用户管理与安全策略共70页文档

北信源内网安全管理系统用户使用手册北信源软件股份XX二〇一一年支持信息在北信源内网安全管理系统使用过程中，如您有任何疑问都可以通过访问我公司.vrv..或者致电我司客服中心获得帮助和支持！热线支持：400-8188-110客户服务：5/86/87在您使用该产品过程中，如果有好的意见或建议的话也请联系我们的客服中心，感谢您对我公司产品的信任和支持！正文目录第一章概述1特别说明1产品构架1应用构架3第二章北信源内网安全管理系统4策略中心4策略管理中心4网关接入认证配置25阻断违规接入管理25补丁分发25数据查询25本地注册情况统计25本地设备资源统计26本地设备类型统计26USB标签信息查询26设备信息查询26审计数据查询28分发数据查询28非Windows操作系统设备28终端管理29终端管理29行为控制29远程协助30运维监控30报表管理31报警管理31报警数据查询32本地区域报警数据统计32本地报警数据汇总32级联总控32级联注册情况统计32级联设备资源统计32级联设备类型统计33级联管理控制33区域管理器状态查询34区域扫描器状态查询34级联上报数据35级联报警数据35系统维护35系统用户分配与管理35用户设置38数据重整38审计用户39第三章北信源补丁及文件分发管理系统40区域管理器补丁管理设置40补丁下载配置40文件分发策略配置41策略中心42补丁分发策略42软件分发策略44其他策略45补丁分发45补丁自动下载分发46补丁下载服务器46补丁库分类47补丁下载转发代理48客户端补丁检测（一）48客户端补丁检测（二）50第四章北信源主机监控审计系统51策略中心51行为管理及审计51涉密检查策略53其他策略54数据查询54第五章北信源移动存储介质使用管理系统55策略中心55可移动存储管理55其他策略55数据查询55第六章北信源网络接入控制管理系统56网关接入配置认证56策略中心57接入认证策略57其他策略61环境准备方法61安装RADIUS (windows IAS)61各厂商交换机配置80Cisco2950配置方法80华为3 3628配置81锐捷RGS21配置84第七章北信源接入认证网关86网关接入配置认证86策略中心87第八章系统备份及系统升级88系统数据库数据备份及还原88系统组件升级88区域管理器、扫描器模块升级88升级网页管理平台89客户端注册程序升级89检查系统是否升级成功89级联管理模式升级及配置89附录90附录（一）北信源内网安全管理系统名词注释90附录（二）移动存储设备认证工具操作说明91USB标签制作91USB标签制作工具93USB标签制作历史查询104移动存储审计策略105移动存储审计数据106附录（三）主机保护工具操作说明106附录（四）组态报表管理系统操作说明107模版制定107报表输出113附录（五）报警平台操作说明116设置116日志查询119窗口119更换界面120帮助120附录（六）漫游功能说明120漫游功能介绍120漫游功能配置122附录（七）IIS服务器配置说明126WIN2003-32位IIS配置说明126WIN2003-64位IIS配置说明128WIN2008-64位IIS配置说明130图目录图1-1北信源终端安全管理应用拓扑4图2-1创建新策略4图2-2下发策略5图2-3策略控制5图2-4硬件设备控制7图2-5软件安装监控策略9图2-6进程执行监控策略10图2-7进程保护策略11图2-8协议防火墙策略14图2-9注册表15图2-10IP与MAC绑定策略16图2-11防违规外联策略18图2-12违规提示18图2-13文件备份路径设置22图2-14注册码配置24图2-15阻断违规接入控制设置25图2-16本地注册情况信息25图2-17本地设备资源信息26图2-18本地设备类型统计26图2-19软件变化信息27图2-20注册日志信息28图2-21交换机扫描管理配置31图2-22设备信息统计图表32图2-23级联设备信息33图2-24级联设备系统类型统计33图2-25级联管理控制34图2-26下级级联区域管理器信息34图2-27区域管理器状态信息34图2-28区域扫描器状态信息34图2-29级联上报数据35图2-30系统用户列表35图2-31添加系统用户界面36图2-32用户管理列表36图2-33终端控制权限37图2-34屏幕监控权限37图2-35密码初始化提示框38图2-36密码初始化完成提示框38图2-37修改ADMIN用户密码38图2-38数据重整信息表39图2-39审计用户登录39图3-1区域管理器补丁管理设置40图3-2分发参数设置41图3-3补丁自动分发43图3-4补丁下载服务器界面46图3-5补丁下载服务器设置47图3-6补丁代理传发支持48图3-7补丁下载设置49图3-8登录页面49图3-9工具下载页面50图3-10补丁检测中心50图3-11客户端补丁漏打检测51图6-1网关接入认证56图6-2重定向配置57图6-3用户添加57图6-4补丁与杀毒软件认证策略58图6-5接入认证策略59图6-6802．1X认证界面60图6-7802．1X认证界面60图6-8安全检查没有通过，802.1X不启动认证60图6-9认证失败60图6-10添加I NTERNET验证服务组件62图6-11IAS配置界面62图6-12新建RADIUS客户端63图6-13新建RADIUS客户端63图6-14新建远程访问策略64图6-15设置远程访问策略64图6-16设置远程访问策略65图6-17设置远程访问策略选择用户65图6-18设置远程访问策略使用MD5质询66图6-19设置远程访问策略新建的策略66图6-20选择D AY-A ND-T IME-R ESTRICTIONS67图6-21选择允许67图6-22设置属性68图6-23添加属性值VLAN68图6-24添加属性值80269图6-25添加属性值60069图6-26添加属性值60070图6-27编辑拨入配置文件70图6-28新建连接请求策略71图6-29为策略取名字71图6-30策略配置72图6-31添加远程登录用户72图6-32设置用户属性73图6-33设置TEST用户73图6-34设置启用74图6-35VRV EDP A GENT认证成功74图6-36创建用户界面75图6-37用户添加75图6-38设置用户密码76图6-39进入N ETWORK C ONFIGURATION76图6-40AAA C LIENT 配置77图6-41AAA S ERVER 配置77图6-42进入I NTERFACE C ONFIGURATION78图6-43进入RADIUS(IETF)78图6-44进入G ROUP S ETUP79图6-45进入E DIT S ETTINGSP79图7-1网关接入认证86图7-2重定向配置87图7-3用户添加87图7-4网关接入认证策略87图8-1级联管理配置90附图-1修改用户 ADMIN USB标签92附图-2下载D EVICE N UMBER.EXE92附图-3全局参数93附图-4U SB T OOL登录95附图-5U SB T OOL界面95附图-6分区格式化96附图-7制作移动硬盘标签196附图-8制作移动硬盘标签297附图-9制作移动硬盘标签397附图-10制作移动硬盘标签497附图-11制作移动硬盘标签598附图-12制作移动硬盘标签698附图-13制作移动硬盘标签799附图-14制作移动硬盘标签899附图-15制作移动硬盘标签999附图-16制作移动硬盘标签10100附图-17制作移动硬盘标签11100附图-183个分区的优盘和移动硬盘内网登录界面101附图-19整盘加密的优盘和移动硬盘内网登录界面101附图-20外网插入3个分区的优盘或移动硬盘盘符101附图-21交换区登录界面102附图-22外网插入整盘加密优盘或移动盘符102附图-23信息提示102附图-24U SB T OOL登录103附图-25U SB T OOL界面103附图-26初始化密码104附图-27标签历史查询104附图-28访问控制配置说明106附图-29DOS/DDOS配置说明107附图-30创建模板108附图-31确定报表标题及报表尾108附图-32定义报表输入项109附图-33确定输出条件109附图-34确定关联110附图-35保存模板111附图-36修改模板名称111附图-37修改模版的输出标题和表尾112附图-38修改输出列选项112附图-39修改关联选项113附图-40修改时间X围统计113附图-41模板预览114附图-42输出EXCEL报表模板信息114附图-43时间定义115附图-44模板导入115附图-45模板导出116附图-46报警平台设置116附图-47高级设置117附图-48报警设置上118附图-49报警设置下118附图-50日志查询119附图-51报警中心界面119附图-52漫游示意121附图-53结合接入认证漫游示意图121附图-54CA服务器界面122附图-55区域管理器配置界面122附图-56客户端迁移策略配置界面123附图-57重原管理区漫游出去的客户端123附图-58漫游到新管理器的客户端124附图-59进去漫游组中的漫游客户端124附图-60漫游回原管理器的客户端125附图-61漫游查询状态选项125附图-62IIS服务管理器126附图-63虚拟目录属性127附图-64选择用户域组127附图-65用户域组高级选项128附图-66用户属性变更128附图-67命令执行结果129附图-68输出结果129附图-70添加角色向导130表目录表2-1策略的高级设置参数说明6表2-2硬件设备控制参数说明7表2-3软件安装监控策略参数说明8表2-4进程执行监控策略参数说明10表2-5用户密码策略参数说明12表2-6协议防火墙策略参数说明14表2-7注册表检查策略参数说明14表2-8IP与MAC绑定策略参数说明15表2-9杀毒软件运行监控16表2-10防违规外联策略参数说明18表2-11运行资源监控策略参数说明19表2-12进程异常监控策略参数说明20表2-13流量采样策略参数说明20表2-14流量控制策略参数说明21表2-15消息推送策略参数说明22表2-16客户端文件备份策略参数说明22表2-17终端配置策略参数说明23表3-1区域管理器补丁管理参数说明41表3-2补丁自动分发策略参数说明43表3-3人工选择补丁分发策略参数说明44表3-4普通文件分发策略参数说明44表3-5补丁下载设置参数说明49表4-1文件输出审计策略参数说明52表4-2上网访问审计策略参数说明52表4-3文件内容检查策略参数说明53表6-1补丁与杀毒软件认证策略参数说明58表6-2VIFR接入认证策略参数说明61附表-1移动存储审计策略参数说明106第一章概述特别说明北信源终端安全管理系列产品由《北信源内网安全管理系统》、《北信源补丁及文件分发管理系统》、《北信源主机监控审计系统》、《北信源移动存储介质使用管理系统》、《北信源网络接入控制管理系统》及《北信源接入认证网关》6大套件构成。

Juniper网络安全防火墙设备快速安装手册V1.02007-4目录1、前言 (4)1.1、J UNIPER防火墙配置概述 (4)1.2、J UNIPER防火墙管理配置的基本信息 (4)1.3、J UNIPER防火墙的常用功能 (5)2、JUNIPER防火墙三种部署模式及基本配置 (6)2.1、NAT模式 (6)2.2、R OUTE-路由模式 (7)2.3、透明模式 (8)2.4、基于向导方式的NAT/R OUTE模式下的基本配置 (8)2.5、基于非向导方式的NAT/R OUTE模式下的基本配置 (17)2.5.1、NS-5GT NAT/Route模式下的基本配置 (18)2.5.2、NS-25-208 NAT/Route模式下的基本配置 (19)2.6、基于非向导方式的透明模式下的基本配置 (20)3、JUNIPER防火墙几种常用功能的配置 (21)3.1、MIP的配置 (21)3.1.1、使用Web浏览器方式配置MIP (22)3.1.2、使用命令行方式配置MIP (24)3.2、VIP的配置 (24)3.2.1、使用Web浏览器方式配置VIP (25)3.2.2、使用命令行方式配置VIP (26)3.3、DIP的配置 (27)3.3.1、使用Web浏览器方式配置DIP (27)3.3.2、使用命令行方式配置DIP (29)4、JUNIPER防火墙IPSEC VPN的配置 (29)4.1、站点间IPS EC VPN配置：STAIC IP-TO-STAIC IP (29)4.1.1、使用Web浏览器方式配置 (30)4.1.2、使用命令行方式配置 (34)4.2、站点间IPS EC VPN配置：STAIC IP-TO-DYNAMIC IP (36)4.2.1、使用Web浏览器方式配置 (37)4.2.1、使用命令行方式配置 (40)5、JUNIPER中低端防火墙的UTM功能配置 (42)5.1、防病毒功能的设置 (43)5.1.1、Scan Manager的设置 (43)5.1.2、Profile的设置 (44)5.1.3、防病毒profile在安全策略中的引用 (46)5.2、防垃圾邮件功能的设置 (48)5.2.1、Action 设置 (49)5.2.2、White List与Black List的设置 (49)5.2.3、防垃圾邮件功能的引用 (51)5.3、WEB/URL过滤功能的设置 (51)5.3.1、转发URL过滤请求到外置URL过滤服务器 (51)5.3.2、使用内置的URL过滤引擎进行URL过滤 (53)5.3.3、手动添加过滤项 (54)5.4、深层检测功能的设置 (58)5.4.1、设置DI攻击特征库自动更新 (58)5.4.2、深层检测（DI）的引用 (59)6、JUNIPER防火墙的HA（高可用性）配置 (61)6.1、使用W EB浏览器方式配置 (62)6.2、使用命令行方式配置 (64)7、JUNIPER防火墙一些实用工具 (65)7.1、防火墙配置文件的导出和导入 (65)7.1.1、配置文件的导出 (66)7.1.2、配置文件的导入 (66)7.2、防火墙软件（S CREEN OS）更新 (67)7.3、防火墙恢复密码及出厂配置的方法 (68)8、JUNIPER防火墙的一些概念 (68)关于本手册的使用：① 本手册更多的从实际使用的角度去编写，如果涉及到的一些概念上的东西表述不够透彻、清晰，请使用者自行去找一些资料查证；② 本手册在编写的过程中对需要使用者特别注的地方，都有“注”标识，请大家仔细阅读相关内容；对于粗体、红、蓝色标注的地方也需要多注意；③ 本着技术共享的原则，我们编写了该手册，希望对在销售、使用Juniper防火墙的相应技术人员有所帮助1、前言我们制作本安装手册的目的是使初次接触Juniper网络安全防火墙设备（在本安装手册中简称为“Juniper防火墙”）的工程技术人员，可以通过此安装手册完成对Juniper防火墙基本功能的实现和应用。

北信源内网安全管理系统V1.2用户手册北信源Beijing VRV Software Corporation Limited2021年9月版权声明北京北信源软件股份有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权。

本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，其著作权或其他相关权利均属于北京北信源软件股份有限公司。

未经北京北信源软件股份有限公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。

免责条款本文档依据现有信息制作，其内容如有更改，恕不另行通知。

北京北信源软件股份有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠，但北京北信源软件股份有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。

信息反馈如有任何宝贵意见，请反馈：信箱：邮编：电话：传真：目录第一章产品部署 (5)一、服务端系统搭建 (6)二、服务端安装 (6)第二章系统初始化管理 (7)一、系统初始化 (7)1．组织机构及管理范围配置 (7)2．客户端注册参数配置 (7)二、客户端发布安装 (8)1．麒麟客户端发布 (8)2．UOS客户端发布 (11)3．客户端下载安装 (12)第三章策略中心 (15)一、资产管理策略 (16)1．终端信息采集策略 (16)2．重新注册设备策略 (18)二、设备安全策略 (22)1．硬件控制策略 (22)三、系统安全策略 (25)1．桌面配置策略 (25)2．操作系统密码策略 (27)3．操作系统用户策略 (31)4．杀毒软件监控策略 (34)四、应用安全策略 (37)1．进程监控策略 (37)2．服务监控策略 (41)3．软件安装监控策略 (46)4．运行资源监控策略 (50)五、数据安全策略 (54)1．文件变化监视策略 (54)2．打印监控策略 (57)六、行为安全策略 (66)1．开关机配置策略 (66)2．上网行为审计策略 (70)七、网域安全策略 (73)1．违规外联检测策略 (73)2．协议防火墙策略 (77)3．端口检查策略 (81)4．违规边界检查策略 (86)八、辅助运维策略 (89)1．文件分发策略 (89)2．消息推送策略 (94)3．托盘配置策略 (98)4．客户端迁移策略 (105)第四章升级卸载 (109)一、客户端升级 (109)二、客户端卸载 (111)第一章产品部署一、服务端系统搭建见：《部署指南/操作系统安装指南》操作系统安装指南.zip尽量保证安装指南要求安装的系统否则可能会出现冲突等情况二、服务端安装见：《部署指南/北信源主机审计系统平台安装指南》北信源主机审计系统平台安装指南.zipCentos和信创环境部署方式不同请参照各自的说明第二章系统初始化管理一、系统初始化系统初始配置用于完成系统服务器端的初始配置，主要包括组织机构及管理范围、客户端参数配置、客户端安装包发布、扫描范围配置和配置外网地址。

“三分技术,七分管理”是网络安全领域的一句至理名言，其原意是：网络安全中的30%依靠计算机系统信息安全设备和技术保障，而70%则依靠用户安全管理意识的提高以及管理模式的更新。

具体到网络版杀毒软件来说，三分靠杀毒技术，七分靠网络集中管理。

或许上述说法可能不太准确，但却能借以强调网络集中管理来强调网络杀毒系统的重要性。

从原则上来讲，计算机病毒和杀毒软件是“矛”与“盾”的关系，杀毒技术是伴随着计算机病毒在形式上的不断更新而更新的。

也就是说，网络版杀毒软件的出现，是伴随着网络病毒的出现而出现的。

因此，《中国计算机报》联合中国软件评测中心对目前市场上流行的九款网络版杀毒软件进行了评测。

互联网下的病毒新特点病毒从出现之日起就给IT行业带来了巨大的损伤，随着IT技术的不断发展和网络技术的更新，病毒在感染性、流行性、欺骗性、危害性、潜伏性和顽固性等几个方面也越来越强。

对于互联网环境下的计算机病毒，我们认为主要有以下几个发展特点：传播网络化目前通过网络应用（如电子邮件、文件下载、网页浏览）进行传播已经成为计算机病毒传播的主要方式。

最近几个传播很广的病毒如“爱虫”、“红色代码”、“尼姆达”无一例外都选择了网络作为主要传播途径。

利用操作系统和应用程序的漏洞此类病毒主要是“红色代码”和“尼姆达”。

由于IE浏览器的漏洞，使得感染了“尼姆达”病毒的邮件在不去手工打开附件的情况下病毒就能激活，而此前即便是很多防病毒专家也一直认为，带有病毒附件的邮件，只要不去打开附件，病毒不会有危害。

“红色代码”则是利用了微软IIS服务器软件的漏洞来传播。

传播方式多样如“尼姆达”病毒，可利用的传播途径包括文件、电子邮件、Web服务器、网络共享等等。

病毒制作技术新与传统的病毒不同的是，许多新病毒是利用当前最新的编程语言与编程技术实现的，易于修改以产生新的变种，从而逃避反病毒软件的搜索。

另外，新病毒利用Java、ActiveX、VB Script 等技术，可以潜伏在HTML页面里，在上网浏览时触发。

SCIENCE &TECHNOLOGY INFORMATION科技资讯网络服务器的安全维护及管理措施詹胜旋(国家广播电视总局七六一台福建永安366000)摘要：随着现代化网络信息技术的发展，互联网逐渐成为当今社会各行业日常生产以及经营的一个重要基础。

对于网络服务器来讲，其承担着网络稳定运行等各项关键任务，一旦出现问题，不但会影响用户方面的使用满意度，同时也容易造成一定程度的损失。

为确保网络服务器可以正常发挥效用，需要切实做好安全维护以及管理工作，以此来及时发现以及解决其日常运行过程中存在的各类问题。

因此，该文便针对网络服务器的安全维护以及管理措施做出分析和探讨。

关键词：互联网网络服务器完全维护管理中图分类号：TP393.06文献标识码：A文章编号：1672-3791(2021)10(b)-0020-03Security Maintenance and Management Measuresof Network ServerZHAN Shengxuan(761Station of National Radio and Television Administration,Yong'an,Fujian Province,366000China)Abstract:With the development of modern network information technology,the Internet has gradually become an important foundation for the daily production and operation of various industries in today's society.For the network server,it undertakes various key tasks such as the stable operation of the network.Once there is a problem,it can not only affect the user's satisfaction,but also easily cause a certain degree of loss.It is necessary to do a good job in safety maintenance and management,in order to discover and solve various problems in the daily operation process in time.Therefore,the article analyzes and discusses the security maintenance and management measures of the network server.Key Words:Internet;Network server;Complete maintenance;Administration网络服务器各项功能的稳定发挥必须要有相应的软硬件进行支持，所以软硬件能否正常稳定运行，会对其服务质量产生直接影响。