【文章內(nèi)容簡介】 管理員通知注冊人，在訪問本網(wǎng)站時，暫時關(guān)閉網(wǎng)頁彈出攔截程序或?qū)⒈揪W(wǎng)站添加到不攔截列表中。手動注冊：除了自動注冊設(shè)備外，遇到需要手工注冊新增設(shè)備時，也可通過WEB管理平臺中數(shù)據(jù)查詢，設(shè)備信息查詢中的手動添加設(shè)備功能，將新增設(shè)備的具體信息詳細登記填寫至數(shù)據(jù)庫中，并將其置為保護設(shè)備。注意：：如果系統(tǒng)為多級級聯(lián)方式，必須在區(qū)域管理器的高級配置中的“系統(tǒng)配置”、“策略配置”選項中的級聯(lián)選項選中，并正確添加上級管理器的IP地址，各級區(qū)域會將自己所管轄的區(qū)域管理IP段上報到上級數(shù)據(jù)庫中存儲。此時，當網(wǎng)絡(luò)中任意一臺下級區(qū)域客戶端計算機訪問主網(wǎng)站的同時，會根據(jù)最上級區(qū)域數(shù)據(jù)庫中存儲的各級上報IP段信息，自動將該客戶端注冊程序文件下載路徑指向為自己所處IP段的本級區(qū)域注冊器上，做到各個區(qū)域的客戶端計算機在訪問同一網(wǎng)站進行注冊程序下載時，所下載的客戶端程序均為自己所在區(qū)域的專用注冊程序。如果網(wǎng)絡(luò)中內(nèi)部網(wǎng)站，網(wǎng)絡(luò)管理員可以通知網(wǎng)絡(luò)內(nèi)計算機在本系統(tǒng)Web管理平臺的登錄頁面中點擊下載注冊程序完成系統(tǒng)注冊，或者在此頁面下按上面的步驟做好彈出提示窗口方式注冊。注冊程序界面如下：圖23114 終端注冊信息無論采取哪種方式，在注冊成功以后，注冊程序除了將主動添加的信息自動上報以外，還會自動收集其它和系統(tǒng)相關(guān)的信息進行上報?？蛻舳撕蛥^(qū)域管理器連接通訊不正常的情況下，將提示用戶“缺省注冊成功”，表示客戶端探頭已經(jīng)注冊完畢，但還沒有與區(qū)域管理器通訊。當區(qū)域掃描器掃到該計算機的IP地址時，才會將添加的信息及系統(tǒng)采集信息上報到區(qū)域管理器，存儲在數(shù)據(jù)庫當中。2．本系統(tǒng)使用初期，若要求對下屬網(wǎng)絡(luò)中的計算機信息進行統(tǒng)計、注冊、入庫，必須在Web管理平臺中管理器設(shè)置項內(nèi)選中“允許客戶端注冊”，如注冊時需要密碼，也需要在WEB管理平臺中進行設(shè)置，如下圖所示：圖23115 允許客戶端注冊 圖23116 注冊信息編輯（三）客戶端卸載網(wǎng)絡(luò)客戶根據(jù)情況需要卸載客戶端探頭程序時，在終端桌面上，點擊“開始”，“運行”，輸入“”，如圖：圖23117 客戶端卸載記錄下序列號，并將序列號復(fù)制到如下圖的第一個方框中：圖23118 查看卸載密碼點擊查看將會產(chǎn)生一個卸載密碼，將其輸入卸載密碼框中點擊卸載即可。圖23119 卸載密碼或通過WEB管理平臺中的點—點控制中的終端卸載如圖： 圖231110 終端點對點終端卸載第三章 產(chǎn)品應(yīng)用本平臺配置主要指北信源終端安全管理的網(wǎng)頁平臺操作，網(wǎng)頁平臺是整個北信源終端安全管理的配置操作核心，整個內(nèi)網(wǎng)安全及補丁分發(fā)管理系統(tǒng)功能的實現(xiàn)全部在Web操作中實現(xiàn)，Web方式有助于管理員遠程維護系統(tǒng)，進行統(tǒng)一配置和統(tǒng)一管理。掌握對網(wǎng)頁平臺的功能操作和配置對使用本系統(tǒng)來提高整個網(wǎng)絡(luò)的安全性和解決網(wǎng)絡(luò)管理的效率有著重要作用。菜單功能模塊:系統(tǒng)策略中心、數(shù)據(jù)查詢、終端控制、補丁分發(fā)、運維信息、報警事件、級聯(lián)總控、統(tǒng)計報表、系統(tǒng)維護等模塊。31配置與管理311 區(qū)域劃分在網(wǎng)頁平臺安裝完畢之后，訪問://Web服務(wù)器域名（IP）/VRVEIS訪問WEB管理平臺登錄界面。如下所示：圖3111 Web管理登錄界面其中客戶端工具下載菜單提供了包括用戶注冊器下載、補丁檢測中心、多路幫助平臺、普通工具下載、管理員工具下載、工具上傳管理等功能，用戶按照頁面提示操作即可。圖3112 客戶端工具下載界面系統(tǒng)默認用戶為admin，密碼為123456，登錄后建議管理員修改管理員密碼。成功登錄后，進入系統(tǒng)的主界面。如下圖所示：圖3113 Web管理主界面n 在所處的IP地址段內(nèi)，進行區(qū)域劃分操作首先進行區(qū)域添加和劃分操作。 區(qū)域劃分：單擊配置管理里的“區(qū)域劃分與配置”，對網(wǎng)絡(luò)中的客戶端進行區(qū)域劃分管理，按照提示依次添加區(qū)域、增加區(qū)域IP管理范圍、分配區(qū)域管理器、并完成系統(tǒng)組件運行參數(shù)配置。具體步驟：區(qū)域描述配置欄中填寫好一些必要的與區(qū)域相關(guān)的信息，如區(qū)域機構(gòu)代碼、區(qū)域名稱、負責(zé)人姓名等。其他信息可以酌情依照實際用途填寫。本區(qū)域IP劃分：根據(jù)用戶實際需要在下圖所示的文本框中填入需要管轄的IP地址。其中保留IP段為不需要注冊的設(shè)備。圖3114區(qū)域劃分與配置下級區(qū)域劃分：在已有區(qū)域頁面中點擊“增加下級區(qū)域”按鈕進行下級區(qū)域添加，如集團總部下屬總裁辦、行政部、財務(wù)部等。圖3115 增加區(qū)域312 區(qū)域管理器配置 區(qū)域管理器：區(qū)域管理器為系統(tǒng)策略控制及數(shù)據(jù)接收處理中心，具有控制完成系統(tǒng)相關(guān)的動作行為處理功能；同時與本級數(shù)據(jù)庫系統(tǒng)連接，統(tǒng)一接收注冊程序提供的信息，將用戶信息（填寫的計算機使用人姓名、聯(lián)系電話、Email等，計算機IP、MAC地址、硬盤、CPU、內(nèi)存等其它硬件信息均為自動采集）存入數(shù)據(jù)庫。根據(jù)本區(qū)域客戶端IP管理情況確定對IP地址的管理方式，若選擇IP、MAC地址綁定，需要在靜態(tài)IP環(huán)境下進行設(shè)置。允許客戶端控頭升級：設(shè)置本區(qū)域管理器管理范圍內(nèi)的客戶端的升級操作。設(shè)置vpn網(wǎng)絡(luò)虛擬管理器IP：是指添加VPN虛擬服務(wù)器的IP地址。管理器標識：是指管理器的標記，當服務(wù)器遷移時需要設(shè)置與之相同的管理器標識。管理器可直接通信網(wǎng)段：在管理多個獨立子網(wǎng)時,該配置填寫區(qū)域管理器服務(wù)器可直接通信的地址。允許客戶端注冊：是指任意一臺在區(qū)域范圍內(nèi)的客戶端都可以在服務(wù)器上注冊。管理器配置同步：當選中“下級區(qū)域”時下級區(qū)域的配置應(yīng)該和上級區(qū)域管理器的配置相同，當選中“全部區(qū)域”時是指下面的任意級聯(lián)區(qū)域都要和區(qū)域管理器的配置同步。圖3121 區(qū)域管理器參數(shù)設(shè)置區(qū)域管理器系統(tǒng)配置：當設(shè)置完當前頁面這時我們可以配置剛才安裝好的內(nèi)網(wǎng)安全管理管理器去桌面雙擊“內(nèi)網(wǎng)安全管理管理器”快捷方式彈出如下界面：圖 3122區(qū)域管理器系統(tǒng)配置n 先進行SQL服務(wù)器配置：進入“系統(tǒng)配置”，逐步輸入SQL服務(wù)器IP地址、用戶名稱及密碼、數(shù)據(jù)庫名稱（默認為VRVEIS），單擊“確定”完成SQL服務(wù)器配置。 圖 3123 SQL服務(wù)器配置管理器配置：本軟件默認機器操作系統(tǒng)88端口，若其它應(yīng)用程序占用該端口，將自動更改為188。如果區(qū)域管理器應(yīng)用于多級管理（每級都有獨立的SQL server和相應(yīng)的內(nèi)網(wǎng)安全管理及補丁自動分發(fā)管理平臺）的級聯(lián)構(gòu)架體系，其上級還有區(qū)域管理器的情況下，當前區(qū)域管理器需要將所有信息上報到上級管理器。區(qū)域管理器支持多級級聯(lián)，如國家、省、市、縣多級規(guī)模網(wǎng)絡(luò)管理構(gòu)架，下屬區(qū)域管理器將其所有計算機報警信息轉(zhuǎn)報到上級數(shù)據(jù)庫。注：需要把“上報給上級管理器”√上，輸入上級管理器地址。升級配置：用于配置區(qū)域管理器的自動升級，升級服務(wù)器地址為上級區(qū)域管理器IP。區(qū)域管理器配置高級設(shè)置系統(tǒng)配置：鎖定下級策略是指下級不可以修改IP管理范圍上報給上級區(qū)域管理器是指下級的策略，阻斷，違規(guī)信息上報給上級區(qū)域管理器，在此處打上“√”添加上上級管理器地址，配置級聯(lián)。圖3124 區(qū)域管理器阻斷配置： 圖3125阻斷配置探頭阻斷：目前常用的阻斷方式，由掃描器調(diào)度探頭完成阻斷任務(wù)。只要保證一個網(wǎng)段（VLAN）中有存活的已注冊計算機達到80% ，就可以實現(xiàn)阻斷。防火墻阻斷：該方式必須與防火墻結(jié)合使用，需要設(shè)置必要的防火墻規(guī)則集和安全認證，與其它廠商防火墻聯(lián)動時使用。報警過濾：本軟件系統(tǒng)提供對多種違規(guī)變化行為的報警：非法外聯(lián)、設(shè)備未注冊、IP綁定變化、設(shè)備變化、探頭被卸載、病毒行為報警等。本地報警種類過濾：僅對本地網(wǎng)絡(luò)中區(qū)域管理器管理范圍內(nèi)的違規(guī)變化行為進行報警顯示，用戶根據(jù)自身管理要求進行篩選。圖3126 報警種類過濾策略配置：系統(tǒng)支持對各種文件的分發(fā)，在Web中央管理平臺進行軟件分發(fā)操作前，必須對本項進行配置。默認將分發(fā)文件放在C:\VRV\RegionManage\Distribute目錄下，管理員可根據(jù)需要自行更改路徑，同時，修改本路徑后，補丁下載存放的位置也會相應(yīng)改變。圖3127策略配置補丁下載：將待分發(fā)操作系統(tǒng)補丁放置在設(shè)置好的補丁路徑的目錄下，在Web中央管理平臺中進行分發(fā)操作。管理員通過對參數(shù)項的選擇進行下載配置，級聯(lián)IP提供對上一級補丁的下載獲取。圖3128 補丁下載313 掃描器配置點擊增加掃描器設(shè)置掃描器掃描網(wǎng)絡(luò)IP范圍。機構(gòu)代碼：一般為阿拉伯數(shù)字，由用戶單位根據(jù)管理要求進行設(shè)定。掃描間隔：根據(jù)管理IP范圍大小進行設(shè)置。圖3131 區(qū)域掃描器參數(shù)設(shè)置注:掃描器配合區(qū)域管理器進行工作，掃描器的掃描范圍不可能超過它的區(qū)域管理器管理的IP范圍。掃描器除了指定掃描的IP范圍外還能夠指定排除不掃描的地址范圍，如有某些網(wǎng)段不需要掃描器發(fā)現(xiàn)設(shè)備，為縮短掃描時間，可在掃描器設(shè)置中增加禁止掃描地址段的設(shè)置。掃描器高級配置：圖3132 掃描器配置系統(tǒng)配置掃描器高級配置——系統(tǒng)配置：掃描頻率設(shè)定：用戶可以根據(jù)網(wǎng)絡(luò)中網(wǎng)絡(luò)帶寬占用情況，靈活設(shè)置掃描頻率，同樣可以選擇是否“使用SNMP掃描”掃描方式，如果選擇“使用SNMP掃描”，則系統(tǒng)能夠自動對網(wǎng)絡(luò)設(shè)備（例如交換機、路由器、網(wǎng)絡(luò)打印機等）進行掃描，并自動登記到設(shè)備列表庫中。阻斷選項：如果用戶選擇“掃描器阻斷”，此時可采取“輕量級阻斷”和“重量級阻斷”兩種方式。輕量級阻斷：阻斷計算機向網(wǎng)絡(luò)中廣播一個ARP請求報文，將被阻斷計算機的IP地址及對應(yīng)的假MAC地址發(fā)送給網(wǎng)絡(luò)內(nèi)所有的計算機，每臺計算機收到請求后便會對本地的ARP緩存進行更新，將收到的請求中的IP和對應(yīng)的假MAC地址存儲在ARP緩存中。這樣對于網(wǎng)絡(luò)中的計算機看來，被阻斷計算機的IP地址沒有變化，而它的MAC地址已經(jīng)不是原來那個了。由于局域網(wǎng)的網(wǎng)絡(luò)通信不是根據(jù)IP地址進行，而是按照MAC地址進行傳輸。因此，被阻斷計算機便接收不到網(wǎng)絡(luò)中計算機（不含阻斷計算機）傳送過來的信息。重量級阻斷：阻斷計算機冒充網(wǎng)絡(luò)中的其他計算機（本網(wǎng)段1255）給被阻斷計算機發(fā)送定向ARP應(yīng)答報文，被阻斷計算機收到請求后便會對本地的ARP緩存進行更新，將收到的請求中的IP和對應(yīng)的假MAC地址存儲在ARP緩存中。這樣對于被阻斷計算機看來，網(wǎng)絡(luò)中的計算機的IP地址沒有變化，而它們的MAC地址已經(jīng)不是原來那個了。因此，被阻斷計算機便不能向網(wǎng)絡(luò)中的計算機（不含阻斷計算機）傳送信息。掃描器高級配置——交換機掃描配置：交換機掃描用于掃描發(fā)現(xiàn)交換機，進行拓撲發(fā)現(xiàn)。Snmp讀/寫團體名：根據(jù)拓撲管理需要輸入網(wǎng)絡(luò)中所有網(wǎng)絡(luò)設(shè)備的snmp讀團體名用“。”隔開。圖3133 交換機掃描配置如上圖，配置掃描間隔時間一般設(shè)成510分鐘，IP范圍設(shè)置需要掃描的ip段，snmp讀團體名稱是根據(jù)交換機口令設(shè)置的。該功能的啟用需要下載交換機拓撲模塊，安裝后進行網(wǎng)絡(luò)拓撲發(fā)現(xiàn)。進入web管理平臺主頁面“運維監(jiān)控”菜單，啟用網(wǎng)絡(luò)拓撲圖，安裝交換機拓撲模塊后進行網(wǎng)絡(luò)拓撲發(fā)現(xiàn)。314 注冊程序配置 控制頁面如下，管理員可以通過設(shè)置來按照需求來配置客戶端注冊程序,讓用戶填入相應(yīng)的信息 ,方便以后管理。其中的項有啟用、必選、還可以對輸入數(shù)據(jù)進行控制，后面的功能設(shè)置必須對每個功能模塊啟用。圖 3141 注冊程序配置選擇編輯單位/部門彈出如下圖：圖 3142 編輯單位/部門先選擇修改單位彈出如下窗口：圖 3143 修改單位填寫單位名稱和單位備注消息點擊添加/修改單位。最后點擊保存修改關(guān)閉窗口返回上級窗口如下圖： 圖 3144 保存修改可以看到剛才添加的單位。在此輸入每個單位所對應(yīng)的部門,。點擊設(shè)置注冊密碼彈出如下窗體原注冊密碼為空。 設(shè)置注冊密碼是為了防止新接入設(shè)備非法進行注冊。圖 3145直接添加新注冊密碼保存修改就可以。注冊單位與注冊部門產(chǎn)生聯(lián)動 當對單位和注冊部門設(shè)置為必填和僅選擇這時客戶端注冊程序 。使用靜默注冊：以上的設(shè)置都不生效這時客戶端注冊程序只需選擇下載運行就可以。注冊程序會自己上報終端的計算機名和IP地址MAC地址。選擇保存修改點擊打包注冊程序這時完成客戶端注冊程序配置。315 自定義組分配與管理自定義組用來對網(wǎng)絡(luò)中特定或者有特殊用途的機器進行編組，以便采取不同的管理手段，方便管理員的管理。該組的客戶端成員可以由管理員根據(jù)某查詢條件而查得的計算機導(dǎo)入自定義組。如下圖所示：圖 3151 自定義組分配與管理1． 首先創(chuàng)建分組，點擊創(chuàng)建下級組：首先創(chuàng)建分組，點擊創(chuàng)建下級組，添加分組名稱，分組描述，保存設(shè)置。圖3152 創(chuàng)建分組2． 向組中添加設(shè)備：點擊添加設(shè)備，彈出如下圖，可以按設(shè)備查找，按IP查找，按操作系統(tǒng)查找，選中一個點擊添加，然后點擊查詢，導(dǎo)入組即可。同時還可以通過設(shè)備信息查詢，和補丁查詢中來添加設(shè)備。圖3153 查詢設(shè)備3． 如果需要將IP/MAC綁定，那么可以執(zhí)行下面操作：將當添加完組設(shè)備以后點擊“將組設(shè)備添加到IP/MAC綁定”，彈出如下圖所示的“確定添加該組設(shè)備到IP/MAC綁定列表庫嗎？”點擊“確定”即可將設(shè)備全部導(dǎo)入IP/MAC綁定列表。圖3154 添加IP/MAC綁定316 IP與MAC綁定列表添加、查詢系統(tǒng)IP與MAC綁定設(shè)備列表如下圖（數(shù)據(jù)來源在自定義組里可以按IP操作系統(tǒng)等添加一個自定義組）。圖 3161 添加系統(tǒng)IP與MAC綁定設(shè)備列表圖 3162查詢系統(tǒng)IP與MAC綁定設(shè)備列表317 系統(tǒng)運維監(jiān)控系統(tǒng)運維監(jiān)控是用來設(shè)定系統(tǒng)用戶登錄失敗，用戶鎖定問題以及存儲空間匱乏告警。