趋势科技服务器深度安全防护系统 FusionSphere 7.5 版安装手册 趋势科技有限公司保留对本文档以及此处所述产品进行更改而不通知的权利 在安装并使用本软件之前, 请阅读自述文件 发布说明 ( 如果有 ) 和最新版本的 部署指南, 这些文档可以通过趋势科技的以下 Web 站点获得 : http://www.trendmicro.com.cn/cn/ 版权所有 2015 趋势科技有限公司 /Trend Micro 保留所有权利 文档版本 :1.1 文档编号 : 发布日期 :2015 年 2 月
目 录 1. 趋势科技服务器深度安全防护系统简介... 3 1.1 趋势科技服务器深度安全防护系统介绍... 3 1.2 趋势科技服务器深度安全防护系统防护模块特点... 3 2. 系统要求... 4 2.1 FUSION 环境要求... 4 2.2 虚拟机操作系统支持... 4 2.3 DEEP SECURITY MANAGER 环境... 5 2.4 SECURITY VIRTUAL MACHINE 环境... 5 2.5 使用授权 ( 激活码 )... 5 2.6 管理员 \ROOT 权限... 6 2.6 趋势科技服务器深度安全防护系统管理中心主机的 URL/IP 和可用端口... 6 2.7 网络通信... 6 2.8 数据库... 6 3. 安装趋势科技服务器深度安全防护系统管理中心... 7 3.1 安装 DEEP SECURITY MANAGER... 7 3.2 运行趋势科技服务器深度安全防护系统管理中心... 12 4. 安装趋势科技服务器深度安全防护系统安全虚拟机... 13 4.1 安装 SECURITY VIRTUAL MACHINE... 13 4.2 SVM 静态 IP 地址配置... 19 4.3 将 FUSIONSPHERE 主机添加到被管理计算机列表... 19 4.4 在 FUSIONSPHERE 主机部署并激活安全虚拟机... 21 5. GVM 部署... 23 6 附录 : 故障排除... 26 问题 1... 26 问题 2... 26 问题 3... 27 问题 4... 27 问题 5... 27 问题 6... 28 问题 7... 28 Trend Micro Confidential 02/02/2015 II
1. 趋势科技服务器深度安全防护系统简介 1.1 趋势科技服务器深度安全防护系统介绍 趋势科技服务器深度安全防护系统架构 :Deep Security Manager (DSM) 和 Security Virtual Machine (SVM) 趋势科技服务器深度安全防护系统管理中心 (DSM) 功能强大的 集中式管理, 是为了使管理员能够创建安全设定档与将它们应用于服务器 显示器警报和威胁采取的预防措施 分布服务器, 安全更新和生成报告 趋势科技服务器深度安全防护系统安全虚拟机 (SVM) 与 DSM 相互协调合作, 有效的在 FusionSphere 虚拟机器上执行防恶意软件 IDS/IPS 防火墙 Web 应用程序防护和应用程序控制等安全政策 ( 目前版本仅支持防病毒功能, 其他功能模块华为 fusion 平台未开放接口 ) 1.2 趋势科技服务器深度安全防护系统防护模块特点趋势科技服务器深度安全防护系统安全虚拟机目前能提供的功能包括 : 防恶意软件, ( 防火墙和 DPI 功能由于华为 API 接口未开发完成, 目前无法支持, 但产品界面上可以看到相关模块 ) 防恶意软件 趋势科技服务器深度安全防护系统安全虚拟机支持对 FusionSphere 环境内虚拟机的防 恶意软件防护 目前支持 : 执行无客户端对恶意软件的防护对 FusionSphere 上运行的活动虚拟机的防护防恶意软件的配置高度可定制, 主要是通过安全配置文件实现实时手动预设扫描对隔离文件的管理, 包括从趋势科技服务器深度安全防护系统管理中心下载和删除内置到控制板 widget 和报告中的防恶意软件支持 Trend Micro Confidential 02/02/2015 3
2. 系统要求运行 Deep Security Manager 和 Security Virtual Machine 实例的系统必须满足特定的硬件和操 作系统要求 详细要求如下 : 2.1 Fusion 环境要求硬件平台要求 : 硬件平台请参考以下华为 Fusion 平台支持列表, 如果不在以下列表中的硬件平台, 有可能在 Deep Security 部署过程中可部署, 但功能无法使用 http://support.huawei.com/onlinetool/datums/fusioncloud/comptool/index.jsp Fusion 版本要求 :FusionCompute_V100R005C00SPC100( 目前该版本进行过测试, 低于 该版本的有异常 ) Fusion 硬件建议 : 内存建议 16G 以上, 硬盘空间需要 300G 以上 Fusion 相关安装包及文档可从以下华为站点下载 http://support.huawei.com/enterprise/productsupport?lang=zh&idabspath=7919749 7919788 9856606 8576912&pid=8576912 Fusion 安装手册可从以上站点下载, 请参考文档 FusionCompute V100R005C00 安装与功能 简介 01 2.2 虚拟机操作系统支持由于要使用无代理防病毒功能需要华为针对操作系统开发前端驱动, 到 2015 年 2 月 5 日为止, 支持的操作系统如下 : win7_32 ( 已经通过微软认证 ) win2003_32 ( 已经通过微软认证 ): 已经随华为 fusionsphere R5C00 版本一起发布, 详细获取地址请按照华为发布的资料方式获取 下面所有 OS 的驱动都没有随版本发布, 具体进展和策略如下 : winxp_32 ( 已支持, 未通过微软认证, 因为微软已停止对 xp 的认证 ) Trend Micro Confidential 02/02/2015 4
win2008 R1_32( 已支持, 未通过微软认证 ) win2008 R2_32( 已支持, 未通过微软认证 ) win8_32 ( 已支持, 未通过微软认证 ) win8.1_32 ( 已支持, 未通过微软认证 ) 相关驱动可到如下地址下载, 以上部分驱动未提供, 如果需要, 需联系华为提供 http://pan.baidu.com/s/1gr6r0 2.3 Deep Security Manager 环境 内存 :4GB 磁盘空间 :50GB( 建议使用 50GB) 操作系统 :Microsoft Windows Server 2008(64 位 ) Windows Server 2008 R2(64 位 ) Windows 2003 Server SP2(64 位 ) 数据库 ( 建议可选 ): Oracle 11g Oracle 10g Microsoft SQL Server 2008 SP1 Microsoft SQL Server 2005 SP2 Web 浏览器 :Mozilla Firefox 3.x( 启用 Cookie) Internet Explorer 7.x( 启用 Cookie) 和 Internet Explorer 8.x( 启用 Cookie) 2.4 Security Virtual Machine 环境 操作系统 :Centos 6.4_x86_64 Centos 6.5_x86_64 CPU:64 位, 存在 Intel-VT 并在 BIOS 中启用时区和时间需正确配置网络需正确配置安装 Centos 时选择 Basic Server 安装安装 qemu-1.1.x-x.x86_64.rpm 和 qemu-x86_64-1.1.x-x.x86_64.rpm 包安装 libvirt 和 libvirt-python, 启动 libvirtd 服务 2.5 使用授权 ( 激活码 ) 对于要使用的每个趋势科技服务器深度安全防护系统防护模块, 使用授权 ( 激活码 ) 均是必需的 备注 : 目前由于华为 API 接口未开发完成, 仅无代理防病毒功能可以使用 Trend Micro Confidential 02/02/2015 5
2.6 管理员 \Root 权限 需要拥有管理员权限才可以安装趋势科技服务器深度安全防护系统管理中心 2.6 趋势科技服务器深度安全防护系统管理中心主机的 URL/IP 和可用端口 安装程序会在 Windows 开始 菜单中添加趋势科技服务器深度安全防护系统管理中心 的快捷方式 如果要远程访问管理中心, 需要留意此 URL 您必须确保以下端口 ( 托管趋势科技服务器深度安全防护系统管理中心的计算机上 ) 处 于打开状态且未保留用于其它目的 : 端口 4119: 浏览器使用其连接到趋势科技服务器深度安全防护系统管理中心 ( 可在本节中的 步骤 7 中进行配置 ) 端口 4120: 波动信号 端口, 趋势科技服务器深度安全防护系统安全虚拟机使用该端口与趋势科技服务器深度安全防护系统管理中心进行通信 ( 可在本节中的 步骤 7 中进行配置 ) 端口 1433 和 1434: 双向 Microsoft SQL Server 端口 端口 1521: 双向 Oracle Database 服务器端口 端口 514( 可选 ): 与 Syslog 服务器双向通信 2.7 网络通信 趋势科技服务器深度安全防护系统管理中心与趋势科技服务器深度安全防护系统安全 虚拟机和 FusionSphere 通信时使用 DNS 主机名 为了成功部署趋势科技服务器深度安全防护系统安全虚拟机, 必须确保每台计算机均可 以解析趋势科技服务器深度安全防护系统管理中心的主机名 这要求趋势科技服务器深度安 全防护系统管理中心计算机拥有 DNS 项或在安全虚拟机上的 hosts 文件中存在对应项 2.8 数据库趋势科技服务器深度安全防护系统管理中心自带有一个内置数据库 (Apache Derby), 该数据库仅适用于评估目的 对于企业部署, 趋势科技服务器深度安全防护系统需要 Microsoft SQL Server 2008 或 2005, 或者 Oracle Database 11g 或 10g 在安装趋势科技服务器深度安全防护系统管理中心过程中, 安装程序会询问使用内置数 据库引擎还是两个支持的企业数据库引擎之一 如果选择后者, 安装程序会提示您提供配置 信息 Trend Micro Confidential 02/02/2015 6
3. 安装趋势科技服务器深度安全防护系统管理中心 3.1 安装 Deep Security Manager 1. 以 Windows 2008R2*64 系统为例介绍安装配置 Deep Security Manager 的方法 : 第 1 步, 在软件安装程序目录中, 在 C:\<installer location>\ 双击 Manager(for_FusionSphere_Hypervisor)-Windows-7.5.xxx.x64.exe 文件 第 2 步, 为安装程序选择一种语言, 然后单击 确定 此选择将仅控制该安装程序的语言 第 3 步, 当显示 欢迎使用 屏幕时, 单击下一步 Trend Micro Confidential 02/02/2015 7
第 4 步, 阅读 许可协议, 如果您同意这些条款, 选择 接受协议 并单击下一步 第 5 步, 接受默认目标文件夹, 或单击 浏览 以选择另一个位置, 然后单击下一步 第 6 步, 选择要使用的数据库的类型 选择是希望使用趋势科技服务器深度安全防护系统管理中心的内置数据库引 擎 (Apache Derby), 还是现有的 SQL Server 或 Oracle 10 数据库 Trend Micro Confidential 02/02/2015 8
如果使用 Oracle 或 SQL Server 数据库, 则必须在安装趋势科技服务器深度安 全防护系统管理中心之前创建数据库 使用命名管道连接到 SQL Server 时, 趋势科技服务器深度安全防护系统管理 中心的主机和 SQL Server 主机之间必须存在经正确认证的 Microsoft Windows 通信通道 此通道在以下情况下已存在 : SQL Server 与趋势科技服务器深度安全防护系统管理中心位于同一主机上, 两台主机为同一域的成员, 或者 两台主机之间存在信任关系 如果不存在此通信通道, 则趋势科技服务器深度安全防护系统管理中心将无法 通过命名管道与 SQL Server 进行通信 第 7 步, 地址端口 : 如果创建新的安装版本, 请输入此计算机的主机名 URL 或 IP 地址 此地址将用于访问趋势科技服务器深度安全防护系统管理中心的 Web 界面 趋势科技服务器深度安全防护系统安全虚拟机还使用它来与管理中心通信 因此, 选择安全虚拟机可以解析的主机名很重要 您可以选择更改缺省通信端口 管理中心端口 指可通过 HTTPS 访问管理 中心的基于浏览器的 UI 的端口 波动信号端口 指管理中心侦听来自安全 虚拟机的通信的端口 满意这些设置时, 单击下一步 Trend Micro Confidential 02/02/2015 9
第 8 步, 凭证输入主管理员帐户的用户名和密码 此帐户将拥有趋势科技服务器深度安全防护系统管理中心的完全管理权限, 包括创建拥有完全或受限权限的其他管理员帐户的能力 选中强制使用强密码复选框会要求此管理员及以后创建的管理员的密码包括 大写和小写字母 非字母数字字符以及数字, 并且要求使用建议的最小字符 数 ( 可稍后在 系统设置 中对此进行更改 ) 满意这些设置时, 单击下一步 第 9 步, 安全更新 Trend Micro Confidential 02/02/2015 10
选择是否希望趋势科技服务器深度安全防护系统管理中心自动检索最新的组件 ( 病毒码 引擎等 ) 或软件 ( 趋势科技服务器深度安全防护系统安全虚拟机等 ) 虽然建议执行此操作, 但其并非必需, 您可以稍后使用趋势科技服务器深度安全防护系统管理中心检索或配置它们 第 10 步, 确认设置 此页面显示安装选项的摘要 验证输入的信息, 然后单击完成继续 第 11 步, 安装完成安装现在已完成 单击 完成 关闭安装向导 Deep Security Manager 服务会在安装完成时启动 要启动趋势科技服务器深度安全防护系统管理中心基于 Web 的管理控制台, 请在单击完成之前选择运行趋势科技服务器深度安全防护系统管理中心选项 Trend Micro Confidential 02/02/2015 11
3.2 运行趋势科技服务器深度安全防护系统管理中心 Deep Security Manager 服务在启动时自动启动 可以从 Microsoft 服务管理控制台启 动 重新启动和停止该服务 服务名称是 Trend Micro Deep Security Manager 要运行基于 Web 的管理控制台, 请转至开始菜单中的趋势科技程序组, 并单击趋势科 技服务器深度安全防护系统管理中心 要从远程计算机运行基于 Web 的管理控制台, 您必须记住以下 URL: https://[hostname]:[port]/ 其中,[hostname] 是安装趋势科技服务器深度安全防护系统管理中心的服务器的主机 名,[port] 是在安装的步骤 7 中指定的 管理中心端口 ( 缺省为 4119) 要求访问基于 Web 的管理控制台的用户使用他们的用户帐户凭证进行登录 Trend Micro Confidential 02/02/2015 12
4. 安装趋势科技服务器深度安全防护系统安全虚拟机 4.1 安装 Security Virtual Machine 趋势科技服务器深度安全防护系统安全虚拟机的 FusionSphere 要求 : 请参见第 2 章 Security Virtual Machine 的系统要求 导入安装 SVM 前, 需要先对操作的 PC 进行 JAVA 的配置 1. 建议安装 Fusion Computer Tools 包 ( 在工具包中的 Plugin 目录下 ) 中的 Java 程序, 目前 Fusion R5 版本不支持最新版本的 Java, 会导致 SVM 导入失败 ; 2. 打开 Java 控制台, 如下图所示, 进入安全, 将安全级别设置为中 3. 添加站点例外列表, 添加下面的站点例外 (IP 请更换为实际环境中的 Fusion VRM 的 IP) JAVA 配置完成后, 登陆 Fusion 控制台 为了使用防病毒功能,Fusion 环境还要做一些配置 : 1 登录 Fusion 平台, 主机和集群, 选择需要防病毒功能的主机, 点击防病毒设置 Trend Micro Confidential 02/02/2015 13
2 勾选开启, 设置安全用户虚拟机数量, 点击确定 3 修改后需要重启这台 Fusion 物理服务器 从 Fusion 平台导入 svm 安全虚拟机, 请参考下面步骤 : SVM 虚拟机模版需要两个文件 : svm-1127.ovf 模版配置文件 svm-1127-1.vhd 镜像文件 1 登录到 Fusion 平台, 选择 虚拟机和模版 虚拟机和模版入门, 点击 导入虚拟 机 Trend Micro Confidential 02/02/2015 14
2 选择导入源界面, 选择 从本地导入, 点击下一步 其他导入方式请参考 Fusion 文档 3 模版导入界面, 点击浏览选择模版配置文件, 然后点击下一步 Trend Micro Confidential 02/02/2015 15
4 虚拟机设置界面, 配置好位置 网卡 存储 5 虚拟机属性规格界面, 配置虚拟机名称 硬件等, 点击高级设置, 防病毒设置中开启 安 全服务虚拟机 Trend Micro Confidential 02/02/2015 16
6 信息确认界面, 再确认下 svm 虚拟机的信息, 然后点击创建 Trend Micro Confidential 02/02/2015 17
7 然后请耐心等待虚拟机导入, 系统空闲的时候大约需要 10-20 分钟 Trend Micro Confidential 02/02/2015 18
4.2 SVM 静态 IP 地址配置 趋势提供的模板需要做以下的简易配置 :( 注意 SVM 最好采用静态方式配置,DHCP 配置后会出现 IP 变化, 导致 DSM 脱机 ) #VNC 登陆 SVM root 密码 :****** # 手动配置网卡 : 注意配置之前 ifconfig 看看网卡是从 eth0 开始还是 eth1 开始 cd /etc/sysconfig/network-scripts mv ifcfg-eth* ifcfg-eth0 ( 如果 ifconfig 第一个网卡是 eth0 的话 ) vi ifcfg-eth0 # 修改 ifcfg-eth0 文件中的 ip: # 重启 Reboot # 在本地 ping 配置好的 SVM 地址, 如果不通请重新检查 SVM 的 IP 网段 Ping 128.53.0.3 备注 :SVM 配置 IP 后, 确保在本地能够 ping 通 SVM 的 ip 4.3 将 FusionSphere 主机添加到被管理计算机列表 1. 在导航窗格中右键单击 计算机, 然后选择添加 Central Management... 以启动添加 Central Management 向导 Trend Micro Confidential 02/02/2015 19
2. 选择服务器类型为 FusionSphere 3. 提供 VRM 服务器地址 (IP 或主机名 ) 和端口 名称和描述, 以及 FusionSphere 的 VRM 用户名和密码 4. 单击继续 5. 添加 Central Management 向导将显示要添加的 FusionSphere 主机的详细信息 单击完成 6. 单击确认窗口上的关闭 Trend Micro Confidential 02/02/2015 20
FusionSphere 会显示在 计算机 列表中 4.4 在 FusionSphere 主机部署并激活安全虚拟机 1. 右键单击一台 SVM, 操作 激活设备 2. 弹出新标签页, 安全配置文件选择 无, 点击 继续 Trend Micro Confidential 02/02/2015 21
Trend Micro Confidential 02/02/2015 22
3. 激活成功后点击 关闭 5. GVM 部署 1. 选择 1 台 GVM, 在 Fusion 控制台上选择该 GVM, 然后在选项中如下图所示, 启用防病毒 设置 2. 在该 GVM 的硬件选项中, 选择内存, 将预留内存设置为 100%( 不做该操作虚拟机在启 用上面第一步后将无法启动 ) 3. 安装 pvdriver( 本步骤中的 Pvdriver 必须要在 1.3.10 以上 ) 检查 pvdriver 如果低于此版本, 请卸载后重启, 然后在 portal 上挂载 tools 后, 从对应的 文件夹中查找 pvdriver 安装, 安装完后的界面如下 : 4. 安装轻量级 PCI 共享内存 文件监控驱动, 安装方式如下 : 从发布包中找到如下文件并解压 : Trend Micro Confidential 02/02/2015 23
然后把文件夹下的 挂载给 GVM 虚拟机 挂载完后, 进入光盘目录下, 找到对应操作系统版本的文件后双击运行安装驱动 : 5. 安装完后检查 : 检查 GVM 有如下 2 个驱动和服务模块 PCI 驱动 : 从设备管理器中检查是否有 PCI 驱动 文件监控服务 手工在命令行打如下命令 Sc start 提示 running, 则证明安装成功了 kfileflt, 然后使用查询 sc query kfileflt, 如果 6. GVM 激活步骤一 步骤二 右键选择 Central Management 同步 右键单击一台 GVM, 操作 激活设备 Trend Micro Confidential 02/02/2015 24
激活后在 DSM 上看到 GVM 为 联机 状态且被 SVM 管理 Trend Micro Confidential 02/02/2015 25
6 附录 : 故障排除 求 以下准则提供了不同规模的趋势科技服务器深度安全防护系统部署的一般基础架构要 问题 1 趋势科技服务器深度安全防护系统管理中心管理的计算机上发出 检测到通信问题 警报 或者准备 FusionSphere 时出现脱机 Bundle.zip 错误 或者部署趋势科技服务器深度安全防护系统安全虚拟机时出现脱机 Bundle.zip 错误 或者激活趋势科技服务器深度安全防护系统设备时出现协议错误 解决方案如果遇到上述任何情况, 可能是趋势科技服务器深度安全防护系统管理中心管理的计算机无法解析托管趋势科技服务器深度安全防护系统管理中心的计算机的主机名造成的 确保趋势科技服务器深度安全防护系统管理中心可以解析托管趋势科技服务器深度安全防护系统管理中心的计算机的主机名 : 1. 登录到管理安全虚拟机的趋势科技服务器深度安全防护系统管理中心 2. 转到系统 > 系统信息, 在 系统详细信息 中, 查看 管理中心节点 条目并记下主机名 3. 登录到存在通信问题的计算机 4. 使用步骤 2 中得到的名称执行 nslookup 5. 如果 nslookup 不成功, 您必须修改计算机上的 hosts 文件以使用 DSM 主机名及正确的 IP 地 址, 或更新指定 DNS 服务器上趋势科技服务器深度安全防护系统管理中心计算机的 DNS 条目 问题 2 DSM 主机修改 ip 后, 许多 svm gvm 出现脱机状态 解决方案 DSM 系统 系统信息 管理中心, 修改主机名为当前主机 ip 地址, 如果使用域名需要 保证所有机器 dns 可以识别 Trend Micro Confidential 02/02/2015 26
问题 3 端口扫描显示端口 21 389 1002 和 1720 处于打开状态, 不管执行哪些防火墙规则来关闭它们 解决方案如果在趋势科技服务器深度安全防护系统管理中心上启用了 Windows 防火墙, 则它可能将干扰端口扫描, 从而产生错误的端口扫描结果 Windows 防火墙可以代理端口 21 389 1002 和 1720, 这样不管该主机上放置了任何过滤器, 这些端口都始终显示为打开状态 问题 4 DSM 界面已经出现警告或者错误的用户虚机, 进行其他操作会不生效 解决方案已存在警告或者错误提示的虚拟机, 必须手动清除后再做下一次操作生效 否则下一次操作不生效 问题 5 激活 SVM 报错已经在其他 DSM 激活, 需要停用 Trend Micro Confidential 02/02/2015 27
解决方案如过 SVM 是全新环境, 添加不会有问题, 否则会由于 uuid 不匹配导致激活失败 ; 可以调用 SVM 中 reset agent 脚本来初始化环境即可 ( 之前激活 SVM 正常停用应该也可以初始化, 脚本在之前给你们的文档有描述 ), 脚本位置 /opt/ds_agent/resetagent.sh 问题 6 svm 出现脱机状态? 关闭 svm 防火墙, 查看 ds_agent 状态 #service iptables stop # status ds_agent ds_agent start/running, process 22953 问题 7 svm 上 gvm 配置文件 /var/opt/ds_agent/guests/uuid/amvmcfg.xml Trend Micro Confidential 02/02/2015 28