu)、金融、證券等企事業(yè)單位中的網(wǎng)絡(luò)都具有相當(dāng)?shù)囊?guī)模，網(wǎng)絡(luò)中大量使用計算機(jī)及其它網(wǎng)絡(luò)設(shè)備。這些設(shè)備帶來高效應(yīng)用的同時，由于自身確實(shí)存在著安全風(fēng)險隱患，應(yīng)該采用相關(guān)網(wǎng)絡(luò)安全技術(shù)手段來保障整個網(wǎng)絡(luò)運(yùn)行的安全。目前單位自身內(nèi)部網(wǎng)絡(luò)分為以下幾種類型：1、 辦公網(wǎng)：企事業(yè)單位中的普通辦公網(wǎng)絡(luò)、公司企業(yè)網(wǎng)，它們通過有限出口接入internet網(wǎng)絡(luò)；2、 內(nèi)部專網(wǎng)：政府辦公網(wǎng)、金融運(yùn)營網(wǎng)

11、及各系統(tǒng)重要的實(shí)時網(wǎng)絡(luò)，該種網(wǎng)絡(luò)一般為內(nèi)部專用網(wǎng)絡(luò)，此類網(wǎng)絡(luò)同外部網(wǎng)絡(luò)采取物理隔離的方式實(shí)現(xiàn)相互獨(dú)立；3、保密網(wǎng)：政府機(jī)關(guān)、軍隊、公安、保密部門的內(nèi)部機(jī)密安全網(wǎng)絡(luò)，一般采用專門的網(wǎng)絡(luò)通道，要求具有絕對的內(nèi)網(wǎng)隔離度。盡管以上大多數(shù)用戶采用了專門的網(wǎng)絡(luò)通道技術(shù)、物理隔離技術(shù)、安全網(wǎng)段劃分、安全防護(hù)設(shè)施（如防火墻、入侵檢測、漏洞掃描）等方式保證自己的網(wǎng)絡(luò)安全，但是，對類似下面的安全問題仍然無法做到真正意義上的解決：1、 如何發(fā)現(xiàn)終端設(shè)備的系統(tǒng)漏洞并自動分發(fā)補(bǔ)??；2、 如何防范移動設(shè)備隨意接入內(nèi)網(wǎng)；3、 如何防范內(nèi)網(wǎng)設(shè)備違規(guī)進(jìn)入外網(wǎng)；4、 如何管理終端資產(chǎn)并真正控制、管理終端設(shè)備的運(yùn)行；5、 如何制訂

12、整體安全策略并全網(wǎng)執(zhí)行；6、 如何管理控制終端設(shè)備的數(shù)據(jù)流；7、 平臺、安全平臺等諸多設(shè)備如何銜接并統(tǒng)一管理。北信源終端安全管理產(chǎn)品vrv edp（enterprise desk planning）能夠完全解決上述網(wǎng)絡(luò)安全管理工作中遇到的常見問題。vrv edp系統(tǒng)強(qiáng)化對網(wǎng)絡(luò)計算機(jī)終端的控制，管理內(nèi)容包括：資源資產(chǎn)、終端安全策略、桌面風(fēng)險審計、補(bǔ)丁檢測分發(fā)、終端運(yùn)行狀態(tài)監(jiān)控以及終端行為審計等。北信源終端安全管理產(chǎn)品提供了防火墻、ids、防病毒系統(tǒng)、專業(yè)網(wǎng)管軟件所不能提供的防護(hù)功能，對它們管理的盲區(qū)進(jìn)行監(jiān)控，成為一個實(shí)時的安全監(jiān)控系統(tǒng)，并能夠同其它網(wǎng)絡(luò)安全設(shè)備或網(wǎng)絡(luò)安全系統(tǒng)進(jìn)行安全集成和報警聯(lián)動

13、。北信源終端安全管理產(chǎn)品針對網(wǎng)絡(luò)管理工作中遇到的實(shí)際管理需求，進(jìn)行網(wǎng)絡(luò)安全資源規(guī)劃,如防止移動設(shè)備非法接入內(nèi)部網(wǎng)絡(luò)、ip資源分配管理、靜態(tài)ip同mac地址的綁定、提供設(shè)備資源登記及硬件設(shè)備（硬盤、cpu、內(nèi)存等）變化報警、進(jìn)行內(nèi)部網(wǎng)絡(luò)連接阻斷等功能。同時，為有效解決網(wǎng)絡(luò)中計算機(jī)非法接入和非法外聯(lián)問題， vrv edp系統(tǒng)提供實(shí)時監(jiān)控的強(qiáng)大功能，即實(shí)時報警以及實(shí)時切斷非法計算機(jī)同內(nèi)網(wǎng)的連接。北信源終端安全管理產(chǎn)品通過web方式對整個系統(tǒng)進(jìn)行應(yīng)用策略配置，管理網(wǎng)絡(luò)和查詢報警數(shù)據(jù)，方便用戶操作，有效防范不安全因素對內(nèi)部網(wǎng)絡(luò)構(gòu)成的威脅，真正做到內(nèi)部網(wǎng)絡(luò)的完全安全管理。北信源終端安全管理產(chǎn)品支持基于局域

14、網(wǎng)、廣域網(wǎng)的國家省市縣多級級聯(lián)管理模式。第一章產(chǎn)品介紹1-1 產(chǎn)品構(gòu)架北信源終端安全管理產(chǎn)品由8部分組成：winpcap程序、sql server管理信息庫（安裝包：環(huán)境初始化程序）、web中央管理配置平臺（安裝包：網(wǎng)頁管理平臺）、區(qū)域管理器(安裝包：region manage,原區(qū)域掃描器已作為模塊集成到區(qū)域管理器)、客戶端注冊程序（安裝包：注冊程序）、補(bǔ)丁下載服務(wù)器、管理器主機(jī)保護(hù)模塊、報警中心模塊。環(huán)境初始化程序：sql server管理信息庫，建立北信源終端安全管理產(chǎn)品的初始化數(shù)據(jù)庫。初始化的信息包括：網(wǎng)絡(luò)客戶端設(shè)備屬性信息、區(qū)域管理器信息、設(shè)備掃描器信息、區(qū)域管理范圍信息、注冊（未注

15、冊）機(jī)器信息、設(shè)備屬性變化信息、報警信息等。掃描器將設(shè)備最新狀態(tài)信息同數(shù)據(jù)庫中原有信息進(jìn)行遍歷搜索對比，根據(jù)規(guī)則要求在管理平臺上報警。web管理平臺：web中央管理配置平臺，本系統(tǒng)的管理配置中心。包括區(qū)域管理器、掃描器、注冊客戶端的功能參數(shù)設(shè)定，網(wǎng)絡(luò)設(shè)備信息發(fā)現(xiàn)、系統(tǒng)應(yīng)用策略制訂、報警信息顯示、定義任務(wù)功能制訂、系統(tǒng)用戶維護(hù)等配置操作。region manage：區(qū)域管理器，系統(tǒng)數(shù)據(jù)處理中心，負(fù)責(zé)與管理信息數(shù)據(jù)庫通訊掃描終端設(shè)備、控制服務(wù)器、客戶端之間的信息、指令的下達(dá)、接受。比如：接收注冊程序提供的用戶信息，將用戶信息（用戶填寫的物理信息和系統(tǒng)自動采集的硬件信息）并行存入數(shù)據(jù)庫；接受來自控制

16、臺的命令操作，發(fā)送到客戶端、掃描器執(zhí)行。對于存在多級管理要求的廣域網(wǎng)，網(wǎng)絡(luò)中可以存在多個區(qū)域管理器，實(shí)現(xiàn)系統(tǒng)數(shù)據(jù)逐級上報（轉(zhuǎn)發(fā)），對網(wǎng)絡(luò)終端的多級管理。區(qū)域管理器內(nèi)置網(wǎng)絡(luò)掃描器，掃描器用來發(fā)現(xiàn)網(wǎng)絡(luò)的終端設(shè)備。將發(fā)現(xiàn)的設(shè)備信息交由區(qū)域管理器處理。、設(shè)備最新狀態(tài)信息報送至區(qū)域管理器，由區(qū)域管理器處理后，同數(shù)據(jù)庫中原有信息進(jìn)行遍歷搜索對比，根據(jù)管理規(guī)則在管理平臺上報警。掃描器配合區(qū)域管理器進(jìn)行工作，可以在分級模式下使用。掃描器只依據(jù)web管理平臺中配置的工作范圍進(jìn)行掃描，如果終端ip超越其范圍，將不負(fù)責(zé)執(zhí)行操作。winpcap程序：嗅探驅(qū)動軟件，監(jiān)聽共享網(wǎng)絡(luò)上傳送的數(shù)據(jù)。客戶端注冊程序：將接收并執(zhí)行

17、服務(wù)器下發(fā)的指令。該程序可以在“工具下載-用戶注冊器下載”處下載。訪問指定網(wǎng)站自動獲得，用戶填寫必要的信息后，運(yùn)行該程序，區(qū)域管理器將收到注冊終端的相關(guān)信息，同時終端可以接收、執(zhí)行各種下發(fā)的指令。注冊程序自動探測系統(tǒng)硬件信息，連同用戶填寫的信息一同上報區(qū)域管理器。用戶將本機(jī)注冊信息發(fā)送到區(qū)域管理器后，區(qū)域管理器自動將客戶端駐留程序應(yīng)用策略發(fā)送給用戶，并自動更新?？蛻舳笋v留程序功能：1. 進(jìn)行本機(jī)硬件屬性信息變化監(jiān)視；2. 進(jìn)行本機(jī)ip、mac地址變化審計；3. 本機(jī)系統(tǒng)補(bǔ)丁、軟件安裝、運(yùn)行進(jìn)程狀況監(jiān)測；4. 探測本機(jī)是否有違規(guī)聯(lián)網(wǎng)行為，在內(nèi)網(wǎng)管理中心或外網(wǎng)報警平臺報警；5. 接受web管理平臺

18、的管理命令；6. 阻斷本機(jī)非法外聯(lián)行為；7. 執(zhí)行web管理平臺下發(fā)的各種策略操作。補(bǔ)丁下載服務(wù)器：安裝在與internet網(wǎng)絡(luò)連接的機(jī)器上，用于實(shí)時下載補(bǔ)丁廠商發(fā)布的補(bǔ)丁。管理器主機(jī)保護(hù)模塊：管理器主機(jī)保護(hù)模塊可根據(jù)管理器或其他服務(wù)器具體使用的端口、網(wǎng)絡(luò)協(xié)議、通信ip范圍和具體的其他網(wǎng)絡(luò)應(yīng)用來定義該計算機(jī)使用的安全級較高的網(wǎng)絡(luò)配置，從而防止該計算機(jī)受到惡意的ip沖突以及各種網(wǎng)絡(luò)、病毒攻擊。報警中心模塊：安裝在可與區(qū)域管理器所在服務(wù)器正常通訊的計算機(jī)上，本模塊可以根據(jù)管理員在系統(tǒng)中所配置的報警事件和危險級別提供給管理員包括電子郵件、信使服務(wù)、snmp trap、手機(jī)短信等多種報警方式。注：區(qū)域

19、管理器（region manage）、區(qū)域掃描器模塊（region scan）、注冊程序部分系統(tǒng)的參數(shù)配置集中體現(xiàn)在網(wǎng)頁管理平臺操作上，上述三部分功能參數(shù)、功能項數(shù)值統(tǒng)一在網(wǎng)頁管理平臺中進(jìn)行配置。區(qū)域管理器（region manage）、掃描器模塊（region scan）部分參數(shù)在自身程序組件中配置。1-2 應(yīng)用構(gòu)架北信源終端安全管理應(yīng)用于局域網(wǎng)、廣域網(wǎng)構(gòu)架，支持跨網(wǎng)段、跨地域的內(nèi)網(wǎng)遠(yuǎn)程客戶端管理及非法移動設(shè)備接入檢測、網(wǎng)內(nèi)計算機(jī)違規(guī)聯(lián)網(wǎng)監(jiān)視、網(wǎng)絡(luò)安全隔離度監(jiān)控等。系統(tǒng)應(yīng)用主要分為以下兩種構(gòu)架：基本構(gòu)架：對于一般網(wǎng)絡(luò)（例如1個c類地址或若干個c類地址的局域網(wǎng)范圍），可使用一套本系統(tǒng)軟件，通過

20、一個管理器集中管理所屬區(qū)域內(nèi)的所有設(shè)備。擴(kuò)展構(gòu)架：對于大規(guī)模的多個局域網(wǎng)或者跨地域廣域網(wǎng)（包括基于國家、省、市、縣等多級管理模式的網(wǎng)絡(luò)結(jié)構(gòu)），可使用本系統(tǒng)提供的多區(qū)域集中管理構(gòu)架，即一個或多個網(wǎng)段各擁有一套獨(dú)立北信源終端安全管理的同時，將本級所有設(shè)備信息再轉(zhuǎn)發(fā)給上級管理數(shù)據(jù)庫，使得上一級管理人員對整個網(wǎng)絡(luò)的設(shè)備狀況也能夠完全掌握。圖1-1北信源終端安全管理應(yīng)用拓?fù)涞诙庐a(chǎn)品安裝2-1 安裝環(huán)境條件一：硬件環(huán)境sql server數(shù)據(jù)庫服務(wù)器：用于安裝系統(tǒng)管理信息數(shù)據(jù)庫。pc服務(wù)器或更高檔服務(wù)器， pentium 2.4c 以上cpu，512m以上內(nèi)存。區(qū)域管理器：用于安裝區(qū)域管理器程序。百兆或

21、千兆網(wǎng)卡，pc服務(wù)器或更高檔服務(wù)器， pentium 2.4c 以上cpu，512m以上內(nèi)存。掃描器模塊：配置同區(qū)域管理器。如單獨(dú)安裝掃描器模塊，比較高檔的pc計算機(jī)即可。本系統(tǒng)各程序可安裝在同一臺計算機(jī)上，也可在不同機(jī)器上安裝sql數(shù)據(jù)庫、iis服務(wù)器、區(qū)域管理器、掃描器模塊等，此時推薦該計算機(jī)內(nèi)存為1g以上。建議將區(qū)域管理器、掃描器、網(wǎng)頁管理平臺安裝在同一臺機(jī)器上，作為監(jiān)控服務(wù)器。條件二：提供數(shù)據(jù)庫、iis服務(wù)操作系統(tǒng)：windows 2000或windows 2003企業(yè)版操作系統(tǒng)。mircosoft sql server軟件：配備sql server 2000或sql server 2

22、005數(shù)據(jù)庫系統(tǒng)，用于北信源終端安全管理建立管理信息庫數(shù)據(jù)庫列表項。（注：以下均以sql server 2000為例）iis服務(wù)：配備iis服務(wù)器提供web服務(wù)，用于安裝web網(wǎng)頁管理配置平臺。如所裝操作系統(tǒng)為windows 2003企業(yè)版，則需要按照附錄（三）的windows 2003的iis配置說明進(jìn)行iis配置。條件三：為本系統(tǒng)提供相應(yīng)端口北信源終端安全管理產(chǎn)品區(qū)域管理器將占用操作系統(tǒng)88端口，必須確保安裝區(qū)域管理器的機(jī)器該端口不被占用。區(qū)域內(nèi)的防火墻應(yīng)打開如下端口：80，88,2388，2399，8901,8900,161,137,22105，8889，22106，22108以及icm

23、p協(xié)議。同時最好將dns服務(wù)遷移至其它服務(wù)器。2-2 安裝注意事項軟件安裝時，推薦將區(qū)域管理器、掃描器、數(shù)據(jù)庫安裝在同一臺機(jī)器上（以下稱為監(jiān)控服務(wù)器），建議按照下面要求進(jìn)行監(jiān)控服務(wù)器部署、軟件安裝、客戶端注冊。2-2-1 軟件安裝監(jiān)控服務(wù)器部署注意事項1、監(jiān)控服務(wù)器在網(wǎng)絡(luò)中放置位置注意點(diǎn)n 確保該監(jiān)控服務(wù)器能夠ping通所有被管理網(wǎng)絡(luò)中任意一臺客戶端機(jī)器，同時被管理客戶端可以正常連接服務(wù)器的tcp的80,88兩個端口。n 監(jiān)控服務(wù)器給客戶端下達(dá)策略的端口為：tcp端口22105；n 監(jiān)控服務(wù)器掃描發(fā)現(xiàn)客戶端利用以下協(xié)議及端口：n icmp協(xié)議（發(fā)現(xiàn)ip地址存在的其中一種方式）；n netbio

24、s協(xié)議,udp端口137(為了發(fā)現(xiàn)機(jī)器名和mac地址)；n snmp協(xié)議,tcp端口161（為了發(fā)現(xiàn)智能設(shè)備如路由器、交換機(jī)等）；在本地網(wǎng)絡(luò)中若劃分了vlan，或本地網(wǎng)絡(luò)存在防火墻，請注意上述問題。2、存在網(wǎng)中子網(wǎng)（如經(jīng)過地址轉(zhuǎn)換）的網(wǎng)絡(luò)布置點(diǎn)對于網(wǎng)絡(luò)中存在網(wǎng)中網(wǎng)現(xiàn)象，如采用nat地址轉(zhuǎn)化或者代理方式在10.*. *. *網(wǎng)絡(luò)中接入192.*. *. *網(wǎng)段，這些子網(wǎng)用戶的管理方式如下：情況一：子網(wǎng)有專人管理，并且有獨(dú)立機(jī)房應(yīng)在該子網(wǎng)中安裝一套完整的監(jiān)控系統(tǒng)。情況二：子網(wǎng)無專人管理，或無獨(dú)立機(jī)房，可采用以下3種方式之一處理n 機(jī)器數(shù)量少的建議統(tǒng)一更改ip為10.*. *. * 網(wǎng)段。n 由管理

25、員監(jiān)督子網(wǎng)中所有機(jī)器進(jìn)行注冊并保證不得遺漏。n 在該網(wǎng)絡(luò)中指定一臺工作站專門安裝區(qū)域管理器軟件和區(qū)域掃描模塊，并將區(qū)域管理器配置中sql服務(wù)器地址指向監(jiān)控服務(wù)器。2-2-2 軟件安裝和應(yīng)用過程中注意事項1、必須按照軟件安裝步驟進(jìn)行安裝1）確認(rèn)本機(jī)iis服務(wù)正常；2）確認(rèn)本機(jī)sql已正常安裝并能正常使用（以本地系統(tǒng)賬戶方式安裝）；3）確認(rèn)目標(biāo)安裝盤剩余空間不小于10g；4）請務(wù)必按照指定順序安裝各個模塊；5）請在區(qū)域掃描模塊所在計算機(jī)中安裝snmp服務(wù)；6）安裝完所有系統(tǒng)模塊后，請一定按照說明文檔進(jìn)行客戶端程序的配置及分發(fā)安裝。2、監(jiān)控服務(wù)器的安全性問題管理服務(wù)器安裝windows2000 se

26、rver操作系統(tǒng)（帶iis）、ms sql server2000數(shù)據(jù)庫后，一定要確保對windows2000、sql和ie進(jìn)行重要安全補(bǔ)丁修補(bǔ)，規(guī)范操作系統(tǒng)、數(shù)據(jù)庫的口令和密碼設(shè)置，保證sql、iis的正常啟動運(yùn)行。確保本服務(wù)器無病毒，同時可配置本服務(wù)器網(wǎng)絡(luò)通訊端口僅打開：80，88，6800，8901，8900，22105，2388，2399，8889。3、保護(hù)機(jī)制的應(yīng)用對大多數(shù)交換機(jī)、路由器、非windows設(shè)備，需要將其設(shè)置為保護(hù)狀態(tài)（避免被阻斷導(dǎo)致網(wǎng)絡(luò)不通），其它如有系統(tǒng)無法識別的重要設(shè)備，請在網(wǎng)頁管理平臺設(shè)備信息查詢中手動將其設(shè)置為保護(hù)狀態(tài)。2-3 產(chǎn)品組件安裝安裝順序依次為：*安裝

27、 sql server數(shù)據(jù)庫；*安裝winpcap驅(qū)動程序；*安裝并運(yùn)行環(huán)境初始化程序，初始化數(shù)據(jù)庫；*安裝網(wǎng)頁平臺并進(jìn)行劃分區(qū)域，配置區(qū)域ip范圍、區(qū)域管理器參數(shù)、設(shè)備掃描器參數(shù)等（推薦安裝在默認(rèn)路徑下）；*安裝區(qū)域管理器（推薦安裝在默認(rèn)路徑下）；*通知所有用戶下載并運(yùn)行注冊客戶端代理探頭程序。2-3-1 安裝sql server數(shù)據(jù)庫 只需要在安裝過程中注意選擇“使用本地系統(tǒng)帳戶”和“混合模式”圖2-3-1數(shù)據(jù)庫服務(wù)器安裝向?qū)D2-3-2數(shù)據(jù)庫服務(wù)器安裝向?qū)?-3-2 安裝winpcap驅(qū)動模塊 在安裝頁面中選擇“安裝winpcap驅(qū)動模塊”按鈕，單擊“下一步”安裝在區(qū)域掃描器所在計算機(jī)上

28、。2-3-3 安裝遠(yuǎn)程技術(shù)支持模塊該模塊是一個程序附屬工具(一般不需要安裝)在客戶端安裝程序里帶有該程序, 是用戶遠(yuǎn)程桌面管理及控制,便于管理員幫助終端用戶解決問題。2-3-4 初始化數(shù)據(jù)庫初始化數(shù)據(jù)庫是在sql數(shù)據(jù)庫中初始化建立vrveis數(shù)據(jù)庫并生成系統(tǒng)必需的相關(guān)數(shù)據(jù)表格，在此過程中需要利用本地數(shù)據(jù)或者調(diào)用遠(yuǎn)程sql數(shù)據(jù)庫，用戶需要根據(jù)實(shí)際安裝情況按以下兩種方式進(jìn)行操作：n 本地sql數(shù)據(jù)庫服務(wù)器環(huán)境初始化1)、環(huán)境初始化，建立初始數(shù)據(jù)庫在sql服務(wù)器地址欄中添加本地機(jī)器ip地址、sql用戶名、以及sql用戶密碼。圖 2-3-4-1 sql數(shù)據(jù)庫服務(wù)器環(huán)境初始化2)、檢查數(shù)據(jù)庫初始化是否成

29、功：圖2-3-4-2 檢查數(shù)據(jù)庫初始化當(dāng)有如圖“初始化數(shù)據(jù)庫結(jié)構(gòu)成功”提示框彈出時，說明已成功創(chuàng)建初始化數(shù)據(jù)庫。否則會出現(xiàn)如下圖所示提示信息：圖2-3-4-3初始化數(shù)據(jù)庫失敗提示信息如果出現(xiàn)如上圖所示提示信息，用戶需要檢查所填入的sql數(shù)據(jù)庫ip地址、用戶名以及用戶密碼，重新初始化數(shù)據(jù)庫。n 遠(yuǎn)程sql數(shù)據(jù)庫服務(wù)器環(huán)境初始化（建議非特殊情況不采用遠(yuǎn)程方式）1)、輸入遠(yuǎn)程數(shù)據(jù)庫信息，配置sql客戶端：安裝遠(yuǎn)程數(shù)據(jù)庫需要首先輸入遠(yuǎn)程數(shù)據(jù)庫ip地址、用戶名稱、用戶密碼，然后點(diǎn)擊“配置sql客戶端”，出現(xiàn)如下界面：圖2-3-4-4 配置sql客戶端2)、在通用欄中，啟用tcp/ip協(xié)議：在通用欄中，選

30、用tcp/ip協(xié)議，并啟用，然后單擊別名，進(jìn)行別名添加設(shè)置。圖2-3-4-5 啟用所選協(xié)議3)、進(jìn)行客戶端別名的添加:單擊上圖中所圈中的別名，出現(xiàn)如下所示：圖2-3-4-6 對客戶端別名的添加4)、進(jìn)行網(wǎng)絡(luò)協(xié)議的選擇和服務(wù)器別名的添加：此時用戶需要首先選擇網(wǎng)絡(luò)協(xié)議，選定為tcp/ip，點(diǎn)擊確定后完成數(shù)據(jù)庫初始化。2-3-5 安裝web中央管理平臺n 安裝web管理平臺此部分程序要求安裝在默認(rèn)路徑下，安裝過程中請確保信息填寫正確，否則，web服務(wù)器可能不能正確訪問sql server數(shù)據(jù)庫。n web中央管理平臺訪問web管理平臺安裝以后在iis目錄上以虛擬目錄的形式存在，虛擬目錄名稱為vrve

31、is，用戶在安裝完成以后，用http:/web服務(wù)器域名（ip）/vrveis的形式訪問web管理平臺主頁面。默認(rèn)用戶名為admin，密碼為123456。（以下的都是用admin登陸進(jìn)行說明的）。審計用戶名為audit,默認(rèn)密碼為123456。 如果http:/web服務(wù)器域名（ip）/vrveis訪問無效，則以http:/web服務(wù)器域名（ip）/vrveis/index.asp方式登錄。windows2003下iis配置以及ntfs磁盤格式配置注意事項（見附錄六）。2-3-6 安裝區(qū)域管理器region manage在web中央管理平臺中劃分區(qū)域及指定區(qū)域管理器后（參見web中央管理平臺配

32、置）安裝區(qū)域管理器組件。安裝后進(jìn)行以下兩項配置：n sql客戶端配置如果“區(qū)域管理器”沒有同sql裝在同一臺服務(wù)器上，需要在如下圖所示窗口中將默認(rèn)網(wǎng)絡(luò)庫選擇為“tcp/ip”，使客戶端能夠遠(yuǎn)程訪問數(shù)據(jù)庫。在“區(qū)域管理器”中選擇“配置”-“系統(tǒng)配置”，配置sql客戶端，也可以通過alt+s熱鍵，進(jìn)入配置。圖2-3-6-1 sql常規(guī)配置上述配置完畢以后，需要重新啟動“區(qū)域管理器”，使系統(tǒng)生效。n 區(qū)域管理器系統(tǒng)配置sql服務(wù)器配置：進(jìn)入“系統(tǒng)配置”，逐步輸入sql服務(wù)器ip地址、用戶名稱及密碼、數(shù)據(jù)庫名稱（默認(rèn)為vrveis），單擊“確定”完成sql服務(wù)器配置。圖2-3-6-2 區(qū)域管理器中sq

33、l配置在配置好web中央管理平臺的系統(tǒng)區(qū)域及其區(qū)域管理器后做以下步驟：在配置管理里，點(diǎn)擊“掃描器配置”可以添加掃描器，配置掃描范圍。圖2-3-7區(qū)域掃描器配置填寫相關(guān)信息之后重新啟動區(qū)域管理器，程序會自動縮小到系統(tǒng)托盤，表示數(shù)據(jù)庫連接成功，程序運(yùn)行正常，此時通過上圖中“掃描器配置”項來查看掃描器相關(guān)運(yùn)行信息。2-3-7 安裝補(bǔ)丁下載服務(wù)器模塊在安裝頁面中選擇“補(bǔ)丁下載服務(wù)器安裝模塊”按鈕，輸入序列號sn，單擊“下一步”、在桌面生成downpatch.exe快捷方式，執(zhí)行后如下圖所示：圖2-3-8-1 補(bǔ)丁下載服務(wù)器主界面點(diǎn)擊系統(tǒng)配置彈出如下圖：圖2-3-8-2 補(bǔ)丁下載索引解析界面添加補(bǔ)丁索引

34、：從北信源站點(diǎn)獲取補(bǔ)丁索引，用以獲取補(bǔ)丁廠商發(fā)布補(bǔ)丁信息，通過對補(bǔ)丁索引的解析，下載補(bǔ)丁。按照補(bǔ)丁索引、管理配置要求從補(bǔ)丁廠商站點(diǎn)獲取補(bǔ)丁，補(bǔ)丁下載支持各種方式（下載線程、下載時間）自定義下載補(bǔ)丁。圖2-3-8-3 補(bǔ)丁下載參數(shù)設(shè)置2-3-8 安裝管理器主機(jī)保護(hù)模塊 選擇安裝在安裝頁面中選擇“安裝管理器主機(jī)保護(hù)模塊”按鈕，輸入序列號sn，單擊“下一步”、在桌面生成 nsscenter.exe快捷方式，執(zhí)行后在系統(tǒng)右下角任務(wù)欄所示綠色的圖標(biāo)，鼠標(biāo)右鍵點(diǎn)擊，可以對其進(jìn)行相應(yīng)的設(shè)置，具體設(shè)置參見附錄(三)。2-3-9 安裝報警中心模塊 選擇安裝在安裝頁面中選擇“安裝報警中心模塊”按鈕，輸入序列號sn

35、，單擊“下一步”、在桌面生成 nsscenter.exe快捷方式。具體設(shè)置參見附錄(五)。2-3-10 客戶端注冊及下載 （一）客戶端注冊原理及注冊程序配置n 客戶端注冊原理執(zhí)行注冊程序，根據(jù)要求填入指定信息，系統(tǒng)自動將所添加信息和系統(tǒng)自動采集獲得的設(shè)備信息發(fā)送到區(qū)域管理器（設(shè)置為轉(zhuǎn)發(fā)模式的將發(fā)送到上級區(qū)域管理器），區(qū)域管理器將注冊信息導(dǎo)入sql數(shù)據(jù)庫保存，在web管理平臺中設(shè)置的客戶端參數(shù)策略將由區(qū)域掃描器掃描客戶端后，發(fā)送給客戶端駐留程序保存執(zhí)行。該客戶端駐留程序駐留在系統(tǒng)內(nèi)部，以服務(wù)的方式實(shí)時運(yùn)行，一旦某個客戶端非法接入互聯(lián)網(wǎng)或設(shè)備改變違規(guī)，客戶端就向web管理平臺發(fā)送報警數(shù)據(jù)，同時本機(jī)

36、將顯示報警信息。n 修改客戶端注冊程序配置文件在web平臺中配置管理-注冊程序配置。注冊程序使用前需要網(wǎng)管人員的配置，主要是設(shè)置區(qū)域管理器ip地址（注冊時客戶端信息發(fā)向該ip地址所在的區(qū)域管理器），如區(qū)域管理器為44,配置如下圖所示：圖2-3-11-1 注冊程序配置在這里，可以對注冊時需要填加的單位、注冊密碼進(jìn)行編輯。如下圖所示:圖2-3-11-2 單位和部門添加刪除（二）客戶端注冊方法客戶端注冊方法包括網(wǎng)頁靜態(tài)注冊、網(wǎng)頁動態(tài)注冊、手動注冊等。網(wǎng)頁靜態(tài)注冊：靜態(tài)注冊比較簡單，客戶端只需要將配置好的注冊文件上傳到公共主頁上即可，做一個鏈接，訪問主頁后手動下載注冊。主要講述動

37、態(tài)注冊，這種方法適用于網(wǎng)絡(luò)用戶較多的情況，客戶端只要訪問網(wǎng)絡(luò)內(nèi)公共網(wǎng)站，網(wǎng)頁將自動對客戶端進(jìn)行探測，彈出提示窗口，提示用戶進(jìn)行注冊。網(wǎng)頁動態(tài)注冊：利用網(wǎng)絡(luò)中已經(jīng)構(gòu)建好的內(nèi)部網(wǎng)站，一方面網(wǎng)絡(luò)客戶端可以通過手動獲得注冊程序，也可以通過在主網(wǎng)頁上加載彈出頁面的方式進(jìn)行提示性注冊。本手冊將主要介紹后一種方式。當(dāng)網(wǎng)絡(luò)中客戶端計算機(jī)訪問本網(wǎng)絡(luò)內(nèi)部網(wǎng)站時，在該主頁代碼中加入一段代碼（如下）。本代碼作用在于首先獲得該客戶端計算機(jī)的ip地址，再讀取數(shù)據(jù)庫里面相關(guān)ip地址的注冊和其它相關(guān)信息，如果該ip地址的設(shè)備存在，系統(tǒng)會根據(jù)其是否完成“注冊”、“信任”、“保護(hù)”三項操作進(jìn)行判斷，只要滿足其中任意一條件，都不會

38、提示注冊，否則會彈出窗口提示注冊。網(wǎng)頁加載彈出程序方法如下：編輯已有主頁的源程序，在需要加載彈出窗口主頁的源代碼中放入以下代碼：注意：需要將其中的http:/ 53/vrveis/quest.asp換成http:/ 安裝內(nèi)網(wǎng)安全管理網(wǎng)頁平臺計算機(jī)ip/vrveis/quest.asp即可，此時當(dāng)網(wǎng)絡(luò)中計算機(jī)訪問該內(nèi)部主頁時，會自動彈出如下提示頁面：圖2-3-11-3 網(wǎng)頁動態(tài)注冊使用網(wǎng)頁動態(tài)注冊時，請管理員通知注冊人，在訪問本網(wǎng)站時，暫時關(guān)閉網(wǎng)頁彈出攔截程序或?qū)⒈揪W(wǎng)站添加到不攔截列表中。手動注冊：除了自動注冊設(shè)備外，遇到需要手工注冊新增設(shè)備時，也可通過web管理平臺中數(shù)據(jù)

39、查詢，設(shè)備信息查詢中的手動添加設(shè)備功能，將新增設(shè)備的具體信息詳細(xì)登記填寫至數(shù)據(jù)庫中，并將其置為保護(hù)設(shè)備。注意：1.多級級聯(lián)注冊：如果系統(tǒng)為多級級聯(lián)方式，必須在區(qū)域管理器的高級配置中的“系統(tǒng)配置”、“策略配置”選項中的級聯(lián)選項選中，并正確添加上級管理器的ip地址，各級區(qū)域會將自己所管轄的區(qū)域管理ip段上報到上級數(shù)據(jù)庫中存儲。此時，當(dāng)網(wǎng)絡(luò)中任意一臺下級區(qū)域客戶端計算機(jī)訪問主網(wǎng)站的同時，會根據(jù)最上級區(qū)域數(shù)據(jù)庫中存儲的各級上報ip段信息，自動將該客戶端注冊程序文件下載路徑指向?yàn)樽约核巌p段的本級區(qū)域注冊器上，做到各個區(qū)域的客戶端計算機(jī)在訪問同一網(wǎng)站進(jìn)行注冊程序下載時，所下載的客戶端程序均為自己所在區(qū)

40、域的專用注冊程序。如果網(wǎng)絡(luò)中內(nèi)部網(wǎng)站，網(wǎng)絡(luò)管理員可以通知網(wǎng)絡(luò)內(nèi)計算機(jī)在本系統(tǒng)web管理平臺的登錄頁面中點(diǎn)擊下載注冊程序完成系統(tǒng)注冊，或者在此頁面下按上面的步驟做好彈出提示窗口方式注冊。注冊程序界面如下：圖2-3-11-4 終端注冊信息無論采取哪種方式，在注冊成功以后，注冊程序除了將主動添加的信息自動上報以外，還會自動收集其它和系統(tǒng)相關(guān)的信息進(jìn)行上報?？蛻舳撕蛥^(qū)域管理器連接通訊不正常的情況下，將提示用戶“缺省注冊成功”，表示客戶端探頭已經(jīng)注冊完畢，但還沒有與區(qū)域管理器通訊。當(dāng)區(qū)域掃描器掃到該計算機(jī)的ip地址時，才會將添加的信息及系統(tǒng)采集信息上報到區(qū)域管理器，存儲在數(shù)據(jù)庫當(dāng)中。2本系統(tǒng)使用初期，若

41、要求對下屬網(wǎng)絡(luò)中的計算機(jī)信息進(jìn)行統(tǒng)計、注冊、入庫，必須在web管理平臺中管理器設(shè)置項內(nèi)選中“允許客戶端注冊”，如注冊時需要密碼，也需要在web管理平臺中進(jìn)行設(shè)置，如下圖所示：圖2-3-11-5 允許客戶端注冊 圖2-3-11-6 注冊信息編輯（三）客戶端卸載網(wǎng)絡(luò)客戶根據(jù)情況需要卸載客戶端探頭程序時，在終端桌面上，點(diǎn)擊“開始”，“運(yùn)行”，輸入“uninstalledp.exe”，如圖：圖2-3-11-7 客戶端卸載記錄下序列號，并將序列號復(fù)制到如下圖的第一個方框中：圖2-3-11-8 查看卸載密碼點(diǎn)擊查看將會產(chǎn)生一個卸載密碼，將其輸入卸載密碼框中點(diǎn)擊卸載即可。圖2-3-11-9 卸載密碼或通過w

42、eb管理平臺中的點(diǎn)點(diǎn)控制中的終端卸載如圖： 圖2-3-11-10 終端點(diǎn)對點(diǎn)-終端卸載第三章 產(chǎn)品應(yīng)用本平臺配置主要指北信源終端安全管理的網(wǎng)頁平臺操作，網(wǎng)頁平臺是整個北信源終端安全管理的配置操作核心，整個內(nèi)網(wǎng)安全及補(bǔ)丁分發(fā)管理系統(tǒng)功能的實(shí)現(xiàn)全部在web操作中實(shí)現(xiàn)，web方式有助于管理員遠(yuǎn)程維護(hù)系統(tǒng)，進(jìn)行統(tǒng)一配置和統(tǒng)一管理。掌握對網(wǎng)頁平臺的功能操作和配置對使用本系統(tǒng)來提高整個網(wǎng)絡(luò)的安全性和解決網(wǎng)絡(luò)管理的效率有著重要作用。菜單功能模塊:系統(tǒng)策略中心、數(shù)據(jù)查詢、終端控制、補(bǔ)丁分發(fā)、運(yùn)維信息、報警事件、級聯(lián)總控、統(tǒng)計報表、系統(tǒng)維護(hù)等模塊。3-1配置與管理3-1-1 區(qū)域劃分在網(wǎng)頁平臺安裝完畢之后，訪問

43、http:/web服務(wù)器域名（ip）/vrveis訪問web管理平臺登錄界面。如下所示：圖3-1-1-1 web管理登錄界面其中客戶端工具下載菜單提供了包括用戶注冊器下載、補(bǔ)丁檢測中心、多路幫助平臺、普通工具下載、管理員工具下載、工具上傳管理等功能，用戶按照頁面提示操作即可。圖3-1-1-2 客戶端工具下載界面系統(tǒng)默認(rèn)用戶為admin，密碼為123456，登錄后建議管理員修改管理員密碼。成功登錄后，進(jìn)入系統(tǒng)的主界面。如下圖所示：圖3-1-1-3 web管理主界面n 在所處的ip地址段內(nèi)，進(jìn)行區(qū)域劃分操作首先進(jìn)行區(qū)域添加和劃分操作。 區(qū)域劃分：單擊配置管理里的“區(qū)域劃分與配置”，對網(wǎng)絡(luò)中的客戶端

44、進(jìn)行區(qū)域劃分管理，按照提示依次添加區(qū)域、增加區(qū)域ip管理范圍、分配區(qū)域管理器、，并完成系統(tǒng)組件運(yùn)行參數(shù)配置。具體步驟：區(qū)域描述配置欄中填寫好一些必要的與區(qū)域相關(guān)的信息，如區(qū)域機(jī)構(gòu)代碼、區(qū)域名稱、負(fù)責(zé)人姓名等。其他信息可以酌情依照實(shí)際用途填寫。本區(qū)域ip劃分：根據(jù)用戶實(shí)際需要在下圖所示的文本框中填入需要管轄的ip地址。其中保留ip段為不需要注冊的設(shè)備。圖3-1-1-4區(qū)域劃分與配置下級區(qū)域劃分：在已有區(qū)域頁面中點(diǎn)擊“增加下級區(qū)域”按鈕進(jìn)行下級區(qū)域添加，如集團(tuán)總部下屬總裁辦、行政部、財務(wù)部等。圖3-1-1-5 增加區(qū)域3-1-2 區(qū)域管理器配置 區(qū)域管理器：區(qū)域管理器為系統(tǒng)策略控制及數(shù)據(jù)接收處理中

45、心，具有控制完成系統(tǒng)相關(guān)的動作行為處理功能；同時與本級數(shù)據(jù)庫系統(tǒng)連接，統(tǒng)一接收注冊程序提供的信息，將用戶信息（填寫的計算機(jī)使用人姓名、聯(lián)系電話、e-mail等，計算機(jī)ip、mac地址、硬盤、cpu、內(nèi)存等其它硬件信息均為自動采集）存入數(shù)據(jù)庫。根據(jù)本區(qū)域客戶端ip管理情況確定對ip地址的管理方式，若選擇ip、mac地址綁定，需要在靜態(tài)ip環(huán)境下進(jìn)行設(shè)置。允許客戶端控頭升級：設(shè)置本區(qū)域管理器管理范圍內(nèi)的客戶端的升級操作。設(shè)置vpn網(wǎng)絡(luò)虛擬管理器ip：是指添加vpn虛擬服務(wù)器的ip地址。管理器標(biāo)識：是指管理器的標(biāo)記，當(dāng)服務(wù)器遷移時需要設(shè)置與之相同的管理器標(biāo)識。管理器可直接通信網(wǎng)段：在管理多個獨(dú)立子網(wǎng)

46、時,該配置填寫區(qū)域管理器服務(wù)器可直接通信的地址。允許客戶端注冊：是指任意一臺在區(qū)域范圍內(nèi)的客戶端都可以在服務(wù)器上注冊。管理器配置同步：當(dāng)選中“下級區(qū)域”時下級區(qū)域的配置應(yīng)該和上級區(qū)域管理器的配置相同，當(dāng)選中“全部區(qū)域”時是指下面的任意級聯(lián)區(qū)域都要和區(qū)域管理器的配置同步。圖3-1-2-1 區(qū)域管理器參數(shù)設(shè)置區(qū)域管理器系統(tǒng)配置：當(dāng)設(shè)置完當(dāng)前頁面這時我們可以配置剛才安裝好的內(nèi)網(wǎng)安全管理管理器去桌面雙擊“內(nèi)網(wǎng)安全管理管理器”快捷方式彈出如下界面：圖 3-1-2-2區(qū)域管理器系統(tǒng)配置n 先進(jìn)行sql服務(wù)器配置：進(jìn)入“系統(tǒng)配置”，逐步輸入sql服務(wù)器ip地址、用戶名稱及密碼、數(shù)據(jù)庫名稱（默認(rèn)為vrveis

47、），單擊“確定”完成sql服務(wù)器配置。 圖 3-1-2-3 sql服務(wù)器配置管理器配置：本軟件默認(rèn)機(jī)器操作系統(tǒng)88端口，若其它應(yīng)用程序占用該端口，將自動更改為188。如果區(qū)域管理器應(yīng)用于多級管理（每級都有獨(dú)立的sql server和相應(yīng)的內(nèi)網(wǎng)安全管理及補(bǔ)丁自動分發(fā)管理平臺）的級聯(lián)構(gòu)架體系，其上級還有區(qū)域管理器的情況下，當(dāng)前區(qū)域管理器需要將所有信息上報到上級管理器。區(qū)域管理器支持多級級聯(lián)，如國家、省、市、縣多級規(guī)模網(wǎng)絡(luò)管理構(gòu)架，下屬區(qū)域管理器將其所有計算機(jī)報警信息轉(zhuǎn)報到上級數(shù)據(jù)庫。注：需要把“上報給上級管理器”上，輸入上級管理器地址。升級配置：用于配置區(qū)域管理器的自動升級，升級服務(wù)器地址為上級區(qū)

48、域管理器ip。區(qū)域管理器配置-高級設(shè)置系統(tǒng)配置：鎖定下級策略是指下級不可以修改ip管理范圍上報給上級區(qū)域管理器是指下級的策略，阻斷，違規(guī)信息上報給上級區(qū)域管理器，在此處打上“”添加上上級管理器地址，配置級聯(lián)。圖3-1-2-4 區(qū)域管理器阻斷配置： 圖3-1-2-5阻斷配置探頭阻斷：目前常用的阻斷方式，由掃描器調(diào)度探頭完成阻斷任務(wù)。只要保證一個網(wǎng)段（vlan）中有存活的已注冊計算機(jī)達(dá)到80% ，就可以實(shí)現(xiàn)阻斷。防火墻阻斷：該方式必須與防火墻結(jié)合使用，需要設(shè)置必要的防火墻規(guī)則集和安全認(rèn)證，與其它廠商防火墻聯(lián)動時使用。報警過濾：本軟件系統(tǒng)提供對多種違規(guī)變化行為的報警：非法外聯(lián)、設(shè)備未注冊、ip綁定變

49、化、設(shè)備變化、探頭被卸載、病毒行為報警等。本地報警種類過濾：僅對本地網(wǎng)絡(luò)中區(qū)域管理器管理范圍內(nèi)的違規(guī)變化行為進(jìn)行報警顯示，用戶根據(jù)自身管理要求進(jìn)行篩選。圖3-1-2-6 報警種類過濾策略配置：系統(tǒng)支持對各種文件的分發(fā)，在web中央管理平臺進(jìn)行軟件分發(fā)操作前，必須對本項進(jìn)行配置。默認(rèn)將分發(fā)文件放在c:vrvregionmanagedistribute目錄下，管理員可根據(jù)需要自行更改路徑，同時，修改本路徑后，補(bǔ)丁下載存放的位置也會相應(yīng)改變。圖3-1-2-7策略配置補(bǔ)丁下載：將待分發(fā)操作系統(tǒng)補(bǔ)丁放置在設(shè)置好的補(bǔ)丁路徑的目錄下，在web中央管理平臺中進(jìn)行分發(fā)操作。管理員通過對參數(shù)項的選擇進(jìn)行下載配置，

50、級聯(lián)ip提供對上一級補(bǔ)丁的下載獲取。圖3-1-2-8 補(bǔ)丁下載3-1-3 掃描器配置點(diǎn)擊增加掃描器設(shè)置掃描器掃描網(wǎng)絡(luò)ip范圍。機(jī)構(gòu)代碼：一般為阿拉伯?dāng)?shù)字，由用戶單位根據(jù)管理要求進(jìn)行設(shè)定。掃描間隔：根據(jù)管理ip范圍大小進(jìn)行設(shè)置。圖3-1-3-1 區(qū)域掃描器參數(shù)設(shè)置注:掃描器配合區(qū)域管理器進(jìn)行工作，掃描器的掃描范圍不可能超過它的區(qū)域管理器管理的ip范圍。掃描器除了指定掃描的ip范圍外還能夠指定排除不掃描的地址范圍，如有某些網(wǎng)段不需要掃描器發(fā)現(xiàn)設(shè)備，為縮短掃描時間，可在掃描器設(shè)置中增加禁止掃描地址段的設(shè)置。掃描器高級配置：圖3-1-3-2 掃描器配置-系統(tǒng)配置掃描器高級配置系統(tǒng)配置：掃描頻率設(shè)定：用

51、戶可以根據(jù)網(wǎng)絡(luò)中網(wǎng)絡(luò)帶寬占用情況，靈活設(shè)置掃描頻率，同樣可以選擇是否“使用snmp掃描”掃描方式，如果選擇“使用snmp掃描”，則系統(tǒng)能夠自動對網(wǎng)絡(luò)設(shè)備（例如交換機(jī)、路由器、網(wǎng)絡(luò)打印機(jī)等）進(jìn)行掃描，并自動登記到設(shè)備列表庫中。阻斷選項：如果用戶選擇“掃描器阻斷”，此時可采取“輕量級阻斷”和“重量級阻斷”兩種方式。輕量級阻斷：阻斷計算機(jī)向網(wǎng)絡(luò)中廣播一個arp請求報文，將被阻斷計算機(jī)的ip地址及對應(yīng)的假mac地址發(fā)送給網(wǎng)絡(luò)內(nèi)所有的計算機(jī)，每臺計算機(jī)收到請求后便會對本地的arp緩存進(jìn)行更新，將收到的請求中的ip和對應(yīng)的假mac地址存儲在arp緩存中。這樣對于網(wǎng)絡(luò)中的計算機(jī)看來，被阻斷計算機(jī)的ip地址沒

52、有變化，而它的mac地址已經(jīng)不是原來那個了。由于局域網(wǎng)的網(wǎng)絡(luò)通信不是根據(jù)ip地址進(jìn)行，而是按照mac地址進(jìn)行傳輸。因此，被阻斷計算機(jī)便接收不到網(wǎng)絡(luò)中計算機(jī)（不含阻斷計算機(jī)）傳送過來的信息。重量級阻斷：阻斷計算機(jī)冒充網(wǎng)絡(luò)中的其他計算機(jī)（本網(wǎng)段1-255）給被阻斷計算機(jī)發(fā)送定向arp應(yīng)答報文，被阻斷計算機(jī)收到請求后便會對本地的arp緩存進(jìn)行更新，將收到的請求中的ip和對應(yīng)的假mac地址存儲在arp緩存中。這樣對于被阻斷計算機(jī)看來，網(wǎng)絡(luò)中的計算機(jī)的ip地址沒有變化，而它們的mac地址已經(jīng)不是原來那個了。因此，被阻斷計算機(jī)便不能向網(wǎng)絡(luò)中的計算機(jī)（不含阻斷計算機(jī)）傳送信息。掃描器高級配置交換機(jī)掃描配置：

53、交換機(jī)掃描用于掃描發(fā)現(xiàn)交換機(jī)，進(jìn)行拓?fù)浒l(fā)現(xiàn)。snmp讀/寫團(tuán)體名：根據(jù)拓?fù)涔芾硇枰斎刖W(wǎng)絡(luò)中所有網(wǎng)絡(luò)設(shè)備的snmp讀團(tuán)體名用“;”隔開。圖3-1-3-3 交換機(jī)掃描配置如上圖，配置掃描間隔時間一般設(shè)成5-10分鐘，ip范圍設(shè)置需要掃描的ip段，snmp讀團(tuán)體名稱是根據(jù)交換機(jī)口令設(shè)置的。該功能的啟用需要下載交換機(jī)拓?fù)淠K，安裝后進(jìn)行網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)。進(jìn)入web管理平臺主頁面“運(yùn)維監(jiān)控”菜單，啟用網(wǎng)絡(luò)拓?fù)鋱D，安裝交換機(jī)拓?fù)淠K后進(jìn)行網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)。3-1-4 注冊程序配置 控制頁面如下，管理員可以通過設(shè)置來按照需求來配置客戶端注冊程序,讓用戶填入相應(yīng)的信息 ,方便以后管理。其中的項有啟用、必選、還可以對

54、輸入數(shù)據(jù)進(jìn)行控制，后面的功能設(shè)置必須對每個功能模塊啟用。圖 3-1-4-1 注冊程序配置選擇編輯單位/部門彈出如下圖：圖 3-1-4-2 編輯單位/部門先選擇修改單位彈出如下窗口：圖 3-1-4-3 修改單位填寫單位名稱和單位備注消息點(diǎn)擊添加/修改單位。最后點(diǎn)擊保存修改關(guān)閉窗口返回上級窗口如下圖： 圖 3-1-4-4 保存修改可以看到剛才添加的單位。在此輸入每個單位所對應(yīng)的部門,部門備注信息.選擇保存修改可以完成單位和部門的配置。點(diǎn)擊設(shè)置注冊密碼彈出如下窗體原注冊密碼為空。 設(shè)置注冊密碼是為了防止新接入設(shè)備非法進(jìn)行注冊。圖 3-1-4-5直接添加新注冊密碼保存修改就可以。注冊單位與注冊部門產(chǎn)生

55、聯(lián)動 當(dāng)對單位和注冊部門設(shè)置為必填和僅選擇這時客戶端注冊程序 對單位和部門的填寫只能按照管理員的設(shè)置來選擇.不能手動填寫。使用靜默注冊：以上的設(shè)置都不生效這時客戶端注冊程序只需選擇下載運(yùn)行就可以。注冊程序會自己上報終端的計算機(jī)名和ip地址mac地址。選擇保存修改點(diǎn)擊打包注冊程序這時完成客戶端注冊程序配置。3-1-5 自定義組分配與管理自定義組用來對網(wǎng)絡(luò)中特定或者有特殊用途的機(jī)器進(jìn)行編組，以便采取不同的管理手段，方便管理員的管理。該組的客戶端成員可以由管理員根據(jù)某查詢條件而查得的計算機(jī)導(dǎo)入自定義組。如下圖所示：圖 3-1-5-1 自定義組分配與管理1 首先創(chuàng)建分組，點(diǎn)擊創(chuàng)建下級組：首先創(chuàng)建分組，點(diǎn)擊創(chuàng)建下級組，添加分組名稱，分組描述，保存設(shè)置。圖3-1-5-2 創(chuàng)建分組2 向組中添加設(shè)備：點(diǎn)擊添加設(shè)備，彈出如下圖，可以按設(shè)備查找，按ip查找，按操作系統(tǒng)查找，選中一個點(diǎn)擊添加，然后點(diǎn)擊查詢，導(dǎo)入組即可。同時還可以通過設(shè)備信息查詢，和補(bǔ)丁查詢中來添加設(shè)備。圖3-1-5-3 查詢設(shè)備3 如果需要將ip/mac綁定，那么可以執(zhí)行下面操作：將當(dāng)添加完組設(shè)備以后點(diǎn)擊“將組