《北信源VRVEDP内网安全管理系统手册.docx》由会员分享,可在线阅读,更多相关《北信源VRVEDP内网安全管理系统手册.docx(195页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、快速阅读指南1. 本使用手册为北信源终端安全管理系列产品全功能用户手册,请按照所购买 产品对应相关的产品说明进行配置使用(该手册第一、二、三章为终端安全管理产 品共有部分,凡购买任何款终端安全管理产品都应首先详细阅读此三个章节)。2. 详细阅读本软件组件功能、组成、作用、应用构架,确切了解本软件的系统应用。3. 安装准备软件环境:Microsoft SQL Server200、Windows 2000 ServerInternet服务管理器。SQL安装注意事项请参照第二章2-3-1所示。建议将数据库 管理系统、区域管理器、WEB管理平台安装在同一服务器上,确认区域管理器所在机 器的88端口不被
2、占用(即非主域控制器);防火墙应允许打开88, 2388, 2399, 22105, 8900, 8901, 22106, 22108, 8889 端口。4. 按步骤安装各组件后,通过http:*. *. *. */vrveis登录Web管理平台,首 先对Web管理平台进行如下配置:添加区域划分该区域!P范围指定区域管理器 f指定区域扫描器。5. 双击屏幕右下角区域管理器、单击主机保护进行通讯参数配置。6. 在 VRVVRVEISdownload 目录中,使用 RegTools. exe 工具修改 DeviceRegist. exe文件中的本地区域管理器IP ,将修改后的注册程序 Device
3、Regist. exe放在机构网站上进行静态网页注册,或者在机构网站上加载动态 网页检测注册脚本语句,进行动态设备注册。7. 系统升级:联系北信源公司获取最新的软件组件升级包,确保Web管理平台、区域管理器、客户端注册程序等组件的升级。8. 如果本说明书中的插图与实际应用的产品有出入,以实际产品为主。特别提示:默认管理员用户:admin,密玛:123456;系统指定审计用户名:audit, 密码:123456请注意修改。目录第一章.产品介绍51-1产品构架51-2应用构架7第二章.产品安装72-1安装环境72-2安装注意事项82-2-!软件安装监控服务器部署注意事项82-2-2软件安装和应用过
4、程中注意事项92-3产品组件安装102-3-1 安装 SQL server 数据库102-3-2安装WinPcap驱动模块112-3-3安装远程技术支持模块122-3-4初始化数据库122-3-5安装Web中央管理平台152-3-6安装区域管理器Region Manage152-3-7安装补丁下载服务器模块172-3-8安装管理器主机保护模块182-3-9安装报警中心模块182-3-10客户端注册及下载18第三章产品应用2531配置与管理253-1-1 区域划分253-1-2区域管理器配置283-1-3扫描器配置333-1-4注册程序配置353-1-5自定义组分配与管理383-1-6 IP与M
5、AC绑定列表403-1-7系统运维监控413-2客户端阻断433-2-1扫描器组件配置433-2-2阻断策略应用43第四章北信源内网安全管理系统464-1策略中心464-2数据查询724-2-!设备信息查询734-2-2注册资产查询744-2-3安装软件查询744-2-4首次运行进程查询754-2-5共享目录查询764-2-6设备IP占用情况列表764-2-7硬件变化查询764-2-8违规软件及进程774-2-9安全策略违规774-2-10消息确认查询784-3终端管理794-3-1终端管理794-3-2行为控制874-3-3远程协助934-4运维信息944-4-1客户端流量排名944-4-2
6、客户端流量统计944-4-3运维状态异常954-4-4交换机端口管理954-4-5网管帮助设置964-5报表管理964-6报警管理984-6-!报警数据査询984:-2本地报警数据汇总1034-8系统维护1115-1区域管理器补丁管理设置.二1175-2策略中心1185-3补丁分发1275-4 丁 自动下载7T发1305-5客户端补丁检测(一)1345-6 客户端丁检测(二)1355-7本地补丁分发综合查询1365-8补丁级联下载136第六章北信源主机监控审计系统1376-1策略中心1376-2数据查询1446-2-1上网访问审计1446-2-2文件输出审计1446-2-3文件保护审计1456
7、-2-4敏感字符查询145第七章北信源移动存储介质使用管理系统1467-1策略中心1467-2数据查询1517-2-1移动设备审计151第八章系统备份及系统升级1518-1系统数据库数据备份及还原1518-2系统组件升级1528-2-!区域管理器、扫描器模块升级1528-2-2升级网页管理平台1528-2-3客户端注册程序升级1528-2-4检查系统是否升级成功1528-3级联管理模式升级及配置153第九章售后服务155第十章附录156附录(一)北信源终端安全管理产品名词注释156附录(二)移动存储设备认证工具操作说明156附录(三)主机保护工具操作说明171附录(四)组态报表管理系统操作说明
8、173附录(五)报警平台操作说明181附录(六)WIN2003-IIS服务器配置说明187前S目前国内政府机关、军队、公安、保密部门、科研机构、金融、证券等企事业単位中的网 络都具有相当的规模,网络中大量使用计算机及其它网络设备。这些设备带来高效应用的同时, 由于自身确实存在着安全风险隐患,应该采用相关网络安全技术手段来保障整个网络运行的安 全。目前单位自身内部网络分为以下几种类型:1、办公网:企事业单位中的普通办公网络、公司企业网,它们通过有限出口接入Internet 网络;2、内部专网:政府办公网、金融运营网及各系统重要的实时网络,该种网络一般为内部专 用网络,此类网络同外部网络采取物理隔
9、离的方式实现相互独立;3、保密网:政府机关、军队、公安、保密部门的内部机密安全网络,一般采用专门的网络 通道,要求具有绝对的内网隔离度。尽管以上大多数用户采用了专门的网络通道技术、物理隔离技术、安全网段划分、安全防 护设施(如防火墙、入侵检测、漏洞扫描)等方式保证自己的网络安全,但是,对类似下面的 安全问题仍然无法做到真正意义上的解决:1、如何发现终端设备的系统漏洞并自动分发补丁;2、如何防范移动设备随意接入内网;3、如何防范内网设备违规进入外网;4、如何管理终端资产并真正控制、管理终端设备的运行;5、如何制订整体安全策略并全网执行;6、如何管理控制终端设备的数据流;7、平台、安全平台等诸多设
10、备如何衔接并统一管理。北信源终端安全管理产品VRV EDP (Enterprise desk planning)能够完全解决上述网络安 全管理工作中遇到的常见问题。VRVEDP系统强化对网络计算机终端的控制,管理内容包括:资 源资产、终端安全策略、桌面风险审计、补丁检测分发、终端运行状态监控以及终端行为审计 等。北信源终端安全管理产品提供了防火墙、IDS、防病毒系统、专业网管软件所不能提供的防 护功能,对它们管理的盲区进行监控,成为个实时的安全监控系统,并能够同其它网络安全 设备或网络安全系统进行安全集成和报警联动。北信源终端安全管理产品针对网络管理工作中遇到的实际管理需求,进行网络安全资源规
11、 划,如防止移动设备非法接入内部网络、IP资源分配管理、静态IP同MAC地址的绑定、提供设 备资源登记及硬件设备(硬盘、CPU、内存等)变化报警、进行内部网络连接阻断等功能。同时,为有效解决网络中计算机非法接入和非法外联问题,VRV EDP系统提供实时监控的 强大功能,即实时报警以及实时切断非法计算机同内网的连接。北信源终端安全管理产品通过Web方式对整个系统进行应用策略配置,管理网络和查询报 警数据,方便用户操作,有效防范不安全因素对内部网络构成的威胁,真正做到内部网络的完 全安全管理。北信源终端安全管理产品支持基于局域网、广域网的国家一省一市一县多级级联管理模式。第一章.产品介绍1-1产品
12、构架北信源终端安全管理产品由8部分组成:WinPcap程序、SQL Server管理信息库(安装包: 环境初始化程序)、Web中央管理配置平台(安装包:网页管理平台)、区域管理器(安装包:Region Manage,原区域扫描器已作为模块集成到区域管理器)、客户端注册程序(安装包:注册程序)、 补丁下载服务器、管理器主机保护模块、报警中心模块。环境初始化程序:SQL Server管理信息库,建立北信源终端安全管理产品的初始化数据库。 初始化的信息包括:网络客户端设备属性信息、区域管理器信息、设备扫描器信息、区域管理 范围信息、注册(未注册)机器信息、设备属性变化信息、报警信息等。扫描器将设备最
13、新状 态信息同数据库中原有信息进行遍历搜索对比,根据规则要求在管理平台上报警。Web管理平台:Web中央管理配置平台,本系统的管理配置中心。包括区域管理器、扫描器、 注册客户端的功能参数设定,网络设备信息发现、系统应用策略制订、报警信息显示、定义任 务功能制订、系统用户维护等配置操作。Region Manage:区域管理器,系统数据处理中心,负责与管理信息数据库通讯扫描终端设 备、控制服务器、客户端之间的信息、指令的下达、接受。比如:接收注册程序提供的用户信 息,将用户信息(用户填写的物理信息和系统自动采集的硬件信息)并行存入数据库;接受来 自控制台的命令操作,发送到客户端、扫描器执行。对于存
14、在多级管理要求的广域网,网络中可以存在多个区域管理器,实现系统数据逐级上 报(转发),对网络终端的多级管理。区域管理器内置网络扫描器,扫描器用来发现网络的终端设备。将发现的设备信息交由区 域管理器处理。、设备最新状态信息报送至区域管理器,由区域管理器处理后,同数据库中原有 信息进行遍历搜索对比,根据管理规则在管理平台上报警。扫描器配合区域管理器进行工作,可以在分级模式下使用。扫描器只依据Web管理平台中 配置的工作范围进行扫描,如果终端IP超越其范围,将不负责执行操作。WinPcap程序:嗅探驱动软件,监听共享网络上传送的数据。客户端注册程序:将接收并执行服务器下发的指令。该程序可以在工具下载
15、用户注册 器下载”处下载。访问指定网站自动获得,用户填写必要的信息后,运行该程序,区域管理器 将收到注册终端的相关信息,同时终端可以接收、执行各种下发的指令。注册程序自动探测系 统硬件信息,连同用户填写的信息同上报区域管理器。用户将本机注册信息发送到区域管理 器后,区域管理器自动将客户端驻留程序应用策略发送给用户,并自动更新。客户端驻留程序功能:1 .进行本机硬件属性信息变化监视;2 .进行本机IP、MAC地址变化审计:3,本机系统补丁、软件安装、运行进程状况监测;4 .探测本机是否有违规联网行为,在内网管理中心或外网报警平台报警;5 .接受Web管理平台的管理命令;6 .阻断本机非法外联行为
16、;7 .执行Web管理平台下发的各种策略操作。补丁下载服务器:安装在与Internet网络连接的机器上,用于实时下载补丁厂商发布的 补丁。管理器主机保护模块:管理器主机保护模块可根据管理器或其他服务器具体使用的端口、 网络协议、通信IP范围和具体的其他网络应用来定义该计算机使用的安全级较高的网络配置, 从而防止该计算机受到恶意的IP冲突以及各种网络、病毒攻击。报警中心模块:安装在可与区域管理器所在服务器正常通讯的计算机上,本模块可以根据 管理员在系统中所配置的报警事件和危险级别提供给管理员包括用子邮件、信使服务、SNMPTrap、手机短信等多种报警方式。注:区域管理器(Region Manag
17、e),区域扫描器模块(Region scan),注册程序部分系统 的参数配置集中体现在网页管理平台操作上,上述三部分功能参数、功能项数值统在网页管 理平台中进行配置。区域管理器(Region Manage),扫描器模块(Region scan)部分参数在 自身程序组件中配置。1-2应用构架北信源终端安全管理应用于局域网,广域网构架,支持跨网段、跨地域的内网远程客户端 管理及非法移动设备接入检测、网内计算机违规联网监视、网络安全隔离度监控等。系统应用主要分为以下两种构架:基本构架:对于一般网络(例如1个C类地址或若干个C类地址的局域网范围),可使用 套本系统软件,通过一个管理器集中管理所属区域内
18、的所有设备。扩展构架:对于大规模的多个局域网或者跨地域广域网(包括基于国家,省,市,县等多 级管理模式的网络结构),可使用本系统提供的多区域集中管理构架,即一个或多个网段各拥 有一套独立北信源终端安全管理的同时,将本级所有设备信息再转发给上级管理数据库,使得 上级管理人员对整个网络的设备状况也能够完全掌握。图1-1北信源终端安全管理应用拓扑第二章.产品安装2-1安装环境条件:硬件环境SQL Server数据库服务器:用于安装系统管理信息数据库。PC服务器或更高档服务器, PentiumlV 2. 4C 以上 CPU, 512M 以上内存。区域管理器:用于安装区域管理器程序。百兆或千兆网卡,PC
19、服务器或更高档服务器, PentiumlV 2. 4C 以上 CPU, 512M 以上内存。扫描器模块:配置同区域管理器。如单独安装扫描器模块,比较高档的PC计算机即可。本系统各程序可安装在同一台计算机上,也可在不同机器上安装SQL数据库、IIS服务器、 区域管理器、扫描器模块等,此时推荐该计算机内存为1G以上。建议将区域管理器、扫描器、网页管理平台安装在同一台机器上,作为监控服务器。条件二:提供数据库、US服务操作系统:Windows 2000或Windows 2003企业版操作系统。Mircosoft SQL Server 软件:配备 SQL Server 2000 或 SQL Serve
20、r 2005 数据库系统,用 于北信源终端安全管理建立管理信息库数据库列表项。(注:以下均以SQL Server 2000为例)HS服务:配备HS服务器提供Web服务,用于安装Web网页管理配置平台。如所装操作系 统为Windows 2003企业版,则需要按照附录(三)的Windows 2003的IIS配置说明进行HS 配置。条件三:为本系统提供相应端口北信源终端安全管理产品区域管理器将占用操作系统88端口,必须确保安装区域管理器的 机器该端口不被占用。区域内的防火墙应打开如下端口: 80, 88,2388 , 2399 , 8901,8900,161,137,22105, 8889, 221
21、06, 22108 以及 ICMP 协议。同时最好将 DNS 服务迁移至 其它服务器。2-2安装注意事项软件安装时,推荐将区域管理器、扫描器、数据库安装在同一台机器上(以下称为监控服 务器),建议按照下面要求进行监控服务器部署、软件安装、客户端注册。2-2-!软件安装监控服务器部署注意事项1、监控服务器在网络中放置位置注意点 确保该监控服务器能够ping通所有被管理网络中任意一台客户端机器,同时被管理客户端可以正常连接服务器的TCP的80, 88两个端口。 监控服务器给客户端下达策略的端口为:TCP端口 22105; 监控服务器扫描发现客户端利用以下协议及端口: ICMP协议(发现IP地址存在
22、的其中一种方式); NETBIOS协议,UDP端口 137(为了发现机器名和MAC地址); SNMP协议,TCP端口 161 (为了发现智能设备如路山器、交换机等);在本地网络中若划分了 VLAN,或本地网络存在防火墙,请注意上述问题。2、存在网中子网(如经过地址转换)的网络布置点对于网络中存在网中网现象,如采用NAT地址转化或者代理方式在10. *. *. 网络中接入 192. *. *. 网段,这些子网用户的管理方式如下:情况:子网有专人管理,并且有独立机房应在该子网中安装套完整的监控系统。情况二:子网无专人管理,或无独立机房,可采用以下3种方式之一处理 机器数量少的建议统更改IP为10.
23、*. *. 网段。 山管理员监督子网中所有机器进行注册并保证不得遗漏。 在该网络中指定台工作站专门安装区域管理器软件和区域扫描模块,并将区域 管理器配置中SQL服务器地址指向监控服务器。2-2-2软件安装和应用过程中注意事项1、必须按照软件安装步骤进行安装1)确认本机口s服务正常;2)确认本机SQL已正常安装并能正常使用(以本地系统账户方式安装);3)确认目标安装盘剩余空间不小于!0G;4)请务必按照指定顺序安装各个模块;5)请在区域扫描模块所在计算机中安装SNMP服务;6)安装完所有系统模块后,请一定按照说明文档进行客户端程序的配置及分发安装。2、监控服务器的安全性问题管理服务器安装Wind
24、ows2000 Server操作系统(带IIS)、MS SQL Server2000数据库后,一定要确保对Windows2000、SQL和IE进行重要安全补丁修补,规范操作系统、数据库的口令 和密码设置,保证SQL、IIS的正常启动运行。确保本服务器无病毒,同时可配置本服务器网络通讯端口仅打开:80, 88, 6800, 8901, 8900, 22105, 2388, 2399, 88893,保护机制的应用对大多数交换机、路由器、非Windows设备,需要将其设置为保护状态(避免被阻断导致 网络不通),其它如有系统无法识别的重要设备,请在网页管理平台设备信息查询中手动将其设 置为保护状态。2
25、-3产品组件安装安装顺序依次为: 安装SQL Server数据库; 安装WinPcap驱动程序; 安装并运行环境初始化程序,初始化数据库; 安装网页平台并进行划分区域,配置区域IP范围、区域管理器参数、设备扫描器参数 等(推荐安装在默认路径下): 安装区域管理器(推荐安装在默认路径下): 通知所有用户下载并运行注册客户端代理探头程序。23-1安装SQL server数据库只需要在安装过程中注意选择“使用本地系统帐户”和“混合模式”图2-3T数据库服务器安装向导图2-3-2数据库服务器安装向导2-3-2安装WinPcap驱动模块在安装页面中选择“安装WinPcap驱动模块”按钮,单击“下步”安装
26、在区域扫描器所在计算机上。2-3-3安装远程技术支持模块该模块是一个程序附属工具(一般不需耍安装)在客户端安装程序里带有该程序,是用户远 程桌面管理及控制,便于管理员帮助终端用户解决问题。2-3-4初始化数据库初始化数据库是在SQL数据库中初始化建立VRVEIS数据库并生成系统必需的相关数据表 格,在此过程中需要利用本地数据或者调用远程SQL数据库,用户需要根据实际安装情况按以 下两种方式进行操作: 本地SQL数据库服务器环境初始化1)、环境初始化,建立初始数据库在SQL服务器地址栏中添加本地机器IP地址、SQL用户名、以及SQL用户密码。图2-3-4T SQL数据库服务器环境初始化2)、检查
27、数据库初始化是否成功:图2-3-4-2检查数据库初始化当有如图“初始化数据库结构成功”提示框弹岀时,说明已成功创建初始化数据库。否 则会出现如下图所示提示信息:图2-3-4-3初始化数据库失败提示信息如果出现如上图所示提示信息,用户需要检查所填入的SQ数据库IP地址、用户名以及 用户密码,重新初始化数据库。 远程SQL数据库服务器环境初始化(建议非特殊情况不采用远程方式)1)、输入远程数据库信息,配置SQL客户端:安装远程数据库需要首先输入远程数据库IP地址、用户名称、用户密码,然后点击“配置SQL客户端”,出现如下界面:图2-3-4-4配置SQL客户端2)、在通用栏中,启用TCP/IP协议:
28、在通用栏中,选用TCP/IP协议,并启用,然后单击别名,进行别名添加设置。图2-3Y-5启用所选协议3)、进行客户端别名的添加:单击上图中所圈中的别名,出现如下所示:图2-3-4-6对客户端别名的添加4)、进行网络协议的选择和服务器别名的添加:此时用户需要首先选择网络协议,选定为TCP/IP,点击确定后完成数据库初始化。2-3-5安装Web中央管理平台 安装Web管理平台此部分程序要求安装在默认路径下,安装过程中请确保信息填写正确,否则,Web服务器可 能不能正确访问SQL Server数据库。 Web中央管理平台访问Web管理平台安装以后在IIS目录上以虚拟目录的形式存在,虚拟目录名称为VR
29、VEIS,用 户在安装完成以后,用http:Web服务器域名(IP)/VRVEIS的形式访问Web管理平台主页面。 默认用户名为admin,密码为123456。(以下的都是用admin登陆进行说明的)。审计用户名为 audit,默认密码为123456。如果http:Web服务器域名(IP) /VRVEIS访问无效,则以http:Web服务器域名(IP) /VRVEIS/INDEX. ASP 方式登录。Windows2003下HS配置以及NTFS磁盘格式配置注意事项(见附录六)。2-3-6安装区域管理器Region Manage在Web中央管理平台中划分区域及指定区域管理器后(参见Web中央管理
30、平台配置)安装 区域管理器组件。安装后进行以下两项配置: SQL客户端配置如果“区域管理器”没有同SQL装在同一台服务器匕需要在如下图所示窗口中将默认网 络库选择为“TCP/IP”,使客户端能够远程访问数据库。在“区域管理器”中选择“配置”“系 统配置”,配置SQL客户端,也可以通过Alt+S热键,进入配置。图2-3-6-1 SQL常规配置上述配置完毕以后,需要看新启动“区域管理器”,使系统生效。 区域管理器系统配置SQL服务器配置:进入“系统配置”,逐步输入SQL服务器IP地址、用户名称及密码、数据 库名称(默认为VRVEIS),单击确定完成SQL服务器配置。图2-3-6-2区域管理器中SQ
31、L配置在配置好Web中央管理平台的系统区域及其区域管理器后做以下步骤: 在配置管理里,点击“扫描器配置”可以添加扫描器,配置扫描范围。图2-3-7区域扫描器配置填写相关信息之后重新启动区域管理器,程序会自动缩小到系统托盘,表示数据库连接成功,程序运行正常,此时通过上图中“扫描器配置”项来查看扫描器相关运行信息。2-3-7安装补丁下载服务器模块在安装页面中选择“补丁下载服务器安装模块”按钮,输入序列号SN,单击“下步”、在 桌面生成DownPatch. exe快捷方式,执行后如下图所示:图2-3-8T补丁下载服务器主界面点击系统配置弹出如下图:图2-3-8-2补丁下载索引解析界面添加补丁索引:从
32、北信源站点获取补丁索引,用以获取补丁厂商发布补丁信息,通过对补 丁索引的解析,下载补丁。按照补丁索引、管理配置要求从补丁厂商站点获取补丁,补丁下载 支持各种方式(下载线程、下载时间)自定义下载补丁。图2-3-8-3补丁下载参数设置2-3-8安装管理器主机保护模块选择安装在安装页面中选择“安装管理器主机保护模块”按钮,输入序列号SN,单击“下 步”、在桌面生成nsscenter.EXE快捷方式,执行后在系统右下角任务栏所示绿色的图标, 鼠标右键点击,可以对其进行相应的设置,具体设置参见附录(三)。2-3-9安装报警中心模块选择安装在安装页面中选择“安装报警中心模块”按钮,输入序列号SN,单击“下
33、步”、 在桌面生成nsscenter. EXE快捷方式。具体设置参见附录(五)。2-3-10客户端注册及下载(-)客户端注册原理及注册程序配置 客户端注册原理执行注册程序,根据要求填入指定信息,系统自动将所添加信息和系统自动采集获得的设 备信息发送到区域管理器(设置为转发模式的将发送到上级区域管理器),区域管理器将注册信 息导入SQL数据库保存,在Web管理平台中设置的客户端参数策略将由区域扫描器扫描客户端 后,发送给客户端驻留程序保存执行。该客户端驻留程序驻留在系统内部,以服务的方式实时运行,旦某个客户端非法接入互 联网或设备改变违规,客户端就向web管理平台发送报警数据,同时本机将显示报警
34、信息。 修改客户端注册程序配置文件在web平台中配置管理一注册程序配置。注册程序使用前需耍网管人员的配置,主要是设 置区域管理器IP地址(注册时客户端信息发向该IP地址所在的区域管理器),如区域管理器为 192. 168. 0. 244,配置如下图所示:EM出与纪立 L9MdlI1BP 4aa豪:W 20M-TT位密建厚紀!文小,理 .eWW內e用1ton口 w用電:ANA:,写算机使用,JTHIQ人的峠G名3:MfSSU:“晶V扇人M左位,如:價il島C8E :03,: 4 .耳1SS.I0:孙管 tt/WH 1rrr 4 富叩f修 0UM!号,- 1手电”:rir*W号,用mES电0件!!
35、:r4W伴:J(IflVHJI:r*阳2:在册g码.皿尸号4:r*尸号:r*r*dg:r*PQ 我 5Jig 1t:r*価9柱 aviMiea t mm : 6 興有 9Mju升T貰am!BFV9 相”, arsRr虹s:r4 聋S看:r*P4彳3 ”.1r%T:r*名鼻吉B速単位注(雯动r使用t汪的I 1M 1 221flUMHg I nWWNI* I图2-3T1T注册程序配置在这里,可以对注册时需要填加的单位、注册密码进行编辑。如下图所示:图2-3-11-2单位和部门添加删除(二)客户端注册方法客户端注册方法包括网页静态注册、网页动态注册、手动注册等。网页静态注册:静态注册比较简単,客户端
36、只需要将配置好的注册文件上传到公共主页上即可,做个链 接,访问主页后手动下载注册。主要讲述动态注册,这种方法适用于网络用户较多的情况,客户端只要访问网络内公共网 站,网页将自动对客户端进行探测,弹出提示窗口,提示用户进行注册。网页动态注册:利用网络中已经构建好的内部网站,一方面网络客户端可以通过手动获得注册程序,也可 以通过在主网页上加载弹出页面的方式进行提示性注册。本手册将主要介绍后一种方式。当网络中客户端计算机访问本网络内部网站时,在该主页代码中加入一段代码(如下)。本 代码作用在于首先获得该客户端计算机的IP地址,再读取数据库里面相关IP地址的注册和其 它相关信息,如果该IP地址的设备存
37、在,系统会根据其是否完成“注册”、“信任”、“保护”三 项操作进行判断,只要满足其中任意一条件,都不会提示注册,否则会弹出窗口提示注册。网页加载弹出程序方法如下:编辑已有主页的源程序,在需要加载弹出窗主页的源代码 中放入以下代码:注意:需要将其中的http:/ 192. 168. 0. 253/vrveis/quest. asp换成http:/Z安装内网安 全管理网页平台计算机IPrveis/quest. asp即可,此时当网络中计算机访问该内部主页时, 会自动弹出如下提示页面:,信息提示-Microsoft Internet Explo. |萩得本机IP地址为二!0. 48. 1. 8检测到
38、急的计算机尚未注册探头。为了网络的安全请念先注JWC1ICK HERE注册(点击“注册”后,不用下载,直接点击“打开, 填舄注册信息进行注册)图2-3-11-3网页动态注册使用网页动态注册时,请管理员通知注册人,在访问本网站时,暂时关闭网页弹出拦截程序或将本网站添加到不拦截列表中手动注册:除了自动注册设备外,遇到需要手工注册新增设备时,也可通过WEB管理平台 中数据查询,设备信息查询中的手动添加设备功能,将新增设备的具体信息详细登记填写至数 据库中,并将其置为保护设备。注意:1.多级级联注册:如果系统为多级级联方式,必须在区域管理器的高级配置中的“系统配 置”、“策略配置”选项中的级联选项选中
39、,并正确添加上级管理器的IP地址,各级区域会将自 己所管辖的区域管理IP段上报到上级数据库中存储。此时,当网络中任意一台下级区域客户端计算机访问主网站的同时,会根据最上级区域数 据库中存储的各级上报!p段信息,自动将该客户端注册程序文件下载路径指向为自己所处IP 段的本级区域注册器上,做到各个区域的客户端计算机在访问同一网站进行注册程序下载时, 所下载的客户端程序均为自己所在区域的专用注册程序。如果网络中内部网站,网络管理员可以通知网络内计算机在本系统Web管理平台的登录页 面中点击下载注册程序完成系统注册,或者在此页面下按上面的步骤做好弹出提示窗口方式注 册。注册程序界面如下:图2-3-11
40、-4终端注册信息无论采取哪种方式,在注册成功以后,注册程序除了将主动添加的信息自动上报以外,还 会自动收集其它和系统相关的信息进行上报。客户端和区域管理器连接通讯不正常的情况下,将提示用户“缺省注册成功”,表示客户端 探头已经注册完毕,但还没有与区域管理器通讯。当区域扫描器扫到该计算机的IP地址时,才 会将添加的信息及系统采集信息上报到区域管理器,存储在数据库当中。2,本系统使用初期,若要求对下属网络中的计算机信息进行统计、注册、入库,必须在Web 管理平台中管理器设置项内选中“允许客户端注册”,如注册时需要密码,也需要在WEB管理平 台中进行设置,如下图所示: 升丁括暑甘獲 tfFSE xt
41、vtr*电*ir EW *3鎌I州我 乡区.叫碇 L9Mei I1MKI iTVHVm图2-3T1-5允许客户端注册图2-3-11-6注册信息编辑(三)客户端卸载网络客户根据情况需要卸载客户端探头程序时,在终端桌面上,点击“开始”,“运行”,输 入UnInstallEdp.exe”,如图:图2-3T1-7客户端卸载记录下序列号,并将序列号复制到如下图的第个方框中:图2-3T1-8查看卸教密码点击査看将会产生一个卸载密码,将其输入卸载密码框中点击卸载即可。图2-3-11-9卸载密码或通过WEB管理平台中的点一点控制中的终端卸载如图: U:卩92,168 0 234 备名:WA: itr标厘:山备
42、名彝W-1A7BF77945A设备用:wm:DS所在印:1IHU:192 IM 0 234RMTifctt: 00096B90BE6便件資产II取忤费产| 5 O行力按剳0算头鱼本号:66 20.600防値号。:安装杀犯?件宿,II妬 访S停 IfM 脳网眠!歐拜冋第违農 位夏刖連霍 此第專隨Wi:z件厂 : E东软件版本:1928 (20061219)工作状為:工作中关前十貫机CtV qMOMB 内杼:严()9ftHZC: 38115(IByti)$m peck号:SF3ntf 本:IK 0 SM 0: 2052日胃麻识:3IWT349T0位名事:E计加他t:bj取手电话市备圧:啣斑:部名称
43、:tIt使用I:br电H:d立所在文11I名報,立备所在5aMnr:设备所在为 :最京fcfc时间:2007-1-6 18 43:57柴關蝴悯:违则同:anrr/ 18 13 12最后便用!悯:200T-1-5 18 43 57图2-3-11-10终端点对点-终端卸载第三章产品应用本平台配置主要指北信源终端安全管理的网页平台操作,网页平台是整个北信源终端安全 管理的配置操作核心,整个内网安全及补丁分发管理系统功能的实现全部在Web操作中实现, Web方式有助于管理员远程维护系统,进行统一配置和统一管理。掌握对网页平台的功能操作和 配置对使用本系统来提高整个网络的安全性和解决网络管理的效率有着重
44、要作用。菜单功能模块:系统策略中心、数据査询、终端控制、补丁分发、运维信息、报警事件、级 联总控、统计报表、系统维护等模块。3-1配置与管理3-1-1区域划分在网页平台安装完毕之后,访问http:/Web服务器域名(IP) /VRVEIS访问WEB管理平台 登录界面。如所示:图3TTT Web管理登录界面其中客户端工具下载菜单提供了包括用户注册器下载、补丁检测中心、多路帮助平台、普 通工具下载、管理员工具下载、工具上传管理等功能,用户按照页面提示操作即可。用户1下載用尸法而吞下拗心由我怦6防史5下或XATKTOOLS DOWNLOAD書證员下我* ULt理用户増耳1328,亏必要信后上第区或9M.注册程序自荏养出事城陵体德,连同用户壊写awse一同上搖wnr 理用户塔机狂马倡友比瓢臓*理后,区域苫理自动海筹戶歌目算应用68W足纳用户,芬自动更做這行本出件最性倡变化!m; 虎行本於吋地址麦化市计; 本机星(卜丁.依付