天玥网络安全审计系统安装手册系统概述1.1 系统概述天玥网络安全审计系统（以下简称“天玥”）主要对用户业务网络进行安全审计，它采集、分析和识别网络数据流，监视网络系统的运行状态，记录网络事件，发现安全隐患，并且对网络活动的相关信息进行存储、分析和审计。

天玥系统能够审计各类业务网络中的协议，包括：数据库类协议（Oracle、Informix、DB2、DB2-DAS、Microsoft SQL Server、Sybase、MySQL、PostgreSQL、Teradata、Cache、Gbase、Dm、Kingbase），运营维护类协议（RDP、SSH、Telnet、Rlogin、XDMCP/X11、VNC），文件操作类协议（SCP、SFTP、FTP、NFS、SunRPC/PCNFSD、Windows 网上邻居），互联网类协议（HTTP 、SMTP、POP3），以及其他一些协议类型（Radius、自定义协议）。

天玥采用B/S架构设计，方便用户管理。

目前支持两种管理模式：设备的网络配置（修改IP路由等）可以通过超级终端连接串口进行，更为详细的配置和管理则可以通过Web进行。

在任何计算机上运行Internet浏览器，使用HTTPS或HTTP连接，便能够对系统进行配置并管理。

浏览器地址栏输入https://数据中心IP或者http://数据中心IP，用授权身份登录后，即可进入系统。

系统分为管理和报表两个子系统，管理子系统主要提供系统配置维护、策略管理、实时日志查看等功能，报表子系统主要提供审计日志的查询统计和报表取证等功能。

Web 访问推荐使用IE6.0 及以上版本、Mozilla Firefox3.5 及以上版本浏览器，最佳显示分辨率为1024×768。

1.2 设备介绍天玥网络安全审计系统的设备包括数据中心和审计引擎两种，每个系统可以配备一台数据中心和多台审计引擎。

数据中心负责提供管理和数据分析接口，方便用户的引擎管理和系统日志分析。

审计引擎分为两种部署方式：并行和串行，负责接收审计策略，对网络访问依据审计策略进行审计和响应，并将审计日志上传到数据中心，串行引擎可以审计加密协议，如：SSH、SFTP、SCP、RDP。

根据用户网络流量的不同，天玥网络安全审计系统的设备分为百兆和千兆两种，分别适用于百兆网络和千兆网络。

百兆网卡设备标识为EthX，千兆网卡设备标识为GEX。

第1页安装手册天玥网络安全审计系统1.2.1 设备图片图1-1数据中心示意图图1-2千兆引擎示意图图1-3百兆引擎示意图1.2.2 标识说明串口，超级终端的DB9连接端口，常见于数据中心和并行引擎；RJ45连接端口常见于串行引擎。

USB 连接接口，用于连接USB 设备。

天玥网络安全审计系统安装手册10/100M 自适应以太网电接口，常见于百兆引擎。

10/100/1000M 自适应以太网电接口，常见于千兆引擎。

SPF 光接口，常见于千兆引擎。

电源和状态指示灯，Power加电数据中心为红色、引擎为黄色，Status 红色说明系统报警。

机箱后部电源插座和电源开关。

安装手册天玥网络安全审计系统2部署2.1 部署方式为了适应不同类型的用户的网络环境，天玥系统部署分为两种类型：数据中心与引擎直接连接、数据中心与引擎通过网络连接。

如果数据中心只连接一个引擎，则他们之间可以通过网络连接，也可以用网线直接连接。

如果连接多个引擎，则只能通过网络连接。

图2-1、图2-2分别是并行引擎的两种网络部署的示意图：浏览器2 U数据中心1 U审计引擎用户业务网络图2-1数据中心和引擎直连天玥网络安全审计系统 安装手册浏览器数据中心交换机1 U 审计引擎 1 U 审计引擎用户业务网络图2-2 数据中心和引擎通过网络连接图 2-3 是串行引擎的网络部署的示意图：安装手册天玥网络安全审计系统图2-3数据中心和串行引擎直接连接2.2 接线方法不同的部署方式接线方法有所不同。

直连方式将引擎的管理口直接连接数据中心的日志口。

通过超级终端配置数据中心日志口和引擎的管理口地址，二者同属一个网段即可。

然后配置数据中心管理口的IP和路由，web访问通过管理口来实现，此时需要将管理口连接到通信网络。

网络连接方式将数据中心的日志口以及引擎的管理口连接到网络。

通过超级终端为两个通信口配置IP和路由，使二者能通信成功即可。

3串口配置天玥网络安全审计系统安装手册设备部署和连接完成后，为了保证系统正常运转，要对系统进行正确的配置。

首先要配置数据中心和引擎的IP路由等，使设备的连接通畅，这通过超级终端连接串口来完成。

然后配置系统的各项参数，将策略下发给引擎后，系统即能正常工作。

本章对引擎和数据中心的串口配置项目进行逐一介绍，指导用户使用。

3.1 引擎串口配置串行引擎与并行引擎两种引擎的串口配置方式大致相同，以下以并行引擎为例，若与串行引擎不同的地方单独指出。

3.1.1 连接用配件盒中的串口线一端连接引擎，另一段连接一台计算机的RS232接口。

计算机上启动超级终端，写入连接名称，如图3-1所示。

图3-1建立连接下一个页面要求用户选择用来连接引擎的串口名称，假设为com1，如图3-2所示。

安装手册天玥网络安全审计系统图3-2选择端口点击configure按钮，配置传输速率等内容，选择还原为默认值即可，如图3-3所示。

天玥网络安全审计系统安装手册图3-3配置端口属性点击确定后进入引擎登录界面，如图3-4所示。

图3-4登录输入用户名venus，密码venus.ca即可进入配置页面，如图，注意，登录密码建议管理员修改后妥善保管，以防止非授权用户对系统的访问和配置。

3.3 GE设备的串口配置3.3.1 连接用配件盒中的串口线一端连接GE设备，另一端连接一台计算机的RS232接口。

计算机上启动超级终端，超级终端的设置和连接引擎类似。

连接成功后，即可进入GE 设备的串口程序登录页面，输入用户名venus，密码venus.ca，页面显示所有的串口功能配置选项，如图3-26所示。

第31页图3-26 GE功能选项GE 的出厂默认设置见表3-3。

表3-3GE出厂默认设置引擎IP192.168.0.201可更改设置数据中心IP192.168.0.200可更改设置网卡类型Eth0为管理口，Eth1为业务口。

可更改设置系统路由无可更改设置串口登录口令venus.ca可更改设置S SH登录开关打开可更改设置网口协商模式自识别可更改设置硬件狗开关关闭可更改设置自动删除最旧数据开关打开可更改设置进程监控开关关闭可更改设置天玥网络安全审计系统安装手册阻断开关打开可更改设置S yslog服务器IP和端口IP地址:192.168.0.1端口:514可更改设置IP地址:0.0.0.0端口:514S NMP团体名venus.ca.snmp可更改设置数据中心接收数据端口号30061可更改设置引擎接收命令端口号30061可更改设置W eb访问方式http或则https可更改设置http端口80https端口443系统版本信息V6.0 Release8.8不可更改设置3.3.2 功能介绍1、显示所有配置选择1，显示GE目前的配置。

如图3-27所示。

图3-27显示所有配置2、GE 授权安装手册天玥网络安全审计系统GE 授权内容包括，引擎业务口个数、审计服务数、管理引擎数、认证功能、会话回放功能，三层关联功能、多级管理功能。

如果用户购买了更多的审计服务数等授权，可以在这里导入。

3、设置系统IP选择3，设置GE的IP和掩码，默认日志口是第一块网卡（序号0），地址为10.163.6.105。

首先配置网卡0 的地址，和引擎的IP 配置过程类似。

如图3-28所示。

图3-28设置系统IP配置数据中心IP地址选择5，配置数据中心的IP地址；由于GE设备的引擎和数据中心是在一个设备中集成，部署的时候，此地址填写为GE设备通讯口的地址。

如图3-29所示。

天玥网络安全审计系统安装手册图3-29数据中心IP配置4、设置系统路由如果GE系统需要跨网段通信，选择4，为GE配置路由，假设用户需要添加一条路由，则输入路由总条数1，然后写入目的子网网络地址和掩码，输入网关地址。

如图3-30所示。

安装手册天玥网络安全审计系统图3-30设置系统路由5、网卡配置在网卡配置中，用户可以对网卡功能模式、网卡协商模式进行配置。

a) 配置网卡工作模式先选择6网卡配置项，然后选择1子选项，设置网卡的类型。

GE 设备上有四块或者8 块网卡，Eth0 为管理口，这个网口也提供Web 访问的功能。

Eth1为业务口，用户可以根据需要修改每块块网卡的类型，添加业务口。

更改网卡工作模式后，需要重启才能生效。

如图3-31所示。

天玥网络安全审计系统安装手册图3-31设置网卡类型b) 配置网口协商模式先选择6网卡配置项，然后选择2子选项，设置网卡的协商模式。

与引擎此功能类似。

6、通信配置在通信配置中，用户可以配置SYSLOG服务器IP和端口，还可以配置数据中心的web 访问方式。

a) 配置SYSLOG 服务器IP 和端口先选择7通信配置项，然后选择1子选项，配置SYSLOG服务器IP和端口。

如图3-32所示。

安装手册天玥网络安全审计系统图3-32配置SYSLOG服务器IP和端口b) 配置GEweb 访问方式先选择7通信配置项，然后选择2子选项，配置GEweb访问方式。

GEweb 访问方式，默认同时支持http 和https 两种。

用户可以在此进行配置，有三种可以选择：只支持http、只支持https、同时支持http和https。

选择完访问方式之后，还可以修改选中的访问方式的端口号。

如图3-33所示。

天玥网络安全审计系统安装手册图3-33配置GEweb访问方式7、功能开关配置在功能开关配置项中，用户可以对ssh登录、阻断、硬件狗、删除硬盘数据、进程监控等功能项进行启用或禁用操作。

a) 启用或禁用ssh 登录先选择8功能开关配置，然后选择1启用或禁用ssh登录子选项。

引擎默认打开ssh访问端口，如果用户不需要对引擎进行ssh访问，建议关闭此端口。

b) 启用或禁用阻断先选择8功能开关配置，然后选择2启用或禁用阻断子选项。

引擎默认打开阻断开关，保证策略阻断生效。

如果关闭此开关，即使如果策略配置了对于审计事件和会话的阻断，依然不会执行阻断动作。

如果用户想让所有阻断动作不执行，但又不想修改策略，可以在这里关闭阻断开关。

c) 启用或禁用硬件狗先选择8功能开关配置，然后选择3启用或禁用硬件狗子选项。

引擎默认关闭硬件狗，硬件狗是引擎操作系统的守护进程，如果操作系统出现问题导致死机，硬件狗会自动将系统重新启动，如果关闭硬件狗，系统故障后不能自动安装手册天玥网络安全审计系统重启。