【導(dǎo)讀】本使用手冊(cè)由北信源終端安全管理系列產(chǎn)品安裝配置指導(dǎo)手冊(cè)、用戶。級(jí)而改變，恕不另行通知。信源接入認(rèn)證網(wǎng)關(guān)》6大套件構(gòu)成。等其中之一產(chǎn)品，本說(shuō)明書(shū)的其它功能將不具備。感謝您購(gòu)買北京北信源軟件股份有限公司研制開(kāi)發(fā)的北信源終端安。始使用該軟件時(shí)，北信源公司認(rèn)為您已經(jīng)閱讀了本使用手冊(cè)。SQL安裝注意事項(xiàng)請(qǐng)參照第二章2-3-1所示。建議將數(shù)據(jù)庫(kù)管理系統(tǒng)、口不被占用；防火墻應(yīng)允許打開(kāi)88，2388，2399，22105，8900，8901，22106，22108，8889端口。網(wǎng)頁(yè)檢測(cè)注冊(cè)腳本語(yǔ)句，進(jìn)行動(dòng)態(tài)設(shè)備注冊(cè)。特別提示：默認(rèn)管理員用戶：admin，密碼：123456；系統(tǒng)指定審計(jì)用戶名：audit,密碼：123456請(qǐng)注意修改。

　　

【正文】 與配置”，對(duì)網(wǎng)絡(luò)中的客戶端進(jìn)行區(qū)域劃分管理，按照提示依次添加區(qū)域、增加區(qū)域 IP 管理范圍、分配區(qū)域管理 器、并完成系統(tǒng)組件運(yùn)行參數(shù)配置。 具體步驟： 區(qū)域描述配置欄中填寫(xiě)好一些必要的與區(qū)域相關(guān)的信息，如區(qū)域機(jī)構(gòu)代碼、區(qū)域名稱、負(fù)責(zé)人姓名等。其他信息可以酌情依照實(shí)際用途填寫(xiě)。 本區(qū)域 IP劃分：根據(jù)用戶實(shí)際需要在下圖所示的文本框中填入需要管轄的 IP地址。 其中保留 IP段為 不需要注冊(cè)的設(shè)備 。 圖 3114區(qū)域劃分與配置 下級(jí)區(qū)域劃分： 在已有區(qū)域頁(yè)面中點(diǎn)擊“ 增加下級(jí)區(qū)域 ”按鈕進(jìn)行下級(jí)區(qū)域添加，如集團(tuán)總部下屬總裁辦、行政部、財(cái)務(wù)部等。 29 圖 3115 增加區(qū)域 312 區(qū)域管理器配置 區(qū)域管理器： 區(qū)域管理器為系統(tǒng)策略控制及數(shù)據(jù)接收處理中心，具有控制完成系統(tǒng)相關(guān)的動(dòng)作行為處理功能；同時(shí)與本級(jí)數(shù)據(jù)庫(kù)系統(tǒng)連接，統(tǒng)一接收注冊(cè)程序提供的信息，將用戶信息（填寫(xiě)的計(jì)算機(jī)使用人姓名、聯(lián)系電話、 Email等，計(jì)算機(jī) IP、 MAC地址、硬盤(pán)、 CPU、內(nèi)存等其它硬件信息均為自動(dòng)采集）存入數(shù)據(jù)庫(kù)。 根據(jù)本區(qū)域客戶端 IP 管理情況確定對(duì) IP 地址的管理方式，若選擇 IP、 MAC 地址綁定，需要在靜態(tài) IP環(huán)境下進(jìn)行設(shè)置。 允許客戶端控頭升級(jí) ：設(shè)置本區(qū)域管理器管理范圍內(nèi)的客戶端的升級(jí)操作。 設(shè)置 vpn網(wǎng)絡(luò)虛擬管理器 IP：是指添加 VPN虛 擬服務(wù)器的 IP地址 。 管理器標(biāo)識(shí) ：是指管理器的標(biāo)記，當(dāng)服務(wù)器遷移時(shí)需要設(shè)置與之相同的管理器標(biāo)識(shí)。 管理器可直接通信網(wǎng)段 ： 在管理多個(gè)獨(dú)立子網(wǎng)時(shí) ,該配置填寫(xiě)區(qū)域管理器服務(wù)器可直接通信的地址 。 允許客戶端注冊(cè) ：是指任意一臺(tái)在區(qū)域范圍內(nèi)的客戶端都可以在服務(wù)器上注冊(cè)。 管理器配置同步 ：當(dāng)選中“下級(jí)區(qū)域”時(shí)下級(jí)區(qū)域的配置應(yīng)該和上級(jí)區(qū)域管理器的配置相同，當(dāng)選中“全部區(qū)域”時(shí)是指下面的任意級(jí)聯(lián)區(qū)域都要和區(qū)域管理器的配置同步。 30 圖 3121 區(qū)域管理器參數(shù)設(shè)置 區(qū)域管理器系統(tǒng)配置 ： 當(dāng)設(shè)置完當(dāng)前頁(yè)面這時(shí)我們可以配置剛才 安裝好的內(nèi)網(wǎng)安全管理管理器去桌面雙擊 “ 內(nèi)網(wǎng)安全管理管理器 ” 快捷方式彈出如下界面 ： 圖 3122區(qū)域管理器系統(tǒng)配置 ? 先進(jìn)行 SQL服務(wù)器配置： 進(jìn)入“ 系統(tǒng)配置 ”，逐步輸入 SQL服務(wù)器 IP 地址、用戶名稱及密碼、數(shù)據(jù)庫(kù)名稱（默認(rèn)為 VRVEIS），單擊“確定”完成 SQL服務(wù)器配置。 31 圖 3123 SQL服務(wù)器配置 管理器配置： 本軟件默認(rèn)機(jī)器操作系統(tǒng) 88端口，若其它應(yīng)用程序占用該端口，將自動(dòng)更改為 188。 如果區(qū)域管理器應(yīng)用于 多級(jí)管理（每級(jí)都有獨(dú)立的 SQL server和相應(yīng)的內(nèi)網(wǎng)安全管理及補(bǔ)丁自 動(dòng)分發(fā)管理平臺(tái)）的級(jí)聯(lián)構(gòu)架體系， 其上級(jí)還有區(qū)域管理器 的情況下 ，當(dāng)前區(qū)域管理器需要將所有信息上報(bào)到上級(jí)管理器。 區(qū)域管理器支持多級(jí)級(jí)聯(lián)，如國(guó)家、省、市、縣多級(jí)規(guī)模網(wǎng)絡(luò)管理構(gòu)架，下屬區(qū)域管理器將其所有計(jì)算機(jī)報(bào)警信息轉(zhuǎn)報(bào)到上級(jí)數(shù)據(jù)庫(kù)。 注：需要把“上報(bào)給上級(jí)管理器” √ 上，輸入上級(jí)管理器地址 。 升級(jí)配置：用于配置區(qū)域管理器的自動(dòng)升級(jí)，升級(jí)服務(wù)器地址為上級(jí)區(qū)域管理器 IP。 區(qū)域管理器配置 高級(jí)設(shè)置 系統(tǒng)配置： 鎖定下級(jí)策略 是指 下級(jí)不可以修改 IP管理范圍 上報(bào)給上級(jí)區(qū)域管理器 是指下級(jí)的策略，阻斷，違規(guī)信息上報(bào)給上級(jí)區(qū)域 管理器，在此處打上“ √ ”添加上上級(jí)管理器地址，配置級(jí)聯(lián)。 32 圖 3124 區(qū)域管理器 阻斷配置： 圖 3125阻斷配置 探頭阻斷：目前常用的阻斷方式，由掃描器調(diào)度探頭完成阻斷任務(wù)。只要保證一個(gè)網(wǎng)段（ VLAN）中有存活的已注冊(cè)計(jì)算機(jī) 達(dá)到 80% ，就可以實(shí)現(xiàn)阻斷。 防火墻阻斷：該方式必須與防火墻結(jié)合使用，需要設(shè)置必要的防火墻規(guī)則集和安全認(rèn)證，與其它 廠商 防火墻 聯(lián)動(dòng)時(shí)使用 。 報(bào)警過(guò)濾： 本軟件系統(tǒng)提供對(duì)多種違規(guī)變化行為的報(bào)警：非法外聯(lián)、設(shè)備未 注冊(cè) 、 IP 綁定變化、設(shè)備變化、探頭被卸載、病毒行為報(bào)警等。 本地報(bào)警種類過(guò)濾：僅對(duì)本地網(wǎng)絡(luò)中區(qū)域管理器管理范圍內(nèi)的違規(guī)變化行為進(jìn)行報(bào)警顯示，用戶根據(jù)自身管理要求進(jìn)行篩選。 33 圖 3126 報(bào)警種類過(guò)濾 策略配置 ： 系統(tǒng)支持對(duì)各種文件的分發(fā)，在 Web 中央管理平臺(tái)進(jìn)行軟件分發(fā)操作前，必須對(duì)本項(xiàng)進(jìn)行配置。 默認(rèn)將分發(fā)文件放在 C:\VRV\RegionManage\Distribute目錄下，管理員可根據(jù)需要自行更改路徑，同時(shí)，修改本路徑后，補(bǔ)丁下載存放的位置也會(huì)相應(yīng)改變。 圖 3127策略配置 補(bǔ)丁下載： 將待分發(fā)操作系統(tǒng)補(bǔ)丁放置在設(shè)置好的補(bǔ)丁路徑的目錄下，在 Web 中央管理平臺(tái)中進(jìn)行分發(fā)操作。 34 管理員通過(guò)對(duì)參數(shù)項(xiàng)的選擇進(jìn)行下載配置，級(jí)聯(lián) IP 提供對(duì)上一級(jí)補(bǔ)丁的下載獲取。 圖 3128 補(bǔ)丁下載 313 掃描器配置 點(diǎn)擊 增加掃描器 設(shè)置掃描器掃描網(wǎng)絡(luò) IP 范圍。 機(jī)構(gòu)代碼 ：一般為阿拉伯?dāng)?shù)字，由用戶單位根據(jù)管理要求進(jìn)行設(shè)定。 掃描間隔 ：根據(jù)管理 IP范圍大小進(jìn)行設(shè)置。 圖 3131 區(qū)域掃描器參數(shù)設(shè)置 35 注 :掃描器配合區(qū)域管理器進(jìn)行工作，掃描器的掃描范圍不可能超過(guò)它的區(qū)域管理器管理的IP范圍。 掃描器除了指定掃描的 IP范圍外還 能夠 指定排除不掃描的地址范圍， 如 有某些網(wǎng)段不需要掃描器發(fā)現(xiàn)設(shè)備 ， 為縮短掃描時(shí)間，可 在掃描器設(shè)置中增加 禁止掃描地址段的設(shè)置 。 掃描器高級(jí)配置 ： 圖 3132 掃描器配置 系統(tǒng)配置 掃描器高級(jí)配置 —— 系統(tǒng)配置： 掃描頻率設(shè)定：用戶可以根據(jù)網(wǎng)絡(luò)中網(wǎng)絡(luò)帶寬占用情況，靈活設(shè)置掃描頻率，同樣可以選擇是否“使用 SNMP掃描”掃描方式，如果選擇“使用 SNMP掃描”，則系統(tǒng)能夠自動(dòng)對(duì)網(wǎng)絡(luò)設(shè)備（例如交換機(jī)、路由器、網(wǎng)絡(luò)打印機(jī)等）進(jìn)行掃描，并自動(dòng)登記到設(shè)備列表庫(kù)中。 阻斷選項(xiàng)：如果用戶選擇“掃描器阻斷”，此時(shí)可采取“輕量級(jí)阻斷”和“重量級(jí)阻斷”兩種方式 。 輕量級(jí)阻斷： 阻斷計(jì)算機(jī)向網(wǎng)絡(luò)中廣播一個(gè) ARP 請(qǐng)求報(bào)文，將被阻斷計(jì)算機(jī)的 IP 地址及對(duì)應(yīng)的假 MAC 地址發(fā)送給網(wǎng)絡(luò)內(nèi)所有的計(jì)算機(jī)，每臺(tái)計(jì)算機(jī)收到請(qǐng)求后便會(huì) 對(duì)本地的 ARP 緩存進(jìn)行更新 ， 將 收到的請(qǐng)求 中的 IP 和 對(duì)應(yīng)的假 MAC 地址存儲(chǔ)在 ARP 緩存中 。這樣對(duì)于網(wǎng)絡(luò)中的計(jì)算機(jī)看來(lái)，被阻斷計(jì)算機(jī)的 IP 地址沒(méi)有變化，而 它的 MAC 地址已經(jīng)不是原來(lái)那個(gè)了。由于局域網(wǎng)的網(wǎng)絡(luò) 通信 不是根據(jù) IP 地址進(jìn)行，而是按照 MAC 地址進(jìn)行傳輸 。因此，被阻斷計(jì)算機(jī)便接收不到網(wǎng)絡(luò)中計(jì)算機(jī)（不含阻斷計(jì)算機(jī)）傳送過(guò)來(lái)的信息。 36 重量級(jí)阻斷： 阻斷計(jì)算機(jī)冒充網(wǎng)絡(luò) 中的其他計(jì)算機(jī)（本網(wǎng)段 1255）給被阻斷計(jì)算機(jī)發(fā)送定向 ARP 應(yīng)答報(bào)文，被阻斷計(jì)算機(jī)收到請(qǐng)求后便會(huì) 對(duì)本地的 ARP 緩存進(jìn)行更新 ， 將 收到的請(qǐng)求中的 IP 和 對(duì)應(yīng)的假 MAC 地址存儲(chǔ)在 ARP 緩存中 。這樣對(duì)于被阻斷計(jì)算機(jī)看來(lái)，網(wǎng)絡(luò)中的計(jì)算機(jī)的 IP 地址沒(méi)有變化，而它們的 MAC 地址已經(jīng)不是原來(lái)那個(gè)了。因此，被阻斷計(jì)算機(jī)便不能向網(wǎng)絡(luò)中的計(jì)算機(jī)（不含阻斷計(jì)算機(jī)）傳送信息。 掃描器高級(jí)配置 —— 交換機(jī)掃描配置： 交換機(jī)掃描用于掃描發(fā)現(xiàn)交換機(jī)，進(jìn)行拓?fù)浒l(fā)現(xiàn)。 Snmp讀 /寫(xiě) 團(tuán)體名 ：根據(jù)拓?fù)涔芾硇枰斎刖W(wǎng)絡(luò)中所有網(wǎng)絡(luò)設(shè)備的 snmp讀團(tuán)體名 用“ ?！备糸_(kāi)。 圖 3133 交換機(jī)掃描配置 如上圖，配置掃描間隔時(shí)間一般設(shè)成 510分鐘， IP范圍設(shè)置需要掃描的 ip段， snmp讀團(tuán)體名稱是根據(jù)交換機(jī)口令設(shè)置的。 該功能的啟用需要下載交換機(jī)拓?fù)淠K，安裝后進(jìn)行網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)。進(jìn)入 web 管理平臺(tái)主頁(yè)面“運(yùn)維監(jiān)控”菜單，啟用網(wǎng)絡(luò)拓?fù)鋱D，安裝交換機(jī)拓?fù)淠K后進(jìn)行網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)。 314 注冊(cè)程序配置 控制頁(yè)面如下 ， 管理員可以通過(guò)設(shè)置來(lái)按照需求來(lái)配置客戶端注冊(cè)程序 ,讓用戶填入相應(yīng)的信息 ,方便以后管理 。其中的 項(xiàng) 有 啟用 、 必選 、 還可以對(duì)輸入數(shù)據(jù)進(jìn)行控制 ， 后 面的功能設(shè)置必須對(duì) 每 個(gè)功能模塊啟用 。 37 圖 3141 注冊(cè)程序配置 選擇 編輯單位 /部門(mén) 彈出如下圖 ： 圖 3142 編輯單位 /部門(mén) 38 先選擇 修改單位 彈出如下窗口 ： 圖 3143 修改單位 填寫(xiě)單位名稱和單位備注消息點(diǎn)擊 添加 /修改單位 。 最后點(diǎn)擊 保存修改 關(guān)閉窗口返回上級(jí)窗口如下圖 ： 圖 3144 保存修改 可以看到剛才添加的單位 。 39 在此輸入每個(gè)單位所對(duì)應(yīng)的部門(mén) ,部門(mén)備注信息 .選擇 保存修改 可以完成單位和部門(mén)的配置 。 點(diǎn)擊 設(shè)置注冊(cè)密碼 彈出如下窗體原注冊(cè)密碼為空 。 設(shè)置 注冊(cè)密碼是為了防止新接入設(shè)備非法進(jìn)行注冊(cè) 。 圖 3145 直接添加新注冊(cè)密碼 保存修改 就可以 。 注冊(cè)單位與注冊(cè)部門(mén) 產(chǎn)生 聯(lián)動(dòng) 當(dāng)對(duì)單位和注冊(cè)部門(mén)設(shè)置為 必填 和 僅選擇 這時(shí)客戶端注冊(cè)程序 對(duì)單位和部門(mén)的填寫(xiě)只能按照管理員的設(shè)置來(lái)選擇 .不能手動(dòng)填寫(xiě) 。 使用靜默注冊(cè) ： 以上的設(shè)置都不生效這時(shí)客戶端注冊(cè)程序只需選擇下載運(yùn)行就可以 。 注冊(cè)程序會(huì)自己上報(bào)終端的計(jì)算機(jī)名和 IP 地址 MAC 地址 。 選擇 保存修改 點(diǎn)擊 打包注冊(cè)程序 這時(shí)完成客戶端注冊(cè)程序配置 。 40 315 自定義組分配與管理 自定義組用來(lái) 對(duì)網(wǎng)絡(luò)中特定或者有特殊用途的機(jī)器進(jìn)行編組，以便采取不同的管理手段，方便管理員的管理。該組的客戶端成員可以由管理員根據(jù)某查詢條件而查得的計(jì)算機(jī)導(dǎo)入自定義組。如下圖所示： 圖 3151 自定義組分配與管理 1． 首先創(chuàng)建分組，點(diǎn)擊創(chuàng)建下級(jí)組：首先創(chuàng)建分組，點(diǎn)擊創(chuàng)建下級(jí)組，添加分組名稱，分組描述，保存設(shè)置。 圖 3152 創(chuàng)建分組 41 2． 向組中添加設(shè)備：點(diǎn)擊添加設(shè)備，彈出如下圖，可以按設(shè)備查找，按 IP 查找，按操作系統(tǒng)查找，選中一個(gè)點(diǎn)擊添加，然后點(diǎn)擊查詢，導(dǎo)入組即可。同時(shí)還可以通過(guò)設(shè)備信息查詢，和補(bǔ)丁查詢中來(lái) 添加設(shè)備。 圖 3153 查詢?cè)O(shè)備 3． 如果需要將 IP/MAC 綁定，那么可以執(zhí)行下面操作 ： 將當(dāng)添加完組設(shè)備以后點(diǎn)擊“將組設(shè)備添加到 IP/MAC 綁定” ， 彈出如 下 圖所示的“確定添加該組設(shè)備到 IP/MAC 綁定列表庫(kù)嗎？”點(diǎn)擊 “ 確定 ” 即可將設(shè)備全部導(dǎo)入 IP/MAC 綁定列表。 圖 3154 添加 IP/MAC綁定 316 IP 與 MAC綁定列表 添加、查詢系統(tǒng) IP 與 MAC 綁定設(shè)備列表如下圖 （數(shù)據(jù)來(lái)源在自定義組里可以按 IP 操作系 42 統(tǒng) 等 添加 一個(gè)自定義組） 。 圖 3161 添加系統(tǒng) IP 與 MAC 綁定設(shè)備列 表 圖 3162查詢系統(tǒng) IP 與 MAC 綁定設(shè)備列表 317 系統(tǒng)運(yùn)維監(jiān)控 系統(tǒng)運(yùn)維監(jiān)控 是用來(lái)設(shè)定系統(tǒng)用戶登錄失敗，用戶鎖定問(wèn)題以及存儲(chǔ)空間匱乏告警。 43 圖 3171系統(tǒng)監(jiān)控設(shè)置界面 用戶登錄鎖定 ：用來(lái)設(shè)定在多少時(shí)間內(nèi)登陸，連續(xù)登錄失敗的次數(shù)，鎖定時(shí)間。其中連續(xù)失敗次數(shù)要求大于等于 5次。 存儲(chǔ)空間匱乏報(bào)警 ：系統(tǒng)會(huì)根據(jù)服務(wù)器上數(shù)據(jù)庫(kù)的所在盤(pán)符會(huì)自動(dòng)生成 ，管理員如要設(shè)置該盤(pán)小于多少時(shí)報(bào)警 。 如果存儲(chǔ)空間小于設(shè)定的值，每次登陸管理界面時(shí)，都會(huì)出現(xiàn) 圖 3172 資源匱乏提示 44 32 客戶 端阻斷 321 掃描器組件配置 掃描器配置是在 web管理平臺(tái)界面下完成。步驟如下：配置管理 掃描器配置 配置。 如下圖：設(shè)置區(qū)域掃描器系統(tǒng)配置 圖 321 掃描器阻斷選擇 注意：“使用 SNMP掃描”中。設(shè)備默認(rèn)口令為 public，在配置時(shí)依實(shí)際情況而定，如果有多個(gè) SNMP口令存在與網(wǎng)絡(luò)中，那么把口令全部寫(xiě)到輸入框中，口令間用‘；’分隔；選擇“ SNMP重新生效”可以立刻重新進(jìn)行一次 SNMP掃描。 322 阻斷策略應(yīng)用 系統(tǒng)管理員通過(guò)阻斷功能實(shí)現(xiàn)針對(duì)網(wǎng)絡(luò)中的任意一臺(tái)計(jì)算機(jī)進(jìn)行內(nèi)部網(wǎng)絡(luò)的阻斷，從 而能夠保證網(wǎng)絡(luò)的運(yùn)行安全，可選擇通過(guò)以下三種方式配置阻斷策略： 3221 違規(guī)自動(dòng)阻斷策略 系統(tǒng)各區(qū)域“區(qū)域信息描述”中阻斷實(shí)現(xiàn)： 選擇要進(jìn)行阻斷的系統(tǒng)區(qū)域名稱，點(diǎn)擊“區(qū)域描述”菜單進(jìn)入到“區(qū)域詳細(xì)描述及修改”頁(yè)面中，可針對(duì)“發(fā)現(xiàn)電腦設(shè)備異常后執(zhí)行的動(dòng)作”進(jìn)行如圖所示的幾種阻斷策略的選擇： 45 圖 3221 區(qū)域劃分中的阻斷設(shè)定 注意：此時(shí)如果選中的執(zhí)行動(dòng)作為“默認(rèn)”，則此區(qū)域的阻斷策略，采用和本區(qū)域的區(qū)域管理器已經(jīng)設(shè)置好的相同策略；如果系統(tǒng)管理員進(jìn)行了其它選擇，則系統(tǒng)將會(huì)執(zhí)行其所選中的策略