【導(dǎo)讀】本使用手冊由《北信源內(nèi)網(wǎng)安全及補丁分發(fā)管理系統(tǒng)》產(chǎn)品安裝。新版)，恕不另行通知。需要者請從北信源公司網(wǎng)站下載本手冊的。最新電子版或者直接聯(lián)系北信源公司索取。全管理系統(tǒng)》及《補丁分發(fā)管理系統(tǒng)》兩大套件構(gòu)成。分發(fā)管理系統(tǒng)》之一產(chǎn)品，本說明書的其它功能將不具備。兩大套件主要區(qū)別：《北信源補丁分發(fā)管理系統(tǒng)》不具備違規(guī)聯(lián)網(wǎng)。統(tǒng)》不具備補丁自動分發(fā)功能。請您在使用過程中選擇性閱讀相。感謝您購買北京北信源自動化技術(shù)有限公司研制開發(fā)的內(nèi)網(wǎng)安全。本軟件的系統(tǒng)應(yīng)用。88端口不被占用；防火墻應(yīng)允許打開88，2388，2399，22105，8900，8901，22106，22108，8889端口。域IP范圍→指定區(qū)域管理器→指定區(qū)域掃描器。機構(gòu)網(wǎng)站上加載動態(tài)網(wǎng)頁檢測注冊腳本語句，進行動態(tài)設(shè)備注冊。Web管理平臺、區(qū)域管理器、客戶端注冊程序等組件的升級。審計用戶名：audit,密碼：123456請注意修改。

　　

【正文】 以配置剛才安裝好的 內(nèi)網(wǎng)安全管理管理器 去桌面雙擊 “內(nèi)網(wǎng)安全管理管理器 ” 快捷方式彈出如下界面： 圖 3122區(qū)域管理器系統(tǒng)配置 ? 先進行 SQL 服務(wù)器配置： 進入“ 系統(tǒng)配置 ”，逐步輸入 SQL 服務(wù)器 IP地址、 用戶名稱及密碼、數(shù)據(jù)庫名稱（默認為 VRVEIS），單擊“確定”完成 SQL服務(wù)器配置。 圖 3123 SQL 服務(wù)器配置 管理器配置： 本軟件默認機器操作系統(tǒng) 88 端口，若其它應(yīng)用程序占用該端口，將自動更改為 188。 如果區(qū)域管理器應(yīng)用于 多級管理（每級都有獨立的 SQL server 和相應(yīng)的內(nèi)網(wǎng)安全管理及補丁自動分發(fā)管理平臺）的級聯(lián)構(gòu)架體系， 其上級還有區(qū)域管理器的情況下 ，當前區(qū)域管理器需要將所有信息上報到上級管理器。 區(qū)域管理器支持多級級聯(lián)，如國家、省、市、縣多級規(guī)模網(wǎng)絡(luò)管理構(gòu)架，下屬區(qū)域管理器將 其所有計算機報警信息轉(zhuǎn)報到上級數(shù)據(jù)庫。 注：需要把“上報給上級管理器”√上，輸入上級管理器地址。 升級配置：用于配置區(qū)域管理器的自動升級，升級服務(wù)器地址為上級區(qū)域管理器 IP。 區(qū)域管理器配置 高級設(shè)置 系統(tǒng)配置： 鎖定下級策略 是指下級不能夠更改策略信息。 上報給上級區(qū)域管理器 是指下級的策略，阻斷，違規(guī)信息上報給上級區(qū)域管理器，在此處打上“√”添加上上級管理器地址，配置級聯(lián)。 圖 3124 區(qū)域管理器 阻斷配置： 圖 3125 阻斷配置 探頭阻斷：目前常用的阻斷方式，由掃描器調(diào)度探頭完成阻 斷任務(wù)。只要保證一個網(wǎng)段（ VLAN）中有一臺存活的已注冊計算機，就可以實現(xiàn)阻斷。 防火墻阻斷：該方式必須與防火墻結(jié)合使用，需要設(shè)置必要的防火墻規(guī)則集和安全認證，與其它廠商防火墻不兼容。 報警過濾： 本軟件系統(tǒng)提供對多種違規(guī)變化行為的報警：非法外聯(lián)、設(shè)備未注冊、 IP 綁定變化、設(shè)備變化、探頭被卸載、病毒行為報警等。 本地報警種類過濾：僅對本地網(wǎng)絡(luò)中區(qū)域管理器管理范圍內(nèi)的違規(guī)變化行為進行報警顯示，用戶根據(jù)自身管理要求進行篩選。 圖 3126 報警種類過濾 策略配置： 系統(tǒng)支持對各種文件的分發(fā)，在 Web 中央管理 平臺進行軟件分發(fā)操作前，必須對本項進行配置。 默認將分發(fā)文件放在 C:\VRV\RegionManage\Distribute 目錄下，管理員可根據(jù)需要自行更改路徑，同時，修改本路徑后，補丁下載存放的位置也會相應(yīng)改變。 圖 3127 策略配置 補丁下載： 將待分發(fā)操作系統(tǒng)補丁放置在設(shè)置好的補丁路徑的目錄下，在Web 中央管理平臺中進行分發(fā)操作。 管理員通過對參數(shù)項的選擇進行下載配置，級聯(lián) IP 提供對上一級補丁的下載獲取。 圖 3128 補丁下載 其他配置： 主要是硬件網(wǎng)關(guān)重定向配置，此功能必須配合硬件設(shè)備 使用。 圖 3129 其他配置 313 掃描器配置 點擊 增加掃描器 設(shè)置掃描器掃描網(wǎng)絡(luò) IP 范圍。 機構(gòu)代碼 ：一般為阿拉伯數(shù)字，由用戶單位根據(jù)管理要求進行設(shè)定。 掃描間隔 ：根據(jù)管理 IP 范圍大小進行設(shè)置（建議設(shè)置為 10 分鐘）。 圖 3131 區(qū)域掃描器參數(shù)設(shè)置 注 :掃描器配合區(qū)域管理器進行工作，掃描器的掃描范圍不可能超過它的區(qū)域管理器管理的 IP 范圍。 掃描器除了指定掃描的 IP 范圍外還 能夠 指定排除不掃描的地址范圍， 如有某些網(wǎng)段不需要掃描器發(fā)現(xiàn)設(shè)備 ， 為縮短掃描時間，可 在掃描器設(shè)置中增加禁止掃描 地址段的設(shè)置 。 掃描器高級配置 ： 圖 3132 掃描器配置 系統(tǒng)配置 掃描器高級配置 —— 系統(tǒng)配置： 掃描頻率設(shè)定：用戶可以根據(jù)網(wǎng)絡(luò)中網(wǎng)絡(luò)帶寬占用情況，靈活設(shè)置掃描頻率，同樣可以選擇是否“使用 SNMP 掃描”掃描方式，如果選擇“使用 SNMP 掃描”，則系統(tǒng)能夠自動對網(wǎng)絡(luò)設(shè)備（例如交換機、路由器、網(wǎng)絡(luò)打印機等）進行掃描，并自動登記到設(shè)備列表庫中。 阻斷選項：如果用戶選擇“掃描器阻斷”，此時可采取“輕量級阻斷”和“重量級阻斷”兩種方式。 輕量級阻斷： 阻斷計算機向網(wǎng)絡(luò)中廣播一個 ARP 請求報文，將被阻斷計算機的 IP 地址及對應(yīng)的假 MAC 地址發(fā)送給網(wǎng)絡(luò)內(nèi)所有的計算機，每臺計算機收到請求后便會 對本地的 ARP 緩存進行更新 ， 將 收到的請求 中的 IP 和 對應(yīng)的假MAC 地址存儲在 ARP 緩存中 。這樣對于網(wǎng)絡(luò)中的計算機看來，被阻斷計算機的IP 地址沒有變化，而 它的 MAC 地址已經(jīng)不是原來那個了。由于局域網(wǎng)的網(wǎng)絡(luò) 通信 不是根據(jù) IP 地址進行，而是按照 MAC 地址進行傳輸 。因此，被阻斷計算機便接收不到網(wǎng)絡(luò)中計算機（不含阻斷計算機）傳送過來的信息。 重量級阻斷： 阻斷計算機冒充網(wǎng)絡(luò)中的其他計算機（本網(wǎng)段 1255）給被阻斷計算機發(fā)送定向 ARP 應(yīng)答報文，被阻 斷計算機收到請求后便會 對本地的 ARP緩存進行更新 ， 將 收到的請求 中的 IP 和 對應(yīng)的假 MAC 地址存儲在 ARP 緩存中 。這樣對于被阻斷計算機看來，網(wǎng)絡(luò)中的計算機的 IP地址沒有變化，而它們的 MAC地址已經(jīng)不是原來那個了。因此，被阻斷計算機便不能向網(wǎng)絡(luò)中的計算機（不含阻斷計算機）傳送信息。 掃描器高級配置 —— 交換機掃描配置： 交換機掃描用于掃描發(fā)現(xiàn)交換機，進行拓撲發(fā)現(xiàn)。 Snmp 團體名：根據(jù)拓撲管理需要輸入網(wǎng)絡(luò)中所有網(wǎng)絡(luò)設(shè)備的 snmp 讀團體名用“ ?！备糸_。 圖 3133 交換機掃描配置 如上圖，配置掃描間隔時間一般 設(shè)成 510 分鐘， IP 范圍設(shè)置需要掃描的 ip段， snmp 讀團體名稱是根據(jù)交換機口令設(shè)置的。 該功能的啟用需要下載交換機拓撲模塊，安裝后進行網(wǎng)絡(luò)拓撲發(fā)現(xiàn)。進入web 管理平臺主頁面“運維監(jiān)控”菜單，啟用網(wǎng)絡(luò)拓撲圖，安裝交換機拓撲模塊后進行網(wǎng)絡(luò)拓撲發(fā)現(xiàn)。 314 注冊程序配置 控制頁面如下 .管理員可以通過設(shè)置來按照需求來配置客戶端注冊程序 ,讓用戶填入相應(yīng)的信息 ,方便以后管理。其中的項有啟用、必選、還可以對輸入數(shù)據(jù)進行控制 .后面的功能設(shè)置必須對每個功能模塊啟用。 圖 3141 注冊程序配置 選擇 編 輯單位 /部門 彈出如下圖： 圖 3142 編輯單位 /部門 先選擇 修改單位 彈出如下窗口： 圖 3143 修改單位 填寫單位名稱和單位備注消息點擊 添加 /修改單位。 最后點擊 保存修改 關(guān)閉窗口返回上級窗口如下圖： 圖 3144 保存修改 可以看到剛才添加的單位。 在此輸入每個單位所對應(yīng)的部門 ,部門備注信息 .選擇 保存修改 可以完成單位和部門的配置。 點擊 設(shè)置注冊密碼 彈出如下窗體原注冊密碼為空。 設(shè)置注冊密碼是為了防止新接入設(shè)備非法進行注冊。 圖 3145 直接添加新注冊密碼 保存 修改 就可以。 注冊單位與注冊部門產(chǎn)生聯(lián)動 當對單位和注冊部門設(shè)置為 必填 和 僅選擇這時客戶端注冊程序 對單位和部門的填寫只能按照管理員的設(shè)置來選擇 .不能手動填寫。 使用靜默注冊： 以上的設(shè)置都不生效這時客戶端注冊程序只需選擇下載運行就可以。 注冊程序會自己上報終端的計算機名和 IP 地址 MAC 地址。 選擇 保存修改 點擊 打包注冊程序 這時完成客戶端注冊程序配置。 315 注冊部門配置與管理 新增單位：該功能作用基本與“從系統(tǒng)注冊單位導(dǎo)入”相似，不同的是，它可以加入備注信息。 圖 3151再 新增單位 具體方 法：選擇 新增單位 彈出如下窗體： 圖 3152再 新增單位 從已注冊的單位選擇一個單位然后進行單位描述點擊 添加。 后可以在左邊看到新增的單位之后選擇新增的部門。選擇新增的部門彈出如下圖對部門進行描述點擊 添加 完成操作。 圖 3153 單位描述 從系統(tǒng)注冊單位導(dǎo)入：該功能作用是將客戶端注冊時輸入的單位名稱導(dǎo)入到“注冊單位及部門”中。當客戶端在注冊時輸入單位名稱時，那么點擊“從系統(tǒng)注冊單位導(dǎo)入”就可以看到一個單位名稱及相應(yīng)的部門，同一個單位名稱只出現(xiàn)一次。 選擇左邊單位與部門樹目錄點擊從 系統(tǒng)注冊單 位單位導(dǎo)入 彈出如下圖： 圖 3154 系統(tǒng)注冊單位單位導(dǎo)入 √選要導(dǎo)入的注冊單位點擊 從已注冊部門導(dǎo)入。 之后選擇剛才添加的單位點擊 從系統(tǒng)注冊部門導(dǎo)入 或者 新增部門 選擇相應(yīng)的部門添加即可。 圖 3155 添加部門 316 自定義組分配與管理 自定義組用來對網(wǎng)絡(luò)中特定或者有特殊用途的機器進行編組，以便采取不同的管理手段，方便管理員的管理。該組的客戶端成員可以由管理員根據(jù)某查詢條件而查得的計算機導(dǎo)入自定義組。如下圖所示： 圖 3161 自定義組分配與管理 1． 首先創(chuàng)建分組，點擊創(chuàng) 建下級組：首先創(chuàng)建分組，點擊創(chuàng)建下級組，添加分組名稱，分組描述，保存設(shè)置。 圖 3162 創(chuàng)建分組 2． 向組中添加設(shè)備：點擊添加設(shè)備，彈出如下圖，可以按設(shè)備查找，按 IP 查找，按操作系統(tǒng)查找，選中一個點擊添加，然后點擊查詢，導(dǎo)入組即可。同時還可以通過設(shè)備信息查詢，和補丁查詢中來添加設(shè)備。 圖 3163 查詢設(shè)備 3． 如果需要將 IP/MAC 綁定，那么可以執(zhí)行下面操作：將當添加完組設(shè)備以后點擊“將組設(shè)備添加到 IP/MAC 綁定”，彈出如下圖所示的“確定添加該組設(shè)備到 IP/MAC 綁定列表庫嗎？”點擊“確定”即 可將設(shè)備全部導(dǎo)入 IP/MAC綁定列表。 圖 3164 添加 IP/MAC 綁定 317 IP 與 MAC綁定列表 添加、查詢系統(tǒng) IP 與 MAC 綁定設(shè)備列表如下圖（數(shù)據(jù)來源在自定義組里可以按 IP 操作系統(tǒng)等添加一個自定義組）。 圖 3171 添加系統(tǒng) IP 與 MAC 綁定設(shè)備列表 圖 3172 查詢系統(tǒng) IP 與 MAC 綁定設(shè)備列表 32 策略中心 321 阻斷違規(guī)接入管理 當掃描器發(fā)現(xiàn)有外來設(shè)備接入內(nèi)網(wǎng)時，該功能可以有效地控制外來設(shè)備接入內(nèi)網(wǎng)而帶來的安全威脅（此功能慎用，在不能確認所有的可信客戶端 都注冊前最好不要使用 ,同時也要把需要保護的設(shè)備保護起來），通過選中“沒有注冊則阻斷聯(lián)網(wǎng)”復(fù)選框便可阻斷所以未注冊設(shè)備。同時提供了信使服務(wù)（ windows2020 以上操作系統(tǒng)）提醒 IP、 MAC 綁定等功能，如下圖所示： 圖 321 阻斷違規(guī)接入管理 322 策略管理中心 ? 如何進行策略創(chuàng)建和分發(fā) （ 1）在“策略管理中心”中左邊的策略項中可點擊需要制定的策略，然后在右邊的“新建策略名”中輸入相應(yīng)的策略名稱后，單擊“創(chuàng)建”按鈕開始創(chuàng)建策略。 圖 3221 策略中心策略制定 （ 2）隨后在具體的策略的配置 中根據(jù)用戶的實際需要配置好策略后，單擊“保存策略”就完成了一條策略的創(chuàng)建。（由于各個策略項的配置過程都不一樣，這里不再用截圖表示，下一節(jié)將具體介紹） （ 3）接下來是下發(fā)策略，即指定策略的執(zhí)行對象，可通過單擊“對象”按鈕后，可按界面的提示完成對象的分配。如下圖所示： 圖 3222 下發(fā)策略 圖 3223 策略分配對象 如圖 3224 表示創(chuàng)建策略成功 （ 4）如果需要讓某一條策略暫時不使用，可按界面中對應(yīng)的“停用”單選按鈕使策略失效，需要使用的時候再單擊“啟用”按鈕使策略生效。如果想要刪除某一條策略，則直接按“刪除”按鈕即可。但在刪除某策略之前最好先停用該條策略。 ? 策略的高級設(shè)置 策略的高級設(shè)置用于客戶端程序?qū)Σ呗缘膱?zhí)行設(shè)置，包括策略狀態(tài)（啟動、停止）、策略存活時間（策略執(zhí)行的起止時間）、策略執(zhí)行觸發(fā)條件（在何種條件下開始執(zhí)行策略）、策略無效時間（規(guī)定時間內(nèi)客戶端不執(zhí)行策略）、策略應(yīng)用范圍（本級區(qū)域、下級區(qū)域、所有區(qū)域）、級聯(lián)策略類型等，有些策略還包括具體的觸發(fā)時間設(shè)置等。 圖 3225 高級策略設(shè)置 說明：策略存活時間范圍：即策略以天為單位的存活時間段。 策略無效工作日：即可在一 星期中選中一天或多天使策略無效。 策略無效時間段：即策略以分為單位的無效的時間段。 強制策略：級聯(lián)策略發(fā)到下級管理器時，下級管理員對策略內(nèi)容不能修改，并且不能修改該策略的對象和啟動、停用狀態(tài)。 樣板模版：級聯(lián)策略發(fā)到下級管理器時，下級管理員對策略內(nèi)容不能修改，但是可以修改該策略的對象和啟動、停用狀態(tài)。 策略有效網(wǎng)絡(luò)： :該功能意思是策略在區(qū)域管理范圍內(nèi)、外均有效。 ：該功能意思是僅在區(qū)域管理范圍內(nèi)有效。 ? 系統(tǒng)策略設(shè)定 1) 黑白名單編輯： 1 進程黑白名單 ： 進程黑 白名單在進程監(jiān)控中可以使用 ,這部分包含系統(tǒng)預(yù)定義黑名單和用戶自定義黑白名單。編輯進程黑白名單時包括，進程名，產(chǎn)品名，源文件名等；如果是服務(wù)則只可以加服務(wù)名，同時可以加一些描述。 圖 3226 2 軟件黑白名單 ： 軟件黑白名單在軟件安裝監(jiān)控中可以使用 ,這部分包含系統(tǒng)預(yù)定義黑名單和用戶自定義黑白名單。