天玥网络安全审计系统(数据库防火墙)V60101安装手册.pdf

天玥网络安全审计系统天玥网络安全审计系统 （数据库防火墙数据库防火墙）安装安装手册手册 启明星辰 版权声明 手册版本 V1.0 产品版本 V6.0.10.1 资料状态发行 版权声明版权声明 启明星辰公司版权所有，并保留对本手册及本声明的最终解释权和修改权。本手册的版权归启明星辰公司所有。未得到启明星辰公司的书面许可，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。免责声明免责声明 本手册依据现有信息制作，其内容如有更改，恕不另行通知。启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠，但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。Users Manual Copyright and Disclaimer Copyright Copyright Venus Info Tech Inc.All rights reserved.The copyright of this document is owned by Venus Info Tech Inc.Without the prior written permissionobtained from Venus Info Tech Inc.,this document shall not be reproduced and excerpted in any form or by any means,stored in a retrieval system,modified,distributed and translated into other languages,applied for a commercial purpose in whole or in part.Disclaimer This document and the information contained herein is provided on an“AS IS”basis.Venus Info Tech Inc.may make improvement or changes in this document,at any time and without notice and as it sees fit.The information in this document was prepared by Venus Info Tech Inc.with reasonable care and is believed to be accurate.However,Venus Info Tech Inc.shall not assume responsibility for losses or damages resulting from any omissions,inaccuracies,or errors contained herein.副本发布声明 启明星辰公司的天玥产品正常运行，包含 2 款 GPL 协议的软件（e1000、linux）。启明星辰公司愿意将 GPL 软件提供给已经购买产品的且愿意遵守 GPL 协议的客户，请需要 GPL 软件的客户提供（1）已经购买的产品的序列号，（2）有效送达 GPL 软件地址和联系人，包括但不限于姓名、公司、电话、电子邮箱、地址、邮编等；（3）人民币 20 元的光盘费和快递费，客户即可获得产品所包含的 GPL 软件。客户服务与技术支持 如果您在使用天玥时遇到了问题，可以通过以下方式反馈给我司的客户服务部，我们将竭诚为您提供技术支持。启明星辰公司客户服务部的联系方式如下：地址：北京市海淀区东北旺西路 8 号中关村软件园 21 号楼启明星辰大厦 电话：010-82779160 传真：010-82779151 接收者：服务支持部 网站支持： MAIL 支持： 信函支持邮编：100193 或者您可以拨打 800 热线：热线电话：800-810-6038（服务时段为周一至周五的 9:00-17:30，包括国家法定节假日）II 前言前言 内容简介内容简介 感谢您选择启明星辰的审计安全产品。本手册为天玥网络安全审计系统的按章手册，能够帮助用户正确安装天玥网络安全审计系统。本手册的各章内容如下：第一章：产品介绍 第二章：安装前准备工作 第三章：安装 第四章：启动与配置 第五章：软件维护 第六章：常见问题处理 第七章：典型部署 本书约定本书约定 图形界面格式约定 格 式 意 义 带尖括号“”表示按钮名，如“单击按钮”。带方括号“”表示窗口名、菜单名和数据表，如“弹出新建用户窗口”。/多级菜单用“/”隔开。如文件/新建/文件夹多级菜单表示文件菜单下的新建子菜单下的文件夹菜单项。各类标志 本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方，这些标志的意义如下：小心小心、注意注意：提醒操作中应注意的事项，不当的操作可能会导致数据丢失或者设备损坏。警告警告：该标志后的注释需给予格外关注，不当的操作可能会对人身造成伤害。说明说明、提示提示：对操作内容的描述进行必要的补充和说明。目录目录 前言前言.II 目录目录.I 第第 1 章章 产品介绍产品介绍.1 1.1 简介.1 1.2 前面板介绍.1 1.2.1 后面板介绍.2 1.2.2 指示灯含义.2 1.2.3 端口属性.3 1.2.4 电源.4 第第 2 章章 安装前准备工作安装前准备工作.5 2.1 安装环境要求.5 2.1.1 温度/湿度要求.5 2.1.2 洁净度要求.5 2.1.3 防静电要求.5 2.1.4 电磁环境要求.6 2.1.5 检查安装台.6 2.1.6 安全注意事项.6 2.1.7 安装工具、电缆和设备.6 第第 3 章章 安装安装.8 3.1 设备安装前检查.8 3.2 安装设备到指定位置.8 3.2.1 将设备安装到工作台上.8 3.2.2 将设备安装到机柜上.8 3.3 连接地线.9 3.4 连接电源线.9 3.5 连接以太网电缆或光纤.9 3.6 连接配置电缆.10 3.7 安装完成后的检查.10 第第 4 章章 启动与配置启动与配置.11 4.1 搭建 Console 的环境.11 4.2 搭建 WebUI 的配置环境.12 4.3 基本配置.13 II 第第 5 章章 软件维护软件维护.14 5.1 版本软件升级.14 5.2 问题反馈.15 5.3 更新诊断工具.16 第第 6 章章 常见问题处理常见问题处理.17 6.1 口令丢失情况下的处理.17 6.2 电源系统故障.17 6.3 配置系统故障.17 第第 7 章章 典型配置案例典型配置案例.18 7.1 服务器模式.18 7.1.1 单臂桥部署.18 7.1.2 透明桥部署.19 7.1.3 路由方式部署.21 7.2 非服务器模式.23 7.2.1 透明桥部署.23 7.2.2 路由（单臂路由）部署.24 7.3 案例.29 7.3.1 服务器模式下以 FTP 服务为例进行相关的配置.29 天玥网络安全审计系统 安装手册 第 1 页 第第1章章 产品介绍产品介绍 1.1 简介简介 天玥网络安全审计系统（数据库防火墙系列）是针对业务环境下的网络操作行为进行集中管理（Management）与细粒度审计（Audit）的合规性管理系统。它通过对自然人身份以及资源、资源账号的集中管理建立“自然人账号资源资源账号”对应关系，实现自然人对资源的统一授权，同时，对授权人员的业务操作行为进行记录、分析、展现，以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放，加强内部业务操作行为监管、避免核心资产（数据库、服务器、网络设备等）损失、保障业务系统的正常运营。目前，天玥网络安全审计系统数据库防火墙系列的所有型号如下所示：数据中心：OM500S、OM2300SR、OM2800SR 引擎：OM2300GR、OM2800GR 二合一：OM500G、OG2300GR、OG2800GR 1.2 前面板介绍前面板介绍 1 安装手册 天玥网络安全审计系统 第 2 页 数据中心示意图数据中心示意图 千兆引擎示意图千兆引擎示意图 二合一示意图二合一示意图 1.2.1 后面板介绍后面板介绍 数据中心数据中心、引擎引擎示意图示意图 二合一二合一示意图示意图 1.2.2 指示灯含义指示灯含义 指示灯 颜色/状态 含义 电源指示灯 绿色常亮 系统电源工作正常 橙色 系统电源工作异常 红色常亮 系统电源工作异常 熄灭 系统没有供电 天玥网络安全审计系统 安装手册 第 3 页 Status 指示灯 绿色闪烁 系统启动，对存储器进行读写 熄灭 设备正常运行 Link 指示灯 绿色常亮 端口与对端设备连接且连接正常 熄灭 端口与对端设备无连接或连接失败 Active 指示灯 橙色闪烁 端口处于收发数据状态 熄灭 端口无数据传输 1.2.3 端口属性端口属性 天玥网络安全审计系统的端口有配置口、USB 口、百兆电口、千兆电口、千兆SFP 光接口。本节具体介绍各种接口的属性。1.配置口（CONSOLE）天玥网络安全审计系统提供 1 个符合 RS232 异步串行规范的配置口（CONSOLE），以下简称串口，分别位于数据中心的后面板和引擎的前面板。通过串口，可以对设备进行基本的配置，例如 IP 地址、路由信息等。2.USB 口 天玥网络安全审计系统提供 2 个 USB Host 接口，分别位于数据中心的后面板和引擎的前面板。通过 USB 口，可以完成天玥审计系统软件版本的灌装，引擎的还可以抓包和运行 Dt。3.10/100M 自适应电口 天玥网络安全审计系统提供 2 至 6 个 10/100M 自适应以太网电接口，常见于百兆数据中心和百兆引擎。4.10/100/1000M 自适应电口 天玥网络安全审计系统提供 2 至 6 个 10/100/1000M 自适应以太网电接口，常见于千兆数据中心和千兆引擎。5.SFP 光接口 天玥网络安全审计系统提供 4 个 SFP 光接口，常见于千兆引擎。6.显示器接口（VGA）天玥网络安全审计系统的数据中心会提供 1 个显示器接口（VGA），见于后面板。通过显示器，用户可以直接看到数据中心的 linux 操作系统信息。7.鼠标接口（PS/2）天玥网络安全审计系统的数据中心会提供 1 个鼠标接口（PS/2），见于后面板。安装手册 天玥网络安全审计系统 第 4 页 通过鼠标和键盘配合，用户可以直接对数据中心的 linux 操作系统进行操作。8.键盘接口（PS/2）天玥网络安全审计系统的数据中心会提供 1 个键盘接口（PS/2），见于后面板。通过鼠标和键盘配合，用户可以直接对数据中心的 linux 操作系统进行操作。注意：数据中心提供的显示器接口、鼠标接口、键盘接口主要用于设备故障时，进行排查错误时使用。正常情况下，请勿对数据中心系统进行任何修改，以免系统无法正常运行。1.2.4 电源电源 天玥网络安全审计系统的部分型号设备提供双路电源供电，即两路电源同时连接的状态下，如果一路电源在运行过程中出现故障，另外一路电源会自动启动，保证设备仍然可以正常运行。天玥网络安全审计系统 安装手册 第 5 页 第第2章章 安装前准备工作安装前准备工作 2.1 安装环境要求安装环境要求 天玥网络安全审计系统的所有设备都必须在室内使用，为保证设备正常工作和延长使用寿命，安装环境必须满足如下要求。2.1.1 温度温度/湿度要求湿度要求 天玥网络安全审计系统对空气温度、湿度的要求见下表。温度 相对湿度 040 10%90%（非凝露）表2-1 机房温度/湿度表 2.1.2 洁净度要求洁净度要求 天玥网络安全审计系统对空气灰尘浓度的要求见下表。机械活性物质 单位 含量 灰尘粒子 粒/m 3104（3天内桌面无可见灰尘）注：灰尘粒子：直径5m 表2-2 机房空气灰尘浓度表 2.1.3 防静电要求防静电要求 为防止静电损伤，应做到：设备良好接地。室内防尘。保持适当的温度、湿度条件。接触电路板时，应戴防静电手腕，穿防静电工作服。2 安装手册 天玥网络安全审计系统 第 6 页 将拆卸下的电路板面朝上放置在抗静电的工作台上或放入防静电袋中。当观察或转移拆卸了的电路板时，请用手接触电路板的外边缘，避免用手直接触摸电路板上的元器件。2.1.4 电磁环境要求电磁环境要求 天玥网络安全审计系统使用中可能的干扰源，无论是来自设备或应用系统外部，还是来自内部，都是以电容耦合、电感耦合、电磁波辐射、公共阻抗（包括接地系统）耦合的传导方式对设备产生影响，因此为达到抗干扰的要求，应做到：对供电系统采取有效的防电网干扰措施。设备工作地最好不要与电力设备的接地装置或防雷接地装置合用，并尽可 能相距远一些。远离强功率无线电发射台、雷达发射台和高频大电流设备。必要时采取电磁屏蔽的方法。2.1.5 检查安装台检查安装台 天玥网络安全审计系统的设备在安装前要保证如下条件：确认设备的入风口和通风口处都留有空间，以利用机箱散热。确认安装台自身有良好的通风散热系统。确认安装台足够牢固，能够支撑使用设备的的重量。确认安装台良好接地。2.1.6 安全注意事项安全注意事项 在使用天玥网络安全审计系统时，请注意以下安全事项：请将设备放置在远离潮湿和热源的地方。请确认设备的正确接地。请用户在安装维护过程中使用防静电手腕。请不要带电插拔电源线。注意激光使用安全，不要用眼睛直视激光器的发射口或与其连接的光纤连接器。建议使用不间断电源。2.1.7 安装工具安装工具、电缆和设备电缆和设备 天玥网络安全审计系统的设备附带有电源电缆、串口电缆、网线。请安装前准天玥网络安全审计系统 安装手册 第 7 页 备好以下安装工具：终端：配置终端，可以是普通 PC 机。工具：十字螺丝刀和防静电护腕。电缆：电源电缆、串口电缆、网线。安装手册 天玥网络安全审计系统 第 8 页 第第3章章 安装安装 3.1 设备安装前检查设备安装前检查 天玥网络安全审计系统设备的一个螺丝上封有白底黑字的防拆易碎标签，售后部门对设备维修前，要求所维修设备的防拆标签完好。用户如果需要自行打开机箱，请先与客服人员联系，未经允许的擅自拆机将会失去保修服务。用户在拆开包装箱后请检查防拆标签是否完好，如有问题请及时与客服人员联系。3.2 安装设备到指定位置安装设备到指定位置 天玥网络安全审计系统可以直接放置在工作台上，也可佩挂耳安装于 19 英寸标准机柜上。根据安装位置的不同分为两种情况：直接安装在工作台上；安装在机柜上。3.2.1 将设备安装到工作台上将设备安装到工作台上 用户可以直接将设备放置在干净的工作台上。操作中需要注意如下事项：保证工作台的平稳与良好接地。设备四周至少留出10cm的散热空间。不要在设备上放置重物，以免压坏设备和影响散热效果。3.2.2 将设备安装到机柜上将设备安装到机柜上 天玥网络安全审计系统可以安装到 19 英寸的标准机柜上，安装前必须确定设备已断电，并且机柜接地良好、放置平稳。安装过程 第一步：用螺钉将固定挂耳固定在设备前面板或者后面板两侧。3 天玥网络安全审计系统 安装手册 第 9 页 第二步：将设备放置在机柜的一个托盘上；在没有托盘的机柜上，请使用后挂耳。根据实际情况，沿机柜导槽移动设置至合适位置。第三步：用满足机柜安装尺寸要求的盘头螺钉将设备通过固定挂耳固定在机柜上，请保证位置水平并牢固。3.3 连接地线连接地线 将设备固定好位置后，必须保证接地良好。天玥网络安全审计系统提供单独的接地保护螺丝，请用一根保护地电缆与机箱的接地螺丝连接起来。3.4 连接电源线连接电源线 天玥网络安全审计系统提供的电源方式均为交流电。请用户使用有接地点接头的单相三线交流电源插座，天玥网络安全审计系统随机附带电源线。电源的接地点要可靠接地，一般的建筑单位在施工布线时，已经将本楼供电系统的电源接地点埋地。连接设备交流电源线前，用户需要确认本楼电源地是否已经接好。交流电源线连接步骤如下：确认接地线缆已经可靠连接。确认设备电源开关处于OFF状态。将设备的一条或两条电源线与电源可靠连接。把设备的电源开关拨到ON状态。检查设备面板电源指示灯是否变亮。灯亮则表示电源连接正确。3.5 连接以太网电缆或连接以太网电缆或光纤光纤 天玥网络安全审计系统提供 10/100M 自适应电口、10/100/1000M 自适应电口、1000M SFP 光接口。电口使用交叉网线或直连网线连接以太网,SFP 接口使用光收发一体的 SFP 光接口模块，当使用光接口模块时，采用单模或多模光纤连接以太网。所有的光模块均支持热插拔。在使用光纤连接时，请注意如下事项：不允许过度弯折光纤，其曲率半径应不小于10cm。保证接口的Tx与Rx端连接正确。保证光纤端面处的清洁度。安装手册 天玥网络安全审计系统 第 10 页 3.6 连接配置电缆连接配置电缆 天玥网络安全审计系统提供一个串口（CONSOLE），用户可以通过串口完成对系统的基础配置。配置电缆线为一根 8 芯屏蔽电缆，两端均为带有 DB9 连接器，一端插入设备的串口，一端插入配置终端的 COM 口。通过终端配置设备时，配置口段蓝的连接步骤如下：第一步：选择配置终端 配置终端可以是标准的具有 RS232 串口的字符终端，也可以是一台普通的 PC机，更常用的是后者。第二步：连接电缆 关闭设备、配置终端的电源，通过配置电缆将配置终端的 COM 口与天玥设备的串口相连。经安全检查后加电，正常情况下将在配置终端上显示设备启动信息。3.7 安装完成后的检查安装完成后的检查 设备安装过程中，每次加电前均要进行安装检查，检查事项如下：检查设备周围是否留有足够的散热空间，工作台是否稳固。检查所接电源是否符合使用要求。检查设备的保护地线是否连接正确。检查设备与配置终端等其他设备的连接关系是否正确。若安装于标准机柜中，检查机柜是否平稳；若安装于工作平台，检查工作平台是否洁净、平稳。天玥网络安全审计系统 安装手册 第 11 页 第第4章章 启动与配置启动与配置 设备部署和连接完成后，需要对系统进行基本的配置。本章以配置终端为 PC为例，介绍天玥网络安全审计系统的启动与基本配置。4.1 搭建搭建Console的的环境环境 初次使用天玥网络安全审计系统时，需要首先搭建配置口（CONSOLE）的配置环境，对数据中心和引擎进行基本的配置，例如配置 IP 地址、路由、引擎的数据中心地址等。第一步：连接设备到配置终端 用配件盒中的串口线一端连接引擎，另一段连接一台计算机的 COM 接口。第二步：打开配置终端，建立新的连接 在计算机上运行终端仿真程序（Windows XP/Windows 2000/Windows 2003等得超级终端）建立与设备的连接。选择正确连接的 COM 口，端口配置参数为：波特率 9600，数据位 8，奇偶校验无，停止位 1，数据流控制无，如图4-1 所示。4 安装手册 天玥网络安全审计系统 第 12 页 图图4-1.终端配置参数终端配置参数 第三步：天玥网络安全审计系统设备上电后，设备会进行自检并加载运行系统。如果系统启动成功，会出现登录提示“venus”，在提示后输入默认管理员名称“config”并敲回车键，界面出现密码提示“password：”，输入默认密码“sec.ca”并敲回车键，此时用户便成功登录并且进入到简单图形交互配置界面。4.2 搭建搭建WebUI的配置环境的配置环境 天玥网络安全审计系统的数据中心管理口默认 IP 地址为：192.168.0.200/24，初次使用时，管理员可以通过该接口访问数据中心的 WebUI 页面。请按照如下步骤登录数据中心的 WebUI：1.将管理 PC 的 IP 地址设置为与 192.168.0.200/24 同网段的 IP 地址，并且用网线将管理 PC 与数据中心的管理口进行连接。2.打开管理 PC 的 Web 浏览器，在地址栏输入 http:/192.168.0.200 并敲回车键。3.从下拉菜单选择登录到管理系统或者认证管理系统。天玥网络安全审计系统 安装手册 第 13 页 4.从下拉菜单选择管理员认证方式：、。5.输入用户名 admin，密码 venus.ca。6.输入验证码。7.点击【登录】按钮进入数据中心的管理主页。此时用户可以根据需求进行其他配置。4.3 基本配置基本配置 在对天玥网络安全审计系统进行配置前，用户首先需要明确系统的功能及合适的部署方式，然后根据设备所处的位置、网络管理的需求及网络安全性设计要求进行合理的拓扑设计、正确的系统配置。基本配置可能设计以下方面：配置管理口 IP 地址。配置系统路由。配置数据中心地址。初始化数据中心。初始化引擎。说明：有关天玥网络安全审计系统使用的详细介绍，请参见 天玥网络安全审计系统用户手册。安装手册 天玥网络安全审计系统 第 14 页 第第5章章 软件维护软件维护 天玥网络安全审计系统的管理文件主要有这三类：版本软件包、诊断信息、诊断工具。软件维护也是针对这三类文件，包括版本软件包的升级、问题反馈、诊断工具更新。5.1 版本软件升级版本软件升级 天玥网络安全审计系统的数据中心和引擎均具备系统升级功能。对于厂家的提供的升级包（升级包后缀名一般为.bin），通过 web 下发，可以进行系统升级。进入系统管理系统管理系统维护系统维护升级升级页面，如图 5-1 所示。图图5-1.升级升级页面页面 升级包升级包：选择需要的升级包。如果要升级数据中心，则选择升级包后，直接点击【升级】就可以升级。如果要升级引擎，则先选择升级包，然后点击【提交到数据中心】，最后在引擎列表中点击具体引擎后面的【升级】命令，进行升级。升级历史升级历史：可以查看之前的升级信息和升级时间。5 天玥网络安全审计系统 安装手册 第 15 页 提示：1.如果要升级整套系统，请先升级引擎，再升级数据中心。2.升级数据中心会导致之前配置的策略、规则集、规则、服务丢失，请升级前先将这些项导出。升级结束后再重新配置。5.2 问题反馈问题反馈 天玥网络安全审计系统提供完善的售后服务，帮助用户解决系统问题，关注用户反馈信息。用户可以通过问题反馈模块将遇到的系统问题、意见及建议发送给指定的收件人。为了方便厂家获取更详细的诊断信息，可以更新诊断工具。进入系统管理系统管理系统系统维护维护问题反馈问题反馈页面页面，填写反馈信息，如图 5-2 所示。图图5-2.问题反馈问题反馈 收件人收件人：收件人邮箱地址，多个地址之间要用逗号分开。抄送抄送：邮件抄送地址，多个地址之间要用逗号分开。标题标题：邮件标题，简明扼要的说明产品和型号、版本等信息。问题描述问题描述：本次反馈的问题描述，描述信息要尽量详细明确，方便问题的分析安装手册 天玥网络安全审计系统 第 16 页 解决。联系人联系人：用户联系人姓名。联系地址联系地址：用户联系人地址。联系电话联系电话：用户联系人电话。附件附件：附加设备配置与运行信息，勾选后系统可以自动将运行信息附加到邮件中，能帮助用户和厂家更为迅速的分析解决问题。点击【提交】，发送问题反馈邮件。如果系统不能连接到邮件服务器进行邮件发送，也可以点击【导出】将问题反馈信息导出成文件，然后手动邮件发送。5.3 更新诊断工具更新诊断工具 进入系统管理系统管理系统系统维护维护问题反馈问题反馈页面页面，然后点击，如图 5-3所示。图图5-3.更新诊断工具更新诊断工具 工具包工具包：选择需要替换的工具包。如果要更新数据中心的诊断工具，则选择工具包后，直接点击【导入】就可以更新。如果要更新引擎的诊断工具，则先选择工具包，然后点击【提交到数据中心】，最后在引擎列表中点击具体引擎后面的【升级】命令，进行更新。天玥网络安全审计系统 安装手册 第 17 页 第第6章章 常见常见问题处理问题处理 6.1 口令丢失情况下的处理口令丢失情况下的处理 如果管理员不慎将口令丢失，可以先将系统的配置导出备份，选择，将用户名为 admin 的密码初始为 venus.ca。恢复出厂设置后再将配置重新导入即可恢复正常。6.2 电源系统故障电源系统故障 电源系统正常运行时，电源指示灯应该保持绿色常亮；电源指示灯不亮或闪亮时，请进行如下检查：设备电源开关是否打开。设备供电电源开关是否打开。设备电源线是否连接正确。设备供电电源与所要求的电源是否匹配。6.3 配置系统故障配置系统故障 天玥网络安全审计系统上电后，如果系统运行正常，将在配置终端显示启动信息；如果配置系统出现故障，配置终端可能无显示或者显示乱码。如果配置终端无显示信息时，请做如下检查：电源系统是否正常。配置串口（CONSOLE）电缆是否正确连接。终端配置参数是否正确。如果配置终端显示乱码信息时，请确认终端的参数配置：波特率为9600，数据位为8，奇偶校验为无，停止位为1，流量控制为无。如果参数设置与上不符，请重新配置。6 安装手册 天玥网络安全审计系统 第 18 页 第第7章章 典型典型配置案例配置案例 天玥数据库防火墙主要有两种模式，包括服务器模式和非服务器模式。服务器模式的网络部署有三种情况，包括单臂桥、透明桥和路由模式。非服务器模式的网络部署有二种情况，包括透明桥和路由模式。本文档中的服务器模式以单臂桥的 FTP 服务访问为例，非服务器模式以单臂路由为例做了详细的介绍。其中服务器模式需要在系统配置中勾选数据中心作为代理服务器。7.1 服务器模式服务器模式 7.1.1 单臂桥部署单臂桥部署 1、网络拓扑图 图7-1.单机单臂桥接入拓扑图 2、数据库防火墙配置信息（1）登录管理系统，打开系统管理系统配置系统配置页面，勾选认证管理系统启用，勾选将数据中心作为代理服务器，如图 7-2 所示。（2）打开引擎配置接口透明桥页面，新建透明桥 bri1，将接口加入到桥中，如图 7-3 所示。7 天玥网络安全审计系统 安装手册 第 19 页 图7-2.服务器模式下的系统配置 图7-3.透明桥配置 7.1.2 透明桥部署透明桥部署 1、网络拓扑图 安装手册 天玥网络安全审计系统 第 20 页 图7-4.双机透明桥模式 数据库防火墙以透明模式串接在用户的网络中，用户的现有环境无需做任何修改。2、数据库防火墙配置信息（1）登录管理系统，打开系统管理系统配置系统配置页面，勾选认证管理系统启用，勾选将数据中心作为代理服务器，如图 7-2 所示。（2）打开引擎配置接口透明桥页面，新建透明桥 bri1，将接口加入到桥中，如图 7-3 所示。图7-5.服务器模式下的系统配置 天玥网络安全审计系统 安装手册 第 21 页 图7-6.透明桥配置 7.1.3 路由方式部署路由方式部署 1、网络拓扑图 图7-7.单机路由模式部署 安装手册 天玥网络安全审计系统 第 22 页 图7-8.双机路由模式部署 2、数据库防火墙配置信息 （1）此配置仅针对于双机，串行引擎的配置信息在引擎配置接口中直连口ge2 配置一个是物理 IP（192.168.5.254/24），ge3 配置一个物理 IP（192.168.10.201/24）ge2 的接口配置信息如下图 7-10 所示，ge3 类似配置。图7-9.接口配置界面（2）添加默认路由，在引擎管理路由静态路由中添加默认路由，如图 7-11。天玥网络安全审计系统 安装手册 第 23 页 图7-10.静态路由配置界面 7.2 非服务器模式非服务器模式 7.2.1 透明桥部署透明桥部署 1、网络拓扑图 图7-11.透明桥模式 数据库防火墙以透明模式串接在用户的网络中，用户的现有环境无需做任何修改，非服务器模式不需要将数据中心作为代理服务器。2、数据库防火墙配置信息安装手册 天玥网络安全审计系统 第 24 页（1）打开引擎配置接口透明桥页面，新建透明桥 bri1，将接口加入到桥中，如图 7-13 所示。图7-12.透明桥配置 7.2.2 路由路由（单臂路由单臂路由）部署部署 a)网络拓扑图 天玥网络安全审计系统 安装手册 第 25 页 图7-13.单臂路由模式 适合场景及特点：1、数据库防火墙物理旁路连接在用户的三层交换设备上；2、用户的三层交换设备必现支持策略路由；3、数据库防火墙上需要配置到业务主机与业务用户的路由（一般静态路由即可）4、数据库防火墙根据网络设备的具体配置，选择使用物理接口或者子接口 提示：推荐三层交换设备：思科的 3550 以上的三层交换机 华为的 33 EI 系列以上的三层交换机 2、数据库防火墙配置信息 串行引擎的配置信息在引擎配置接口中直连口 ge1 配置两个 IP 地址，一个是物理 IP（172.16.16.2/24）、一个是辅助 IP 地址（172.16.1.2/24），如图7-15。安装手册 天玥网络安全审计系统 第 26 页 图7-14.接口配置界面 1、添加默认路由，在引擎管理路由静态路由中添加默认路由，如图 7-16.图7-15.静态路由配置界面 2、在审计策略审计策略中配置审计策略，并下发，如图 7-17.天玥网络安全审计系统 安装手册 第 27 页 图7-16.审计策略配置界面 3、交换机（实验环境为思科 4506）配置 策略路由配置描述：1)绑定在 G1 口的 net-ca 策略路由是将 G1 口中流过的数据抓取，转发到G2 口上。2)绑定在 G2 口的 net-forward 策略路由是 CA 引擎流向 G2 口的数据抓取，转发到 G3 口上。3)绑定在 G3 口的 ca-back 策略路由是将服务器返回的数据流强制转到 G2口上 /进入配置模式 Switch#configure terminal /配置接口 G1 Switch#interface g1 Switch#no switchport Switch#ip address 192.168.100.1 255.255.255.0 Switch#no shutdown /配置接口 G2 Switch#interface g2 Switch#no switchport Switch#ip address 172.16.16.1 255.255.255.0 安装手册 天玥网络安全审计系统 第 28 页 Switch#ip address 172.16.1.1 255.255.255.0 Switch#no ip redirects Switch#no shutdown /配置接口 G3 Switch#interface g3 Switch#no switchport Switch#ip address 10.10.1.1 255.255.255.0 Switch#no shutdown /配置 ACL，以 telnet 为例 Switch(config)#access-list 120 permit tcp 192.168.100.0 0.0.0.255 10.10.1.0 0.0.0.255 eq telnet/目的端口可不指定，表示所有。也可使用 range 关键字，表示多个端口 Switch(config)#access-list 121 permit tcp 10.10.1.0 0.0.0.255 eq telnet any /配置将 G1 口的数据转发到 G2 口的策略路由 Switch(config)#route-map net-ca permit 12 Switch(config-route-map)#match ip address 120 Switch(config-route-map)#set ip next-hop 172.16.1.2 /配置将 G2 口的数据流转发到 G3 口的策略路由 Switch(config)#route-map net-forward permit 12 Switch(config-route-map)#match ip address 120 Switch(config-route-map)#set ip next-hop 10.10.1.10 /配置服务器返回数据流从 G3 口转发到 G2 口策略路由 Switch(config)#route-map ca-back permit 12 Switch(config-route-map)#match ip address 121 Switch(config-route-map)#set ip next-hop 172.16.16.2 天玥网络安全审计系统 安装手册 第 29 页 /策略路由绑定 G1 口 Switch(config)#interface g1 Switch(config-if)#ip policy route-map net-ca /策略路由绑定 G2 口 Switch(config)#interface g2 Switch(config-if)#ip policy route-map net-forward /策略路由绑定 G3 口 Switch(config)#interface g3 Switch(config-if)#ip policy route-map ca-back 7.3 案例案例 7.3.1 服务器模式下以服务器模式下以FTP服务为服务为例进行相关的例进行相关的配置配置 1、启用服务器模式：在系统管理系统配置，启用认证管理系统，勾选数据中心作为代理服务器，如图 7-18;安装手册 天玥网络安全审计系统 第 30 页 图7-17.系统配置中启用认证系统 2、新建认证帐号 在对象管理认证帐号，新建认证帐号 tm，如图 7-19，新建认证帐号组测试组，将之前新建的认证帐号 tm 加入到组中，如图 7-20;天玥网络安全审计系统 安装手册 第 31 页 图7-18.认证帐号配置 图7-19.认证帐号组配置 3、新建业务主机，即访问资源 在对象管理业务主机，新建所需要管理的 FTP 服务器资源 ftp_server，如果有多个 ftp 服务器的话，可以先新建多个 ftp 业务主机，然后再加到主机组中，下面以单个业务主机为例，如图 7-21;安装手册 天玥网络安全审计系统 第 32 页 图7-20.业务主机配置 4、新建资源帐号 在对象管理资源帐号，选择相应的业务主机与服务，如图 7-22，新增ftp_server 所拥有的资源帐号 zhao_ftp，设置自动登录，输入密码，如图 7-23;图7-21.新建资源帐号配置 天玥网络安全审计系统 安装手册 第 33 页 图7-22.新增资源帐号名称及密码配置 5、新建审计策略 在审计策略中新建策略，业务主机选择 ftp_server,服务选择 FTP,在高级选项中将认证帐号组“测试组”加入到允许组中，将资源帐号 zhao_ftp 也加入到允许帐号中，如图 7-24，7-25 所示。安装手册 天玥网络安全审计系统 第 34 页 图7-23.新建审计策略基本配置 天玥网络安全审计系统 安装手册 第 35 页 图7-24.新建审计策略高级选项配置 6、登录到认证管理系统 使用之前新建的认证帐号 tm 登录到认证管理系统，如图 7-26。图7-25.登录到认证管理系统 安装手册 天玥网络安全审计系统 第 36 页 7、通过认证系统访问资源 登录到认证管理系统之后，可以看 tm 用户所具有的访问资源 FTP，可以通过系统自带的 web 客户端进行访问，如图 7-27，也可以通过在其他客户端配置中新增 windows 标准客户端添加本地的 FTP 客户端工具再进行访问，如图7-28，7-29。图7-26.使用 web 客户端访问 ftp 资源 天玥网络安全审计系统 安装手册 第 37 页 图7-27.新增本地 windows 标准客户端 图7-28.使用本地的 FTP 客户端工具访问 ftp 资源 8、其他操作 对于常用的资源可以新建快捷方式添加到收藏夹。