Deep Security安裝實施方案

DeepSecurity安裝實施方案2014年4月

目錄1 概述 42 環(huán)境準備 42.1 IP地址分配 42.2 網(wǎng)絡(luò)訪問 42.3 部署結(jié)構(gòu)圖 42.4 部署獨立組件虛擬機需求 52.5 程序準備 63 安裝步驟說明 73.1 部署vShield 73.1.1 資源表 73.1.2 部署后配置 73.1.3 部署Endpoint到ESXi 93.2 安裝SQL數(shù)據(jù)庫 123.2.1 資源表 123.2.2 安裝步驟 123.2.3 安裝后配置 123.3 安裝DSM 153.3.1 資源表 153.3.2 安裝步驟 163.3.3 安裝后配置 163.4 部署DS驅(qū)動到ESXi 323.4.1 部署DS驅(qū)動到ESXi主機（維護模式） 323.5 部署DSVA到ESXi主機 343.5.1 資源表 343.5.2 部署DSVA 343.5.3 配置DSVA項 373.5.4 激活DSVA組件 413.6 部署VMwaretools（重啟VM） 43

概述本手冊適用于DeepSecurity9.0的實施，根據(jù)現(xiàn)有環(huán)境情況和虛擬化環(huán)境規(guī)劃。環(huán)境準備IP地址分配網(wǎng)絡(luò)訪問DSM同時部署DSR更新組建，需要申請因特網(wǎng)訪問權(quán)限。其他無防火墻限制，因此不需要內(nèi)部網(wǎng)絡(luò)訪問申請。部署結(jié)構(gòu)圖部署2臺DSM，1臺SQLServer2008數(shù)據(jù)庫。部署獨立組件虛擬機需求部署范圍需求數(shù)量用途系統(tǒng)及應(yīng)用程序需求硬件需求及資源備注電信主環(huán)境VM虛擬機2趨勢DSM管理端，雙機部署VM虛擬主機(Windows2008x64)CPU:2.0G*2/內(nèi)存：8G/硬盤空間：80G提前申請共享存儲VM虛擬機1DSM后臺SQL數(shù)據(jù)庫VM虛擬主機(Windows2008x64)+SQL2008R2CPU:2.0G*2/內(nèi)存：8G/硬盤空間：80G提前申請共享存儲vShieldEndpointManager1VMWareVShieldManager服務(wù)器NA導(dǎo)入OVF模板共享存儲DSVAXX套DSVA無代理防護組件NAESXi本地磁盤空間大于25G本地磁盤，避免自動漂移程序準備以下程序由趨勢科技提供：序號程序名版本語言備注1DeepSecurity9.0SP1中文版2vShieldManager5.1中文版3DeepSecurity序列號9.0SP1中文版

安裝步驟說明當申請的虛擬機到位時可以進行如下步驟進行安裝部署vShield資源表序號資源名稱資源內(nèi)容備注1操作系統(tǒng)DSM準備的服務(wù)器Windows2008R264位需求參見服務(wù)器資源詳細章節(jié)2安裝程序vShieldManager5.1的OVA模版文件3密碼vShieldManager的密碼參見密碼表4IP地址IP：/5/6MASK：Gatwey：54DNS：1DNS：25主機和存儲部署在資源占用較小的ESXi主機和存儲中6操作人員Vmware管理員通過VphereClient完成操作部署后配置IE登錄VshieldManager，以及5/6控制臺用戶名密碼見密碼表配置vcenter信息進行同步vShield服務(wù)輸入3，需要VMware管理員輸入用戶名密碼彈出的安全警告點擊“是”加載vCenter完畢如下部署Endpoint到ESXiVMwareVshieldManager部署Endpoint到ESXiServer訪問管理控制臺/5用戶名：admin密碼：default展開【數(shù)據(jù)中心】到新增加的ESXiServer，點中后，右側(cè)Summery顯示vShieldEndpoint安裝選項，點擊右側(cè)的【Install】刷新到安裝界面，直接點擊【Install】按鈕。安裝過程，頁面將自動刷新，不要參與處理安裝過程將會有添加端口組合防火墻端口的信息在任務(wù)窗口顯示安裝成功后后再次刷新的【Summary】顯示如下圖。

安裝SQL數(shù)據(jù)庫資源表序號資源名稱資源內(nèi)容備注1操作系統(tǒng)DSM準備的服務(wù)器Windows2008R264位，需求參見服務(wù)器資源詳細章節(jié)2安裝程序MicrosoftSQL2008R264位3IP地址IP：MASK：Gatwey：54DNS：1DNS：24密碼Sa賬戶預(yù)設(shè)的密碼，參見密碼表安裝步驟安裝數(shù)據(jù)庫到所分配的主機中安裝后配置在開始菜單中找到SQLServerManagementStudio，打開打開SQL連接服務(wù)器界面，在服務(wù)器名稱處輸入點“.”或輸入“”，身份驗證選擇“SqlServer身份驗證”，并輸入sa賬戶和密碼，密碼詳細見密碼表。點擊連接進入在打開的管理界面，右鍵單擊“數(shù)據(jù)庫”，選擇“新建數(shù)據(jù)庫”新建數(shù)據(jù)庫頁面，在數(shù)據(jù)庫名稱處填寫大寫的“DSM”并確定創(chuàng)建完畢后會在數(shù)據(jù)庫中顯示DSM數(shù)據(jù)庫名稱安裝DSM資源表序號資源名稱資源內(nèi)容備注1操作系統(tǒng)DSM準備的服務(wù)器Windows2008R264位，需求參見服務(wù)器資源詳細章節(jié)2安裝程序DeepSecurity9.0SP1程序3IP地址IP：/2MASK：Gatwey：54DNS：1DNS：25密碼DSM管理賬戶masteradmin預(yù)設(shè)的密碼數(shù)據(jù)庫Sa賬戶的密碼vShieldManager用戶名密碼vCenter管理員賬戶密碼詳細參見密碼表安裝步驟安裝后配置添加vCenter到DSM在IE地址欄輸入:4119點擊“繼續(xù)瀏覽此網(wǎng)站”并輸入用戶名：masteradmin密碼見密碼表進入歡迎界面，取消勾選“Showthisagainafterthenextsign-in”，并點擊close關(guān)閉該窗口打開控制臺頁面如下顯示選擇“Computers”右鍵單擊左側(cè)欄的“Computers”選擇“AddVMwarevCenter”，添加vCenter彈出提示狂輸入vCenter信息，本次僅注冊一廠主環(huán)境和二廠主環(huán)境，逐一添加，重復(fù)第5步開始。并點擊Next繼續(xù)ServerAddress=3（10）ServerPort=443Name=默認Description=FAW-VWUsername=vCenter管理員賬戶，vmware管理員輸入Password=vCenter管理員密碼，vmware管理員輸入彈出提示匡輸入vShieldManager信息，并Next繼續(xù) ManagerAddress=（） ManagerPort=443 Username=admin Password=default驗證vCenter&vShieldManager可以連接過程確認鏈接信息點擊“Accept”繼續(xù)開始注冊添加完畢提示發(fā)現(xiàn)的主機及虛擬機信息，點擊Finish連接成功提示，直接close注冊完畢后控制臺界面如下更新配置手動更新點擊“Administration”管理，并選擇“Updates”在安全更新選項卡最下方點擊“DownloadSecurityUpdates”彈出更新向?qū)?，點擊“finish”完成，并開始更新注意：手冊更新過程時間較長，約30分鐘以上，此時保留該頁面可以進行其他操作更新完畢后會顯示所有更新情況信息任務(wù)更新在“Administration”“ScheduledTasks”中點擊“New”彈出的向?qū)ы撁?，選擇type中“DownloadSecurityUpdates”，“Daily”并點擊Next繼續(xù)StartTime選擇00:30執(zhí)行，EveryDay應(yīng)用主機為AllComputers創(chuàng)建完成信息確認，并點擊Finish創(chuàng)建完成后如下顯示新建的任務(wù)策略模版設(shè)置在Policies中選擇Policies，并選擇New創(chuàng)建新策略NewPolicy策略名稱輸入“電信集團虛擬化防御策略”，在Inhritfrom中選擇DeepSecurity根路徑，并next繼續(xù)默認選擇，點擊next繼續(xù)選擇要部署的主機，并next繼續(xù)初期部署僅選擇“MalwareScan”、“IntrusionPreventionRules”共3個模塊，避免因防火墻及日志審計等引起虛擬機異常，部署穩(wěn)定后逐一測試和條件開啟。確認開啟的模塊，點擊Finish創(chuàng)建完畢點擊close打開策略詳細，開始配置，開啟“MalwareScan”、“IntrusionPreventionRules”的兩個，并保存部署DS驅(qū)動到ESXi部署DS驅(qū)動到ESXi主機（維護模式）注意：提前完成vMontion要部署的ESXi主機上的所有虛擬機到其他主機。登陸管理控制臺，:4119用戶名：masteradmin密碼：見密碼表右鍵單擊要部署的ESXiServer，【操作】【部署ESX…】安裝向?qū)Вc擊【繼續(xù)】安裝過程ESXServer將進入維護模式，確認上面的VM都已經(jīng)遷移到其他ESX主機后點擊【繼續(xù)】部署過程在vshareclient看到狀態(tài)如下安裝完畢后，要選【不，稍后部署?！坎Ⅻc擊【繼續(xù)】完成驅(qū)動部署部署完成后，會在控制臺顯示【已準備】部署DSVA到ESXi主機資源表序號資源名稱資源內(nèi)容備注1本地存儲ESXi主機本地存儲大于20G2IP地址根據(jù)IP地址對照表，對應(yīng)ESXi主機VLANID部署DSVA注意：確認要部署的ESXi主機本地存儲有20G以上空間，確認DSVA的VLANID。登陸DSM控制臺，右鍵單擊新的ESXiServer，【操作】【部署設(shè)備…】部署向?qū)ч_始部署信息填寫：【設(shè)備名稱】規(guī)則為DSVA+ESXServer名稱，如VMMSDSVA1【數(shù)據(jù)存儲】務(wù)必存儲到datastore上，即部署到ESXiServer本機磁盤中，避免PDM自動vMonitonDSVA。【文件夾】選擇當前部署的vCenter名稱；【管理網(wǎng)絡(luò)】選擇虛擬交換機的VLAN(提前確認)填寫【設(shè)備主機名】與上一步設(shè)置的【設(shè)備名稱】相同。在TCP/IP中，根據(jù)已分配IP地址填寫。點擊【繼續(xù)】存儲虛擬磁盤分配，選擇【完整配置格式】。點擊【完成】部署生成設(shè)備軟件包，無需參與SSL證書許可，點擊【接受】如果IP地址已經(jīng)設(shè)置并能正常通信點擊立即激活，否則選擇【不，稍后激活】并點擊【關(guān)閉】配置DSVA項VC中網(wǎng)絡(luò)配置使用vSphereClient登陸vCenter，右鍵單擊已部署的DSVA虛擬機，點擊【編輯設(shè)置】在打開的虛擬機屬性中找到“網(wǎng)絡(luò)適配器1”，點中后在右側(cè)“網(wǎng)絡(luò)標簽”下拉選擇虛擬交換機，【確定】完成配置虛擬機中配置使用vSphereClient打開DSVA的控制臺按鍵盤“F2”進入配置項，輸入的用戶名和密碼都是：dsva鍵盤向下選擇“Con