天珣内网安全风险管理与审计系统V6694Patch66940.docx

天珣内网安全风险管理与审计系统安装配置手册（V6.6.9.4）启明星辰Beijing Venustech Cybervision Co., Ltd.2012年11月天珣内网安全风险管理与审计系统V6.6.9.4 – 安装配置手册版权声明北京启明星辰信息安全技术有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司未经北京启明星辰信息安全技术有限公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途天珣”为北京启明星辰信息安全技术有限公司的注册商标，不得侵犯免责条款本文档依据现有信息制作，其内容如有更改，恕不另行通知北京启明星辰信息安全技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠，但北京启明星辰信息安全技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任目 录版权声明 1免责条款 1信息反馈 11 综述 42 安装环境及要求 43. 天珣内网安全风险管理与审计系统主要组件介绍 63.1. 服务器组件 63.1.1. 中心策略服务器 63.1.2. 本地策略服务器 63.1.3. 资产管理服务器 63.1.4. Radius服务器 63.1.5. 攻击告警服务器 73.1.6. 软件分发服务器 73.1.7. HOD远程桌面服务器 73.2. 策略网关组件 73.2.1. 策略网关代理 73.2.2. 中性策略网关 83.2.3. IIS策略网关 83.2.4. ISA策略网关 83.2.5. EXCHANGE策略网关 83.2.6. DNS策略网关及旁路监听式DNS策略网关 83.2.7. 客户端 93.2.8. 按需支援管理端 93.2.9. 客户端打包程序 94. 天珣内网安全风险管理与审计系统的安装 94.1. 快速安装 104.1.1 快速安装部署 104.1.2 基本配置 274.2. 自定义安装 324.2.1 自定义安装中心服务器 324.3. 本地服务器的安装配置 334.3.1 添加策略服务器 384.4. 策略网关配置 384.4.1 添加策略网关代理 394.4.2 安装中性策略网关 394.5. 远程桌面的系统配置 464.5.1 安装添加远程桌面服务器 464.5.2 添加远程桌面管理员 464.5.3 安装按需支援管理员端程序 474.5.4 用户请求管理员远程帮助 494.6. 软件分发安装与配置 494.6.1 安装软件分发服务器 494.6.2 配置软件分发 504.7. 安装资产服务器 514.8. 安装告警服务器 524.9. 安装RADIUS服务器 534.10 客户端的打包及分发 541 综述天珣内网安全风险管理与审计系统的集端点主动安全防护和桌面管理于一身，具有世界领先水平的产品体系架构，从根本上解决了客户端从蠕虫病毒的主动防御、可靠的补丁管理、非授权访问控制、端点准入控制、桌面运行环境的标准化和自动化管理等一系列问题，帮助用户创建高可靠、高可用和高安全级别的可信任网络环境。

天珣内网安全风险管理与审计系统架构如下图所示主要由策略服务器、天珣客户端、策略网关组成策略服务器包括中心服务器、本地服务器、补丁分发服务器、radius服务器、告警服务器等组件，所有功能服务器集中管理，组件可根据具体情况增减数据库采用SQL SERVER，统一管理报警日志及审计等数据2 安装环境及要求客户端（Clients） 计算机没有很高的系统要求客户端软件(也被称CC)可以被安装在Windows 系统之上，包括 Windows2000 SP4, Windows Server 2003 和32/64位Windows XP，Windows Vista, 32/64位Windows Server 2008，32/64位Windows 7 数据库 支持32位 Microsoft SQL Server 2000，32/64位 Microsoft SQL Server 200532/64位 Microsoft SQL Server 2008中心服务器（Server） 是整个策略架构的管理中心、策略中心必须运行2003 SERVER SP1 (32/64) 或 2008 Server SP1 (64)的平台上。

中心服务器通过web方式管理，要求安装IIS服务器其对硬件要求的高低应根据所管理的客户端数量的多少来定，其中，服务器安装要求的最低配置如下：硬件：CPU PIII 1G或以上Memory 1G或以上硬盘 40G空闲软件：Windows 2003 Server SP1以上Internet Information Services 6.0以上Dot Net Framework2.0MDAC 2.7或以上中心服务器、攻击告警服务器需要安装SQL Server数据库，可根据现场环境选择独立安装或集中安装于中心服务器，若安装于中心服务器，请确保中心服务器有足够的内存和硬盘空间策略网关代理(Plug-in Proxy)：管理所有关联的策略网关，策略网关代理从Local Server上取插件策略当策略网关激活时，策略网关代理将策略发送给各个关联的策略网关策略网关代理的主要作用在于可以将安装在多个应用服务器上的有相同插件策略的插件策略网关交给同一个策略网关代理管理，从而简化管理员的配置；同时，各个插件策略网关可相互共享CC的状态，如CC1在插件1上通过了认证，那么通过插件2访问时就无需第2次认证，提高系统性能。

IIS策略网关、ISA策略网关、Exchange策略网关以及中性策略网关：策略检查点（checkpoint），与CC配合强制用户满足策略策略网关从关联的策略网关代理上取插件策略3. 天珣内网安全风险管理与审计系统主要组件介绍天珣内网安全风险管理与审计系统为CSC架构，即天珣客户端（Clients）、策略服务器（Server）、策略网关（Check Point）3.1. 服务器组件3.1.1. 中心策略服务器所有策略集中存放的地方，系统中唯一的Web管理控制台也与中心服务器集成在一起管理员从Web管理控制台登录到Center Server，进行策略配置，报表查询Center Server同时兼作一个Local Server3.1.2. 本地策略服务器本地策略服务器是客户端日常取策略的地方，也是客户端发送报表的目的地本地策略服务器从Center Server同步得到策略设置本地策略服务器的目的是为了适应企业大区域的分布式分级管理架构本地策略服务器从中心策略服务器获取策略，客户端直接与本地策略服务器通讯3.1.3. Radius服务器Radius服务器是天珣内网安全风险管理与审计系统网络准入的必须组件。

结合各类LDAP认证，使用802.1x协议或EOU协议在交换机网络端口实施网络准入认证，确保只有通过认证的客户端接入并访问网络3.1.4. 攻击告警服务器攻击告警服务器兼作为攻击日志告警服务器和终端审计日志服务器，收集由客户端发来的攻击告警信息和终端审计信息并在中心服务器管理界面，可进行统计和分类查询3.1.5. 软件分发服务器通过软件分发服务器可建立软件安装包，可根据目标地址或地址段、指定时间段分发软件包或自定义文件3.1.6. HOD远程桌面服务器HOD远程桌面服务器用于记录的远程桌面管理员的相关信息，为其关联管理网段后，管理网段内的用户就可使用客户端集成的远程桌面客户端，向管理员发起远程桌面帮助请求3.2. 策略网关组件作为系统及应用准入的准入控制点，检查访问者的客户端运行状态，与客户端配合强制用户满足策略策略网关从策略网关代理上取策略网关策略有时策略网关策略又叫插件策略策略网关分为中性策略网关和IIS、ISA Proxy、Email、DNS等插件策略网关3.2.1. 策略网关代理策略网关的管理者所有的策略网关都直接连接到策略网关代理，从策略网关代理获取策略，接受管理而策略网关代理直接指向策略服务器，并从策略服务器获取策略。

连接到同一个策略网关代理的所有策略网关使用相同的策略设置策略网关代理这个角色的目的是简化策略网关的配置，因为有时一个企业需要安装多个策略网关，而每个策略网关的策略相同3.2.2. 中性策略网关中性策略网关，也叫做中性插件，是安装在任意的X32位的Windows 2000 /2003/2008服务器或Linux的服务器上，执行应用准入控制，它与安装的服务器操作系统有关，而与该服务器运行何种应用无关当终端访问到该服务器，都需要进行安全基线检查，若不符合安全策略，将被拒绝访问该服务器，并给出提示信息（只有基于http访问，才能正确提示）其中安全基线包括是否安装客户端软件、安装客户端软件的终端是否达到安全策略要求3.2.3. IIS策略网关部署在IIS服务器上，对所有访问该WEB服务器的终端实施应用准入控制，检查终端是否符合安全策略，若不符合策略，则拒绝访问，并给出提示信息3.2.4. ISA策略网关对所有通过ISA服务器上网的终端，实施应用准入控制，若不符合安全策略，则不允许终端通过ISA访问INTERNET，并给出提示信息3.2.5. EXCHANGE策略网关部署在Exchange邮件服务器上，对访问EXCHANGE邮件服务器的终端实施应用准入控制，检查客户端是否符合安全策略。

对于不符合安全策略的终端，Exchange策略网关将阻断其邮件服务，并给出提示信息只支持EXCHANGE 2003邮件服务器）3.2.6. DNS策略网关及旁路监听式DNS策略网关普通DNS策略网关部署在DNS服务器上，对需要进行DNS域名解析的终端实施准入控制，检查终端是否符合安全策略，对于不符合安全策略的终端，DNS策略网关将阻断其DNS请求，并给出提示信息如果是旁路监听式DNS策略网关，则可部署在DNS服务器上也可部署在互联网出口的某台服务器上对所有DNS请求进行监听如果是在DNS服务器上，那么功能与传统DNS策略网关相同，如果不是，那么旁听式的DNS网关必须安装在链接互联网出口交换机上的某台交换机上，对这台交换机上的其他端口的DNS请求进行镜像，并在旁听式DNS网关的端口上进行监听，对需要进行DNS解析的终端实施准入控制，检查终端是否符合安全策略，对于不符合安全策略的终端，旁听式DNS策略网关将阻断其DNS请求，并给出提示信息3.2.7. 客户端每台终端都必须安装客户端（CC）客户端是安装在每个被策略管理的用户的电脑上的代理程序执行企业策略，安全基线检查，客户端准入控制，访问控制，主动安全防御，资产管理，远程帮助，软件分发，移动存储认证和控制，终端行为审计终端相关功能。

从本地策略服务器上取策略，向本地策略服务器发送报表，当用户不满足策略时，向用户提示相关信息3.2.8. 按需支援管理端如果安装了按需支援（HOD）的远程桌面服务器，需要在承担远程支持服务的管理员电脑上安装按需支援管理端软件安装完成后，如果有终端用户发来远程支持请求，远程支。