《spm产品手册》word版.doc

SPM产品手册安全策略管理系统快速安装指南西安安智科技有限公司国家反计算机入侵和防病毒研究中心安智科技 目 录 1系统安装环境要求12系统支持平台22.1SSP服务器功能介绍22.2服务器安装过程22.2.1硬件平台描述22.2.2安装环境要求22.2.3服务器安装注意事项32.2.4服务器安装过程描述32.3服务器详细配置过程42.3.1登陆界面52.3.2管理主界面62.3.3配置界面功能描述重新配置服务器的各项参数重新配置服务器的IP地址重新配置服务器的日期更改init用户密码显示服务器当前配置显示该SSP的平台编号服务的重启、停止退出init用户13 2. 3. 3. 9 关闭系统.133数据库的安装133.1SQL Server的安装143.2MSDE数据库的安装194策略管理中心（Policy Manager Center）的安装215日志审计服务（Log Audit Service）246登录PMC及初始配置286.1登录pmc286.2添加管理节点296.3登录到认证服务器307策略执行点（Policy Enforcement Point）的安装327.1安装方式327.1.1本地安装327.1.2在线安装（详见客户端用户手册）347.1.3下载安装（详见客户端用户手册）347.2用户登录347.2.1使用管理员建立的帐户登录357.2.2用户自行注册帐户（详见客户端用户手册）35 SPM产品手册1 系统安装环境要求系统支持平台（SSP）企业级部门级工作组级硬件特性（专有硬件平台）网口数1/2*光纤千兆1/2*电口千兆1/2*100M冗余设计双风扇-性能特性最大并发用户数1000500200支持管理级别322支持组织机构级别553策略管理中心（PMC）硬件最低配置PIII 800M / 256M / 空余硬盘100M软件要求MS Windows 2000 MS Windows XPMS Windows 2003安全策略执行点（PEP）硬件最低配置PIII 800M / 128M / 空余硬盘50M软件要求MS Windows 9XMS Windows 2000 MS Windows XPMS Windows 2003日志审计服务（Log）硬件最低配置PIII 800M / 256M / 空余硬盘2G软件要求MS Windows 2000 server+SQL server 2000（SP3）Windows 2003 server+SQL server 2000（SP3）备注：当最大并发登录用户数超过1000个时，我公司提供定制化服务，可根据用户的实际情况进行定制，以满足大型网络用户的需求。 2 系统支持平台2.1 SSP服务器功能介绍策略服务器（SSP）是整个SPM系统的后台支撑平台，负责系统的认证、用户授权、日志管理、策略管理的后台支持，负责收集整个系统的安全信息、负责策略的发布和保存。支持分布式部署，能够适用于大规模网络环境的应用。该软件在出厂时已为用户提供了完整的配置，用户只需将其正确的安装、接入网络环境、加电即可正常工作。根据不同用户在接入网络时为其分配的IP地址的不同，只需修改服务器接入网络的接口IP地址，就能够在该用户网络中正常运行。2.2 服务器安装过程2.2.1 硬件平台描述性 能 指 标企业级部门级工作组级硬件特性网口数1/2*光纤千兆1/2*电口千兆2*100M冗余设计双风扇-性能特性最大并发用户数1000500200支持管理级别322支持组织机构级别5532.2.2 安装环境要求 建议用户使用UPS不间断电源； 请勿将产品放置在有水的地方，避免液体流入； 请将产品放置在远离热源的地方。2.2.3 服务器安装注意事项 切忌将产品硬件安装在持续超过35的工作环境中； 机架或机柜应足够安全以防设备放置不稳或跌落； 装在机架或机柜里的设备应位置合理； 确保产品硬件四周空气流通； 确保电路有正确接地，请使用产品硬件配备的电源线与电源连接； 避免带电插拔电源线。 2.2.4 服务器安装过程描述 硬件服务器的固定： 硬件可以安装在任何符合19英寸标准的机柜/机架上； 将固定角铁用螺钉固定在前面板或后面板两侧； 放置在机柜的一个空槽位上，使之两端与固定导槽间距适当； 用螺钉将固定角铁固定在机柜两端固定导槽上； 机柜每层的托架和固定角铁稳定地固定在机柜上； 硬件连接： 选择合适的网络连接线（双绞线或光纤）将Spm服务器的网络接口（ETH0） 和交换机接口进行连接，确认连接的正确； 将随机附带的电源线插头连接到AC电源板，另一端接Spm服务器电源接口，确认连接正确； 给交换机和Spm服务器进行加电，观察设备通电自检过程； 登陆系统设置：SPM硬件服务器提供网络接口及默认配置如下图所示:序 号项目描述默认配置备 注1网络接口ETH000网络接口，接入用户网络连接端口，可根据用户实际情况进行修改2网络接口ETH100配置接口，用作对服务器进行配置使用，不可修改3子网掩码可根据用户实际情况进行修改4网关地址54可根据用户实际情况进行修改5管理帐户init服务器配置帐户，不可修改6管理帐户口令angell默认init帐户口令，可修改初次进行配置时，需要注意以下事项：A、将网管主机的IP地址配置为和SSP服务器ETH1接口IP地址在同一网段内（如配置IP为3、子网掩码为、网关地址可以不配置）；B、需要使用交叉双绞线将网络管理主机的网络接口和SSP服务器的ETH1管理接口进行连接；C、验证网管主机和SSP服务器的连通性，通过ping命令检测到00的连通性；D、通过SSH方式进行连接，使用的连接软件有FSecure SSH Client、Secure CRT等，在连接对话框中的配置如图所示（以FSecrue SSH Client为例）。2.3 服务器详细配置过程通常情况下，SSP服务器的配置是在初次安装过程中完成，如果我们需要对SSP服务器配置进行修改或需要重新配置时，我将采用如下方法对其进行配置操作。注意：重新配置SSP服务器（执行i操作重新配置服务器的各项参数），将导致原来SSP服务器的配置信息全部清除。因此，建议在执行重新配置服务器参数之前对原来服务器的策略、组织机构信息、帐户信息和IT资产等相关信息进行备份，以防数据丢失而无法恢复。2.3.1 登陆界面在网管主机中使用SSH软件进行连接到服务器端，具体连接方法：1、使用交叉双绞线连接网管主机网卡接口和服务器管理接口（ETH1）,并配置网管主机IP地址到服务器管理接口IP在同一网段（/24）中；2、打开SSH远程登陆软件；3、输入连接服务器地址（00）、登陆帐户（init），点击“connect”连接按钮；4、输入登陆口令，初始口令为“angell”，点击“ok”按钮5、连接服务器成功后，进入配置主界面，将会提示如下对话框2.3.2 管理主界面直接回车出现图所示的init帐户管理界面。各项参数和功能说明：i重新配置服务器的各项参数c配置服务器的IP地址t修改服务器的日期p 修改init帐户口令d显示服务器当前配置e 显示服务的平台编号r重新启动服务x停止服务q 退出配置界面s关闭操作系统2.3.3 配置界面功能描述 重新配置服务器的各项参数在管理配置界面中输入“i”，重新对服务器的各项参数进行设置。A、输入服务器主机网络接口ETH0的IP地址信息，默认为20，可根据自己的实际网络情况进行配置（本例中为00）B、子网掩码设置，可采用默认配置，也可根据用户的实际情况进行配置C、默认网关设置，当输入完网关地址后，出现图信息。D、确认输入的信息内容正确无误后，直接输入回车或键入“y”即可将配置信息写入服务器，如果信息中有错误的地方，则可以通过键入“n”来重新输入信息。紧接着修改系统的日期和时间，输入新的年份，然后回车确定，见图。输入新的月份，然后回车，见图。输入天，然后回车确定，见图。小时、分钟和秒的设置同上面的日期的设置雷同，见图。时间设置完成后，需要应用新的配置，回答“Are you sure above content (Y/N)?”选择Y进行应用新设置的时间配置。E、策略服务器相关配置设置Spapd配置文件的路径，默认路径为“/etc/openldap/slapd.conf”，如果想更改为其它路径，只需在后面输入新的路径回车便可更改。在这里采用默认设置的路径，直接回车。输入认证服务器的DNS名称然后回车，如果不想采用默认的管理域的名称，可以进行修改，这里的管理域只是一个层次性的名称和在NIC注册的域名不要混淆，即使没有在NIC注册的域名也可设置类似于的管理域名称。在这里可以更改系统管理员的默认登录密码，输入新的密码后回车即可，见图。License的导入，首先按照提示输入产品License的路径，如果新的License的路径在其它位置，输入新License所在的路径（包括名称）然后回车。输入License Client ID号和LicenseKey信息负载均衡采用默认的设置，直接回车，见图。回车之后便会出现当前输入的License的信息，见图。当所有的License的信息确认无误时，回车或键入“y”，新的License便会导入到服务器中，然后系统将新的License信息导入，并进行相关的检测和更新，删除原有KDC数据库中旧的信息，键入“yes”或回车。系统对KDC数据库的信息进行初始化。并提示用户输入KDC的密钥，再次输入密钥进行确认。当所有的信息输入并确认完毕后，系统进行服务器的初始化，并询问用户是否现在启动策略服务。直接回车则策略服务立刻启动并生效，见图所示，服务正在启动，并将服务的运行状态显示出来，如果为“OK”则说明服务已经正常启动。如果键入“n”则服务不会启动。 重新配置服务器的IP地址在管理界面中输入“c”，来配置服务的IP地址。按照提示分别对主机IP地址、子网掩码、默认路由信息进行配置，然后进行确认，如果配置信息中有错误的地方可以键入“n”，来重新输入新的配置信息。 重新配置服务器的日期在管理界面中输入“t”，出现见图所示的信息，按次序先后输入年、月、日、时、分、秒，最后确认输入无误后选择“Y”进行服务器当前配置的更新。如果配置信息中有错误的地方可以键入“n”，来重新输入新的配置信息，更改日期设置要重新启动服务。 更改init用户密码init初始密码为angell，建议用户登录成功后首先进行init用户密码的修改，在管理界面中输入“p”，出现见图所示的信息：输入一个新的密码回车，并再次输入密码进行密码的确认。 显示服务器当前配置在管理主界面中输入“d”，将会显示服务器当前的配置情况，具体显示如下内容： 显示该SSP的平台编号在管理界面中输入“e”，出现见图所示的信息。如果以后要生成新的License，需要将该服务器的平台编号发送到公司，做为生成新License的依据。 服务的重启、停止在管理界面中输入“r”，出现见图所示的信息，服务先进行关闭，然后再启动，当状态都为“OK”时，说明服务重新启动成功。在管理界面中输入“x”，出现见图3.34所示的信息，当状态为“OK”时，则服务被停止成功。 退出init用户在管理界面中输入“q”，出现用户登录界面，用户init退出成功，见图。 关闭系统在管理界面中输入“s”，出现提示信息如下，见图。系统提示是否确定要关闭系统，键入“n”则取消系统的关闭，键入“y”，则系统进行关闭。3 数据库的安装SPM安全策略管理系统支持的数据库类型为SQL2000和MSDE，在安装策略管理中心端软件（即PMC）之前，请首先安装并启动数据库系统，数据库系统的安装过程详见下列描述。3.1 SQL Server的安装在sql server的安装目录，执行安装向导，启动以后选择“安装SQL Ssrver 2000 组件”，如图。然后选择安装数据库服务器，如图出现欢迎界面，点击下一步。选择安装位置，选择本地，点击下一步。选择安装选项，选择第一项，点击下一步。输入用户信息，点击下一步。软件许可协议，点击“是”。定义安装组件，选择“服务器和客户端工具”，点击下一步。创建实例，选择默认，点击下一步。选择安装类型和路径，类型为典型，路径默认，点击下一步。定义服务帐户，选中“对每个服务使用同一帐户，自动启动SQL Server服务”，服务设置为使用本地系统帐户。选择身份认证方式，选择“混合模式（Windows身份验证和SQL Sserver身份验证）”，然后为sa设置密码。然后安装向导经过一些自动设置后开始复制文件到指定路径。启动并进行配置经过一系列的自动配置后，完成安装，点击完成即可。然后点击开始/程序/Microsoft SQL Server/服务器管理，点击开始/继续按钮，启动数据库服务器，然后选中“当启动OS时自动启动服务”到此，SQL Server数据库服务器的安装和设置全部完成。3.2 MSDE数据库的安装首先打开MSDE的安装目录，找到一个setup.ini文件，双击打开它编辑其内容如下所示，并在编辑完成以后保存。其中SAPWD=”angell”字段必须完整，TARGETDIR=C:Program FilesSPM 目录为安装SPM管理端的目录编辑完成以后，双击setup.exe文件执行安装，如图所示 安装系统会提示我们重新启动，重新启动后MSDE就安装好了，如图所示。至此，MSDE的安装完成。4 策略管理中心（Policy Manager Center）的安装注意：PMC即可以独立安装，也可以和日志审计服务安装在统一台主机中1、检验数据库启动状态，如图，保证服务器在启动状态。2、进入安装光盘，运行autorun.exe启动安装向导。3、 进入安装向导，点击“安装策略管理中心（管理端）”4、进入程序安装界面：5、选择安装文件的路径，可以通过“浏览”按钮选择目标文件夹，建议使用默认路径安装，安装文件默认的安装路径是“C:Program filesAngelltechSpmPolMan”。6、查看软件许可信息安装向导提示要安装的组件，“安智科技SPM管理工具”，选择下一步开始复制文件。7、正在复制文件，安装向导复制源文件到安装目录。8、管理数据源配置在数据库服务器IP地址中输入日志服务器的IP地址，如果在本地，可输入。如图，点击确定。 9、安装向导完成安装，如图，点击“完成”即可。至此策略管理中心（Policy Manager Center）安装完成。5 日志审计服务（Log Audit Service）注意：l 确保和数据库系统安装在统一台主机系统中l 在安装日志审计服务之前首先要保证安装数据库软件（SQL2000或MSDE）l 确保数据库正常启动安装过程：1、 进入安装光盘，运行autorun.exe启动安装向导。2、 进入安装向导，点击“安装日志服务器”3、进入程序安装界面。4. 接收安装许可协议，选择“是”继续安装。5选择安装文件的路径，可以通过“浏览”按钮选择目标文件夹，建议使用默认路径安装，安装文件默认的安装路径是“C:Program filesAngelltechSpmPolMan”。安装向导提示要安装的组件，包括“SPM日志接收程序”、“SPM日志数据库建立工具”和“SPM日志初始化工具”三个组件，选择下一步开始复制文件。6正在复制文件，安装向导复制源文件到安装目录。7日志数据库初始化：参 数功 能 描 述数据库类型选择根据本机安装的数据库类型选择使用的数据库引擎（SQL Server 、MSDE）。（在此以SQL2000为例）数据库服务器IP地址在此填入数据库服务器主机IP地址（如果数据库服务器在本地，输入也可）。数据库管理员账号在此填入数据库管理员名称，默认的管理员账号为“sa”。数据库管理员密码安装数据库时为数据库管理员（sa）设置的密码。建立数据库为日志服务器创建存储日志信息的数据库。建立DSN（Data Source Name）为日志服务器中的数据库创建数据源名称。在“安全策略管理日志数据库初始化”中输入以上数据后，首先选择“建立数据库”，成功后出现提示：之后点击“建立DSN”，创建成功后提示如图：成功后点击关闭。8、日志服务器数据库配置点击设置完成数据源配置过程。DSN源名：建立DSN时自动创建了DSN源名spmlog，此处输入spmlog即可；用户名：数据库管理员账号，默认为sa；口令：数据库管理员密码，在安装数据库时为sa设置的密码；输入相关参数后点击“设置”，出现下图所示窗体，提示配置完毕，点击“确定”，然后点击“日志服务器数据库配置”中的“关闭”。9、安装向导完成安装，如图，点击“完成”即可。6 登录PMC及初始配置6.1 登录pmc安装完管理控制中心，安装向导在桌面上生成“安全策略管理系统管理程序”快捷方式，双击该图标运行PMC，弹出管理员登录框：第一次启动时，“管理员登录”窗口的口令为 “空”。点击【登录】按钮登录。6.2 添加管理节点在“工具栏”中的菜单项里选择“管辖服务器”“添加”，会弹出一个“域管理节点”的窗口，填入相应的数值后点击确定。说明：节点名：必须以字母开头，并且只能包括字母、数字、_、-服务器地址：安装了SSP的主机地址；系统管理域：在SSP中定义的域，如图； 之后在“管理节点”可以看到设置好的节点：配置数据库：点击工具数据库配置，如图所示测试数据库：输入相关参数后，点击测试，测试成功点击“确定”。6.3 登录到认证服务器右键点击添加的节点，选择菜单的“登录”后，弹出登录提示框：第一次登录时由于没有设置域管理员，则使用系统管理员帐户登录即“sysadmin”，密码默认为“angell”（注意区分大小写）。输入正确的登录信息后，点击【登录】按钮，如果信息被确认正确后，则会弹出认证成功的信息提示框。接下来弹出“配置读取成功”对话框：在“管理窗口”的“管理节点”会显示呈黄色的提示：现在已经成功登录了PMC管理系统，可以对安全策略管理系统进行设置。l 更详细的配置操作请参见管理端用户手册介绍7 策略执行点（Policy Enforcement Point）的安装7.1 安装方式安全策略管理系统PEP端有三种安装办法，第一种是本地安装、第二种是在线安装、第三种是下载安装。下面我们介绍第一种安装方式，其他两种安装方式请详见客户端用户手册相关介绍。7.1.1 本地安装（1）、进入安装光盘，运行autorun.exe启动安装向导。（2）、进入安装向导，点击安装策略执行点。（3）、进入策略执行点安装。（4）、选择要安装的功能：（5）、选择目标文件夹，安装文件默认的安装路径是“C:Program filesAngelltechSpmDsa”，建议使用默认路径安装，选择“下一步”继续。（6）、开始安装：正在复制文件。（7）、安装数据保护系统：如果用户购买了数据备份还原子系统