用户使用手册
北京北信源软件股份有限公司
二〇一一年
支持信息
在北信源内网安全管理系统使用过程中,如您有任何疑问都可以通过访问我公司网站或者致电我司客服中心获得帮助和支持!
热线支持:400-8188-110 客户服务电话:
在您使用该产品过程中,如果有好的意见或建议的话也请联系我们的客服中心,感谢您对我公司产品的信任和支持!
正文目录
特别说明 ............................................................................................................................ 产品构架 ............................................................................................................................ 应用构架 ............................................................................................................................ 第二章 北信源内网安全管理系统 .............................................................................. 策略中心 ............................................................................................................................ 策略管理中心 ................................................................................................................. 网关接入认证配置 ......................................................................................................... 阻断违规接入管理 ......................................................................................................... 补丁分发 ............................................................................................................................ 数据查询 ............................................................................................................................ 本地注册情况统计 ......................................................................................................... 本地设备资源统计 ......................................................................................................... 本地设备类型统计 ......................................................................................................... USB标签信息查询 ......................................................................................................... 设备信息查询 ................................................................................................................. 审计数据查询 ................................................................................................................. 分发数据查询 ................................................................................................................. 非Windows操作系统设备 ............................................................................................ 终端管理 ............................................................................................................................ 终端管理 ......................................................................................................................... 行为控制 ......................................................................................................................... 远程协助 ......................................................................................................................... 运维监控 ............................................................................................................................ 报表管理 ............................................................................................................................ 报警管理 ............................................................................................................................ 报警数据查询 ................................................................................................................. 本地区域报警数据统计 ................................................................................................. 本地报警数据汇总 ......................................................................................................... 级联总控 ............................................................................................................................ 级联注册情况统计 ......................................................................................................... 级联设备资源统计 ......................................................................................................... 级联设备类型统计 ......................................................................................................... 级联管理控制 ................................................................................................................. 区域管理器状态查询 ..................................................................................................... 区域扫描器状态查询 ..................................................................................................... 级联上报数据 ................................................................................................................. 级联报警数据 .................................................................................................................
系统维护 ............................................................................................................................ 系统用户分配与管理 ..................................................................................................... 用户设置 ......................................................................................................................... 数据重整 ......................................................................................................................... 审计用户 ......................................................................................................................... 第三章 北信源补丁及文件分发管理系统 ................................................................... 区域管理器补丁管理设置 ................................................................................................ 补丁下载配置 ................................................................................................................. 文件分发策略配置 ......................................................................................................... 策略中心 ............................................................................................................................ 补丁分发策略 ................................................................................................................. 软件分发策略 ................................................................................................................. 其他策略 ......................................................................................................................... 补丁分发 ............................................................................................................................ 补丁自动下载分发 ............................................................................................................ 补丁下载服务器 ............................................................................................................. 补丁库分类 ..................................................................................................................... 补丁下载转发代理 ......................................................................................................... 客户端补丁检测(一) .................................................................................................... 客户端补丁检测(二) .................................................................................................... 第四章 北信源主机监控审计系统 .............................................................................. 策略中心 ............................................................................................................................ 行为管理及审计 ............................................................................................................. 涉密检查策略 ................................................................................................................. 其他策略 ......................................................................................................................... 数据查询 ............................................................................................................................ 第五章 北信源移动存储介质使用管理系统 ............................................................... 策略中心 ............................................................................................................................ 可移动存储管理 ............................................................................................................. 其他策略 ......................................................................................................................... 数据查询 ............................................................................................................................ 第六章 北信源网络接入控制管理系统 ....................................................................... 网关接入配置认证 ............................................................................................................ 策略中心 ............................................................................................................................ 接入认证策略 ................................................................................................................. 其他策略 ......................................................................................................................... 环境准备方法 .................................................................................................................... 安装RADIUS(windowsIAS) ..............................................................................................
各厂商交换机配置 ............................................................................................................ Cisco2950配置方法 ........................................................................................................ 华为3COM3628配置 ..................................................................................................... 锐捷RGS21配置 ............................................................................................................. 第七章 北信源接入认证网关 ...................................................................................... 网关接入配置认证 ............................................................................................................ 策略中心 ............................................................................................................................ 第八章 系统备份及系统升级 ...................................................................................... 系统数据库数据备份及还原 ............................................................................................ 系统组件升级 .................................................................................................................... 区域管理器、扫描器模块升级 ..................................................................................... 升级网页管理平台 ......................................................................................................... 客户端注册程序升级 ..................................................................................................... 检查系统是否升级成功 ................................................................................................. 级联管理模式升级及配置 ................................................................................................ 附录 .............................................................................................................................. 附录(一)北信源内网安全管理系统名词注释 ............................................................ 附录(二)移动存储设备认证工具操作说明 ................................................................ USB标签制作 ................................................................................................................. USB标签制作工具 ......................................................................................................... USB标签制作历史查询 ................................................................................................. 移动存储审计策略 ......................................................................................................... 移动存储审计数据 ......................................................................................................... 附录(三)主机保护工具操作说明 ................................................................................ 附录(四)组态报表管理系统操作说明 ........................................................................ 模版制定 ......................................................................................................................... 报表输出 ......................................................................................................................... 附录(五)报警平台操作说明 ........................................................................................ 设置 ................................................................................................................................. 日志查询 ......................................................................................................................... 窗口 ................................................................................................................................. 更换界面 ......................................................................................................................... 帮助 ................................................................................................................................. 附录(六)漫游功能说明 ................................................................................................ 漫游功能介绍 ................................................................................................................. 漫游功能配置 ................................................................................................................. 附录(七)IIS服务器配置说明 ....................................................................................... WIN2003-32位IIS配置说明.......................................................................................... WIN2003-64位IIS配置说明..........................................................................................
WIN2008-64位IIS配置说明..........................................................................................
图目录
图2-1创建新策略 ................................................................................................................ 图2-2下发策略 .................................................................................................................... 图2-3策略控制 .................................................................................................................... 图2-4硬件设备控制 ............................................................................................................ 图2-5软件安装监控策略 .................................................................................................... 图2-6进程执行监控策略 .................................................................................................... 图2-7进程保护策略 ............................................................................................................ 图2-8协议防火墙策略 ........................................................................................................ 图2-9注册表 ........................................................................................................................ 图2-10IP与MAC绑定策略 ................................................................................................. 图2-11防违规外联策略 ...................................................................................................... 图2-12违规提示 .................................................................................................................. 图2-13文件备份路径设置 .................................................................................................. 图2-14注册码配置 .............................................................................................................. 图2-15阻断违规接入控制设置 .......................................................................................... 图2-16本地注册情况信息 .................................................................................................. 图2-17本地设备资源信息 .................................................................................................. 图2-18本地设备类型统计 .................................................................................................. 图2-19软件变化信息 .......................................................................................................... 图2-20注册日志信息 .......................................................................................................... 图2-21交换机扫描管理配置 .............................................................................................. 图2-22设备信息统计图表 .................................................................................................. 图2-23级联设备信息 .......................................................................................................... 图2-24级联设备系统类型统计 ....................................................................................... 图2-25级联管理控制 .......................................................................................................... 图2-26下级级联区域管理器信息 ...................................................................................... 图2-27区域管理器状态信息 .............................................................................................. 图2-28区域扫描器状态信息 .............................................................................................. 图2-29级联上报数据 .......................................................................................................... 图2-30系统用户列表 .......................................................................................................... 图2-31添加系统用户界面 .................................................................................................. 图2-32用户管理列表 .......................................................................................................... 图2-33终端控制权限 .......................................................................................................... 图2-34屏幕监控权限 .......................................................................................................... 图2-35密码初始化提示框 .................................................................................................. 图2-36密码初始化完成提示框 .......................................................................................... 图2-37修改ADMIN用户密码 ..............................................................................................
图2-38数据重整信息表 ...................................................................................................... 图2-39审计用户登录 .......................................................................................................... 图3-1区域管理器补丁管理设置 ........................................................................................ 图3-2分发参数设置 ............................................................................................................ 图3-3补丁自动分发 ............................................................................................................ 图3-4补丁下载服务器界面 ................................................................................................ 图3-5补丁下载服务器设置 ................................................................................................ 图3-6补丁代理传发支持 .................................................................................................... 图3-7补丁下载设置 ............................................................................................................ 图3-8登录页面 .................................................................................................................... 图3-9工具下载页面 ............................................................................................................ 图3-10补丁检测中心 .......................................................................................................... 图3-11客户端补丁漏打检测 .............................................................................................. 图6-1网关接入认证 ............................................................................................................ 图6-2重定向配置 ................................................................................................................ 图6-3用户添加 .................................................................................................................... 图6-4补丁与杀毒软件认证策略 ........................................................................................ 图6-5接入认证策略 ............................................................................................................ 图6-6802.1X认证界面 ...................................................................................................... 图6-7802.1X认证界面 ...................................................................................................... 图6-8安全检查没有通过,802.1X不启动认证 ................................................................ 图6-9认证失败 .................................................................................................................... 图6-10添加INTERNET验证服务组件 ................................................................................... 图6-11IAS配置界面 ............................................................................................................. 图6-12新建RADIUS客户端 ............................................................................................... 图6-13新建RADIUS客户端 ............................................................................................... 图6-14新建远程访问策略 .................................................................................................. 图6-15设置远程访问策略 .................................................................................................. 图6-16设置远程访问策略 .................................................................................................. 图6-17设置远程访问策略选择用户 .................................................................................. 图6-18设置远程访问策略使用MD5质询 ........................................................................ 图6-19设置远程访问策略新建的策略 .............................................................................. 图6-20选择DAY-AND-TIME-RESTRICTIONS .............................................................................. 图6-21选择允许 .................................................................................................................. 图6-22设置属性 .................................................................................................................. 图6-23添加属性值VLAN ...................................................................................................... 图6-24添加属性值802 ....................................................................................................... 图6-25添加属性值600 ....................................................................................................... 图6-26添加属性值600 ....................................................................................................... 图6-27编辑拨入配置文件 .................................................................................................. 图6-28新建连接请求策略 ..................................................................................................
图6-29为策略取名字 .......................................................................................................... 图6-30策略配置 .................................................................................................................. 图6-31添加远程登录用户 .................................................................................................. 图6-32设置用户属性 .......................................................................................................... 图6-33设置TEST用户 .......................................................................................................... 图6-34设置启用 .................................................................................................................. 图6-35VRVEDPAGENT认证成功 ........................................................................................... 图6-36创建用户界面 .......................................................................................................... 图6-37用户添加 .................................................................................................................. 图6-38设置用户密码 .......................................................................................................... 图6-39进入NETWORKCONFIGURATION ........................................................................................ 图6-40AAACLIENT配置 .......................................................................................................... 图6-41AAASERVER配置 .......................................................................................................... 图6-42进入INTERFACECONFIGURATION .................................................................................... 图6-43进入RADIUS(IETF) ................................................................................................. 图6-44进入GROUPSETUP ........................................................................................................ 图6-45进入EDITSETTINGSP ................................................................................................... 图7-1网关接入认证 ............................................................................................................ 图7-2重定向配置 ................................................................................................................ 图7-3用户添加 .................................................................................................................... 图7-4网关接入认证策略 .................................................................................................... 图8-1级联管理配置 ............................................................................................................ 附图-1修改用户ADMINUSB标签 ...................................................................................... 附图-2下载DEVICENUMBER.EXE.............................................................................................. 附图-3全局参数 ................................................................................................................... 附图-4USBTOOL登录 .............................................................................................................. 附图-5USBTOOL界面 ............................................................................................................... 附图-6分区格式化 ............................................................................................................... 附图-7制作移动硬盘标签1 ................................................................................................ 附图-8制作移动硬盘标签2 ................................................................................................ 附图-9制作移动硬盘标签3 ................................................................................................ 附图-10制作移动硬盘标签4 .............................................................................................. 附图-11制作移动硬盘标签5 .............................................................................................. 附图-12制作移动硬盘标签6 .............................................................................................. 附图-13制作移动硬盘标签7 .............................................................................................. 附图-14制作移动硬盘标签8 .............................................................................................. 附图-15制作移动硬盘标签9 .............................................................................................. 附图-16制作移动硬盘标签10 ............................................................................................ 附图-17制作移动硬盘标签11 ............................................................................................ 附图-183个分区的优盘和移动硬盘内网登录界面 ........................................................... 附图-19整盘加密的优盘和移动硬盘内网登录界面 .........................................................
附图-20外网插入3个分区的优盘或移动硬盘盘符 ......................................................... 附图-21交换区登录界面 ..................................................................................................... 附图-22外网插入整盘加密优盘或移动盘符 ..................................................................... 附图-23信息提示 ................................................................................................................. 附图-24USBTOOL登录 ............................................................................................................. 附图-25USBTOOL界面 ............................................................................................................ 附图-26初始化密码 ............................................................................................................. 附图-27标签历史查询 ......................................................................................................... 附图-28访问控制配置说明 ................................................................................................. 附图-29DOS/DDOS配置说明 ............................................................................................... 附图-30创建模板 ................................................................................................................. 附图-31确定报表标题及报表尾 ......................................................................................... 附图-32定义报表输入项 ..................................................................................................... 附图-33确定输出条件 ......................................................................................................... 附图-34确定关联 ................................................................................................................. 附图-35保存模板 ................................................................................................................. 附图-36修改模板名称 ......................................................................................................... 附图-37修改模版的输出标题和表尾 ................................................................................. 附图-38修改输出列选项 ..................................................................................................... 附图-39修改关联选项 ......................................................................................................... 附图-40修改时间范围统计 ................................................................................................. 附图-41模板预览 ................................................................................................................. 附图-42输出EXCEL报表模板信息 ....................................................................................... 附图-43时间定义 ................................................................................................................. 附图-44模板导入 ................................................................................................................. 附图-45模板导出 ................................................................................................................. 附图-46报警平台设置 ......................................................................................................... 附图-47高级设置 ................................................................................................................. 附图-48报警设置上 ............................................................................................................. 附图-49报警设置下 ............................................................................................................. 附图-50日志查询 ................................................................................................................. 附图-51报警中心界面 ......................................................................................................... 附图-52漫游示意 ................................................................................................................. 附图-53结合接入认证漫游示意图 ..................................................................................... 附图-54CA服务器界面 ........................................................................................................ 附图-55区域管理器配置界面 ............................................................................................. 附图-56客户端迁移策略配置界面 ..................................................................................... 附图-57重原管理区漫游出去的客户端 ............................................................................. 附图-58漫游到新管理器的客户端 ..................................................................................... 附图-59进去漫游组中的漫游客户端 ................................................................................. 附图-60漫游回原管理器的客户端 .....................................................................................
附图-61漫游查询状态选项 ................................................................................................. 附图-62IIS服务管理器 ......................................................................................................... 附图-63虚拟目录属性 ......................................................................................................... 附图-64选择用户域组 ......................................................................................................... 附图-65用户域组高级选项 ................................................................................................. 附图-66用户属性变更 ......................................................................................................... 附图-67命令执行结果 ......................................................................................................... 附图-68输出结果 ................................................................................................................. 附图-70添加角色向导 .........................................................................................................
表目录
表2-2硬件设备控制参数说明 ............................................................................................ 表2-3软件安装监控策略参数说明 .................................................................................... 表2-4进程执行监控策略参数说明 .................................................................................... 表2-5用户密码策略参数说明 ............................................................................................ 表2-6协议防火墙策略参数说明 ........................................................................................ 表2-7注册表检查策略参数说明 ........................................................................................ 表2-8IP与MAC绑定策略参数说明 ................................................................................... 表2-9杀毒软件运行监控 .................................................................................................... 表2-10防违规外联策略参数说明 ...................................................................................... 表2-11运行资源监控策略参数说明 .................................................................................. 表2-12进程异常监控策略参数说明 .................................................................................. 表2-13流量采样策略参数说明 .......................................................................................... 表2-14流量控制策略参数说明 .......................................................................................... 表2-15消息推送策略参数说明 .......................................................................................... 表2-16客户端文件备份策略参数说明 .............................................................................. 表2-17终端配置策略参数说明 .......................................................................................... 表3-1区域管理器补丁管理参数说明 ................................................................................ 表3-2补丁自动分发策略参数说明 .................................................................................... 表3-3人工选择补丁分发策略参数说明 ............................................................................ 表3-4普通文件分发策略参数说明 .................................................................................... 表3-5补丁下载设置参数说明 ............................................................................................ 表4-1文件输出审计策略参数说明 .................................................................................... 表4-2上网访问审计策略参数说明 .................................................................................... 表4-3文件内容检查策略参数说明 .................................................................................... 表6-1补丁与杀毒软件认证策略参数说明 ........................................................................ 表6-2VIFR接入认证策略参数说明..................................................................................... 附表-1移动存储审计策略参数说明 ...................................................................................
第一章 概述
特别说明
北信源终端安全管理系列产品由《北信源内网安全管理系统》、《北信源补丁及文件分发管理系统》、《北信源主机监控审计系统》、《北信源移动存储介质使用管理系统》、《北信源网络接入控制管理系统》及《北信源接入认证网关》6大套件构成。
本手册内容将随着北信源软件的不断升级而改变(以光盘中电子版发行时为最新版),恕不另行通知。需要者请从北信源公司网站下载本手册的最新电子版或者直接联系北信源公司索取。
本手册与本系统的安装配置手册中的所有图片均为示意图,请以实际产品为准。
本使用手册为北信源终端安全管理系列产品通用说明书。若您独立购买《北信源内网安全管理系统》或《北信源补丁及文件分发管理系统》等其中之一产品,本说明书的其它功能将不具备。
感谢您购买北京北信源软件股份有限公司研制开发的北信源终端安全管理系列产品。请在使用本软件之前认真阅读本使用手册,当您开始使用该软件时,北信源公司认为您已经阅读了本使用手册。
产品构架
北信源终端安全管理产品由8部分组成:WinPcap程序、SQLServer管理信息库(安装包:环境初始化程序)、Web中央管理配置平台(安装包:网页管理平台)、区域管理器(安装包:RegionManage,原区域扫描器已作为模块集成到区域管理器)、客户端注册程序(安装包:注册程序)、补丁下载服务器、管理器主机保护模块、报警中心模块。 环境初始化程序
SQLServer管理信息库,建立北信源终端安全管理产品的初始化数据库。初始化的信息包括:网络客户端设备属性信息、区域管理器信息、设备扫描器信息、区域管理范围信息、注册(未注册)机器信息、设备属性变化信息、报警信息等。扫描器将设备最新状态信息同数据库中原有信息进行遍历搜索对比,根据规则要求在管理平台上报警。 网页管理平台(web管理平台)
Web中央管理配置平台,本系统的管理配置中心。包括区域管理器、扫描器、注册客户端的功能参数设定,网络设备信息发现、系统应用策略制订、报警信息显示、定义任务功能制订、系统用户维护等配置操作。 RegionManage
区域管理器,系统数据处理中心,负责与管理信息数据库通讯扫描终端设备、控制服务器、客户端之间的信息、指令的下达、接受。比如:接收注册程序提供的用户信息,将用户信息(用户填写的物理信息和系统自动采集的硬件信息)并行存入数据库;接受来自控制台的命令操作,发送到客户端、扫描器执行。
对于存在多级管理要求的广域网,网络中可以存在多个区域管理器,实现系统数据逐级上报(转发),对网络终端的多级管理。
区域管理器内置网络扫描器,扫描器用来发现网络的终端设备。将发现的设备信息交由区域管理器处理。、设备最新状态信息报送至区域管理器,由区域管理器处理后,同数据库中原有信息进行遍历搜索对比,根据管理规则在管理平台上报警。
扫描器配合区域管理器进行工作,可以在分级模式下使用。扫描器只依据Web管理平台中配置的工作范围进行扫描,如果终端IP超越其范围,将不负责执行操作。 Winpcap程序
嗅探驱动软件,监听共享网络上传送的数据。 客户端注册程序
将接收并执行服务器下发的指令。该程序可以在“工具下载->用户注册器下载”处下载。访问指定网站自动获得,用户填写必要的信息后,运行该程序,区域管理器将收到注册终端的相关信息,同时终端可以接收、执行各种下发的指令。注册程序自动探测系统硬件信息,连同用户填写的信息一同上报区域管理器。用户将本机注册信息发送到区域管理器后,区域管理器自动将客户端驻留程序应用策略发送给用户,并自动更新。 客户端驻留程序功能:
进行本机硬件属性信息变化监视; 进行本机IP、MAC地址变化审计;
本机系统补丁、软件安装、运行进程状况监测; 探测本机是否有违规联网行为,在内网管理中心或外网报警平台报警;
接受Web管理平台的管理命令; 阻断本机非法外联行为;
执行Web管理平台下发的各种策略操作。 补丁下载服务器
安装在与Internet网络连接的机器上,用于实时下载补丁厂商发布的补丁。 管理器主机保护模块
管理器主机保护模块可根据管理器或其他服务器具体使用的端口、网络协议、通信IP范围和具体的其他网络应用来定义该计算机使用的安全级较高的网络配置,从而防止该计算机受到恶意的IP冲突以及各种网络、病毒攻击。 报警中心模块
安装在可与区域管理器所在服务器正常通讯的计算机上,本模块可以根据管理员在系统中所配置的报警事件和危险级别提供给管理员包括电子邮件、信使服务、SNMPTrap、手机短信等多种报警方式。
应用构架
北信源终端安全管理应用于局域网、广域网构架,支持跨网段、跨地域的内网远程客户端管理及非法移动设备接入
检测、网内计算机违规联网监视、网络安全隔离度监控等。
系统应用主要分为以下两种构架:
基本构架:对于一般网络(例如1个C类地址或若干个C类地址的局域网范围),可使用一套本系统软件,通过一个管理器集中管理所属区域内的所有设备。
扩展构架:对于大规模的多个局域网或者跨地域广域网(包括基于国家、省、市、县等多级管理模式的网络结构),可使用本系统提供的多区域集中管理构架,即一个或多个网段各拥有一套独立北信源终端安全管理的同时,将本级所有设备信息再转发给上级管理数据库,使得上一级管理人员对整个网络的设备状况也能够完全掌握。
图1-北信源终端安全管理应用拓扑
第二章 北信源内网安全管理系统
策略中心
策略管理中心
策略的使用
策略的创建和分发
1..在“策略管理中心”中左侧的策略项中点击需要制定的策略,然后在右侧的【策略名】中输入相应的策略名称,单击【创建新策略】按钮开始创建策略。
图2-创建新策略
注:在策略的定义中使用了一些特别的关键字符,
这些特殊的字符不应该在策略内容中出现。否则可能会出现无法预料的系统错误。这些字符包括:\"><'/=\"(大于,小于,单引号,反斜线,等于)。
2.根据实际需求配置策略,单击【保存策略】完成策略的创建。
(由于各个策略项的配置过程都不一样,下一节将具体介绍)
3.下发策略,即指定策略的执行对象。通过单击【对象】按钮,可按界面提示完成对象的分配。如下图所示:
图2-下发策略
4..如果需要让某一条策略暂时不使用,可通过【停用】按钮使策略失效,需要使用的时候再单击【启用】按钮使策略生效。如果想要删除某一条策略,则直接按【删除】按钮即可。如下图所示,
图2-策略控制
策略的高级设置
策略的高级设置用于策略的执行设置,包括策略状态(启动、停止)、策略存活时间(策略执行的起止时间)、策略执行触发条件(在何种条件下开始执行策略)、策略无效时间(规定时间内不执行策略)、策略应用范围(本级区域、下级区域、所有区域)、级联策略类型等,有些策略还包括具体的触发时间设置等。 参数 策略名称 风险级别 停用锁定 策略状态 策略存活时间范围 策略无效工作日 策略无效时间段 说明 此处可以修改策略名称 分为低、中、高三个级别 选中【锁定对策略的停用操作】后,策略列表中的【停用】功能将不起作用,用于防止用户的误操作。 制定策略的状态:启动/停止 即策略以天为单位的存活时间段 即可在一星期中选中一天或多天使策略无效 即策略以分为单位的无效的时间段 黑白名单编辑
指登录操作系统的用户。当执行该策策略有效用户 略时,先判断此用户是不是有效用户,是有效用户则执行,否则不执行。 有效网关:客户端所在内网的网关;策略有效网关 当执行该策略时,先判断是不是有效网管,是则执行该策略,否则不执行。 内网:能与本服务器通讯的属于内策略有效网络 网;外网:与本服务器不能通讯,且不能与客户端所在网关通讯的属于外网。 克隆机:将已经注册了本系统的客户端的系统做成镜像(gost),还原到克隆机策略 某计算机上,则该计算机称之为克隆机。只有克隆机(gost系统)执行本策略,非克隆机不执行。 表2-策略的高级设置参数说明
策略下发结果查询
可以通过以下两种方式查看策略的下发情况: (1)策略管理中心-->策略下发查询 (2)终端管理-->终端管理-->当前执行策略
注:策略分发间隔默认为1分钟;有的策略需要重
新启动生效,请看每条策略的具体说明。具有审计功能的策略,审计数据可以在“数据查询审计数据查询”中查看。
进程黑白名单
进程黑白名单在“进程监控”策略中可以使用,这部分包含系统预定义黑名单和用户自定义黑白名单。编辑进程黑白名单时包括:进程名、产品名、源文件名等;如果是服务则只可以加服务名,同时可以加一些描述。 软件黑白名单
软件黑白名单在“软件安装监控”策略中可以使用,这部分包含系统预定义黑名单和用户自定义黑白名单。 URL黑白名单编辑
URL黑白名单在“上网访问审计”策略、“上网控制策略”中可以使用,这部分包含系统预定义黑名单和用户自定义黑白名单。 端口黑白名单编辑
端口黑白名单在“协议防火墙策略”中可以使用,这部分包含系统预定义黑名单和用户自定义黑白名单。
硬件设备控制
功能说明:控制各种硬件设备及接口的启用或禁用,如果只想禁止使用移动存储设备,也可以通过“可移动存储审计”策略来实现。 参数说明: 参数 说明 硬件设备控制不处理、启用、本策略中所能控制的硬件,都需要禁用 能够在windows系统设备管理器中进行禁止和启用。 例外 选择【启用】时将禁用例外中的设备,选择【禁用】时将启用例外中的设备,【不处理】选项保持原来的状态无变化,提高系统管理性能,如果对某项不关心可以选择该项。 例外设备添加方法:右击我的电脑属性硬件设备管理器,出现设备列表。 该策略控制叠加到之前的策略基础之上 选中此项时:如果有多条此类策略,终端执行效果将是多条策略设置叠加后执行的效果。 如果不选择该项,终端只支持单独一条策略,新下发的策略将覆盖原来的策略配置。 取消对设备管理器的的拦截操作 审计结果处理 默认情况下下发该策略后将禁止用户在设备管理器里启用/禁用任何设备,如果取消则可以在设备管理器里启用/禁用设置为不处理的设备。 上报服务器:就是将审计记录上报到服务器并进行记录。当客户端脱离网络时无法上报到服务器就记录到本地,等客户端接回网络时再上报到服务器。 记录到本地文件:会在本地生成文件记录审计信息。起到在本地备份的作用。 表2-硬件设备控制参数说明
注意事项:
1.如果要对原来禁用的设备启用,最好是明确的为该设备制定一条启用策略。
2.禁用u盘、软驱、光驱等一部分功能,在行为管理与审计策略中的可移动存储审计策略中也可完成,功能上没有什么区别,用户可以根据自己的习惯,自行设定。
进程及软件管理
策略实例:允许使用光驱,但是禁止使用刻录光驱。 比如有两个光盘驱动器,分别为:GenericDVD-ROMSCSICdRomDevice和MATSHITAUJDA745DVD/CDRW。从文字显示上可以看出后面一个驱动器为刻录光驱,如果要禁止刻录光驱,则可以将光驱项设置为\"允许\",在【例外】中输入\"MATSHITAUJDA745DVD/CDRW\"或其中的一部分,只要能通过该标志确认是一个可刻录光驱即可。因为基本上可刻录光驱都带有\"CDRW\"字样,【例外】中可以输入\"CDRW\"。多个例外之间用分号(\";\")(英文半角格式)分隔,如下图所示:
图2-硬件设备控制
软件安装监控
功能说明:用于监控客户端安装的软件是否违规并对违规行为做出相应的处理。 参数说明: 参数 说明 设置需要进行控制的软件名称,填入需要监控的软件名称后,点选【添加控制】按钮,如果想要控制更多的软件,输入软件名称后,继软件名 续点选【添加控制】按钮,以此类推,可以继续添加需要控制的软件。同一类软件可以使用具体的策略,包括“禁止安装软件”、“必须安装软件”、“允许安装软件”三个选项,这个具体选择可以根据管理员的需要自行设定。如果想要取消对某个软件的控制,请在列表处选定软件的名称,然后点击【删除控制】按钮。 还可以添加系统定义的黑名单和自定义的黑名单,并分别配置违规处理措施、高级设置项。 当选中“允许安装软件”,再勾中“除以上列表的软件外,安装了其他任何软件都视为违规项”,表示只允许安装列表中的软件,安装其他软件均视为违规,即实现对软件安装的限制功能。 当选中“控制状态”是“禁止安装软件”,同时选中【其他软件处理】复选框,那么安装任何软件都是违规的。 指选定的对象如果违反了上述的软件安装监控策略的处理方法。不处理方式,是指不处理违反策略的对象,但是,相关的违规记录可以在Web管理器中查询。仅提示方式,是指当选定对象的用户如果违反了策略,将在客户端弹出管理员设置的提示信息。断开网络方式,是指当本策略启用时,选定的策略管理对象,如果违反了本策略,将对该计算机进行断离网络的处理,同时,该计算机弹出管理员设定的提示信息。 其他软件处理 以上软件安装违规处理 表2-软件安装监控策略参数说明
策略实例:
图2-软件安装监控策略
注意事项:
1.“软件名”要和控制面板中添加删除程序里的软件程序名一样,该功能支持模糊查询技术,例如在要检查是否安装了QQ,可能因为各种版本不一样,在“添加删除程序”里显示的是QQ2004或QQ2005,这时您可以只输入QQ。
2.静默卸载功能不支持模糊匹配,需要填写跟添加删除程序中的名称完全相同。
3.为了维护方便,建议管理员将施行安装或禁止安装的需求不同的软件,放在不同的策略中管理,如果同一软件在不同策略中的设置不同,那么,取最后一个策略设置为准。
4.本策略设置时,建议在高级设置,策略触发方式中,选中启动时触发和间隔触发选中,间隔时间10分钟左右。
进程执行监控
功能说明:用于监控客户端运行的进程,并做相应处理。先添加需要监控的进程信息,再配置违规处理措施。 参数说明: 参数 说明 需要进行监控的进程或服务名称,进程的名称可以从windows的任务管理器的进程菜单中查询。填入需要监控的进程名称后,点选【添加进程/服务名 控制】按钮,如果想要控制更多的进程,输入进程名称后,继续点选【添加控制】按钮,以此类推。 进程名获取方法:右击任务栏选择“任务管理器”。 “进程/服务名”处也可填写“*”,例如,进程/服务名:*,产品名称:MicrosoftOffice11Professional,控制状态:必须运行,即表示必须运行MicrosoftOffice11Professional产品的所有进程。 需要进行监控的产品的名称,产品的名称可以从需要监控的文件,鼠标右键点击需要监控的可执行文件,从其中的产品名称中看到,填入需要监控的产品名称后,点选【添加控制】按钮,如果想要控制更多的产品名称,输入产品名称后,继续点选【添加控制】按钮,以此类推。 需要进行监控的具体可执行程序的名称,源文件名可以通过鼠标右键点击可执行文件找到。填入需要监控的源文件名称后,点选【添加控制】按钮,如果想要控制更多的源文件,输入源文件名称后,继续点选【添加控制】按钮,以此类推。可以设置更多的需监控项目。 针对具体的进程、产品、源文件,具体的控制状态有三种,包括“禁止运行”、“必须运行”和“允许运行”,这个具体选择可以根据管理员的需要自行设定。如果想要取消对某个软件的控制,请在列表处选定具体的进程、产品、源文件的名称,然后点击【删除控制】按钮。 产品名称 源文件名 控制状态 其他进程处理 选中“允许运行”并勾中“除以上列表的进程外,不允许其他进程执行”,则表示只允许进程列表中的进程运行,其他进程均视为违规,即实现对进程运行的限制功能。 指选定的对象如果违反了上述的监控策略的处理方法。关机方式,是指当本策略启用时,选定的策略管理对象,如果违反了本策略,将对该计算机进行2分钟后自动关机的处理,同时,该计算机弹出管理员设定的提示信息。 以上各种情况的违规处理 表2-进程执行监控策略参数说明
策略实例:
图2-进程执行监控策略
注意事项:
1.进程名称、产品名称、源文件名之间是“或”的关系,填入其中一项或多项均可实现监控功能,其中,产品名称,主要用于监控一系列软件的使用,比如说,qq不同版本的程序名不一样,但是产品名称是相同的。源程序名的作用,主要是为了防止可执行程序被人手动修改名称而避过安全系统的管理策略。
2.本策略设置时,建议在高级设置-->策略触发方式中,选中启动时触发和间隔触发,间隔时间5分钟左右。 3.启动路径为全路径或系统默认路径。 进程保护策略
主机安全策略
功能说明:设置需要保护的用户进程,防止被保护的进程被非法关闭。 策略实例:
图2-进程保护策略
注意事项:
1.这里的进程保护是指使用windows任务管理器和一般的应用程序无法终止该程序。
2.这里的被保护进程,仍然可以在策略中心的“进程执行监控”中进行终止,请管理员注意相关策略的设置。
用户密码策略
功能说明:此策略可以对系统的本地密码策略、本地帐户锁定策略、系统屏保进行设置,同时可以检测系统密码弱口令,除系统自定义的弱口令外,用户可以自己添加自定义弱口令集。 参数说明: 参数 说明 检测到系统弱口当系统检测到客户端采用了弱口令令后 后可以采用“上报”、“提示”两种方式,即上报给区域管理器或者根据管理员设置的提示信息给客户端发出提示。 附加弱口令列表 根据各单位名称等不同,自己添加需要探测的弱口令,每个弱口令之间用\分隔。 表2-用户密码策略参数说明
注意事项:
1.在windows系统密码策略中,策略是指密码的长度。 2.“弱口令检查”与“本地账户锁定策略”不能同时设置,否则弱口令用户可能会被锁定,无法使用!也不能对同一台计算机分配两个这样的策略。
3.检测系统弱口令,原理是使用每个列表中的弱口令来尝试登录计算机,它并不修改任何windows系统文件,本策略不会造成任何的计算机不稳定状态。
4.用户密码策略:只适用于标准版操作系统,番茄花园版不支持;系统屏保设置:重启后生效;弱口令列表需要手动添加。 用户权限策略
功能说明:检查系统用户、系统用户组的权限的改变和系统用户、系统用户组的增加或减少。当以上的某一条件符合时,则弹出相应的提示信息。
根据需要,在相应的菜单中选择上报或者在客户端提示的报警方式,还有两种报警方式同时启用的方式,如果选择中有提示信息选项,将在客户端弹出管理员设定的提示信息窗口。 注意事项:
1.本策略的各项均在Windows系统控制面板中的“用户与密码”项或者控制面板中的管理工具文件夹里的计算机管理程序中的用户菜单来实现的,本策略只提供相应的监测功能,不对您的修改进行限制。 协议防火墙策略
功能说明:本策略是基于各种网络协议的原理和各种网络软件对网络的实际应用,用来控制各种网络使用和计算机端口的使用,起到防火墙的作用。 参数 说明 计算机可以进行很多网络应用,各种应用都是基于网络上服务器提供的服务。不同的服务是采用不同的端口提供的,通过这种端口的方式,计算机才可以与外界进行互不干扰的通信。Tcp/udp协议,网络通信协议,基本上所有的网络服务都使用它们作为通信的标准。系统在这里通过控制计算机的端口和相应的网络协议,对计算机用户的网络操作进行监管。我们可以通过在windows下的dos窗口输入“netstat–a”命令来查看本机打开的端口和各种端口正在被哪种服务使用的,且这个服务使用的是哪种协议。同时,我们也可以通过软件相关的说明文档得到这些信息。我们在端口处填入我们查询到的需要控制的软件使用的端口,在协议选择下拉菜单中选择相应的tcp/udp协议。“本地端口”和“远程端端口连接控制规则 协议类型 口”两个选项,其中,本地端口是指在网络的使用中,本地计算机使用的端口,如果选择这个选项,则在本策略的对象范围内的计算机无法启动使用该端口的服务;远程端口是指在网络的使用中,本地计算机可以启动本服务,但是无法访问远程计算机提供相应服务的端口。 “禁用填充项中指定端口,开放其他端口”选项是指仅禁用在上边填写的端口和其所对应的服务,同时开放其他所有的端口,使其可以使用网络服务。“禁用填充项中指定端口”选项是指仅禁用填充项中的端口和其所对应的服务,并不改变其他端口目前的状态。“开放填充项中指定端口,禁管制方式 用其他端口”是指,仅开放在上边填写的端口和其所对应的服务,同时关闭其他所有的关口和网络服务,“开放填充项中指定端口”是指开放在上边填写的端口和其相对应的服务,并不改变其他端口目前的状态。选定需要的选项后,点击“添加端口连接控制规则”按钮,所设定的控制将出现在页面下端的控制列表中。 指系统对ICMP协议的控制,主要是通过判断计算机间的互相通信是否正常来判断的。一般来说,只要执行MS-DOS窗口下的ping命令即可 ICMP协议系统对icmp协议的控制,主要是通过判断计控制规则 算机间的互相通信是否正常来判断的。一般来说,只需要执行ms-dos窗口下的ping命令即可。“禁止ping入”是指不允许其他计算机(包括局域网计算机和远程计算机)用ping命令来检测本地计算机通信状态。“禁止ping出”是指不允许设置的对象客户机用ping命令来检测其他计算机(包括局域网计算机和远程计算机)的通信状态。“禁止双向”同时禁止任意两台计算机(至少有一台是本地计算机)的通信检测。设定好后,点击“添加icmp协议控制规则”按钮,,所设定的控制将出现在页面下端的控制列表中。 输入需要限制网络使用的计算ip地址 机的ip地址或ip地址范围。 “只允许填充项中ip地址访问自己,禁止其余ip地址访问”是指,在设定的ip地址范围内的计算机,每台计算机能使用策略生效范围内的计算机的网络资源,其他的计算机无法访问该策略范围内的计算机。“只允许自己访问填充项中ip地址,禁止访问其余ip地址”IP访问控制规制 是指,本策略生效范围内的计管制方式 算机只能访问在设定的ip地址范围内的计算机的网络服务,不能访问其他计算机提供的网络服务。设定好后,点选“添加ip访问控制规则”,所设定的控制将出现在页面下端的控制列表中。以上各种选项在设定后,如果需要去掉,只要在控制列表中,点选,然后点击下边的“删除规则”按钮。 指的是本IP不受上边制定的所有策略的限超级IP 制。默认内网管理服务器IP为超级IP 超级端指本端口和所对应的服务不受上边制定的所口 有策略的限制 表2-协议防火墙策略参数说明
策略实例:
如下图所设置的一个样例表示:只开放本地计算机的80端口;只允许该IP地址段中的IP访问本地计算机;禁止其他计算机ping入。
图2-协议防火墙策略
注意事项:
1.此策略需要管理员对网络协议和计算机端口有一定的认识,请慎重制定。通过对端口和协议对计算机用户的网络操作进行监管。 注册表检查策略
功能说明:监测客户端的注册表内容和该内容的设定值,防止注册表被病毒或其他恶意程序修改,起到对计算机的安全防护作用。 参数说明: 参数 注册表项名称 键名 值类型 键值 检测条件 适合操作系统 控制操作 说明 在【运行】项输入“regedit”然后点确定。出现注册表窗口,在左边窗口显示的就是注册表项的名称 在注册表窗口中,右边窗口中的名称标题下的内容就是键名 同注册表右边窗口的值类型的三个选项“reg_sz”、“reg_dword”、“reg_binary” 在注册表右边窗口中的数据标题下的内容就是键值 根据需要选择相应的条件 根据对象的计算机操作系统状况进行选择具体的操作系统 如果要删除注册表项请确认该项对系统的正常使用不会造成影响。删除项会同时删除该项下的子项和键。 表2-注册表检查策略参数说明 图2-注册表
注意事项:
1.本策略只提供注册表检测功能,不进行修改注册表内容的操作。 IP与MAC绑定策略
功能说明:实行IP与MAC绑定。当IP与MAC绑定发生变化时,可对其实施自动恢复、弹出提示框、或断开网络并持续阻断该计算机等控制。 参数说明: 参数 客户端特性设置:客户端IP,MAC绑定 说明 点选该选项,才可以使用本策略的功能。Ip与mac绑定是指客户端计算机在局域网中标识身份的地址和计算机的网卡标识号码的匹配。 指客户端计算机用户修改了自己的ip地址,这时,网卡的mac将于新的ip地址相匹配,就不能与原来的ip地址匹配,这就是ip、mac绑定发生变化。系统根据这种情况给出4种处理方式,“不处理”、“自动恢复”、“断开网络”,并且提示管理员设定的信息、“仅提示”只提示管理员设定的信息。 当绑定发生变化 表2-IP与MAC绑定策略参数说明
策略实例:
图2-IP与MAC绑定策略
注意事项:
1.“客户端IP,MAC绑定”选项绝对不能在动态IP的设备上使用。
2.一般常规性的网络应用中,只要设定自动恢复ip和除网络管理员的账户其他帐户均有效即可。 杀毒软件运行监控策略
功能说明:检查客户机是否安装杀毒软件,并做提示、断开、重启计算机等操作。 参数说明: 参数 说明 “不处理”、“自动重启”当系统发现客户端未安装杀毒软件时,将弹出管理员设定的提示信息,并且2分钟后自动重新启动、“断开网络”断开和网络的连接,并弹出管理员设定的提示信息、“仅提示”只发给客户端提示信息。 用于自动升级杀毒软件。这此功能生效的条件是需要把杀毒软件的升级文件放到VRV\\RegionManage\\Distribute\\AntiVirusUpdate目录中相应的杀毒软件升级文件夹中,目前支持的可升级的杀毒软件有北信源、macfee、瑞星、诺顿等。 若客户端未运行病毒防火墙 杀毒软件升级设置 表2-杀毒软件运行监控
补丁分发策略、软件分发策略
请参照第三章北信源补丁及文件分发管理系统
接入认证策略
请参照第六章北信源网络接入控制管理系统和第七章北信源接入认证网关。
违规外联监控
防违规外联策略
功能说明:监视违规网络连接(modem拨号、双网卡、代理等),并对违规行为做出相应的处理,检测计算机的网络使用是否符合制定的原则,对不符合原则的计算机进行处理。 参数说明: 参数 说明 通过设置,检测策略应用的对象的客户端是否能和外网通信来判断该计算机是否违反了管理员制定的规则。 “外网地址”选项,是利用系统的功能,对这两个地址,进行检测,当可以与这两个网站通信时,视为本机违反策略。 “客户端所限定使用的网段”是指,如果客户端访问的ip地址超过了在这个选项中设置的范围,也视为本机违反策略。本选项需要填写ip地址范围,范围中间区域用“—”来间隔。 “采用探测外网方法”和“客户端所限定使用的网段”这两种方法,是并列的,单独使用其中的一种或者两种同时使用都可以满足您的需要。 如果选择这个选项,则浏览器无法使用代理服务器访问网络,该选项可屏蔽浏览器使用内网或者外网的大多数代理服务。 A:若客户端同时连接内外网,本选项一般指计算机同时能够访问单位内部网络和外部网络。在处理方式中,仅提示方式,是指当选定对象的用户如果违反了策略,将在客户端弹出管理员设置的提示信息。断开网络方式,是指当本策违规监控设置 禁止使用代理上网访问 探头发现设备违规后的处理方式 略启用时,选定的策略管理对象,如果违反了本策略,将对该计算机进行断离网络的处理,同时,该计算机弹出管理员设定的提示信息。关机方式,是指当本策略启用时,选定的策略管理对象,如果违反了本策略,将对该计算机进行2分钟后自动关机的处理,同时,该计算机弹出管理员设定的提示信息。 B:若客户端仅在外网,一般是指,客户没有在局域网中,只通过modem等网络设备上网的情况。在处理方式中,仅提示方式,是指当选定对象的用户如果违反了策略,将在客户端弹出管理员设置的提示信息。断开网络方式,是指当本策略启用时,选定的策略管理对象,如果违反了本策略,将对该计算机进行断离网络的处理,同时,该计算机弹出管理员设定的提示信息。关机方式,是指当本策略启用时,选定的策略管理对象,如果违反了本策略,将对该计算机进行2分钟后自动关机的处理,同时,该计算机弹出管理员设定的提示信息。重新接回内网后进行安全检察,是指当计算机离开本网络,并且离开后进行了网络操作,则当计算机回到本网络的时候,提示用户进行安全检测。 表2-防违规外联策略参数说明
策略实例:
图2-防违规外联策略
当执行该策略的客户端有违规外联事件发生时,客户端将弹出管理员设置的提示信息,如下图所示:
图2-违规提示
注意事项:
1.当计算机离开本地网络,并进行过联网后,回到网络仅提示安全检查,本系统并不对其进行具体的安全检查。
2.使用本策略,必须点选“允许探头进行违规联网监控”和“采用探测外网方法”两个选项。
行为管理及审计、涉密检查策略
可移动储存管理
主机运维策略
请参照第四章北信源主机监控审计系统
请参照第五章北信源移动存储介质使用管理系统
运行资源监控策略
功能说明:本策略主要针对服务器和重要主机而设计的,网管人员十分关心服务器和重要主机的运行状况,如CPU、内存、硬盘等关键硬件的信息就能直接反映它们的运行情况,用户可以根据管理情况定制报警策略。 参数说明: 参数 说明 cpu使用率可以在windows系统任务管理器中的性能菜单下查询。当cpu使用率过高,并且持续时间比较长的话,将会影响计算机的正常使用。用户可根据cpu信息 计算机的硬件配置情况和使用情况自己制定限制的数值。“上报”复选框是将计算机超出设定值的时候的信息发给区域管理器;“客户端提示”在客户端计算机超出设定值的时候,在其本机弹出管理员设置的信息。 内存使用率可以在windows系统任务管内存信息 理器中的性能菜单下查询。当内存使用率过高,并且持续时间比较长的话,将会影响计算机的正常使用。用户可根据硬盘信息 计算机的硬件配置情况和使用情况自己制定限制的数值。 当系统盘剩余空间低于设定值时报警,当点选“检测其他盘符”时,输入相应的盘符和设定的剩余空间,也会产生报警信息。 表2-运行资源监控策略参数说明
注意事项:
1.当cpu持续占用率达到100%,可能会造成策略对象计算机的死机,无法处理系统发出的提示信息,造成无法提示,这属于windows操作系统问题。 进程异常监控
功能说明:对客户端的进程状态进行监控。 参数说明: 参数 说明 在相应的“监控窗口名”处填入需要监控的进程名。进程名可以在windows任务管理器的进程菜单下查看。 选择具体需要的操作:“上报”:将情况上报给区域管理器;“结束进程”:在客户端结束该进程;“结束并重新启动进程”:在客户端先结束进程,然后再启动该进程。 在相应的“监控进程名”处填入需要监控的进程名。进程名可以在windows任务管理器的进程菜单下查看。 在相应的“监控服务名”处填入需要监控的服务名。服务名可以在windows任务管理器的服务菜单下查看。 未响应窗口监控 意外退出进程监控 意外服务监控 表2-进程异常监控策略参数说明
注意事项:
流量管理策略
1.本策略的设置是针对进程的,注意不要和“进程执行监控”相冲突,引起系统的不稳定。 垃圾文件清理
功能说明:根据需要,在相应的文件夹菜单中选择或填入需要清理垃圾文件的文件夹;在相应的文件类别中选择需要清理的文件类型。 注意事项:
1.FAT32文件系统中被删除的文件放置在回收站中,NTFS文件系统中直接删除。
2.请管理员设置时,注意相关的注释。正在使用的临时文件等文件,无法清除,需要清除的话,请先关闭相关的应用程序。 系统自动关机
功能说明:根据需要设定无键盘、鼠标动作时间自动关机,点选“关机前自动提示”,则在关机前在客户端弹出管理员设定的提示信息。
流量采样策略
功能说明:通过设置选定用户(在本策略的对象中设定的)计算机的网络的平均流量和并发连接数,以及可疑发包等网络流量策略来审计网络的使用。
参数说明: 参数 流量采样阈值设定 并发连接可疑定义 发包可疑定义 说明 这是按照一定时间内客户端计算机的平均网络使用流量计算的每秒平均流量数。推荐按照缺省建议设置。 这是按照客户端计算机同时进行网络访问的数量来计算的网络连接数。推荐按照缺省建议设置。 一般来说,推荐使用系统默认的数值,如果您有意修改以上的数据,建议您咨询网络管理员。 表2-流量采样策略参数说明
注意事项:
1.此处仅对相应的流量数据进行统计,统计数据可在数据查询中进行查询。 流量控制策略
功能说明:根据系统对选定用户(在本策略的对象中设定的)网络使用的监测,协调整个网络的流量。 参数说明: 参数 客户端总流量 并发连接数可疑违规 发包可疑违规 说明 按照一定时间内的总的数据传输量求出的平均每秒流量数。管理员可以根据网络实际情况设定具体的数值流量和持续时间。 按照客户端计算机同时进行网络访问的数量来计算的网络连接数是否过多判断用户对网络的使用是否合规。 一般是指计算机接到了超出了正常网络服务使用中的接到数据包的范围,还有单位时间应该从网络上其他计算机上接到的icmp数据包数量。这里的数量值
取得都是我们在流量采样策略中设定的相应的数值。 “上报”,是指内网安全管理系统自动将违反上述选定了的规则的计算机上报给区域管理器。 “自动阻断”:是指如果客户端计算机违反了上述规则的计算机断网处理,时违规时客户间一般默认为5分钟左右;“永久阻端执行 断”:只要被阻断一次之后,必须通过终端控制中的恢复网络连接功能才能恢复网络连接。 “客户端提示”,是指如果客户端计算机违反了上述规则,,则在客户端计算机上弹出管理员设定的消息。 表2-流量控制策略参数说明
注意事项:
1.本策略是根据对网络流量异常和icmp收发包异常的监控来实现功能的策略,本策略采用的大多数监控数据,是从流量采样策略中设定的。
2.收发包异常的情况一般是由一些计算机端口的扫描软件或黑客软件造成的,需要管理员多加注意。 3.本策略的设定要求对网络和网络协议有一定的了解,请在网络管理员的指导下设置,系统采用的默认值可以满足一般网络环境的要求。
4.并发连接数可疑或发包可疑的前提是客户端总流量走出设定。
消息推送
消息推送策略
功能说明:向选定用户(在本策略的对象中设定的)计算机发送消息通知,请求重注册信息以及要求升级等消息。 参数说明: 参数 说明 “仅消息通知”和普通的消息分发没有什么区别,在客户端计算机弹出管理员设置的消息。 “消息通知并确认回馈”是指在客户端消息功能 计算机弹出管理员设置的消息,同时客户端计算机显示后,要求用户确认。 “重新注册”在客户端计算机弹出注册窗口,要求用户注册。 “客户端升级”弹出提示要求客户端升级的信息,不进行实际操作。 表2-消息推送策略参数说明
消息推送扩展策略
功能说明:可以实现一段时间内持续地向选定用户(在本策略的对象中设定的)计算机发送消息。
客户端文件备份
功能说明:对选定用户计算机进行指定文件的备份。 参数说明: 参数 说明 文件/目录(全设置需要备份的文件或目录的全路路径) 径。 指定需要备份的文件的后缀名,填入备份过滤 此项后仅备份指定后缀名文件,不填写则全部备份。 备份服务器IP 可以将设定备份在指定服务器的共享备份策略终端配置策略
目录下 间隔时间 默认值为120分钟,最小值为3分钟。 表2-客户端文件备份策略参数说明
注意事项:
1.该功能通过共享文件夹拷贝方式备份,配置前需要确认所输入的用户名和密码对共享目录必须有写权限,如果以2003系统作为备份服务器,则需要将服务器改为使用经典登录才可用。 屏幕抓取策略
功能说明:在一定时间间隔内抓屏并备份到服务器上。 文件备份的路径设置在备份服务器程序里进行设置,如下图所示,
图2-文件备份路径设置
屏幕录像策略
功能说明:可以实现定时屏幕录像,并且可以设定录像时间长度。
终端设置策略
功能说明:对客户端时间、ARP阻断以及各种信息的上报等进行设置。 参数说明: 参数 说明 同步终端时间 自定义探头应答IP 自定义ARP阻断置 备用区域管理IP 设备离网阻断 设备内存,硬盘阻断 绑定正确网关MAC防止ARP欺骗攻击 默认共享 指定只允许启用的共享名 设备安装多操作系统 注册用户与计算机名称关联 指定终端自动卸载 域用户登录限制 审计日志上报间隔 补丁信息上报 进程信息上报 软件信息上报 可同步客户端时间为服务器时间。 为了保证Agent不受冒充指令的干扰,Agent只接受来自管理器服务器的指令请求,如果的确需要接受其它IP的指令,则可以将该处添加IP并分配给终端设备。 可设置每次发送ARP欺骗包的间隔时间和持续时间。 当一个区域管理器出现故障,导致无法提供服务时,由此处指定的备用服务器接替原服务器继续提供服务,实现管理服务器的双机热备功能。 设备处于其他网络时,限制网络访问。 设备内存或硬盘变化时阻断通信。 防止ARP病毒对网关的欺骗。启用该功能后,会提示选择正确的网关地址。 可以取消系统默认共享。 不输入则允许任何共享名。多个共享名之间用半角分号(;)分隔。 当功能启用时,只可以启用原启用列表中默认的系统选项。 强制将计算机名修改为注册时输入的使用人项 在指定指定时间点卸载。 限制该机只允许使用域用户登录。 设置与策略对应的审计日志的上报时间间隔。 将终端补丁安装信息上报到服务器。 将终端系统首次运行的进程情况上报服务器。 将终端系统已安装的软件信息以增量式地上报到服务器,并且可以设定上报时间。 表2-终端配置策略参数说明
管理器策略
组合策略
该功能用于在级联的情况下,设置下级服务器向上级上报的消息类别。
订阅级联审计数据策略
功能说明:订阅下级平台设备基本信息以及各种行为的审计日志。
终端升级管理策略
功能说明:客户端注册程序的升级。 注意事项:
1.该策略没有策略内容和启用/停用设置,可以指定一部分特定的终端自动升级,只需要将把需要自动升级的终端配置到策略对象中即可,不在对象中的终端设备是不会自动升级的。以后每次服务器升级后只有对象中的终端会自动升级为最新版本,其余的还是以之前版本运行。 2.该策略适用于对新的版本进行测试,待测试完成后没有什么问题,将该策略删除或把策略分给所有的终端实现整网统一升级。
3.整个系统仅允许使用一条这样的策略,并且不具备级联功能。
组合策略分发
按对象分配策略
功能说明:根据需要选择几种类型的策略,再进一步选择某类策略下的某个策略,从而形成策略组。 注意事项:
1.其中各个子策略都必须为启用状态。 漫游策略分发
功能说明:只针对漫游客户端所发送的策略。 具体的漫游功能请参照附录六漫游功能说明。 临时客户端分发
功能说明:只针对临时客户端所发送的策略。
临时客户端:在“注册程序配置”中,通过配置“注册密码”项来实现指定客户端的使用限制。如下图所示,
图2-注册码配置
按设备分配
通过设备IP、设备名或使用人查询下发给该设备的策略,能够快速查找到相应的客户端正在执行的策略,并支持模糊查询。 按设备组分配
可以为自定义的用户添加策略,并且可以显示为每一组自定义的用户下发的策略,并且可以编辑或取消该策略。
策略下发查询
用户可以查看策略的下发情况,可以查询下载策略的设备IP、名称和下发时间等信息。
网关接入认证配置
请参照第六章北信源网络接入控制管理系统
阻断违规接入管理
当扫描器发现有未注册客户端的设备接入内网时,该功能可以有效地控制外来设备接入内网而带来的安全威胁,通过选中“没有注册则阻断联网”复选框便可阻断该设备。同时提供了“警告信息”功能(必须开启信使服务)、IP、MAC绑定等功能,如下图所示:
图2-阻断违规接入控制设置
补丁分发
请参照第三章北信源补丁及文件分发管理系统
数据查询
数据查询是根据内网安全及补丁分发管理系统工作的结果,向管理员提供对网络设备信息、网络划分信息、网络中相关的设备安全状态信息的综合查询。其中大多数查询是与制定的策略对应的。
本地注册情况统计
图2-本地注册情况信息
本地设备资源统计
图2-本地设备资源信息
本地设备类型统计
USB标签信息查询USB标签制作查询
USB标签黑名单
USB授权个数查询
设备信息查询
图2-本地设备类型统计
查询USB标签制作记录。信息显示包括U盘编号、唯一序号、所属部门、拥有人、U盘状态、标签和操作说明等。
查询USB黑名单记录。服务器会把USB标签黑名单发送给客户端,当插入的USB时,客户端检查此USB标签是否在黑名单中时,如果在将被禁止使用。
查询USB授权个数。显示信息包括用户名称、USB授权个数和USB剩余授权个数。
设备信息查询
查询信息包括计算机所属区域、单位、部门、使用人、设备IP、MAC、注册、重新注册、信任、保护、阻断、开机、杀毒软件、杀毒厂商、系统等信息。
根据▼▲符号对查询数据进行降序、升序排列列表。 注册资产查询
对已注册的客户端的设备进行设备资产查询,提供多个复合条件查询。 安装软件查询
对客户端的软件进行查询,可以根据软件类别,如必须安装的软件、禁止安装的软件等条件进行查询。 首次运行进程查询
依照进程名称、文件大小、版本、进程所在路径、进程所打开的端口、进程运行次数等进行查询。可以用于对病毒、木马、黑客程序等进程的查询。 共享目录查询
可以对设备的共享名称、共享路径和共享模式等信息进行查询。
设备IP占用情况列表
查询区域管理器所管辖的范围内的注册IP、未注册IP、空闲IP。
硬件变化查询
客户端注册时,已经把其硬件信息注册入库,如果客户端硬件有变化(增添或卸载),则可通过该查询条件查到。 软件变化查询
当客户端安装注册程序时,会收集客户端安装软件的信息上报到服务器。服务器会比较当前安装软件和数据库保存的信息,来显示软件的变化。如下图所示,
图2-软件变化信息
注册日志查询
显示客户端注册状态信息,如下图所示,
图2-注册日志信息
操作系统安装查询
查看设备操作系统信息,包括操作系统UUID、操作系统名称和操作系统安装系统等信息。 计算机开关机查询
查看设备的开关机信息。在“终端策略”中选中“允许上报开关机时间”时,才可以查询到数据。 离线设备查询
可以查询离线设备的信息,包括所属区域、最后登录时间、已关机天数、使用人、联系电话和ip地址等信息。
审计数据查询
可以对以下审计进行查询:移动设备审计、上网访问审计、上网访问统计、文件输出审计、文档打印记录、文件保护审计、违规软件及进程、安全策略违规、涉密检查查询、区域管理器工作日志和终端代理审计。
分发数据查询
可以对以下三种分发数据进行查询:消息确认查询、普通文件分发查询和普通文件分发统计。
非Windows操作系统设备
对非windows操作系统设备的硬件资产和软件资产查询。
终端管理
终端管理
提供对网络计算机终端的行为控制、状态监测等方面进行查看、控制、管理。
设备基本信息:可以获取该客户端基本注册信息。 终端进程管理:可以获取该客户端当前运行进程。 终端服务管理:可以获取该计算机远程服务启动情况信息。
行为控制终端端口管理:可以查看远程计算机连接协议类型、IP地址、端口号。
查看安装软件:可以查看客户端计算机实时安装的软件信息,并可以查看软件安装变更记录。
查看漏打补丁:实时查看客户端存在的系统漏洞及危险级别。
查看运行资源:远程查看客户端计算机的运行资源情况。 查看系统用户:远程查看客户端计算机的系统用户情况。 终端事件查看:可以获取远程客户端的系统信息、安全日志及应用程序日志。
硬件资产查看:远程查看客户端的实时硬件信息。 共享目录列表:远程查看该客户端所共享的资源及资源路径。
当前执行策略:查看该客户端当前执行策略。 终端访问审计:远程实时审计客户端的访问情况。 其他审计记录:开关机记录、磁盘变化记录和进程策略执行结果
消息通知:对选定客户端计算机实时发送消息,并可以设定客户端是否做消息回馈操作。
运行程序:可以在服务器端强行指定客户端运行以.EXE、.COM、.BAT等为后缀的可执行程序,并可以以服务或隐藏执行两种方式运行。
查杀病毒:提供全盘杀毒或制定某一目录杀毒,根据需要可以在杀毒前提示。
修改网络配置:可远程修改客户端计算机的名称、IP和DNS等网络配置。
断开网络连接:可以远程阻断客户端联网,并可自定义提示信息。
恢复网络连接:可以远程恢复客户端联网,并可自定义提示信息。“违规外规策略”中“需要解锁”功能,管理员就是在这里进行解锁的。
同步客户端数据:通过同步客户端数据使客户端注册数据同服务器保持一致。
锁定键盘鼠标:可以给客户端发送重新注册窗口,同时自定义提示信息,并可以同步终端注册信息。
重新注册:可以给客户端发送重新注册窗口,同时自定义提示信息,并可以同步终端注册信息。
客户端升级:点击后可以发送要求客户端升级的命令,并进行远程对客户端探头进行升级。
客户端卸载:点击后可以远程对客户端探头进行卸载。 关闭计算机:点击“提交处理”按钮后可以远程关闭、重启客户端计算机,并可在关闭、重启前进行提示。
远程协助
数据包分析支持:可启动数据包分析工具,对客户端进行全程数据包分析。 远程支持
注:使用该功能必须在当前区域管理器注册客户端
才能使用。
运维监控
客户端流量排名:监测网络中客户端流量信息并进行排名,报警异常网络流量,能够对客户端进行流量报警。 客户端流量统计:根据流量统计满足各种条件(如:30分钟内最大值、当天最大值、本周最大值等)的计算机的IP、名称以及所属的区域名称等信息。
流量综合排名:对所有终端的流量进行排名,管理员可以清楚地看到流量排名。可以累计流量、累计连接数和累计连接时间进行排序。
运维异常监控查询:根据运行资源异常、网络流量异常、运行进程异常等条件查询异常状态的客户端。
运维异常监控统计:可以统计某个区域,某段时间内CPU信息报警、内存信息报警、硬盘信息报警、未响应进程和意外退出进程及服务的异常信息。
交换机端口管理:北信源终端安全管理交换机扫描模块能主动发现网络中存在的可网管交换设备,并自动将交换机连接的计算机设备纳入该交换机管理范围列表。
图2-交换机扫描管理配置
注意:此功能的实现必须开启SNMP协议。
网管帮助设置:记录网管的基本信息,包括网管姓名和电话等信息,在需要联系时可以及时联系到网管。
报表管理
可以统计网络中设备硬件信息、系统信息、注册状态,以及级联系统数据信息。具体包括:本地设备注册情况统计、本地设备系统信息统计、本地设备硬件信息统计、级联设备注册情况统计、级联设备系统信息统计、级联设备硬件信息统计。
提供对网络中所有设备信息的统计:
设备数量:路由器、交换机、服务器、客户端;
在线设备:当前网络中开机运行的设备;
注册设备:已经注册的计算机设备;Unix/Linux、路由器、交换机设备通过手动添加写入数据库;
杀毒软件:目前支持北信源、瑞星、江民、金山、诺顿、趋势、NAI等杀毒软件。
报警管理
提供网络设备信息非法外联、IP绑定等事件性安全信息进行报警统计,并支持级联方式下的报警数据查询。 北信源终端安全管理支持对于VIFR报警、阻断报警、IP绑定变化、违规外联、设备变化、流量异常、探头卸载、病毒行为等事件的报警。
报警数据查询
策略中心各种报警策略的报警信息查询,报警信息包括VIFR报警、阻断报警、IP绑定变化、违规外联、设备变化、流量异常、探头卸载、病毒行为、其他报警和违规上网统计。
本地区域报警数据统计
统计本地区域报警数据,信息包括非法外联、设备变化、IP绑定变化、探头被卸载、流量异常和阻断报警。可以按区域和时间查询。
本地报警数据汇总
汇总显示本级区域管理器各种报警的次数等信息。
级联总控
实现多级补丁管理级联,上级管理系统能够查询下级补丁管理信息。
级联注册情况统计
查询由下属区域管理器划分的不同机构的客户端的注册情况。如设备总数、应注册计算机、已注册计算机、注册率、在线设备、安装杀毒软件、未打重要补丁等。如下图所示
图2-设备信息统计图表
级联设备资源统计
统计级联设备信息,包括操作系统、CPU、系统内存、未打补丁和硬盘存储量,如下图所示
图2-级联设备信息
级联设备类型统计
级联管理控制
区域管理器状态查询区域扫描器状态查询用于级联设备系统类型统计。如下图所示
图2-级联设备系统类型统计
可以做多级级联,方便管理员管理。
图2-级联管理控制
点击下级级联管理器,会显示此管理器的信息,例如管理器IP,管理器名称,机构名称,运行状态信息会自动显示出来如下图所示,
图2-下级级联区域管理器信息
点击“进入下级管理平台”将直接进入该管理器的管理平台。用户可以之际操作此管理平台。
用于多级级联方式构建的系统环境,在此页面查看所有下属管理器运行状态,监控管理器是否正常运行以及运行的状态。
图2-区域管理器状态信息
主要用于多级级联方式构建的系统环境,查看所有区域扫描器的运行状态。
图2-区域扫描器状态信息
级联上报数据
当对下级服务器下发了“订阅级联审计数据”策略,这里可以查看相应的数据。
图2-级联上报数据
级联报警数据
可以查看违规外联事件、其他报警事件和违规上网统计的数据信息。
系统维护
系统维护是用来创建和管理登录本系统网页平台的账号信息。可以通过系统维护来添加不同的系统用户、给系统用户分配权限、对系统用户的密码进行初始化操作;通过它还可以修改管理员的密码等操作。
系统用户分配与管理
用户列表
在系统用户列表里可以查看到系统用户的名称、创建者、用户类型以及相关的备注信息。
图2-系统用户列表
列表中的和代表用户名称的排列顺序,是采取升序还是降序的方式排列。
添加用户
用户管理
管理员可通过导航菜单的“系统用户分配与管理”“用户添加”可以添加不同角色的下级系统用户。系统用户的类型为普通用户,而admin为超级用户。
图2-添加系统用户界面
注:用户名长度必须为3-15个长度的字母、数字
或者中文;密码长度必须包括字母和数字,最大长度为20位。
系统用户管理区域列举了系统用户的名称、类型、权限分配情况、是否有创建子用户的权限及其管理操作。
图2-用户管理列表
权限分配
新分配的用户默认没有任何管理权限
任何权限均基于区域及自定义分组权限,分配其它权限前请先为该用户分配区域及自定义分组权限
➢ 屏幕监控权限基于终端控制权限的“屏幕监控”权限,分配屏幕监控权限时请先分配该用户终端控制权限中的“屏幕监控”权限(admin用户除外)
➢ 任何用户均只能管理与分配上级用户为其分配的用户权限
区域管理权限
系统普通用户拥有的区域管理权限。仅限于该区域内的上报数据,包括设备信息,报警及审计数据等。可以通过勾选“允许控制”项来实现对区域的管理。 组织结构与自定义组权限
系统普通用户拥有的自定义组管理权限。可以通过勾选“允许控制”项来实现对区域的管理。 策略控制权限
系统用户拥有的策略权限。系统管理员可以通过选择左侧策略名称,然后单击下方【添加策略控制权限】按钮实现给其他系统用户分配其策略权限。同时可以在策略权限列表里分配系统用户的操作权限(只读/读写)以及删除权限。也可以通过上面的【全部设为只读】、【全部设为读写】和【全部删除】三个按钮对系统用户进行批量权限控制。
终端控制权限
拥有的终端控制权限,根据需求分配用户拥有的权限,权限如下图所示:
图2-终端控制权限
屏幕监控权限
对指定ip或者ip段的终端的屏幕控制权限,设置如下图所示:
用户设置
图2-屏幕监控权限
其他控制权限
除了区域管理权限和策略控制权限之外,管理员还可以为系统用户分配其他的控制权限。如区域控制权限、注册程序打包权限、用户组织结构管理等权限。系统用户可以根据管理员给自己分配的权限实现对服务器端的管理。 密码初始化
在用户管理页面,找到要删除的用户列表信息,单击右侧的“密码初始化”按钮: 弹出提示框:
图2-密码初始化提示框
单击【确定】,弹出密码初始化完成提示框:
图2-密码初始化完成提示框
单击【确定】,该系统用户登录密码变为初始密码:123456。
修改管理员密码
该处密码修改功能只能对管理员(admin)的密码进行修改操作。其他用户的密码修改操作在该处不适用。 密码长度有数字和字母组成,最大长度为20位
图2-修改admin用户密码
IP访问控制
数据重整
审计用户
控制指定IP对web平台的登录访问。
数据重整类似于刷新功能,提供对数据库中数据的重新整理,每隔一段时间对系统数据库进行重整。
图2-数据重整信息表
数据重整情况处理分为四种情形:
IP和MAC重复:当出现设备的IP地址和其MAC地址重复时,则进行删除处理。
IP不在区域范围内:当设备的IP地址不在区域管理器设置的区域范围内时,则对其进行删除处理。
长时间未使用:当该设备未使用天数超过设置的天数时,则对其做数据重整。
区域IP范围改变:当区域管理器设置的区域IP范围发生改变时,则需要重新对数据进行整理。
提供对系统管理用户的操作行为记录,记录管理员操作执行的策略详细内容,
用审计帐户audit登录,密码123456,如下图:
图2-审计用户登录
系统日志
USB标签制作查询:查询USB标签制作记录,包括U盘编号,U盘状态、标签和所有人等信息。
USB授权个数查询:查询USB授权信息,包括USB授权个数和USB剩余授权个数等信息。
用户操作日志:查询用户操作日志,包括操作内容和操作时间等信息。
用户登录日志:详细记录登录用户登录时间、IP地址、登录用户名称等,以备进行事后审计。
策略操作日志:针对管理员对系统策略的修改、增删等各种操作进行详细记录。
第三章 北信源补丁及文件分发管理系统
区域管理器补丁管理设置
补丁下载配置
进行补丁分发管理前,首先需要对区域管理器的补丁下载管理模块进行设置:配置管理-->区域管理器配置-->高级配置-->补丁下载
【补丁路径】为北信源内网安全管理平台的安装路径,下图为系统默认的C:\\VRV\\,该目录下的
\\RegionManage\\Distribute\\Patch即为补丁下载默认的存放路径,提供给客户端下载。
图3-区域管理器补丁管理设置
参数 最大连接数限制 下载流量限制 级联选项 说明 设置客户端同时连接区域管理器并发下载补丁数量 限制下载补丁时区域管理器的最大流量值 上下级区域管理器级联情况下,设定上级区域管理器IP和数据通讯端口 表3-区域管理器补丁管理参数说明
补丁级联下载功能
文件分发策略配置
主要针对在多层级联的环境内,各下级区域在进行系统补丁加固时,只需总部从外网上下载补丁后,使用移动存储设备从外网拷入系统补丁,其下级区域无须再额外的从外网上下载系统补丁,其系统补丁均可从总部的服务器上获得。
使用该功能时要求在下级安装的区域管理器的相应选项中填写上级区域管理器的IP地址,便可方便的获得系统补丁,并实时和上级区域的补丁数量保持一致。从总部下载得到的补丁将存放在
\\vrv\\RegionManage\\Distribute\\Patch\\目录下保存。
经过以上配置后,还需要进行补丁策略分发参数设置:
图3-分发参数设置
进行策略任务分发前选择【启动策略分发】和【启用ping探测】。确定分发文件所在的路径,分发时间间隔、分发数据通讯端口、分发线程等相关参数。如需设置级联,请在级联选项中,指定上级区域管理器级联IP地址等,上述部分参数按照系统默认设置即可。
区域管理器在下发策略前,先ping一下客户端,ping通之后再下发策略。优点:效率高;缺点:对于设置了禁ping的客户端不起作用。默认方式是TCP方式,此方式效率低。
策略中心
补丁分发策略
补丁自动分发
功能说明:可以实现对补丁按类型、分组自动分发,并且可以设置下载前提示、运行前提示、检测方式等。 参数说明: 参数 说明 分为“system”、“IE”、“应用程序”三个选项,分别是针对微软操作系统、IE浏览器、和一些应用程序的补丁的分类,在我们的内网安全管理系统中,主要是指微软官方发布的各种补丁和我们北信源公司发布的各种安全补丁程序。“等级大于等于”下拉菜单主要指微软官方对补丁所带来的系统风险的评估,等级越高,相对应的风险越高。 这个模块是内网安全管理系统为了方便管理员对补丁的管理而设置的分组,管理员可以根据自己的习惯将补丁划分为“A组”、“B组”“C组”三部分,具体的划分,需要在主系统菜单中的“补丁分发”菜单中的补丁库分类列表中制定。 这里的测试是指当补丁下载服务器根补丁类型 补丁分组 补丁测试 运行设定 检测方式 出错处理 据配置从网站上下载了补丁后,是否需要在选定的对象计算机内作小范围测试,然后再在整个网络环境中推广的补丁发布形式。当选中该选项时,自动分发补丁的设置和策略不起作用,只能取消测试选项或者在“补丁分发”菜单中的补丁库分类列表中选定相应补丁,然后点选页面左上角的“允许下载补定”选项也可以达到补丁的目的。还可以采用下面的“人工选择补丁分发”策略来达到向全网络发布补丁的目的。 后台运行:是指不提示客户端,不显示程序界面,直接在客户端后台运行的处理策略。其中的“运行优先级”的从低到高,是指当补丁程序在后台运行中,对计算机整体系统资源占用的比例也是从低到高的。下载前提示,是指在客户端下载补丁之前,在其显示界面上弹出管理员设定的信息。下载完成后提示并执行,是指客户端完成下载指定补丁,并且在其显示界面上弹出管理员设定的信息,同时执行补丁安装程序。 “启动时检测”,是指在计算机启动时,进行新补丁程序信息的检测;“停止检测”,是指不检测补丁服务器中的新补丁程序信息;“定时检测”,是指设定计算机定期定时去进行新补丁程序信息的检测;“间隔检测”,是指每隔设定的时间段进行新补丁程序信息的检测。 点选“下载失败重试”复选框,则客户端如果不能从服务端成功下载策略规定的补丁,就进行重试操作,重试的次数和重试间隔填入后边的空白处即可。 表3-补丁自动分发策略参数说明
策略实例:
图3-补丁自动分发
注意事项:
1.补丁安装使用后台运行方式时,设定的优先级要适当,避免影响客户端的正常使用。
2.关于测试选项,希望大家详细看看注释和设置说明,以免影响补丁程序的正常升级。 人工选择补丁分发
功能说明:通过策略提供客户端补丁的管理员手工设定的下载及安装,可设置补丁探测时间,运行参数及运行形式。基于分发时间、补丁检测周期等进行策略制订,策略发送到网络客户端后,客户端注册程序统一执行补丁应用策略。 参数说明: 参数 说明 如果需要执行该补丁自带的某些选项的话,比如说,自动安装等等,需要设置这里的命令行参数。具体的命令行参数可以在该补丁的说明书中找到,或者在Ms-Dos窗口中敲入该补丁文件名加“/?”参数进行查询。 “后台运行”:是指不提示客户端,不显示程序界面,直接在客户端后台运行的处理策略。其中的“运行优先级”的从低到高,是指当补丁程序在后台运行中,对计算机整体系统资源占用的比例也是从低到高的。“下载前提示”,是指在客户端下载补丁之前,在其显示界面上弹出管理员设定的信息。“下载完成后提示并执命令行参数 运行设置 软件分发策略行”,是指客户端完成下载指定补丁,并且在其显示界面上弹出管理员设定的信息,同时执行补丁安装程序。 “停止检测”,是指不检测补丁服务器中的新补丁程序信息;“启动时检测”,是指在计算机启动时,进行新检测方式 补丁程序信息的检测;“定时检测”,是指设定计算机定期定时去进行新补丁程序信息的检测;“间隔检测”,是指每隔设定的时间段进行新补丁程序信息的检测。 点选“下载失败重试”复选框,则客户端如果不能从服务端成功下载策略出错处理 规定的补丁,就进行重试操作,重试的次数和重试间隔填入后边的空白处即可。 表3-人工选择补丁分发策略参数说明
注意事项:
1.注意此处设定的策略,不要与补丁自动分发策略中的设置相冲突。
普通文件分发
功能说明:提供服务器向客户端分发各种文件,如可执行文件并可以自动运行,服务器端可以选择分发的目标路径、设定运行参数、是否后台运行,同时向客户端发送提示信息。注:上传文件的终端需要注册。 参数说明: 参数 说明
保存目标路径 命令行参数 文件分发到客户端后,在客户端保存该文件的位置,要手动输入。 定分发完成后运行,如果需要该程序执行自带的某些功能的话,比如说,自动安装等等,需要设置这里的命令行参数。具体的命令行参数可以在该软件的软件说明书中找到,或者在Ms-Dos窗口中敲入该命令加“/?”参数进行查询。 “运行前提示”,是指在客户端下载完成后,通过内网管理系统使其自动运行时,管理员设置的在客户端弹出的消息窗口内容。“重复执行”,是指在客户端每次开机执行一次发布的文件,一般用于一些程序的升级。“后台运行”,是指不提示客户端,不显示程序界面,直接在客户端后台运行的处理策略。 表3-普通文件分发策略参数说明
具体操作:点击【浏览】选择需要分发的文件后,单击【开始上传】按钮,待上传完毕后即可在【文件名】处的下拉框中选择预分发的文件(也可以一次上传多个文件)。最后单击【保存策略】按钮,待依次指定对象和启用策略后,该策略则开始生效。文件完全分发到客户端需依照文件大小决定。分发完后根据条件进行安装文件检测,确定文件安装成功。 注意事项:
1.上传文件时注意:必须是已注册本服务器的客户端;不上传桌面上的文件,上传不会成功;IE7等浏览器的安全级别调至中或者中低;
2.如果误上传了需要分发的文件,管理员可以到Web管理平台安装的计算机上进入
\\vrv\\regionmanage\\distribute\\software\\目录下手动删除该文件即可。
其他策略
终端配置策略、管理器策略、按对象分配策略、策略下发查询请参照第二章北信源内网安全管理系统的策略中心中的对应项。
补丁分发
补丁的来源可使用北信源补丁下载服务器从软件厂商网站获取补丁索引及补丁,直接或通过移动存储设备,导入内网区域管理器的补丁分发目录进行客户端补丁自动分发,客户端将获取的补丁放在本
地%windir%\\system32\\distribute目录下,下载后可自动安装,安装后会自动删除安装文件。
补丁库分类列表:对补丁进行分类显示,设置补丁检测页面的运行参数;支持多种方式对补丁分发结果信息进行查询。
补丁下载设置:当客户端访问补丁检测中心时,检测客户端是否安装了探头,未安装时设置响应的提示信息。
本地补丁分发查询:可按系统提供的多个查询条件例如所属区域、操作系统等对指定区域的网络终端进行补丁安装状况查询。
本地补丁分发统计:可以对某个补丁、某个区域、某个组、某个时间段的分发情况进行统计。
本地已安装补丁统计:对本地已安装补丁数进行全面的统计,对每个级别的补丁数做出统计。
本地未安装补丁统计:对本地未安装补丁数进行全面的统计,对每个级别的补丁数做出统计。
本地漏洞计算机统计:对选定的区域中的客户端进行漏洞统计,统计出存在高风险漏洞、中风险漏洞、低风险漏洞的终端数。
级联补丁分发查询:可以按IP地址、补丁号和下载补丁时间查询级联补丁的分发情况。
级联已安装补丁统计:统计级联已安装补丁,信息包括每个级别补丁数,未安装设备总数和下载补丁数量等。 级联未安装补丁统计:统计级联未安装补丁,信息包括每个级别补丁数,未安装设备总数和下载补丁数量等。
补丁自动下载分发
补丁下载服务器
北信源终端安全管理支持对微软操作系统发布补丁的统一分发,并且用户可使用此系统进行级联方式的补丁自动分发安装和监控。
统一补丁分发通过北信源补丁下载服务器(互联网)从互联网下载所有补丁。
对于物理隔离的内部网络,其补丁升级服务器中的补丁数据必须从外部获得,因此,要求在Internet上进行补丁下载,巨大的补丁库使得每次补丁导入工作非常烦琐。北信源针对此类物理隔离的内网,使用增量式补丁分离技术,在外网补丁下载服务器分离出内网已安装、未安装补丁,分类导入系统补丁,即仅对内网的补丁进行“增量式”的升级,以提高效率。通过增量补丁分离器,在每次导入导出补丁时,可减少拷贝工作量(系统菜单中的补丁策略定义、补丁库分类、补丁安装查询、补丁下载查询主要基于此种方式工作)。
图3-补丁下载服务器界面
北信源终端安全管理中包括了补丁下载服务器模块软件,直接运行DownPatch.exe文件进行下载补丁文件。
补丁库分类
补丁下载服务器默认配置为从微软公司网站下载微软所有补丁,下载后移植到北信源终端安全管理的系统\\vrv\\RegionManage\\Distribute\\Patch\\目录下保存。 指定下载补丁类型包括: 1)中文补丁、英文补丁。
2)微软公布的级别补丁:0级、1级、2级、3级、4级。
3)系统类别:IE5.0、IE5.5、IE6.0、WINNT、Windows2000、WindowsXP、Windows7和其他(包括Windows2003)。 补丁下载设置
实时、定时两种方式探测补丁厂商网站补丁更新状况。
图3-补丁下载服务器设置
补丁分析器功能模块,针对下载的补丁,由补丁分析器进行归类存放,按照不同操作系统类别、补丁编号、补丁发布时间、补丁风险等级、补丁公告进行归类,帮助管理人员快速识别补丁重要程度。
补丁厂商如微软,其补丁发布时就指定补丁号、补丁类型、补丁危害程度、操作系统支持等补丁属性,北信源终端安全管理自动识别补丁的不同属性并归类。
补丁库分类包括:A类、B类、C类、T类。将所有补丁自由组合为不同的类,A类、B类、C类、T类为用户自定义类型补丁(T类建议为测试类型补丁,用于一些特殊补丁的测试,指定用于特定的测试组机器)。
补丁下载转发代理
可以在区域管理器中选择【支持下载转发代理】选项,选中此项功能后,当网络内有数量较多的计算机下载补丁或者文件时,计算机可以搜索临近IP范围内状态最好的计算机,从这台状态最好的计算机上下载相应的补丁或者文件。这样就可以大大减少网络内的服务器的数量,减少网络的带宽的占有率,保证工作的正常进行。
图3-补丁代理传发支持
客户端补丁检测(一)
本功能主要用于计算机用户自行进行补丁检测,使用本功能前需要做两项工作:
将补丁下载服务器下载的补丁和补丁索引拷入区域管理器系统:RegionManage\\Distribute\\Patch目录下。 在单位网站主页安全栏目或其它专门栏目建立一个补丁安全监测提示或者通知,该提示或通知链接到系统Web管理平台的IIS的patchWeb虚拟目录(),提供客户端访问补丁自动探测功能。
客户端访问本机构网站的时候,选择主页补丁安全探测提示自动链接到北信源补丁分发管理系统Web管理平台的客户端补丁探测主页上,该主页自动探测客户端是否注册,如果已经注册,将显示该系统补丁安装情况,根据提示信息选择性手动下载补丁安装。
图3-补丁下载设置 参数 说明 未安装客户端探头时提示 未安装探头时显示补丁类型 是否提示下载探头 探头下载地址 若客户端未曾注册,网页探测后给出提示 管理员自行设置显示补丁类型(操作系统补丁、IE补丁、应用程序补丁等) 对于没有注册的用户,提示进行注册 指向网页管理平台ip/vrveis/download/DeviceRegist.exe 表3-补丁下载设置参数说明
补丁检测中心
在web登录页面点击【工具下载】,进入工具下载页面,如下图所示:
图3-登录页面 图3-工具下载页面
点击【补丁检测中心】进入补丁检测中心页面,如下图所示:
图3-补丁检测中心
客户端补丁检测(二)
本功能主要用于网络管理员对客户端计算机进行补丁检测,通过Web管理平台中的终端控制功能对客户端进行漏打补丁检测,详细列出客户端当前补丁安装状况,通过终端管理功能对客户端机器进行补丁管理。 具体操作:终端管理终端点-点控制查看漏打补丁
图3-客户端补丁漏打检测
第四章 北信源主机监控审计系统
策略中心
行为管理及审计
文件输出审计策略
功能说明:该功能用来屏蔽和设置选定客户端的文件输出和监控。其中包括设置打印机拒绝打印的文件类型、将固定扩展名的文件拷贝到网络盘、禁止发送邮件和对审计结果的上报。这里的打印控制与审计功能包括本地打印和网络打印。
参数说明: 参数 说明 选定“禁止打印文件”复选框,设置不允许目标对象打印的文件扩展名即可,如果保持空白,则所有文件均可打印,如果选定“审计打印文件”复选框,所有打印的文件都要经过内网安全管理系统的审计备案。 选定“禁止将文件拷贝到网络盘”复选框,可在“禁止拷贝文件扩展名”的空格处填入相应的文件扩展名。如果选定“审计网络拷贝文件”复选框,所有网络拷贝的文件都要经过内网安全管理系统的审计备案。 选定“禁止发送邮件”复选框,即可禁止发送邮件。如果选定“审计发送邮件”复选框,所有发送的邮件都要经过内网安全管理系统的审计备案。 打印输出控制 网络共享输出控制 邮件输出控制 表4-文件输出审计策略参数说明
注意事项:
1.本策略涉及到网络办公的一些功能,请在设置前规划好需求。
文件保护及审计策略 功能说明:
1.保护和审计客户端的指定目录和网络共享文件的读取、修改、删除权限。
2.可以设置当哪些进程操作指定文件时进行保护,哪些进程操作指定文件时不实施保护。 注意事项:
1.本策略涉及到网络办公的一些功能,请在设置前规划好需求。
2.建议修改本策略者在管理员或专业技术人员的帮助下修改本项策略,以免影响计算机的正常使用。 上网访问审计
功能说明:该功能用来审计对Web站点的访问,并且能够将审计结果处理上报到服务器或者记录到本地文件。 参数说明: 参数 站点名 说明 设置需要或不需审计的web站点的名称。 指选择是否对列表中的web站点的访问进行审计的处理方法。“仅审计对以下Web站点访问”的方式,是指对列表中的web站点的访问进行审计。“仅不审计对以下Web站点访问”的方式,是指对列表中的web站点的访问不进行审计。 对web站点进行审计后的结果有两种处理方式:上报到服务器、记录到本地文件。 限制方式 对审计结果处理 表4-上网访问审计策略参数说明
上网控制策略
功能说明:屏蔽选定用户(在本策略的对象中设定的)计算机的一些指定网站的屏蔽。 注意事项:
涉密检查策略1.这种限制上网的方式只能限制通过域名访问站点的上网方式,对直接用ip访问的客户机没有什么效果。 IM即时通讯记录审计
功能说明:对即时通讯软件的通讯记录通过设置关键字进行审计,审计结果可以保存在本地也可以上报到服务器。 注意事项:
1.目前支持QQ和MSN两款软件。 安全刻录审计
功能说明:对客户端的刻录操作进行控制与审计,包括是否允许刻录、允许刻录的文件类型、不允许刻录的文件类型等。
上网访问痕迹检查
功能说明:检查访问某一特定网络的历史信息,针对IE缓存、IE清单、Cookie信息、收藏夹,在检测网络地址中输入网站的域名后,单击【添加到列表】按钮,最后保存策略并指派对象,启动策略即可。如果待检查的计算机中留有以列表中列举的信息,则显示提示信息框。 文件内容检查
功能说明:对指定的某一文件夹或某一类型文件,检查是否有违规的信息。添加检测文件夹的名称及检测文件的后缀名称,按逻辑条件进行检测,“or”代表两个条件中有一个成立则检测,“and”代表两个必须要都符合才检测。 参数说明: 参数 检测文件夹 说明 设置需要进行检测的文件夹。保持为空则全盘检测,否则请输入盘符或路径。 输入要检测的文件的后缀名。选中“仅检测符合的文件名”选项只检测文件名字,不检测文件内容。文件名(不带扩展名)在检测内容中输入,最多可同时检测3个文件。 设置检测条件为“与”或“或”的关系,即“AND”、“OR”。 三个检测内容项分别填写三个需要检测的文件。 检测文件后缀名 逻辑条件匹配方式 检测内容 表4-文件内容检查策略参数说明
终端涉密检查配置
功能说明:创建涉密检查工具的桌面快捷方式,用户可以直接使用。 终端文件粉碎配置
功能说明:创建终端文件粉碎工具的桌面快捷方式,用户可以直接使用。
其他策略
终端配置策略、管理器策略、按对象分配策略、策略下发查询请参照第二章北信源内网安全管理系统的策略中心中的对应项。
数据查询
上网访问审计
审计指定范围内的客户端在指定时间段的上网访问记录。 上网访问统计
统计指定范围内的客户端在指定时间段内访问指定网站的上网记录,包括访问的网站信息以及访问次数等信息。 IM即时通讯审计
审计指定范围内的客户端在指定时间段的IM即时通讯记录,包括QQ、MSN两种通讯软件的通讯记录。 文件输出审计
审计指定范围内的客户端在指定时间段的文件输出,包括对打印文件输出,电子邮件输出,网络共享输出三种文件输出方式的审计。文档打印记录查询指定范围内的客户端在某个时间段的打印记录,包括文档名称、打印份数、页数、文件大小和打印进程等信息。 文件保护审计
审计指定范围内的客户端在指定时间段的对被保护文件的操作,包括访问文件、修改文件和删除文件。 涉密检查查询
根据策略中心中配置的策略,进行包括IE访问涉密检查(IE缓存、IE清单、cookie信息、收藏夹),文件内容涉密等方面的查询。
第五章 北信源移动存储介质使用管理系统
策略中心
可移动存储管理
可移动存储审计
功能说明:对移动存储设备接入做控制,对非本单位的移动设备自动识别(需要对本单位的移动设备添加标签)。 通过对移动设备的读写控制及审计操作,来管理移动设备的行为操作,在本单位的移动设备中添加标签的操作需要
使用移动存储设备认证工具完成。具体配置,见附录(二)。 注意事项:
1.禁用u盘、软盘、光盘的一部分功能,也可以在硬件设备控制策略中完成,功能上没有什么区别,用户可以根据自己的习惯和用途,自行设定。
2.审计只审查文件名,不对文件内容进行检索。
其他策略
终端配置策略、管理器策略、按对象分配策略、策略下发查询请参照第二章北信源内网安全管理系统的策略中心中的对应项。
数据查询
移动设备审计
审计指定范围内的客户端在指定时间段的移动设备操作,包括移动设备接入、读取移动设备、写入移动设备和SAFE6登录审计。
第六章 北信源网络接入控制管理系统
网关接入配置认证
配合硬件网关,进行网关重定向配置。
图6-网关接入认证 图6-重定向配置
点击“接入用户管理”,添加接入的用户。
图6-用户添加
策略中心
接入认证策略
指对接入网络中的设备的一种认证方式,主要包括以下策略:
补丁与杀毒软件认证策略
功能说明:对杀毒软件运行状态及病毒库版本安全检测和系统补丁安装情况的安全检测。当终端未运行杀毒软件时可以依据策略提示用户、指定下载地址让用户去安装、甚至直接限制网络访问、进行Vlan隔离,当漏打指定列表中补丁时则提示、指定相应的url地址去下载安装或者直
接限制网络访问,当限制网络后可以添加允许安全服务器访问的地址。 参数说明: 参数 未运行杀毒软件执行(URL地址) 说明 可以把杀毒软件的安装包放在指定的URL页面中,当客户端没有运行杀毒软件软件时,就直接打开这个网址或直接运行安装包。 根据802.1策略做相应处理:会根据802.1策略中的“接入认证配置”的配置做相应处理。 客户端被限制网络访问后,允许其连通的服务器。安全服务器的作用是修复客户端。 未运行杀毒软件时 限制网络访问后,允许安全服务器连通列表 表6-补丁与杀毒软件认证策略参数说明
策略实例:
图6-补丁与杀毒软件认证策略
注意事项:
1.“系统补丁安全检测”仅设备启动时检测一次。 2.被限制访问后下次重新启动才会恢复。 进程服务注册表认证策略
功能说明:在身份认证之前依据事先制订的策略,先对接入的客户端进行安全检查,检查是否运行了指定运行的进程,是否开启了指定的服务,注册表里是否有指定的项、键值、键名。 802.1X接入认证策略
功能说明:802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接
入端口访问网络。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。如下图所示:
图6-接入认证策略
根据配置,可以做到两种方式联网;a.当策略检测符合要求后认证成功会自动联网;b.也可以在已经配置好交换机,当终端接入交换机中,会弹出认证界面。下面我们以第二种为例:
图6-802.1x认证界面
输入Radius服务器中预先设置的用户名和口令,开启认证,如图:
图6-802.1x认证界面
如果安全检查与策略中设定的策略有违规,认证客户端则不允许进行802.1x认证,如图:
图6-安全检查没有通过,802.1x不启动认证
安全检查通过后,如果输入的用户名和口令不符合Radius服务器中预先设订用户名和口令,则认证也失败,如图:
图6-认证失败
注意事项:
1.认证状态有三种颜色,红色:认证失败。黄色:未进行认证。绿色:认证成功。
2.密码验证类型:客户端与服务端类型一致才可以通过。
3.证书认证,需要相应证书的
USBkey与密钥支持。
网关接入认证
功能说明:配合硬件网关,进行网关重定向配置。 注意事项:
1.选择可添加网关:需要先配置“网关接入认证”。 VIFR接入认证
功能说明:虚拟隔离强制注册。
参数说明:
参数 说明 非主控服务器可以处理一些主控服务器执行的任务。 在子网区域规模较大的情况下使用,减轻主控服务器的压力。 正常情况下,未注册和注册的机器可以互相访问。勾选本选项后,未注册终端就不能访问已注册终端,但是已注册终端依旧可以访问未注册终端。 用来保护重要的服务器。 默认情况下,未注册的终端是不可以访问不在同一个网段的重要服务器,但是可以访问在同一个网段的重要服务器的。 多重控制 终端校验 限制非法接入终端访问的重要服务器 表6-VIFR接入认证策略参数说明
其他策略
终端配置策略、管理器策略、按对象分配策略、策略下发查询请参照第二章北信源内网安全管理系统的策略中心中的对应项。
环境准备方法
安装RADIUS(windowsIAS)
安装RADIUS
1.进入添加/删除程序中添加/删除Windows组件,选择网络服务中的Internet验证服务
图6-添加Internet验证服务组件
2.安装IAS后,进入IAS配置界面
图6-IAS配置界面
为RADIUS服务器添加客户端
1.右击“RADIUS客户端”,选择“新建RADIUS客户端”。客户端地址为验证交换机的管理地址,点击【下一步】。
图6-新建RADIUS客户端
2.选择“RADIUSStandard”,共享机密为交换机中所配置的key。点击【完成】。
图6-新建RADIUS客户端
3.右击“远程访问策略”,单击“新建远程访问策略”。
图6-新建远程访问策略
设置远程访问策略
1.为策略取一个名字,点击【下一步】
图6-设置远程访问策略
2.选择以太网,点击【下一步】
图6-设置远程访问策略
3.选择用户,点击【下一步】
图6-设置远程访问策略选择用户
4.使用MD5质询,点击【下一步】,并完成。
图6-设置远程访问策略使用MD5质询
5.在右面板中右击所新建的策略,选择“属性”。
图6-设置远程访问策略新建的策略
6.点击【添加】,选择“Day-And-Time-Restrictions”
图6-选择Day-And-Time-Restrictions
7.选择【添加】,选择【允许】,单击【确定】。
图6-选择允许
8.删除NAS-Port-Type匹配”Ethernet”,并选择授予访问权限
图6-设置属性
9.单击编辑配置文件,选择高级-------【添加】 选择【添加】
[64]Tunnel-Type:VLAN [65]Tunnel-Medium-Type:802 [81]Tunnel-Pvt-Group-ID:VLANID
图6-添加属性值vlan 图6-添加属性值802
图6-添加属性值600 图6-添加属性值600
10.单击【确定】
图6-编辑拨入配置文件
设置连接请求策略
1.右击连接请求策略,选择新建连接请求策略
图6-新建连接请求策略
2.选择自定义策略,并为该策略取个名字
图6-为策略取名字
3.策略状况选择添加Day-And-Time-Restrictions,配置方法同上。然后一直【下一步】并完成。
图6-策略配置
添加认证用户
1.添加远程登录用户。在本地用户和组中新建一个用户。
图6-添加远程登录用户
2.右击新建的用户,进入属性,选择隶属于,删除默认的USERS组
图6-设置用户属性
3.点击拨入,设置为允许访问
图6-设置test用户
4.打开组策略计算机配置windows设置安全设置帐户策略用可还原的加密来存储密码启用
图6-设置启用
5.IAS配置完成。
6.VRVEDPAgent认证成功。
图6-VRVEDPAgent认证成功
7.RadiusServer:CiscoACS4.1
注:安装CiscoACS4.1前,需要先安装JDK环境 (1)进入CiscoACS4.1配置页面 点击UserSetup,进入创建用户界面
图6-创建用户界面
(2)输入用户名并选择Add/Edit进行用户的添加
图6-用户添加
(3)为该用户设置密码
图6-设置用户密码
(4)进入NetworkConfiguration
图6-进入NetworkConfiguration
AAAClients为交换机,IP地址是交换机的管理IP AAAServers为Radius服务器的地址 AAAClient配置
图6-AAAClient配置
(5)AAAServer配置
图6-AAAServer配置
(6)进入InterfaceConfiguration
图6-进入InterfaceConfiguration
(7)进入RADIUS(IETF),勾选第64,65,81项,保存
图6-进入RADIUS(IETF)
(8)进入GroupSetup
图6-进入GroupSetup
(9)选择EditSettings,勾选第64,65,81项 64Tag1选择VLAN 65Tag1选择802
81Tag1选择需要跳转的VLANID号。
即管理员可给属于不同VLAN的客户端分发用户名和密码,让他们在输入用户名和密码进行验证后跳转至属于自己的VLAN当中。
图6-进入EditSettingsp
各厂商交换机配置
Cisco2950配置方法
Enable/*进入特权模式*/ configt/*进入全局配置模式*/ aaanew-model/*启用aaa认证*/
aaaauthenticationdot1xdefaultgroupradius/*配置802.1x认证使用radius服务器数据库*/
aaaauthorizationnetworkdefaultgroupradius/*VLAN分配必须*/
radius-serverhostkeyvrv/*指定radius服务器地址为,通信密钥为vrv,端口不用制定,默认1812和1813*/
radius-servervsasendauthentication/*配置VLAN分配必须使用IETF所规定的VSA值*/ intvlan1 ipaddshut
/*为交换机配置管理地址,以便和radius服务器通信*/ intrangef0/1-11 dot1xport-controlauto switchportmodeaccess
/*为1到11端口配置dot1x,12端口不配*/ dot1xguest-vlanID(VLAN跳转命令) exit
/*退回全局配置模式*/ dot1xsystem-auth-control /*全局启动dot1x*/
aaaauthenticationlogindefaultlineenablelocal /*开启telnet远程登录*/ exit
/*退出全局模式*/ 2950交换机上VLAN的配置
vlandatabase vlanID enable configt
intrangef0/1–20 switchportaccessvlanID switchportmodeaccess spanning-treeportfast
华为3COM3628配置
discu #
sysnameH3C #
domaindefaultenabletest # dot1x
dot1xtimertx-period10 dot1xretry4
#
radiusschemesystem radiusschemetest server-typestandard primaryauthentication primaryaccounting keyauthenticationvrv keyaccountingvrv
user-name-formatwithout-domain #
domainsystem domaintest
schemeradius-schemetest vlan-assignment-modestring # vlan1 # vlan46 #
vlan600
descriptionguest #
vlan601to602 #
interfaceVlan-interface46 ipaddress #
interfaceAux1/0/0 #
interfaceEthernet1/0/1 portaccessvlan600
dot1xport-methodportbased dot1xguest-vlan601 dot1x #
interfaceEthernet1/0/2 #
interfaceEthernet1/0/3
#
interfaceEthernet1/0/4 #
interfaceEthernet1/0/5 #
interfaceEthernet1/0/6 #
interfaceEthernet1/0/7 #
interfaceEthernet1/0/8 #
interfaceEthernet1/0/9 #
interfaceEthernet1/0/10 #
interfaceEthernet1/0/11 #
interfaceEthernet1/0/12 #
interfaceEthernet1/0/13 #
interfaceEthernet1/0/14 #
interfaceEthernet1/0/15 #
interfaceEthernet1/0/16 #
interfaceEthernet1/0/17 #
interfaceEthernet1/0/18 #
interfaceEthernet1/0/19 #
interfaceEthernet1/0/20 #
interfaceEthernet1/0/21 #
interfaceEthernet1/0/22
portaccessvlan601 #
interfaceEthernet1/0/23 #
interfaceEthernet1/0/24 #
interfaceGigabitEthernet1/1/1 #
interfaceGigabitEthernet1/1/2 #
interfaceGigabitEthernet1/1/3 #
interfaceGigabitEthernet1/1/4 portlink-typetrunk
porttrunkpermitvlan146600to602 #
undoirf-fabricauthentication-mode #
interfaceNULL0
锐捷RGS21配置
#
voicevlanmac-address0001-e300-0000maskffff-ff00-0000 #
iproute-static0.0.0.0preference60 #
user-interfaceaux07 user-interfacevty04 # return hostnameSwitch vlan1 ! vlan600 name600//要跳转的VLAN必须以VLAN号来命名 ! ipaccess-listextendedUNAUTH //安全通道的ACL permitipanyhost //未认证之前开放服务器 ! radius-serverhost //指定radius服务器的地址 aaaauthenticationdot1x //开启认证 aaaaccountingserver //指定记帐服务器的地址 aaaaccounting //开启记帐 enablesecretlevel15!'.tj9=Gq+/7R:>HE,1u_;C,&-8U0 interfacefastEthernet0/45 dot1xport-controlauto //开启1X认证 dot1xdynamic-vlanenable //开启动态VLAN ! interfacefastEthernet0/48 dot1xport-controlauto dot1xdynamic-vlanenable ! interfacevlan1 noshutdown ipaddress ! nodot1xfilter-nonRG-suenable 非锐捷的客户端通过 dot1xaccout-update-interval600 radius-serverkeyvrv ipdefault-gateway snmp-servercommunity123rw securityglobalaccess-groupUNAUTH 全通道 end //允许//开启安 第七章 北信源接入认证网关 网关接入配置认证 配合硬件网关,进行网关重定向配置 图7-网关接入认证 点击【创建新建规则】,进行相关设置 图7-重定向配置 点击【接入用户管理】,添加接入的用户。 图7-用户添加 策略中心 网关接入认证策略 图7-网关接入认证策略 其他策略 终端配置策略、管理器策略、按对象分配策略、策略下发查询请参照第二章北信源内网安全管理系统的策略中心中的对应项。 第八章 系统备份及系统升级 系统数据库数据备份及还原 点击任务栏上右下脚的SQLServer服务管理器,将正在运行的数据库服务停止; 确认安装SQLServer的路径,默认安装路径为:C:\\ProgramFiles\\MicrosoftSQLServer\\MSSQL\\Data中,找到此目录下VRVEIS.ldf和VRVEIS.mdf两个文件,将此两个文件拷贝到另外的路径下完成数据备份; 如果系统升级不成功,造成数据损坏,请按照以上步骤进行相反操作,将VRVEIS.ldf和VRVEIS.mdf两个文件拷贝到SQLSERVER安装路径下,例如: C:\\ProgramFiles\\MicrosoftSQLServer\\MSSQL\\Data中即可。如VRVEIS.1df过大,可通过正常运行中的区域管理器中的清空数据库事物日志进行处理。 系统组件升级 访问北信源公司网站获取升级组件:upWeb、upregmange二个组件,或者在级联区域管理系统配置中设置自动探测 升级文件下在路径为c:\\vrv\\vrveis\e,正常升级一般最好使区域管理器、区域扫描器、WEB网页管理平台都使用默认安装路径。 区域管理器、扫描器模块升级 升级网页管理平台 客户端注册程序升级双击升级文件upmanage.exe,此时升级文件会将区域管理器自动退出,并在升级完成后自动启动区域管理器与扫描器模块。 点击升级文件upweb.exe,此时能够把网页平台自动升级更新为最新版本;必要时候,可能会发布fullupWeb.exe升级文件,主要由于中间多次没有升级,进行完全升级。完成上述工作后,必须访问安装目录,进入download目录,确认devieceregist.exe文件中RegClient.ini文件的Regip地址为区域管理器所在IP地址。 网络管理员在完成网页管理平台的升级工作后,需要在网页管理平台上“区域管理器”详细配置中将“允许客户端升级”选项选中即可。 此时客户端探头通过以下两种方式升级: 扫描器扫描到客户端机器的同时对探头进行自动探测升级; 客户端计算机每次重新启动后,会在第5分钟时主动进行探头自动升级,否则会在持续开机的过程中每24小时自动升级一次。 检查系统是否升级成功 区域管理器和区域扫描器模块的升级检查:找到安装路径下的可执行文件RegionManage.exe,右键单击后察看其属性,在选项卡上选择“版本”,此时文件版本号应该显示为最新版本号码,否则说明升级没有成功; 网页管理平台升级检查:打开并进入到网页管理平台,察看系统帮助菜单中“关于”选项,弹出的窗口会显示出当前的网页平台的版本号码; 客户端注册程序升级检查:网络管理员通过Web页面中的查询功能对版本号进行查询统计,完成客户端注册程序的升级检查。 注:在此过程中必须注意对SQL数据库的备份,如果升级失败,请进行数据的备份还原工作,保证原始数据不能丢失。 级联管理模式升级及配置 在级联管理方式中,其上级区域升级方法同单一区域管理模式升级方法,其它各级区域均不需要进行手动升级。在上级手动升级完毕以后,需要系统管理员将3个升级文件手动放在C:\\VRV\\VRVEIS\e目录下,为下级区域的自动升级提供链接文件。 下级区域网络管理人员在系统安装成功完成后,需要进入到web管理平台,点击“系统配置”按钮,在弹出的系统配置界面中将“上报给上级管理器”前的复选框选中,在“上级管理器”地址一栏中添加多级管理模式上级区域管理器的IP地址,其它选项均选择为默认即可,此时下面的“升级配置”窗口中的“升级服务器地址”会同时自动发生改变,同时系统会每间隔一段时间对上级区域管理器进行一次探测,自动完成对系统升级即可。此时,升级服务器地址会改变如下图所示: 图8-级联管理配置 下级区域会根据图中所示的路径自动链接到最上一级区域管理完成自动升级操作。 注:系统软件必须默认安装在C盘中,才能实现自 动升级,此时只需将升级路径设置正确,其它升级工作为自动执行。 附录 附录(一)北信源内网安全管理系统名词注释 系统中常见词语含义解释: 【信任】:系统管理员通过整体策略进行“信任”操作,也可通过单击选择此项进行设备信任操作,被信任机器无论是否注册,未阻断操作对信任的计算机为无效状态。 【保护】:系统管理员通过“保护”操作对客户端机器进行设置,将交换机、路由器等不需要注册IP地址单独划分出来,并对MAC以及IP地址不进行绑定;建议将重要的服务器和其它网络相关设备不进行注册,并设置为保护状态,用来保证其运行的稳定性。 【阻断】:系统管理员在应用整体“阻断”策略操作外,可对其中任意一台客户端机器通过此项操作进行单独内部网络阻断。(该网段需有已注册且工作正常的客户端) 【机构代码】:标志机构代码编号的数字,用于多级级联构架网络中上级和各下级之间的机构编号。 【自定义组】:为进行内网主机监控审计与补丁分发管理任务规则应用、任务执行而设置的网络客户端编组,可自行组合,适用不同管理策略。 【数据重整】:类似于刷新功能,提供对数据库中数据的重新整理,每隔一段时间对系统数据库进行重整。 附录(二)移动存储设备认证工具操作说明 USB标签制作 可初始化U盘密码设备指定 在分配USB标签之前,请预先指定5台计算机(或5台以内,操作系统为windows平台)作为密码还原计算机,通过专用程序获取计算机的设备ID码,以便绑定设备ID码信息到移动存储设备中。一旦密码遗忘,可以在上述5台计算机上恢复初始密码,否则无法还原。 具体步骤如下:登录系统系统维护系统用户分配与管理用户管理分配可用USB标签,选择admin的【设置】,如下 图, 附图-修改用户adminUSB标签 点击“设备可初始化设备ID”按钮,在红色标记处,按提示下载DeviceNumber.exe。如下图所示, 附图-下载DeviceNumber.exe 在上述5台计算机上分别运行DeviceNumber.exe,填写获取的可初始化U盘密码的设备ID,并在每个ID号之后添加英文状态下的“;”,保存设置。 分配用户标签 标签类型:标签有普通标签和!SAFE6两种。 全局参数 系统标签,如07099C61-3DFFD160-5DC19AF1;建议标签,如07099C61-3DFFD160-5DC19AF1。 附图-全局参数 全局参数根据服务器特征产生,用于区别在不同服务器上制作的移动存储设备,一般情况下,系统标签和建议标签一致,如果服务器更换(ip、本系统数据库),建议标签为当前服务器的标签,此时,建议使用最新的建议标签。同时,带有以前服务器上标签的移动存储设备同现有服务器安全策略不兼容。 普通标签作用:用于对移动存储设备作标记,在外网未注册计算机不做任何判断,可以任意使用,仅在内网注册计算机上供认证识别用,移动存储设备标签同注册计算机获取的标签授权一致,该设备方可以使用,否则根据管理员设置进行报警处理。 !SAFE6标签作用:用于对移动存储设备的分区标签管理,在对移动存储设备分区的同时,进行标签写入,!SAFE6设备标签同注册计算机获得的标签授权顺序匹配后,用户才能够按照设定的权限进行对!SAFE6设备数据区登录访问。 标签制订:以!SAFE6标签为例,某公司下属10个部门,一种管理方法是每个部门可以有单独的标签(如信息中心、销售部、办公室、财务部、市场部等),另一种是全公司设置特定的几种标签(如安全策略一标签、安全策略二标签),通过对计算机注册客户端程序的标签安全策略 USB标签制作工具 的发送,让计算机按照预定义的安全策略来识别带有不同的标签的移动存储设备,并进行访问控制(读写、只读、禁止使用、报警等)。 先添加备用标签,再分配给网管,并保存,这样在使用UsbTool.exe时,能够获得上述预分配的标签,按照不同管理需要对移动存储设备进行标签写入。 USB标签制作工具功能 USB标签制作工具UsbTool.exe存放在网页管理平台VRVEIS文件目录的download下,下载后可以在任何计算机上(建议在Windows2000、xp等操作系统)对移动存储设备执行标签写入操作。 标签写入:将管理员预定的各种安全标签写到普通移动存储设备扇区,并进行加密,确保对专用移动存储设备的认证识别。 数据分区:将普通移动存储设备划分为交换区和保密区,自由设置分区容量大小。 设备加密:对移动存储设备数据区进行AES128位加密,确保数据区内数据的安全。 添加启动区:根据管理员需要,对移动存储设备添加启动程序,方便对设备的访问。 初始化密码:根据管理员需要,对移动存储设备进行密码初始化。 专用移动存储设备类型 缺省三个分区、启动区与交换区二合一、整盘加密。 缺省三个分区:该类型盘具有启动区、交换区、保密区;启动区带有启动程序,在未注册计算机上通过该启动程序登录交换区。 启动区与交换区二合一:该类型盘有两个分区,启动区中带有启动程序。 整盘加密:该类型盘只有一个数据区——保密区。 启动区的大小为10M(默认),同滑动按钮实现对交换区和保密区的分区大小的调节。 密码最大错误次数用于分别限制对两个区的访问,一旦输入的错误密码次数超过指定数值,专用移动存储设备将自动锁定。 交换区按扇区加密:对交换区按照扇区进行磁盘加密,默认只对保密区作加密。 显示格式化窗口:在进行分区划分的时候,显示对分区的格式化过程窗口,支持对磁盘格式(如FAT、FAT32、NTFS)的选择。 支持灾难恢复:支持对专用移动存储设备密码的初始化还原,如不选择,在密码遗忘情况下,该盘将作废,需要做低级格式化处理,所有数据无法还原。 初始密码强制修改:支持移动存储设备第一次使用时候强制修改密码,如果不修改无法使用。 报警信息设置:该项用于整盘加密的情况,当设置该项时,一旦制作的整盘加密的移动存储设备在外网上时候的时候,该盘将告警设置的信息。 在制作专用移动存储设备时,提醒“数据信息上传至服务器成功”,作用在于,将该专用移动存储设备的标签信息传送到服务器备份,以便标签信息被人为毁坏或无意删除时可以恢复。 专用移动存储设备交换区和保密区初次登录时候密码均为:0000aaaa。 注:对160G以上大容量移动硬盘制作专用移动存储设备的时候,需要预先在操作系统下对该硬盘划分为2个区,然后再进行制作操作。 专用移动存储设备制作过程 1、获取制作工具:登录网页管理平台,进入“移动存储”,选择“USB标签制作工具”,下载“UsbTool.exe”。 2、登录制作工具:执行“UsbTool.exe”,输入区域管理器所在计算机的ip地址,输入admin用户,输入密码登录(UsbTool同区域管理器连通)。 附图-UsbTool登录 3、选择需要的型号:登录后,插入普通移动存储设备,出现盘符,选择该盘符,填写部门、拥有者、设备编号(自动编号不需要填写)、标签等。 附图-UsbTool界面 最后选择【写入标签】,如图,选择需要制作的安全盘的类型。 附图-分区格式化 4、配置设备参数:参数作用详见“专用移动存储设备类型”。 5、分区格式化:按照步骤对不同分区格式化,多个分区格式化将会出现多次格式化窗口。 6、标签验证、标签清除:标签写入成功后,可以在UsbTool.exe主界面中进行标签验证,并进行标签清除。 7、移动硬盘标签制作方法: 制作三个分区的移动硬盘标签 步骤1:插入移动硬盘之后,右击我的电脑管理磁盘管理。 附图-制作移动硬盘标签1 步骤2:在上面的分区上点鼠标右键,删除分区,多分区相同。 附图-制作移动硬盘标签2 步骤3:删除分区H,然后点【确定】按钮。 附图-制作移动硬盘标签3 步骤4:然后所有分区,使之变成未指派盘符。 附图-制作移动硬盘标签4 步骤5:在未指派盘符上,单击鼠标右键选创建磁盘分区。 附图-制作移动硬盘标签5 步骤6:点【下一步】。 附图-制作移动硬盘标签6 步骤7:选择主磁盘分区,点击【下一步】。 附图-制作移动硬盘标签7 步骤8:设置分区大小为2000MB,之后点【下一步】。 附图-制作移动硬盘标签8 步骤9:给主分区指定一个盘符。 附图-制作移动硬盘标签9 步骤10:主分区必须是FAT32格式的,点击【下一步】。 附图-制作移动硬盘标签10 步骤11:之后点【完成】。 附图-制作移动硬盘标签11 步骤12:之后的步骤和三分区的优盘的步骤1到步骤6一样,就是容量大小和注册信息不同。(需要注意一下) 制作整盘加密的移动硬盘标签 步骤1到步骤12和制作3个分区的移动硬盘方法一样。 步骤13之后步骤和制作整盘加密的步骤1到步骤6的方法一样。 3个分区的优盘和移动硬盘在内网会出现下面界面。 附图-3个分区的优盘和移动硬盘内网登录界面 整盘加密的优盘和移动硬盘在内网会出现下面的界面。 附图-整盘加密的优盘和移动硬盘内网登录界面 3个分区的优盘和移动硬盘在外网会出现下面界面。 步骤1:插入3个分区的优盘或移动硬盘。 附图-外网插入3个分区的优盘或移动硬盘盘符 步骤2:进入启动区后,双击执行EDPEdisk.exe会弹出交换区登录。 附图-交换区登录界面 整盘加密的优盘和移动硬盘在外网会出现下面的界面。 步骤1:插入整盘加密优盘或移动。 附图-外网插入整盘加密优盘或移动盘符 步骤2:双击可移动磁盘F,出现下图信息。(整盘加密在外网进不去) 附图-信息提示 两个分区和三个分区的制作一样,把启动区和交换区放到一起,启动区,大小可以调节,登录的时候启动区不需要密码,(可以和普通U盘一样)。 专用移动存储设备初始化密码过程 1、获取制作工具:登录网页管理平台,进入“移动存储”,选择“USB标签制作工具”,下载“UsbTool.exe”。 2、登录制作工具:执行“UsbTool.exe”,输入区域管理器所在计算机的ip地址,输入admin用户,输入密码登录(UsbTool同区域管理器连通)。 附图-UsbTool登录 3、选择需要初始化密码的移动存储器。 附图-UsbTool界面 最后选择【初始化密码】,如图,选择进行初始化密码的操作。 附图-初始化密码 注:在进行初始化密码的时候,需要将桌面右下角 的程序退出;密码初始化操作只可以在授权的主机上进行。 USB标签制作历史查询 移动存储审计策略 USB标签制作历史查询用于查询已经做标签处理的USB移动存储设备信息,便于管理员对网络中使用的认证标签进行状态汇总。 查询方式支持:U盘编号、U盘状态、所属部门、拥有人、U盘标签(U盘编号暂不支持手动编号查询)、写入标签时间、空标签时间等条件。 附图-标签历史查询 移动存储审计策略用于配置注册计算机的专用移动存储管理策略,管理员设定专用移动存储设备的许可标签、使用权限、报警信息等策略内容,策略下发注册终端后执行,注册终端根据策略对接入的移动存储设备进行条件判断控制。 参数 说明 不允许使用、允许只读方式使用、允许读写方式使用。该项用来控制普通U盘的操作使用,带标签的本普通U盘控制 系统移动存储设备属于普通U盘的一种,因此,普通标签和!SAFE6标签移动存储设备的使用均需要开启“允许读写方式使用”权限 网络中存在标签移动存储设备,需启用U盘标签认要开启该项。 证 注:未经过标签制作工具分区的U盘以及安全U盘,其权限由交换区权限控制。 认证标签列表(添加标签) 本单位标签认证失败 外单位标签认证失败 软盘使用控制、光盘使用控制 审计过滤 登录交换区后自动杀毒 例外判断 中间机策略 择设定的移动存储标签类型,例如标签1、标签2、标签3三种标签,分别对应于信息中心、销售部、办公室的标签移动存储设备 针对信息中心的所有客户端制订一条策略,设置本部门的标签设备在本部门计算机上的使用权限,设置销售部的标签设备在信息中心计算机上的使用权限,设置办公室的标签设备在信息中心计算机上的使用权限,控制级别到数据区(交换区、保密区)。策略制订好以后,发送到信息中心所有ip计算机执行 本单位标签,是指在同一套管理服务器系统(全局标签)上制作的不同类型标签的的移动存储设备,如各部门使用不同标签,这些标签属于本单位标签,用于识别对不同部门的设备使用权限管理 外单位标签,是指不在同一套管理服务器系统(全局标签)上制作的不同类型标签的的移动存储设备。用户对这些设备的使用权限会受到“外单位标签认证失败”策略和标签的离网策略限制 针对USB类型的移动存储设备进行读写控制,USB软盘、USB光盘刻录机等均可以将数据拷出 针对特定类型的文件进行审计,不填写默认为全部审计 针对!SAFE6标签设备插入计算机后自动调用操作系统的杀毒软件对交换区进行病毒查杀,杀毒软件支持动态添加(基本如瑞星、kill) 针对特定移动存储设备如公章系统盘,不进行访问控制判断,其他类似,只需要填写特征文件名即可 中间机针对存在整盘加密策略的计算机和外来移动存储设备的情况提供数据交换,通过策略内容逻辑的组合设计来实现 附表-移动存储审计策略参数说明 移动存储审计数据 在数据查询审计数据查询移动设备审计中查看审计数据。 默认当前页面显示“今日数据”,如果需要查找其他时间的数据,可以通过选择“时间范围”查询。在数据查询时:选择需要查询的数据类型,如“移动设备接入”,“读取移动设备”,“写入移动设备”,分别显示查询项。 附录(三)主机保护工具操作说明 主机保护工具主要是为了保护服务器端不受客户端和来历不明的终端设备的恶意访问和攻击。主机保护工具可以限制访问自己设备的IP地址和端口。如果服务器端受到客户端或不明设备的DOS/DDOS行为攻击,主机保护工具能阻断客户端或不明设备和服务器之间的连接,很好的起到保护主机的作用。 访问控制配置说明 附图-访问控制配置说明 (1)设定可以访问自己的IP地址,设定好后添加。 (2)设定不可以访问自己的IP地址,设定好后添加。 (3)设定不让任何地址访问自己。 (4)指定只能访问本地的协议端口,设定好后添加。可以有针对性的设定TCP或UDP。 (5)控制ICMP协议PING入和PING出,设定好后点击应用。 (6)启用IP地址保护可以防止其它机器抢占本地IP地址,保证本机IP在网段内的唯一性,不出现IP冲突、断网现象。(设定信息可以有配置表中看到) DOS/DDOS配置说明 附图-DOS/DDOS配置说明 (1)设定标值在一定时间内TCP连接数或ICMP请求超过设定数值那么就认为本机受到了DOS拒绝服务攻击。设定后点击应用。 (2)根据DDOS拒绝服务攻击特性设定。设定后点击应用 (3)如果触发了上面的设定,主机保护工具就会认为发生了攻击行为加以阻断,显示攻击信息选上后,有事件发生会有提示出现。 附录(四)组态报表管理系统操作说明 报表管理系统的作用是使管理员能够方便的设计报表的格式、输出内容、查询条件,方便的将web平台的设备信息、报警信息等各种数据以报表的形式进行输出。 模版制定 定义模版 1、确定模板名称 附图-创建模板 模板的名称:例如,要查询ip与mac的对应关系,为了区分于其他的模板,我们可以填写IP_MAC对应信息查询。 模板的描述:提醒用户这个模板是做什么用的。 2、确定报表标题及报表尾 附图-确定报表标题及报表尾 第一行输出主标题:如果查询ip与mac的对应关系,就可以填写ip、mac对应关系。 最后一行输出制表人:有三个选项可供模板定义者自由选择,例如当前用户、不输出或者用户自定义。 3、定义报表输出项 附图-定义报表输入项 列名:即报表所显示的列名称,如单位名称,为必添项,例如,查询IP地址,或者是MAC地址。 长度:即报表显示列的长度,如:100px,为必添项,px是像素。 描述:即报表显示列的详细说明,如:统计该项纪录的单位名称,可不填。 排版:即以上下移动的方式,调整列输出顺序。 4、确定列输出条件 附图-确定输出条件 (1)列选项:选择一项已设定的列名称 (2)确定输出方式:简单输出即只输出当前显示名称,求和只针对整形数,即符合条件下该列的数字总和,求纪录数即符合条件的纪录条数。 (3)选择表:选择输出该列在数据库中列所在的表,确定数据库中的列选项。 (4)列限制条件:即列显示针对数据库中的该列满足添加条件下的纪录,可以添加多条限制条件。 (5)约束条件:指选定数据库中列的约束条件,第一选项为该列与其他约束列之间的关系,分为并且与或这两种关系,第二选项为该列与约束条件的关系。 (6)自定义Sql:即用户自己确定Sql,注意Sql格式。 注:用户设定的输出列要与数据库中列逐一对应。 5、确定表关联 附图-确定关联 (1)在定义报表已涉及的表选项中选择一项为主表选项。 报表输出(2)选择一项输出列,在该列所在表的所有列中选择一列作为该列的关联字段,选择主表列选项中的一列作为主表的关联字段。 (3)保存关联条件。 (4)逐一选择输出列,重复(2),(3)步骤。 6、保存模板 附图-保存模板 统计时间范围:只针对主表输出项。 点击【完成】即完成模版的设计。 模版修改 1、修改模版名称 附图-修改模板名称 2、修改模版的输出标题和表尾 附图-修改模版的输出标题和表尾 3、修改输出列选项 附图-修改输出列选项 4、修改关联选项 附图-修改关联选项 5、修改时间范围统计 附图-修改时间范围统计 已定义模板 预览:弹出一个模板信息的网页界面,这个功能主要是对已定义模板的预览。 附图-模板预览 输出:输出excel报表模板信息,为了使用户能直接和自己单位的其他信息兼容,我们开发了这项功能。 附图-输出excel报表模板信息 时间定义:可以进行模板输出时间重定位。为了让用户按时间段查询所设计模板。这样可以过滤掉很多无用信息。 附图-时间定义 模板导入 我们的组态报表管理系统提供了许多的默认模版,用户可以通过模版导入功能将系统默认的多种模版导入到自定义模版中,直接使用,简化了用户的操作。 我们在模版导入的systemup文件夹下提供了丰富的系统自定义模版供用户直接使用操作说明:选择要导入的模版,然后点击“导入到模版”,选择的模版就被导入到已定义模版中,这样用户就可以直接使用了。 附图-模板导入 模板导出 将用户已定义模版生成脚本文件导出到指定的文件夹中,方便用户保存自定义模版和将已定义模版移植到其他系统使用。 操作说明:选择要导出的模版,在弹出的窗口中填入要保存到的路径和保存文件的文件名,然后点击确认导出,就将用户已定义模版导出成指定的文件。 系统定义:输入文件名,模板自动导入到“模板导入”目录下文件夹里 用户自定义:输入文件名,用户自定义文件名文件扩展名,把模板导入到“模板导入”目录下文件夹里。 附图-模板导出 附录(五)报警平台操作说明 报警平台的作用是当网络中出现违规行为并有报警信息产生时,可以通过SNMPtrap或者syslog方式及时通过声音、邮件、手机短信等方式通知网络管理人员。 设置 配置报警平台 区域配置区域管理器配置高级配置报警过滤,配置报警平台内容。 操作设置方法见下图 附图-报警平台设置 配置报警系统 双击 进入报警系统,点击【设置】,进入高级设置。 附图-高级设置 本机配置 本机端口及名称:“报警接受端口”默认8889端口; 数据库配置:用来对报警平台使用的数据库机设置;设置时选中复选框【应用数据库相应配置】。该平台支持ACCESS,MS_SQLSERVER两种数据库;配置ACCESS库,先选中单选框“MS_ACCEXX”,然后通过【浏览】获得C:\\VRV\\RegionManage\\nssr\\Vrv_Police.mdb文件,;配置SQL库,需先“环境初始化”数据库,初始化文件为C:\\VRV\\RegionManage\\nssr\\InitEvn.exe,先选中单选框“MS_SQLSERVER”,然后进行其他设置。 上级总控配置:用来设置级联报警。输入IP前先选中复选框“应用上级设备配置”。 报警设置 在“报警设置”可以选择适合自己的报警通知方式,其中包括有声音、信使、SNMPTrap、手机短消息、电子邮件五种。在设置报警方式时,应先选中“报警方式”前的复选框。例如,以“声音”作为报警方式,则先在“声音”前的复选项框打√。 附图-报警设置上 声音:在级别设置中,“低、中、高”是与区域管理器的配置中“报警过滤”危险级别相对应,例如,“报警过 日志查询窗口 滤”配置项中把“违规联网”报警“高”,这里将“声音”报警的级别调为“高”,则当有违规联网报警时,报警平台就会发出“高”级别所对应的声音。 信使:级别的设置与(1)相同,“IP1、IP2、IP3”填写希望收到报警信息信使服务的计算机IP。 SNMPTrap:用于第三方软件的SNMPTrap报警,级别的设置与(1)相同,“IP1、IP2、IP3”填写希望收到报警信息信使服务的计算机IP;端口为默认值。 附图-报警设置下 手机短消息:级别的设置与声音设置相同。 注:用此方式时,必须有发短信的设备。 邮件设置:级别的设置与声音设置相同。 选择方法:文件日志查询。作用是可以根据时间、报警器IP、事件源IP和事件类型对报警消息进行查询。如下图所示: 附图-日志查询 用来显示/关闭工具栏、状态栏、事件栏、信息栏。 附图-报警中心界面 更换界面 此菜单栏可以改变报警界面,让用户选择适合自己的界面。 帮助 显示报警中心的相关信息。 如果结合接入认证环境,就需要将交换机的GUESTVLAN配置ACL,使其能够与CA认证服务器与EDP服务器正常通信。如下图所示: 附录(六)漫游功能说明 漫游功能介绍 为了实现客户端在相同公司不同地域的情况下可以正常接入网络并且被所在区域EDP服务器漫游组接管,同时漫游客户端会执行所在区域EDP服务器的漫游组策略。从而实现漫游客户端在异地管理的目的。当漫游客户端回到所在地时会恢复到漫游之前的工作组中,执行工作组中策略。在客户端漫游的过程中,两地服务器和CA认证服务器上都能查询其状态。漫游示意如下图所示: 附图-漫游示意 如果结合接入认证环境,就需要将交换机的GUESTVLAN配置ACL,使其能够与CA认证服务器与EDP服务器正常通信。如下图所示: 附图-结合接入认证漫游示意图 漫游功能配置 配置CA认证服务器VRVEDP服务器 CA认证服务器程序的安装 安装程序是CA认证服务器,主程序为Vrv_Certificate.exe 附图-CA服务器界面 EDP服务器 如实现漫游,VRVEDP服务器需要配置CA认证服务器的地址以及端口,具体配置在配置管理——区域管理器配置——高级配置,启用其中的服务器迁移功能选项,并填入CA认证服务器的地址和端口号。 附图-区域管理器配置界面 客户端需要下发终端设置策略,策略中要配置“客户端迁移功能”选项,填入CA认证服务器的地址和端口号。 附图-客户端迁移策略配置界面 漫游客户端的审计功能 当客户端成功过漫游到新管理器下后,客户端会通过CA向原管理器发送自己漫游状态,告诉原管理器自己已经漫游到新管理器,并把新管理器的IP地址和管理器名称告 诉给原管理器。此时原管理器会显示漫游客户端的漫游状态,如下图所示: 附图-重原管理区漫游出去的客户端 同时,客户端也会通过CA将自己是信息上报给新管理器,漫游客户端将进去漫游组中。 漫游组指的是管理器为漫游客户端特别设置的组,漫游客户端将被分配到这个组中,此组和本地注册客户端区分开,策略分发时也会区别开来。 附图-漫游到新管理器的客户端 附图-进去漫游组中的漫游客户端 当客户端从新管理器漫游回原管理器时,客户端同样会通过CA向新管理器发送漫游状态,告诉新管理器它漫游回去了。 附图-漫游回原管理器的客户端 EDP服务器提供漫游查询功能,由此可以查看客户端漫游状态,这样原管理器就可以知道注册的客户端漫游到何处、何时返回、何时返回等客户端的漫游相关信息。 附图-漫游查询状态选项 附录(七)IIS服务器配置说明 此附录说明了在不同操作系统版本下IIS的配置。 WIN2003-32位IIS配置说明 对于Win2003系统安装vrv内网安全管理系统后出现服务器和终端无法登陆WEB页面的现象,现做出以下服务器端的IIS配置说明: 步骤一:点击开始菜单-管理工具-IIS服务管理器,打开,会出现如下界面: 附图-IIS服务管理器 点击左边列表中的Web服务扩展,会出现右边红色标记的几个选项,默认情况下这几个选项都是禁止的,分别选中将它们设置为允许;几个选项分别为: ActiveServerPages、Internet数据连接器、在服务器端的包含文件; 步骤二:如下图红色标记所示的IIS界面双击网站--默认网站,在这下面会出现VRVEIS虚拟目录,右键单击VRVEIS—属性,点击虚拟目录选项,再单击配置按钮出现,即应用程序配置,此时点击选项,将红色标记的启用父路径选项勾上即可; 在”虚拟目录”选项界面钩中脚本资源访问,读取,写入等属性,这在图中没有画出,”注意”。 附图-虚拟目录属性 配置到这一步,如果你安装内网安全系统的系统盘是FAT32分区,那么现在你的本机及终端都可以成功登陆Web界面了; 如果你的系统是NTFS分区的那么你还得做如下操作才可以成功登陆Web界面; 步骤三:打开安装内网安全管理系统的系统盘符,在根目录下找到VRV目录打开,找到VRVEIS目录,右键单击---属性,点击安全选项,直接点击添加按钮,会出现如下界面; 附图-选择用户域组 此时点击红色标记的高级按钮,会出现如下界面: 附图-用户域组高级选项 如上图所示,点击立即查找按钮搜索用户,找到下面有着红色标记的用户,该用户为:IUSR_TEST3,(其格式一般为IUSR_机器名;)找到该用户后选中,用同样方法添加用户IWAM_机器名点击确定按钮即可,此时会出现下图界面: 附图-用户属性变更 选中刚才添加的用户将权限设置为全部允许,到这一步,所有设置都以完成,此时分区为NTFS分区的服务器和其他终端都可以登陆Web界面了。 WIN2003-64位IIS配置说明 对Windows200364位操作系统安装北信源内网安全管理系统后出现无法登陆WEB页面的现象,现做出以下服务器端的IIS配置说明: 步骤一:按照正常方式安装内网安全管理系统,并做相应权限设置。 步骤二:登录Web平台尝试访问,若报错或无法登录则执行以下步骤。 步骤三:查看当前系统Asp.net的版本号,Asp.net是当前系统的版本号IIS—Web扩展 (WebServiceExtensions)--Asp.net。 步骤四:单击“开始”,“运行”,键入cmd,确定。 步骤五:键入以下命令,启用iis6.0的32位模式 Cscript%SYSTEMDRIVE%\\inetpub\\adminscripts\\adsutil.vbsSETW3SVC/AppPools/Enable32bitAppOnWin641 命令执行结果为 附图-命令执行结果 步骤六:以上命令执行成功以后执行第二个命令,安装ASP.NET2.0(32位)版本并在IIS根目录下安装脚本映射,注意标红处版本号要与当前ASP.NET版本号一致 %SYSTEMROOT%\\Microsoft.NET\\Framework\\–i 执行正确的话输出结果如下 附图-输出结果 步骤七:以上命令正确执行以后重启IIS,键入命令iisreset 步骤八:重启完毕以后回到web扩展,会发现多出一项Asp.net(32-bit),设置为允许 附图-web扩展属性变更 步骤九:尝试浏览并登陆页面,成功 WIN2008-64位IIS配置说明 Windows200864位操作系统使用IIS7.0,它的管理工具是用.NET和WindowsForms编写,所以需要新的配置方式,现做出以下服务器端的IIS配置说明: 步骤一:计算机(右键)-选择“管理”,打开“服务器管理器”-“角色”-(右键)添加角色-下一步-选择需要安装的服务器角色,这里选择“WEB服务器(IIS)”,由于这里已经安装,所以显示(已安装),提示这里在安装IIS7.0时,在里面包含IIS6.0及WEB服务扩展选项,为了兼容性更稳定需勾选!然后,点击“安装”,直到安装结束,重新启动计算机。 附图-添加角色向导 因篇幅问题不能全部显示,请点此查看更多更全内容