NSF-PROD-EPS-V5.6-配置手册
绿盟终端管理系统配置手册
? 2011 绿盟科技
■版权声明
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录
前言 (1)
期望读者 (1)
内容概述 (1)
获得帮助 (1)
格式约定 (2)
一. 部署方式 (3)
1.1单独部署 (3)
1.2分级部署 (3)
二. 配置示例 (5)
2.1配置概述 (5)
2.2802.1X认证配置示例 (5)
2.3U盘访问控制策略配置示例 (9)
2.4网关强制配置示例 (13)
2.5补丁管理配置示例 (16)
2.6主机防火墙配置示例 (19)
2.7防病毒软件管理配置示例 (22)
2.8应用准入配置示例 (25)
2.9应用程序配置示例 (29)
2.10违规外联监控配置示例 (33)
2.11网络配置强制配置示例 (37)
2.12软件分发策略配置示例 (40)
2.13系统升级 (44)
2.13.1 安全中心升级配置示例 (44)
2.13.2 终端升级配置示例 (45)
附录A出厂参数 (48)
A.1系统管理员初始帐号 (48)
A.2系统操作员初始帐号 (48)
A.3系统审计员初始帐号 (48)
插图索引
图 1.1 单独部署拓扑图 (3)
图 1.2 分级部署拓扑图 (4)
图 2.1 802.1X认证配置-开启安全中心802.1X认证 (6)
图 2.2 802.1X认证配置-新建计算机组对象 (7)
图 2.3 802.1X认证配置-新建用户对象 (7)
图 2.4 802.1X认证配置-新建网络准入对象 (8)
图 2.5 新建802.1X认证准入策略 (8)
图 2.6 U盘访问控制策略配置-新建计算机组对象 (10)
图 2.7 U盘访问控制策略配置-新建用户对象 (11)
图 2.8 U盘访问控制策略配置-新建U盘访问控制对象 (12)
图 2.9 新建U盘访问控制策略 (12)
图 2.10 单独部署拓扑图 (13)
图 2.11 网关强制配置-新建计算机组对象 (14)
图 2.12 网关强制配置-新建网络IP池对象 (15)
图 2.13 网关强制配置-新建网络准入对象 (15)
图 2.14 新建网关强制策略 (16)
图 2.15 补丁管理配置-新建计算机组对象 (17)
图 2.16 补丁管理配置-新建操作系统补丁管理对象 (18)
图 2.17 新建补丁管理策略 (18)
图 2.18 操作系统补丁信息配置 (19)
图 2.19 主机防火墙配置-新建计算机组对象 (20)
图 2.20 主机防火墙配置-新建网络IP节点对象 (21)
图 2.21 新建主机防火墙对象 (21)
图 2.22 新建主机防火墙策略 (22)
图 2.23 防病毒软件管理配置-新建计算机组对象 (23)
图 2.24 防病毒软件管理配置-配置防病毒软件版本更新方式 (23)
图 2.25 防病毒软件管理配置-新建防病毒软件管理对象 (24)
图 2.26 新建防病毒软件管理策略 (24)
图 2.27 应用准入配置-新建计算机组对象 (26)
图 2.28 应用准入配置-新建网络IP池对象 (26)
图 2.29 应用准入配置-新建网络准入-本地强制对象 (27)
图 2.30 新建网络准入策略 (27)
图 2.31 应用准入配置-新建计算机组对象 (28)
图 2.32 应用准入配置-新建应用准入对象 (28)
图 2.33 新建应用准入策略 (29)
图 2.34 应用程序管理配置-新建计算机组对象 (30)
图 2.35 应用程序管理配置-新建用户对象 (31)
图 2.36 应用程序管理配置–新建自定义时间对象 (31)
图 2.37 应用程序管理配置–新建应用程序对象 (32)
图 2.38 应用程序管理配置-新建应用程序管理对象 (32)
图 2.39 新建应用程序管理策略 (33)
图 2.40 违规外联配置-新建计算机组对象 (34)
图 2.41 违规外联配置-新建违规外联配置对象 (35)
图 2.42 违规外联配置-新建网络IP节点对象 (35)
图 2.43 违规外联配置-新建主机防火墙对象 (36)
图 2.44 违规外联配置-新建策略 (36)
图 2.45 网络配置强制配置-新建计算机组对象 (38)
图 2.46 绑定IP MAC地址 (38)
图 2.47 网络配置强制配置-新建网络配置强制对象 (39)
图 2.48 新建网络配置强制策略 (39)
图 2.49 软件分发策略配置-新建计算机组对象 (41)
图 2.50 软件分发策略配置-上传软件 (41)
图 2.51 软件分发策略配置-新建软件分发对象 (42)
图 2.52 新建软件分发策略 (42)
图 2.53 分发软件 (43)
图 2.54 查看软件分发记录 (43)
图 2.55 导入升级文件 (45)
图 2.56 上传原始包 (46)
图 2.57 构造终端包 (47)
前言
文档范围
本文介绍绿盟终端管理系统(NSFOCUS Endpoint Protection System,以下简称绿盟EPS)典型功能的配置方法。
本手册仅作为使用指导,实际产品可能会由于版本升级或其他原因,与手册描述有轻微差异。
期望读者
期望了解本产品主要技术特性和使用方法的管理员、系统管理员、网络管理员等。本文假设您对下面的知识有一定的了解:
?系统管理
?Windows操作系统
?TCP/IP协议
内容概述
获得帮助
如需获取网络安全相关资料,请访问绿盟科技网站:https://www.360docs.net/doc/df15715790.html,
如需获取更详尽的绿盟科技网络安全专业服务信息、商务信息,您可通过如下方式与我们联系:
客户服务热线:400-818-6868(手机和固话均可拨打)
非工作时间服务热线:133********
网站:https://www.360docs.net/doc/df15715790.html,
Email:support@https://www.360docs.net/doc/df15715790.html,
格式约定
粗体字——命令和关键字
斜体字——需要您输入的变量
——对描述内容的补充和引用信息
——使用系统时的技巧和建议
——需要特别注意的事项和重要信息
——有可能造成人身伤害的警告信息
【XXX】——按键名称的表示方式
A >
B ——菜单项选择的表示方式
注:本文中所有图例均为屏幕截取,并对部分图中的敏感信息进行模糊处理。
一. 部署方式
绿盟终端管理系统支持快速部署,通过网关准入和应用准入强制向终端用户推送EPS终端,同时支持域分发、网络共享和网站下载等方式让用户自行安装终端软件。所有终端用户安装终端软件后,即可通过安全中心下发管理策略实现对终端的安全进行统一高效的管理。
绿盟终端管理系统包括安全中心和终端两部分。根据客户实际网络环境,安全中心一般部署在服务器区,终端一般部署在内网区,安全中心统一集中管理终端。系统支持跨地域分级部署,具备良好的扩展性,可以满足大中小型用户不同的部署管理需求。
1.1 单独部署
系统单独部署时为星形结构,安全中心集中对所有终端进行统一管理,如图1.1 所示。
图 1.1 单独部署拓扑图
1.2 分级部署
系统分级部署时,上级安全中心能够直接管理下级安全中心所管辖的终端,同时下级安全中心会上传审计和告警日志数据,集中在一级安全中心上展示,如图1.2 所示。
图 1.2 分级部署拓扑图
二. 配置示例
2.1 配置概述
本章介绍了绿盟EPS主要功能配置的典型示例,具体包括以下内容:
2.2 802.1x认证配置示例
应用场景
在如图1.1 所示的网络环境中,在接入层交换机配置802.1x认证,只有安装终端软件并成功认证的终端用户,才可以接入内网。
数据准备
本示例中终端用户的上级计算机组为总部,IP范围为192.168.4.10~192.168.4.19。
在开始配置之前,请确认安全中心和终端软件成功安装,且安全中心已安装IAS并成功配置。有关以上软件安装及配置的详细介绍,请参见《绿盟终端管理系统安装手册》的二、安全中心的安装与卸载和三、终端软件的安装与卸载。
配置思路
1. 启用80
2.1x用户认证。
2. 配置计算机组对象。
3. 配置用户对象。
4. 配置网络准入对象。
5. 配置802.1x网络准入策略。
6. 下发策略。
7. 开启交换机802.1x认证。
8. 验证配置结果。
配置步骤
请在系统上进行如下配置:
步骤1:启用安全中心的802.1x用户认证。选择菜单“终端管理>配置”,勾选启用802.1x用户认证,如图2.1 所示。
图 2.1 802.1x认证配置-开启安全中心802.1x认证步骤2:配置计算机组对象。选择菜单“对象>计算机组”,单击【新建】,新建一个属于总部的计算机组对象终端组,并配置终端组的IP范围,如图2.2 所示。
图 2.2 802.1x认证配置-新建计算机组对象
步骤3:配置用户对象。选择菜单“对象>用户”,单击【新建】,新建一个永久有效的用户对象,如图2.3 所示。
图 2.3 802.1x认证配置-新建用户对象
步骤4:配置网络准入对象。选择菜单“对象>终端>自定义”,单击【新建】,新建一个网络准入对象。【类型】选择网络准入,【准入方式】勾选802.1x,【条件】勾选终端已安装和用户认证已通过,【不满足条件动作】勾选告警、提示和阻断,如图2.4 所示。
图 2.4 802.1x认证配置-新建网络准入对象
步骤5:配置802.1x认证准入策略。选择菜单“策略>终端策略”,新建一条策略管理,配置分别为【计算机组】选择终端组、【终端】选择网络准入、【时间】选择any、【用户】选择monkey1、【在线状态】选择忽略,如图2.5 所示。
图 2.5 新建802.1x认证准入策略
802.1x网络准入策略配置中在线状态必须选择忽略,否则满足条件的终端可能无法接入内网。
步骤6:下发策略。选择菜单“策略>策略下发”,下发策略到终端。
步骤7:在接入层交换机开启802.1x认证。
验证结果
当终端用户未进行认证直接访问内网时,终端提示该用户“用户名或密码错误”,该终端无法访问网络;终端软件自动提示用户进行认证,在用户认证页面中输入用户名monkey1、密码min123456进行认证时,终端提示该用户“认证通过”,此时可访问内网。
2.3 U盘访问控制策略配置示例
应用场景
在如图1.1 所示的网络环境中,启用U盘访问控制策略,对已注册的U盘,可以在已安装终端软件的主机上使用;对未注册的U盘,无法在已安装终端软件的主机上使用。
数据准备
本示例中终端用户的上级计算机组为总部,IP范围为192.168.4.10~192.168.4.19。配置思路
1. 配置计算机组对象。
2. 配置用户对象。
3. 配置U盘访问控制对象。
4. 配置U盘访问控制策略。
5. 下发策略。
6. 验证配置结果。
配置步骤
请在系统上进行如下配置:
步骤1:配置计算机组对象。选择菜单“对象>计算机组”,单击【新建】,新建一个属于总部的计算机组对象终端组,并配置终端组的IP范围,如图2.6 所示。
图 2.6 U盘访问控制策略配置-新建计算机组对象
步骤2:配置用户对象。选择菜单“对象>用户”,单击【新建】,新建一个永久有效的用户对象,如图2.7 所示。
图 2.7 U盘访问控制策略配置-新建用户对象
步骤3:配置U盘访问控制对象。选择菜单“对象>终端>自定义”,单击【新建】,新建一个U盘访问控制对象。【类型】选择U盘访问控制,【用户认证】勾选启用,【未注册U盘权限】选择禁止,【加密注册U盘权限】选择完全,【未加密注册U盘权限】选择只读,如图2.8 所示。
图 2.8 U盘访问控制策略配置-新建U盘访问控制对象步骤4:配置U盘访问控制策略。选择菜单“策略>终端策略”,新建一条策略控制终端用户的U盘使用权限,【计算机组】选择终端组、【终端】选择U盘管理、【时间】选择any、【用户】选择monkey1、【在线状态】选择忽略,如图2.9 所示。
图 2.9 新建U盘访问控制策略
步骤5:下发策略。选择菜单“策略>策略下发”,下发策略到终端。
验证结果
当终端组内的终端主机连接已注册U盘时,终端软件会自动提示用户进行认证,在用户认证页面中输入用户名monkey1、密码min123456认证成功后,可以正常读写加密注册U
盘数据,对未加密注册U盘数据仅有只读权限;如果认证失败,无法读取已注册U盘数据。当连接未注册的U盘时,无法读取U盘数据。
2.4 网关强制配置示例
应用场景
图 2.10 单独部署拓扑图
在如图2.10 所示的网络环境中,配置绿盟SG设备和绿盟EPS的联动,只有安装终端软件的终端主机才可以访问外网;没有安装终端软件的终端主机无法访问外网。
数据准备
本示例中终端用户的上级计算机组为总部,IP范围为192.168.4.10~192.168.4.19。
SG的IP地址为192.168.4.254。
配置思路
1. 配置计算机组对象。
2. 配置网络对象。
3. 配置网络准入条件下的SG联动对象。
4. 配置网关强制策略。
5. 下发策略。
6. 验证配置结果。
除了配置EPS安全中心外,还需在绿盟SG设备上配置EPS联动功能,才能使绿盟SG设备和绿盟EPS成功联动,有关绿盟SG联动的配置请参见《绿盟安全网关配置手册》中的2.10与NSFOCUS SC 联动配置示例。
配置步骤
请在系统上进行如下配置:
步骤1:配置计算机组对象。选择菜单“对象>计算机组”,单击【新建】,新建一个属于总部的计算机组对象终端组,并配置终端组的IP范围,如图2.11 所示。
图 2.11 网关强制配置-新建计算机组对象
步骤2:配置网络对象。选择菜单“对象>网络> IP池”,单击【新建】,新建一个网络对象,如图2.12 所示。