天清入侵防御系统_V6.0.2.6_安装手册

产品安装手册
——天清入侵防御系统
产品名称：天清入侵防御系统
版本标识：V6.0.2.6
单位：北京启明星辰信息安全技术有限公司
北京启明星辰信息安全技术有限公司
天清IPS产品安装手册
版 权 声 明
本手册中任何信息包括文字叙述、文档格式、插图、照片、方法、过程等内容，其著作权及相关权利均属于北京启明星辰信息安全技术有限公司（以下简称“本公司”），特别申明的除外。

未经本公司书面同意，任何人不得以任何方式或形式对本手册内的全部或部分内容进行修改、复制、发行、传播、摘录、备份、翻译或将其全部或部分用于商业用途。

本公司对本手册中提及的所有计算机软件程序享有著作权，受著作权法保护。

该内容仅用于为最终用户提供信息，且本公司有权对其作出适时调整。

“天清”商标为本公司的注册商标，受商标法保护。

未经本公司许可，任何人不得擅自使用，不得进行仿冒、伪造。

本公司对本手册中提及的或与之相关的各项技术或技术秘密享有专利（申请）权、专有权，提供本手册并不表示授权您使用这些技术（秘密）。

您可通过书面方式向本公司查询技术（秘密）的许可使用信息。

免责声明
本公司尽最大努力保证其内容本手册内容的准确可靠，但并不对因本手册内容的完整性、准确性或因对该信息的误解、误用而导致的损害承担法律责任。

信息更新
本手册依据现有信息制作，其内容如有更改，本公司将不另行通知。

出版时间
本文档由北京启明星辰信息安全技术有限公司2008年6月出版。

北京启明星辰信息安全技术有限公司保留对本手册及本声明的最终解释权和修改权。

1
目 录
第1章 简述 (2)
第2章 安装准备 (3)
2.1 控制中心安装准备 (3)
2.1.1硬件需求 (3)
2.1.2 软件需求 (4)
2.2 引擎安装准备 (4)
2.3 网络资源准备 (5)
第3章 开箱检查 (6)
第4章 控制中心安装配置 (7)
4.1.1 MSDE数据库 (8)
4.1.2 入侵防御系统 (8)
4.1.3 天清使用Oracle数据库的注意事项 (14)
4.1.4控制中心卸载 (15)
第5章 引擎安装配置 (16)
5.1 标识说明 (16)
5.1.1接口说明 (16)
5.2 超级终端安装及设置 (17)
5.3 引擎配置 (22)
5.3.1 配置菜单介绍 (23)
5.3.2 初始应用 (26)
第6章 产品可用性检查 (27)
第7章 产品部署 (29)
7.1 控制中心部属 (29)
7.2 引擎部属 (29)
北京启明星辰信息安全技术有限公司
天清IPS产品安装手册
7.3 产品应用设置 (29)
附录一：快速使用指南 (31)
一、快速使用流程 (31)
二、多级管理设置 (35)
附录二：数据源的配置 (39)
附录三：Windows2003上报表查询速度优化建议方案 (43)
1.现象描述 (43)
2.现象分析 (44)
3.解决建议方案 (44)
(1)对报表模块的使用建议 (44)
(2)产品部署建议 (45)
(3)硬件配置和操作系统选择建议。

(45)
(4)系统和系统参数配置建议 (46)
1
天清IPS 产品安装手册
2
第1章 简述
天清入侵防护系统由控制中心和引擎两部分组成。

控制中心是产品包装附的免费的软件，包括管理控制中心、用户管理中心、综合显示中心、日志分析中心、升级管理中心和数据库导入等6个模块，其中综合显示中心、日志分析中心可以跟管理控制中心分开安装。

天清入侵防御系统的安装过程分为6
个步骤，如下图：
图1-1 安装步骤
后面的章节，我们将按照6个安装步骤对整个安装过程作详细介绍。

天清IPS产品安装手册
第2章安装准备
2.1控制中心安装准备
为了更好的运行天清入侵防御系统，我们建议您采用下面的配置作为起点。

系统实际运行的性能与网络环境和策略配置都有关系，配置越高性能会越好。

如果您打算将多个模块安装在一台计算机上，则需要更快的处理器，更多的内存和更大的硬盘空间。

由于系统运行过程中需要不断的读写数据库，为了提高系统的处理速度和性能，我们建议您准备专门的数据库服务器，并将管理控制中心和显示中心分别安装在不同的机器上。

2.1.1硬件需求
【管理控制中心或日志分析中心的硬件要求】
对于小规模的部署方式（单级管理，控制台连接2个以下的引擎），要求： CPU：P 4 2.0 以上
RAM：1G以上
硬盘：20G以上的剩余空间
网卡：Intel百兆或千兆电口网卡
辅件：光驱、键盘、鼠标
对于大规模部署方式（多级管理或者控制台连接2个以上的引擎），要求： CPU：P 4 2.0 以上
RAM：2G以上
硬盘：80G以上的剩余空间
3
天清IPS产品安装手册
网卡：Intel百兆或千兆电口网卡
辅件：光驱、键盘、鼠标
【显示中心的硬件要求】
标准PC
CPU：P 4 2.0 以上
RAM：1G以上
硬盘：20G以上的剩余空间
网卡：Intel百兆或千兆电口网卡
辅件：光驱、键盘、鼠标
注：推荐您最好专机专用，安装天清控制台的机器不要作为其他用途的服务器。

2.1.2软件需求
操作系统：推荐使用Windows 2000 sp4(中文版)、Windows 2003(中文版)，可以使用Windows xp sp2(中文版)
杀毒软件（可选）：瑞星、诺顿
办公软件（可选）：Office 2000/XP/2003(中文版)
注：1、为保证安装的顺利进行，我们建议您以administrator身份登陆操作系统。

2、控制中心安装在windows2003 Server平台上，可能会出现报表查询速度比较慢的现象，为避免出现这种现象出现，请参考 附录三的解决方案。

2.2引擎安装准备
引擎是硬件设备，不需要用户做安装，只需要是用引擎提供的串口配置菜单对引擎配置，并把引擎上线即可。

引擎一般部署在机房里面，其对机房的环境要求如下：
4
天清IPS产品安装手册
千兆设备：
工作温度：0~40℃
工作湿度：5~85%
储存温度：-20~75℃
储存湿度：5~95%
电源输入：AC90~260V 47-63HZ
百兆设备：
工作温度：0~45℃
工作湿度：10~90%
储存温度：-20~60℃
储存湿度：5~95%
电源输入：AC90~260V 47-63HZ
2.3网络资源准备
1、给引擎分配一个IP地址、路由信息（具体设置参照“引擎安装配置”部
分内容）
2、如果网络中存在防火墙，则需要开放一下几个常用端口：
a)TCP20001—引擎监听，接受控制中心管理
b)TCP50000—控制中心监听，接受上级控制中心、显示中心的连接
c)TCP22—引擎监听，SSH远程管理
d)TCP1433—SQL Server监听，采用远程数据库作为管理控制中心、日志
分析中心的后台数据库时，需要防火墙开放本端口
e)TCP25—Mail Server，发送报警邮件
f)UDP162—SNMP Trap，接受SNMP报警消息
g)UDP161—控制中心监听,SNMP查询
h)未知—防火墙联动
5
天清IPS产品安装手册
第3章开箱检查
开箱检查应该由最终用户和启明星辰公司现场工程师一起进行，开箱检查主要检查产品的完整性，检查内容包括：
1、检查硬件产品是否完好
i.观察引擎设备表面，看看是否有划痕
ii.检查引擎设备机箱上的封条是否完整
iii.产品型号是否跟合同要求的产品型号一致
iv.检查机箱上的产品序列号是否跟包装箱上的产品序列号一致
v.检查机箱上是否贴有公安部颁发的产品销售许可证
2、检查配件是否齐全
a)检查是否具备随产品一起附赠的配件盒
b)按照配件盒中的的配件清单，一一检查配件是否齐全
c)是否有产品授权信息卡
d)检查是否有控制中心注册码
e)检查是否有产品服务指南
f)检查是否有回寄信封
6
天清IPS 产品安装手册
7 第4章 控制中心安装配置
打开天清入侵防御系统的安装光盘，您会看到一个setup 程序，启动程序后，出现如下界面，如图4-1
所示：
图4-1
安装光盘分为两部分：
MSDE 数据库：这是微软提供的桌面版的小容量数据库，用来进行存放天清产品的所需的数据结构和产生的相关事件日志信息，最大存储容量为2G。

如需要更大的存储空间或更高效的数据库管理能力，建议采用独立的企业级数据库。

入侵防御系统：这部分包含天清入侵防御相关的管理控制中心、综合显示中心和日志分析中心，这些组件可以被安装在一台高性能的计算机上，也可以分别安装在不同的计算机上。

每个管理控制中心可以连接多个综合显示中心和日志分析中心。

点击启动界面左列的相应文字就可以对这些产品进行安装，下面分别介绍这几部分的具体安装过程。

4.1.1MSDE数据库
如果用户的机器上没有安装过MSDE或其它SQL Server的客户端软件，也没有安装过Oracle客户端软件，天清入侵防御系统将无法正常运行，您可以点击这一项来安装MSDE。

安装完成后用户需要重启操作系统。

注：如果先安装MSDE英文版，然后再安装SQL Server的中文版客户端软件，会导致SQL Server的BCP功能无法使用从而使得天清数据库维护模块某些功能失效，请慎重使用
4.1.2入侵防御系统
1、安装的第一步会判断本机是否有SQL SERVER或MSDE或Oracle，并要求系统先安装数据库如图所示：
图4-2
注：使用SQL SERVER数据库时，如果用户准备使用网络数据库服务器的话本机可以不装MSDE，但需要注意的是本机必须有SQL SERVER的客户端工具，能支持建立SQL server类型的ODBC数据源，否则在后面建立数据库的时候将无法完成。

同样，使用Oracle数据库，如果需要使用网络数据库，也需要在本机安装Oracle客户端工具。

2、在安装完数据库或数据库客户端后将进入天清入侵防御系统的主安装界面。

如图4-3所示：
8
9
图4-3
3、按照安装向导的选择进行安装。

如图4-4
所示：
图4-4
10
4、选择安装类型，“完全”是安装所有的组件，“定制”是需要用户手工选择安装路径及要安装的组件，如图4-5
所示：
图4-5
5、等待数据库驱动安装完成进入建立数据库的步骤。

这里分两种情况：
如果用户使用SQL SERVER 数据库，请在SqlServer 界面上配置好数据库服务器名称、数据库名称、数据库文件存储目录、数据库模板文件的目录（ACCESS 模板，一般在安装天清入侵防御系统的目录下）、ODBC 数据源名称，点击“确定”即可。

如图4-6所示：
11
图4-6
下面介绍界面各部分的作用：
服务器：填写要创建的数据库所在的机器名称或ip 地址。

可以是本机服务器也可以是网络数据库服务器。

在这里也可以修改本地服务器的sa 用户的密码，点击“修改本地服务器密码”按钮，填入原始密码和新密码就可以了。

但是不能在此处修改远程服务器的密码。

注：1、MSDE 默认的密码为空，如果您修改了密码，请务必牢记。

2、默认情况下，用户机器上只有一个实例，如果用户的机器上有多个SQL 实例，你只需要将数据库导入到一个实例中，请在这里填写“IP 地址\\实例名称”。

数据库名：填写你要创建的数据库名称。

用户ID：SQL数据库的用户名（默认是sa），必须输入具有sa权限的用户名。

密码：上面所填写的数据库用户的密码。

文件目录：数据库文件存放的位置，需要确保数据库文件所在的分区中有足够的磁盘空间（不小于2G，为确保用户的系统能长时间正常运行，最好选择剩余磁盘空间较大的分区，建议10G以上）。

数据源→ACCESS文件：系统提供的原始数据库模型文件（一个ACCESS数据库），一般在天清控制中心的安装目录下，名称是CenterDB.mdb。

数据源名称：ODBC数据源名称，这个数据源指向要创建的SQL Server数据库，天清入侵防御系统通过这个数据源访问数据库。

注意：如果在建立数据库的过程中出现如图4-7所示错误，请检查以下几项是否正确：网络是否正常、数据库服务器运行是否正常、用户ID是否具有sa权限、密码是否正确、远程服务器的文件目录是否存在！
图4-7
如果用户使用的是Oracle数据库，请在Oracle界面上设置网络服务名、访问用户名和密码、数据库模板文件的目录（ACCESS模板，一般在安装天清入侵防御系统的目录下）、ODBC数据源名称等信息，然后点击“确定”，如图：
12
13
图4-8
注意：天清目前只支持oracle9i，如果要运行此程序，用户的机器上至少安装oracle 的客户端而且能通过服务名连接到oracle 数据库。

下面介绍界面各部分的作用：
网络服务名：Oracle 系统需要用网络服务名连接到指定的数据库上，如果服务名错误，数据库导入程序可能不会正确执行。

用户ID：需要一个有DBA 身份的用户，否则导入可能不成功。

密码：用户的密码。

6、导入成功后会给出成功的提示，如图4-9所示：
14
图4-9
注：（1）这里建表和导入记录具体的数字可能随着版本的不同有所变化；
7、在数据库导入成功后安装将继续进行。

8、如果用户机器上还没有安装启明星辰的自动升级系统，安装程序会继续安装升级系统，选择全部安装即可。

如果机器上已经安装自动升级系统，请选择“修改”即可。

9、接着进行其它相关程序的安装，安装完成后，给出提示，到此入侵防御系统组件的安装就全部完成了。

注：在极少的环境下，天清入侵防御系统使用的一个控件（Cfx4032.ocx）在某些安装windows 2000的操作系统的主机上可能无法注册成功，影响了特定功能的实现，请按如下方法检查和解决。

具体现象：在安装完成后，打开管理控制中心，您如果发现下方的业务曲线窗口是一片空白，没有任何网格，说明发生了此问题。

解决方法：启动开始－>运行－>在编辑框中输入：regsvr32 “天清安装目录/ Cfx4032.ocx”。

例如：如果您的天清入侵防御系统安装在C 盘下，输入regsvr32 "C:\Program Files\Venustech\CyberVisionIMS6.0\Cfx4032.ocx"。

如果还是没有效果，请到天清安装目录下运行RegCom.dat 文件即可。

4.1.3 天清使用Oracle 数据库的注意事项
如果用户选择使用Oracle 数据库，请注意以下几点：
z 目前天清只支持Oracle9i。

建立Oracle 数据库的过程请Oracle 数据库管理
15
员协助进行，天清的数据库建议专人维护。

z 请为天清建立独立的表空间和临时表空间，表空间的大小建议20G 以上，临
时表空间2G 以上，均设置为自动增长。

z 请为天清设置单独的用户，用户需要具有DBA 的权限。

4.1.4 控制中心卸载
1、在控制面板中选择“添加或删除程序”，找到“Cybervision Intrusion Protection System”，点击“删除”。

如图4-10
所示：
图4-10
2、选择“删除”
3、按照删除向导完成即可。

如果界面提示需要重启，请用户重启操作系统以便完全卸载。

其它产品的卸载界面类似。

注：卸载时如下组件将不会随着天清主系统一并卸载：snmp、数据库、水晶报表组件。

16
第5章 引擎安装配置
在这部分里主要介绍的是硬件引擎的安装、设置、如何接入到网络中以及必要的配置操作。

5.1 标识说明
5.1.1 接口说明
网络引擎上一共有三种用途的信号接口，他们的说明如下：
：超级终端的连接端口；
：硬件引擎的数据包监听/串接端口，连接交换机的镜像端口；
：硬件引擎的管理控制端口，主要用于与控制台通讯；
某些型号的千兆引擎的机器后面有两个红色按钮，如图：
按钮1正常情况下在机盖下面，被一个螺丝钉覆盖，是一个报警按钮，如果引擎在通
按钮1
按钮2
电情况下打开机盖，会发出报警声，按下后，不再报警。

按钮2平时就能看到，千兆引擎可使用双电源，如果您只连接了一根电源线，引擎也
会发出报警声，按下这个按钮后，不再报警。

5.2超级终端安装及设置
1、超级终端安装
“超级终端”是Windows 9x、Windows NT及Win2k下的程序，是Microsoft操作系统中的一个常用组件。

它能够通过串行或并行端口接受或发送ASCII码信息。

“超级终端”具有反卷功能，此功能使用户能够看到已经滚动出屏幕的已接收文本。

方式1：
在安装Windows 95/98/2000/NT/XP操作系统时，选中“通讯”选项中“超级终端”选项。

方式2：
在安装Windows 95/98/2000/NT/XP操作系统时没有安装“超级终端”，可以通过Windows 95/98/2000/NT/XP的“控制面板”的“添加/删除程序”项安装“超级终端”。

2、启动超级终端(以windows 2000 advanced server为例)。

如图5-1
所示：
17
3、启动画面。

如图5-2
所示：
新建连接名称—输入相应名称。

如图5-3
所示：
18
选择COM1口还是选择COM2口，应根据通讯线所连接到控制中心PC的COM口号来确定。

建议连到COM1口，如果用笔记本电脑进行串口连接，需根据识别出来的相应
所示：
COM口进行选择连接。

如图5-4
4、端口设置
每秒位数（B）项选择“9600”，其它速率无效；数据位（D）项选择“8”；奇偶校验（P）项选择“无”；停止位“S”项选择“1”；数据流控制（F）项选择“硬件”。

如图5-5所示：
19
20
图5-5
5、 超级终端设置
选择“文件”菜单中的“属性”选项，显示如下图所示画面。

如果你不想看滚动出屏幕的信息，请把“反卷缓冲区行数（B）”设为“0”。

按“设置”按纽，显示屏幕如图5-6所示：
21
图5-6 按“ASCII 码设置（A）...”按纽，使用默认设置即可，显示屏幕如图5-7所示：
图5-7
22
5.3 引擎配置
天清网络引擎利用超级终端进行基本设置，配置好超级终端以后，回车进入探测引擎启动画面。

如图5-8
所示：
图5-8
输入用户名：venus，回车后再输入正确的密码(出厂密码设置为1234567)后进入如图5-9所示：
23
图5-9
5.3.1 配置菜单介绍
在超级终端上显示的控制界面分成4个部分：配置选项、辅助选项、恢复选项和退出选项。

每个选项下有不同的子项，以下依次对这些子项进行介绍：
配置选项：
【功能1】：显示当前设置
显示当前配置信息。

包括串接类型、串接模式、串接网卡对、通讯网口的IP 地址等
【功能2】：更改IP地址/子网掩码
更改通讯网口的IP地址及子网掩码。

新探测引擎的IP地址及子网掩码请向网络管理员申请。

【功能3】：重置引擎认证密钥
选项 “3”可以重置控制中心与引擎认证密钥，当引擎与不同于原控制中心的另外控制中心相连时必须重置密钥。

【功能4】：更改路由配置
选项“4”，可以添加和更改原有路由配置，输入路由总条数(如输入0 则表示删除当前所有路由)，如果设置错误可以直接按“q”退出原来的路由信息不会改变）。

输入目的子网网络地址：如果想要与192.168.5.0网段的主机进行通讯则输入192.168.5.0。

输入目的子网掩码地址:255.255.255.0。

输入网关IP地址：与要设定路由的网口地址在同一个网段内。

依此类推，加入所要的路由信息。

【功能5】：更改串口登录口令
选项“5”，可更改网络引擎密码。

网络引擎密码数为7位任意数字或字符。

新密码输入多于7位时，取前7位作为新密码；新密码输入少于7位时，新密码无效，旧密码仍然有效。

步骤如下：
① 先输入旧密码
② 输入新密码
③ 确认新密码
注：（1）新网络引擎出厂时密码统一为“1234567”，请注意更改。

（2）密码设置不要过于简单，以免被盗用。

【功能6】：打开和关闭SSH登录
24
选项“6”用于打开是否支持通过SSH登录本配置界面，缺省为打开。

【功能7】：用户自定义通讯端口
用户自定义通讯端口可以修改引擎的通讯端口，缺省为20001，当20001端口被占用时可以修改成其他的数值。

【功能8】：设置网口协商模式
定义IPS设备串接网口的通信模式，包括自适应模式和强制模式，强制模式可以强制网口的速率（10M/100M/1000M）、全/半双工等。

【功能9】：重启引擎操作系统
选项“9”可以将引擎重新启动。

辅助选项：
【功能10】：PING测试
PING测试，用于测试指定IP地址是否存在活动主机或用于检查IPS的通讯网络是否畅通，提示信息为“连接正常”或者“连接异常”。

【功能11】：TRACEROUTE测试
TRACEROUTE测试，用于测试引擎能否成功路由到指定IP。

【功能12】：显示ETH0 MAC地址
显示ETH0的MAC地址。

【功能13】：显示引擎版本
显示引擎的版本号，如6.0.2.6
恢复选项：
【功能14】：恢复引擎出厂参数
恢复引擎的出厂参数，包括通讯网口的IP地址、子网掩码和路由信息等。

【功能15】：恢复初始应用程序
25
将引擎的所有应用程序恢复到上一次正常运行状态。

本功能主要在引擎升级出现异常的情况下使用，即当引擎升级失败并且不能正常工作了，则选择14恢复到升级以前的版本。

【功能16】：本地时间设定
修改引擎的时间，设定时间时要严格按提示的格式输入
注：恢复选项用于出现异常状况时恢复，一般状况无须使用
退出选项：
【功能17】：退出串口配置程序
退出串口配置程序；如果不退出，用户可以通过串口无需登录而直接操作串口配置
注：超级终端不能用窗口右上脚的关闭按钮直接关闭 ，因为这样只关闭了“超级终端”的界面，而超级终端与探测引擎的通讯并未关闭。

因此，每次更改探测引擎的基本参数后，必须用选项“17”退出。

在操作过程中出现错误操作时如需取消当前输入操作请按<q>。

如果需要帮助请按<h>。

5.3.2初始应用
第一次安装应该配置网络引擎通讯IP地址，出厂缺省地址为：192.168.0.200；如果管理控制中心和网络引擎是跨网段控制，需要使用“更改路由配置”来设置相关路由信息。

配置完毕以后可以使用辅助选项中的“PING测试”和“TRACEROUTE测试”来检查是否可以和网络连通。

当重新安装了控制中心或更改了控制中心的主机地址，需要使用“重置引擎认证密钥”来清除原来的认证信息保证和新的控制中心建立认证关系。

注：更改探测引擎ip，路由和清除密钥的方法和过程见“选项介绍”中的描述。

26
第6章产品可用性检查
产品安装配置完毕后，在产品正式部属上线之前，需要对产品的可用性作认真检查，以确保产品部署后不对网络正常应用造成影响，请按照下图所示，搭建产品检查环境：
图6-1
注：
1）PC1、PC2直接串接在IPS引擎的两个串接口上
2）PC1、PC2设置成同一网段的IP地址
3）Console直接接到IPS引擎的管理口上，Console上安装控制中心软件
产品可用性检查主要包括一下几个检查项：
1、检查IPS的连通性
–启动控制中心，连接引擎，下发串行保护策略集，看看是否可以下发成功（检查管理控制中心的工作日志或者查看管理控制中心窗口下脚
的引擎信息，看看当前应用策略是否为“串行保护策略集”
2、检查IPS的网络接口是否正常以及事件分析功能是否有效
–分别从PC1—>PC2和PC2—>PC1发送ping，确保都能ping通，
–显示中心有相关报警信息
3、检查IPS的阻断有效性
27
–编辑策略，将ICMP_PING_事件设置为串行丢包阻断，策略下发
–重复2，ping被阻断
4、软件bypass有效性检查
–从PC1执行命令ping PC2 –t
–从控制中心向引擎下发策略
–观察ping结果，应该没有中断
5、硬件bypass有效性检查
–从PC1执行命令ping PC2 –t
–直接拔掉引擎电源
–观察ping结果，有临时中断，大概丢掉2个ping包，马上恢复到正常状态
6、进程检查
–检查一下控制中心和引擎是否均正常运行，引擎和控制中心运行时正常开启的进程如下图：
图6-2 产品进程
28
第7章产品部署
产品安装配置完毕，并通过产品可用性检查后，方可将产品部署到用户真实环境中，分为两个部分：控制中心部署和引擎部署
7.1控制中心部属
1、将安装好天清入侵防御系统管理控制中心的服务器接入到用户网络中，确保控制
中心服务器可以正常访问引擎IP的TCP20001端口。

2、打开管理控制中心，添加网络引擎组件（IP地址为引擎地址）
7.2引擎部属
1、先将引擎设备放置到指定位置，加电启动
2、引擎启动完全后，将引擎的管理口接入到用户网络中
3、直接切换网线，将引擎串接到用户网络中，一般情况下IPS部署在网络总出口的
交换机和防火墙之间，所以只需将IPS引擎串接在交换机和防火墙之间即可。

a)马上进行网络联连通性确认：内外主机互ping，或者内网主机访问互联网
注：如果出现问题则马上撤下引擎设备，恢复用户网络，检查修复好后重新接入 7.3产品应用设置
1、根据用户的需求定义好策略，并下发
建议采用系统自带的串行保护策略集衍生的基础上修改
除了系统默认阻断的事件和QQ/MSN/BT/网游等事件根据用户的需求选择阻断以外，其他的事件先采用报警+日志，等运行一段时间，观察结果表明没有误报并且对用户关键业务不会造成影响的事件，可以将响应方式改为阻断
2、引擎授权导入
29。