天玥网络安全审计系统-安装文档

天玥网络安全审计系统

安装手册

系统概述

1.1 系统概述

天玥网络安全审计系统（以下简称“天玥”）主要对用户业务网络进行安全审计，它采集、分析和识别网络数据流，监视网络系统的运行状态，记录网络事件，发现安全隐患，并且对网络活动的相关信息进行存储、分析和审计。

天玥系统能够审计各类业务网络中的协议，包括：数据库类协议（Oracle、Informix、DB2、DB2-DAS、Microsoft SQL Server、Sybase、MySQL、PostgreSQL、Teradata、Cache、Gbase、Dm、Kingbase），运营维护类协议（RDP、SSH、Telnet、Rlogin、XDMCP/X11、VNC），文件操作类协议（SCP、SFTP、FTP、NFS、SunRPC/PCNFSD、Windows 网上邻居），互联网类协议（HTTP 、SMTP、POP3），

以及其他一些协议类型（Radius、自定义协议）。

天玥采用B/S架构设计，方便用户管理。目前支持两种管理模式：设备的网络配置（修改IP路由等）可以通过超级终端连接串口进行，更为详细的配置和管理则可以通过Web进行。在任何计算机上运行Internet浏览器，使用HTTPS或HTTP连接，便能够对系统进行配置并管理。浏览器地址栏输入https://数据中心IP或者http://数据中心IP，用授权身份登录后，即可进入系统。系统分为管理和报表两个子系统，管理子系统主要提供系统配置维护、策略管理、实时日志查看等功能，报表子系统主要提供审计日志的查询统计和报表取证等功能。

Web 访问推荐使用IE6.0 及以上版本、Mozilla Firefox3.5 及以上版本浏览器，最

佳显示分辨率为1024×768。

1.2 设备介绍

天玥网络安全审计系统的设备包括数据中心和审计引擎两种，每个系统可以配备一台数据中心和多台审计引擎。数据中心负责提供管理和数据分析接口，方便用户的引擎管理和系统日志分析。审计引擎分为两种部署方式：并行和串行，负责接收审计策略，对网络访问依据审计策略进行审计和响应，并将审计日志上传到数据中心，串行引擎可以审计加密协议，如：SSH、SFTP、SCP、RDP。根据用户网络流量的不同，天玥网络安全审计系统的设备分为百兆和千兆两种，分别适用于百兆网络和千兆网络。

百兆网卡设备标识为EthX，千兆网卡设备标识为GEX。

第1页

安装手册天玥网络安全审计系统1.2.1 设备图片

图1-1数据中心示意图

图1-2千兆引擎示意图

图1-3百兆引擎示意图

1.2.2 标识说明

串口，超级终端的DB9连接端口，常见于数据中心和并行引擎；RJ45连接端口常见于串行引擎。

USB 连接接口，用于连接USB 设备。

天玥网络安全审计系统安装手册

10/100M 自适应以太网电接口，常见于百兆引擎。

10/100/1000M 自适应以太网电接口，常见于千兆引擎。

SPF 光接口，常见于千兆引擎。

电源和状态指示灯，Power加电数据中心为红色、引擎为黄色，Status 红色说明系统报警。

机箱后部电源插座和电源开关。

安装手册天玥网络安全审计系统2部署

2.1 部署方式

为了适应不同类型的用户的网络环境，天玥系统部署分为两种类型：数据中心与引擎直接连接、数据中心与引擎通过网络连接。如果数据中心只连接一个引擎，则他们之间可以通过网络连接，也可以用网线直接连接。如果连接多个引擎，则只能通过网络连接。

图2-1、图2-2分别是并行引擎的两种网络部署的示意图：

浏览器

2 U数据中心

1 U审计引擎

用户业务网络

图2-1数据中心和引擎直连

天玥网络安全审计系统 安装手册

浏览器

数据中心

交换机

1 U 审计引擎 1 U 审计引擎

用户业务网络

图2-2 数据中心和引擎通过网络连接

图 2-3 是串行引擎的网络部署的示意图：

安装手册天玥网络安全审计系统

图2-3数据中心和串行引擎直接连接

2.2 接线方法

不同的部署方式接线方法有所不同。

直连方式

将引擎的管理口直接连接数据中心的日志口。通过超级终端配置数据中心日志口和

引擎的管理口地址，二者同属一个网段即可。然后配置数据中心管理口的IP和路

由，web访问通过管理口来实现，此时需要将管理口连接到通信网络。

网络连接方式

将数据中心的日志口以及引擎的管理口连接到网络。通过超级终端为两个通信口配

置IP和路由，使二者能通信成功即可。

3串口配置天玥网络安全审计系统安装手册

设备部署和连接完成后，为了保证系统正常运转，要对系统进行正确的配置。首先要配置数据中心和引擎的IP路由等，使设备的连接通畅，这通过超级终端连接串口来完成。然后配置系统的各项参数，将策略下发给引擎后，系统即能正常工作。

本章对引擎和数据中心的串口配置项目进行逐一介绍，指导用户使用。

3.1 引擎串口配置

串行引擎与并行引擎两种引擎的串口配置方式大致相同，以下以并行引擎为例，若与串行引擎

不同的地方单独指出。

3.1.1 连接

用配件盒中的串口线一端连接引擎，另一段连接一台计算机的RS232接口。计算机上启动超级终端，写入连接名称，如图3-1所示。

图3-1建立连接

下一个页面要求用户选择用来连接引擎的串口名称，假设为com1，如图3-2所示。

安装手册天玥网络安全审计系统

图3-2选择端口

点击configure按钮，配置传输速率等内容，选择还原为默认值即可，如图3-3

所示。