【正文】 圖 3226 2 軟件黑白名單 ： 軟件黑白名單在軟件安裝監(jiān)控中可以使用 ,這部分包含系統(tǒng)預(yù)定義黑名單和用戶自定義黑白名單。 ? 系統(tǒng)策略設(shè)定 1) 黑白名單編輯： 1 進(jìn)程黑白名單 ： 進(jìn)程黑 白名單在進(jìn)程監(jiān)控中可以使用 ,這部分包含系統(tǒng)預(yù)定義黑名單和用戶自定義黑白名單。 策略有效網(wǎng)絡(luò)： :該功能意思是策略在區(qū)域管理范圍內(nèi)、外均有效。 強(qiáng)制策略：級聯(lián)策略發(fā)到下級管理器時(shí)，下級管理員對策略內(nèi)容不能修改，并且不能修改該策略的對象和啟動、停用狀態(tài)。 策略無效工作日：即可在一 星期中選中一天或多天使策略無效。 ? 策略的高級設(shè)置 策略的高級設(shè)置用于客戶端程序?qū)Σ呗缘膱?zhí)行設(shè)置，包括策略狀態(tài)（啟動、停止）、策略存活時(shí)間（策略執(zhí)行的起止時(shí)間）、策略執(zhí)行觸發(fā)條件（在何種條件下開始執(zhí)行策略）、策略無效時(shí)間（規(guī)定時(shí)間內(nèi)客戶端不執(zhí)行策略）、策略應(yīng)用范圍（本級區(qū)域、下級區(qū)域、所有區(qū)域）、級聯(lián)策略類型等，有些策略還包括具體的觸發(fā)時(shí)間設(shè)置等。如果想要刪除某一條策略，則直接按“刪除”按鈕即可。（由于各個(gè)策略項(xiàng)的配置過程都不一樣，這里不再用截圖表示，下一節(jié)將具體介紹） （ 3）接下來是下發(fā)策略，即指定策略的執(zhí)行對象，可通過單擊“對象”按鈕后，可按界面的提示完成對象的分配。同時(shí)提供了信使服務(wù)（ windows2020 以上操作系統(tǒng)）提醒 IP、 MAC 綁定等功能，如下圖所示： 圖 321 阻斷違規(guī)接入管理 322 策略管理中心 ? 如何進(jìn)行策略創(chuàng)建和分發(fā) （ 1）在“策略管理中心”中左邊的策略項(xiàng)中可點(diǎn)擊需要制定的策略，然后在右邊的“新建策略名”中輸入相應(yīng)的策略名稱后，單擊“創(chuàng)建”按鈕開始創(chuàng)建策略。 圖 3164 添加 IP/MAC 綁定 317 IP 與 MAC綁定列表 添加、查詢系統(tǒng) IP 與 MAC 綁定設(shè)備列表如下圖（數(shù)據(jù)來源在自定義組里可以按 IP 操作系統(tǒng)等添加一個(gè)自定義組）。同時(shí)還可以通過設(shè)備信息查詢，和補(bǔ)丁查詢中來添加設(shè)備。如下圖所示： 圖 3161 自定義組分配與管理 1． 首先創(chuàng)建分組，點(diǎn)擊創(chuàng) 建下級組：首先創(chuàng)建分組，點(diǎn)擊創(chuàng)建下級組，添加分組名稱，分組描述，保存設(shè)置。 圖 3155 添加部門 316 自定義組分配與管理 自定義組用來對網(wǎng)絡(luò)中特定或者有特殊用途的機(jī)器進(jìn)行編組，以便采取不同的管理手段，方便管理員的管理。 選擇左邊單位與部門樹目錄點(diǎn)擊從 系統(tǒng)注冊單 位單位導(dǎo)入 彈出如下圖： 圖 3154 系統(tǒng)注冊單位單位導(dǎo)入 √選要導(dǎo)入的注冊單位點(diǎn)擊 從已注冊部門導(dǎo)入。 圖 3153 單位描述 從系統(tǒng)注冊單位導(dǎo)入：該功能作用是將客戶端注冊時(shí)輸入的單位名稱導(dǎo)入到“注冊單位及部門”中。 后可以在左邊看到新增的單位之后選擇新增的部門。 315 注冊部門配置與管理 新增單位：該功能作用基本與“從系統(tǒng)注冊單位導(dǎo)入”相似，不同的是，它可以加入備注信息。 注冊程序會自己上報(bào)終端的計(jì)算機(jī)名和 IP 地址 MAC 地址。 注冊單位與注冊部門產(chǎn)生聯(lián)動 當(dāng)對單位和注冊部門設(shè)置為 必填 和 僅選擇這時(shí)客戶端注冊程序 對單位和部門的填寫只能按照管理員的設(shè)置來選擇 .不能手動填寫。 設(shè)置注冊密碼是為了防止新接入設(shè)備非法進(jìn)行注冊。 在此輸入每個(gè)單位所對應(yīng)的部門 ,部門備注信息 .選擇 保存修改 可以完成單位和部門的配置。 圖 3141 注冊程序配置 選擇 編 輯單位 /部門 彈出如下圖： 圖 3142 編輯單位 /部門 先選擇 修改單位 彈出如下窗口： 圖 3143 修改單位 填寫單位名稱和單位備注消息點(diǎn)擊 添加 /修改單位。 314 注冊程序配置 控制頁面如下 .管理員可以通過設(shè)置來按照需求來配置客戶端注冊程序 ,讓用戶填入相應(yīng)的信息 ,方便以后管理。 該功能的啟用需要下載交換機(jī)拓?fù)淠K，安裝后進(jìn)行網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)。”隔開。 掃描器高級配置 —— 交換機(jī)掃描配置： 交換機(jī)掃描用于掃描發(fā)現(xiàn)交換機(jī)，進(jìn)行拓?fù)浒l(fā)現(xiàn)。這樣對于被阻斷計(jì)算機(jī)看來，網(wǎng)絡(luò)中的計(jì)算機(jī)的 IP地址沒有變化，而它們的 MAC地址已經(jīng)不是原來那個(gè)了。因此，被阻斷計(jì)算機(jī)便接收不到網(wǎng)絡(luò)中計(jì)算機(jī)（不含阻斷計(jì)算機(jī)）傳送過來的信息。這樣對于網(wǎng)絡(luò)中的計(jì)算機(jī)看來，被阻斷計(jì)算機(jī)的IP 地址沒有變化，而 它的 MAC 地址已經(jīng)不是原來那個(gè)了。 阻斷選項(xiàng)：如果用戶選擇“掃描器阻斷”，此時(shí)可采取“輕量級阻斷”和“重量級阻斷”兩種方式。 掃描器除了指定掃描的 IP 范圍外還 能夠 指定排除不掃描的地址范圍， 如有某些網(wǎng)段不需要掃描器發(fā)現(xiàn)設(shè)備 ， 為縮短掃描時(shí)間，可 在掃描器設(shè)置中增加禁止掃描 地址段的設(shè)置 。 掃描間隔 ：根據(jù)管理 IP 范圍大小進(jìn)行設(shè)置（建議設(shè)置為 10 分鐘）。 圖 3129 其他配置 313 掃描器配置 點(diǎn)擊 增加掃描器 設(shè)置掃描器掃描網(wǎng)絡(luò) IP 范圍。 管理員通過對參數(shù)項(xiàng)的選擇進(jìn)行下載配置，級聯(lián) IP 提供對上一級補(bǔ)丁的下載獲取。 默認(rèn)將分發(fā)文件放在 C:\VRV\RegionManage\Distribute 目錄下，管理員可根據(jù)需要自行更改路徑，同時(shí)，修改本路徑后，補(bǔ)丁下載存放的位置也會相應(yīng)改變。 本地報(bào)警種類過濾：僅對本地網(wǎng)絡(luò)中區(qū)域管理器管理范圍內(nèi)的違規(guī)變化行為進(jìn)行報(bào)警顯示，用戶根據(jù)自身管理要求進(jìn)行篩選。 防火墻阻斷：該方式必須與防火墻結(jié)合使用，需要設(shè)置必要的防火墻規(guī)則集和安全認(rèn)證，與其它廠商防火墻不兼容。 圖 3124 區(qū)域管理器 阻斷配置： 圖 3125 阻斷配置 探頭阻斷：目前常用的阻斷方式，由掃描器調(diào)度探頭完成阻 斷任務(wù)。 區(qū)域管理器配置 高級設(shè)置 系統(tǒng)配置： 鎖定下級策略 是指下級不能夠更改策略信息。 注：需要把“上報(bào)給上級管理器”√上，輸入上級管理器地址。 如果區(qū)域管理器應(yīng)用于 多級管理（每級都有獨(dú)立的 SQL server 和相應(yīng)的內(nèi)網(wǎng)安全管理及補(bǔ)丁自動分發(fā)管理平臺）的級聯(lián)構(gòu)架體系， 其上級還有區(qū)域管理器的情況下 ，當(dāng)前區(qū)域管理器需要將所有信息上報(bào)到上級管理器。 圖 3121 區(qū)域管理器參數(shù)設(shè)置 區(qū)域管理器系統(tǒng)配置： 當(dāng)設(shè)置完當(dāng)前頁面這時(shí)我們可以配置剛才安裝好的 內(nèi)網(wǎng)安全管理管理器 去桌面雙擊 “內(nèi)網(wǎng)安全管理管理器 ” 快捷方式彈出如下界面： 圖 3122區(qū)域管理器系統(tǒng)配置 ? 先進(jìn)行 SQL 服務(wù)器配置： 進(jìn)入“ 系統(tǒng)配置 ”，逐步輸入 SQL 服務(wù)器 IP地址、 用戶名稱及密碼、數(shù)據(jù)庫名稱（默認(rèn)為 VRVEIS），單擊“確定”完成 SQL服務(wù)器配置。 允許客戶端注 冊 ：是指任意一臺在區(qū)域范圍內(nèi)的客戶端都可以在服務(wù)器上注冊。 管理器標(biāo)識 ：是指管理器的標(biāo)記，當(dāng)服務(wù)器遷移時(shí)需要設(shè)置與之相同的管理器標(biāo)識。 允許客戶端控頭升級 ：設(shè)置本區(qū)域管理器管理范圍內(nèi)的客戶端的升級操作。 圖 3115 增加區(qū)域 312 區(qū)域管理器配置 區(qū)域管理器： 區(qū)域管理器為系統(tǒng)策略控制及數(shù)據(jù)接收處理中心，具有控制完成系統(tǒng)相關(guān)的動作行為處理功能；同時(shí)與本級數(shù)據(jù)庫系統(tǒng)連接，統(tǒng)一接收注冊程序提供的信息，將用戶信息（填寫的計(jì)算機(jī)使用人姓名、聯(lián)系電話、 Email 等，計(jì)算機(jī) IP、 MAC 地址、硬盤、 CPU、內(nèi)存等其它硬件信息均為自動采集）存入數(shù)據(jù)庫。 其中保留 IP 段為該網(wǎng)段目前沒有網(wǎng)絡(luò)設(shè)備存在的網(wǎng)段，如有設(shè)備存在，則會產(chǎn)生報(bào)警信息。其他信息可以酌情依照實(shí)際用途填寫。 區(qū)域劃分： 單擊配置管理里的“區(qū)域劃分與配置”，對網(wǎng)絡(luò)中的客戶端進(jìn)行區(qū)域劃分管理，按照提示依次添加區(qū)域、增加區(qū)域 IP 管理范圍、分配區(qū)域管理器、并完成系統(tǒng)組件運(yùn)行參數(shù)配置。成功登錄后，進(jìn)入系統(tǒng)的主界面。如下所示： 圖 3111 Web 管理登錄界面 其中客戶端工具下載菜單提供了包括 用戶注冊器下載、補(bǔ)丁檢測中心、多路幫助平臺、普通工具下載、管理員工具下載、工具上傳管理 等功能，用戶按照頁面提示操作即可。 菜單功能模塊 :系統(tǒng)策略中心、數(shù)據(jù)查詢、終端控制、補(bǔ)丁分發(fā)、運(yùn)維信息、報(bào)警事件、級聯(lián)總控、統(tǒng)計(jì)報(bào)表、系統(tǒng)維護(hù)等模塊。 圖 231113 卸載密碼 或通過 WEB 管理平臺中的點(diǎn) — 點(diǎn)控制中的 終端卸載 如圖： 圖 231114 終端點(diǎn)對點(diǎn) 終端卸載 第三章 系統(tǒng)應(yīng)用 本平臺配置主要指北信源內(nèi)網(wǎng)安全及補(bǔ)丁分發(fā)管理系統(tǒng)的網(wǎng)頁平臺操作，網(wǎng)頁平臺是整個(gè)北信源內(nèi)網(wǎng)安全及補(bǔ)丁分發(fā)管理系統(tǒng)的配置操作核心，整個(gè)內(nèi)網(wǎng)安全及補(bǔ)丁分發(fā)管理系統(tǒng)功能的實(shí)現(xiàn)全部在 Web 操作中實(shí)現(xiàn)， Web方式有助于管理員遠(yuǎn)程維護(hù)系統(tǒng)，進(jìn)行統(tǒng)一配置和統(tǒng)一管理。 圖 231110 通訊配置 6． 配置完后點(diǎn)確認(rèn)，然后啟動注冊認(rèn)證網(wǎng)關(guān)，退出重起就可以用了。策略配置為在多長時(shí)間內(nèi)重定向的次數(shù)，超過這個(gè)次數(shù)，將不再重定向。如果沒注冊的客戶機(jī)上網(wǎng)，那么他會把上網(wǎng)的網(wǎng)址重定向到指定的注冊頁面上。當(dāng)區(qū)域掃描器掃到該計(jì)算機(jī)的 IP 地址時(shí)，才會將添加的信息及系統(tǒng)采集信息上報(bào)到區(qū)域管理器，存儲在數(shù)據(jù)庫當(dāng) 中。注冊程序界面如下： 圖 23114 客戶端注冊信息 無論采取哪種方式，在注冊成功以后，注冊程序除了將主動添加的信息自動上報(bào)以外，還會自動收集其它和系統(tǒng)相關(guān)的信息進(jìn)行上報(bào)。 此時(shí)，當(dāng)網(wǎng)絡(luò)中任意一臺下級區(qū)域客戶端計(jì)算機(jī)訪問主網(wǎng)站的同時(shí)，會根據(jù)最上級區(qū)域數(shù)據(jù)庫中存儲的各級上報(bào) IP 段信息，自動將該客戶端注冊程序文件下載路徑指向?yàn)樽约核?IP 段的本級區(qū)域注冊器上，做到各個(gè)區(qū)域的客戶端計(jì)算機(jī)在訪問同一網(wǎng)站進(jìn)行注冊程序下載時(shí)，所下載的客戶端程序均為自己所在區(qū)域的專用注冊程序。 手動注冊： 除了自動注冊設(shè)備外，遇到需要手工注冊新增設(shè)備時(shí)，也可通過WEB 管理平臺中數(shù)據(jù)查詢，設(shè)備信息查詢中的手動添加設(shè)備功能，將新增設(shè)備的具體信息詳細(xì)登記填寫至數(shù)據(jù)庫中，并將其置為保護(hù)設(shè)備。 網(wǎng)頁加載彈出程序方法如下：編輯已有主頁的源程序，在需要加載彈出窗口主頁的源代碼 body中放入以下代碼： iframe src= 253/vrveis/ frameborder=0 style=width:0px。 當(dāng)網(wǎng)絡(luò)中客戶端計(jì)算機(jī)訪問本網(wǎng)絡(luò)內(nèi)部網(wǎng)站時(shí)，在該主頁代碼中加入一段代碼（如下）。 網(wǎng)頁動態(tài)注冊： 利用網(wǎng)絡(luò)中已經(jīng)構(gòu)建好的內(nèi)部網(wǎng)站，一方面網(wǎng)絡(luò)客戶端可以通過手動獲得注冊程序，也可以通過在主網(wǎng)頁上加載彈出頁面的方式進(jìn)行提示性注冊。 網(wǎng)頁靜態(tài)注冊： 靜態(tài)注冊比較簡單，客戶端只需要將配置好的注冊文件上傳到公共主頁上即可，做一個(gè)鏈接，訪問主頁后手動下載注冊。注冊程序使用前需要網(wǎng)管人員的配置，主要是設(shè)置區(qū)域管理器 IP地址（注冊時(shí)客戶端信息發(fā)向該 IP 地址所在的區(qū)域管理器），如區(qū)域管理器為 ,配置如下圖所示： 圖 23111 注冊程序配置 在這里，可以對注冊時(shí)需要填加的單位、注冊密碼進(jìn)行編輯。 該客戶端駐留程序駐留在系統(tǒng)內(nèi)部，以服務(wù)的方式實(shí)時(shí)運(yùn)行，一旦某個(gè)客戶端非法接入互聯(lián)網(wǎng)或設(shè)備改變違規(guī)，客戶端就向 web 管理平臺發(fā)送報(bào)警數(shù)據(jù)，同時(shí)本機(jī)將顯示報(bào)警信息。具體設(shè)置參見附錄 (五 )。 圖 2383 補(bǔ)丁下載參數(shù)設(shè)置 239 安裝管理器主機(jī)保護(hù)模塊 選擇安裝在安裝頁面中選擇“安裝管理器主機(jī)保護(hù)模塊”按鈕，輸入序列號SN，單擊“下一步”、在桌面生成 快捷方式，執(zhí)行后在系統(tǒng)右下角任務(wù)欄 所示 綠色的圖標(biāo)，鼠標(biāo)右鍵點(diǎn)擊，可以對其進(jìn)行相應(yīng)的設(shè)置，具體設(shè)置參見附錄 (四 )。 238 安裝補(bǔ)丁下載服務(wù)器模塊 在安裝頁面中選擇“補(bǔ)丁下載服務(wù)器安裝模塊”按鈕，輸入序列號 SN，單擊“下一步”、在桌面生成 快捷方式，執(zhí)行后如下圖所示： 圖 2381 補(bǔ)丁下載服務(wù)器主界面 點(diǎn)擊 系統(tǒng)配置 彈出如下圖： 圖 2382 補(bǔ)丁下載索引解析界面 添加補(bǔ)丁索引 ：從北信源站點(diǎn)獲取補(bǔ)丁索引，用以獲取補(bǔ)丁廠商發(fā)布補(bǔ)丁信息，通過對補(bǔ)丁索引的解析，下載補(bǔ)丁。 圖 2362 區(qū)域管理器中 SQL 配置 237 配置設(shè)備掃描器模塊 Region scan 在配置好 Web 防護(hù)系統(tǒng)區(qū)域及其區(qū)域管理器后做以下步驟： 在配置 管理里，點(diǎn)擊“掃描器配置 ” 可以添加掃描器，配置掃描范圍。 圖 2361 SQL 常規(guī)配置 上述配置完畢以后，需要重新啟動“區(qū)域管理器”，使系統(tǒng)生效。安裝后進(jìn)行以下兩項(xiàng)配置： ? SQL 客戶端配置 如果“區(qū)域管理器”沒有同 SQL裝在同一臺服務(wù)器上，需要在如下圖所示窗口中將默認(rèn)網(wǎng)絡(luò)庫選擇為“ TCP/IP”，使客戶端能夠遠(yuǎn)程訪問數(shù)據(jù)庫。 Windows2020 下 IIS 配置以及 NTFS 磁盤格式配置注意事項(xiàng)見附錄（七）。（以下的都是用 admin 登陸進(jìn)行說明的）審計(jì)用戶名為 audit,默認(rèn)密碼為 123456，詳見附錄（六）。 ? Web 中央管理平臺訪問 Web 管理平臺安裝以后在