北信源主机监控审计系统安装手册

北信源主机监控审计系统安装配置手册北京北信源软件股份有限公司二〇一六年 支持信息SYMBOL183\f"Symbol"PAGEI支持信息在北信源主机监控审计系统使用过程中，如您有任何疑问都可以通过访问我公司网站或者致电我司客服中心获得帮助和支持！热线支持：400-8188-110客户服务电话86/87在您使用该产品过程中，如果有好的意见或建议的话也请联系我们的客服中心，感谢您对我公司产品的信任和支持！ 目录SYMBOL183\f"Symbol"PAGEIV正文目录第一章 安装环境 1硬件环境 1提供数据库、IIS服务 1提供相应端口 2安装注意事项 2软件安装监控服务器部署注意事项 2软件安装和应用过程中注意事项 2产品组件安装 3第二章 服务器端软件环境安装 4安装IIS 4安装SQLServer2000数据库 6安装SQLServerSP4补丁程序 14第三章 北信源主机监控审计系统安装 20WinPcap网卡驱动模块安装 21远程技术支持模块安装 23数据库初始化模块安装 26本地SQL数据库服务器环境初始化 26远程SQL数据库服务器环境初始化 28WEB管理平台模块安装 30安装其他模块 34第四章 系统配置 35IIS配置 35NTFS分区设置 37WEB管理平台设置 39区域划分与配置 39区域管理器配置 42扫描器配置 46注册程序配置 49自定义组分配与管理 51IP与MAC绑定列表 53系统运维监控 54序列号管理 55阻断策略应用 55第五章 系统卸载 58卸载服务器 58卸载WinPcap 58卸载区域管理器 59卸载网页平台 60卸载补丁下载 61卸载主机保护 62卸载报警中心 63卸载客户端 64如何处理反复无法卸载的情况 66

图目录TOC\h\z\t"图样式"\c图2-1选择“添加或删除程序”菜单 4图2-2选择“添加/删除Windows组件” 5图2-3选择“应用程序服务器”并安装IIS 5图2-4系统正在安装Internet信息服务（IIS） 5图2-5选择“安装SQLServer2000简体中文企业版” 6图2-6选择“安装SQLServer2000组件” 6图2-7选择“安装数据库服务器(S)” 7图2-8数据库sp2版本兼容提示 7图2-9数据库安装向导首页 8图2-10选择创建新实例的计算机 8图2-11选择创建新的SQLServer实例 9图2-12输入姓名及公司名称 9图2-13同意软件许可证协议 10图2-14安装类型选择 10图2-15创建实例名 11图2-16典型安装 11图2-17服务帐户配置 12图2-18配置身份验证模式 12图2-19开始复制文件 13图2-20选择许可模式 13图2-21正在安装SQLServer2000数据库 14图2-22数据库安装完成 14图2-23选择SP4补丁文件保存位置 15图2-24进入SP4安装向导 15图2-25软件许可证协议 16图2-26不进行实例名设置 16图2-27选择数据库连接验证方式并输入sa密码 17图2-28SP4安装界面 17图2-29设置错误报告 18图2-30确定开始复制文件 18图2-31更新与备份master和msdb数据库 18图2-32SP4补丁程序安装成功 19图3-1安装界面 20图3-2安装注意事项 21图3-3系统各模块安装界面 21图3-4WinPcap安装向导1 22图3-5WinPcap安装向导2 22图3-6WinPcap许可证协议 23图3-7WinPcap安装成功 23图3-8安装远程技术支持模块向导1 24图3-9选择安装类型 24图3-10选择“目的地文件夹” 25图3-11选择程序文件夹 25图3-12远程技术支持模块安装完成 26图3-13系统环境初始化向导 26图3-14设置数据库服务器地址及连接验证方式 27图3-15正在进行数据库初始化 27图3-16数据库初始化成功 28图3-17数据库初始化失败 28图3-18配置SQL客户端 29图3-19启用所选协议 29图3-20对客户端别名的添加 29图3-21WEB管理平台安装向导 30图3-22许可证协议 30图3-23用户信息及软件序列号设置 31图3-24设置WEB管理平台安装路径 31图3-25数据库服务器地址及用户、密码设置 32图3-26WEB管理平台虚拟目录设置 32图3-27确认设置并开始复制文件 33图3-28正在复制文件 33图3-29安装成功 34图4-1IIS管理器改变Web服务状况 35图4-2选择“VRVEIS”虚拟目录属性 36图4-3设置VRVEIS属性参数 36图4-4设置应用程序配置参数 37图4-5选择用户域组 38图4-6选择用户域组高级选项 38图4-7VRVEIS属性配置 39图4-8web管理平台登录页面 40图4-9系统数据初始化 40图4-10Web管理主界面 41图4-11填写区域信息 41图4-12添加区域IP划分 41图4-13增加下级区域 42图4-14区域管理器配置 43图4-15系统配置 43图4-16阻断配置 44图4-17报警过滤参数说明 44图4-18策略配置 45图4-19补丁下载 45图4-20区域管理器系统配置 46图4-21SQL服务器配置 46图4-22区域扫描器配置 47图4-23区域扫描器高级配置 47图4-24扫描器信息列表 48图4-25交换机扫描配置 49图4-26注册程序配置 49图4-27编辑单位/部门 50图4-28编辑单位 50图4-29编辑注册码 51图4-30自定义组分配与管理 51图4-31创建分组 52图4-32查询设备 52图4-33添加IP/MAC绑定 53图4-34添加系统IP与MAC绑定设备列表 53图4-35查询系统IP与MAC绑定设备列表 54图4-36系统运维监视 54图4-37资源匮乏提示 55图4-38添加操作系统序列号 55图4-39区域划分中的阻断设定 55图4-40客户端数据查询中的阻断设定 56图4-41区域管理器中的阻断设定 57表目录TOC\h\z\c表4-1区域管理器配置参数说明 42表4-2系统配置参数说明 43表4-3阻断配置参数说明 44表4-4扫描器配置参数说明 47表4-5高级配置系统配置参数说明 48表4-6阻断配置参数说明 57 STYLEREF"1"系统卸载PAGE67安装环境硬件环境SQLServer数据库服务器用于安装系统管理信息数据库。PC服务器或更高档服务器，PentiumⅣ2.4C以上CPU，512M以上内存。区域管理器用于安装区域管理器程序。百兆或千兆网卡，PC服务器或更高档服务器，PentiumⅣ2.4C以上CPU，512M以上内存。扫描器模块配置同区域管理器。如单独安装扫描器模块，比较高档的PC计算机即可。本系统各程序可安装在同一台计算机上，也可在不同机器上安装SQL数据库、IIS服务器、区域管理器、扫描器模块等，此时推荐该计算机内存为1G以上。建议将区域管理器、扫描器、网页管理平台安装在同一台机器上，作为监控服务器。提供数据库、IIS服务操作系统Windows2000或Windows2003企业版操作系统。MircosoftSQLServer软件配备SQLServer2000或SQLServer2005数据库系统，用于北信源终端安全管理建立管理信息库数据库列表项。（注：以下均以SQLServer2000为例）IIS服务配备IIS服务器提供Web服务，用于安装Web网页管理配置平台。如所装操作系统为Windows2003企业版，则需要按照附录（三）的Windows2003的IIS配置说明进行IIS配置。提供相应端口北信源主机监控审计系统的区域管理器将占用操作系统88端口，必须确保安装区域管理器的机器该端口不被占用。区域内的防火墙应打开如下端口：80、88、2388、2399、8901、8900、161、137、22105、8889、22106、22108以及ICMP协议。同时最好将DNS服务迁移至其它服务器。安装注意事项软件安装时，推荐将区域管理器、扫描器、数据库安装在同一台机器上（以下称为监控服务器），建议按照下面要求进行监控服务器部署、软件安装、客户端注册。软件安装监控服务器部署注意事项监控服务器在网络中放置位置注意点确保该监控服务器能够ping通所有被管理网络中任意一台客户端机器，同时被管理客户端可以正常连接服务器的TCP的80,88两个端口；监控服务器给客户端下达策略的端口为：TCP端口22105；监控服务器扫描发现客户端利用以下协议及端口：ICMP协议（发现IP地址存在的其中一种方式）；NETBIOS协议,UDP端口137(为了发现机器名和MAC地址)；SNMP协议,TCP端口161（为了发现智能设备如路由器、交换机等）；在本地网络中若划分了VLAN，或本地网络存在防火墙，请注意上述问题。存在网中子网（如经过地址转换）的网络布置点对于网络中存在网中网现象，如采用NAT地址转化或者代理方式在10.*.*.*网络中接入192.*.*.*网段，这些子网用户的管理方式如下：情况一：子网有专人管理，并且有独立机房应在该子网中安装一套完整的监控系统。情况二：子网无专人管理，或无独立机房，可采用以下3种方式之一处理：机器数量少的建议统一更改IP为10.*.*.*网段。由管理员监督子网中所有机器进行注册并保证不得遗漏。在该网络中指定一台工作站专门安装区域管理器软件和区域扫描模块，并将区域管理器配置中SQL服务器地址指向监控服务器。软件安装和应用过程中注意事项必须按照软件安装步骤进行安装确认本机IIS服务正常；确认本机SQL已正常安装并能正常使用（以本地系统账户方式安装）；确认目标安装盘剩余空间不小于10G；请务必按照指定顺序安装各个模块；请在区域扫描模块所在计算机中安装SNMP服务；安装完所有系统模块后，请一定按照说明文档进行客户端程序的配置及分发安装。监控服务器的安全性问题管理服务器安装Windows2000Server操作系统（带IIS）、MSSQLServer2000数据库后，一定要确保对Windows2000、SQL和IE进行重要安全补丁修补，规范操作系统、数据库的口令和密码设置，保证SQL、IIS的正常启动运行。确保本服务器无病毒，同时可配置本服务器网络通讯端口仅打开：80，88，6800，8901，8900，22105，2388，2399，8889。保护机制的应用对大多数交换机、路由器、非Windows设备，需要将其设置为保护状态（避免被阻断导致网络不通），其它如有系统无法识别的重要设备，请在网页管理平台设备信息查询中手动将其设置为保护状态。产品组件安装安装顺序依次为安装SQLServer数据库；安装WinPcap驱动程序；安装并运行环境初始化程序，初始化数据库；安装网页平台并进行划分区域，配置区域IP范围、区域管理器参数、设备扫描器参数等（推荐安装在默认路径下）；安装区域管理器（推荐安装在默认路径下）；通知所有用户下载并运行注册客户端代理探头程序。

服务器端软件环境安装安装IIS将系统光盘放入计算机CD或DVD光驱中，然后进入【开始】菜单，选择【控制面板】，然后选择【添加或删除程序】，如下图所示：图2-SEQ图2-\*ARABIC1选择“添加或删除程序”菜单进入【添加或删除程序】后，选择【添加/删除Windows组件】，如下图所示：图2-SEQ图2-\*ARABIC2选择“添加/删除Windows组件”在“Windows组件向导”窗体中，勾选中【应用程序服务器】，如果您的计算机系统分区文件格式是FAT32类型。系统将提示警告信息，这个警告并不影响正常安装和使用IIS。请在提示窗口中点击【确定】，系统将为您安装IIS。如下图所示：图2-SEQ图2-\*ARABIC3选择“应用程序服务器”并安装IIS图2-SEQ图2-\*ARABIC4系统正在安装Internet信息服务（IIS）安装SQLServer2000数据库进入SQLServer2000的安装界面后，选择“安装SQLServer2000简体中文企业版(E)”，如下图所示：图2-SEQ图2-\*ARABIC5选择“安装SQLServer2000简体中文企业版”进入企业版安装页面后，选择“安装SQLServer2000组件(C)”，如下图所示：图2-SEQ图2-\*ARABIC6选择“安装SQLServer2000组件”进入SQLServer组件安装页面后，选择“安装数据库服务器”，如下图所示：图2-SEQ图2-\*ARABIC7选择“安装数据库服务器(S)”点击“安装数据库服务器”后，系统可能会提示SQLServer2000sp2不支持此操作系统，该警告不会影响您安装数据库，请点击【继续】。稍后，我们会安装SQLServer2000sp4补丁程序，从而解决该问题。如下图所示：图2-SEQ图2-\*ARABIC8数据库sp2版本兼容提示进入“数据库安装向导页面”，点击【下一步】，如下图所示：图2-SEQ图2-\*ARABIC9数据库安装向导首页选择要创建新数据库实例的计算机，此处选择“本地计算机”，点击【下一步】，如下图所示：图2-SEQ图2-\*ARABIC10选择创建新实例的计算机点击【下一步】后，如果系统提示需要新启动计算机，请重启计算机，然后重复以上数据库安装步骤，如果没有提示将进入下一个向导页面。进入后，选择“创建新的SQLServer实例，或安装‘客户端工具’”，然后点击【下一步】。如图所示：图2-SEQ图2-\*ARABIC11选择创建新的SQLServer实例输入您的姓名和公司名称，点击【下一步】。如下图所示：图2-SEQ图2-\*ARABIC12输入姓名及公司名称进入“软件许可协议”窗体，点击【是】，如下图所示：图2-SEQ图2-\*ARABIC13同意软件许可证协议进入安装类型选择窗体，选择“服务器和客户端工具”，点击【下一步】。如下图所示：图2-SEQ图2-\*ARABIC14安装类型选择创建数据库实例名，此处选择数据库默认实例名，点击【下一步】。如下图所示：图2-SEQ图2-\*ARABIC15创建实例名再次进入安装类型选项，请选择典型安装。如果您想将“程序文件”和“数据文件”安装在其他盘符，可以点击【浏览】进行位置选择。这里选择的系统默认路径。然后点击【下一步】：图2-SEQ图2-\*ARABIC16典型安装进入“服务帐户”窗口，对每个服务使用同一个帐户，并自动启动服务。服务设置选择“使用本地系统帐户”，进行SQLServer服务的启动。图2-SEQ图2-\*ARABIC17服务帐户配置点击【下一步】，进入“身份验证模式”窗口，选择windows系统身份认证和SQLServer身份认证混合模式，并设置sa密码。sa密码请牢记，后续安装电子文档安全管理软件会使用。如下图所示：图2-SEQ图2-\*ARABIC18配置身份验证模式点击【下一步】开始复制文件。如图所示：图2-SEQ图2-\*ARABIC19开始复制文件进入“选择许可模式”窗体，选择“每用户”许可模式，可以根据您的实际情况，制定允许多少设备访问。这里设置的是5台。点击【继续】后，进行数据库的安装。如下图所示：图2-SEQ图2-\*ARABIC20选择许可模式图2-SEQ图2-\*ARABIC21正在安装SQLServer2000数据库图2-SEQ图2-\*ARABIC22数据库安装完成注：在安装过程中要选择“使用本地系统帐户”和“混合模式”。安装SQLServerSP4补丁程序SQLServer2000数据库安装完毕后，需要安装SP4补丁程序。运行“SQL2000-KB884525-SP4-x86-CHS.EXE”后将文件保存在本地硬盘上。这里使用默认路径。将SP4补丁文件放置在C:\SQL2KSP4中。点击【下一步】，进行文件保存。如下图所示：图2-SEQ图2-\*ARABIC23选择SP4补丁文件保存位置进入C:\SQL2KSP4文件夹中，运行“setup.bat”进入SP4程序安装向导。如下图所示：图2-SEQ图2-\*ARABIC24进入SP4安装向导点击【下一步】，进入“软件许可证协议”窗体，同意该协议，并点击【是】，否则退出安装。如下图所示：图2-SEQ图2-\*ARABIC25软件许可证协议进入“实例名”设置，在安装SQLServer数据库时已经进行了实例名的设置，此处不再进行设置。点击【下一步】。如图所示：图2-SEQ图2-\*ARABIC26不进行实例名设置选择数据库连接验证模式，使用SQLServer身份认证，输入sa用户密码。然后点击【下一步】。如下图所示：图2-SEQ图2-\*ARABIC27选择数据库连接验证方式并输入sa密码密码验证成功，进入SP4程序安装，选择“升级MicrosoftSearch并应用SQLServer2000SP4(必需)”，然后点击【继续】。如下图所示：图2-SEQ图2-\*ARABIC28SP4安装界面不启用SQLServer错误报告，直接点击【确定】后，进行SP4补丁程序安装，如下图所示：图2-SEQ图2-\*ARABIC29设置错误报告进入“开始复制文件”窗体，点击【下一步】开始复制文件。如图所示：图2-SEQ图2-\*ARABIC30确定开始复制文件系统提示更新与备份master数据库和msdb数据库。点击【确定】。如图所示：图2-SEQ图2-\*ARABIC31更新与备份master和msdb数据库成功安装SP4补丁程序安装，点击【完成】退出安装程序。图2-SEQ图2-\*ARABIC32SP4补丁程序安装成功

北信源主机监控审计系统安装运行安装程序,进入安装界面，如下图所示：图3-SEQ图3-\*ARABIC1安装界面选择“安装注意事项”，进入注意事项界面，如下图所示：图3-SEQ图3-\*ARABIC2安装注意事项选择“进入系统各模块安装界面”，如下图所示：图3-SEQ图3-\*ARABIC3系统各模块安装界面WinPcap网卡驱动模块安装点击“安装WinPcap网卡驱动模块”，进入安装向导页面，如下图所示：图3-SEQ图3-\*ARABIC4WinPcap安装向导1点击【Next】，如下图所示：图3-SEQ图3-\*ARABIC5WinPcap安装向导2同意WinPcap许可证协议，并点击【IAgree】。如下图所示：图3-SEQ图3-\*ARABIC6WinPcap许可证协议安装成功后，点击【Finish】退出安装程序，如下图所示：图3-SEQ图3-\*ARABIC7WinPcap安装成功注：如以前安装过不同版本的WinPcap则需要卸载后重启。（若添加删除程序中有WinPcap项可确定已安装）远程技术支持模块安装该模块为VrvAnywhere软件，供技术人员远程技术支持使用，必须同时安装主控端和被控端模块。在“系统各模块安装界面”选择“安装远程技术支持模块”进入安装远程技术支持模块界面，如下图所示：图3-SEQ图3-\*ARABIC8安装远程技术支持模块向导1点击【下一步】图3-SEQ图3-\*ARABIC9选择安装类型点击【下一步】图3-SEQ图3-\*ARABIC10选择“目的地文件夹”点击【下一步】图3-SEQ图3-\*ARABIC11选择程序文件夹点击【下一步】图3-SEQ图3-\*ARABIC12远程技术支持模块安装完成点击【完成】完成安装。数据库初始化模块安装本地SQL数据库服务器环境初始化在“系统各模块安装界面”选择“安装数据库初始化模块”进入“系统环境初始化”界面，如下图所示：图3-SEQ图3-\*ARABIC13系统环境初始化向导配置数据库服务器地址和连接数据库验证方式。因为安装数据库时身份验证方式选择的是混合模式，所以这里请使用SQL身份认证。SQLServer数据库地址为“.”，“.”代表本地计算机IP。SQL用户名填写“sa”，密码填写安装SQLServer数据库时所设置的sa密码。填写完毕后，点击【下一步】后，进行数据库初始化。如下图所示：图3-SEQ图3-\*ARABIC14设置数据库服务器地址及连接验证方式系统正在进行数据库初始化。图3-SEQ图3-\*ARABIC15正在进行数据库初始化点击【完成】完成数据库初始化。图3-SEQ图3-\*ARABIC16数据库初始化成功如果提示如下图，图3-SEQ图3-\*ARABIC17数据库初始化失败如果出现如上图所示提示信息，用户需要检查所填入的SQL数据库IP地址、用户名以及用户密码，重新初始化数据库。远程SQL数据库服务器环境初始化注：建议非特殊情况不采用远程方式。输入远程数据库信息，配置SQL客户端：安装远程数据库需要首先输入远程数据库IP地址、用户名称、用户密码，然后点击“配置SQL客户端”，出现如下界面：图3-SEQ图3-\*ARABIC18配置SQL客户端在通用栏中，启用TCP/IP协议：在通用栏中，选用TCP/IP协议，并启用，然后单击别名，进行别名添加设置。图3-SEQ图3-\*ARABIC19启用所选协议进行客户端别名的添加:单击上图中所圈中的别名，出现如下所示：图3-SEQ图3-\*ARABIC20对客户端别名的添加进行网络协议的选择和服务器别名的添加：此时用户需要首先选择网络协议，选定为TCP/IP，点击确定后完成数据库初始化。WEB管理平台模块安装在“系统各模块安装界面”选择“安装WEB管理平台模块”进入“安装WEB管理平台模块”界面，如下图所示：图3-SEQ图3-\*ARABIC21WEB管理平台安装向导同意软件许可证协议，并点击【是】，如下图所示：图3-SEQ图3-\*ARABIC22许可证协议输入用户名、公司名及序列号，软件序列号可从用户卡、光盘封面或说明书封面获得。输入完毕后，点击【下一步】。如图所示：图3-SEQ图3-\*ARABIC23用户信息及软件序列号设置选择WEB管理平台安装路径，建议选择默认安装路径，然后点击【下一步】。如图所示：图3-SEQ图3-\*ARABIC24设置WEB管理平台安装路径输入数据库服务器IP地址及数据库的用户名和密码。这里输入的是0本地服务器地址，您可以根据实际情况填写服务器IP地址。建议使用sa数据库用户。输入完毕后，点击【下一步】。如下图所示：图3-SEQ图3-\*ARABIC25数据库服务器地址及用户、密码设置设置WEB管理平台虚拟目录，建议使用默认名称，然后点击【下一步】，如下图所示：图3-SEQ图3-\*ARABIC26WEB管理平台虚拟目录设置确认设置信息，点击【下一步】开始进行文件复制，如下图所示：图3-SEQ图3-\*ARABIC27确认设置并开始复制文件正在复制WEB管理平台程序文件图3-SEQ图3-\*ARABIC28正在复制文件安装成功，点击【完成】退出安装。图3-SEQ图3-\*ARABIC29安装成功安装其他模块区域管理器模块、补丁下载服务器模块、管理器主机保护模块和报警中心模块的安装参考WEB管理平台模块的安装即可。

系统配置IIS配置打开“开始”菜单，选择“管理工具”，再选择“Internet信息服务(IIS)管理器”，进入“Internet信息服务(IIS)管理器”窗体。在左侧选择“Web服务扩展”，设置“ActiveServerPages”、“Internet数据连接器”和“在服务器端的包含文件”设置为“允许”。如下图所示：图4-SEQ图4-\*ARABIC1IIS管理器改变Web服务状况选择“网站”，选择“默认网站”，右击“VRVEIS”虚拟目录，选择“属性”。如下图所示：图4-SEQ图4-\*ARABIC2选择“VRVEIS”虚拟目录属性在“VRVEIS属性”窗体中，选择“虚拟目录”标签，然后勾选“脚本资源访问”和“写入”，然后点击【配置】按钮。如下图所示：图4-SEQ图4-\*ARABIC3设置VRVEIS属性参数在“应用程序配置”窗体中，选择“选项”标签，然后勾选“启用父路径”，点击【确定】，回到“VRVEIS属性”窗体，点击【确定】完成设置。如下图所示：图4-SEQ图4-\*ARABIC4设置应用程序配置参数如果您的系统分区的文件是FAT32格式，那么您已经完成IIS服务器的配置。如果是NTFS格式，那么您还需要完成以下设置。NTFS分区设置打开安装北信源主机监控审计系统的系统盘符，在根目录下打开“VRV”目录下的“VRVEIS”目录，右键单击“属性”，点击“安全”选项，直接点击【添加】按钮，如下图所示：图4-SEQ图4-\*ARABIC5选择用户域组此时点击红色标记的【高级】按钮，如下图所示：图4-SEQ图4-\*ARABIC6选择用户域组高级选项点击【立即查找】按钮搜索用户，找到下面有着红色标记的用户，该用户为：IUSR_TEST3,（其格式一般为IUSR_机器名；）找到该用户后选中，用同样方法添加用户IWAM_机器名，点击【确定】按钮即可，此时会出现下图界面：图4-SEQ图4-\*ARABIC7VRVEIS属性配置选中刚才添加的用户将权限设置为全部允许，点击【确定】，所有设置都已完成，此时分区为NTFS分区的服务器和其他终端都可以登录Web界面了。如果系统安装在NTFS磁盘分区，在打包注册程序时会失败，这时可以将vrveis\download目录加上Users用户的读写权限，并且需要保证Users的读写权限已经继承到vrveis\download\DeviceRegist.exevrveis\download\Regist.XML文件，如果没有继承到，请手工为这两个文件添加用户。WEB管理平台设置区域管理器（RegionManage）、区域扫描器模块（Regionscan）、注册程序部分系统的参数配置集中体现在网页管理平台操作上，上述三部分功能参数、功能项数值统一在网页管理平台中进行配置。区域管理器（RegionManage）、扫描器模块（Regionscan）部分参数在自身程序组件中配置。区域划分与配置在网页平台安装完毕之后，访问http://Web服务器域名（IP）/VRVEIS访问WEB管理平台登录界面。如下图所示：图4-SEQ图4-\*ARABIC8web管理平台登录页面其中客户端“工具下载”菜单提供了包括用户注册器下载、补丁检测中心、多路帮助平台、普通工具下载、管理员工具下载、工具上传管理等功能，用户按照页面提示操作即可。系统默认用户为admin，密码为123456，登录后建议管理员修改管理员密码。首次登录网页平台时，网页平台会自动初始化，如下图所示，图4-SEQ图4-\*ARABIC9系统数据初始化初始化成功后，登录网页平台，系统会提示进行“区域划分”、“区域IP划分”、“扫描器”等配置的提示，只要按提示进行配置即可。成功登录后，进入系统的主界面。如下图所示：图4-SEQ图4-\*ARABIC10Web管理主界面对网络中的客户端进行区域划分管理，按照提示依次添加区域、增加区域IP管理范围、分配区域管理器，并完成系统组件运行参数配置。区域信息描述填写必要的与区域相关的信息，如区域机构代码、区域名称、负责人姓名等。其他信息可以酌情依照实际用途填写。图4-SEQ图4-\*ARABIC11填写区域信息添加区域IP划分根据用户实际需要在下图所示的文本框中填入需要管辖的IP地址。其中保留IP段为不需要注册的设备。图4-SEQ图4-\*ARABIC12添加区域IP划分增加下级区域在已有区域页面中点击【增加下级区域】按钮进行下级区域添加，如集团总部下属总裁办、行政部、财务部等。图4-SEQ图4-\*ARABIC13增加下级区域按上述步骤再配置下级区域信息即可。区域管理器配置区域管理器区域管理器是系统策略控制及数据接收处理中心，具有控制完成系统相关的动作行为处理功能；同时与本级数据库系统连接，统一接收注册程序提供的信息，将用户信息（填写的计算机使用人姓名、联系电话、E-mail等，计算机IP、MAC地址、硬盘、CPU、内存等其它硬件信息均为自动采集）存入数据库。根据本区域客户端IP管理情况确定对IP地址的管理方式，若选择IP、MAC地址绑定，需要在静态IP环境下进行设置。参数说明允许客户端控头升级设置本区域管理器管理范围内的客户端的升级操作设置vpn网络虚拟管理器IP指添加VPN虚拟服务器的IP地址管理器标识指管理器的标记，当服务器迁移时需要设置与之相同的管理器标识管理器可直接通信网段在管理多个独立子网时,该配置填写区域管理器服务器可直接通信的地址允许客户端注册指任意一台在区域范围内的客户端都可以在服务器上注册管理器配置同步当选中“下级区域”时下级区域的配置应该和上级区域管理器的配置相同，当选中“全部区域”时是指下面的任意级联区域都要和区域管理器的配置同步表4-SEQ表4-\*ARABIC1区域管理器配置参数说明图4-SEQ图4-\*ARABIC14区域管理器配置高级设置系统配置参数说明锁定下级策略指下级不可以修改IP管理范围上报给上级区域管理器指下级的策略，阻断，违规信息上报给上级区域管理器，在此处打上“√”添加上上级管理器地址，配置级联表4-SEQ表4-\*ARABIC2系统配置参数说明图4-SEQ图4-\*ARABIC15系统配置阻断配置参数说明探头阻断目前常用的阻断方式，由扫描器调度探头完成阻断任务。只要保证一个网段（VLAN）中有存活的已注册计算机达到80%，就可以实现阻断防火墙阻断该方式必须与防火墙结合使用，需要设置必要的防火墙规则集和安全认证，与其它厂商防火墙联动时使用阻断协议通过选择阻断协议，进行有针对的对“TCP”、“UDP”、“ICMP”或所有数据包进行阻断，选中为防止防火墙内部用户通过该协议同外部网络进行通讯阻断端口系统默认端口为“0”，此时为将所有端口同外界通讯全部切断，通过手动添加，选择阻断端口，方法为直接添加端口号即可，多个端口可用空格或逗号将端口分隔开进行填写阻断方向分为“单向阻断”和“双向阻断”两种方式，选择默认“双向阻断”进行配置即可阻断时间系统默认是“4294967295”秒，即为十六进制0xffffffff，代表的意义为永久阻断，根据实际需要自行添加阻断时间，阻断时间为0时即为取消阻断配置文件和密钥文件需要登录到防火墙并获取配置文件和密钥文件表4-SEQ表4-\*ARABIC3阻断配置参数说明图4-SEQ图4-\*ARABIC16阻断配置报警过滤本软件系统提供对多种违规变化行为的报警：非法外联、设备未注册、IP绑定变化、设备变化、探头被卸载、病毒行为报警等。本地报警种类过滤：仅对本地网络中区域管理器管理范围内的违规变化行为进行报警显示，用户根据自身管理要求进行筛选。图4-SEQ图4-\*ARABIC17报警过滤参数说明策略配置系统支持对各种文件的分发，在Web中央管理平台进行软件分发操作前，必须对本项进行配置。默认将分发文件放在C:\VRV\RegionManage\Distribute目录下，管理员可根据需要自行更改路径，同时，修改本路径后，补丁下载存放的位置也会相应改变。图4-SEQ图4-\*ARABIC18策略配置补丁下载将待分发操作系统补丁放置在设置好的补丁路径的目录下，在Web中央管理平台中进行分发操作。管理员通过对参数项的选择进行下载配置，级联IP提供对上一级补丁的下载获取。图4-SEQ图4-\*ARABIC19补丁下载区域管理器系统配置当设置完当前页面这时我们可以配置刚才安装好的内网安全管理管理器去桌面双击“内网安全管理管理器”快捷方式弹出如下界面：图4-SEQ图4-\*ARABIC20区域管理器系统配置SQL服务器配置点击“系统配置”，逐步输入SQL服务器IP地址、用户名称及密码、数据库名称（默认为VRVEIS），单击【确定】完成SQL服务器配置。图4-SEQ图4-\*ARABIC21SQL服务器配置扫描器配置点击“增加扫描器”设置扫描器扫描网络IP范围。参数说明机构代码一般为阿拉伯数字，由用户单位根据管理要求进行设定扫描间隔根据管理IP范围大小进行设置表4-SEQ表4-\*ARABIC4扫描器配置参数说明注：扫描器配合区域管理器进行工作，扫描器的扫描范围不可能超过它的区域管理器管理的IP范围。扫描器除了指定扫描的IP范围外还能够指定排除不扫描的地址范围，如有某些网段不需要扫描器发现设备，为缩短扫描时间，可在扫描器设置中增加禁止扫描地址段的设置。图4-SEQ图4-\*ARABIC22区域扫描器配置高级配置图4-SEQ图4-\*ARABIC23区域扫描器高级配置系统配置参数说明扫描频率设定用户可以根据网络中网络带宽占用情况，灵活设置扫描频率，同样可以选择是否“使用SNMP扫描”扫描方式，如果选择“使用SNMP扫描”，则系统能够自动对网络设备（例如交换机、路由器、网络打印机等）进行扫描，并自动登记到设备列表库中阻断选项如果用户选择“扫描器阻断”，此时可采取“轻量级阻断”和“重量级阻断”两种方式轻量级阻断阻断计算机向网络中广播一个ARP请求报文，将被阻断计算机的IP地址及对应的假MAC地址发送给网络内所有的计算机，每台计算机收到请求后便会对本地的ARP缓存进行更新，将收到的请求中的IP和对应的假MAC地址存储在ARP缓存中。这样对于网络中的计算机看来，被阻断计算机的IP地址没有变化，而它的MAC地址已经不是原来那个了。由于局域网的网络通信不是根据IP地址进行，而是按照MAC地址进行传输。因此，被阻断计算机便接收不到网络中计算机（不含阻断计算机）传送过来的信息。重量级阻断阻断计算机冒充网络中的其他计算机（本网段1-255）给被阻断计算机发送定向ARP应答报文，被阻断计算机收到请求后便会对本地的ARP缓存进行更新，将收到的请求中的IP和对应的假MAC地址存储在ARP缓存中。这样对于被阻断计算机看来，网络中的计算机的IP地址没有变化，而它们的MAC地址已经不是原来那个了。因此，被阻断计算机便不能向网络中的计算机（不含阻断计算机）传送信息表4-SEQ表4-\*ARABIC5高级配置系统配置参数说明注：对于网络中只有一个扫描器，多个扫描范围的情况，需要通过添加扫描范围来实现，不能添加多个扫描器。如果添加了多个扫描器，最后设置的将覆盖前面设置的。交换机扫描配置交换机扫描用于扫描发现交换机，进行拓扑发现。“扫描器配置”“扫描器配置”“配置”“交换机扫锚配置”。图4-SEQ图4-\*ARABIC24扫描器信息列表Snmp读/写团体名：根据拓扑管理需要输入网络中所有网络设备的snmp读团体名用“;”隔开。图4-SEQ图4-\*ARABIC25交换机扫描配置如上图，配置扫描间隔时间一般设成5-10分钟，IP范围设置需要扫描的ip段，snmp读团体名称是根据交换机口令设置的。注：此功能的实现必须开启SNMP协议。注册程序配置管理员可以通过设置来按照需求来配置客户端注册程序,让用户填入相应的信息,方便以后管理。其中的项有启用、必选、还可以对输入数据进行控制，后面的功能设置必须对每个功能模块启用。图4-SEQ图4-\*ARABIC26注册程序配置选择“编辑单位/部门”弹出如下图：图4-SEQ图4-\*ARABIC27编辑单位/部门选择“修改单位”弹出如下窗口图4-SEQ图4-\*ARABIC28编辑单位填写单位名称和单位备注消息点击【添加/修改单位】。最后点击【保存修改】。在“注册程序配置”界面选择“设置注册密码”弹出如下窗体原注册密码为空。设置注册密码是为了防止新接入设备非法进行注册。图4-SEQ图4-\*ARABIC29编辑注册码注册单位与注册部门产生联动：当对单位和注册部门设置为必填和仅选择这时客户端注册程序对单位和部门的填写只能按照管理员的设置来选择.不能手动填写。使用静默注册：以上的设置都不生效这时客户端注册程序只需选择下载运行就可以。注册程序会自己上报终端的计算机名和IP地址MAC地址。选择【保存修改】点击【打包注册程序】这时完成客户端注册程序配置。自定义组分配与管理自定义组用来对网络中特定或者有特殊用途的机器进行编组，以便采取不同的管理手段，方便管理员的管理。该组的客户端成员可以由管理员根据某查询条件而查得的计算机导入自定义组。如下图所示：图4-SEQ图4-\*ARABIC30自定义组分配与管理首先创建分组，点击创建下级组：添加分组名称和分组描述，保存设置。图4-SEQ图4-\*ARABIC31创建分组向组中添加设备：点击“添加设备”，弹出如下图，可以按设备查找，按IP查找，按操作系统查找，选中一个点击【添加】，然后点击【查询】，导入组即可。同时还可以通过设备信息查询，和补丁查询中来添加设备。图4-SEQ图4-\*ARABIC32查询设备如果需要将IP/MAC绑定，那么可以执行下面操作：将当添加完组设备以后点击“将组设备添加到IP/MAC绑定”，弹出如下图所示的“确定添加该组设备到IP/MAC绑定列表库吗？”点击“确定”即可将设备全部导入IP/MAC绑定列表。图4-SEQ图4-\*ARABIC33添加IP/MAC绑定IP与MAC绑定列表添加、查询系统IP与MAC绑定设备列表如下图（数据来源在自定义组里可以按IP操作系统等添加一个自定义组）。图4-SEQ图4-\*ARABIC34添加系统IP与MAC绑定设备列表图4-SEQ图4-\*ARABIC35查询系统IP与MAC绑定设备列表系统运维监控系统运维监控是用来设定系统用户登录失败，用户锁定问题以及存储空间匮乏告警。图4-SEQ图4-\*ARABIC36系统运维监视用户登录锁定：用来设定在多少时间内登陆，连续登录失败的次数，锁定时间。其中连续失败次数要求大于等于5次。存储空间匮乏报警：系统会根据服务器上数据库的所在盘符会自动生成，管理员如要设置该盘小于多少时报警。如果存储空间小于设定的值，每次登陆管理界面时，都会出现图4-SEQ图4-\*ARABIC37资源匮乏提示序列号管理WINDOWS序列号管理，方面用户管理各种版本操作系统的序列号。图4-SEQ图4-\*ARABIC38添加操作系统序列号阻断策略应用系统管理员通过阻断功能实现针对网络中的任意一台计算机进行内部网络的阻断，从而能够保证网络的运行安全，可选择通过以下三种方式配置阻断策略：违规自动阻断策略在系统各区域“区域信息描述”中阻断实现。选择要进行阻断的系统区域名称，点击“区域描述”菜单进入到“区域详细描述及修改”页面中，可针对“发现电脑设备异常后执行的动作”进行如图所示的几种阻断策略的选择：图4-SEQ图4-\*ARABIC39区域划分中的阻断设定注：此时如果选中的执行动作为“默认”，则此区域的阻断策略，采用和本区域的区域管理器已经设置好的相同策略；如果系统管理员进行了其它选择，则系统将会执行其所选中的策略进行阻断操作。区域管理器阻断配置：没有注册则阻断，网络中大部分计算机注册完毕后，可以开启本功能。同时，也可以通过策略中心的阻断违规接入管理的未注册则阻断联网功能实现。手动设置针对设备的单独阻断策略系统除整体区域应用阻断策略以外，系统管理员还可通过手动设置对网络中的任意一台计算机采取单独阻断策略，其方法为进入“数据查询”里面的“设备信息查询”列表页面中，查看其是否被设为阻断图4-SEQ图4-\*ARABIC40客户端数据查询中的阻断设定硬件防火墙联动阻断策略北信源公司目前已经同部分防火墙厂商进行了硬件防火墙联动合作，通过对区域管理器的系统配置，利用硬件防火墙阻断功能，切断防火墙内部计算机同外部网络通讯连接。在Web中央管理平台中进行阻断操作前，必须在这里进行设置，否则无效。探头阻断：依靠用户注册后驻留在操作系统中的代理程序执行阻断操作。防火墙阻断：利用同防火墙的通讯功能，由防火墙对网络中客户端进行阻断，禁止防火墙内部的客户端同防火墙外部的客户端的通讯，包括协议阻断、端口阻断（0表示全部端口）、方向阻断（单向：防火墙内客户端访问不了防火墙外客户端；双向：防火墙内外网客户端同时不能访问）。该项阻断必要能够读取防火墙的两个系统文件：配置文件、密钥文件。详细配置方法如下：图4-SEQ图4-\*ARABIC41区域管理器中的阻断设定打开web管理平台中的“系统配置”界面，选择“阻断配置”选项，选中如图所示的“防火墙阻断”，然后进行防火墙阻断选项的配置：参数说明探头阻断目前常用的阻断方式，由扫描器调度探头完成阻断任务。只要保证一个网段（VLAN）中有存活的已注册计算机达到80%，就可以实现阻断防火墙阻断该方式必须与防火墙结合使用，需要设置必要的防火墙规则集和安全认证，与其它厂商防火墙联动时使用阻断协议通过选择阻断协议，进行有针对的对“TCP”、“UDP”、“ICMP”或