某公司内网安全风险管理与审计系统8192.docx

《某公司内网安全风险管理与审计系统8192.docx》由会员分享，可在线阅读，更多相关《某公司内网安全风险管理与审计系统8192.docx（69页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、天珣内网安安全风险险管理与与审计系系统安装配置手手册（V6.66.9.4）启明星辰Beijiing Vennusttechh Cyyberrvissionn Coo., Ltdd.2012年年11月天珣内网安全风险管理与审计系统V6.6.9.4 安装配置手册版权声明北京启明星星辰信息息安全技技术有限限公司版版权所有有，并保保留对本本文档及及本声明明的最终终解释权权和修改改权。本文档中出出现的任任何文字字叙述、文文档格式式、插图图、照片片、方法法、过程程等内容容，除另另有特别别注明外外，其著著作权或或其他相相关权利利均属于于北京启启明星辰辰信息安安全技术术有限公公司。未未经北京京启明星星辰信息息

2、安全技技术有限限公司书书面同意意，任何何人不得得以任何何方式或或形式对对本手册册内的任任何部分分进行复复制、摘摘录、备备份、修修改、传传播、翻翻译成其其它语言言、将其其全部或或部分用用于商业业用途。“天珣”为为北京启启明星辰辰信息安安全技术术有限公公司的注注册商标标，不得得侵犯。免责条款本文档依据据现有信信息制作作，其内内容如有有更改，恕恕不另行行通知。北京启明星星辰信息息安全技技术有限限公司在在编写该该文档的的时候已已尽最大大努力保保证其内内容准确确可靠，但但北京启启明星辰辰信息安安全技术术有限公公司不对对本文档档中的遗遗漏、不不准确、或或错误导导致的损损失和损损害承担担责任。目 录版权声明

3、1免责条款1信息反馈11综述42安装环环境及要要求43.天珣珣内网安安全风险险管理与与审计系系统主要要组件介介绍63.1.服务器器组件63.1.11.中心策策略服务务器63.1.22.本地策策略服务务器63.1.33.资产管管理服务务器63.1.44.Raddiuss服务器器63.1.55.攻击告告警服务务器73.1.66.软件分分发服务务器73.1.77.HODD远程桌桌面服务务器73.2.策略网网关组件件73.2.11.策略网网关代理理73.2.22.中性策策略网关关83.2.33.IISS策略网网关83.2.44.ISAA策略网网关83.2.55.EXCCHANNGE策策略网关关83.2

4、.66.DNSS策略网网关及旁旁路监听听式DNNS策略略网关83.2.77.客户端端93.2.88.按需支支援管理理端93.2.99.客户端端打包程程序94.天珣珣内网安安全风险险管理与与审计系系统的安安装94.1.快速安安装104.1.11快速安安装部署署104.1.22基本配配置274.2.自定义义安装324.2.11自定义义安装中中心服务务器324.3.本地服服务器的的安装配配置334.3.11添加策策略服务务器384.4.策略网网关配置置384.4.11添加策策略网关关代理394.4.22安装中中性策略略网关394.5.远程桌桌面的系系统配置置464.5.11安装添添加远程程桌面服服务

5、器464.5.22添加远远程桌面面管理员员464.5.33安装按按需支援援管理员员端程序序474.5.44用户请请求管理理员远程程帮助494.6.软件分分发安装装与配置置494.6.11安装软软件分发发服务器器494.6.22配置软软件分发发504.7.安装资资产服务务器514.8.安装告告警服务务器524.9.安装RAADIUUS服务务器534.10客户端端的打包包及分发发541 综述天珣内网安安全风险险管理与与审计系系统的集集端点主主动安全全防护和和桌面管管理于一一身，具具有世界界领先水水平的产产品体系系架构，从从根本上上解决了了客户端端从蠕虫虫病毒的的主动防防御、可可靠的补补丁管理理、非

6、授授权访问问控制、端端点准入入控制、桌桌面运行行环境的的标准化化和自动动化管理理等一系系列问题题，帮助助用户创创建高可可靠、高高可用和和高安全全级别的的可信任任网络环环境。 天珣内网安安全风险险管理与与审计系系统架构构如下图图所示。主主要由策策略服务务器、天天珣客户户端、策策略网关关组成。策略服务器器包括中中心服务务器、本本地服务务器、补补丁分发发服务器器、raadiuus服务务器、告告警服务务器等组组件，所所有功能能服务器器集中管管理，组组件可根根据具体体情况增增减。数数据库采采用SQQL SSERVVER，统统一管理理报警日日志及审审计等数数据。2 安装环境及及要求客户端（CClieent

7、ss） 计算机机没有很很高的系系统要求求。客户户端软件件(也被称称CC)可以被被安装在在Winndowws 系统之上上，包括括 Wiindoows220000 SPP4, Winndowws Serrverr 20003 和32/64位位Winndowws XXP，Winndowws VVistta, 32/64位位Winndowws SServver 20008，32/64位位Winndowws 77 数据库支支持322位 Miicroosofft SSQL Serrverr 20000，32/64位位 Miicroosofft SSQL Serrverr 2000532/644位 Miic

8、roosofft SSQL Serrverr 20008中心服务器器（Serrverr） 是整个个策略架架构的管管理中心心、策略略中心。必必须运行行20003 SSERVVER SP11 (332/664) 或 20008 Serrverr SPP1 (64)的平台台上。中中心服务务器通过过webb方式管管理，要要求安装装IISS服务器器。其对对硬件要要求的高高低应根据所管管理的客客户端数数量的多多少来定定，其中中，服务务器安装装要求的的最低配配置如下下：硬件：CPUPIIII 11G或以以上Memorry1G或以以上硬盘40GG空闲软件：Windoows 20003 SServver SP1

9、1以上Interrnett Innforrmattionn Seerviicess 6.0以上上Dot NNet Fraamewworkk2.00MDAC 2.77或以上上中心服务器器、攻击击告警服服务器需需要安装装SQLL Seerveer数据据库，可可根据现现场环境境选择独独立安装装或集中中安装于于中心服服务器，若若安装于于中心服服务器，请请确保中中心服务务器有足足够的内内存和硬硬盘空间间。策略网关代代理(PPlugg-in Prooxy)：管理所所有关联联的策略略网关，策策略网关关代理从从Loccal Serrverr上取插插件策略略。当策策略网关关激活时时，策略略网关代代理将策策略发送

10、送给各个个关联的的策略网网关。策策略网关关代理的的主要作作用在于于可以将将安装在在多个应应用服务务器上的的有相同同插件策策略的插插件策略略网关交交给同一一个策略略网关代代理管理理，从而而简化管管理员的的配置；同时，各各个插件件策略网网关可相相互共享享CC的状状态，如如CC11在插件件1上通过过了认证证，那么么通过插插件2访问时时就无需需第2次认证证，提高高系统性性能。IIS策略略网关、ISA策略网关、Exchange策略网关以及中性策略网关：策略检查点（checkpoint），与CC配合强制用户满足策略。策略网关从关联的策略网关代理上取插件策略。3. 天珣内网安安全风险险管理与与审计系系统主要

11、要组件介介绍天珣内网安安全风险险管理与与审计系系统为CCSC架架构，即即天珣客客户端（Clients）、策略服务器（Server）、策略网关（Check Point）。3.1. 服务器组件件3.1.1. 中心策略服服务器所有策略集集中存放放的地方方，系统统中唯一一的Weeb管理理控制台台也与中中心服务务器集成成在一起起。管理理员从WWeb管管理控制制台登录录到Ceenteer SServver，进进行策略略配置，报报表查询询。Ceenteer SServver同同时兼作作一个LLocaal SServver。3.1.2. 本地策略服服务器本地策略服服务器是是客户端端日常取取策略的地地方，也也是

12、客户户端发送送报表的的目的地地。本地地策略服服务器从从Cennterr Seerveer同步步得到策策略。设设置本地地策略服服务器的的目的是是为了适适应企业业大区域域的分布布式分级级管理架架构。本本地策略略服务器器从中心心策略服服务器获获取策略略，客户户端直接接与本地地策略服服务器通通讯。3.1.3. Radiuus服务务器Radiuus服务务器是天天珣内网网安全风风险管理理与审计计系统网网络准入入的必须须组件。结结合各类类LDAAP认证证，使用用8022.1xx协议或或EOUU协议在在交换机机网络端端口实施施网络准入入认证，确确保只有有通过认认证的客客户端接接入并访访问网络络。3.1.4.

13、攻击告警服服务器攻击告警服服务器兼兼作为攻攻击日志志告警服服务器和和终端审审计日志志服务器器，收集集由客户户端发来来的攻击击告警信信息和终终端审计计信息。并在中心心服务器器管理界界面，可可进行统统计和分分类查询询。3.1.5. 软件分发服服务器通过软件分分发服务务器可建建立软件件安装包包，可根根据目标标地址或或地址段段、指定定时间段段分发软软件包或或自定义义文件。3.1.6. HOD远程程桌面服服务器HOD远程程桌面服服务器用用于记录录在线的的远程桌桌面管理理员的相相关信息息，为其其关联管管理网段段后，管管理网段段内的用用户就可可使用客客户端集集成的远远程桌面面客户端端，向在在线管理理员发起起

14、远程桌桌面帮助助请求。3.2. 策略网关组组件作为系统及及应用准准入的准准入控制制点，检检查访问问者的客客户端运运行状态态，与客客户端配配合强制制用户满满足策略略。策略略网关从从策略网网关代理理上取策策略网关关策略。有有时策略略网关策策略又叫叫插件策策略。策策略网关关分为中中性策略略网关和和IISS、ISAA Prroxyy、Emaail、DNSS等插件件策略网网关。3.2.1. 策略网关代代理策略网关的的管理者者。所有有的策略略网关都都直接连连接到策策略网关关代理，从从策略网网关代理理获取策策略，接接受管理理。而策策略网关关代理直直接指向向策略服服务器，并并从策略略服务器器获取策策略。连连接

15、到同同一个策策略网关关代理的的所有策策略网关关使用相相同的策策略。设设置策略略网关代代理这个个角色的的目的是是简化策策略网关关的配置置，因为为有时一一个企业业需要安安装多个个策略网网关，而而每个策策略网关关的策略略相同。3.2.2. 中性策略网网关中性策略网网关，也叫做做中性插插件，是是安装在在任意的的X322位的Wiindoows 20000 /20003/220088服务器器或Linnux的的服务器器上，执行行应用准准入控制制，它与与安装的的服务器器操作系系统有关关，而与与该服务务器运行行何种应应用无关关。当终端访问问到该服服务器，都都需要进进行安全全基线检检查，若若不符合合安全策策略，将

16、将被拒绝绝访问该该服务器器，并给给出提示示信息（只只有基于于htttp访问问，才能能正确提提示）。其中安安全基线线包括是是否安装装客户端端软件、安安装客户户端软件件的终端端是否达达到安全全策略要要求。3.2.3. IIS策略略网关部署在IIIS服务务器上，对所有有访问该该WEBB服务器器的终端端实施应用用准入控控制，检检查终端端是否符符合安全全策略，若若不符合合策略，则则拒绝访访问，并并给出提提示信息息。3.2.4. ISA策略略网关对所有通过过ISAA服务器器上网的的终端，实实施应用用准入控控制，若若不符合合安全策策略，则则不允许许终端通过过ISAA访问INNTERRNETT，并给给出提示示

17、信息。3.2.5. EXCHAANGEE策略网网关部署在Exxchaangee邮件服服务器上上，对访访问EXXCHAANGEE邮件服服务器的的终端实施施应用准入入控制，检检查客户户端是否否符合安安全策略略。对于于不符合合安全策策略的终终端，EExchhangge策略略网关将将阻断其其邮件服服务，并并给出提提示信息息。（只只支持EEXCHHANGGE 220033邮件服服务器）3.2.6. DNS策略略网关及及旁路监监听式DDNS策策略网关关普通DNSS策略网网关部署署在DNNS服务务器上，对对需要进进行DNNS域名名解析的的终端实实施准入入控制，检检查终端端是否符符合安全全策略，对对于不符符合

18、安全全策略的的终端，DNS策略网关将阻断其DNS请求，并给出提示信息。如果是旁路监听式DNS策略网关，则可部署在DNS服务器上也可部署在互联网出口的某台服务器上对所有DNS请求进行监听。如果是在DNS服务器上，那么功能与传统DNS策略网关相同，如果不是，那么旁听式的DNS网关必须安装在链接互联网出口交换机上的某台交换机上，对这台交换机上的其他端口的DNS请求进行镜像，并在旁听式DNS网关的端口上进行监听，对需要进行DNS解析的终端实施准入控制，检查终端是否符合安全策略，对于不符合安全策略的终端，旁听式DNS策略网关将阻断其DNS请求，并给出提示信息。3.2.7. 客户端每台终端都都必须安安装客

19、户户端（CCC）。客客户端是是安装在在每个被被策略管管理的用用户的电电脑上的的代理程程序。执执行企业业策略，安全基线检查，客户端准入控制，访问控制，主动安全防御，资产管理，远程帮助，软件分发，移动存储认证和控制，终端行为审计终端相关功能。从本地策略服务器上取策略，向本地策略服务器发送报表，当用户不满足策略时，向用户提示相关信息。3.2.8. 按需支援管管理端如果安装了了按需支支援（HHOD）的的远程桌桌面服务务器，需需要在承承担远程程支持服服务的管管理员电电脑上安安装按需需支援管管理端软软件。安安装完成成后，如如果有终终端用户户发来远远程支持持请求，远远程支持持管理员员就可以以收到请请求信息息

20、，并直直接进行行远程协协助。3.2.9. 客户端打包包程序客户端代理理软件的的打包程程序。客客户端打打包程序序将和中中心服务务器一起起安装。打打包程序序将服务务器IPP地址、指指定安装装目录、是是否静默默安装、是是否采用用网络准准入等参参数与安安装程序序打包成成可执行行文件。4. 天珣内网安安全风险险管理与与审计系系统的安安装安装部署共共有两种种安装选选项：快快速安装装和自定定义安装装。运行Auttoruun.eexe后后出现以以下主安安装界面面。4.1. 快速安装快速安装默默认安装装服务器器的以下下组件：中心策策略服务务器、中中心同步步服务器器、天珣珣服务状状态监控控服务、远远程桌面面服务器

21、器、攻击击告警服服务器、RADIUS服务器、策略网关代理服务器、中性策略网关、DNS策略网关、软件分发服务器、客户端打包程序，服务器卸载工具。快速安装选选项的目目的是一一次安装装所有服服务器相相关的组组件及DDNS准准入控制制组件，如如果部署署在网络络出口，则则可利用用DNSS准入达达到即插插即用的的效果。对对中小应应用环境境，我们们的方案案首推这这种即插插即用的的部署。4.1.1 快速安装部部署1 快速安装。将将天珣内内网安全全风险管管理与审审计系统统安装光光盘放入入光驱，可可直接进进入安装装选择界界面。请请点击“快速安安装” 。2 进入天珣内内网安全全风险管管理与审审计系统统服务器器的快速

22、速安装界界面。3 安装程序检检测系统统环境。1）系统必必须安装装 “MDAAC2.7或以以上版本本”,“IISS”和“Dott Neet FFrammewoork 2.或或者以上上版本”。系统统还未安安装上述述的系统统组件。则则不能进进行下一一步操作作。可以以点击旁旁边的“安装”按钮安安装所需需的系统统组件。 2）系统组组件所用用的SQQL SServver 可以选选择连接接到本机机或者其其它机器器的SQQL SServver。如果您想将将系统组组件所用用的SQQL SServver部部署在本本机，本本机又没没有安装装SQLL Seerveer。您您可以选选择安装装SQLL Seerveer。

23、您您也可以以选择点点击检测测界面SSQL Serrverr旁边的的“安装”按钮，运运行安装装光盘带带的里的的SQLL SEERVEER20005 EXPPRESSS版本本。（注注意：SSQL Serrverr Exxpreess 20005是由由微软公公司开发发的 SSQL Serrverr 20005的的缩减版版，这个个版本是是免费的的，单个个数据库库大小限限制为44G）。进行解压缩缩，压缩缩完成后后将如下下图：点击下一步步，进行行组件的的配置配置完成请请点击nnextt,进行行数据库库的安装装：点击下一步步，可以以看到配配置组件件成功，继继而就可可以安装装数据库库了。输输入用户户名和公公司

24、名，再再点击下下一步：注意：为安安装的方方便，请请将数据据库所有有的组件件均选中中，进行行完全的的安装，数数据库建建议使用用6g的磁磁盘空间间，所以以请选择择适当的的磁盘。选择认证模模式为混混合模式式，并输输入密码码，点击击下一步步；选择模式设设置，点点击下一一步；点击安装并并等待安安装完毕毕。配置SQLL SEERVEER数据据库1、打开SSQL数数据库配配置管理理工具（SQL Server Configuration Manager）配置SQL EXPRESS的ip协议为tcp1433（当然也可以更改端口）如下：双击，弹出出下图，配配置如下下图：Enablled选选项默认认为“No”，修改

25、为为“Yess”。注意：ipp地址为为安装数数据库的的实际iip地址址，TCCP PPortt请填写写“14333”。点击击应用并并重新启启动sqql数据据库的服服务如下下图： 安装完SSQL SERRVERR20005 EEXPRRESSS之后。安安装检测测程序会会自动开开启SQQL SServver 的14333监听听端口。（注注意：如如果系统统已经安安装SQQL数据据库, 天珣内内网安全全风险管管理与审审计安装装程序是是不会帮帮助SQQL SServver 打开14433监监听端口口）。4 安装过程中中，系统统会提示示用户选选择安装装的组件件的路径径，并需需要管理理员指定定中心服服务器I

26、IP地址址、初始始管理网网段地址址等信息息。1）指定服服务器的的安装路路径，安安装组件件所在盘盘符的空空闲空间间必须大大于2GG2）指定中中心服务务器IPP地址,预置为为当前服服务器已已连通网网卡的地地址，管管理控制制台默认认端口为为88333，请请确保888333端口未未被其他他应用占占用；3）设置中中心服务务器中初初始管理理网段地地址，预预置是当当前选择择网卡地地址的子子网网段段；4）选择使使用管理理模式；5）设置所所用的SSQL Serrverr 的连连接的参参数；6）填写创创建数据据库的用用户的帐帐号。预预置用户户名是ttx_uuserr ,密码码是 !QAAZWWSX#EDCC$RF

27、F1qaaz2wwsx33edcc4rff7）安装程程序将提提示您选选择授权权文件LLiceensee.daat的路路径。LLiceensee.daat文件件请与启启明星辰辰联系获获取最新新的授权权文件。点点击“浏览”选择受受权文件件的路径径，选择择有效的的授权文文件如果果服务,若没有有授权，需需使用上上级服务务器分配配的授权权，则点点击使用用上级授授权.8）安装检检查完成成，点击击“安装”进行快快速安装装部署；5 快速安装的的安装完完各组件件之后，安安装程序序会自动动运行客客户端打打包程序序进行客客户端安安装包的的制作. 其中可以以自行设设置中心心服务器器地址，指指定客户户端的安安装目录录以

28、及客客户端的的安装模模式。总总共可设设置三种种安装模模式，以以普通模模式安装装时会出出现提示示对话框框，需由由用户进进行“确认用用户许可可” 、“选择安安装目录录”等操作作；以自自动模式式安装时时会出现现安装界界面，但但不需要要用户进进行任何何操作，客客户端将将自动安安装至默默认目录录；以静静默模式式安装时时，正常常情况下下客户端端安装过过程中不不会有任任何提示示，客户户端将自自动安装装至默认认目录，如如果安装装的是带带防火墙墙模块的的客户端端则安装装完毕后后会有重重新启动动计算机机的提示示。此外外该打包包程序还还提供了了多种选选择，用用户可灵灵活选择择客户端端安装包包是否包包含8002.11

29、x交换换机认证证模块。说明：打包包客户端端工具的的使用以以winnrarr软件为为前提，在在安装客客户端打打包工具具前请确确保操作作系统中中已经安安装有wwinrrar软软件。制作客户端端包完成成之后。关关掉客户户端打包包工具程程序。即即弹出要要求系统统重启的的界面。重重启系统统。此时时快速安安装部署署天珣内内网安全全风险管管理与审审计系统统已经完完成。6 安装完成后后，请先先检查%InsstalllFooldeer%connfiggdaatabbasee目录的的安全属属性，确确定该目目录及目目录下的的文件能能被Syysteem用户户及从WWeb登登录的管管理员修修改或者者已赋予予eveery

30、oone用用户完全全控制权权限。然然后请进进入服务务控制器器，若系系统已经经自动添添加并运运行“ES Cennterr Seerveer”服务，则则表明中中心服务务器已经经安装配配置成功功。7 在天珣内网网安全风风险管理理与审计计系统中中心服务务器的默默认安装装目录CC:PProggramm FiilessVeenusstecchEEndppoinnt SSecuurittyEESSeerveer中，Coonfiig目录录是天珣珣内网安安全风险险管理与与审计系系统的WWeb管管理站点点主目录录；Doownlloadd目录是是下载服服务的根根目录，用用于存放放天珣内内网安全全风险管管理与审审计系

31、统统客户端端安装包包、系统统补丁等等相关的的软件。8 安装程序会会自动创创建一个个虚拟主主机“天珣内内网安全全风险管管理与审审计系统统配置服服务”，这个个虚拟主主机对应应上文所所提到的的“C:Proograam FFileesVVenuusteechEnddpoiint SeccuriityESSServverconnfigg”目录，对对应的TTCP端端口则为为88333。注意：由于于系统888333端口可可能事先先被占用用等原因因，可能能会造成成策略服服务器安安装设置置虚拟站站点不成成功，在在这种情情况下请请手动设设置IIIS，创创建天珣珣内网安安全风险险管理与与审计系系统配置置服务虚虚拟站

32、点点：1) 修改%InnstaallFFoldder%coonfiigddataabasse目录录的安全全属性，使使该目录录及目录录下的文文件能被被Sysstemm用户及及从Webb登录的的管理员员修改或或者赋予予eveeryoone用用户完全全控制权权限。2) 创建一个虚虚拟站点点，作为为webb管理界界面的入入口。l 打开Intternnet服服务管理理器，右右击服务务器名称称，点击击“新建Weeb站点点”。l 根据提示进进行到“IP地址址和端口口设置”，将端端口变为为“88333”，其他他设置保保存为默默认。天天珣内网网安全风风险管理理与审计计系统的的Webb管理端端口默认认是88833

33、，您您也可以以指定其其他端口口。当您您使用其其它端口口时，您您需要在在“服务器器设置”中修改改服务器器的管理理端口信信息。l 在指定Weeb站点点主目录录时将目目录设为为%InnstaallFFoldder% EESSeerveer connfigg，并将“允许匿匿名访问问此Weeb站点点”选项去去除。l 完成后续的的步骤完完成虚拟拟站点配配置。l 从服务控制制器中启启动ESS Ceenteer SServver Serrvicce，安安装配置置中心SServver完完成。 安装装成功后后，请在在浏览器器输入网网址（如如htttp:/loocallhosst:888333），进进入天珣珣内网安

34、安全风险险管理与与审计系系统配置置服务虚虚拟站点点，进行行策略等相相关设置置，然后后再安装装相应的的策略网网关。4.1.2 基本配置安装完中心心服务器器，需要要添加管管理网段段和IPP组，设设置保护护网络的的边界。4.1 2.1. 修改全局策策略控制设置天天珣内网网安全风风险管理理与审计计系统服服务器和和客户端端的一些些开关性性质的内内容和最最基本的的参数，此此处的参参数决定定策略系系统的运运行方式式和后台台交互的的频度，以以及全局局范围内内的默认认设置。说明：一般般初步测测试时，只只需更改改如下两两项的参参数，其其余参数数可按需需修改或或保持默默认值。客户端启动动后发送送报表时时间，如如果本

35、地地客户端端检查了了对方客客户端，对对方客户户端的信信息在本本地有一一个缓存存，此处处指定的的时间就就是缓存存的时间间，单位位为分钟钟。缓存存一过期期，又要要重新检检查远端端的客户户端。这这个时间间也决定定了客户户端最少少多长时时间向PPrimmaryy Seerveer发送送一次报报表（如如果需要要发送）。默默认时间间为155分钟。一一般在测测试中可可设置为为稍短的的时间，例例如2分钟，这这样可尽尽快看到到测试效效果。安全防护相相关设置置，在访问问控制策策略中，如如果没有有指定操操作类型型，则以以此处设设定的操操作类型型为准。4.1 2.2. 添加策略服服务器 配置天珣内内网安全全风险管管理

36、与审审计系统统的第一一步。天天珣内网网安全风风险管理理与审计计系统支支持分布布式多服服务器架架构。天天珣内网网安全风风险管理理与审计计系统需需要一个个中心服服务器，也也只需一一个中心心服务器器。同时时也至少少需要一一个本地地服务器器，本地地服务器器可由中中心服务务器兼任任。所以以中心服服务器同同时也是是一个本本地服务务器。当当您配置置中心服服务器时时，同时时也是在在配置其其兼任的的本地服服务器，请请在其“中心服服务器IIP地址址”栏位上上填写自自己的IIP地址址。（快快速安装装模式和和自定义义安装中中心服务务器都已已经默认认配置中中心策略略服务器器的参数数）4.1 2.3. 添加管理网网段 配

37、置天珣内内网安全全风险管管理与审审计系统统的第二二步。管管理网段段一般配配置一个个大的网网段，包包括一个个企业园园区，或或一个办办公区域域；管理理网段可可以包含含很多小小的网段段，比如如开发部部的子网网段等，这这些小网网段共享享相同的的本地服服务器，下下载服务务器，补补丁安装装策略。例例如：1192.1688.0.10-1922.1668.00.2552点击管理网网段设置置，显示示所有的的serrverr，用户户选中一一个seerveer，进进入该sservver的的管理网网段的管管理。先先显示这这个seerveer的所所有的管管理网段段。权限：普通通用户只只能修改改自己所所管理的的管理网网段

38、的下下载服务务器信息息，其他他信息由由全局管管理员进进行配置置。点击添加可可添加不不同的管管理网段段。可以为不同同的管理理网段指指定不同同的下载载服务器器，默认认的下载载服务器器位于PPrimmaryy Seerveer上的的HTTTP :/llocaalseerveer:888333/doownlloadd/。4.1 2.4. 添加IP组组IP是管理理网段的的一个子子网段，天天珣内网网安全风风险管理理与审计计系统的的策略作用用对象分分别为IIP地址址和用户户，IPP组是IPP地址策略略作用的的最小单单位。点点击“IP组”，用户户可选择择按照服服务器及及管理网网段分类类查看IIP组。每每个用户

39、户可以添添加IPP组，修修改、删删除自己己所管理理的IPP组点击“添加加”，添加加IP组。填入IP组组的名称称和IPP地址。选选择所属属的服务务器和管管理网段段。排除的IPP地址：填写在在IP地址址段中不不需要包包含的IIP地址址。本IP组应应用的策策略：通过查查看及编编辑按钮钮进行此此IP组的的相应策策略配置置。若此此IP组还还没有设设置策略略的话，则则会在此此处提示示用户“还没有有应用策策略”。认证策略：选择IIP内的的CC是否否启用用用户登录录和可信信MACC，UMMI绑绑定策略略。4.2. 自定义安装装自定义安装装是可选选择地安安装服务务器各组组件。可分别别选择安装装各服务务器组件件的

40、安装装程序，以以便高级级用户单单独安装装一些服服务组件件或重装装维护一一些服务务器组件件。4.2.1 自定义安装装中心服服务器自定义安装装中心服服务的安安装界面面与快速速安装类类似。有区别的是是自定义义安装中中心服务务器可以以根据需需要其它它组件安安装（注注意：默默认自定定义安装装中心服服务器时时，至少少要安装装中心服服务器和和软件分分发服务务器。具具体操作作可见上上面的快快速安装装。4.3. 本地服务器器的安装装配置1 点击“安装装天珣本地地服务器器”进入天天珣内网网安全风风险管理理与审计计系统服服务器的的本地服服务器安安装界面面。2 本地服务器器安装程序序检测系系统环境境。1）系统必必须安

41、装装 “MDAAC2.7或以以上版本本”,“IISS”和“Dott Neet FFrammewoork 2.或或者以上上版本”。系统统还未安安装上述述的系统统组件。则则不能进进行下一一步操作作。可以以点击旁旁边的“安装”按钮安安装所需需的系统统组件。 2）系统组组件所用用的SQQL SServver 可以选选择连接接到本机机或者其其它机器器的SQQL SServver。如果您想将将系统组组件所用用的SQQL SServver部部署在本本机。本本机又没没有安装装SQLL Seerveer。您您可以选选择方式式安装SSQL Serrverr。您也也可以选选择点击击检测界界面SQQL SServve

42、r旁旁边的“安装”按钮，运运行安装装光盘带带的里的的SQLL SEERVEER20005 EXPPRESSS版本本。（注注意：SSQL Serrverr Exxpreess 20005是由由微软公公司开发发的 SSQL Serrverr 20005的的缩减版版，这个个版本是是免费的的，单个个数据库库大小限限制为44G）。3）安装完完SQLL SEERVEER20005 EXPPRESSS之后后。安装装检测程程序会自自动开启启SQLL Seerveer 的的14333监听听端口。（注注意：如如果系统统已经安安装SQQL数据据库, 天珣内内网安全全风险管管理与审审计安装装程序是是不会帮帮助SQQL

43、 SServver 打开14433监监听端口口）。 3 安装过程中中，系统统会提示示用户选选择安装装的组件件的路径径，并需需要管理理员指定定中心服服务器IIP地址址。1）指定服服务器的的安装路路径，安安装组件件所在盘盘符的空空闲空间间必须大大于2GG2）指定中中心服务务器IPP地址3 ）根据据需要其其它组件件安装，可可选择的的组件有有：Raadiuus服务务器，策策略网关关代理服服务器，告告警及审审计服务务器，软软件分发发服务器器。4）安装检检查完成成。点击击安装进进行安装装。（安安装完成成之后。即即完成自自定义本本地服务务器安装装，如果果需要的的其它服服务器或或者网关关，组件件等未安安装。还

44、还可以再再点击进进入天珣珣策略系系统网关关或者天天珣系统统其它组组件界面面进行安安装。）4.3.1 添加策略服服务器 配置天珣内内网安全全风险管管理与审审计系统统的本地地服务器器。天珣珣内网安安全风险险管理与与审计系系统支持持分布式式多服务务器架构构。天珣珣内网安安全风险险管理与与审计系系统需要要一个中中心服务务器，也也只需一一个中心心服务器器。同时时也至少少需要一一个本地地服务器器，本地地服务器器可由中中心服务务器兼任任。所以以中心服服务器同同时也是是一个本本地服务务器。当当您配置置中心服服务器时时，同时时也是在在配置其其兼任的的本地服服务器，请请在其“中心服服务器IIP地址址”栏位上上填写

45、自自己的IIP地址址。如需添加另另外一个个本地服服务器。即即填写在在管理页页面中添添加本地地服务器器地址和和中心服服务器的的地址。若若不是大大于10000点点的用户户，一般般使用默默认的使使用中心心服务器器的数据据库连接接参数。4.4. 策略网关配配置策略网关是是系统及及应用准准入的准准入控制制点，检检查访问问者的客客户端是是否运行行，与客客户端配配合强制制用户满满足策略略。策略略网关的的配置主主要包括括添加策策略网关关代理、安安装中性性策略网网关或IIIS/ISAA/EXXCHAANGEE策略网网关、配配置准入入控制的的网段。4.4.1 添加策略网网关代理理策略网关代代理代表表一组策策略网关

46、关，具有有相同的的管理功功能，在在策略配配置时，将将这一组组策略网网关作为为一个管管理对象象来管理理。建议议提供网网络服务务的服务务器都安安装策略略网关，以以保护服服务器的的例如，WEB、EXCHANGE、ISA等服务，对访问此服务的客户端实施准入控制，确保服务器的安全。4.4.2 安装中性策策略网关关放入光盘，选选择安装装天珣系系统策略略网关，得得到如下下图所示示：策略网关代代理可以以安装在在中心服服务器上上，中性性策略网网关可以以自定义义保护的的端口号号，用于于一些使使用指定定端口的的应用软软件，默默认保护护80和80880端口口。安装完成后后，中性性策略网网关配置置程序启启动进行行驱动、端端口检查查、可忽忽略检查查IP的配配置。配置中性策策略网关关驱动程程序。首首先安装装驱动程程序，当当驱动程程序已经经安装时时，“安装驱驱动”按钮不不可用。安安装完驱驱动程序序后，驱驱动默认认对所有有的网卡卡进行监监控。如如果运行行中性策策略网关关的机器器上有多多块网卡卡，需要要将不直直接与客客户端通通讯的网网卡选择择状态改改为不选选中，然然后点击击“应用网网络配置置”按钮使使配置生生效。如如果安装装驱动后后没有显显示出监监控的网网卡，请请参考后后面进行行驱动的的手工安安装配置置。配置中性策策略网关关使用的的策略网网关代理理地址、监监控TCCP端口口的范围围以及可可