北信源内网安全管理系统用户使用手册

admin管理员组

文章数量:1530281

2024年7月30日发(作者：)

未安装探头时显

示补丁类型

管理员自行设置显示补丁类型（操作系

统补丁、IE补丁、应用程序补丁等）

是否提示下载探

对于没有注册的用户，提示进行注册

头

指向网页管理平台

探头下载地址

ip/vrveis/download/

表3- 5补丁下载设置参数说明

补丁检测中心

在web登录页面点击【工具下载】，进入工具下载页面，如下

图所示：

图3- 8登录页面

图3- 9工具下载页面

点击【补丁检测中心】进入补丁检测中心页面，如下图所示：

图3- 10补丁检测中心

客户端补丁检测（二）

本功能主要用于网络管理员对客户端计算机进行补丁检测，通

过Web管理平台中的终端控制功能对客户端进行漏打补丁检测，

详细列出客户端当前补丁安装状况，通过终端管理功能对客户

端机器进行补丁管理。

具体操作：终端管理?终端点-点控制?查看漏打补丁

图3- 11客户端补丁漏打检测

第四章

策略中心

北信源主机监控审计系统

行为管理及审计

文件输出审计策略

功能说明：该功能用来屏蔽和设置选定客户端的文件输出和监

控。其中包括设置打印机拒绝打印的文件类型、将固定扩展名

的文件拷贝到网络盘、禁止发送邮件和对审计结果的上报。这

里的打印控制与审计功能包括本地打印和网络打印。

参数说明：

参数

说明

选定“禁止打印文件”复选框，设置不允

打印输出控制

许目标对象打印的文件扩展名即可，如果

保持空白，则所有文件均可打印，如果选

定“审计打印文件”复选框，所有打印的

文件都要经过内网安全管理系统的审计备

案。

选定“禁止将文件拷贝到网络盘”复选

框，可在“禁止拷贝文件扩展名”的空格

网络共享输出

控制

处填入相应的文件扩展名。如果选定“审

计网络拷贝文件”复选框，所有网络拷贝

的文件都要经过内网安全管理系统的审计

备案。

选定“禁止发送邮件”复选框，即可禁止

发送邮件。如果选定“审计发送邮件”复

邮件输出控制

选框，所有发送的邮件都要经过内网安全

管理系统的审计备案。

表4- 1文件输出审计策略参数说明

注意事项：

1．本策略涉及到网络办公的一些功能，请在设置前规划好需

求。

文件保护及审计策略

功能说明：

1．保护和审计客户端的指定目录和网络共享文件的读取、修

改、删除权限。

2．可以设置当哪些进程操作指定文件时进行保护，哪些进程

操作指定文件时不实施保护。

注意事项：

1．本策略涉及到网络办公的一些功能，请在设置前规划好需

求。

2．建议修改本策略者在管理员或专业技术人员的帮助下修改

本项策略，以免影响计算机的正常使用。

上网访问审计

功能说明：该功能用来审计对Web站点的访问，并且能够将审

计结果处理上报到服务器或者记录到本地文件。

参数说明：

参数

说明

站点名

设置需要或不需审计的web站点的名称。

指选择是否对列表中的web站点的访问进

限制方式

行审计的处理方法。“仅审计对以下Web

站点访问”的方式，是指对列表中的web

站点的访问进行审计。“仅不审计对以下

Web站点访问”的方式，是指对列表中的

web站点的访问不进行审计。

对审计结果处

理

对web站点进行审计后的结果有两种处理

方式：上报到服务器、记录到本地文件。

表4- 2上网访问审计策略参数说明

上网控制策略

功能说明：屏蔽选定用户（在本策略的对象中设定的）计算机

的一些指定网站的屏蔽。

注意事项：

1．这种限制上网的方式只能限制通过域名访问站点的上网方

式，对直接用ip访问的客户机没有什么效果。

IM即时通讯记录审计

功能说明：对即时通讯软件的通讯记录通过设置关键字进行审

计，审计结果可以保存在本地也可以上报到服务器。

注意事项：

1．目前支持QQ和MSN两款软件。

安全刻录审计

功能说明：对客户端的刻录操作进行控制与审计，包括是否允

许刻录、允许刻录的文件类型、不允许刻录的文件类型等。

涉密检查策略

上网访问痕迹检查

功能说明：检查访问某一特定网络的历史信息，针对IE缓存、

IE清单、Cookie信息、收藏夹，在检测网络地址中输入网站

的域名后，单击【添加到列表】按钮，最后保存策略并指派对

象，启动策略即可。如果待检查的计算机中留有以列表中列举

的信息，则显示提示信息框。

文件内容检查

功能说明：对指定的某一文件夹或某一类型文件，检查是否有

违规的信息。添加检测文件夹的名称及检测文件的后缀名称，

按逻辑条件进行检测，“or”代表两个条件中有一个成立则检

测，“and”代表两个必须要都符合才检测。

参数说明：

参数

说明

设置需要进行检测的文件夹。保持为空则

检测文件夹

全盘检测,否则请输入盘符或路径。

检测文件后缀输入要检测的文件的后缀名。选中“仅检

其他策略

名

测符合的文件名”选项只检测文件名字，

不检测文件内容。文件名(不带扩展名)在

检测内容中输入，最多可同时检测3个文

件。

逻辑条件匹配设置检测条件为“与”或“或”的关系，

方式

即“AND”、“OR”。

三个检测内容项分别填写三个需要检测的

检测内容

文件。

表4- 3文件内容检查策略参数说明

终端涉密检查配置

功能说明：创建涉密检查工具的桌面快捷方式，用户可以直接

使用。

终端文件粉碎配置

功能说明：创建终端文件粉碎工具的桌面快捷方式，用户可以

直接使用。

终端配置策略、管理器策略、按对象分配策略、策略下发查询

请参照第二章北信源内网安全管理系统的策略中心中的对应项。

数据查询

上网访问审计

审计指定范围内的客户端在指定时间段的上网访问记录。

上网访问统计

统计指定范围内的客户端在指定时间段内访问指定网站的上网

记录，包括访问的网站信息以及访问次数等信息。

IM即时通讯审计

审计指定范围内的客户端在指定时间段的IM即时通讯记录，

包括QQ、MSN两种通讯软件的通讯记录。

文件输出审计

审计指定范围内的客户端在指定时间段的文件输出，包括对打

印文件输出，电子邮件输出，网络共享输出三种文件输出方式

的审计。 文档打印记录 查询指定范围内的客户端在某个时间

段的打印记录，包括文档名称、打印份数、页数、文件大小和

打印进程等信息。

文件保护审计

审计指定范围内的客户端在指定时间段的对被保护文件的操作，

包括访问文件、修改文件和删除文件。

涉密检查查询

根据策略中心中配置的策略，进行包括IE访问涉密检查（IE

缓存、IE清单、cookie信息、收藏夹），文件内容涉密等方

面的查询。

第五章

策略中心

北信源移动存储介质使用管理系统

可移动存储管理

可移动存储审计

功能说明： 对移动存储设备接入做控制，对非本单位的移动

设备自动识别（需要对本单位的移动设备添加标签）。

通过对移动设备的读写控制及审计操作，来管理移动设备的行

为操作，在本单位的移动设备中添加标签的操作需要使用移动

存储设备认证工具完成。具体配置，见附录(二)。

注意事项：

1．禁用u盘、软盘、光盘的一部分功能，也可以在硬件设备

控制策略中完成，功能上没有什么区别，用户可以根据自己的

习惯和用途，自行设定。

2．审计只审查文件名，不对文件内容进行检索。

其他策略

终端配置策略、管理器策略、按对象分配策略、策略下发查询

请参照第二章北信源内网安全管理系统的策略中心中的对应项。

数据查询

移动设备审计

审计指定范围内的客户端在指定时间段的移动设备操作，包括

移动设备接入、读取移动设备、写入移动设备和SAFE6登录审

计。

第六章

网关接入配置认证

北信源网络接入控制管理系统

配合硬件网关，进行网关重定向配置。

图6- 1网关接入认证

图6- 2重定向配置

点击“接入用户管理”，添加接入的用户。

图6- 3用户添加

策略中心

接入认证策略

指对接入网络中的设备的一种认证方式，主要包括以下策略：

补丁与杀毒软件认证策略

功能说明：对杀毒软件运行状态及病毒库版本安全检测和系统

补丁安装情况的安全检测。当终端未运行杀毒软件时可以依据

策略提示用户、指定下载地址让用户去安装、甚至直接限制网

络访问、进行Vlan隔离，当漏打指定列表中补丁时则提示、

指定相应的url地址去下载安装或者直接限制网络访问，当限

制网络后可以添加允许安全服务器访问的地址。

参数说明：

参数

说明

可以把杀毒软件的安装包放在指定的URL

未运行杀毒软

页面中，当客户端没有运行杀毒软件软件

件执行(URL地

时，就直接打开这个网址或直接运行安装

址)

包。

未运行杀毒软

件时

根据策略做相应处理：会根据策略中的

“接入认证配置”的配置做相应处理。

限制网络访问客户端被限制网络访问后，允许其连通的

后，允许安全

服务器连通列

表

服务器。安全服务器的作用是修复客户

端。

表6- 1补丁与杀毒软件认证策略参数说明

策略实例：

图6- 4补丁与杀毒软件认证策略

注意事项：

1．“系统补丁安全检测”仅设备启动时检测一次。

2．被限制访问后下次重新启动才会恢复。

进程服务注册表认证策略

功能说明：在身份认证之前依据事先制订的策略，先对接入的

客户端进行安全检查，检查是否运行了指定运行的进程，是否

开启了指定的服务，注册表里是否有指定的项、键值、键名。

接入认证策略

功能说明：协议是基于Client/Server的访问控制和认证协议。

它可以限制未经授权的用户/设备通过接入端口访问网络。在

获得交换机或LAN提供的各种业务之前，对连接到交换机端口

上的用户/设备进行认证。在认证通过之前，只允许EAPoL

（基于局域网的扩展认证协议）数据通过设备连接的交换机端

口；认证通过以后，正常的数据可以顺利地通过以太网端口。

如下图所示：

图6- 5接入认证策略

根据配置，可以做到两种方式联网；a.当策略检测符合要求后

认证成功会自动联网；b. 也可以在已经配置好交换机，当终

端接入交换机中，会弹出认证界面。下面我们以第二种为例：

图6- 6 802．1x认证界面

输入Radius服务器中预先设置的用户名和口令，开启认证，

如图：

图6- 7 802．1x认证界面

如果安全检查与策略中设定的策略有违规，认证客户端则不允

许进行认证，如图：

图6- 8安全检查没有通过，不启动认证

安全检查通过后，如果输入的用户名和口令不符合Radius服

务器中预先设订用户名和口令，则认证也失败，如图：

图6- 9认证失败

注意事项：

1．认证状态有三种颜色，红色：认证失败。黄色：未进行认

证。绿色：认证成功。

2．密码验证类型：客户端与服务端类型一致才可以通过。

3．证书认证，需要相应证书的USBkey与密钥支持。

网关接入认证

功能说明：配合硬件网关，进行网关重定向配置。

注意事项：

1．选择可添加网关：需要先配置“网关接入认证”。

VIFR接入认证

功能说明：虚拟隔离强制注册。

参数说明：

参数

说明

非主控服务器可以处理一些主控服务器执

行的任务。

多重控制

在子网区域规模较大的情况下使用，减轻

主控服务器的压力。

正常情况下，未注册和注册的机器可以互

终端校验

相访问。勾选本选项后，未注册终端就不

能访问已注册终端，但是已注册终端依旧

可以访问未注册终端。

用来保护重要的服务器。

限制非法接入

终端访问的重

要服务器

默认情况下，未注册的终端是不可以访问

不在同一个网段的重要服务器，但是可以

访问在同一个网段的重要服务器的。

表6- 2 VIFR接入认证策略参数说明

其他策略

终端配置策略、管理器策略、按对象分配策略、策略下发查询

请参照第二章北信源内网安全管理系统的策略中心中的对应项。

环境准备方法

安装RADIUS (windows IAS)

安装RADIUS

1．进入添加/删除程序中添加/删除Windows组件，选择网络

服务中的Internet验证服务

图6- 10添加Internet验证服务组件

2．安装IAS后，进入IAS配置界面

图6- 11 IAS配置界面

为RADIUS服务器添加客户端

1．右击“RADIUS客户端”，选择“新建RADIUS客户端”。

客户端地址为验证交换机的管理地址，点击【下一步】。

图6- 12新建RADIUS客户端

2. 选择“RADIUS Standard”，共享机密为交换机中所配置的

key。点击【完成】。

图6- 13新建RADIUS客户端

3. 右击“远程访问策略”，单击“新建远程访问策略”。

图6- 14新建远程访问策略

设置远程访问策略

1．为策略取一个名字，点击【下一步】

图6- 15设置远程访问策略

2．选择以太网，点击【下一步】

图6- 16设置远程访问策略

3．选择用户，点击【下一步】

图6- 17设置远程访问策略选择用户

4．使用MD5质询，点击【下一步】，并完成。

图6- 18设置远程访问策略使用MD5质询

5．在右面板中右击所新建的策略，选择“属性”。

图6- 19设置远程访问策略新建的策略

6．点击【添加】，选择“Day-And-Time-Restrictions”

图6- 20选择Day-And-Time-Restrictions

7．选择【添加】，选择【允许】，单击【确定】。

图6- 21选择允许

8．删除NAS-Port-Type匹配”Ethernet”，并选择授予访问

权限

图6- 22设置属性

9．单击编辑配置文件，选择高级-------【添加】

选择【添加】

[64]Tunnel-Type：VLAN

[65]Tunnel-Medium-Type：802

[81]Tunnel-Pvt-Group-ID：VLAN ID

图6- 23添加属性值vlan

图6- 24添加属性值802

图6- 25添加属性值600

图6- 26添加属性值600

10．单击【确定】

图6- 27编辑拨入配置文件

设置连接请求策略

1．右击连接请求策略，选择新建连接请求策略

图6- 28新建连接请求策略

2．选择自定义策略，并为该策略取个名字

图6- 29为策略取名字

3．策略状况选择添加Day-And-Time-Restrictions，配置方

法同上。然后一直【下一步】并完成。

图6- 30策略配置

添加认证用户

1．添加远程登录用户。在本地用户和组中新建一个用户。

图6- 31添加远程登录用户

2．右击新建的用户，进入属性，选择隶属于，删除默认的

USERS组

图6- 32设置用户属性

3．点击拨入，设置为允许访问

图6- 33设置test用户

4．打开组策略?计算机配置?windows设置?安全设置?帐户策

略?用可还原的加密来存储密码启用

图6- 34设置启用

5．IAS配置完成。

6．VRV EDP Agent认证成功。

图6- 35 VRV EDP Agent认证成功

7．Radius Server:Cisco

注：安装Cisco ACS 前，需要先安装JDK环境

（1）进入Cisco ACS 配置页面

点击User Setup，进入创建用户界面

图6- 36创建用户界面

（2）输入用户名并选择Add/Edit进行用户的添加

图6- 37用户添加

（3）为该用户设置密码

图6- 38设置用户密码

（4）进入Network Configuration

图6- 39进入Network Configuration

AAA Clients 为交换机，IP地址是交换机的管理IP

AAA Servers 为Radius服务器的地址

AAA Client 配置

图6- 40 AAA Client 配置

（5）AAA Server配置

图6- 41 AAA Server 配置

（6）进入Interface Configuration

图6- 42进入Interface Configuration

（7）进入RADIUS(IETF)，勾选第64，65，81项，保存

图6- 43进入RADIUS(IETF)

（8）进入Group Setup

图6- 44进入Group Setup

（9）选择Edit Settings，勾选第64，65，81项

64Tag1选择VLAN

65Tag1选择802

81Tag1选择需要跳转的VLAN ID号。

即管理员可给属于不同VLAN的客户端分发用户名和密码，让

他们在输入用户名和密码进行验证后跳转至属于自己的VLAN

当中。

图6- 45进入Edit Settingsp

各厂商交换机配置

Cisco2950配置方法

Enable /*进入特权模式*/

config t /*进入全局配置模式*/

aaa new-model /*启用aaa认证*/

aaa authentication dot1x default group radius /*配置认

证使用radius服务器数据库*/

aaa authorization network default group radius/*VLAN

分配必须*/

vrv /*指定radius服务器地址为，通信密钥为vrv，端口不

用制定，默认1812和1813*/

radius-server vsa send authentication /*配置VLAN分配

必须使用IETF所规定的VSA值*/

int vlan 1

no shut

/*为交换机配置管理地址，以便和radius服务器通信*/

int range f0/1 - 11

dot1x port-control auto

switchport mode access

/*为1到11端口配置dot1x，12端口不配*/

dot1x guest-vlan ID （VLAN跳转命令）

exit

/*退回全局配置模式*/

dot1x system-auth-control

/*全局启动dot1x*/

aaa authentication login default line enable local

/*开启telnet远程登录*/

exit

/*退出全局模式*/

2950交换机上VLAN的配置

华为3COM 3628配置

vlan database

vlan ID

enable

config t

int range f0/1 – 20

switchport access vlan ID

switchport mode access

spanning-tree portfast

dis cu

#

sysname H3C

#

domain default enable test

#

dot1x

dot1x timer tx-period 10

dot1x retry 4

#

radius scheme system

radius scheme test

server-type standard

key authentication vrv

key accounting vrv

user-name-format without-domain

#

domain system

domain test

scheme radius-scheme test

vlan-assignment-mode string

#

vlan 1

#

vlan 46

#

vlan 600

description guest

#

vlan 601 to 602

#

interface Vlan-interface46

#

interface Aux1/0/0

#

interface Ethernet1/0/1

port access vlan 600

dot1x port-method portbased

dot1x guest-vlan 601

dot1x

#

interface Ethernet1/0/2

#

interface Ethernet1/0/3

#

interface Ethernet1/0/4

#

interface Ethernet1/0/5

#

interface Ethernet1/0/6

#

interface Ethernet1/0/7

#

interface Ethernet1/0/8

#

interface Ethernet1/0/9

#

interface Ethernet1/0/10

#

interface Ethernet1/0/11

#

interface Ethernet1/0/12

#

interface Ethernet1/0/13

#

interface Ethernet1/0/14

#

interface Ethernet1/0/15

#

interface Ethernet1/0/16

#

interface Ethernet1/0/17

#

interface Ethernet1/0/18

#

interface Ethernet1/0/19

#

interface Ethernet1/0/20

#

interface Ethernet1/0/21

#

interface Ethernet1/0/22

port access vlan 601

#

interface Ethernet1/0/23

#

interface Ethernet1/0/24

#

interface GigabitEthernet1/1/1

#

interface GigabitEthernet1/1/2

#

interface GigabitEthernet1/1/3

#

interface GigabitEthernet1/1/4

port link-type trunk

port trunk permit vlan 1 46 600 to 602

#

undo irf-fabric authentication-mode

#

interface NULL0

#

锐捷RGS21配置

voice vlan mac-address 0001-e300-0000 mask ffff-ff00-

0000

#

ip route-static 0.0.0

#

user-interface aux 0 7

user-interface vty 0 4

#

return

hostname Switch

vlan 1

!

vlan 600

name 600 j9=Gq+/7R:>HE,1u_;C,&-8U0

enable secret level 15 5 !fjo+/7RqgkE,1u_dhl&-

8U0ein'.tj9

interface fastEthernet 0/45

dot1x port-control auto

3”3”ET和Windows Forms编写，所以需要新的配置方式，

现做出以下服务器端的IIS配置说明：

步骤一：计算机（右键）-选择“管理”,打开“服务器管理器”

-“角色”-（右键）添加角色-下一步-选择需要安装的服务器

角色，这里选择“WEB服务器(IIS)”，由于这里已经安装，

所以显示（已安装），提示这里在安装时，在里面包含及WEB

服务扩展选项，为了兼容性更稳定需勾选！然后，点击“安

装”，直到安装结束，重新启动计算机。

附图- 1添加角色向导

本文标签： 策略访问文件认证检测