【導讀】本使用手冊由北信源終端安全管理系列產(chǎn)品安裝配置指導手冊、用戶。級而改變，恕不另行通知。信源接入認證網(wǎng)關(guān)》6大套件構(gòu)成。等其中之一產(chǎn)品，本說明書的其它功能將不具備。感謝您購買北京北信源軟件股份有限公司研制開發(fā)的北信源終端安。始使用該軟件時，北信源公司認為您已經(jīng)閱讀了本使用手冊。SQL安裝注意事項請參照第二章2-3-1所示。建議將數(shù)據(jù)庫管理系統(tǒng)、口不被占用；防火墻應(yīng)允許打開88，2388，2399，22105，8900，8901，22106，22108，8889端口。網(wǎng)頁檢測注冊腳本語句，進行動態(tài)設(shè)備注冊。特別提示：默認管理員用戶：admin，密碼：123456；系統(tǒng)指定審計用戶名：audit,密碼：123456請注意修改。

　　

【正文】 與配置”，對網(wǎng)絡(luò)中的客戶端進行區(qū)域劃分管理，按照提示依次添加區(qū)域、增加區(qū)域 IP 管理范圍、分配區(qū)域管理 器、并完成系統(tǒng)組件運行參數(shù)配置。 具體步驟： 區(qū)域描述配置欄中填寫好一些必要的與區(qū)域相關(guān)的信息，如區(qū)域機構(gòu)代碼、區(qū)域名稱、負責人姓名等。其他信息可以酌情依照實際用途填寫。 本區(qū)域 IP劃分：根據(jù)用戶實際需要在下圖所示的文本框中填入需要管轄的 IP地址。 其中保留 IP段為 不需要注冊的設(shè)備 。 圖 3114區(qū)域劃分與配置 下級區(qū)域劃分： 在已有區(qū)域頁面中點擊“ 增加下級區(qū)域 ”按鈕進行下級區(qū)域添加，如集團總部下屬總裁辦、行政部、財務(wù)部等。 29 圖 3115 增加區(qū)域 312 區(qū)域管理器配置 區(qū)域管理器： 區(qū)域管理器為系統(tǒng)策略控制及數(shù)據(jù)接收處理中心，具有控制完成系統(tǒng)相關(guān)的動作行為處理功能；同時與本級數(shù)據(jù)庫系統(tǒng)連接，統(tǒng)一接收注冊程序提供的信息，將用戶信息（填寫的計算機使用人姓名、聯(lián)系電話、 Email等，計算機 IP、 MAC地址、硬盤、 CPU、內(nèi)存等其它硬件信息均為自動采集）存入數(shù)據(jù)庫。 根據(jù)本區(qū)域客戶端 IP 管理情況確定對 IP 地址的管理方式，若選擇 IP、 MAC 地址綁定，需要在靜態(tài) IP環(huán)境下進行設(shè)置。 允許客戶端控頭升級 ：設(shè)置本區(qū)域管理器管理范圍內(nèi)的客戶端的升級操作。 設(shè)置 vpn網(wǎng)絡(luò)虛擬管理器 IP：是指添加 VPN虛 擬服務(wù)器的 IP地址 。 管理器標識 ：是指管理器的標記，當服務(wù)器遷移時需要設(shè)置與之相同的管理器標識。 管理器可直接通信網(wǎng)段 ： 在管理多個獨立子網(wǎng)時 ,該配置填寫區(qū)域管理器服務(wù)器可直接通信的地址 。 允許客戶端注冊 ：是指任意一臺在區(qū)域范圍內(nèi)的客戶端都可以在服務(wù)器上注冊。 管理器配置同步 ：當選中“下級區(qū)域”時下級區(qū)域的配置應(yīng)該和上級區(qū)域管理器的配置相同，當選中“全部區(qū)域”時是指下面的任意級聯(lián)區(qū)域都要和區(qū)域管理器的配置同步。 30 圖 3121 區(qū)域管理器參數(shù)設(shè)置 區(qū)域管理器系統(tǒng)配置 ： 當設(shè)置完當前頁面這時我們可以配置剛才 安裝好的內(nèi)網(wǎng)安全管理管理器去桌面雙擊 “ 內(nèi)網(wǎng)安全管理管理器 ” 快捷方式彈出如下界面 ： 圖 3122區(qū)域管理器系統(tǒng)配置 ? 先進行 SQL服務(wù)器配置： 進入“ 系統(tǒng)配置 ”，逐步輸入 SQL服務(wù)器 IP 地址、用戶名稱及密碼、數(shù)據(jù)庫名稱（默認為 VRVEIS），單擊“確定”完成 SQL服務(wù)器配置。 31 圖 3123 SQL服務(wù)器配置 管理器配置： 本軟件默認機器操作系統(tǒng) 88端口，若其它應(yīng)用程序占用該端口，將自動更改為 188。 如果區(qū)域管理器應(yīng)用于 多級管理（每級都有獨立的 SQL server和相應(yīng)的內(nèi)網(wǎng)安全管理及補丁自 動分發(fā)管理平臺）的級聯(lián)構(gòu)架體系， 其上級還有區(qū)域管理器 的情況下 ，當前區(qū)域管理器需要將所有信息上報到上級管理器。 區(qū)域管理器支持多級級聯(lián)，如國家、省、市、縣多級規(guī)模網(wǎng)絡(luò)管理構(gòu)架，下屬區(qū)域管理器將其所有計算機報警信息轉(zhuǎn)報到上級數(shù)據(jù)庫。 注：需要把“上報給上級管理器” √ 上，輸入上級管理器地址 。 升級配置：用于配置區(qū)域管理器的自動升級，升級服務(wù)器地址為上級區(qū)域管理器 IP。 區(qū)域管理器配置 高級設(shè)置 系統(tǒng)配置： 鎖定下級策略 是指 下級不可以修改 IP管理范圍 上報給上級區(qū)域管理器 是指下級的策略，阻斷，違規(guī)信息上報給上級區(qū)域 管理器，在此處打上“ √ ”添加上上級管理器地址，配置級聯(lián)。 32 圖 3124 區(qū)域管理器 阻斷配置： 圖 3125阻斷配置 探頭阻斷：目前常用的阻斷方式，由掃描器調(diào)度探頭完成阻斷任務(wù)。只要保證一個網(wǎng)段（ VLAN）中有存活的已注冊計算機 達到 80% ，就可以實現(xiàn)阻斷。 防火墻阻斷：該方式必須與防火墻結(jié)合使用，需要設(shè)置必要的防火墻規(guī)則集和安全認證，與其它 廠商 防火墻 聯(lián)動時使用 。 報警過濾： 本軟件系統(tǒng)提供對多種違規(guī)變化行為的報警：非法外聯(lián)、設(shè)備未 注冊 、 IP 綁定變化、設(shè)備變化、探頭被卸載、病毒行為報警等。 本地報警種類過濾：僅對本地網(wǎng)絡(luò)中區(qū)域管理器管理范圍內(nèi)的違規(guī)變化行為進行報警顯示，用戶根據(jù)自身管理要求進行篩選。 33 圖 3126 報警種類過濾 策略配置 ： 系統(tǒng)支持對各種文件的分發(fā)，在 Web 中央管理平臺進行軟件分發(fā)操作前，必須對本項進行配置。 默認將分發(fā)文件放在 C:\VRV\RegionManage\Distribute目錄下，管理員可根據(jù)需要自行更改路徑，同時，修改本路徑后，補丁下載存放的位置也會相應(yīng)改變。 圖 3127策略配置 補丁下載： 將待分發(fā)操作系統(tǒng)補丁放置在設(shè)置好的補丁路徑的目錄下，在 Web 中央管理平臺中進行分發(fā)操作。 34 管理員通過對參數(shù)項的選擇進行下載配置，級聯(lián) IP 提供對上一級補丁的下載獲取。 圖 3128 補丁下載 313 掃描器配置 點擊 增加掃描器 設(shè)置掃描器掃描網(wǎng)絡(luò) IP 范圍。 機構(gòu)代碼 ：一般為阿拉伯數(shù)字，由用戶單位根據(jù)管理要求進行設(shè)定。 掃描間隔 ：根據(jù)管理 IP范圍大小進行設(shè)置。 圖 3131 區(qū)域掃描器參數(shù)設(shè)置 35 注 :掃描器配合區(qū)域管理器進行工作，掃描器的掃描范圍不可能超過它的區(qū)域管理器管理的IP范圍。 掃描器除了指定掃描的 IP范圍外還 能夠 指定排除不掃描的地址范圍， 如 有某些網(wǎng)段不需要掃描器發(fā)現(xiàn)設(shè)備 ， 為縮短掃描時間，可 在掃描器設(shè)置中增加 禁止掃描地址段的設(shè)置 。 掃描器高級配置 ： 圖 3132 掃描器配置 系統(tǒng)配置 掃描器高級配置 —— 系統(tǒng)配置： 掃描頻率設(shè)定：用戶可以根據(jù)網(wǎng)絡(luò)中網(wǎng)絡(luò)帶寬占用情況，靈活設(shè)置掃描頻率，同樣可以選擇是否“使用 SNMP掃描”掃描方式，如果選擇“使用 SNMP掃描”，則系統(tǒng)能夠自動對網(wǎng)絡(luò)設(shè)備（例如交換機、路由器、網(wǎng)絡(luò)打印機等）進行掃描，并自動登記到設(shè)備列表庫中。 阻斷選項：如果用戶選擇“掃描器阻斷”，此時可采取“輕量級阻斷”和“重量級阻斷”兩種方式 。 輕量級阻斷： 阻斷計算機向網(wǎng)絡(luò)中廣播一個 ARP 請求報文，將被阻斷計算機的 IP 地址及對應(yīng)的假 MAC 地址發(fā)送給網(wǎng)絡(luò)內(nèi)所有的計算機，每臺計算機收到請求后便會 對本地的 ARP 緩存進行更新 ， 將 收到的請求 中的 IP 和 對應(yīng)的假 MAC 地址存儲在 ARP 緩存中 。這樣對于網(wǎng)絡(luò)中的計算機看來，被阻斷計算機的 IP 地址沒有變化，而 它的 MAC 地址已經(jīng)不是原來那個了。由于局域網(wǎng)的網(wǎng)絡(luò) 通信 不是根據(jù) IP 地址進行，而是按照 MAC 地址進行傳輸 。因此，被阻斷計算機便接收不到網(wǎng)絡(luò)中計算機（不含阻斷計算機）傳送過來的信息。 36 重量級阻斷： 阻斷計算機冒充網(wǎng)絡(luò) 中的其他計算機（本網(wǎng)段 1255）給被阻斷計算機發(fā)送定向 ARP 應(yīng)答報文，被阻斷計算機收到請求后便會 對本地的 ARP 緩存進行更新 ， 將 收到的請求中的 IP 和 對應(yīng)的假 MAC 地址存儲在 ARP 緩存中 。這樣對于被阻斷計算機看來，網(wǎng)絡(luò)中的計算機的 IP 地址沒有變化，而它們的 MAC 地址已經(jīng)不是原來那個了。因此，被阻斷計算機便不能向網(wǎng)絡(luò)中的計算機（不含阻斷計算機）傳送信息。 掃描器高級配置 —— 交換機掃描配置： 交換機掃描用于掃描發(fā)現(xiàn)交換機，進行拓撲發(fā)現(xiàn)。 Snmp讀 /寫 團體名 ：根據(jù)拓撲管理需要輸入網(wǎng)絡(luò)中所有網(wǎng)絡(luò)設(shè)備的 snmp讀團體名 用“ ?！备糸_。 圖 3133 交換機掃描配置 如上圖，配置掃描間隔時間一般設(shè)成 510分鐘， IP范圍設(shè)置需要掃描的 ip段， snmp讀團體名稱是根據(jù)交換機口令設(shè)置的。 該功能的啟用需要下載交換機拓撲模塊，安裝后進行網(wǎng)絡(luò)拓撲發(fā)現(xiàn)。進入 web 管理平臺主頁面“運維監(jiān)控”菜單，啟用網(wǎng)絡(luò)拓撲圖，安裝交換機拓撲模塊后進行網(wǎng)絡(luò)拓撲發(fā)現(xiàn)。 314 注冊程序配置 控制頁面如下 ， 管理員可以通過設(shè)置來按照需求來配置客戶端注冊程序 ,讓用戶填入相應(yīng)的信息 ,方便以后管理 。其中的 項 有 啟用 、 必選 、 還可以對輸入數(shù)據(jù)進行控制 ， 后 面的功能設(shè)置必須對 每 個功能模塊啟用 。 37 圖 3141 注冊程序配置 選擇 編輯單位 /部門 彈出如下圖 ： 圖 3142 編輯單位 /部門 38 先選擇 修改單位 彈出如下窗口 ： 圖 3143 修改單位 填寫單位名稱和單位備注消息點擊 添加 /修改單位 。 最后點擊 保存修改 關(guān)閉窗口返回上級窗口如下圖 ： 圖 3144 保存修改 可以看到剛才添加的單位 。 39 在此輸入每個單位所對應(yīng)的部門 ,部門備注信息 .選擇 保存修改 可以完成單位和部門的配置 。 點擊 設(shè)置注冊密碼 彈出如下窗體原注冊密碼為空 。 設(shè)置 注冊密碼是為了防止新接入設(shè)備非法進行注冊 。 圖 3145 直接添加新注冊密碼 保存修改 就可以 。 注冊單位與注冊部門 產(chǎn)生 聯(lián)動 當對單位和注冊部門設(shè)置為 必填 和 僅選擇 這時客戶端注冊程序 對單位和部門的填寫只能按照管理員的設(shè)置來選擇 .不能手動填寫 。 使用靜默注冊 ： 以上的設(shè)置都不生效這時客戶端注冊程序只需選擇下載運行就可以 。 注冊程序會自己上報終端的計算機名和 IP 地址 MAC 地址 。 選擇 保存修改 點擊 打包注冊程序 這時完成客戶端注冊程序配置 。 40 315 自定義組分配與管理 自定義組用來 對網(wǎng)絡(luò)中特定或者有特殊用途的機器進行編組，以便采取不同的管理手段，方便管理員的管理。該組的客戶端成員可以由管理員根據(jù)某查詢條件而查得的計算機導入自定義組。如下圖所示： 圖 3151 自定義組分配與管理 1． 首先創(chuàng)建分組，點擊創(chuàng)建下級組：首先創(chuàng)建分組，點擊創(chuàng)建下級組，添加分組名稱，分組描述，保存設(shè)置。 圖 3152 創(chuàng)建分組 41 2． 向組中添加設(shè)備：點擊添加設(shè)備，彈出如下圖，可以按設(shè)備查找，按 IP 查找，按操作系統(tǒng)查找，選中一個點擊添加，然后點擊查詢，導入組即可。同時還可以通過設(shè)備信息查詢，和補丁查詢中來 添加設(shè)備。 圖 3153 查詢設(shè)備 3． 如果需要將 IP/MAC 綁定，那么可以執(zhí)行下面操作 ： 將當添加完組設(shè)備以后點擊“將組設(shè)備添加到 IP/MAC 綁定” ， 彈出如 下 圖所示的“確定添加該組設(shè)備到 IP/MAC 綁定列表庫嗎？”點擊 “ 確定 ” 即可將設(shè)備全部導入 IP/MAC 綁定列表。 圖 3154 添加 IP/MAC綁定 316 IP 與 MAC綁定列表 添加、查詢系統(tǒng) IP 與 MAC 綁定設(shè)備列表如下圖 （數(shù)據(jù)來源在自定義組里可以按 IP 操作系 42 統(tǒng) 等 添加 一個自定義組） 。 圖 3161 添加系統(tǒng) IP 與 MAC 綁定設(shè)備列 表 圖 3162查詢系統(tǒng) IP 與 MAC 綁定設(shè)備列表 317 系統(tǒng)運維監(jiān)控 系統(tǒng)運維監(jiān)控 是用來設(shè)定系統(tǒng)用戶登錄失敗，用戶鎖定問題以及存儲空間匱乏告警。 43 圖 3171系統(tǒng)監(jiān)控設(shè)置界面 用戶登錄鎖定 ：用來設(shè)定在多少時間內(nèi)登陸，連續(xù)登錄失敗的次數(shù)，鎖定時間。其中連續(xù)失敗次數(shù)要求大于等于 5次。 存儲空間匱乏報警 ：系統(tǒng)會根據(jù)服務(wù)器上數(shù)據(jù)庫的所在盤符會自動生成 ，管理員如要設(shè)置該盤小于多少時報警 。 如果存儲空間小于設(shè)定的值，每次登陸管理界面時，都會出現(xiàn) 圖 3172 資源匱乏提示 44 32 客戶 端阻斷 321 掃描器組件配置 掃描器配置是在 web管理平臺界面下完成。步驟如下：配置管理 掃描器配置 配置。 如下圖：設(shè)置區(qū)域掃描器系統(tǒng)配置 圖 321 掃描器阻斷選擇 注意：“使用 SNMP掃描”中。設(shè)備默認口令為 public，在配置時依實際情況而定，如果有多個 SNMP口令存在與網(wǎng)絡(luò)中，那么把口令全部寫到輸入框中，口令間用‘；’分隔；選擇“ SNMP重新生效”可以立刻重新進行一次 SNMP掃描。 322 阻斷策略應(yīng)用 系統(tǒng)管理員通過阻斷功能實現(xiàn)針對網(wǎng)絡(luò)中的任意一臺計算機進行內(nèi)部網(wǎng)絡(luò)的阻斷，從 而能夠保證網(wǎng)絡(luò)的運行安全，可選擇通過以下三種方式配置阻斷策略： 3221 違規(guī)自動阻斷策略 系統(tǒng)各區(qū)域“區(qū)域信息描述”中阻斷實現(xiàn)： 選擇要進行阻斷的系統(tǒng)區(qū)域名稱，點擊“區(qū)域描述”菜單進入到“區(qū)域詳細描述及修改”頁面中，可針對“發(fā)現(xiàn)電腦設(shè)備異常后執(zhí)行的動作”進行如圖所示的幾種阻斷策略的選擇： 45 圖 3221 區(qū)域劃分中的阻斷設(shè)定 注意：此時如果選中的執(zhí)行動作為“默認”，則此區(qū)域的阻斷策略，采用和本區(qū)域的區(qū)域管理器已經(jīng)設(shè)置好的相同策略；如果系統(tǒng)管理員進行了其它選擇，則系統(tǒng)將會執(zhí)行其所選中的策略