趋势科技服务器深度安全防护系统 9.6 安装指南（VMware NSX）

Transcription

1

2 趋势科技 ( 中国 ) 有限公司保留对本文档以及此处所述产品进行更改而不通知的权利 在安装及使用本软件之前, 请阅读自述文件 发布说明和最新版本的适用用户文档, 这些文档可以通过趋势科技的以下 Web 站点获得 : Trend Micro Trend Micro t- 球徽标 Deep Security Control Server Plug-in Damage Cleanup Services eserver Plug-in InterScan Network VirusWall ScanMail ServerProtect 和 TrendLabs 是趋势科技 ( 中国 ) 有限公司 /Trend Micro Incorporated 的商标或注册商标 所有其他产品或公司名称可能是其各自所有者的商标或注册商标 文档版本 :1.1 文档编号 :APCM97019/ 发布日期 :2015 年 8 月文档生成时间 :Oct 13, 2015 (17:01:01)

3 目录 简介... 5 关于本文档... 6 关于趋势科技服务器深度安全防护系统... 8 新功能 系统要求 准备 所需条件 (VMware NSX) 数据库注意事项 安装 安装趋势科技服务器深度安全防护系统管理中心 手动安装趋势科技服务器深度安全防护系统客户端 安装和配置已启用中继的客户端 在 NSX 环境中部署无客户端防护 安装趋势科技服务器深度安全防护系统通知程序 NSX 环境中的自动策略管理 升级 在 NSX 环境中升级至趋势科技服务器深度安全防护系统 从 9.6 之前版本的 vshield 升级至 9.6 NSX 环境 附录 趋势科技服务器深度安全防护系统管理中心静默安装 趋势科技服务器深度安全防护系统管理中心设置属性文件 趋势科技服务器深度安全防护系统管理中心内存使用 趋势科技服务器深度安全防护系统虚拟设备内存使用 趋势科技服务器深度安全防护系统管理中心性能特点 创建 SSL 认证证书 部署 DSVA 所需的最低 VMware 权限 (NSX) 安装 vsphere 分布式交换机 准备 ESXi Server 安装 Guest Introspection 服务... 90

4 创建 NSX 安全组 启用多租户 多租户 ( 高级 ) 安装趋势科技服务器深度安全防护系统数据库 ( 多租户要求 ) 从 NSX 环境中卸载趋势科技服务器深度安全防护系统

5 简介

6 关于本文档 关于本文档 趋势科技服务器深度安全防护系统安装指南 (VMware NSX) 本文档介绍如何安装和配置趋势科技服务器深度安全防护系统基础软件组件 1. 趋势科技服务器深度安全防护系统管理中心 2. 趋势科技服务器深度安全防护系统虚拟设备 3. 趋势科技服务器深度安全防护系统客户端 ( 带中继功能 ) 4. 趋势科技服务器深度安全防护系统通知程序 本文档内容包括 : 1. 系统要求 2. 准备 3. 数据库配置指南 4. 安装趋势科技服务器深度安全防护系统管理中心管理控制台 5. 安装已启用中继的趋势科技服务器深度安全防护系统客户端 6. 集成趋势科技服务器深度安全防护系统与 VMware NSX 环境 7. 使用趋势科技服务器深度安全防护系统保护策略和 漏洞扫描 ( 推荐设置 ) 实施趋势科技服务器深度安全防护系统防护 8. 监控和维护趋势科技服务器深度安全防护系统安装的指南 目标受众 本文档面向想在 VMware NSX 环境中实施无客户端趋势科技服务器深度安全防护系统防护的任何人 其中信息是针对经验丰富的系统管理 员编写的, 这些管理员熟悉虚拟机技术和虚拟数据中心操作 本文档假设读者熟悉 VMware Infrastructure 5.x, 包括 VMware NSX VMware ESXi vcenter Server 和 vsphere Web Client 6

7 关于本文档 其他趋势科技服务器深度安全防护系统文档 您可以从 获取其他趋势科技服务器深度安全防护系统文档, 包括适用于其他平台的安装指南和管理员文档 此外, 趋势科技服务器深度安全防护系统管理中心还包含帮助系统, 您可以从趋势科技服务器深度安全防护系统管理中心控制台中访问该帮助系统 7

8 关于趋势科技服务器深度安全防护系统 关于趋势科技服务器深度安全防护系统 趋势科技服务器深度安全防护系统针对物理 虚拟或云服务器提供了高级服务器安全 无需紧急修补即可保护企业应用程序和数据免遭破坏和业务中断 这种全面的集中管理平台可帮助您简化安全操作, 同时确保管理合规并加快推进虚拟化和云项目的 ROI 以下紧密集成的模块可轻松扩展此平台, 确保物理 虚拟或云服务器以及虚拟桌面的服务器 应用程序及数据安全性 防护模块 防恶意软件 与 VMware 环境集成以进行无客户端防护, 或提供可保护物理服务器和虚拟桌面的客户端 集成新的 VMware vshield Endpoint API 可为 VMware 虚拟机提供无客户端防恶意软件防护, 无需占用客户虚拟机 帮助避免完全系统扫描和特征码更新过程中常见的安全漏洞 另外, 还提供基于客户端的防恶意软件, 可保护物理服务器 基于 Hyper-V 和 Xen 的虚拟服务器 公共云服务器以及虚拟桌面 协调无客户端和基于客户端的服务器规格的保护, 提供自适应安全防护, 以便在服务器在数据中心和公共云之间移动时保护虚拟服务器 Web 信誉 趋势科技 Web 信誉服务可阻止对恶意 Web 站点的访问 趋势科技可根据 Web 站点的存在时间 历史位置变化和通过恶意软件行为分析发现的可疑活动迹象等因素来分配信誉评分 Web 信誉服务 : 阻止用户访问受危害站点或受感染站点 阻止用户与犯罪分子所利用的通信和控制服务器 (C&C) 通信 阻止用户访问犯罪分子注册用于实施网络犯罪的恶意域 防火墙 减少物理和虚拟服务器的攻击面 使用双向状态防火墙对服务器防火墙策略进行集中式管理 支持虚拟机分区, 阻止拒绝服务攻击 针对所有基于 IP 的协议和帧类型, 以及端口和 IP 及 MAC 地址的细粒度过滤提供广泛的覆盖范围 入侵防御 在已知漏洞修复之前, 屏蔽漏洞以免遭受无限制的入侵 帮助实现对已知和零时差攻击的及时防护 使用漏洞规则屏蔽已知漏洞 ( 例如 Microsoft 每月公布的漏洞 ), 以免遭受无限制的入侵 针对 100 多个应用程序 ( 包括数据库 Web 电子邮件和 FTP 服务器 ) 提供现成的漏洞防护 自动提供屏蔽数小时内新发现漏洞的规则, 并在几分钟内将此规则推送至数千台服务器, 无需重新启动系统 抵御 Web 应用程序漏洞 确保符合 PCI 要求 6.6, 以保护 Web 应用程序及其处理的数据 抵御 SQL 注入攻击 跨站点脚本攻击以及其他 Web 应用程序漏洞 屏蔽漏洞直到代码修复完成 识别访问网络的恶意软件 8

9 关于趋势科技服务器深度安全防护系统 加强对访问网络的应用程序的监视或控制 识别访问网络的恶意软件, 减少服务器的漏洞入侵 完整性监控 实时检测并报告对文件和系统注册表的恶意及意外更改 使管理员能够跟踪对实例进行的授权和未授权更改 检测未授权更改的功能是云安全策略中的关键部分, 因为该功能可监视可能指示实例被损坏的更改 日志审查 显示日志文件中隐藏的重要安全事件 优化对整个数据中心多个日志条目中隐藏的重要安全事件的识别功能 将可疑事件转发到 SIEM 系统或集中式日志记录服务器, 以进行关联 报告及归档 利用并增强开放源代码软件的功能 ( 该软件位于 OSSEC) 趋势科技服务器深度安全防护系统组件 趋势科技服务器深度安全防护系统包含以下一组组件, 这些组件协同起来提供防护 : 趋势科技服务器深度安全防护系统管理中心, 是管理员用来配置安全策略以及向强制组件部署防护的基于 Web 的集中式管理控制台 : 趋势科技服务器深度安全防护系统虚拟设备和趋势科技服务器深度安全防护系统客户端 趋势科技服务器深度安全防护系统虚拟设备是针对 VMware vsphere 环境构建的安全虚拟机, 可以无客户端的方式为虚拟机提供防恶意软件和入侵防御防护 无客户端防恶意软件 完整性监控 防火墙 入侵防御和 Web 信誉随 NSX 一起提供 趋势科技服务器深度安全防护系统客户端是一种直接部署在计算机上的安全客户端, 可为安装了它的计算机提供防恶意软件 Web 信誉服务 防火墙 入侵防御 完整性监控和日志审查防护 趋势科技服务器深度安全防护系统客户端包含中继模块 中继模块 已启用中继的客户端在趋势科技服务器深度安全防护系统组件组成的整个网络中分发软件和安全更新 趋势科技服务器深度安全防护系统通知程序是一种 Windows 系统托盘应用程序, 可在本地计算机上传达有关安全状态和事件的信息, 对于已启用中继的客户端, 还可以提供有关正从本地计算机分发的安全更新的信息 趋势科技服务器深度安全防护系统管理中心 趋势科技服务器深度安全防护系统管理中心 ( 以下简称 管理中心 ) 是一个强大的基于 Web 的集中式管理系统, 安全管理员可以通过它 来创建和管理全面的安全策略, 跟踪威胁并记录针对这些威胁所采取的预防处理措施 趋势科技服务器深度安全防护系统管理中心可与数 据中心的不同部分 ( 包括 VMware vcenter 和 Microsoft Active Directory) 进行集成 为了帮助部署和集成到客户和合作伙伴的 环境中, 趋势科技服务器深度安全防护系统提供了公开的 Web 服务 API, 允许使用不依赖任何语言的简单方法从外部访问数据和编程配 置 策略 策略是可指定要为一台或多台计算机自动配置和执行的设置和安全规则的模板 这些易于管理的精简规则集可以轻松提供全面安全, 而无需费心去管理上千条规则 缺省策略可提供大量常用计算机配置的必要规则 控制台 使用可定制的 基于 Web 的 UI 可轻松地快速导航至特定信息并对其进行详细分析 它将提供 : 大范围的系统 事件和计算机报告 主要度量的图表, 包含趋势 9

10 关于趋势科技服务器深度安全防护系统 详细事件日志 保存多个个性化控制台版面配置的功能 内置安全 通过基于角色的访问, 多个管理员 ( 或用户, 每个管理员或用户均拥有不同的访问权限集和编辑权限 ) 可编辑和监控系统的不同部分, 并收到相应的信息 数字签名用于认证系统组件并验证规则的完整性 会话加密可保护在组件之间交换的信息的机密性 趋势科技服务器深度安全防护系统虚拟设备 趋势科技服务器深度安全防护系统虚拟设备作为 VMware 虚拟机运行并保护同一 ESXi Server 上的其他虚拟机, 且每台虚拟设备均拥有各自的安全策略 趋势科技服务器深度安全防护系统客户端 趋势科技服务器深度安全防护系统客户端 ( 以下简称 客户端 ) 是精巧型的高性能软件组件, 安装在计算机上可提供防护 趋势科技服务器深度安全防护系统客户端包含中继模块 ( 缺省情况下关闭 ) 任何趋势科技服务器深度安全防护系统安装中都必须有至少一个已启用中继的客户端, 以便在整个趋势科技服务器深度安全防护系统网络中分发安全更新和软件更新 可以启用多个已启用中继的客户端并将它们组织到层次组中, 从而更有效地在整个网络中分发更新 趋势科技服务器深度安全防护系统通知程序 趋势科技服务器深度安全防护系统通知程序是一个 Windows 系统托盘应用程序, 可将趋势科技服务器深度安全防护系统客户端和已启用中继的客户端的状态传达给客户端计算机 趋势科技服务器深度安全防护系统客户端开始扫描时, 或者阻止恶意软件或阻止访问恶意 Web 页面时, 通知程序会显示弹出式用户通知 该通知程序还提供了一个控制台工具, 方便用户查看事件和配置是否显示弹出通知 10

11 新功能 新功能 趋势科技服务器深度安全防护系统 9.6 VMware vsphere 6 支持 趋势科技服务器深度安全防护系统 9.6 现在支持 vsphere 6 NSX 支持和集成 : 无客户端防恶意软件 完整性监控 防火墙 入侵防御和 Web 信誉随 NSX 一起提供 vcns 支持 : 无客户端防恶意软件和完整性监控可用于 vcns 组合模式的无客户端防恶意软件和完整性监控以及基于客户端的防火墙支持 入侵防御支持 Web 信誉支持和日志审查支持 适用于 Linux 的 SAP 防护 趋势科技服务器深度安全防护系统已将 SAP 适配器集成到趋势科技服务器深度安全防护系统客户端中 SAP 适配器可以无缝地与 SAP VSI 接口 ( 也称为 NW-VSI-2.0) 配合工作 VSI 接口在诸如 NetWeaver HANA 和 Fiori 等应用程序和平台中可用 SAP 适配器已作为 Red Hat Enterprise Linux 和 SUSE Enterprise Linux Build 的一部分完全融合到了趋势科技服务器深度安全防护系统 9.6 中, 现在可以直接通过趋势科技服务器深度安全防护系统管理中心授权 IBM QRadar 支持 趋势科技服务器深度安全防护系统现在能够以日志事件扩展格式 (LEEF 2.0) 输出 syslog 消息以与 IBM QRadar 集成 适用于 CloudLinux 的实时防恶意软件 实时防恶意软件可用于 CloudLinux 7 其他平台支持 趋势科技服务器深度安全防护系统 9.6 增加了对以下平台的支持 : Debian 6 和 7 Windows 2012 Server Core CloudLinux 7 Oracle Linux 7 SUSE Enterprise Linux 12 适用于 Oracle 12c 的趋势科技服务器深度安全防护系统数据库支持 趋势科技服务器深度安全防护系统管理中心现在支持将 Oracle 12c 用于其后端数据库 11

12 新功能 登录时的 Active Directory 同步 在 Active Directory 中创建的新用户现在可以在运行 Active Directory 同步任务之前登录到趋势科技服务器深度安全防护系统管理中心 趋势科技服务器深度安全防护系统中继从趋势科技下载专区进行下载 在趋势科技服务器深度安全防护系统中继无法直接访问趋势科技服务器深度安全防护系统管理中心的情况下, 中继现在可从趋势科技下载专区下载更新 次要的报告增强功能 安全模块使用情况报告现在增加了 计算机组 和 实例类型 两个列 ( 对于 AWS 工作负载 ) 联机帮助的自动更新 趋势科技服务器深度安全防护系统联机帮助现在可以通过新的联机帮助软件包在趋势科技服务器深度安全防护系统管理中心中进行无缝更新 12

13 系统要求 系统要求 趋势科技服务器深度安全防护系统管理中心 内存 :8GB, 其中包括 : 4GB 堆内存 1.5GB JVM 开销 2GB 操作系统开销 磁盘空间 :1.5GB( 建议使用 5GB) 操作系统 : Windows Server 2012(64 位 ) Windows Server 2012 R2(64 位 ) Windows Server 2008(64 位 ) Windows Server 2008 R2(64 位 ) Windows 2003 Server SP2(64 位 ) Windows 2003 Server R2(64 位 ) Red Hat Linux 5/6(64 位 ) 您只能在 AWS Linux 实例上安装 AWS Marketplace 版本的趋势科技服务器深度安全防护系统管理中心 数据库 : Oracle Database 12c Oracle Database 11g Oracle Database 11g Express Microsoft SQL Server 2014 Microsoft SQL Server 2014 Express Microsoft SQL Server 2012 Microsoft SQL Server 2012 Express Microsoft SQL Server 2008 Microsoft SQL Server 2008 Express Microsoft SQL Server 2008 R2 Microsoft SQL Server 2008 R2 Express Web 浏览器 :Firefox 24+ Internet Explorer 9.x Internet Explorer 10.x Internet Explorer 11.x Chrome 33+ Safari 6+ ( 启用 Cookie ) 显示器 : 采用 256 色或更高时, 分辨率为 1024 x 768 趋势科技服务器深度安全防护系统客户端 内存 : 具有防恶意软件防护 :512MB 没有防恶意软件防护 :128MB 磁盘空间 : 具有防恶意软件防护 :1GB 没有防恶意软件防护 :500MB 启用中继功能 :8GB Windows: Windows Server 2012(64 位 ) Windows Server 2012 R2(64 位 )- Full Server 或 Server Core Windows 8.1(32 位和 64 位 ) Windows 8(32 位和 64 位 ) 13

14 系统要求 Windows 7(32 位和 64 位 ) Windows Server 2008(32 位和 64 位 ) Windows Server 2008 R2(64 位 ) Windows Vista(32 位和 64 位 ) Windows Server 2003 SP1(32 位和 64 位 ), 带有 patch "Windows Server 2003 Scalable Networking Pack" Windows Server 2003 SP2(32 位和 64 位 ) Windows Server 2003 R2 SP2(32 位和 64 位 ) Windows XP(32 位和 64 位 ) 启用中继功能 : 所有上述 64 位 Windows 版本 Linux: Red Hat 5(32 位和 64 位 ) Red Hat 6(32 位和 64 位 ) Red Hat 7(64 位 ) Oracle Linux 5(32 位和 64 位 ) Oracle Linux 6(32 位和 64 位 ) Oracle Linux 7(64 位 ) CentOS 5(32 位和 64 位 ) CentOS 6(32 位和 64 位 ) CentOS 7(64 位 ) Debian 6(64 位 ) Debian 7(64 位 ) SUSE 10 SP3 和 SP4(32 位和 64 位 ) SUSE 11 SP1 SP2 和 SP3(32 位和 64 位 ) SUSE 12(64 位 ) CloudLinux 5(32 位和 64 位 ) CloudLinux 6(32 位和 64 位 ) CloudLinux 7(64 位 ) Amazon AMI Linux EC2(32 位和 64 位 ) Ubuntu LTS(64 位 ) Ubuntu LTS(64 位 ) Ubuntu LTS(64 位 ) 启用中继功能 : 所有上述 64 位 Linux 版本 CentOS 客户端软件包括在 Red Hat 客户端软件包中 要在 CentOS 上安装趋势科技服务器深度安全防护系统客户端, 需使用 Red Hat 客户端安装程序 有关软件平台支持的趋势科技服务器深度安全防护系统功能的列表, 请参阅 趋 趋势科技服务器深度安全防护系统 9.6 支持的功能和平台 台 文档 有关各个平台所支持的特定 Linux 内核列表, 请参阅标题为趋势科技服务器深度安全防护系统 9.6 支持的 Linux 内核的文档 趋势科技服务器深度安全防护系统虚拟设备 内存 :4GB( 内存要求因受保护的虚拟机的数量而异 ) 14

15 系统要求 磁盘空间 :20GB VMware 环境 : NSX 环境 : VMware vcenter 5.5 与 ESXi 5.5 VMware vcenter 6.0 与 ESXi 5.5 或 6.0 vshield 环境 : VMware vcenter 或 6.0 与 ESXi 5.5 或 6.0 其他 VMware 工具 : NSX 环境 : VMware Tools VMware vcenter Server Appliance 5.5 VMware NSX Manager 6.1 虚拟设备可提供保护的受支持客户虚拟机平台 : 并非所有平台都支持所有趋势科技服务器深度安全防护系统功能 有关软件平台支持的趋势科技服务器深度安全防护系统功能的列表, 请参阅 趋势科技服务器深度安全防护系统 9.6 支持的功能和平台 文档 Windows: Windows Vista(32 位 ) Windows 7(32 位和 64 位 ) Windows XP SP3 或更高版本 (32 位 ) Windows 2003 SP2 或更高版本 (32 位和 64 位 ) Windows 2003 R2(32 位和 64 位 ) Windows 2008(32 位和 64 位 ) Windows 2008 R2(32 位和 64 位 ) Windows 8(32 位和 64 位 )( 仅 vsphere 5.5) Windows 8.1(32 位和 64 位 )(vsphere ESXi build 或更高版本 ) Windows 2012(64 位 )( 仅 vsphere 5.5) Windows 2012 R2(64 位 )(vsphere ESXi build 或更高版本 ) Linux: Red Hat Enterprise 5(32 位和 64 位 ) Red Hat Enterprise 6(32 位和 64 位 ) CentOS 5(32 位和 64 位 ) CentOS 6(32 位和 64 位 ) Oracle Linux 5(32 位和 64 位 )- RedHat 内核 Oracle Linux 6(32 位和 64 位 )- RedHat 内核 Oracle Linux 5(64 位 )- Unbreakable 内核 Oracle Linux 6(64 位 )- Unbreakable 内核 SUSE 10 SP3 SP4(32 位和 64 位 ) SUSE 11 SP1 SP2 SP3(32 位和 64 位 ) Ubuntu LTS(64 位 ) Ubuntu LTS(64 位 ) Ubuntu LTS(64 位 ) CloudLinux 5(32 位和 64 位 ) CloudLinux 6(32 位和 64 位 ) VMware vcenter 必须是 NSX 环境或 vshield 环境, 不得是两者的混合 如果您想同时使用 NSX 和 vshield 两者, 则它们必须位于单独的 vcenter 中 可将多个 vcenter 添加到趋势科技服务器深度安全防护系统管理中心 15

16 系统要求 趋势科技服务器深度安全防护系统虚拟设备使用 64 位 CentOS/Red Hat( 包含在虚拟设备软件包中 ) 由于趋势科技服务器深度安全防护系统虚拟设备与趋势科技服务器深度安全防护系统客户端使用相同的防护模块插件, 因此将更新导入到 64 位 Red Hat 客户端软件中时会出现一条通知, 提示有可用于 Red Hat 客户端的新软件可用于虚拟设备 如果使用 MTU 9000(jumbo 帧 ), 则必须使用 ESXi build 或更高版本 趋势科技服务器深度安全防护系统虚拟设备的 ESXi 要求 除了 ESXi 标准系统要求外, 还必须符合以下规范 : CPU:64 位, 存在 Intel-VT 或 AMD-V 并在 BIOS 中启用 支持的 vswitch: NSX:vSphere 分布式交换机 (vds) vshield:vsphere 标准交换机 (vss) 或第三方 vswitch (Cisco Nexus 1000v) VMware 不支持在生产环境中运行嵌套的 ESXi Server 有关更多信息, 请参阅此 VMware 知识库文章 趋势科技服务器深度安全防护系统通知程序系统要求 Windows:Windows Server 2012 R2(64 位 ) Windows Server 2012(64 位 ) Windows 8.1(32 位和 64 位 ) Windows 8(32 位和 64 位 ) Windows 7(32 位和 64 位 ) Windows Server 2008 R2(64 位 ) Windows Server 2008(32 位和 64 位 ) Windows Vista(32 位和 64 位 ) Windows Server 2003 SP2(32 位和 64 位 ) Windows Server 2003 R2(32 位和 64 位 ) Windows XP(32 位和 64 位 ) 在受虚拟设备保护的 VM 上, 必须对防恶意软件模块进行授权和启用, 趋势科技服务器深度安全防护系统通知程序才能显示信息 16

17 准备

18 所需条件 (VMware NSX) 所需条件 (VMware NSX) 趋势科技服务器深度安全防护系统软件包 从趋势科技下载专区下载以下软件安装包 : 趋势科技服务器深度安全防护系统管理中心 趋势科技服务器深度安全防护系统虚拟设备 趋势科技服务器深度安全防护系统客户端 任何趋势科技服务器深度安全防护系统安装, 无论其是否提供无客户端或基于客户端的防护, 都要求安装至少一个已启用中继的客户端, 以下载和分发安全和软件更新 任何 64 位 Windows 或 Linux 客户端都可提供中继功能 趋势科技服务器深度安全防护系统通知程序 下载专区网址 : 要手动确认您拥有的每个安装包是否是合法版本, 请使用哈希计算器计算已下载软件的哈希值并将其与趋势科技下载专区 Web 站点上发布的值相比较 安装趋势科技服务器深度安全防护系统管理中心后, 您即需要将虚拟设备从本地目录手动导入管理中心 ( 要将趋势科技服务器深度安全防护系统服务部署到您的 vcenter, 必须将设备导入趋势科技服务器深度安全防护系统管理中心 ) 导入趋势科技服务器深度安全防护系统虚拟设备软件 : 1. 从趋势科技下载专区 ( 将趋势科技服务器深度安全防护系统虚拟设备软件包下载至趋势科技服务器深度安全防护系统管理中心主机 2. 在趋势科技服务器深度安全防护系统管理中心中, 转至管理 > 更新 > 软件 > 本地页面, 然后在工具栏中单击导入..., 将软件包导入趋势科技服务器深度安全防护系统 ( 之后, 趋势科技服务器深度安全防护系统管理中心将自动下载最新的 64 位 Red Hat 客户端软件包, 该软件包随后将用于升级虚拟设备的防护模块 ) 要导入趋势科技服务器深度安全防护系统客户端软件, 请参阅安装趋势科技服务器深度安全防护系统客户端 ( 第 32 页 ) 和安装和配置已启用中继的客户端 ( 第 43 页 ) 趋势科技服务器深度安全防护系统通知程序是一个可选组件, 可安装在受保护的 Windows 虚拟机上 它在通知区域中显示系统事件的本地通知 使用授权 ( 激活码 ) 如果要完成安装, 则防护模块需要趋势科技服务器深度安全防护系统激活码, 多租户需要单独的激活码 (VMware 组件还需要 VMware 使用授权 ) 管理员 /Root 权限 必须在将安装趋势科技服务器深度安全防护系统软件组件的计算机上拥有管理员 /Root 权限 18

19 所需条件 (VMware NSX) SMTP 服务器 您将需要 SMTP 服务器发送警报电子邮件 缺省情况下,DSM 使用端口 25 来连接到 SMTP 服务器 可用端口 在趋势科技服务器深度安全防护系统管理中心上 您必须确保托管趋势科技服务器深度安全防护系统管理中心的计算机上的以下端口处于打开状态且未保留用于其他目的 : 端口 4120: 波动信号 端口, 趋势科技服务器深度安全防护系统客户端和设备使用该端口与趋势科技服务器深度安全防护系统管理中心进行通信 ( 可配置 ) 端口 4119: 浏览器使用其连接到趋势科技服务器深度安全防护系统管理中心 还用于来自 ESXi 的通信 确保已打开端口 4119, 允许从 NXS Manager 到趋势科技服务器深度安全防护系统管理中心的通信 端口 1521: 双向 Oracle Database 服务器端口 端口 1433 和 1434: 双向 Microsoft SQL Server 数据库端口 端口 和 3268: 连接到 LDAP 服务器以集成 Active Directory( 可配置 ) 端口 25: 与 SMTP 服务器通信来发送电子邮件警报 ( 可配置 ) 端口 53: 用于 DNS 查询 端口 514: 与 Syslog 服务器通信 ( 可配置 ) 端口 443: 与 VMware vcloud vcenter vshield/nsx Manager Amazon AWS Microsoft Azure 及其他云帐户通信 有关趋势科技服务器深度安全防护系统如何使用每个端口的更多详细信息, 请参阅联机帮助或 管理员指南 的 参考 一节中的趋势科技服务器深度安全防护系统所使用的端口趋势科技服务器深度安全防护系统所使用的端口 在已启用中继的客户端 客户端和设备上 您必须确保托管已启用中继的客户端的计算机上的以下端口处于打开状态且未保留用于其他目的 : 端口 4122: 中继与客户端 / 设备之间的通信 端口 4118: 管理中心与客户端之间的通信 端口 4123: 用于内部通信 不应对外开放 端口 80 和 443: 连接到趋势科技更新服务器和云安全智能防护服务器 端口 514: 与 Syslog 服务器双向通信 ( 可配置 ) 趋势科技服务器深度安全防护系统管理中心自动实施特定防火墙规则, 来打开托管已启用中继的客户端 客户端和设备的计算机上的所需通信端口 网络通信 缺省情况下, 趋势科技服务器深度安全防护系统管理中心与已启用中继的客户端 客户端 / 设备和虚拟机监控程序通信时, 使用 DNS 主机名 为了成功部署趋势科技服务器深度安全防护系统客户端 / 设备, 必须确保每台计算机均可以解析趋势科技服务器深度安全防护系统管理中心和已启用中继的客户端的主机名 这可能要求趋势科技服务器深度安全防护系统管理中心和已启用中继的客户端计算机拥有 DNS 项或在客户端 / 设备计算机的 hosts 文件中存在对应项 系统将要求您在趋势科技服务器深度安全防护系统管理中心安装过程中提供此主机名 如果没有 DNS, 请在安装期间输入 IP 地址 19

20 所需条件 (VMware NSX) 可靠时间戳 运行趋势科技服务器深度安全防护系统软件的所有计算机均应与可靠的时间源保持同步 例如, 定期与网络时间协议 (NTP) 服务器通信 性能建议 请参阅趋势科技服务器深度安全防护系统管理中心性能特点 ( 第 83 页 ) 趋势科技服务器深度安全防护系统管理中心和数据库硬件 很多趋势科技服务器深度安全防护系统管理中心操作 ( 例如更新和 漏洞扫描 ( 推荐设置 ) ) 需要使用较高的 CPU 和较多的内存资源 趋势科技建议高规格环境中的每个管理中心节点均拥有 4 个核心和足够的内存 数据库应该安装在与性能最好的趋势科技服务器深度安全防护系统管理中心节点的规格相同或更高的硬件之上 为了实现最高的性能, 数据库应拥有 8-16GB 内存并且可以快速访问本地或网络连接存储器 在可能的情况下, 应咨询数据库管理员有关数据库服务器的最佳配置, 并且应实施维护计划 有关更多信息, 请参阅数据库注意事项 ( 第 21 页 ) 专用服务器 如果最终部署预期不超过 1000 台计算机 ( 实体或虚拟 ), 则可以在同一计算机上安装趋势科技服务器深度安全防护系统管理中心和数据库 如果您认为可能会超过 1000 台计算机, 则应在专用服务器上安装趋势科技服务器深度安全防护系统管理中心和数据库 数据库和趋势科技服务器深度安全防护系统管理中心位于拥有 1GB LAN 连接的同一网络中也很重要, 这样可确保在两者之间进行顺畅的通信 同样的情况适用于其他趋势科技服务器深度安全防护系统管理中心节点 建议管理中心和数据库之间的连接延迟为 2 毫秒或更低 高可用性环境 如果使用 VMware 高可用性 (HA) 功能, 请确保在开始安装趋势科技服务器深度安全防护系统之前建立了 HA 环境 必须在所有 ESXi 虚拟机监控程序 ( 包括用于恢复操作的 ESXi 虚拟机监控程序 ) 上部署趋势科技服务器深度安全防护系统 在所有虚拟机监控程序上部署趋势科技服务器深度安全防护系统将确保在 HA 恢复操作之后防护仍然有效 如果在使用 VMware 分布式资源计划程序 (DRS) 的 VMware 环境中部署虚拟设备, 重要的是在 DRS 进程中该设备不与虚拟机一起 vmotion 必须将虚拟设备 固定 到其特定的 ESXi Server 您必须主动将所有虚拟设备的 DRS 设置更改为 手动 或 禁用 ( 推荐 ), 以便 DRS 不会对其 vmotion 如果虚拟设备( 或任何虚拟机 ) 已设置为 禁用, 则 vcenter Server 不会迁移该虚拟机或为其提供迁移建议 这称为将虚拟机 绑定 到其注册的主机 这是对 DRS 环境中的虚拟设备的推荐操作过程 另一种方法是将虚拟设备部署到本地存储, 而不是共享存储 将虚拟设备部署到本地存储后,DRS 将无法对其进行 vmotion 有关 DRS 以及将虚拟机绑定到特定 ESXi Server 的更多信息, 请查看 VMware 文档 如果虚拟机由 DRS 从受 DSVA 保护的 ESXi vmotion 到不受 DSVA 保护的 ESXi, 则该虚拟机将不受保护 如果随后将虚拟机 vmotion 回原始 ESXi, 则其不会再次自动受到保护, 除非您创建了基于事件的任务来激活和保护已通过可用 DSVA vmotion 到 ESXi 的计算机 20

21 数据库注意事项 数据库注意事项 有关数据库安装和部署的说明, 请参阅数据库提供商的文档, 但是在与趋势科技服务器深度安全防护系统集成时, 请记住以下注意事项 在趋势科技服务器深度安全防护系统之前安装 在安装趋势科技服务器深度安全防护系统管理中心之前, 必须安装数据库软件 为趋势科技服务器深度安全防护系统创建数据库实例 ( 如果您不想使用缺省实例 ), 以及为趋势科技服务器深度安全防护系统创建用户帐户 位置 数据库必须位于与趋势科技服务器深度安全防护系统管理中心相同的网络上, 在 LAN 上的连接速度为 1Gb/s ( 不建议使用 WAN 连 接 ) 专用服务器 应将数据库安装在单独的专用计算机上 Microsoft SQL Server 启用 远程 TCP 连接 ( 请参阅 趋势科技服务器深度安全防护系统管理中心使用的数据库帐户必须具有 db_owner 权限 如果使用多租户, 则趋势科技服务器深度安全防护系统管理中心使用的数据库帐户必须具有 dbcreator 权限 为数据库选择 简单 恢复模型属性 ( 请参阅 Oracle Database 启动 Oracle 监听器 服务并确保其接受 TCP 连接 必须为趋势科技服务器深度安全防护系统管理中心使用的数据库帐户授予 CONNECT 和 RESOURCE 角色, 以及 UNLIMITED TABLESPACE CREATE SEQUENCE CREATE TABLE 和 CREATE TRIGGER 系统权限 如果使用多租户, 则必须为趋势科技服务器深度安全防护系统管理中心使用的数据库帐户授予 CREATE ALTER USER GRANT ANY PRIVILEGE 和 GRANT ANY ROLE 系统权限 USER DROP USER 传输协议 建议的传输协议为 TCP 如果使用命名管道连接到 SQL Server, 则趋势科技服务器深度安全防护系统管理中心的主机与 SQL Server 主机之间必须存在经适当认证的 Microsoft Windows 通信通道 此通道在以下情况下已存在 : SQL Server 与趋势科技服务器深度安全防护系统管理中心位于同一主机上 两台主机为同一域的成员 两台主机之间存在信任关系 如果不存在此通信通道, 则趋势科技服务器深度安全防护系统管理中心将无法通过命名管道与 SQL Server 进行通信 21

22 数据库注意事项 趋势科技服务器深度安全防护系统管理中心安装期间使用的连接设置 在趋势科技服务器深度安全防护系统管理中心安装期间, 系统将要求您提供数据库连接详细信息 在 主机名 下输入数据库主机名, 并在 数据库名称 下输入为趋势科技服务器深度安全防护系统预创建的数据库 安装支持 SQL 和 Windows 认证 使用 Windows 认证时, 单击 高级 按钮以显示其他选项 避免在数据库用户名中出现特殊字符 (Oracle) 虽然 Oracle 允许在用引号括起来的数据库对象名称中使用特殊字符, 但趋势科技服务器深度安全防护系统不支持在数据库对象名称中使用特殊字符 Oracle Web 站点上的以下页面介绍了不带引号的名称中允许使用的字符 : 保持数据库名称简短 (SQL Server) 使用多租户时, 保持主数据库名称简短可使租户的数据库名称更易于读取 ( 即, 如果主数据库是称将是 "MAINDB_1", 第二个租户的数据库名称将是 "MAINDB_2", 依此类推 ) "MAINDB", 则第一个租户的数据库名 如果您针对 AWS Marketplace 版本的趋势科技服务器深度安全防护系统管理中心, 使用按使用情况付费的使用授权, 则不支持多租户 Oracle RAC (Real Application Clusters) 支持 趋势科技服务器深度安全防护系统支持 : SUSE Linux Enterprise Server 11 SP1 和 Oracle RAC 11g R2 (v ) Red Hat Linux Enterprise Server 5.8 和 Oracle RAC 11g R2 (v ) 将缺省 Linux 服务器趋势科技服务器深度安全防护系统策略应用于 Oracle RAC 节点时, 应该不会造成与 Oracle 自动存储管理 (ASM) 和群集服务的通信问题 但是, 如果出现问题, 请尝试根据 Oracle RAC 文档中的端口要求定制防火墙设置, 或完全禁用防火墙 高可用性 只要未对数据库架构进行任何修改, 趋势科技服务器深度安全防护系统数据库便会与数据库故障转移保护兼容 例如, 某些数据库复制技术会在复制期间向数据库表中添加列, 从而导致严重故障 因此, 建议使用数据库镜像, 而不要进行数据库复制 22

23 安装

24 安装趋势科技服务器深度安全防护系统管理中心 安装趋势科技服务器深度安全防护系统管理中心 准备工作 数据库 在安装趋势科技服务器深度安全防护系统管理中心之前, 必须先安装数据库软件, 为要使用的趋势科技服务器深度安全防护系统管理中心创建数据库和用户帐户 有关安装数据库的信息, 请参阅数据库注意事项 ( 第 21 页 ) 已启用共置的中继的客户端 趋势科技服务器深度安全防护系统部署需要至少一个中继 ( 已启用中继功能的趋势科技服务器深度安全防护系统客户端 ) 中继会将软件和安全更新分发至客户端 / 设备, 从而保持您的防护功能为最新 趋势科技建议将已启用中继的客户端安装在趋势科技服务器深度安全防护系统管理中心所在的计算机上, 以保护主机计算机并充当本地中继 在安装趋势科技服务器深度安全防护系统管理中心期间, 安装程序将在其本地目录中查找客户端安装包 ( 完整的 zip 软件包而非核心客户端安装程序 ) 如果在本地没有找到安装包, 安装程序将尝试通过 Internet 连接至趋势科技下载专区, 从中找到客户端安装包 如果在上述任一位置找到安装包, 则在安装趋势科技服务器深度安全防护系统管理中心期间您可以选择安装共置的已启用中继的客户端 ( 如果在两个位置均找到客户端安装包, 则将选择两个版本中的最新版本 ) 客户端可用于保护趋势科技服务器深度安全防护系统管理中心主机, 但是, 最初仅在已启用中继模块的情况下安装客户端 要启用防护, 必须应用适当的安全策略 如果无可用的客户端安装包, 则趋势科技服务器深度安全防护系统管理中心安装过程将不使用它继续进行 ( 但是之后必须安装已启用中继的客户端 ) 可在之后安装其他已启用中继的客户端, 由您的环境决定 ( 有关安装已启用中继的客户端的说明, 请参阅安装趋势科技服务器深度安全防护系统客户端 ( 第 32 页 ) 和配置中继 ( 第 43 页 ) ) 代理服务器信息 如果趋势科技服务器深度安全防护系统将需要使用代理服务器通过 Internet 连接至趋势科技更新服务器, 请准备好代理服务器地址 端口和登录凭证 多节点管理中心 可将趋势科技服务器深度安全防护系统管理中心作为使用单个数据库并行工作的多个节点运行 将管理中心作为多节点运行可提供更高的可靠性 冗余可用性 几乎无限的可扩展性以及更好的性能 每个节点均能执行所有任务, 且所有节点的重要性相同 用户可登录任意节点以执行任务 任意一个节点出现故障不会导致任何任务无法执行 任意一个节点出现故障不会导致任何数据丢失 每个节点必须运行相同版本号的管理中心软件 执行管理中心软件升级时, 要升级的第一个管理中心将接管所有趋势科技服务器深度安全防护系统管理中心职责, 并关闭所有其他趋势科技服务器深度安全防护系统管理中心节点 它们将在系统信息系统信息页面的系统活动系统活动部分中的带有活动表的网络拓扑图中显示为 脱机, 并表明需要升级 在其他节点上执行升级后, 这些节点会自动返回联机状态, 并开始分担 DSM 任务 要将趋势科技服务器深度安全防护系统管理中心节点添加到您的安装, 请在新计算机上运行管理中心安装包 出现提示时, 键入使用的数据库的位置和登录凭证 当安装程序连接到数据库后, 就可以继续将节点添加到系统 必须使用 MS SQL Server 或 Oracle Database 才能运行多个节点 在任何时候都不应同时运行多个安装程序实例 这样做会导致不可预测的结果, 包括数据库损坏 24

25 安装趋势科技服务器深度安全防护系统管理中心 下载安装包 从趋势科技下载专区下载最新版本的趋势科技服务器深度安全防护系统管理中心 ( 也可选择下载趋势科技服务器深度安全防护系统客户端 ) 软件, 网址为 : 安装适用于 Windows 的趋势科技服务器深度安全防护系统管理中心 1. 将趋势科技服务器深度安全防护系统管理中心安装包复制到目标计算机 通过双击安装包来启动趋势科技服务器深度安全防护系统管理中心安装程序 2. 许可协议 : 如果您同意许可协议的条款, 请选择我接受趋势科技许可协议的条款我接受趋势科技许可协议的条款 3. 安装路径 : 选择用于安装趋势科技服务器深度安全防护系统管理中心的文件夹并单击下一步下一步 25

26 安装趋势科技服务器深度安全防护系统管理中心 4. 数据库 : 选择之前安装的数据库 如果数据库为 SQL Server, 请单击高级以指定命名实例 域或缺省排序规则的使用 排序规则决定了如何对字符串进行排序和比较 缺省情况下为 取消选定, 表示趋势科技服务器深度安全防护系统将使用 Latin1_General_CS_AS 对文本型列进行排序 如果选择使用缺省排序规则, 趋势科技服务器深度安全防护系统将使用 SQL Server 数据库指定的排序方法 有关排序规则的其他信息, 请参考 SQL Server 文档 5. 产品激活 : 输入激活码 请输入所有防护模块的激活码或分别输入已购买使用授权的各个模块的激活码 如果未输入任何激活码, 您仍可以继续, 但将无法使用任何防护模块 ( 您可以在安装趋势科技服务器深度安全防护系统管理中心后转至管理 > 使用授权, 输入首个激活码或添加激活码 ) 26

27 安装趋势科技服务器深度安全防护系统管理中心 6. 地址和端口 : 输入此计算机的主机名 URL 或 IP 地址 管理中心地址必须为可解析的主机名 ( 完全限定的域名 ) 或 IP 地址 如果环境中 DNS 不可用, 或如果某些计算机无法使用 DNS, 则应使用固定 IP 地址而不使用主机名 可以选择更改缺省通信端口 : 管理中心端口 指可通过 HTTPS 访问管理中心的基于浏览器的 UI 的端口 波动信号端口 指管理中心侦听来自客户端 / 设备的通信的端口 7. 管理员帐户 : 输入主管理员帐户的用户名和密码 选中 强制使用强密码 ( 建议 ) 会要求此管理员及以后创建的管理员的密码包括大写和小写字母 非字母数字字符以及数字, 并且要求使用最小字符数 用户名和密码非常重要 您将需要使用用户名和密码登录到趋势科技服务器深度安全防护系统管理中心 如果拥有管理中心主机的 admin 权限, 则可以使用 dsm_c -action unlockout -username USERNAME -newpassword NEWPASSWORD 命令重置帐户密码 27

28 安装趋势科技服务器深度安全防护系统管理中心 8. 配置安全更新 : 选择创建预设任务以定期检查安全更新创建预设任务以定期检查安全更新选项将创建预设任务, 自动从趋势科技检索最新的安全更新并将其分发至客户端和设备 ( 以后可以使用趋势科技服务器深度安全防护系统管理中心配置更新 ) 如果趋势科技服务器深度安全防护系统管理中心将需要使用代理通过 Internet 连接至趋势科技更新服务器, 请选择连接到趋势科技以检查安全更新时使用代理服务器并输入代理信息 9. 配置软件更新 : 选择创建预设任务以定期检查软件更新创建预设任务以定期检查软件更新选项将创建预设任务, 自动从趋势科技检索最新的软件更新并将其分发至客户端和设备 ( 以后可以使用趋势科技服务器深度安全防护系统管理中心配置更新 ) 如果趋势科技服务器深度安全防护系统管理中心需要使用代理服务器通过 Internet 连接至趋势科技更新服务器, 请选择连接到趋势科技以检查软件更新时使用代理服务器并输入代理服务器信息 28

29 安装趋势科技服务器深度安全防护系统管理中心 10. 共置的已启用中继的客户端 : 如果在本地文件夹或从趋势科技下载专区可以找到客户端安装包, 则可以选择安装共置的已启用中继的客户端 任何趋势科技服务器深度安全防护系统安装均至少需要一个中继来下载和分发安全和软件更新 如果现在不安装已启用中继的客户端, 则需要稍后进行安装 强烈建议安装共置的已启用中继的客户端 11. 云安全智能防护网络 : 选择是否要启用 趋势科技智能反馈 ( 推荐 ) ( 以后可以使用趋势科技服务器深度安全防护系统管理中心启用或配置智能反馈 )( 可选 ) 通过从下拉列表中进行选择来输入行业 12. 安装信息 : 验证输入的信息, 然后单击安装安装继续 29

30 安装趋势科技服务器深度安全防护系统管理中心 13. 选择启动趋势科技服务器深度安全防护系统管理中心控制台, 以在设置完成后打开 Web 浏览器访问趋势科技服务器深度安全防护系统管理中心 URL 单击完成完成关闭安装向导 趋势科技服务器深度安全防护系统管理中心服务会在安装完成时启动 安装程序会在程序菜单中添加趋势科技服务器深度安全防护系统管理中心的快捷方式 如果要远程访问管理中心, 应注意此 URL 安装适用于 Linux 的趋势科技服务器深度安全防护系统管理中心 在带 X Window 系统的 Linux 操作系统上安装趋势科技服务器深度安全防护系统管理中心的步骤顺序与 Windows( 以上所述 ) 的步骤相同 有关执行 Linux 静默安装的信息, 请参阅静默安装趋势科技服务器深度安全防护系统管理中心 ( 第 72 页 ) 如果在已启用 iptables 的 Linux 上安装趋势科技服务器深度安全防护系统管理中心, 则需要将 iptables 配置为允许通过 TCP 端口 4119 和 4120 通信 启动趋势科技服务器深度安全防护系统管理中心 趋势科技服务器深度安全防护系统管理中心服务在安装后自动启动 可以从 Microsoft 服务管理控制台启动 重新启动和停止该服务 服务名称是 "Trend Micro Deep Security Manager" 要运行基于 Web 的管理控制台, 请转至 开始 菜单 (MS Windows) 或 K 菜单 (X Windows) 中的趋势科技程序组, 并单击趋势科技服务器深度安全防护系统管理中心 要从远程计算机运行基于 Web 的管理控制台, 您必须记住以下 URL: 30

31 安装趋势科技服务器深度安全防护系统管理中心 其中,[hostname] 是安装趋势科技服务器深度安全防护系统管理中心的服务器的主机名,[port] 是在安装的步骤 8 中指定的 管理中心端口 ( 缺省为 4119) 要求访问基于 Web 的管理控制台的用户使用他们的用户帐户凭证进行登录 ( 在安装期间创建的凭证可用于登录并创建其他用户帐户 ) 趋势科技服务器深度安全防护系统管理中心会为与客户端 / 设备 中继和用户 Web 浏览器的连接创建为期 10 年的自签名证书 但是, 对于已添加的安全, 可以使用可信证书颁发机构 (CA) 的证书替换此证书 ( 在趋势科技服务器深度安全防护系统管理中心升级之后会保留此类证书 ) 有关使用来自 CA 的证书的信息, 请参阅创建 SSL 认证证书 ( 第 84 页 ) 手动导入其他趋势科技服务器深度安全防护系统软件 可从趋势科技服务器深度安全防护系统管理中心的管理 > 更新 > 软件 > 下载专区页面, 导入趋势科技服务器深度安全防护系统客户端及其支持的软件包 其他软件包必须从趋势科技下载专区网站 ( 手动导入 将其他趋势科技服务器深度安全防护系统软件导入趋势科技服务器深度安全防护系统管理中心 : 1. 从趋势科技下载专区网站将软件下载至本地目录 2. 在趋势科技服务器深度安全防护系统管理中心中, 转至管理 > 更新 > 软件 > 本地页面, 然后在工具栏中单击导入..., 以显示导入软件导入软件向导 3. 使用浏览... 选项导航至已下载的软件并选择它 4. 单击下一步下一步然后单击完成, 退出向导 软件现已导入趋势科技服务器深度安全防护系统管理中心 31

32 手动安装趋势科技服务器深度安全防护系统客户端 手动安装趋势科技服务器深度安全防护系统客户端 本节介绍如何安装和激活趋势科技服务器深度安全防护系统客户端以及如何启用中继功能 ( 如果需要 ) 导入客户端软件 初始安装趋势科技服务器深度安全防护系统客户端时仅包含核心功能 只有在客户端上启用防护模块后, 才会下载和安装该模块需要的插件 因此, 必须先将客户端软件包导入到趋势科技服务器深度安全防护系统管理中心, 然后才能在计算机上安装客户端 ( 需要将客户端导入趋势科技服务器深度安全防护系统管理中心的第二个原因是, 可以使用趋势科技服务器深度安全防护系统管理中心的用户界面轻松地从该软件包中提取客户端安装程序 ) 将客户端软件包导入趋势科技服务器深度安全防护系统 : 1. 在趋势科技服务器深度安全防护系统管理中心中, 转至管理 > 更新 > 软件 > 下载专区 下载专区页面将显示趋势科技提供的所有客户端软件的最新版本 2. 从列表中选择所需的客户端软件包, 然后在菜单栏中单击导入导入 趋势科技服务器深度安全防护系统将开始从趋势科技下载专区将该软件下载至趋势科技服务器深度安全防护系统管理中心 3. 软件下载完成后, 该客户端的已导入已导入列中将显示绿色勾选标记 导出客户端安装程序 : 1. 在趋势科技服务器深度安全防护系统管理中心中, 转至管理 > 更新 > 软件 > 本地 2. 从列表中选择客户端, 然后在菜单栏中选择导出 > 导出安装程序... 如果您拥有适用于同一平台的客户端的较旧版本, 则该软件的最新版本将在为最新为最新列中有绿色勾选标记 32

33 手动安装趋势科技服务器深度安全防护系统客户端 3. 将客户端安装程序保存到本地文件夹中 仅单独使用已导出的客户端安装程序 (.msi 或.rpm 文件 ) 来安装趋势科技服务器深度安全防护系统客户端 如果提取出完整的客户端 zip 软件包, 然后从包含其他压缩的客户端组件的文件夹运行客户端安装程序, 则将会安装所有安全模块 ( 但不会打开 ) 如果您使用客户端安装程序, 则将从趋势科技服务器深度安全防护系统管理中心下载各个模块并根据需要进行安装, 以尽可能降低对本地计算机的影响 趋势科技服务器深度安全防护系统客户端 "zip" 文件在趋势科技下载专区中提供, 供需要手动将客户端导入其趋势科技服务器深度安全防护系统环境的用户下载, 因为这些客户的趋势科技服务器深度安全防护系统管理中心留有 间隙, 无法直接连接至下载专区网站 对于其趋势科技服务器深度安全防护系统管理中心可连接至下载专区的用户, 强烈建议使用趋势科技服务器深度安全防护系统管理中心控制台导入其客户端软件包 如果在相应软件包尚未导入趋势科技服务器深度安全防护系统管理中心的情况下尝试安装客户端, 则会导致出现严重问题 安装 Windows 客户端 1. 将客户端安装程序文件复制到目标计算机, 然后双击安装文件以运行安装包 在 欢迎使用 窗口中, 单击下一步下一步开始安装 在 Windows Server 2012 R2 Server Core 上, 必须使用以下命令启动安装程序 :msiexec /i Agent- Core-Windows-9.6.x-xxxx.x86_64.msi 在 Windows 2012 Server Core 上安装客户端时, 不包括通知程序 2. 最终用户许可协议 : 如果您同意许可协议的条款, 请选择我接受许可协议的条款我接受许可协议的条款并单击下一步下一步 3. 目标文件夹 : 选择要安装趋势科技服务器深度安全防护系统客户端的位置, 然后单击下一步下一步 33

34 手动安装趋势科技服务器深度安全防护系统客户端 4. 趋势科技服务器深度安全防护系统客户端安装准备就绪 : 单击安装安装继续安装 5. 已完成 : 在成功完成安装后, 单击完成完成 此时, 趋势科技服务器深度安全防护系统客户端已在此计算机上安装且正在运行, 并且会在每次计算机启动时启动 在安装期间, 网络接口会中断几秒钟, 然后恢复正常 如果使用接生成新的 IP 地址 DHCP, 则会生成一个新的请求, 这可能导致为恢复的连 安装 Red Hat SUSE Oracle Linux 或 Cloud Linux 客户端 必须以 "root" 身份登录才能安装客户端 或者, 可以使用 "sudo" 1. 将安装文件复制到目标计算机 2. 使用 "rpm -i" 安装 ds_agent 软件包 : # rpm -i <package name> Preparing...########################################## [100%] 1:ds_agent ########################################## [100%] Loading ds_filter_im module version ELx.x [ OK ] Starting ds_agent:[ OK ] ( 使用 "rpm -U" 从先前安装版本升级 此方法将保留您的配置文件设置 ) 34

35 手动安装趋势科技服务器深度安全防护系统客户端 3. 趋势科技服务器深度安全防护系统客户端会在安装后自动启动 安装 Ubuntu 或 Debian 客户端 按照 导入客户端软件 ( 见上文 ) 下的说明, 将下载专区中的相应 Ubuntu 或 Debian 客户端软件包导入趋势科技服务器深度安全防护系统管理中心, 然后导出安装程序 (.deb 文件 ) 要在 Ubuntu 或 Debian 上安装, 请将安装程序文件 (.deb) 复制到目标计算机并使用以下命令 : sudo dpkg -i < 安装程序文件 > 在 Linux 上启动 停止和重置客户端 : 命令行选项 : 启动客户端 : /etc/init.d/ds_agent start 停止客户端 : /etc/init.d/ds_agent stop 重置客户端 : /etc/init.d/ds_agent reset 重新启动客户端 : /etc/init.d/ds_agent restart 安装 Solaris 客户端 要求 : 对于 Solaris Sparc/9: libiconv 1.11 或更高版本 pfil_solaris_x.pkg Agent-Solaris_ xxxx.sparc.pkg.gz 对于 Solaris X86/10: Agent-Solaris_5.10_U xxxx.x86_64.pkg.gz Agent-Solaris_5.10_U xxxx.x86_64.pkg.gz 对于 Solaris X86/11: Agent-Solaris_ xxxx.i386.p5p.gz 对于 Solaris SPARC/11: Agent-Solaris_ xxxx.sparc.p5p.gz 35

36 手动安装趋势科技服务器深度安全防护系统客户端 安装 Solaris 11 客户端 : 1. 将安装文件复制到目标计算机 2. 安装客户端 : gunzip Agent-Solaris_5.x_sparc-9.x.x-xxxx.sparc.p5p.gz pkg install -g Agent*p5p ds-agent svcadm enable ds_agent 安装 Solaris 10 客户端 : 1. 将安装文件复制到目标计算机 2. 安装客户端 : gunzip Agent-Solaris_5.10_U7-9.x.x-xxxx.x86_64.pkg.gz pkgadd -d Agent-Solaris_5.10_U7-9.x.x-xxxx.x86_64.pkg all 安装 Solaris Sparc 9 客户端 : 1. 获取所需的所有软件包 ( 见上文 ) 2. 将安装文件复制到目标计算机 3. 安装 libiconv-1.8-solx-sparc.gz: gunzip libiconv-1.8-solx-sparc.gz pkgadd -d libiconv-1.8-solx-sparc all 4. 安装 libgcc solx-sparc.gz: gunzip libgcc solx-sparc.gz pkgadd -d libgcc solx-sparc all 5. 安装 pfil: pkgadd -d pfil_solaris_x.pkg all 6. 将 pfil 流模块推送到网络接口 : ifconfig < 接口 > modinsert pfil@2 在网络接口流中,pfil 应紧随 ip 之后 要确定 ip 的位置, 请执行以下命令 :ifconfig < 接口 > modlist, 并确保 modinsert 中使用的数字比 modlist 中使用的 ip 数字大一 必须将 pfil 添加到客户端将保护的每个接口的网络堆栈中 :touch /etc/ipf.conf /etc/init.d/pfil start( 有关详细信息, 请参阅下面的 在 Solaris(8 和 9 Sparc) 主机上安装 PFIL 的注意事项 ) 7. 安装客户端 : gunzip Agent-Solaris_5.x_sparc-9.x.x-xxxx.sparc.pkg.gz pkgadd -d Agent-Solaris_5.x_sparc-9.x.x-xxxx.sparc.pkg all 36

37 手动安装趋势科技服务器深度安全防护系统客户端 在 Solaris 10 和 11 上启动 停止和重置客户端 : svcadm enable ds_agent - 启动客户端 svcadm disable ds_agent - 停止客户端 /opt/ds_agent/dsa_control -r - 重置客户端 svcadm restart ds_agent - 重新启动客户端 svcs -a grep ds_agent - 显示客户端状态 在 Solaris 9 上启动 停止和重置客户端 : /etc/init.d/ds_agent start - 启动客户端 /etc/init.d/ds_agent stop - 停止客户端 /opt/ds_agent/dsa_control -r - 重置客户端 /etc/init.d/ds_agent restart - 重新启动客户端 请注意, 过滤活动日志文件位于 /var/log/ds_agent 中 在 Solaris(8 和 9 Sparc) 主机上安装 PFIL 的注意事项 Solaris 客户端使用由 Darren Reed 开发的 PFIL IP 过滤器组件 趋势科技服务器深度安全防护系统当前支持 版本 我们已编写了此源代码并在趋势科技下载专区上提供了软件包 : 可以在以下站点上找到更多信息 : ( 要获取 PFIL 源代码的副本, 请联系您的支持提供商 ) pfil 的注意事项 ( 以下说明假设您的接口是 hme) 如果执行 ifconfig modlist, 您将看到如下推送到接口的流模块列表 ( 对于 hme0): 0 arp 1 ip 2 hme 需要在 ip 和 hme 之间插入 pfil: ifconfig hme0 modinsert pfil@2 检查该列表, 您会看到 : 0 arp 1 ip 2 pfil 3 hme 将 pfil 流模块配置为在打开设备时自动推送 : autopush -f /etc/opt/pfil/iu.ap 此时, strconf < /dev/hme 37

38 手动安装趋势科技服务器深度安全防护系统客户端 应返回 : pfil hme 而且,modinfo 应显示 : # modinfo grep pfil d392c pfil (pfil Streams module ) d392c pfil (pfil Streams driver ) 安装 HP-UX 客户端 1. 以 Root 身份登录 2. 将安装文件复制到目标计算机 3. 将软件包复制到临时文件夹 ("/tmp") 4. 使用 gunzip 解压软件包 : /tmp> gunzip Agent-HPUX_xx.xx-x.x.x-xxxx.ia64.depot.gz 5. 安装客户端 :( 请注意, 应使用完整路径引用软件包, 而不能使用相对路径 ) /tmp> swinstall -s /tmp/agent-hpux_xx.xx-x.x.x-xxxx.ia64.depot ds_agent 要在 HP-UX 上启动和停止客户端, 请输入以下命令之一 : /sbin/init.d/ds_agent start /sbin/init.d/ds_agent stop 安装 AIX 客户端 1. 以 Root 身份登录 2. 将安装文件复制到目标计算机 3. 将软件包复制到临时文件夹 (/tmp) 4. 使用 gunzip 解压软件包 : /tmp> gunzip Agent-AIX_x.x-x.x.x-xxxx.powerpc.bff.gz 5. 安装客户端 : /tmp> installp a d /tmp/agent-aix_x.x-x.x.x-xxxx.powerpc.bff ds_agent 在 AIX 上启动客户端 : # startsrc -s ds_agent 在 AIX 上停止客户端 : # stopsrc -s ds_agent 在 AIX 上加载驱动程序 : # /opt/ds_agent/ds_fctrl load 38

39 手动安装趋势科技服务器深度安全防护系统客户端 在 AIX 上退出驱动程序 : # /opt/ds_agent/ds_fctrl unload 使用部署脚本安装客户端 向趋势科技服务器深度安全防护系统中受保护的资源列表中添加计算机并实施保护需要多个步骤才能完成 大多数这些步骤都可以在计算机上从命令行本地执行, 因此也可以编写脚本 趋势科技服务器深度安全防护系统管理中心的部署脚本生成器可通过管理中心的 支持 菜单访问 在 Windows 2012 Server Core 上安装客户端时, 不包括通知程序 生成部署脚本 : 1. 启动部署脚本生成器, 方法是从趋势科技服务器深度安全防护系统管理中心的 支持 菜单 ( 位于趋势科技服务器深度安全防护系统管理中心窗口右上方 ) 中单击部署脚本 选择要将软件部署到的平台 下拉菜单中列出的平台将对应您导入到趋势科技服务器深度安全防护系统管理中心的软件 3. 选择安装后自动激活客户端安装后自动激活客户端 ( 可选, 但是趋势科技服务器深度安全防护系统管理中心必须在实施保护策略前激活客户端 ) 4. 选择要在计算机上实施的策略 ( 可选 ) 5. 选择计算机组 ( 可选 ) 6. 选择中继组 做出以下选择后, 部署脚本生成器将生成脚本, 您可以将该脚本导入到您选择的部署工具中 部署脚本生成器还可以通过位于管理 > 更新 > 软件 > 本地页面中的菜单栏启动 趋势科技服务器深度安全防护系统管理中心为 Windows 客户端生成的部署脚本必须在 Windows PowerShell 版本 2.0 或更高版本中运行 您必须以管理员身份运行 PowerShell, 并且可能需要运行以下命令才能运行脚本 : Set-ExcecutionPolicy RemoteSigned 在 Windows 计算机上, 部署脚本将使用与本地操作系统相同的代理服务器设置 如果已将本地操作系统配置为使用代理服务器且趋势科技服务器深度安全防护系统管理中心仅可通过直接连接进行访问, 则部署脚本将失败 39

40 手动安装趋势科技服务器深度安全防护系统客户端 Linux 上的 Iptables 趋势科技服务器深度安全防护系统 9.5 或更高版本在安装期间不会禁用 Linux iptables 使用 Web 信誉 防火墙或入侵防御模块并且启动 ds_filter 服务时,Iptables 将禁用 关于如何防止趋势科技服务器深度安全防护系统客户端更改 iptables 的说明, 请参阅 趋势科技服务器深度安全防护系统最佳做法指南 激活客户端 必须在趋势科技服务器深度安全防护系统管理中心激活客户端后, 才能将其配置为充当中继或保护主机计算机 激活新安装的客户端 : 1. 在趋势科技服务器深度安全防护系统管理中心中, 转至 计算机 页面, 然后单击新建 > 新建计算机..., 以显示新建计算机向导 2. 输入计算机的主机名或 IP 地址 如果要使用客户端为主机计算机提供保护以及提供中继功能, 请从策略菜单选择 趋势科技服务器深度安全防护系统策略 否则请将策略策略设置保留为 无 3. 向导将确认它将在计算机上激活客户端并应用 安全策略 ( 如果已选择一个 ) 4. 在最后的窗口中, 取消选择 在 关闭 时打开 计算机详细信息, 然后单击关闭关闭 40

41 手动安装趋势科技服务器深度安全防护系统客户端 5. 客户端现已激活 在趋势科技服务器深度安全防护系统管理中心, 转至计算机计算机窗口并检查计算机状态 该状态应显示为 被管理 ( 联机 ) 启用中继功能 所有激活的 64 位 Windows 或 Linux 客户端均可配置为中继, 下载并分发安全和软件更新 在客户端上启用中继功能后将无法禁用 启用中继功能 : 1. 在趋势科技服务器深度安全防护系统管理中心, 转至计算机计算机页面, 双击具有新激活的客户端的计算机, 显示其详细信息详细信息编辑器窗口 2. 在计算机编辑器中, 转至概述 > 操作 > 软件区域, 然后单击启用中继启用中继 单击关闭关闭关闭编辑器窗口 3. 在趋势科技服务器深度安全防护系统管理中心的 计算机 页面上, 该计算机的图标将从普通计算机 ( ) 变为具有已启用 中继的客户端的计算机 ( ) 单击预览预览图标, 显示 预览窗格, 可在其中查看中继模块将分发的更新组件的数量 41

42 手动安装趋势科技服务器深度安全防护系统客户端 Windows 2012 Server Core 注意事项 在 Windows 2012 Server Core 上运行趋势科技服务器深度安全防护系统客户端时, 应记住以下事项 : 在安装趋势科技服务器深度安全防护系统客户端后, 趋势科技服务器深度安全防护系统不支持在 Server Core 和 Full (GUI) 模式之间切换 Windows 2012 Server 模式 如果在 Hyper-V 环境中使用 Server Core 模式, 需要使用 Hyper-V Manager 从其他计算机远程管理 Server Core 计算机 如果 Server Core 计算机已安装趋势科技服务器深度安全防护系统客户端且已启用防火墙, 防火墙将阻止远程管理连接 要远程管理 Server Core 计算机, 请关闭防火墙模块 Hyper-V 提供迁移功能, 用于将客户 VM 从一台 Hyper-V 服务器移动到另一台服务器 趋势科技服务器深度安全防护系统防火墙模块将阻止 Hyper-V 服务器之间的连接, 因此必须关闭防火墙模块才能使用迁移功能 42

43 安装和配置已启用中继的客户端 安装和配置已启用中继的客户端 中继是已启用中继功能的趋势科技服务器深度安全防护系统客户端 中继会将安全和软件更新下载并分发至您的趋势科技服务器深度安全防护系统客户端和设备 为使您的防护保持最新, 必须至少拥有一个已启用中继的客户端 安装并激活趋势科技服务器深度安全防护系统客户端 如果尚未在计算机上安装客户端, 请按照安装趋势科技服务器深度安全防护系统客户端 ( 第 32 页 ) 中的说明进行安装 请向前跳至 手动安装 一节 安装完客户端后, 需要将其激活 激活客户端 : 1. 在趋势科技服务器深度安全防护系统管理中心, 转至 计算机 页面 2. 在菜单栏中, 单击新建 > 新建计算机..., 显示新建计算机新建计算机向导 3. 对于主机名, 请输入刚刚在其上安装了客户端的计算机的主机名或 IP 地址 4. 对于策略, 请选择适当的策略 5. 对于从以下位置下载安全更新, 请保留缺省设置 ( 缺省中继组 ) 6. 单击完成完成 趋势科技服务器深度安全防护系统管理中心会将该计算机导入其 计算机 页面并激活客户端 在趋势科技服务器深度安全防护系统客户端上启用中继功能 在已安装的趋势科技服务器深度安全防护系统客户端上启用中继功能 : 1. 应已通过打开计算机的编辑器编辑器窗口完成添加新计算机和激活过程 如果该窗口未打开, 请按照下面的步骤 2 将其打开 2. 在趋势科技服务器深度安全防护系统管理中心, 转至计算机计算机窗口, 找到要启用中继功能的客户端, 然后进行双击以打开其计算机编辑器窗口 3. 在计算机编辑器计算机编辑器窗口中, 转至概述 > 操作 > 软件, 然后单击启用中继启用中继 如果未显示启用中继按钮, 请转至管理 > 更新 > 软件 > 本地, 检查是否已导入相应软件包 还请确保计算机运行的客户端为 64 位版本 趋势科技服务器深度安全防护系统管理中心将安装中继模块所需的插件, 之后客户端将开始作为中继运行 如果您正在运行 Windows 防火墙或 iptables, 则还需要添加允许在已启用中继的客户端的端口 4122 上进行 TCP/IP 通信的防火墙规则 已启用中继的客户端会被组织成中继组中继组 新的已启用中继的客户端会自动分配至缺省中继组缺省中继组 缺省中继组 配置为从趋势科技服务器深度安全防护系统管理中心的管理 > 系统设置 > 更新选项卡上定义的主安全更新源中检索安全和软件更新 ( 缺省情况下, 主更新源是趋势科技的更新服务器, 但这是可配置的 ) 43

44 在 NSX 环境中部署无客户端防护 在 NSX 环境中部署无客户端防护 要求 趋势科技服务器深度安全防护系统要求 必须安装或导入以下趋势科技服务器深度安全防护系统软件 : 趋势科技服务器深度安全防护系统管理中心 9.6 必须与数据库一起安装 ( 请参阅安装趋势科技服务器深度安全防护系统管理中心 ( 第 24 页 ) ) 最好将趋势科技服务器深度安全防护系统管理中心安装在同一数据中心的专用 ESXi 上 必须安装并激活已启用中继功能的趋势科技服务器深度安全防护系统客户端, 且必须已完成下载所有更新 ( 有关安装和配置 带中继的客户端的说明, 请参阅安装趋势科技服务器深度安全防护系统客户端 ( 第 32 页 ) 和安装和配置已启用中继的客户端 ( 第 43 页 ) ) 必须将趋势科技服务器深度安全防护系统虚拟设备软件包导入到趋势科技服务器深度安全防护系统管理中心 虚拟设备在数据中心运行后, 就立即需要连接至已启用中继的客户端, 以便可以访问最新的安全和软件更新 导入趋势科技服务器深度安全防护系统虚拟设备软件 : 1. 从趋势科技下载专区 ( 将趋势科技服务器深度安全防护系统虚拟设备软件包下载至趋势科技服务器深度安全防护系统管理中心主机 2. 在趋势科技服务器深度安全防护系统管理中心中, 转至管理 > 更新 > 软件 > 本地页面, 然后在工具栏中单击导入..., 将软件包导入趋势科技服务器深度安全防护系统 ( 之后, 趋势科技服务器深度安全防护系统管理中心将自动下载最新的 64 位 Red Hat 客户端软件包, 该软件包随后将用于升级虚拟设备的防护模块 ) 安装趋势科技服务器深度安全防护系统客户端 在 NSX 环境中, 趋势科技服务器深度安全防护系统虚拟设备无需使用客户端即可为虚拟机提供防恶意软件 完整性监控 Web 信誉服务 防火墙和入侵防御 这是建议的部署方法 如果您决定同时在虚拟机上安装趋势科技服务器深度安全防护系统客户端, 则趋势科技服务器深度安全防护系统虚拟设备将仅提供防恶意 软件和完整性监控 趋势科技服务器深度安全防护系统客户端将提供 Web 信誉服务 防火墙 入侵防御和日志审查 这称为 组合模 式 VMware 要求 必须正在运行以下 VMware 软件 : VMware vsphere 5.5 或 6.0 VMware vcenter 5.5 或 6.0 VMware ESXi 5.5 或 6.0 VMware vsphere Web Client( 需要已启用闪存的 Web 浏览器 ) VMware NSX Manager NSX 数据中心必须满足以下配置要求 : 数据中心必须正在使用 vsphere 分布式交换机 (vds) ( 有关安装 vsphere 分布式交换机的快速指南, 请参阅安装 vsphere 分布式交换机 ( 第 88 页 ) ) 44

45 在 NSX 环境中部署无客户端防护 ESXi Server 必须已连接至分布式交换机 ESXi Server 必须已分组至群集中, 即使在单个群集中仅有一个 ESXi (ESXi Server 必须先连接至 vds, 然后才能将其移至群集中 ) 您必须为群集做好准备, 方法是在所有 ESXi Server 上安装可检测网络流量的驱动程序 ( 关于准备主机的快速指南, 请参阅准备 ESXi Server ( 第 89 页 ) ) 您必须在要保护的群集上安装 Guest Introspection 服务 ( 有关安装 Guest Introspection 服务的快速指南, 请参阅安装 Guest Introspection 服务 ( 第 90 页 ) ) 虚拟机必须属于某个 NSX 安全组 ( 有关创建 NSX 安全组的快速指南, 请参阅创建 NSX 安全组 ( 第 92 页 ) ) 虚拟机上必须安装最新的 VMware 工具, 包括 VMware Guest Introspection 驱动程序 有关配置符合上述要求的 NSX 环境的详细说明, 请查看您的 VMware 文档 向趋势科技服务器深度安全防护系统管理中心添加 vcenter 要使用趋势科技服务器深度安全防护系统管理数据中心的虚拟机的安全, 首先必须将 vcenter 添加至趋势科技服务器深度安全防护系统管理中心 向趋势科技服务器深度安全防护系统管理中心添加 vcenter: 1. 在趋势科技服务器深度安全防护系统管理中心, 转至计算机计算机页面并单击新建... > 添加 VMware vcenter 在添加 VMware vcenter 向导中, 输入以下内容 : 服务器 :IP 地址或主机名以及连接 vcenter 的端口 名称 : 数据中心的名称和描述 ( 仅供显示 ) 凭证 : 用于访问 vcenter 的用户名和密码 如果之前已将 vcenter 添加至另一趋势科技服务器深度安全防护系统管理中心, 向导将显示一条消息, 提醒您从 ESXi Server 中移除所有趋势科技服务器深度安全防护系统虚拟设备并删除所有旧 NSX 安全策略 如果 45

46 在 NSX 环境中部署无客户端防护 已执行上述操作, 请选中 我已移除所有趋势科技服务器深度安全防护系统服务和参考之前部署的 NSX 安全策略 我想覆盖之前的部署设置, 然后单击下一步下一步 3. 在要求时接受 SSL 证书 4. 输入 NSX Manager Server 地址以及必需凭证 5. 在要求时接受 SSL 证书 6. 导入 vcenter 后, 添加 VMware vcenter 向导将显示一条成功消息 单击完成完成然后单击关闭, 关闭向导 46

47 在 NSX 环境中部署无客户端防护 如果选中此复选框, 则此选项 ( 如上图所示 ) 会创建两个基于事件的任务 一个用于在添加保护时激活 VM, 另一个用于在移除保护时停用 VM 有关更多信息, 请参阅 NSX 环境中的自动策略管理 ( 第 59 页 ) 中的 将 vcenter 添加到趋势科技服务器深度安全防护系统管理中心时创建的基于事件的任务 当趋势科技服务器深度安全防护系统管理中心将 vcenter 添加至其清单时, 它还会在 NSX Manager 中注册趋势科技服务器深度安全防护系统服务 这将允许在下一步中, 将趋势科技服务器深度安全防护系统服务部署至 ESXi Server 安装趋势科技服务器深度安全防护系统服务 要为 ESXi Server 上的虚拟机提供无客户端防护, 您必须在 ESXi Server 所属的群集上安装趋势科技服务器深度安全防护系统服务 ( 趋势科技服务器深度安全防护系统虚拟设备 ) 安装趋势科技服务器深度安全防护系统服务 : 1. 在 vsphere Web Client 中, 转至主页 > 网络和安全 > 安装 > 服务部署, 然后单击绿色加号 ( ), 以显示部署网络和安全 服务窗口 : 2. 选择服务和时间表 : 选择趋势科技服务器深度安全防护系统趋势科技服务器深度安全防护系统服务 : 47

48 在 NSX 环境中部署无客户端防护 单击下一步下一步 3. 选择群集 : 选择包含要在其上部署趋势科技服务器深度安全防护系统服务的 ESXi Server 的群集 : 单击下一步下一步 4. 选择存储和管理网络 : 对于每个群集, 选择用于存储以下内容的数据存储 : 趋势科技服务器深度安全防护系统虚拟设备 网络 ( 数据中心上的 vds 使用的分布式端口组 ) 和要使用的趋势科技服务器深度安全防护系统服务的 IP 分配 在将 IP 分配 列中的静态 IP 池分配至趋势科技服务器深度安全防护系统服务或 Guest Introspection 服务时, 请确保缺省网关和 DNS 是可访问 / 可解析的, 且前缀长度正确 否则, 趋势科技服务器深度安全防护系统和 Introspection 服务 VM 将不会被激活, 且无法与 NSX Manager 或趋势科技服务器深度安全防护系统管理中心通信, 因为其 IP 与趋势科技服务器深度安全防护系统管理中心或 NSX Manager 不在同一网络上 48

49 在 NSX 环境中部署无客户端防护 5. 单击下一步下一步 6. 即将完成 : 单击完成, 完成趋势科技服务器深度安全防护系统服务的部署 : 7. 完成部署后, 趋势科技服务器深度安全防护系统服务将显示在网络和安全服务部署网络和安全服务部署列表中 : 趋势科技服务器深度安全防护系统服务现已部署到群集 创建 NSX 安全策略 接下来, 需要在已启用趋势科技服务器深度安全防护系统的情况下, 创建 NSX 安全策略作为 Endpoint 服务和网络 Introspection 服务 49

50 在 NSX 环境中部署无客户端防护 为趋势科技服务器深度安全防护系统创建 NSX 安全策略 : 1. 在 vsphere Web Client 中, 转至主页 > 网络和安全 > 服务编写器, 然后单击安全策略选项卡, 再单击新建安全策略图标 ( ) 2. 名称和描述 : 为新策略命名 : 单击下一步下一步 3. Guest Introspection 服务 : 单击绿色加号 ( 操作 : 应用 ) 添加 Endpoint 服务 为 Endpoint 服务提供名称并选择以下设置 : 服务名称 : 趋势科技服务器深度安全防护系统 服务配置文件 : 趋势科技服务器深度安全防护系统配置文件配置 (IDS IPS 文件完整性监控和防病毒) 状态 : 已启用 强制使用 : 是 50

51 在 NSX 环境中部署无客户端防护 单击确定确定然后单击下一步下一步 4. 防火墙规则 : 请勿进行任何更改 单击下一步下一步 5. 网络 Introspection 服务 : 将向 NSX 安全策略添加两个网络 Introspection 服务 : 第一个用于出站流量, 第二个用于入站流量 1. 对于网络 Introspection 服务选项中的第一个出站服务, 单击绿色加号创建新服务 在添加网络 Introspection 服务窗口中, 为服务命名 ( 最好是包含 出站 一词的名称 ) 并选择以下设置 : 操作 : 重定向到服务 服务名称 : 趋势科技服务器深度安全防护系统 配置文件 : 较早前自动创建的趋势科技服务器深度安全防护系统服务配置文件的名称 ( 在这些示例中为 趋势科技服务器深度安全防护系统配置文件配置 ( 文件完整性监控 防病毒 IDS 和 IPS) ) 源 : 策略安全组 目标 : 任何 服务 : 任何 状态 : 已启用 记录 : 不记录 2. 对于网络 Introspection 服务选项中的第二个入站服务, 单击绿色加号以创建新服务 在添加网络 Introspection 服务窗口中, 为服务命名 ( 最好是包含 入站 一词的名称 ) 并选择以下设置 : 51

52 在 NSX 环境中部署无客户端防护 操作 : 重定向到服务 服务名称 : 趋势科技服务器深度安全防护系统 配置文件 : 较早前自动创建的趋势科技服务器深度安全防护系统服务配置文件的名称 ( 在这些示例中为 趋势科技服务器深度安全防护系统配置文件配置 ( 文件完整性监控 防病毒 IDS 和 IPS) ) 源 : 任何 目标 : 策略安全组 服务 : 任何 状态 : 已启用 记录 : 不记录 3. 在添加网络 Inspection 服务窗口中单击确定, 然后单击完成, 完成并关闭新建安全策略新建安全策略窗口 现在已为趋势科技服务器深度安全防护系统创建 NSX 安全策略 将 NSX 安全策略应用于 NSX 安全组 现在, 必须将安全策略应用于包含您想要保护的 VM 的安全组 要使用趋势科技服务器深度安全防护系统保护的虚拟机必须属于某个 NSX 安全组 ( 有关创建 NSX 安全组的快速指南, 请参阅创建 NSX 安全组 ( 第 92 页 ) ) 将安全策略应用于安全组 : 1. 留在 vsphere Web Client 的主页 > 网络和安全 > 服务编写器页面的安全策略选项卡上 在选择新的安全策略后, 单击应用 安全策略图标 ( ) 2. 在将策略应用于安全组将策略应用于安全组窗口中, 选择包含您想要保护的 VM 所在的安全组, 然后单击确定确定 52

53 在 NSX 环境中部署无客户端防护 NSX 安全策略现已应用于 NSX 安全组中的 VM 在集成趋势科技服务器深度安全防护系统后向您的 NSX 群集添加其他 ESXi Server 必须按照以下顺序向受趋势科技服务器深度安全防护系统保护的 NSX 群集添加新的 ESXi Server: 1. 向数据中心添加主机, 而不是直接添加至群集 2. 将主机连接至分布式交换机 3. 将主机移至群集中 主机移入群集后, 趋势科技服务器深度安全防护系统服务将自动部署 将趋势科技服务器深度安全防护系统保护应用于您的 VM 现在, 您可以返回趋势科技服务器深度安全防护系统管理中心控制台, 在此可激活导入 vcenter 中的 VM 并对其应用趋势科技服务器深度安全防护系统策略 有关使用趋势科技服务器深度安全防护系统来保护 VM 的信息, 请参阅趋势科技服务器深度安全防护系统管理中心的联机帮助的 用户指南 一节, 尤其是添加计算机添加计算机和部署防护部署防护部分 如果选中 向趋势科技服务器深度安全防护系统管理中心添加 vcenter 过程末尾的复选框, 则基于事件的任务将激活安全组中的 VM 有关更多信息, 请参阅 NSX 环境中的自动策略管理 ( 第 59 页 ) 中的 将 vcenter 添加到趋势科技服务器深度安全防护系统管理中心时创建的基于事件的任务 VMware NSX 安全标记 一旦检测到恶意威胁, 趋势科技服务器深度安全防护系统可将 NSX 安全标记应用于受保护的 VM NSX 安全标记可与 NSX Service Composer 一起使用, 以自动执行某些任务, 例如隔离受感染的 VM 有关 NSX 安全标记和动态 NSX 安全组分配的更多信息, 请查看您的 VMware NSX 文档 NSX 安全标记是 VMware vsphere NSX 环境的一部分, 并且不能与趋势科技服务器深度安全防护系统事件标记混淆 有关趋势科技服务器深度安全防护系统事件标记的更多信息, 请参阅联机帮助的 用户指南 部分中的事件标记事件标记 可以配置防恶意软件防恶意软件和入侵防御系统入侵防御系统防护模块以应用 NSX 安全标记 防恶意软件 NSX 安全标记 要配置 NSX 安全标记的应用程序, 请转至计算机 / 策略编辑器 > 防恶意软件 > 高级 > NSX 安全标记 53

54 在 NSX 环境中部署无客户端防护 您可以选择仅在防恶意软件引擎尝试的阻止操作不成功时才应用 NSX 安全标记 ( 阻止操作由生效的恶意软件扫描配置决定 要查看生效的恶意软件扫描配置, 请转至计算机 / 策略编辑器 > 防恶意软件 > 常规选项卡, 然后检查实时扫描实时扫描 手动扫描手动扫描和预设扫描预设扫描区域 ) 您也可以选择在后续恶意软件扫描未检测到任何恶意软件时, 移除安全标记 应仅在所有恶意软件扫描都将是同一类型时使用此设置 入侵防御 NSX 安全标记 要配置 NSX 安全标记的应用程序, 请转至计算机 / 策略编辑器 > 入侵防御 > 高级 > NSX 安全标记 54

55 在 NSX 环境中部署无客户端防护 入侵防御事件具有一个严重性级别, 由造成该事件的入侵防御规则的严重性级别确定 入侵防御规则的严重性级别可在规则属性规则属性 > 常规选项卡上进行配置 入侵防御规则严重性级别与 NSX 标记的映射关系如下所示 : IPS 规则严重性 严重 高 中 低 NSX 安全标记 IDS_IPS.threat=high IDS_IPS.threat=high IDS_IPS.threat=medium IDS_IPS.threat=low 您可以指定将造成 NSX 安全标记应用到 VM 中的入侵防御规则的最低严重性级别, 从而配置标记机制的敏感度 触发应用 NSX 安全标记的最低规则严重性设置的选项如下 : 缺省 ( 无标记 ): 未应用任何 NSX 标记 严重 : 如果触发了严重性级别为严重严重的入侵防御规则,NSX 标记将应用于 VM 高 : 如果触发了严重性级别为高或严重严重的入侵防御规则,NSX 标记将应用于 VM 中 : 如果触发了严重性级别为中 高或严重严重的入侵防御规则,NSX 标记将应用于 VM 低 : 如果触发了严重性级别为低 中 高或严重严重的入侵防御规则,NSX 标记将应用于 VM 为在阻止模式下运行的规则和在仅检测模式下运行的规则提供独立设置 IPS 规则是在阻止模式还是在仅检测模式下运行, 不仅取决于入侵防御模块设置 ( 计算机 / 策略编辑器 > 入侵防御 > 常规选项卡 ), 还取决于单个规则本身的配置 ( 规则属性 > 常规选项卡 > 详细信息 ) 55

56 安装趋势科技服务器深度安全防护系统通知程序 安装趋势科技服务器深度安全防护系统通知程序 趋势科技服务器深度安全防护系统通知程序是用于 Windows 物理计算机或虚拟机的工具, 该工具在检测到恶意软件或阻止恶意 URL 时会提供本地通知 趋势科技服务器深度安全防护系统通知程序在 Windows 计算机上随趋势科技服务器深度安全防护系统客户端自动安装 此处介绍的独立型安装用于受趋势科技服务器深度安全防护系统虚拟设备保护的无客户端 Windows 虚拟机 复制安装包 将安装文件复制到目标计算机 安装适用于 Windows 的趋势科技服务器深度安全防护系统通知程序 请记住, 必须在 Windows 计算机上拥有管理员权限才能安装并运行趋势科技服务器深度安全防护系统通知程序 1. 双击安装文件来运行安装包 单击下一步下一步开始安装 2. 阅读许可协议并单击下一步下一步 56

57 安装趋势科技服务器深度安全防护系统通知程序 3. 单击安装安装继续安装 4. 单击完成完成完成安装 57

58 安装趋势科技服务器深度安全防护系统通知程序 此时, 趋势科技服务器深度安全防护系统通知程序已在此计算机上安装且正在运行, 并且会在 Windows 系统托盘中显示通知程序图标 检 测到恶意软件或阻止某个 URL 时, 通知程序将自动提供弹出通知 ( 可以通过双击托盘图标打开通知程序状态和配置窗口来手动禁用通 知 ) 在受虚拟设备保护的 VM 上, 必须对防恶意软件模块进行授权和启用, 趋势科技服务器深度安全防护系统通知程序才能显示信息 58

59 NSX 环境中的自动策略管理 NSX 环境中的自动策略管理 NSX 环境中的 VM 安全配置可根据对 VM NSX 安全组的更改自动修改 使用 NSX 安全组更改基于事件的任务可以自动完成安全配置 VM 与 NSX 安全组相关联,NSX 安全组与 NSX 安全策略相关联,NSX 安全策略与 NSX 服务配置文件相关联 上图中仅显示一个服务配置文件, 因为趋势科技服务器深度安全防护系统仅为每个 vcenter 创建一个服务配置文件 NSX 安全组更改 基于事件的任务 趋势科技服务器深度安全防护系统具有基于事件的任务 (EBT), 可将其配置为在检测到满足特定条件的特定事件时执行操作 通过 NSX 安全组更改 EBT, 您可以在检测到 VM 所属的 NSX 安全组发生更改时, 修改 VM 的防护设置 NSX 安全组更改 EBT 仅检测与趋势科技服务器深度安全防护系统配置文件配置 NSX 服务配置文件关联的 NSX 安全组发生的更改 系统中可能还部署了其他 NSX 服务配置文件, 但是趋势科技服务器深度安全防护系统未对其进行跟踪 同样, 一个虚拟机可能与多个组 / 策略相关联, 但趋势科技服务器深度安全防护系统仅监控并报告与趋势科技服务器深度安全防护系统配置文件配置 NSX 服务配置文件关联的组 / 策略发生的更改 基于事件的任务位于趋势科技服务器深度安全防护系统管理中心的 管理 选项卡 : 如果发生以下任意事件, 则会触发 NSX 安全组更改 EBT: 将虚拟机添加到与趋势科技服务器深度安全防护系统配置文件配置 NSX 服务配置文件 ( 间接 ) 关联的 NSX 组 从与趋势科技服务器深度安全防护系统配置文件配置 NSX 服务配置文件关联的 NSX 组中移除虚拟机 与趋势科技服务器深度安全防护系统配置文件配置 NSX 服务配置文件关联的 NSX 策略会应用到 NSX 组 与趋势科技服务器深度安全防护系统配置文件配置 NSX 服务配置文件关联的 NSX 策略会从 NSX 组中移除 NSX 策略与趋势科技服务器深度安全防护系统配置文件配置 NSX 服务配置文件关联 NSX 策略从趋势科技服务器深度安全防护系统配置文件配置 NSX 服务配置文件中移除 59

60 NSX 环境中的自动策略管理 与趋势科技服务器深度安全防护系统配置文件配置 NSX 服务配置文件关联的 NSX 组更改其名称 受更改影响的每台 VM 均会触发一个事件 执行任务的条件 以下条件适用于 NSX 安全组更改基于事件的任务, 可在执行操作前根据这些条件进行测试 : 计算机名称 :VM 的主机名 ESXi 名称 :VM 作为客户虚拟机的 ESXi 的主机名 文件夹名称 :ESXi 文件夹结构中 VM 文件夹的名称 NSX 安全组名称 : 更改后的 NSX 安全组的名称 平台 :VM 的操作系统 vcenter 名称 :VM 所属的 vcenter 的名称 设备保护可用 : 在托管虚拟机的 ESXi 上, 趋势科技服务器深度安全防护系统虚拟设备可用于保护这些虚拟机 VM 可能处于也可能不处于 已激活 状态 设备保护已激活 : 在托管虚拟机并且虚拟机处于 已激活 状态的 ESXi 上, 趋势科技服务器深度安全防护系统虚拟设备可用于保护这些虚拟机 上次使用的 IP 地址 : 计算机的当前 IP 地址或上次已知 IP 地址 有关这些条件以及基于事件的任务的常规信息, 请参阅联机帮助中的管理 > 基于事件的任务页面 NSX 安全组名称条件明确适用于 NSX 安全组更改基于事件的任务发生的更改 它可以通过 Java 正则表达式与 VM 所属的 NSX 安全组匹配, 但其属性已更改 考虑以下两种特殊情况 : 与任何组中的成员集匹配 在这种情况下, 建议使用正则表达式 ".+" 与任何组中的成员集均不匹配 在这种情况下, 建议使用正则表达式 "^$" 其他正则表达式可以根据需要包括特定的组名称或部分名称 ( 以与多个组匹配 ) 在此条件下的潜在组列表仅指与趋势科技服务器深度安全防护系统配置文件配置 NSX 服务配置文件的关联策略相关联的组 可用操作 当趋势科技服务器深度安全防护系统检测到 VM 所属的 NSX 安全组发生更改时, 可以在 VM 上执行以下操作 : 激活计算机 : 激活趋势科技服务器深度安全防护系统虚拟设备的趋势科技服务器深度安全防护系统防护 将 VM 移至趋势科技服务器深度安全防护系统保护的 NSX 安全组时, 请使用此选项 停用计算机 : 停用趋势科技服务器深度安全防护系统虚拟设备的趋势科技服务器深度安全防护系统防护 将 VM 移出趋势科技服务器深度安全防护系统保护的 NSX 安全组时, 请使用此选项 如果在将 VM 移出趋势科技服务器深度安全防护系统保护的 NSX 安全组时未执行此操作, 则会发出警报, 因为 VM 不再受保护 分配策略 : 向 VM 分配趋势科技服务器深度安全防护系统策略 分配中继组 : 向 VM 分配中继组 60

61 NSX 环境中的自动策略管理 将 vcenter 添加到趋势科技服务器深度安全防护系统管理中心时创建的基于事件的 任务 将 NSX vcenter 添加到 DSM 时可以创建两个基于事件的任务 添加 vcenter 向导的最后一页显示一个复选框 : 如果选中此复选框, 则此选项会创建两个基于事件的任务 一个用于在添加保护时激活 VM, 另一个用于在移除保护时停用 VM 第一个基于事件的任务的配置如下 : 名称 : 激活 <vcenter 名称 >, 其中 <vcenter 名称 > 是 vcenter 属性的 名称 文本框中显示的值 事件 :NSX 安全组已更改 已启用任务 :True 操作 : 延迟 5 分钟后激活计算机 条件 : vcenter 名称 :<vcenter 名称 > 必须匹配, 因为 EBT 是 vcenter 特定的 设备保护可用 :True 必须在同一 ESXi 上部署已激活的 DSVA 设备保护已激活 :False 这仅适用于未激活的 VM NSX 安全组 : ".+" 必须是一个或多个趋势科技服务器深度安全防护系统组的成员 您可以修改与该基于事件的任务相关联的操作, 例如通过应用趋势科技服务器深度安全防护系统防护策略或分配其他中继组 可在趋势科技服务器深度安全防护系统管理中心的管理 > 基于事件的任务页面上, 编辑任何现有基于事件的任务对应的操作 ( 和其他属性 ) 第二个基于事件的任务的配置如下 : 名称 : 停用 <vcenter 名称 >, 其中 <vcenter 名称 > 是 vcenter 属性的 名称 文本框中显示的值 事件 :NSX 安全组已更改 已启用任务 :False 操作 : 停用计算机 条件 : vcenter 名称 :<vcenter 名称 > 必须匹配, 因为基于事件的任务是 vcenter 特定的 设备保护已激活 :True 这仅适用于已激活的 VM NSX 安全组 : "^$" 不能是任何趋势科技服务器深度安全防护系统组的成员 61

62 NSX 环境中的自动策略管理 缺省情况下, 此基于事件的任务处于禁用状态 在 vcenter 安装完成后, 您可以根据需要进行启用和定制 如果同一条件触发了多个基于事件的任务, 将按任务名称的字母顺序执行这些任务 从趋势科技服务器深度安全防护系统管理中心移除 vcenter 从趋势科技服务器深度安全防护系统管理中心移除 vcenter 时, 会禁用满足以下条件的所有基于事件的任务 : 1. vcenter 名称条件与移除的 vcenter 名称匹配 必须是完全匹配 与多个 vcenter 名称匹配的基于事件的任务不会被禁用 2. 基于事件的任务事件类型事件类型为 NSX 安全组已更改 其他事件类型的基于事件的任务不会被禁用 62

63 升级

64 在 NSX 环境中升级至趋势科技服务器深度安全防护系统 9.6 在 NSX 环境中升级至趋势科技服务器深度安全防护系统 9.6 在 NSX 6.1 环境中从趋势科技服务器深度安全防护系统 9.5 或 9.5 SP1 升级至趋势科技服务器深度安全防护系统 9.6 的步骤如下 : 1. 升级至趋势科技服务器深度安全防护系统管理中心 导入 9.6 版本的趋势科技服务器深度安全防护系统虚拟设备和趋势科技服务器深度安全防护系统客户端 3. 升级已启用中继的趋势科技服务器深度安全防护系统客户端 4. 升级趋势科技服务器深度安全防护系统虚拟设备 有关从 vshield 环境升级到 NSX 6.1 的相关说明, 请查看 VMware 文档 升级至趋势科技服务器深度安全防护系统管理中心 9.6 趋势科技服务器深度安全防护系统 9.6 包含对可扩展性和效率的改进 由于发生了这些更改, 升级可能需要很长时间 ( 最长可达数小时, 具体取决于数据库的大小 ) 像往常一样, 请在升级前备份数据库, 并考虑在非工作时间执行升级 要备份趋势科技服务器深度安全防护系统 9.5 SP1 数据, 请参阅 趋势科技服务器深度安全防护系统 9.5 SP1 管理员指南 或联机帮助中的 数据库备份和恢复 在升级过程中, 趋势科技服务器深度安全防护系统客户端和设备将继续提供防护 升级至趋势科技服务器深度安全防护系统管理中心 9.6: 1. 从趋势科技下载专区 Web 站点 ( 将趋势科技服务器深度安全防护系统管理中心 9.6 安装包下载至本地目录 2. 按照安装趋势科技服务器深度安全防护系统管理中心 ( 第 24 页 ) 中所述运行安装包, 但在系统提示选择选项时选择升级, 而不要选择更改更改 如果趋势科技服务器深度安全防护系统管理中心安装程序检测到您的系统上已安装较旧版本的趋势科技服务器深度安全防护系统管理中心, 则您可以选择 升级现有安装 或 更改现有安装 升级安装会将趋势科技服务器深度安全防护系统管理中心升级到最新版本, 但不会覆盖策略 IPS 规则 防火墙规则 应用程序类型等, 也不会更改应用于网络中计算机的任何安全设置 更改现有的安装版本会清除与先前安装版本相关的所有数据, 然后安装新规则 策略等 如果想继续提供与 9.5 版本相同的保护, 请勿从趋势科技服务器深度安全防护系统管理中心删除任何 vcenter 导入趋势科技服务器深度安全防护系统软件的 9.6 版本 下载趋势科技服务器深度安全防护系统软件的 9.6 版本 : 1. 在趋势科技服务器深度安全防护系统管理中心中, 转至管理 > 更新 > 软件 > 下载专区 下载专区页面将显示趋势科技提供的所有软件的最新版本 2. 要导入趋势科技服务器深度安全防护系统虚拟设备软件, 请选择最新版本并单击导入导入 虚拟设备软件的最新版本是 9.5 导入虚拟设备 9.5 后, 趋势科技服务器深度安全防护系统管理中心将自动导入最新的 Red Hat 6 客户端软件包 9.6, 用于将虚拟设备的防护模块插件升级至版本 要导入趋势科技服务器深度安全防护系统客户端软件, 请选择最新版本并单击导入导入 您可以使用该软件来升级趋势科技服务器深度安全防护系统客户端或已启用中继的客户端 趋势科技服务器深度安全防护系统中继 9.0 将升级至趋势科技服务器深度安全防护系统已启用中继的客户端 软件下载完成后, 该软件包的已导入已导入列中将显示绿色勾选标记 64

65 在 NSX 环境中升级至趋势科技服务器深度安全防护系统 9.6 升级至已启用中继的 9.6 客户端 升级已启用中继的 9.5 或 9.5 SP1 客户端 趋势科技服务器深度安全防护系统客户端和中继的版本必须与用于管理它们的趋势科技服务器深度安全防护系统管理中心的版本相同或较之更低 趋势科技服务器深度安全防护系统管理中心必须始终在趋势科技服务器深度安全防护系统客户端和中继之前升级 当计划将客户端和中继从 或 9.5 SP1 升级至版本 9.6 时, 请确保 9.6 客户端已分配至仅包含 9.6 中继的中继组 您应将组内的所有中继升级至 9.6( 或创建新的 9.6 组 ), 然后再将任何 9.6 客户端配置为从该组接收更新 升级已启用中继的 9.5 或 9.5 SP1 客户端 : 1. 在趋势科技服务器深度安全防护系统管理中心中, 转至计算机计算机页面 2. 找到要升级的已启用中继的客户端所在的计算机 3. 右键单击趋势科技服务器深度安全防护系统中继, 然后单击操作 > 升级客户端软件 4. 按照窗口提示执行操作 您可以在计算机上本地手动升级中继 请遵循安装趋势科技服务器深度安全防护系统客户端 ( 第 32 页 ) 中的说明执行此操作 升级趋势科技服务器深度安全防护系统中继 9.0 您可以通过趋势科技服务器深度安全防护系统管理中心控制台将趋势科技服务器深度安全防护系统 9.0 Windows 中继升级至已启用中继的 9.6 客户端, 或者也可以采用手动本地升级 趋势科技服务器深度安全防护系统 9.0 Linux 中继无法进行升级 必须手动将其卸载并更换为全新安装的 9.6 Linux 客户端 ( 有关说明, 请参阅下文的 升级 Linux 上的中继 ) 升级 Windows 上的趋势科技服务器深度安全防护系统 9.0 中继 : 1. 在趋势科技服务器深度安全防护系统管理中心中, 转至计算机计算机页面 2. 右键单击趋势科技服务器深度安全防护系统中继, 然后单击操作 > 升级 3. 按照窗口提示执行操作 趋势科技服务器深度安全防护系统 9.0 中继将升级至已启用中继的 9.5 SP1 客户端 升级 Linux 上的趋势科技服务器深度安全防护系统 9.0 中继 : 1. 将趋势科技服务器深度安全防护系统管理中心升级到版本 将 Agent-platform-9.6.build.zip 导入趋势科技服务器深度安全防护系统管理中心 3. 停用要升级的中继, 然后将其卸载 4. 在客户端计算机上安装 Agent-Core-platform-9.6.build.rpm 5. 激活客户端 6. 启用中继 在 Linux 上将 9.0 中继转换为 9.6 客户端 : 1. 将趋势科技服务器深度安全防护系统管理中心升级到版本 将 Agent-platform-9.6.build.zip 导入趋势科技服务器深度安全防护系统管理中心 3. 停用想要升级的中继 4. 从趋势科技服务器深度安全防护系统管理中心删除中继 5. 卸载中继 65

66 在 NSX 环境中升级至趋势科技服务器深度安全防护系统 在客户端计算机上安装 Agent-Core-platform-9.6.build.rpm 7. 在趋势科技服务器深度安全防护系统管理中心中, 添加计算机 ( 计算机 > 新建 > 新建计算机 ) 升级您的趋势科技服务器深度安全防护系统虚拟设备 趋势科技服务器深度安全防护系统虚拟设备使用 64 位 Red Hat Enterprise Linux 客户端作为升级资源 升级您的虚拟设备 : 1. 在趋势科技服务器深度安全防护系统管理中心, 转至管理 > 更新 > 软件 > 下载专区, 然后找到 64 位 Red Hat Enterprise Linux 客户端的最新版本 2. 选择客户端, 然后在工具栏上单击导入导入 3. 将客户端导入趋势科技服务器深度安全防护系统管理中心后, 转至计算机计算机页面, 然后找到虚拟设备 4. 右键单击虚拟设备, 选择操作 > 升级设备软件, 然后遵循屏幕上的指导信息完成升级 升级 NSX 环境 如果要在进行趋势科技服务器深度安全防护系统升级的同时升级 NSX 环境, 请遵循以下步骤 : 有关如何执行升级步骤的详细信息, 请参阅 VMware 文档 1. 执行所有趋势科技服务器深度安全防护系统升级步骤 2. 将 NSX Manager 升级至 升级主机的 Endpoint 驱动程序 4. 将 vcenter 从 5.x 升级至 将 ESXi 主机升级至 删除并重新安装 Guest Introspection 服务 7. 删除并重新安装趋势科技服务器深度安全防护系统服务 8. ( 可选 ) 重新启动 ESXi 主机 建议执行此步骤, 以避免虚拟机重新联机后发生潜在错误 66

67 从 9.6 之前版本的 vshield 升级至 9.6 NSX 环境 从 9.6 之前版本的 vshield 升级至 9.6 NSX 环境 从 vshield 环境中的趋势科技服务器深度安全防护系统 或 9.5 SP1 升级至 NSX 6.1 环境中的趋势科技服务器深度安全防护系统 9.6 的步骤如下 : 1. 升级至趋势科技服务器深度安全防护系统管理中心 导入 9.6 版本的趋势科技服务器深度安全防护系统虚拟设备和趋势科技服务器深度安全防护系统客户端 3. 安装或升级至少一个已启用中继的趋势科技服务器深度安全防护系统 9.6 客户端 4. 从 vshield vcenter 中移除趋势科技服务器深度安全防护系统 5. 将 vcenter 环境升级到 NSX 在新升级的 NSX 6.1 环境中重新部署趋势科技服务器深度安全防护系统 9.6 请参阅在 NSX 环境中部署无客户端防护 ( 第 44 页 ) 有关从 vshield 环境升级到 NSX 6.1 的相关说明, 请查看 VMware 文档 升级过程不会删除或覆盖任何数据, 但是建议您最好在进行升级前对您的系统进行备份 要备份您的趋势科技服务器深度安全防护系统 9.5 数据, 请参阅 趋势科技服务器深度安全防护系统 9.5 管理员指南 或联机帮助中的 数据库备份和恢复 升级至趋势科技服务器深度安全防护系统管理中心 9.6 趋势科技服务器深度安全防护系统 9.6 包含对可扩展性和效率的改进 由于发生了这些更改, 升级可能需要很长时间 ( 最长可达数小时, 具体取决于数据库的大小 ) 像往常一样, 请在升级前备份数据库, 并考虑在非工作时间执行升级 要备份趋势科技服务器深度安全防护系统 9.5 SP1 数据, 请参阅 趋势科技服务器深度安全防护系统 9.5 SP1 管理员指南 或联机帮助中的 数据库备份和恢复 在升级过程中, 趋势科技服务器深度安全防护系统客户端和设备将继续提供防护 升级至趋势科技服务器深度安全防护系统管理中心 9.6: 1. 从趋势科技下载专区 Web 站点 ( 将趋势科技服务器深度安全防护系统管理中心 9.6 安装包下载至本地目录 2. 按照安装趋势科技服务器深度安全防护系统管理中心 ( 第 24 页 ) 中所述运行安装包, 但在系统提示选择选项时选择升级, 而不要选择更改更改 如果趋势科技服务器深度安全防护系统管理中心安装程序检测到您的系统上已安装较旧版本的趋势科技服务器深度安全防护系统管理中心, 则您可以选择 升级现有安装 或 更改现有安装 升级安装会将趋势科技服务器深度安全防护系统管理中心升级到最新版本, 但不会覆盖策略 IPS 规则 防火墙规则 应用程序类型等, 也不会更改应用于网络中计算机的任何安全设置 更改现有的安装版本会清除与先前安装版本相关的所有数据, 然后安装新规则 策略等 如果想继续提供与 9.5 版本相同的保护, 请勿从趋势科技服务器深度安全防护系统管理中心删除任何 vcenter 导入趋势科技服务器深度安全防护系统软件的 9.6 版本 下载趋势科技服务器深度安全防护系统软件的 9.6 版本 : 1. 在趋势科技服务器深度安全防护系统管理中心中, 转至管理 > 更新 > 软件 > 下载专区 下载专区页面将显示趋势科技提供的所有软件的最新版本 2. 要导入趋势科技服务器深度安全防护系统虚拟设备软件, 请选择最新版本并单击导入导入 67

68 从 9.6 之前版本的 vshield 升级至 9.6 NSX 环境 虚拟设备软件的最新版本是 9.5 导入虚拟设备 9.5 后, 趋势科技服务器深度安全防护系统管理中心将自动导入最新的 Red Hat 6 客户端软件包 9.6, 用于将虚拟设备的防护模块插件升级至版本 要导入趋势科技服务器深度安全防护系统客户端软件, 请选择最新版本并单击导入导入 您可以使用该软件来升级趋势科技服务器深度安全防护系统客户端或已启用中继的客户端 趋势科技服务器深度安全防护系统中继 9.0 将升级至趋势科技服务器深度安全防护系统已启用中继的客户端 软件下载完成后, 该软件包的已导入已导入列中将显示绿色勾选标记 升级至已启用中继的 9.6 客户端 升级已启用中继的 9.5 或 9.5 SP1 客户端 趋势科技服务器深度安全防护系统客户端和中继的版本必须与用于管理它们的趋势科技服务器深度安全防护系统管理中心的版本相同或较之更低 趋势科技服务器深度安全防护系统管理中心必须始终在趋势科技服务器深度安全防护系统客户端和中继之前升级 当计划将客户端和中继从 或 9.5 SP1 升级至版本 9.6 时, 请确保 9.6 客户端已分配至仅包含 9.6 中继的中继组 您应将组内的所有中继升级至 9.6( 或创建新的 9.6 组 ), 然后再将任何 9.6 客户端配置为从该组接收更新 升级已启用中继的 9.5 或 9.5 SP1 客户端 : 1. 在趋势科技服务器深度安全防护系统管理中心中, 转至计算机计算机页面 2. 找到要升级的已启用中继的客户端所在的计算机 3. 右键单击趋势科技服务器深度安全防护系统中继, 然后单击操作 > 升级客户端软件 4. 按照窗口提示执行操作 您可以在计算机上本地手动升级中继 请遵循安装趋势科技服务器深度安全防护系统客户端 ( 第 32 页 ) 中的说明执行此操作 升级趋势科技服务器深度安全防护系统中继 9.0 您可以通过趋势科技服务器深度安全防护系统管理中心控制台将趋势科技服务器深度安全防护系统 9.0 Windows 中继升级至已启用中继的 9.6 客户端, 或者也可以采用手动本地升级 趋势科技服务器深度安全防护系统 9.0 Linux 中继无法进行升级 必须手动将其卸载并更换为全新安装的 9.6 Linux 客户端 ( 有关说明, 请参阅下文的 升级 Linux 上的中继 ) 升级 Windows 上的趋势科技服务器深度安全防护系统 9.0 中继 : 1. 在趋势科技服务器深度安全防护系统管理中心中, 转至计算机计算机页面 2. 右键单击趋势科技服务器深度安全防护系统中继, 然后单击操作 > 升级 3. 按照窗口提示执行操作 趋势科技服务器深度安全防护系统 9.0 中继将升级至已启用中继的 9.5 SP1 客户端 升级 Linux 上的趋势科技服务器深度安全防护系统 9.0 中继 : 1. 将趋势科技服务器深度安全防护系统管理中心升级到版本 将 Agent-platform-9.6.build.zip 导入趋势科技服务器深度安全防护系统管理中心 3. 停用要升级的中继, 然后将其卸载 4. 在客户端计算机上安装 Agent-Core-platform-9.6.build.rpm 68

69 从 9.6 之前版本的 vshield 升级至 9.6 NSX 环境 5. 激活客户端 6. 启用中继 在 Linux 上将 9.0 中继转换为 9.6 客户端 : 1. 将趋势科技服务器深度安全防护系统管理中心升级到版本 将 Agent-platform-9.6.build.zip 导入趋势科技服务器深度安全防护系统管理中心 3. 停用想要升级的中继 4. 从趋势科技服务器深度安全防护系统管理中心删除中继 5. 卸载中继 6. 在客户端计算机上安装 Agent-Core-platform-9.6.build.rpm 7. 在趋势科技服务器深度安全防护系统管理中心中, 添加计算机 ( 计算机 > 新建 > 新建计算机 ) 从 vshield vcenter 中移除趋势科技服务器深度安全防护系统 停用客户 VM: 在趋势科技服务器深度安全防护系统管理中心中, 转至 计算机 页面中, 并选择 vcenter 中要升级到 NSX 6.1 的受保护客户虚拟机 ( 仅限于 VM, 不包括虚拟设备 ) 右键单击并选择 VM, 然后选择操作 > 停用 2. 停用虚拟设备 : 仍然是在计算机计算机页面中, 选择 vcenter 中要升级的虚拟设备, 右键单击并选择操作 > 停用 3. 从 vcenter 环境中删除趋势科技服务器深度安全防护系统虚拟设备 : 在 VMware vsphere Web Client 中, 转至主页 > vcenter > 主机和群集, 找到并删除停用的趋势科技服务器深度安全防护系统虚拟设备 4. 卸载 vshield Endpoint: 1. 在 VMware vsphere Web Client 中, 转至主页 > vcenter > 主机和群集 2. 从清单树中选择 ESXi 主机 3. 单击 vshield 选项卡 4. 单击 vshield Endpoint 服务的卸载 5. 移除过滤器驱动程序 : 在趋势科技服务器深度安全防护系统管理中心中, 选择 vcenter 中要升级的每个 ESXi 主机, 然后右键单击并选择操作 > 移除过滤器驱动程序 如果要在升级到趋势科技服务器深度安全防护系统 9.6 和 NSX 6.1 后, 用趋势科技服务器深度安全防护系统保护同一 vcenter, 请勿从趋势科技服务器深度安全防护系统管理中心删除该 vcenter 将 vshield Manager 升级为新的 NSX Manager 有关 vcenter 升级的说明, 请查看 VMware 文档 从趋势科技服务器深度安全防护系统移除旧的 vshield Manager, 然后添加新的 NSX Manager 1. 在趋势科技服务器深度安全防护系统管理中心中, 转至计算机计算机窗口, 右键单击 vcenter, 选择属性, 以显示属性属性窗口 2. 在 vshield Manager 选项卡上, 在 vshield Manager 区域, 单击移除管理中心 这将移除 vshield Manager 凭证 ( 并且将 vshield Manager 选项卡重新命名为 vshield/nsx Manager) 3. 在 vshield/nsx Manager 选项卡上, 输入新升级的 6.1 NSX Manager 的凭证 4. 单击确定确定关闭 属性 窗口 69

70 从 9.6 之前版本的 vshield 升级至 9.6 NSX 环境 升级趋势科技服务器深度安全防护系统客户端 趋势科技服务器深度安全防护系统客户端的版本必须与用于管理此类客户端的趋势科技服务器深度安全防护系统管理中心的版本相同或较之更低 趋势科技服务器深度安全防护系统管理中心必须始终在趋势科技服务器深度安全防护系统客户端之前升级 当计划将客户端和中继从 或 9.5 SP1 升级至版本 9.6 时, 请确保 9.6 客户端已分配至仅包含 9.6 中继的中继组 您应将组内的所有中继升级至 9.6( 或创建新的 9.6 组 ), 然后再将任何 9.6 客户端配置为从该组接收更新 使用趋势科技服务器深度安全防护系统管理中心升级趋势科技服务器深度安全防护系统客户端 : 1. 在趋势科技服务器深度安全防护系统管理中心中, 转至计算机计算机窗口 2. 找到要升级其客户端的计算机 3. 右键单击计算机, 然后选择操作 > 升级客户端软件 4. 新的客户端软件将发送至该计算机, 随后系统将升级客户端 您也可以在计算机上本地手动升级客户端 请遵循安装趋势科技服务器深度安全防护系统客户端 ( 第 32 页 ) 中的说明执行此操作 70

71 附录

72 趋势科技服务器深度安全防护系统管理中心静默安装 趋势科技服务器深度安全防护系统管理中心静默安装 Windows 要在 Windows 上启动静默安装, 请在安装包所在的目录中打开命令提示符并运行以下命令 : Manager-Windows-<Version>.x64.exe -q -console -Dinstall4j.language=<ISO code> -varfile <PropertiesFile> Linux 执行此命令之前, 向安装包授予执行权限 要在 Linux 上启动静默安装, 请使用命令行转至安装包所在的目录并运行以下命令 : Manager-Linux-<Version>.x64.sh -q -console -Dinstall4j.language=<ISO code> -varfile <PropertiesFile> 参数 "-q" 设置强制 install4j 在无人 ( 静默 ) 模式下执行 "-console" 设置强制消息显示在控制台中 (stdout) 如果有其他语言可用, 利用 -Dinstall4j.language=<ISO code> 选项可以覆盖缺省安装语言 ( 英文 ) 请使用标准 ISO 语言标识 符指定语言 : 日语 :ja 简体中文 :zh_cn <PropertiesFile> 自变量是指向标准 Java 属性文件的完整 / 绝对路径 每个属性通过其在 Windows 趋势科技服务器深度安全防护系统管理中心安装 ( 上述 ) 中的等效 GUI 窗口和设置来识别 例如, 地址和端口 窗口上的趋势科技服务器深度安全防护系统管理中心地址指定如下 : AddressAndPortsScreen.ManagerAddress= 此文件中的大多数属性都具有可接受的缺省值, 可以省略 使用内置数据库的简单安装唯一需要的值包括 : LicenseScreen.License CredentialsScreen.Administrator.Username CredentialsScreen.Administrator.Password 有关可用设置的完整描述, 请参阅趋势科技服务器深度安全防护系统管理中心设置属性文件 ( 第 74 页 ) 属性文件示例 以下是典型属性文件内容的示例 : AddressAndPortsScreen.ManagerAddress= AddressAndPortsScreen.NewNode=True UpgradeVerificationScreen.Overwrite=False LicenseScreen.License.-1=XY-ABCD-ABCDE-ABCDE-ABCDE-ABCDE-ABCDE DatabaseScreen.DatabaseType=Oracle 72

73 趋势科技服务器深度安全防护系统管理中心静默安装 DatabaseScreen.Hostname= xxx.xxx DatabaseScreen.Transport=TCP DatabaseScreen.DatabaseName=XE DatabaseScreen.Username=DSM DatabaseScreen.Password=xxxxxxx AddressAndPortsScreen.ManagerPort=4119 AddressAndPortsScreen.HeartbeatPort=4120 CredentialsScreen.Administrator.Username=masteradmin CredentialsScreen.Administrator.Password=xxxxxxxx CredentialsScreen.UseStrongPasswords=False SecurityUpdateScreen.UpdateComponents=True SoftwareUpdateScreen.Proxy=False SoftwareUpdateScreen.ProxyType="" SoftwareUpdateScreen.ProxyAddress="" SoftwareUpdateScreen.ProxyPort="" SoftwareUpdateScreen.ProxyAuthentication="False" SoftwareUpdateScreen.ProxyUsername="" SoftwareUpdateScreen.ProxyPassword="" SoftwareUpdateScreen.UpdateSoftware=True RelayScreen.Install=True SmartProtectionNetworkScreen.EnableFeedback=False 73

74 趋势科技服务器深度安全防护系统管理中心设置属性文件 趋势科技服务器深度安全防护系统管理中心设置属性文件 本节包含有关属性文件内容的信息, 该文件可以在趋势科技服务器深度安全防护系统管理中心的命令行安装 ( 静默安装 ) 中使用 ( 请参阅趋势科技服务器深度安全防护系统管理中心静默安装 ( 第 72 页 ) ) 设置属性文件 设置属性文件中每个条目的格式如下 : <Screen Name>.<Property Name>=<Property Value> 设置属性文件具有所需值和可选值 对于可选条目, 提供无效值将导致使用缺省值 所需设置 LicenseScreen 属性 可能值 LicenseScreen.License.-1=< 值 > < 用于所有模块的 AC> 空白 或 属性 可能值 LicenseScreen.License.0=< 值 > < 用于防恶意软件的 AC> 空白 LicenseScreen.License.1=< 值 > < 用于防火墙 /DPI 的 AC> 空白 LicenseScreen.License.2=< 值 > < 用于完整性监控的 AC> 空白 LicenseScreen.License.3=< 值 > < 用于日志审查的 AC> 空白 缺省值 缺省值 CredentialsScreen 属性 可能值 CredentialsScreen.Administrator.Username=< 值 > < 主管理员的用户名 > 空白 CredentialsScreen.Administrator.Password=< 值 > < 主管理员的密码 > 空白 缺省值 可选设置 LanguageScreen 属性 可能值 缺省值 注意 en_us sys.languageid=< 值 > ja zh_cn en_us "en_us" = 英语,"ja" = 日语,"zh_CN" = 简体中文 74

75 趋势科技服务器深度安全防护系统管理中心设置属性文件 UpgradeVerificationScreen 除非检测到现有的安装, 否则不会引用此窗口 / 设置 属性 UpgradeVerificationScreen.Overwrite=< 值 > 可能值 True False 缺省值 False 将此值设置为 True 将覆盖数据库中的任何现有数据 执行此操作时将不会进行任何进一步的提示 DatabaseScreen 此窗口可用于定义数据库类型, 也可以定义访问某些数据库类型所需的参数 交互式安装提供了一个 高级 对话框, 以定义 Microsoft SQL Server 的实例名称和域, 但是由于无人参与的安装不支持对话框, 因此这些参数包括在下面的 DatabaseScreen 设置中 属性 DatabaseScreen.DatabaseType=< 值 > DatabaseScreen.Hostname=< 值 > DatabaseScreen.DatabaseName=< 值 > DatabaseScreen.Transport=< 值 > DatabaseScreen.Username=< 值 > DatabaseScreen.Password=< 值 > DatabaseScreen.SQLServer.Instance=< 值 > DatabaseScreen.SQLServer.Domain=< 值 > 可能值 嵌入式 缺省值 Microsoft Microsoft SQL Server Oracle 数据库服 务器的名 称或 IP 地址 当前的主 机名 任何字符 串 命名管道 TCP 任何字符 串 任何字符 串 任何字符 串 任何字符 DatabaseScreen.SQLServer.UseDefaultCollation=< True 值 > 串 False SQL Server 当前的主 机名 dsm 命名管道 空白 空白 空白 空白 False 注意 无 无 嵌入式不需要 仅对 SQL Server 是必需的 管理中心用来向数据库服务器进行认证的用户名 必须匹配现有的数据库帐户 请注 意, 趋势科技服务器深度安全防护系统管理中心数据库权限将对应于此用户的权限 例如, 如果您选择权限为只读的数据库帐户, 趋势科技服务器深度安全防护系统管理 中心将无法写入数据库 嵌入式不需要 对于 Microsoft SQL Server 和 Oracle 为 强制设置 管理中心用来向数据库服务器进行认证的密码 嵌入式不需要 对于 Microsoft SQL Server 和 Oracle 为强制设置 仅在支持单个服务器或处理器上的多个实例的 Microsoft SQL Server 上使用 只有 一个实例可以为缺省实例, 其他任何实例均为命名实例 如果趋势科技服务器深度安 全防护系统管理中心数据库实例不是缺省实例, 请在此输入实例的名称 该值必须匹 配现有的实例或者保留为空表示其为缺省实例 仅在 Microsoft SQL Server 上使用 这是向 SQL Server 进行认证时使用的 Windows 域名 上述 DatabaseScreen.Username 和 DatabaseScreen.Password 仅在 相应的域中有效 仅在 Microsoft SQL Server 上使用 排序规则决定了如何对字符串进行排序和比 较 如果值为 "False", 趋势科技服务器深度安全防护系统将使用 Latin1_General_CS_AS 对文本型列进行排序 如果值为 "True", 趋势科技服务器深 度安全防护系统将使用 SQL Server 数据库指定的排序方法 有关排序规则的其他信 息, 请参考 SQL Server 文档 75

76 趋势科技服务器深度安全防护系统管理中心设置属性文件 AddressAndPortsScreen 此窗口定义此计算机的主机名 URL 或 IP 地址并定义管理中心的端口 在交互式安装程序中, 此窗口还支持将新的管理中心添加到现有的数据库, 但是在无人参与的安装中不支持此选项 属性 可能值 缺省 < 管理中心主机的 < 当前 AddressAndPortsScreen.ManagerAddress=< 主机名 URL 或的主无值 > IP 地址 > 机名 > AddressAndPortsScreen.ManagerPort=< 值 > < 有效的端口号 > 4119 无 AddressAndPortsScreen.HeartbeatPort=< 值 > AddressAndPortsScreen.NewNode=< 值 > 值 < 有效的端口号 > 4120 无 True False 注意 True 表示当前安装为新节点 如果安装程序在数据库中找到现有数据, 则它会将此安装作 False 为新节点添加 ( 多节点安装始终是静默安装 ) 有关现有数据库的 新节点 安装 信息通过 DatabaseScreen 属性提供 CredentialsScreen 属性 可能值 缺省值 注意 CredentialsScreen.UseStrongPasswords=< 值 > True False False True 表示 DSM 应该设置为强制使用强密码 SecurityUpdateScreen 属性 SecurityUpdateScreen.UpdateComponents=< 值 > SecurityUpdateScreen.Proxy=< 值 > SecurityUpdateScreen.ProxyType=< 值 > SecurityUpdateScreen.ProxyAddress=< 值 > 可能值 True False True False HTTP SOCKS4 SOCKS5 有效的 IPv4 或 IPv6 地址或主机名 缺省 值 True 注意 True 将指示趋势科技服务器深度安全防护系统管理中心创建预设任务以自动检 查安全更新 安装完成后将运行预设任务 False True 表示趋势科技服务器深度安全防护系统管理中心使用代理服务器连接到 Internet 以从趋势科技下载安全更新 空白 空白 代理服务器使用的协议 代理服务器的 IP 或主机名 SecurityUpdateScreen.ProxyPort=< 值 > 整数空白代理服务器的端口号 SecurityUpdateScreen.ProxyAunthentication=< True 值 > False SecurityUpdateScreen.ProxyUsername=< 值 > 任何字符串空白认证用户名 SecurityUpdateScreen.ProxyPassword=< 值 > 任何字符串空白认证密码 False True 表示代理服务器需要使用认证凭证 SoftwareUpdateScreen 属性 SoftwareUpdateScreen.UpdateSoftware=< 值 > SoftwareUpdateScreen.Proxy=< 值 > SoftwareUpdateScreen.ProxyType=< 值 > 可能值 True False True False HTTP SOCKS4 SOCKS5 缺省 值 True 注释 True 将指示趋势科技服务器深度安全防护系统管理中心创建预设任务以自动检 查软件更新 安装完成后将运行预设任务 False True 表示趋势科技服务器深度安全防护系统管理中心使用代理服务器连接到 Internet 以从趋势科技下载软件更新 空白 代理服务器使用的协议 76

77 趋势科技服务器深度安全防护系统管理中心设置属性文件 属性 SoftwareUpdateScreen.ProxyAddress=< 值 > 可能值 有效的 IPv4 或 IPv6 地址或主机名 缺省 值 空白 注释 代理服务器的 IP 或主机名 SoftwareUpdateScreen.ProxyPort=< 值 > 整数空白代理服务器的端口号 SoftwareUpdateScreen.ProxyAunthentication=< True 值 > False SoftwareUpdateScreen.ProxyUsername=< 值 > 任何字符串空白认证用户名 SoftwareUpdateScreen.ProxyPassword=< 值 > 任何字符串空白认证密码 False True 表示代理服务器需要使用认证凭证 SmartProtectionNetworkScreen 此窗口可定义是否要启用趋势科技智能反馈, 也可以选择定义您的行业 属性 SmartProtectionNetworkScreen.EnableFeedback=< 值 > SmartProtectionNetworkScreen.IndustryType=< 值 > 可能值 True False 未指定 银行 通信传媒 教育 能源 快速消费品 (FMCG) 财务 食品饮料 政府 卫生保健 保险 制造 材料 媒体 石油和天然气 房地产 零售 科技 电信 运输 公用事业 其他 缺省值 False 注意 True 表示启用趋势科技智能反馈 空白空白对应于 未指定 属性文件示例 以下是典型属性文件内容的示例 : AddressAndPortsScreen.ManagerAddress= AddressAndPortsScreen.NewNode=True UpgradeVerificationScreen.Overwrite=False LicenseScreen.License.-1=XY-ABCD-ABCDE-ABCDE-ABCDE-ABCDE-ABCDE DatabaseScreen.DatabaseType=Oracle DatabaseScreen.Hostname= xxx.xxx DatabaseScreen.Transport=TCP DatabaseScreen.DatabaseName=XE DatabaseScreen.Username=DSM DatabaseScreen.Password=xxxxxxx AddressAndPortsScreen.ManagerPort=4119 AddressAndPortsScreen.HeartbeatPort=4120 CredentialsScreen.Administrator.Username=masteradmin 77

78 趋势科技服务器深度安全防护系统管理中心设置属性文件 CredentialsScreen.Administrator.Password=xxxxxxxx CredentialsScreen.UseStrongPasswords=False SecurityUpdateScreen.UpdateComponents=True SoftwareUpdateScreen.UpdateSoftware=True RelayScreen.Install=True SmartProtectionNetworkScreen.EnableFeedback=False 安装输出 以下是一个成功安装的示例输出, 后跟一个失败安装 ( 使用授权无效 ) 的示例输出 跟踪中的 [Error] 标记表示故障 成功的安装 Stopping Trend Micro Deep Security Manager Service... Checking for previous versions of Trend Micro Deep Security Manager... Upgrade Verification Screen settings accepted... The installation directory has been set to C:\Program Files\Trend Micro\Deep Security Manager. Database Screen settings accepted... License Screen settings accepted... Address And Ports Screen settings accepted... Credentials Screen settings accepted... Security Update Screen settings accepted... Software Update Screen settings accepted... Smart Protection Network Screen settings accepted... All settings accepted, ready to execute... Extracting files... Setting Up... Connecting to the Database... Creating the Database Schema... Creating MasterAdmin Account... Recording Settings... Creating Temporary Directory... Installing Reports... Installing Modules and Plug-ins... Creating Help System... Validating and Applying Activation Codes... Configure Localizable Settings... Setting Default Password Policy... Creating Scheduled Tasks... Creating Asset Importance Entries... Creating Auditor Role... Optimizing... Importing Software Packages... Configuring Relay For Install... Importing Performance Profiles... Recording Installation... Clearing Sessions... Creating Properties File... Creating Shortcut... Configuring SSL... Configuring Service... Configuring Java Security... Configuring Java Logging... Cleaning Up... Starting Deep Security Manager... Finishing installation... 78

79 趋势科技服务器深度安全防护系统管理中心设置属性文件 失败的安装 此示例显示当属性文件包含无效的使用授权字符串时生成的输出 : Stopping Trend Micro Deep Security Manager Service... Detecting previous versions of Trend Micro Deep Security Manager... Upgrade Verification Screen settings accepted... Database Screen settings accepted... Database Options Screen settings accepted... [ERROR] The license code you have entered is invalid. [ERROR] License Screen settings rejected... Rolling back changes... 79

80 趋势科技服务器深度安全防护系统管理中心内存使用 趋势科技服务器深度安全防护系统管理中心内存使用 配置安装程序的最大内存使用量 缺省情况下, 将安装程序配置为使用 1GB 连续内存 如果安装程序无法运行, 您可以尝试将安装程序配置为使用较少的内存 为安装程序配置可用的内存量 : 1. 转至安装程序所在的目录 2. 创建一个名为 "Manager-Windows-9.6.xxxx.x64.vmoptions" 或 "Manager-Linux-9.6.xxxx.x64.vmoptions" 的新文本文件, 具体取决于您的安装平台 ( 其中,"xxxx" 是安装程序的 Build 号 ) 3. 通过添加以下行来编辑该文件 :"-Xmx800m"( 在本示例中, 安装程序将使用 800MB 内存 ) 4. 保存文件并启动安装程序 配置趋势科技服务器深度安全防护系统管理中心的最大内存使用量 趋势科技服务器深度安全防护系统管理中心堆内存使用量的缺省设置是 4GB 可以更改此设置 为趋势科技服务器深度安全防护系统管理中心配置可用的内存量 : 1. 转至趋势科技服务器深度安全防护系统管理中心安装目录 ( 与趋势科技服务器深度安全防护系统管理中心可执行文件相同的目录 ) 2. 创建一个新文件 为其指定以下名称, 具体取决于平台 : Windows: "Deep Security Manager.vmoptions". Linux:"dsm_s.vmoptions". 3. 通过添加以下行来编辑该文件 :" -Xmx10g "( 在本示例中,"10g" 将为趋势科技服务器深度安全防护系统管理中心分配 10GB 可用内存 ) 4. 保存文件并重新启动趋势科技服务器深度安全防护系统管理中心 5. 可通过转至管理 > 系统信息来验证新设置, 然后在 系统详细信息 区域中展开管理中心节点 > 内存 最大内存 值现在应显示新的配置设置 80

81 趋势科技服务器深度安全防护系统虚拟设备内存使用 趋势科技服务器深度安全防护系统虚拟设备内存使用 下表列出了基于受保护的 VM 数量建议的趋势科技服务器深度安全防护系统虚拟设备最低内存分配量 : 趋势科技服务器深度安全防护系统虚拟设备保护的虚拟机数量 GB GB GB 建议的内存分配量 DSVA 的缺省配置是使用 4GB 的 RAM 如果预计需要的 RAM 超过缺省的 4GB, 您将需要自行修改 DSVA 的配置 提供以下两个选项 : 先修改虚拟设备的配置, 然后将其依次导入到趋势科技服务器深度安全防护系统管理中心和 vcenter, 从而为该 vcenter 中所有后续趋势科技服务器深度安全防护系统虚拟设备服务部署设置缺省配置 先将虚拟设备导入到 vcenter 并在 ESXi 上将其部署为服务, 然后按情况修改虚拟设备的内存分配 配置 DSVA 的内存分配 ( 部署前 ) 要更改趋势科技服务器深度安全防护系统虚拟设备的缺省内存分配, 必须在将设备导入到 vcenter 之前在其 OVF 文件中编辑分配设置 在将趋势科技服务器深度安全防护系统虚拟设备部署到 vcenter 之前配置其内存分配 : 1. 解压缩从趋势科技下载专区下载的虚拟设备 zip 文件 2. 在文本编辑器中打开 dsva.ovf 3. 编辑以下部分以根据您的环境修改 4096 MB 的缺省内存分配 ("4096" 出现了三处 ): <Item> <rasd:allocationunits>byte * 2^20</rasd:AllocationUnits> <rasd:description>memory Size</rasd:Description> <rasd:elementname xmlns:rasd=" CIM_ResourceAllocationSettingData">4096 MB of memory</rasd:elementname> <rasd:instanceid CIM_ResourceAllocationSettingData">2</rasd:InstanceID> <rasd:reservation>4096</rasd:reservation> <rasd:resourcetype>4</rasd:resourcetype> <rasd:virtualquantity>4096</rasd:virtualquantity> </Item> 4. 保存 ovf 文件并将其返回到 zip 数据包 xmlns:rasd=" 5. 通过管理 > 更新软件 > 本地页面, 将虚拟设备 zip 数据包导入到趋势科技服务器深度安全防护系统管理中心 配置 DSVA 的内存分配 ( 部署后 ) 更改趋势科技服务器深度安全防护系统虚拟设备的内存分配设置需要关闭 DSVA 虚拟机 在重新打开这些通常受虚拟设备保护的虚拟机之前, 它们将不受保护 配置已部署的趋势科技服务器深度安全防护系统虚拟设备的内存分配 : 1. 在 VMware vsphere Web Client 中, 右键单击 DSVA, 然后选择电源 > 关闭客户虚拟机 2. 再次右键单击 DSVA, 然后选择编辑设置... 此时将显示虚拟机属性属性窗口 3. 在硬件硬件选项卡上, 选择内存内存并将内存分配量更改为所需值 4. 单击确定确定 81

82 趋势科技服务器深度安全防护系统虚拟设备内存使用 5. 再次右键单击 DSVA, 然后选择电源 > 打开电源 82

83 趋势科技服务器深度安全防护系统管理中心性能特点 趋势科技服务器深度安全防护系统管理中心性能特点 性能配置文件 趋势科技服务器深度安全防护系统管理中心使用一种经过优化的并发作业计划程序, 该程序考虑了每个作业对 CPU 数据库和客户端/ 设备的影响 缺省情况下, 新安装版本使用针对专用管理中心优化的 主动型 性能配置文件 如果趋势科技服务器深度安全防护系统管理中心安装在装有其他耗费资源的软件的系统上, 则优选使用 标准 性能配置文件 可通过导航至管理 > 管理中心节点来更改性能配置文件 从此窗口中, 选择一个管理中心节点并打开属性属性窗口 可以在此处通过下拉菜单更改性能配置文件 性能配置文件还控制管理中心将接受的客户端 / 设备启动的连接的数量 每个性能配置文件的缺省值可以有效地平衡接受的 延迟的和拒绝的波动信号的数量 磁盘空间不足警报 数据库主机磁盘空间不足 如果趋势科技服务器深度安全防护系统管理中心收到来自数据库的 磁盘已满 错误消息, 它将开始将事件写入自身的硬盘驱动器中, 并向所有用户发送电子邮件以通知他们该状况 此行为不可配置 如果运行多个管理中心节点, 则会在处理事件的节点中写入事件 ( 有关运行多个节点的更多信息, 请参阅联机帮助或 管理员指南 的 参考 一节中的 多节点管理中心 ) 解决数据库的磁盘空间问题后, 管理中心会将本地存储的数据写入数据库中 管理中心主机磁盘空间不足 管理中心的可用磁盘空间低于 10% 时, 管理中心会生成磁盘空间不足警报 此警报是正常警报系统的一部分, 像其他警报一样可以配置 ( 有关警报的更多信息, 请参阅联机帮助或 管理员指南 的配置和管理配置和管理一节中的警报配置警报配置 ) 如果运行多个管理中心节点, 会在警报中标识该节点 当管理中心的可用磁盘空间低于 5MB 时, 管理中心会向所有用户发送电子邮件, 并且管理中心将关闭 只有在可用磁盘空间大于 5MB 后管理中心才可重新启动 必须手动重新启动管理中心 如果运行多个节点, 则只有磁盘空间不足的节点会关闭 其他管理中心节点会继续运行 扫描缓存 扫描缓存改善了虚拟设备执行的按需扫描的效率 它消除了在大型 VMware 部署中对多个 VM 之间的相同内容所进行的不必要扫描 此外, 完整性监控扫描缓存通过共享完整性监控扫描结果加快完整性监控扫描 防恶意软件按需缓存加快了后续克隆 / 类似 VM 上的扫描 防恶意软件实时缓存缩短了 VM 引导和应用程序访问时间 并发扫描功能允许同时对多个 VM 执行扫描, 从而进一步缩短整体扫描时间 83

84 创建 SSL 认证证书 创建 SSL 认证证书 趋势科技服务器深度安全防护系统管理中心会为与客户端 / 设备 中继和用户 Web 浏览器的连接创建为期 10 年的自签名证书 但是, 对于已添加的安全, 可以使用可信证书颁发机构 (CA) 的证书替换此证书 ( 在趋势科技服务器深度安全防护系统管理中心升级之后会保留此类证书 ) 生成后,CA 证书必须导入到趋势科技服务器深度安全防护系统管理中心安装根目录中的.keystore 中, 且使用别名 "tomcat" 之后, 趋势科技服务器深度安全防护系统管理中心将使用该证书 Windows 在 Windows 环境中创建 SSL 认证证书 : 1. 转到趋势科技服务器深度安全防护系统管理中心安装目录 ( 就这些说明而言, 我们假设该目录为 "C:\Program Micro\Deep Security Manager"), 然后创建名为 Backupkeystore 的新文件夹 Files\Trend 2. 将.keystore 和 configuration.properties 复制到新创建的文件夹 Backupkeystore 3. 从命令提示符转到以下位置 :C:\Program Files\Trend Micro\Deep Security Manager\jre\bin 4. 运行以下命令, 该命令将创建一个自签名证书 : C:\Program Files\Trend Micro\Deep Security Manager\jre\bin>keytool -genkey -alias tomcat - keyalg RSA -dname cn=dsmserver -dname 是 CA 将签发的证书的常用名 某些 CA 要求使用特定名称来对证书签名请求 (CSR) 进行签名 请咨询您的 CA 管理员以查看是否具有该特殊要求 5. 出现提示时输入密码 6. 在用户主目录下创建了新的密钥库文件 如果以 "Administrator" 身份登录, 则会在 C:\Documents Administrator 下看到该.keystore 文件 7. 使用以下命令查看新生成的证书 : and Settings\ C:\Program Files\Trend Micro\Deep Security Manager\jre\bin>keytool -list -v 8. 运行以下命令创建 CSR 以让 CA 进行签名 : C:\Program Files\Trend Micro\Deep Security Manager\jre\bin>keytool -certreq -keyalg RSA - alias tomcat -file certrequest.csr 9. 将 certrequest.csr 发送给 CA 以进行签名 将返回两个文件 一个是 证书回复, 另一个是 CA 证书本身 10. 运行以下命令将 CA 证书导入 JAVA 可信密钥库 : C:\Program Files\Trend Micro\Deep Security Manager\jre\bin>keytool -import -alias root - trustcacerts -file cacert.crt -keystore "C:\Program Files\Trend Micro\Deep Security Manager\ jre\lib\security\cacerts" 11. 运行以下命令将 CA 证书导入您的密钥库 : C:\Program Files\Trend Micro\Deep Security Manager\jre\bin>keytool -import -alias root - trustcacerts -file cacert.crt 84

85 创建 SSL 认证证书 ( 出现警告消息时单击 是 ) 12. 运行以下命令将证书回复导入您的密钥库 : C:\Program Files\Trend Micro\Deep Security Manager\jre\bin>keytool -import -alias tomcat - file certreply.txt 13. 运行以下命令查看密钥库中的证书链 : C:\Program Files\Trend Micro\Deep Security Manager\jre\bin>keytool -list -v 14. 将.keystore 文件从用户主目录 C:\Documents and Settings\Administrator 复制到 C:\Program Files\Trend Micro\Deep Security Manager\ 15. 打开文件夹 C:\Program Files\Trend Micro\Deep Security Manager 中的 configuration.properties 文件 它将类似于以下内容 : keystorefile=c\:\\\\program Files\\\\Trend Micro\\\\Deep Security Manager\\\\.keystore port=4119 keystorepass=$1$85ef650a5c40bb0f914993ac1ad855f48216fd0664ed2544bbec6de80160b2f installed=true servicename= Trend Micro Deep Security Manager 16. 替换以下字符串中的密码 : keystorepass=xxxx 其中 "xxxx" 是在步骤 5 中提供的密码 17. 保存并关闭该文件 18. 重新启动 Deep Security Manager 服务 19. 使用浏览器连接到趋势科技服务器深度安全防护系统管理中心, 您将注意到新的 SSL 证书已经过 CA 签名 Linux 在 Linux 环境中创建 SSL 认证证书 : 1. 转到趋势科技服务器深度安全防护系统管理中心安装目录 ( 就这些说明而言, 我们假设该目录为 "opt\ opt\dsm"), 然后创建名为 Backupkeystore 的新文件夹 2. 将.keystore 和 configuration.properties 复制到新创建的文件夹 Backupkeystore 3. 从命令提示符转到以下位置 :opt\dsm\jre\bin 4. 运行以下命令, 该命令将创建一个自签名证书 : opt\dsm\jre\bin# keytool -genkey -alias tomcat -keyalg RSA -dname cn=dsmserver -dname 是 CA 将签发的证书的常用名 某些 CA 要求使用特定名称来对证书签名请求 (CSR) 进行签名 请咨询您的 CA 管理员以查看是否具有该特殊要求 5. 出现提示时输入密码 6. 在用户主目录下创建了新的.keystore 文件 如果以 "Administrator" 身份登录, 则会在./root/ 下看到该.keystore 文件如果该文件已隐藏, 请使用以下命令 :find -type f -iname ".keystore" -ls 85

86 创建 SSL 认证证书 7. 使用以下命令查看新生成的证书 : opt\dsm\jre\bin# keytool -list -v 8. 运行以下命令创建 CSR 以让 CA 进行签名 : opt\dsm\jre\bin# keytool -certreq -keyalg RSA -alias tomcat -file certrequest.csr 如果显示 "Keytool unrecognized option '-keyalg'", 请改为使用 '-sigalg' 9. 将 certrequest.csr 发送给 CA 以进行签名 将返回两个文件 一个是 证书回复, 另一个是 CA 证书本身 10. 运行以下命令将 CA 证书导入 JAVA 可信密钥库 : opt\dsm\jre\bin# keytool -import -alias root -trustcacerts -file cacert.crt -keystore "opt\ dsm\jre\lib\security\cacerts" 11. 运行以下命令将 CA 证书导入您的密钥库 : opt\dsm\jre\bin# keytool -import -alias root -trustcacerts -file cacert.crt ( 出现警告消息时单击 是 ) 12. 运行以下命令将证书回复导入您的密钥库 : opt\dsm\jre\bin# keytool -import -alias tomcat -file certreply.txt 13. 运行以下命令查看密钥库中的证书链 : opt\dsm\jre\bin# keytool -list -v 14. 将.keystore 文件从用户主目录.\root\ 复制到 \opt\dsm\. 15. 在安装趋势科技服务器深度安全防护系统管理中心的文件夹中, 打开 configuration.properties 文件 它将类似于以下内 容 : keystorefile= opt\\\dsm\\\.keystore port=4119 keystorepass=$1$85ef650a5c40bb0f914993ac1ad855f48216fd0664ed2544bbec6de80160b2f installed=true servicename= Trend Micro Deep Security Manager 16. 替换以下字符串中的密码 : keystorepass=xxxx 其中 "xxxx" 是在步骤 5 中提供的密码 17. 保存并关闭该文件 18. 重新启动 Deep Security Manager 服务 19. 使用浏览器连接到趋势科技服务器深度安全防护系统管理中心, 您将注意到新的 SSL 证书已经过 CA 签名 86

87 部署 DSVA 所需的最低 VMware 权限 (NSX) 部署 DSVA 所需的最低 VMware 权限 (NSX) 在 NSX 环境中, 趋势科技服务器深度安全防护系统管理中心不要求具备特殊部署权限 87

88 安装 vsphere 分布式交换机 安装 vsphere 分布式交换机 要在 VMware NSX 虚拟网络环境中使用趋势科技服务器深度安全防护系统,vCenter Server 必须使用 vsphere 分布式交换机 (vds) 在数据中心上安装 vds: 1. 打开 vsphere Web Client, 浏览到您网络清单中的数据中心 2. 右键单击该数据中心然后选择新建 vsphere 分布式交换机, 以显示新建分布式交换机新建分布式交换机向导 3. 选择版本 : 选择分布式交换机版本 :5.5 或更高版本 4. 常规属性 : 为分布式交换机命名并选择上行链路端口的数量 单击下一步下一步 5. 添加主机和物理适配器 : 选择立即添加立即添加并选择一个或多个物理适配器 单击下一步下一步 6. 即将完成 : 选择自动创建缺省端口组, 确认设置, 然后单击完成完成 vsphere 分布式交换机现已安装 88

89 准备 ESXi Server 准备 ESXi Server 必须先通过安装用于监测网络流量的驱动程序准备 ESXi Server, 然后才能将趋势科技服务器深度安全防护系统虚拟设备服务部署到数据中心 此操作在群集上执行 准备群集 : 1. 在 vsphere Web Client 中, 转至主页 > 网络和安全 > 安装, 然后单击主机准备主机准备选项卡 : 2. 在群集和主机列表中找到要使用趋势科技服务器深度安全防护系统保护的 NSX 群集, 然后单击安装状态列中的安装 将完成安装, 驱动程序版本将显示在安装状态安装状态列中 : 主机准备现已完成 有关主机准备的更完整说明, 请查看 VMware 文档 89

90 安装 Guest Introspection 服务 安装 Guest Introspection 服务 要使用趋势科技服务器深度安全防护系统保护 VM, 必须在包含 ESXi Server 的群集上安装 Guest Introspection 服务 安装 Guest Introspection 服务 : 1. 在 vsphere Web Client 中, 转至服务部署选项卡 ( 位于主页 > 网络和安全 > 安装页面 ), 然后单击绿色加号, 以显示 部署网络和安全服务窗口 2. 选择服务和时间表 : 选择 Guest Introspection: 3. 选择群集 : 选择包含要保护的 ESXi Server 和 VM 的群集 : 90

91 安装 Guest Introspection 服务 4. 选择存储和管理网络 : 选择数据存储 NSX 群集使用的分布式端口组和 IP 分配方法 : 5. 即将完成 : 查看设置并单击完成 : 安装 Guest Introspection 服务需要一些时间 安装完成后, 安装状态将显示为 成功 建议您刷新 vsphere Web Client 状态 以更新 91

92 创建 NSX 安全组 创建 NSX 安全组 必须将 VM 资源组织到 NSX 安全组中, 然后才能给它们分配 vsphere 安全策略 创建新的 NSX 安全组 : 1. 在 vsphere Web Client 中, 转至安全组选项卡 ( 位于主页 > 网络和安全 > 服务编辑器页面 ), 然后单击新建安全组图标 ( ): 2. 在名称和描述名称和描述选项中, 为安全组命名 3. 定义动态成员集 : 如果想根据特定过滤标准限制此组中的成员集, 请在此输入这些标准 92

93 创建 NSX 安全组 4. 将对象包含或排除在 NSX 安全组中的方式有许多, 但在此例中, 我们将仅纳入包含我们要保护的主机和虚拟机的 NSX 群集 在选择要包含的对象选择要包含的对象选项中, 从对象类型对象类型菜单中选择群集, 然后将包含要保护的 VM 的 NSX 群集移动到选定对象选定对象列 5. 单击完成, 创建新安全组并返回安全组安全组选项卡, 查看新列出的安全组 : 93

94 启用多租户 启用多租户 启用多租户 : 1. 在趋势科技服务器深度安全防护系统管理中心中, 转至管理 > 系统设置 > 高级, 然后在多租户选项区域中单击启用多租户模式, 以显示多租户配置多租户配置向导 2. 输入激活码, 然后单击下一步下一步 3. 选择要实施的使用授权模式 : 从主租户继承使用授权 : 为所有租户授予主租户具有的相同使用授权 每租户使用授权 : 在此模式下, 租户自己在首次登录时输入使用授权 4. 单击下一步下一步完成在趋势科技服务器深度安全防护系统管理中心中启用多租户 管理租户 启用多租户模式后, 可在管理管理部分出现的租户租户页面对租户进行管理 创建租户 创建新租户 : 1. 转至管理 > 租户页面, 然后单击新建新建以显示新建租户新建租户向导 2. 输入租户帐户名称 帐户名称可以是 Primary 之外的任意名称, Primary 用于主租户 3. 输入电子邮件地址 需要电子邮件地址, 以便每个租户具有一个联系点 还用于下一步中三个不同的用户帐户生成方法中的两种 4. 选择语言环境 语言环境确定适用于该租户的趋势科技服务器深度安全防护系统管理中心用户界面语言 5. 选择 时区 将向租户帐户时区中的租户用户显示所有与租户相关的事件 6. 如果趋势科技服务器深度安全防护系统安装使用多个数据库, 您可以选择让趋势科技服务器深度安全防护系统自动选择存储新租户帐户 ( 自动 -- 无首选项 ) 的数据库服务器, 您也可以指定特定服务器 不再接受新租户的数据库服务器将不会包括在下拉列表中 如果只有一个数据库, 将不显示这些选项 完成选择后, 单击下一步下一步继续 94

95 启用多租户 7. 输入新租户帐户首个用户的用户名 8. 选择以下三个密码选项之一 : 无电子邮件 : 在此处定义租户首个用户的用户名和密码, 不发送电子邮件 电子邮件确认链接 : 您设置租户首个用户的密码 但是, 直到用户单击将通过电子邮件收到的确认链接后, 帐户才会被激活 电子邮件生成的密码 : 这允许租户创建者在未指定密码的情况下生成租户 手动创建创建者不需要访问权限的用户帐户时, 此选项最适用 所有这三个选项均可通过 REST API 获得 确认选项为开放公共注册提供了一个合适的方法 建议使用 CAPTCHA, 以确保租户创建者是人, 而非自动化的 机器人 电子邮件确认可确保提供的电子邮件属于此用户, 然后才能访问帐户 9. 单击下一步下一步完成向导并创建租户 ( 创建新租户数据库并填充数据和示例策略可能需要 30 秒到 4 分钟 ) 发送给租户的邮件示例 电子邮件确认链接 : 帐户确认请求 欢迎使用趋势科技服务器深度安全防护系统! 要开始使用您的帐户, 请单击以下确认 URL 然后可以使用所选密码访问控制台 帐户名称 :AnyCo 用户名 :admin 单击以下 URL 激活您的帐户 : D451-05F B6F646&tenantAccount=AnyCo&username=admin 电子邮件生成的密码 : 帐户和用户名通知 欢迎使用趋势科技服务器深度安全防护系统! 已为您创建一个新帐户 您的密码将生成, 并在一封单独的电子邮件中提供 帐户名称 :AnyCo 用户名 :admin 可以使用以下 URL 访问趋势科技服务器深度安全防护系统管理控制台 : 电子邮件生成的密码 : 密码通知 这是为您的趋势科技服务器深度安全防护系统帐户自动生成的密码 您的帐户名 用户名和用于访问趋势科技服务器深度安全防护系统管 理控制台的链接将在一封单独的电子邮件中提供 密码 :z3igruq0jafi 管理租户 租户页面 ( 管理 > 租户 ) 显示所有租户的列表 租户可处于以下任一状态 : 95

96 启用多租户 已创建 : 正在创建, 但尚未激活 需要确认 : 已创建, 但尚未单击发送给租户用户的确认电子邮件中的激活链接 ( 您可以手动覆盖此状态 ) 活动 : 完全在线且受管 已挂起 : 不再接受登录 待删除 : 可将租户删除, 但未立即执行 移除数据库之前, 租户将处于待删除状态至多七天 数据库升级失败 : 用于路径升级失败的租户 数据库升级 按钮可用于解决此问题 租户属性 双击租户可以查看租户的属性属性窗口 常规 可更改租户的语言环境 时区和状态 请注意, 更改时区和语言环境不影响现有的租户用户 它将仅影响此租户中的新用户以及非用户特定的 UI 中的事件和其他部分 数据库名称表示该租户所用的数据库的名称 可通过超链接访问数据库运行的服务器 96

97 启用多租户 模块 模块选项卡提供了用于保护模块可见性的选项 缺省情况下, 将隐藏所有未经授权的模块 可通过取消选中始终隐藏未经授权的模块始终隐藏未经授权的模块来更改此设置 此外, 可以每个租户为基础显示所选模块 如果选中从主租户继承使用授权, 则授权给您 ( 作为主租户 ) 的所有功能将对所有租户可见 所选的可见性可用于调整哪些模块对于哪些租户可见 如果缺省使用 每租户 使用授权, 将仅显示对每个租户授权的模块 如果您在测试环境中评估趋势科技服务器深度安全防护系统, 并希望查看完整的多租户安装, 您可以启用多租户演示模式 处于演示模式时, 管理中心使用模拟租户 计算机 事件 警报和其他数据填充其数据库 最初生成七天的数据, 但会不断生成新数据以使用这些数据填充管理中心的 控制台 报告 和 事件 页面 演示模式不能不能用于生产环境! 统计 统计信息 选项卡显示当前租户的信息, 包括数据库大小 处理的作业 登录 安全事件和系统事件 小图显示过去 24 小时的活动 97

98 启用多租户 客户端激活 客户端激活 选项卡显示了一个可从此租户计算机的客户端安装目录运行的命令行指令, 此指令将在计算机上激活客户端以便租户可以分配策略并从趋势科技服务器深度安全防护系统管理中心执行其他配置过程 主要联系人 已启用中继的客户端 每个趋势科技服务器深度安全防护系统管理中心必须拥有至少一个已启用中继的客户端的访问权限, 并且这包括多租户趋势科技服务器深度安全防护系统安装中的租户 缺省情况下, 其他租户也可使用主租户 缺省中继组 中已启用中继的客户端 可在主租户的趋势科技服务器深度安全防护系统管理中心的管理 > 系统设置 > 租户 > 多租户选项区域中找到该设置 如果此选项已禁用, 则租户必须安装和管理其自己的已启用中继的客户端 租户帐户用户的趋势科技服务器深度安全防护系统看法 租户 用户体验 启用多租户后, 登录页面将显示另一个帐户名称帐户名称文本框 : 98

99 启用多租户 需要租户输入其帐户名称以及用户名和密码 帐户名称允许租户使用重叠的用户名 ( 例如, 如果多个租户与同一台 Active Directory 服务器同步 ) 当您 ( 作为主租户 ) 登录时, 请将帐户名称留空或使用 "Primary" 当租户登录时, 安装环境与首次安装趋势科技服务器深度安全防护系统管理中心时非常相似 UI 租户隐藏以下区域 : 中的某些功能对租户用户不可用 已对 管理中心节点 widget 多租户 widget 管理 > 系统信息 管理 > 使用授权 ( 如果选中 继承 选项 ) 管理 > 管理中心节点 管理 > 租户 管理 > 系统设置 : 租户选项卡 安全选项卡 > 登录消息 更新选项卡 > 允许租户使用主租户已启用中继的客户端的设置 高级选项卡 > 负载平衡器 高级选项卡 > 插件 帮助中的一些内容不适用于租户 一些报告不适用于租户 基于您在管理 > 系统设置 > 租户选项卡中选择的多租户设置的其他功能 还将对租户隐藏某些警报类型 : 波动信号服务器不成功 磁盘空间不足 管理中心脱机 管理中心时间不同步 现已推出较新版本的趋势科技服务器深度安全防护系统管理中心 计算机数量超过数据库限制 当在所有使用授权相关警报中启用继承的使用授权时 还要注意的重要一点是 : 租户无法查看主租户的任何多租户功能或任何其他租户的任何数据 此外, 某些 API 受到限制, 因为他们只能用于主租户权限 ( 如创建其他租户 ) 有关租户用户可用和不可用部分的更多信息, 请参阅趋势科技服务器深度安全防护系统管理中心的管理 > 系统设置 > 租户页面的联机帮助 所有租户均可在多个用户帐户中使用基于角色的访问控制, 以进一步细分访问权限 此外, 他们可以将 Active Directory 集成用于用 户, 以将认证委派到域 每次进行租户认证时仍需要输入租户帐户名称 客户端启动的激活 缺省情况下, 为所有租户启用客户端启动的激活 不同于主租户的客户端启动的激活, 需要密码和租户 ID 才能调用租户用户的激活 租户可查看客户端启动的激活所必需的参数, 方法是转至管理 > 更新 > 软件 > 本地软件, 选择客户端安装包, 然后从工具栏选择生成部署脚本 : 99

100 启用多租户 此时将显示部署脚本生成器 如果租户从平台平台菜单选择其平台, 然后选择 自动激活客户端, 则生成的部署脚本将包含带有必需参数的 dsa_control Windows 计算机上客户端启动的激活的脚本示例如下所示 : dsa_control -a dsm://manageraddress:4120/ "tenantid:7155a-d130-29f4-5fe1-8afd102" "tenantpassword: b e7d0d5" 租户诊断 由于软件包中包含敏感数据, 租户无法访问管理中心诊断包 租户仍然可以通过打开计算机编辑器, 然后选择概述概述页处理措施处理措施选项卡上的客户端诊断来生成客户端诊断 使用情况监控 趋势科技服务器深度安全防护系统管理中心记录关于租户使用情况的数据 将在控制台的租户防护活动 widget 租户属性窗口的统计信息选项卡和退款报告中显示此信息 还可以通过状态监控 REST API 访问此信息, 可转至管理 > 系统设置 > 高级 > 状态监控 API 启用或禁用此 API 可定制此退款 ( 或审查 ) 信息, 以确定记录中包含哪些属性 此配置旨在调整服务提供程序环境中可能需要的各种收费模式 这在企业确定每个业务部门的使用情况方面十分有用 多租户控制台 / 报告 启用多租户后, 主租户用户可访问其他控制台 widget 以监控租户活动 : 100

101 启用多租户 与租户相关的 widget 的一些示例 : 在管理 > 租户页面 ( 有些在可选列中 ) 以及租户属性属性窗口的统计信息统计信息选项卡上会提供相同的信息 此信息提供监控整个系统使用情况和查找异常活动指示的功能 例如, 如果租户遇到安全事件活动安全事件活动急剧增多的情况, 则可能受到攻击 租户报告 ( 位于事件和报告事件和报告部分 ) 提供了更多信息 此报告详细介绍了每个租户的防护时长 当前数据库大小和计算机数量 ( 激活的和未激活的 ) 101

102 多租户 ( 高级 ) 多租户 ( 高级 ) API 趋势科技服务器深度安全防护系统管理中心包括一些 REST API, 可用于 : 1. 启用多租户 2. 管理租户 3. 访问监控数据 4. 访问费用分摊 ( 防护活动 ) 数据 5. 管理辅助数据库服务器 此外, 旧版 SOAP API 包含一个新的认证认证方法, 可接受租户帐户名称作为第三个参数 有关 REST API 的其他信息, 请参阅 REST API 文档 升级 与先前版本相比, 升级没有变化 将执行安装程序, 并检测现有安装 它会提供升级选项 如果选择了升级, 安装程序先通知其他节点关闭, 再开始升级过程 首先升级主租户, 然后并行升级其他租户 ( 一次 5 个 ) 一旦安装程序完成, 将对其余管理中心节点执行同一个安装包 如果在租户升级期间出现问题, 租户的状态 ( 在管理 > 租户页面上 ) 将显示为需要数据库升级 ( 脱机 ) 可以使用租户界面强制执行升级过程 如果强制执行升级不起作用, 请与技术支持人员联系 支持租户 在某些情况下, 可能需要主租户获得对租户用户界面的访问权限 租户列表 和 租户属性 页面提供了一个作为给定租户进行认证的选项, 授予其即时只读访问权限 用户将使用前缀 "support_" 以租户特殊帐户的身份登录 例如, 如果主租户用户 jdoe 以租户身份登录, 则会创建一个名为 "support_jdoe" 具有 完全访问权限 角色的帐户 一旦支持用户超时或从帐户注销, 即会删除该用户 租户可以在系统事件中看到此用户帐户的创建 登录 注销 删除以及任何其他操作 主租户中的用户还有其他诊断工具可供使用 : 1. 管理 > 系统信息页面包含有关租户内存使用和线程状态的其他信息 此工具可以直接使用, 也可以为趋势科技技术支持提供帮助 2. 管理中心节点磁盘上的 server0.log 包含导致生成日志的租户 ( 和用户, 如果适用 ) 的名称的其他信息 这有助于确定问 题的根源 在某些情况下, 租户需要使用 GUI 中尚不提供的定制调整 这通常应趋势科技技术支持的要求 用于更改这些设置的命令行工具可接受参数 : -Tenantname "account name" 以便指示特定租户处的设置更改或其他命令行操作 如果忽略, 则操作在主租户上执行 102

103 多租户 ( 高级 ) 负载平衡器 缺省情况下, 多节点管理中心向所有客户端和虚拟设备提供所有管理中心节点的地址 客户端和虚拟设备使用地址列表随机选择一个要联系的节点, 并继续尝试列表中的其余地址, 直到无法访问任何节点 ( 即全部忙 ) 如果它无法访问任何节点, 它将等待直到下一个波动信号, 并重试 这种方法在管理中心节点数固定的环境中非常有效, 不必在管理中心节点前端配置负载平衡器, 即可获得可用性和可伸缩性 在多租户环境中, 可能需要按需添加和删除管理中心节点 ( 可能使用云环境的自动缩放功能 ) 在这种情况下, 添加和删除管理中心将导致更新环境中的每个客户端和虚拟设备 要避免这种更新, 可以使用负载平衡器设置 负载平衡器可配置为针对不同类型的网络通信使用不同的端口, 或者, 如果负载平衡器支持端口重定向, 则可用于在端口 443 上使用三个负载平衡器来公开所有必需的协议 : 在所有情况下, 负载平衡器应配置为使用粘滞会话的 TCP 负载平衡器 ( 而非 SSL 终止 ) 这可确保一个给定的通信交换自始至终在客户端 / 虚拟设备和管理中心之间进行 下一个连接可能平衡到另一个节点 每个租户数据库的开销大约为 100MB 磁盘空间 ( 归因于填充系统的初始规则 策略和事件 ) 由于创建架构和填充初始数据, 租户的创建需要 30 秒至 4 分钟的时间 这可确保每一个新租户有最新的配置, 并消除管理数据库模板的负担 ( 特别是在多个数据库服务器之间 ) 103

104 安装趋势科技服务器深度安全防护系统数据库 ( 多租户要求 ) 安装趋势科技服务器深度安全防护系统数据库 ( 多租户要求 ) 配置数据库用户帐户 SQL Server 和 Oracle Database 在如下所述的数据库概念中使用不同的术语 SQL Server 多个租户执行的进程数据库服务器数据库 Oracle Database 一个租户的数据集数据库表空间 / 用户 以下部分在 SQL Server 和 Oracle Database 二者中都使用了 SQL Server 术语 SQL Server 使用多租户时, 保持主数据库名称简短可使租户的数据库名称更易读 ( 即, 如果主数据库是的数据库名称将是 "MAINDB_1", 第二个租户的数据库名称将是 "MAINDB_2", 依此类推 ) "MAINDB", 则第一个租户 由于多租户要求软件能够创建数据库, 因此在 SQL Server 上需要使用 dbcreator 角色 例如 : 对于主租户的用户角色, 必须向主数据库分配 DB 所有者 : 104

105 安装趋势科技服务器深度安全防护系统数据库 ( 多租户要求 ) 如果需要, 可以进一步细化权限, 以便仅包括修改架构和访问数据的能力 使用 dbcreator 角色时, 同一个用户将自动拥有该帐户所创建的数据库 例如, 下面是创建第一个租户后该用户的属性 : 105

106 安装趋势科技服务器深度安全防护系统数据库 ( 多租户要求 ) 要在辅助数据库服务器上创建第一个帐户, 仅需要使用 dbcreator 服务器角色 不必定义用户映射 Oracle Database Oracle Database 中的多租户与 SQL Server 类似, 但有几个重要区别 其中,SQL Server 是每数据库服务器一个用户帐户,Oracle Database 是每租户一个用户帐户 安装趋势科技服务器深度安全防护系统的用户映射到主租户 可以授予该用户分配其他用户和表空间的权限 虽然 Oracle 允许在用引号括起来的数据库对象名称中使用特殊字符, 但趋势科技服务器深度安全防护系统不支持在数据库对象名称中使用特殊字符 Oracle Web 站点上的以下页面介绍了不带引号的名称中允许使用的字符 : 趋势科技服务器深度安全防护系统从主 ( 主租户 )Oracle Database 衍生租户数据库名称 例如, 如果主数据库是 "MAINDB", 则第一个租户的数据库名称将是 "MAINDB_1", 第二个租户的数据库名称将是 "MAINDB_2", 依此类推 ( 保持主数据库名称简短, 可使租户数据库名称更易读 ) 如果启用了多租户, 则必须分配下列 Oracle Database 权限 : 租户被创建为使用长随机密码的用户, 并授予下列权限 : 106

107 安装趋势科技服务器深度安全防护系统数据库 ( 多租户要求 ) 对于辅助 Oracle Database 服务器, 必须创建第一个用户帐户 ( 启动用户帐户 ) 此用户将有一个本质上为空的表空间 配置与主用户帐户相同 107

108 从 NSX 环境中卸载趋势科技服务器深度安全防护系统 从 NSX 环境中卸载趋势科技服务器深度安全防护系统 删除趋势科技服务器深度安全防护系统服务部署 要删除趋势科技服务器深度安全防护系统服务部署, 请在 vsphere Web Client 中, 转至主页 > 网络和安全 > 安装 > 服务部署, 然后删除趋势科技服务器深度安全防护系统趋势科技服务器深度安全防护系统服务 删除所有 趋势科技服务器深度安全防护系统 安全策略 要删除所有 趋势科技服务器深度安全防护系统 安全策略, 请转至主页 > 网络和安全 > 服务编辑器 > 安全策略, 然后删除趋势科技服务器深度安全防护系统安全策略 从趋势科技服务器深度安全防护系统管理中心移除 vcenter 要从趋势科技服务器深度安全防护系统管理中心移除 vcenter, 请在趋势科技服务器深度安全防护系统管理中心, 转至计算机页面, 右键单击导航树中的 vcenter, 然后选择移除 VMware vcenter

109 从 NSX 环境中卸载趋势科技服务器深度安全防护系统 这时将显示移除 VMware vcenter 模式窗口 从以下选项中进行选择, 然后单击确定 : 从 DSM 移除 VMware vcenter 和所有从属计算机 / 组 : 移除 vcenter 以及 VM 的所有记录, 包括分配给它们的趋势科技服务器深度安全防护系统策略和规则 移除 VMware vcenter 但保留计算机数据和组层次结构 : 移除 vcenter 但保留其层次结构以及 VM 的记录, 包括分配给它们的趋势科技服务器深度安全防护系统策略和规则 移除 VMware vcenter, 保留计算机数据但展平层次结构 : 移除 vcenter 但保留 VM 的记录, 包括分配给它们的趋势科技服务器深度安全防护系统策略和规则 vcenter 的层次结构展平为单个组 现在已从趋势科技服务器深度安全防护系统管理中心移除 vcenter, 且已从 VMware vcenter 卸载趋势科技服务器深度安全防护系统 如果趋势科技服务器深度安全防护系统管理中心与 NSX Manager 的连接断开, 可能会出现一条错误消息, 指出 无法从 VMWare 中移除趋势科技服务器深度安全防护系统 要从趋势科技服务器深度安全防护系统管理中心移除 vcenter, 请右键单击 vcenter, 然后选择属性, 显示其属性窗口 在 NSX Manager 选项卡上的 NSX Manager 区域中, 单击移除管理中心 这将从趋势科技服务器深度安全防护系统管理中心移除 vcenter 109

110