北信源VRVEDP内网安全管理系统手册

发布时间：2020-03-02 11:22:45 来源：范文大全收藏本文下载本文手机版

特别声明

 本使用手册由《北信源内网安全及补丁分发管理系统》产品安装配置指导手册、用户手册、产品维护手册三部分组成，其内容将随着北信源软件的不断升级而改变(以光盘中电子版发行时为最新版)，恕不另行通知。需要者请从北信源公司网站下载本手册的最新电子版或者直接联系北信源公司索取。

 《北信源内网安全及补丁分发管理系统》产品由《北信源内网安全管理系统》及《补丁分发管理系统》两大套件构成。  本使用手册为《北信源内网安全及补丁分发管理系统》通用说明书。若您独立购买《北信源内网安全管理系统》或《北信源补丁分发管理系统》之一产品，本说明书的其它功能将不具备。  两大套件主要区别：《北信源补丁分发管理系统》不具备违规联网监控、客户端安全管理和桌面管理功能；《北信源内网安全管理系统》不具备补丁自动分发功能。请您在使用过程中选择性阅读相应章节。

 感谢您购买北京北信源自动化技术有限公司研制开发的内网安全管理及补丁自动分发系列软件。请在使用本软件之前认真阅读本使用手册，当您开始使用该软件时，北信源公司认为您已经阅读了本使用手册。

快速阅读指南

1.详细阅读本软件组件功能、组成、作用、应用构架，确切了解本软件的系统应用。 2.安装准备软件环境：Microsoft SQL Server2000、Windows 2000 Server、Internet 服务管理器；建议将数据库管理系统、区域管理器、WEB管理平台安装在同一服务器上,确认区域管理器所在机器的88端口不被占用（即非主域控制器）；防火墙应允许打开88，2388，2399，22105，8900，8901，22106，22108，8889端口。 3.按步骤安装各组件后，通过http://*.*.*.*/vrveis登录Web管理平台，首先对Web管理平台进行如下配置：添加区域→划分该区域IP范围→指定区域管理器→指定区域扫描器。 4.5.双击屏幕右下角区域管理器、单击主机保护进行通讯参数配置。在\\VRV\\VRVEIS\\download目录中，使用RegTools.exe工具修改DeviceRegist.exe文件中的本地区域管理器IP，将修改后的注册程序DeviceRegist.exe放在机构网站上进行静态网页注册，或者在机构网站上加载动态网页检测注册脚本语句，进行动态设备注册。 6.系统升级：联系北信源公司获取最新的软件组件升级包，确保Web管理平台、区域管理器、客户端注册程序等组件的升级。

特别提示：默认管理员用户：admin，密码：123456；系统指定审计用户名：audit,密码：123456请注意修改。

第一章．系统介绍........................................................................................................5 1-1 产品组成 ............................................................................................................5 1-2 应用构架 ............................................................................................................7 第二章．系统安装........................................................................................................8 2-1 安装环境 ............................................................................................................8 2-2 安装注意事项 ....................................................................................................9 2-2-1 软件安装监控服务器部署注意事项.........................................................9 2-2-2 软件安装和应用过程中注意事项...........................................................10 2-3 系统组件安装 ..................................................................................................11 2-3-1 安装SQL server数据库.........................................................................11 2-3-2 安装WinPcap驱动模块...........................................................................11 2-3-3 安装远程技术支持模块 ............................................................................11 2-3-4 初始化数据库...........................................................................................11 2-3-5 安装Web中央管理平台...........................................................................14 2-3-6 安装区域管理器Region Manage............................................................15 2-3-7 配置设备扫描器模块Region scan........................................................16 2-3-8 安装补丁下载服务器模块.......................................................................17 2-3-9 安装管理器主机保护模块.......................................................................18 2-3-10 安装报警中心模块.................................................................................18 2-3-11 客户端注册及下载.................................................................................18 第三章系统应用........................................................................................................27 3-1配置与管理 .......................................................................................................27 3-1-1 区域划分...................................................................................................27 3-1-2 区域管理器配置.......................................................................................30 3-1-3 扫描器配置...............................................................................................35 3-1-4 注册程序配置...........................................................................................38 3-1-5 注册部门配置与管理...............................................................................41 3-1-6 自定义组分配与管理...............................................................................44 3-1-7 IP与MAC绑定列表..................................................................................45 3-2策略中心 ............................................................................................................46 3-2-1 阻断违规接入管理...................................................................................46 3-2-2 策略管理中心...........................................................................................47 3-3数据查询 ............................................................................................................84 3-3-1设备信息查询 .............................................................................................87 3-3-1-2注册设备资产查询..................................................................................88 3-3-1-3硬件变化设备查询..................................................................................91 3-3-1-4设备安装软件查询..................................................................................88 3-3-1-5设备首次运行进程查询..........................................................................89 3-3-1-6共享目录查询..........................................................................................90 3-3-1-7设备IP占用状况列表 ............................................................................91 3-3-7移动设备审计查询 .....................................................................................92 3-3-7安全策略违规查询 .....................................................................................94 3-3-8涉密检查查询 .............................................................................................95 3-3-9消息确认查询 .............................................................................................96 3-3-11软件分发查询 ...........................................................................................97 3-3-12软件分发统计 ...........................................................................................97 3-4终端控制 ...........................................................................................................98 3-4-1终端管理：................................................................错误！未定义书签。 3-4-2行为控制....................................................................错误！未定义书签。 3-4-3 VPro 远程管理.........................................................错误！未定义书签。 3-4-4远程协助....................................................................错误！未定义书签。 3-5补丁分发 ...........................................................................错误！未定义书签。 3-6运维信息 ...........................................................................................................98 3-6-1客户端流量排名......................................................................................116 3-6-2客户端流量统计......................................................................................117 3-6-3运维状态异常..........................................................................................117 3-6-4网络拓扑发现............................................................错误！未定义书签。 3-7报警事件 .........................................................................................................119 3-7-1报警数据查询..........................................................................................119 3-7-2图形化报警..............................................................................................123 3-7-3本地报警数据汇总..................................................................................123 3-8级联总控 .........................................................................................................127 3-9统计报表 .........................................................................................................133 3-10系统维护 .......................................................................................................135 第四章补丁分发管理..............................................................................................142 4-1 区域管理器补丁管理设置 ............................................................................142 4-2 补丁自动下载分发 ........................................................................................143 4-3 客户端补丁检测

（一） ................................................................................148 4-4 客户端补丁检测

（二） ................................................................................150 4-5．本地补丁分发综合查询 ..............................................................................150 4-6 补丁级联下载 ................................................................................................151 第五章客户端阻断..................................................................................................153 5-1 扫描器组件配置 ............................................................................................153 5-2 阻断策略应用 ................................................................................................153 5-2-1 违规自动阻断策略.................................................................................154 5-2-2 手动设置针对设备的单独阻断策略.....................................................154 5-2-3 硬件防火墙联动阻断策略.....................................................................155 第六章网络接入认证管理......................................................................................157 6-1 策略中心->接入认证策略->补丁与杀毒软件认证 .........................................157 6-

2、策略中心->接入认证策略->进程服务注册表认证 .......................................159 6-

3、策略中心->接入认证策略->802.1X接入认证认证 ......................................163 6-4、环境准备方法 ................................................................................................164 RADIUS安装与配置 ............................................................................................164 安装RADIUS ........................................................................................................164 6-

5、各厂商交换机配置 ..........................................................................................177 1.Cisco2950配置方法 ...................................................................................177 2.华为3COM 3628配置 ...............................................................................178 3．锐捷RGS21配置 .........................................................................................182 第七章系统备份及系统升级..................................................................................183 7-1 系统数据库数据备份及还原 ........................................................................183 7-2 系统组件升级 ................................................................................................184 7-2-1 区域管理器、扫描器模块升级.............................................................184 7-2-2 升级网页管理平台.................................................................................184 7-2-3 客户端注册程序升级.............................................................................184 7-2-4 检查系统是否升级成功.........................................................................185 7-3 级联管理模式升级及配置 ............................................................................185 第八章售后服务......................................................................................................187 第九章附录..............................................................................................................189 附录

（一）微软SQLSERVER系统安装步骤 ...........................................................189 附录

（二）北信源内网管理系统名词注释 ........................................................195 附录

（三）移动存储设备认证工具操作说明 ....................................................196 附录

（四）主机保护工具操作说明 ....................................................................214 附录

（六）组态报表管理系统操作说明 ............................................................221 附录

（七）信息安全通告平台 ............................................................................230 第一章．系统介绍

1-1 产品组成

北信源内网安全及补丁分发管理系统由8部分组成：WinPcap程序、SQL Server管理信息库（安装包：环境初始化程序）、Web中央管理配置平台（安装包：网页管理平台）、区域管理器(安装包：Region Manage,原区域扫描器已作为模块集成到区域管理器)、客户端注册程序（安装包：注册程序）、补丁下载服务器、管理器主机保护模块、报警中心模块。

环境初始化程序：SQL Server管理信息库，建立北信源内网安全及补丁分发管理系统的初始化数据库。包括：网络客户端设备属性信息、区域管理器信息、设备扫描器信息、区域管理范围信息、注册（未注册）机器信息、设备属性变化信息、报警信息等。扫描器将设备最新状态信息同数据库中原有信息进行遍历搜索对比，根据规则要求在管理平台上报警。

Web管理平台：Web中央管理配置平台，本系统的管理配置中心。包括区域管理器、扫描器、注册客户端的功能参数设定，网络设备信息发现、系统应用策略制订、报警信息显示、定义任务功能制订、系统用户维护等配置操作。

Region Manage：区域管理器，系统数据处理中心。与管理信息数据库通讯，接收注册程序提供的用户信息，将用户信息（用户填写的物理信息和系统自动采集的硬件信息）并行存入数据库；接受来自控制台的命令操作，发送到客户端、扫描器执行。

对于存在多级管理要求的广域网，网络中可以存在多个区域管理器，系统数据提供逐级上报（转发）模式。

区域管理器内置网络扫描器，扫描器将设备最新状态信息报送至区域管理器，由区域管理器处理后，同数据库中原有信息进行遍历搜索对比，根据管理规则在管理平台上报警。

扫描器配合区域管理器进行工作，可以在分级模式下使用。扫描器只依据Web管理平台中配置的工作范围进行扫描，超越其范围，将不负责执行操作。

WinPcap程序：嗅探驱动软件，监听共享网络上传送的数据。

客户端注册程序：用户访问指定网站自动获得，用户填写本机信息，填写必要信息后上报区域管理器。注册程序自动探测系统硬件信息，连同用户填写的信息一同上报区域管理器。用户将本机注册信息发送到区域管理器后，区域管理器自动将客户端驻留程序应用策略发送给用户，并自动更新。

客户端驻留程序功能：

1.进行本机硬件属性信息变化监视； 2.进行本机IP、MAC地址变化审计；

3.本机系统补丁、软件安装、运行进程状况监测；

4.探测本机是否有违规联网行为，在内网管理中心或外网报警平台报警； 5.接受Web管理平台的管理命令； 6.阻断本机非法外联行为；

7.执行Web管理平台下发的各种策略操作。补丁下载服务器：安装在与Internet网络连接的机器上，用于实时下载补丁厂商发布的补丁。

管理器主机保护模块：管理器主机保护模块可根据管理器或其他服务器具体使用的端口、网络协议、通信IP范围和具体的其他网络应用来定义该计算机使用的安全级较高的网络配置，从而防止该计算机受到恶意的IP冲突以及各种网络、病毒攻击。

报警中心模块：安装在可与区域管理器所在服务器正常通讯的计算机上，本模块可以根据管理员在系统中所配置的报警事件和危险级别提供给管理员包括电子邮件、信使服务、SNMP Trap、手机短信等多种报警方式。

注：区域管理器（Region Manage）、区域扫描器模块（Region scan）、注册程序部分系统的参数配置集中体现在网页管理平台操作上，上述三部分功能参数、功能项数值统一在网页管理平台中进行配置。区域管理器（Region Manage）、扫描器模块（Region scan）部分参数在自身软件组件中配置。

1-2 应用构架

北信源内网安全及补丁分发管理系统应用于局域网、广域网构架，支持跨网段、跨地域的内网远程客户端管理及非法移动设备接入检测、网内计算机违规联网监视、网络安全隔离度监控等。

系统应用主要分为以下两种构架：

基本构架：对于一般网络（例如1个C类地址或若干个C类地址的局域网范围），可使用一套本系统软件，集中管理所属区域内的所有设备。

扩展构架：对于大规模的多个局域网或者跨地域广域网（包括基于国家、省、市、县等多级管理模式的网络结构），可使用本系统提供的多区域集中管理构架，即一个或多个网段各拥有一套独立北信源内网安全及补丁分发管理系统的同时，将本级所有设备信息再转发给上级管理数据库，使得上一级管理人员对整个网络的设备状况也能够完全掌握。

图1-1北信源内网安全及补丁分发管理系统应用拓扑

第二章．系统安装

2-1 安装环境

条件一：硬件环境

SQL Server数据库服务器：用于安装系统管理信息数据库。PC服务器或更高档服务器， PentiumⅣ 2.4C 以上CPU，512M以上内存。

区域管理器：用于安装区域管理器程序。百兆或千兆网卡，PC服务器或更高档服务器， PentiumⅣ 2.4C 以上CPU，512M以上内存。

扫描器模块：配置同区域管理器。如单独安装扫描器模块，比较高档的PC计算机即可。

本系统各程序可安装在同一台计算机上，也可在不同机器上安装SQL数据库、IIS服务器、区域管理器、扫描器模块等，此时推荐该计算机内存为1G以上。

建议将区域管理器、扫描器、网页管理平台安装在同一台机器上，作为监控服务器。

条件二：提供数据库、IIS服务

操作系统：Windows 2000或Windows 2003企业版操作系统。 SQL Server2000软件：配备SQL Server数据库系统，用于北信源内网安全及补丁分发管理系统建立管理信息库数据库列表项。

IIS服务：配备IIS服务器提供Web服务，用于安装Web网页管理配置平台。如所装操作系统为Windows 2003企业版，则需要按照安装光盘中的Windows 2003的IIS配置说明进行IIS配置。

条件三：为本系统提供相应端口

北信源内网安全及补丁分发管理系统区域管理器将占用操作系统88端口，必须确保安装区域管理器的机器该端口不被占用。区域内的防火墙应打开如下端口：80，88,2388，2399，8901,8900,161,137,22105，8889，22106，22108以及ICMP协议。同时最好将DNS服务迁移至其它服务器。

2-2 安装注意事项

软件安装时，推荐将区域管理器、扫描器、数据库安装在同一台机器上（以下称为监控服务器），建议按照下面要求进行监控服务器部署、软件安装、客户端注册。

2-2-1 软件安装监控服务器部署注意事项

1、监控服务器在网络中放置位置注意点

 确保该监控服务器能够ping通所有被管理网络中任意一台客户端机器，同时被管理客户端可以正常连接服务器的TCP的80,88两个端口。  监控服务器给客户端下达策略的端口为：TCP端口22105。  监控服务器扫描发现客户端利用以下协议及端口：

 ICMP协议（发现IP地址存在的其中一种方式）；

 NETBIOS协议,UDP端口137(为了发现机器名和MAC地址)；  SNMP协议,TCP端口161（为了发现智能设备如路由器、交换机等）；  在本地网络中若划分了VLAN，或本地网络存在防火墙，请注意上述问题。

2、存在网中子网（如经过地址转换）的网络布置点

对于网络中存在网中网现象，如采用NAT地址转化或者代理方式在10.*.*.*网络中接入192.*.*.*网段，这些子网用户的管理方式如下：

情况一：子网有专人管理，并且有独立机房,则应在该子网中安装一套完整的监控系统。

情况二：子网无专人管理，或无独立机房，可采用以下3种方式之一处理 1) 机器数量少的建议统一更改IP为10.*.*.* 网段。 2) 由管理员监督子网中所有机器进行注册并保证不得遗漏。

3) 在该网络中指定一台工作站专门安装区域管理器软件和区域扫描模块，并将区域管理器配置中SQL服务器地址指向监控服务器。

2-2-2 软件安装和应用过程中注意事项

1、必须按照软件安装步骤进行安装 1）确认本机IIS服务正常；

2）确认本机SQL已正常安装并能正常使用（以本地系统账户方式安装）； 3）确认目标安装盘剩余空间不小于10G； 4）请务必按照指定顺序安装各个模块；

5）请在区域扫描模块所在计算机中安装SNMP服务；

6）安装完所有系统模块后，请一定按照说明文档进行客户端程序的配置及分发安装。

2、监控服务器的安全性问题

管理服务器安装Windows2000 Server操作系统（带IIS）、MS SQL Server2000数据库后，一定要确保对Windows2000、SQL和IE进行重要安全补丁修补，规范操作系统、数据库的口令和密码设置，保证SQL、IIS的正常启动运行。

确保本服务器无病毒，同时可配置本服务器网络通讯端口仅打开：80，88，6800，8901，8900，22105，2388，2399，8889。

3、保护机制的应用

对大多数交换机、路由器、非Windows设备，需要将其设置为保护状态（避免被阻断导致网络不通），其它如有系统无法识别的重要设备，请在网页管理平台设备信息查询中手动将其设置为保护状态。 2-3 系统组件安装

安装顺序依次为：

*安装 SQL Server数据库； *安装WinPcap驱动程序；

*安装并运行环境初始化程序，初始化数据库；

*安装网页平台并进行划分区域，配置区域IP范围、区域管理器参数、设备扫描器参数

等（推荐安装在默认路径下）；

*安装区域管理器（推荐安装在默认路径下）； *通知所有用户下载并运行注册客户端代理探头程序。

2-3-1 安装SQL server数据库

略，见附录(一)。

2-3-2 安装WinPcap驱动模块

在安装页面中选择“安装WinPcap驱动模块”按钮，单击“下一步”安装在区域扫描器所在计算机上。

2-3-3 安装远程技术支持模块

该模块是一个程序附属工具(一般不需要安装)在客户端安装程序里带有该程序, 是用户远程桌面管理及控制,有便于管理员帮助终端用户解决问题。

2-3-4 初始化数据库

初始化数据库是在SQL数据库中初始化建立VRVEIS数据库并生成系统必需的相关数据表格，在此过程中需要利用本地数据或者调用远程SQL数据库，用户需要根据实际安装情况按以下两种方式进行操作：  本地SQL数据库服务器环境初始化 1)、环境初始化，建立初始数据库

在SQL服务器地址栏中添加本地机器IP地址、SQL用户名、及SQL用户密码。

图 2-3-4-1 SQL数据库服务器环境初始化

2)、检查数据库初始化是否成功：

图2-3-4-2 检查数据库初始化

当有如图“初始化数据库结构成功”提示框弹出时，说明已成功创建初始化数据库。否则会出现如下图所示提示信息：

图2-3-4-3初始化数据库失败提示信息

如果出现如上图所示提示信息，用户需要检查所填入的SQL数据库IP地址、用户名以及用户密码，重新初始化数据库。

 远程SQL数据库服务器环境初始化（建议非特殊情况不采用远程方式） 1)、输入远程数据库信息，配置SQL客户端：安装远程数据库需要首先输入远程数据库IP地址、用户名称、用户密码，然后点击“配置SQL客户端”，出现如下界面：

图2-3-4-4 配置SQL客户端

2)、在通用栏中，启用TCP/IP协议：在通用栏中，选用TCP/IP协议，并启用，然后单击别名，进行别名添加设置。

图2-3-4-5 启用所选协议

3)、进行客户端别名的添加:单击上图中所圈中的别名，出现如下所示：

图2-3-4-6 对客户端别名的添加

4)、进行网络协议的选择和服务器别名的添加：此时用户需要首先选择网络协议，选定为TCP/IP，服务器别名根据用户需要自由添加，点击确定后完成数据库初始化。

2-3-5 安装Web中央管理平台

 安装Web管理平台

此部分程序要求安装在默认路径下，安装过程中请确保信息填写正确，否则，Web服务器可能不能正确访问SQL Server数据库。

 Web中央管理平台访问

Web管理平台安装以后在IIS目录上以虚拟目录的形式存在，虚拟目录名称为VRVEIS，用户在安装完成以后，用http://Web服务器域名（IP）/VRVEIS的形式访问Web管理平台主页面。默认用户名为admin，密码为123456。（以下的都是用admin登陆进行说明的）审计用户名为audit,默认密码为123456，详见附录

（六）。

如果http://Web服务器域名（IP）/VRVEIS访问无效，则以http://Web服务器域名（IP）/VRVEIS/INDEX.ASP方式登录。

Windows2003下IIS配置以及NTFS磁盘格式配置注意事项见附录

（七）。

2-3-6 安装区域管理器Region Manage 在Web中央管理平台中划分区域及指定区域管理器后（参见Web中央管理平台配置）安装区域管理器组件。安装后进行以下两项配置：

 SQL客户端配置

如果“区域管理器”没有同SQL装在同一台服务器上，需要在如下图所示窗口中将默认网络库选择为“TCP/IP”，使客户端能够远程访问数据库。在“区域管理器”中选择“配置”->“系统配置”，配置SQL客户端，也可以通过Alt+S热键，进入配置。

图2-3-6-1 SQL常规配置

上述配置完毕以后，需要重新启动“区域管理器”，使系统生效。  区域管理器系统配置

SQL服务器配置：进入“系统配置”，逐步输入SQL服务器IP地址、用户名称及密码、数据库名称（默认为VRVEIS），单击“确定”完成SQL服务器配置。

图2-3-6-2 区域管理器中SQL配置

2-3-7 配置设备扫描器模块Region scan 在配置好Web防护系统区域及其区域管理器后做以下步骤：

在配置管理里，点击“扫描器配置”可以添加扫描器，配置扫描范围。

图2-3-7区域扫描器配置

填写相关信息之后重新启动区域管理器，程序会自动缩小到系统托盘，表示数据库连接成功，程序运行正常，此时通过上图中“扫描器配置”项来查看扫描器相关运行信息。 2-3-8 安装补丁下载服务器模块

在安装页面中选择“补丁下载服务器安装模块”按钮，输入序列号SN，单击“下一步”、在桌面生成DownPatch.exe快捷方式，执行后如下图所示：

图2-3-8-1 补丁下载服务器主界面

点击系统配置弹出如下图：

图2-3-8-2 补丁下载索引解析界面添加补丁索引：从北信源站点获取补丁索引，用以获取补丁厂商发布补丁信息，通过对补丁索引的解析，下载补丁。按照补丁索引、管理配置要求从补丁厂商站点获取补丁，补丁下载支持各种方式（下载线程、下载时间）自定义下载补丁。

图2-3-8-3 补丁下载参数设置

2-3-9 安装管理器主机保护模块

选择安装在安装页面中选择“安装管理器主机保护模块”按钮，输入序列号SN，单击“下一步”、在桌面生成 ncenter.EXE快捷方式，执行后在系统右下角任务栏所示

绿色的图标，鼠标右键点击，可以对其进行相应的设置，具体设置参见附录(四)。

2-3-10 安装报警中心模块

选择安装在安装页面中选择“安装报警中心模块”按钮，输入序列号SN，单击“下一步”、在桌面生成 ncenter.EXE快捷方式。具体设置参见附录(五)。

2-3-11 客户端注册及下载

（一）客户端注册原理及注册程序配置

 客户端注册原理

执行注册程序，根据要求填入指定信息，系统自动将所添加信息和系统自动采集获得的设备信息发送到区域管理器（设置为转发模式的将发送到上级区域管理器），区域管理器将注册信息导入SQL数据库保存，在Web管理平台中设置的客户端参数策略将由区域扫描器扫描客户端后，发送给客户端驻留程序保存执行。

该客户端驻留程序驻留在系统内部，以服务的方式实时运行，一旦某个客户端非法接入互联网或设备改变违规，客户端就向web管理平台发送报警数据，同时本机将显示报警信息。

 修改客户端注册程序配置文件

在web平台中配置管理->注册程序配置。注册程序使用前需要网管人员的配置，主要是设置区域管理器IP地址（注册时客户端信息发向该IP地址所在的区域管理器），如区域管理器为192.168.0.244,配置如下图所示：

图2-3-11-1 注册程序配置

在这里，可以对注册时需要填加的单位、注册密码进行编辑。如下图所示:

图2-3-11-2 单位和部门添加删除

（二）客户端注册方法

客户端注册方法包括网页静态注册、网页动态注册、手动注册、网关重定向强制注册等。

网页静态注册：

静态注册比较简单，客户端只需要将配置好的注册文件上传到公共主页上即可，做一个链接，访问主页后手动下载注册。

主要讲述动态注册，这种方法适用于网络用户较多的情况，客户端只要访问网络内公共网站，网页将自动对客户端进行探测，弹出提示窗口，提示用户进行注册。

网页动态注册：

利用网络中已经构建好的内部网站，一方面网络客户端可以通过手动获得注册程序，也可以通过在主网页上加载弹出页面的方式进行提示性注册。本手册将主要介绍后一种方式。

当网络中客户端计算机访问本网络内部网站时，在该主页代码中加入一段代码（如下）。本代码作用在于首先获得该客户端计算机的IP地址，再读取数据库里面相关IP地址的注册和其它相关信息，如果该IP地址的设备存在，系统会根据其是否完成“注册”、“信任”、“保护”三项操作进行判断，只要满足其中任意一条件，都不会提示注册，否则会弹出窗口提示注册。

网页加载弹出程序方法如下：编辑已有主页的源程序，在需要加载弹出窗口主页的源代码中放入以下代码：

注意：需要将其中的http:// 192.168.0.253/vrveis/quest.asp换成http:// 安装内网安全管理网页平台计算机IP/vrveis/quest.asp即可，此时当网络中计算机访问该内部主页时，会自动弹出如下提示页面：

图2-3-11-3 网页动态注册

使用网页动态注册时，请管理员通知注册人，在访问本网站时，暂时关闭网页弹出拦截程序或将本网站添加到不拦截列表中。

手动注册：除了自动注册设备外，遇到需要手工注册新增设备时，也可通过WEB管理平台中数据查询，设备信息查询中的手动添加设备功能，将新增设备的具体信息详细登记填写至数据库中，并将其置为保护设备。

注意：

1.多级级联注册：如果系统为多级级联方式，必须在区域管理器的高级配置中的“系统配置”、“策略配置”选项中的级联选项选中，并正确添加上级管理器的IP地址，各级区域会将自己所管辖的区域管理IP段上报到上级数据库中存储。

此时，当网络中任意一台下级区域客户端计算机访问主网站的同时，会根据最上级区域数据库中存储的各级上报IP段信息，自动将该客户端注册程序文件下载路径指向为自己所处IP段的本级区域注册器上，做到各个区域的客户端计算机在访问同一网站进行注册程序下载时，所下载的客户端程序均为自己所在区域的专用注册程序。

如果网络中内部网站，网络管理员可以通知网络内计算机在本系统Web管理平台的登录页面中点击下载注册程序完成系统注册，或者在此页面下按上面的步骤做好弹出提示窗口方式注册。注册程序界面如下：

图2-3-11-4 客户端注册信息

无论采取哪种方式，在注册成功以后，注册程序除了将主动添加的信息自动上报以外，还会自动收集其它和系统相关的信息进行上报。

客户端和区域管理器连接通讯不正常的情况下，将提示用户“缺省注册成功”，表示客户端探头已经注册完毕，但还没有与区域管理器通讯。当区域扫描器扫到该计算机的IP地址时，才会将添加的信息及系统采集信息上报到区域管理器，存储在数据库当中。

2．本系统使用初期，若要求对下属网络中的计算机信息进行统计、注册、入库，必须在Web管理平台中管理器设置项内选中“允许客户端注册”，如注册时需要密码，也需要在WEB管理平台中进行设置，如下图所示：

图2-3-11-5 允许客户端注册

图2-3-11-6 注册信息编辑

网关重定向：

作用：注册信息重定向。如果没注册的客户机上网，那么他会把上网的网址重定向到指定的注册页面上。 1．正确安装运行注册认证网关

2．启动注册认证网关进行配置

图2-3-11-7 注册认证网关配置

3．在系统参数里选择可以监听到整个网络包的网卡（一般这台机器为网关）

图2-3-11-8 系统参数

4．在重定向配置里，填写对未注册、保护和信任的机器的重定向网址。策略配置为在多长时间内重定向的次数，超过这个次数，将不再重定向。

图2-3-11-9 重定向配置

5．通讯配置，填写区域管理器的IP地址，通讯端口（一般为88），同步信息间隔为同步区域管理的信息（即发现是否有新注册的信息），本地配置，侦听端口为688。

图2-3-11-10 通讯配置

6．配置完后点确认，然后启动注册认证网关，退出重起就可以用了。（建议把这个用在网关处或总的交换机出口处，这样可以捕获所有的信息包）

（三）客户端卸载

网络客户根据情况需要卸载客户端探头程序时，运行安装程序包中的探头卸载程序UnInstallEdp.exe如图：

图2-3-11-11 客户端卸载

记录下序列号，并将序列号复制到如下图的第一个方框中：

图2-3-11-12 查看卸载密码

点击查看将会产生一个卸载密码，将其输入卸载密码框中点击卸载即可。

图2-3-11-13 卸载密码

或通过WEB管理平台中的点—点控制中的终端卸载如图：

图2-3-11-14 终端点对点-终端卸载第三章系统应用

本平台配置主要指北信源内网安全及补丁分发管理系统的网页平台操作，网页平台是整个北信源内网安全及补丁分发管理系统的配置操作核心，整个内网安全及补丁分发管理系统功能的实现全部在Web操作中实现，Web方式有助于管理员远程维护系统，进行统一配置和统一管理。掌握对网页平台的功能操作和配置对使用本系统来提高整个网络的安全性和解决网络管理的效率有着重要作用。

菜单功能模块:系统策略中心、数据查询、终端控制、补丁分发、运维信息、报警事件、级联总控、统计报表、系统维护等模块。

3-1配置与管理

3-1-1 区域划分

在网页平台安装完毕之后，访问http://Web服务器域名（IP）/VRVEIS访问WEB管理平台登录界面。如下所示：

图3-1-1-1 Web管理登录界面

其中客户端工具下载菜单提供了包括用户注册器下载、补丁检测中心、多路帮助平台、普通工具下载、管理员工具下载、工具上传管理等功能，用户按照页面提示操作即可。

图3-1-1-2 客户端工具下载界面

系统默认用户为admin，密码为123456，登录后建议管理员修改管理员密码。成功登录后，进入系统的主界面。如下图所示：

图3-1-1-3 Web管理主界面  在所处的IP地址段内，进行区域划分操作

首先进行区域添加和划分操作。

区域划分：单击配置管理里的“区域划分与配置”，对网络中的客户端进行区域划分管理，按照提示依次添加区域、增加区域IP管理范围、分配区域管理器、，并完成系统组件运行参数配置。

具体步骤：

区域描述配置栏中填写好一些必要的与区域相关的信息，如区域机构代码、区域名称、负责人姓名等。其他信息可以酌情依照实际用途填写。本区域IP划分：根据用户实际需要在下图所示的文本框中填入需要管辖的IP地址。

其中保留IP段为该网段目前没有网络设备存在的网段，如有设备存在，则会产生报警信息。

图3-1-1-4区域划分与配置

下级区域划分：在已有区域页面中点击“增加下级区域”按钮进行下级区域添加，如集团总部下属总裁办、行政部、财务部等。

图3-1-1-5 增加区域

3-1-2 区域管理器配置

区域管理器：区域管理器为系统策略控制及数据接收处理中心，具有控制完成系统相关的动作行为处理功能；同时与本级数据库系统连接，统一接收注册程序提供的信息，将用户信息（填写的计算机使用人姓名、联系电话、E-mail等，计算机IP、MAC地址、硬盘、CPU、内存等其它硬件信息均为自动采集）存入数据库。

根据本区域客户端IP管理情况确定对IP地址的管理方式，若选择IP、MAC地址绑定，需要在静态IP环境下进行设置。

允许客户端控头升级：设置本区域管理器管理范围内的客户端的升级操作。设置vpn网络虚拟管理器IP：是指添加VPN虚拟服务器的IP地址。管理器标识：是指管理器的标记，当服务器迁移时需要设置与之相同的管理器标识。

管理器可直接通信网段：在管理多个独立子网时,该配置填写区域管理器服务器可直接通信的地址。

允许客户端注册：是指任意一台在区域范围内的客户端都可以在服务器上注册。

管理器配置同步：当选中“下级区域”时下级区域的配置应该和上级区域管理器的配置相同，当选中“全部区域”时是指下面的任意级联区域都要和区域管理器的配置同步。

图3-1-2-1 区域管理器参数设置

区域管理器系统配置：当设置完当前页面这时我们可以配置刚才安装好的内网安全管理管理器去桌面双击“内网安全管理管理器”快捷方式弹出如下界面：

图 3-1-2-2区域管理器系统配置

 先进行SQL服务器配置：进入“系统配置”，逐步输入SQL服务器IP地址、用户名称及密码、数据库名称（默认为VRVEIS），单击“确定”完成SQL服务器配置。

图 3-1-2-3 SQL服务器配置

管理器配置：本软件默认机器操作系统88端口，若其它应用程序占用该端口，将自动更改为188。

如果区域管理器应用于多级管理（每级都有独立的SQL server和相应的内网安全管理及补丁自动分发管理平台）的级联构架体系，其上级还有区域管理器的情况下，当前区域管理器需要将所有信息上报到上级管理器。

区域管理器支持多级级联，如国家、省、市、县多级规模网络管理构架，下属区域管理器将其所有计算机报警信息转报到上级数据库。注：需要把“上报给上级管理器”√上，输入上级管理器地址。

升级配置：用于配置区域管理器的自动升级，升级服务器地址为上级区域管理器IP。

区域管理器配置-高级设置系统配置：

锁定下级策略是指下级不能够更改策略信息。

上报给上级区域管理器是指下级的策略，阻断，违规信息上报给上级区域管理器，在此处打上“√”添加上上级管理器地址，配置级联。

图3-1-2-4 区域管理器

阻断配置：

图3-1-2-5阻断配置

探头阻断：目前常用的阻断方式，由扫描器调度探头完成阻断任务。只要保证一个网段（VLAN）中有一台存活的已注册计算机，就可以实现阻断。

防火墙阻断：该方式必须与防火墙结合使用，需要设置必要的防火墙规则集和安全认证，与其它厂商防火墙不兼容。

报警过滤：本软件系统提供对多种违规变化行为的报警：非法外联、设备未注册、IP绑定变化、设备变化、探头被卸载、病毒行为报警等。

本地报警种类过滤：仅对本地网络中区域管理器管理范围内的违规变化行为进行报警显示，用户根据自身管理要求进行筛选。

图3-1-2-6 报警种类过滤

策略配置：系统支持对各种文件的分发，在Web中央管理平台进行软件分发操作前，必须对本项进行配置。

默认将分发文件放在C:\\VRV\\RegionManage\\Distribute目录下，管理员可根据需要自行更改路径，同时，修改本路径后，补丁下载存放的位置也会相应改变。

图3-1-2-7策略配置

补丁下载：将待分发操作系统补丁放置在设置好的补丁路径的目录下，在Web中央管理平台中进行分发操作。

管理员通过对参数项的选择进行下载配置，级联IP提供对上一级补丁的下载获取。

图3-1-2-8 补丁下载

其他配置：主要是硬件网关重定向配置，此功能必须配合硬件设备使用。

图3-1-2-9 其他配置

3-1-3 扫描器配置

点击增加扫描器设置扫描器扫描网络IP范围。机构代码：一般为阿拉伯数字，由用户单位根据管理要求进行设定。扫描间隔：根据管理IP范围大小进行设置（建议设置为10分钟）。

图3-1-3-1 区域扫描器参数设置

注:扫描器配合区域管理器进行工作，扫描器的扫描范围不可能超过它的区域管理器管理的IP范围。

扫描器除了指定扫描的IP范围外还能够指定排除不扫描的地址范围，如有某些网段不需要扫描器发现设备，为缩短扫描时间，可在扫描器设置中增加禁止扫描地址段的设置。

扫描器高级配置：

图3-1-3-2 扫描器配置-系统配置

扫描器高级配置——系统配置：

扫描频率设定：用户可以根据网络中网络带宽占用情况，灵活设置扫描频率，同样可以选择是否“使用SNMP扫描”扫描方式，如果选择“使用SNMP扫描”，则系统能够自动对网络设备（例如交换机、路由器、网络打印机等）进行扫描，并自动登记到设备列表库中。

阻断选项：如果用户选择“扫描器阻断”，此时可采取“轻量级阻断”和“重量级阻断”两种方式。

轻量级阻断：阻断计算机向网络中广播一个ARP请求报文，将被阻断计算机的IP地址及对应的假MAC地址发送给网络内所有的计算机，每台计算机收到请求后便会对本地的ARP缓存进行更新，将收到的请求中的IP和对应的假MAC地址存储在ARP缓存中。这样对于网络中的计算机看来，被阻断计算机的IP地址没有变化，而它的MAC地址已经不是原来那个了。由于局域网的网络通信不是根据IP地址进行，而是按照MAC地址进行传输。因此，被阻断计算机便接收不到网络中计算机（不含阻断计算机）传送过来的信息。

重量级阻断：阻断计算机冒充网络中的其他计算机（本网段1-255）给被阻断计算机发送定向ARP应答报文，被阻断计算机收到请求后便会对本地的ARP缓存进行更新，将收到的请求中的IP和对应的假MAC地址存储在ARP缓存中。这样对于被阻断计算机看来，网络中的计算机的IP地址没有变化，而它们的MAC地址已经不是原来那个了。因此，被阻断计算机便不能向网络中的计算机（不含阻断计算机）传送信息。

扫描器高级配置——交换机扫描配置：

交换机扫描用于扫描发现交换机，进行拓扑发现。Snmp团体名：根据拓扑管理需要输入网络中所有网络设备的snmp读团体名用“;”隔开。

图3-1-3-3 交换机扫描配置

如上图，配置扫描间隔时间一般设成5-10分钟，IP范围设置需要扫描的ip段，snmp读团体名称是根据交换机口令设置的。

该功能的启用需要下载交换机拓扑模块，安装后进行网络拓扑发现。进入web管理平台主页面“运维监控”菜单，启用网络拓扑图，安装交换机拓扑模块后进行网络拓扑发现。

3-1-4 注册程序配置

控制页面如下.管理员可以通过设置来按照需求来配置客户端注册程序,让用户填入相应的信息 ,方便以后管理。其中的项有启用、必选、还可以对输入数据进行控制.后面的功能设置必须对每个功能模块启用。

图 3-1-4-1 注册程序配置

选择编辑单位/部门弹出如下图：

图 3-1-4-2 编辑单位/部门

先选择修改单位弹出如下窗口：

图 3-1-4-3 修改单位

填写单位名称和单位备注消息点击添加/修改单位。最后点击保存修改关闭窗口返回上级窗口如下图：

图 3-1-4-4 保存修改

可以看到刚才添加的单位。

在此输入每个单位所对应的部门,部门备注信息.选择保存修改可以完成单位和部门的配置。

点击设置注册密码弹出如下窗体原注册密码为空。

设置注册密码是为了防止新接入设备非法进行注册。

图 3-1-4-5 直接添加新注册密码保存修改就可以。

注册单位与注册部门产生联动

当对单位和注册部门设置为必填和仅选择这时客户端注册程序对单位和部门的填写只能按照管理员的设置来选择.不能手动填写。

使用静默注册：以上的设置都不生效这时客户端注册程序只需选择下载运行就可以。

注册程序会自己上报终端的计算机名和IP地址MAC地址。选择保存修改点击打包注册程序这时完成客户端注册程序配置。

3-1-5 注册部门配置与管理

新增单位：该功能作用基本与“从系统注册单位导入”相似，不同的是，它可以加入备注信息。

图 3-1-5-1再新增单位

具体方法：选择新增单位弹出如下窗体：

图 3-1-5-2再新增单位

从已注册的单位选择一个单位然后进行单位描述点击添加。后可以在左边看到新增的单位之后选择新增的部门。选择新增的部门弹出如下图对部门进行描述点击添加完成操作。

图 3-1-5-3 单位描述

从系统注册单位导入：该功能作用是将客户端注册时输入的单位名称导入到“注册单位及部门”中。当客户端在注册时输入单位名称时，那么点击“从系统注册单位导入”就可以看到一个单位名称及相应的部门，同一个单位名称只出现一次。

选择左边单位与部门树目录点击从系统注册单位单位导入弹出如下图：

图 3-1-5-4 系统注册单位单位导入

√选要导入的注册单位点击从已注册部门导入。之后选择刚才添加的单位点击从系统注册部门导入或者新增部门选择相应的部门添加即可。

图 3-1-5-5 添加部门 3-1-6 自定义组分配与管理

自定义组用来对网络中特定或者有特殊用途的机器进行编组，以便采取不同的管理手段，方便管理员的管理。该组的客户端成员可以由管理员根据某查询条件而查得的计算机导入自定义组。如下图所示：

图 3-1-6-1 自定义组分配与管理

1．首先创建分组，点击创建下级组：首先创建分组，点击创建下级组，添加分组名称，分组描述，保存设置。

图3-1-6-2 创建分组

2．向组中添加设备：点击添加设备，弹出如下图，可以按设备查找，按IP查找，按操作系统查找，选中一个点击添加，然后点击查询，导入组即可。同时还可以通过设备信息查询，和补丁查询中来添加设备。

图3-1-6-3 查询设备

3．如果需要将IP/MAC绑定，那么可以执行下面操作：将当添加完组设备以后点击“将组设备添加到IP/MAC绑定”，弹出如下图所示的“确定添加该组设备到IP/MAC绑定列表库吗？”点击“确定”即可将设备全部导入IP/MAC绑定列表。

图3-1-6-4 添加IP/MAC绑定

3-1-7 IP与MAC绑定列表

添加、查询系统IP与MAC绑定设备列表如下图（数据来源在自定义组里可以按IP操作系统等添加一个自定义组）。

图 3-1-7-1 添加系统IP与MAC绑定设备列表

图 3-1-7-2查询系统IP与MAC绑定设备列表

3-2策略中心

3-2-1 阻断违规接入管理

当扫描器发现有外来设备接入内网时，该功能可以有效地控制外来设备接入内网而带来的安全威胁（此功能慎用，在不能确认所有的可信客户端都注册前最好不要使用,同时也要把需要保护的设备保护起来），通过选中“没有注册则阻断联网”复选框便可阻断所以未注册设备。同时提供了信使服务（windows2000以上操作系统）提醒IP、MAC绑定等功能，如下图所示：

图3-2-1 阻断违规接入管理

3-2-2 策略管理中心

 如何进行策略创建和分发

（1）在“策略管理中心”中左边的策略项中可点击需要制定的策略，然后在右边的“新建策略名”中输入相应的策略名称后，单击“创建”按钮开始创建策略。

图3-2-2-1策略中心策略制定

（2）随后在具体的策略的配置中根据用户的实际需要配置好策略后，单击“保存策略”就完成了一条策略的创建。（由于各个策略项的配置过程都不一样，这里不再用截图表示，下一节将具体介绍）

（3）接下来是下发策略，即指定策略的执行对象，可通过单击“对象”按钮后，可按界面的提示完成对象的分配。如下图所示：

图 3-2-2-2 下发策略

图3-2-2-3 策略分配对象

如图3-2-2-4表示创建策略成功

（4）如果需要让某一条策略暂时不使用，可按界面中对应的“停用”单选按钮使策略失效，需要使用的时候再单击“启用”按钮使策略生效。如果想要删除某一条策略，则直接按“删除”按钮即可。但在删除某策略之前最好先停用该条策略。  策略的高级设置

策略的高级设置用于客户端程序对策略的执行设置，包括策略状态（启动、停止）、策略存活时间（策略执行的起止时间）、策略执行触发条件（在何种条件下开始执行策略）、策略无效时间（规定时间内客户端不执行策略）、策略应用范围（本级区域、下级区域、所有区域）、级联策略类型等，有些策略还包括具体的触发时间设置等。