[it计算机]北信源vrvedp内网安全管理系统手册

[it计算机]北信源vrvedp内网安全管理系统手册内容摘要：

............................................... 221 附录（七）信息安全通告平台 ............................................................................ 230 第一章．系统介绍 11 产品组成 北信源内网安全及补丁分发管理系统由 8 部分组成： WinPcap 程序、 SQL Server 管理信息库（ 安装包：环境初始化程序）、 Web 中央管理配置平台（安装包：网页管理平台）、区域管理器 (安装包： Region Manage,原区域扫描器已作为模块集成到区域管理器 )、客户端注册程序（安装包：注册程序）、补丁下载服务器、管理器主机保护模块、报警中心模块。 环境初始化程序： SQL Server 管理信息库，建立北信源内网安全及补丁分发管理系统的初始化数据库。 包括：网络客户端设备属性信息、区域管理器信息、设备扫描器信息、区域管理范围信息、注册（未注册）机器信息、设备属性变化信息、报警信息等。 扫描器将设备最新状态信息同 数据库中原有信息进行遍历搜索对比，根据规则要求在管理平台上报警。 Web 管理平台： Web 中央管理配置平台，本系统的管理配置中心。 包括区域管理器、扫描器、注册客户端的功能参数设定，网络设备信息发现、系统应用策略制订、报警信息显示、定义任务功能制订、系统用户维护等配置操作。 Region Manage： 区域管理器，系统数据处理中心。 与管理信息数据库通讯，接收注册程序提供的用户信息，将用户信息（用户填写的物理信息和系统自动采集的硬件信息）并行存入数据库；接受来自控制台的命令操作，发送到客户端、扫描器执行。 对于存 在多级管理要求的广域网，网络中可以存在多个区域管理器，系统数据提供逐级上报（转发）模式。 区域管理器内置网络扫描器，扫描器将设备最新状态信息报送至区域管理器，由区域管理器处理后，同数据库中原有信息进行遍历搜索对比，根据管理规则在管理平台上报警。 扫描器配合区域管理器进行工作，可以在分级模式下使用。 扫描器只依据Web 管理平台中配置的工作范围进行扫描，超越其范围，将不负责执行操作。 WinPcap 程序： 嗅探驱动软件， 监听共享网络上传送的数据。 客户端注册程序： 用户访问指定网站自动获得，用户填写本机信息，填写必要 信息后上报区域管理器。 注册程序自动探测系统硬件信息，连同用户填写的信息一同上报区域管理器。 用户将本机注册信息发送到区域管理器后，区域管理器自动将客户端驻留程序应用策略发送给用户，并自动更新。 客户端驻留程序功能： 1. 进行本机硬件属性信息变化监视； 2. 进行本机 IP、 MAC 地址变化审计； 3. 本机系统补丁、软件安装、运行进程状况监测； 4. 探测本机是否有违规联网行为，在内网管理中心或外网报警平台报警； 5. 接受 Web 管理平台的管理命令； 6. 阻断本机非法外联行为； 7. 执行 Web 管理平台下发的各种策略操作。 补丁下载服务器： 安装在与 Inter 网络连接的机器上，用于实时下载补丁厂商发布的补丁。 管理器主机保护模块： 管理器主机保护模块可根据管理器或其他服务器具体使用的端口、网络协议、通信 IP范围和具体的其他网络应用来定义该计算机使用的安全级较高的网络配置，从而防止该计算机受到恶意的 IP 冲突以及各种网络、病毒攻击。 报警中心模块： 安装在可与区域管理器所在服务器正常通讯的计算机上，本模块可以根据管理员在系统中所配置的报警事件和危险级别提供给管理员包括电子邮件、信使服务、 SNMP Trap、手机短信等多种报警方式。 注：区域管理器（ Region Manage）、区域扫描器模块（ Region scan）、注册程序部分系统的参数配置集中体现在网页管理平台操作上，上述三部分功能参数、功能项数值统一在网页管理平台中进行配置。 区域管理器（ Region Manage）、扫描器模块（ Region scan）部分参数在自身软件组件中配置。 12 应用构架 北信源内网安全及补丁分发管理系统应用于局域网、广域网构架，支持跨网段、跨地域的内网远程客户端管理及非法移动设备接入检测、网内计算机违规联网监视、网络安全隔离度监控等。 系统应用主要分为以下两种构架： 基本 构架：对于一般网络（例如 1 个 C 类地址或若干个 C 类地址的局域网范围），可使用一套本系统软件，集中管理所属区域内的所有设备。 扩展构架：对于大规模的多个局域网或者跨地域广域网（包括基于国家、省、市、县等多级管理模式的网络结构），可使用本系统提供的多区域集中管理构架，即一个或多个网段各拥有一套独立北信源内网安全及补丁分发管理系统的同时，将本级所有设备信息再转发给上级管理数据库，使得上一级管理人员对整个网络的设备状况也能够完全掌握。 图 11北信源内网安全及补丁分发管理系统应用拓扑 第二章．系统安装 21 安 装环境 条件一：硬件环境 SQL Server 数据库服务器： 用于安装系统管理信息数据库。 PC服务器或更高档服务器， PentiumⅣ 以上 CPU， 512M 以上内存。 区域管理器： 用于安装区域管理器程序。 百兆或千兆网卡， PC 服务器或更高档服务器， PentiumⅣ 以上 CPU， 512M 以上内存。 扫描器模块： 配置同区域管理器。 如单独安装扫描器模块，比较高档的 PC计算机即可。 本系统各程序可安装在同一台计算机上，也可在不同机器上安装 SQL 数据库、 IIS 服务器、区域管理器、扫描器模块等，此时推 荐该计算机内存为 1G 以上。 建议将区域管理器、扫描器、网页管理平台安装在同一台机器上，作为监控服务器。 条件二：提供数据库、 IIS 服务 操作系统 ： Windows 2020 或 Windows 2020 企业版操作系统。 SQL Server2020 软件： 配备 SQL Server 数据库系统，用于北信源内网安全及补丁分发管理系统建立管理信息库数据库列表项。 IIS 服务： 配备 IIS 服务器提供 Web服务，用于安装 Web 网页管理配置平台。 如所装操作系统为 Windows 2020企业版，则需要按照安装光盘中的 Windows 2020的 IIS 配置说明进行 IIS 配置。 条件三：为本系统提供相应端口 北信源内网安全及补丁分发管理系统区域管理器将占用操作系统 88 端口，必须确保安装区域管理器的机器该端口不被占用。 区域内的防火墙应打开如下端口： 80， 88,2388， 2399， 8901,8900,161,137,22105， 8889， 22106， 22108 以及 ICMP 协议。 同时最好将 DNS服务迁移至其它服务器。 22 安装注意事项 软件安装时，推荐将区域管理器、扫描器、数据库安装在同一台机器上（以下称为监控服务器），建议按照下面要求进行监 控服务器部署、软件安装、客户端注册。 221 软件安装监控服务器部署注意事项 监控服务器在网络中放置位置注意点  确保该监控服务器能够 ping 通所有被管理网络中任意一台客户端机器，同时被管理客户端可以正常连接服务器的 TCP 的 80,88 两个端口。  监控服务器给客户端下达策略的端口为： TCP 端口 22105。  监控服务器扫描发现客户端利用以下协议及端口：  ICMP 协议（发现 IP 地址存在的其中一种方式）；  NETBIOS 协议 ,UDP 端口 137(为了发现机器名和 MAC 地址 )；  SNMP 协议 ,TCP 端口 161（为 了发现智能设备如路由器、交换机等）；  在本地网络中若划分了 VLAN，或本地网络存在防火墙，请注意上述问题。 存在网中子网（如经过地址转换）的网络布置点 对于网络中存在网中网现象，如采用 NAT地址转化或者代理方式在 10.*. *. *网络中接入 192.*. *. *网段，这些子网用户的管理方式如下： 情况一：子网有专人管理，并且有独立机房 ,则应在该子网中安装一套完整的监控系统。 情况二：子网无专人管理，或无独立机房，可采用以下 3种方式之一处理 1) 机器数量少的建议统一更改 IP为 10.*. *. * 网段。 2) 由 管理员监督子网中所有机器进行注册并保证不得遗漏。 3) 在该网络中指定一台工作站专门安装区域管理器软件和区域扫描模块，并将区域管理器配置中 SQL服务器地址指向监控服务器。 222 软件安装和应用过程中注意事项 必须按照软件安装步骤进行安装 1）确认本机 IIS服务正常； 2）确认本机 SQL已正常安装并能正常使用（以本地系统账户方式安装）； 3）确认目标安装盘剩余空间不小于 10G； 4）请务必按照指定顺序安装各个模块； 5）请在区域扫描模块所在计算机中安装 SNMP 服务； 6）安装完所有系统模块后，请一定按照说 明文档进行客户端程序的配置及分发安装。 监控服务器的安全性问题 管理服务器安装 Windows2020 Server 操作系统（带 IIS）、 MS SQL Server2020数据库后，一定要确保对 Windows20 SQL 和 IE进行重要安全补丁修补，规范操作系统、数据库的口令和密码设置，保证 SQL、 IIS 的正常启动运行。 确保本服务器无病毒，同时可配置本服务器网络通讯端口仅打开： 80， 88，6800， 8901， 8900， 22105， 2388， 2399， 8889。 保护机制的应用 对大多数交换机、路由 器、非 Windows 设备，需要将其设置为保护状态（避免被阻断导致网络不通），其它如有系统无法识别的重要设备，请在网页管理平台设备信息查询中手动将其设置为保护状态。 23 系统组件安装 安装顺序依次为： *安装 SQL Server 数据库； *安装 WinPcap 驱动程序； *安装并运行环境初始化程序，初始化数据库； *安装网页平台并进行划分区域，配置区域 IP范围、区域管理器参数、设备扫描器参数 等（推荐安装在默认路径下）； *安装区域管理器（推荐安装在默认路径下）； *通知所有用户下载并运行注册客户端代理探 头程序。 231 安装 SQL server 数据库 略，见附录 (一 )。 232 安装 WinPcap驱动模块 在安装页面中选择“ 安装 WinPcap 驱动模块 ”按钮，单击“下一步” 安装在区域扫描器所在计算机上。 233 安装远程技术支持模块 该模块是一个程序附属工具 (一般不需要安装 )在客户端安装程序里带有该程序 , 是用户远程桌面管理及控制 ,有便于管理员帮助终端用户解决问题。 234 初始化数据库 初始化数据库是在 SQL 数据库中初始化建立 VRVEIS 数据库并生成系统必需的相关数据表格，在此过程中 需要利用本地数据或者调用远程 SQL 数据库，用户需要根据实际安装情况按以下两种方式进行操作：  本地 SQL 数据库服务器环境初始化 1)、环境初始化，建立初始数据库 在 SQL 服务器地址栏中添加本地机器 IP 地址、 SQL 用户名、及 SQL 用户密码。 图 2341 SQL 数据库服务器环境初始化 2)、检查数据库初始化是否成功： 图 2342 检查数据库初始化 当有如图 “ 初始化数据库结构成功 ” 提示框 弹出时，说明已成功创建初始化数据库。 否则会出现如下图所示提示信息： 图 2343 初始化数据库失败提示信息 如果出现如上图所示提示信息，用户需要检查所填入的 SQL 数据库 IP地址、用户名以及用户密码，重新初始化数据库。  远程 SQL数据库服务器环境初始化（建议非特殊情况不采用远程方式） 1)、输入远程数据库信息，配置 SQL 客户端：安装远程数据库需要首先输入远程数据库 IP 地址、用户名称、用户密码，然后点击 “ 配置 SQL 客户端 ” ，出现如下界面： 图 2344 配置 SQL 客户端 2)、在通用栏中， 启用 TCP/IP 协议： 在通用栏中，选用 TCP/IP 协议，并启用，然后单击别名，进行别名添加设置。 图 2345 启用所选协议 3)、进行客户端别名的添加 :单击上图中所圈中的别名，出现如下所示： 图 2346 对客户端别名的添加 4)、进行网络协议的选择和服务器别名的添加：此时用户需要首先选择网络协议，选定为 TCP/IP，服务器别名根据用户需要自由添加，点击确定后完成数据库初始化。 235 安装 Web中央管理平台  安装 Web 管理平台 此部分程序要求安装在默认路径下，安装过程中请确保信息填写正确 ，否则，Web 服务器可能不能正确访问 SQL Server 数据库。  Web 中央管理平台访问 Web 管理平台安装以后在 IIS 目录上以虚拟目录的形式存在，虚拟目录名称为 VRVEIS，用户在安装完成以后，用 服务器域名（ IP） /VRVEIS 的形式访问 Web 管理平台主页面。 默认用户名为 admin。