任子行运维安全审计-实施指南20140721

任天行网络安全管理系统_HAC系列

实施指南

■ 文档编号 ■ 版本编号

1.0 V1.0

■ 密级 ■ 日期

错误!未找到引用源。 2013-05-22

©2013 任子行网络技术股份有限公司

■ 版权声明

本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属任子行网络技术股份有限公司所有，受到有关产权及版权法保护。任何个人、机构未经任子行网络技术股份有限公司的书面授权许可，不得以任何方式复制或引用本文的任何片断。

■ 版本变更记录 时间 2013-2-22

版本

说明

快速配置指南

修改人

■ 适用性声明

本模板用于撰写任子行内外各种正式文件，包括技术手册、标书、白皮书、会议通知、公司制度等文档使用。

任天行网络安全管理系统_HAC系列快速配置指南

目录

1.

产品部署流程 ..................................................................................................................................... 5 1.1. 1.2.

流程图 ......................................................................................................................................... 5 流程介绍 ..................................................................................................................................... 5

收集客户信息和客户需求 ................................................................................................. 5 确认实施方案 ..................................................................................................................... 6 方案实施............................................................................................................................. 7 检验 .................................................................................................................................... 7 用户培训............................................................................................................................. 7 提交实施报告 ..................................................................................................................... 7

1.2.1. 1.2.2. 1.2.3. 1.2.4. 1.2.5. 1.2.6. 2.

实施前准备 ......................................................................................................................................... 8 2.1.

客户信息收集要点 ..................................................................................................................... 8

收集要点............................................................................................................................. 8 收集目的............................................................................................................................. 8 PC、操作系统建议 ............................................................................................................ 8 设备的软硬件版本建议 ..................................................................................................... 9 环境限制说明 ..................................................................................................................... 9 功能/性能限制说明 ........................................................................................................... 9 兼容性说明......................................................................................................................... 9 实施前准备工具说明 ....................................................................................................... 10

2.1.1. 2.1.2. 2.2. 2.2.1. 2.2.2. 2.3. 2.3.1. 2.3.2. 2.3.3. 2.3.4. 3.

产品部署环境要求 ..................................................................................................................... 8

实施注意事项 ............................................................................................................................. 9

常见应用模型 ................................................................................................................................... 10 3.1.

应用模型一：双机热备且处于DMZ ...................................................................................... 10

组网图 .............................................................................................................................. 10 方案可满足的需求 ........................................................................................................... 10 方案的优缺点分析 ........................................................................................................... 11 配置思路........................................................................................................................... 11 配置文件说明 ................................................................................................................... 12 检验配置效果 ................................................................................................................... 13 组网图 .............................................................................................................................. 13 方案可满足的需求 ........................................................................................................... 13 方案的优缺点分析 ........................................................................................................... 13 配置思路........................................................................................................................... 14 配置文件说明 ................................................................................................................... 14 检验配置效果 ................................................................................................................... 14 组网图 .............................................................................................................................. 15

- - 3 - - 3.1.1. 3.1.2. 3.1.3. 3.1.4. 3.1.5. 3.1.6. 3.2. 3.2.1. 3.2.2. 3.2.3. 3.2.4. 3.2.5. 3.2.6. 3.3.

应用模型二：带应用发布功能的单机且处于DMZ ............................................................... 13

应用模型三：运维审计系统单机且无DMZ........................................................................... 15

3.3.1.

任天行网络安全管理系统_HAC系列快速配置指南

3.3.2. 3.3.3. 3.3.4. 3.3.5. 3.3.6. 4.

方案可满足的需求 ........................................................................................................... 15 方案的优缺点分析 ........................................................................................................... 15 配置思路........................................................................................................................... 15 配置文件说明 ................................................................................................................... 16 检验配置效果 ................................................................................................................... 16

产品配置指导 ................................................................................................................................... 17 4.1.

基础功能的配置 ....................................................................................................................... 17

软件环境安装 ................................................................................................................... 17 硬件环境安装 ................................................................................................................... 17 功能基本原理 ................................................................................................................... 17 配置过程与方法 ............................................................................................................... 18 配置文件........................................................................................................................... 19 检验工具及检验方法介绍 ............................................................................................... 19 周边网络设备配置要点 ................................................................................................... 19

4.1.1. 4.1.2. 4.2. 4.2.1. 4.2.2. 4.2.3. 4.2.4. 4.2.5. 5.

部署常见功能 ........................................................................................................................... 17

常见问题 ........................................................................................................................................... 20 5.1. 5.2. 5.3.

HA没有显示ACTIVE或STANDBY状态 ....................................................................................... 20 日志数据无法保存到网络存储 ............................................................................................... 20 无法使用IP地址打开运维管理或运维用户界面 .................................................................. 20

- - 4 - - 任天行网络安全管理系统_HAC系列快速配置指

1. 产品部署流程

1.1. 流程图

项目实施流程图 阶段 工程师动作 1、了解环境是否有条件实施 一、确认实施具备条件 确认实施条件 2、发送客户环境调查表 3、了解环境应用和运维需求 二、现场处理阶段 4、制定实施规划 如：空间规划和IP规划以及拓扑规划 5、确认规划和拓扑方案 6、方案拓扑搭建 实施方案 7、运维现场实施要点 三、方案实施 8、用户客户端实施要点 用户培训 9、确认实施可靠性 10、运维基础 四、用户培训 提交实施报告 五、提交实施报告 13、提交给产品代表或产品经理 11、运维使用 12、交给用户 确认实施方案 1.2. 流程介绍

1.2.1. 收集客户信息和客户需求

项目实施前需向集成商或用户了解或提供项目实施所需必要条件，可提供客户信息收集

表，请参照以下“客户环境调查表”，收集客户环境应尽可能的详细，环境收集可根据不同产品型号进行适当调整。

当实施条件不具备时需等待实施条件准备充分时，再进行现场实施。

5

任天行网络安全管理系统_HAC系列快速配置指

环境调查表 姓名 办公电话 移动电话 Email 运维型号 双机热备 网络存储 DMZ 用户认证方式 客户运维方式 RDP Telnet SSH/SFTP/SCP VNC Xwindows FTP HTTP/HTTPS AS400 客户联系人 需要 不需要 有 无 有 无 USBkey LDAP 无 操作系统或软件版本 客支联系人 应用发布 日志存储时间要求 图像界面服务器台数 文本界面服务器台数 交换机台数 当前数量 其他要求 销售联系人 需要 不需要 天 1.2.2. 确认实施方案

根据客户需求，在实施方案前需确定出以下几点：

 IP地址规划  数据存储规划  网络拓扑规划  实施进度规划

根据以上规划，制作并纳入到项目实施方案中。确认实施方案您需要详细了解和确认方案的真实需求，以及应用的背景和环境。制定完善可靠可行的规划，同时引导用户规避一些可能会产生的风险！最终以书面方式确定出实施方案以及规划细则。

6

任天行网络安全管理系统_HAC系列快速配置指

1.2.3. 方案实施

方案实施顺序如下：

 方案拓扑搭建  实施客户端  实施其它高级功能

 根据现场与用户确认的方案和规划搭建方案拓扑，待方案拓扑搭建完毕无误后

即可实施运维审计系统部署。

实施应制定先后顺序，运维审计系统实施本着先后客户端的原则，实施前请将设备序列号和系统内部识别码进行记录。运维设备实施需依用户数据安全性为原则，如在初始账户创建、运维规则配置等方面均需注意。

运维用户客户端操作系统目前支持Windows，对与其它类型操作系统如：Solaris、Linux和UNIX等暂不提供支持。

1.2.4. 检验

方案实施完毕，对设备工作状态进行检验，检验重点如下：

 设备指示灯状态  运维操作工具是否正常  日志回放功能是否正常  应用发布功能是否正常

1.2.5. 用户培训

方案实施完毕需对用户进行现场培训，培训应包括：

 方案介绍  运维使用流程  注意事项

1.2.6. 提交实施报告

实施报告应包括方案设计拓扑、方案中规划的IP地址、数据存储规划、设备密码配置等。报告可参考以下模板。

7

任天行网络安全管理系统_HAC系列快速配置指

2. 实施前准备

2.1. 客户信息收集要点

2.1.1. 收集要点

1、 了解客户购买的设备清单，应包括设备“型号、数量”。 2、 了解客户服务器区的IP规划，是否有DMZ？

3、 Windows、Linux、交换机或路由器的台数，包括常用的管理时所使用的协议。 4、 客户内部认证方式是哪种？ 5、 客户现有运维管理模式和分工情况。 6、

客户现有运维管理中的主要方式是什么？有哪些特殊要求？

7、 客户对运维有无其它高级需求，如应用发布、网络存储、双机热备、USBkey等。

2.1.2. 收集目的

1、 收集客户服务器区的IP规划，规划运维审计系统IP和运维审计系统外部访问模式 2、 收集客户服务器或交换机等的数量，以确定部署工作量。 3、 收集客户内部认证方式，以确定出运维审计系统认证方式。

4、 收集客户现有运维管理模式和分工情况，以指导客户创建规划运维规则。 5、 收集客户运维管理中的主要方式和特殊要求，探寻客户真实需求。 6、 收集客户对运维有无其它高级需求，探寻客户真实需求。

2.2. 产品部署环境要求

2.2.1. PC、操作系统建议

最低配置

 硬件平台

 Intel Pentium 4 1.5G或以上CPU处理器  512M内存

 剩余硬盘空间：300M  网络适配器

8

任天行网络安全管理系统_HAC系列快速配置指

 串口或USB串口转换器  软件平台

 Microsoft Windows XP sp3 or up/2003/Windows 7/2008操作系统  SecureCRT

推荐配置

 硬件平台

 Intel 酷睿 1.6G双CPU处理器  2G内存

 剩余硬盘空间：500兆  网络适配器

 串口或USB串口转换器  软件平台

1. Microsoft Windows XP sp3 2. SecureCRT

2.2.2. 设备的软硬件版本建议

该实施方案，建议设备的软件、硬件版本为在最新版本。

2.3. 实施注意事项

2.3.1. 环境限制说明

 需保证运维审计系统的443、2121、2222、3389、4002、5900、7000、9090

能够被运维用户所访问。  需保证应用发布系统的3389、5000端口能够被运维审计系统所访问。

2.3.2. 功能/性能限制说明

应用发布需要专门设备支持。

2.3.3. 兼容性说明

运维客户端只能在Windows 平台IE 6、7、8、9下运行。对google chrome、firefox等其他浏览器暂不支持。

9

任天行网络安全管理系统_HAC系列快速配置指

2.3.4. 实施前准备工具说明

软件类型 软件名称及版本 Window 2003 Server 操作系统 Linux (Redhat9.0) Windows xp Sniffer 测试工具 SecureCRT Windows 2003 IIS Serv-U 软件用途 3. 常见应用模型

3.1. 应用模型一：双机热备且处于DMZ

3.1.1. 组网图

3.1.2. 方案可满足的需求

两台运维审计系统做单臂互备接入。

 两台运维审计系统互作热备份：一旦主用运维审计系统出现宕机，能够迅速把

10

任天行网络安全管理系统_HAC系列快速配置指

新的运维连接切换到备用系统上。  两台运维审计系统的性能满足要求。

 该组网方式很大程度提高服务器运维的可靠性。

3.1.3. 方案的优缺点分析

优点：

 能够做数据的热备（需要配置网络存储），一旦主设备出现故障，备用设备继

续提供对运维审计的功能。  在运维管理系统上仅启用静态路由，以保证了设备的性能，降低组网的复杂性。 缺点：

 一旦运维审计系统出现故障，所有的运维会话将中断，需要重新连接。  无法对特殊的运维工具进行审计。

3.1.4. 配置思路

基础配置步骤

 网线连接上设备的第一个网卡口，分别通过运维管理页面配置两台设备的接口

及ip地址、默认路由和DNS。 注意事项：

 设备IP地址默认为192.168.0.1/24 确定设备IP可访问服务器的目标端口。  确定所连接链路是光纤还是以太网线。如果所连接的是光纤，需要通过串口把

地址配置在对应的接口上。串口波特率为115200。  用一条双绞线两端分别连接两台设备的一块空余网卡，配置这两个网卡的IP

地址（可用局域网内没有使用的私有地址，只要两块网卡可通即可），启用并配置HA功能。  配置运维审计系统的网管策略，允许特定地址来访问运维系统。 举例说明：

HA配置

双绞线连接主设备的WAN3和备用设备的WAN2。 主设备名称为HOSTNAME，WAN3配置172.16.1.3，掩码16，广播地址为172.16.255.255；备用设备名称为HOSTNAME88，WAN2配置172.16.1.4，掩码16，广播地址为172.16.255.255。

11

任天行网络安全管理系统_HAC系列快速配置指

172.16.1.2为虚拟IP地址， 172.16.161.2为网关地址，并作为探测地址。 HA配置--主设备

HA配置—备用设备

常见的错误配置如下。

对端节点名称必须为对端设备实际显示的本地节点名称。

3.1.5. 配置文件说明

通过页面配置不需要准备类似与交换机的配置文件。

12

任天行网络安全管理系统_HAC系列快速配置指

3.1.6. 检验配置效果

1. 通过运维管理界面，系统配置中的系统工具，ping 一个在线的服务器地址，是否

能通。Ping 一个DMZ区域外的IP地址，是否能通。tracert www.baidu.com或DMZ区域外的一个域名，是否能通。 2. 查看HA配置界面主备设备的状态是否分别为active和standby。

3. 修改配置用电脑IP地址在网管策略IP地址范围之外，查看能够打开运维管理界面

3.2. 应用模型二：带应用发布功能的单机且处于DMZ

3.2.1. 组网图

Windows 服务器DMZLinux/unix 服务器内部网应用发布系统运维审计系统 3.2.2. 方案可满足的需求

运维审计系统和应用发布系统都做单臂接入。可以满足运维审计要求并能够对一些特殊的运维工具进行审计。

3.2.3. 方案的优缺点分析

优点：

 可以满足运维审计要求。

 能够对一些特殊的运维工具进行审计。

13

任天行网络安全管理系统_HAC系列快速配置指

 在运维管理系统上仅启用静态路由，以保证了设备的性能，降低组网的复杂性。 缺点：

 存在单点故障风险，一旦设备出现故障，运维将会受到影响。

3.2.4. 配置思路

基础配置步骤

1、 网线连接上运维审计系统的第一个网卡口，通过页面配置两台设备的接口及ip

地址、默认路由和DNS。

注意事项：

 IP地址默认为192.168.0.1/24，需要确定设备IP可访问服务器的目标

端口。  确定所连接链路是光纤还是以太网线。如果所连接的是光纤，需要通

过串口把地址配置在对应的接口上。串口波特率为115200。

2、 网线连接上应用发布系统的第一个网卡口，通过RDP连接设备，配置对应接

口的ip地址、网关和DNS。 3、 配置运维审计系统的网管策略，允许特定地址来访问运维系统。 常见的错误配置如下。

IP配置的接口不正确。

3.2.5. 配置文件说明

通过页面配置不需要准备类似与交换机的配置文件。

3.2.6. 检验配置效果

1、 通过运维管理界面，系统配置中的系统工具，ping 一个在线的服务器地址，是否能通。Ping 一个DMZ区域外的IP地址，是否能通。tracert www.baidu.com或DMZ区域外的一个域名，是否能通。 2、 通过运维管理界面，添加应用发布设备，能否成功。

3、 修改配置用电脑IP地址在网管策略IP地址范围之外，查看能够打开运维管理界面

14

任天行网络安全管理系统_HAC系列快速配置指

3.3. 应用模型三：运维审计系统单机且无DMZ

3.3.1. 组网图

Windows 服务器Linux/unix 服务器内部网运维审计系统

3.3.2. 方案可满足的需求

运维审计系统和应用发布系统都做单臂接入。可以满足运维审计要求。

3.3.3. 方案的优缺点分析

优点：

 可以满足运维审计要求。

 在运维管理系统上仅启用静态路由，以保证了设备的性能，降低组网的复杂性。 缺点：

 存在单点故障风险，一旦设备出现故障，运维将会受到影响。  无法对特殊的运维工具进行审计。

3.3.4. 配置思路

基础配置步骤

1、 网线连接上运维审计系统的第一个网卡口，通过页面配置两台设备的接口及ip

地址、默认路由和DNS。

15

任天行网络安全管理系统_HAC系列快速配置指

注意事项：

 IP地址默认为192.168.0.1/24，需要确定设备IP可访问服务器的目标

端口。  确定所连接链路是光纤还是以太网线。如果所连接的是光纤，需要通

过串口把地址配置在对应的接口上。串口波特率为115200。

2、 网线连接上应用发布系统的第一个网卡口，通过RDP连接设备，配置对应接

口的ip地址、网关和DNS。 3、 配置运维审计系统的网管策略，允许特定地址来访问运维系统。 常见的错误配置如下。

IP配置的接口不正确。

3.3.5. 配置文件说明

无

3.3.6. 检验配置效果

1、 通过运维管理界面，系统配置中的系统工具，ping 一个在线的服务器地址，是否

能通。Ping 一个DMZ区域外的IP地址，是否能通。tracert www.baidu.com或DMZ区域外的一个域名，是否能通。 2、 通过运维管理界面，添加应用发布设备，能否成功。

3、 修改配置用电脑IP地址在网管策略IP地址范围之外，查看能够打开运维管理界面

16

任天行网络安全管理系统_HAC系列快速配置指

4. 产品配置指导

4.1. 基础功能的配置

4.1.1. 软件环境安装

在配置用电脑上安装SecureCRT。 运维客户端工具安装。 测试工具安装。

4.1.2. 硬件环境安装

运维审计系统、应用发布系统都为单臂接入模式。通过B类双绞线接入网络。配置用电脑通过B类双绞线接入网络，并用串口连接运维审计系统。

4.2. 部署常见功能

4.2.1. 功能基本原理

1、 HA功能

通过心跳线连接两台运维审计系统。启用HA功能后，设备会相互检测，出现故障或恢复后自动切换。并可以同步配置。 2、 对网络存储的支持功能

配置并启用网络存储后，系统重启时会自动加载网络存储。运维会话日志数据就会保存到网络存储。 3、 应用发布功能

把需要发布的工具安装在应用发布系统上，在运维审计系统配置后，运维审计系统和应用发布系统通过私有协议通信协作。运维用户就能够直接通过运维审计系统来使用发布的工具。

17

任天行网络安全管理系统_HAC系列快速配置指

4.2.2. 配置过程与方法

1、 HA功能

a) 双绞线连接主设备的WAN3和备用设备的WAN2。 主设备名称为HOSTNAME，WAN3配置172.16.1.3，掩码16，广播地址为172.16.255.255；备用设备名称为HOSTNAME88，WAN2配置172.16.1.4，掩码16，广播地址为172.16.255.255。172.16.1.2为虚拟IP地址， 172.16.161.2为网关地址，并作为探测地址。 b) HA配置--主设备

c) HA配置—备用设备

2、 对网络存储的支持功能

在【系统配置】【网络存储】中配置网络存储并启用

18

任天行网络安全管理系统_HAC系列快速配置指

3、 应用发布功能

详见应用发布配置手册

4.2.3. 配置文件

通过页面配置不需要准备类似与交换机的配置文件。

4.2.4. 检验工具及检验方法介绍

附录A

HA配置

查看HA配置界面主备设备的状态是否分别为active和standby。 附录B

网络存储

重启设备，登录对应网络存储服务器，查看配置目录是否有mysql和reporter目录。 附录C

应用发布功能

在【运维管理】【应用发布】【VDH设备】下，添加应用发布服务器。成功后并点击操作栏中的【监控】按钮，是否能打开监控界面

4.2.5. 周边网络设备配置要点

修改网关或防火墙配置，确保允许外部访问运维审计系统的443、2121、2222、3389、4002、5900、7000、9090端口。如果不需要外网用户登录运维系统可以不进行调整。

19

任天行网络安全管理系统_HAC系列快速配置指

5. 常见问题

5.1. HA没有显示Active或Standby状态

1、 确认两台运维审计系统是否都启用HA功能。

2、 确认两台运维审计系统配置的对方节点名称是否正确。 3、 确认两台运维审计系统的主设备配置是否完全相同。

4、 确认两台运维审计系统对应接口是否直接连接，且网卡状态正常。

5.2. 日志数据无法保存到网络存储

1. 确认网络存储配置页面所提供网络存储服务器可用。 2. 确认网络存储配置的路径存在。

3. 确认网络存储配置的用户名和密码正确，且具有访问对应路径的权限。

5.3. 无法使用IP地址打开运维管理或运维用户界面

1、 确认网卡是否连接是否正常，且网卡指示灯是否显示正常。

2、 用串口连接设备，进入系统，用ifconfig命令确认对应网卡是否启用，用netstat -an

确认运维审计系统9090和443端口是否启用。串口波特率为115200。用户名为root, 密码为root*PWD。

3、 如果串口无法登录系统，属于系统安装故障。如果能登陆，对应网卡已启用，但对

应端口没有启用，属于系统配置故障或系统故障。这种场合请与安装人员联系。

20