启明星辰天镜脆弱性扫描与管理系统实施方案

启明星辰天镜脆弱性扫描与管理系统实施方案内容摘要：

sional 支持中文版 Windows 2020 数据库环境 支持 MySQL（自带） 不支持切换至其他数据库 第 7 页 浏览器环境 支持 IE 、 Mozilla、Chrome 等主流浏览器，推荐使用左侧四种。 Chrome 支持 Mozilla Firefox 2) 天镜多级管理中心安装需求： 推荐 安装 \使用 环境 备注 硬件环境 硬件环境 CPU：不低于 的 Pentium 处理器或其它同等处理能力的 X86 处理器 内存：不低于 1G 低于 1G 无法安装，推荐 2G以上 硬盘： 20G 以上的硬盘空间 网卡：至少一块 10/100Mbps 以太网卡 软件环境 操作系统环境 （ 32 位） 支持中文版 Windows 2020 Server with SP2 兼容 Windows 全系 32 位操作系统，推荐使用左侧四种。 支持中文版 Windows XP Professional with SP2 支持中文版 Windows 7 Professional 支持中文版 Windows 2020 数据库环境 支持 MySQL（自带） 浏览器环境 支持 IE 、 Mozilla、 Chrome等主流浏览器，推荐使用左侧三种。 支持 Mozilla 网络 需求 本次项目需 部署 1 台硬件版天镜扫描引擎、 1 套软件版扫描引擎 和 1 套多级管理中心 ， 其中硬件版扫描引擎设备型号为 CSNSH2。 需要以下的网络环境支持： 1) IP 地址分配： IP 地址应用 设备数量 IP 数量 IP 说明 多级管理 中心服务器 1 1 多级管理 中心服务器 IP 要求与总 部天镜扫描引擎和分公司的引擎 可以互通。 天镜硬件版 引擎 1 1 天镜软件版服务器 1 1 共计 3 2) 防火墙需开放端口： 为了保证引擎与集中管理中心及应用服务器间的通信畅通，需在防火墙中开放相 第 8 页 应的通讯端口以 保证通信畅通 ，具体端口见下表： 序号 源 IP→目的 IP 目的 端口 协议 用途 备注 1 客户端 →多级控制中心（或单机） 多级控制中心 → 下级 443 Tcp 访问 web控制中心以及上级管理下级 必选 3 客户端 →硬件版 web 扫描模块（仅单机有） 8000 Tcp web 扫描模块 (仅单机 ) 必选 4 本地服务 8005 Tcp 关闭 Tomcat 服务 不需要 5 本地服务 60005 Tcp Mysql 数据库监听端口 不需要 6 本地服务 （仅单机有） 60006 Tcp Cyberscoperservice(天镜引擎调度服务 ) 不需要 7 客户端 →硬件版扫描引擎（仅单机有） 20200 Tcp 硬件版 windows 系统远程桌面登录端口 可选 8 天镜单机版 扫描目标 all tcp 用于天镜进行扫描 必选 9 天镜单机版 扫描目标 all udp 用于天镜进行扫描 必选 10 天镜单机版 扫描目标 all Icmp arp 用于天镜进行扫描 必选 3) 机架及电源需求： 本次项目实施，需 为 1 台 天镜硬件版 引擎提供足够的机架位置 及电源插口，并且需要考虑机架内所有设备的电源功率是否符合要求。 具体要求见如下表格： 序号 设备类型 设备 型号 电源数量 设备功率 设备规格 1 天镜硬件版扫描引擎 CSNSH2 1 250W 1U 2 天镜软件版服务器 IBM X3250 1 300W 1U 3 天镜多级管理中心服务器 IBM X3250 1 300W 1U 人员 需求 此 次施工需要用户方网络管理人员、安全管理人员 及 其他相关人员的协调完成。 策略需求 在项目实施前，实施人员应会同用户方相关人员对 漏洞扫描 策略 及扫描任务时间间隔等相关信息 进行调研，从而确定 具体实施 策略。 第 9 页 系统部署示意 天镜扫描主机与目标机可处于不同网段或网络， 无需调整和更改用户网络的拓扑结构。 具体设备 部署示意图如下 所示： （ 说明： 系统部署示意 图按实际 部署 情况绘制 ） 1) 集团总部天镜产品部署示意图： D M Z 应 用 服 务 器 群路 由 器防 火 墙内 部 办 公 区交 换 机交 换 机天 镜 扫描 引 擎I n t e r n e tX X X 集 团 总 部天 镜 多 级 管 理中 心 服 务 器 2) 分公司天镜产品部署示意图： 第 10 页 防 火 墙内 部 办 公 网交 换 机I n t e r n e tX X X 集 团 X X 分 公 司天 镜 单 机 版 扫描 系 统路 由 器 安装部署 规划 IP 地址规划 项目实施前，实施人员应根据用户方网络实际 IP 使用情况， 进行 IP 地址规划，对每个网络成员划分其 IP 地址。 以下表为例。 地址范围 使用对象 备注 端口连接规划 项目实施前，实施人员需要根据用户方实际网络情况及设计方案要求进行端口连接规划。 以下表为例。 第 11 页 设备名称 本端接口 对端接口 对端设备名称 备注 设备物理位置规划 项目实施前，实施人员需要 根据设备的尺寸、类型及用户方机房内机架的实际使用情况规划设备的物理位置。 设备名称 设备类型 设备尺寸 机架位置 备注 设备电源规划 项目实施前，实施人员需要 根据设备的电源数及功率，以及用户方机房内每个机架内的电源功率使用情况进行规划。 4 实施步骤 确认实施环境 在项目开始实施之前，需要用户技术人员配合实施人员对实施的环境进行检查，确认是否具备实施条件。 到货及加电验收 根据合同要求，需要对 送达现场的产品进行到货验收，保证送达产品符合合同要求。 产品在 接收后，保持外包装的完整性。 在厂商 的工程师到达现场后，共同进行产品的到货验收。 设备到货验收标准如下： 1) 产品型号是否正确 2) 产品数量是否正确 3) 产品配件是否齐全 4) 产品版本是否正确 第 12 页 安装调试 引擎设备的安装 与配置 1) 软件版单机扫描引擎安装与配置： 建议安装条件：因某些实时监控程序可能会对天镜安装程序中的某些驱动产生冲突，所以在安装天镜前请先关闭天镜宿主机所运行的防病毒程序等实时监测系统及个人防火墙，等安装天镜完毕后再重新启动此类系统。  双击安装光盘内的 文件， 系统出现如下图所示的安装界面：  点击立即安装，然后点击“ 下一步”弹出许可证协议窗口，如下图所示。 第 13 页  点击是，系统弹出选择安装路径窗口，点击浏览将安装路径设置为：“ D：/venus_TJ” ,如下图所示。  点击上图中的“下一步”，系统随后弹出设置选项窗口，选择“启动工作 IP 地址设置程序”，如下图所示。  弹出“设置扫描引擎工作 IP”窗口，点击“本地 IP”下接框，选择一 第 14 页 个物理网卡 IP，如下图所示。  点击上图“应用”按钮，然后点击“关闭”，随后弹出是否安装“天镜WEB 应用扫描模块”窗口，如下图所示。 注意：天镜 WEB 应用扫描模块必须购买相 应的授权（加密狗）才能使用，用户可以通过勾选前面的复选框进行定制安装。  点击上图中的“下一步”按钮，进行天镱 WEB 应用扫描模块安装，将该模块的安装路。