启明星辰——天镜安装

1关闭防火墙直接安装天镜

默认安装在c盘

安装完重启

页面登录，管理员默认用户名/密码：venus

venustech60，登录后可以修改密码（le。。。39）

2在线升级漏洞库

漏洞升级失败重启虚拟机

重启之后升级到2014年 继续升级

经历了5次升级终于到2020年3月最新版本

生成报表

总结下扫描器情况：

扫描中特别注意

1扫描过程中，避免扫挂，线程数一定要调低，或者找晚上时间扫，不耽误正常生产环境运行。

2对于数据量庞大（比如：银行系统）要分任务，分阶段扫描。

3注意服务器的安全配置

4漏扫之前最好还是和客户或者公司相关部门沟通好再操作。

对比扫描器体验优缺点:

针对目前使用过的扫描器中：

启明(天境): web扫描需要安装加密狗才能使用， 系统扫描不稳定，对于初次使用，升级最新版本用了5次重启了4次虚拟机。扫描速度较快，报告清晰，完整。

AWVS:漏洞库全, 功能齐全,漏洞扫描速度快,漏洞准确,不能汉化需要谷歌浏览器翻译。

Appsca：IBM出品，这款扫描器功能还不错， 支持中文报表,但是扫描速度对比awvs慢很多,漏洞误报很多。对于安装流程中一定注意要补丁装好，管理员权限下操作！

国产操作系统概念股有：

1， 网达软件    603189    

2，天玑科技    300245    

3，实达集团    600734    

4，北信源    300352    

5，启明信息    002232    

6，湘邮科技    600476    

7，诚迈科技    300598    

8，神思电子    300479    

9，绿盟科技    300369    

10，飞天诚信    300386    

11，东土科技    300353    

12，御银股份    002177    

13，恒宝股份    002104    

14，浙大网新    600797    

15，国美通讯    600898    

16，洲明科技    300232    

17，中科创达    300496    

18，东软载波    300183    

19，中国长城    000066    

20，浪潮软件    600756    

21，航天通信    600677    

22，中新赛克    002912    

23，三六零    601360    

24，顺网科技    300113    

25，兆驰股份    002429    

26，紫光股份    000938    

27，恒银金融    603106    

28，卫 士 通    002268    

29，恒为科技    603496    

30，海格通信    002465    

31，长江通信    600345    

32，中国软件    600536    

33，四维图新    002405    

34，浪潮信息    000977    

35，华胜天成    600410    

36，榕基软件    002474

扩展资料

代表系统：

1，红旗Linux

红旗linux是中国较大、较成熟的Linux发行版之一，也是国产较出名的操作系统，与日本、韩国的Linux厂商，共同推出了AsianuxServer，并且拥有完善的教育系统和认证系统。

2，中兴新支点操作系统

中兴新支点操作系统基于Linux稳定内核，分为嵌入式操作系统（NewStart CGEL)、服务器操作系统（NewStart CGSL）、桌面操作系统（NewStart NSDL）。 

3，深度（Deepin）

deepin是一份致力于为全球用户提供美观、易用、安全、免费的使用环境的Linux发行版。它不仅仅包括对全球优秀开源产品进行的集成和配置，还开发了基于Qt5技术的深度桌面环境、基于Qt5技术的自主UI库DTK、系统设置中心，以及音乐播放器、视频播放器、软件中心等一系列面向普通用户的应用程序。

4，普华Linux（i-soft）

普华Linux是由普华基础软件股份有限公司开发的一系列Linux发行版， 包括桌面版、服务器版、国产CPU系列版本，IBM Power服务器版、HA和虚拟化系列等产品。

5，威科乐恩Linux

是由威科乐恩（北京）科技有限公司开发的一服务器操作系统，旨在帮助企业无缝地过渡到包含虚拟化和云计算的新兴数据中心模式。

6，银河麒麟

银河麒麟：是由国防科技大学、中软公司、联想公司、浪潮集团和民族恒星公司合作研制的闭源服务器操作系统。此操作系统是863计划重大攻关科研项目，目标是打破国外操作系统的垄断，银河麒麟研发一套中国自主知识产权的服务器操作系统。银河麒麟完全版共包括实时版、安全版、服务器版三个版本，简化版是基于服务器版简化而成的。

7，中标麒麟Linux（原中标普华Linux）

中标麒麟Linux桌面软件是上海中标软件有限公司发布的面向桌面应用的操作系统产品。

国内无盘技术介绍以及解析

文/yy 出处：ITcomcn(IT世界网)

一、市场上无盘产品简介

１、BXP

　　BXP是美国Ventuacom公司推出的无盘XP产品，世界上第一套纯软件实现的无盘XP产品。

　　BXP初始启动采用Intel PXE，启动系统后采用UDP传输协议，从存储设备驱动程序一级模拟了一个Scsi miniport设备。采用UDP传输协议的优势在于UDP反应速度快，在比较小的规模时，服务器可以为客户机提供最大的数据吞吐量。但缺点是在客户机比较多时，服务器的压力增大，效率下降，因此无法带动比较多的客户机。由于提供的配置工具过于简单，选项过于繁杂，因此无盘XP系统的配置过程非常复杂，需要非专业人士方可掌握。

　　BXP服务器端采用Windows 2000/2003 Server，客户端支持Windows XP。

　　ＢＸＰ正版销售价格昂贵，目前市场上见到的基本为盗版。

２、EHD

　　EHD是台湾顺昱公司出品的一套基于硬件实现的无盘系统，由于它安装配置简单，在９８系统上很稳定，目前在无盘98的市场上应用很广，在国内拥有一定的份额。但基于无盘XP的应用还未见成熟。

　　EHD采用自已定义的一套网络协议，在小规模应用时速度很快，系统运行稳定可靠，但由于其服务器没有成熟的操作系统支持，并且服务器端不能采用多网卡来均衡网络流量，因此无法发挥出服务器的最大能力，因此在支持无盘XP方面，单台服务器支持的客户机数量有限。

　　EHD客户端需安装一块虚拟硬盘卡，服务端也需要安装一块卡来为客户端提供数据。因此该产品价格较贵。

　　EHD服务器端不需要操作系统的支持，客户端支持Windows 98/2000/XP。

３、锐起无盘XP

　　锐起无盘XP是上海锐起信息技术有限公司集多年网络平台研发经验推出的用于远程启动Windows 2000/XP的网络平台软件，也是国内第一家自主研发的无盘XP产品。锐起公司的无盘98产品（启明星无盘网络系统、锐起无盘网络系统）在中国市场已广泛应用。

　　锐起无盘XP初始启动采用Intel PXE，启动系统后采用TCP协议，可以最大程度的利用服务器的网络和存储资源，同时服务器端可以采用多网卡、硬盘阵列等提高服务器的网络和存储吞吐量，增加单台服务器所能带的客户机数量。

　　由于锐起无盘XP的所有部件都是完全自主研发的，了解国内人员的使用习惯，管理员只需在一个统一的管理界面中对无盘XP系统进行管理，配置简单，一般技术人员可以在较短时间内掌握。

　　锐起无盘XP无需对客户机和服务器硬件做任何更改，客户机只需要有Intel PXE启动代码即可。

４、其他无盘XP系统

　　除BXP、EHD和锐起无盘XP外，目前国内还有一些厂家，宣称自己有无盘XP系统的产品，但由于不具备深层的开发能力，这些产品大部分都是盗用了其他软件的核心部件即客户端的虚拟磁盘驱动程序，把文件中涉及到版权和公司的字符串用二进制编辑工具处理掉，再配合自己的服务端程序组装而成。

　　该类产品基本分为三类：

　　Ａ、采用微软iScsi Initiator的产品：微软iScsi Initiator是集成在Windows Server 2003中的一个部件，用于实现网络磁盘的安装和管理，目前国内有一些公司把这个部件从Windows Server 2003中提取出来，用做无盘XP的客户端部分，并且根据iScsi协议开发了服务端的服务程序，从而实现了XP的无盘启动。

　　Ｂ、盗版BXP产品：盗版BXP的产品目前已发现多例，很多这样的产品都号称自己的产品与BXP兼容，谎称是依照BXP的结构和思路实现的。但经分析表明，这些产品全部采用了BXP的客户端核心驱动程序的文件，有些对文件做了简单的处理，以防止他人识别出来，还有的根本未对文件本身做过处理，只是简单的把文件改名。

　　Ｃ、盗版ＥＨＤ产品，由于盗版产品往往低价取胜，由于该类盗版需要硬件，成本高，仅个别公司盗版该产品。

　　以上三类产品，由于核心部件采用了他人的成果，这些产品必须分析出原产品的网络通讯模型，并配合自己的服务端，这样的产品不可避免的会有一些缺陷，如客户端运行不稳定、服务端服务能力差、一些必要的功能无法实现、软件无升级空间等。遇到厂商的盗版打击，这样的公司往往难以维继，不能提供软件产品的后续支持和服务，而对于无盘系统这样的系统级产品，没有服务带来的灾难是致命的。这也是北方网吧这些年来谈到无盘色变的根本原因，盗版的盗版（盗版软件本身再被实力弱的经销商再次盗版）造成了没有服务的无盘系统在更看重服务的北方遭到抛弃。

EHD无盘因为是基于硬件实现的无盘系统，所以成本高，做的很少！bxp跟锐起都是基于软件，所以在安装跟维护上都非常方便，而且盗版做得比较多，稳定性还是可以放心的，如果你对电脑和局域网比较了解的话，完全可以自己动手制作，网上有破解版的锐起跟BXP软件下载，也有相关的安装说明！

任何技术都存在现实的两面性，ARP欺骗阻断对于内网安全产品而言，需要科学合理运用才能发挥最大的功效。国内信息安全领军企业启明星辰公司在内网安全管理产品的诸多底层技术方面开展了积极的实践探索，并提出了新的防止非法接入的手段和思路。

　　ARP（Address Resolution Protocol是地址解析协议），是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）。简单说，IP地址与MAC地址之间就必须存在一种对应关系，而ARP协议就是用来确定这种对应关系的协议。

　　ARP欺骗阻断：在同一个IP子网内，数据包根据目标机器的MAC地址进行寻址，而目标机器的MAC地址是通过ARP协议由目标机器的IP地址获得的。每台主机（包括网关）都有一个ARP缓存表，在正常情况下这个缓存表能够有效维护IP地址对MAC地址的一对一对应关系。但是在ARP缓存表的实现机制和ARP请求应答的机制中存在一些不完善的地方，容易造成ARP欺骗的情况发生。

　　由于ARP欺骗的阻断方式技术实现较简单，就被国内大部分厂商所采用，特别是针对未注册阻断、非法访问的阻断等，往往都采用ARP欺骗的阻断方式。

　　二、ARP欺骗阻断的不足

　　首先，采用ARP欺骗阻断方式对网络的负荷影响很大。

　　ARP工作时，首先请求主机会发送出一个含有所希望到达的IP地址的以太网广播数据包，然后目标IP的所有者会以一个含有IP和MAC地址的数据包应答请求主机。在ARP欺骗阻断的实现中，一个ARP请求可能会收到数十个、设置数百个ARP应答，有些ARP欺骗阻断程序还通过主动发ARP请求实现欺骗，因此，在网络中采用大量发ARP包的动作对于网络资源的占用是十分巨大的，可能导致网络设备性能下降，影响用户正常的业务。

　　其次，ARP欺骗阻断方式准入效果不可靠。

　　ARP欺骗并不能100%保证有效，比如目标机器的ARP应答包和欺骗包都能正确达到ARP请求者，请求者是否被欺骗还存在一定的机率，或者客户端安装了防ARP欺骗的软件，如果采用ARP欺骗包来实现终端设备的准入控制，效果就可想而知，其自身的缺陷，使得准入的可靠性大为降低。

　　最后，ARP欺骗阻断和真正的ARP欺骗难以区分。

　　在一个网络内如果启用了ARP欺骗阻断，当真的发生ARP欺骗时，后果将是灾难性的。用户将不能区分主动的ARP欺骗阻断和真正的ARP欺骗，将给用户的故障排除带来极大的困难，严重影响用户业务。另一方面，在大多数的ARP欺骗阻断实现中，往往是子网内的所有电脑同时对目标电脑进行欺骗，如果目标电脑无需受欺骗后，要求所有电脑停止对其进行欺骗，而此时如果个别电脑没有收到停止欺骗的指令，将导致目标电脑持续不能正常访问网络，导致用户运维事故。

　　三、内网安全产品的新型阻断方式

　　综上所述，ARP欺骗的阻断方式存在很多问题，因此内网安全产品应该辨证地使用这一方式，启明星辰在其天珣内网安全风险管理与审计系统中提出了不同的思路。

　　1 避免单一，采用多种阻断方式

　　天珣内网安全风险管理与审计系统在终端接入边界交换机，可以通过网络准入控制手段阻断不合法的终端接入内网，同时，在后台重要服务器中，通过应用准入控制，实现阻断不合法的终端访问重要服务器和服务资源。也就是说，从内网接入边界、后台服务器资源和客户端自身实现无缝的准入控制。在不支持网络准入和应用准入两项条件的环境下，天珣产品虽然也使用了ARP欺骗的阻断方式，但是，这种阻断方式被大大规范和限制，特别是在个人防火墙只要拦截到ARP欺骗的攻击，就会立即制止客户端向其他客户端发送欺骗包，从而彻底改变了ARP欺骗的不利局面。除此之外，启明星辰天珣内网安全系统与天清汉马USG一体化安全网关（UTM）形成UTM平方统一安全套件，提供外网边界准入控制，可以实现阻断不合法的终端访问internet。

　　2 主动防御ARP欺骗

　　启明星辰天珣内网安全系统通过检查IP数据包包头，可确保数据包欺骗不能发生。通过监控网络行为的发起进程，防止木马以隐藏进程方式进行网络访问。通过监控ARP请求或应答包，自动绑定网关MAC，拒绝延迟的ARP应答包等方式，防止内网ARP欺骗侵害。内置强大的企业级主机防火墙系统，采用访问控制、流量控制、ARP欺骗控制、网络行为模式控制、非法外联控制等手段，实现了针对计算机终端的威胁主动防御和网络行为控制，从而保证计算机终端双向访问安全、行为受控，有效防护疑似攻击和未知病毒对企业内网造成的危害。

　　3 基于终端网络行为模式的威胁主动防御

　　启明星辰天珣内网安全系统具备基于终端网络行为模式的威胁主动防御机制，通过集中控制每台计算机终端的网络行为，限定网络行为的主体、目标及服务，并结合计算机终端的安全状态控制网络访问，可以有效切断“独立进程型”蠕虫病毒的传播途径及木马和黑客的攻击路线，弥补防病毒软件“防治滞后”的弱点。通过监控TCP并发连接数，减缓蠕虫病毒对网络造成的损害。通过监控UDP的发包行为，限制异常进程的网络访问。

　　启明星辰天珣内网安全系统紧密围绕“合规”，内含企业级主机防火墙系统，通过“终端准入控制、终端安全控制、桌面合规管理、终端泄密控制和终端审计”五维化管理，全面提升内网安全防护能力和合规管理水平。天珣内网安全系统引领了内网安全管理模式的新变革，在行使终端安全管理职能的同时，更与天清汉马USG一体化安全网关（UTM）组成以“网络边界、终端边界”为主要防护目标的UTM平方统一安全套件，协同构建多层次纵深防御体系，改变了“被动的、以事件驱动为特征”的传统内网安全管理模式，开创了“主动防御、合规管理”为目标的内网安全管理新时代。　　　　启明星辰天珣“五维内网合规管理模型”