天珣内网安全风险管理与审计系统 - 图文

天珣内网安全风险管理与审计系统直销版V6.6.9.2 - 解决方案模板

按照由简到繁的次序，先实施所有用户都必须遵守的安全策略，然后再根据不同分支机构、部门和用户，步进式下发和执行各级安全策略，从而实现安全级别步进式提高，构建立体的、混合模式的终端安全策略管理体系。

3.2. 部署环境要求

3.2.1. 管理服务器要求

硬件：

CPU PIII 1G 或以上 内存 2G 或以上 硬盘 2G 或以上空闲 10/100/1000M 网卡 软件：

Windows Server 2003 SP1以上 .Net Framework 2.0 MDAC 2.7或以上 SQL Server 2005或以上

3.2.2. 客户端要求

硬件：

CPU Pentium 133M 或以上

内存64M 或以上 ，最好128M 以上 硬盘50M 或以上空闲 10/100/1000M 网卡 软件：

Windows 98/ME/2000/XP/2003/Vista/7/2008(32位)

启明星辰 35 http://www.venustech.com.cn

天珣内网安全风险管理与审计系统直销版V6.6.9.2 - 解决方案模板

3.3. 管理服务器的安装位置

天珣内网安全风险管理与审计系统支持多管理服务器架构。每个服务器服务一个或多个园区。而这些服务器可以相互备份，在一个统一的控制台接受集中管理。如果一台服务器宕机，其服务的用户会自动被其他的服务器接管。每一个管理网段的电脑都有3次从服务器获取策略的机会，它们首先会从Primary的管理服务器获取策略，如果失败，则从Secondary的管理服务器获取策略，如果再失败，则从中心服务器获取策略，如果还是失败，则使用客户端本地缓存的策略。分布式多服务器架构使天珣内网安全风险管理与审计系统具有优秀的容错性、可伸缩性，支持的客户端数量从数百个到数万以至更多，而部署极为平滑，性能不受影响。

在本次实施中，需要部署两台管理服务器，一台中心服务器，一台本地服务器。两台管理服务器都安装在中心机房，要求本次实施的所有的客户端电脑及策略网关都可以通过TCP/IP协议的7890端口访问到管理服务器。因为中心服务器有日常的管理负荷，建议中心服务器管理3000台终端电脑，本地服务器管理5000台终端电脑。对于任何一个管理网段，如果其Primary Server为其中一台，则其Secondary Server将被设为另外一台。

中心服务器 本地服务器 Primary Secondary Secondary Primary 管理网段一 管理网段二

启明星辰 36 http://www.venustech.com.cn

天珣内网安全风险管理与审计系统直销版V6.6.9.2 - 解决方案模板

3.4. 管理服务器分级策略

在分布式多服务器架构下，中心服务器是整个系统策略集中存放的地方，本地服务器是进行日常的策略分发的地方。全系统只需要一个中心服务器，可以有多个本地服务器，中心服务器可以兼作本地服务器。在本次实施中，两台管理服务器都在公司总部的直接管理下，由总部的管理员进行管理。在今后的实施中，可以在各地市的分行架设本地服务器，由总部的管理员进行全局控制，而地市的管理员进行本地化的管理。

3.5. 管理员权限

在天珣内网安全风险管理与审计系统中，基本设置的操作必须有全局管理员权限才能进行，而普通的策略配置只需要普通管理员权限就可以进行。一个普通管理员定义的策略，另外一个普通管理员不能看见，也不能使用。全局管理员定义的策略，其他普通管理员可以使用，但不能修改。全局管理员可以使用、修改任何一个普通管理员或全局管理员定义的策略。对全局管理员或普通管理员，都可以设置“只读”属性，该管理员只能读取策略信息，不能增加、修改或应用策略。

在公司总部，建议设置三种管理员。一种管理员是全局管理员，这类管理员由一至二个成员组成，他们负责进行基本设置，或一些全局性的策略。第二种管理员是普通管理员，主要由他们进行策略配置，他们定义的策略具有本地属性，当今后部署范围扩大，安装了更多的本地服务器，有更多的管理员参与策略系统管理时，他们定义的策略不会被其他管理员使用。第三种管理员是只读管理员，一般对部门领导设置这种权限，他们可以查看系统，但不需要他们做策略配置。

3.6. 准入控制部署

准入控制的部署要根据网络实际情况，在不同的环境使用不同的准入控制技术。

启明星辰 37 http://www.venustech.com.cn

天珣内网安全风险管理与审计系统直销版V6.6.9.2 - 解决方案模板

3.6.1. 网络准入控制介绍

3.6.1.1. 基于802.1x的网络准入

对于接入交换机支持802.1X协议的区域，采用基于802.1x协议的网络准入控制。

下图是802.1x网络准入的部署图。

802.1X认证的Radius Server采用管理服务器自带的Radius Server，用户电脑安装天珣内网安全风险管理与审计系统客户端软件。天珣内网安全风险管理与审计系统支持分布式多服务器架构，建议部署2个Radius服务器，以对802.1X提供不间断的认证支持。

天珣内网安全风险管理与审计系统网络准入控制有4种认证手段

1. 基本认证：包括三个选项：“仅验证客户端运行”接入电脑只需运行了客户端

即可通过网络准入验证。“用户认证”不但需要验证客户端运行，而且需要与

启明星辰 38 http://www.venustech.com.cn