彭江波
内网安全及补丁分发管理系统的安装
软件安装顺序: 一、管理服务器上软件安装: 1)安装WinPcap驱动程序; 2)安装SQLserver数据库,初始化数据库; 安装前提示 软件安装顺序: 一、管理服务器上软件安装: 1)安装WinPcap驱动程序; 2)安装SQLserver数据库,初始化数据库; 3)安装网页平台(预配置区域管理器、扫描器); 4)安装区域管理器; 5)安装服务器主机保护程序; 6)修改客户端注册安装程序,打成软件包后供下载; 通知所有客户端用户下载并安装注册程序。 二、补丁下载程序安装: 在同互联网连接的一台工作站主机上安装补丁下载程序,下载所有补丁,确保无毒导入管理服务器补丁目录,供补丁审计用。
安装前提示 安装界面
安装前提示 SQL数据库安装:关键设置(1) 选择使用本地系统帐户
安装前提示 选择混合模式
1、初始化数据库:安装文件包--〉环境初始化(安装前请先启动sql服务) 数据库初始化 1、初始化数据库:安装文件包--〉环境初始化(安装前请先启动sql服务) 数据库在本机用“.”表示本机ip地址。 选择SQL身份认证输入sa用户及其密码 初始化成功
2、安装Web中央管理平台 :安装文件包--〉web管理平台模块 输入授权序列号,填写sql数据库服务器地址、用户、密码,安装程序将在IIS中创建虚拟目录vrveis。 数据库在本机用“.”表示本机ip地址。
web管理平台安装 安装前确保iis运行,安装后输入http://web管理平台ip/vrveis 登录管理界面 登录web管理界面
如果服务器操作系统是windows2003 需要配置IIS,才能访问登录页面。 web管理平台安装 如果服务器操作系统是windows2003 需要配置IIS,才能访问登录页面。 点击左边列表中的Web服务扩展,会出现右边红色标记的几个选项,默认情况下这几个选项都是禁止的,分别选中将它们设置为允许;几个选项分别为:Active Server Pages、Internet数据连接器、在服务器端的包含文件。
web管理平台安装 如果系统盘是NTFS分区的那么还得做如下操作才保证登陆Web界面后能够正常操作 :找到C:/VRV/vrveis目录,右键单击---属性,点击安全选项,直接点击添加按钮,会出现如下界面 。
A、点击红色标记的高级按钮,会出现如下界面: web管理平台安装 A、点击红色标记的高级按钮,会出现如下界面: 如图所示,点击“立即查找”按钮搜索用户,找到下面有着红色标记的用户,该用户为:IUSR_TEST3,(其格式一般为IUSR_机器名;)找到该用户后选中,添加后用户名显示,用同样方法添加用户IWAM_机器名 点击确定按钮即可。
选择Internet来宾账户,添加访问控制权限 web管理平台安装 B、点击“确定”按钮即可,此时会出现下图界面: 选择Internet来宾账户,添加访问控制权限
web管理平台安装 C、选中刚才添加的用户将权限设置为全部允许,到这一步,所有设置都以完成,此时分区为NTFS分区的服务器和其他终端都可以登陆Web界面进行正常操作了。 如果系统安装在NTFS磁盘分区,在打包注册程序时会失败,这时可以将vrveis\download 目录加上Users用户的读写权限,并且需要保证Users的读写权限已经继承到vrveis\download\DeviceRegist.exe ,vrveis\download\Regist.XML文件,如果没有继承到,请手工为这两文件添加用户。
3、安装区域管理器:安装文件包--〉区域管理器模块 区域管理器安装 3、安装区域管理器:安装文件包--〉区域管理器模块 在安装光盘中选择区域管理器模块, 输入授权序列号,完成安装,桌面快捷方式图标:内网安全管理管理器。 对于规模较大网络,可以设置多个扫描器,此时,选择“只做扫描用” 按钮,在web管理控制台中添加该扫描器,实现对网络的分段快速扫描。 区域管理器运行设置
注意DNS53端口,操作系统域服务器88端口冲突提示 区域管理器安装 区域管理器运行界面 注意DNS53端口,操作系统域服务器88端口冲突提示 安装完毕后在桌面点击内网安全管理管理器图标,区域管理器需要在web管理平台中设置后方才能工作,否则显示未分配区域提示。当网络计算机数量具大时,超出管理范围,可以单独安装作为区域管理下属扫描器使用,快速进行设备扫描。
4、配置Web中央管理平台系统组件:区域管理器、扫描器、注册客户端 系统组件配置 4、配置Web中央管理平台系统组件:区域管理器、扫描器、注册客户端 登录web管理平台 首次登录密码初始化加密后需要再次登录
机构代码:可不填;输入区域名称如“北信源公司” 、以及所管理的网络IP范围,最后保存。 系统组件配置 1、划分管理区域 选择默认,注册率达到80%-90%以上开启 机构代码:可不填;输入区域名称如“北信源公司” 、以及所管理的网络IP范围,最后保存。 划分管理区域 机构代码:机构数字编号,用于多级级联构架网络中上级和各下级之间机构的区分,如果区域管理器重名,机构代码可以帮助区分不同的区域管理器。
2、添加区域管理器 系统组件配置 如果存在vpn网络连接,Vpn网络虚拟管理器地址为vpn网关。 管理器标志:用于服务器迁移的标志符号,如服务器更换ip,下属客户端根据该标志寻找新的指定管理服务器。 管理配置同步:对本区域管理器配置的参数是用于指定区域。
设置上级管理服务器地址、升级服务器地址,端口选择默认2388、2399。 系统组件配置 配置区域管理器——高级配置——系统配置 设置上级管理服务器地址、升级服务器地址,端口选择默认2388、2399。 锁定下级策略:禁止下级管理服务器修改下发的策略
对报警的信息进行过滤,确定信息是否上报到上级。 系统组件配置 配置区域管理器——高级配置——报警过滤 对报警的信息进行过滤,确定信息是否上报到上级。
系统组件配置 配置区域管理器——高级配置——策略配置 对制订的策略分发进行控制 级联上级管理服务器ip地址
添加、配置区域扫描器后,添加管理范围后方可以进行设备扫描。 系统组件配置 3、添加区域添加扫描器 添加、配置区域扫描器后,添加管理范围后方可以进行设备扫描。 举例:北信源公司扫描器,扫描间隔:10分钟。扫描器地址同区域管理器地址一样。机构代码建议不填。
系统组件配置 配置扫描器——系统配置 扫描效率设定选择默认参数值,SNMP扫描用于扫描网络中的SNMP设备,并输入这些设备的口令,系统能够自动对网络设备(例如交换机、路由器、网络打印机等)进行扫描,并自动登记到设备列表库中建议该扫描间隔周期为1天,避免对网络的影响。 轻量级阻断:和周边的参与阻断的计算机可以通讯。重量级阻断:完全隔绝网络。阻断校正:防止阻断的arp包被交换机自动过滤掉,阻断失效。
Snmp团体名:根据拓扑管理需要输入网络中所有网络设备的snmp读团体名用“;”隔开。 系统组件配置 配置扫描器——交换机扫描配置 用于扫描发现交换机, 进行拓扑发现。 Snmp团体名:根据拓扑管理需要输入网络中所有网络设备的snmp读团体名用“;”隔开。
对客户端注册时候需要填写的信息进行控制。 系统组件配置 4、注册程序配置 对客户端注册时候需要填写的信息进行控制。 根据用户采集信息需要,选择填写内容。
系统组件配置 注册程序配置—添加单位 先添加单位后,方可以进行部门添加。 单位添加:如北信源公司。
添加完单位后保存,返回部门添加,依次填加本单位的所有部门(注意全面性) 系统组件配置 注册程序配置—添加部门 添加完单位后保存,返回部门添加,依次填加本单位的所有部门(注意全面性)
注册程序配置—配置终端用户填写信息项 系统组件配置 完成上述部门设置和信息采集参数设置后,进行客户端注册程序打包,该程序包用户网络中所有客户端的注册安装。 注册单位与注册部门产生联动:客户端注册时候单位与部门绑定。 静默注册:客户端注册时候不需要填写任何信息。
注册程序配置—管理员校验终端用户填写信息项(试注册) 系统组件配置 注册程序配置—管理员校验终端用户填写信息项(试注册) 在\vrveis\download目录下找到DeviceRegist.exe,执行后校验注册客户端填写信息是否符合管理员要求 确保网络中所有客户端下载到本注册程序。(参见客户端大规模分发技术章节)
注册程序配置—管理员校验终端用户填写信息项(试注册) 系统组件配置 注册程序配置—管理员校验终端用户填写信息项(试注册) 信息填写完毕后选择注册,向服务器(区域管理器)提交注册信息。 注册成功提示 客户端同区域管理器不连通提示
客户端注册程序卸载 5、客户端注册程序卸载: 方法一、需要卸载客户端探头程序时,运行安装程序包中的探头卸载程序UnInstallEdp.exe,产生卸载序列号,并将序列号复制到web管理平台的查看卸载密码菜单,使用产生的密码进行卸载。
方法二、管理员登录控制台,进入数据查询菜单——设备信息查询,对需要卸载的客户端进行选择打勾,这样由客户端注册程序进行自卸载。 客户端注册程序卸载 方法二、管理员登录控制台,进入数据查询菜单——设备信息查询,对需要卸载的客户端进行选择打勾,这样由客户端注册程序进行自卸载。
6、安装补丁下载程序:安装文件包--〉补丁下载服务器程序 独立模块安装、配置 6、安装补丁下载程序:安装文件包--〉补丁下载服务器程序 本程序安装在一台能够同互联网连接的工作主机上,用于下载补丁。 返回桌面点击downpatch.exe快捷方式进入设置界面,如果已经连接互联网,则立即进行补丁探测下载。
选择需要的补丁,下载完毕后,将补丁及patchindex.xml文件拷贝到内网桌面安全服务器区域管理器的相应目录。 独立模块安装、配置 downpatch.exe从北信源公司站点www.vrvsoft.com下载最新补丁索引文件,按照文件内容访问微软网站下载补丁。 选择需要的补丁,下载完毕后,将补丁及patchindex.xml文件拷贝到内网桌面安全服务器区域管理器的相应目录。
7、安装管理服务器主机保护程序:安装文件包-〉管理器主机保护 独立模块安装、配置 7、安装管理服务器主机保护程序:安装文件包-〉管理器主机保护 安装在桌面安全防护服务器上,用于保护其自身安全。 重启计算机后执行桌面Dosapp.exe快捷方式运行 管理服务器主机安全保护-2 管理服务器主机安全保护-1
谢谢观赏