北信源内网安全管理系统安装说明.docx

快速阅读指南1. 本使用手册为北信源终端安全管理系列产品全功能用户手册，请按照所购 买产品对应相关的产品说明进行配置使用（该手册第一、二、三章为终端安全管 理产品共有部分，凡购买任何一款终端安全管理产品都应首先详细阅读此三个章 节）。2. 详细阅读本软件组件功能、组成、作用、应用构架，确切了解本软件的系 统应用。3. 安装准备软件环境：Microsoft SQL Server2000> Windows 2000 Server、 Internet服务管理器。SQL安装注意事项请参照第二章2-3-1所示。建议将数 据库管理系统、区域管理器、WEB管理平台安装在同一服务器上,确认区域管理 器所在机器的88端口不被占用（即非主域控制器）；防火墙应允许打开88, 2388, 2399，22105，8900，8901，22106，22108，8889 端口。4. 按步骤安装各组件后，通过http:/*.*.*.*/vrveis登录Web管理平台， 首先对Web管理平台进行如下配置：添加区域一划分该区域IP范围一指定区域 管理器一指定区域扫描器。5. 双击屏幕右下角区域管理器、单击主机保护进行通讯参数配置。6. 在 VRVVRVEISdownload 目 录中，使用 RegTools.exe 工具修改 DeviceRegist.exe文件中的本地区域管理器IP，将修改后的注册程序 DeviceRegist.exe放在机构网站上进行静态网页注册，或者在机构网站上加载 动态网页检测注册脚本语句，进行动态设备注册。7. 系统升级：联系北信源公司获取最新的软件组件升级包，确保Web管理平 台、区域管理器、客户端注册程序等组件的升级。8. 如果本说明书中的插图与实际应用的产品有出入，以实际产品为主。特别提示：默认管理员用户：admin，密码：123456；系统指定审计用户名： audit，密码：123456请注意修改。目前国内政府机关、军队、公安、保密部门、科研机构、金融、证券等企事业单位中的 网络都具有相当的规模，网络中大量使用计算机及其它网络设备。这些设备带来高效应用的 同时，由于自身确实存在着安全风险隐患，应该采用相关网络安全技术手段来保障整个网络 运行的安全。目前单位自身内部网络分为以下几种类型：1、办公网：企事业单位中的普通办公网络、公司企业网，它们通过有限出口接入Internet 网络；2、内部专网：政府办公网、金融运营网及各系统重要的实时网络，该种网络一般为内 部专用网络，此类网络同外部网络采取物理隔离的方式实现相互独立；3、保密网：政府机关、军队、公安、保密部门的内部机密安全网络，一般采用专门的 网络通道，要求具有绝对的内网隔离度。尽管以上大多数用户采用了专门的网络通道技术、物理隔离技术、安全网段划分、安全 防护设施(如防火墙、入侵检测、漏洞扫描)等方式保证自己的网络安全，但是，对类似下 面的安全问题仍然无法做到真正意义上的解决：1、如何发现终端设备的系统漏洞并自动分发补丁；2、如何防范移动设备随意接入内网；3、如何防范内网设备违规进入外网；4、如何管理终端资产并真正控制、管理终端设备的运行；5、如何制订整体安全策略并全网执行；6、如何管理控制终端设备的数据流；7、平台、安全平台等诸多设备如何衔接并统一管理。北信源终端安全管理产品VRV EDP(Enterprise desk planning)能够完全解决上述网 络安全管理工作中遇到的常见问题。VRV EDP系统强化对网络计算机终端的控制，管理内容 包括：资源资产、终端安全策略、桌面风险审计、补丁检测分发、终端运行状态监控以及终 端行为审计等。北信源终端安全管理产品提供了防火墙、IDS、防病毒系统、专业网管软件 所不能提供的防护功能，对它们管理的盲区进行监控，成为一个实时的安全监控系统，并能 够同其它网络安全设备或网络安全系统进行安全集成和报警联动。北信源终端安全管理产品针对网络管理工作中遇到的实际管理需求，进行网络安全资源 规划，如防止移动设备非法接入内部网络、IP资源分配管理、静态IP同MAC地址的绑定、 提供设备资源登记及硬件设备（硬盘、CPU、内存等）变化报警、进行内部网络连接阻断等 功能。同时，为有效解决网络中计算机非法接入和非法外联问题，VRV EDP系统提供实时监 控的强大功能，即实时报警以及实时切断非法计算机同内网的连接。北信源终端安全管理产品通过Web方式对整个系统进行应用策略配置，管理网络和查询 报警数据，方便用户操作，有效防范不安全因素对内部网络构成的威胁，真正做到内部网络 的完全安全管理。北信源终端安全管理产品支持基于局域网、广域网的国家一省一市一县多级级联管理模 式。第一章.产品介绍1-1产品构架北信源终端安全管理产品由8部分组成：WinPcap程序、SQL Server管理信息库（安装 包：环境初始化程序）、Web中央管理配置平台（安装包：网页管理平台）、区域管理器（安 装包：Region Manage，原区域扫描器已作为模块集成到区域管理器）、客户端注册程序（安 装包：注册程序）、补丁下载服务器、管理器主机保护模块、报警中心模块。环境初始化程序：SQL Server管理信息库，建立北信源终端安全管理产品的初始化数 据库。初始化的信息包括：网络客户端设备属性信息、区域管理器信息、设备扫描器信息、 区域管理范围信息、注册（未注册）机器信息、设备属性变化信息、报警信息等。扫描器将 设备最新状态信息同数据库中原有信息进行遍历搜索对比，根据规则要求在管理平台上报 警。Web管理平台：Web中央管理配置平台，本系统的管理配置中心。包括区域管理器、扫 描器、注册客户端的功能参数设定，网络设备信息发现、系统应用策略制订、报警信息显示、 定义任务功能制订、系统用户维护等配置操作。Region Manage：区域管理器，系统数据处理中心，负责与管理信息数据库通讯扫描终 端设备、控制服务器、客户端之间的信息、指令的下达、接受。比如：接收注册程序提供的 用户信息，将用户信息（用户填写的物理信息和系统自动采集的硬件信息）并行存入数据库； 接受来自控制台的命令操作，发送到客户端、扫描器执行。对于存在多级管理要求的广域网，网络中可以存在多个区域管理器，实现系统数据逐级 上报（转发），对网络终端的多级管理。区域管理器内置网络扫描器，扫描器用来发现网络的终端设备。将发现的设备信息交由 区域管理器处理。、设备最新状态信息报送至区域管理器，由区域管理器处理后，同数据库 中原有信息进行遍历搜索对比，根据管理规则在管理平台上报警。扫描器配合区域管理器进行工作，可以在分级模式下使用。扫描器只依据Web管理平台 中配置的工作范围进行扫描，如果终端IP超越其范围，将不负责执行操作。WinPcap程序：嗅探驱动软件，监听共享网络上传送的数据。客户端注册程序：将接收并执行服务器下发的指令。该程序可以在“工具下载-用户注 册器下载”处下载。访问指定网站自动获得，用户填写必要的信息后，运行该程序，区域管 理器将收到注册终端的相关信息，同时终端可以接收、执行各种下发的指令。注册程序自动 探测系统硬件信息，连同用户填写的信息一同上报区域管理器。用户将本机注册信息发送到 区域管理器后，区域管理器自动将客户端驻留程序应用策略发送给用户，并自动更新。客户端驻留程序功能：1. 进行本机硬件属性信息变化监视；2. 进行本机IP、MAC地址变化审计；3. 本机系统补丁、软件安装、运行进程状况监测；4. 探测本机是否有违规联网行为，在内网管理中心或外网报警平台报警；5. 接受Web管理平台的管理命令；6. 阻断本机非法外联行为；7. 执行Web管理平台下发的各种策略操作。补丁下载服务器：安装在与Internet网络连接的机器上，用于实时下载补丁厂商发布 的补丁。管理器主机保护模块：管理器主机保护模块可根据管理器或其他服务器具体使用的端 口、网络协议、通信IP范围和具体的其他网络应用来定义该计算机使用的安全级较高的网络配置，从而防止该计算机受到恶意的IP冲突以及各种网络、病毒攻击。报警中心模块：安装在可与区域管理器所在服务器正常通讯的计算机上，本模块可以 根据管理员在系统中所配置的报警事件和危险级别提供给管理员包括电子邮件、信使服务、 SNMP Trap、手机短信等多种报警方式。注：区域管理器(Region Manage)、区域扫描器模块(Region scan)、注册程序部分 系统的参数配置集中体现在网页管理平台操作上，上述三部分功能参数、功能项数值统一 在网页管理平台中进行配置。区域管理器(Region Manage)、扫描器模块(Region scan) 部分参数在自身程序组件中配置。1-2应用构架北信源终端安全管理应用于局域网、广域网构架，支持跨网段、跨地域的内网远程客 户端管理及非法移动设备接入检测、网内计算机违规联网监视、网络安全隔离度监控等。系统应用主要分为以下两种构架：基本构架：对于一般网络(例如1个C类地址或若干个C类地址的局域网范围)，可使 用一套本系统软件，通过一个管理器集中管理所属区域内的所有设备。扩展构架：对于大规模的多个局域网或者跨地域广域网(包括基于国家、省、市、县 等多级管理模式的网络结构)，可使用本系统提供的多区域集中管理构架，即一个或多个网 段各拥有一套独立北信源终端安全管理的同时，将本级所有设备信息再转发给上级管理数 据库，使得上一级管理人员对整个网络的设备状况也能够完全掌握。第二章.产品安装2-1安装环境条件一：硬件环境SQL Server数据库服务器：用于安装系统管理信息数据库。PC服务器或更高档服务器， Pentium 2.4C 以上 CPU, 512M 以上内存。区域管理器：用于安装区域管理器程序。百兆或千兆网卡，PC服务器或更高档服务器， Pentium 2.4C 以上 CPU, 512M 以上内存。扫描器模块：配置同区域管理器。如单独安装扫描器模块，比较高档的PC计算机即可。本系统各程序可安装在同一台计算机上，也可在不同机器上安装SQL数据库、IIS服务 器、区域管理器、扫描器模块等，此时推荐该计算机内存为1G以上。建议将区域管理器、扫描器、网页管理平台安装在同一台机器上，作为监控服务器。条件二：提供数据库、IIS服务操作系统：Windows 2000或Windows 2003企业版操作系统。Mircosoft SQL Server 软件：配备 SQL Server 2000 或 SQL Server 2005 数据库系统， 用于北信源终端安全管理建立管理信息库数据库列表项。（注：以下均以SQL Server 2000 为例）IIS服务：配备IIS服务器提供Web服务，用于安装Web网页管理配置平台。如所装操 作系统为Windows 2003企业版，则需要按照附录（三）的Windows 2003的IIS配置说明进 行IIS配置。条件三：为本系统提供相应端口北信源终端安全管理产品区域管理器将占用操作系统88端口，必须确保安装区域管理 器的机器该端口不被占用。区域内的防火墙应打开如下端口： 80，88,2388，2399， 8901,8900,161,137,22105，8889，22106，22108 以及 ICMP 协议。同时最好将 DNS 服务迁 移至其它服务器。2-2安装注意事项软件安装时，推荐将区域管理器、扫描器、数据库安装在同一台机器上（以下称为监控 服务器），建议按照下面要求进行监控服务器部署、软件安装、客户端注册。2-2-1软件安装监控服务器部署注意事项1、监控服务器在网络中放置位置注意点 确保该监控服务器能够ping通所有被管理网络中任意一台客户端机器，同时被管理客户端可以正常连接服务器的TCP的80,88两个端口。 监控服务器给客户端下达策略的端口为：TCP端口 22105； 监控服务器扫描发现客户端利用以下协议及端口：. ICMP协议（发现IP地址存在的其中一种方式）；. NETBIOS协议,UDP端口 137（为了发现机器名和MAC地址）；. SNMP协议,TCP端口 161 （为了发现智能设备如路由器、交换机等）；在本地网络中若划分了 VLAN，或本地网络存在防火墙，请注意上述问题。2、存在网中子网（如经过地址转换）的网络布置点对于网络中存在网中网现象，如采用NAT地址转化或者代理方式在10.*. *. *网络中接入192.*. *. *网段，这些子网用户的管理方式如下：情况一：子网有专人管理，并且有独立机房应在该子网中安装一套完整的监控系统。情况二：子网无专人管理，或无独立机房，可采用以下3种方式之一处理 机器数量少的建议统一更改IP为10.*. *. *网段。由管理员监督子网中所有机器进行注册并保证不得遗漏。在该网络中指定一台工作站专门安装区域管理器软件和区域扫描模块，并将区 域管理器配置中SQL服务器地址指向监控服务器。2-2-2软件安装和应用过程中注意事项1、必须按照软件安装步骤进行安装1）确认本机IIS服务正常；2）确认本机SQL已正常安装并能正常使用（以本地系统账户方式安装）；3）确认目标安装盘剩余空间不小于10G；4）请务必按照指定顺序安装各个模块；5）请在区域扫描模块所在计算机中安装SNMP服务；6）安装完所有系统模块后，请一定按照说明文档进行客户端程序的配置及分发安装。2、监控服务器的安全性问题管理服务器安装Windows2000 Server操作系统（带IIS）、MS SQL Server2000数据库 后，一定要确保对Windows2000、SQL和IE进行重要安全补丁修补，规范操作系统、数据库 的口令和密码设置，保证SQL、IIS的正常启动运行。确保本服务器无病毒，同时可配置本服务器网络通讯端口仅打开：80，88, 6800，8901， 8900， 22105， 2388， 2399， 8889。3、保护机制的应用对大多数交换机、路由器、非Windows设备，需要将其设置为保护状态（避免被阻断导 致网络不通），其它如有系统无法识别的重要设备，请在网页管理平台设备信息查询中手动 将其设置为保护状态。2-3产品组件安装安装顺序依次为：*安装SQL Server数据库；*安装WinPcap驱动程序；*安装并运行环境初始化程序，初始化数据库；*安装网页平台并进行划分区域，配置区域IP范围、区域管理器参数、设备扫描器参数 等（推荐安装在默认路径下）；*安装区域管理器（推荐安装在默认路径下）；*通知所有用户下载并运行注册客户端代理探头程序。2-3-1安装SQL server数据库只需要在安装过程中注意选择“使用本地系统帐户”和“混合模式”图2-3-1数据库服务器安装向导2-3-2安装WinPcap驱动模块在安装页面中选择“安装WinPcap驱动模块”按钮，单击“下一步”安装在区域扫描器所在计算机上。北信源内网安全及补丁分发管理系统由北信源公司在多年网 络防病毒和其它C/S模式安全软件开发基础上基于北信源独特安 全理念设计而成.系统协助网络管理人员进行网络浇源、设费 源、客户端资源和应用资源方面的安全管理控制.它不仅具有 熹面管理软件的功能，更具有幽络客户端安全管理方面的独到 功能，网络隔离度检测、人网设备监控、防病毒软件监控、系 统软件（补丁分发管理）检测和违规事件发现、安全事件源 （病毒等）定位分析等，应用构架支持局域幽、广域幽，达到 最隹的管理效果。安装注意事项I 进入系统各模块安装界面O退出安装北信源内网殳全 及祢丁分发管理系桀中国客户端安全管理 市场占有量第o的产品 VRVEDP2-3-3初始化数据库中国客户端安全管理市场占有量第。的产品北信源内网立全RBHT分发管理系绕VRVEDP驱劫模块安装WinPc叩网卡驱动模玦安装远程技术支持模块,系统模块安装数据库初始化模块。安装WEB管理平台模块 。安装区域管理器模块。返回上级页面0安装补丁下载服务器模块 疗安装管理器主机保护模块 安装报警中心模块初始化数据库是在SQL数据库中初始化建立VRVEIS数据库并生成系统必需的相关数据 表格，在此过程中需要利用本地数据或者调用远程SQL数据库，用户需要根据实际安装情况按以下两种方式进行操作：本地SQL数据库服务器环境初始化1）、环境初始化，建立初始数据库在SQL服务器地址栏中添加本地机器IP地址、SQL用户名、以及SQL用户密码。图2-3-3-1 SQL数据库服务器环境初始化2）、检查数据库初始化是否成功:图2-3-3-2检查数据库初始化当有如图“初始化数据库结构成功”提示框弹出时，说明已成功创建初始化数据库。否则会出现如下图所示提示信息：图2-3-3-3初始化数据库失败提示信息如果出现如上图所示提示信息，用户需要检查所填入的SQL数据库IP地址、用户名 以及用户密码，重新初始化数据库。远程SQL数据库服务器环境初始化（建议非特殊情况不采用远程方式）1）、输入远程数据库信息，配置SQL客户端：安装远程数据库需要首先输入远程数据库IP地址、用户名称、用户密码，然后点击“配置SQL客户端”，出现如下界面:2）、在通击别名，进行别名添加设置。上一步（E） I下一步（S） I取消|:旦用湃九出做尸正耳网浇# |姑寸所队. IkilH何项0】 即让应itusn 知pl订*lk fwYj-m 'rtKIS m芸用图 2-3-3-51'ISHI3）、进行客户端别名的添加:单击图中所圈中的别名，出现如下所示:InitEnv .系统环境初始化使用Endows身份验证CT使用SQL份验证SQL服冬器地址|服努果戏SQL用户名称 s7SQL用户密码*2-3-3-4配置SQL客户端P协议：在通用栏中，选用TCP/IP协议，并启用，然后单4）、进行网络协议的选择和服务器别名的添加：此时用户需要首先选择网络协议，选定 为TCP/IP，点击确定后完成数据库初始化。2-3-4安装Web中央管理平台安装Web管理平台此部分程序要求安装在默认路径下，安装过程中请确保信息填写正确，否则，Web服务器可能不能正确访问SQL Server数据库。北信源内网殳全及袖丁分发管理系统中国客户端安全管理 市场占有量第0的产品 VRVEDP驱动模块9安装WinPc叩网卡驱动藤安装远程技术支持模块安装数据库初始化模块安装WEB管理平台模块安装区域管理器模块9安装补丁下载服务器模块安装管理器主机保护模块7安装报警中心模块系统模块。返回上级页面 Web中央管理平台访问Web管理平台安装以后在IIS目录上以虚拟目录的形式存在，虚拟目录名称为VRVEIS, 用户在安装完成以后，用http:/Web服务器域名（IP）/VRVEIS的形式访问Web管理平台 主页面。默认用户名为admin，密码为123456。（以下的都是用admin登陆进行说明的）。审 计用户名为audit,默认密码为123456。如果http:/Web服务器域名（IP）/VRVEIS访问无效，则以http:/Web服务器域名（IP） /VRVEIS/INDEX.ASP 方式登录。Windows2003下IIS配置以及NTFS磁盘格式配置注意事项（见附录）。2-3-5安装区域管理器Region Manage北信源内网殳全及神J分发管理系统驱动模块©安装WinPcap网卡驱动糖页 安装远程技术支持模块系统模块安装数据库初始化模块 安装WEB管理平台模块 安装区域管理器模块 9安装补丁下载服务器模块 0安装管理器主机保护模块 安装报警中心模块碧返回上级页面中国客户端安全管理 市场占宥量策。的产品在Web中央管理平台中划分区域及指定区域管理器后（参见Web中央管理平台配置）安 装区域管理器组件。安装后进行以下两项配置: SQL客户端配置如果“区域管理器”没有同SQL装在同一台服务器上，需要在如下图所示窗口中将默认 网络库选择为“TCP/IP”，使客户端能够远程访问数据库。在“区域管理器”中选择“配置” -> “SQL客户端”，进入配置。图2-3-5-1 SQL常规配置上述配置完毕以后，需要重新启动“区域管理器”，使系统生效。区域管理器系统配置SQL服务器配置：进入“系统配置”，逐步输入SQL服务器IP地址、用户名称及密码、 数据库名称（默认为VRVEIS），单击“确定”完成SQL服务器配置。配置买切艮舞器配置箱仍艮务器地址EQ佣户名称E：±SQL用户密码：+：+：数据库名称| VRVEISI 1 z 1 FjZUtH'fidrffl管理器IF地址管理器端口图2-3-5-2区域管理器中SQL配置在配置好Web中央管理平台的系统区域及其区域管理器后做以下步骤：在配置管理里，点击“扫描器配置”可以添加扫描器，配置扫描范患消 I图2-3-5-3区域扫描器配置填写相关信息之后重新启动区域管理器，程序会自动缩小到系统托盘，表示数据库连接 成功，程序运行正常，此时通过上图中“扫描器配置”项来查看扫描器相关运行信息。（附录）WIN2003-IIS服务器配置说明对于Win2003系统安装vrv内网安全管理系统后出现服务器和终端无法登陆WEB页面的现 象，现做出以下服务器端的IIS配置说明： 步骤一：点击开始菜单-管理工具-IIS服务管理器，打开，会出现如下界面:点击左边列表中的Web服务扩展，会出现右边红色标记的几个选项，默认情况下这几个选 项都是禁止的，分别选中将它们设置为允许；几个选项分别为：Active Server Pages、Internet 数据连接器、在服务器端的包含文件；步骤二：如下图红色标记所示的IIS界面双击网站-默认网站（图1），在这下面会出现 VRVEIS虚拟目录，右键单击VRVEIS-属性，点击虚拟目录选项（图2），再单击配置按 钮出现图3，即应用程序配置，此时点击选项，将红色标记的启用父路径选项勾上即可；在”虚拟目录”选项界面钩中脚本资源访问，读取，写入等属性，这在图中没有画出,”注意”, 文件09 次作Q） 查看«） 国口单） 帽助QP窣地舞轻走）叵用程序若电），相让网站MVKVELS开蛤位Si乱行榔g理用痉序泄如:配置到这¥I¥EIS魅性鹿用程序配置e： kVRVWmiS i YRVVRVEISpatchw«t> VBVXRgi oEaA“Ihg3bu虚拟目录|文档|目录安全性I HTTP头|目定义慵烘| 就资返的肉窖来目作箕计度机上的目录亚）r另一角计苴机上的共享广重定向到蜿叫）“ VEnVE¥EI§何蹄更'r写入r目录阂览魁座用程序姻Q Internet ?S<8JR务-；VXV-TGCrifti+JI机） J应用程序治i=L > 醐号默乱同站I ，.中 Z&VSTS -X putchvtb I £ P.tchfile,J技 vmis p Lt ch.* sb P*tchFil*s :iiBSitrt hU P«£Qrr4r £k <I映射邸I调试I 回用艰序瞄 17旧用径话我态 会节超时也，F启用媛冲（I）厂曰用并萍集合理）配置加 f 电 m&ppfw端都可以成功登陆Web界面了；如果你的系统是NTFS分区的那么你还得做如下操作才可以成功登陆Web界面；步骤三：打开安装内网安全管理系统的系统盘符，在根目录下找到VRV目录打开，找到VRVEIS目录，右键单击-属性，点击安全选项，直接点击添加按钮，会出现如下界面； 我的攵档Vr vanyw here事 Q我的电脑Get004.:|5：E© （引Int erne t内网安全'Explorer系统町 1®选定1个对象读职和运仃 列出文件夷目录攵件夹2005-6-30 17:15国IXVKVEIS屈性选择用户或铝选择对象类型1：组或内置安全主体输入对象名称来选择朝）堡）:查找位置俚）: |TEST3检查名称（£） |lJd LDevic eReg.此时点击红色标记的高级按钮，会出现如下界面：未命名 '心如上图所示，点击立即查找按钮搜索用户，找到下面有着红色标记的用户，该用户为:IUSR_TEST3,（其格式一般为IUSR机器名；）找到该用户后选中，用同样方法添加用户IWAM机器名 点击确定按钮即可，此时会出现下图界面:! x文件编辑fl j查看Q9 收藏（a：j工具（I）帮助（M）。后退 地址里）选定1个对象 ” , |搜索 文件夹11 =.、一 X q |四，VRVEIS )1 性壁 常规|共享 安全| Web共享|自定义|QRegi onMane hRegi onScar组或用户名称£）：允许 拒绝完全控制修改读取.和运行列出文件夹目录读取口 口0回Fl connH net Pi iriAi+n I7Rrnr-i特别权限或高级设置，清单击“高级"高级世）确定 I 职消 应用I才添加的用户将权限设置为全部允许，到这18 16:2218 15:57步，所有设置都以完成，此时分区为我的电脑NTFS分区的服务器和其他终端都可以登陆Web界面了。