itsecDeep Security实施方案Word文档下载推荐.docx

itsecDeep Security实施方案Word文档下载推荐.docx

《itsecDeep Security实施方案Word文档下载推荐.docx》由会员分享，可在线阅读，更多相关《itsecDeep Security实施方案Word文档下载推荐.docx（42页珍藏版）》请在冰点文库上搜索。

（Windows2008x64）

CPU:

2.0G*2/内存：

8G/硬盘空间：

80G

提前申请

共享存储

1

DSM后台SQL数据库

VM虚拟主机（Windows2008x64）+SQL2008R2

vShieldEndpointManager

VMWareVShieldManager服务器

NA

导入OVF模板

DSVA

X

X套DSVA无代理防护组件

ESXi本地磁盘空间大于25G

本地磁盘，避免自动漂移

2.5程序准备

以下程序由趋势科技提供：

序号

程序名

版本

语言

DeepSecurity

9.0SP1

中文版

vShieldManager

5.1

3

DeepSecurity序列号

3安装步骤说明

当申请的虚拟机到位时可以进行如下步骤进行安装

3.1部署vShield

3.1.1资源表

资源名称

资源内容

操作系统

DSM准备的服务器

Windows2008R264位

需求参见服务器资源详细章节

安装程序

vShieldManager5.1的OVA模版文件

密码

vShieldManager的密码

参见密码表

4

IP地址

IP：

168.168.47.4/5/6

MASK：

255.255.0.0

Gatwey：

168.168.18.254

DNS：

168.168.168.81

168.168.168.82

5

主机和存储

部署在资源占用较小的ESXi主机和存储中

6

操作人员

Vmware管理员通过VphereClient完成操作

3.1.2部署后配置

1）IE登录VshieldManager，https:

//168.168.47.4以及5/6控制台

用户名密码见密码表

2）配置vcenter信息进行同步168.168.47.4vShield服务输入168.168.14.13，需要VMware管理员输入用户名密码

3）弹出的安全警告点击“是”

4）加载vCenter完毕如下

3.1.3部署Endpoint到ESXi

VMwareVshieldManager部署Endpoint到ESXiServer

（1）、访问管理控制台https:

//168.168.47.4/5用户名：

admin密码：

default

（2）、展开【数据中心】到新增加的ESXiServer，点中后，右侧Summery显示vShieldEndpoint安装选项，点击右侧的【Install】

（3）、刷新到安装界面，直接点击【Install】按钮。

安装过程，页面将自动刷新，不要参与处理

（4）、安装过程将会有添加端口组合防火墙端口的信息在任务窗口显示

（5）、安装成功后后再次刷新的【Summary】显示如下图。

3.2安装SQL数据库

3.2.1资源表

Windows2008R264位，需求参见服务器资源详细章节

MicrosoftSQL2008R264位

168.168.47.3

Sa账户预设的密码，参见密码表

3.2.2安装步骤

安装数据库到所分配的主机中

3.2.3安装后配置

1）在开始菜单中找到SQLServerManagementStudio，打开

2）打开SQL连接服务器界面，在服务器名称处输入点“.”或输入“127.0.0.1”，身份验证选择“SqlServer身份验证”，并输入sa账户和密码，密码详细见密码表。

点击连接进入

3）在打开的管理界面，右键单击“数据库”，选择“新建数据库”

4）新建数据库页面，在数据库名称处填写大写的“DSM”并确定

5）创建完毕后会在数据库中显示DSM数据库名称

3.3安装DSM

3.3.1资源表

DeepSecurity9.0SP1程序

168.168.47.1/2

1.DSM管理账户masteradmin预设的密码

2.数据库Sa账户的密码

3.vShieldManager用户名密码

4.vCenter管理员账户密码

详细参见密码表

3.3.2安装步骤

3.3.3安装后配置

1）添加vCenter到DSM

1在IE地址栏输入https:

//168.168.47.1:

4119点击“继续浏览此网站”并输入用户名：

masteradmin密码见密码表

2进入欢迎界面，取消勾选“Showthisagainafterthenextsign-in”，并点击close关闭该窗口

3打开控制台页面如下显示

4选择“Computers”à

右键单击左侧栏的“Computers”

5选择“AddVMwarevCenter”，添加vCenter

6弹出提示狂输入vCenter信息，本次仅注册一厂主环境和二厂主环境，逐一添加，重复第5步开始。

并点击Next继续

ServerAddress=168.168.14.13（168.168.17.110）

ServerPort=443

Name=默认

Description=FAW-VW

Username=vCenter管理员账户，vmware管理员输入

Password=vCenter管理员密码，vmware管理员输入

7弹出提示匡输入vShieldManager信息，并Next继续

ManagerAddress=168.168.47.4（168.168.47.6）

ManagerPort=443

Username=admin

Password=default

验证vCenter&

vShieldManager可以连接过程

8确认链接信息点击“Accept”继续

开始注册

9添加完毕提示发现的主机及虚拟机信息，点击Finish

10连接成功提示，直接close

11注册完毕后控制台界面如下

2）更新配置

手动更新

1）点击“Administration”管理，并选择“Updates”在安全更新选项卡最下方点击“DownloadSecurityUpdates”

2）弹出更新向导，点击“finish”完成，并开始更新

注意：

手册更新过程时间较长，约30分钟以上，此时保留该页面可以进行其他操作

更新完毕后会显示所有更新情况信息

任务更新

1）在“Administration”à

“ScheduledTasks”中点击“New”

2）弹出的向导页面，选择type中“DownloadSecurityUpdates”，“Daily”并点击Next继续

3）StartTime选择00:

30执行，EveryDay

4）应用主机为AllComputers

5）创建完成信息确认，并点击Finish

6）创建完成后如下显示新建的任务

3）策略模版设置

1.在Policies中选择Policies，并选择New创建新策略NewPolicy

2.策略名称输入“电信集团虚拟化防御策略”，在Inhritfrom中选择DeepSecurity根路径，并next继续

3.默认选择，点击next继续

4.选择要部署的主机，并next继续

5.初期部署仅选择“MalwareScan”、“IntrusionPreventionRules”共3个模块，避免因防火墙及日志审计等引起虚拟机异常，部署稳定后逐一测试和条件开启。

6.确认开启的模块，点击Finish

7.创建完毕点击close

8.打开策略详细，开始配置，开启“MalwareScan”、“IntrusionPreventionRules”的两个，并保存

3.4部署DS驱动到ESXi

3.4.1部署DS驱动到ESXi主机（维护模式）

提前完成vMontion要部署的ESXi主机上的所有虚拟机到其他主机。

（1）、登陆管理控制台，https:

4119用户名：

masteradmin密码：

见密码表右键单击要部署的ESXiServer，【操作】è

【部署ESX…】

（2）、安装向导，点击【继续】

（3）、安装过程ESXServer将进入维护模式，确认上面的VM都已经迁移到其他ESX主机后点击【继续】

（4）、部署过程

（5）、在vshareclient看到状态如下

（6）、安装完毕后，要选【不，稍后部署。

】并点击【继续】完成驱动部署

（7）、部署完成后，会在控制台显示【已准备】

3.5部署DSVA到ESXi主机

3.5.1资源表

本地存储

ESXi主机本地存储大于20G

根据IP地址对照表，对应ESXi主机

VLANID

3.5.2部署DSVA

确认要部署的ESXi主机本地存储有20G以上空间，确认DSVA的VLANID。

（1）、登陆DSM控制台，右键单击新的ESXiServer，【操作】è

【部署设备…】

（2）、部署向导开始

（3）、部署信息填写：

【设备名称】规则为DSVA+ESXServer名称，如VMMSDSVA1

【数据存储】务必存储到datastore上，即部署到ESXiServer本机磁盘中，避免PDM自动vMonitonDSVA。

【文件夹】选择当前部署的vCenter名称；

【管理网络】选择虚拟交换机的VLAN（提前确认）

（4）、填写【设备主机名】与上一步设置的【设备名称】相同。

在TCP/IP中，根据已分配IP地址填写。

点击【继续】

（5）、存储虚拟磁盘分配，选择【完整配置格式】。

点击【完成】

（6）、部署生成设备软件包，无需参与

（7）、SSL证书许可，点击【接受】

（8）、如果IP地址已经设置并能正常通信点击立即激活，否则选择【不，稍后激活】并点击【关闭】

3.5.3配置DSVA项

VC中网络配置

（1）、使用vSphereClient登陆vCenter，右键单击已部署的DSVA虚拟机，点击【编辑设置】

（2）、在打开的虚拟机属性中找到“网络适配器1”，点中后在右侧“网络标签”下拉选择虚拟交换机，【确定】完成配置

虚拟机中配置

（3）、使用vSphereClient打开DSVA的控制台

（4）、按键盘“F2”进入配置项，输入的用户名和密码都是：

dsva

（5）、键盘向下选择“ConfigureManagementNetwork”并回车进入配置

（6）、配置分配的IP地址，利用空格将DHCP取消掉，输入对应的IP地址，参见IP地址分配表，输入完毕后“回车”确认保存

（7）、时区配置，选择【ConfigureTimeZone】，并选择【Asia】，回车确认保存

（8）、选择【Asia/Shanghai】并回车确认

3.5.4激活DSVA组件

（1）、登陆DSM管理控制台，右键单击刚刚安装驱动的DSVA【操作】è

【激活设备】

（2）、进入激活DSVA向导，点击【继续】进入后续步骤。

（3）、安全配置文件选择“电信集团DS策略”，确保策略统一。

（4）、继续后开始搜索虚拟机设备。

（5）、搜索到虚拟机，如果VMTools未升级请选择【不，稍后激活】

（6）、激活完成，并点击【关闭】

3.6部署VMwaretools（重启VM）

（1）、使用vSphereClient打开需要安装/升级VMwaretools的虚拟机，并在菜单中选择【虚拟机】è

【客户机】è

【安装VMwaretools】

（2）、如果已经安装过VMwaretools，将会出现如下提示，需要选择【交互式工具升级】

（3）、在控制台中会弹出安装VMwaretools提示，点选【运行】

（4）、准备VMwaretools过程

（5）、进入安装向导，点击【下一步】

（6）、默认【修改】，如果为新装需要选择【自定义】，并点【下一步】继续。

（7）、自定义安装中需要选择安装【VMCI驱动程序】下的【vShield驱动程序】，进入下一步。

（8）、点击【修改】

（9）、安装向导完成。

必须完成重启操作才能激活

（10）、登陆DSM管理控制台，点选已安装/升级VMwaretools的虚拟机，右键单击并点【操作】，并点击激活。

至此安装工作已完成