北信源内网安全管理系统手册.doc

特 别 声 明n 本使用手册由北信源终端安全管理系列产品安装配置指导手册、用户手册、产品维护手册三部分组成，其内容将随着北信源软件的不断升级而改变(以光盘中电子版发行时为最新版)，恕不另行通知。需要者请从北信源公司网站下载本手册的最新电子版或者直接联系北信源公司索取。n 北信源终端安全管理系列产品由北信源内网安全管理系统、北信源补丁及文件分发管理系统、北信源主机监控审计系统、北信源移动存储介质使用管理系统、北信源网络接入控制管理系统及北信源接入认证网关6大套件构成。n 本使用手册为北信源终端安全管理系列产品通用说明书。若您独立购买北信源内网安全管理系统或北信源补丁及文件分发管理系统等其中之一产品，本说明书的其它功能将不具备。n 感谢您购买北京北信源软件股份有限公司研制开发的北信源终端安全管理系列产品。请在使用本软件之前认真阅读本使用手册，当您开始使用该软件时，北信源公司认为您已经阅读了本使用手册。快速阅读指南1. 本使用手册为北信源终端安全管理系列产品全功能用户手册，请按照所购买产品对应相关的产品说明进行配置使用（该手册第一、二、三章为终端安全管理产品共有部分，凡购买任何一款终端安全管理产品都应首先详细阅读此三个章节）。2. 详细阅读本软件组件功能、组成、作用、应用构架，确切了解本软件的系统应用。3. 安装准备软件环境：Microsoft SQL Server2000、Windows 2000 Server、Internet 服务管理器。SQL安装注意事项请参照第二章2-3-1所示。建议将数据库管理系统、区域管理器、WEB管理平台安装在同一服务器上,确认区域管理器所在机器的88端口不被占用（即非主域控制器）；防火墙应允许打开88，2388，2399，22105，8900，8901，22106，22108，8889端口。4. 按步骤安装各组件后，通过http:/*.*.*.*/vrveis登录Web管理平台，首先对Web管理平台进行如下配置：添加区域划分该区域IP范围指定区域管理器指定区域扫描器。5. 双击屏幕右下角区域管理器、单击主机保护进行通讯参数配置。6. 在VRVVRVEISdownload目录中，使用RegTools.exe工具修改DeviceRegist.exe文件中的本地区域管理器IP，将修改后的注册程序DeviceRegist.exe放在机构网站上进行静态网页注册，或者在机构网站上加载动态网页检测注册脚本语句，进行动态设备注册。7. 系统升级：联系北信源公司获取最新的软件组件升级包，确保Web管理平台、区域管理器、客户端注册程序等组件的升级。8. 如果本手册中的插图与实际应用的产品有出入，以实际产品为主。特别提示：默认管理员用户：admin，密码：123456；系统指定审计用户名：audit,密码：123456请注意修改。目 录第一章产品介绍61-1 产品构架61-2 应用构架8第二章产品安装92-1 安装环境92-2 安装注意事项102-2-1 软件安装监控服务器部署注意事项102-2-2 软件安装和应用过程中注意事项102-3 产品组件安装112-3-1 安装SQL server数据库112-3-2 安装WinPcap驱动模块122-3-3 安装远程技术支持模块132-3-4 初始化数据库132-3-5 安装Web中央管理平台162-3-6 安装区域管理器Region Manage162-3-7 安装补丁下载服务器模块182-3-8 安装管理器主机保护模块192-3-9 安装报警中心模块192-3-10 客户端注册及下载19第三章 产品应用263-1配置与管理263-1-1 区域划分263-1-2 区域管理器配置293-1-3 扫描器配置343-1-4 注册程序配置363-1-5 自定义组分配与管理403-1-6 IP与MAC绑定列表413-1-7 系统运维监控423-2客户端阻断443-2-1 扫描器组件配置443-2-2 阻断策略应用44第四章 北信源内网安全管理系统474-1策略中心474-2数据查询714-2-1设备信息查询724-2-2注册资产查询724-2-3安装软件查询734-2-4首次运行进程查询744-2-5共享目录查询754-2-6设备IP占用情况列表754-2-7硬件变化查询764-2-8违规软件及进程764-2-9安全策略违规774-2-10消息确认查询774-3终端管理784-3-1终端管理784-3-2行为控制874-3-3远程协助934-4运维信息934-4-1客户端流量排名934-4-2客户端流量统计944-4-3运维状态异常944-4-4交换机端口管理954-4-5网管帮助设置954-5报表管理964-6报警管理974-6-1报警数据查询974-6-2本地报警数据汇总1024-7级联总控1034-8系统维护111第五章 北信源补丁及文件分发管理系统1165-1 区域管理器补丁管理设置1165-2策略中心1175-3补丁分发1265-4 补丁自动下载分发1295-5 客户端补丁检测（一）1335-6 客户端补丁检测（二）1345-7本地补丁分发综合查询1355-8 补丁级联下载135第六章 北信源主机监控审计系统1366-1策略中心1366-2数据查询1436-2-1上网访问审计1436-2-2文件输出审计1436-2-3文件保护审计1446-2-4涉密检查查询144第七章 北信源移动存储介质使用管理系统1457-1策略中心1457-2数据查询1507-2-1移动设备审计150第八章 北信源网络接入控制管理系统1508-1策略中心1508-2环境准备方法1581）安装RADIUS (windows IAS)1588-3各厂商交换机配置1758-3-1 Cisco2950配置方法1758-3-2华为3COM 3628配置1768-3-3 锐捷RGS21配置179第九章 北信源接入认证网关1819-1 网关接入配置认证1819-2策略中心182第十章 系统备份及系统升级18710-1 系统数据库数据备份及还原18710-2 系统组件升级18710-2-1 区域管理器、扫描器模块升级18710-2-2 升级网页管理平台18710-2-3 客户端注册程序升级18810-2-4 检查系统是否升级成功18810-3 级联管理模式升级及配置188第十一章 售后服务189第十二章 附录191附录（一）北信源终端安全管理产品名词注释191附录（二）移动存储设备认证工具操作说明191附录（三）主机保护工具操作说明207附录（四）组态报表管理系统操作说明208附录（五）报警平台操作说明217附录（六）WIN2003-IIS服务器配置说明223前 言目前国内政府机关、军队、公安、保密部门、科研机构、金融、证券等企事业单位中的网络都具有相当的规模，网络中大量使用计算机及其它网络设备。这些设备带来高效应用的同时，由于自身确实存在着安全风险隐患，应该采用相关网络安全技术手段来保障整个网络运行的安全。目前单位自身内部网络分为以下几种类型：1、 办公网：企事业单位中的普通办公网络、公司企业网，它们通过有限出口接入Internet网络；2、 内部专网：政府办公网、金融运营网及各系统重要的实时网络，该种网络一般为内部专用网络，此类网络同外部网络采取物理隔离的方式实现相互独立；3、保密网：政府机关、军队、公安、保密部门的内部机密安全网络，一般采用专门的网络通道，要求具有绝对的内网隔离度。尽管以上大多数用户采用了专门的网络通道技术、物理隔离技术、安全网段划分、安全防护设施（如防火墙、入侵检测、漏洞扫描）等方式保证自己的网络安全，但是，对类似下面的安全问题仍然无法做到真正意义上的解决：1、 如何发现终端设备的系统漏洞并自动分发补丁；2、 如何防范移动设备随意接入内网；3、 如何防范内网设备违规进入外网；4、 如何管理终端资产并真正控制、管理终端设备的运行；5、 如何制订整体安全策略并全网执行；6、 如何管理控制终端设备的数据流；7、 平台、安全平台等诸多设备如何衔接并统一管理。北信源终端安全管理产品VRV EDP（Enterprise desk planning）能够完全解决上述网络安全管理工作中遇到的常见问题。VRV EDP系统强化对网络计算机终端的控制，管理内容包括：资源资产、终端安全策略、桌面风险审计、补丁检测分发、终端运行状态监控以及终端行为审计等。北信源终端安全管理产品提供了防火墙、IDS、防病毒系统、专业网管软件所不能提供的防护功能，对它们管理的盲区进行监控，成为一个实时的安全监控系统，并能够同其它网络安全设备或网络安全系统进行安全集成和报警联动。北信源终端安全管理产品针对网络管理工作中遇到的实际管理需求，进行网络安全资源规划,如防止移动设备非法接入内部网络、IP资源分配管理、静态IP同MAC地址的绑定、提供设备资源登记及硬件设备（硬盘、CPU、内存等）变化报警、进行内部网络连接阻断等功能。同时，为有效解决网络中计算机非法接入和非法外联问题， VRV EDP系统提供实时监控的强大功能，即实时报警以及实时切断非法计算机同内网的连接。北信源终端安全管理产品通过Web方式对整个系统进行应用策略配置，管理网络和查询报警数据，方便用户操作，有效防范不安全因素对内部网络构成的威胁，真正做到内部网络的完全安全管理。北信源终端安全管理产品支持基于局域网、广域网的国家省市县多级级联管理模式。第一章产品介绍1-1 产品构架北信源终端安全管理产品由8部分组成：WinPcap程序、SQL Server管理信息库（安装包：环境初始化程序）、Web中央管理配置平台（安装包：网页管理平台）、区域管理器(安装包：Region Manage,原区域扫描器已作为模块集成到区域管理器)、客户端注册程序（安装包：注册程序）、补丁下载服务器、管理器主机保护模块、报警中心模块。环境初始化程序：SQL Server管理信息库，建立北信源终端安全管理产品的初始化数据库。初始化的信息包括：网络客户端设备属性信息、区域管理器信息、设备扫描器信息、区域管理范围信息、注册（未注册）机器信息、设备属性变化信息、报警信息等。扫描器将设备最新状态信息同数据库中原有信息进行遍历搜索对比，根据规则要求在管理平台上报警。Web管理平台：Web中央管理配置平台，本系统的管理配置中心。包括区域管理器、扫描器、注册客户端的功能参数设定，网络设备信息发现、系统应用策略制订、报警信息显示、定义任务功能制订、系统用户维护等配置操作。Region Manage：区域管理器，系统数据处理中心，负责与管理信息数据库通讯扫描终端设备、控制服务器、客户端之间的信息、指令的下达、接受。比如：接收注册程序提供的用户信息，将用户信息（用户填写的物理信息和系统自动采集的硬件信息）并行存入数据库；接受来自控制台的命令操作，发送到客户端、扫描器执行。对于存在多级管理要求的广域网，网络中可以存在多个区域管理器，实现系统数据逐级上报（转发），对网络终端的多级管理。区域管理器内置网络扫描器，扫描器用来发现网络的终端设备。将发现的设备信息交由区域管理器处理。、设备最新状态信息报送至区域管理器，由区域管理器处理后，同数据库中原有信息进行遍历搜索对比，根据管理规则在管理平台上报警。扫描器配合区域管理器进行工作，可以在分级模式下使用。扫描器只依据Web管理平台中配置的工作范围进行扫描，如果终端IP超越其范围，将不负责执行操作。WinPcap程序：嗅探驱动软件，监听共享网络上传送的数据。客户端注册程序：将接收并执行服务器下发的指令。该程序可以在“工具下载->用户注册器下载”处下载。访问指定网站自动获得，用户填写必要的信息后，运行该程序，区域管理器将收到注册终端的相关信息，同时终端可以接收、执行各种下发的指令。注册程序自动探测系统硬件信息，连同用户填写的信息一同上报区域管理器。用户将本机注册信息发送到区域管理器后，区域管理器自动将客户端驻留程序应用策略发送给用户，并自动更新。客户端驻留程序功能：1. 进行本机硬件属性信息变化监视；2. 进行本机IP、MAC地址变化审计；3. 本机系统补丁、软件安装、运行进程状况监测；4. 探测本机是否有违规联网行为，在内网管理中心或外网报警平台报警；5. 接受Web管理平台的管理命令；6. 阻断本机非法外联行为；7. 执行Web管理平台下发的各种策略操作。补丁下载服务器：安装在与Internet网络连接的机器上，用于实时下载补丁厂商发布的补丁。管理器主机保护模块：管理器主机保护模块可根据管理器或其他服务器具体使用的端口、网络协议、通信IP范围和具体的其他网络应用来定义该计算机使用的安全级较高的网络配置，从而防止该计算机受到恶意的IP冲突以及各种网络、病毒攻击。报警中心模块：安装在可与区域管理器所在服务器正常通讯的计算机上，本模块可以根据管理员在系统中所配置的报警事件和危险级别提供给管理员包括电子邮件、信使服务、SNMP Trap、手机短信等多种报警方式。注：区域管理器（Region Manage）、区域扫描器模块（Region scan）、注册程序部分系统的参数配置集中体现在网页管理平台操作上，上述三部分功能参数、功能项数值统一在网页管理平台中进行配置。区域管理器（Region Manage）、扫描器模块（Region scan）部分参数在自身程序组件中配置。1-2 应用构架北信源终端安全管理应用于局域网、广域网构架，支持跨网段、跨地域的内网远程客户端管理及非法移动设备接入检测、网内计算机违规联网监视、网络安全隔离度监控等。系统应用主要分为以下两种构架：基本构架：对于一般网络（例如1个C类地址或若干个C类地址的局域网范围），可使用一套本系统软件，通过一个管理器集中管理所属区域内的所有设备。扩展构架：对于大规模的多个局域网或者跨地域广域网（包括基于国家、省、市、县等多级管理模式的网络结构），可使用本系统提供的多区域集中管理构架，即一个或多个网段各拥有一套独立北信源终端安全管理的同时，将本级所有设备信息再转发给上级管理数据库，使得上一级管理人员对整个网络的设备状况也能够完全掌握。图1-1北信源终端安全管理应用拓扑第二章产品安装2-1 安装环境条件一：硬件环境SQL Server数据库服务器：用于安装系统管理信息数据库。PC服务器或更高档服务器， Pentium 2.4C 以上CPU，512M以上内存。区域管理器：用于安装区域管理器程序。百兆或千兆网卡，PC服务器或更高档服务器， Pentium 2.4C 以上CPU，512M以上内存。扫描器模块：配置同区域管理器。如单独安装扫描器模块，比较高档的PC计算机即可。本系统各程序可安装在同一台计算机上，也可在不同机器上安装SQL数据库、IIS服务器、区域管理器、扫描器模块等，此时推荐该计算机内存为1G以上。建议将区域管理器、扫描器、网页管理平台安装在同一台机器上，作为监控服务器。条件二：提供数据库、IIS服务操作系统：Windows 2000或Windows 2003企业版操作系统。Mircosoft SQL Server软件：配备SQL Server 2000或SQL Server 2005数据库系统，用于北信源终端安全管理建立管理信息库数据库列表项。（注：以下均以SQL Server 2000为例）IIS服务：配备IIS服务器提供Web服务，用于安装Web网页管理配置平台。如所装操作系统为Windows 2003企业版，则需要按照附录（三）的Windows 2003的IIS配置说明进行IIS配置。条件三：为本系统提供相应端口北信源终端安全管理产品区域管理器将占用操作系统88端口，必须确保安装区域管理器的机器该端口不被占用。区域内的防火墙应打开如下端口：80，88,2388，2399，8901,8900,161,137,22105，8889，22106，22108以及ICMP协议。同时最好将DNS服务迁移至其它服务器。2-2 安装注意事项软件安装时，推荐将区域管理器、扫描器、数据库安装在同一台机器上（以下称为监控服务器），建议按照下面要求进行监控服务器部署、软件安装、客户端注册。2-2-1 软件安装监控服务器部署注意事项1、监控服务器在网络中放置位置注意点n 确保该监控服务器能够ping通所有被管理网络中任意一台客户端机器，同时被管理客户端可以正常连接服务器的TCP的80,88两个端口。n 监控服务器给客户端下达策略的端口为：TCP端口22105；n 监控服务器扫描发现客户端利用以下协议及端口：n ICMP协议（发现IP地址存在的其中一种方式）；n NETBIOS协议,UDP端口137(为了发现机器名和MAC地址)；n SNMP协议,TCP端口161（为了发现智能设备如路由器、交换机等）；在本地网络中若划分了VLAN，或本地网络存在防火墙，请注意上述问题。2、存在网中子网（如经过地址转换）的网络布置点对于网络中存在网中网现象，如采用NAT地址转化或者代理方式在10.*. *. *网络中接入192.*. *. *网段，这些子网用户的管理方式如下：情况一：子网有专人管理，并且有独立机房应在该子网中安装一套完整的监控系统。情况二：子网无专人管理，或无独立机房，可采用以下3种方式之一处理n 机器数量少的建议统一更改IP为10.*. *. * 网段。n 由管理员监督子网中所有机器进行注册并保证不得遗漏。n 在该网络中指定一台工作站专门安装区域管理器软件和区域扫描模块，并将区域管理器配置中SQL服务器地址指向监控服务器。2-2-2 软件安装和应用过程中注意事项1、必须按照软件安装步骤进行安装1）确认本机IIS服务正常；2）确认本机SQL已正常安装并能正常使用（以本地系统账户方式安装）；3）确认目标安装盘剩余空间不小于10G；4）请务必按照指定顺序安装各个模块；5）请在区域扫描模块所在计算机中安装SNMP服务；6）安装完所有系统模块后，请一定按照说明文档进行客户端程序的配置及分发安装。2、监控服务器的安全性问题管理服务器安装Windows2000 Server操作系统（带IIS）、MS SQL Server2000数据库后，一定要确保对Windows2000、SQL和IE进行重要安全补丁修补，规范操作系统、数据库的口令和密码设置，保证SQL、IIS的正常启动运行。确保本服务器无病毒，同时可配置本服务器网络通讯端口仅打开：80，88，6800，8901，8900，22105，2388，2399，8889。3、保护机制的应用对大多数交换机、路由器、非Windows设备，需要将其设置为保护状态（避免被阻断导致网络不通），其它如有系统无法识别的重要设备，请在网页管理平台设备信息查询中手动将其设置为保护状态。2-3 产品组件安装安装顺序依次为：*安装 SQL Server数据库；*安装WinPcap驱动程序；*安装并运行环境初始化程序，初始化数据库；*安装网页平台并进行划分区域，配置区域IP范围、区域管理器参数、设备扫描器参数等（推荐安装在默认路径下）；*安装区域管理器（推荐安装在默认路径下）；*通知所有用户下载并运行注册客户端代理探头程序。2-3-1 安装SQL server数据库 只需要在安装过程中注意选择“使用本地系统帐户”和“混合模式”图2-3-1数据库服务器安装向导图2-3-2数据库服务器安装向导2-3-2 安装WinPcap驱动模块 在安装页面中选择“安装WinPcap驱动模块”按钮，单击“下一步”安装在区域扫描器所在计算机上。2-3-3 安装远程技术支持模块该模块是一个程序附属工具(一般不需要安装)在客户端安装程序里带有该程序, 是用户远程桌面管理及控制,便于管理员帮助终端用户解决问题。2-3-4 初始化数据库初始化数据库是在SQL数据库中初始化建立VRVEIS数据库并生成系统必需的相关数据表格，在此过程中需要利用本地数据或者调用远程SQL数据库，用户需要根据实际安装情况按以下两种方式进行操作：n 本地SQL数据库服务器环境初始化1)、环境初始化，建立初始数据库在SQL服务器地址栏中添加本地机器IP地址、SQL用户名、以及SQL用户密码。图 2-3-4-1 SQL数据库服务器环境初始化2)、检查数据库初始化是否成功：图2-3-4-2 检查数据库初始化当有如图“初始化数据库结构成功”提示框弹出时，说明已成功创建初始化数据库。否则会出现如下图所示提示信息：图2-3-4-3初始化数据库失败提示信息如果出现如上图所示提示信息，用户需要检查所填入的SQL数据库IP地址、用户名以及用户密码，重新初始化数据库。n 远程SQL数据库服务器环境初始化（建议非特殊情况不采用远程方式）1)、输入远程数据库信息，配置SQL客户端：安装远程数据库需要首先输入远程数据库IP地址、用户名称、用户密码，然后点击“配置SQL客户端”，出现如下界面：图2-3-4-4 配置SQL客户端2)、在通用栏中，启用TCP/IP协议：在通用栏中，选用TCP/IP协议，并启用，然后单击别名，进行别名添加设置。图2-3-4-5 启用所选协议3)、进行客户端别名的添加:单击上图中所圈中的别名，出现如下所示：图2-3-4-6 对客户端别名的添加4)、进行网络协议的选择和服务器别名的添加：此时用户需要首先选择网络协议，选定为TCP/IP，点击确定后完成数据库初始化。2-3-5 安装Web中央管理平台n 安装Web管理平台此部分程序要求安装在默认路径下，安装过程中请确保信息填写正确，否则，Web服务器可能不能正确访问SQL Server数据库。n Web中央管理平台访问Web管理平台安装以后在IIS目录上以虚拟目录的形式存在，虚拟目录名称为VRVEIS，用户在安装完成以后，用http:/Web服务器域名（IP）/VRVEIS的形式访问Web管理平台主页面。默认用户名为admin，密码为123456。（以下的都是用admin登陆进行说明的）。审计用户名为audit,默认密码为123456。 如果http:/Web服务器域名（IP）/VRVEIS访问无效，则以http:/Web服务器域名（IP）/VRVEIS/INDEX.ASP方式登录。Windows2003下IIS配置以及NTFS磁盘格式配置注意事项（见附录六）。2-3-6 安装区域管理器Region Manage在Web中央管理平台中划分区域及指定区域管理器后（参见Web中央管理平台配置）安装区域管理器组件。安装后进行以下两项配置：n SQL客户端配置如果“区域管理器”没有同SQL装在同一台服务器上，需要在如下图所示窗口中将默认网络库选择为“TCP/IP”，使客户端能够远程访问数据库。在“区域管理器”中选择“配置”->“系统配置”，配置SQL客户端，也可以通过Alt+S热键，进入配置。图2-3-6-1 SQL常规配置上述配置完毕以后，需要重新启动“区域管理器”，使系统生效。n 区域管理器系统配置SQL服务器配置：进入“系统配置”，逐步输入SQL服务器IP地址、用户名称及密码、数据库名称（默认为VRVEIS），单击“确定”完成SQL服务器配置。图2-3-6-2 区域管理器中SQL配置在配置好Web中央管理平台的系统区域及其区域管理器后做以下步骤：在配置管理里，点击“扫描器配置”可以添加扫描器，配置扫描范围。图2-3-7区域扫描器配置填写相关信息之后重新启动区域管理器，程序会自动缩小到系统托盘，表示数据库连接成功，程序运行正常，此时通过上图中“扫描器配置”项来查看扫描器相关运行信息。2-3-7 安装补丁下载服务器模块在安装页面中选择“补丁下载服务器安装模块”按钮，输入序列号SN，单击“下一步”、在桌面生成DownPatch.exe快捷方式，执行后如下图所示：图2-3-8-1 补丁下载服务器主界面点击系统配置弹出如下图：图2-3-8-2 补丁下载索引解析界面添加补丁索引：从北信源站点获取补丁索引，用以获取补丁厂商发布补丁信息，通过对补丁索引的解析，下载补丁。按照补丁索引、管理配置要求从补丁厂商站点获取补丁，补丁下载支持各种方式（下载线程、下载时间）自定义下载补丁。图2-3-8-3 补丁下载参数设置2-3-8 安装管理器主机保护模块 选择安装在安装页面中选择“安装管理器主机保护模块”按钮，输入序列号SN，单击“下一步”、在桌面生成 nsscenter.EXE快捷方式，执行后在系统右下角任务栏所示绿色的图标，鼠标右键点击，可以对其进行相应的设置，具体设置参见附录(三)。2-3-9 安装报警中心模块 选择安装在安装页面中选择“安装报警中心模块”按钮，输入序列号SN，单击“下一步”、在桌面生成 nsscenter.EXE快捷方式。具体设置参见附录(五)。2-3-10 客户端注册及下载 （一）客户端注册原理及注册程序配置n 客户端注册原理执行注册程序，根据要求填入指定信息，系统自动将所添加信息和系统自动采集获得的设备信息发送到区域管理器（设置为转发模式的将发送到上级区域管理器），区域管理器将注册信息导入SQL数据库保存，在Web管理平台中设置的客户端参数策略将由区域扫描器扫描客户端后，发送给客户端驻留程序保存执行。该客户端驻留程序驻留在系统内部，以服务的方式实时运行，一旦某个客户端非法接入互联网或设备改变违规，客户端就向web管理平台发送报警数据，同时本机将显示报警信息。n 修改客户端注册程序配置文件在web平台中配置管理->注册程序配置。注册程序使用前需要网管人员的配置，主要是设置区域管理器IP地址（注册时客户端信息发向该IP地址所在的区域管理器），如区域管理器为192.168.0.244,配置如下图所示：图2-3-11-1 注册程序配置在这里，可以对注册时需要填加的单位、注册密码进行编辑。如下图所示:图2-3-11-2 单位和部门添加删除（二）客户端注册方法客户端注册方法包括网页静态注册、网页动态注册、手动注册等。网页静态注册：静态注册比较简单，客户端只需要将配置好的注册文件上传到公共主页上即可，做一个链接，访问主页后手动下载注册。主要讲述动态注册，这种方法适用于网络用户较多的情况，客户端只要访问网络内公共网站，网页将自动对客户端进行探测，弹出提示窗口，提示用户进行注册。网页动态注册：利用网络中已经构建好的内部网站，一方面网络客户端可以通过手动获得注册程序，也可以通过在主网页上加载弹出页面的方式进行提示性注册。本手册将主要介绍后一种方式。当网络中客户端计算机访问本网络内部网站时，在该主页代码中加入一段代码（如下）。本代码作用在于首先获得该客户端计算机的IP地址，再读取数据库里面相关IP地址的注册和其它相关信息，如果该IP地址的设备存在，系统会根据其是否完成“注册”、“信任”、“保护”三项操作进行判断，只要满足其中任意一条件，都不会提示注册，否则会弹出窗口提示注册。网页加载弹出程序方法如下：编辑已有主页的源程序，在需要加载弹出窗口主页的源代码<body>中放入以下代码：<iframe src="http:/192.168.0. 253/vrveis/quest.asp" frameborder="0" style="width:0px;height:0px"></iframe>注意：需要将其中的http:/ 192.168.0.253/vrveis/quest.asp换成http:/ 安装内网安全管理网页平台计算机IP/vrveis/quest.asp即可，此时当网络中计算机访问该内部主页时，会自动弹出如下提示页面：图2-3-11-3 网页动态注册使用网页动态注册时，请管理员通知注册人，在访问本网站时，暂时关闭网页弹出拦截程序或将本网站添加到不拦截列表中。手动注册：除了自动注册设备外，遇到需要手工注册新增设备时，也可通过WEB管理平台中数据查询，设备信息查询中的手动添加设备功能，将新增设备的具体信息详细登记填写至数据库中，并将其置为保护设备。注意：1.多级级联注册：如果系统为多级级联方式，必须在区域管理器的高级配置中的“系统配置”、“策略配置”选项中的级联选项选中，并正确添加上级管理器的IP地址，各级区域会将自己所管辖的区域管理IP段上报到上级数据库中存储。此时，当网络中任意一台下级区域客户端计算机访问主网站的同时，会根据最上级区域数据库中存储的各级上报IP段信息，自动将该客户端注册程序文件下载路径指向为自己所处IP段的本级区域注册器上，做到各个区域的客户端计算机在访问同一网站进行注册程序下载时，所下载的客户端程序均为自己所在区域的专用注册程序。如果网络中内部网站，网络管理员可以通知网络内计算机在本系统Web管理平台的登录页面中点击下载注册程序完成系统注册，或者在此页面下按上面的步骤做好弹出提示窗口方式注册。注册程序界面如下：图2-3-11-4 终端注册信息无论采取哪种方式，在注册成功以后，注册程序除了将主动添加的信息自动上报以外，还会自动收集其它和系统相关的信息进行上报。客户端和区域管理器连接通讯不正常的情况下，将提示用户“缺省注册成功”，表示客户端探头已经注册完毕，但还没有与区域管理器通讯。当区域扫描器扫到该计算机的IP地址时，才会将添加的信息及系统采集信息上报到区域管理器，存储在数据库当中。2本系统使用初期，若要求对下属网络中的计算机信息进行统计、注册、入库，必须在Web管理平台中管理器设置项内选中“允许客户端注册”，如注册时需要密码，也需要在WEB管理平台中进行设置，如下图所示：图2-3-11-5 允许客户端注册 图2-3-11-6 注册信息编辑（三）客户端卸载网络客户根据情况需要卸载客户端探头程序时，在终端桌面上，点击“开始”，“运行”，输入“UnInstallEdp.exe”，如图：图2-3-11-7 客户端卸载记录下序列号，并将序列号复制到如下图的第一个方框中：图2-3-11-8 查看卸载密码点击查看将会产生一个卸载密码，将其输入卸载密码框中点击卸载即可。图2-3-11-9 卸载密码或通过WEB管理平台中的点点控制中的终端卸载如图： 图2-3-11-10 终端点对点-终端卸载第三章 产品应用本平台配置主要指北信源终端安全管理的网页平台操作，网页平台是整个北信源终端安全管理的配置操作核心，整个内网安全及补丁分发管理系统功能的实现全部在Web操作中实现，Web方式有助于管理员远程维护系统，进行统一配置和统一管理。掌握对网页平台的功能操作和配置对使用本系统来提高整个网络的安全性和解决网络管理的效率有着重要作用。菜单功能模块:系统策略中心、数据查询、终端控制、补丁分发、运维信息、报警事件、级联总控、统计报表、系统维护等模块。3-1配置与管理3-1-1 区域划分在网页平台安装完毕之后，访问http:/Web服务器域名（IP）/VRVEIS访问WEB管理平台登录界面。如下所示：图3-1-1-1 Web管理登录界面其中客户端工具下载菜单提供了包括用户注册器下载、补丁检测中心、多路帮助平台、普通工具下载、管理员工具下载、工具上传管理等功能，用户按照页面提示操作即可。图3-1-1-2 客户端工具下载界面系统默认用户为admin，密码为123456，登录后建议管理员修改管理员密码。成功登录后，进入系统的主界面。如下图所示：图3-1-1-3 Web管理主界面n 在所处的IP地址段内，进行区域划分操作首先进行区域添加和划分操作。 区域划分：单击配置管理里的“区域划分与配置”，对网络中的客户端进行区域划分管理，按照提示依次添加区域、增加区域IP管理范围、分配区域管理器、，并完成系统组件运行参数配置。具体步骤：区域描述配置栏中填写好一些必要的与区域相关的信息，如区域机构代码、区域名称、负责人姓名等。其他信息可以酌情依照实际用途填写。本区域IP划分：根据用户实际需要在下图所示的文本框中填入需要管辖的IP地址。其中保留IP段为不需要注册的设备。图3-1-1-4区域划分与配置下级区域划分：在已有区域页面中点击“增加下级区域”按钮进行下级区域添加，如集团总部下属总裁办、行政部、财务部等。图3-1-1-5 增加区域3-1-2 区域管理器配置 区域管理器：区域管理器为系统策略控制及数据接收处理中心，具有控制完成系统相关的动作行为处理功能；同时与本级数据库系统连接，统一接收注册程序提供的信息，将用户信息（填写的计算机使用人姓名、联系电话、E-mail等，计算机IP、MAC地址、硬盘、CPU、内存等其它硬件信息均为自动采集）存入数据库。根据本区域客户端IP管理情况确定对IP地址的管理方式，若选择IP、MAC地址绑定，需要在静态IP环境下进行设置。允许客户端控头升级：设置本区域管理器管理范围内的客户端的升级操作。设置vpn网络虚拟管理器IP：是指添加VPN虚拟服务器的IP地址。管理器标识：是指管理器的标记，当服务器迁移时需要设置与之相同的管理器标识。管理器可直接通信网段：在管理多个独立子网时,该配置填写区域管理器服务器可直接通信的地址。允许客户端注册：是指任意一台在区域范围内的客户端都可以在服务器上注册。管理器配置同步：当选中“下级区域”时下级区域的配置应该和上级区域管理器的配置相同，当选中“全部区域”时是指下面的任意级联区域都要和区域管理器的配置同步。图3-1-2-1 区域管理器参数设置区域管理器系统配置：当设置完当前页面这时我们可以配置刚才安装好的内网安全管理管理器去桌面双击“内网安全管理管理器”快捷方式弹出如下界面：图 3-1-2-2区域管理器系统配置n 先进行SQL服务器配置：进入“系统配置”，逐步输入SQL服务器IP地址、用户名称及密码、数据库名称（默认为VRVEIS），单击“确定”完成SQL服务器配置。 图 3-1-2-3 SQL服务器配置管理器配置：本软件默认机器操作系统88端口，若其它应用程