itsec_Deep Security实施方案

1、Deep Security安装实施方案2014年4月目 录1概述42环境准备42.1IP地址分配42.2网络访问42.3部署结构图42.4部署独立组件虚拟机需求52.5程序准备63安装步骤说明73.1部署vShield73.1.1资源表73.1.2部署后配置73.1.3部署Endpoint到ESXi93.2安装SQL数据库123.2.1资源表123.2.2安装步骤123.2.3安装后配置123.3安装DSM153.3.1资源表153.3.2安装步骤163.3.3安装后配置163.4部署DS驱动到ESXi323.4.1部署DS驱动到ESXi主机（维护模式）323.5部署DSVA到ESXi主机34

2、3.5.1资源表343.5.2部署DSVA343.5.3配置DSVA项373.5.4激活DSVA组件413.6部署VMware tools（重启VM）431 概述本手册适用于Deep Security 9.0的实施，根据现有环境情况和虚拟化环境规划。2 环境准备2.1 IP地址分配2.2 网络访问DSM同时部署DSR更新组建，需要申请因特网访问权限。其他无防火墙限制，因此不需要内部网络访问申请。2.3 部署结构图部署2台DSM，1台SQL Server 2008数据库。2.4 部署独立组件虚拟机需求部署范围需求数量用途系统及应用程序需求硬件需求及资源备注电信主环境VM虚拟机2趋势DSM管理端，

3、双机部署VM虚拟主机(Windows 2008 x64)CPU:2.0G*2/内存：8G/硬盘空间：80G提前申请共享存储VM虚拟机1DSM后台SQL数据库VM虚拟主机(Windows 2008 x64)+SQL 2008 R2CPU:2.0G*2/内存：8G/硬盘空间：80G提前申请共享存储vShield Endpoint Manager1VMWare VShield Manager服务器NA导入OVF模板共享存储DSVAXX套DSVA无代理防护组件NAESXi本地磁盘空间大于25G本地磁盘，避免自动漂移2.5 程序准备以下程序由趋势科技提供：序号程序名版本语言备注1Deep Securit

4、y9.0 SP1中文版2vShield Manager5.1中文版3Deep Security序列号9.0 SP1中文版3 安装步骤说明当申请的虚拟机到位时可以进行如下步骤进行安装3.1 部署vShield3.1.1 资源表序号资源名称资源内容备注1操作系统DSM准备的服务器Windows 2008 R2 64位需求参见服务器资源详细章节2安装程序vShield Manager 5.1的OVA模版文件3密码vShield Manager的密码参见密码表4IP地址IP：/5/6MASK：Gatwey：54DNS：168.168

5、.168.81DNS：25主机和存储部署在资源占用较小的ESXi主机和存储中6操作人员Vmware管理员通过Vphere Client完成操作3.1.2 部署后配置1) IE登录 Vshield Manager， 以及5/6控制台用户名密码见密码表2) 配置vcenter 信息进行同步 vShield服务输入3，需要VMware管理员输入用户名密码3) 弹出的安全警告点击“是”4) 加载vCenter完毕如下3.1.3 部署Endpoint到ESXi VMware Vshield M

6、anager部署Endpoint到ESXi Server(1)、 访问管理控制台 /5 用户名：admin 密码：default(2)、 展开【数据中心】到新增加的ESXi Server，点中后，右侧Summery显示vShield Endpoint安装选项，点击右侧的【Install】(3)、 刷新到安装界面，直接点击【Install】按钮。安装过程，页面将自动刷新，不要参与处理(4)、 安装过程将会有添加端口组合防火墙端口的信息在任务窗口显示(5)、 安装成功后后再次刷新的【Summary】显示如下图。3.2 安装SQL数据库3.2.1 资源表序号资源

7、名称资源内容备注1操作系统DSM准备的服务器Windows 2008 R2 64位，需求参见服务器资源详细章节2安装程序Microsoft SQL 2008 R2 64位3IP地址IP：MASK：Gatwey：54DNS：1DNS：24密码Sa账户预设的密码，参见密码表3.2.2 安装步骤安装数据库到所分配的主机中3.2.3 安装后配置1) 在开始菜单中找到SQL Server Management Studio，打开2) 打开SQL连接服务器界面，在服务器名称处输入点“.

8、”或输入“”，身份验证选择“Sql Server身份验证”，并输入sa账户和密码，密码详细见密码表。点击连接进入3) 在打开的管理界面，右键单击“数据库”，选择“新建数据库”4) 新建数据库页面，在数据库名称处填写大写的“DSM”并确定5) 创建完毕后会在数据库中显示DSM数据库名称3.3 安装DSM3.3.1 资源表序号资源名称资源内容备注1操作系统DSM准备的服务器Windows 2008 R2 64位，需求参见服务器资源详细章节2安装程序Deep Security 9.0 SP1程序3IP地址IP：/2MASK：Gatwey

9、：54DNS：1DNS：25密码1. DSM管理账户masteradmin预设的密码2. 数据库Sa账户的密码3. vShield Manager用户名密码4. vCenter管理员账户密码详细参见密码表3.3.2 安装步骤3.3.3 安装后配置1) 添加vCenter到DSM1 在IE地址栏输入:4119 点击“继续浏览此网站”并输入用户名：masteradmin 密码见密码表2 进入欢迎界面，取消勾选“Show this again after the next sign-in

10、”，并点击close关闭该窗口3 打开控制台页面如下显示4 选择“Computers”à右键单击左侧栏的“Computers”5 选择“Add VMware vCenter”，添加vCenter6 弹出提示狂输入vCenter信息，本次仅注册一厂主环境和二厂主环境，逐一添加，重复第5步开始。并点击Next继续Server Address=3 （10）Server Port=443Name=默认Description=FAW-VWUsername=vCenter管理员账户，vmware管理员输入Password=vCenter管理员密码，

11、vmware管理员输入7 弹出提示匡输入vShield Manager信息，并Next继续Manager Address= （）Manager Port=443Username=adminPassword=default验证vCenter&vShield Manager可以连接过程8 确认链接信息点击“Accept”继续开始注册9 添加完毕提示发现的主机及虚拟机信息，点击Finish10 连接成功提示，直接close11 注册完毕后控制台界面如下2) 更新配置手动更新1) 点击“Administration”管理，并选择“Updates”

12、在安全更新选项卡最下方点击“Download Security Updates”2) 弹出更新向导，点击“finish”完成，并开始更新注意：手册更新过程时间较长，约30分钟以上，此时保留该页面可以进行其他操作更新完毕后会显示所有更新情况信息任务更新1) 在“Administration”à“Scheduled Tasks”中点击“New”2) 弹出的向导页面，选择type中“Download Security Updates”，“Daily”并点击Next继续3) Start Time选择00:30执行，Every Day4) 应用主机为All Computers5) 创建完成信息

13、确认，并点击Finish6) 创建完成后如下显示新建的任务3) 策略模版设置1. 在Policies中选择Policies，并选择New创建新策略New Policy2. 策略名称输入“电信集团虚拟化防御策略”，在Inhrit from中选择Deep Security根路径，并next继续3. 默认选择，点击next继续4. 选择要部署的主机，并next继续5. 初期部署仅选择“Malware Scan”、“Intrusion Prevention Rules”共3个模块，避免因防火墙及日志审计等引起虚拟机异常，部署稳定后逐一测试和条件开启。6. 确认开启的模块，点击Finish7. 创建完毕

14、点击close8. 打开策略详细，开始配置，开启“Malware Scan”、“Intrusion Prevention Rules”的两个，并保存3.4 部署DS驱动到ESXi3.4.1 部署DS驱动到ESXi主机（维护模式）注意：提前完成vMontion要部署的ESXi主机上的所有虚拟机到其他主机。(1)、 登陆管理控制台，:4119 用户名：masteradmin 密码：见密码表右键单击要部署的ESXi Server，【操作】è【部署ESX】(2)、 安装向导，点击【继续】(3)、 安装过程ESX Server将进入维护模式，确认上面的VM

15、都已经迁移到其他ESX主机后点击【继续】(4)、 部署过程(5)、 在vshare client看到状态如下(6)、 安装完毕后，要选【不，稍后部署。】并点击【继续】完成驱动部署(7)、 部署完成后，会在控制台显示【已准备】3.5 部署DSVA到ESXi主机3.5.1 资源表序号资源名称资源内容备注1本地存储ESXi主机本地存储大于20G2IP地址根据IP地址对照表，对应ESXi主机VLAN ID3.5.2 部署DSVA注意：确认要部署的ESXi主机本地存储有20G以上空间，确认DSVA的VLAN ID。(1)、 登陆DSM控制台，右键单击新的ESXi Server，【操作】è【部署

16、设备】(2)、 部署向导开始(3)、 部署信息填写：【设备名称】规则为DSVA+ESX Server名称，如VMMSDSVA1【数据存储】务必存储到datastore上，即部署到ESXi Server本机磁盘中，避免PDM自动vMoniton DSVA。【文件夹】选择当前部署的vCenter名称；【管理网络】选择虚拟交换机的VLAN(提前确认)(4)、 填写【设备主机名】与上一步设置的【设备名称】相同。在TCP/IP中，根据已分配IP地址填写。点击【继续】(5)、 存储虚拟磁盘分配，选择【完整配置格式】。点击【完成】(6)、 部署生成设备软件包，无需参与(7)、 SSL证书许可，点击【接受】(

17、8)、 如果IP地址已经设置并能正常通信点击立即激活，否则选择【不，稍后激活】并点击【关闭】3.5.3 配置DSVA项VC中网络配置(1)、 使用vSphere Client登陆vCenter，右键单击已部署的DSVA虚拟机，点击【编辑设置】(2)、 在打开的虚拟机属性中找到“网络适配器1”，点中后在右侧“网络标签”下拉选择虚拟交换机，【确定】完成配置虚拟机中配置(3)、 使用vSphere Client打开DSVA的控制台(4)、 按键盘“F2”进入配置项，输入的用户名和密码都是：dsva(5)、 键盘向下选择“Configure Management Network”并回车进入配置(6)、

18、 配置分配的IP地址，利用空格将DHCP取消掉，输入对应的IP地址，参见IP地址分配表，输入完毕后“回车”确认保存(7)、 时区配置，选择【Configure Time Zone】，并选择【Asia】，回车确认保存(8)、 选择【Asia/Shanghai】并回车确认3.5.4 激活DSVA组件(1)、 登陆DSM管理控制台，右键单击刚刚安装驱动的DSVA【操作】è【激活设备】(2)、 进入激活DSVA向导，点击【继续】进入后续步骤。(3)、 安全配置文件选择“电信集团DS策略”，确保策略统一。(4)、 继续后开始搜索虚拟机设备。(5)、 搜索到虚拟机，如果VM Tools未升级请选择【不，稍后激活】(6)、 激活完成，并点击【关闭】3.6 部署VMware tools（重启VM）(1)、 使用vSphere Client打开需要安装/升级VMware tools的虚拟机，并在菜单中选择【虚拟机】è【客户机】è【安装VMware tools】(2)、 如果已经安装过VMware tool