北信源补丁分发系统用户手册Word格式.docx
- 文档编号:17553167
- 上传时间:2022-12-07
- 格式:DOCX
- 页数:37
- 大小:2.35MB
北信源补丁分发系统用户手册Word格式.docx
《北信源补丁分发系统用户手册Word格式.docx》由会员分享,可在线阅读,更多相关《北信源补丁分发系统用户手册Word格式.docx(37页珍藏版)》请在冰豆网上搜索。
用户访问指定网站自动获得,用户填写本机信息,填写必要信息后上报区域管理器。
注册程序自动探测系统硬件信息,连同用户填写的信息一同上报区域管理器。
用户将本机注册信息发送到区域管理器后,区域管理器自动将客户端驻留程序应用策略发送给用户,并自动更新。
客户端驻留程序功能:
1.进行本机硬件属性信息变化监视;
2.进行本机IP、MAC地址变化审计;
3.本机系统补丁、软件安装、运行进程状况监测;
4.探测本机是否有违规联网行为,在内网管理中心或外网报警平台报警;
5.接受Web管理平台的管理命令;
6.阻断本机非法外联行为;
7.执行Web管理平台下发的各种策略操作。
补丁下载服务器:
安装在与Internet网络连接的机器上,用于实时下载补丁厂商发布的补丁。
注:
区域管理器(RegionManage)、区域扫描器模块(Regionscan)、注册程序部分系统的参数配置集中体现在网页管理平台操作上,上述三部分功能参数、功能项数值统一在网页管理平台中进行配置。
区域管理器(RegionManage)、扫描器模块(Regionscan)部分参数在自身软件组件中配置。
2系统安装
2.1安装环境
条件一:
硬件环境
SQLServer数据库服务器:
用于安装系统管理信息数据库。
PC服务器或更高档服务器,PentiumⅣ2.4C以上CPU,512M以上内存。
区域管理器:
用于安装区域管理器程序。
百兆或千兆网卡,PC服务器或更高档服务器,PentiumⅣ2.4C以上CPU,512M以上内存。
扫描器模块:
配置同区域管理器。
如单独安装扫描器模块,比较高档的PC计算机即可。
本系统各程序可安装在同一台计算机上,也可在不同机器上安装SQL数据库、IIS服务器、区域管理器、扫描器模块等,此时推荐该计算机内存为1G以上。
建议将区域管理器、扫描器、网页管理平台安装在同一台机器上,作为监控服务器。
条件二:
提供数据库、IIS服务
操作系统:
Windows2000或Windows2003企业版操作系统。
SQLServer2000软件:
配备SQLServer数据库系统,用于北信源微软补丁升级管理系统建立管理信息库数据库列表项。
IIS服务:
配备IIS服务器提供Web服务,用于安装Web网页管理配置平台。
如所装操作系统为Windows2003企业版,则需要按照安装光盘中的Windows2003的IIS配置说明进行IIS配置。
条件三:
为本系统提供相应端口
北信源微软补丁升级管理系统区域管理器将占用操作系统88端口,必须确保安装区域管理器的机器该端口不被占用。
区域内的防火墙应打开如下端口:
80,88,2388,2399,8901,8900,161,137,22105,8889,22106,22108以及ICMP协议。
同时最好将DNS服务迁移至其它服务器。
2.2安装注意事项
软件安装时,推荐将区域管理器、扫描器、数据库安装在同一台机器上(以下称为监控服务器),建议按照下面要求进行监控服务器部署、软件安装、客户端注册。
2.2.1软件安装监控服务器部署注意事项
1、监控服务器在网络中放置位置注意点
确保该监控服务器能够ping通所有被管理网络中任意一台客户端机器,同时被管理客户端可以正常连接服务器的TCP的80,88两个端口。
监控服务器给客户端下达策略的端口为:
TCP端口22105;
监控服务器扫描发现客户端利用以下协议及端口:
ICMP协议(发现IP地址存在的其中一种方式);
NETBIOS协议,UDP端口137(为了发现机器名和MAC地址);
SNMP协议,TCP端口161(为了发现智能设备如路由器、交换机等);
在本地网络中若划分了VLAN,或本地网络存在防火墙,请注意上述问题。
2、存在网中子网(如经过地址转换)的网络布置点
对于网络中存在网中网现象,如采用NAT地址转化或者代理方式在10.*.*.*网络中接入192.*.*.*网段,这些子网用户的管理方式如下:
情况一:
子网有专人管理,并且有独立机房
应在该子网中安装一套完整的监控系统。
情况二:
子网无专人管理,或无独立机房,可采用以下3种方式之一处理
机器数量少的建议统一更改IP为10.*.*.*网段。
由管理员监督子网中所有机器进行注册并保证不得遗漏。
在该网络中指定一台工作站专门安装区域管理器软件和区域扫描模块,并将区域管理器配置中SQL服务器地址指向监控服务器。
2.2.2软件安装和应用过程中注意事项
1、必须按照软件安装步骤进行安装
1)确认本机IIS服务正常;
2)确认本机SQL已正常安装并能正常使用(以本地系统账户方式安装);
3)确认目标安装盘剩余空间不小于10G;
4)请务必按照指定顺序安装各个模块;
5)请在区域扫描模块所在计算机中安装SNMP服务;
6)安装完所有系统模块后,请一定按照说明文档进行客户端程序的配置及分发安装。
2、监控服务器的安全性问题
管理服务器安装Windows2000Server操作系统(带IIS)、MSSQLServer2000数据库后,一定要确保对Windows2000、SQL和IE进行重要安全补丁修补,规范操作系统、数据库的口令和密码设置,保证SQL、IIS的正常启动运行。
确保本服务器无病毒,同时可配置本服务器网络通讯端口仅打开:
80,88,6800,8901,8900,22105,2388,2399,8889。
3、保护机制的应用
对大多数交换机、路由器、非Windows设备,需要将其设置为保护状态(避免被阻断导致网络不通),其它如有系统无法识别的重要设备,请在网页管理平台设备信息查询中手动将其设置为保护状态。
2.3系统组件安装
安装顺序依次为:
*安装SQLServer数据库;
*安装WinPcap驱动程序;
*安装并运行环境初始化程序,初始化数据库;
*安装网页平台并进行划分区域,配置区域IP范围、区域管理器参数、设备扫描器参数
等(推荐安装在默认路径下);
*安装区域管理器(推荐安装在默认路径下);
*通知所有用户下载并运行注册客户端代理探头程序。
2.3.1安装WinPcap驱动模块
在安装页面中选择“安装WinPcap驱动模块”按钮,单击“下一步”安装在区域扫描器所在计算机上。
2.3.2初始化数据库
初始化数据库是在SQL数据库中初始化建立VRVEIS数据库并生成系统必需的相关数据表格,在此过程中需要利用本地数据或者调用远程SQL数据库,用户需要根据实际安装情况按以下两种方式进行操作:
⏹本地SQL数据库服务器环境初始化
1)、环境初始化,建立初始数据库
在SQL服务器地址栏中添加本地机器IP地址、SQL用户名、以及SQL用户密码。
SQL数据库服务器环境初始化
2)、检查数据库初始化是否成功:
检查数据库初始化
当有如图“初始化数据库结构成功”提示框弹出时,说明已成功创建初始化数据库。
否则会出现如下图所示提示信息:
初始化数据库失败提示信息
如果出现如上图所示提示信息,用户需要检查所填入的SQL数据库IP地址、用户名以及用户密码,重新初始化数据库。
⏹远程SQL数据库服务器环境初始化(建议非特殊情况不采用远程方式)
1)、输入远程数据库信息,配置SQL客户端:
安装远程数据库需要首先输入远程数据库IP地址、用户名称、用户密码,然后点击“配置SQL客户端”,出现如下界面:
配置SQL客户端
2)、在通用栏中,启用TCP/IP协议:
在通用栏中,选用TCP/IP协议,并启用,然后单击别名,进行别名添加设置。
启用所选协议
3)、进行客户端别名的添加:
单击上图中所圈中的别名,出现如下所示:
对客户端别名的添加
4)、进行网络协议的选择和服务器别名的添加:
此时用户需要首先选择网络协议,选定为TCP/IP,服务器别名根据用户需要自由添加,点击确定后完成数据库初始化。
2.3.3安装Web中央管理平台
⏹安装Web管理平台
此部分程序要求安装在默认路径下,安装过程中请确保信息填写正确,否则,Web服务器可能不能正确访问SQLServer数据库。
⏹Web中央管理平台访问
Web管理平台安装以后在IIS目录上以虚拟目录的形式存在,虚拟目录名称为VRVEIS,用户在安装完成以后,用http:
//Web服务器域名(IP)/VRVEIS的形式访问Web管理平台主页面。
默认用户名为admin,密码为123456。
(以下的都是用admin登陆进行说明的)。
审计用户名为audit,默认密码为123456,详见附录(六)。
如果http:
//Web服务器域名(IP)/VRVEIS访问无效,则以http:
//Web服务器域名(IP)/VRVEIS/INDEX.ASP方式登录。
Windows2003下IIS配置以及NTFS磁盘格式配置注意事项见附录(七)。
2.3.4安装区域管理器RegionManage
在Web中央管理平台中划分区域及指定区域管理器后(参见Web中央管理平台配置)安装区域管理器组件。
安装后进行以下两项配置:
⏹SQL客户端配置
如果“区域管理器”没有同SQL装在同一台服务器上,需要在如下图所示窗口中将默认网络库选择为“TCP/IP”,使客户端能够远程访问数据库。
在“区域管理器”中选择“配置”->
“系统配置”,配置SQL客户端,也可以通过Alt+S热键,进入配置。
常规配置
上述配置完毕以后,需要重新启动“区域管理器”,使系统生效。
⏹区域管理器系统配置
SQL服务器配置:
进入“系统配置”,逐步输入SQL服务器IP地址、用户名称及密码、数据库名称(默认为VRVEIS),单击“确定”完成SQL服务器配置。
区域管理器中SQL配置
2.3.5配置设备扫描器模块Regionscan
在配置好Web防护系统区域及其区域管理器后做以下步骤:
在配置管理里,点击“扫描器配置”可以添加扫描器,配置扫描范围。
区域扫描器配置
填写相关信息之后重新启动区域管理器,程序会自动缩小到系统托盘,表示数据库连接成功,程序运行正常,此时通过上图中“扫描器配置”项来查看扫描器相关运行信息。
2.3.6安装补丁下载服务器模块
在安装页面中选择“补丁下载服务器安装模块”按钮,输入序列号SN,单击“下一步”、在桌面生成DownPatch.exe快捷方式,执行后如下图所示:
丁下载服务器主界面
点击系统配置弹出如下图:
补丁下载索引解析界面
添加补丁索引:
从北信源站点获取补丁索引,用以获取补丁厂商发布补丁信息,通过对补丁索引的解析,下载补丁。
按照补丁索引、管理配置要求从补丁厂商站点获取补丁,补丁下载支持各种方式(下载线程、下载时间)自定义下载补丁。
补丁下载参数设置
2.3.7客户端注册及下载
(一)客户端注册原理及注册程序配置
⏹客户端注册原理
执行注册程序,根据要求填入指定信息,系统自动将所添加信息和系统自动采集获得的设备信息发送到区域管理器(设置为转发模式的将发送到上级区域管理器),区域管理器将注册信息导入SQL数据库保存,在Web管理平台中设置的客户端参数策略将由区域扫描器扫描客户端后,发送给客户端驻留程序保存执行。
该客户端驻留程序驻留在系统内部,以服务的方式实时运行,一旦某个客户端非法接入互联网或设备改变违规,客户端就向web管理平台发送报警数据,同时本机将显示报警信息。
⏹修改客户端注册程序配置文件
在web平台中配置管理->
注册程序配置。
注册程序使用前需要网管人员的配置,主要是设置区域管理器IP地址(注册时客户端信息发向该IP地址所在的区域管理器),如区域管理器为192.168.0.244,配置如下图所示:
注册程序配置
在这里,可以对注册时需要填加的单位、注册密码进行编辑。
如下图所示:
单位和部门添加删除
(二)客户端注册方法
客户端注册方法包括网页静态注册、网页动态注册、手动注册、网关重定向强制注册等。
网页静态注册:
静态注册比较简单,客户端只需要将配置好的注册文件上传到公共主页上即可,做一个链接,访问主页后手动下载注册。
主要讲述动态注册,这种方法适用于网络用户较多的情况,客户端只要访问网络内公共网站,网页将自动对客户端进行探测,弹出提示窗口,提示用户进行注册。
网页动态注册:
利用网络中已经构建好的内部网站,一方面网络客户端可以通过手动获得注册程序,也可以通过在主网页上加载弹出页面的方式进行提示性注册。
本手册将主要介绍后一种方式。
当网络中客户端计算机访问本网络内部网站时,在该主页代码中加入一段代码(如下)。
本代码作用在于首先获得该客户端计算机的IP地址,再读取数据库里面相关IP地址的注册和其它相关信息,如果该IP地址的设备存在,系统会根据其是否完成“注册”、“信任”、“保护”三项操作进行判断,只要满足其中任意一条件,都不会提示注册,否则会弹出窗口提示注册。
网页加载弹出程序方法如下:
编辑已有主页的源程序,在需要加载弹出窗口主页的源代码<
body>
中放入以下代码:
<
iframesrc="
http:
//192.168.0.253/vrveis/quest.asp"
frameborder="
0"
style="
width:
0px;
height:
0px"
>
/iframe>
注意:
需要将其中的http:
//192.168.0.253/vrveis/quest.asp换成http:
//安装内网安全管理网页平台计算机IP/vrveis/quest.asp即可,此时当网络中计算机访问该内部主页时,会自动弹出如下提示页面:
网页动态注册
使用网页动态注册时,请管理员通知注册人,在访问本网站时,暂时关闭网页弹出拦截程序或将本网站添加到不拦截列表中。
手动注册:
除了自动注册设备外,遇到需要手工注册新增设备时,也可通过WEB管理平台中数据查询,设备信息查询中的手动添加设备功能,将新增设备的具体信息详细登记填写至数据库中,并将其置为保护设备。
1.多级级联注册:
如果系统为多级级联方式,必须在区域管理器的高级配置中的“系统配置”、“策略配置”选项中的级联选项选中,并正确添加上级管理器的IP地址,各级区域会将自己所管辖的区域管理IP段上报到上级数据库中存储。
此时,当网络中任意一台下级区域客户端计算机访问主网站的同时,会根据最上级区域数据库中存储的各级上报IP段信息,自动将该客户端注册程序文件下载路径指向为自己所处IP段的本级区域注册器上,做到各个区域的客户端计算机在访问同一网站进行注册程序下载时,所下载的客户端程序均为自己所在区域的专用注册程序。
如果网络中内部网站,网络管理员可以通知网络内计算机在本系统Web管理平台的登录页面中点击下载注册程序完成系统注册,或者在此页面下按上面的步骤做好弹出提示窗口方式注册。
注册程序界面如下:
终端注册信息
无论采取哪种方式,在注册成功以后,注册程序除了将主动添加的信息自动上报以外,还会自动收集其它和系统相关的信息进行上报。
客户端和区域管理器连接通讯不正常的情况下,将提示用户“缺省注册成功”,表示客户端探头已经注册完毕,但还没有与区域管理器通讯。
当区域扫描器扫到该计算机的IP地址时,才会将添加的信息及系统采集信息上报到区域管理器,存储在数据库当中。
2.本系统使用初期,若要求对下属网络中的计算机信息进行统计、注册、入库,必须在Web管理平台中管理器设置项内选中“允许客户端注册”,如注册时需要密码,也需要在WEB管理平台中进行设置,如下图所示:
允许客户端注册
注册信息编辑
(三)客户端卸载
网络客户根据情况需要卸载客户端探头程序时,运行安装程序包中的探头卸载程序UnInstallEdp.exe如图:
客户端卸载
记录下序列号,并将序列号复制到如下图的第一个方框中:
查看卸载密码
点击查看将会产生一个卸载密码,将其输入卸载密码框中点击卸载即可。
卸载密码
或通过WEB管理平台中的点—点控制中的终端卸载如图:
终端点对点-终端卸载
2.4区域管理器补丁管理设置
(1)补丁下载配置
进行补丁分发管理前,首先需要对区域管理器的补丁下载管理模块进行设置:
补丁路径为北信源内网安全管理平台的安装路径,下图为系统默认的C:
\VRV\,该目录下的\RegionManage\Distribute\Patch即为补丁下载默认的存放路径,提供给客户端下载。
区域管理器补丁管理设置
本级补丁下载管理控制:
最大连接数限制:
设置客户端同时连接区域管理器并发下载补丁数量。
流量限制:
限制下载补丁时区域管理器最大流量值。
级联选项:
上下级区域管理器级联情况下,设定上级区域管理器IP和数据通讯端口。
(2)文件分发策略配置
经过以上配置后,还需要进行补丁策略分发参数设置:
分发参数设置
进行策略任务分发前必须选择启动策略分发任务,启用ping探测,确定分发文件所在的路径,分发时间间隔、分发数据通讯端口、分发线程等相关参数,如需设置级联,请在级联选项中,指定上级区域管理器级联IP地址等,上述部分参数按照系统默认设置即可。
3策略中心
⏹如何进行策略创建和分发
(1)在“策略管理中心”中左边的策略项中可点击需要制定的策略,然后在右边的“新建策略名”中输入相应的策略名称后,单击“创建”按钮开始创建策略。
策略中心策略制定
(2)随后在具体的策略的配置中根据用户的实际需要配置好策略后,单击“保存策略”就完成了一条策略的创建。
(由于各个策略项的配置过程都不一样,这里不再用截图表示,下一节将具体介绍)
(3)接下来是下发策略,即指定策略的执行对象,可通过单击“对象”按钮后,可按界面的提示完成对象的分配。
如下图所示:
下发策略
策略分配对象
表示创建策略成功
(4)如果需要让某一条策略暂时不使用,可按界面中对应的“停用”单选按钮使策略失效,需要使用的时候再单击“启用”按钮使策略生效。
如果想要删除某一条策略,则直接按“删除”按钮即可。
但在删除某策略之前最好先停用该条策略。
⏹策略的高级设置
策略的高级设置用于客户端程序对策略的执行设置,包括策略状态(启动、停止)、策略存活时间(策略执行的起止时间)、策略执行触发条件(在何种条件下开始执行策略)、策略无效时间(规定时间内客户端不执行策略)、策略应用范围(本级区域、下级区域、所有区域)、级联策略类型等,有些策略还包括具体的触发时间设置等。
高级策略设置
说明:
策略名称:
在此处可以修改策略名称。
策略状态:
制定策略的风险系数。
风险级别:
即是否启动风险系数。
策略存活时间范围:
即策略以天为单位的存活时间段。
策略无效工作日:
即可在一星期中选中一天或多天使策略无效。
策略无效时间段:
即策略以分为单位的无效的时间段。
强制策略:
级联策略发到下级管理器时,下级管理员对策略内容不能修改,并且不能修改该策略的对象和启动、停用状态。
样板模版:
级联策略发到下级管理器时,下级管理员对策略内容不能修改,但是可以修改该策略的对象和启动、停用状态。
策略有效网络:
a.在所有网络均有效:
该功能意思是策略在区域管理范围内、外均有效。
b.仅在该网络中有效:
该功能意思是仅在区域管理范围内有效。
⏹系统策略设定
1)补丁分发策略
1>
补丁自动分发:
提供客户端补丁的自动下载及安装,可设置补丁探测时间,运行参数及运行形式。
基于分发时间、补丁检测周期等进行策略制订,策略发送到网络客户端后,客户端注册程序统一执行补丁应用策略。
补丁自动分发策略
如:
在WindowsXP中运行“WindowsXP-KB825119-x86-CHS.exe”补丁为例,首先进入命令提示符窗口。
接着在进入系统补丁所在目录后,按“补丁名称+/?
”的方式来查看一下该补丁支持的命令行参数,如图所示:
补丁执行参数项
2>
人工选择补丁分发:
该功能可以根据人工选择特定的补丁下发给客户端,如下图所示:
人工选择补丁分发
2)终端配置策略
终端设置策略:
对客户端时间,ARP阻断以及各种信息的上报等进行设置。
“同步终端时间”中选中单选框是,可同步客户端时间为服务器时间。
“自定义探头应答IP”中输入IP后,表示更改区域管理器为指定的IP,若要添加更多的IP,各IP间用分号分隔。
“自定义ARP阻断设置”中选中单选框是,则可设置每次发送ARP欺骗包的间隔时间和持续时间。
“审计日志上报间隔”。
“补丁信息上报”:
将终端补丁安装信息上报到服务器。
(注:
若已下发了自动补丁分发策略,则此功能自动开启。
)
“进程信息上报”将终端系统运行进程情况上报服务器。
“软件信息上报”将终端系统软件信息定时上报到服务器。
“策略更新周期”指定客户端按设置间隔时间进行更新。
终端设置策略
终端代理扫描策略:
利用客户端探头进行本网段扫描,并且本网段中必须有一台已注册的计算机。
终端代理扫描策略
3)管理器策略
管理器策略
4)按对象分配策略
按设备分配:
策略管理中心—>
设备-->
策略查询,用户通过设备IP或设备名称查询下发给该设备的策略,能够快速查找到相应的客户端正在执行
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信源 补丁 分发 系统 用户手册