- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecCenter CSAP-ESM终端安全管理系统
软件安装指导
Copyright © 2024新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本开局指导书适用ESS 6902P11版本终端安全管理系统或终端安全管理系统团队版部署,在实施ESS 6902P11及以下版本的终端安全管理系统部署时请参照其对应版本的开局指导书。
终端安全管理系统由控制中心、客户端两部分组成,是集恶意代码防护、桌面安全管理、终端威胁检测与响应(EDR)、数据防泄密于一体的全新一代终端安全管理防御系统。
系统建立统一管理的终端安全整体防护体系,有组织有计划地监测和分析终端安全状态,统一配置终端安全策略,提供终端的安全保障能力,确保终端系统正常、高效的运行彻底解决终端安全威胁的全生命周期管理,包括事前预警防范、事中应急处置、事后追责溯源,完成终端安全威胁闭环。
由部署在服务端的控制中心和用户终端上的客户端组成。
· 控制中心:部署在服务端,对终端安全管理,制定和下发安全策略、提供安全数据存储和查询。
· 客户端:安装运行在客户机,执行安全策略、采集终端信息、上报安全日志。
系统架构,如下图所示。
图1-1 系统架构图
管理员通过浏览器,可以方便的从网络内任意终端登录控制中心,实现对全网终端的查看管理、安全评估、病毒和漏洞扫描以及进行安全事件检索查证等。
用户网络的客户端若不能访问互联网资源,需要在用户内网中部署1台WSUS补丁服务器给客户端提供补丁服务;WSUS补丁服务器同步补丁需要一定的时间(取决于网络带宽和同步补丁量,一般需要3~4天),请提前准备WSUS补丁服务器并同步补丁;若没有漏洞补丁修复需求,可以不部署WSUS补丁服务器。
控制中心服务器由功能不同的组件构件,服务器组件集成在Docker容器中,通过运行控制中心安装脚本提供一键式安装,安装脚本会自动检测系统Docker环境、安装运行Docker软件和控制中心软件,部署步骤简便易操作,适用于用户终端规模不大(5000台左右)的应用场景。
若用户网络环境中终端数量规模较大(远超5000台),部署控制中心集群。
控制中心程序支持部署成终端安全管理系统和终端安全管理系统(团队版),适应不同应用场景。
面向单个公司企业提供服务,部署后,系统管理员通过登录控制中心Web管理页面,查看和管理所有已安装客户端的终端;支持创建多个管理账户并分配授权,实现分级管理。
面向多个不同的公司企业提供服务,部署后,终端安全管理系统(团队版)提供了注册团队管理员账号页面,团队管理员注册成功后,将客户端下载链接分发给终端用户,终端用户安装客户自动完成向团队注册,团队管理员可对本团队的终端进行安全管理,不同团队管理员仅能查看和管理自己团队的终端。
请根据需要选择相应的部署模式。
在没有特别需求的情况下,部署终端安全管理系统即可。
两种部署模式使用的控制中心安装包相同,区别是部署执行安装脚本时所带的参数不同。
安装脚本运行时只能选择终端安全管理系统或者终端安全管理系统(团队版)。
终端安全管理系统兼容大多数网络环境,举几个常见的网络环境说明。
兼容此网络环境,网络可达即可。
兼容此网络环境,网络可达即可。
图1-2 源地址NAT网络
终端安全管理系统兼容此网络环境,网络拓扑如下图所示。
图1-3 兼容NAT网络单侧部署
兼容此网络环境。
该网络环境下,用户区域A和用户区域B位于NAT设备两侧,且存在旁路使得用户区域A可以访问NAT设备接口B,网络拓扑如下图所示。
图1-4 兼容NAT网络双侧部署
兼容此网络环境。
在该网络环境中,用户区域A和用户区域B中均存在客户端需要访问控制中心,且用户区域B的终端是需要经过NAT设备地址端口映射后访问控制中心、用户区域A未经过该NAT设备访问控制中心。
图1-5 兼容的NAT网络环境
支持部署在服务器多网卡业务域、业务域彼此网络隔离的场景,控制中心服务器多个网卡、每个网卡对应一个业务域,业务域之间网络隔离。每个业务域的终端计算机通过浏览器下载所需的客户端软件,安装运行即可。
需要注意5点:
1.安装操作系统步骤,在安装信息摘要界面,“系统>安装位置”将根目录“/”空间设置成硬盘容量的至少90%以上。
2. 必须使用root账户权限安装控制中心软件。
3.系统防火墙(firewalld)处于启用状态。
4. 不安装Selinux组件,若已经在运行selinux,需要停止selinux运行。
5.不单独对目录“/var”进行分区挂载(不单独创建/var分区,/var自动使用根目录空间)。
终端安全管理系统控制中心运行于x86计算平台,硬件需求配置如下表:
|
在线客户端数量 |
CPU |
内存 |
硬盘 |
备注 |
|
0-200台 |
8核 |
16G |
2T |
确保控制中心功能正常运行最低配置,要求:内存>=16G、CPU>=8核。 |
|
200-500台 |
8核 |
32G |
2T |
|
|
500-1000台 |
16核 |
64G |
4T |
|
|
1000-5000台 |
24核 |
128G |
4T |
|
|
10000台 |
48核 |
256G |
4T |
|
|
1万台-5万台 |
24核*4台 |
256G*4台 |
4T*4台 |
使用4台服务器部署集群 |
推荐操作系统: Redhat Enterprise Linux Server release 7.9
兼容操作系统:
(1) Red Hat Enterprise Linux 7.4至 Red Hat Enterprise Linux 7.9
(2) CentOS 7.4至CentOS 7.9,CentOS 7.9系统镜像下载链接:
http://repos-va.psychz.net/centos/7.9.2009/isos/x86_64/CentOS-7-x86_64-DVD-2009.iso
(3) 银河麒麟高级服务器操作系统V10 SP3
如果是虚拟机环境,也要满足以上条件(支持虚拟机平台VMware 、CAS平台)。
IP地址静态,且确定;
如在虚拟化平台上Redhat Enterprise Linux Server release 7.9硬件配置如下:
图2-1 服务器硬件配置
安装信息摘要界面,“系统>安装位置”将根目录“/”空间设置成硬盘容量的至少90%以上。
启动操作系统安装镜像,在系统安装选择界面,选择“Install Red Hat Enterprise Linux 7.9”,按回车键确定。
图2-2 选择“Install Red Hat Enterprise Linux 7.9”
选择语言,简体中文。
图2-3 选择安装语言
点击<软件选择>,选择“带GUI的服务器”。
图2-4 软件选择<带GUI的服务器>
在安装信息摘要界面,系统>安装位置,系统默认使用自动分区,此时需要手动修改根目录“/”使用的磁盘空间大小,尽量分配更多的空间给系统根目录“/”。如果硬盘空间2T,将根目录“/”空间设置成接近2T大小。
图2-5 安装位置系统默认使用“自动分区”
打开安装位置,选中“我要配置分区(I)”后点击<完成>按钮。
图2-6 选中“我要配置分区”后点击<完成>
手动分区配置界面,点击“+”符号,手动创建磁盘分区。
图2-7 增加磁盘分区
磁盘分区的原则是根目录“/”占用磁盘空间的90%以上,交换分区(swap)占用的磁盘空间大概是物理内存的1倍左右,其它分区空间大小只要保证划分磁盘分区工作顺利进行即可。
创建磁盘根目录“/”分区,分配空间大小为“1965G”。
图2-8 创建根目录“/”分区
根目录“/”空间设置成硬盘容量的90%或以上。
创建磁盘交换分区(swap),分配空间大小32G,交换分区一般为物理内存1倍左右即可。
图2-9 创建交换分区
创建磁盘启动分区,大小为2G,对启动分区空间大小没有特别要求,顺利进行分区即可。
图2-10 创建启动分区
创建磁盘”biosboot”分区,大小为1G,对该分区空间大小没有特别要求,顺利进行分区即可。
图2-11 创建biosboot分区
磁盘分区划分后,如下图所示,如果对刚刚划分的磁盘分区不满意,继续重新规划磁盘分区,直至得到合理的磁盘分区。
图2-12 磁盘分区大小设置
点击<完成>按钮,在弹出的对话框中点击<接受更改>按钮,确认磁盘分区。
图2-13 接收磁盘分区配置
点击<网络和主机名>,在弹出的窗口界面上点击<配置>按钮。
图2-14 点击<配置>
在弹出的窗口界面上配置网络参数,输入IP地址、掩码、网关地址和DNS地址。
图2-15 配置IPv4网络参数
必须手动配置静态IP地址,否则会影响服务器的访问使用。
切换到<常规>标签页,设置操作系统启动时自动链接到该网卡。
图2-16 勾选<可用时自动链接到这个网络>
点击<保存>按钮,网卡显示已连接状态,点击<完成>按钮。
图2-17 点击<完成 >
点击<开始安装>按钮,开始在磁盘上安装操作系统。
图2-18 点击“开始”按钮
配置-用户设置界面上,点击“ROOT密码”设置root账户密码。
图2-19 设置ROOT账户密码
连续输入2次root账户密码后,点击<完成>按钮,root密码非常重要,一定要牢记且不可外泄。
设置ROOT账户密码时禁止使用弱口令,必须牢记该密码且不可向他人泄露!
图2-20 输入Root账户密码
创建系统账户,账户名称任意选取,输入张密码(禁止弱口令),点击<完成>。
图2-21 创建系统账号
设置ROOT账户和创建密码时禁止使用弱口令,必须牢记该密码且不可向他人泄露!
系统安装完成后,点击<完成配置>按钮。
图2-22 点击<完成配置>
重启操作系统。
图2-23 点击<重启>
系统安装完成并重启后,需要进行一些初始设置。
在初始设置界面,点击LICENSING下的“未授权许可证”。
图2-24 点击“未接受许可证”
在许可信息界面,勾选“我同意许可协议”后点击<完成>按钮。
图2-25 在“我同意许可协议”打钩
点击<完成配置>按钮,重启操作系统。
图2-26 点击<完成配置>
在系统登录界面,选择<未列出>。
图2-27 点击<未列出 >
用户名输入:root,点击<下一步>
图2-28 登录root账户
输入系统安装阶段配置的root账户密码,点击<登录>。
图2-29 输入root账户密码
一步一步点击<前进>按钮。
图2-30 点击<前进>
开始使用Red Hat Enterprise Linux Server。
图2-31 点击<开始使用>
打开系统设置菜单,设置系统时间。
图2-32 打开<系统设置>
在系统设置界面,点击<详细信息>。
图2-33 点击<详细信息>
在时间配置界面,关闭自动设置日期和时间、关闭自动设置时区,时区选择“CST(上海,中国)”,调整服务器日期和时间。
图2-34 调整时间和时区
完成系统安装和初始配置。
控制中心标准情况下的安装,推荐是独立操作系统,不安装其它业务应用。
1.必须使用root账户权限安装控制中心软件。
2.确保系统防火墙(firewalld服务)处于运行状态。
3.如果系统运行了Selinux服务,请将该功能关闭。
将产品安装包拷贝到用户机Windows系统的任意目录并解压。
解压产品包后包含文件:
· SecCenterCSAPESM-IMW310-E6902P11.zip
· md5.txt
比对解压后SecCenterCSAPESM-IMW310-E6902P11.zip文件的md5值与md5.txt中给出的md5值是否一致。
图3-1 计算控制中心安装包MD5值
图3-2 比对MD5值
将产品部署包上传到预安装的服务器系统上,并检查文件的哈希值,确保上传文件的完整性。
图3-3 文件哈希校验
1.产品部署包完整性被破坏会导致在解压过程或安装过程时遇到失败!
检查服务器磁盘分区划分,是否满足控制中心安装需求。
磁盘根分区“/”占用了几乎全部磁盘空间(达到90%以上),磁盘划分合理。
图3-4 查看磁盘分区
查看服务器内存,物理内存和交换内存都是32G,满足控制中心安装要求。
命令:
free -h
图3-5 查看服务器内存
虚拟环境下,分配给控制中心服务器的内存为32G,但使用命令显示的内存大小可能会比32G略小,这种情况下满足控制中心安装要求。
SELILNUX处于关闭状态,禁用SELILNUX开机自启动。
关闭SELILNUX命令:setenforce 0,关闭后SELILNUX状态显示“Permissive”或“Disabled”。
图3-6 关闭selinux
禁用SELILNUX开机启动,修改配置文件/etc/selinux/config,命令:vi /etc/selinux/config
图3-7 vi命令打开selinux配置
输入字符“i”进入编辑模式,将“SELINUX=enforce”修改成“SELINUX=disabled”,退出时输入冒号并在冒号后输入“wq!”保存配置。
图3-8 初始的selinux配置文件
图3-9 修改后的selinux配置文件
必须保证SELINUX的状态是“Permissive”或“Disabled”,否则会安装失败!
测试网络连通性,服务器到网关和DNS服务器通信正常。
图3-10 网络连通性测试
为确保客户端能够访问控制中心和WSUS补丁服务器,需要在网络防火墙设备处放行所需要的通信端口,控制中心服务端口列表如下。
表3-1 常规服务端口
|
编号 |
协议类型 |
客户端使用端口 |
控制中心使用端口 |
端口服务说明 |
|
1 |
HTTPS |
随机任意 |
9681 |
软件/病毒库升级服务 |
|
2 |
UDP |
随机任意 |
9683 |
系统调度服务 |
|
3 |
TCP |
随机任意 |
9685/9686 |
事务处理/云查服务 |
|
4 |
HTTP |
随机任意 |
9682 |
上报文件服务 |
|
5 |
HTTP |
随机任意 |
8530/8531 |
内网WSUS补丁服务(需要单独部署服务器) |
|
6 |
HTTPS |
随机任意 |
80/443 |
微软官方补丁服务(不需要单独部署) |
表3-2 其它服务端口
|
编号 |
协议类型 |
终端使用端口 |
控制中心使用端口 |
端口服务说明 |
|
1 |
HTTPS |
随机任意 |
7443 |
运维终端管理员登录服务器Web服务 |
|
2 |
HTTPS |
随机任意 |
8443 |
运维终端管理员对控制中心升级服务 |
|
3 |
HTTP |
随机任意 |
5080 |
运维终端管理员登录Web服务,非必须 |
|
4 |
TCP |
随机任意 |
9691/9692 |
远程协助,客户端与控制中心通信端口 |
|
5 |
TCP |
随机任意 |
9689 |
远程协助,运维终端与控制中心通信端口 |
|
6 |
TCP |
随机任意 |
80 |
终端访问控制中心下载客户端软件安装包 |
|
7 |
TCP |
随机任意 |
19687 |
客户端采集文件的下载服务 |
|
8 |
HTTPS |
随机任意 |
443 |
网络违规外联取证服务 |
检查控制中心宿主机服务器防火墙状态,确保防火墙处于使用状态,如下图所示。
图3-11 防火墙启用状态
必须保证Linux系统防火墙处于启动状态后,再安装控制中心软件。
查看系统时间,确保使用中国时区(CST)和时间准确。
图3-12 查看系统时间
控制中心安装包为“zip”格式文件,使用“unzip”命令解压控制中心安装包到install目录下。
unzip SecCenterCSAPESM-IMW310-E6902P11.zip -d install
如果系统未安装unzip命令,会提示未找到命令,如下图。
图3-14 系统未安装unzip
此时,请先安装unzip系统命令再解压控制中心安装包。
控制中心处于互联网时,通过在线安装unzip命令。
命令:yum install unzip
图3-15 在线安装unzip
控制中心处于内网时,从互联网开源镜像网站下载宿主机系统版本对应的unzip命令安装包,如Redhat 7.9对应unzip-6.0-22.el7_9.x86_64.rpm,将unzip命令安装包上传宿主机后执行安装。
命令:rpm -ivh unzip-6.0-22.el7_9.x86_64.rpm
图3-16 rpm命令安装unzip
或将控制中心安装包在Windows系统解压成一个目录,再将整个目录上传至宿主机。
在Redhat 7.9操作系统平台上,控制中心安装脚本支持一键式安装Docker环境软件(当服务器已经在运行Docker软件时不会重复安装)和控制中心软件。
cd install
图3-17 进入解压目录
查看解压目录文件。
命令:
ls -l
图3-18 查看解压目录
文件“install.sh”为控制中心安装脚本。
tools目录下存放取证服务器(一般可采用互联网上的缺省取证服务器,不用单独部署取证服务器)。
(2) 执行安装脚本
执行控制中心安装脚本,开始安装控制中心软件。
1.支持IPv4和IPv6网络,运行安装脚本带参数“--network-mode=both”。
命令:
./install.sh --network-mode=both
图3-19 执行控制中心安装脚本
当配置的磁盘根分区“/”不足500G时,安装脚本弹出提示信息询问是否继续安装,如下图。
图3-20 提示系统根分区“/”不足
若仅是功能验证的测试场景,输入“Y”继续安装;若是产品交付场景请按照表2-1的要求选择硬件配置并做好系统分区工作(要求根目录“/”占磁盘空间90%以上)。
当配置的磁盘根分区“/”大于 500G时,不会有磁盘不足的提示信息。
控制中心安装程序会提示用户输入厂商信息,输入“h3c”,按确认键。
厂商信息“h3c”为小写字符,请注意关闭键盘大写锁定键后输入。
图3-21 输入“h3c”
若输入错误请输入“Back Space”或“CTRL+ Back Space” 或“Shift+ Back Space”删除后重新输入。
安装程序提示是否启用Docker内部通信使用的默认IP地址段,默认地址段为“10.233.233.233/27”。
如果宿主机或用户网络未使用该地址段,输入“y”键,继续安装。
图3-23 输入“y”确认
否则输入“N” 指定Docker内部通信使用的IP网段,如下图所示。
图3-24 选择Docker网段
在上图中列出的地址段中,选择用户网络中未使用的地址段,例如输入“1”配置Docker内部网络使用“10.33.33.0/37”地址段。
确保分配给Docker使用的IP地址段与用户网络使用的IP地址段无冲突即可。
安装程序提示成功安装控制中心。
打开浏览器,地址栏输入“https://控制中心IP:7443”,如输入“https://192.168.31.101:7443”打开控制中心Web登录管理界面,显示导入授权信息,如下图所示。
图3-26 导入授权文件提示
使用手机APP扫一扫功能扫描图片二维码,或互联网环境下点击“License使用指南”链接打开授权文件使用指南,依据授权文件使用指南获取授权文件。
点击<导入授权>按钮,在弹出的页面选择授权文件,“导入后自动绑定到根分组”保持默认的勾选状态,点击<确定>按钮,如下图所示。
请妥善备份保存授权文件。
导入授权文件后,页面自动刷新提示输入登录账户信息,如下图所示。
图3-28 控制中心登录界面
系统内置的默认账户和密码信息。
· Web登录IP地址:https://控制中心ip:7443/
· 账户:admin
· 密码:admin
输入默认账户信息和验证码登录控制中心,首次登录admin账户,提示修改默认密码。
图3-29 修改登录密码
登录admin账户后,Web页面如下图所示。
图3-30 管理员视图
首次登录时,系统会要求用户立即修改缺省登录密码,请勿使用弱口令、牢记修改后的登录密码,并杜绝泄露。
配置客户端、病毒库的升级带宽及心跳周期,系统支持的并发在线升级的客户端最大值为1000个,单个终端升级时占用的最大带宽为100M,心跳周期配置在15秒~600秒之间。
使用系统管理员账户登录控制中心Web管理界面,选择“系统管理>全局参数”,显示升级带宽管理和心跳时间界面,配置好参数后点击<保存>按钮,如下图所示。
升级带宽设置太低时,客户端升级比较缓慢,升级带宽设置太高时,会占用过多的带宽资源。
设置终端数太低时,客户端整体升级比较缓慢,设置终端数太高时,会占用过多的带宽资源。
为保证客户端能够及时更新到最新的病毒库,需要在控制中心导入最新的病毒库升级包和人工智能模型,以便客户端连通控制中心时更新病毒库。
使用系统管理员账户登录控制中心Web管理界面,选择“系统管理>升级管理>病毒库升级”,显示病毒库升级界面,点击<上传并升级>按钮,分别选择最新的病毒库升级包和人工智能模型导入控制中心,如下图所示。
图3-32 导入病毒库升级
在控制中心后台,root权限执行卸载命令:/etc/kvedr_server/uninstall
图3-33 输入“卸载控制中心命令”
卸载程序提示是否清除数据。
如果无需保留控制中心历史数据和策略配置,输入:y,否则输入:n
图3-34 输入“y”
卸载程序再次提示是否删除数据,输入:yes,按确认键;否则输入:no
图3-35 输入“yes”
卸载完成提示,如下图所示。
图3-36 卸载完成提示
完成控制中心卸载和清理数据后,无需重启操作系统即可重新部署控制中心。
打开浏览器,在地址栏输入“控制中心IP”或输入“https://控制中心IP:443”,打开客户端下载页面,选择客户端点击<下载>按钮,下载客户端程序。
注意!不要修改下载后的客户端软件安装包名称。
图3-37 选择下载客户端
安管一体机集成环境中安装终端安全管理系统时,需登录终端安全管理页面,打开系统管理>全局参数,将<默认管理中心IP地址/域名>配置项选择自定义、输入终端安全管理系统的IP地址。
可以把下载的客户端程序,放入到公司内网共享文件服务器,或者内部网站等载体,提供下载。
注意!不要修改下载的客户端软件安装包名称。
控制中心标准情况下的安装,推荐是独立操作系统,不安装其它业务应用。
1.必须使用root账户权限安装控制中心软件
2.确保系统防火墙(firewalld服务)处于运行状态。
3. 如果系统运行了Selinux服务,请将该功能关闭。
将产品安装包拷贝到用户机Windows系统的任意目录并解压。
解压产品包后包含文件:
· SecCenterCSAPESM-IMW310-E6902P11.zip
· md5.txt
比对解压后SecCenterCSAPESM-IMW310-E6902P11.zip文件的md5值与md5.txt中给出的md5值是否一致。
图4-1 计算控制中心安装包MD5值
图4-2 比对MD5值
将产品部署包上传到预安装的服务器系统上,并检查文件的哈希值,确保上传文件的完整性。
图4-3 文件哈希校验
1.产品部署包完整性被破坏会导致在解压过程或安装过程时遇到失败!
检查服务器磁盘分区划分,是否满足控制中心安装需求。
磁盘根分区“/”占用了几乎全部磁盘空间(达到90%以上),磁盘划分合理。
图4-4 检查磁盘分区配置
查看服务器内存,物理内存和交换内存都是32G,满足控制中心安装要求。
命令:
free -h
图4-5 查验服务器内存
服务器内存为32G,满足控制中心安装要求。
虚拟环境下,分配给控制中心服务器的内存为32G,但使用命令显示的内存大小可能会比32G略小,这种情况下满足控制中心安装要求。
SELILNUX处于关闭状态,禁用SELILNUX开机自启动。
关闭SELILNUX命令:setenforce 0,关闭后SELILNUX状态显示“Permissive”或“Disabled”。
图4-6 关闭selinux
禁用SELILNUX开机启动,修改配置文件/etc/selinux/config,命令:vi /etc/selinux/config
图4-7 vi命令打开selinux配置
输入字符“i”进入编辑模式,将“SELINUX=enforce”修改成“SELINUX=disabled”,退出时输入冒号并在冒号后输入“wq!”保存配置。
图4-8 初始的selinux配置文件
图4-9 修改后的selinux配置文件
必须保证SELINUX的状态是“Permissive”或“Disabled”,否则会安装失败!
测试网络连通性,服务器到网关和DNS服务器通信正常。
图4-10 网络连通性测试
为确保客户端能够访问控制中心和WSUS补丁服务器,需要在网络防火墙设备处放行所需要的通信端口,控制中心服务端口列表如下。
表4-1 常规服务端口
|
编号 |
协议类型 |
客户端使用端口 |
控制中心使用端口 |
端口服务说明 |
|
1 |
HTTPS |
随机任意 |
9681 |
软件/病毒库升级服务 |
|
2 |
UDP |
随机任意 |
9683 |
系统调度服务 |
|
3 |
TCP |
随机任意 |
9685/9686 |
事务处理/云查服务 |
|
4 |
HTTP |
随机任意 |
9682 |
上报文件服务 |
|
5 |
HTTP |
随机任意 |
8530/8531 |
内网WSUS补丁服务(需要单独部署服务器) |
|
6 |
HTTPS |
随机任意 |
80/443 |
互联网WSUS补丁服务(不需要单独部署) |
表4-2 其它服务端口
|
编号 |
协议类型 |
客户端使用端口 |
控制中心使用端口 |
端口服务说明 |
|
1 |
HTTPS |
随机任意 |
7443 |
管理员登录Web服务 |
|
2 |
HTTPS |
随机任意 |
8443 |
控制中心升级服务 |
|
3 |
HTTP |
随机任意 |
5080 |
管理员登录Web服务 |
|
4 |
TCP |
随机任意 |
9691/9692 |
远程协助,客户端与控制中心通信端口 |
|
5 |
TCP |
随机任意 |
9689 |
远程协助,运维终端与控制中心通信端口 |
|
6 |
TCP |
随机任意 |
80 |
客户端下载服务 |
|
7 |
TCP |
随机任意 |
19687 |
客户端采集文件的下载服务 |
|
8 |
HTTPS |
随机任意 |
443 |
网络违规外联取证服务 |
检查控制中心宿主机服务器防火墙状态,确保防火墙处于使用状态,如下图所示。
图4-11 防火墙启用状态
必须保证Linux系统防火墙处于启动状态后,再安装控制中心软件。
查看系统时间,确保使用中国时区(CST)和时间准确。
图4-12 查看系统时间
控制中心安装包为“zip”格式文件,使用“unzip”命令解压控制中心安装包到install目录下。
命令:
unzip SecCenterCSAPESM-IMW310-E6902P11.zip -d install
图4-13 解压控制中心安装包
如果系统未安装unzip命令,会提示未找到命令,如下图。
图4-14 系统未安装unzip
此时,请先安装unzip系统命令再解压控制中心安装包。
控制中心处于互联网时,通过在线安装unzip命令。
命令:yum install unzip
图4-15 在线安装unzip
控制中心处于内网时,从互联网开源镜像网站下载宿主机系统版本对应的unzip命令安装包,如Redhat 7.9对应unzip-6.0-22.el7_9.x86_64.rpm,将unzip命令安装包上传宿主机后执行安装。
命令:rpm -ivh unzip-6.0-22.el7_9.x86_64.rpm
图4-16 rpm命令安装unzip
或将控制中心安装包在Windows系统解压成一个目录,再将整个目录上传至宿主机。
在Redhat 7.9操作系统平台上,控制中心安装脚本支持一键式安装Docker环境软件(当服务器已经在运行Docker软件时不会重复安装)和控制中心软件。
(1) 进入解压目录
进入控制中心安装包解压目录。
命令:
cd install
图4-17 进入解压目录
查看解压目录文件。
命令:
ls -l
图4-18 查看解压目录
文件“install.sh”为控制中心安装脚本。
tools目录下存放取证服务器(一般可采用互联网上的缺省取证服务器,不用单独部署取证服务器)。
(2) 执行安装脚本
1.部署终端安全管理系统(团队版)时,执行安装脚本必须带有参数,安装脚本命令空格后带参数“--saas-mode=private”;
2.支持IPv4和IPv6网络工作,运行安装脚本带参数“--network-mode=both”;
3.安装脚本使用2个参数时,参数之间要有空格。
执行控制中心安装脚本,开始安装控制中心软件。
命令:
./install.sh --saas-mode=private --network-mode=both
图4-19 执行控制中心安装脚本
当配置的磁盘根分区“/”不足500G时,安装脚本弹出提示信息询问是否继续安装,如下图。
图4-20 提示系统根分区“/”不足
若仅是功能验证的测试场景,输入“Y”继续安装;若是产品交付场景请按照表2-1配置要求选择硬件配置并做好系统分区工作(要求根目录“/”占磁盘空间90%以上)。
当配置的磁盘根分区“/”大于 500G时,不会有磁盘不足的提示信息。
安装程序提示用户输入厂商信息,输入“h3c”,按确认键。
厂商信息“h3c”为小写字符,请注意关闭键盘大写锁定键后输入。
安装脚本执行过程中,请勿中断脚本运行。
图4-21 输入“h3c”
若输入错误请输入“Back Space”或“CTRL+ Back Space” 或“Shift+ Back Space”删除后重新输入。
输入控制中心所在的宿主机IP地址。
图4-22 输入宿主机IP地址
安装程序提示是否启用Docker内部通信使用的默认IP地址段,默认地址段为“10.233.233.233/27”。
如果宿主机或用户网络未使用该地址段,输入“y”键,继续安装。
图4-23 输入“y”确认
否则输入“N”指定Docker内部通信使用的IP网段,如下图所示。
图4-24 选择Docker网段
在上图中列出的地址段中,选择用户网络中未使用的地址段,例如输入“1”选择Docker使用“10.33.33.0/37”地址段。
确保分配给Docker使用的IP地址段与用户网络IP使用的地址段无冲突即可。
安装程序提示成功安装控制中心。
图4-25 成功安装控制中心
打开团队版控制中心的登录页面,默认的系统管理员登录信息如下。
· Web登录IP地址:https://控制中心ip:7443/
· 账户:admin
· 密码:admin
输入默认账户信息和验证码登录控制中心。
图4-26 登录控制中心WEB
首次登录admin账户,提示修改默认密码。
图4-27 修改登录密码
点击授权池查看控制中心的机器码,如下图所示。
图4-28 查看控制中心机器码
请联系新华三技术有限公司销售渠道获取终端安全管理系统(团队版)正式授权文件或临时测试授权文件。
完成部署后,可以直接登录团队版系统管理员。
· Web登录IP地址:https://控制中心ip:7443/
· 账户:admin
· 密码:admin
图4-29 团队版系统管理员视图
(1) 配置升级带宽
配置客户端、病毒库的升级带宽及心跳周期,并发在线升级的客户端最大值为1000个,单个终端升级时占用的最大带宽为100M,心跳周期配置在15秒~600秒之间。
使用系统管理员账户登录控制中心Web管理界面,选择“系统管理>全局参数”,显示升级带宽管理和心跳时间界面,配置好参数后点击<保存>按钮,如下图所示。
图4-30 配置升级带宽和客户端心跳时间
升级带宽设置太低时,客户端升级比较缓慢,升级带宽设置太高时,会占用过多的带宽资源。
设置终端数太低时,客户端整体升级比较缓慢,设置终端数太高时,会占用过多的带宽资源。
(2) 升级病毒库
为保证客户端能够及时更新到最新病毒库,需要在控制中心导入最新的病毒库升级包。
使用系统管理员账户登录控制中心Web管理界面,选择“系统管理>升级管理>病毒库升级”,显示病毒库升级界面,点击<上传并升级>按钮,选择最新的病毒库升级包导入控制中心,如下图所示。
图4-31 导入病毒库升级
(3) 配置管理中心IP地址/域名
在公网环境下,终端通过域名访问控制中心,需要配置管理中的域名地址,点击全局参数,在默认管理中心IP地址/域名配置项,选择自定义后输入域名,如下图所示。
图4-32 配置管理中心IP地址/域名
自定义管理中心IP地址/域名时,请输入控制中心实际域名地址代替“www.center.com”。
在登录页面点击<注册账户>按钮,根据向导注册团队管理员账号,如下图。
图4-33 点击<注册账号>
输入公司名称和地址信息,阅读并勾选“我同意”,点击<继续>按钮。
图4-34 输入公司信息
输入团队管理员账户和密码信息,点击<注册>按钮,如下图。
图4-35 输入租户管理员账号信息
请勿使用弱口令、牢记修改后的登录密码,并杜绝泄露。
页面租户注册需要使用团队管理员登录web系统并在“外部接口>远程运维接口>运维接口开关>页面注册租户”开启即可。
图4-36 注册成功提示
使用注册的团队管理员账号登录,如下图所示。
图4-37 租户管理员视图
在控制中心后台,root权限执行卸载命令:/etc/kvedr_server/uninstall
图4-38 输入“卸载控制中心命令”
卸载程序提示是否清除数据。
如果无需保留控制中心历史数据和策略配置,输入:y,否则输入:n
图4-39 输入“y”
卸载程序再次提示是否删除数据,输入:yes,按确认键;否则输入:no
图4-40 输入“yes”
卸载完成提示,如下图所示。
图4-41 卸载完成提示
完成控制中心卸载和清理数据后,无需重启操作系统即可重新部署控制中心。
团队管理员登录后,鼠标移至页面右上角的“团队PIN码”,显示出安装包下载,如下图所示。
图4-42 点击<批量安装部署>
显示客户端软件获取方式,如下图所示。
图4-43 客户端软件获取方式
将员工自助部署下载客户端的链接发送给团队成员,团队成员通过浏览器访问下载客户端,如下图所示。
图4-44 选择客户端程序下载
可以把下载的客户端程序,放入到公司内网共享文件服务器,或者内部网站等载体,提供下载。
注意!不要修改下载的客户端软件安装包名称。
当终端规模较大(万台以上终端规模),或者为保障控制中心高稳定性运行,要采用集群模式部署。
控制中心集群部署需要4台服务器搭建集群环境,1台服务器定义为成web角色服务器、3台服务器定义成data角色服务器。
控制中心集群服务器组成下图所示。
图5-1 控制中心集群服务器示意图
· web服务器:负责人机交互,提供管理员登录、查看和配置安全策略,将用户在页面完成的配置信息提交给data服务器存储;同时,web服务器将客户端发起的连接请求调度分配到3台data服务器之一建立连接 、将客户端连接负载均衡处理。
· data服务器:负责终端事务处理,对终端下发策略、接收终端上报的数据并处理,客户端被调度到某台data服务器后与这台data服务器建立TCP长连接,当这种长连接断开后客户端再次连接web服务器调度分配新的data服务器,data服务器由ES集群、Redis集群、kafka集群、节点(node)集群组成,要求至少2台data服务器运行才能使集群模式工作正常。
搭建控制中心服务器集群时,须先安装data服务器、再安装web服务器,否则会导致部署失败!
客户端访问集群服务器的大致工作流程如下图所示。
图5-2 客户端访问集群服务器流程示意图
控制中心集群部署安装时,推荐是独立操作系统,不安装其它业务应用。
1.必须使用root账户权限安装控制中心软件。
2.确保系统防火墙(firewalld服务)处于运行状态。
3.如果系统运行了Selinux服务,请将该功能关闭。
规划4台服务器,按照系统配置与安装章节要求完成操作系统安装,请注意磁盘分区注意事项。
在以下部署示例中,集群名称是“datacenter”,4台服务器的资源规划如下表5-1所示。
表5-1 控制中心集群4台服务器规划表
|
编号 |
角色 |
IPv4地址 |
IPv6地址 |
node值范围(1~255) |
redis主节点 |
|
1 |
web |
192.168.31.180 |
fd15:4ba5:5a2b:1009:a9c8:a31c:f16b:1180 |
180 |
不涉及 |
|
2 |
data |
192.168.31.181 |
fd15:4ba5:5a2b:1009:a9c8:a31c:f16b:1181 |
181 |
y |
|
3 |
192.168.31.182 |
fd15:4ba5:5a2b:1009:a9c8:a31c:f16b:1182 |
182 |
n |
|
|
4 |
192.168.31.183 |
fd15:4ba5:5a2b:1009:a9c8:a31c:f16b:1183 |
183 |
n |
将产品安装包拷贝到用户机Windows系统的任意目录并解压。
解压产品包后包含文件:
· SecCenterCSAPESM-IMW310-E6902P11.zip
· md5.txt
比对解压后SecCenterCSAPESM-IMW310-E6902P11.zip文件的md5值与md5.txt中给出的md5值是否一致。
图5-3 计算控制中心安装包MD5值
图5-4 比对MD5值
将产品部署包上传到4台集群服务器,并检查文件的哈希值,确保上传文件的完整性。
图5-5 文件哈希校验
1.产品部署包完整性被破坏会导致在解压过程或安装过程时遇到失败!
检查服务器磁盘分区划分,是否满足控制中心安装需求。
磁盘根分区“/”占用了几乎全部磁盘空间(达到90%以上),磁盘划分合理。
图5-6 查看磁盘分区
查看服务器内存,物理内存和交换内存都是32G,满足控制中心安装要求。
命令:
free -h
图5-7 查看服务器内存
虚拟环境下,分配给控制中心服务器的内存为32G,但使用命令显示的内存大小可能会比32G略小,这种情况下满足控制中心安装要求。
SELILNUX处于关闭状态,禁用SELILNUX开机自启动。
关闭SELILNUX命令:setenforce 0,关闭后SELILNUX状态显示“Permissive”或“Disabled”。
图5-8 关闭selinux
禁用SELILNUX开机启动,修改配置文件/etc/selinux/config,命令:vi /etc/selinux/config
图5-9 vi命令打开selinux配置
输入字符“i”进入编辑模式,将“SELINUX=enforce”修改成“SELINUX=disabled”,退出时输入冒号并在冒号后输入“wq!”保存配置。
图5-10 初始的selinux配置文件
图5-11 修改后的selinux配置文件
必须保证SELINUX的状态是“Permissive”或“Disabled”,否则会安装失败!
测试网络连通性,服务器到网关和DNS服务器通信正常。
图5-12 网络连通性测试
为确保客户端能够访问控制中心和WSUS补丁服务器,需要在网络防火墙设备处放行所需要的通信端口,控制中心服务端口列表如下。
表5-2 常规服务端口
|
编号 |
协议类型 |
客户端使用端口 |
控制中心使用端口 |
端口服务说明 |
|
1 |
HTTPS |
随机任意 |
9681 |
软件/病毒库升级服务 |
|
2 |
UDP |
随机任意 |
9683 |
系统调度服务 |
|
3 |
TCP |
随机任意 |
9685/9686 |
事务处理/云查服务 |
|
4 |
HTTP |
随机任意 |
9682 |
上报文件服务 |
|
5 |
HTTP |
随机任意 |
8530/8531 |
内网WSUS补丁服务(需要单独部署服务器) |
|
6 |
HTTPS |
随机任意 |
80/443 |
微软官方补丁服务(不需要单独部署) |
表5-3 其它服务端口
|
编号 |
协议类型 |
终端使用端口 |
控制中心使用端口 |
端口服务说明 |
|
5 |
HTTPS |
随机任意 |
7443 |
运维终端管理员登录服务器Web服务 |
|
6 |
HTTPS |
随机任意 |
8443 |
运维终端管理员对控制中心升级服务 |
|
7 |
HTTP |
随机任意 |
5080 |
运维终端管理员登录Web服务,非必须 |
|
8 |
TCP |
随机任意 |
9691/9692 |
远程协助,客户端与控制中心通信端口 |
|
9 |
TCP |
随机任意 |
9689 |
远程协助,运维终端与控制中心通信端口 |
|
10 |
TCP |
随机任意 |
80 |
终端访问控制中心下载客户端软件安装包 |
|
11 |
TCP |
随机任意 |
19687 |
客户端采集文件的下载服务 |
|
12 |
HTTPS |
随机任意 |
443 |
网络违规外联取证服务 |
检查控制中心宿主机服务器防火墙状态,确保防火墙处于使用状态,如下图所示。
图5-13 防火墙启用状态
必须保证Linux系统防火墙处于启动状态后,再安装控制中心软件。
查看系统时间,确保使用中国时区(CST)和时间准确,集群服务器系统时间一致。
图5-14 查看系统时间
搭建控制中心服务器集群时,须先安装data服务器、再安装web服务器,否则会导致部署失败!
控制中心安装包为“zip”格式文件,使用“unzip”命令解压控制中心安装包到install目录下。
命令:
unzip SecCenterCSAPESM-IMW310-E6902P11.zip -d install
图5-15 解压控制中心安装包
如果系统未安装unzip命令,会提示未找到命令,如下图。
图5-16 系统未安装unzip
此时,请先安装unzip系统命令再解压控制中心安装包。
控制中心处于互联网时,通过在线安装unzip命令。
命令:yum install unzip
图5-17 在线安装unzip
控制中心处于内网时,从互联网开源镜像网站下载宿主机系统版本对应的unzip命令安装包,如Redhat 7.9对应unzip-6.0-22.el7_9.x86_64.rpm,将unzip命令安装包上传宿主机后执行安装。
命令:rpm -ivh unzip-6.0-22.el7_9.x86_64.rpm
图5-18 rpm命令安装unzip
或将控制中心安装包在Windows系统解压成一个目录,再将整个目录上传至宿主机。
在Redhat 7.9操作系统平台上,控制中心安装脚本支持一键式安装Docker环境软件(当服务器已经在运行Docker软件时不会重复安装)和控制中心软件。
(1) 进入解压目录
进入控制中心安装包解压目录。
命令:
cd install
图5-19 进入解压目录
查看解压目录文件。
命令:
ls -l
图5-20 查看解压目录
文件“install.sh”为控制中心安装脚本。
tools目录下存放取证服务器(一般可采用互联网上的缺省取证服务器,不用单独部署取证服务器)。
(2) 执行安装脚本
在表5-1规划的data服务器执行控制中心安装脚本,开始安装控制中心软件。
1.部署集群版本时,运行安装脚本带参数“--cluster”
2.支持IPv4和IPv6网络,运行安装脚本带参数“--network-mode=both”
3. 须先安装data服务器、再安装web服务器,否则会导致部署失败!
4.安装启动服务阶段data角色3台服务器需要通信,请同时在3台data服务器上同时执行安装。
命令:
./install.sh --cluster --network-mode=both
图5-21 执行控制中心安装脚本
当配置的磁盘根分区“/”不足500G时,安装脚本弹出提示信息询问是否继续安装,如下图。
图5-22 提示系统根分区“/”不足
若仅是功能验证的测试场景,输入“Y”继续安装;若是产品交付场景请按照表2-1的要求选择硬件配置并做好系统分区工作(要求根目录“/”占磁盘空间90%以上)。
当配置的磁盘根分区“/”大于 500G时,不会有磁盘不足的提示信息。
控制中心安装程序会提示用户输入厂商信息,输入“h3c”,按确认键。
厂商信息“h3c”为小写字符,请注意关闭键盘大写锁定键后输入。
安装脚本执行过程中,请勿中断脚本运行。
图5-23 输入“h3c”
若输入错误请输入“Back Space”或“CTRL+ Back Space” 或“Shift+ Back Space”删除后重新输入。
安装程序提示是否启用Docker内部通信使用的默认IP地址段,默认地址段为“10.233.233.233/27”。
如果宿主机或用户网络未使用该地址段,输入“y”键,继续安装。
图5-24 输入“y”确认
否则输入“N” 指定Docker内部通信使用的IP网段,如下图所示。
图5-25 选择Docker网段
在上图中列出的地址段中,选择用户网络中未使用的地址段,例如输入“1”配置Docker内部网络使用“10.33.33.0/37”地址段。
确保分配给Docker使用的IP地址段与用户网络使用的IP地址段无冲突即可。
安装脚本程序提示选择集群服务器类型,输入“1”按确定键指定安装data角色类型的服务器。
图5-26 选“1”指定安装类型data
安全脚本程序提示是否将当前的服务器设置成主服务器,根据表5-1规划表,192.168.31.181服务器此项输入y、192.168.31.182和192.168.31.183此项输入n
只能将1台data服务器设置成Redis master node,否则会导致部署失败!
此集群部署示例将IP地址是192.168.31.181的服务器设置成Redis master node。
图5-27 IP地址192.168.31.181的服务器输入y
图5-28 IP地址192.168.31.182和192.168.31.183的服务器输入n
安装脚本提示选择集群配置项,选择序号进行配置,如下图。
图5-29 集群配置项
根据表5-1规划表,完成集群服务器配置。
[1] cluster_name (),data类型服务器集群起名,例如集群名称:datacenter
[2] all_node_ids (), data类型服务器集群3个节点ids,英文逗号分割,例如:181,182,183
[3] self_node_id (),data类型服务器集群当前节点id,例如:192.168.31.181服务器输入181、192.168.31.182服务器输入182、192.168.31.183服务器输入183
[4] all_node_ips (),data类型服务器集群3个节点的IPv4地址,英文逗号分割,例如:192.168.31.181,192.168.31.182,192.168.31.183
[5] self_node_ip (),data类型服务器集群当前节点的IPv4地址,例如:192.168.31.181或192.168.31.182或192.168.31.183
[6] redis_master_ip (),data类型服务器集群redis主服务器IPv4地址,例如:192.168.31.181
[7] web_address (),web服务器IPv4地址,例如:192.168.31.180
集群参数配置完成如下图所示。
图5-30 IP地址为192.168.31.181的服务器配置参数
图5-31 IP地址为192.168.31.182的服务器配置参数
图5-32 IP地址为192.168.31.183的服务器配置参数
请检查data类型服务器集群参数配置正确无误,否则会导致部署失败!
当3台data类型服务器集群参数配置正确,分别输入8进行下一步安装步骤。
图5-33 在3台data类型服务器安装脚本输入8继续安装
安装脚本提示输入客户端访问的IPv4地址,如下图所示。
图5-34 IP地址是192.168.31.181的服务器输入正确IPv4地址
图5-35 IP地址是192.168.31.182的服务器输入正确IPv4地址
图5-36 IP地址是192.168.31.183的服务器输入正确IPv4地址
当安装脚本使用参数“--network-mode=both”时还需输入客户端访问data服务器的IPv6地址。
否则,不需要输入客户端访问data服务器IPv6地址。
安装脚本提示输入客户端访问的IPv6地址,如下图所示.
图5-37 IP地址是192.168.31.181的服务器输入正确IPv6地址
图5-38 IP地址是192.168.31.182的服务器输入正确IPv6地址
图5-39 IP地址是192.168.31.183的服务器输入正确IPv6地址
安装脚本开始执行安装服务,等待3台data类型的服务器安装并运行服务,如下图所示。
图5-40 安装完成提示
(3) 初始化ES库
1.必须在3台data类型的服务器安装完成后运行初始化命令。
2.只在1台data类型的服务器上执行初始化命令,其他节点会自动同步。
选取1台data类型的服务器进行ES库进行初始化,例如选择192.168.31.181节点执行初始化,命令:
docker exec -t kvedr-elasticsearch /kvedr_storage/data/elasticsearch/init/init.sh 127.0.0.1 /dev/null
图5-41 选择192.168.31.181节点执行ES库初始化
初始化命令执行后第3行打印信息提示的error信息可忽略,如下图所示。
图5-42 忽略第3行的error信息
初始化命令完成如下图所示。
图5-43 完成ES库初始化
(4) 查看节点服务
查看ES容器使用的IP地址。
命令:docker inspect kvedr-elasticsearch | grep "IPAddress"
图5-44 查看ES容器使用的IP地址
上图显示ES容器使用的IP地址是:10.233.233.3
查看ES集群节点。
命令:curl -XGET http://10.233.233.3:9200/_cat/nodes?v
图5-45 查看ES集群节点
上图显示ES集群工作正常,192.168.31.181是ES集群的当前主节点。
(5) ES库备份
备份ES库时,只需要对其中一个节点进行备份,例如在IP地址是192.168.31.181的服务器备份。
命令:
docker exec -t kvedr-elasticsearch curl -XPUT http://127.0.0.1:9200/_slm/policy/auto_backup/_execute
图5-46 ES库备份命令
搭建控制中心服务器集群时,须先安装data服务器、再安装web服务器,否则会导致部署失败!
必须在data类型的服务器(192.168.31.181-192.168.31.183)所有安装步骤执行完成后(ES库备份完成之后),才能开始安装web服务器(192.168.31.180),否则可能部署失败!
(1) 进入解压目录
登录web服务器,控制中心安装包解压目录。
命令:
cd install
图5-47 进入解压目录
查看解压目录文件。
命令:
ls -l
图5-48 查看解压目录
文件“install.sh”为控制中心安装脚本。
tools目录下存放取证服务器(一般可采用互联网上的缺省取证服务器,不用单独部署取证服务器)。
(2) 执行安装脚本
在表5-1规划的web服务器上执行控制中心安装脚本,开始web服务器。
1.部署集群版本时,运行安装脚本带参数“--cluster”
2.支持IPv4和IPv6网络,运行安装脚本带参数“--network-mode=both”
3. 须先安装data服务器、再安装web服务器,否则会导致部署失败!
命令:
./install.sh --cluster --network-mode=both
图5-49 执行控制中心安装脚本
当配置的磁盘根分区“/”不足500G时,安装脚本弹出提示信息询问是否继续安装,如下图。
图5-50 提示系统根分区“/”不足
若仅是功能验证的测试场景,输入“Y”继续安装;若是产品交付场景请按照表2-1的要求选择硬件配置并做好系统分区工作(要求根目录“/”占磁盘空间90%以上)。
当配置的磁盘根分区“/”大于 500G时,不会有磁盘不足的提示信息。
控制中心安装程序会提示用户输入厂商信息,输入“h3c”,按确认键。
厂商信息“h3c”为小写字符,请注意关闭键盘大写锁定键后输入。
安装脚本执行过程中,请勿中断脚本运行。
图5-51 输入“h3c”
若输入错误请输入“Back Space”或“CTRL+ Back Space” 或“Shift+ Back Space”删除后重新输入。
安装程序提示是否启用Docker内部通信使用的默认IP地址段,默认地址段为“10.233.233.233/27”。
如果宿主机或用户网络未使用该地址段,输入“y”键,继续安装。
图5-52 输入“y”确认
否则输入“N” 指定Docker内部通信使用的IP网段,如下图所示。
图5-53 选择Docker网段
在上图中列出的地址段中,选择用户网络中未使用的地址段,例如输入“1”配置Docker内部网络使用“10.33.33.0/37”地址段。
确保分配给Docker使用的IP地址段与用户网络使用的IP地址段无冲突即可。
安装脚本程序提示选择集群服务器类型,输入“2”按确定键指定安装web角色类型的服务器。
图5-54 输入2指定安装web服务
选择1后输入3个data类型服务器IPv4地址,如下图。
图5-55 输入data类型服务器IPv4地址
data服务器IP地址之间使用英文逗号分割。
完成对web服务指定data服务器IPv4地址后,如下图所示。
图5-56 完成data_addresses配置
输入2开始安装web服务,如下图。
图5-57 输入2开始安装web服务
Web服务安装完成,如下图所示。
图5-58 web服务安装完成
当客户端访问集群服务器没有经过目的NAT转换时可忽略以下配置步骤。
当客户端访问集群服务器经过目的NAT转换时且NAT对外只有一个IP地址时需配置以下步骤。
例如,集群服务器(192.168.31.180-192.168.31.183)为位于私有网络,终端经过互联经过访问NAT设备进行地址端口转换后才能访问集群服务器,如下图所示。
图5-59 集群服务器位于NAT设备内侧,NAT设备对外提供单IP地址
登录data类型服务器的node2(192.168.31.182),进入目录/kvedr_compose,修改up.sh文件。
图5-60 编辑up.sh文件前
删除“node”和“filetransfer”字段,编辑完成如下图所示。
图5-61 编辑up.sh文件后
执行down.sh脚本,命令:./down.sh
图5-62 执行down.sh
执行up.sh脚本,命令:./up.sh
图5-63 执行up.sh
同样的方法,登录data类型服务器的node3(192.168.31.183),进入目录/kvedr_compose,修改up.sh文件,并运行down.sh和up.sh命令。
安装集群服务后,缺省对网络任意节点开放9200、9300服务端口,需要对ES服务端口访问做安全加固,限定只有web服务器和data类型集群节点之间能够互相访问,对外关闭ES服务,否则存在巨大安全隐患!
本加固示例中用到的IP地址是集群服务器的IP地址,请在配置安全加固规则时替换成实际分配的IP地址。
安全加固步骤:
步骤一:生成开机启动防火墙加固脚本
进入宿主机系统启动项目录:cd /etc/rc.d/
图5-64 进入宿主机系统启动项目录
创建文件,命令:touch kvedr_docker_sec.sh
图5-65 创建文件kvedr_docker_sec.sh
对文件kvedr_docker_sec.sh设置执行权限。
命令:chmod +x kvedr_docker_sec.sh
图5-66 对文件kvedr_docker_sec.sh设置执行权限
编辑防火墙脚本:vedr_docker_sec.sh
按“i”,进入编辑。
防火强脚本文件添加如下内容:
|
#!/bin/bash
flag=true while $flag do systemctl status docker | grep "running" &>/dev/null if [ $? -eq 0 ] then iptables -I DOCKER-USER -i eth0 -p tcp --dport 9200 -j DROP iptables -I DOCKER-USER -i eth0 -p tcp --dport 9300 -j DROP iptables -I DOCKER-USER -i eth0 -p tcp --dport 6379 -j DROP iptables -I DOCKER-USER -i eth0 -p tcp --dport 2128 -j DROP iptables -I DOCKER-USER -i eth0 -p tcp --dport 2888 -j DROP iptables -I DOCKER-USER -i eth0 -p tcp --dport 3888 -j DROP iptables -I DOCKER-USER -i eth0 -p tcp --dport 26379 -j DROP iptables -I DOCKER-USER -i eth0 -p tcp --dport 9684 -j DROP iptables -I DOCKER-USER -i eth0 -p tcp --dport 9687 -j DROP iptables -I DOCKER-USER -i eth0 -p tcp --dport 9688 -j DROP iptables -I DOCKER-USER -i eth0 -p tcp --dport 9690 -j DROP
iptables -I DOCKER-USER -i eth0 -s 192.168.31.180 -j ACCEPT iptables -I DOCKER-USER -i eth0 -s 192.168.31.181 -j ACCEPT iptables -I DOCKER-USER -i eth0 -s 192.168.31.182 -j ACCEPT iptables -I DOCKER-USER -i eth0 -s 192.168.31.183 -j ACCEPT
flag=false
else sleep 10
fi done |
图5-67 kvedr_docker_sec.sh文件内容
1. 其中网卡eth0:为当前服务器对外IP的网卡名称,命令“ip addr”可进行查看。
2.需要根据服务器显示的网卡名称替换安全加固脚本文件网卡名称字段,需要将实际IP地址替换安全加固脚本文件中的IP地址。
3.对4台集群服务器做相同的安全加固。
步骤二:执行防火墙加固脚本
在/etc/rc.d目录执行防火墙加固脚本,命令:./kvedr_docker_sec.sh
图5-68 执行防火墙加固脚本命令
步骤三:设置开机运行安全加固脚本
将安全加固脚本文件添加到开机启动项,修改文件/etc/rc.d/rc.local,命令:vi rc.local
按“i”,进入编辑,在文件后面添加防火墙加固脚本命令路径:/etc/rc.d/kvedr_docker_sec.sh
图5-69 将防火墙脚本文件添加到开机启动项
打开浏览器,地址栏输入“https://web服务器IP:7443”,如输入“https://192.168.31.180:7443”打开控制中心Web登录管理界面,显示导入授权信息,如下图所示。
图5-70 导入授权文件提示
使用手机APP扫一扫功能扫描图片二维码,或互联网环境下点击“License使用指南”链接打开授权文件使用指南,依据授权文件使用指南获取授权文件。
点击<导入授权>按钮,在弹出的页面选择授权文件,“导入后自动绑定到根分组”保持默认的勾选状态,点击<确定>按钮,如下图所示。
图5-71 选择授权文件导入
请妥善备份保存授权文件。
导入授权文件后,页面自动刷新提示输入登录账户信息,如下图所示。
图5-72 控制中心登录界面
系统内置的默认账户和密码信息。
· Web登录IP地址:https://web服务器ip:7443/
· 账户:admin
· 密码:admin
输入默认账户信息和验证码登录控制中心,首次登录admin账户,提示修改默认密码。
图5-73 修改登录密码
登录admin账户后,Web页面如下图所示。
图5-74 管理员视图
首次登录时,系统会要求用户立即修改缺省登录密码,请勿使用弱口令、牢记修改后的登录密码,并杜绝泄露。
配置客户端、病毒库的升级带宽及心跳周期,系统支持的并发在线升级的客户端最大值为1000个,单个终端升级时占用的最大带宽为100M,心跳周期配置在15秒~600秒之间。
使用系统管理员账户登录控制中心Web管理界面,选择“系统管理>全局参数”,显示升级带宽管理和心跳时间界面,配置好参数后点击<保存>按钮,如下图所示。
图5-75 配置升级带宽和客户端心跳时间
升级带宽设置太低时,客户端升级比较缓慢,升级带宽设置太高时,会占用过多的带宽资源。
设置终端数太低时,客户端整体升级比较缓慢,设置终端数太高时,会占用过多的带宽资源。
为保证客户端能够及时更新到最新的病毒库,需要在控制中心导入最新的病毒库升级包和人工智能模型,以便客户端连通控制中心时更新病毒库。
使用系统管理员账户登录控制中心Web管理界面,选择“系统管理>升级管理>病毒库升级”,显示病毒库升级界面,点击<上传并升级>按钮,分别选择最新的病毒库升级包和人工智能模型导入控制中心,如下图所示。
图5-76 导入病毒库升级
在控制中心后台,root权限执行卸载命令:/etc/kvedr_server/uninstall
图5-77 输入“卸载控制中心命令”
卸载程序提示是否清除数据。
如果无需保留控制中心历史数据和策略配置,输入:y,否则输入:n
图5-78 输入“y”
卸载程序再次提示是否删除数据,输入:yes,按确认键;否则输入:no
图5-79 输入“yes”
卸载完成提示,如下图所示。
图5-80 卸载完成提示
完成控制中心卸载和清理数据后,无需重启操作系统即可重新部署控制中心。
打开浏览器,在地址栏输入“控制中心IP”或输入“https://WEB服务器IP”,打开客户端下载页面,选择客户端点击<下载>按钮,下载客户端程序。
注意!不要修改下载后的客户端软件安装包名称。
图5-81 选择下载客户端
安管一体机集成环境中安装终端安全管理系统时,需登录终端安全管理页面,打开系统管理>全局参数,将<默认管理中心IP地址/域名>配置项选择自定义、输入终端安全管理系统的IP地址。
可以把下载的客户端程序,放入到公司内网共享文件服务器,或者内部网站等载体,提供下载。
注意!不要修改下载的客户端软件安装包名称。
当终端规模较大(万台以上终端规模),或者为保障控制中心高稳定性运行,要采用集群模式部署。
控制中心集群部署需要4台服务器搭建集群环境,1台服务器定义为成web角色服务器、3台服务器定义成data角色服务器。
控制中心集群服务器组成下图所示。
图6-1 控制中心集群服务器示意图
· web服务器:负责人机交互,提供管理员登录、查看和配置安全策略,将用户在页面完成的配置信息提交给data服务器存储;同时,web服务器将客户端发起的连接请求调度分配到3台data服务器之一建立连接 、将客户端连接负载均衡处理。
· data服务器:负责终端事务处理,对终端下发策略、接收终端上报的数据并处理,客户端被调度到某台data服务器后与这台data服务器建立TCP长连接,当这种长连接断开后客户端再次连接web服务器调度分配新的data服务器,data服务器由ES集群、Redis集群、kafka集群、节点(node)集群组成,要求至少2台data服务器运行才能使集群模式工作正常。
搭建控制中心服务器集群时,须先安装data服务器、再安装web服务器,否则会导致部署失败!
客户端访问集群服务器的大致工作流程如下图所示。
图6-2 客户端访问集群服务器流程示意图
控制中心集群部署安装时,推荐是独立操作系统,不安装其它业务应用。
1.必须使用root账户权限安装控制中心软件。
2.确保系统防火墙(firewalld服务)处于运行状态。
3.如果系统运行了Selinux服务,请将该功能关闭。
规划4台服务器,按照系统配置与安装章节要求完成操作系统安装,请注意磁盘分区注意事项。
在以下部署示例中,集群名称是“datacenter”,4台服务器的资源规划如下表5-1所示。
表6-1 控制中心集群4台服务器规划表
|
编号 |
角色 |
IPv4地址 |
IPv6地址 |
node值范围(1~255) |
redis主节点 |
|
1 |
web |
192.168.31.180 |
fd15:4ba5:5a2b:1009:a9c8:a31c:f16b:1180 |
180 |
不涉及 |
|
2 |
data |
192.168.31.181 |
fd15:4ba5:5a2b:1009:a9c8:a31c:f16b:1181 |
181 |
y |
|
3 |
192.168.31.182 |
fd15:4ba5:5a2b:1009:a9c8:a31c:f16b:1182 |
182 |
n |
|
|
4 |
192.168.31.183 |
fd15:4ba5:5a2b:1009:a9c8:a31c:f16b:1183 |
183 |
n |
将产品安装包拷贝到用户机Windows系统的任意目录并解压。
解压产品包后包含文件:
· SecCenterCSAPESM-IMW310-E6902P11.zip
· md5.txt
比对解压后SecCenterCSAPESM-IMW310-E6902P11.zip文件的md5值与md5.txt中给出的md5值是否一致。
图6-3 计算控制中心安装包MD5值
图6-4 比对MD5值
将产品部署包上传到4台集群服务器,并检查文件的哈希值,确保上传文件的完整性。
图6-5 文件哈希校验
1.产品部署包完整性被破坏会导致在解压过程或安装过程时遇到失败!
检查服务器磁盘分区划分,是否满足控制中心安装需求。
磁盘根分区“/”占用了几乎全部磁盘空间(达到90%以上),磁盘划分合理。
图6-6 查看磁盘分区
查看服务器内存,物理内存和交换内存都是32G,满足控制中心安装要求。
命令:
free -h
图6-7 查看服务器内存
虚拟环境下,分配给控制中心服务器的内存为32G,但使用命令显示的内存大小可能会比32G略小,这种情况下满足控制中心安装要求。
SELILNUX处于关闭状态,禁用SELILNUX开机自启动。
关闭SELILNUX命令:setenforce 0,关闭后SELILNUX状态显示“Permissive”或“Disabled”。
图6-8 关闭selinux
禁用SELILNUX开机启动,修改配置文件/etc/selinux/config,命令:vi /etc/selinux/config
图6-9 vi命令打开selinux配置
输入字符“i”进入编辑模式,将“SELINUX=enforce”修改成“SELINUX=disabled”,退出时输入冒号并在冒号后输入“wq!”保存配置。
图6-10 初始的selinux配置文件
图6-11 修改后的selinux配置文件
必须保证SELINUX的状态是“Permissive”或“Disabled”,否则会安装失败!
测试网络连通性,服务器到网关和DNS服务器通信正常。
图6-12 网络连通性测试
为确保客户端能够访问控制中心和WSUS补丁服务器,需要在网络防火墙设备处放行所需要的通信端口,控制中心服务端口列表如下。
表6-2 常规服务端口
|
编号 |
协议类型 |
客户端使用端口 |
控制中心使用端口 |
端口服务说明 |
|
7 |
HTTPS |
随机任意 |
9681 |
软件/病毒库升级服务 |
|
8 |
UDP |
随机任意 |
9683 |
系统调度服务 |
|
9 |
TCP |
随机任意 |
9685/9686 |
事务处理/云查服务 |
|
10 |
HTTP |
随机任意 |
9682 |
上报文件服务 |
|
11 |
HTTP |
随机任意 |
8530/8531 |
内网WSUS补丁服务(需要单独部署服务器) |
|
12 |
HTTPS |
随机任意 |
80/443 |
微软官方补丁服务(不需要单独部署) |
表6-3 其它服务端口
|
编号 |
协议类型 |
终端使用端口 |
控制中心使用端口 |
端口服务说明 |
|
5 |
HTTPS |
随机任意 |
7443 |
运维终端管理员登录服务器Web服务 |
|
6 |
HTTPS |
随机任意 |
8443 |
运维终端管理员对控制中心升级服务 |
|
7 |
HTTP |
随机任意 |
5080 |
运维终端管理员登录Web服务,非必须 |
|
8 |
TCP |
随机任意 |
9691/9692 |
远程协助,客户端与控制中心通信端口 |
|
9 |
TCP |
随机任意 |
9689 |
远程协助,运维终端与控制中心通信端口 |
|
10 |
TCP |
随机任意 |
80 |
终端访问控制中心下载客户端软件安装包 |
|
11 |
TCP |
随机任意 |
19687 |
客户端采集文件的下载服务 |
|
12 |
HTTPS |
随机任意 |
443 |
网络违规外联取证服务 |
检查控制中心宿主机服务器防火墙状态,确保防火墙处于使用状态,如下图所示。
图6-13 防火墙启用状态
必须保证Linux系统防火墙处于启动状态后,再安装控制中心软件。
查看系统时间,确保使用中国时区(CST)和时间准确,集群服务器系统时间一致。
图6-14 查看系统时间
搭建控制中心服务器集群时,须先安装data服务器、再安装web服务器,否则会导致部署失败!
控制中心安装包为“zip”格式文件,使用“unzip”命令解压控制中心安装包到install目录下。
命令:
unzip SecCenterCSAPESM-IMW310-E6902P11.zip -d install
图6-15 解压控制中心安装包
如果系统未安装unzip命令,会提示未找到命令,如下图。
图6-16 系统未安装unzip
此时,请先安装unzip系统命令再解压控制中心安装包。
控制中心处于互联网时,通过在线安装unzip命令。
命令:yum install unzip
图6-17 在线安装unzip
控制中心处于内网时,从互联网开源镜像网站下载宿主机系统版本对应的unzip命令安装包,如Redhat 7.9对应unzip-6.0-22.el7_9.x86_64.rpm,将unzip命令安装包上传宿主机后执行安装。
命令:rpm -ivh unzip-6.0-22.el7_9.x86_64.rpm
图6-18 rpm命令安装unzip
或将控制中心安装包在Windows系统解压成一个目录,再将整个目录上传至宿主机。
在Redhat 7.9操作系统平台上,控制中心安装脚本支持一键式安装Docker环境软件(当服务器已经在运行Docker软件时不会重复安装)和控制中心软件。
(1) 进入解压目录
进入控制中心安装包解压目录。
命令:
cd install
图6-19 进入解压目录
查看解压目录文件。
命令:
ls -l
图6-20 查看解压目录
文件“install.sh”为控制中心安装脚本。
tools目录下存放取证服务器(一般可采用互联网上的缺省取证服务器,不用单独部署取证服务器)。
(2) 执行安装脚本
在表5-1规划的data服务器执行控制中心安装脚本,开始安装控制中心软件。
1.部署终端安全管理平台团队版,安装脚本命令空格后带参数“--saas-mode=private”
2.部署集群版本时,运行安装脚本带参数“--cluster”
3.支持IPv4和IPv6网络,运行安装脚本带参数“--network-mode=both”
4. 须先安装data服务器、再安装web服务器,否则会导致部署失败!
5.安装启动服务阶段data角色3台服务器需要通信,请同时在3台data服务器上同时执行安装。
命令:
./install.sh --saas-mode=private --cluster --network-mode=both
图6-21 执行控制中心安装脚本
当配置的磁盘根分区“/”不足500G时,安装脚本弹出提示信息询问是否继续安装,如下图。
图6-22 提示系统根分区“/”不足
若仅是功能验证的测试场景,输入“Y”继续安装;若是产品交付场景请按照表2-1的要求选择硬件配置并做好系统分区工作(要求根目录“/”占磁盘空间90%以上)。
当配置的磁盘根分区“/”大于 500G时,不会有磁盘不足的提示信息。
控制中心安装程序会提示用户输入厂商信息,输入“h3c”,按确认键。
厂商信息“h3c”为小写字符,请注意关闭键盘大写锁定键后输入。
安装脚本执行过程中,请勿中断脚本运行。
图6-23 输入“h3c”
若输入错误请输入“Back Space”或“CTRL+ Back Space” 或“Shift+ Back Space”删除后重新输入。
安装程序提示是否启用Docker内部通信使用的默认IP地址段,默认地址段为“10.233.233.233/27”。
如果宿主机或用户网络未使用该地址段,输入“y”键,继续安装。
图6-24 输入“y”确认
否则输入“N” 指定Docker内部通信使用的IP网段,如下图所示。
图6-25 选择Docker网段
在上图中列出的地址段中,选择用户网络中未使用的地址段,例如输入“1”配置Docker内部网络使用“10.33.33.0/37”地址段。
确保分配给Docker使用的IP地址段与用户网络使用的IP地址段无冲突即可。
安装脚本程序提示选择集群服务器类型,输入“1”按确定键指定安装data角色类型的服务器。
图6-26 选“1”指定安装类型data
安全脚本程序提示是否将当前的服务器设置成主服务器,根据表5-1规划表,192.168.31.181服务器此项输入y、192.168.31.182和192.168.31.183此项输入n
只能将1台data服务器设置成Redis master node,否则会导致部署失败!
此集群部署示例将IP地址是192.168.31.181的服务器设置成Redis master node。
图6-27 IP地址192.168.31.181的服务器输入y
图6-28 IP地址192.168.31.182和192.168.31.183的服务器输入n
安装脚本提示选择集群配置项,选择序号进行配置,如下图。
图6-29 集群配置项
根据表5-1规划表,完成集群服务器配置。
[1] cluster_name (),data类型服务器集群起名,例如集群名称:datacenter
[2] all_node_ids (), data类型服务器集群3个节点ids,英文逗号分割,例如:181,182,183
[3] self_node_id (),data类型服务器集群当前节点id,例如:192.168.31.181服务器输入181、192.168.31.182服务器输入182、192.168.31.183服务器输入183
[4] all_node_ips (),data类型服务器集群3个节点的IPv4地址,英文逗号分割,例如:192.168.31.181,192.168.31.182,192.168.31.183
[5] self_node_ip (),data类型服务器集群当前节点的IPv4地址,例如:192.168.31.181或192.168.31.182或192.168.31.183
[6] redis_master_ip (),data类型服务器集群redis主服务器IPv4地址,例如:192.168.31.181
[7] web_address (),web服务器IPv4地址,例如:192.168.31.180
集群参数配置完成如下图所示。
图6-30 IP地址为192.168.31.181的服务器配置参数
图6-31 IP地址为192.168.31.182的服务器配置参数
图6-32 IP地址为192.168.31.183的服务器配置参数
请检查data类型服务器集群参数配置正确无误,否则会导致部署失败!
当3台data类型服务器集群参数配置正确,分别输入8进行下一步安装步骤。
图6-33 在3台data类型服务器安装脚本输入8继续安装
安装脚本提示输入客户端访问的IPv4地址,如下图所示。
图6-34 IP地址是192.168.31.181的服务器输入正确IPv4地址
图6-35 IP地址是192.168.31.182的服务器输入正确IPv4地址
图6-36 IP地址是192.168.31.183的服务器输入正确IPv4地址
当安装脚本使用参数“--network-mode=both”时还需输入客户端访问data服务器的IPv6地址。
否则,不需要输入客户端访问data服务器IPv6地址。
安装脚本提示输入客户端访问的IPv6地址,如下图所示.
图6-37 IP地址是192.168.31.181的服务器输入正确IPv6地址
图6-38 IP地址是192.168.31.182的服务器输入正确IPv6地址
图6-39 IP地址是192.168.31.183的服务器输入正确IPv6地址
安装脚本开始执行安装服务,等待3台data类型的服务器安装并运行服务,如下图所示。
图6-40 安装完成提示
(3) 初始化ES库
1.必须在3台data类型的服务器安装完成后运行初始化命令。
2.只在1台data类型的服务器上执行初始化命令,其他节点会自动同步。
选取1台data类型的服务器进行ES库进行初始化,例如选择192.168.31.181节点执行初始化,命令:
docker exec -t kvedr-elasticsearch /kvedr_storage/data/elasticsearch/init/init.sh 127.0.0.1 /dev/null
图6-41 选择192.168.31.181节点执行ES库初始化
初始化命令执行后第3行打印信息提示的error信息可忽略,如下图所示。
图6-42 忽略第3行的error信息
初始化命令完成如下图所示。
图6-43 完成ES库初始化
(4) 查看节点服务
查看ES容器使用的IP地址。
命令:docker inspect kvedr-elasticsearch | grep "IPAddress"
图6-44 查看ES容器使用的IP地址
上图显示ES容器使用的IP地址是:10.233.233.3
查看ES集群节点。
命令:curl -XGET http://10.233.233.3:9200/_cat/nodes?v
图6-45 查看ES集群节点
上图显示ES集群工作正常,192.168.31.181是ES集群的当前主节点。
(5) ES库备份
备份ES库时,只需要对其中一个节点进行备份,例如在IP地址是192.168.31.181的服务器备份。
命令:
docker exec -t kvedr-elasticsearch curl -XPUT http://127.0.0.1:9200/_slm/policy/auto_backup/_execute
图6-46 ES库备份命令
搭建控制中心服务器集群时,须先安装data服务器、再安装web服务器,否则会导致部署失败!
必须在data类型的服务器(192.168.31.181-192.168.31.183)所有安装步骤执行完成后(ES库备份完成之后),才能开始安装web服务器(192.168.31.180),否则可能部署失败!
(1) 进入解压目录
登录web服务器,控制中心安装包解压目录。
命令:
cd install
图6-47 进入解压目录
查看解压目录文件。
命令:
ls -l
图6-48 查看解压目录
文件“install.sh”为控制中心安装脚本。
tools目录下存放取证服务器(一般可采用互联网上的缺省取证服务器,不用单独部署取证服务器)。
(2) 执行安装脚本
在表5-1规划的web服务器上执行控制中心安装脚本,开始web服务器。
1.部署集群版本时,运行安装脚本带参数“--cluster”
2.支持IPv4和IPv6网络,运行安装脚本带参数“--network-mode=both”
3. 须先安装data服务器、再安装web服务器,否则会导致部署失败!
命令:
./install.sh --saas-mode=private --cluster --network-mode=both
图6-49 执行控制中心安装脚本
当配置的磁盘根分区“/”不足500G时,安装脚本弹出提示信息询问是否继续安装,如下图。
图6-50 提示系统根分区“/”不足
若仅是功能验证的测试场景,输入“Y”继续安装;若是产品交付场景请按照表2-1的要求选择硬件配置并做好系统分区工作(要求根目录“/”占磁盘空间90%以上)。
当配置的磁盘根分区“/”大于 500G时,不会有磁盘不足的提示信息。
控制中心安装程序会提示用户输入厂商信息,输入“h3c”,按确认键。
厂商信息“h3c”为小写字符,请注意关闭键盘大写锁定键后输入。
安装脚本执行过程中,请勿中断脚本运行。
图6-51 输入“h3c”
若输入错误请输入“Back Space”或“CTRL+ Back Space” 或“Shift+ Back Space”删除后重新输入。
安装程序提示是否启用Docker内部通信使用的默认IP地址段,默认地址段为“10.233.233.233/27”。
如果宿主机或用户网络未使用该地址段,输入“y”键,继续安装。
图6-52 输入“y”确认
否则输入“N” 指定Docker内部通信使用的IP网段,如下图所示。
图6-53 选择Docker网段
在上图中列出的地址段中,选择用户网络中未使用的地址段,例如输入“1”配置Docker内部网络使用“10.33.33.0/37”地址段。
确保分配给Docker使用的IP地址段与用户网络使用的IP地址段无冲突即可。
安装脚本程序提示选择集群服务器类型,输入“2”按确定键指定安装web角色类型的服务器。
图6-54 输入2指定安装web服务
选择1后输入3个data类型服务器IPv4地址,如下图。
图6-55 输入data类型服务器IPv4地址
data服务器IP地址之间使用英文逗号分割。
完成对web服务指定data服务器IPv4地址后,如下图所示。
图6-56 完成data_addresses配置
输入2开始安装web服务,如下图。
图6-57 输入2开始安装web服务
Web服务安装完成,如下图所示。
图6-58 web服务安装完成
当客户端访问集群服务器没有经过目的NAT转换时可忽略以下配置步骤。
当客户端访问集群服务器经过目的NAT转换时且NAT对外只有一个IP地址时需配置以下步骤。
例如,集群服务器(192.168.31.180-192.168.31.183)为位于私有网络,终端经过互联经过访问NAT设备进行地址端口转换后才能访问集群服务器,如下图所示。
图6-59 集群服务器位于NAT设备内侧,NAT设备对外提供单IP地址
登录data类型服务器的node2(192.168.31.182),进入目录/kvedr_compose,修改up.sh文件。
图6-60 编辑up.sh文件前
删除“node”和“filetransfer”字段,编辑完成如下图所示。
图6-61 编辑up.sh文件后
执行down.sh脚本,命令:./down.sh
图6-62 执行down.sh
执行up.sh脚本,命令:./up.sh
图6-63 执行up.sh
同样的方法,登录data类型服务器的node3(192.168.31.183),进入目录/kvedr_compose,修改up.sh文件,并运行down.sh和up.sh命令。
安装集群服务后,缺省对网络任意节点开放9200、9300服务端口,需要对ES服务端口访问做安全加固,限定只有web服务器和data类型集群节点之间能够互相访问,对外关闭ES服务,否则存在巨大安全隐患!
本加固示例中用到的IP地址是集群服务器的IP地址,请在配置安全加固规则时替换成实际分配的IP地址。
安全加固步骤:
步骤一:生成开机启动防火墙加固脚本
进入宿主机系统启动项目录:cd /etc/rc.d/
图6-64 进入宿主机系统启动项目录
创建文件,命令:touch kvedr_docker_sec.sh
图6-65 创建文件kvedr_docker_sec.sh
对文件kvedr_docker_sec.sh设置执行权限。
命令:chmod +x kvedr_docker_sec.sh
图6-66 对文件kvedr_docker_sec.sh设置执行权限
编辑防火墙脚本:vedr_docker_sec.sh
按“i”,进入编辑。
防火强脚本文件添加如下内容:
|
#!/bin/bash
flag=true while $flag do systemctl status docker | grep "running" &>/dev/null if [ $? -eq 0 ] then iptables -I DOCKER-USER -i eth0 -p tcp --dport 9200 -j DROP iptables -I DOCKER-USER -i eth0 -p tcp --dport 9300 -j DROP iptables -I DOCKER-USER -i eth0 -p tcp --dport 6379 -j DROP iptables -I DOCKER-USER -i eth0 -p tcp --dport 2128 -j DROP iptables -I DOCKER-USER -i eth0 -p tcp --dport 2888 -j DROP iptables -I DOCKER-USER -i eth0 -p tcp --dport 3888 -j DROP iptables -I DOCKER-USER -i eth0 -p tcp --dport 26379 -j DROP iptables -I DOCKER-USER -i eth0 -p tcp --dport 9684 -j DROP iptables -I DOCKER-USER -i eth0 -p tcp --dport 9687 -j DROP iptables -I DOCKER-USER -i eth0 -p tcp --dport 9688 -j DROP iptables -I DOCKER-USER -i eth0 -p tcp --dport 9690 -j DROP
iptables -I DOCKER-USER -i eth0 -s 192.168.31.180 -j ACCEPT iptables -I DOCKER-USER -i eth0 -s 192.168.31.181 -j ACCEPT iptables -I DOCKER-USER -i eth0 -s 192.168.31.182 -j ACCEPT iptables -I DOCKER-USER -i eth0 -s 192.168.31.183 -j ACCEPT
flag=false
else sleep 10
fi done |
图6-67 kvedr_docker_sec.sh文件内容
1. 其中网卡eth0:为当前服务器对外IP的网卡名称,命令“ip addr”可进行查看。
2.需要根据服务器显示的网卡名称替换安全加固脚本文件网卡名称字段,需要将实际IP地址替换安全加固脚本文件中的IP地址。
3.对4台集群服务器做相同的安全加固。
步骤二:执行防火墙加固脚本
在/etc/rc.d目录执行防火墙加固脚本,命令:./kvedr_docker_sec.sh
图6-68 执行防火墙加固脚本命令
步骤三:设置开机运行安全加固脚本
将安全加固脚本文件添加到开机启动项,修改文件/etc/rc.d/rc.local,命令:vi rc.local
按“i”,进入编辑,在文件后面添加防火墙加固脚本命令路径:/etc/rc.d/kvedr_docker_sec.sh
图6-69 将防火墙脚本文件添加到开机启动项
打开团队版控制中心的登录页面,默认的系统管理员登录信息如下。
· Web登录IP地址:https://web服务器ip:7443/
· 账户:admin
· 密码:admin
输入默认账户信息和验证码登录控制中心。
图6-70 登录控制中心WEB
首次登录admin账户,提示修改默认密码。
图6-71 修改登录密码
点击授权池查看控制中心的机器码,如下图所示。
图6-72 查看控制中心机器码
请联系新华三技术有限公司销售渠道获取终端安全管理系统(团队版)正式授权文件或临时测试授权文件。
完成部署后,可以直接登录团队版系统管理员。
· Web登录IP地址:https://web服务器ip:7443/
· 账户:admin
· 密码:admin
图6-73 团队版系统管理员视图
(2) 配置升级带宽
配置客户端、病毒库的升级带宽及心跳周期,并发在线升级的客户端最大值为1000个,单个终端升级时占用的最大带宽为100M,心跳周期配置在15秒~600秒之间。
使用系统管理员账户登录控制中心Web管理界面,选择“系统管理>全局参数”,显示升级带宽管理和心跳时间界面,配置好参数后点击<保存>按钮,如下图所示。
图6-74 配置升级带宽和客户端心跳时间
升级带宽设置太低时,客户端升级比较缓慢,升级带宽设置太高时,会占用过多的带宽资源。
设置终端数太低时,客户端整体升级比较缓慢,设置终端数太高时,会占用过多的带宽资源。
(3) 升级病毒库
为保证客户端能够及时更新到最新病毒库,需要在控制中心导入最新的病毒库升级包。
使用系统管理员账户登录控制中心Web管理界面,选择“系统管理>升级管理>病毒库升级”,显示病毒库升级界面,点击<上传并升级>按钮,选择最新的病毒库升级包导入控制中心,如下图所示。
图6-75 导入病毒库升级
(4) 配置管理中心IP地址/域名
在公网环境下,终端通过域名访问控制中心,需要配置管理中的域名地址,点击全局参数,在默认管理中心IP地址/域名配置项,选择自定义后输入域名,如下图所示。
图6-76 配置管理中心IP地址/域名
自定义管理中心IP地址/域名时,请输入控制中心实际域名地址代替“www.center.com”。
在登录页面点击<注册账户>按钮,根据向导注册团队管理员账号,如下图。
图6-77 点击<注册账号>
输入公司名称和地址信息,阅读并勾选“我同意”,点击<继续>按钮。
图6-78 输入公司信息
输入团队管理员账户和密码信息,点击<注册>按钮,如下图。
图6-79 输入租户管理员账号信息
请勿使用弱口令、牢记修改后的登录密码,并杜绝泄露。
页面租户注册需要使用团队管理员登录web系统并在“外部接口>远程运维接口>运维接口开关>页面注册租户”开启即可。
图6-80 注册成功提示
使用注册的团队管理员账号登录,如下图所示。
图6-81 租户管理员视图
在控制中心后台,root权限执行卸载命令:/etc/kvedr_server/uninstall
图6-82 输入“卸载控制中心命令”
卸载程序提示是否清除数据。
如果无需保留控制中心历史数据和策略配置,输入:y,否则输入:n
图6-83 输入“y”
卸载程序再次提示是否删除数据,输入:yes,按确认键;否则输入:no
图6-84 输入“yes”
卸载完成提示,如下图所示。
图6-85 卸载完成提示
完成控制中心卸载和清理数据后,无需重启操作系统即可重新部署控制中心。
团队管理员登录后,鼠标移至页面右上角的“团队PIN码”,显示出安装包下载,如下图所示。
图6-86 点击<批量安装部署>
显示客户端软件获取方式,如下图所示。
图6-87 客户端软件获取方式
将员工自助部署下载客户端的链接发送给团队成员,团队成员通过浏览器访问下载客户端,如下图所示。
图6-88 选择客户端程序下载
可以把下载的客户端程序,放入到公司内网共享文件服务器,或者内部网站等载体,提供下载。
注意!不要修改下载的客户端软件安装包名称。
终端安全管理系统获取客户端的途径请查阅第3.3 节获取客户端程序。
终端安全管理系统(团队版)获取客户端的途径请查阅第4.3 节获取客户端程序。
Windows客户端对操作系统的适配。
表7-1 Windows客户端对操作系统适配表
|
编号 |
操作系统类型 |
操作系统名称 |
计算平台 |
|
1 |
桌面版操作系统 |
Windows XP SP3 |
x86 |
|
2 |
Windows Vista (32位、64位) |
x86_64 |
|
|
3 |
Windows 7(32位、64位) |
x86/x86_64 |
|
|
4 |
Windows 7 SP1(32位、64位) |
x86/x86_64 |
|
|
5 |
Windows 8(32位、64位) |
x86/x86_64 |
|
|
6 |
Windows 8.1(32位、64位) |
x86/x86_64 |
|
|
7 |
Windows 10(32位、64位) |
x86/x86_64 |
|
|
8 |
Windows 11 |
x86_64 |
|
|
9 |
服务器版操作系统 |
Windows Server 2003 SP2(32位) |
x86 |
|
10 |
Windows Server 2008 |
x86 |
|
|
11 |
Windows Server 2008 R2 |
x86_64 |
|
|
12 |
Windows Server 2012 |
x86_64 |
|
|
13 |
Windows Server 2012 R2 |
x86_64 |
|
|
14 |
Windows Server 2016 |
x86_64 |
|
|
15 |
Windows Server 2019 |
x86_64 |
|
|
16 |
Windows Server 2022 |
x86_64 |
下载客户端软件安装包,查看安装包名称。
图7-1 安装包名称
团队版客户端名称带有团队PIN码,如下图所示。
图7-2 团队版安装包名称
请勿修改客户端软件安装包名称,团队版客户端程序安装包名称包含团队PIN码。
必须使用管理员权限安装客户端。
(1) XP系统上启动安装
(2) Windows 7/Windows10系统上启动安装
左键选中安装包,右键点击<以管理员权限运行>按钮,启动安装。
点击<下一步>按钮。
图7-4 点击<下一步>
选择安装目录,一般选择默认安装目录,点击<安装>按钮。
图7-6 安装进度显示
点击<完成>按钮,完成客户端软件安装。
图7-7 点击<完成>
客户端软件桌面快捷菜单。
图7-8 快捷键
双击客户端软件快捷菜单,打开客户端软件主界面。
图7-9 客户端界面
点击客户机任务栏上的客户端托盘图标,弹出托盘界面。
图7-10 客户端托盘
使用管理员账号(团队管理员账号)登录Web管理界面,选择“终端管理”,对需要卸载客户端软件的终端勾选。
图7-11 选中客户端
点击<更多操作>按钮,在展开的页面,点击<卸载客户端>完成卸载。
图7-12 执行卸载客户端命令
从控制面板卸载客户端。
若配置了卸载口令,输入卸载口令,点击<卸载>按钮。
图7-13 输入卸载口令
卸载进度显示。
图7-14 卸载过程显示
点击<确定>按钮,完成客户端软件卸载。
图7-15 点击<确定>
Linux客户端软件只适配64位的Linux操作系统和国产操作系统,不兼容32位的操作系统;客户端适配的操作系统如下表所示。
表7-2 Linux客户端对操作系统适配表
|
编号 |
系统类型 |
操作系统名称 |
内核版本 |
计算平台 |
|
|
Ubuntu系列 |
Ubuntu 14.04 |
4.4.0-142-generic |
x86_64 |
|
|
Ubuntu 16.04 |
4.15.0-112-generic |
x86_64 |
|
|
|
Ubuntu 18.04 |
5.4.0-42-generic |
x86_64 |
|
|
|
Ubuntu 20.04 |
5.4.02-42-generic |
x86_64 |
|
|
|
Ubuntu 20.10 |
5.8.0-25-generic |
x86_64 |
|
|
|
Ubuntu 21.04 |
5.11.0-38-generic |
x86_64 |
|
|
|
Ubuntu 22.04 |
5.15.0-40-generic |
x86_64 |
|
|
|
CentOS系列 |
CentOS 7.0 |
3.10.0-123.el7.x86_64 |
x86_64 |
|
|
CentOS 7.1 |
3.10.0-229.el7.x86_64 |
x86_64 |
|
|
|
CentOS 7.2 |
3.10.0-327.el7.x86_64 |
x86_64 |
|
|
|
CentOS 7.3 |
3.10.0-514.el7.x86_64 |
x86_64 |
|
|
|
CentOS 7.4 |
3.10.0-693.el7.x86_64 |
x86_64 |
|
|
|
CentOS 7.5 |
3.10.0-862.el7.x86_64 |
x86_64 |
|
|
|
CentOS 7.6 |
3.10.0-957.el7.x86_64 |
x86_64 |
|
|
|
CentOS 7.7 |
3.10.0-1062.el7.x86_64 |
x86_64 |
|
|
|
CentOS 7.8 |
3.10.0-1127.el7.x86_64 |
x86_64 |
|
|
|
CentOS 7.9 |
3.10.0-1160.el7.x86_64 |
x86_64 |
|
|
|
CentOS 8.0 |
4.18.0-80.el8.x86_64 |
x86_64 |
|
|
|
CentOS 8.1 |
4.18.0-147.el8.x86_64 |
x86_64 |
|
|
|
CentOS 8.2 |
4.18.0-193.el8.x86_64 |
x86_64 |
|
|
|
CentOS 8.3 |
4.18.0-240.el8.x86_64 |
x86_64 |
|
|
|
CentOS 8.4 |
4.18.0-305.3.1.el8.x86_64 |
x86_64 |
|
|
|
CentOS 8.5 |
4.18.0-348.el8.x86_64 |
x86_64 |
|
|
|
RedHat系列 |
RedHat 7.0 |
3.10.0-123.el7.x86_64 |
x86_64 |
|
|
RedHat 7.1 |
3.10.0-229.el7.x86_64 |
x86_64 |
|
|
|
RedHat 7.2 |
3.10.0-327.el7.x86_64 |
x86_64 |
|
|
|
RedHat 7.3 |
3.10.0-514.el7.x86_64 |
x86_64 |
|
|
|
RedHat 7.4 |
3.10.0-693.el7.x86_64 |
x86_64 |
|
|
|
RedHat 7.5 |
3.10.0-862.el7.x86_64 |
x86_64 |
|
|
|
RedHat 7.6 |
3.10.0-957.el7.x86_64 |
x86_64 |
|
|
|
RedHat 7.7 |
3.10.0-1062.el7.x86_64 |
x86_64 |
|
|
|
RedHat 7.8 |
3.10.0-1127.el7.x86_64 |
x86_64 |
|
|
|
RedHat 7.9 |
3.10.0-1160.el7.x86_64 |
x86_64 |
|
|
|
RedHat 8.0 |
4.18.0-80.el8.x86_64 |
x86_64 |
|
|
|
RedHat 8.1 |
4.18.0-147.el8.x86_64 |
x86_64 |
|
|
|
RedHat 8.2 |
4.18.0-193.el8.x86_64 |
x86_64 |
|
|
|
RedHat 8.3 |
4.18.0-240.el8.x86_64 |
x86_64 |
|
|
|
RedHat 8.4 |
4.18.0-305.3.1.el8.x86_64 |
x86_64 |
|
|
|
RedHat 8.5 |
4.18.0-348.el8.x86_64 |
x86_64 |
|
|
|
SUSE系列 |
Opensuse-leap 15.2 |
5.3.18-lp152.19 |
x86_64 |
|
|
Oracle Linux |
Oracle Linux Server 8.2 |
5.4.17-2011.1.2.el8uek.x86_64 |
x86_64 |
|
|
国产 操作系统 |
银河麒麟4.0.2桌面版 |
4.4.0-21-generic |
x86_64 |
|
|
银河麒麟4.0.2桌面版 |
4.4.0-21-generic |
Arm |
|
|
|
银河麒麟10.1桌面版 |
5.4.0-29-generic |
x86_64 |
|
|
|
优麒麟 20.10桌面版 |
5.8.0-21-generic |
x86_64 |
|
|
|
统信UOS 20桌面版 |
5.4.50-amd64-desktop |
x86_64 |
|
|
|
统信UOS 20桌面版 |
统信UOS 20桌面版 |
Arm |
|
|
|
中标麒麟 7.0桌面版 |
4.4.13-200.nd7.1.x86_64 |
x86_64 |
|
|
|
中科方德 3.1桌面版 |
4.9.0-3-amd64 |
x86_64 |
|
|
|
DEEPIN 20.1桌面版 |
5.4.70-amd64-desktop |
x86_64 |
|
|
|
一铭Emind Desktop 4.0 |
4.8.0-1-amd64 |
x86_64 |
|
|
|
红旗9 桌面版 |
4.8.6-300.rf9.x86_64 |
x86_64 |
从控制中心下载Linux客户端程序安装包。
安装包名称:H3CStdLinux_x86_64_1.21.2.11_[192.168.31.199].bin
团队版安装包名称:H3CStdLinux_x86_64_1.21.2.11_[192.168.31.199]{54891304}.bin
请勿修改客户端软件安装包名称,团队版客户端程序安装包名称包含团队PIN码。
必须使用root权限安装客户端。
团队版Linux客户端软件安装步骤和非团队版Linux客户端软件安装步骤一样。
chmod +x H3CStdLinux_x86_64_1.21.2.11_[192.168.31.199].bin
图7-16 添加可执行权限
(1) 使用root权限账户安装
命令:
./H3CStdLinux_x86_64_1.21.2.11_\[192.168.31.199\].bin
图7-17 使用root账户安装
命令:
sudo ./H3CStdLinux_x86_64_1.21.2.11_\[192.168.31.199\].bin
图7-18 使用普通账户安装
查看系统是否存在运行进程KvEdrDaemon进程和KvEdrSvc进程,若存在表示安装成功。
命令:
ps -aux | grep KvEdr
图7-20 查看运行进程
图7-21 Linux客户端界面
团队管理员登录Web管理页面,选择“终端管理”,勾选需要卸载客户端软件的终端。
图7-22 勾选需要卸载客户端的终端
点击<更多操作>按钮,在展开的页面上,点击<卸载客户端>按钮完成卸载。
图7-23 执行卸载命令
(1) 使用root账户卸载
命令:
cd /KvEdr/ ###注意使用root权限
图7-24 进入客户端目录
执行卸载客户端的脚本程序。
命令:
./uninstall.sh ###注意使用root权限
图7-25 执行卸载命令
客户端软件卸载完成后,不需要重启计算机系统。
(2) 非root账户卸载
进入客户端程序安装目录。
命令:
cd /KvEdr/ ###注意使用root权限
图7-26 进入客户端目录
执行卸载客户端的脚本程序。
命令:
sudo ./uninstall.sh ###注意使用root权限
图7-27 执行卸载命令
客户端软件卸载完成后,不需要重启计算机系统。
安装控制中心过程中服务器自动重启,不能打开控制中心Web页面。
检查服务器内存是否达到16G以上标准,检查硬盘根目录“/”空间是否即将耗尽。
安装脚本提示docker-ce安装失败,安装终止,如下图所示。
图8-1 安装docker-ce失败,安装终止
进入目录“/root/install/docker_setup/rpm”。
命令:
cd install/docker_setup/rpm
重命名文件“libcgroup-0.41-21.el7.x86_64.rpm”
命令:
mv libcgroup-0.41-21.el7.x86_64.rpm libcgroup-0.41-21.el7.x86_64.rpm.bak
图8-3 重命名文件
回到控制中心解压目录,重新执行安装脚本。
命令:
./install
由于操作系统限定或其他原因导致docker安装故障和控制中心安装故障。
尝试通过强制安装命令,例如在银河麒麟服务器SP1系统上无法直接安装控制中心时,通过运行强制安装控制中心。
命令:./install.sh --force-install
图8-5 强制安装控制中心
因操作系统种类众多,为保证交付的控制中心稳定运行,请尽可能的使用推荐的操作系统。
强制安装时必须是独立的服务器,不能和其他业务服务运行在同一台服务器。
强制安装命令执行不支持IPv6网络,安装脚本需要去掉参数“--network-mode=both”。
安装脚本提示yum锁定、进程pid为3525或其他进程pid,如下图所示。
图8-6 安装过程提示yum锁定
重新打开一个终端连接(Terminal或SSH等),使用kill命令和对应的pid结束yum。
命令:
Kill -9 3525
图8-7 进入解压目录
在提示yum锁定的终端连接(Terminal或SSH等),输入“CTRL+C”终止安装(可以连续多输入几次),重新执行安装脚本。
对终端上正常的业务应用软件或其它工具软件存在误杀误报。
【策略中心】-【信任名单】设置,将被误杀误报的软件添加到信任名单。
客户端显示未连接安全中心或未在控制中心上线。
(1) Windows客户端,查看“KvEdrSvc”进程是否存在,服务名称为“KvEdrDaemon”的服务是否在运行中;
(2) Linux客户端,执行命令:ps -aux | grep KvEdr,查看是否存在“KvEdrSvc”进程;
(3) 检测客户端到控制中心的服务端口通信是否放行;
(4) 重启操作系统,查看是否能够连接控制中心;
(5) 重新安装客户端软件,查看能否连接控制中心;
(6) 客户端设置菜单,查看控制中心IP地址是否正确。
客户端漏洞修复失败。
(1) 打开系统服务,找到显示名称为Windows Update(服务名wuauserv)的服务,将服务启动类型改为“自动(延迟)”或“自动”,并确保服务状态“已启动”;
(2) 检查终端安全策略的漏洞修复项,是否正确配置互联网环境漏洞修复策略或内网环境漏洞修复策略,并检查策略是否已经分发给终端执行;
(3) 互联网用户,检查微软更新域名是否可以访问,命令:ping download.windowsupdate.com;
(4) 内网用户,检查到内网WSUS补丁服务器TCP协议8530是否连通,检查补丁服务器内存/CPU性能使用是否过载;
(5) 在客户端下载页面,选择其他资源,安装更新补丁后再次尝试漏洞修复;64位客户机上手动安装补丁windowsupdateagent-7.6-x64.exe,32位客户机上手动安装补丁windowsupdateagent-7.6-x86.exe,重启操作系统后尝试漏洞修复。
(6) 重启WSUS补丁服务器后,再次尝试漏洞补丁修复。
客户端出现无法升级病毒库的情况。
检查【策略中心】-【基本策略】,升级选项是否关闭了自动升级。
封闭网络环境下,对于不能连接互联网又需要对Windows系统存在的漏洞进行补丁修复的客户机,可在用户内网部署WSUS补丁服务器,提供补丁下载服务,实现操作系统漏洞补丁修复。
封闭网络环境下,根据终端/计算机对互联网资源的访问权限,可以有以下两种情形。
· 代理上网:特定终端/服务器通过代理访问互联网资源,其它终端/服务器无法访问互联网。
· 物理隔离:所有终端/服务器与互联网物理隔离,均不能访问互联网资源。
下面分别介绍在这两种情形下内网WSUS补丁服务器的部署(互联网环境下用户的客户机可以直接使用微软的WSUS补丁服务器下载补丁)。
请提前做好WSUS补丁服务器同步工作。
WSUS补丁服务器部署完成后第1次同步时需要同步全量补丁,因同步的补丁数量不等、网速带宽等原因,完成同步所需的时间不等,大概需要几天时间,例如只同步Windows XP/Windows 7/Windows 10/Windows 2008 R2/Windows 2012/Windows 2016系统的安全更新补丁时大概需要3天左右时间。
请提前准备好WSUS补丁服务器、开展补丁同步工作,以免耽误工作进度。
内网WSUS补丁服务器能够通过代理服务器访问互联网资源,客户端主机仅能访问内网资源;内网WSUS补丁服务器通过代理服务器访问微软补丁服务器并下载补丁,客户端主机从内网WSUS补丁服务器下载安装补丁。
图9-1 代理上网环境中部署WSUS补丁服务器
可移动便携式服务器A(或笔记本)作为下游WSUS补丁服务器,定期从微软中心同步下载补丁,同步完成后移动到封闭网络临时运行;服务器B作为下游WSUS补丁服务器定期从WSUS补丁服务器A同步补丁,同步完成后把主机A从封闭网络移除;客户端主机从内网WSUS补丁服务器B下载补丁安装,WSUS补丁服务器A起到临时摆渡补丁的作用(平时可用于其它工作用途),如下图所示。
图9-2 通过临时摆渡部署WSUS补丁服务器
可移动便携式服务器A作为下游WSUS补丁服务器,定期访问互联网从微软中心同步下载补丁,同步完成后移动到封闭网络长期运行;客户端主机从WSUS补丁服务器A下载补丁安装。
WSUS补丁服务器A既起到摆渡补丁的作用,又起到给客户机提供补丁下载的功能。
图9-3 定期摆渡WSUS补丁服务器
硬件配置
CPU:8核或以上;
内存:16G或以上;
硬盘:>=500G(建议1T)。
操作系统:
可选取Windows Server 2012/2016/2019版本操作系统,下文以在Windows Server 2016操作系统上部署WSUS服务举例说明。
图9-4 WSUS补丁服务器操作系统版本
打开开始菜单,选择“控制面板>系统和安全> Windows防火墙>高级设置”,展开防火墙高级配置界面,步骤如下图所示。
从开始菜单,找到控制面板。
图9-5 控制面板
打开控制面板后,选择“系统和安全”。
图9-6 系统和安全
选择Windows防火墙。
图9-7 选择Windows防火墙
点击<高级设置>按钮。
图9-8 高级设置
选择“入站规则”展开Windows防火墙入站规则,点击“已启用”进行排序。
图9-9 防火墙入站规则排序
将已启用的规则全部选中,右键点击<禁用规则>。
图9-10 禁用所有入站规则
选中“入站规则”,点击右侧<新建规则>按钮,弹出新建防火墙入站规则界面,如下图所示。
图9-11 新建入站规则
图9-12 选中端口
输入445端口、135-139端口。
图9-13 输入端口
图9-14 选中阻止连接
在“何时应用该规则”页面,全部选中后点<下一步>按钮。
图9-15 勾选全部
图9-16 输入规则名称
阻断规则配置完成。
此步骤是为了让客户端能够访问内网WSUS服务器的补丁服务,下载补丁包。操作步骤和阻断规则操作步骤类似,不同之处是在“协议和端口”配置步骤中输入“8530、8531”,在“操作”步骤中选择“允许连接”,如下图所示。
图9-17 输入WSUS服务端口
图9-18 选中允许连接
此步骤是为了便于通过远程桌面连接 WSUS服务器进行操作和管理。在“协议和端口”步骤中输入“3389”(远程桌面默认使用3389端口,修改过远程桌面连接端口的请输入正确的端口号),在“操作”步骤中选择“允许连接”,如下图所示。
图9-19 输入远程桌面端口
图9-20 选中允许连接
为了增强系统安全性,需要限定远程桌面连接的作用域,仅允许作用域内的特定IP通过远程桌面连接服务器。
双击已创建的远程桌面防火墙规则,在弹出的配置界面上,选择“作用域>远程IP地址>下列IP地址”,点击<添加>按钮,在弹出的配置界面上,输入IP地址或IP段后点击<确定>应用,如下图所示。
图23 添加远程桌面入站规则作用域
防火墙“入站规则”配置完后,如下图所示。
图9-21 WSUS补丁服务器防火墙入站规则
检查防火墙是否启用,保持防火墙启用状态,如下图所示。
图9-22 配置防火墙允许状态
图9-23 将防火墙启用
从开始菜单,打开服务器管理。
图9-24 打开服务器管理器
选择“添加角色和功能”。
图9-25 添加角色和功能
点击<下一步>按钮。
图9-26 点击下一步
图9-27 点击下一步
图9-28 点击下一步
勾选“Windows Server更新服务”。
图9-29 勾选“Windows Server 更新服务”
在弹出的界面上,单击<添加功能>按钮。
图9-30 添加功能
单击<下一步>按钮。
图9-31 点击下一步
图9-32 点击下一步
图9-33 点击下一步
输入服务器用于存储补丁规则库和补丁文件的路径,建议1T以上的存储空间。
图9-34 输入存放下载补丁的路径
图9-35 点击下一步
图9-36 点击下一步
点击<安装>按钮,开始在操作系统上添加安装WSUS补丁服务。
图9-37 点击安装
图9-38 安装进度显示
WSUS补丁服务安装完成,点击<关闭>按钮。
图9-39 点击关闭
首次使用WSUS补丁服务器从上游同步补丁时,需要做一些基本配置,配置步骤如下。
选择“服务器管理器>工具”,点击<Windows Server更新服务>按钮。
图9-40 打开“Windows Server更新服务”
弹出完成WSUS安装对话框,检查内容目录路径是否正确。
图9-41 完成WSUS安装配置
图9-42 运行
初始化运行后,单击<关闭>按钮。
图9-43 单击关闭
图9-44 单击下一步
不勾选“是的,我希望加入Microsoft更新改善计划(M)”。
图9-45 不勾选
WSUS补丁服务器作为下游服务器,若可直接访问互联网,选择从微软中心同步补丁。
图9-46 选择从微软更新
WSUS补丁服务器无法直接访问互联网,需要走代理服务器则填写代理服务器地址,否则不使用代理。
图9-47 不使用代理服务器访问互联网
WSUS补丁服务器如果不能访问互联网,从内网中其它的上游服务器同步补丁,填写上游服务器地址和端口。
图9-48 使用代理服务器访问互联网
配置完成后,点击<开始连接>按钮,连接上游服务器。
图9-49 开始连接
图9-50 连接上游服务器过程
图9-51 成功连接到上游服务器
选择漏洞修复适配的给客户端操作系统的语言,大陆地区一般选“中文(简体)”。
图9-52 选择语言
选择进行漏洞修复的操作系统产品类型。
图9-53 选择产品
选择“产品”操作步骤注意事项:
1.根据客户环境操作系统类型选择产品,请勿选择与用户环境无关的产品。
2.若用户只有Windows XP、Windows 7、Windows 10,则只勾选这3项。
3.若用户只有Windows Server 2008 R2、Windows Server 2016服务器,只勾选这2项。
4.后续增加新的系统产品时,通过勾选对应产品、向微软同步后可以使用。
图9-54 选择补丁类型
选择“分类”操作步骤注意事项:
1.一般不勾选“程序驱动”、“程序驱动集”,安全相关的补丁一般选择Service Pack、安全更新程序、更新程序集。
图9-55 配置补丁同步计划
图9-56 点击下一步完成配置
WSUS补丁服务器先从上游服务器下载漏洞规则库,在管理员审批后同步下载补丁文件,或者配置自动审批,自动审批下载补丁文件。
图9-57 自动审批配置
图61勾选默认的自动审批
点击“立即同步”开始同步补丁。
图9-58 立即同步补丁
图9-59 查看补丁同步进度
图9-60 对补丁手动审批
选择“策略中心>漏洞修复”,配置漏洞修复策略。互联网环境下勾选互联网环境,内网环境填写WSUS补丁服务器地址。
图9-61 配置漏洞修复策略
策略配置完成后,将策略下发给需要漏洞修复的客户机执行。
打开客户界面,选择“漏洞修复”,点击<开始扫描>按钮,进行系统漏洞扫描。
网络违规外联取证服务器,用于企业内网、政务内网、涉密网络等内网用户计算机违规接入非法网络的检测取证,系统可以检测客户机通过非法Wi-Fi热点连接互联网、通过有线网接入互联网,以及专网环境下违规外联的情形,如涉密网络中不同密级的终端网络中违规交叉使用。
下图所示为通过Wi-Fi热点或通过有线网接入互联网。
图10-1 互联网违规外联
下图所示为专网环境下,不同密级网络的计算设施违规交叉使用。
图10-2 专网违规外联
CPU:2核或以上;
内存:4G或以上;
硬盘:300G或以上。
取证服务器可运行在Windows平台,操作系统可选Windows Server 2008 R2/2012/2016/2019。
公网IP地址
互联网环境下的违规外联取证,需申请公网IP地址来部署取证服务器;如果单位内部已经有公网IP,可以共享该公网IP地址完成取证服务器的部署,否则需要申请一个新的公网IP地址;管理员也可以选择默认地址作为取证服务器地址,默认地址是在公网上已经存在的共用取证服务器。
配置步骤参照附录一操作系统安全加固章节。
只保留TCP协议入站443端口,阻断其它所有入站端口,配置步骤参照附录一,配置完成如下图所示。
图10-3 取证服务器防火墙规则
配置步骤参照附录一。
其它安全加固(可选),定期修复取证服务器操作系统漏洞,采取在取证服务器前配置硬件防火墙等安全防护手段。
将取证服务器压缩包解压,找到文件“openlogic-openjdk-jre-11.0.8+10-windows-x64.zip”。
解压上面的文件生成目录:openlogic-openjdk-jre-11.0.8+10-windows-x64
在“C:\Program Files\”目录下创建Java目录,并将目录“openlogic-openjdk-jre-11.0.8+10-windows-x64”拷贝至“C:\Program Files\Java”目录下。
打开操作系统高级配置,如下图所示。
图10-4 高级系统配置
选择“高级”。
图10-5 选择高级
选择“环境变量”进行配置,打开环境变量配置界面。
图10-6 配置环境变量
在环境变量配置界面,选择Path后点<编辑> 按钮,鼠标移至末尾输入“C:\Program Files\Java\openlogic-openjdk-jre-11.0.8+10-win-x64\bin;”,不同路径直接用英文分号隔开,行末尾包含英文格式分号,如下图所示。
图10-7 环境变量添加JDK路径
新建命令行,输入“java”检测环境变量配置,如下图所示。
图10-8 检查环境变量配置
出现上图的显示,表明环境变量配置成功。
将取证服务器安装包解压并将目录“kvedr-server-evidencer-1.0.0.RELEASE”整体拷贝到磁盘根目录下,如C盘根目录。
以管理员权限打开命令行,进入到取证服务器目录,运行“java -jar kvedr-server-evidence-1.0.0.RELEASE.jar”启动取证服务器,如下图所示。
图10-9 运行取证服务器
以系统管理员账户登录Web控制中心,选择“策略中心>桌面管控”,开启互联网违规外联检测功能。请填写部署的取证服务器实际可访问的IP地址,将安全策略并下发给终端执行,如下图所示。
图10-10 配置违规外联策略
支持
