4.8. Установка сервера анализа трафика

Установка компонент, осуществляющих фильтрацию и анализ трафика, осуществляется в следующем порядке:

  1. Проверяем, что ранее были установлены и настроены сервер баз данных (см. раздел 4.6 «Установка сервера базы данных системы FraudWall»), а также сервер управления системы FraudWall (см. раздел 4.7 «Установка сервера управления системы FraudWall»).

  2. Выполняем команду установки компонент анализа трафика: yum install fraudwall-site

  3. Выполняем команду синхронизации сертификатов с сервера управления: fw_cert

  4. Выполняем команду получения конфигурации профилей с управляющего WWW-сервера системы FraudWall: fw_control -u profile

  5. Открываем в Midnight Commander файл /var/log/fraudwall/fw_control.log на чтение и проверяем его на наличие ошибок.

    Внимание

    При наличии ошибок необходимо удостовериться в наличии необходимых доступов на межсетевых экранах (должен быть открыт доступ по TCP порту 1000 с данного сервера на управляющий WWW-сервер). Если устранить ошибки не удалось, необходимо обратится в техническую поддержку.

  6. Выполняем команду получения конфигурации Web-сайтов с управляющего WWW-сервера системы FraudWall: fw_control -u site

  7. Повторно открываем в Midnight Commander файл /var/log/fraudwall/fw_control.log на чтение и проверяем его на наличие ошибок.

    Примечание

    Чтобы быстро проверить файл на наличие ошибок, при его просмотре нажмите кнопку F7 и поищите текст [err], [warn], error или ошибка.

4.8.1. Установка модуля BSI на сервер FraudWall (предварительный этап)

Примечание

Данный раздел нужно выполнять только если сервер анализа трафика будет являться WWW-сервером системы ДБО BS-Client

Установка модуля BSI состоит из 2 этапов:

Процедура установки и настройки программного обеспечения модуля BSI следующая:

  1. Подключаемся к серверу файловым менеджером по протоколу SFTP(SCP) и копируем скаченный ранее установочный дистрибутив с Sun Java JRE (например, jre-7u3-linux-i586.rpm) во временную директорию /tmp

  2. В SSH-консоли запускаем Midnight Commander: mc

  3. Переходим в директорию /tmp

  4. Запускаем команду установки Sun Java JRE (указываем точное имя скаченного rpm-файла дистрибутива Sun Java JRE), например: rpm -i jre-7u3-linux-i586.rpm

    Если в процессе установки появились ошибки об отсутствии файлов с расширением .pack, то их можно игнорировать:

    Рисунок 22. Ошибки инсталлятора JRE от Oracle, которые можно игнорировать

    Ошибки инсталлятора JRE от Oracle, которые можно игнорировать

  5. Выполняем команду установки компонент системы FraudWall, необходимых для работы модуля BSI ДБО BS-Client: yum install fraudwall-bsi

  6. В Проводнике Windows открываем сетевой диск bsi (либо в файловом менеджере по протоколу SFTP(SCP) переходим в директорию /etc/tomcat6/RT_Ic)

  7. Копируем в нее файл bsi.jar с Web-сервера BS-Client (как правило, он располагается в папке C:\BSSystems\Inetpub\Bsi_scripts\RT_Ic\)

  8. Для работы модуля BSI требуется конфигурационный файл bsi.xml, который должен располагаться в папке /etc/tomcat6/RT_Ic/ на сервере анализа трафика.

    В комплекте FraudWall есть готовый файл bsi.xml.sample, который вы можете скопировать под именем bsi.xml или же создать средствами bsiset.exe (12.3 «Формирование bsi.xml в формате Linux»)

4.8.2. Установка модуля BSI на сервер FraudWall (завершающий этап)

Внимание

Приступать к выполнению действий данного раздела можно только после установки на сервер анализа трафика модуля анализатора трафика, а также модуля фильтрации HTTP-трафика (4.8 «Установка сервера анализа трафика»).

  1. На сервере RTS BS-Client добавляем IP адрес созданного сервера BSI в список соединений (порт аналогично тому BSI, который ранее использовался, как правило, это 12060):

    Рисунок 23. Добавление нового сервера BSI в конфигурацию сервера RTS BS-Client

    Добавление нового сервера BSI в конфигурацию сервера RTS BS-Client

  2. Открываем WWW-интерфейс системы FraudWall и открываем пункт «Конфигурирование» в меню «Система», вкладка «Web-сайты».

  3. Уточняем номер ID сайта, который создан для сайта ДБО BS-Client с модулем BSI, устанавливаемого на сервер FraudWall:

    Рисунок 24. Автоматически сгенерированный ID сайта

    Автоматически сгенерированный ID сайта

  4. В Проводнике Windows открываем сетевой диск siteN (либо в файловом менеджере по протоколу SFTP/SCP переходим в директорию /etc/fraudwall/site/www/siteN), где N-номер ID сайта

  5. Копируем в нее актуальное содержимое Web-сайта системы BS-Client. Как правило, Web-сайт располагается на Web-сервере BS-Client в папке C:\BSSystems\Inetpub\Bsi_sites\rt_ic\

  6. Открываем Internet Explorer и соединяемся с созданным Web-сайтом системы FraudWall. Должен открыться стандартный интерфейс клиента ДБО BS-Client.

    Примечание

    Если сайт не открывается, то смотрим журналы событий модуля BSI (файлы в директории /var/log/tomcat6) и Apache (файлы в директории /var/log/fraudwall) и устраняем зафиксированные ошибки совместно со службой технической поддержки.

4.8.3. Действия при обновлении файлов сайта ДБО BS-Client

Примечание

Действия этого раздела необходимо выполнять только если модуль BSI системы BS-Client установлен непосредственно на сервер анализа трафика

При установке модуля BSI на сервер анализа трафика, данный сервер фактически выполняет роль WWW-сервера системы BS-Client, с которым работают клиенты банка. Поэтому, в процессе обновления системы BS-Client, необходимо также обновлять содержимое соответствующего WWW-сайта на сервере FraudWall.

Для этого, с помощью Проводника Windows подключитесь с сетевому диску \\IP_адрес\siteN (где N-идентификатор сайта в конфигурации FraudWall) и выложите обновления.

После наката обновлений рекомендуется полностью перегрузить операционную систему как сервера FraudWall, так и сервера RTS

Внимание

При замене файлов сайта не забывайте изменять номер версионного каталога BS-Client, т.к. в браузере клиента некоторые файлы могли закешироваться.