任子行运维安全审计-实施指南20140721(4)

任天行网络安全管理系统_HAC系列快速配置指

注意事项：

? IP地址默认为192.168.0.1/24，需要确定设备IP可访问服务器的目标

端口。 ? 确定所连接链路是光纤还是以太网线。如果所连接的是光纤，需要通

过串口把地址配置在对应的接口上。串口波特率为115200。

2、 网线连接上应用发布系统的第一个网卡口，通过RDP连接设备，配置对应接

口的ip地址、网关和DNS。 3、 配置运维审计系统的网管策略，允许特定地址来访问运维系统。 常见的错误配置如下。

IP配置的接口不正确。

3.3.5. 配置文件说明

无

3.3.6. 检验配置效果

1、 通过运维管理界面，系统配置中的系统工具，ping 一个在线的服务器地址，是否

能通。Ping 一个DMZ区域外的IP地址，是否能通。tracert www.http://www.wodefanwen.com/或DMZ区域外的一个域名，是否能通。 2、 通过运维管理界面，添加应用发布设备，能否成功。

3、 修改配置用电脑IP地址在网管策略IP地址范围之外，查看能够打开运维管理界面

16

任天行网络安全管理系统_HAC系列快速配置指

4. 产品配置指导

4.1. 基础功能的配置

4.1.1. 软件环境安装

在配置用电脑上安装SecureCRT。 运维客户端工具安装。 测试工具安装。

4.1.2. 硬件环境安装

运维审计系统、应用发布系统都为单臂接入模式。通过B类双绞线接入网络。配置用电脑通过B类双绞线接入网络，并用串口连接运维审计系统。

4.2. 部署常见功能

4.2.1. 功能基本原理

1、 HA功能

通过心跳线连接两台运维审计系统。启用HA功能后，设备会相互检测，出现故障或恢复后自动切换。并可以同步配置。 2、 对网络存储的支持功能

配置并启用网络存储后，系统重启时会自动加载网络存储。运维会话日志数据就会保存到网络存储。 3、 应用发布功能

把需要发布的工具安装在应用发布系统上，在运维审计系统配置后，运维审计系统和应用发布系统通过私有协议通信协作。运维用户就能够直接通过运维审计系统来使用发布的工具。

17

任天行网络安全管理系统_HAC系列快速配置指

4.2.2. 配置过程与方法

1、 HA功能

a) 双绞线连接主设备的WAN3和备用设备的WAN2。 主设备名称为HOSTNAME，WAN3配置172.16.1.3，掩码16，广播地址为172.16.255.255；备用设备名称为HOSTNAME88，WAN2配置172.16.1.4，掩码16，广播地址为172.16.255.255。172.16.1.2为虚拟IP地址， 172.16.161.2为网关地址，并作为探测地址。 b) HA配置--主设备

c) HA配置—备用设备

2、 对网络存储的支持功能

在【系统配置】【网络存储】中配置网络存储并启用

18

任天行网络安全管理系统_HAC系列快速配置指

3、 应用发布功能

详见应用发布配置手册

4.2.3. 配置文件

通过页面配置不需要准备类似与交换机的配置文件。

4.2.4. 检验工具及检验方法介绍

附录A

HA配置

查看HA配置界面主备设备的状态是否分别为active和standby。 附录B

网络存储

重启设备，登录对应网络存储服务器，查看配置目录是否有mysql和reporter目录。 附录C

应用发布功能

在【运维管理】【应用发布】【VDH设备】下，添加应用发布服务器。成功后并点击操作栏中的【监控】按钮，是否能打开监控界面

4.2.5. 周边网络设备配置要点

修改网关或防火墙配置，确保允许外部访问运维审计系统的443、2121、2222、3389、4002、5900、7000、9090端口。如果不需要外网用户登录运维系统可以不进行调整。

19

任天行网络安全管理系统_HAC系列快速配置指

5. 常见问题

5.1. HA没有显示Active或Standby状态

1、 确认两台运维审计系统是否都启用HA功能。

2、 确认两台运维审计系统配置的对方节点名称是否正确。 3、 确认两台运维审计系统的主设备配置是否完全相同。

4、 确认两台运维审计系统对应接口是否直接连接，且网卡状态正常。

5.2. 日志数据无法保存到网络存储

1. 确认网络存储配置页面所提供网络存储服务器可用。 2. 确认网络存储配置的路径存在。

3. 确认网络存储配置的用户名和密码正确，且具有访问对应路径的权限。

5.3. 无法使用IP地址打开运维管理或运维用户界面

1、 确认网卡是否连接是否正常，且网卡指示灯是否显示正常。

2、 用串口连接设备，进入系统，用ifconfig命令确认对应网卡是否启用，用netstat -an

确认运维审计系统9090和443端口是否启用。串口波特率为115200。用户名为root, 密码为root*PWD。

3、 如果串口无法登录系统，属于系统安装故障。如果能登陆，对应网卡已启用，但对

应端口没有启用，属于系统配置故障或系统故障。这种场合请与安装人员联系。

20