【IT168 技术】近年来云计算业务发展迅速，尤其是基于IAAS的基础架构云，使得操作系统的创建颇为容易，只需要点一个按钮就可完成操作系统创建，这就使得机器数量的扩展极其容易。面对机器体量的迅速扩大，安全威胁也同样高速演进变化，这就促使防御技术也要快速改善。

　　IBM Bigfix配置和安全管理平台，可以帮助企业自动检查和明确公司之中有哪些个人电脑、服务器和虚机等不符合公司IT安全标准，并进行自动标识，提交给IT管理员。Bigfix可以在数分钟之内为50万台以上的终端修复安全漏洞和打补丁。可以帮助企业实现计算机安全性与合规性的管理与更新自动化，以更加智能的方式保障企业安全。

　　本文以IBM Bigfix9.5版本为例结合项目实践，为读者提供一套完整的在windows 2008环境中Bigfix的安装和部署方案仅供读者参考。主要包括以下内容：

　　1、 Bigfix简介

　　2、 Bigfix部署环境要求

　　3、 Bigfix安装配置

　　4、 Bigfix部署常见问题

　　5、 小结

　　1. Bigfix简介

　　IBM Bigfix是Bigfix管理员用来管理、维护和报告系统安全的一套应用程序，主要是基于系统和产品层面的解决方案，旨在帮助企业和政府机构实现更智能、更快速的终端安全与管理。它可以查看和管理物理和虚拟终端包括服务器、台式机、笔记本电脑、漫游的专用设备如销售终端设备、自助取款机、自助服务亭等。一旦威胁出现，Bigfix可以快速修复，保护终端安全，并出具实时的报告。通过在复杂的网络环境下，实现复杂的密集性任务，来控制成本，降低风险，同时遵守安全合规。

　　IBM Bigfix可以解决以下问题：

　　1、 更好的管理分布式终端

　　2、 确保投入的成本发挥到真实的效用

　　3、减少管理终端的人力、物力和财力成本

　　4、有效管理相当数量的多操作系统平台的终端

　　5、自动化管理服务器，如集群服务器补丁和顺序服务构建

　　6、 通过集成提高了智能化水平，集成了现有工具和流程和安全监控

　　7、通过对安全性策略的集中管理和实施实现了安全性的非常好的实践

　　8、报告、治理与合规功能，促进对安全状态和问题的沟通

　　IBM Bigfix包括但不仅仅局限于操作系统补丁和安全检查管理，对于补丁和安全检查的管理，目前Bigfix支持以下操作系统：

　　· RHEL-Autopatch+Healthcheck+Console

　　· Centos-Autopatch+ Healthcheck + Console

　　· SLES-Autopatch+ Healthcheck +Console

　　· AIX-Autopatch+ Healthcheck Console

　　· Solaris/Sun-Autopatch+ Healthcheck +Console

　　· Windows-Autopatch+ Healthcheck +Console

　　· Windows Server-Autopatch+ Healthcheck +Console

　　· Mac OS X –Console

　　· HPUX – Healthcheck +Console

　　· ESX - Healthcheck +Console

　　2. Bigfix部署环境要求

　　Bigfix虽然是很大的一个应用程序，所支持的终端也非常广泛，但是对环境要求其实并不高，通常我们使用的服务器、个人电脑等都能满足要求，下面给出的是详细的资源需求以供读者参考：

　　· 硬件要求：在安装Bigfix之前，请确保系统有足够CPU、内存和足够的磁盘空间来执行安装和存储数据库。对数据库磁盘空间要求的基本规则是要有最小存储空间的两倍空间，以满足数据库增长的需要，包括Bigfix数据库内的数据移动的临时空间分配。基于Windows部署，数据库的大小可以通过Microsoft SQL Server Management Studio 确定。详细的硬件要求如下：

　　最小CPU：1 Ghz

　　最小内存：512 MB

　　最小存储空间：2 GB

　　· 软件要求：必须安装在所支持的操作系统，操作系统和Bigfix版本的对应关系如下：

　　Windows Server 2008(x86/x64)--Bigfix7.0.9+

　　Windows Server 2008 R--Bigfix 8.0+

　　Windows 7(x86/x64)--Bigfix 8.0+

　　Solaris 10(x86/x64)--Bigfix 8.0+

　　RHEL 5(x86/x64)--Bigfix 8.0+

　　RHEL 6(x86/64)--Bigfix 8.2+

　　SUSE 11(x86/x64)--Bigfix 8.2+

　　AIX 6.1--Bigfix 8.1+

　　AIX 7.1--Bigfix 8.2+

　　在实际的项目需求中，读者可以根据自己的实际需要选择硬件和软件配置，当然配置越高，Bigfix运行的性能越好。值得注意的是在选择配置的过程中，需要考虑到后续的可持续发展问题，Bigfix运行过程中会产生大量的数据和日志文件，所以需要充分的硬盘空间来存储这些数据。

　　· 部署模型

　　一个典型的Bigfix部署模型是必须要有一个Bigfix服务器，Bigfix服务器会从网上收集消息，我们称之为Fixlet，这些消息可以由控制台操作员查看并分发给中继服务器，再将数据转发到客户端，客户端检查其本地计算机的配置与Fixlet的匹配情况，并把报告汇总到中继服务器，中继服务器进行数据压缩并汇报给Bigfix服务器。

　　控制台可以监控整个活动执行过程，并连接到Bigfix服务器，定期更新视图和其他新的信息，当发现漏洞时，控制台操作员可以对目标客户端进行自动补丁更新和其他的修复操作，修复的执行情况可以实时监控跟踪，并逐一的消除漏洞和错误。

　　下图的部署模型可以比较清晰的反应出Bigfix部署结构和工作执行情况：

▲Bigfix部署模型

　　3. Bigfix安装配置

　　如果是在生产环境安装配置Bigfix，需要首先从IBM购买授权许可，当然如果是作为演示或者学习之用，您也可以选择安装评估版本，可以试用30天。

　　因为Bigfix是一个安全管理平台，所以自身的安全问题是需要首先考虑问题，它通过尽量减少可信任的访问人员数量和集中管理公有和私有秘钥来实现Bigfix自身的安全。Bigfix通过中央仓库集中管理公有和私有密钥，来防止非授权的访问，所以在开始安装之前需要先从IBM获取授权文件，名字类似于*.BESLicenseAuthorization的文件。安装程序会进一步收集部署信息，然后创建刊头文件，刊头文件通过公有密钥的方式把配置信息(如IP地址、端口等)和授权信息(如多少个授权和授权时间)编译在一起，用来验证数字签名。Bigfix安装工具可以用来创建和维护数字签名和刊头文件，安装文件可以从IBM官方下载。

　　3.1 安装程序下载

　　Bigfix的安装文件可以从http://support.bigfix.com/bes/install/downloadbes.html或者http://www.ibm.com/developerworks/downloads/tiv/endpoint/下载。用作演示的安装文件和生产环境的安装文件是同一个，只是在安装过程中做不同的选择即可，

　　可以下载表中所示的文件作为安装文件：

▲Bigfix安装文件

　　在windows环境下解压，即可得到BigFix_Pltfrm_Install_V95文件夹，在该文件夹里可以找到setup.exe.

　　3.2 创建刊头文件

　　在进行这个步骤之前，需要先IBM官方授权中心注册帐号并拿到授权许可文件，名字类似于：*.BESLicenseAuthorization的文件。有了该文件之后就可以创建刊头文件、安装和使用Bigfix。刊头文件是集中处理访问和授权的活动站点，下面就详细介绍如何创建和启用刊头文件：

　　1.执行安装文件，选择生产选项并接受软件安装许可协议然后执行下一步。

　　2.选择用IBM Bigfix授权许可文件安装，创建私有密钥和刊头文件。

▲安装类型

　　3.选择文件位置并点击下一步，前面提到过是一个*.BESLicenseAuthorization的文件。

　　4.输入DNS名字和IP地址并点击下一步，输入的信息会被记录在许可文件中，在安装客户端的时候，通过许可文件中记录的信息来识别Bigfix服务器。

　　5.为管理员创建密码，通过这种方式来管理所有的Bigfix用户，然后点击创建。

▲创建密码

　　6.保存生成的私有密钥文件(license.pvk)然后点击确定。值得注意的是，如果该文件丢失，只能通过重新安装来生成新的密钥文件，任何得到该文件和密码的人都具有对bigfix所管理的所有客户端的全部的控制权限，所以请一定确保文件和密码的安全。

　　7.需要向IBM提交许可验证请求来验证授权文件、DNS名字和公有密钥。

▲提交验证

　　8.验证向导会从bigfix许可服务器返回一个license.crt文件，把该文件导入到安装文件。

　　9.从许可请求对话框，点击创建，来创建刊头文件。

▲创建刊头文件

　　10.输入刊头文件的各项参数，默认端口是52311 ，然后点击确定会自动弹出Bigfix安装指南。该指南会创建Bigfix服务器、控制台和客户端的安装文件，但并不会自动执行安装，需要手动执行才能安装。

▲设置参数

   3.3 Bigfix组件安装

　　3.3.1 Bigfix服务器组件安装

　　Bigfix服务器是整个bigfix系统的核心，所以要确保运行Bigfix服务器的计算机有比较好的性能和网络访问，并且要保证可以这台计算机可以正确安装MSSQL server来创建数据库和数据表。Bigfix安装包集成了对SQL server的安装，默认会安装在C:\PROGRAM FILES\BigFix Enterprise\BES Server 目录下。Bigfix中级服务器的安装与主服务器安装方式相同，所以略过不表。

　　过程：

1. 运行安装向导。前面我们执行完授权申请和生成刊头文件之后会自动弹出安装向导对话框。然后选择安装服务器。

▲执行安装程序

　　2. 在欢迎页单击下一步。

　　3. 接受许可协议中的条款，单击下一步运行。

　　4. 在服务器安装组件对话框，默认选择安装所有组件，然后下一步。

▲选择安装组件

　　5. 在数据库复制对话框，选择单个数据库或主数据库。首次安装只能选择主数据库，如果已经有主数据库可以选择复制的数据库。

　　6. 在选择数据库对话框，选择使用本地数据库。如果想用其他的计算机管理bigfix数据库，它必须是已经安装了SQL Server 才可以，通常我们选择使用本地数据库。然后下一步。

▲选择数据库

　　7. 服务器组件的默认安装路径是C:\Program files\Bigfix enterprise\BES server ,当然也可以自己选择安装路径。然后下一步。

　　8. 在服务器属性对话框，默认给出了服务器通过网络访问的根文件夹，这里是客户端下载文件的地方。当然也可以修改文件路径。

▲服务器属性

　　9. 在web report属性对话框显示的是web report的存储路径和端口信息，Bigfix 9.5默认是8083。

▲web报告属性

　　10. 安装程序会弹出所有安装参数信息，以备复查。单击下一步继续。

　　11. 在站点管理专用密钥对话框，选择license.pvk的位置，并确定。

　　12. 数据库初始化之后，需要输入Bigfix 控制台的初始帐号和密码，该帐号用作第一次登录控制台，是具有完全特权的主操作账户，所以一定要妥善保存。进入下一步完成安装。

　　3.3.2 Bigfix控制台组件安装配置

　　Bigfix控制台的安装相对简单很多，控制台是用来通过网络来实现操作监控和问题修复，只要是可以通过网络或者52311端口链接到服务器的任何一台计算机都可以安装控制台。其安装配置过程如下：

　　过程：

　　1. 运行安装向导，选择安装控制台。

　　2. 在安装位置选项，默认安装在C:\Program file\Bigfix Enterprise\BES console。也可以选择其他的安装路径。

▲ 选择路径

　　3. 等待文件执行完毕，完成安装。

　　3.3.3 Bigfix客户端安装

　　对于每一台需要bigfix管理的计算机都要安装客户端，当然也包括运行控制台的计算机，这样服务器就可以主动推送一些比较重要的信息到计算机比如安全补丁，配置文件，或是升级等等。

　　如果是在装有控制台的计算机上安装客户端，可直接选择本地安装，按照向导一步步执行下去即可。

　　如果是用客户端部署工具安装，则有以下三种安装方式：

　　1.查找使用活动目录的计算机

　　2.查找使用域的计算机

　　3.查找列表中指定的计算机

▲客户端部署

　　值得注意的是，如果是在小的网络空间内，比如计算机数量在5000台以下，我们可以通过活动目录或者NT域的方式来完成客户端在windows上的部署，如果是在大的网络环境下，我们则需要寻找另外的更有效的部署方式。客户端部署工具只是给我们提供一种相对简单便捷的部署方式。但是还是有一些限制条件的：

　　1. 所部署的计算机必须要有活动目录或者域，并且必须链接到域。

　　2. Bigfix客户端部署工具只能运行在windows2003以上的计算机上，我们推荐是Windows2008以上的计算机。

　　3. 部署的计算机不能存在安全问题，并且DNS必须正确配置。

　　这些设置都完成之后，bigfix会自动获取到活动目录或域控里的机器列表进行安装。我们可以根据安装向导一步步完成，这里不再赘述。

　　4. Bigfix部署常见问题

　　部署过程中需要多少个服务器?

　　大多数部署只需要一个服务器就够了，您可以将不同控制台操作员的管理权限分开，只允许他们查看自己的计算机。

　　部署过程中需要多少个客户端?

　　每一台服务器、笔记本电脑、台式机或者其他执行安装了代理的客户端都被认为是一个单独的客户端许可。客户端数量跟服务器性能成正比。

　　部署过程中对服务器的要求是什么?

　　服务器配置越强大，性能可以发挥的越好。

　　多少个控制台操作者可以用终端管理器?

　　越多的控制台操作者连接，就需要服务器有越强大的性能。

　　是否有对网络带宽有限制?

　　终端管理器的最大优点就是多种环境中工作，包括非常小的带宽(可以是4kbps到128kbps)

　　什么条件下需要用到中继服务器?

　　为提升性能，我们建议每500-1000 客户端用一个中继服务器。中继服务器可以运行在共享计算机上，比如文件服务器，打印服务器，防病毒服务器等。

　　怎样部署客户端?

　　可以有多种部署方式，包括第三方部署程序、脚本、客户端部署工具等。

　　对终端管理器在安全规则上有什么要求?

　　确保证书文件安全，确保安全备份了证书文件和密码。一旦丢失，IBM不负责找回。

　　5. 小结

　　Bigfix为企业的安全提供了一整套的解决方案，是很大的一个系统工程，很难在一篇文章中全面讲述清楚每一个部分，所以本文着重从整体上介绍bigfix如何实现企业在生产环境的安装部署，也是因为结合了作者在工作中的实际经验，旨在帮助有需要的读者做以参考，也希望读者可以对Bigfix产品有一个比较全面的了解。信息技术发展迅速，必然带来更多的安全问题，Bigfix可以让安全管理变的简单便捷，更高效，更自动化，为企业提供安全保障的同时也节省了很大的人力成本。