Vulnerability Protection 2.0 管理员指南

Transcription

1

2 趋势科技 ( 中国 ) 有限公司保留对本文档以及此处所述产品进行更改而不通知的权利 在安装及使用本软件之前, 请阅读自述文件 发布说明 和最新版本的适用用户文档, 这些文档可以通过趋势科技的以下 Web 站点获得 : Trend Micro Trend Micro t- 球徽标 Deep Security Control Server Plug-in Damage Cleanup Services eserver Plug-in InterScan Network VirusWall ScanMail ServerProtect 和 TrendLabs 是趋势科技 ( 中国 ) 有限公司 /Trend Micro Incorporated 的商标 或注册商标 所有其他产品或公司名称可能是其各自所有者的商标或注册商标 文档版本 : 1.0 文档编号 : APCM26469/ 发布日期 :2014 年 6 月 文档生成时间 : Jul 2, 2014 (14:05:15)

3 目录 简介... 5 概述... 6 系统要求... 7 产品功能... 8 用户指南 快速入门 : 系统配置 快速入门 : 保护计算机 系统 通信 定制控制台 事件日志记录和数据收集 电子邮件通知 警报 Syslog 集成 (SIEM) 安全更新 用户管理 数据库备份和恢复 添加计算机 本地网络 Active Directory 部署脚本 部署防护 基于客户端的防护 防护模块 防火墙 放行规则 入侵防御 漏洞扫描 ( 推荐设置 ) SSL 数据流 事件 警报和报告 事件标记... 79

4 保护便携式计算机 负载平衡器 参考 高级日志记录策略模式 命令行指令 计算机和客户端状态 在 Apache 中禁用 Diffie-Hellman 加密管理中心与数据库之间的通信 事件列表 客户端事件 防火墙事件 入侵防御事件 系统事件 手动停用 / 停止 / 启动客户端 手动升级计算机上的客户端 关于事件标记的更多信息 性能要求 策略 继承与覆盖 使用的端口 捆绑 NIC 支持

5 简介 简介 本节简要介绍了 Vulnerability Protection 的主要功能和基本系统要求 概述 : 有关 Trend Micro Vulnerability Protection 的简要概述 ( 第 6 页 ) 系统要求 : 有关 Vulnerability Protection 的系统要求 ( 第 7 页 ) 和支持平台的基本概述 有关更多详细信息, 请参阅 安装指南 功能 : 构成 Vulnerability Protection 系统的主要组件和防护模块 ( 第 8 页 ) 的描述 5

6 概述 概述 Trend Micro Vulnerability Protection 针对零时差威胁提供了高级漏洞屏蔽, 甚至在可以部署 Patch 前就对入侵加以阻止 Vulnerability Protection 是一款替代入侵防御防火墙 ( 防毒墙网络版模块 ) 的独立产品, 可以与其他完整的用户防护解决方案 ( 包括用于集中管理的控制管理中心 ) 配合使用 Vulnerability Protection 为计算机提供基于客户端的防护 防护包括 : 防火墙 入侵检测和防御 6

7 系统要求 系统要求 Vulnerability Protection 内存 :4GB( 建议使用 8GB) 磁盘空间 :1.5GB( 建议使用 5GB) 趋势科技建议在安装 Vulnerability Protection 管理中心及内嵌的 Microsoft SQL Server Express 数据库时分配 13 GB 的磁盘空间 操作系统 : Microsoft Windows 2012 R2(64 位 ) Microsoft Windows 2012(64 位 ) Windows Server 2008 R2(64 位 ) Windows Server 2008(32 位和 64 位 ) Windows 2003 Server SP2(32 位和 64 位 ) Windows 2003 Server R2 SP2(32 位和 64 位 ) 数据库 : Oracle 11g Oracle 10g Microsoft SQL Server 2012( 所有 Service Pack) Microsoft SQL Server 2008( 所有 Service Pack) Microsoft SQL Express 2008 R2 SP2( 内嵌 ) Microsoft SQL Express 2008 R2 SP2 需要.NET Framework 2.0 SP2 和 Windows installer 4.5 来支持 在 Windows 2008 及更高版本上, 请使用.NET Framework 3.5 SP1 Web 浏览器 :Firefox 12+ Internet Explorer 9.x Internet Explorer 10.x Internet Explorer 11.x Chrome 20+ ( 必须启用所有浏览器中的 Cookie ) 这些要求的前提是数据库已安装到单独的服务器上 Vulnerability Protection 客户端 内存 :128MB 磁盘空间 :500MB 支持的平台 :Windows Windows XP 或 Windows 2003 上运行的 Windows 客户端在 IPv6 环境中无法正常工作 7

8 产品功能 产品功能 Vulnerability Protection 为计算机提供了高级服务器安全性 无需紧急修补即可保护企业应用程序和数据免遭破坏和业务中断 这个全面的集中管理平台可帮助您简化安全防护操作 下列紧密集成的模块可轻松扩展此平台, 以便保护计算机, 从而确保服务器 应用程序及数据的安全性 防护模块 入侵防御 在已知漏洞修复之前, 屏蔽漏洞以免遭受无限制的入侵 帮助实现对已知和零时差攻击的及时防护 使用漏洞规则屏蔽已知漏洞 ( 例如 Microsoft 每月公布的漏洞 ), 以免遭受无限制的入侵 针对 100 多个应用程序 ( 包括数据库 Web 电子邮件和 FTP 服务器 ) 提供现成的漏洞防护 自动提供屏蔽数小时内新发现漏洞的规则, 并在几分钟内将此规则推送至数千台服务器, 无需重新启动系统 抵御 Web 应用程序漏洞 确保符合 PCI 要求 6.6, 以保护 Web 应用程序及其处理的数据 抵御 SQL 注入攻击 跨站点脚本攻击以及其他 Web 应用程序漏洞 屏蔽漏洞直到代码修复完成 识别访问网络的恶意软件 加强对访问网络的应用程序的监视或控制 识别访问网络的恶意软件, 减少服务器的漏洞入侵 防火墙 缩小服务器服务器的攻击面 使用双向状态防火墙对服务器防火墙策略进行集中式管理 防止拒绝服务攻击 针对所有基于 IP 的协议和帧类型, 以及端口和 IP 及 MAC 地址的细粒度过滤提供广泛的覆盖范围 Vulnerability Protection 的组件 Vulnerability Protection 包含以下一系列组件, 这些组件协同工作来提供防护 : Vulnerability Protection 管理中心, 一个基于 Web 的集中式管理控制台, 管理员可以通过它来配置安全策略以及向 Vulnerability Protection 客户端 ( 强制组件 ) 部署防护功能 Vulnerability Protection 客户端, 一个直接部署在计算机上的安全客户端, 可提供入侵防御 防火墙 Web 应用程序防护和应用程序控制 Vulnerability Protection 管理中心 Vulnerability Protection 管理中心 ( 以下简称 管理中心 ) 是一个强大的 基于 Web 的集中管理系统, 安全管理员可以通过它创建和管理全面的安全策略 跟踪威胁以及针对这些威胁采取的预防处理措施 Vulnerability Protection 管理中心可与数据中心的不同部分 ( 包括 Microsoft Active Directory) 进行集成, 并拥有一个 Web 服务 API, 以便与数据中心自动化环境集成 8

9 产品功能 策略 策略是指策略模板, 可指定要为一台或多台计算机自动配置和执行的安全规则 这些易于管理的精简规则集可以轻松提供全面安全, 而无需费心去管理上千条规则 缺省策略可提供大量常用计算机配置的必要规则 控制台 使用可定制的 基于 Web 的 UI 可轻松地快速导航至特定信息并对其进行详细分析 它将提供 : 大范围的系统 事件和计算机报告, 包含详细分析功能 主要度量的图表, 包含趋势和详细分析 详细的事件日志, 包含详细分析 保存多个个性化控制台版面配置的功能 内建安全 通过基于角色的访问, 多个管理员 ( 或用户, 每个管理员或用户均拥有不同的访问权限集和编辑权限 ) 可编辑和监控系统的不同部分, 并收到相应的信息 数字签名用于认证系统组件并验证规则的完整性 会话加密可保护在组件之间交换的信息的机密性 Vulnerability Protection 客户端 Vulnerability Protection 客户端 ( 以下简称 客户端 ) 是一个精巧型的高性能软件组件, 可以安装在计算机上来提供防护 9

10 用户指南 用户指南 用户指南 介绍了如何从系统配置和管理 Vulnerability Protection 的组件, 这对各个防护模块的配置是通用的 快速入门 : 系统配置 : 配置基本 Vulnerability Protection 系统设置 ( 第 12 页 ) 的指南, 涵盖范围从启用定期自动安全更新到设置电子邮件通知 快速入门 : 保护计算机 : 通过 Vulnerability Protection 保护标准 Windows 计算机 ( 第 14 页 ) 的指南 系统 : 介绍了 Vulnerability Protection 系统设置的功能和配置 : 通信 ( 第 20 页 ) 介绍了 Vulnerability Protection 的不同组件之间如何进行通信 定制控制台 ( 第 21 页 ) 介绍了如何创建并保存定制控制台布局 事件日志记录和数据收集 ( 第 24 页 ) 介绍了 Vulnerability Protection 如何从客户端收集事件 电子邮件通知 ( 第 25 页 ) 介绍了如何将 Vulnerability Protection 配置为向不同用户发送 Vulnerability Protection 重要事件的电子邮件通知 警报 ( 第 26 页 ) 介绍了如何配置会引发警报的事件 这些警报的严重性如何, 以及是否发送警报的电子邮件通知 Syslog 集成 (SIEM) ( 第 28 页 ) 介绍了如何将 Vulnerability Protection 配置为通过 Syslog 向 SIEM 发送事件 安全更新 ( 第 36 页 ) 介绍了如何管理 Vulnerability Protection 的安全更新 用户管理 ( 第 37 页 ) 介绍了如何管理 Vulnerability Protection 的用户, 其中包括如何使用基于角色的访问控制来限制用户对 Vulnerability Protection 特定区域以及您网络的访问 数据库备份和恢复 ( 第 42 页 ) 介绍了如何执行 ( 以及自动化 ) Vulnerability Protection 数据的备份 添加计算机 : 要通过 Vulnerability Protection 保护计算机, 则必须先将这些计算机添加到 Vulnerability Protection 管理中心的计算机计算机列表中 通过以下操作可以将新的计算机添加到您的计算机列表 : 从本地网络导入计算机 ( 第 46 页 ) 如果是保护可本地访问的网络上的计算机, 您可以通过提供其 IP 地址或主机名, 或者执行查找操作来搜索对 Vulnerability Protection 管理中心可见的所有计算机, 从而分别添加这些计算机 导入目录 ( 第 48 页 ) 您可以导入 Microsoft Active Directory 或任何其他基于 LDAP 的目录服务 使用部署脚本 ( 第 52 页 ) 如果您要添加 / 防护大量计算机, 您可能希望自动执行安装和激活客户端的过程 您可以使用 Vulnerability Protection 管理中心的部署脚本生成器生成可在计算机上运行的脚本, 这些脚本将安装客户端并选择性地执行后续任务 ( 例如激活和策略分配 ) 此外, 这些脚本还可以用作启动模板以创建您自己的定制脚本来执行各种其他可用的命令 部署防护 : 如何使用 Vulnerability Protection 客户端 ( 第 54 页 ) 防护模块 : 介绍了 Vulnerability Protection 防护模块的配置 防火墙 ( 第 57 页 ) 是双向状态防火墙, 负责确保来自未经授权的来源的数据包不会访问主机上的应用程序 入侵防御 ( 第 68 页 ) 模块可保护计算机免遭已知和零时差漏洞攻击 SQL 注入攻击 跨站点脚本攻击和其他 Web 应用程序漏洞利用 它可屏蔽漏洞, 直至代码修复完成 它可识别访问网络的恶意软件, 并增加对访问网络的应用程序的可见性, 或者增加对其的控制 SSL 数据流 : 如何配置 SSL 流量 ( 第 73 页 ) 过滤 事件 警报和报告 :Vulnerability Protection 事件 警报和报告 ( 第 76 页 ) 的功能和配置 10

11 用户指南 保护便携式计算机 : 如何通过使用 Vulnerability Protection 位置感知的相关信息来保护便携式计算机 ( 第 80 页 ) 负载平衡器 : 如何通过 Vulnerability Protection 使用负载平衡器 ( 第 89 页 ) 11

12 快速入门 : 系统配置 快速入门 : 系统配置 本快速入门指南介绍了在可以开始保护计算机资源之前所需的 Vulnerability Protection 初始基本系统配置 要完成 Vulnerability Protection 的基本系统配置, 您将需要 : 1. 将 Vulnerability Protection 配置为从趋势科技检索更新 2. 检查是否有预设任务来定期执行更新 3. 设置重要事件的电子邮件通知 将 Vulnerability Protection 配置为从趋势科技检索更新 下一步, 检查您是否可以从趋势科技检索更新 请转至管理 > 更新 > 安全更新选项卡, 然后单击下载安全更新... 按钮 此时将显示安全更新安全更新向导, 该向导会联系趋势科技更新服务器, 下载最新安全更新并将更新分发给计算机 如果向导在完成操作后显示成功消息, 则表示您的可以与更新服务器进行通信 : 检查是否有预设任务来定期执行更新 然后, 您应创建一个预设任务以定期检索和分发安全更新 请转至管理 > 预设任务 此时, 您至少会看到一个称为每日组件更新 双击该预设任务以查看其属性属性窗口 : 请注意 ( 在此情况下 ) 检查安全更新预设任务已被设置为于每日 19:25 执行安全更新 如果您的列表中不存在检查安全更新检查安全更新预设任务, 则可以通过单击 预设任务 页面菜单栏上的新建新建并按照新建预设任新建预设任务向导中的说明进行操作来创建该预设任务 12

13 快速入门 : 系统配置 设置重要事件的电子邮件通知 当出现需要特别注意的情况时, 会发出 Vulnerability Protection 警报 发出警报可能是由于安全事件 ( 如在受保护的计算机上异常的重新启动 ) 或系统事件 ( 如 Vulnerability Protection 管理中心在运行时磁盘空间不足 ) 造成的 Vulnerability Protection 可以配置为在发出特定警报时发送电子邮件通知 要配置将生成电子邮件通知的警报, 请转至警报警报页面, 然后单击配置警报... 以显示 Vulnerability Protection 警报列表 双击警报可查看其属性属性窗口, 您可以在该窗口设置电子邮件通知的警报选项 现在您需要将用户帐户配置为接收 Vulnerability Protection 将发出的电子邮件通知 转至管理 > 用户管理 > 用户, 然后双击用户帐户显示其属性属性窗口 请转至联系信息联系信息选项卡, 输入电子邮件地址, 然后选择接收警报电子邮件接收警报电子邮件选项 为了便于 Vulnerability Protection 发送电子邮件通知, 该防护系统必须能够与 SMTP 服务器进行通信 ( 要发送电子邮件通知, 必须能够访问 SMTP 服务器 ) 要将 Vulnerability Protection 管理中心连接到 SMTP 服务器, 请转至管理 > 系统设置 > SMTP 选项卡 填写 SMTP 区域中的必填文本框, 完成后, 按页面底部的 测试 SMTP 设置, 您会看到测试与 SMTP 服务器的连接成功消息 如果无法与 SMTP 服务器连接, 请确保管理中心可以与端口 25 上的 SMTP 服务器连接 基本配置完成 这将完成 Vulnerability Protection 的基本系统配置 此时,Vulnerability Protection 会被配置为定期联系趋势科技以获取安全更新并定期分发这些更新, 该防护系统将在发出警报时向您发送电子邮件通知 您现在需要将 Vulnerability Protection 防护应用到计算机 请参阅快速入门 : 保护计算机 ( 第 14 页 ) 或保护便携式计算机 ( 第 80 页 ) 以获取有关保护这两种计算机资源的快速指南 13

14 快速入门 : 保护计算机 快速入门 : 保护计算机 下面介绍了使用 Vulnerability Protection 保护 Windows 7 桌面计算机所涉及的步骤 这将涉及以下步骤 : 1. 把计算机添加到 Vulnerability Protection 管理中心 2. 配置和运行 漏洞扫描 ( 推荐设置 ) 3. 自动实施 漏洞扫描 ( 推荐设置 ) 4. 创建预设任务以定期执行 漏洞扫描 ( 推荐设置 ) 5. 使用 Vulnerability Protection 管理中心监控活动 我们将假定您已在计算机上安装了 Vulnerability Protection 管理中心, 并打算通过该计算机管理整个网络中的 Vulnerability Protection 客户端 我们还将假定您已经在希望保护的计算机上安装了 ( 但未激活 )Vulnerability Protection 客户端 如果不满足上述任一要求, 请参考 安装指南, 了解执行到此阶段的说明 把计算机添加到 Vulnerability Protection 管理中心 有多种方法可以把计算机添加到 Vulnerability Protection 管理中心的计算机计算机页面 您可以通过以下方式添加计算机 : 通过指定计算机的 IP 地址或主机名来从本地网络逐个添加计算机 通过扫描网络来在本地网络中查找计算机 出于此练习的目的, 我们将从本地网络添加计算机, 但一旦将计算机添加到管理中心, 防护过程就会相同, 而不管计算机位置如何 从本地网络添加计算机 : 1. 在 Vulnerability Protection 管理中心控制台中, 转至计算机计算机页面, 单击工具栏中的新建, 然后从下拉菜单中选择新建 计算机 在新建计算机新建计算机向导中, 输入计算机的主机名或 IP 地址, 并从下拉菜单的策略树中选择要应用的相应安全策略 ( 在本案例中, 我们将选择 Windows 7 桌面策略 ) 单击下一步下一步 14

15 快速入门 : 保护计算机 3. 该向导将联系计算机, 将其添加到 计算机 页面, 检测未激活的客户端, 将其激活, 然后应用所选策略 单击完成完成 可以将客户端配置为在安装后自动启动自身的激活 有关详细信息, 请参阅命令行指令 ( 第 93 页 ) 4. 添加计算机后, 该向导会显示一条确认消息 : 5. 取消选择在 关闭 时计算机详细信息选项, 然后单击关闭关闭 此时, 计算机会显示在 Vulnerability Protection 管理中心计算机计算机页面上的被管理计算机列表中 激活后,Vulnerability Protection 会自动将最新的安全更新下载到计算机 Vulnerability Protection 管理中心完成其初始的激活后任务后, 计算机的状态状态应显示为被管理 ( 联机 ) 单击菜单栏中的帮助帮助按钮可获取有关 Vulnerability Protection 管理中心中各页面的更多信息 配置和运行 漏洞扫描 ( 推荐设置 ) 向计算机分配的安全策略由为运行 Windows 7 桌面操作系统的计算机设计的一组规则和设置组成 但是, 静态策略可能会很快过期 这可能是因为计算机上安装了新软件, 查找到了新的操作系统漏洞 ( 趋势科技已针对这些漏洞创建了新的防护规则 ), 或者甚至是因为先前的漏洞已由某个操作系统或软件 Service Pack 更正 由于对计算机的安全要求具有动态性, 因此您应定期运行 漏洞扫描 ( 推荐设置 ), 这些扫描会评估计算机的当前状态并将该状态与最新 Vulnerability Protection 防护模块更新进行比较, 以查看是否需要更新当前安全策略 漏洞扫描 ( 推荐设置 ) 会针对入侵防御模块提出建议 在计算机上运行 漏洞扫描 ( 推荐设置 ) : 1. 转至 Vulnerability Protection 管理中心控制台主窗口中的 计算机 页面 15

16 快速入门 : 保护计算机 2. 右键单击计算机并选择操作 > 漏洞扫描 ( 推荐设置 ) 在 漏洞扫描 ( 推荐设置 ) 期间, 计算机的状态会显示正在执行 漏洞扫描 ( 推荐设置 ) 扫描完成后, 如果 Vulnerability Protection 提出了任何建议, 您会在 警报 窗口上看到一个警报 查看 漏洞扫描 ( 推荐设置 ) 的结果 : 1. 计算机的计算机编辑器 ( 计算机页面菜单栏或右键单击菜单中的详细信息...) 2. 在计算机编辑器窗口中, 请转至入侵防御入侵防御模块页面 您将在常规常规选项卡的建议建议区域中看到扫描结果 当前状态告知我们当前已向此计算机分配了 200 个入侵防御规则 最近执行的 漏洞扫描 ( 推荐设置 ) 告知我们上次扫描于 2014 年 06 月 30 日 14:13 执行 待解决的建议告知我们, 根据扫描结果,Vulnerability Protection 建议另外再分配 16 个入侵防御规则并取消分配 111 个当前已分配的规则 注意通知我们建议取消分配的规则中有 111 个 ( 所有建议取消分配规则 ) 已在策略级别 ( 而不是直接在此处的计算机级别 ) 进行分配 在策略树以上级别分配的规则仅可以在对其进行分配所在的策略 ( 此案例中为 Windows 7 桌面策略 ) 中取消分配 ( 如果了 Windows 7 桌面策略编辑器, 我们将会看到相同的建议, 而且可以从此处取消规则分配 ) 我们还被告知建议分配的规则中有 7 个无法自动分配 通常这些规则需要进行配置或易于误报, 且其行为应该在仅检测模式下观察并在阻止模式下强制执行 要查看建议分配的规则, 请单击分配 / 取消分配... 以显示 IPS 规则规则分配模式窗口 然后从第二个下拉过滤列表中选择 建议分配的项目 : 16

17 快速入门 : 保护计算机 带有小型配置标记的图标 ( ) 可标识需要进行配置的规则 要查看规则的可配置选项, 请双击规则, 以其属性属性窗口 ( 在本地编辑模式下 ), 然后转至配置配置选项卡 要分配规则, 请选择其名称旁边的复选框 要查看建议取消分配的规则, 请通过从同一下拉列表中选择建议取消分配的项目建议取消分配的项目来过滤规则列表 要取消分配规则, 请取消选择其名称旁边的复选框 在计算机上生效的规则无法在本地取消分配, 因为它们已在策略树以上的策略中进行分配 取消分配此类规则的唯一方法是编辑最初对其进行分配所在的策略, 然后从该策略进行取消分配 有关此种规则继承的更多信息, 请参阅策略 继承和覆盖 ( 第 134 页 ) 自动实施 漏洞扫描 ( 推荐设置 ) 您可以配置 Vulnerability Protection 在执行 漏洞扫描 ( 推荐设置 ) 之后自动分配和取消分配规则 要执行此操作, 请计算机或策略编辑器, 然后转至入侵防御入侵防御 在 常规 选项卡的 建议 区域, 将自动实施入侵防御建议 ( 如果可能 ): 设置为 是 创建预设任务以定期执行 漏洞扫描 ( 推荐设置 ) 定期执行 漏洞扫描 ( 推荐设置 ) 可确保计算机受最新相关规则集的保护且会移除不再需要的规则集 您可以创建预设任务以自动执行此任务 创建预设任务 : 1. 在 Vulnerability Protection 管理中心主窗口中, 转至管理 > 预设任务 2. 在菜单栏中, 请单击新建新建以显示新建预设任务新建预设任务向导 3. 选择扫描计算机上有无建议项目扫描计算机上有无建议项目作为扫描类型, 然后选择每周每周重复周期 单击下一步下一步 4. 选择开始时间, 选择每周一次, 然后选择一周中的某一天 单击下一步下一步 5. 当指定要扫描的计算机时, 选择最后一个选项 ( 计算机 ), 然后选择正在保护的 Windows 7 桌面计算机 单击下一步下一步 6. 为新的预设任务键入名称 取消选中 完成 时运行任务 ( 因为我们仅运行了 漏洞扫描 ( 推荐设置 ) ) 单击完成完成 17

18 快速入门 : 保护计算机 此时, 新的预设任务会显示在预设任务列表中 该任务将一周运行一次, 以扫描计算机并为计算机提出建议 如果已为支持该任务的上述三个防护模块设置自动实施建议, 则 Vulnerability Protection 会根据需要分配和取消分配规则 如果规则标识为需要特别注意, 则会发出一条警报通知您 定期预设安全更新 如果您按照快速入门 : 系统配置 ( 第 12 页 ) 中介绍的步骤执行操作, 则此时会使用趋势科技的最新防护定期更新计算机 使用 Vulnerability Protection 管理中心监控活动 控制台 在为计算机分配了策略并且运行一段时间后, 您将会查看该计算机上的活动 检查活动的第一站是控制台 控制台有许多信息面板 ("widget"), 可显示与 Vulnerability Protection 管理中心及其管理的计算机的状态相关的各种类型的信息 在 控制台 页面的右上方, 单击添加 / 移除 Widget, 查看显示的可用 widget 列表 报告 用户通常期望更高级别的日志数据视图, 其中信息得到了汇总, 并且以更为浅显易懂的格式呈现 报告报告填补了这一角色, 它允许您显示计算机 防火墙和入侵防御事件日志 事件 警报等的详细摘要信息 在报告报告页面中, 可以为要生成的报告选择各种选项 我们将生成一个防火墙报告, 它将显示在可配置日期范围内防火墙规则和防火墙状态配置活动的记录 从 报告 下拉菜单中选择防火墙报告 单击生成生成以在新窗口中启动报告 您可以查看 Vulnerability Protection 管理中心以电子邮件形式发送给用户的预设报告, 登录到系统并咨询控制台, 对特定日志进行仔细分析来执行详细的调查, 并可以配置警报以便向用户通知关键事件, 这样, 您就可以随时了解网络的运行状况 18

19 系统 系统 通信 ( 第 20 页 ) 介绍了 Vulnerability Protection 的不同组件之间如何进行通信 定制控制台 ( 第 21 页 ) 介绍了如何为自身或其他用户创建定制控制台布局 事件 警报和报告 ( 第 76 页 ) 介绍了如何通过监控事件 配置和生成警报 定期生成定制报告来了解 Vulnerability Protection 事件的最新情况 设置电子邮件警报 ( 第 25 页 ) 介绍了如何将 Vulnerability Protection 配置为向不同用户发送 Vulnerability Protection 重要事件的电子邮件通知 警报 ( 第 26 页 ) 介绍了如何配置会引发警报的事件 这些警报的严重性如何, 以及警报的通知是否通过电子邮件发送 Syslog 集成 (SIEM) ( 第 28 页 ) 介绍了如何将 Vulnerability Protection 配置为通过 Syslog 向 SIEM 发送事件 安全更新 ( 第 36 页 ) 介绍了如何管理 Vulnerability Protection 的安全更新 用户管理 ( 第 37 页 ) 介绍了如何管理 Vulnerability Protection 的用户, 其中包括如何使用基于角色的访问控制来限制用户对 Vulnerability Protection 特定区域以及您网络的访问 数据库备份和恢复 ( 第 42 页 ) 介绍了如何执行 ( 以及自动化 ) Vulnerability Protection 数据的备份 19

20 通信 通信 启动通信的程序 在缺省设置 ( 双向 ) 下, 客户端将会启动波动信号, 但是仍会在客户端端口上侦听管理中心连接, 而管理中心可自由连接客户端, 以便根据需要执行操作 管理中心已启动管理中心已启动表示管理中心会启动所有通信 当管理中心执行预设更新 执行波动信号操作时 ( 见下文 ), 以及当您从管理中心界面选择激活 / 重新激活或立即更新立即更新选项时, 就会启动通信 如果要隔离计算机与远程资源所启动的通信, 可以选择由客户端自身定期检查更新及控制波动信号操作 如果是这样, 请选择客户端已启动客户端已启动 Vulnerability Protection 管理中心和客户端之间的通信使用 FIPS 认可的对称加密算法 AES-256 和哈希函数 SHA-256 通过 SSL/TLS 进行 管理中心在波动信号过程中收集下列信息 : 驱动程序的状态 ( 联机或脱机 ) 客户端的状态 ( 包括时钟时间 ) 自上次波动信号以来的客户端日志 用来更新计数器的数据, 以及客户端安全配置的指纹 ( 用来判断是否为最新 ) 您可以更改波动信号发生的频率 ( 客户端启动或者管理中心启动 ), 以及在触发警报之前可错过的波动信号数量 此设置 ( 和其他许多设置一样 ) 可按多个级别配置 : 在已分配策略的所有计算机上, 方法是在基本策略 ( 所有策略的父策略 ) 上对其进行配置 在沿着指向您计算机的分支的策略树下的策略上对其进行设置 ; 或者在个别计算机上 配置策略的通信方向 : 1. 要配置其通信设置的策略的策略编辑器 ( 详细信息窗口 ) 2. 转至设置 > 计算机 > 通信方向 3. 在 Vulnerability Protection 管理中心到客户端的通信方向下拉菜单中, 选择 管理中心已启动 客户端已启动 或 双向 这三个选项中的一个, 或者选择 已继承 如果选择 已继承, 策略将从其在策略层次结构中的父策略继承设置 选择其他任一选项将会覆盖继承的设置 4. 单击保存保存应用更改 配置特定计算机的通信方向 : 1. 要配置其通信设置的计算机的计算机编辑器 ( 详细信息窗口 ) 2. 转至设置 > 计算机 > 通信方向 3. 在 Vulnerability Protection 管理中心到客户端的通信方向 : 下拉菜单中, 选择 管理中心已启动 客户端已启动 或 双向 这三个选项中的一个, 或者选择 已继承 如果选择 已继承, 计算机将从已应用其的策略继承其设置 选择其他任一选项将会覆盖继承的设置 4. 单击保存保存应用更改 客户端会根据 Vulnerability Protection 管理中心的主机名在网络中查找管理中心 因此, 管理中心的主机名必须存在于您的本地 DNS 中, 才能实现客户端启动的通信或双向通信 20

21 定制控制台 定制控制台 控制台是登录到 Vulnerability Protection 管理中心后出现的第一个页面 控制台的若干个部分都可以进行配置和定制, 当您登录时便会保存并显示所更改的布局 ( 您注销后, 不管其他用户是否在同时登录和更改他们的布局, 控制台都会显示您离开时的状态 ) 控制台显示的可配置项目为取用数据的时间段 显示哪些计算机或计算机组的数据 显示哪些 Widget 及这些 Widget 在页面上的布局等项目 日期 / 时间范围 控制台会显示过去 24 小时或过去七天的数据 计算机和计算机组 使用计算机 : 下拉菜单过滤显示的数据, 以只显示特定计算机上的数据 21

22 定制控制台 按标记过滤 在 Vulnerability Protection 中, 标记是可应用于事件的一组元数据, 以便为最初未包含在事件本身中的事件创建其他属性 可以使用这些标记来对事件进行过滤, 以简化事件监控和管理任务 标记的典型用法是区分需要执行操作的事件和经过调查发现为良好的事件 可以按以下标记过滤 控制台 中显示的数据 : 有关标记的更多信息, 请参阅事件标记 ( 第 79 页 ) 选择控制台 Widget 单击添加 / 移除 Widget... 以显示 Widget 选择窗口, 选择要显示的 Widget 更改布局 可以拖动所选 Widget 的标题栏, 在控制台中移动 Widget 将 Widget 移到现有的 Widget 之上, 两者会交换位置 ( 将被取代的 Widget 会暂时变灰 ) 22

23 定制控制台 保存和管理控制台布局 您可以创建多个控制台布局并将其保存为单独的选项卡 注销后, 您的控制台设置和布局对其他用户将不可见 要创建新的控制台选项卡, 请单击控制台上最后一个选项卡右侧的加号符号 : 23

24 事件日志记录和数据收集 事件日志记录和数据收集 缺省情况下,Vulnerability Protection 管理中心会在每次有波动信号时从客户端收集事件 收集的数据量取决于受保护的计算机数目 计算机的活动状态和事件记录设置 系统事件 列出了 Vulnerability Protection 的所有系统事件, 并且可在管理 > 系统设置 > 系统事件选项卡上对这些事件进行配置 可以设置是否记录单个事件以及是否将其转发给 SIEM 系统 安全事件 每个防护模块会在触发规则或满足其他配置条件时生成事件 一些安全事件生成是可以配置的 可对计算机上生效的防火墙状态配置进行修改, 以启用或禁用 TCP UDP 和 ICMP 事件日志记录 要编辑防火墙状态配置的属性, 请转至策略 > 通用对象 > 其他 > 防火墙状态配置 日志记录选项位于防火墙状态配置属性属性窗口的 TCP UDP 和 ICMP 选项卡中 您可以通过入侵防御模块禁用单个规则的事件日志记录 要禁用某个规则的事件日志记录, 请规则的属性属性窗口, 然后在常规常规选项卡的事件事件区域中选择禁用事件日志记录禁用事件日志记录 入侵防御模块可记录导致触发规则的数据 因为不可能每次触发单个规则时都记录所有数据,Vulnerability Protection 将仅记录指定时间段 ( 缺省为五分钟 ) 内首次触发规则时的数据 要配置 Vulnerability Protection 是否记录此数据, 请转至策略 / 计算机编辑器 > 入侵防御 > 高级 您可以通过在策略 / 计算机编辑器 > 设置 > 网络引擎 > 高级网络引擎设置中调整在期间内仅记录一个数据包的期间设置来配置时间段 以下是有助于最大化事件收集有效性的一些建议 : 对于不感兴趣的计算机, 减少或禁用日志收集 考虑禁用防火墙状态配置属性属性窗口中的一些日志记录选项, 以减少防火墙规则活动的日志记录 例如, 禁用 UDP 日志记录会消除 未经请求的 UDP 日志条目 对于入侵防御规则, 最佳的做法是只记录丢弃的数据包 日志记录数据包修改可能会产生大量日志条目 对于入侵防御规则, 当您想要调查攻击来源时, 只包含数据包数据即可 ( 入侵防御规则属性属性窗口中的一个选项 ) 否则若保持包含数据包数据, 日志大小将会增加许多 24

25 电子邮件通知 电子邮件通知 当触发选定警报时,Vulnerability Protection 管理中心会向特定用户发送电子邮件 要启用电子邮件系统, 必须授予 Vulnerability Protection 管理中心访问 SMTP 邮件服务器的权限 您必须配置 SMTP 设置, 并选择哪些警报触发向哪些用户发送的电子邮件 配置 SMTP 设置 可以在管理 > 系统设置 > SMTP 中找到 SMTP 配置面板 请键入 SMTP 邮件的地址 ( 必要时加上端口 ) 请输入要发送电子邮件的 发件人 电子邮件地址 可以选择键入 退信 地址, 在无法向一个或多个用户发送警报电子邮件时, 会将失败通知发送到该地址 如果 SMTP 邮件服务器需要传出认证, 请键入用户名和密码凭证 输入必要的信息后, 请使用测试 SMTP 设置来测试设置 配置应生成电子邮件的警报 有 30 多种情况会触发警报, 而您可能不希望所有情况都触发发送电子邮件 要配置哪些警报触发发送电子邮件, 请转到管理 > 系统设置 > 警报 单击查看警报配置查看警报配置以显示所有警报的列表 警报旁边的复选标记表示警报是否已 开启 如果已开启, 则表示若出现相应的情况将会触发警报, 但并不表示将会发送电子邮件 双击某个警报, 以查看其警报配置警报配置窗口 要让警报触发电子邮件, 必须 开启 电子邮件, 而且必须至少选中一个 发送电子邮件 复选框 设置接收警报电子邮件的用户 最后, 还需要设置接收警报电子邮件的用户 转到管理 > 用户管理 > 用户 双击某用户, 然后选择联系信息联系信息选项卡 选中 接收电子邮件警报 复选框, 以使此用户接收通过电子邮件发送的警报通知 SIEM Syslog 和 SNMP 可以指示客户端和管理中心二者将事件转发到 SIEM 系统 客户端会发送防护模块相关的安全事件信息, 管理中心则会发送系统信息 系统事件可以通过 Syslog 或 SNMP 从管理中心转发 要配置系统事件 Syslog 或 SNMP 设置, 请转至 Vulnerability Protection 管理中心中的管理 > 系统设置 > SIEM 或管理 > 系统设置 > SNMP 选项卡 防护模块安全事件可以通过 Syslog 从客户端转发 要配置防护模块安全事件 Syslog 设置, 请转到策略 / 计算机编辑器 > 设置 > SIEM 选项卡 有关配置 Syslog 的信息, 请参阅 Syslog 集成 (SIEM) ( 第 28 页 ) 25

26 警报 警报 警报的作用大致上是警告系统状态异常, 例如计算机脱机或规则过期, 不过有一些警报是警告您, 系统检测到指纹扫描和其他安全性相关的事件 ( 关于个别入侵防御和防火墙事件的通知, 可考虑设置一个 Syslog 服务器 ) 可通过转至警报警报页面并单击位于页面右上方的配置警报..., 或转至管理 > 系统设置 > 警报, 然后单击查看警报配置... 来查看警报 警报的属性属性窗口, 可配置每个警报所引发的操作 可以或关闭警报, 并可在 警告 和 严重 之间切换其严重程度 不能为各个策略或计算机配置不同的警报 警报属性的所有更改都是全局的 您可能还想要配置接收电子邮件警报的用户 转至管理 > 用户, 双击单个用户, 单击联系信息联系信息选项卡, 然后选择或取消选择接收电子邮件警报选项 26

27 警报 还可以指定一个缺省电子邮件地址, 所有警报通知除了发送给配置为接收警报通知的用户之外, 还会发送至该地址 此选项位于管理 > 系统设置 > 警报选项卡中 必须在管理 > 系统设置 > SMTP 选项卡中配置 SMTP 设置, 才能发送电子邮件 27

28 Syslog 集成 (SIEM) Syslog 集成 (SIEM) Vulnerability Protection 支持 ArcSight ( 倡导的公用事件格式 1.0 一些模块支持 基本 Syslog 格式 ; 但这些格式可用于旧式安装, 而不应用于新的集成项目 在 Vulnerability Protection 管理中心内启用 Syslog 转发不会影响缺省的事件日志记录 也就是说, 启用 syslog 并不会禁用正常的事件记录机制 在 Red Hat Enterprise 6 上设置 Syslog 以下步骤介绍如何在 Red Hat Enterprise 6 上配置 rsyslog, 以便接收来自 Vulnerability Protection 客户端的日志 1. 以 root 身份登录 2. 执行 : vi /etc/rsyslog.conf 3. 取消注释靠近 rsyslog.conf 顶部的下面各行, 将其从 #$ModLoad imudp #$UDPServerRun 514 #$ModLoad imtcp #$InputTCPServerRun 514 更改为 $ModLoad imudp $UDPServerRun 514 $ModLoad imtcp $InputTCPServerRun 将以下两行文本添加到 rsyslog.conf 的末尾 : #Save Vulnerability Protection Manager logs to VPM.log Local4.* /var/log/vpm.log 5. 保存文件并退出 6. 通过键入 touch /var/log/vpm.log 创建 /var/log/vpm.log 文件 7. 设置 VPM 日志的权限, 以便 syslog 可以向其写入数据 8. 保存文件并退出 9. 重新启动 syslog: service rsyslog restart 当 Syslog 运行时, 您将在以下位置看到日志 : /var/log/vpm.log 28

29 Syslog 集成 (SIEM) 在 Red Hat Enterprise 5 上设置 Syslog 以下步骤介绍如何在 Red Hat Enterprise 上配置 Syslog, 以便接收来自 Vulnerability Protection 客户端的日志 1. 以 root 身份登录 2. 执行 : vi /etc/syslog.conf 3. 将以下两行文本添加到 syslog.conf 的末尾 : #Save Vulnerability Protection Manager logs to VPM.log Local4.* /var/log/vpm.log 4. 保存文件并退出 5. 通过键入 touch /var/log/vpm.log 创建 /var/log/vpm.log 文件 6. 设置 VPM 日志的权限, 以便 syslog 可以向其写入数据 7. 执行 : vi /etc/sysconfig/syslog 8. 修改 " SYSLOGD_OPTIONS " 行并添加 " -r " 选项 9. 保存文件并退出 10. 重新启动 syslog: /etc/init.d/syslog restart 当 Syslog 运行时, 您将在以下位置看到日志 : /var/log/vpm.log Vulnerability Protection 管理中心设置 您可以配置 Vulnerability Protection 管理中心, 以指示所有被管理的计算机发送日志至 Syslog 计算机, 或者可以独立配置个别计算机 将管理中心配置为指示所有被管理的计算机使用 Syslog: 1. 请转至管理 > 系统设置 > SIEM 选项卡 2. 在系统事件通知 ( 来自管理中心 ) 区域中, 设置将系统事件转发到远程计算机 ( 通过 Syslog) 选项 3. 键入 Syslog 计算机的主机名或 IP 地址 4. 输入要使用的 UDP 端口 ( 通常是 514) 5. 选择要使用的 Syslog 设备 ( 以上 Red Hat 示例中为 Local4) 6. 选择 公用事件格式 1.0 日志格式 ( 基本 Syslog 格式仅会针对旧式支持列出, 不应用于新的集成 ) 公用事件格式 1.0 是 ArcSight ( 倡导的格式 可在其 Web 站点上请求规范 您现已配置 Vulnerability Protection 管理中心以指示所有现有和新的计算机缺省情况下使用远程 Syslog 有两个选项可指定从其发送 syslog 消息的位置 第一个选项 ( 直接转发 ) 直接从客户端实时发送消息 第二个选项 ( 通过管理中心 ) 在收集有关波动信号的事件之后从管理中心发送 syslog 消息 如果目标使用授权基于源的数量, 则可能需要从管理中心发送的选项 如果从管理中心发送 syslog 消息, 则存在若干差异 为了保留原始主机名 ( 事件源 ), 提供了新的扩展名 ("dvc" 或 "dvchost") 如果主机名为 IPv4 地址, 则使用 "dvc";"dvchost" 用于主机名和 IPv6 地址 此外, 如果标记了事件, 则使用 29

30 Syslog 集成 (SIEM) 扩展名 "TrendMicroDsTags"( 这仅适用于将来运行的自动标记, 因为仅当事件由管理中心收集时, 它们才通过 syslog 转发 ) 通过管理中心中继日志的产品仍将显示为 Vulnerability Protection 客户端 ; 但是, 其产品版本是管理中心的版本 所有 CEF 事件都包括 dvc=ipv4 地址或 dvchost=hostname( 或 IPv6 地址 ) 以便确定事件的原始源 这种扩展对于从管理中心发送的事件很重要, 因为在这种情况下, 消息的 syslog 发送者不是事件的发出者 可针对特定策略以及在各台计算机上覆盖此缺省设置 要在计算机上覆盖, 请找到要配置的计算机, 计算机编辑器, 然后转至设置并单击通知通知选项卡 如同计算机的许多其他设置一样, 您也可以指示它继承缺省设置, 或者覆盖缺省设置 要指示此计算机忽略任何可继承的缺省设置, 请选择将事件转发到将事件转发到选项, 再输入另一个 syslog 服务器的详细信息, 或者根本不转发任何日志 按照相同的过程覆盖策略的设置 解析 Syslog 消息 基本 CEF 格式 : CEF: 版本 设备供应商 设备产品 设备版本 签名 ID 名称 严重性 扩展 要确定日志条目到底来自 Vulnerability Protection 管理中心还是 Vulnerability Protection 客户端, 请查看 设备产品 文本框 : 日志条目示例 : Jan 18 11:07:53 vpmhost CEF:0 Trend Micro Vulnerability Protection Manager Administrator Signed In 4 suser=master... 要进一步确定触发事件的规则种类, 请查看 签名 ID 和 名称 文本框 : 日志条目示例 : Mar 19 15:19:15 chrisds7 CEF:0 Trend Micro Vulnerability Protection Agent Out Of Allowed Policy 5 cn1=1... 以下 签名 ID 值指示出已经触发的事件种类 : 签名 ID 描述 10 定制入侵防御规则 20 仅记录防火墙规则 21 拒绝防火墙规则 不允许的策略防火墙规则 SSL 事件 防火墙状态配置事件 1,000,000-1,999,999 趋势科技入侵防御规则 并非下表中介绍的所有 CEF 扩展都必须包括在每个日志条目中 此外, 它们也可以不遵循以下所述的顺序 如果使用正则表达式 (regex) 分析条目, 请确保您的表达式不依赖于存在每个键 / 值对或键 / 值对遵循特定顺序 Syslog 协议规范将 Syslog 消息限制在 64K 字节以内 在极少数情况下, 数据可能会被截断 基本 Syslog 格式被限制为 1K 字节 防火墙事件日志格式 基本 CEF 格式 : CEF: 版本 设备供应商 设备产品 设备版本 签名 ID 名称 严重性 扩展 30

31 Syslog 集成 (SIEM) 日志条目示例 : CEF:0 Trend Micro Vulnerability Protection Agent Log for TCP Port 80 0 cn1=1 cn1label=host ID dvc=hostname act=log dmac=00:50:56:f5:7f:47 smac=00:0c:29:eb:35:de TrendMicroDsFrameType=IP src= dst= out=1019 cs3=df 0 cs3label=fragmentation Bits proto=tcp spt=49617 dpt=80 cs2=0x00 ACK PSH cs2label=tcp Flags cnt=1 TrendMicroDsPacketData=AFB... 扩展文本框 名称 描述 示例 act 操作 防火墙规则所采取的操作 可包含 :Log 或 Deny 如果规则或网络引擎是在分接模式下工作, 则操作值前会附加 "IDS:" act=log act=deny cn1 主机标识符 可用来从所给 syslog 事件中唯一标识客户端计算机的客户端计算机内部标识符 cn1=113 cn1label 主机 ID 文本框 cn1 的友好名称标签 cn1label=host ID cnt 重复计数 连续重复此事件的次数 cnt=8 cs2 TCP 标志 ( 仅针对 TCP 协议 ) 如果设置了 TCP 标头位, 则会显示有后跟 URG ACK PSH RST SYN 和 FIN 文本框的原始 TCP 标志字节 如果选择了 通过管理中心中继, 则此扩展的输出仅包含标志名称 cs2=0x10 ACK cs2=0x14 ACK RST cs2label TCP 标志 文本框 cs2 的友好名称标签 cs2label=tcp Flags 数据 cs3 包片段信 如果已设置了 IP "Dont Fragment" 位, 会有 "DF" 文本框 如果已设置了 "IP More Fragments" 位, 会有 "MF" 文本框 cs3=mf cs3=df MF 息 cs3label 片段位 文本框 cs3 的友好名称标签 cs3label=fragmentation Bits ICMP cs4 类型和代 ( 仅针对 ICMP 协议 ) 按其各自顺序存储的 ICMP 类型和代码 ( 以空格分隔 ) cs4=11 0 cs4=8 0 码 cs4label ICMP 文本框 cs4 的友好名称标签 cs4label=icmp Type and Code 目标 dmac MAC 目标计算机网络接口 MAC 地址 dmac= 00:0C:29:2F:09:B3 地址 dpt 目标端口 ( 仅针对 TCP 和 UDP 协议 ) 目标计算机连接端口 dpt=80 dpt=135 dst 目标 IP 地址 目标计算机 IP 地址 dst= dst= 读取 in 的入站字 ( 仅针对入站连接 ) 读取的入站字节数 in=137 in=21 节 读取 out 的出站字 ( 仅针对出站连接 ) 读取的出站字节数 out=216 out=13 节 31

32 Syslog 集成 (SIEM) 扩展文本框 名称 描述 示例 proto 传输协议 所用的连接传输协议的名称 proto=tcp proto=udp proto=icmp 源 smac MAC 源计算机网络接口 MAC 地址 smac= 00:0E:04:2C:02:B3 地址 spt 源端口 ( 仅针对 TCP 和 UDP 协议 ) 源计算机连接端口 spt=1032 spt=443 src 源 IP 地址 源计算机 IP 地址 src= src= TrendMicroDsFrameType 以太网帧类型 连接以太网帧类型 TrendMicroDsFrameType=IP TrendMicroDsFrameType=ARP TrendMicroDsFrameType=RevARP TrendMicroDsFrameType=NetBEUI 数据 ( 如果已设置了包括数据包数据 ) 数据包数据的 Base64 编码副本 转义 TrendMicroDsPacketData 包数 等号 字符 例如 "\=" 如果选择了 通过管理中心中继 选项, 则不 TrendMicroDsPacketData=AA...BA\= 据 包括此扩展 入侵防御事件日志格式 基本 CEF 格式 : CEF: 版本 设备供应商 设备产品 设备版本 签名 ID 名称 严重性 扩展 日志条目示例 : CEF:0 Trend Micro Vulnerability Protection Agent Test Intrusion Prevention Rule 3 cn1=1 cn1label=host ID dvchost=hostname dmac=00:50:56:f5:7f:47 smac=00:0c:29:eb:35:de TrendMicroDsFrameType=IP src= dst= out=1093 cs3=df 0 cs3label=fragmentation Bits proto=tcp spt=49786 dpt=80 cs2=0x00 ACK PSH cs2label=tcp Flags cnt=1 act=ids:reset cn3=10 cn3label=intrusion Prevention Packet Position cs5=10 cs5label=intrusion Prevention Stream Position cs6=8 cs6label=intrusion Prevention Flags TrendMicroDsPacketData=R0VUIC9zP3... 扩展文本框 名称 描述 示例 入侵防御规则所采取的操作 可包含 :Block Reset 或 Log 如果规则或 网络引擎在仅检测模式下工作, 则操作值前会附加 "IDS:" ( 在 act 操作 Vulnerability Protection 7.5 SP1 前的版本中写入的 IPS 规则还可以 执行 Insert Replace 和 Delete 操作 现在不再执行这些操作 如果触 act=block 发了仍尝试执行这些操作的旧版 IPS 规则, 则 事件 将指示该规则是以 仅检测 模式应用的 ) cn1 主机标识符 可用来从所给 syslog 事件中唯一标识客户端计算机的客户端计算机内部 标识符 cn1=113 cn1label 主机 ID 文本框 cn1 的友好名称标签 cn1label=host ID 入侵 cn3 防御 触发事件的数据的数据包内部位置 cn3=37 数据 32

33 Syslog 集成 (SIEM) 扩展文本框 名称 描述 示例 包位 置 入侵 cn3label 防御数据包位 文本框 cn3 的友好名称标签 cn3label=intrusion Prevention Packet Position 置 cnt 重复计数 连续重复此事件的次数 cnt=8 cs1 入侵防御过滤器注释 ( 可选 ) 包含与有效载荷文件相关联的简短二进制或文本注释的注释文本 框 如果注释文本框的值全部为可打印的 ASCII 字符, 将会记录为文本, 并且会将空格转换为下划线 如果此文本框包含二进制数据, 则会使用 Base-64 编码进行记录 cs1=drop_data cs1label 入侵防御注释 文本框 cs1 的友好名称标签 cs1label=intrusion Prevention Note cs2 TCP 标志 ( 仅针对 TCP 协议 ) 如果设置了 TCP 标头位, 则会显示有后跟 URG ACK PSH RST SYN 和 FIN 文本框的原始 TCP 标志字节 cs2=0x10 ACK cs2=0x14 ACK RST cs2label TCP 标志 文本框 cs2 的友好名称标签 cs2label=tcp Flags 数据 cs3 包片段信 如果已设置了 IP "Dont Fragment" 位, 会有 "DF" 文本框 如果已设置 了 "IP More Fragments" 位, 会有 "MF" 文本框 cs3=mf cs3=df MF 息 cs3label 片段位 文本框 cs3 的友好名称标签 cs3label=fragmentation Bits ICMP cs4 类型和代 ( 仅针对 ICMP 协议 ) 按其各自顺序存储的 ICMP 类型和代码 ( 以空格分 隔 ) cs4=11 0 cs4=8 0 码 cs4label ICMP 文本框 cs4 的友好名称标签 cs4label=icmp Type and Code 入侵 cs5 防御流位 触发事件的数据的流内部位置 cs5=128 cs5=20 置 入侵 cs5label 防御流位 文本框 cs5 的友好名称标签 cs5label=intrusion Prevention Stream Position 置 入侵 包括以下标志值的和的组合值 : 防御 以下示例可能是 1( 已截短数据 ) 和 cs6 过滤 1 - 已截短数据 - 无法记录数据 8( 包含数据 ) 的求和组合 : 器标 2 - 日志溢出 - 日志在此日志后溢出 cs6=9 志 4 - 已抑制 - 在此日志后抑制了日志阈值 33

34 Syslog 集成 (SIEM) 扩展文本框 名称 描述 示例 8 - 包含数据 - 包含数据包数据 16 - 引用数据 - 引用先前已记录的数据 cs6label 入侵防御标志 文本框 cs6 的友好名称标签 cs6=intrusion Prevention Filter Flags 目标 dmac MAC 目标计算机网络接口 MAC 地址 dmac= 00:0C:29:2F:09:B3 地址 dpt 目标端口 ( 仅针对 TCP 和 UDP 协议 ) 目标计算机连接端口 dpt=80 dpt=135 dst 目标 IP 地址 目标计算机 IP 地址 dst= dst= 读取 in 的入站字 ( 仅针对入站连接 ) 读取的入站字节数 in=137 in=21 节 读取 out 的出站字 ( 仅针对出站连接 ) 读取的出站字节数 out=216 out=13 节 proto 传输协议 所用的连接传输协议的名称 proto=tcp proto=udp proto=icmp 源 Smac MAC 源计算机网络接口 MAC 地址 smac= 00:0E:04:2C:02:B3 地址 Spt 源端口 ( 仅针对 TCP 和 UDP 协议 ) 源计算机连接端口 spt=1032 spt=443 Src 源 IP 地址 源计算机 IP 地址 src= src= TrendMicroDsFrameType 以太网帧类型 连接以太网帧类型 TrendMicroDsFrameType=IP TrendMicroDsFrameType=ARP TrendMicroDsFrameType=RevARP TrendMicroDsFrameType=NetBEUI 数据 ( 如果已设置了包括数据包数据 ) 数据包数据的 Base64 编码副本 转义 TrendMicroDsPacketData 包数 等号 字符 例如 "\=" 如果选择了 通过管理中心中继 选项, 则不 TrendMicroDsPacketData=AA...BA\= 据 包括此扩展 系统事件日志格式 基本 CEF 格式 : CEF: 版本 设备供应商 设备产品 设备版本 签名 ID 名称 严重性 扩展 34

35 Syslog 集成 (SIEM) 日志条目示例 : CEF:0 Trend Micro Vulnerability Protection Manager User Signed In 3 src= suser=admin target=admin msg=user signed in from fe80:0:0:0:2d02:9870:beaa:fd41 扩展 文本 框 名称 描述 示例 源 src IP 地 源 Vulnerability Protection 管理中心 IP 地 址 src= 址 suser 源用户 源 Vulnerability Protection 管理中心用户帐 户 suser=masteradmin target 目标实体 事件目标实体 事件的目标可能是登录到 Vulnerability Protection 管理中心的管理员帐 户, 也可能是一台计算机 target=masteradmin target=server01 msg 详细信息 系统事件的详细信息 可能包含事件的详细描述 msg=user password incorrect for username MasterAdmin on an attempt to sign in from msg=a Scan for Recommendations on computer (localhost) has completed... 35

36 安全更新 安全更新 Vulnerability Protection 需要定期更新, 以便包含最新的安全更新和软件更新 以安全更新安全更新形式从趋势科技检索更新包 安全更新 配置安全更新之前, 您必须已安装并激活客户端 Vulnerability Protection 安装指南 中提供了所有 Vulnerability Protection 软件的安装说明 要配置安全更新, 您将需要配置安全更新源 配置安全更新源 要查看当前的更新源设置, 请转至管理 > 系统设置 > 更新 : 36

37 用户管理 用户管理 Vulnerability Protection 具有用户用户 角色角色和联系人联系人 用户是 Vulnerability Protection 帐户持有者, 可以通过唯一的用户名和密码登录 Vulnerability Protection 管理中心 用户分配有角色, 即用于在 Vulnerability Protection 管理中心中查看数据和执行操作的权限集合 联系人联系人不具有用户帐户, 并且也不能登录 Vulnerability Protection 管理中心, 但是可以将其指定为电子邮件通知和预设报告的收件人 虽然联系人不能登录 Vulnerability Protection 管理中心, 但他们分配有定义发送给他们的信息的范围的角色 例如, 三个联系人可能都列为每周摘要报告的收件人, 但对于每个联系人, 报告的内容可能完全不同, 具体取决于其角色向其分配 查看 权限所在的计算机 基于角色的访问权限和编辑权限 访问权限和编辑权限附加到角色, 而不附加到用户 要更改单个用户的访问权限和编辑权限, 必须向用户分配不同角色, 或者编辑角色本身 对计算机和策略的基于角色的访问 可以将所具备的对计算机和策略的访问角色限于部分计算机和策略 可以非常详细地控制此操作 例如, 可以允许用户查看所有现有的计算机, 但只允许用户修改特定组中的计算机 基于角色的编辑权限 在角色的访问限制内, 角色可对其编辑权限进行限制 用户权限 角色可向用户授予其他用户的委派权限 也就是说, 具有该角色的用户可以创建和修改只具有同等或较低访问权限的用户的属性 37

38 用户管理 完全访问权限 审计员和新角色的缺省设置 下表介绍了完全访问权限完全访问权限角色和审计员审计员角色的缺省权限设置 还列出了在角色角色页面的工具栏中单击新建新建创建新角色时提供的权限设置 权限 按角色分类的设置 常规 完全访问权限角色 审计员角 色 新角色缺 省值 访问 VPM 用户界面已允许已允许已允许 访问 Web 服务 API 已允许已允许不允许 计算机权限 完全访问权限角色 审计员角色 新角色缺省值 查看 允许, 所有计算机 允许, 所有计算机 允许, 所有计算机 不允许, 不允许, 编辑 允许, 所有计算机 所有计算 所有计算 机 机 不允许, 不允许, 删除 允许, 所有计算机 所有计算 所有计算 机 机 不允许, 不允许, 解除警报 允许, 所有计算机 所有计算 所有计算 机 机 不允许, 不允许, 标记项目 允许, 所有计算机 所有计算 所有计算 机 机 查看未选定的计算机和数据 ( 例如, 事件 报告 ) 已允许 已允许 允许, 所有计算机 查看与计算机无关的事件和警 报 已允许 已允许 允许, 所有计算机 在选定组中创建新的计算机已允许不允许不允许 在选定组中添加或移除子组已允许不允许不允许 导入计算机文件已允许不允许不允许 添加 移除和同步目录已允许不允许不允许 策略权限 完全访问权限角色 审计员角 色 新角色缺 省值 38

39 用户管理 权限 按角色分类的设置 查看 允许, 所有策略 允许, 所有策略 允许, 所有策略 编辑 允许, 所有策略 不允许, 所有策略 不允许, 所有策略 删除 允许, 所有策略 不允许, 所有策略 不允许, 所有策略 查看未选定的策略已允许已允许已允许 创建新策略已允许不允许不允许 导入策略已允许不允许不允许 用户权限 ( 请参阅下面的 有 关用户权限的注意事项 ) 完全访问权限角色 审计员角 色 新角色缺 省值 查看用户已允许已允许不允许 创建用户已允许不允许不允许 编辑用户属性已允许不允许不允许 删除用户已允许不允许不允许 查看角色已允许已允许不允许 创建角色已允许不允许不允许 编辑角色属性已允许不允许不允许 删除角色已允许不允许不允许 委派授权 其他权限 完全访问权限角色 审计员角 色 新角色缺 省值 警报完全 ( 可以解除全局警报 ) 仅查看仅查看 警报配置安全 ( 可以编辑警报配置 ) 仅查看仅查看 防火墙规则完全 ( 可以创建 编辑 删除防火墙规则 ) 仅查看仅查看 防火墙状态配置完全 ( 可以创建 编辑 删除防火墙状态配置 ) 仅查看仅查看 入侵防御规则完全 ( 可以创建 编辑 删除 ) 仅查看仅查看 应用程序类型完全 ( 可以创建 编辑 删除 ) 仅查看仅查看 IP 列表完全 ( 可以创建 编辑 删除 ) 仅查看仅查看 MAC 列表完全 ( 可以创建 编辑 删除 ) 仅查看仅查看 端口列表完全 ( 可以创建 编辑 删除 ) 仅查看仅查看 上下文完全 ( 可以创建 编辑 删除 ) 仅查看仅查看 时间表完全 ( 可以创建 编辑 删除 ) 仅查看仅查看 系统设置 ( 全局 ) 完全 ( 可以查看 编辑系统设置 ( 全局 )) 仅查看隐藏 系统信息完全 ( 可以查看系统信息 可以编辑和取消配置管理中心节点 可以管理系统扩展 ) 仅查看隐藏 诊断完全 ( 可以创建诊断数据包 ) 仅查看仅查看 标记 ( 高级 ) 完全 ( 可以标记 ( 不属于计算机的项目 ) 可以删除标记 可以更新非拥有的自动标记规 则 可以运行非拥有的自动标记规则 可以删除非拥有的自动标记规则 ) 仅查看 仅查看 任务完全 ( 可以查看 添加 编辑 删除任务, 可执行任务 ) 仅查看隐藏 联系人完全 ( 可以查看 创建 编辑 删除联系人 ) 仅查看隐藏 39

40 用户管理 权限 按角色分类的设置 使用授权完全 ( 可以查看 更改使用授权 ) 仅查看隐藏 更新 完全 ( 可以添加 编辑 删除软件 ; 可以查看组件的更新 ; 可以下载 导入 应用更新组 件 ; 可以删除 Vulnerability Protection 规则更新 ) 仅查看 隐藏 资产值完全 ( 可以创建 编辑 删除资产值 ) 仅查看仅查看 证书完全 ( 可以创建 删除 SSL 证书 ) 仅查看仅查看 有关用户权限的注意事项 角色属性窗口的用户权限用户权限选项卡上的用户权限用户权限区域具有三个常规用户权限选项 ( 仅更改自身密码和联系信息 创建和管理具有同等或较低访问权限的用户和完全控制所有角色和用户 ) 和一个定制定制选项 下表列出了与仅更改自身密码和联系信息仅更改自身密码和联系信息选项对应的定制设置 : 与 仅更改自身密码和联系信息 选项对应的定制设置 用户 可以查看用户 可以创建新用户 可以编辑用户属性 ( 用户始终可以编辑自身帐户的选定属性 ) 可以删除用户 不允许不允许不允许不允许 角色 可以查看角色 可以创建新角色 可以编辑角色属性 ( 警告 : 授予此权限可让具有此角色的用户编辑其自己的权限 ) 可以删除角色 不允许不允许不允许不允许 委派授权 只能操控具有同等或较低权限的用户 不允许 下表列出了与创建和管理具有同等或较低访问权限的用户创建和管理具有同等或较低访问权限的用户选项对应的定制设置 : 与 创建和管理具有同等或较低访问权限的用户 选项对应的定制设置 用户 可以查看用户 可以创建新用户 可以编辑用户属性 ( 用户始终可以编辑自身帐户的选定属性 ) 可以删除用户 已允许已允许已允许已允许 角色 可以查看角色 可以创建新角色 可以编辑角色属性 ( 警告 : 授予此权限可让具有此角色的用户编辑其自己的权限 ) 可以删除角色 不允许不允许不允许不允许 委派授权 40

41 用户管理 与 创建和管理具有同等或较低访问权限的用户 选项对应的定制设置 只能操控具有同等或较低权限的用户 已允许 下表列出了与完全控制所有角色和用户完全控制所有角色和用户选项对应的定制设置 : 与 完全控制所有角色和用户 选项对应的定制设置 用户 可以查看用户 可以创建新用户 可以编辑用户属性 ( 用户始终可以编辑自身帐户的选定属性 ) 可以删除用户 已允许已允许已允许已允许 角色 可以查看角色 可以创建新角色 可以编辑角色属性 ( 警告 : 授予此权限可让具有此角色的用户编辑其自己的权限 ) 可以删除角色 已允许已允许已允许已允许 委派授权 只能操控具有同等或较低权限的用户 N/A 41

42 数据库备份和恢复 数据库备份和恢复 备份 数据库备份可用于在灾难性故障事件中恢复 Vulnerability Protection, 或者用于将 Vulnerability Protection 管理中心转移到其他计算机 Vulnerability Protection 管理中心无法启动 Oracle 数据库备份 要备份 Oracle 数据库, 请查看 Oracle 文档 内部数据库或 MS SQL Server 数据库 可使用预设任务预设任务界面执行数据库备份 转至管理 > 预设任务页面 单击新建, 然后选择 新建预设任务 以显示新建预设任务新建预设任务向导 为此任务提供一个名称, 然后从下拉列表中选择 备份 下一页面会提示您指定此任务执行的频率和时间 要仅执行一次备份, 请选择 仅一次 并输入时间 ( 例如, 从现在起 5 分钟后 ) 下一页面会提示您指定备份文件的存储位置 一直单击到最后以完成向导 完成完整备份所花费的时间不应超过一分钟左右 将在您所指定的备份位置创建 按日期命名的 文件夹 如果使用 Vulnerability Protection 管理中心的内置 Apache Derby 数据库 ( 旨在用于进行测试 ), 则将在其下创建一个文件夹结构, 该文件夹结构映射到 Vulnerability Protection 管理中心安装目录内的文件夹 要恢复此数据库, 请关闭 Trend Micro Vulnerability Protection 管理中心 服务 ( 使用 Microsoft 管理控制台服务 ), 将备份文件夹复制到安装目录的相应文件夹, 然后重新启动 Vulnerability Protection 管理中心 如果使用 Microsoft SQL Server 或 SQL Server Express 数据库, 则会将名为 [timestamp].dsmbackup 的数据库备份文件写入预设任务中指定的备份文件夹 ( 有关如何恢复数据库的说明, 请参考您的 SQL Server 或 SQL Server Express 文档 ) 恢复 Vulnerability Protection 管理中心无法备份或恢复 Oracle 数据库 要备份或恢复 Oracle 数据库, 请查看您的 Oracle 文档 仅数据库 1. 停止 Vulnerability Protection 管理中心服务 2. 恢复数据库 ( 必须是来自相同版本号管理中心的数据库 ) 3. 启动服务 4. 验证恢复的内容 5. 更新所有计算机以确保其配置正确 Vulnerability Protection 管理中心和数据库 移除已丢失 / 已损坏的管理中心和数据库的所有残余内容 42

43 数据库备份和恢复 使用全新 / 空数据库安装全新的 Vulnerability Protection 管理中心 停止 Vulnerability Protection 管理中心服务 在全新安装的管理中心上恢复数据库, 必须使用相同的数据库名称 ( 必须是来自相同版本号管理中心的数据库 ) 启动 Vulnerability Protection 管理中心服务 验证恢复的内容 更新所有计算机以确保其配置正确 导出 您可以以 XML 或 CSV 格式导出各种 Vulnerability Protection 对象 : 事件 : 转至某个事件页面, 然后使用 高级搜索 选项过滤事件数据 例如, 您可以对计算机 > 便携式计算机计算机组中的计算机, 搜索最近 1 小时 ( 期间 栏 ) 内记录的其原因原因列包含包含文字 欺骗 的所有防火墙事件 ( 搜索 栏 ) 按提交按钮 ( 带有向右箭头 ) 执行 查询 然后按导出导出以 CSV 格式导出过滤后的数据 ( 您可以导出所有显示条目或者仅导出选定 / 突出显示的数据 )( 以这种格式导出日志主要用于与第三方报告工具的集成 ) 计算机列表 : 可以从计算机计算机页面以 XML 或 CSV 格式导出计算机列表 如果发现通过单个 Vulnerability Protection 管理中心管理的计算机太多, 打算再安装一个管理中心以管理一批计算机时, 您可能想要执行此操作 导出选定计算机的列表将免去您再次重新发现所有计算机并将其整理到组中的麻烦 策略 防火墙规则和入侵防御规则设置将不包含在内 您还必须导出防火墙规则 入侵防御规则 防火墙状态配置和策略, 然后将其重新应用到计算机 策略 : 可以从策略策略页面以 XML 格式导出策略 将选定的策略导出到 XML 时, 策略所拥有的任何子策略都将包含在导出的数据包内 导出的数据包包含与策略相关联的所有实际对象, 以下各项除外 : 入侵防御规则和应用程序类型 防火墙规则 : 可以使用如上所述的搜索 / 过滤技术将防火墙规则导出到 XML 或 CSV 文件 防火墙状态配置 : 可以使用如上所述的搜索 / 过滤技术将防火墙状态配置导出到 XML 或 CSV 文件 入侵防御规则 : 可以使用如上所述的搜索 / 过滤技术将入侵防御规则导出到 XML 或 CSV 文件 其他通用对象 : 可以使用相同的方法将所有可重用组件通用对象导出到 XML 或 CSV 文件 导出到 CSV 时, 仅包含显示的列数据 ( 使用列... 工具更改要显示的数据 ) 分组已忽略, 因此数据与窗口中显示的顺序可能有所不同 43

44 数据库备份和恢复 导入 要将各种单个对象导入到 Vulnerability Protection 中, 请在对象各自的页面中从工具栏新建新建按钮旁边的下拉列表内选择 从文件导入 44

45 添加计算机 添加计算机 要通过 Vulnerability Protection 保护计算机, 则必须先将这些计算机添加到 Vulnerability Protection 管理中心的计算机计算机列表中 通过以下操作可以将新的计算机添加到您的计算机列表 : 从本地网络导入计算机 ( 第 46 页 ) 如果是保护可本地访问的网络上的计算机, 您可以通过提供其 IP 地址或主机名, 或者执行查找操作来搜索对 Vulnerability Protection 管理中心可见的所有计算机, 从而分别添加这些计算机 导入目录 ( 第 48 页 ) 您可以导入 Microsoft Active Directory 或任何其他基于 LDAP 的目录服务 使用部署脚本 ( 第 52 页 ) 如果您要添加 / 防护大量计算机, 您可能希望自动执行安装和激活客户端的过程 您可以使用 Vulnerability Protection 管理中心的部署脚本生成器生成可在计算机上运行的脚本, 这些脚本将安装客户端并选择性地执行后续任务 ( 例如激活和策略分配 ) 此外, 这些脚本还可以用作启动模板以创建您自己的定制脚本来执行各种其他可用的命令 45

46 本地网络 本地网络 客户端启动的激活 如果 Vulnerability Protection 管理中心位于本地网络外, 并且无法启动与您网络上的计算机的通信, 您将需要指示计算机执行客户端启动的激活 要执行客户端启动的激活, 您必须在计算机上安装 Vulnerability Protection 客户端, 然后运行一系列命令行指令以通知客户端与 Vulnerability Protection 管理中心进行通信 在通信期间,Vulnerability Protection 管理中心将激活客户端, 并且可根据指示进一步执行许多其他操作, 例如分配安全策略 将计算机添加到计算机组等等 如果要一次向 Vulnerability Protection 管理中心添加大量计算机, 可以使用命令行指令创建脚本以自动执行此过程 有关客户端启动的激活 脚本编写和命令行选项的更多信息, 请参阅命令行指令 ( 第 93 页 ) 直接输入 IP 地址或主机名 您可以手动添加单个计算机 手动添加计算机 : 1. 转到计算机计算机页面, 然后单击工具栏中的新建新建以显示新建计算机新建计算机向导 2. 输入新计算机的 IP 地址或主机名 3. 从下拉列表中选择要为其分配的策略 4. 单击下一步下一步开始搜索计算机 如果检测到某计算机, 其上已安装客户端且客户端处于运行状态, 则会将该计算机添加到您的计算机列表并激活该客户端 激活 客户端意味着管理中心会与该客户端通信并发送给它一个唯一 指纹 然后, 客户端将使用此指纹唯一识别 Vulnerability Protection 管理中心, 不会接受来自可能尝试联系它的任何其他管理中心的指令 如果已为计算机分配了策略, 则会将策略部署到客户端, 且将使用构成策略的所有规则和配置来保护计算机 如果检测到计算机但不存在 Vulnerability Protection 客户端, 则会告知您以下情况 : 仍可将计算机添加到您的计算机列表, 但还需要在计算机上安装客户端 在计算机上安装客户端后, 您需要在计算机列表中找到该计算机并右键单击它, 然后从上下文菜单中选择 激活 / 重新激活 如果未检测到计算机 ( 对管理中心不可见 ), 则会告知您以下情况 : 仍可添加计算机, 但当计算机对管理中心可见时, 您需要按如上所述激活它 执行查找操作 发现操作扫描网络中的可见计算机 要启动查找操作, 请在计算机计算机页面的工具栏中单击查找... 将显示发现计算机发现计算机对话框 系统提供多个用于限制扫描范围的选项 您可以选择对每个已发现计算机执行端口扫描 请谨慎使用此选项, 因为如果要发现 / 扫描大量计算机, 该选项会花费很长时间 46

47 本地网络 在发现计算机时, 您可以指定要将发现的计算机添加到的计算机组 根据您已选择的组织计算机组的方式, 创建名为 新找到的计算机 或 在网络区段 X 上新找到的计算机 ( 如果要扫描多个网络区段 ) 的计算机组可能会很方便 然后, 您便可以将已发现的计算机基于其属性移到其他计算机组并将其激活 在发现期间, 管理中心会在网络中搜索所有可见计算机 找到计算机后, 管理中心会尝试检测是否存在客户端 当发现完成时, 管理中心会显示已检测到的所有计算机并在状态状态列显示这些计算机的状态 在发现操作之后, 计算机可能处于以下某种状态 : 已发现 ( 无客户端 ): 已检测到计算机, 但不存在客户端 如果已安装客户端, 但之前已将其激活且已针对客户端启动的通信进行配置, 则计算机也可能处于此状态 在这种情况下, 您必须停用然后再重新激活客户端 ( 如果客户端已安装但没有运行, 也会报告 无客户端 ) 已发现 ( 需要激活 ): 客户端已安装且正在侦听, 已被激活但尚未受管理中心管理 此状态表示此管理中心曾经管理该客户端, 但客户端的公共证书已不再位于管理中心的数据库中 如果计算机已从管理中心移除, 之后又被发现时, 可能会出现这种情况 要在此计算机上开始管理客户端, 请右键单击计算机并选择 激活 / 重新激活 一旦重新激活, 状态将更改为 联机 已发现 ( 需要停用 ): 客户端已安装且正在侦听, 但已由其他管理中心激活 在这种情况下, 必须先停用 ( 重置 ) 客户端, 然后再由此管理中心进行激活 必须使用原来激活客户端的管理中心来停用客户端, 或者可以直接在计算机上重置客户端 要通过管理中心停用客户端, 请右键单击计算机并选择操作 > 停用 发现操作不会发现目录 /Active Directory 中的计算机 47

48 Active Directory Active Directory Vulnerability Protection 管理中心支持使用 Microsoft Active Directory 查找计算机 将根据 Active Directory 的结构将计算机导入到 Vulnerability Protection 管理中心, 并对这些计算机进行分组和显示 导入 Microsoft Active Directory: 1. 在导航面板中右键单击计算机, 然后选择添加目录 键入导入目录的名称和描述 ( 无需与 Active Directory 的名称和描述相匹配 ) Active Directory 服务器的 IP 和端口, 最后是访问方法和凭证 必须将域名和用户名包括在用户名用户名文本框中 单击下一步下一步继续 3. 新建目录向导的第二个页面要求输入架构详细信息 ( 可以保留缺省值 ) Vulnerability Protection 管理中心内每个计算机的详细信息详细信息窗口均有一个 描述 文本框 要使用 Active Directory 的 计算机 对象类的属性填充 描述 文本框, 请在计算机描述属性计算机描述属性文本框中键入此属性名称 如果要使此 Vulnerability Protection 管理中心内的结构与 Active Directory 服务器自动保持同步, 请设置创建预设任务以同步此目录复选框 如果选中此复选框, 将在您添加完目录后显示预设任务预设任务向导 ( 您可以稍后使用预设任务预设任务向导进行设置 : 管理 > 预设任务 ) 单击下一步下一步继续 4. 当管理中心导入目录完成后, 您会看到已添加计算机的列表 单击完成完成 现在, 目录结构显示在导航面板的计算机计算机下 其他 Active Directory 选项 通过右键单击 Active Directory 结构, 会显示不适用于计算机计算机下列出的普通计算机组的以下选项 移除目录 立即同步 移除目录 从 Vulnerability Protection 管理中心移除目录时, 可以使用以下选项 : 从 DSM 中移除目录和所有从属计算机 / 组 : 移除对目录的所有跟踪 移除目录但保留计算机数据和组层次结构 : 将导入的目录结构转换为以相同方式组织的常规计算机组, 不再与 Active Directory 服务器相关联 移除目录, 保留计算机数据, 但展平层次结构 : 移除指向 Active Directory 服务器的链接, 丢弃目录结构, 并将所有计算机放到同一计算机组中 48

49 Active Directory 立即同步 将 Vulnerability Protection 管理中心中的目录结构与 Active Directory 服务器同步 您可以将此过程作为预设任务预设任务自动执行 Vulnerability Protection 可以利用 Active Directory 信息进行计算机查找以及用户帐户和联系人创建 端口要求 根据 Active Directory 集成的性质, 可能需要以下端口 : 端口 389: 用于非基于 SSL 的访问方法 端口 636: 用于基于 SSL 的访问方法 要使用基于 SSL 的访问方法,Active Directory 服务器必须启用 SSL, 缺省情况下通常不会启用 SSL 服务器证书用法 计算机查找可以使用基于 SSL 的方法和明文方法, 而用户和联系人限于使用非匿名 SSL 方法 后者限制可确保用户帐户和用法受到保护 基于 SSL 的访问方法将仅适用于启用 SSL 的 Active Directory 服务器, 因此用户和联系人只能从适当配置的服务器导入 启用 SSL 的 Active Directory 服务器必须安装有服务器证书 此证书可以是自签名证书, 也可以由第三方证书颁发机构创建 要验证是否存在证书, 请 Active Directory 服务器上的 Internet 信息服务 (IIS) 管理器, 然后选择服务器证书服务器证书 过滤 Active Directory 对象 导入 Active Directory 对象时, 可使用搜索过滤器管理将返回的对象 缺省情况下, 向导仅显示组 可以向过滤器中添加其他参数, 以进一步细化选择 有关搜索过滤器语法的其他信息, 请参考 aa746475(v=vs.85).aspx 导入用户和联系人 Vulnerability Protection 可以从 Active Directory 导入用户帐户信息, 并创建相应的 Vulnerability Protection 用户或联系人 这提供了以下优势 : 用户可以使用其在 Active Directory 中定义的网络密码 管理员可以从 Active Directory 内集中禁用帐户 通过利用 Active Directory 中已有的信息, 简化了联系人信息的维护工作 ( 例如, 电子邮件 电话号码等等 ) 用户和联系人均可从 Active Directory 导入 用户对 Vulnerability Protection 管理中心具有配置权限 联系人仅可接收 Vulnerability Protection 管理中心通知 通过同步向导, 可以选择哪些 Active Directory 对象要作为用户导入, 哪些对象要作为联系人导入 49

50 Active Directory 要成功将 Active Directory 用户帐户导入到 Vulnerability Protection 作为 Vulnerability Protection 用户或联系人,Active Directory 用户帐户必须具有一个 userprincipalname 属性值 (userprincipalname 属性对应于 Active Directory 帐户持有者的 用户登录名 ) 导入用户或联系人 : 1. 在导航面板中, 单击管理 > 用户管理 > 用户或管理 > 用户管理, 然后转至用户用户或联系人联系人窗口 2. 单击与目录同步与目录同步 如果是首次导入用户或联系人信息, 向导将显示服务器信息页面 ( 有关如何在此页面中设置选项的信息, 请参阅上述有关导入计算机的部分 ) 否则, 将显示 与目录同步 向导 3. 选择适当的访问选项, 并提供登录凭据 单击下一步下一步 4. 在选择要同步的组选择要同步的组页面中, 选择要作为用户用户或联系人联系人导入的 Active Directory 对象 取消选定的对象将不会导入 5. 在选择新用户 / 联系人的选项页面中, 定义赋予导入帐户的缺省用户角色 选择具有最小访问权限的角色, 以避免意外授予个人不适当的权限 单击下一步下一步 6. 同步后, 向导将生成报告, 指示导入的对象数量 单击完成完成 导入后, 无法更改帐户的 常规信息, 可以根据此信息将这些帐户与基本的 Vulnerability Protection 帐户区分开 保持 Active Directory 对象同步 导入后,Active Directory 对象必须不断与其 Active Directory 服务器同步, 以反映这些对象的最新更新 例如, 这样可确保在 Active Directory 中删除的计算机也已在 Vulnerability Protection 管理中心中删除 要使已导入到 Vulnerability Protection 管理中心的 Active Directory 对象与 Active Directory 保持同步, 需要设置用于同步目录数据的预设任务 用户 / 联系人和主机导入向导都包含用于创建这些预设任务的选项 也可以使用 预设任务 向导创建此任务 可以根据需要使用立即同步立即同步选项 ( 适用于主机 ) 和与目录同步与目录同步按钮 ( 适用于用户和联系人 ) 执行同步 从 Vulnerability Protection 管理中心中移除 Active Directory 可以针对计算机查找以及用户和联系人移除 Vulnerability Protection 管理中心 -Active Directory 集成 从 计算机 列表中移除 Active Directory 从 计算机 列表中移除目录时, 将显示以下选项 : 从 Vulnerability Protection 管理中心中移除目录和所有从属计算机 / 组 : 所有主机记录都将从 计算机 列表中移除 移除目录但保留计算机数据和组层次结构 : 将保留现有 Active Directory 结构, 但不再与 Active Directory 同步 由于结构未受到影响, 因此文件夹和主机的用户和角色访问权限将保持不变 移除目录, 保留计算机数据, 但展平层次结构 : 主机记录将从其原始层次结构中去除, 但所有这些记录都将存储在一个以移除的目录命名的组中 目录的用户和角色访问权限将转移到此组, 从而维持对所有主机的访问权限 移除目录 : 1. 在 计算机 页面中, 右键单击目录, 然后选择移除目录移除目录 2. 在 移除目录 对话框中选择移除选项 50

51 Active Directory 3. 在接下来出现的对话框中确认该操作 这就完成了目录移除操作 移除 Active Directory 用户和联系人 与目录移除操作 ( 提供可保留特定类型信息的选项 ) 不同, 移除用户和联系人会删除所有这些记录 因此, 使用已导入用户的帐户登录 Vulnerability Protection 管理中心控制台时, 无法执行此操作 执行此操作将产生错误 移除用户和联系人 : 1. 在 用户 或 联系人 页面中, 单击与目录同步与目录同步 2. 选择停止同步, 然后单击确定确定 向导显示将进行的更改的摘要页面 3. 单击完成完成 51

52 部署脚本 部署脚本 向 Vulnerability Protection 中受保护资源的列表中添加计算机并实施保护需要多个步骤才能完成 几乎所有这些步骤都可以从计算机上的命令行执行, 因此也可以编写脚本 Vulnerability Protection 管理中心包含一个部署脚本编写助手, 可从管理中心的 帮助 菜单进行访问 生成部署脚本 : 1. 要启动部署脚本生成器, 请从 Vulnerability Protection 管理中心的 帮助 菜单 ( 位于 Vulnerability Protection 管理中心窗口的右上方 ) 中选择部署脚本部署脚本 2. 选择要将软件部署到的平台 ( 下拉菜单中列出的平台将对应您从趋势科技下载专区导入到 Vulnerability Protection 管理中心的软件 ) 3. 选择自动激活客户端自动激活客户端 (Vulnerability Protection 管理中心必须在实施保护策略前激活客户端 ) 4. 选择要在计算机上实施的策略 ( 可选 ) 5. 选择计算机组 ( 可选 ) 做出以下选择后, 部署脚本生成器将生成脚本, 您可以将该脚本导入到您选择的部署工具中 Vulnerability Protection 管理中心为 Windows 客户端部署生成的部署脚本需要安装 Windows Powershell 版本 2.0 或更高版本 52

53 部署防护 部署防护 基于客户端的防护 :Vulnerability Protection 客户端可在计算机上提供防护 此小软件组件已在计算机上部署并实施了您对其应用的安全策略 53

54 基于客户端的防护 基于客户端的防护 手动部署 您可以通过在计算机上运行相应的安装包来手动安装任意 Vulnerability Protection 客户端 可以从趋势科技下载专区下载客户端安装包 : 有关安装单个客户端软件包的说明, 请参阅 安装指南 安装客户端后, 您必须将计算机添加到被管理计算机列表并手动激活客户端 有关添加计算机的信息, 请参阅添加计算机 ( 第 45 页 ) 部署脚本 向 Vulnerability Protection 中受保护资源的列表中添加计算机并实施保护需要多个步骤才能完成 几乎所有这些步骤都可以从计算机上的命令行执行, 因此也可以编写脚本 Vulnerability Protection 管理中心包含一个部署脚本编写助手, 可从管理中心的 帮助 菜单进行访问 生成部署脚本 : 1. 在页面右上方的 Vulnerability Protection 管理中心的 帮助 菜单中单击部署脚本, 可以启动部署脚本生成器 2. 选择要将软件部署到的平台 ( 下拉菜单中列出的平台将对应您从趋势科技下载专区导入到 Vulnerability Protection 管理中心的软件 3. 选择自动激活客户端自动激活客户端 (Vulnerability Protection 管理中心必须在实施保护策略前激活客户端 ) 4. 选择要在计算机上实施的策略 5. 选择计算机组 当您做出了上述选择, 部署脚本生成器将生成可以导入到系统管理软件的脚本 54

55 基于客户端的防护 55

56 防护模块 防护模块 描述了 Vulnerability Protection 防护模块的配置 防火墙 ( 第 57 页 ) 是双向状态防火墙, 负责确保来自未经授权的来源的数据包不会访问主机上的应用程序 入侵防御 ( 第 68 页 ) 模块可保护计算机免遭已知和零时差漏洞攻击 SQL 注入攻击 跨站点脚本攻击和其他 Web 应用程序漏洞利用 它可屏蔽漏洞, 直至代码修复完成 它可识别访问网络的恶意软件, 并增加对访问网络的应用程序的可见性, 或者增加对其的控制 56

57 防火墙 防火墙 Vulnerability Protection 防火墙是双向状态防火墙, 负责确保来自未经授权的来源的数据包不会访问主机上的应用程序 基本配置 在计算机上启用防火墙功能 : 1. 在策略 / 计算机编辑器中, 转至防火墙 > 常规 2. 选择, 然后单击 保存 桥接和分接模式 防火墙模块使用能够以下列两种模式之一运行的 Vulnerability Protection 网络引擎 : 桥接 : 活动数据包流直接通过 Vulnerability Protection 网络引擎 因此, 所有规则将在继续协议堆栈前应用到网络流量 分接模式 : 系统会复制活动数据包流并从主数据流中转移 在分接模式下, 不会修改活动数据流 所有操作均在复制的数据流上执行 处于分接模式时, 除了提供事件记录之外, Vulnerability Protection 不会提供任何保护 要在桥接模式和分接模式之间切换, 请策略或计算机编辑器并转至设置 > 网络引擎 > 网络驱动程序模式 防火墙规则属性 数据包源和数据包目标 防火墙可使用以下条件确定流量源和目标 : IP 地址 MAC 地址 端口 IP 地址 以下选项可用于定义 IP 地址 : 任何 : 未指定地址, 因此任何主机均可以是源或目标 单个 IP: 使用其 IP 地址标识特定计算机 网络掩码 : 这会将规则应用于共享相同子网掩码的所有计算机 范围 : 这会将规则应用于特定 IP 地址范围内的所有计算机 57

58 防火墙 IP: 对不具有连续 IP 地址的多个计算机应用规则时使用此选项 IP 列表 : 此选项使用 组件 列表 ( 特别是针对 IP 地址的列表 ) 来定义主机 MAC 地址 以下选项可用于定义 MAC 地址 : 任何 : 未指定 MAC 地址, 因此, 规则适用于所有地址 单个 MAC: 规则适用于特定 MAC 地址 MAC: 规则适用于此处指定的 MAC 地址 MAC 列表 : 规则适用于 MAC 列表中的 MAC 地址 端口 以下选项可用于定义端口地址 : 任何 : 规则适用于单个端口 端口 : 规则适用于此处写入的多个端口 端口列表 : 规则适用于端口列表 传输协议 如果规则专门针对 Internet 协议 (IP) 帧类型, 并且协议文本框已启用, 系统将要求管理员指定要分析的传输协议 可供选择的协议选项有 : 任何 ( 将不会基于协议区分防火墙 ) ICMP ICMPV6 IGMP GGP TCP PUP UDP IDP ND RAW TCP+UDP 其他 ( 必须提供协议编号 ) 58

59 防火墙 方向 Vulnerability Protection 防火墙是双向防火墙 因此, 它可以对网络到 Vulnerability Protection 主机 ( 称为传入 ), 以及主机到网络 ( 称为传出 ) 的流量强制执行规则 防火墙规则仅可用于一个方向, 因此特定类型的流量的防火墙规则通常成对出现 TCP 标头标志 处理 TCP 流量时, 管理员可以选择规则要应用到的 TCP 标志 如果规则未应用到所有标志, 管理员可从以下选项进行选择 : 任何标志 URG ACK PSH RST SYN FIN 可使用多种方法将这些标志用于各种攻击中 此处仅介绍一项选择 URG 标志表示该数据包十分紧急, 必须先于所有其他数据包进行处理 ;PSH 标志设置 TCP 堆栈以刷新其缓存并将所有信息发送到应用程序 这两种标志都可用于名为 Xmas 扫描的类型端口扫描中, 通常为已启用 URG 和 PSH 标志的 FIN 数据包 此扫描的名称由来是交替和关闭标志字节 ( ) 中的位, 类似圣诞树上的灯 未受保护的计算机收到与 Xmas 扫描相关的数据包时, 将出现以下情况 : 条件 关闭的端口 的端口 响应 返回 RST 数据包 无响应, 暴露了已端口的存在 RST 或 RESET 标志突然终止了 TCP 连接 如上所述, 其合法使用还包括终止到指出连接不可行或未经允许的已关闭端口的连接 但是,RST 标志还可以用作旨在破坏现有会话的 RESET 攻击的一部分 下图举例说明了一种攻击情况, 其中主机 C 可以计算主机 A 期望从主机 B 的数据包获取的 TCP 序列号, 因此欺骗主机 A 相信主机 B 已向其发送 RST 数据包 最终结果是拒绝服务攻击 : 59

60 防火墙 帧类型 术语 帧 是指以太网帧, 提供的协议可指定帧包含的数据 Internet 协议 (IP) 地址解析协议 (ARP) 和反向地址解析协议 (RARP) 是当代以太网网络上最常包含的协议, 但是通过从下拉列表中选择 其他, 您可以通过其 帧编号 指定任何其他帧类型 防火墙规则操作 防火墙规则可以执行以下操作 : 允许 : 明确允许符合规则的流量通过, 隐式拒绝其他流量 放行 : 允许流量绕开防火墙和入侵防御分析 仅将此设置用于媒体密集协议 仅可以使用此操作设置端口 流向和协议 拒绝 : 明确阻止符合规则的流量 强制允许 : 强制允许另外可能被其他规则拒绝的流量 强制允许规则允许的流量仍要经过入侵防御模块的分析 仅记录 : 流量将仅供记录 不会采取任何其他操作 关于 允许 规则的更多信息 允许规则有两个功能 : 1. 允许明确允许的流量 2. 隐式拒绝所有其他流量 将丢弃允许允许规则未明确允许的流量, 并记录为不允许的策略不允许的策略防火墙事件 常用的允许允许规则包括 : ARP: 允许传入的地址解析协议 (ARP) 流量 允许请求的 TCP/UDP 回复 : 确保主机计算机可以接收对其 TCP 和 UDP 消息的回复 这与 TCP 和 UDP 状态配置结合使用 允许请求的 ICMP 回复 : 确保主机计算机可以接收对其 ICMP 消息的回复 这与 ICMP 状态配置结合使用 关于 放行 规则的更多信息 放行规则专用于媒体密集协议, 无需通过防火墙或入侵防御模块进行过滤 放行放行规则具有以下显著特征 : 符合放行放行规则条件的数据包具有以下特点 : 不受状态配置设置条件的约束 可绕开防火墙和入侵防御分析 60

61 防火墙 由于状态检查未应用于已绕开的流量, 因此绕开一个方向的流量不会自动绕开另一个方向的响应 因此, 应始终成对创建和应用放行规则, 一个用于传入流量, 另一个用于传出流量 不会记录放行规则事件 这是不可配置的行为 如果 Vulnerability Protection 管理中心使用受 Vulnerability Protection 客户端保护的远程数据库, 那么在 Vulnerability Protection 管理中心将入侵防御规则保存到数据库时, 将出现入侵防御相关的虚假警报 规则内容本身将误报为攻击 针对此情况的两种解决方法之一是为从 Vulnerability Protection 管理中心到数据库主机的流量创建放行规则 Vulnerability Protection 管理中心流量的缺省放行规则 Vulnerability Protection 管理中心自动实现优先级 4 放行规则, 将在运行 Vulnerability Protection 客户端的主机计算机上的端口 4118 传入的 TCP 流量 优先级 4 可确保在所有拒绝规则之前先应用此规则, 放行可保证流量始终不会受到影响 但是, 此规则接受来自任何 IP 地址和任何 MAC 地址的流量 要稳定此端口的 DSA, 您可以为此端口创建更加严格的备用放行规则 客户端实际上将禁用缺省管理中心流量规则以支持新定制规则, 前提是其具有以下特性 : 优先级 : 4 最高 数据包流向 : 传入 帧类型 : IP 协议 : TCP 数据包目标端口 : 4118 定制规则必须使用以上参数替换缺省规则 实际管理中心的 IP 地址或 MAC 地址应用作规则的数据包源 关于 强制允许 规则的更多信息 强制允许 选项排除了另外可能被拒绝操作覆盖的流量子集 它与其他操作的关系如下所示 强制允许与放行规则的效果是一样的 但是, 和放行不同的是, 因此操作通过防火墙的流量仍要由入侵防御模块进行审查 强制允许操作对于确保必要的网络服务能够与 DSA 计算机进行通信特别有用 缺省强制允许规则中通常用于实际生活的有 : 允许 拒绝 强制允许 防火墙规则流程 到达计算机的数据包会先按防火墙规则进行处理, 接着根据状态配置条件进行处理, 最后再按入侵防御规则进行处理 以下是应用防火墙规则的顺序 ( 传入和传出 ): 1. 具有优先级 4( 最高 ) 的防火墙规则 1. 放行 2. 仅记录 ( 只能为仅记录仅记录规则分配优先级 4( 最高 )) 3. 强制允许 61

62 防火墙 4. 拒绝 2. 具有优先级 3( 高 ) 的防火墙规则 1. 放行 2. 强制允许 3. 拒绝 3. 具有优先级 2( 一般 ) 的防火墙规则 1. 放行 2. 强制允许 3. 拒绝 4. 具有优先级 1( 低 ) 的防火墙规则 1. 放行 2. 强制允许 3. 拒绝 5. 具有优先级 0( 最低 ) 的防火墙规则 1. 放行 2. 强制允许 3. 拒绝 4. 允许 ( 请注意, 允许规则只能分配优先级 0( 最低 )) 如果计算机上没有任何允许允许规则生效, 除非被拒绝拒绝规则特别阻止, 否则将允许所有流量 创建单个允许允许规则后, 除非其满足允许允许规则的条件, 否则将阻止所有其他流量 此情况有一个例外 : 除非拒绝拒绝规则明确阻止 ICMPv6 网络通信, 否则始终允许该网络通信 在同一优先级上下文中, 拒绝规则会覆盖允许允许规则, 而强制允许强制允许规则将会覆盖拒绝拒绝规则 通过使用规则优先级系统, 可以制订较高优先级的拒绝拒绝规则来覆盖较低优先级的强制允许强制允许规则 考虑一个 DNS 服务器策略示例, 该策略使用强制允许强制允许规则, 从而允许所有经由 TCP/UDP 端口 53 的传入 DNS 查询 创建优先级高于强制允许强制允许规则的拒绝拒绝规则, 则可以指定某特定范围的 IP 地址并必须禁止使用这些地址来访问同一个公共服务器 通过基于优先级的规则集, 您可以设置应用规则时所要依据的顺序 如果已设置具有最高优先级的拒绝拒绝规则, 而且同一优先级中没有强制允许强制允许规则, 则会自动丢弃匹配该拒绝拒绝规则的任何数据包, 并忽略其余的规则 相反地, 如果具有最高优先级标志集的强制允许规则存在, 则会自动允许匹配该强制允许强制允许规则的任何传入数据包通过, 且不针对任何其他规则进行检查 有关记录的注意事项 放行规则从不生成事件 此选项不可配置 仅当符合规则的数据包后来没有被下列任一规则阻止时, 仅记录规则才会生成事件 : 拒绝规则, 或 排除该数据包的允许允许规则 如果数据包被上述两种规则中的一种阻止, 则这些规则 ( 但不是仅记录仅记录规则 ) 将生成事件 如果没有后续规则停止数据包, 则仅记录规则会生成事件 62

63 防火墙 防火墙规则如何协作 Vulnerability Protection 防火墙规则既有规则处理措施, 又有规则优先级 这两种属性配合使用可让您创建非常有弹性且功能强大的规则集 其他防火墙使用的规则集可能要求依照运行时应有的顺序定义规则, 与此不同的是,Vulnerability Protection 防火墙规则是根据规则处理措施和规则优先级的确定顺序运行的, 与其定义或分配的顺序无关 规则处理措施 每个规则可以有五种处理措施之一 1. 放行 : 如果数据包符合放行放行规则, 则无论同一优先级级别的其他任意规则为何, 数据包均可通过防火墙和入侵防御引擎 2. 仅记录 : 如果数据包符合仅记录仅记录规则, 则该数据包会通过, 该事件将被记录 3. 强制允许 : 如果数据包符合强制允许强制允许规则, 则无论同一优先级级别的其他规则是什么, 数据包均可通过 4. 拒绝 : 如果数据包符合拒绝拒绝规则, 则会被丢弃 5. 允许 : 如果数据包符合允许允许规则, 则可以通过 不符合允许允许规则之一的任何流量都会被拒绝 实行允许规则将导致拒绝允许规则未特别覆盖的所有其他流量 : 拒绝 规则可以优先于 允许 规则执行, 以阻止某些类型的流量 : 63

64 防火墙 强制允许 规则可以应用于被拒绝的流量之上, 以允许某些异常经过 : 规则优先级 拒绝和强制允许强制允许类型的规则处理措施可以在 5 种优先级的任一种中加以定义, 以便进一步修正允许允许规则集所定义的允许流量 规则以最高 ( 优先级 4) 到最低 ( 优先级 0) 的优先级顺序运行 在特定的优先级级别中, 规则是根据规则操作的顺序 ( 强制允许 拒绝 允许 仅记录 ) 得到处理的 优先级上下文可让用户使用拒绝 / 强制允许组合依次修正流量控制, 以达到更大的灵活性 在同一优先级上下文中, 可以使用拒绝规则否定允许允许规则, 也可以使用强制允许强制允许规则否定拒绝拒绝规则 允许类型的规则处理措施只在优先级为 0 时运行, 而仅记录仅记录类型的规则处理措施只在优先级为 4 时运行 组合使用规则处理措施和规则优先级 规则以最高 ( 优先级 4) 到最低 ( 优先级 0) 的优先级顺序运行 在特定的优先级级别中, 会根据规则处理措施的顺序处理规则 优先级相同的规则处理顺序如下 : 放行 仅记录 强制允许 拒绝 允许 请记住, 允许类型的规则处理措施只在优先级为 0 时运行, 而仅记录仅记录类型的规则处理措施只在优先级为 4 时运行 请记住, 如果强制允许强制允许规则和拒绝拒绝规则处于同一优先级, 则强制允许强制允许规则比拒绝拒绝规则优先, 因此将会允许符合强制允许规则的流量 状态过滤 启用状态分析时, 会在流量历史记录 TCP 和 IP 标头值正确性, 以及 TCP 连接状态转换的上下文中分析数据包 在无状态协议 ( 例如,UDP 和 ICMP) 情况下, 会根据历史流量分析执行假状态机制 如果数据包经由静态规则明确允许, 将会通过状态例程 会检查连接表中是否有匹配的端点, 以检查数据包是否属于现有的连接 64

65 防火墙 检查 TCP 标头的正确性 ( 例如, 序号 标志组合 ) 启用后, 状态引擎会应用至通过接口的所有流量 缺省情况下,UDP 假状态检查会拒绝任意传入的 未经请求的 UDP 数据包 如果计算机运行的是 UDP 服务器, 则策略中必须包含强制允许强制允许规则, 以允许访问该服务 例如, 如果在 DNS 服务器上启用了 UDP 状态检查, 则必须有允许 UDP 流量通往端口 53 的强制允许强制允许规则 缺省情况下,ICMP 假状态检查会拒绝任何未经请求的传入 ICMP 的请求回复和错误类型数据包 若要允许未经请求的 ICMP 数据包, 必须明确定义强制允许强制允许 除非使用静态规则明确允许, 否则会丢弃其他所有 ICMP( 非请求回复或错误类型 ) 数据包 将所有内容汇总设计防火墙策略 一般而言, 定义计算机的防火墙策略有两种方法 : 禁止 : 禁止一切未明确允许的流量 可以通过使用允许允许规则描述允许的流量, 使用拒绝拒绝规则进一步限制允许的流量, 将两种方法相结合以创建禁止策略 允许 : 允许一切未明确禁止的流量 可单独使用拒绝拒绝规则描述应丢弃的流量, 以创建允许策略 一般而言, 应优先使用禁止策略, 而尽量避免使用允许策略 强制允许规则应只与允许允许规则和拒绝拒绝规则结合使用, 以允许由允许允许规则和拒绝拒绝规则所禁止的流量子集 当启用 ICMP 和 UDP 状态时, 还需要强制允许强制允许规则以允许未经请求的 ICMP 和 UDP 流量 示例 以下是如何为 Web 服务器创建简单防火墙策略的示例 1. 首先使用已启用 TCP UDP 和 ICMP 选项的全局防火墙状态配置启用这些选项的状态检查 2. 添加防火墙规则以允许回复来自工作站的请求的 TCP 和 UDP 数据包 为实现此目的, 创建传入允许允许规则, 将协议设置为 "TCP + UDP", 并选择特定标志特定标志下的非复选框和 Syn 复选框 此时, 该策略只允许回复由工作站上的用户启动的请求的 TCP 和 UDP 数据包 例如, 结合步骤 1 中已启用的状态分析选项, 此规则允许此计算机上的用户执行 DNS 查询 ( 通过 UDP) 以及通过 HTTP (TCP) 浏览 Web 3. 添加防火墙规则以允许回复来自工作站的请求的 ICMP 数据包 为实现此目的, 创建传入允许允许规则, 并将协议设置为 "ICMP", 并选择任何标志任何标志复选框 这意味着此计算机上的用户可以 ping 其他的工作站并收到回复, 但是其他用户将无法 ping 此计算机 4. 添加防火墙规则, 选中特定标志特定标志部分下的 Syn 复选框, 以允许通往端口 80 和 443 的传入 TCP 流量 这意味着外部用户可以访问此计算机上的 Web 服务器 此时, 我们已拥有一个基本的防火墙策略, 该策略允许请求的 TCP UDP 和 ICMP 回复, 允许外部访问此计算机上的 Web 服务器, 并拒绝所有其他传入流量 关于如何使用拒绝拒绝和强制允许强制允许规则处理措施进一步修正此策略的示例, 请考虑要如何限制来自网络中其他计算机的流量 例如, 我们可能要允许内部用户访问此计算机上的 Web 服务器, 但是拒绝 DMZ 中的任意计算机进行访问 通过添加拒绝拒绝规则, 禁止位于 DMZ IP 范围中的服务器进行访问即可实现此目的 5. 接下来我们针对源 IP 为 /24 的传入 TCP 流量添加一个拒绝拒绝规则, 此 IP 位于分配给 DMZ 中计算机的 IP 范围 此规则拒绝 DMZ 中的计算机与此计算机之间的任何流量 65

66 防火墙 但是, 我们可能要进一步修正此策略, 以允许从 DMZ 中的邮件服务器传入的流量 6. 为实现此目的, 我们对来自源 IP 的传入 TCP 流量使用强制允许强制允许规则 此强制允许强制允许规则会覆盖在前一步骤创建的拒绝拒绝规则, 以允许来自 DMZ 中此计算机的流量 务必要记住的重要事项 所有流量都要先对照防火墙规则进行检查, 再由状态检查引擎进行分析 如果流量通过了防火墙规则, 则状态检查引擎会接着对其进行分析 ( 前提条件是状态配置中已启用防火墙状态检查 ) 允许规则是禁止的 未在允许允许规则中指定的任何流量都会自动丢弃 这包括其他帧类型的流量, 因此您必须记住包含允许其他类型的必要流量的规则 例如, 如果未使用静态 ARP 表, 别忘了包含允许 ARP 流量的规则 如果启用了 UDP 状态检查, 则必须使用强制允许强制允许规则以允许未经请求的 UDP 流量 例如, 如果在 DNS 服务器上启用了 UDP 状态检查, 则对端口 53 必须使用强制允许强制允许规则, 以允许服务器接受传入的 DNS 请求 如果启用了 ICMP 状态检查, 则必须使用强制允许强制允许规则, 以允许未经请求的 ICMP 流量 例如, 如果您要允许外部的 ping 请求, 则需要对 ICMP 类型 3(Echo 请求 ) 使用强制允许强制允许规则 强制允许仅在相同的优先级上下文中才是最佳的做法 如果您未配置 DNS 或 WINS 服务器 ( 在测试环境中很常见 ), 则必须为 NetBios 配置强制允许传入 UDP 端口 137 规则 对新的防火墙策略进行故障排除时, 应做的第一件事是检查客户端上的防火墙规则日志 防火墙规则日志包含您需要的所有信息, 可以使您判断拒绝了哪些流量, 从而根据需要进一步修正策略 66

67 放行规则 放行规则 有一类特殊的防火墙规则, 称为放行规则 它专用于使用媒体密集型的协议, 而这类协议可能不希望执行过滤 要创建放行规则, 应在新建防火墙规则时选择 放行 做为规则的 操作 防火墙规则上的 放行 操作与强制允许规则有下列不同之处 : 符合放行的数据包不会由入侵防御规则处理 与强制允许不同的是, 当防火墙状态配置开启时, 放行不会自动允许对 TCP 连接进行响应 ( 有关详细信息, 请参阅后面内容 ) 有些放行规则已经过优化, 流量会很有效率地流动, 客户端就跟不存在一般 ( 有关详细信息, 请参阅后面内容 ) 在防火墙状态配置开启时使用放行 如果您打算使用放行规则对通往 TCP 目的地端口 N 的传入流量跳过入侵防御规则处理, 而且防火墙状态配置已设置为对 TCP 执行状态检查, 则必须为源端口 N 创建匹配的传出规则, 以便允许 TCP 响应 ( 若是强制允许规则, 则不必如此操作, 因为状态引擎仍会处理强制允许流量 ) 所有放行规则都是单向的 每个方向的流量都需要使用显式的规则 优化 放行规则旨在允许匹配的流量以尽可能快的速率通过 采用下列 ( 全部 ) 设置可达到最大的吞吐量 : 优先级 : 最高 帧类型 :IP 协议 :TCP UDP 或其他 IP 协议 ( 请勿使用 任何 选项 ) 源 IP 和 MAC 与目标 IP 和 MAC: 全部为 任何 如果协议为 TCP 或 UDP, 且流量方向为 传入, 则目的地端口必须为一个或多个指定的端口 ( 不是 任何 ), 而源端口则必须为 任何 如果协议为 TCP 或 UDP, 且流量方向为 传出, 则源端口必须为一个或多个指定的端口 ( 不是 任何 ), 而目的地端口则必须为 任何 时间表 : 无 记录 符合放行规则的数据包不会被记录 此选项不可配置 67

68 入侵防御 入侵防御 入侵防御模块可保护计算机免遭已知和零时差漏洞攻击 SQL 注入攻击 跨站点脚本攻击和其他 Web 应用程序漏洞利用 屏蔽漏洞直到代码修复完成 它可识别访问网络的恶意软件, 并增加对访问网络的应用程序的可见性, 或者增加对其的控制 入侵防御通过检测网络流量中的恶意指令和丢弃相关数据包来阻止攻击 入侵防御可用于以下功能 : 虚拟修补 : 入侵防御规则可以丢弃旨在利用某些应用程序或操作系统本身未修补漏洞的流量 这可在等待应用相关 Patch 时保护主机 协议清理 : 检测并阻止具有恶意指令的流量 应用程序控制 : 此控制可用于阻止与特定应用程序 ( 例如 Skype 或文件共享工具 ) 相关的流量 基本配置 在计算机上启用入侵防御功能 : 1. 在策略 / 计算机编辑器中, 转至入侵防御 > 常规 2. 选择, 然后单击 保存 桥接和分接模式 入侵防御模块使用能够以下列两种模式之一运行的 Vulnerability Protection 网络引擎 : 桥接 : 活动数据包流直接通过 Vulnerability Protection 网络引擎 因此, 所有规则将在继续协议堆栈前应用到网络流量 分接模式 : 系统会复制活动数据包流并从主数据流中转移 在分接模式下, 不会修改活动数据流 所有操作均在复制的数据流上执行 处于分接模式时, 除了提供事件记录之外, Vulnerability Protection 不会提供任何保护 要在桥接模式和分接模式之间切换, 请策略或计算机编辑器并转至设置 > 网络引擎 > 网络驱动程序模式 阻止与检测 如果 Vulnerability Protection 网络引擎处于桥接桥接模式, 将提供两个额外选项 : 阻止 : 入侵防御规则适用于流量, 并生成相关日志事件 检测 : 仍会触发入侵防御规则, 并生成事件, 但不会影响流量 您应当始终在检测模式下测试新的入侵防御设置和规则以确保可能的误报不会中断计算机上的服务 一旦确信不会触发任何误报 ( 通过在一段时间内监控入侵防御事件 ), 便可切换到 阻止 模式 也可以将个别入侵防御规则应用于仅检测或阻止模式 应用任何新入侵防御规则时, 最好在仅检测模式下先运行一段时间, 以确保其不会干扰合法流量 趋势科技发布的一些规则缺省情况下设置为仅检测 例如, 邮件客户端入侵防御规则通常为仅检测, 因为它 68

69 入侵防御 们将阻止所有后续邮件的下载 仅当某条件在一定时期内出现多次或一定次数, 一些规则才会触发, 以在条件再次出现时不会阻止个别条件, 但会引发警报 一些规则仅仅易受误报影响 缺省情况下, 这些规则将在仅检测模式下传送, 在观察到未触发任何误报后是否将其切换为阻止模式的决定权在您手中 69

70 漏洞扫描 ( 推荐设置 ) 漏洞扫描 ( 推荐设置 ) Vulnerability Protection 可以在计算机上运行 漏洞扫描 ( 推荐设置 ) 以标识已知漏洞 该操作不仅扫描操作系统, 还扫描安装的应用程序 基于检测到的内容,Vulnerability Protection 会建议应该应用的安全规则 在 漏洞扫描 ( 推荐设置 ) 期间,Vulnerability Protection 客户端会扫描以下内容 : 操作系统 安装的应用程序 Windows 注册表 的端口 目录列表 文件系统 正在运行的进程和服务 用户 对于大型部署, 趋势科技建议在策略级别管理建议 也就是说, 所有要扫描的计算机都应已分配策略 这样, 您就可以从单个源 ( 策略 ) 进行所有规则分配, 而不必在各个计算机上管理各个规则 可以手动启动 漏洞扫描 ( 推荐设置 ), 也可以创建预设任务以定期在指定计算机上运行扫描 运行 漏洞扫描 ( 推荐设置 ) 手动启动 漏洞扫描 ( 推荐设置 ) : 1. 在 Vulnerability Protection 管理中心中, 转至计算机计算机页面 2. 选择要扫描的一台或多台计算机 3. 右键所选计算机并选择操作 > 漏洞扫描 ( 推荐设置 ) 创建 漏洞扫描 ( 推荐设置 ) 预设任务 : 1. 在 Vulnerability Protection 管理中心中, 转至管理 > 预设任务页面 2. 单击工具栏上的新建新建并选择 新建预设任务, 以显示新建预设任务新建预设任务向导 3. 从类型类型菜单中选择 扫描计算机上有无建议项目, 并选择要进行扫描的频率 单击下一步下一步 4. 通过下一个页面, 您可以更具体地指定扫描频率, 具体取决于您在步骤 3 中的选择 进行选择并单击下一步下一步 5. 现在, 选择将扫描的计算机并单击下一步下一步 通常, 对于大型部署, 最好通过策略执行所有操作 6. 最后, 为新的预设任务指定名称, 选择是否在 完成 时运行任务, 并单击完成完成 70

71 漏洞扫描 ( 推荐设置 ) 管理 漏洞扫描 ( 推荐设置 ) 结果 Vulnerability Protection 可以配置为在合适的时候自动实施 漏洞扫描 ( 推荐设置 ) 结果 并非所有建议都可以自动实施 例外包括 : 需要进行配置才可以应用的规则 已根据以前的 漏洞扫描 ( 推荐设置 ) 自动分配或取消分配, 但用户已覆盖的规则 例如, 如果 Vulnerability Protection 自动分配一个规则, 而您随后将其取消分配, 则在下一次 漏洞扫描 ( 推荐设置 ) 之后不会重新分配该规则 在策略层次结构的较高级别分配的规则不能在较低级别取消分配 在策略级别分配给计算机的规则必须在策略级别取消分配 趋势科技已发布, 但可能会引起误报风险的规则 ( 规则描述中将进行说明 ) 最新 漏洞扫描 ( 推荐设置 ) 的结果将显示在策略 / 计算机编辑器中防护模块的常规常规选项卡上 完成 漏洞扫描 ( 推荐设置 ) 后, 分配给刚扫描的计算机的策略 导航到入侵防御 > 常规 单击分配 / 取消分配... 以规则分配窗口 按应用程序类型 对规则进行排序, 然后从显示过滤器菜单中选择 显示建议分配的项目 : 将列出策略中包含的针对所有计算机提出的所有建议 有两种绿色标志 完整标志 () 和部分标志 () 建议的规则始终具有完整标志 应用程序类型可能具有完整标志或部分标志 如果标志为完整标志, 则表示建议分配为此应用程序类型一部分的所有规则 如果标志为部分标志, 则表示仅建议分配为此应用程序类型一部分的某些规则 另请注意以上窗口截图中的工具提示 它显示 : 建议在为其分配此策略的 1 台 ( 共 1 台 ) 计算机上使用此入侵防御规则 趋势科技建议将所有建议的规则分配给策略涉及的所有计算机 这可能表示会将某些规则分配给不需要这些规则的计算机 但是, 使用策略带来的易于管理优势远大于对性能造成的轻微影响 漏洞扫描 ( 推荐设置 ) 运行后, 将在提出建议的所有计算机上发出警报 71

72 漏洞扫描 ( 推荐设置 ) 漏洞扫描 ( 推荐设置 ) 的结果还可包含取消分配规则的建议 如果卸载了应用程序, 应用了来自制造商的安全 Patch, 或已手动应用不必要的规则, 则可能会发生此情况 要查看建议取消分配的规则, 请从显示过滤器菜单中选择 显示建议取消分配的项目 配置建议的规则 某些规则需要进行配置才可以应用 如果是这样, 将在提出建议的计算机上发出警报 警报的文本将包含配置规则需要的信息 72

73 SSL 数据流 SSL 数据流 入侵防御模块支持过滤 SSL 流量 SSL 对话框允许用户针对一个或多个接口上指定的凭证 - 端口对创建 SSL 配置 凭证可以使用 PKCS#12 或 PEM 格式导入, 而 Windows 计算机可以选择直接使用 CryptoAPI 客户端不支持过滤实行 SSL 压缩的 SSL 连接 在计算机上配置 SSL 数据流过滤 启动 SSL 配置向导 在要配置的计算机上详细信息详细信息窗口, 转至入侵防御 > 高级 > SSL 配置, 然后单击查看 SSL 配置... 以显示 SSL 计算机配置窗口 单击新建, 显示 SSL 配置向导的第一页 1. 选择接口 指定此配置是应用到此计算机上所有接口, 还是只应用到一个接口 2. 选择端口 输入要应用此配置的端口 ( 使用逗号隔开 ), 或者选择 端口列表 您还必须在计算机的详细信息详细信息窗口上更改端口设置 ( 请参阅下面内容 ) 3. IP 选择 指定 SSL 入侵防御分析应在此计算机的所有 IP 地址执行, 还是只在一个地址执行 ( 可使用此功能设置单个计算机上的多台虚拟计算机 ) 4. 指定凭证来源 指定您要自行提供凭证文件, 还是计算机上已有凭证 5. 指定凭证类型 如果选择立即提供凭证, 请输入其类型 位置和密码短语 ( 如果需要 ) 如果您指示计算机上已有凭证, 请指定要查找的凭证类型 6. 提供凭证详细信息 如果是使用存储在计算机上的 PEM 或 PKCS#12 凭证格式, 请标识凭证文件的位置和文件的密码短语 ( 如果需要 ) 73

74 SSL 数据流 如果使用的是 Windows CryptoAPI 凭证, 请从计算机上找到的凭证列表中选择凭证 7. 命名和说明此配置 为此 SSL 配置命名并提供描述 8. 仔细检查 摘要 并关闭 SSL 配置向导 阅读配置操作的摘要, 再单击完成完成关闭向导 更改计算机 详细信息 窗口上的端口设置以监控 SSL 端口 最后, 您必须确保客户端在启用 SSL 的端口上执行适当的入侵防御过滤 转至计算机详细信息详细信息窗口中的入侵防御规则, 查看应用到此计算机的入侵防御规则列表 按应用程序类型对规则进行排序 向下滚动列表, 查找在此计算机上运行的应用程序类型 ( 在此示例中将使用 Web Server Common ) 右键单击 Web Server Common 应用程序类型标题, 再选择应用程序类型属性...( 而非应用程序类型属性 ( 全局 )...) 这将会显示应用程序类型的属性属性窗口 ( 以本地编辑模式 ) 74

75 SSL 数据流 我们不使用已继承的 HTTP 端口列表, 而是要覆盖它, 以包括 SSL 配置设置过程中定义的端口 ( 在此例中为端口 9090) 和端口 80 以逗号分隔值输入端口 9090 和 80, 然后单击确定确定关闭对话框 ( 由于您选择了应用程序类型属性..., 因此所做的更改只会应用到此计算机 "Web Server Common" 应用程序类型在其他计算机上将保持不变 ) 此计算机现在已配置好过滤 SSL 加密的数据流 其他注意事项 Vulnerability Protection 客户端不支持在 Apache 服务器上使用 Diffie-Hellman 密码 有关如何在 Apache Web 服务器上禁用 DH 密码的指导信息, 请参阅在 Apache 中禁用 Diffie-Hellman ( 第 101 页 ) 75

76 事件 警报和报告 事件 警报和报告 事件 Vulnerability Protection 将在触发防护模块规则或条件时记录安全事件, 并在发生管理或系统相关事件 ( 例如用户登录或客户端软件升级 ) 时记录系统事件 事件在一天之内会多次发生, 无需分别关注 如果通信 ( 第 20 页 ) 设置允许客户端启动通信, 计算机中发生的大部分事件将在下一次波动信号操作期间发送到 Vulnerability Protection 管理中心, 但是以下事件会立即发送 : 检测到异常的重新启动 磁盘空间不足警告 缺省情况下,Vulnerability Protection 管理中心会在每次有波动信号时从客户端收集事件日志 这些事件数据用于填充 Vulnerability Protection 管理中心的各种报告 图形及图表 Vulnerability Protection 管理中心会将收集到的事件保留一段时间, 该时间可在管理 > 系统设置页面中的存储存储选项卡上设置 在主页面上可以执行下列操作 : 查看 () 单个事件的属性 过滤列表 使用期间期间和计算机计算机工具栏来过滤事件列表 将事件列表数据导出 () 为 CSV 文件 查看现有的自动标记 () 规则 搜索 () 特定事件 另外, 右键单击事件可提供下列选项 : 为此事件添加标记 ( 请参阅事件标记 ( 第 132 页 ) ) 从此事件中移除标记移除标记 查看生成日志条目的计算机的计算机详细信息窗口计算机详细信息窗口 查看事件属性 双击某个事件 ( 或从上下文菜单中选择查看 ) 会显示该条目的属性属性窗口, 这样将在一个页面上显示该事件的所有信息 标记标记选项卡显示已附加到此事件的标记 有关事件标记的更多信息, 请参阅策略 > 通用对象 > 其他 > 标记以及事件标记 ( 第 132 页 ) 过滤列表和 / 或搜索事件 从 搜索 下拉菜单中选择 高级搜索, 可选择是否显示高级搜索选项 使用期间期间工具栏可以过滤列表, 从而只显示在特定时间范围内发生的事件 使用计算机计算机工具栏, 可以按照计算机组或计算机策略来组织事件日志条目的显示 76

77 事件 警报和报告 高级搜索功能 ( 搜索不区分大小写 ): 包含 : 选定列中的条目包含该搜索字符串 不包含 : 选定列中的条目不包含该搜索字符串 等于 : 选定列中的条目完全符合该搜索字符串 不等于 : 选定列中的条目并不完全符合该搜索字符串 在范围内 : 选定列中的条目与其中的一个逗号分隔的搜索字符串条目完全匹配 不在范围内 : 选定列中的条目并未与任意逗号分隔的搜索字符串条目完全匹配 按搜索栏右侧的 加号 按钮 (+) 将显示另一个搜索栏, 这样可将多个参数应用于搜索 准备就绪后, 按 提交 按钮 ( 位于工具栏右侧, 带右向箭头 ) 导出 单击导出..., 可将所有或选定的事件导出为 CSV 文件 自动标记... 单击自动标记... 将显示现有自动标记规则的列表 ( 请参阅事件标记 ( 第 132 页 ) ) 警报 将在需要用户注意的异常情况出现时 ( 例如用户发出的命令失败, 或者硬盘存储空间已用尽 ) 时创建警报 存在一个预定义警报列表 此外, 可将防护模块规则配置为在其触发时生成警报 如果将 Vulnerability Protection 连接到 SMTP 服务器, 您可以在指定的警报引发时将电子邮件通知发送给用户 警报页面会显示所有活动警报 警报以摘要视图 ( 将类似警报分组显示 ) 显示, 或以列表视图 ( 逐一列出每个警报 ) 显示 要在两个视图之间切换, 请使用页面标题中 警报 旁边的下拉菜单 在摘要视图中, 展开警报面板 ( 单击 显示详细信息 ) 可显示生成该特定警报的所有计算机 ( 和 / 或用户 ) ( 单击计算机将会显示计算机的详细信息详细信息窗口 ) 在 摘要视图 中, 如果计算机列表中的计算机超过五个, 则第五个计算机后面会出现省略号 ("...") 单击省略号可显示完整列表 采取适当的操作处理警报后, 选中警报目标旁边的复选框, 然后单击解除解除链接, 即可解除警报 ( 在 列表视图 中, 右键单击警报即可查看上下文菜单中的选项列表 ) 无法解除的警报将在条件不再存在时自动解除 警报有两种 : 系统警报和安全警报 系统警报由系统事件 ( 客户端脱机 计算机上的时钟更改等 ) 触发 安全警报由入侵防御和防火墙规则触发 可以通过单击配置警报... 来配置警报 (). 77

78 事件 警报和报告 使用计算机过滤栏, 可以只查看在特定计算机组中 具有特定策略等计算机的警报 报告 Vulnerability Protection 管理中心可生成 PDF 或 RTF 格式的报告 报告报告页面生成的大部分报告都含有可配置参数, 如日期范围或按计算机组生成报告 不适用于报告的参数选项将被禁用 单个报告 报告 可将多种报告以 PDF 或 RTF 格式输出 标记过滤器 选择包含事件数据的报告时, 可以选择使用 事件标记 过滤报告数据 仅为标记的事件选择所有, 仅为未标记的事件选择未标记, 或选择标记标记并指定一个或多个标记以仅包含那些具有所选标记的事件 时间过滤器 可以针对记录存在的任意期间设置时间过滤器 这对安全审计非常有用 报告使用计数器中存储的数据 计数器是从事件定期聚合的数据 最近三天的计数器数据会每小时聚合一次 三天前的数据将存储在按天聚合的计数器中 基于此原因, 最近三天的报告所涵盖的时间段能以每小时级别的粒度来指定, 但是, 如果超出三天, 此时间段只能以每天级别的粒度来指定 计算机过滤器 设置将其数据包含在报告中的计算机 加密 可以使用当前登录的用户的密码或者仅用于此报告的新密码来保护报告 要在多个计算机组的特定计算机上生成报告, 请创建一个仅对所需计算机具有查看权限的用户, 然后再创建一个预设任务, 以为该用户定期生成 所有计算机 报告, 或者以该用户身份登录, 并运行 所有计算机 报告 只有该用户具有查看权限的计算机才会包含在报告中 定期报告 定期报告只是定期为任意数量的用户和联系人生成和分发报告的预设任务 有关预设任务的更多信息, 请转至管理 > 预设任务 78

79 事件标记 事件标记 利用事件标记, 可以将事件注释为元数据 标记 标记是指用户预定义的属性, 以后可以用于识别事件或对其进行排序 例如, 您可能会使用标记来识别需要进一步调查的事件 有关事件标记的更多信息, 请参阅关于事件标记的更多信息 ( 第 132 页 ) 标准事件标记 标记单个事件 : 1. 右键单击事件事件列表中的事件, 并选择添加标记 键入标记的名称 (Vulnerability Protection 管理中心将建议键入的名称应与现有标记的名称匹配 ) 3. 选择 1 个选定的系统事件 ( 您可以一次从 事件 列表中选择多个事件, 此情况下将显示选定事件的数量 ) 单击下一步 4. 输入一些可选注释并单击完成完成 查看 事件 列表, 就可以看到该事件现已被标记 标记多个类似事件 : 1. 右键单击 事件 列表中的代表性事件, 并选择添加标记 键入标记的名称 (Vulnerability Protection 管理中心将建议键入的名称应与现有标记的名称匹配 ) 3. 选择类似的事件类似的事件 您可能能够选择显示高级设置, 具体取决于事件的类型 ( 防火墙 入侵防御 ) 高级设置将包含更进一步的条件, 用于细化对要标记的事件的选择范围 还可以选择包含高级选项 ( 如果适用 ) 单击下一步下一步 4. 如果能够选择包含高级选项, 将会看到一个页面, 通过此页面可以缩小事件的选择范围 例如, 只能在特定计算机或计算机组上查找类似事件 如果是这样情况, 请进行选择然后单击下一步下一步 5. 选择将要检查以确定事件是否类似的属性 对于大部分事件而言, 属性选项与 事件 列表页面的列中显示的信息 ( 源 IP 原因 严重性等) 相同 已选择要包括在事件选择过程中的属性后, 单击下一步下一步 6. 查看事件选择条件摘要, 然后单击完成完成 查看 事件 列表, 就可以看到原始事件和所有类似事件都已被标记 标记多个类似事件以及将来出现的类似事件 : 标记多个类似事件以及将来事件的过程与上述过程相同 ( 但步骤 3 除外 ), 对于前者, 您还需要选择新建 [ 事件类型 ] 事件, 其中,[ 事件类型 ] 取决于标记的事件的类型 ( 防火墙 入侵防御 ) 选择新建 [ 事件类型 ] 事件会导致 Vulnerability Protection 管理中心每五秒对其数据库的新事件进行一次扫描, 并对相应的事件进行标记 仅当事件从客户端被检索到 Vulnerability Protection 管理中心的数据库后, 才会进行事件标记 79

80 保护便携式计算机 保护便携式计算机 以下内容介绍了使用 Vulnerability Protection 来保护便携式计算机的步骤 这将涉及以下步骤 : 1. 向管理中心添加计算机 1. 添加各个计算机 2. 在网络中执行发现操作 3. 从 Microsoft Active Directory 导入计算机 2. 为便携式计算机创建新策略 1. 创建和命名新策略 2. 设置要监控的接口 3. 将网络引擎设置为桥接模式 4. 分配防火墙规则 ( 其中某些提供位置感知 ) 并启用防火墙状态配置 5. 分配入侵防御规则 3. 将策略应用于计算机 4. 使用管理中心监控活动 我们将假定您已在计算机上安装了管理中心, 并且打算通过该计算机对整个网络的 Vulnerability Protection 客户端进行管理 我们还将假定您已经在希望保护的便携式计算机上安装了 ( 但未激活 ) Vulnerability Protection 客户端 如果您尚未做到这些, 请参考安装说明, 了解执行到此阶段的步骤 向管理中心添加计算机 您可以通过以下方式将计算机添加到 Vulnerability Protection 计算机页面中 : 1. 通过指定计算机的 IP 地址或主机名来逐个添加计算机 2. 通过扫描网络来发现计算机 3. 连接到 Microsoft Active Directory 并导入计算机列表 通过指定计算机的 IP 地址或主机名来逐个添加计算机 要通过指定计算机的 IP 地址或主机名来添加单个计算机, 请转至计算机计算机页面, 然后单击工具栏中的新建新建 在主机名主机名文本框中键入新计算机的主机名或 IP 地址 新建计算机新建计算机向导找到新计算机并确定存在未激活的客户端后, 它还允许您指定要应用于该计算机的策略 ( 目前, 请不要选择策略 ) 单击下一步下一步时, 向导将找到计算机并激活客户端 完成客户端激活后, 此向导会提供计算机编辑器计算机编辑器窗口 ( 详细信息 窗口 ) 的选项, 通过此窗口可以配置很多客户端的设置 目前请跳过详细信息窗口 通过扫描网络来添加计算机 ( 发现 ) 通过扫描网络来发现计算机 : 80

81 保护便携式计算机 1. 转至计算机计算机页面 2. 单击工具栏中的查找... 以显示查找计算机查找计算机对话框 3. 键入要扫描的计算机的 IP 地址范围 如有需要, 可以输入屏蔽的 IP 地址执行相同操作 4. 选择自动将 IP 解析为主机名, 以指示管理中心在执行发现操作时自动解析主机名 5. 您可以选择将发现的计算机添加到已创建的计算机组中 目前, 请将将找到的计算机添加到以下组将找到的计算机添加到以下组下拉列表选项的设置保留为 计算机 6. 最后, 清除自动执行发现的计算机的端口扫描自动执行发现的计算机的端口扫描复选框 ( 端口扫描会检测在发现的计算机上哪些端口处于状态 ) 7. 单击确定确定 此时对话框会消失, 并且在浏览器底部的管理中心状态栏中显示 查找正在进行中... ( 可以通过单击 "X" 取消查找进程 ) 几分钟后, 系统将检测到网络中所有可见的计算机, 并且管理中心会对安装有 Vulnerability Protection 客户端的那些计算机进行标识 现在需要激活这些客户端 8. 右键单击某个客户端 ( 或多个选择的客户端 ), 然后从快捷方式菜单中选择 激活 / 重新激活 来激活客户端 激活客户端后, 这些客户端的状态灯将变绿并且状态列中将显示 被管理 ( 联机 ) 从 Microsoft Active Directory 导入计算机 从 Active Directory 导入的计算机被视为与计算机计算机页面中的任何其他计算机相同 从 Microsoft Active Directory 导入计算机 : 1. 单击计算机计算机页面工具栏中 新建 旁边的向下键头并选择添加目录..., 以启动添加目录添加目录向导 可以从其他基于 LDAP 的目录同步计算机, 但需要对其执行一些自定义 要获取相关帮助, 请联系您的支持提供商 2. 依次键入 Active Directory 服务器名称 导入的目录 ( 将显示在管理中心中 ) 的名称和描述 ( 无需与 Active Directory 的名称和描述匹配 ) Active Directory 服务器的 IP 和端口以及您的访问方法和凭证 单击下一步下一步 必须将域名和用户名包括在用户名用户名文本框中 3. 如果选择 SSL 或 TLS 作为访问方法, 则向导将要求您接受安全证书 转至管理 > 系统设置 > 安全并单击 信任证书 区域中的 查看证书列表..., 即可查看 Vulnerability Protection 管理中心接受的证书 单击下一步下一步 4. 新建目录向导的第二个页面要求输入架构详细信息 ( 保留缺省值 ) 单击完成完成 5. 下一个页面将告知您是否存在错误 单击下一步下一步 6. 最后一个页面允许您创建预设任务, 以便定期将管理中心的计算机计算机页面与 Active Directory 进行同步 现在, 请将此选项保留为清除状态 单击关闭关闭 现在, 目录结构显示在导航面板的计算机计算机下 81

82 保护便携式计算机 其他 Active Directory 选项 通过右键单击 Active Directory 结构, 会显示不适用于计算机计算机下列出的普通计算机组的以下选项 1. 移除目录 2. 立即同步 移除目录 从 Vulnerability Protection 管理中心移除目录时, 可以使用以下选项 : 从 DSM 中移除目录和所有从属计算机 / 组 : 移除对目录的所有跟踪 移除目录但保留计算机数据和组层次结构 : 将导入的目录结构转换为以相同方式组织的常规计算机组, 不再与 Active Directory 服务器相关联 移除目录, 保留计算机数据, 但展平层次结构 : 移除指向 Active Directory 服务器的链接, 丢弃目录结构, 并将所有计算机放到同一计算机组中 立即同步 将 Vulnerability Protection 管理中心中的目录结构与 Active Directory 服务器同步 ( 请记住, 您可以将此过程作为预设任务自动执行 ) 既然客户端处于活动状态, 则可向其分配防火墙规则和入侵防御规则 虽然可以将所有单个安全对象单独分配给客户端, 但将常见安全对象组合到一个策略中, 然后将该策略分配给一个或多个客户端会比较方便 单击菜单栏中的帮助帮助按钮可获取更多有关 Vulnerability Protection 管理中心中各页面的信息 激活计算机上的客户端 必须通过管理中心 激活 客户端, 才能将策略和规则分配给这些客户端 激活过程包括在客户端和管理中心之间交换唯一的指纹 这样可以确保仅有该 Vulnerability Protection 管理中心 ( 或其中一个节点 ) 能够向客户端发送指令 可以将客户端配置为在安装后自动启动自身的激活 有关详细信息, 请参阅命令行指令 ( 第 93 页 ) 要手动激活计算机上的客户端, 请右键单击一个或多个选中的计算机, 然后选择操作 > 激活 / 重新激活 为便携式计算机创建策略 既然客户端已激活, 便可以分配一些规则来保护计算机 尽管能够直接将规则分配给计算机, 但更为有用的做法是创建包含这些规则的策略, 然后将其分配给多个计算机 创建策略将涉及以下步骤 : 1. 创建和命名新策略 82

83 保护便携式计算机 2. 设置要监控的接口 3. 将网络引擎设置为桥接模式 4. 分配防火墙规则 ( 其中某些提供位置感知 ) 并启用状态检查 5. 分配入侵防御规则 6. 将策略分配给计算机 创建和命名新策略 创建和命名新策略 : 1. 转至策略策略部分, 单击左侧导航面板中的 策略 以转到策略策略页面 2. 单击工具栏中的新建新建以显示新建策略新建策略向导 3. 将新策略命名为 我的新便携式计算机策略 并从继承自 : 菜单选择基本策略基本策略 单击下一步下一步 4. 下一个页面会询问是否要根据现有计算机的当前配置创建策略 如果选择是, 系统将会要求您选择一台现有的被管理计算机, 向导会采用该计算机的所有配置信息, 并据此创建一个新策略 这在下列情况中会十分有用 : 例如, 如果您对现有计算机的安全配置微调了一段时间, 而现在希望据此创建一个策略以便将其应用到功能相同的其他计算机上 现在, 请选择否, 然后单击下一步下一步 5. 最后一个页面将确认已创建新策略 选择在 关闭 时策略详细信息选项, 然后单击关闭关闭 设置要监控的接口 设置要监控的接口 : 1. 由于设置了在 关闭 时策略详细信息选项, 所以会显示新策略编辑器窗口 2. 要将该策略分配到的便携式计算机配备有两个网络接口 ( 一个本地连接, 一个无线连接 ), 而我们要调整安全配置以便将正在使用的接口考虑在内 单击导航面板中的接口类型接口类型并选择规则可以应用于特定接口规则可以应用于特定接口选项 输入接口的名称和客户端将用来与计算机上接口名称相匹配的字符串 ( 含可选通配符 ): 前两个 接口类型 区域中为 LAN 连接 * 和 局域连接 以及 无线 和 无线网络连接 * 单击页面右下方的保存保存 将网络引擎设置为桥接模式 客户端的网络引擎可以采用桥接模式或分接模式运行 以桥接模式运行时, 活动数据包流会经过网络引擎 系统会维护状态表 应用防火墙规则并执行网络通信规范化, 以便可以将入侵防御规则应用到有效载荷内容 以分接模式运行时, 系统会克隆活动数据包流并从主数据流中转移 在分接模式下, 不会修改活动数据包流, 所有操作都将在克隆的数据流上执行 现在, 我们将策略配置为指定引擎以桥接模式运行 将网络引擎设置为桥接模式 : 1. 仍然是在 我的新便携式计算机策略 编辑器中, 转至设置, 然后单击网络引擎网络引擎选项卡 2. 将 网络引擎模式 设置为 桥接 缺省情况下, 该设置应该已经设置为 已继承 ( 桥接 ), 因为基本基本策略缺省模式为桥接, 因此新策略会从那里继承其设置 83

84 保护便携式计算机 分配防火墙规则 ( 其中某些提供位置感知 ) 并状态检查 分配防火墙规则 : 1. 在导航面板中单击防火墙, 在常规常规选项卡的防火墙防火墙区域中, 从防火墙状态防火墙状态下拉菜单中选择 选择 继承, 此策略的此设置将从父策略继承 父策略上的此设置可能已经, 但是现在不管任何父策略设置, 您都将在此策略级别上强制实施设置 有关继承的信息, 请参阅策略 继承与覆盖 ( 第 134 页 ) 2. 现在我们将向该策略分配一些防火墙规则和防火墙状态配置规则 单击防火墙规则防火墙规则以显示可用的预定义防火墙规则列表 ( 您可以创建自己的防火墙规则, 但对于该练习, 我们将从现有防火墙规则列表中选择 ) 选择下列防火墙规则集, 以允许基本通信 : 允许请求的 ICMP 回复 允许请求的 TCP/UDP 回复 域客户端 (UDP) ARP 无线认证 Windows 文件共享 ( 这是一个强制允许规则, 允许传入的 Windows 文件共享流量 ) 请注意 防火墙规则 复选框旁边的灰色向下箭头 如果在上一步定义了多个接口, 则会显示这些箭头 通过这些箭头, 您可以指定是将防火墙规则应用于计算机上的所有接口, 还是仅应用到指定的接口 现在, 请保持缺省设置 单击保存保存按钮 我们分配了允许 Windows 文件共享的防火墙规则 Windows 文件共享是 Windows 中一项非常有用的功能, 但它有一些安全问题 当便携式计算机在安全的办公室环境中使用时最好限制该功能, 而当便携式计算机在办公室以外使用时禁止该功能 当配合使用该策略来实施该策略时, 我们将位置感知应用到防火墙规则 实施位置感知 : 1. 在我的新便携式计算机策略我的新便携式计算机策略策略编辑器中, 转至防火墙 > 常规 > 已分配的防火墙规则, 右键单击 Windows 文件共享 防火墙规则, 然后选择属性... 这将显示防火墙规则的属性属性窗口 ( 但是我们对其所做的更改将仅在其作为该新策略的一部分应用时才应用于防火墙规则 ) 2. 在属性属性窗口中, 单击选项选项选项卡 3. 在规则上下文规则上下文区域, 从下拉列表中选择新建... 此时会显示新建上下文新建上下文属性窗口 我们将创建一个规则上下文, 仅在便携式计算机具有域控制器的本地访问时, 该上下文才会允许防火墙规则为活动状态 ( 也就是说, 当便携式计算机位于办公室中时 ) 4. 将新规则上下文命名为 In the Office 在选项选项区域, 设置执行域控制器连接检查执行域控制器连接检查选项并在其下选择本地本地 然后单击确定 5. 在 Windows 文件共享防火墙规则属性属性窗口中单击确定确定 现在, 仅在便携式计算机能本地访问其 Windows 域控制器时,Windows 文件共享防火墙规则方可生效 Windows 文件共享防火墙规则现在在策略详细信息详细信息窗口中以粗体字显示 这表示该防火墙规则的属性仅对于该策略进行了编辑 位置感知也可用于入侵防御规则 防火墙部分的最后一步是启用状态检查 84

85 保护便携式计算机 启用状态检查 : 1. 仍然是在我的新便携式计算机策略我的新便携式计算机策略策略编辑器窗口中, 转至防火墙 > 常规 > 防火墙状态配置 2. 对于全局 ( 所有接口 ) 设置, 请选择启用状态检查启用状态检查 3. 单击保存保存以完成 分配入侵防御规则 将入侵防御规则分配到策略 : 1. 仍然是在我的新便携式计算机策略我的新便携式计算机策略编辑器窗口中, 在导航面板中单击入侵防御入侵防御 2. 在 常规 选项卡的入侵防御入侵防御区域中, 将入侵防御状态入侵防御状态设置为 当网络引擎以 桥接模式 ( 与 分接模式 相对 ) 运行时, 入侵防御可以设置为 阻止 或 检测 模式 如果正尝试使用一组新的入侵防御规则, 但在确信新规则正常工作之前不想冒丢失网络通信的风险, 则检测模式非常有用 在检测模式下, 通常丢弃的流量会生成事件, 但将能够通过 将入侵防御设置为 请注意建议建议区域 可以指示 Vulnerability Protection 客户端运行 漏洞扫描 ( 推荐设置 ) ( 在管理中心的计算机计算机页面中, 右键单击一台计算机, 然后选择操作 > 漏洞扫描 ( 推荐设置 ) ) 建议引擎将扫描计算机上的应用程序, 并根据查找结果给出入侵防御规则建议 漏洞扫描 ( 推荐设置 ) 的结果可以通过转至入侵防御 > 入侵防御规则 > 分配 / 取消分配... 并从第二个下拉过滤器菜单中选择建议分配, 在计算机编辑器中查看 3. 现在, 将建议 > 自动实施入侵防御建议 ( 如果可能 ): 选项的设置保留为已继承 ( 否 ) 4. 在 已分配的入侵防御规则 区域中, 单击分配 / 取消分配... 以规则分配窗口 5. 按应用程序类型组织入侵防御规则 应用程序类型是对入侵防御规则进行分组的有效方法 ; 它们仅有三种属性 : 通信方向 协议和端口 对于我们的新便携式计算机策略, 请分配下列应用程序类型 : 邮件客户端 Outlook 邮件客户端 Windows Microsoft Office Web 常用客户端 Web 客户端 Internet Explorer Web 客户端 Mozilla Firefox Windows 服务 RPC 客户端 Windows 服务 RPC 服务器 确保前两个下拉过滤器菜单显示所有所有且第三个排序过滤器菜单按应用程序类型按应用程序类型排序 如果右键单击 规则 列表并选择全部折叠, 则可轻松翻阅应用程序类型 应用程序类型 ( 和入侵防御规则 ) 数量很多, 因此必须使用页面右下方的分页控件来查看全部, 或使用页面右上方的搜索功能 在应用程序类型名称旁边进行勾选来选择应用程序类型 有些入侵防御规则取决于其他规则 如果分配了一个需要分配另一个规则 ( 但尚未分配 ) 的规则, 则系统会显示一个弹出式窗口, 提示您分配必需的规则 85

86 保护便携式计算机 将任意种类的规则分配到计算机时, 不要让自己受到 特别安全 的诱惑而将所有可用的规则都分配到计算机 这些规则是为各种操作系统 应用程序和漏洞设计的, 可能不适用于您的计算机 流量过滤引擎将因查找永不会出现的病毒码而徒然浪费 CPU 时间 保护计算机时, 要有所选择! 6. 单击确定确定和保存保存将应用程序类型分配到策略 我们现在完成了新策略的编辑 现在可以关闭 我的新策略 详细信息窗口 编辑域控制器 IP 列表 最后, 由于新策略包括三个使用 域控制器 IP 列表的防火墙规则, 我们将必须编辑该 IP 列表, 以将本地 Windows 域控制器的 IP 地址包含在内 编辑域控制器 IP 列表 : 1. 在 Vulnerability Protection 管理中心控制台的主窗口中, 转至策略 > 通用对象 > IP 列表 2. 双击域控制器 IP 列表以显示其属性属性窗口 3. 键入域控制器的 IP 4. 单击确定确定 将策略应用于计算机 现在我们可以将策略应用于计算机 将策略应用于计算机 : 1. 转至计算机计算机页面 2. 右键单击将要为其分配策略的计算机, 然后选择操作 > 分配策略 从分配策略分配策略对话框中的下拉列表中选择 我的新便携式计算机策略 4. 单击确定 单击确定确定后, 管理中心将向客户端发送策略 计算机状态状态列和管理中心的状态栏将显示客户端正在进行更新的消息 计算机上的客户端完成更新后, 状态列将显示 被管理 ( 联机 ) 配置 SMTP 设置 通过配置 Vulnerability Protection 管理中心的 SMTP 设置, 可以向用户发送电子邮件警报 要配置 SMTP 设置 : 1. 转至管理 > 系统设置并单击 SMTP 选项卡 2. 键入配置信息, 然后单击测试 SMTP 设置, 以确认 Vulnerability Protection 管理中心能够与邮件服务器进行通信 3. 转至警报警报选项卡 4. 在警报事件转发 ( 来自管理中心 ) 部分中, 键入您想要将通知发送到的缺省电子邮件地址 86

87 保护便携式计算机 5. 单击保存保存 可以在用户的属性属性窗口 ( 管理 > 用户管理 > 用户 ) 中配置用户是否可以获取以电子邮件形式发送的警报 可以在特定警报的属性属性窗口中配置该警报是否生成以电子邮件形式发送的通知 使用 Vulnerability Protection 管理中心监控活动 控制台 在为计算机分配了策略并且运行一段时间后, 您将会查看该计算机上的活动 检查活动的第一站是控制台 控制台有许多信息面板 ("widgets"), 可显示与 Vulnerability Protection 管理中心及其管理的计算机的状态有关的不同信息类型 在 控制台 页面的右上方, 单击添加 / 移除 Widget, 查看显示的可用 widget 列表 目前, 我们将从防火墙防火墙部分添加以下 widget: 防火墙计算机活动 ( 已阻止 ) 防火墙事件历史记录 [2x1] 防火墙 IP 活动 ( 已阻止 ) 选择三个 widget 旁边的每个复选框, 然后单击确定确定 这些 widget 将显示在控制台上 ( 生成数据可能需要一段时间 ) 防火墙计算机活动 ( 已阻止 ) widget 可显示数据包被拒绝 ( 即某计算机上的客户端阻止数据包到达该计算机 ) 的最常见原因的列表, 以及被拒绝的数据包的数目 列表中的项将为 数据包拒绝 或 防火墙规则 类型 每个 原因 都是到受拒绝数据包相应日志的链接 防火墙事件历史记录 [2x1] widget 可显示一个条形图, 表示过去 24 小时内或七天内 ( 取决于所选择的视图 ) 所阻止的数据包数 单击某个条块将显示该条块表示时间段的相应日志 防火墙 IP 活动 ( 已阻止 ) widget 可显示受拒绝数据包最常见源 IP 的列表 请注意防火墙计算机活动 ( 已阻止 ) 和防火墙 IP 活动 ( 已阻止 ) widget 中数值旁边的趋势指示器 正三角或倒三角表示指定时间段内是增加还是减少, 水平线表示没有明显变化 防火墙和入侵防御事件日志 现在下钻到拒绝数据包最常见原因对应的日志 : 在防火墙活动 ( 已阻止 ) widget 中, 单击拒绝数据包的首个原因 ( 在上图中, 首个原因为 不允许的策略 ) 这会将您带到防火墙事件防火墙事件页面 防火墙事件页面将显示所有的防火墙事件, 其中原因原因列条目对应于防火墙活动 ( 已阻止 ) widget 中的首个原因 ( 不允许的策略 ) 日志经过过滤, 可只显示控制台查看时间段 ( 过去 24 小时或过去七天 ) 的那些事件 关于防火墙事件防火墙事件和入侵防御事件入侵防御事件页面的更多信息, 可在这些页面的帮助页面中找到 关于不同数据包拒绝原因的意义, 请参阅防火墙事件 ( 第 108 页 ) 和入侵防御事件 ( 第 111 页 ) 87

88 保护便携式计算机 报告 用户通常期望更高级别的日志数据视图, 其中信息得到了汇总, 并且以更为浅显易懂的格式呈现 报告报告填补了这一角色, 它允许您显示计算机 防火墙和入侵防御事件日志 事件 警报等的详细摘要信息 在报告报告页面中, 可以为要生成的报告选择各种选项 我们将生成一个防火墙报告, 它将显示在可配置日期范围内防火墙规则和防火墙状态配置活动的记录 从 报告 下拉菜单中选择防火墙报告 单击生成生成以在新窗口中启动报告 通过查看 Vulnerability Protection 管理中心以电子邮件形式发送给用户的预设报告 登录到系统并咨询控制台 对特定日志进行仔细分析来执行详细的调查, 以及通过配置通知用户关键事件的警报, 您可以随时了解网络的运行状况 88

89 负载平衡器 负载平衡器 如果部署的 Vulnerability Protection 管理中心没有负载平衡器, 客户端将获得管理中心主机名的列表, 并将自动联系这些主机名 如果 Vulnerability Protection 管理中心位于 DMZ 中或在 NAT 之后, 您可以选择在管理中心前端放置负载平衡器, 以让客户端访问管理中心的公共 IP 地址或 FQDN 您可以在管理 > 系统设置 > 高级中输入负载平衡器设置 您在此提供的主机名和端口将覆盖客户端当前使用的主机名和端口 可以在正常端接的 SSL 负载平衡器后部署管理中心 Web 控制台 客户端的波动信号端口 ( 缺省情况下为 4120) 必须是非端接负载平衡器, 因为在波动信号通信中相互进行 SSL 认证 此处提供的负载平衡器设置也将覆盖由部署脚本生成器生成的地址 ( 该脚本生成器会写入用户连接到的管理中心的地址 ) 这确保了即使移除了某个管理中心节点, 脚本也将继续正常运行 89

90 参考 参考 参考 部分包含有关以下主题的更多信息 : 高级日志记录策略模式 : 要减少记录的事件数, 可以将 Vulnerability Protection 管理中心配置为在若干高级日志记录策略 ( 第 91 页 ) 模式之一下运行 命令行指令 :Vulnerability Protection 管理中心和客户端可用的命令行指令 ( 第 93 页 ) 的信息, 包含客户端启动的激活选项的信息 在 Apache 中禁用 Diffie-Hellman:Diffie-Hellman (DH) 公共密钥加密协议不受 Vulnerability Protection 客户端的支持, 必须在 Apache Web 服务器上禁用 ( 第 101 页 ), ) 这样 SSL 过滤才能正常进行 加密管理中心与数据库之间的通信 : 如何加密 Vulnerability Protection 管理中心与数据库之间的通信 ( 第 102 页 ) 事件列表 : 客户端事件 ( 第 105 页 ) 所有可能的客户端事件的列表 防火墙事件 ( 第 108 页 ) 可能的防火墙事件的列表 入侵防御事件 ( 第 111 页 ) 可能的入侵防御事件的列表 系统事件 ( 第 113 页 ) 可能的系统事件的列表 手动停用 启动或停止客户端 : 有关如何手动停用 / 停止 / 启动客户端 ( 第 130 页 ) 的信息 手动升级计算机上的客户端 : 如何手动升级 ( 第 131 页 ) 计算机上的客户端 有关事件标记的更多信息 : 有关事件标记机制的更多信息 ( 第 132 页 ) 性能要求 : 准则 ( 第 133 页 ) 提供了不同规模的 Vulnerability Protection 部署的一般基础架构要求 策略 继承与覆盖 : 如何在策略层次结构的不同等级继承或覆盖 ( 第 134 页 ) 设置的说明 Vulnerability Protection 所使用的端口 : 有关 Vulnerability Protection 用于与系统的各种组件进行通信的端口 ( 第 136 页 ) 的信息 捆绑 NIC: 有关在捆绑 NIC 环境 ( 第 139 页 ) 中安装客户端的信息 90

91 高级日志记录策略模式 高级日志记录策略模式 要减少记录的事件数, 可以将 Vulnerability Protection 管理中心配置为在若干高级日志记录策略高级日志记录策略模式之一下运行 可在设置 > 网络引擎 > 高级网络引擎设置区域的策略和计算机编辑器中设置这些模式 下表列出了将在以下四种较复杂的 高级日志记录策略 模式下被忽略的事件类型 : 模式 状态和规范化抑制 状态 规范化和片段抑制 状态 片段和验证程序抑制 被忽略的事件 连接断开 标志无效 序列无效 ACK 无效 未经请求的 UDP 未经请求的 ICMP 不允许的策略 丢弃的重新传送量 连接断开 标志无效 序列无效 ACK 无效 未经请求的 UDP 未经请求的 ICMP 不允许的策略 CE 标志 IP 无效 IP 数据报长度无效 片段化 片段偏移量无效 第一个片段太小 片段超出界限 片段偏移量太小 IPv6 数据包 最大传入连接数 最大传出连接数 已发出的最大 SYN 数 使用授权已过期 IP 版本未知 数据包信息无效 最大 ACK 重新传送量 已关闭的连接上的数据包 丢弃的重新传送量 连接断开 标志无效 序列无效 ACK 无效 未经请求的 UDP 未经请求的 ICMP 不允许的策略 CE 标志 91

92 高级日志记录策略模式 模式 被忽略的事件 IP 无效 IP 数据报长度无效片段化片段偏移量无效第一个片段太小片段超出界限片段偏移量太小 IPv6 数据包最大传入连接数最大传出连接数已发出的最大 SYN 数使用授权已过期 IP 版本未知数据包信息无效数据偏移量无效无 IP 标头不可读的以太网标头未定义源 IP 和目标 IP 相同 TCP 标头长度无效不可读的协议标头不可读的 IPv4 标头未知 IP 版本最大 ACK 重新传送量已关闭的连接上的数据包丢弃的重新传送量 分接模式 连接断开标志无效序列无效 ACK 无效最大 ACK 重新传送量已关闭的连接上的数据包丢弃的重新传送量 92

93 命令行指令 命令行指令 Vulnerability Protection 客户端 dsa_control 用法 dsa_control [-a <str>] [-b] [-c <str>] [-d] [-g <str>] [-s <num>] [-m] [-p <str>] [-r] [-R <str>] [-t <num>] [ 其他关键字 : 激活 / 有波动信号期间发送到管理中心的值数据...] -a <str>, --activate=<str> 以指定的 URL 使用管理中心激活客户端 URL 格式必须为 "dsm://hostorip:port/", 其中 port 是管理中心的波动信号端口 ( 缺省端口为 4120) -b, --bundle 创建更新包 -c <str>, --cert=<str> 标识证书文件 -d, --diag 生成客户端诊断数据包 -g <str>, --agent=<str> 客户端 URL 缺省情况下为 " -m, --heartbeat 要求客户端立即联系管理中心 -p <str>, --passwd=<str> 认证密码 -r, --reset 重置客户端配置 -s <num>, --selfprotect=<num> 通过防止本地最终用户卸载 停止 或以其他方式控制客户端, 在客户端上启用自我防护 启用自我防护时, 命令行指令必须包含认证密码 (1: 启用,0: 禁用 ) -t <num>, --retries=<num> 如果 dsa_control 无法与 Vulnerability Protection 客户端服务联系以执行附带的指令, 此参数将指示 dsa_control 重试 <num> 次 各重试之间暂停一秒 客户端启动的激活 ("dsa_control -a") 必须激活在计算机上安装的客户端, 管理中心才能分配规则和策略, 以保护计算机 激活过程包括在客户端和管理中心之间交换唯一的指纹 这样可以确保仅有一个 Vulnerability Protection 管理中心 ( 或其中一个管理中心节点 ) 能够向客户端发送指令并与其进行通信 通过右键单击 计算机 窗口中的计算机并选择操作 > 激活 / 重新激活, 可以从 Vulnerability Protection 管理中心手动激活客户端 Vulnerability Protection 客户端可使用本地运行的命令行工具启动激活过程 向 Vulnerability Protection 安装添加许多台计算机, 并希望编写脚本以自动完成激活过程时, 这非常有用 为了让客户端启动的激活正常进行, 必须在管理 > 系统设置 > 客户端选项卡上启用允许客户端启动的激活允许客户端启动的激活选项 最低激活指令包含激活命令和管理中心的 URL( 包括端口号 ): dsa_control -a dsm://[managerurl]:[port]/ 93

94 命令行指令 其中 : -a 是激活客户端的命令, dsm://managerurl:4120/ 是将客户端指向 Vulnerability Protection 管理中心的参数 ("managerurl" 是 Vulnerability Protection 管理中心的 URL,"4120" 是客户端与管理中心之间的缺省通信端口 ) 管理中心 URL 是激活命令唯一必需的参数 其他参数也可用 ( 请参阅下面的可用参数表 ) 必须以键值对形式输入 ( 使用冒号作为分隔符 ) 您可以输入任意数量的键值对, 但必须用空格隔开各个键值对 例如 : dsa_control -a dsm://sec-op-john-doe-3:4120/ hostname:abcwebserver12 "description:long Description With Spaces" ( 仅当您的值包含空格或特殊字符时才需要使用引号 ) 通过代理服务器在专用网络上进行客户端启动的激活 专用网络上的客户端可以通过代理服务器与 Vulnerability Protection 管理中心进行客户端启动的通信 使用以下命令行选项来指示客户端通过代理服务器与 Vulnerability Protection 管理中心进行通信 : 语法 dsa_control -x "dsm_proxy://<proxyurl>/" dsa_control -x "" dsa_control -u "<username:password>" dsa_control -u "" 注意 设置代理服务器的地址, 客户端使用该代理服务器来与管理中心进行通 信 清除代理服务器地址 设置代理服务器用户名和密码 清除代理服务器用户名和密码 示例 dsa_control.exe -x "dsm_proxy:// :808/" 代理服务器使用 IPv4 dsa_control.exe -x "dsm_proxy://winsrv2k3-0:808/" dsa_control.exe -x "dsm_proxy://[fe80::340a:7671:64e7:14cc]:808/" dsa_control.exe -u "root:passw0rd!" 代理服务器使用主机名 代理服务器使用 IPv6 代理服务器认证为 "root", 密码为 "Passw0rd!"( 仅支持基本认证, 不支持摘要和 NTLM) 在客户端启动的激活的上下文中使用时, 必须首先发出代理服务器命令, 然后再发出客户端启动的激活命令 以下示例显示了设置代理服务器地址 设置代理服务器凭证和激活客户端的完整顺序 : dsa_control.exe -x "dsm_proxy:// :808/" dsa_control.exe -u "root:passw0rd!" dsa_control -a "dsm://seg-dsm-1:4120/" Required Setting in Vulnerability Protection Manager 必须配置 Vulnerability Protection 管理中心以允许客户端指定其主机名称 启用设置 : 1. 转至管理 > 系统设置 > 客户端 > 客户端启动的激活 2. 选择允许客户端启动的激活 3. 选择允许客户端指定主机名允许客户端指定主机名 94

95 命令行指令 4. 单击保存保存 在 Windows 中 Vulnerability Protection 客户端调试跟踪 : 1. 在 %WINDOWS% 下创建名为 ds_agent.ini 的文件 2. 在该文件中, 添加行 : Trace=* 3. 重新启动 ds_agent 服务 客户端启动的波动信号 ("dsa_control -m") 客户端启动的波动信号命令将指示客户端立即对 Vulnerability Protection 管理中心执行波动信号操作 虽然就其本身而言该操作可能十分有用, 但与上述激活命令一样, 波动信号命令可用于将更多组参数传递给 Vulnerability Protection 管理中心 下表列出了可供激活和波动信号命令使用的参数 请注意, 一些参数只能与激活或波动信号一起使用 密钥 描述 示例 可在 激活 期间 执行 可在波动 信号期间 激活后执 行 值格式 注意 "description:extra 字 description 设置 description 值 information about the 是 是 符 最大长度 2000 个字符 host" 串 设置 displayname 值 字 displayname ( 显示在主机名旁边的 "displayname:the_name" 是是 符 最大长度 2000 个字符 圆括号中 ) 串 externalid "externalid:15" 是是 整 数 每个层次结构级别的每个组名的最大长度为 254 个 字符 group 设置 计算机 页面上 计算机所属的组 "group:zone A/Webservers" 是是 字 符 串 正斜杠 ("/") 表示组层次结构 group 参数可以读 取或创建组层次结构 此参数只能用于将计算机添加到主 计算机 根分 支下的标准组中 无法用于将计算机添加到属于目 录 (MS Active Directory) 帐户的组中 groupid "groupid:33" 是是 hostname "hostname:abwebserver1" 是否 policy "policy:policy Name" 是是 整数字符串字符串 最大长度 254 个字符 主机名可以指定最适合用于联系 Vulnerability Protection 管理中心的计算机计算机列表中计算机的 IP 地址 主机名或 FQDN 最大长度 254 个字符 策略名称在不区分大小写时与策略列表匹配 如果 找不到策略, 将不会分配策略 95

96 命令行指令 密钥 描述 示例 可在 激活 期间 执行 可在波动 信号期间 激活后执 行 值 格 式 注意 由基于事件的任务分配的策略将覆盖在客户端启动 的激活期间分配的策略 policyid "policyid:12" 是是 整 数 RecommendationScan 在计算机上启动 漏洞扫描 ( 推荐设置 ) "RecommendationScan:true" 否是 布尔值 指示 Vulnerability 布 UpdateComponent Protection 管理中心执 "UpdateComponent:true" 否是 尔 行安全更新操作 值 指示 Vulnerability 布 UpdateConfiguration Protection 管理中心执 "UpdateConfiguration:true" 否是 尔 行 发送策略 操作 值 dsa_query dsa_query 工具提供以下信息 : 每个组件的使用授权状态 扫描进度 安全更新组件的版本信息 用法 dsa_query [-c <str>] [-p <str>] [-r <str] -p,--passwd <string>: 认证密码 启用客户端自我防护时需要使用 对于一些查询命令, 会直接绕过认证, 在这种情况下不需要使用密码 -c,--cmd <string>: 根据 ds_agent 执行查询命令 支持以下命令 : "GetHostInfo": 查询哪个身份在波动信号期间返回到 Vulnerability Protection "GetAgentStatus": 查询哪些防护模块被启用以及其他杂项信息 -r,--raw <string>: 返回与 "-c" 相同的查询命令信息, 但使用原始数据格式进行第三方软件解释 特征码 : 用于过滤结果的通配符特征码 ( 可选 ) 由于 ds_agent 的响应格式为 XML, 因此这些密钥在嵌套的命名空间中进行组织 如果用户的密钥映射到叶节点, 我们会直接返回字符串值 在其他情况下, 我们会返回 XML 格式的结果, 在该匹配节点下包含所有信息 示例 : dsa_query -c "GetComponentInfo" -r "au" "AM*" 96

97 命令行指令 Vulnerability Protection 管理中心 vp_c 用法 vp_c -action actionname 操作名称 changesetting viewsetting createinsertstatements diagnostic fullaccess reindexhelp resetcounters resetevents setports trustdirectorycert unlockout 描述 更改设置 查看设置值 创建插入语句 ( 用于 导出到其他数据库 ) 创建系统的诊断数据 包 为管理员提供完全访 问权限角色 重新编制帮助系统的 索引 重置计数器表 ( 重置 回空状态 ) 重置事件表 ( 重置回 空状态 ) 设置 Vulnerability Protection 管理中心 端口 信任目录的证书 解锁用户帐户 带有参数 ( 如果有 ) 的用法 vp_c -action changesetting -name NAME -value VALUE [-computerid COMPUTERID] [- computername COMPUTERNAME] [-policyid POLICYID] [-policyname POLICYNAME] [- tenantname TENANTNAME] vp_c -action viewsetting -name NAME [-computerid COMPUTERID] [-computername COMPUTERNAME] [-policyid POLICYID] [-policyname POLICYNAME] [-tenantname TENANTNAME] vp_c -action createinsertstatements [-file FILEPATH] [-generateddl] [-databasetype sqlserver oracle] [-maxresultfromdb count] [-tenantname TENANTNAME] vp_c -action diagnostic vp_c -action fullaccess -username USERNAME [-tenantname TENANTNAME] vp_c -action reindexhelp vp_c -action resetcounters [-tenantname TENANTNAME] vp_c -action resetevents -type all am wrs fw dpi im li [-tenantname TENANTNAME] vp_c -action setports [-managerport port] [-heartbeatport port] vp_c -action trustdirectorycert -directoryaddress DIRECTORYADDRESS -directoryport DIRECTORYPORT [-username USERNAME] [-password PASSWORD] [-tenantname TENANTNAME] vp_c -action unlockout -username USERNAME [-newpassword NEWPASSWORD] [-tenantname TENANTNAME] 97

98 计算机和客户端状态 计算机和客户端状态 Vulnerability Protection 管理中心计算机计算机页中的状态状态列显示计算机及其客户端的当前状态 状态 列通常显示网络中计算机的状态, 紧跟着在圆括号中显示提供防护的客户端 ( 如果存在 ) 的状态 如果计算机或客户端处于错误状态, 也会在状态状态列显示该状态 当操作正在进行时, 操作的状态将显示在状态状态列 以下三个表列出了可能会显示在计算机计算机页的 状态 列的状态和错误消息 除了显示下列值之外, 状态 列还可能显示系统或客户端事件 有关事件的列表, 请参阅 参考 部分的客户端事件 ( 第 105 页 ) 和系统事件 ( 第 113 页 ) 计算机状态 计算机状态 已发现 未被管理 被管理 正在更新 更新未决 ( 时间表 ) 更新未决 ( 波动信号 ) 更新未决 ( 脱机 ) 扫描的端口 正在激活 正在激活 ( 已延迟 ) 已激活 正在停用 停用未决 ( 波动信号 ) 已锁定 多个错误 多个警告 正在升级客户端 漏洞扫描 ( 推荐设置 ) 漏洞扫描 ( 推荐设置 ) 未 决 ( 时间表 ) 漏洞扫描 ( 推荐设置 ) 未 决 ( 波动信号 ) 漏洞扫描 ( 推荐设置 ) 未 决 ( 脱机 ) 正在检查状态 描述 已通过发现过程将计算机添加到计算机列表 激活之前, 不受 Vulnerability Protection 管理中心管理 未激活并且无法与之通信 客户端存在且已激活, 无未决操作或错误 正在使用新配置设置和安全更新的组合更新客户端 一旦计算机的访问时间表允许, 就使用新配置设置和安全更新的组合更新客户端 将在发出下一个波动信号时执行更新 管理中心当前无法与客户端进行通信 已准备好在客户端返回联机状态后立即应用更新 管理中心正在扫描计算机中的端口 管理中心正在激活客户端 客户端的激活延迟了在基于事件的相关任务中指定的时间 客户端已激活 管理中心正在停用客户端 这表示该客户端可供另一个 Vulnerability Protection 管理中心激活并管理 将在下一个波动信号期间从管理中心发送停用指令 计算机处于锁定状态 当计算机处于锁定状态时, 管理中心将不会与客户端进行通信, 也不会生成任何与计算 机有关的警报 现有的计算机警报不受影响 在此计算机上已发生多个错误 请参阅计算机的系统事件以了解详细信息 在此计算机上多个警告已生效 请参阅计算机的系统事件以了解详细信息 此计算机上的客户端软件正在升级到较新版本 漏洞扫描 ( 推荐设置 ) 正在进行中 计算机的访问时间表允许后, 将立即启动 漏洞扫描 ( 推荐设置 ) 管理中心将在发出下一个波动信号时启动 漏洞扫描 ( 推荐设置 ) 客户端当前处于脱机状态 管理中心将在重新建立通信时启动 漏洞扫描 ( 推荐设置 ) 正在检查客户端状态 注 意 98

99 计算机和客户端状态 计算机状态 正在获取事件 建议升级 描述 管理中心正在从客户端检索事件 客户端有较新版本可用 建议升级软件 注 意 客户端状态 客户端 状态 已激活 需要激活 无客户端 未知 需要停用 需要重新 激活 联机 脱机 描述 客户端已成功激活, 且已准备好由 Vulnerability Protection 管理中心管理 在目标计算机上检测到未激活的客户端 客户端 / 设备必须先激活, 然后才能由 Vulnerability Protection 管理中心管理 在计算机上未检测到客户端 未尝试确定客户端是否存在 管理中心尝试激活已由另一个 Vulnerability Protection 管理中心激活的客户端 必须在原始 Vulnerability Protection 管理 中心停用该客户端后, 它才能由新的管理中心激活 客户端已安装且正在侦听, 正等待 Vulnerability Protection 管理中心重新激活 客户端处于联机状态并按预期运行 在策略 / 计算机编辑器 > 设置 > 计算机选项卡中指定的波动信号数内未与客户端进行通信 注 意 计算机错误 错误状态 通信错误 没有到计算机的路由 无法解析主机名 需要激活 无法与客户端通信 协议错误 需要停用 无客户端 软件版本无效 发送软件不成功 内部错误 重复的计算机 描述 常规网络错误 通常, 由于干扰防火墙或中间路由器关闭, 无法访问远程主机 未解析的套接字地址 当客户端尚未激活时向其发送了指令 无法与客户端通信 在 HTTP 层发生通信不成功 客户端当前已由另一个 Vulnerability Protection 管理中心激活 在目标上未检测到客户端 表示找不到用于请求的平台 / 版本的安装程序 向计算机发送二进制软件包时出现错误 内部错误 请联系支持提供商 管理中心的计算机列表中有两个计算机使用同一个 IP 地址 注意 防护模块状态 将鼠标悬停在计算机计算机页面中的某个计算机名称上时, 将显示其防护模块的状态 / 关闭状态 : 99

100 计算机和客户端状态 状态 关闭 未知 描述 模块已在 Vulnerability Protection 管理中心配置, 并且已在 Vulnerability Protection 客户端上安装和运行 模块未在 Vulnerability Protection 管理中心配置, 或未在 Vulnerability Protection 客户端上安装和运行, 或者既未在管理中 心配置也未在客户端上安装和运行 指示防火墙或入侵防御模块出错 100

101 在 Apache 中禁用 Diffie-Hellman 在 Apache 中禁用 Diffie-Hellman Apache Web 服务器可能会使用 Diffie-Hellman (DH) 公共密钥加密协议作为 密钥交换算法 和 认证方法 此协议不受 Vulnerability Protection 客户端的支持, 因此必须在 Apache Web 服务器上禁用此协议, 这样 SSL 过滤才能正常进行 密匙交换算法 和 认证方法 参数是在 httpd-ssl.conf 文件中出现的 "SSLCipherSuite" 变量的前两个文本框 要指 示 Apache 不使用 Diffie-Hellman, 必须将 "!ADH" 添加到这些文本框中 以下示例显示了在 Apache 中禁用 DH 密钥交换和认证方法所需的语法 SSLCipherSuite!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL 对于禁用 ADH, 仅涉及前两个文本框 "!" 会指示 Apache 不 使用 ADH 配置文件可能位于不同的位置, 具体取决于 Apache Build 例如 : RHEL4 上的缺省安装 : /etc/httpd/conf.d/ssl.conf Apache 2.2.2: /usr/local/apache2/conf/extra/httpd-ssl.conf 参考 有关更多信息, 请访问位于 上的 SSLCipherSuite 的 Apache 文档 101

102 加密管理中心与数据库之间的通信 加密管理中心与数据库之间的通信 缺省情况下,Vulnerability Protection 管理中心与数据库之间的通信是不加密的 这是考虑到了性能原因, 因为管理中心和数据库之间的通道可能已经是安全的 ( 它们运行在同一台计算机上, 或者由交叉电缆 专用网段连接或通过 IPSec 进行隧道连接 ) 但是, 如果 Vulnerability Protection 管理中心与数据库间的通信通道不安全, 则应当对它们之间的通信进行加密 可以通过编辑位于 \Vulnerability Protection Manager\webclient\webapps\ROOT\WEB-INF\ 的 dsm.properties 文件来 进行加密 MS SQL Server 加密 Vulnerability Protection 管理中心与 MS SQL Server 数据库之间的通信 : 1. 将下面一行添加到 dsm.properties 中 : database.sqlserver.ssl=require 2. 停止并重新启动 Vulnerability Protection 管理中心服务 Oracle 数据库 加密 Vulnerability Protection 管理中心与 Oracle 数据库之间的通信 : 1. 将下面各行添加到 dsm.properties 中 ( 示例 ): database.oracle.oracle.net.encryption_types_client=(aes256) database.oracle.oracle.net.encryption_client=required database.oracle.oracle.net.crypto_checksum_types_client=(sha1) database.oracle.oracle.net.crypto_checksum_client=required 2. 保存并关闭该文件 停止并重新启动 Vulnerability Protection 管理中心服务 ( 所有前缀为 database.oracle. 的参数都将传递到 Oracle 驱动程序 ) encryption_types_client 的可能值有 : AES256 AES192 AES128 3DES168 3DES112 DES56C DES40C 102

103 加密管理中心与数据库之间的通信 RC4_256 RC4_128 RC4_40 RC4_56 crypto_checksum_types_client 的可能值有 : MD5 SHA1 有关其他选项, 请参阅 : 在数据库服务器上运行客户端 如果要使用客户端来保护数据库, 则应启用加密 执行安全更新时,Vulnerability Protection 管理中心会将新的入侵防御规则存储到数据库中 如果数据未加密, 则客户端对规则名称进行解析时, 规则名称本身几乎肯定会生成误判结果 103

104 事件列表 事件列表 客户端事件 ( 第 105 页 ) 所有可能的客户端事件的列表 防火墙事件 ( 第 108 页 ) 可能的防火墙事件的列表 入侵防御事件 ( 第 111 页 ) 可能的入侵防御事件的列表 系统事件 ( 第 113 页 ) 可能的系统事件的列表 104

105 客户端事件 客户端事件 客户端事件在系统事件系统事件页面的 系统事件 内显示 例如, 双击 已检索事件 系统事件后, 将显示一个窗口, 其中会列出检索到的所有客户端事件 对于注释为 已弃用 的事件, 最新的客户端将不再生成这些事件, 但如果运行的是旧版本的客户端 / 设备, 则仍可能会显示这些事件 ID 严重性 事件 注意 特殊事件 0 错误客户端事件未知 驱动程序相关事件 1000 错误无法引擎 1001 错误引擎命令不成功 1002 警告引擎列表对象错误 1003 警告移除对象不成功 1004 警告引擎返回了错误的规则数据已弃用 1005 警告正在升级驱动程序 1006 警告驱动程序升级需要重新启动 1007 警告驱动程序升级成功 配置相关事件 2000 信息策略已发送 2001 警告防火墙规则分配无效 2002 警告防火墙状态配置无效 2003 错误保存安全配置不成功 2004 警告接口分配无效 2005 警告接口分配无效 2006 警告操作无效 2007 警告数据包流向无效 2008 警告规则优先级无效 2009 警告 IP 格式无法识别 2010 警告源 IP 列表无效 2011 警告源端口列表无效 2012 警告目标 IP 列表无效 2013 警告目标端口列表无效 2014 警告时间表无效 2015 警告源 MAC 列表无效 2016 警告目标 MAC 列表无效 2017 警告时间表长度无效 105

106 客户端事件 ID 严重性 事件 注意 2018 警告时间表字符串无效 2019 警告入侵防御规则的 XML 规则无效 2020 警告找不到对象 2021 警告找不到对象 2022 警告规则分配无效 2050 警告找不到防火墙规则 2075 警告找不到网络通信流 2076 警告找不到入侵防御规则 2078 警告入侵防御规则转换错误 2080 警告找不到条件防火墙规则 2081 警告找不到条件入侵防御规则 2082 警告入侵防御规则为空 2083 警告入侵防御规则的 XML 规则转换错误 2085 错误安全配置错误 2086 警告 IP 匹配类型不受支持 2087 警告 MAC 匹配类型不受支持 2088 警告 SSL 凭证无效 2089 警告缺少 SSL 凭证 硬件相关事件 3000 警告 MAC 地址无效 3001 警告获取事件数据不成功 3002 警告接口太多 3003 错误无法运行外部命令 3004 错误无法读取外部命令输出 3005 错误操作系统调用错误 3006 错误操作系统调用错误 3007 错误文件错误 3008 错误特定于计算机的密钥错误 3009 错误异常的客户端已关闭 3010 错误客户端数据库错误 3600 错误获取 Windows 系统目录不成功 3601 警告读取本地数据错误 Windows 错误 3602 警告 Windows 服务错误 Windows 错误 3603 错误文件映射错误 Windows 错误 文件大小错误 3700 警告检测到异常的重新启动 Windows 错误 3701 信息系统上次启动时间更改 Windows 错误 通信相关事件 4000 警告协议标头无效内容长度超出范围 4001 警告协议标头无效内容长度丢失 106

107 客户端事件 ID 严重性 事件 注意 4002 信息已启动命令会话 4003 信息已启动配置会话 4004 信息已收到命令 4011 警告无法联系管理中心 4012 警告波动信号不成功 客户端相关事件 5000 信息已启动客户端 5001 错误线程异常 5002 错误操作已超时 5003 信息已停止客户端 5004 警告时钟已被更改 5005 信息已启动客户端审计 5006 信息已停止客户端审计 5100 信息已启动防护模块部署 5101 信息防护模块部署成功 5102 错误防护模块部署失败 5103 信息防护模块下载成功 日志记录相关事件 6000 信息日志设备错误 6001 信息日志文件错误 6002 信息日志文件写入错误 6003 信息日志目录创建错误 6004 信息日志文件查询错误 6005 信息日志目录错误 6006 信息日志文件删除错误 6007 信息日志文件更名错误 6008 信息日志读取错误 6009 警告由于空间不足, 已删除日志文件 6010 警告事件已被抑制 6011 警告已截短事件 6012 错误磁盘空间不足 6013 警告客户端配置数据包太大 下载安全更新事件 9100 信息安全更新成功 9101 错误安全更新不成功 9102 错误安全更新不成功错误消息中记录的具体信息 107

108 防火墙事件 防火墙事件 ID 事件 注意 1 正常 ( 过滤器 ) 100 连接断开收到与现有连接无关的数据包 101 标志无效 数据包中设置的标志无效 这可能是由于标志在当前连接 ( 如果有 ) 的上下文中无意义或标志组合无意义导致的 ( 必须开启防火墙状态配置, 才能评估连接上下文 ) 102 序列无效 遇到序号无效或数据大小超出范围的数据包 103 ACK 无效 遇到确认号码无效的数据包 104 内部错误 105 CE 标志 设置 CWR 或 ECE 标志, 防火墙状态配置会指定应拒绝这些数据包 106 IP 无效 数据包的源 IP 无效 107 IP 数据报长度无效 IP 数据报的长度小于 IP 标头中指定的长度 108 片段化 在启用不允许拒绝片段数据包的情况下遇到片段化数据包 109 片段偏移量无效 110 第一个片段太小 遇到片段化数据包, 片段的大小小于 TCP 数据包的大小 ( 无数据 ) 111 片段超出界限 片段化数据包流程中指定的偏移超出数据报最大大小的范围 112 片段偏移量太小 遇到片段化数据包, 片段的大小小于 TCP 数据包的大小 ( 无数据 ) 113 IPv6 数据包 遇到 IPv6 数据包, 而 IPv6 阻止已启用 114 最大传入连接数 传入连接的数量超出允许连接联机的最大数量 115 最大传出连接数 传出连接的数量超出允许连接的最大数量 116 已发出的最大 SYN 数 来自单台计算机的半开连接数超出防火墙状态配置中指定的数量 117 使用授权已过期 118 IP 版本未知 遇到 IPv4 或 IPv6 以外的 IP 数据包 119 数据包信息无效 120 内部引擎错误 资源不足 121 未经请求的 UDP 已拒绝计算机未请求的传入 UDP 数据包 122 未经请求的 ICMP ICMP 状态已 ( 在防火墙状态配置中 ) 启用, 但收到的未经请求的数据包与所有 强制允许 规则都不符合 123 不允许的策略 数据包不符合任何 允许 或 强制允许 规则, 因此已被隐式拒绝 124 端口命令无效 在 FTP 控制通道数据流中遇到无效的 FTP 端口命令 125 SYN Cookie 错误 SYN Cookie 防护机制发生错误 126 数据偏移量无效 数据偏移参数无效 127 无 IP 标头 128 不可读的以太网标头 此以太网框架中包含的数据小于以太网标头 129 未定义 130 源 IP 和目标 IP 相 同 源 IP 和目标 IP 相同 131 TCP 标头长度无效 108

109 防火墙事件 ID 事件 注意 132 不可读的协议标头 数据包中包含不可读的 TCP UDP 或 ICMP 标头 133 不可读的 IPv4 标头 数据包中包含不可读的 IPv4 标头 134 未知 IP 版本 无法识别的 IP 版本 135 适配器配置无效 收到无效的适配器配置 136 重叠片段 此数据包片段与先前传送的片段重复 最大 ACK 重新传送量已关闭的连接上的数据包 此重新传输的 ACK 数据包超出 ACK 风暴防护阈值 收到属于已关闭连接的数据包 139 丢弃的重新传送量丢弃的重新传送量 140 未定义 141 不允许的策略 ( 的端口 ) 142 已启动新连接 143 校验无效 144 使用的 Hook 无效 145 IP 零有效载荷 146 IPv6 源是多播 147 IPv6 地址无效 148 IPv6 片段太小 149 传输标头长度无效 150 内存不足 151 最大 TCP 连接数 152 最大 UDP 连接数 200 区域太大 201 内存不足 202 已超过最大编辑量 203 编辑量太大 204 超过数据包中的最大 匹配数 205 引擎调用堆栈太深 206 运行时错误 207 数据包读取错误 300 不支持的密码 301 生成主密钥时出错 302 记录层消息 ( 未就 绪 ) 303 握手消息 ( 未就绪 ) 304 无序握手消息 305 内存不足 109

110 防火墙事件 ID 事件 注意 306 不支持的 SSL 版本 307 解密预主密钥时出错 308 客户端已尝试还原 309 续订错误 310 密钥交换错误 311 生成预主请求时出错 312 密钥太大 313 握手中的参数无效 314 没有可用的会话 315 压缩方法不受支持 500 已超过 URI 路径深 度 501 遍历无效 502 URI 中的字符非法 503 UTF8 序列不完整 504 UTF8 编码无效 505 十六进制编码无效 506 URI 路径长度太大 507 字符使用无效 508 利用了双重解码 700 Base64 内容无效 压缩 /GZIP 内容已损坏压缩 /GZIP 内容不完整压缩 /GZIP 校验和错误不支持的压缩 /GZIP 词典不支持的 GZIP 标头格式 / 方法已超过协议解码搜索限制 802 协议解码约束错误 803 协议解码引擎内部错 误 804 协议解码结构太深 805 协议解码堆栈错误 806 无限数据循环错误 110

111 入侵防御事件 入侵防御事件 ID 事件 注意 0 正常 ( 过滤器 ) 200 区域太大区域 ( 编辑区域 URI 等 ) 超出允许的缓冲大小上限 (7570 字节 ), 且未关闭 这通常是因为数据未遵守协议 201 内存不足 资源已耗尽, 因而无法正确处理数据包 可能是因为同时有太多并行连接需要缓冲 ( 最多 2048) 或匹配资源 ( 最多 128), 或者因为单个 IP 数据包中有太多匹配项目 ( 最多 2048), 或者只是因为系统内存不足所致 202 已超过最大编辑 量 超出数据包中的单个区域的编辑量 (32) 上限 203 编辑量太大编辑尝试会增加空间大小, 超出允许大小上限 (8188 字节 ) 超过数据包中的最大匹配数引擎调用堆栈太深 数据包中有超过 2048 处符合特征码匹配 在达到此限制时会返回错误并断开连接, 因为这通常表示垃圾或内容不明确的 数据包 206 运行时错误运行时错误 207 数据包读取错误读取数据包数据时发生低级问题 300 不支持的密码所请求的密码组未知或不受支持 生成主密钥时出错记录层消息 ( 未就绪 ) 握手消息 ( 未就绪 ) 无法从主密钥衍生加密密钥 Mac 密钥和起始向量 SSL 状态引擎在启动会话之前遇到 SSL 记录 SSL 状态引擎在协商握手后遇到握手消息 304 无序握手消息格式正确的握手消息无序 305 内存不足 资源已耗尽, 因而无法正确处理数据包 可能是因为同时有太多并行连接需要缓冲 ( 最多 2048) 或匹配资源 ( 最多 128), 或者因为单个 IP 数据包中有太多匹配项目 ( 最多 2048), 或者只是因为系统内存不足所致 不支持的 SSL 版本解密预主密钥时出错客户端已尝试还原 有客户端尝试协商 SSL V2 会话 无法解密 ClientKeyExchange 消息中的预主密钥 客户端尝试还原至比 ClientHello 消息中指定版本要早的 SSL 协议版本 309 续订错误找不到所请求的 SSL 会话中的缓存会话密钥 310 密钥交换错误服务器尝试建立具有临时生成密钥的 SSL 会话 311 生成预主请求时 出错 尝试将预主密钥加入队列以便解密时发生错误 312 密钥太大主机密钥大于协议标识符指定的密钥 313 握手中的参数无 效 尝试解码握手协议时遇到无效或不合理的值 314 没有可用的会话 315 压缩方法不受支 持 111

112 入侵防御事件 ID 500 事件 已超过 URI 路 径深度 注意 "/" 分隔符太多, 上限为 100 个路径深度 501 遍历无效试图在根之上使用 "../" 502 URI 中的字符非法 503 UTF8 序列不完整 URI 中使用的字符非法 URI 只有 UTF8 序列的一部分 504 UTF8 编码无效编码尝试无效 / 非标准 505 十六进制编码无 效 %nn, 其中 nn 不是十六进制数字 506 URI 路径长度太大 路径长度大于 512 个字符 507 字符使用无效使用已禁用的字符 508 利用了双重解码尝试利用双重解码 (%25xx %25%xxd 等 ) 700 Base64 内容无效 预计应以 Base64 格式编码的数据包内容编码错误 压缩 /GZIP 内容已损坏压缩 /GZIP 内容不完整压缩 /GZIP 校验和错误不支持的压缩 / GZIP 词典不支持的 GZIP 标头格式 / 方法已超过协议解码搜索限制协议解码约束错误协议解码引擎内部错误协议解码结构太深协议解码堆栈错误无限数据循环错误 压缩 /GZIP 内容已损坏压缩 /GZIP 内容不完整压缩 /GZIP 校验和错误 压缩 /GZIP 字典不受支持 GZIP 标头格式 / 方法不受支持 协议解码规则定义了搜索或 PDU 对象的限制, 但是在达到该限制之前找不到对象 协议解码规则对不符合协议内容限制的数据进行了解码 协议解码规则遇到导致超过最大类型嵌套深度 (16) 的类型定义和数据包内容 规则编程错误尝试造成递归或使用太多嵌套过程调用 112

113 系统事件 系统事件 下表列出了可由 Vulnerability Protection 记录的系统事件及其缺省设置 ( 无法为未记录的事件发送通知 ) 严 ID 重 性 事件 记录 转发 注意 0 错 误 未知错误 100 信 息 已启动 Vulnerability Protection 管理中心 101 信 息 使用授权已更改 Trend Micro 102 信 息 Vulnerability Protection 客户帐户已更 改 103 警 告 检查更新不成功 105 警告 预设的规则更新下载和应用不成功 106 信息 已下载并应用了预设的规则更新 信息信息错误信息信息信息 已下载并应用规则更新 已执行脚本 脚本执行不成功 已导出系统事件 已导出防火墙事件 已导出入侵防御事件 113 警 告 预设的规则更新下载不成 功 信息信息信息 预设的规则更新已下载 已下载规则更新 已应用规则更新 113

114 系统事件 严 ID 重性 事件 记录 转发 注意 117 信息 已关闭 Vulnerability Protection 管理中心 118 警告 Vulnerability Protection 管理中心处 于脱机状态 119 信息 Vulnerability Protection 管理中心已 返回联机状态 120 错误 波动信号服务器不成功 侦听传入客户端波动信号的管理中心中的服务器无法启动 请检查管理中心的传入波动信 号端口 ( 缺省情况下为 4120) 是否未被管理中心服务器上的其他应用程序使用 如果其未 被使用, 则管理中心应与其绑定并修复此错误 121 错误 计划程序不成功 122 错 误 管理中心消息线程不成功内部线程出错 无针对此错误的解决方法 如果错误仍然存在, 请联系客户支持 123 信 息 Vulnerability Protection 管理中心被 强行关闭 信息信息警告信息警告信息信息 已删除规则更新 已生成凭证 凭证生成不成功 查找计算机 发现计算机不成功 已请求发现计算机 已取消发现计算机 150 信 息 已保存系统设置 ( 无法关 闭 ) 信息信息信息 已添加软件 已删除软件 已更新软件 114

115 系统事件 严 ID 重 性 事件 记录 转发 注意 信息信息信息信息信息错误信息错误信息错误 已导出软件 已更改软件平台 认证不成功 已导出规则更新 安全更新成功 安全更新不成功 已成功检查新软件 检查新软件不成功 手动安全更新成功 手动安全更新不成功 170 错 误 管理中心可用磁盘空间太 低 管理中心已确定没有足够的可用磁盘空间继续正常工作, 因此将关闭 发生此错误时, 管 理中心将会关闭 解决方法是释放磁盘空间并重新启动管理中心 180 信息 已更新警报类型 190 信息 警报已开始 191 信息 警报已更改 192 信息 警报已结束 197 信息 已发送警报电子邮件 198 警告 警报电子邮件发送不成功 发出的警报已被配置为向一个或多个用户生成电子邮件通知, 但无法发送电子邮件 请确保已正确配置 SMTP 设置 199 错误 警报处理不成功 警报处理未成功 这可能表示当前警报状态不正确 无针对此错误的解决方法 如果错误仍然存在, 请联系客户支持 250 信息 已创建计算机 251 信息 已删除计算机 252 信息 已更新计算机 115

116 系统事件 严 ID 重 性 事件 记录 转发 注意 信息信息信息信息信息信息信息信息警告信息信息信息信息信息信息信息错误信息信息警告信息 策略已分配给计算机 已移动计算机 已请求激活 已请求发送策略 已锁定 已解锁 已请求停用 扫描的端口 扫描的端口不成功 已请求扫描的端口 已取消扫描的端口 已请求客户端软件升级 已取消客户端软件升级 已清除警告 / 错误 已请求检查状态 已请求获取事件 计算机创建不成功 安全更新已请求 安全更新还原已请求 重复的计算机 安全更新已下载 116

117 系统事件 严 ID 重 性 事件 记录 转发 注意 信息信息信息信息信息信息信息信息信息信息 已导出计算机 已导入计算机 已导出计算机日志 已添加组 已移除组 已更新组 已更名接口 已更名计算机网桥 已删除接口 已删除接口 IP 297 信 息 已请求 漏洞扫描 ( 推荐 设置 ) 信息信息 已清除建议 资产值已分配给计算机 300 信 息 漏洞扫描 ( 推荐设 置 ) 已完成 信息信息信息信息信息信息信息 已请求客户端软件部署 已请求客户端软件移除 已更名计算机 已添加目录 已移除目录 已更新目录 目录同步 117

118 系统事件 严 ID 重 性 事件 记录 转发 注意 信息错误信息信息信息信息错误信息信息信息信息信息信息信息信息信息信息信息信息信息信息 目录同步已完成 目录同步不成功 已请求目录同步 已取消目录同步 用户同步 已启动用户列表与 Active Directory 之间的同步 用户同步已完成 已完成用户列表与 Active Directory 之间的同步 用户同步不成功 已请求用户同步 已取消用户同步 已创建 SSL 配置 已删除 SSL 配置 已更新 SSL 配置 已创建策略 已删除策略 已更新策略 已导出策略 已导入策略 已创建防火墙规则 已删除防火墙规则 已更新防火墙规则 已导出防火墙规则 118

119 系统事件 严 ID 重 性 事件 记录 转发 注意 信息信息信息信息信息信息信息信息信息信息信息信息信息信息信息信息信息信息信息信息信息 已导入防火墙规则 已创建防火墙状态配置 已删除防火墙状态配置 已更新防火墙状态配置 已导出防火墙状态配置 已导入防火墙状态配置 已创建应用程序类型 已删除应用程序类型 已更新应用程序类型 已导出应用程序类型 已导入应用程序类型 已创建入侵防御规则 已删除入侵防御规则 已更新入侵防御规则 已导出入侵防御规则 已导入入侵防御规则 已创建上下文 已删除上下文 已更新上下文 已导出上下文 已导入上下文 119

120 系统事件 严 ID 重 性 事件 记录 转发 注意 信息信息信息信息信息信息信息信息信息信息信息信息信息信息信息信息信息信息信息信息信息 已创建 IP 列表 已删除 IP 列表 已更新 IP 列表 已导出 IP 列表 已导入 IP 列表 已创建端口列表 已删除端口列表 已更新端口列表 已导出端口列表 已导入端口列表 已创建扫描缓存配置 已导出扫描缓存配置 已创建 MAC 列表 已删除 MAC 列表 已更新 MAC 列表 已导出 MAC 列表 已导入 MAC 列表 已创建代理服务器 已删除代理服务器 已更新代理服务器 已导出代理服务器 120

121 系统事件 严 ID 重 性 事件 记录 转发 注意 信息信息信息信息信息信息信息信息信息信息信息信息错误信息警告警告信息警告错误信息信息 已导入代理服务器 已创建时间表 已删除时间表 已更新时间表 已导出时间表 已导入时间表 已创建预设任务 已删除预设任务 已更新预设任务 已手动执行预设任务 已启动预设任务 备份已完成 备份不成功 正在发送未决警报摘要 发送未决警报摘要不成功 电子邮件发送不成功无法发送电子邮件通知 请确保已正确配置 SMTP 设置 ( 管理 > 系统设置 > SMTP) 正在发送报告 发送报告不成功 报告 Jar 无效 已创建资产值 已删除资产值 121

122 系统事件 严 ID 重 性 事件 记录 转发 注意 信息错误错误 已更新资产值 报告卸载不成功 已卸载报告 580 警告 应用程序类型端口列表配置不正确 581 警告 已解决应用程序类型端口列表配置不正确的问题 582 警 告 入侵防御规则需要配置 583 信 息 已解决入侵防御规则需要 配置的问题 590 警告 预设任务未知类型 600 信息 用户已登录 601 信息 用户已注销 602 信息 用户已超时 603 信息 用户已被锁定 604 信息 用户已被解锁 608 错误 用户会话验证不成功 管理中心无法确认该用户会话是否是由成功用户登录 / 认证所启动的会话 管理中心会将用 户返回到登录页面 用户将被强制进行重新认证 错误信息信息信息信息信息信息 用户进行了无效的请求 管理中心收到了访问审计数据的无效请求 ( 事件 ) 访问审计数据被拒绝 已验证用户会话 关闭 关闭 用户已查看防火墙事件 关闭 关闭 用户已查看入侵防御事件 关闭 关闭 用户已查看系统事件 关闭 关闭 已创建用户 已删除用户 122

123 系统事件 严 ID 重 性 事件 记录 转发 注意 信息信息信息信息信息信息信息信息信息信息信息错误信息错误信息错误信息警告信息错误信息 已更新用户 已设置用户密码 已创建角色 已删除角色 已更新角色 已导入角色 已导出角色 已创建联系人 已删除联系人 已更新联系人 已安装客户端软件 客户端软件安装不成功 已生成凭证 凭证生成不成功 已激活 激活不成功 已升级客户端软件 客户端软件升级不成功 已停用 停用不成功 已检索事件 123

124 系统事件 严 ID 重 性 事件 记录 转发 注意 信息错误信息错误信息信息错误警告 已部署客户端软件 客户端软件部署不成功 已移除客户端软件 客户端软件移除不成功 已更改客户端版本 策略已发送 客户端已更新 发送策略不成功 获取接口不成功 723 信 息 已解决获取接口不成功的 问题 警告警告 磁盘空间不足客户端已报告磁盘空间不足 请释放客户端主机上的空间 已抑制事件 726 警 告 获取客户端事件不成功 管理中心无法从客户端检索事件 此错误并不意味着客户端上丢失了数据 此错误通常是 由于在转移事件时网络中断所导致的 请清除错误并运行 检查状态 以重试该操作 727 信 息 已解决获取客户端事件不 成功的问题 728 错 误 获取事件不成功 管理中心无法从客户端检索审计数据 此错误并不意味着客户端上丢失了数据 此错误通 常是由于在转移事件时网络中断所导致的 请清除错误并运行 立即获取事件 以重试该 操作 729 信 息 已解决获取事件不成功的 问题 730 错误 脱机 管理中心无法与计算机通信 此错误并不意味着客户端所提供的保护处于非活动状态 有 关更多信息, 请参阅计算机和客户端状态 ( 第 98 页 ) 731 信息 返回联机状态 732 错误 防火墙规则引擎脱机 防火墙引擎脱机, 通过的流量未经过滤 这通常是由于在计算机的操作系统平台上安装或 验证驱动程序期间出错所导致的 请检查计算机上网络驱动程序的状态, 以确保其正确加 载 733 信 息 防火墙规则引擎已返回联 机状态 734 警 告 计算机时钟更改 计算机上已进行时钟更改, 其超出了策略 / 计算机编辑器 > 设置 > 计算机 > 波动信号区 域指定的允许大小上限 请调查是什么导致计算机上的时钟发生了更改 124

125 系统事件 严 ID 重 性 事件 记录 转发 注意 735 警 告 已检测到配置不正确 客户端的配置与管理中心的记录中指明的配置不匹配 这通常是由于最近备份恢复管理中 心或客户端造成的 请调查意外的配置错误警告 736 信 息 已解决检查状态不成功的 问题 737 错误 检查状态不成功 738 错误 入侵防御规则引擎脱机 入侵防御引擎脱机, 通过的流量未经过滤 这通常是由于在计算机的操作系统平台上安装 或验证驱动程序期间出错所导致的 请检查计算机上网络驱动程序的状态, 以确保其正确 加载 739 信 息 入侵防御规则引擎已返回 联机状态 740 错误 客户端错误 741 警告 检测到异常的重新启动 742 警告 通信问题 客户端向管理器传递其状态时出现问题 这通常表示在客户端 -> 管理中心的方向出现网 络或负载堵塞 如果这种情况持续存在, 则需要进一步调查 743 信息 通信问题已解决 745 警告 已截短事件 750 警告 最后一次自动重试 755 信息 已解决 Vulnerability Protection 管理中心版本不兼容的问题 756 警告 建议升级 Vulnerability Protection 管理中心 ( 安全更新不兼容 ) 760 信息 客户端版本兼容性问题已解决 警告警告警告 建议升级客户端 要求升级客户端 客户端版本不兼容 764 警 告 建议升级客户端 ( 安全组 件不兼容 ) 警告警告 要求重新启动计算机 网络引擎模式配置不兼容 125

126 系统事件 严 ID 重 性 事件 记录 转发 注意 767 警 告 网络引擎模式版本不兼容 768 警 告 已解决网络引擎模式不兼 容的问题 770 警 告 已拒绝客户端波动信号 771 警告 通过无法识别的客户端联系 780 信息 已解决 漏洞扫描 ( 推荐设置 ) 不成功的问题 781 警告 漏洞扫描 ( 推荐设置 ) 不成功 信息警告 安全更新成功 安全更新不成功 786 信 息 已解决扫描更改不成功的 问题 警告信息警告信息信息 扫描更改不成功 已请求客户端启动的激活 客户端启动的激活不成功 已解除警报 已消除错误 900 信息 已启动 Vulnerability Protection 管理中心审计 901 信息 已关闭 Vulnerability Protection 管理中心审计 902 信息 已安装 Vulnerability Protection 管理中心 警告信息信息 使用授权相关配置更改 已生成诊断数据包 已导出诊断数据包 126

127 系统事件 严 ID 重 性 事件 记录 转发 注意 信息错误信息信息信息错误信息信息信息信息信息信息信息信息信息信息信息信息错误 已上传诊断数据包 自动诊断数据包错误 已生成用法信息 已导出用法信息数据包 已上传用法信息数据包 用法信息数据包错误 已接受证书 已删除证书 已创建自动标记规则 已删除自动标记规则 已更新自动标记规则 已删除标记 已创建标记 已启动命令行工具 命令行工具不成功 命令行工具已关闭 已导出系统信息 已更新管理中心节点 标记错误 关闭 998 错 误 系统事件通知错误 ( 无法打 开 ) 127

128 系统事件 严 ID 重 性 事件 记录 转发 注意 错误错误信息错误信息错误错误信息信息信息信息信息信息信息信息信息信息信息警告错误 软件内部错误 插件安装不成功 已安装插件 插件升级不成功 已升级插件 插件启动不成功 插件卸载不成功 已卸载插件 已启动插件 已停止插件 已创建目录列表 已删除目录列表 已更新目录列表 已导出目录列表 已导入目录列表 已更新防火墙状态配置 已更新入侵防御配置 安全更新还原成功 安全更新还原不成功 可信平台模块错误 1678 信 息 已加载可信平台模块注册 值 128

129 系统事件 严 ID 重性 事件 记录 转发 注意 1679 警告 已更改可信平台模块注册 值 信息信息 已禁用 TPM 检查 预期激活不成功 1800 错 误 Vulnerability Protection 防护模块故 障 信息信息信息信息信息警告信息信息信息警告信息 扫描缓存配置对象已添加 扫描缓存配置对象已移除 扫描缓存配置对象已更新 开始安装防火墙 防火墙安装成功 防火墙安装不成功 防火墙下载成功 开始安装入侵防御 入侵防御安装成功 入侵防御安装不成功 入侵防御下载成功 129

130 手动停用 / 停止 / 启动客户端 / 设备 手动停用 / 停止 / 启动客户端 停用客户端 通常可以通过当前管理客户端的 Vulnerability Protection 管理中心停用客户端 如果 Vulnerability Protection 管理中心无法与客户端通信, 您可能需要手动执行停用 在 Windows 上停用客户端 : 1. 从命令行中, 转到客户端目录 ( 缺省为 C:\Program Files\Trend Micro\Vulnerability Protection Agent) 2. 运行以下命令 :dsa_control.exe -r 停止或启动客户端 仅可在主机计算机上本地停止或启动客户端 在 Windows 上启动或停止客户端 : 停止 : 从命令行运行以下命令 :sc stop ds_agent 开始 : 从命令行运行以下命令 :sc start ds_agent 130

131 手动升级计算机上的客户端 手动升级计算机上的客户端 可能会出现因管理中心计算机和客户端计算机之间存在连接限制, 而无法从管理中心界面升级计算机上的客户端软件的情况 在这种情况下, 需要手动升级计算机上的客户端软件 必须从趋势科技下载专区手动下载新的客户端软件, 或者通过 Vulnerability Protection 管理中心下载客户端软件, 然后将其导出 在要升级的计算机上必须禁用 客户端自我保护 要配置客户端自我保护, 请转至策略 / 计算机编辑器 > 设置 > 计算机 > 客户端自我保护 下载并导出新的客户端软件 : 1. 在 Vulnerability Protection 管理中心中, 转至管理 > 更新 > 软件更新 2. 确保已从趋势科技下载专区将最新的 Vulnerability Protection 客户端下载到 Vulnerability Protection 管理中心 3. 在软件更新软件更新选项卡中, 单击查看导入的软件... 此时将出现 软件 窗口 4. 选择所需的客户端软件, 然后单击菜单栏中的 导出 5. 指定要将客户端软件导出到的位置 Windows 要手动升级 Windows 计算机上的客户端, 请将客户端安装程序复制到计算机上并运行它 程序会检测先前的客户端并执行升级 131

132 关于事件标记的更多信息 关于事件标记的更多信息 在 Vulnerability Protection 中, 标记是可应用于 Vulnerability Protection 事件的一组元数据, 以便为最初未包含在事件本身中的事件创建其他属性 标记可用于排序 分组和以其他方式组织事件, 以便简化事件监控和管理的任务 标记的典型用法是区分经过调查发现为良好的事件和需要执行操作的事件 可基于特定情况手动标记事件, 或者可使用下列两种可用的自动标记系统之一来自动标记事件 : 标准自动标记可让您使用现有事件作为模型以在同一台或其他计算机上自动标记类似事件 要应用标记, 您通过选择必须匹配模型事件属性的事件属性来定义 相似性 参数 虽然事件标记可用于各种目的, 但是它旨在减轻事件管理的负担 分析某个事件并评估为良好之后, 可方便地通过计算机 ( 以及任何其他以类似方式配置及分配任务的计算机 ) 的事件日志查找类似的事件, 并以相同方式标记它们, 因此无需单独分析每个事件 标准事件标记 事件标记可让您将一个或多个标记应用于事件 可以使用预定义的标记 ( 攻击 可疑 "Patch" 可接受的更改 误判 高优先级 等 ) 来标记事件, 或者可以定义和应用定制标记 例如, 您可以创建并将标记应用于入侵防御事件, 指示您已将该事件评估为误报 自动标记 标记单独事件后, 使用自动标记自动标记可以指示 Vulnerability Protection 管理中心在当前或任何其他计算机上 ( 定义属性和条件以确定相似性的位置 ) 将同一个标记应用于所有类似的现有和 / 或将来事件 ( 使用自动标记时, 创建自动标记规则 要查看现有的自动标记规则, 请在任何事件事件页面上单击菜单栏中的自动标记... 以后可以再次手动运行任何自动标记规则 ) 创建自动标记规则后, 可为其分配优先顺序优先顺序值 如果自动标记规则配置为在将来事件上运行, 则规则的优先顺序确定所有自动标记规则应用于传入事件的顺序 例如, 您可以具有优先顺序值为 "1" 的规则, 将所有 用户已登录 事件标记为 可疑, 优先顺序值为 "2" 的规则从目标 ( 用户 ) 为您的所有 用户已登录 事件中删除 可疑 标记 优先顺序 "1" 规则将首先运行, 并将 可疑 标记应用于所有 用户已登录 事件 优先顺序 "2" 规则随后运行, 并将 可疑 标记从用户为您的所有 用户已登录 事件中删除 这将导致 可疑 标记应用于用户不是您的所有将来 用户已登录 事件 通过转到事件事件页面, 单击工具栏中的自动标记... 以显示与事件关联的现有自动标记规则, 并编辑自动标记规则的属性窗口, 您可以设置自动标记规则的 优先顺序 值 正如任何其他事件属性一样, 标记可以用作排序条件 可使用它们来创建定制控制台和报告 通过隐藏已分析的事件或标识需进一步分析的事件, 可以使用标记控制分析工作流 标记自己不会更改事件中的数据, 也不允许用户删除事件 它们只是管理中心提供的附加属性 目前为止提到的所有标记和自动标记适用于所有 Vulnerability Protection 事件 : 防火墙 入侵防御和系统事件 132

133 性能要求 性能要求 以下准则提供了不同规模的 Vulnerability Protection 部署的一般基础架构要求 磁盘空间 每台计算机需要的空间量是所记录的日志 ( 事件 ) 数和它们的保留时间的函数 通过策略 / 计算机编辑器 > 设置页面的网络引擎网络引擎选项卡, 您可以控制多种设置, 如事件日志文件的最大大小 在任意给定时间内要保留的日志文件数 同样, 通过防火墙状态配置属性窗口上的 TCP UDP 和 ICMP 选项卡, 您可以配置执行防火墙状态配置事件日志记录的方式 可以在策略和单个计算机级别微调这些事件收集设置 ( 请参阅策略 继承与覆盖 ( 第 134 页 ) ) 在缺省级别保留日志记录时, 平均每台计算机将需要约 50 MB 的数据库磁盘空间 1000 台计算机将需要 50 GB,2000 台计算机将需要 100 GB, 依此类推 专用服务器 如果最终部署预期不超过 1000 台计算机 ( 实体或虚拟 ), 则可以在同一计算机上安装 Vulnerability Protection 管理中心和数据库 如果您认为可能会超过 1000 台计算机, 则应在专用服务器上安装 Vulnerability Protection 管理中心和数据库 数据库和 Vulnerability Protection 管理中心位于同一地点也很重要, 这样可确保两者之间的通信顺畅 同样的情况适用于其他 Vulnerability Protection 管理中心节点 : 同一地点的专用服务器 133

134 策略 继承与覆盖 策略 继承与覆盖 多数 Vulnerability Protection 元素和设置可作用于多个层次结构级别, 这些级别以父基本策略级别开头, 下分多个子策略级别, 最后以分配了最终策略的计算机级别结束 Vulnerability Protection 提供了一个策略集合, 在设计为您环境定制的策略时可以将其用作初始模板 : 继承 子策略从其父策略继承设置 这允许您创建一个策略树, 该树以配置有将应用于所有计算机的设置和规则的基本父策略开头 这样, 此父策略便会有一组子策略及后代策略, 这些策略具有越来越多的针对性设置 您可以根据适合您环境的任意种类的分类系统构建策略树 Vulnerability Protection 同样还具有专用于特定操作系统的分支 Windows 分支具有后续子策略, 可适用于各种子类型的 Windows 操作系统 在概述概述页面的 Windows 策略编辑器中, 您可以看到 Windows 策略被创建为基本基本策略的子策略 这意味着该设置是从父基本基本策略继承的, 如果要在基本基本策略中将防火墙设置从关闭关闭更改为, 则在 Windows 策略中, 该设置也会更改 ( 随后,Windows 策略设置将显示为已继承 ( ) 圆括号中的值始终显示当前继承的设置 ) 134

135 策略 继承与覆盖 覆盖对象属性 此策略中包含的入侵防御规则是 Vulnerability Protection 管理中心存储的可供其他策略使用的入侵防御规则的副本 如果要更改特定规则的属性, 有以下两种选择 : 全局修改规则的属性, 以便所做的更改应用到正在使用该规则的所有实例, 或本地修改属性, 以便所做的更改仅在本地应用 计算机或策略编辑器中的缺省编辑模式为本地本地 如果在已分配的入侵防御规则已分配的入侵防御规则区域工具栏上单击属性, 则在显示的 属性 窗口中所做的任何更改将仅在本地应用 ( 诸如规则名称等属性不能本地编辑, 只能全局编辑 ) 右键单击一个规则将显示上下文菜单, 向您提供两个属性编辑模式选项 : 选择属性... 将本地编辑器窗口, 选择属性 ( 全局 )... 将全局编辑器窗口 Vulnerability Protection 中的大多数共享通用对象可以在策略层次结构中的任何级别 ( 向下直至单个计算机级别 ) 覆盖其属性 覆盖规则分配 您可以始终在任何策略或计算机级别分配其他规则 但是, 如果规则是因为其分配是从父策略继承而在特定策略或计算机级别生效, 则不能本地取消分配这些规则 必须在最初进行分配的策略级别取消分配这些规则 如果您发现正覆盖大量设置, 也许应考虑为父策略建立分支 快速查看计算机或策略中的覆盖 可以通过转到计算机或策略编辑器中的覆盖覆盖页面来查看策略或计算机中已覆盖的设置数 : 覆盖按防护模块显示 可以通过单击移除移除按钮来恢复系统或模块覆盖 135

136 使用的端口 使用的端口 Vulnerability Protection 端口 :4119( 缺省 ) 用途 : 访问 Vulnerability Protection 管理中心 Web 控制台浏览器界面 协议 :TCP 发起方 : Web 浏览器 已连接到 :Vulnerability Protection 管理中心 代理服务器 : 否 配置 : 此端口在 Vulnerability Protection 管理中心安装期间配置 端口 :4120( 缺省 ) 用途 : 客户端启动的与管理中心之间的通信 客户端会向管理中心发送事件, 管理中心则会发送配置更新 协议 :TCP 发起方 : 客户端 已连接到 :Vulnerability Protection 管理中心 代理服务器 : 否 配置 : 此端口在 Vulnerability Protection 管理中心安装期间配置 客户端 端口 : 4118 用途 : 管理中心与客户端之间的通信 协议 :TCP 发起方 :Vulnerability Protection 管理中心 已连接到 : 客户端 代理服务器 : 否 配置 : 此端口不可配置 ( 如果此端口分配有问题, 请联系支持提供商 ) 136

137 使用的端口 SQL Server 数据库服务器 端口 : 1433, 1434 用途 : 管理中心与数据库之间的通信 ( 必须将数据库连接到 Vulnerability Protection 管理中心 ) 协议 :TCP 用于 1433,UDP 用于 1434 发起方 :Vulnerability Protection 管理中心 已连接到 :SQL 数据库服务器 代理服务器 : 否 配置 : 此端口在 Vulnerability Protection 管理中心安装期间配置 Oracle 数据库服务器 端口 : 1521 用途 : 管理中心与数据库之间的通信 ( 如果使用的是 Oracle, 则为 SQL 所必需的 ) 协议 :TCP 发起方 :Vulnerability Protection 管理中心 已连接到 :Oracle 数据库服务器 代理服务器 : 否 配置 : 此端口在 Vulnerability Protection 管理中心安装期间配置 Syslog 设备 端口 :514( 缺省 ) 用途 :Syslog 协议 :UDP 发起方 : 客户端 已连接到 :Syslog 设备 代理服务器 : 否 配置 : 此端口可在管理 > 系统设置 > SIEM 中配置 SMTP 服务器 端口 :25( 缺省 ) 用途 : 电子邮件警报 137

138 使用的端口 协议 :TCP 发起方 :Vulnerability Protection 管理中心 已连接到 : 指定的 SMTP 服务器 代理服务器 : 否 配置 : 此端口可在管理 > 系统设置 > SMTP 中配置 趋势科技更新服务器 端口 : 80 用途 : 连接到趋势科技更新服务器 协议 :HTTP 和 SOCKS 发起方 :Vulnerability Protection 管理中心 已连接到 : 趋势科技更新服务器 代理服务器 : 是 ( 可选 ) 配置 : 代理服务器地址和端口可在管理 > 系统设置 > 更新中配置 LDAP 服务器 端口 : 389 用途 :LDAP 目录添加或 Vulnerability Protection 管理中心 协议 :TCP 发起方 :Vulnerability Protection 管理中心 已连接到 :LDAP 服务器 代理服务器 : 否 配置 : 此端口可在计算机计算机页面上的添加目录添加目录向导中配置 DNS 服务器 端口 : 随机选择 用途 : 主机名的 DNS 查询 协议 :TCP 发起方 :Vulnerability Protection 管理中心 已连接到 :DNS 服务器 代理服务器 : 否 配置 : 此端口是在 Vulnerability Protection 管理中心需要查询主机名时随机选择的 138

139 捆绑 NIC 捆绑 NIC 在捆绑 NIC 环境中安装 Windows 客户端 捆绑 NIC 描述了并行使用多个以太网适配器来提高数据传输速度或提供冗余 以下信息为在 Windows 中配置捆绑 NIC 安装以便其与 Vulnerability Protection 客户端兼容提供指导 如果您遇到困难, 请联系支持提供商 Windows Windows NIC 捆绑软件创建了一个新的虚拟主接口, 该接口采用了第一个从接口的 MAC 地址 缺省情况下, 安装期间 Windows 客户端将绑定到所有虚拟和物理接口 因此, 在捆绑 NIC 环境中, 客户端将绑定到物理接口以及由捆绑软件创建的虚拟接口上 如果客户端的多个接口具有相同的 MAC 地址, 则该客户端将无法正常使用 要正常使用, 客户端必须只绑定到由捆绑软件创建的虚拟接口上 在 Windows 2003 上的捆绑 NIC 环境中使用客户端需要 SP2 或更高版本, 或安装以下 Patch: 不支持在 Windows 2000 上的捆绑 NIC 环境中使用客户端 客户端的网络驱动程序只在安装或升级时绑定到网络接口 安装后, 当您向捆绑 NIC 中添加网络接口或从中移除网络接口时, 将无法自动调整绑定 这样做可能会导致网络连接出现问题, 或导致无法正常保护主机系统 在安装了客户端的网络驱动程序的捆绑环境中添加或移除网络接口后, 应验证该驱动程序是否只绑定到虚拟接口, 而未绑定到任何物理适配器 139

140 支持 支持 请访问趋势科技客户技术支持 Web 站点获取针对任何趋势科技产品的帮助 : 趋势科技客户技术支持 140

141

142