LanSecS 安装与配置手册

第一章系统简介内控堡垒主机系统是安全内控解决方案的重要组成部分，部署在企业的内部网络中，用于保护企业内部核心资源的访问安全。

内控堡垒主机是一种被加固的可以防御进攻的计算机，具备很强安全防范能力。

内控堡垒主机扮演着看门者的工作，所有对网络设备和服务器的请求都要从这扇大门经过。

因此内控堡垒主机能够拦截非法访问，和恶意攻击，对不合法命令进行命令阻断，过滤掉所有对目标设备的非法访问行为。

内控堡垒主机具备强大的输入输出审计功能，不仅能够详细记录用户操作的每一条指令，而且能够将所有的输出信息全部记录下来，也具备图形终端操作的审计功能，能够对多平台的多种图形终端操作做审计，并且内控堡垒主机具备审计回放的功能，能够模拟用户在线操作过程。

总之，内控堡垒主机能够极大的保护企业内部网络设备及服务器资源的安全性，使得企业内部网络管理合理化，专业化，信息化。

1关键字自然人：也叫主帐号，使用内控堡垒主机的用户统称为自然人。

资源：被内控堡垒主机管理的主机系统，数据库，网络设备等统称为资源。

例如AIX 系统、Windows2000系统、DB2数据库、CISCO3560等。

从账号：从账号是资源中的账号，例如AIX中的root账号，Windows2000中的Administrator账号。

SSO单点登录：SSO（SingleSign-On）中文为单点登录，就是说在同一个地点完成对不同资源的访问。

双人共管账号：双人保管口令的账号。

共管账号：账号被很多应用系统使用，或内置了口令，如果修改口令可能影响到其他应用系统的使用，对于这类账号，内控堡垒主机称之为共管账号。

2部署结构内控堡垒主机部署逻辑图：内控堡垒主机部署物理图：如图，内控堡垒主机部署在被管服务器区的访问路径上，通过防火墙或者交换机的访问控制策略限定只能由内控堡垒主机直接访问服务器的远程维护端口。

维护人员维护被管服务器或者网络设备时，首先以WEB方式登录堡垒主机，然后通过堡垒主机上展现的访问资源列表直接访问授权资源。

网络卫士防火墙系统安装手册天融信TOPSEC® 北京市海淀区上地东路1号华控大厦，100085电话：(86)10-82776666传真：(86)10-82776677服务热线：800-810-5119http: //版权声明 本手册中的所有内容及格式的版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。

版权所有不得翻印© 2007天融信公司商标声明 本手册中所谈及的产品名称仅做识别之用。

手册中涉及的其他公司的注册商标或是版权属各商标注册人所有，恕不逐一列明。

TOPSEC® 天融信公司信息反馈目录1前言 (1)1.1文档目的 (1)1.2读者对象 (1)1.3文档组织 (1)1.4约定 (1)1.5相关文档 (2)1.6技术支持 (2)2安装网络卫士防火墙 (4)2.1系统组成与规格 (4)2.1.1系统组成 (4)2.1.2系统规格 (4)2.2确定防火墙的工作模式 (4)2.3系统安装 (5)2.3.1硬件设备安装 (5)2.3.2管理器安装 (6)2.3.3检查网络卫士防火墙的工作状态 (11)2.4登录网络卫士防火墙 (11)2.4.1缺省出厂配置 (11)2.4.2使用CONSOLE口登录网络卫士防火墙 (12)2.4.3设置其他管理方式 (15)2.4.4管理主机的相关设置 (18)2.4.5通过浏览器登录防火墙 (19)2.4.6使用集中管理器登录防火墙 (19)2.4.7通过SSH方式登录网络卫士防火墙 (21)2.5恢复出厂配置 (22)3配置案例 (23)3.1案例1：路由模式下通过专线访问外网 (24)3.2案例2：混合模式下通过ADSL拨号访问外网 (26)3.3案例3：建立VPN隧道 (29)附录A扩展模块 (32)1前言本安装手册主要介绍网络卫士防火墙的安装和使用。

通过阅读本文档，用户可以了解如何正确地在网络中安装网络卫士防火墙，并进行简单配置。

LanSecS信息安全等级保护综合管理系统北京圣博润高新技术股份有限公司2012-6-141.系统简介“LanSecS信息安全等级保护综合管理系统”是一套适用于信息安全等级保护工作业务管理的综合信息管理平台。

作为信息安全等级保护工作的常态化管理工具，该系统紧密结合我国信息安全等级保护政策，实现了对信息安全等级保护工作中定级备案、安全建设整改、等级测评、风险评估和安全检查等各个工作环节信息与数据的集中管理和工作流程管理。

2.系统定位3.系统架构图1系统架构示意图LanSecS信息安全等级保护综合管理系统的架构分为业务管理层、基础数据层和接口层三层。

业务管理层提供包括等级保护工作管理、日常办公管理、数据统计与分析等管理功能。

基础数据层维护等级保护工作所需的各类基础信息与数据。

接口层负责与其它安全运维管理系统或等级保护备案管理系统的数据共享和交互。

4.系统功能4.1.定级备案管理“定级备案管理”主要完成重要信息系统的定级备案信息维护与管理，包括备案信息填报、备案信息查询、备案信息统计、备案信息表的导出和导入、备案附件信息管理、备案数据采集工具等。

4.2.安全建设整改管理“安全建设整改管理”主要完成已备案信息系统安全建设整改活动的管理。

系统将安全建设整改分为工作部署、现状分析、整改方案设计、整改实施、整改结果分析五个工作步骤，实现了安全建设整改活动的全程监控。

4.3.等级测评管理等级测评管理模块主要负责由第三方测评机构主导实施的等级测评活动的组织和管理。

包括测评机构管理、测评流程管理、测评结果汇总与记录、测评活动监控等功能。

4.4.安全检查管理“安全检查管理”提供对安全自查、主管部门检查和公安机关检查等安全检查活动情况的跟踪记录管理。

包括监督检查制度管理、安全自查管理、主管部门检查管理、监督检查信息记录、监督检查数据查询与统计、监督检查数据导入导出等功能。

4.5.风险评估管理“风险评估管理”主要负责对信息系统风险评估活动相关信息的维护管理，规范风险评估活动工作流程，对风险评估活动过程中的各种数据进行汇总记录，并可对当前正在进行的风险评估项目的执行情况进行监控。

LanSecS内控管理平台（堡垒主机）用户手册目录第一章系统简介 (5)1关键字 (5)2部署结构 (6)3系统登录 (7)第二章单点登录（SSO） (9)1单点登录（SSO） (9)1.1界面 (9)1.2功能说明 (10)1.3操作描述 (10)2单点登录控件及工具安装 (10)2.1界面 (10)2.2功能说明 (10)第三章流程 (11)1概述 (11)2管理流程 (12)3登录流程 (12)第四章元目录 (13)1目录管理 (13)1.1界面 (13)1.2功能说明 (13)2自然人（主帐号）管理 (14)2.1界面 (14)2.2功能说明 (14)2.3操作描述 (15)2.4示例 (15)3资源管理 (16)3.1界面 (16)3.2功能说明 (17)3.3操作描述 (17)3.4示例 (19)4角色管理 (21)4.1界面 (21)4.2功能说明 (21)4.3操作描述 (21)5计划管理 (22)5.1界面 (22)5.2功能说明 (22)5.3操作描述 (23)6内部审计管理 (23)6.1界面 (23)6.2功能说明 (23)6.3操作描述 (24)7行为审计管理 (24)7.1界面 (24)7.2功能说明 (24)7.3操作描述 (25)8审计报表 (25)8.1界面 (25)8.2功能说明 (25)8.3操作描述 (26)第五章配置管理 (27)1策略配置 (27)1.1主机命令控制策略 (27)1.2客户端地址控制策略 (29)1.3访问时间控制策略 (30)1.4访问锁定策略 (31)1.5密码策略 (32)2服务配置 (33)2.1堡垒机管理 (33)2.2图形服务开关 (33)2.3审计服务定义 (33)2.4帐号同步计划 (34)3系统配置 (35)3.1系统监控 (35)3.2网络配置 (36)3.3环境配置 (37)第一章系统简介内控堡垒主机系统是安全内控解决方案的重要组成部分，部署在企业的内部网络中，用于保护企业内部核心资源的访问安全。

TMLanSecS内网安全管理系统（企业版）用户手册北京圣博润高新技术有限公司Beijing SBR Information Technology Co., LTD目录第一章使用说明 (2)第二章系统安装 (3)第一节安装SQL S ERVER (3)第二节IKEY安装 (7)第三节安装控制台 (8)第四节安装智能探测器 (9)第五节安装客户端 (10)第三章设置智能探测器 (11)第一节初始化日志数据库 (11)第二节初始化智能探测器 (13)第三节设置SQL S ERVER口令 (14)第四章控制台使用 (15)第一节控制台管理界面 (15)第二节探测器设置 (19)第三节生成客户端安装包 (20)第四节设置客户端卸载口令 (21)第五节系统选项设置 (22)第六节系统管理 (23)第七节帐户管理 (28)第八节数据库维护 (31)第五章内网管理 (37)第一节探测器管理 (37)第二节设备管理 (43)第三节IP地址管理 (51)第四节补丁管理 (57)第五节软件分发 (59)第六章安全审计 (61)第一节规则设置 (61)第二节资产管理 (76)第七章统计查询 (83)第一节操作日志报表 (83)第二节系统消息报表 (85)第三节IP地址查询报表 (87)第四节客户端规则查询 (88)第八章补丁下载管理器 (92)第九章退出系统 (94)第一章使用说明LanSecS V6.10是集内网监控、内网审计和安全网管于一体的内网安全管理软件。

并且在LanSecS V6.03的基础上，对原有功能进行了一些修改和调整，相对于上一版本而言，整个界面更直观、流畅。

同时，在整个管理架构上也有新的调整，更适用于管理者对整个内部网进行安全管理。

LanSecS V6.10架构说明：LanSecS V6.10 内网安全管理软件由四部分组成：加密虎IKEY驱动、控制台、智能探测器（JServer）以及客户端。

软件安装包中分别有这四个组件的安装程序。

SSL用户手册版本（2.4）目录一 、客户端环境要求 (2)二、控件安装及资源访问页面说明 (3)三、3G 应用资源访问 (7)四、CAB 应用资源访问 (8)五、TCP 隧道资源访问 (9)六、IP 隧道资源访问 (10)七、PPTP 资源访问 (13)八、单点登录资源访问 (14)九、消息公布资源栏 (15)一、客户端环境要求客户机推荐使用的操作系统：Windows2000 professional/Windows 2000 server/Windows 2003 server/Windows xp/Windows xp SP2 以上。

客户机推荐浏览器：IE6.0以上。

如要用到CAB 应用资源，需要先在客户机上装JAVA 插件，可在SUN 公司的官方网站下载。

二、控件安装及资源访问页面说明外网用户可以通过域名访问资源，在IE 地址栏输入https:// ，第一次登录使用SSL 的用户，在进登录界面前需要先装一个integrate 控件，只有用户装上该控件后才能正常登录和使用SSL，当开打IE 窗口，在地址栏输入https:// 点击回车后，会出现一下界面：右击黄色条，点安装ActiveX 控件，如下图：接着出现如下界面，点击安装：点击安装后，会出现更新安装控件的进度条，如下图所示：控件更新完毕自后就会进入到前台登陆界面：可以看到，页面中右上角可以更换语言版本，我们SSL VPN 有3 个语言的版本。

在页面的左上角有卸载控件按钮，使用该按钮可以轻松快捷的卸载掉第一次登陆时所安装的控件，使设备用起来更方便。

安装完后，将会自动关于IE，重新开启一个IE 页面登录到SSL 前台登录界面，如下图：输入用户名：demo ，密码：111111如下面所示前台页面：顶端右上角有4 个链接，分别是更改密码，证书请求，帮助，退出。

更改密码：用户可以更改自己的登录密码。

证书请求：该链接为证书请求工具，用户可以使用此工具生成证书请求文件和用户私钥。

蓝代斯克LanDesk 安全管理套件使用手册目录1安装前准备 (1)2安装Landesk核心服务器 (3)2.1安装前检查 (3)2.2开始安装 (9)2.3检查配置数据库 (11)2.4激活核心服务器 (12)3安装远程控制台 (14)3.1辅助控制台安装要求 (14)3.2安装辅助控制台 (16)1安装前准备！安装前请确认核心服务器主机名：建议使用简单易懂的英文及数字做主机名，确保没有重名。

（安装过程中及安装后，请勿修改核心服务器主机名）口令：核心服务器的管理员口令不能为空网络：已插好网线，网络连接正常核对系统时间若使用已有SQL Server，先准备好数据库再开始安装核心服务器。

若核心服务器没有数据库则可以开始安装核心服务器，在安装过程中会创建Express版本数据库。

（适合对产品进行简单试用或管理规模较小时） 需要提前安装Microsoft .NET Framework 4 Client Profile,在LANDesk安装光盘中\DotNetFX目录下,点击dotNetFx45_Full_x86_x64.exe 进行安装LANDesk安全管理套件9.6支持的数据库：Microsoft SQL 2008Microsoft SQL 2008 R2Microsoft SQL 2012Microsoft SQL 2014Oracle 11g R2（仅适合从9.5版本升级）LANDesk安全管理套件9.6核心服务器支持的服务器： Windows Server 2012 R2 Update 1Windows Server 2008 R2 SP1（仅适合从9.5版本升级）2安装Landesk核心服务器2.1安装前检查若在9.5版本上升级，安装程序会自动检查系统，引导系统升级到9.6版本。

若全新安装9.6，安装程序则引导完成设置并进行安装：选择安装的语言版本接受许可协议选择核心服务器，点击安装安装程序自动检查先决条件，需要满足先决条件之后才能继续安装。

蓝代斯克LanDesk 安全管理套件客户端安装使用手册1.客户端的部署1.1.未管理设备搜寻1.在“工具”或“工具箱”中选择“未管理设备搜寻”2.点击“网络扫描”，打开“扫描器设置”。

在“扫描器设置”窗口，可以新建扫描器，保存扫描器设置，对已保存的扫描器配置进行修改或重命名，也可以删除已有的扫描器配置。

3.在“扫描器设置”窗口，可以新建扫描器配置，对“新建配置”进行设置4.选择“网络扫描”，则将对IP网段进行扫描。

（其他扫描选项的介绍请参考用户手册）5.输入起始IP和结束IP6.点击“添加”，将上一步设好的IP网段添加到扫描列表中（可以添加多个网段）7.点击“立即扫描”，则开始扫描指定的网段。

（也可以点击“计划任务”，然后在“计划任务”窗口中配置扫描的时间，可以在指定的某个时间进行扫描，也可以设置扫描的周期。

点击“立即扫描”之后在“扫描状态”对话框中查看扫描状态的更新情况。

扫描结束后，在“扫描状态”和“扫描器配置”对话框中单击关闭。

搜寻出未管理设备之后，您可以在未管理的设备上部署客户端，以便被核心服务器所管理。

如果要定期扫描网络，发现网络上的未被管理的设备，可以点击“计划任务”按钮，然后在“计划任务”窗口中配置扫描的时间，可以在指定的某个时间进行扫描，也可以设置扫描的周期。

1.2.创建客户端代理配置登录控制台，选择“工具箱”/“代理配置”，打开代理配置窗口。

可以打开，创建一个新的Windows代理配置：开始：为代理配置选择要使用的功能组件，本次操作可以采用默认设置。

注：如果要测试端点安全，请选中“端点安全”，默认“端点安全”是不选的。

本次操作其它设置均可采用标准默认设置，无须改动。

如果没有其他特别设置需求，可直接点击保存。

1.3.安装部署客户端LANDESK也支持多种客户端的安装方式。

右键点击代理配置，可以采用包括远程直接推送客户端的方式；生成独立安装包直接安装方式；生成高级代理采用域登录脚本等。

LanSecS内网安全管理系统安装部署目录一、安装部署详细设定 (1)** M Y SQL数据库安装详情 (1)** SQL S ERVER 2008数据库安装详情 (7)** 总控中心安装详情14一、安装部署详细设定1.1MySQL数据库安装详情1.运行MySQL安装程序，进入安装界面。

2.选择“Custom”（自定义）方式进行安装。

3.根据实际环境修改程序文件和数据文件的存放路径，数据文件不建议存放在系统盘中。

4.点击<Instal>按钮，进行安装。

5.点击<Next>（下一步）按钮即可。

6.点击<Next>（下一步）按钮即可。

7.安装完成后，选中“Configure the MySQL Server now”，取消对“Register the MySQLServer now”的选中。

点击<Finish>（完成）按钮，立即开始配置MySQL服务器。

8.MySQL配置向导的界面。

9.选择“Detailed Configuration”（详细配置）。

10.选择“Server Machine”。

（服务器）11.点击<Next>（下一步）即可。

12.选择“Manual Setting”（自定义设置），并发连接数选1500。

13.选中“Add firewall exception for this port”。

不要修改MySQL的默认端口。

14.选择“Best Support for Multilingualism”，以便支持中文。

15.点击<Next>（下一步）即可。

16.设置超级管理员（root）的密码。

17.点击<Execuet>（执行）按钮即可18.MySQL的配置过程已完成。

19.确认MySQL是否正常启动，检查进程和服务。

1.2SQL Server 2008数据库安装详情1.运行SQL Server 2008“setup.exe “安装程序，可出现开始界面。

安氏领信防火墙安氏防火墙404 部署在互联网边界，将网络分为4部分，互联网，办公内网，财务网段，商户网段。

后三部分都要通过nat转换访问互联网。

安氏领信防火墙采用web页面管理和超级终端管理两种形式Web页面管理第一次安装，用交叉线直接与if0口直接相连接,连接的管理主机的网卡地址要配置成，掩码是，主机ie版本要5.0以上，在ie中输入.254:9898系统会出现如下界面选择是，在填写用户名和密码，默认用户名为admin密码为admin12登录系统后，首先要在系统－防火墙管理－管理主机新增一个IP地址，目的是增加一个任意管理地址，方便后面的配置工作，系统－配置管理，这里可以保存，上传，下载配置文件，在做大的配置改动之前都要进行配置保存。

页面右上角的保存键只是保存当前配置。

网络－安全域，由于系统默认只有三个安全域，因此要新增一个安全域，所以我们定义一个商户安全域，此操作也可以在修改了所有接口IP地址之后再新增并把if3添加到这个安全域中如下图所示下面我们开始配置网络接口，要清楚的知道if0，if1，if2，if3这四个接口的具体IP地址以及相应的子网掩码配置好所有接口地址后，在网络－路由中要添加缺省路由另外因为用户要暂时保留，如果192段地址不用后可以将有关192段地址的路由删除掉，同时对网络进行新的规划了10个VLAN，现在两套网络并行直至完全切换,并要配置相应的回指路由,新增网络-DNS,新增DNS有关DHCP的说明，高端的404防火墙不支持DHCP服务，只支持DHCP中继，当时224防火墙支持DHCP服务。

NA T－动态NAT，新增NAT转换策略如下另外目前办公网中的，因此我们做了端口NAT在配置策略之前要配置地址对象，服务对象定义服务对象组点击修改，可以在这个对象组里添加地址对象服务对象和服务对象组同里日志统计－日志策略里定义日志记录策略。

最后配置访问策略策略－策略设置－新增注意：策略是从上向下进行匹配的，如果有包含关系的时候，以前面的策略为准。

莱恩塞克LanSecS安全管理系统功能介绍安全管理◆外设、硬件设备控制从操作系统驱动层上实现强制管理控制计算机的设备。

包括USB可移动存储设备、打印机、DVD/CD-ROM、软盘、磁带机、PCMCIA设备、COM/LPT端口、1394设备、红外设备等。

一旦出现违规事件，将会产生警报信息并以审计信息的形式记录。

◆IP/MAC地址绑定对受控终端进行IP地址和MAC地址的绑定，防止用户随意更改网络配置，增加网络环境的健壮性。

◆打印控制通过控制台制订策略控制用户对打印机的使用。

可以避免网内用户通过打印的途径达到机密信息外泄的目的。

◆拨号访问的控制允许或阻断用户通过拨号访问Internet，从拨号连接的手段上控制内网计算机连接Internet。

◆个人防火墙的控制通过控制台制订的策略可以控制客户端个人防火墙的应用，如果客户端启用个人防火墙进行端口阻断，就及时将计算机断开网络连接。

这样防止用户通过技术手段进行恶意的破坏。

◆杀毒软件的检测与控制对客户端杀毒软件的安装情况进行检测，一旦发现未安装杀毒软件，客户端程序会自动断开网络连接，减少病毒扩散的概率。

◆进程管理与控制检测客户端上运行的进程状态，并对受控终端上运行的进程进行强制控制，允许或禁止某些进程的启动。

方便网络管理人员从专业人员的角度对应用者提供安全建议。

◆网络访问控制允许或阻断客户端对某些网络地址或是网段的访问。

在网络访问控制上，策略还可以细化到针对特定的协议、特定的网络端口以及在特定的时间段允许或是阻断网络连接。

◆补丁管理利用准确的检测机制来判断被控制计算机上补丁程序安装的情况，可以检测出已安装的补丁和未安装的补丁。

可以从程序提供的补丁安装包中自动检测到适合的补丁程序进行自动或手动进行客户端的补丁分发，并对补丁安装结构有详细的跟踪。

◆远程控制计算机远程管理控制计算机使网络管理人员可以通过桌面快照查看当时计算机的操作状态，同时可以控制鼠标与键盘的使用。

同时提供网络管理人员在远程对计算机进行关机、重启或是锁定的具体操作的功能。

LanSecS®内网安全管理系统（V7.0）技术白皮书北京圣博润高新技术股份有限公司2009年11月目录1.产品简介 (1)2.产品架构 (2)2.1.终端监控引擎 (2)2.2.总控中心 (2)2.3.管理控制台 (3)2.4.系统数据库 (3)3.产品功能 (4)3.1.终端运维管理 (4)3.2.终端安全加固 (5)3.3.终端主机准入控制 (5)3.4.移动存储介质管理 (7)3.5.终端安全审计 (8)4.产品性能 (9)4.1.总控中心性能 (9)4.2.终端监控引擎性能 (9)4.3.产品性能指标 (10)4.4.自身安全性 (10)5.产品部署 (11)5.1.产品形态 (11)5.2.部署模式 (11)5.2.1.本地部署 (11)5.2.2.分级部署 (12)1.产品简介LanSecS®内网安全管理系统V7.0版是一款定位于为政府和企业用户提供集中的终端（桌面）综合安全管理的桌面管理产品。

系统通过对计算机准入控制、计算机安全加固、计算机运行维护、计算机安全审计、移动存储介质注册等多个方面的综合管理，为政府和企业用户打造一个安全、可信、规范、健康的内网环境。

LanSecS®内网安全管理系统V7.0版是北京圣博润高新技术股份有限公司（以下简称圣博润）一个里程碑式的、战略性的产品版本，该版本通过对用户需求的持续跟踪使得产品功能进一步丰富，通过系统架构的优化调整使得产品性能显著提升，借助LanSecS®内网安全管理系统V7.0版的发布，圣博润公司更加明确地宣告了其专注于内网安全管理领域的决心与实力。

LanSecS®内网安全管理系统在为用户提供终端安全保护手段的同时，更加强调为用户提供便利的终端运维管理手段。

集中式、人性化的终端管理能力是LanSecS®内网安全管理系统的特色之一，也是圣博润公司一直以来的努力方向。

LanSecS®内网安全管理系统的设计参考了如下国家标准：●GB/T18336-2008 《信息技术安全技术信息技术安全性评估准则》●GB/T22239-2008：《信息系统安全等级保护基本要求》●MSTL_JGF_04-012《信息安全技术远程主机检测产品检验规范》●MSTL_JGF_04-011《信息安全技术非授权外联检测产品检验规范》●BMB15-2004《涉及国家秘密的信息系统安全审计产品技术要求》●BMB17-2006：《涉及国家秘密的信息系统分级保护技术要求》●BMB20-2007：《涉及国家秘密的信息系统分级保护管理规范》●BMB22-2007：《涉及国家秘密的计算机信息系统分级保护测评指南》●GBT 22240-2008：《信息系统安全等级保护定级指南》●GBT 22241-2008：《信息系统安全等级保护实施指南》2.产品架构图1 LanSecS®内网安全管理系统架构LanSecS®内网安全管理系统在架构设计上采用了三层管理结构：终端监控引擎、总控中心、管理控制台，2.1.终端监控引擎终端监控引擎以服务的形式运行于终端计算机上，是终端计算机管理的核心和基础部件，用于对被管理终端计算机的安全加固、运行维护和监测审计等管理职能。

功能全面的内网安全综合监管平台（V8.0）安装配置手册2011年11月版权声明本文档所有包括文字叙述、插图、文档格式等内容，其版权属蓝盾信息安全技术股份有限公司所有。

未经蓝盾信息安全技术股份有限公司许可，您不得以任何目的和方式发布本文档（文档中部分或全部），不得转印、影印或复印。

否则您将受到严厉的民事和刑事制裁，并在法律允许的范围内受到最大可能的民事起诉。

免责条款1、本文档是蓝盾信息安全技术股份有限公司相关工作人员依据现有信息制作，在编写该文档时候已尽最大努力保证其内容准确可用，蓝盾信息安全技术股份有限公司及其员工将不对本文档中任何内容直接或间接导致第三方的损失和损害承担任何责任。

2、本文档是用户实际安装过程中的指南和使用参考手册，本文档的部分内容可能随产品型号和规格的不同而略有区别，不会影响对本文档的理解。

蓝盾有权利在不通知用户的情况下对产品和手册进行修改，请以实际设备为准。

相关问题请咨询蓝盾全国服务热线400-618-6058。

信息反馈全国服务热线：400-618-6058；公司网址：；总公司邮编：510665；总公司地址：广州市天河区科韵路16号广州信息港A栋20-21楼。

目录第一部分后台管理端 (4)一、系统安装基本配置 (4)二、系统安装步骤 (4)2.1 安装软件 (4)2.2其它配置 (12)2.3管理控制中心 (21)第二部分客户端/终端 (23)一、安装制作 (23)1.1 手动安装 (27)2.2 自动安装 (30)二、卸载/停止客户端（主机代理） (31)第一部分后台管理端一、 系统安装基本配置在安装本系统之前，需符合以下环境要求：操作系统2003（SP2）、安装IIS6.0、安装SQL Server 2000以上数据库，且需安装最新补丁，如SQL Server 2000，需打上sp4补丁包；二、 系统安装步骤2.1 安装软件打开光盘运行“SERVER目录下的Setup.exe”文件，将弹出以下对话框等待解压文件完成后，单击“下一步”在弹出的对话框中，分别输入用户名、公司名称、序列号（任意），点击“下一步”选择安装目的路径，一般情况下按默认路径安装即可；选择安装类型，在这里我们选择控制中心，点击“下一步”说明如下：控制中心：为本系统的主要功能程序；远程协助：与主机代理远程协助控制程序；制作中心：注册专用U盘的主要程序；选择程序文件夹，按默认即可，点击“下一步”等待安装进度，在安装过程中将弹出安装配置对话框，见下图说明：网络参数部分：控制中心IP：一般是本机IP地址；控制通信端口：此端口主要与客户端通信时使用；一般情况下，按默认即可；日志通信端口：此端口主要与客户端日志传输时使用；一般情况下，按默认即可；系统管理站点端口：此端口为系统管理端口，主要是IIS，WEB管理端口;审计管理站点端口：此端口为审计管理端口，主要是IIS，WEB管理端口;数据库参数部分：数据库名称：一般情况下，选择本地数据库；用户：具备有创建连接数据库的权限用户密码：以上用户的相对密码数据库：输入任一个数据表名称，如BD_Secsys；数据库参数部分是否设置正确，按“测试连接”按钮即可，如成功，下图所示否则需重新检测配置，只有测试成功，才能进行“开始”操作；按“开始”按钮后，将可以看到安装配置日志，在安装这过程中，请不要做其它操作，以免安装不成功；最后单击“下一步”即完成安装软件部分。

实验十一蓝盾防火墙的连接与登录配置【实验名称】防火墙的连接与登录配置【计划学时】2学时【实验目的】1、掌握防火墙的基本连线方法；2、通过安装控制中心，实现防火墙的登录；3、了解防火墙的基本设置、管理模式和操作规范；4、理解规则的建立过程。

【基本原理】对于防火墙的连接，在本实验里设定LAN口为内网接口，W AN口为外网接口。

DMZ （Demilitarized Zone），即”非军事化区”,它是一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。

另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。

蓝盾防火墙允许网口信息名称自定义，支持多线接入，使得应用范围扩大。

【实验拓扑】蓝盾防火墙【实验步骤】一、了解防火墙初始配置打开了81端口（HTTP）和441端口（HTTPS）以供管理防火墙使用。

本实验我们利用网线连接ADMIN口与管理PC，并设置好管理PC的IP地址。

2、默认所有配置均为空，可在管理界面得到防火墙详细的运行信息。

二、利用浏览器登陆防火墙管理界面1、根据拓扑图将PC机与防火墙的ADMIN网口连接起来，当需要连接内部子网或外线连接时也只需要将线路连接在对应网口上2、客户端设置，以XP为例，打开网络连接，设置本地连接IP地址：3、“开始” “运行”，输入“CMD”，打开命令行窗口，使用ping命令测试防火墙和管理PC间是否能互通。

4、打开IE浏览器，输入管理地址http://192.168.0.1:81 或是 https://192.168.0.1:441，进入欢迎界面：如果是通过HTTPS访问，会出现安全证书提示。

点击“是”，会出现登录窗口5、在防火墙的欢迎界面输入用户名和密码，默认用户名和密码为admin/888888，点击“登录”进入防火墙管理系统。

网神配置指南网神设置指南1. 资料准备需从备件中找齐网神资料，主要有：《第一次使用注意须知》、《装箱单》、光盘和USBKey。

其中，《第一次使用注意须知》有《网神信息安全产品Licence信息申请表》，须参考《装箱单》中商品编号和出厂编号填入申请表内，发送到指定邮箱以获取许可号。

2. 网神设置2.1. 主机设置将本机IP设置为10.50.10.44，子网掩码为255.255.255.0。

将光盘中的Admin Cert文件夹打开，安装，双击SecGateAdmin程序安装许可证，安装过程中需要输入密码，默认密码为123456。

安装结束后将网线连接网神网口FEGE1，通过浏览器连接（注意，IE和goole chrome浏览器都可能会阻止连接，可使用360浏览器）。

在IE地址栏中敲入：https://10.50.10.45:8889 进行登入，默认密码为：firewall。

即可进入网神设置画面。

2.2. 防火墙设置2.2.1. 导入许可证初次进入防火墙设置界面需要将网神公司发来的许可License导入，才可以对其设置。

具体方法为：点击系统配置升级许可导入许可证，点击“浏览”，将网神发来的许可证导入即可。

如下图：2.2.2. 网络接口对需要设置透明桥的网口设置成混合模式，具体方法如下：点击网络配置网络接口点击右边“操作”将“工作模式”选择为“混合”点击“保存配置”。

2.2.3. 透明桥设置须将一、二区连接的网口设置成透明桥，如需将网口2和网口3设置成透明桥，设置如下：点击“网络设置”透明桥点击“添加”将需要连接的网口添加到右边点击确定点击“启动透明桥监控”点击确定点击“保存配置”。

2.2.4. 安全规则设置为了使I、II区的网口联通，需要对安全规则进行设置。

设置方法如下：点击“安全策略”点击“安全规则”点击“添加”将“源地址”、“目标地址”和“服务”设成any 点击“确定”点击“保存配置”。

3. 测试通过上文的设置，即完成对网神的设置，但切记每一步都需要有“配置生效”的提示，且保存配置。

01-浪潮-GS-6.0管理软件客户端安装手册01-浪潮-GS-6.0管理软件客户端安装手册内蒙古神舟硅业有限责任公司浪潮GS6.0管理软件客户端安装说明浪潮集团山东通用软件有限公司目录一、客户端安装环境 (2)1.1 客户端的运行环境 (2)1.3 浏览器设置 (2)1.4 关闭防火墙和杀毒软件 (5)二、客户端安装 (5)2.1 本地安装 (6)2.2 在线安装 (6)三、客户端登录 (10)3.1 登录界面 (10)3.2 软件界面 (10)四、事业单位余额初始 ............................................ 错误!未定义书签。

五、客户端卸载 (12)1 / 12一、客户端安装环境1.1 客户端的运行环境（1）硬件运行环境最低配置建议配置CPU PIII1G PⅣ2.0 G内存512M 1G硬盘2G 20G显示模式800*600 1024*768（2）软件运行环境需要安装IE6.0SP1以上版本，建议使用IE7.0；需要安装OFFICE EXCLEl97以上版本。

1.3 浏览器设置（1）双击浏览器Internet打开网页，工具->Internet选项（2）进入Internet选项后，进行如下设置：安全->站点->（输入IP地址）点击添加。

2 / 12注：IP地址即为相应GS应用服务器地址。

内网IP为： 172.616.0.106。

（3）相关控件启用1.点击自定义级别进入控件设置。

3 / 122．启用相关ActiveX控件和插件4 / 12注：ActiveX的选项均为启用。

1.4 关闭防火墙和杀毒软件为了防止在安装GS6.0的客户端时出现一些异常信息，请在安装前关闭防火墙和所有杀毒软件。

二、客户端安装客户端提供两种安装模式，一种是在线安装，一种是下载到本地后安装。

在线安装根据下载内容的不同，分为标准模式安装和完整模式安装。

标准模式安装也就是在线最小化安装，只安装必须的应用环境，其他的组件只有在用到时才下载，做到随需下载。

LanSecS®信息安全等级保护综合管理系统使用说明书—用户指南北京圣博润高新技术股份有限公司目录1。

声明 (7)2.欢迎使用 (8)2。

1。

LanSecS®信息安全等级保护综合管理系统概述 (9)2。

2。

阅读指南 (12)3.入门 (12)3。

nSecS®信息安全等级保护综合管理系统部署环境（服务端） (13)3。

nSecS®信息安全等级保护综合管理系统安装环境(客户端) (13)3.3.安装LanSecS®信息安全等级保护综合管理系统服务器安装过程 (14)3。

4。

关于LanSecS®信息安全等级保护综合管理系统 (18)4。

初次使用LanSecS®信息安全等级保护综合管理系统 (19)4。

1。

初次登陆 (19)4。

2.创建第一个角色 (20)4.3。

角色授权 (20)4.4.创建第一个用户 (21)4。

5。

分配角色 (21)4.6.登录 (22)4.7。

注销 (22)4。

8。

退出 (22)4。

9.修改密码 (22)5。

使用LanSecS®信息安全等级保护综合管理系统 (23)5.1。

定级备案 (23)5。

1.1.备案登记 (23)5。

1.2.备案库 (26)5.2。

建设整改 (28)5。

2.1.建设整改 (28)5。

2。

2。

建设整改监控435.3。

等级测评 (46)5.3。

1.测评机构的管理 (46)5.3.2。

等级测评 (46)5.3。

3。

等级测评监控555.4。

安全检查 (56)5.4。

1。

安全检查制度565。

4。

2。

安全自查管理575。

4.3。

上级部门检查615。

4。

4。

公安机关检查685.4。

5。

安全检查监控755。

4.6。

自查基础数据795。

4。

7。

自评估管理805。

5。

风险评估 (82)5。

5.1.评估机构管理 (82)5。

5。

2。

风险评估825.5.3.风险评估监控 (90)5.6。

安全评价 (92)5。