北信源内网安全及补丁分发系统用户使用手册v20.doc

北信源内网安全与补丁分发系统用户使用手册北京北信源软件股份有限公司二一三年支持信息在北信源内网安全与补丁分发系统使用过程中，如您有任何疑问都可以通过访问我公司网站或者致电我司客服中心获得帮助和支持！热线支持：400-8188-110客户服务电话：010-62140485/86/87在您使用该产品过程中，如果有好的意见或建议的话也请联系我们的客服中心，感谢您对我公司产品的信任和支持！正文目录第一章概述1手册结构说明1本手册约定1特别说明1产品构架1应用构架3第二章系统配置4配置管理5快速配置5系统配置7注册程序配置24组织结构管理32系统管理36权限角色36用户管理39设备自定义组41终端用户自定义组50用户设置53系统维护55系统运维监视55系统推送设置55序列号管理56软件授权许可证设置56数据库配置56数据重整57数字证书映射情况57工具上传管理58普通工具下载58管理工具下载58数字证书审计上报配置59IP、MAC绑定列表59第三章策略中心60策略的使用60策略的创建和分发60策略的高级设置62策略查询63公共策略66黑白名单配置66消息推送策略67终端配置策略68管理器策略68组合策略69漫游策略分发69临时客户端策略分发69安全准入管理69阻断违规接入管理69补丁与杀毒软件认证70进程服务注册表认证71终端接入认证策略71网关接入认证73VIFR接入认证74行为管理及审计75屏幕抓取策略75屏幕录像策略75文件输出审计76文件保护及审计策略76上网访问审计77上网行为控制策略77IM即时通讯记录审计77上网痕迹检查77文件内容检查77终端涉密检查配置78文件动态监控文件粉碎配置78基本安全管理78硬件设备控制78进程及软件管理79主机安全策略83文件备份策略93普通文件分发94数据安全管理94安全刻录审计94存储管理94补丁分发管理95补丁自动分发95自定义补丁分发96第四章资产信息98本地资产统计98本地注册情况统计98本地设备资源统计98本地设备类型统计99设备信息查询99设备信息查询99注册资产查询99安装软件查询99首次运行进程查询99共享目录查询99设备IP占用情况查询99硬件变化查询99软件变化查询99注册日志查询100操作系统安装查询100计算机开关机查询101离线设备查询101级联总控101级联注册情况统计101级联设备资源统计101级联设备类型统计102级联管理控制102区域管理器状态查询102区域扫描器状态查询103非Windows操作系统设备103硬件资产查询103终端管理103第五章审计报警105条件查询105导出Excel106删除107第六章系统备份及系统升级108系统数据库数据备份及还原108系统组件升级108区域管理器、扫描器模块升级108升级网页管理平台109客户端注册程序升级109检查系统是否升级成功109级联管理模式升级及配置109图目录图1- 1北信源终端安全管理应用拓i扑3图2-1 WEB平台登录界面4图2- 2默认web界面4图2- 3系统配置首界面5图2- 4快速配置5图2- 5主区域信息配置6图2- 6主区域IP划分6图2- 7区域扫描器配置6图2- 8修改完成提示框6图2-9 区域划分与配置界面7图2-10 区域树目录示意图7图2-11 增加下级区域7图2-12 添加区域管理器8图2-13 删除区域提示框9图2-14 区域配置界面9图2-15 区域信息描述参数9图2-16 添加区域IP划分10图2-17 区域IP划分列表11图2-18 修改IP划分范围11图2-19 删除区域IP提示框12图2-20 区域管理器配置12图2-21 区域管理器系统配置13图2-22 区域管理器系统配置14图2-23 区域管理器安全配置15图2-24 区域管理器高级配置15图2-25 管理器配置15图2- 26服务器迁移16图2- 27升级配置16图2- 28阻断配置16图2- 29报警过滤17图2- 30策略配置17图2- 31补丁下载18图2- 32数据上报19图2- 33其他配置19图2- 34区域扫描器参数设置20图2- 35增加扫描范围21图2- 36扫描器删除页面21图2- 37 删除扫描器提示框21图2- 38扫描器列表21图2- 39修改扫描器22图2- 40扫描器高级配置23图2-41 交换机扫描配置24图2-42 注册程序配置24图2-43 注册程序提示126图2-44 注册程序提示226图2-45 编辑单位页面26图2-46 添加单位27图2-47 保存单位27图2-48 修改单位27图2-49 删除单位28图2-50 删除单位提示框28图2-51 提示保存信息28图2-52 编辑部门页面29图2-53 添加部门29图2-54 修改部门30图2-55 上移/下移单位/部门信息记录30图2-56 保存上移操作31图2-57 删除部门31图2-58 删除部门提示框32图2-59 提示保存信息32图2- 60导入提示框33图2- 61导入成功提示框33图2- 62导入后的组织结构33图2- 63查看详细信息34图2- 64管理/移动组织对话框34图2- 65移动后的管理/移动组织对话框35图2- 66从该组移除选定提示框35图2- 67从该组移除全部提示框35图2- 68权限角色配置36图2- 69增加全新组36图2- 70权限组列表37图2- 71修改权限组37图2- 72更新提示37图2- 73给权限组赋权38图2- 74保存提示框38图2- 75查询权限组38图2- 76查看权限组38图2- 77添加组用户39图2- 78删除权限组提示139图2- 79删除权限组提示239图2- 80增加用户40图2- 81添加用户提示40图2- 82用户列表40图2- 83权限组列表40图2- 84分配权限组41图2- 85自定义设备组41图2- 86创建同级组41图2- 87创建下级组42图2- 88修改分组43图2- 89添加设备43图2- 90从设备查询中添加设备44图2- 91设备信息导入44图2- 92导入自定义组44图2- 93自定义组选择45图2- 94自定组全部导入页面45图2- 95自定义组信息列表45图2- 96查看设备46图2- 97移动和复制设备自定义组46图2- 98添加IP/Mac绑定47图2- 99删除自定义组47图2- 100给设备自定义组添加策略47图2- 101策略基本配置48图2- 102添加进程48图2- 103编辑策略49图2- 104策略高级选项49图2- 105分配策略50图2- 106查看策略50图2- 107AD域信息同步51图2- 108Radius服务器同步51图2- 109创建用户组51图2- 110终端用户组列表52图2- 111添加组成员52图2- 112添加提示52图2- 113查看组成员52图2- 114终端用户列表53图2- 115登录终端日志列表53图2- 116修改admin用户密码54图2- 117添加访问控制IP54图2- 118登录提示窗口54图2- 119 系统运维监视55图2- 120系统推送设置56图2- 121序列号管理56图2- 122软件授权许可证设置56图2- 123数据库配置57图2- 124数据重整信息表57图2- 125数字证书映射58图2- 126工具上传58图2- 127普通工具下载58图2- 128管理工具下载58图2- 129数字证书审计上报59图2- 130IP/MAC绑定列表59图3- 1策略管理中心60图3- 2创建新策略61图3- 3策略基本配置61图3- 4下发策略62图3- 5策略高级配置62图3- 6按设备分配策略63图3- 7按设备组分配策略64图3- 8按用户组分配策略64图3- 9按设备查询策略65图3- 10按策略名称查询65图3- 11策略下发记录65图3- 12黑白名单编辑66图3- 13进程黑白名单66图3- 14软件黑白名单66图3- 15URL黑白名单67图3- 16端口黑名单67图3- 17注册码配置69图3- 18阻断违规接入控制设置70图3- 19补丁与杀毒软件认证策略71图3- 20接入认证策略72图3- 21 8021x认证界面72图3- 22 8021x认证界面72图3- 23安全检查没有通过，802.1x不启动认证73图3- 24认证失败73图3- 25网关接入认证策略74图3- 26屏幕抓取策略75图3- 27文件备份路径设置75图3- 28屏幕录像策略76图3- 29硬件设备控制79图3- 30软件安装监控策略80图3- 31进程执行监控策略82图3- 32进程保护策略83图3- 33协议防火墙策略86图3- 34注册表86图3- 35IP与MAC绑定策略87图3- 36防违规外联策略90图3- 37违规提示90图3- 38补丁自动分发96图4- 1本地注册情况信息98图4- 2本地设备资源信息98图4- 3本地设备类型统计99图4- 4软件变化信息100图4- 5注册日志信息100图4- 6操作系统安装日志100图4- 7设备信息统计图表101图4- 8级联设备信息101图4- 9级联设备系统类型统计102图4- 10级联管理控制102图4- 11下级级联区域管理器信息102图4- 12区域管理器状态信息103图4- 13区域扫描器状态信息103图4- 14硬件资产查询103图5- 1审计报警首页105图5- 2阻断报警105图5- 3查询条件106图5- 4条件查询结果106图5- 5导出Excel路径选择107图5- 6阻断报警列表107图5- 7删除提示框107图6- 1级联管理配置110表目录表2-1 添加区域参数列表8表2-2 区域信息描述列表10表2-3 添加区域IP划分参数列表11表2-4 修改IP划分范围参数列表11表2-5 区域管理器配置参数列表13表2-6 策略配置参数列表18表2-7 区域扫描器参数列表20表2-8 注册程序配置参数列表25表3- 1策略的高级设置参数说明63表3- 2消息推送策略参数说明67表3- 3终端配置策略参数说明68表3- 4补丁与杀毒软件认证策略参数说明70表3- 5VIFR接入认证策略参数说明74表3- 6文件输出审计策略参数说明76表3- 7上网访问审计策略参数说明77表3- 8文件内容检查策略参数说明78表3- 9硬件设备控制参数说明79表3- 10软件安装监控策略参数说明80表3- 11进程执行监控策略参数说明82表3- 12用户密码策略参数说明83表3- 13协议防火墙策略参数说明85表3- 14注册表检查策略参数说明86表3- 15IP与MAC绑定策略参数说明87表3- 16杀毒软件运行监控88表3- 17防违规外联策略参数说明89表3- 18运行资源监控策略参数说明91表3- 19进程异常监控策略参数说明92表3- 20流量采样策略参数说明92表3- 21流量控制策略参数说明93表3- 22客户端文件备份策略参数说明93表3- 23普通文件分发策略参数说明94表3- 24补丁自动分发策略参数说明96表3- 25人工选择补丁分发策略参数说明97第一章 概述· 注：本手册中的所有图片均为示意图，用户请以实际界面为准。手册结构说明本手册共分为六个章节讲述北信源内网安全管理及补丁分发系统的使用方法，其结构如下：l 第一章：概述l 第二章：系统配置l 第三章：策略中心l 第四章：资产信息l 第五章：审计报警l 第六章：系统备份及系统升级本手册约定图标表示右侧的文本内容需特别注意。并且内容用红色字体标识。特别说明本使用手册为北信源终端安全管理系列产品通用说明书。若您独立购买北信源内网安全管理系统或北信源补丁及文件分发管理系统等其中之一产品，本说明书的其它功能将不具备。感谢您购买北京北信源软件股份有限公司研制开发的北信源终端安全管理系列产品。请在使用本软件之前认真阅读本使用手册，当您开始使用该软件时，北信源公司认为您已经阅读了本使用手册。产品构架北信源终端安全管理产品由8部分组成：WinPcap程序、SQL Server管理信息库（安装包：环境初始化程序）、Web中央管理配置平台（安装包：网页管理平台）、区域管理器(安装包：Region Manage，原区域扫描器已作为模块集成到区域管理器)、客户端注册程序（安装包：注册程序）、补丁下载服务器、管理器主机保护模块、报警中心模块。环境初始化程序SQL Server管理信息库，建立北信源终端安全管理产品的初始化数据库。初始化的信息包括：网络客户端设备属性信息、区域管理器信息、设备扫描器信息、区域管理范围信息、注册（未注册）机器信息、设备属性变化信息、报警信息等。扫描器将设备最新状态信息同数据库中原有信息进行遍历搜索对比，根据规则要求在管理平台上报警。网页管理平台（web管理平台）Web中央管理配置平台，本系统的管理配置中心。包括区域管理器、扫描器、注册客户端的功能参数设定，网络设备信息发现、系统应用策略制订、报警信息显示、定义任务功能制订、系统用户维护等配置操作。Region Manage区域管理器，系统数据处理中心，负责与管理信息数据库通讯扫描终端设备、控制服务器、客户端之间的信息、指令的下达、接受。比如：接收注册程序提供的用户信息，将用户信息（用户填写的物理信息和系统自动采集的硬件信息）并行存入数据库；接受来自控制台的命令操作，发送到客户端、扫描器执行。对于存在多级管理要求的广域网，网络中可以存在多个区域管理器，实现系统数据逐级上报（转发），对网络终端的多级管理。区域管理器内置网络扫描器，扫描器用来发现网络的终端设备。将发现的设备信息交由区域管理器处理。、设备最新状态信息报送至区域管理器，由区域管理器处理后，同数据库中原有信息进行遍历搜索对比，根据管理规则在管理平台上报警。扫描器配合区域管理器进行工作，可以在分级模式下使用。扫描器只依据Web管理平台中配置的工作范围进行扫描，如果终端IP超越其范围，将不负责执行操作。Winpcap程序嗅探驱动软件，监听共享网络上传送的数据。客户端注册程序将接收并执行服务器下发的指令。该程序可以在“工具下载->用户注册器下载”处下载。访问指定网站自动获得，用户填写必要的信息后，运行该程序，区域管理器将收到注册终端的相关信息，同时终端可以接收、执行各种下发的指令。注册程序自动探测系统硬件信息，连同用户填写的信息一同上报区域管理器。用户将本机注册信息发送到区域管理器后，区域管理器自动将客户端驻留程序应用策略发送给用户，并自动更新。客户端驻留程序功能：进行本机硬件属性信息变化监视；进行本机IP、MAC地址变化审计；本机系统补丁、软件安装、运行进程状况监测；探测本机是否有违规联网行为，在内网管理中心或外网报警平台报警；接受Web管理平台的管理命令；阻断本机非法外联行为；执行Web管理平台下发的各种策略操作。补丁下载服务器安装在与Internet网络连接的机器上，用于实时下载补丁厂商发布的补丁。管理器主机保护模块管理器主机保护模块可根据管理器或其他服务器具体使用的端口、网络协议、通信IP范围和具体的其他网络应用来定义该计算机使用的安全级较高的网络配置，从而防止该计算机受到恶意的IP冲突以及各种网络、病毒攻击。报警中心模块安装在可与区域管理器所在服务器正常通讯的计算机上，本模块可以根据管理员在系统中所配置的报警事件和危险级别提供给管理员包括电子邮件、信使服务、SNMP Trap、手机短信等多种报警方式。应用构架北信源终端安全管理产品应用于局域网、广域网构架，支持跨网段、跨地域的内网远程客户端管理及非法移动设备接入检测、网内计算机违规联网监视、网络安全隔离度监控等。系统应用主要分为以下两种构架：基本构架：对于一般网络（例如1个C类地址或若干个C类地址的局域网范围），可使用一套本系统软件，通过一个管理器集中管理所属区域内的所有设备。扩展构架：对于大规模的多个局域网或者跨地域广域网（包括基于国家、省、市、县等多级管理模式的网络结构），可使用本系统提供的多区域集中管理构架，即一个或多个网段各拥有一套独立北信源终端安全管理的同时，将本级所有设备信息再转发给上级管理数据库，使得上一级管理人员对整个网络的设备状况也能够完全掌握。图1- 1北信源终端安全管理应用拓i扑第二章 系统配置在做系统配置之前，首先要以管理员身份登录北信源内网安全管理系统WEB管理平台：l 登录地址：https:/服务器地址/vrveisl 用户名：adminl 初始密码：123456· 注：在登录时，不同的浏览器可能会报不同的错误，请您不用理会，直接继续进行登录操作即可！图2-1 WEB平台登录界面· 注：出于安全考虑，在管理员登录WEB管理平台之后，建议立即修改您的登录密码。成功登录内网安全管理系统之后，默认进入系统配置页面：图2- 2默认web界面系统配置主要是由管理员对服务器的正常使用做系统的配置、管理和维护操作。您可通过系统配置管理来保证服务器和客户端的正常使用，如果不对此进行配置，则系统不可用。系统配置包括配置管理、系统管理和系统维护三大功能模块。其结构如下：图2- 3系统配置首界面系统配置界面分为导航菜单、系统配置管理两个区域。导航菜单对该系统起到一个导航作用，可以通过它来指导管理员进行系统配置管理。而系统配置管理区域则是本系统的重点，主要通过对系统中各功能项的配置管理来实现内网客户端的应用。· 注：首次安装使用内网安全管理系统时，需要启动区域管理器（自动启动），并对区域管理器进行配置和区域划分。然后才能正常使用。配置管理配置管理是用于完成系统服务器端的基本配置，主要包括快速配置、系统配置、组织结构管理和注册程序配置。快速配置快速配置是对系统进行最基本的配置，快速配置首先要对区域管理器进行配置，其配置步骤如下：图2- 4快速配置输入区域管理的名称、IP地址以及标识，单击【下一步】，配置主区域信息：图2- 5主区域信息配置输入负责人的姓名和区域名称，单击【下一步】，进行主区域IP划分：图2- 6主区域IP划分输入主区域IP的起始IP和终止IP，单击【下一步】，进行区域扫描器的配置：图2- 7区域扫描器配置输入区域扫描器的名称、IP地址、扫描间隔时间（分钟）以及扫描IP范围，单击【完成】，系统提示（在页面右上角，若鼠标停留在该区域，则该提示不自动消失。）修改成功：图2- 8修改完成提示框此时表示对系统的基本配置完毕。系统配置区域划分与配置通过区域划分，对网络中的客户端进行区域管理。您可以按照提示进行添加/删除区域、IP管理范围、分配区域管理器，并完成系统组件运行参数配置。区域划分与配置界面由区域树和区域配置管理两部分组成，而区域配置管理区域又包含区域信息描述和区域IP划分列表两部分。图2-9 区域划分与配置界面区域树区域树目录区域树目录体现了各区域之间的关系，以及各区域的名称。各区域之间以树形结构排列。如图：图2-10 区域树目录示意图图中的“系统区域188”为根区域，不能做删除操作。其余为子区域，可以删除。每个子区域都可以再添加下级子区域。用户可以根据自己的实际情况添加不同的子区域。增加区域选中目录树中的子目录，单击上方的【增加下级区域】：图2-11 增加下级区域进入“添加下级区域”信息窗口，填写必填项（*）和可选项。图2-12 添加区域管理器上图红线区域各参数配置完毕，单击【保存】，添加区域完成，自动返回区域划分主页面；同时区域树目录里添加相应的区域名称。也可以单击【重写】则要重新填写各参数项。· 注：如果不选择目录树中的区域名称，则默认为添加的区域为二级子区域。添加区域各参数说明如下表所示：参数说明区域机构代码一般为阿拉伯数字，由用户单位根据管理要求进行设定区域名称填写添加区域的名称网址1、网址2区域机构和区域名称的备注信息、别名等负责人姓名添加区域的负责人姓名联系电话负责人的联系电话E-mail负责人的电子邮件地址发现电脑设备异常执行的动作Ø 默认：执行默认操作Ø 没有注册则阻断联网：如果该设备没有注册则对其执行网络阻断发现重复IP地址注册时执行的动作Ø 默认：执行默认操作Ø 禁止重复IP注册：如果发现注册IP出现重复情况时，则禁止其进行注册备注备注信息表2-1 添加区域参数列表删除区域选中目录树中的要删除的子目录：单击上方的【删除该区域】按钮，弹出提示框：图2-13 删除区域提示框单击【确定】按钮，则可以对选中的子区域做删除操作处理。同时区域树中的该目录同时被删除。· 注：不能删除区域树根目录。区域配置区域配置项包括区域信息描述部分和区域IP划分列表。图2-14 区域配置界面区域信息描述区域信息描述部分分为必填项（*号）和附加项，正常情况下只显示必填项，您需单击【附加项】看到所有附加内容。在区域信息描述栏里可以填写一些必要的与区域相关的信息，如区域名称、负责人姓名等。其他信息可以依照实际需要填写。如下图所示：图2-15 区域信息描述参数图中加*的参数为必填项，其余为可选填项。参数说明如下：参数说明区域机构代码显示添加区域时输入的区域机构代码信息网址1、网址2显示添加区域中该项的填写内容区域名称显示添加区域时输入的名称负责人姓名显示添加区域时输入的负责人姓名联系电话显示负责人的联系电话E-mail显示负责人的电子邮件地址备注显示添加区域时输入的备注信息发现本区域所属电脑设备异常执行的动作Ø 默认：执行默认操作Ø 没有注册则阻断联网：如果该设备没有注册则对其执行网络阻断发现重复IP注册时执行的动作Ø 默认：执行默认操作Ø 禁止重复IP注册：如果发现注册IP出现重复情况时，则禁止其进行注册表2-2 区域信息描述列表区域IP划分本区域IP划分：根据用户实际需要在区域IP划分中添加需要管辖的IP地址。其中保留IP段中的设备为不需要注册的设备。区域IP可以进行添加、修改和删除操作。1.添加区域IP划分区域IP划分操作正常情况下是隐藏的，当您单击配置页面中的【增加区域IP】按钮，即可弹出“增加区域IP”对话框，在该对话框中填写必要的区域IP段。填写区域IP范围时可根据起始IP和终止IP确定范围；也可以根据起始IP和掩码来确定IP范围。图2-16 添加区域IP划分参数说明起始IP区域IP范围的起始IP地址终止IP区域IP范围的终止IP地址掩码区域IP的掩码地址，根据起始IP地址及掩码的位数可以判断出区域IP的范围由起始IP和终止IP确定IP范围如果选择该项则添加的区域IP范围是指起始IP和终止IP之间的范围由起始IP和掩码确定IP范围如果选择该项则添加的区域IP范围是指起始IP和其掩码所属的范围区域增加IP段本区域中要增加的可注册的IP范围区域保留IP段本区域中要保留的不需要注册的IP范围表2-3 添加区域IP划分参数列表配置完区域IP范围之后，单击【保存】，在区域IP划分列表里就会出现添加之后的区域IP划分信息，即可完成区域IP的添加。如下图所示：图2-17 区域IP划分列表2.修改区域IP划分在区域IP划分列表里勾选要修改的记录，然后单击右上角的【修改区域IP】按钮，原“区域IP划分列表”区域切换为了“修改IP划分”区域，可在该区进行IP区域划分参数项的修改操作。图2-18 修改IP划分范围参数说明修改的IP修改区域IP范围的起始IP地址和终止IP地址掩码IP修改区域IP的掩码地址相关描述关于该IP划分范围的描述信息表2-4 修改IP划分范围参数列表IP划分修改选项里有【修改】、【复原】两个按钮。若单击【修改】就代表所做的修改生效；若单击【复原】就代表所做的修改无效，还沿用原来的设置，但并不能直接回到“区域IP划分”页面。3.删除区域IP划分在区域IP划分列表里勾选要删除的记录，然后单击右左上方的【删除区域IP】，则系统提示：图2-19 删除区域IP提示框单击【确定】，即可实现区域IP的删除操作。同时该项记录也从区域IP划分列表里消失。区域管理器配置区域管理器是系统策略控制及数据接收处理中心，具有控制完成系统相关的动作行为处理功能；同时与本级数据库系统连接，统一接收注册程序提供的信息，将用户信息（填写的计算机使用人姓名、联系电话、E-mail等，计算机IP、MAC地址、硬盘、CPU、内存等其它硬件信息均为自动采集）存入数据库。根据本区域客户端IP管理情况确定对IP地址的管理方式。区域管理器配置分为详细配置和基本配置，默认显示基本配置，您只需单击【详细信息】，即可看到详细配置信息。图2-20 区域管理器配置参数说明名称填写区域管理器的名称IP地址填写服务器IPVPN网络虚拟管理器是否启用VPN网络虚拟管理器VPN网络虚拟管理器IP指添加VPN虚拟服务器的IP地址映射管理器IP填写映射管理器的IP地址。而当区域管理器处于内网时，需要外网的计算机访问，这时在这里填写区域管理器映射到外网的端口机构代码填写机构代码的名称单位缩写填写单位名称的缩写码WSUS补丁上报勾选该项，则表示可以进行WSUS补丁上报管理器标识指管理器的标记，当服务器迁移时需要设置与之相同的管理器标识允许客户端注册指任意一台在区域范围内的客户端都可以在服务器上注册允许客户端探头升级设置本区域管理器管理范围内的客户端的升级操作客户端探头版本号填写客户端探头的版本号禁止设备冒充其它已注册设备的IP地址进行注册勾选该项，则表示冒充已注册IP地址的设备不能进行注册管理器配置同步Ø 下级区域:是指下级区域的配置应该和上级区域管理器的配置相同；Ø 全部区域:是指下面的任意级联区域都要和区域管理器的配置同步表2-5 区域管理器配置参数列表当区域管理器配置完毕之后，我们可以配置已安装好的内网安全管理管理器。在桌面双击“内网安全管理管理器” 快捷方式也可以双击电脑右下角的快捷菜单图标弹出如下界面：图2-21 区域管理器系统配置进行SQL服务器配置：单击导航图标或者单击“配置”菜单，从下拉菜单中选择“系统配置”，弹出系统配置选项卡： 图2-22 区域管理器系统配置逐步输入SQL服务器IP地址、用户名称及密码、数据库名称（默认为VRVEIS），单击“确定”完成SQL服务器配置。· 注：该处服务器配置信息与安装SQL Server时设置信息要保持一致。可参考内网安全管理系统安装配置手册。切换到“安全配置”选项卡，可以选择是否开启密码保护功能。图2-23 区域管理器安全配置高级配置单击区域管理器配置页面下方的【高级配置】按钮，弹出区域管理器高级配置对话框：图2-24 区域管理器高级配置在高级配置界面可以进行管理器配置、升级配置、阻断配置、报警过滤、策略的配置、补丁下载、数据上报等参数的配置。系统配置1 管理器配置：本软件默认机器操作系统88端口，若其它应用程序占用该端口，将自动更改为188。如果区域管理器应用于多级管理（每级都有独立的SQL Server和相应的内网安全管理及补丁自动分发管理平台）的级联构架体系，其上级还有区域管理器的情况下，当前区域管理器需要将所有信息上报到上级管理器。区域管理器支持多级级联，如国家、省、市、县多级规模网络管理构架，下属区域管理器将其所有计算机报警信息转报到上级数据库。· 注：需要把勾选“上报给上级管理器”，输入上级管理器地址。图2-25 管理器配置l 锁定下级策略：是指下级不可以修改IP管理范围。l 上报给上级管理器：是指下级的策略，阻断，违规信息上报给上级区域管理器。勾选此处可添加上级管理器地址，配置级联。l 支持下载转发代理：是指本区域管理器可以支持下载转发代理功能。2 服务器迁移服务器需要迁移时，需要启用该功能，并配置迁移服务器的IP地址和端口号。如果不需要启用该功能，则无需配置，默认不启用。图2- 26服务器迁移3 升级配置用于配置区域管理器的自动升级，升级服务器地址为上级区域管理器IP。图2- 27升级配置阻断配置图2- 28阻断配置l 探头阻断：目前常用的阻断方式，由扫描器调度探头完成阻断任务。只有保证一个网段（WLAN）中有存活的已注册计算机达到80%，就可以实现阻断。l 防火墙阻断：该方式必须与防火墙结合使用，需要设置必要的防火墙规则集和安全认证，与其它厂商防火墙联动时使用。报警过滤本软件系统提供对多种违规变化行为的报警：违规外联、IP绑定变化、设备变化、探头被卸载、病毒行为报警、主机运维异常、流量异常等。图2- 29报警过滤l 本地报警种类过滤：仅对本地网络中区域管理器管理范围内的违规变化行为进行报警显示，用户根据自身管理要求进行筛选。策略配置系统支持对各种文件的分发，在Web管理平台进行软件分发操作前，必须对本项进行配置。默认将分发文件放在C:VRVRegionManageDistribute目录下，管理员可根据需要自行更改路径。修改本路径后，补丁下载存放的位置也会相应改变。图2- 30策略配置参数说明启动策略分发该项必须勾选，否则无法进行策略的分发启动ping探测是否启动ping探测功能文件分发路径默认将分发文件放在C:VRVRegionManageDistribute目录下每轮分发间隔每次分发文件的间隔时间，以分钟计算分发端口默认分发端口为22105分发线程可支持的最大并发线程个数Ping超时当做ping探测时，如果超出设定时间则重新进行ping探测连接超时超出设定时间（毫秒）时则需要重新进行连接接收超时接收分发策略超过设定时间（毫秒）时则默认为接收超时启用级联选项是否启用级联，若启用需要输入级联IP、端口和周期表2-6 策略配置参数列表补丁下载将待分发操作系统补丁放置在设置好的补丁路径的目录下，在Web中央管理平台中进行分发操作。管理员通过对参数项的选择进行下载配置，级联IP提供对上一级补丁的下载获取。图2- 31补丁下载数据上报将已选的系统审计数据和报警数据信息上报到syslog中心，需要明确syslog服务器的IP地址和端口号。图2- 32数据上报其他配置本系统还提供网关重定向设置以及IP、MAC绑定接入管理是否启用的设置。图2- 33其他配置扫描器配置增加扫描器单击扫描器配置页面右上角的【增加扫描器】按钮，可以进行区域扫描器配置及其扫描IP范围的设定。图2- 34区域扫描器参数设置参数说明区域扫描器名称输入要添加的扫描器名称扫描器IP地址输入要添加扫描器的IP地址扫描间隔每次扫描的时间间隔。可根据管理IP范围大小进行设置机构代码一般为阿拉伯数字，由用户单位根据管理要求进行设定从区域IP范围中选择可以从设定的区域IP范围中选择区域扫描器的扫描范围IP地址也可以直接输入新的扫描IP范围掩码IP输入扫描范围的掩码IP地址。当使用掩码时，IP地址中的终止IP无效表2-7 区域扫描器参数列表输入各参数信息（*为必填项），单击【添加】按钮，即可完成扫描器的添加。· 注：扫描器配合区域管理器进行工作，扫描器的扫描范围不可能超过它的区域管理器管理的IP范围。增加扫描范围当添加扫描器时的范围不能满足用户需要时，可以选择增加扫描范围来进行扫描器区域的控制。可以单击扫描器配置页面左上角的【增加扫描范围】按钮，来进行扫描范围的添加操作。图2- 35增加扫描范围当输入掩码IP时，IP范围中的结束IP（上图中的红线部分）无效。· 注：扫描器的扫描范围不能超出它的区域管理器管理的IP范围。删除扫描器扫描器只能逐个删除，不能做批量删除。其删除方法如下：图2- 36扫描器删除页面在扫描器配置页面，单击扫描器配置列表中要删除的扫描器所在行的【选择】，选中该扫描信息，然后单击上面的【删除】按钮，弹出提示窗口： 图2- 37 删除扫描器提示框单击【确定】，即可实现扫描器的删除操作。修改扫描器配置扫描器的配置可以根据实际情况的变化而进行相应的