手册下载
H3C SecCloud OMP安全云管理平台
典型配置指导
Copyright © 2019 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
资源是创建安全服务的必要条件,安全云的组织管理员和组织用户都可以申请资源,下面以申请防火墙资源为例分别介绍两种角色申请资源的操作过程。
必须确保系统中存在需要申请的资源类型及规格数量。
本举例是在安全云V100R001B02D001、H3C Cloud OS E3104、VCF Controller E2506版本上验证的。
(1) 使用组织管理员帐号登录安全云系统。
(2) 点击导航树中的“产品与服务 > 防火墙”,进入防火墙页面,如图1所示。
图1 组织管理员申请防火墙资源
(3) 单击<申请资源>按钮,进入申请防火墙资源页面。
(4) 填写资源名称、选择资源的规格、申请时长、申请数量,单击<立即申请>按钮,如图2所示。
(5) 至此,组织管理员申请防火墙资源操作完成,待系统管理员审批通过即可在创建防火墙时选择相应资源,如图3所示。
(1) 使用系统管理员帐号登录安全云系统。
(2) 点击导航树中的“运营管理 > 我的审批”,选择“待处理”页签,进入待处理审批页面。
(3) 单击防火墙资源申请对应的<同意>按钮,组织管理员申请的防火墙资源即可生效使用,如图4所示。
必须确保该用户所属的组织中存在需要申请的资源类型及规格数量。
本举例是在安全云V100R001B02D001、H3C Cloud OS E3104、VCF Controller E2506版本上验证的。
(1) 使用组织用户帐号登录安全云系统。
(2) 点击导航树中的“产品与服务 > 防火墙”,进入防火墙页面,如图5所示。
(3) 单击<申请资源>按钮,进入申请防火墙资源页面。
(4) 填写资源名称、选择资源的规格、申请时长、申请数量,单击<立即申请>按钮,如图6所示。
(5) 至此,组织用户申请防火墙资源操作完成,待组织管理员审批通过即可在创建防火墙时选择相应资源,如图7所示。
(1) 使用组织用户所属组织的组织管理员帐号登录安全云系统。
(2) 点击导航树中的“运营管理 > 我的审批”,选择“待处理”页签,进入待处理审批页面。
(3) 单击防火墙资源申请对应的<同意>按钮,组织用户申请的防火墙资源即可生效使用,如图8所示。
网络资源(网络、子网与路由器)是创建安全服务的必要条件,安全云系统作为CloudOS的组件,其网络资源是通过CloudOS创建的。网络资源在安全云系统各个服务中的详细配置及应用,请参见相应服务的典型配置举例。
本节不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册或以设备实际情况为准。
本节中的配置均是在实验室环境下进行的配置和验证。如果您已经对设备和系统进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本节假设您已了解网络的基本原理。
本举例是在安全云V100R001B02D001、H3C Cloud OS E3104、VCF Controller E2506版本上验证的。
为确保安全云正确使用CloudOS创建的网络资源,需要在安全云上正确配置云平台参数及VCFC参数。
(1) 使用系统管理员帐号登录安全云系统。
(2) 点击导航树中的“系统参数 > 云平台参数”,进入云平台参数页面,如图9所示。
(3) 单击认证服务地址对应的<编辑>按钮,输入CloudOS认证服务地址,本例为:http://182.9.5.71:5000。
(4) 单击网络服务地址对应的<编辑>按钮,输入CloudOS网络服务地址,本例为:http://182.9.5.71:9696。
(5) 单击管理员帐号对应的<编辑>按钮,输入CloudOS系统管理员帐号信息,本例为:
· 用户名:admin
· 密码:admin
· 所属域:default
· 所属组织:admin
(6) 点击左侧“VCFC参数”菜单项,进入VCFC参数页面,如图10所示。
(7) 单击管理地址对应的<编辑>按钮,输入VCFC管理地址,本例为:http://182.9.5.72。
(8) 单击帐号信息对应的<编辑>按钮,输入VCFC管理员帐号信息,本例为:
· 用户名:sdn
· 密码:123456
网络服务用于为组织提供网络的云服务。管理员通过网络管理功能可以对本系统中的网络进行统一管理以满足云用户的实际需求。
(1) 在顶部导航栏中选择“云服务 > 网络与安全 > 网络”菜单项,进入网络管理页面。
(2) 单击<新建>按钮,弹出新建网络窗口,如图11所示。
(3) 配置网络参数:
· 名称:网络的名称。
· 网络出口:部署计算节点时为可用域指定的网络接口。
· 资源区域:该网络所属资源区域。
· 租期:该网络租期,包括永久、自定义。
· 共享:该网络是否启用共享。
· 分隔ID:该网络的VLAN/VXLAN ID,启用网络分隔ID特性后,方支持配置此参数。
(4) 单击<新建>按钮完成操作。
为了确定网络区域,分开主机和路由器的每个接口,需要在网络中新建若干子网。
(1) 在顶部导航栏中选择“云服务 > 网络与安全 > 网络”菜单项,进入网络管理页面。
(2) 点击待新建子网的网络名称链接,进入网络详细信息页面,如图12所示。
(3) 点击页面右侧区域中的“子网”页签,单击<新建子网>按钮,弹出新建子网窗口。
(4) 配置新建子网的基本参数和高级参数:
· 名称:子网的名称。
· 子网地址:自定义网络的网络地址。
· 网关地址:自定义网络的网关地址,可由管理员手工指定,也可系统自动分配。
· DHCP:该网络是否启用DHCP服务。
· 可分配地址:该网络中可以使用的IP地址范围。
· DNS:该网络中虚拟机使用的DNS服务器IP地址。
· 附加路由:配置在该网络中虚拟机上的静态路由。
(5) 单击<新建>按钮完成操作。
路由器服务用于为组织子网提供互联和互通的云服务。云管理员通过路由器管理功能可以对本系统中的所有路由器进行统一管理以满足云用户的实际需求。
(1) 在顶部导航栏中选择“云服务 > 网络与安全 > 路由器”菜单项,进入路由器管理页面。
(2) 单击<新建>按钮,弹出新建路由器窗口,如图13所示。
(3) 配置路由器参数:
· 名称:路由器的名称
· 防火墙:路由器连接的防火墙设备。
(4) 单击<新建>按钮完成操作。
本节介绍了安全云系统中防火墙服务的典型配置,包括防火墙访问控制规则和规则集的配置。
安全云防火墙是一款云环境下的虚拟安全设备,基于SDN/NFV技术实现,提供用户在云平台中控制外部网络访问虚拟网络的能力。
安全云防火墙根据用户指定的访问策略,监视外部网络访问虚拟网络的流量,采取相应的允许或拒绝动作,保护用户虚拟网络的安全。安全访问策略即安全云防火墙的规则集,包含一组访问控制规则。一个规则是一组网络流量特征与访问控制动作的对应关系。网络流量特征包括访问源地址、源端口、访问目的地址、目的端口以及协议类型。可采取的动作有允许和拒绝,允许即放行匹配特征的流量,拒绝则丢弃匹配特征的数据包。
本节不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册或以设备实际情况为准。
本节中的配置均是在实验室环境下进行的配置和验证。如果您已经对设备和系统进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本节假设您已了解防火墙的基本原理。
在某个虚拟网络中,需要创建一个防火墙服务,限制外部网络访问虚拟网络内部,仅允许外部网络10.1.1.0/24访问内部网络192.168.1.0/24的HTTP服务。
· 使用安全云防火墙服务前,需先向组织管理员或系统管理员申请获得可用服务资源。
· 新建防火墙服务前,需先配置安全云参数、路由器资源。
本举例是在安全云V100R001B02D001、H3C Cloud OS E3104、VCF Controller E2506版本上验证的。
(1) 使用组织管理员帐号或者普通用户帐号登录安全云系统。
(2) 点击导航树中的“产品与服务 > 防火墙 > 规则”,进入防火墙规则页面,如图15所示。
(3) 单击<新建>按钮,弹出新建规则窗口,如图16所示。
(4) 配置规则参数:
· 名称:防火墙规则的名称。
· 服务对象:选择匹配报文的服务,本例为“http”。
· 动作:对匹配报文的执行动作,本例为“接受”。
· 源地址对象:指定匹配报文的源IP地址,地址对象需要先在资源管理页面创建。
· 目的地址对象:指定匹配报文的目的IP地址,地址对象需要先在资源管理页面创建。
(5) 单击<确定>按钮完成新建防火墙规则操作。
(1) 点击导航树中的“产品与服务 > 防火墙 > 规则集”,进入防火墙规则集页面,如图17所示。
(2) 单击<新建>按钮,弹出新建规则集窗口,如图18所示。
(3) 填写规则集名称,选择加入规则集的规则。
(4) 单击<确定>按钮完成新建防火墙规则集操作。
(1) 点击导航树中的“产品与服务 > 防火墙”,进入防火墙页面,如图19所示。
(2) 单击<新建>按钮,弹出新建防火墙窗口,如图20所示。
(3) 配置防火墙参数:
· 名称:防火墙服务的名称。
· 资源:单击<选择>按钮选择已申请的防火墙资源。
· 规则集:选择已创建的规则集。
· 组织网关:选择已创建的路由器。
· 描述:输入该防火墙服务的描述信息。
(4) 单击<确定>按钮完成新建防火墙服务操作。
点击导航树中的“产品与服务 > 防火墙”,进入防火墙页面,查看防火墙的服务状态为正常运行。
图21 查看防火墙状态
本节介绍了安全云系统中IPS服务的典型配置。
IPS(Intrusion Prevention System,入侵防御系统)是一种可以对应用层攻击进行检测并防御的安全防御技术。入侵防御通过分析流经设备的网络流量来实时检测入侵行为,并通过一定的响应动作来阻断入侵行为,实现保护企业信息系统和网络免遭攻击的目的。IPS防护方式包括如下几种:
· 深度防护:可以检测报文应用层的内容,以及对网络数据流进行协议分析和重组,并根据检测结果来对报文做出相应的处理。
· 实时防护:实时检测流经设备的网络流量,并对入侵活动和攻击性网络流量进行实时拦截。
· 全方位防护:可以对多种攻击类型提供防护措施,例如蠕虫、病毒、木马、僵尸网络、间谍软件、广告软件、CGI(Common Gateway Interface)攻击、跨站脚本攻击、注入攻击、目录遍历、信息泄露、远程文件包含攻击、溢出攻击、代码执行、拒绝服务、扫描工具、后门等。
· 内外兼防:对经过设备的流量都可以进行检测,不仅可以防止来自企业外部的攻击,还可以防止发自企业内部的攻击。
本节不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册或以设备实际情况为准。
本节中的配置均是在实验室环境下进行的配置和验证。如果您已经对设备和系统进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本节假设您已了解IPS的基本原理。
在某个虚拟网络中,需要创建一个IPS服务,用于防护内网中的服务及设备不受外部网络的入侵。
图22 IPS部署组网图
· 使用安全云IPS服务前,需先向组织管理员或系统管理员申请获得可用服务资源。
· 新建IPS服务前,需先正确配置安全云参数。
· 新建IPS服务前,需要保证已存在已连接网关并处于正常运行状态的防火墙。
本举例是在安全云V100R001B02D001、H3C Cloud OS E3104、VCF Controller E2506版本上验证的。
(1) 使用组织管理员帐号或者普通用户帐号登录安全云系统。
(2) 点击导航树中的“产品与服务 > IPS > 策略”,进入IPS策略页面,如图23所示。
图23 IPS策略
(3) 单击<新建>按钮,进入新建IPS策略基本参数页面,如图24所示。
图24 IPS策略基本参数
(4) 配置IPS策略基本参数:
· 策略名称:IPS策略的名称。
· 安全设备:选择已创建的防火墙设备,该防火墙必须已连接网关并处于正常运行状态。
· 资源:选择已申请的IPS服务资源。
· 描述:IPS策略的描述信息。
(5) 单击<下一步>按钮,进入配置保护对象页面,如错误!未找到引用源。所示。
图25 IPS策略保护对象
(6) 选择需要保护的对象,该对象需要先在资源管理页面创建。
(7) 单击<下一步>按钮,进入配置源访问对象页面,如错误!未找到引用源。所示。
图26 IPS策略源访问对象
(8) 选择源访问对象,本例使用缺省配置“ALL”,匹配所有源。
(9) 单击<下一步>按钮,进入配置模板页面,如图27所示。
图27 IPS策略配置模板
(10) 选择IPS配置模板,本例使用默认模板即默认模式。
(11) 单击<下一步>按钮,进入调整策略顺序页面,如图28所示。
(12) 调整指定防火墙的策略顺序。
(13) 单击<下一步>按钮,新建IPS服务成功。
点击导航树中的“产品与服务 > IPS”,进入IPS页面,查看IPS策略的服务状态为正常运行。
图29 查看IPS策略状态
本节介绍了安全云系统中网络防病毒服务的典型配置。
防病毒功能是一种通过对报文应用层信息进行检测来识别和处理病毒报文的安全机制
网络防病毒凭借庞大且不断更新的病毒特征库可有效保护网络安全,防止病毒在网络中的传播。将具有防病毒功能的设备部署在企业网入口,可以将病毒隔离在企业网之外,为企业内网的数据安全提供坚固的防御。目前,该功能支持对基于以下应用层协议传输的报文进行防病毒检测:FTP、HTTP、IMAP、POP3、SMTP。
本节不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册或以设备实际情况为准。
本节中的配置均是在实验室环境下进行的配置和验证。如果您已经对设备和系统进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本节假设您已了解网络防病毒的基本原理。
园区通过局域网连接到安全云的防火墙访问Internet,要求能通过设备检测出携带病毒的报文,并被采取阻断、重定向或生成告警信息等动作来保证内部网络安全。
图30 防病毒配置组网图
· 使用安全云防病毒服务前,需先向组织管理员或系统管理员申请获得可用服务资源。
· 新建防病毒服务前,需先正确配置安全云参数。
· 新建防病毒服务前,需要保证已存在已连接网关并处于正常运行状态的防火墙。
本举例是在安全云V100R001B02D001、H3C Cloud OS E3104、VCF Controller E2506版本上验证的。
(2) 点击导航树中的“产品与服务 > 防病毒 > 网络防病毒”,进入网络防病毒页面,如图31所示。
(3) 单击<新建>按钮,进入新建网络防病毒基本参数页面,如图32所示。
(4) 配置网络防病毒基本参数:
· 策略名称:网络防病毒策略的名称。
· 资源:选择已申请的网络防病毒服务资源。
· 安全设备:选择已创建的防火墙设备,该防火墙必须已连接网关并处于正常运行状态。
· 协议类型:配置需要防病毒的应用层协议处理动作。
· 描述:网络防病毒策略的描述信息。
(5) 单击<下一步>按钮,进入配置保护对象页面,如图33所示。
(6) 选择需要保护的对象,该对象需要先在资源管理页面创建。
(7) 单击<下一步>按钮,进入调整策略顺序页面,如图34所示。
(8) 调整指定防火墙的策略顺序。
(9) 单击<下一步>按钮,新建网络防病毒服务成功。
点击导航树中的“产品与服务 > 防病毒 > 网络防病毒”,进入网络防病毒页面,查看网络防病毒策略的服务状态为正常运行。
图35 查看网络防病毒策略状态
6.1 简介
本节介绍了安全云系统中LB服务的典型配置。
负载均衡(Server Load Balancer)是将访问流量根据转发策略分发到后端多台云服务器的流量分发控制服务。扩展了应用的服务能力,自动隔离异常状态的云主机,避免了单点故障带来的服务中断,提高了应用的整体服务能力。
6.2 配置前提
本节不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册或以设备实际情况为准。
本节中的配置均是在实验室环境下进行的配置和验证。如果您已经对设备和系统进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本节假设您已了解七层负载均衡的基本原理。
6.3 配置举例
6.3.1 组网需求
在安全云组网中部署负载均衡服务,客户端的服务请求直接发送到负载均衡,负载均衡根据具体配置选择适当的服务器提供具体服务。
图36 服务器负载均衡配置组网图
6.3.2 配置注意事项
· 使用安全云负载均衡服务前,需先向组织管理员或系统管理员申请获得可用服务资源。
· 新建负载均衡服务前,需先配置安全云参数、网络资源、路由器资源。
本举例是在安全云V100R001B02D001、H3C Cloud OS E3104、VCF Controller E2506版本上验证的。
1. 新建LB服务
(1) 使用组织管理员帐号或者普通用户帐号登录安全云系统。
(2) 点击导航树中的“产品与服务 > 负载均衡”,进入负载均衡页面,如图37所示。
(3) 单击<新建>按钮,进入新建负载均衡页面,如图38所示。
(4) 配置负载均衡参数:
· 策略名称:负载均衡的名称。
· 资源:选择已申请的负载均衡服务资源。
· 所属子网:选择已创建的子网。
· 描述:负载均衡的描述信息。
(5) 单击<确定>按钮完成新建负载均衡操作。
2. 新建监听器
(1) 在负载均衡页面中,单击已创建负载均衡对应的<配置负载均衡>按钮,进入负载均衡配置页面,如图39所示。
图39 配置负载均衡
(2) 单击<新建>按钮进入新建监听器页面,如图40所示。
(3) 配置监听器参数
· 名称:监听器的名称。
· 实服务网络:选择已创建的网络。
· 监听协议:监听器监听的协议,包括HTTP、HTTPS、TCP。
· 端口:监听器监听端口。
· 连接限制:最大允许的连接数。
· 会话持久化:记录确认多个请求属于同一个会话。资源池中会话持久化方式包括以下几种:
¡ HTTP_COOKIE:通过HTTP的cookie来进行会话持久化。
¡ APP_COOKIE:通过应用的cookie来进行会话持久化。
¡ SOURCE_IP:根据源IP地址来进行会话持久化。
· 均衡算法:在服务资源池中选择服务器的算法,包括以下几种:
¡ 轮转算法:按照顺序挨个选择服务器提供服务。
¡ 最小连接算法:选择当前连接最少的服务器提供服务。
¡ 源地址算法:选择处理连接源地址相同的服务器提供服务。
· 健康检查类型:进行健康检查的方式,包括以下几种方式:
¡ PING:PING操作
¡ TCP:TCP请求
¡ HTTP:HTTP请求
¡ HTTPS:HTTPS请求
· 检查间隔:对服务资源池进行健康检查的时间间隔
· 超时时间:发起健康检查请求后,超过超时时间视为连接失败。
· 最大重复次数:重复健康检查失败达到指定次数,则认为服务器从资源池断开链接。
· HTTP请求方法:如果使用HTTP方式作为健康检查方法,则需要配置HTTP的请求方式和链接。请求方法包括:GET、POST、PUT、DELETE。
· 期望返回值:发起健康检查HTTP请求后,若返回值和指定的期望返回值相同,则认为有效并可以确认服务器是保活的。
(4) 单击<确定>按钮完成新建监听器操作。
3. 新建实服务
(1) 在配置负载均衡页面,单击已创建监听器对应的<配置监听器>按钮,进入配置监听器页面。
图41 监听器
图42 配置监听器
(2) 单击实服务下的<新建>按钮,进入新建实服务页面,如图43所示。
(3) 配置实服务参数:
· 名称:实服务的名称。
· 端口:该实服务对外提供服务的端口。
· 权重:该实服务在资源池中的权重。
· 主机:指定提供服务的主机,该主机必须已在资源管理页面中创建。
(4) 单击<确定>按钮完成新建实服务操作。
4. 绑定公网IP
(1) 进入负载均衡列表页面,单击已创建负载均衡对应的<绑定公网IP>按钮,弹出绑定公网IP窗口。
图44 负载均衡
图45 绑定公网IP
(2) 选择在CloudOS中创建的公网IP地址。
(3) 单击<确定>按钮完成绑定公网IP操作。
6.3.5 验证配置
(1) 点击导航树中的“产品与服务 > 负载均衡”,进入负载均衡页面,查看负载均衡是否创建成功。
图46 负载均衡
(2) 单击<配置负载均衡>按钮,进入监听器列表页面,可验证监听器是否创建成功
图47 监听器
(3) 单击<配置监听器>按钮,在实服务页签下,可验证实服务是否创建成功。
图48 实服务
SSL VPN服务通过SSL VPN网关来提供。SSL VPN网关位于远端接入用户和企业内部网络之间,负责在二者之间转发报文。管理员需要在SSL VPN网关上创建与企业网内服务器对应的资源。SSL VPN网关与远端接入用户建立SSL连接,并对接入用户进行身份认证。远端接入用户的访问请求只有通过SSL VPN网关的安全检查和认证后,才会被SSL VPN网关转发到企业网络内部,从而实现对企业内部资源的保护。
本节不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册或以设备实际情况为准。
本节中的配置均是在实验室环境下进行的配置和验证。如果您已经对设备和系统进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本节假设您已了解SSL VPN的基本原理。
Device为SSL VPN网关设备,连接公网用户和企业私有网络。SSL VPN用户通过Device能够安全地访问位于企业私有网络内的Server A和Server B。
图49 SSLVPN配置组网图
· 使用安全云SSL VPN服务前,需先向组织管理员或系统管理员申请获得可用服务资源。
· 请确保SSL VPN用户和SSL VPN网关设备Device间的路由可达。
· 请确保SSL VPN网关设备Device与Server A、Server B间的路由可达。
· 地址池只允许配置A/B/C类地址,排除广播地址、环回地址、组播地址、保留地址。不能和客户端物理网卡的IP地址在同一网段,不能包含SSL VPN网关所在设备的接口地址,不能和欲访问的内网地址在同一网段,所有的地址池都不能重叠。
· 第三方认证,实例绑定第三方认证,用户组、用户都是通过流程来创建。
· 创建服务时请确保网关绑定外部网络,并且防火墙的状态为正常运行。
· 当有流程时,需要结合防火墙信息,虚拟防火墙以及SSL VPN实例的信息(如网关地址,端口和域等)来定位到具体的SSL VPN实例,因为安全云创建的SSL VPN实例名称下发到虚拟防火墙上时做了特殊处理,已经不是安全云创建实例时的名称。
· 如果SSLVPN使用第三方认证服务器(目前支持RADIUS和LDAP认证),需要配置第三方认证服务器后才能使用。
本举例是在安全云V100R001B02D001、H3C Cloud OS E3104、VCF Controller E2506版本上验证的。
(1) 使用组织管理员帐号或者普通用户帐号登录安全云系统。
(2) 点击导航树中的“产品与服务 > VPN > SSL VPN > 认证管理”,进入认证管理页面,如图50所示。
(3) 单击<新建>按钮,进入RADIUS认证配置页面,如图51所示。
(4) 配置REDIUS认证名称及认证服务器,单击<确定>按钮完成配置。
配置完成后,需要系统管理员登录安全云,并且找到该流程,在对应的虚拟防火墙上按照流程显示的信息配置对应的RADIUS方案(LDAP同理)配置,配置完成后单击<配置成功>按钮,此时实例就可以使用该认证服务器。否则,点击”配置失败“,需要组织用户或者组织管理员校验参数的合法性,并且重新编辑,然后生成新的流程,系统管理员按照上述流程重新配置。
(1) 使用组织管理员帐号或者普通用户帐号登录安全云系统。
(2) 点击导航树中的“产品与服务 > VPN > SSL VPN > 访问实例”,进入访问实例页面,如图52所示。
(3) 单击<新建>按钮,进入新建SSL VPN页面,如图53所示。
(4) 配置SSL VPN参数:
· 名称:SSL VPN的名称。
· 资源:选择已申请的SSL VPN服务资源。
· 网关:选择在CloudOS中创建的路由器。
· 端口:SSL VPN的服务端口。
· 域:SSL VPN所属的域。
· 认证方式:选择认证方式,包括RADIUS认证和LDAP认证。
· 认证方案:选择已创建的RADIUS认证方案。
(5) 单击<下一步>按钮,进入地址池配置页面,如图54所示。
(6) 填写地址池的起始地址、结束地址和子网掩码,单击<下一步>按钮,即可完成创建实例。
如果使用本地认证此时服务的状态为正在运行,如果使用第三方认证,状态为等待创建,如图55所示。
此时需要系统管理员在流程页面处理第三方认证绑定实例的流程,配置完成后,实例状态即为可用。
(1) 进入SSL VPN访问实例页面,单击<配置>按钮,进入IP资源页面。
(2) 单击<新建>按钮,弹出新建IP资源窗口,如图56所示。
图56 新建IP资源
(3) 配置IP资源参数:
· 名称:IP资源的名称。
· 地址:IP资源包含的IP地址
· 掩码长度:IP地址对应的掩码长度。
· 描述:IP资源的描述信息。
(4) 单击<确定>按钮,即可完成IP资源的配置。
(1) 在IP资源页面,点击“角色”页签,进入角色页面。
(2) 单击<新建>按钮,弹出新建角色窗口,如图57所示。
(3) 单击<确定>按钮即可完成角色的配置。
在创建角色的同时,系统生成了创建和角色名同名的用户组的流程,因此需要系统管理员处理相关流程,在对应的虚拟防火墙上创建对应的用户组,然后单击<配置成功>按钮,如图58所示。
图58 SSL VPN 配置流程
(1) 在IP资源页面,点击“用户”页签,进入用户页面。
(2) 单击<新建>按钮,弹出新建用户窗口。
图59 新建用户
(3) 单击<确定>按钮即可完成用户的配置。
此时生成一条创建用户,并绑定用户组的流程。系统管理员在流程页面处理该流程,即在对应的防火墙上创建该用户,绑定角色(设备上是策略组),并且分配用户与角色名同名的用户组,处理完成后单击<配置成功>按钮即可完成操作,如图60所示。
图60 SSL VPN 配置流程
(1) 登录安全云系统对接的VCF控制控制器。
(2) 进入“网络服务 > SSL VPN”页面,查看建立的实例、IP资源、角色是否存在于VCFC的记录中,若存在则代表配置成功。
图61 VCFC SSL VPN页面
本节介绍了安全云系统中IPsecVPN服务的典型配置。
IPsec VPN应用场景为Site-to-Site(站点到站点或者网关到网关)。我们的IPsec VPN站点连接由VPN服务、对端网关、VPN通道以及通道使用的IKE、IPsec策略组成。
VPN服务包含VPN通道两端中设备一端的设备网关和受保护的网络。
对端网关是VPN通道两端中用户一端网关,用户通过自己配置的对端网关与子网访问受保护的网络。
VPN通道是两个对等体之间一条虚拟隧道,VPN服务和对端网关建立后,可建立VPN通道,通过IKE,IPsec策略实现通道内密钥加密认证和IP数据流的加密认证。
本节不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册或以设备实际情况为准。
本节中的配置均是在实验室环境下进行的配置和验证。如果您已经对设备和系统进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本节假设您已了解IPsecVPN的基本原理。
RouterA和RouterB分别是两个对端网络的网关,RouterA和RouterB接入互联网。其中HostA位于RouterA下面的10.1.1.1/24子网下,HostB位于RouterB下面的10.1.2.1/24子网下。HostA和HostB可以通过开放的互联网建立起私有的IPsec安全通信信道,即VPN通道。
图62 IPsec配置组网图
· 使用安全云IPsec VPN服务前,需先向组织管理员或系统管理员申请获得可用服务资源。
· 请确保Router A的GE1/0/2接口和Router B的GE1/0/2接口之间IPv4/v6报文路由可达。创建VPN服务的时候,本端路由器要连接防火墙,本端路由器还要通过端口连接到本端子网,本端路由器还要绑定外部网关IP。
· 创建服务时请确保网关绑定外部网络,并且防火墙的状态为正常运行。
· VPN服务、IKE策略、IPsec策略、IPsec站点接连名称在组织内不能重复。
· VPN服务、IKE策略、IPsec策略在组织内公用。
· 组织管理员无权操作系统管理新建的VPN服务、IKE策略、IPsec策略。
· IKE策略:组织内不能创建含有相同认证算法、加密算法、DH算法和协商模式的IKE策略
· IPsec策略:组织内不能创建含有相同封装模式、安全协议、认证算法、加密算法和PFS的IPsec策略。
· 组织内正在使用的VPN服务、IKE策略、IPsec策略不可编辑。
· 安全云系统中,由具备IPsecVPN功能的网络设备(如路由器)来提供IPsecVPN站点连接服务,这些网络设备通过VCF控制器对接到安全云系统。
本举例是在安全云V100R001B02D001、H3C Cloud OS E3104、VCF Controller E2506版本上验证的。
(1) 使用组织管理员帐号或者普通用户帐号登录安全云系统。
(2) 点击导航树中的“产品与服务 > VPN > IPsec VPN”,进入IPsec VPN页面。
(3) 点击“IPsec策略”页签,进入IPsec策略页面,如图63所示。
(4) 单击<新建>按钮,弹出新建IPsec策略窗口,如图64所示。
(5) 配置IPsec策略参数。
(6) 单击<确定>按钮,即可完成IPsec策略的配置。
(1) 点击导航树中的“产品与服务 > VPN > IPsec VPN”,进入IPsec VPN页面。
(2) 点击“IKE策略”页签,进入IKE策略页面,如图65所示。
图65 IKE策略
(3) 单击<新建>按钮,弹出新建IKE策略窗口,如图66所示。
(4) 配置IKE策略参数。
(5) 单击<确定>按钮,即可完成IKE策略的配置。
3. 配置VPN服务
(1) 点击导航树中的“产品与服务 > VPN > IPsec VPN”,进入IPsec VPN页面。
(2) 点击“VPN服务”页签,进入VPN服务页面,如图67所示。
图67 VPN服务
(3) 单击<新建>按钮,弹出新建VPN服务窗口,如图68所示。
(4) 填写VPN服务名,选择本端网关设备以及本端网关设备下创建的子网。
(5) 单击<确定>按钮,即可完成配置。
(1) 点击导航树中的“产品与服务 > VPN > IPsec VPN”,进入IPsec VPN页面。
(2) 单击<新建>按钮,进入新建IPsec站点连接基本配置页面。
图69 新建IPsec站点连接基本配置
(3) 填写名称,选择已申请的资源及已创建的VPN服务。
(4) 单击<下一步>按钮,进入VPN通道页面,如图70所示。
图70 VPN通道
(5) 配置对端网关、对端子网和预共享密钥等参数。
(6) 单击<下一步>按钮,进入通道策略配置页面,如图71所示。
(7) 选择已创建的IKE策略和IPsec策略。
(8) 单击<确定>按钮,即可完成IPsec站点连接的配置。
(1) 登录安全云系统对接的VCF控制控制器。
(2) 进入“网络服务 > IPsec VPN”页面,查看建立的VPN服务、IKE策略、IPsec策略是否出现在VCFC的记录中,若存在则代表配置成功。
图72 VCFC SSL VPN页面
本节介绍了安全云系统中DDoS防护服务的控制台的典型配置。
DDoS对CloudOS内的云服务器、负载均衡和裸金属服务器,提供DDoS攻击防护。
本节不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册或以设备实际情况为准。
本节中的配置均是在实验室环境下进行的配置和验证。如果您已经对设备和系统进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本节假设您已了解DDoS防护的基本原理。
系统为租户分配了公网IP并已绑定到云服务器、负载均衡或裸金属服务器。
DDoS设备部署在机房出口处,需要对云服务器提供防护。
图73 DDOS防护配置组网图
· 使用安全云DDoS防护服务前,需先向组织管理员或系统管理员申请获得可用服务资源。
· 防护IP必须是CloudOS内的云服务器、负载均衡和裸金属服务器的公网IP。
本举例是在安全云V100R001B02D001、H3C Cloud OS E3104、VCF Controller E2506版本上验证的。
(1) 使用组织管理员帐号或者普通用户帐号登录安全云系统。
(2) 点击导航树中的“产品与服务 > DDoS防护”,进入DDoS防护页面,如图74所示。
图74 DDoS防护
(3) 单击<新建>按钮,弹出新建DDoS防护窗口,如图75所示。
(4) 配置DDoS防护名称,选择防护IP、已申请的资源。
(5) 单击<确定>按钮,新建DDoS防护成功,返回DDoS防护列表页面。
(6) 单击<配置防护参数>按钮,进入配置防护参数页面,如图76所示。
(7) 选择流量清洗阈值,也可以自定义流量清洗阈值。
(8) 选择CC防护开关,若开启CC防护,则选择HTTP请求速率。
(9) 点击“自定义黑白名单”链接进入自定义黑名单页面,如图77所示。
(10) 单击<新建>按钮弹出新建黑名单弹框,如(10)图78所示。
(11) 输入加入黑名单的IPv4地址。
(12) 单击<确定>按钮,即可完成配置。
本节介绍了安全云系统中Web应用防护服务的典型配置。
本节不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册或以设备实际情况为准。
本节中的配置均是在实验室环境下进行的配置和验证。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本节假设您已了解WEB应用防护等特性。
在WAF上配置反向代理,用户请求反向代理地址,流量从用户流向WAF;WAF根据反向代理配置,将流量引导到WEB服务器上;WEB服务器响应请求,响应流量从WEB服务器出发,到达WAF,再从WAF流向用户.
图79 Web应用防护配置组网图
· 使用安全云Web应用防护服务前,需先向组织管理员或系统管理员申请获得可用服务资源。
· 添加防护站点时若勾选了HTTPS协议,则必须上传证书,且证书要和域名、IP地址匹配。
· 如果您的服务器正在使用其他防火墙,请关闭或将Web应用防护的地址加入其白名单,避免误拦。
本举例是在安全云V100R001B02D001、H3C Cloud OS E3104、VCF Controller E2506、WAF R6713P01版本上验证的。
(1) 使用组织管理员帐号或者普通用户帐号登录安全云系统。
(2) 点击导航树中的“产品与服务 > Web应用防护”,进入Web应用防护页面,如图80所示。
图80 Web应用防护
(3) 单击<新建>按钮,输入名称、选择对应的子网、选择已申请的资源,如图81所示。
图81 新建Web应用防护
(4) 单击<确定>按钮,即可完成配置。
(1) 点击Web应用防护列表中已创建Web应用防护的名称,进入Web应用防护详情页面,如图82所示。
图82 Web应用防护详情
(2) 单击<新建>按钮,弹出新建反向代理窗口,如图83所示。
(3) 配置反向代理参数:
· 服务器地址:Web服务器的IP地址。
· 服务器掩码:服务器IP地址的掩码长度。
· 服务器协议:Web服务的协议类型。
· 服务器证书:选择Web服务的证书。
· 服务器端口:Web服务的端口号。
· 反向代理子网:反向代理的子网及地址。
· 反向代理协议:反向代理的协议类型。
· 反向代理端口:反向代理的端口号。
(4) 单击<确定>按钮,完成反向代理创建。
(1) 在Web应用防护页面,单击已创建WAF服务对应的<防护设置>按钮,进入防护设置页面。
(2) 配置相应防护的开关,如图84所示。
图84 Web应用防护设置
(3) 点击“自定义精准访问控制规则”链接。进入自定义精准访问控制规则页面,如图85所示。
(4) 单击<新建>按钮,进入新建精准访问控制规则页面,如图86所示。
(5) 输入规则名称、选择规则类型、配置规则内容最大值长度。
(6) 单击<确定>按钮,完成新建精准访问控制规则,返回防护配置页面。
(7) 点击“自定义CC安全防护规则”链接。进入自定义CC安全防护规则页面,如(3)图85所示。
图87 自定义CC安全防护规则
(8) 单击<新建>按钮,弹出新建CC安全防护窗口,如图88所示。
图88 新建CC安全防护
(9) 输入URL路径、访问次数、访问间隔。
(10) 单击<确定>按钮。完成新建CC安全防护规则。
(1) 通过Ping配置的反向代理地址,若能Ping通,则配置成功。
(2) 登录CAS或者虚拟化管理工具,查看WAF虚拟机是否启动成功。
11.1 简介
本节介绍了安全云系统中应用监控服务的典型配置。
应用监控是一款依托于云的监控服务,包括HTTP监控、DNS监控和PING监控,为用户提供全面、可靠、及时的监控服务。通过监控采集、存储、展示、统计的一体化功能体系,为用户的服务保驾护航。
HTTP监控是通过HTTP协议进行站点监控,可以检测Web站点的所有URL,测试可用性、响应时间、连接时间等指标。
DNS监控是通过DNS服务器对监控域名的寻址、解析和响应时间等指标并支持检测DNS劫持。
PING监控是通过ICMP协议进行服务器连通性检测,测试服务器的可用性,响应时间等指标。
11.2 配置前提
本节不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册或以设备实际情况为准。
本节中的配置均是在实验室环境下进行的配置和验证。如果您已经对设备和系统进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
11.3 配置举例
11.3.1 组网需求
应用监控服务器部署在公网环境,需要对提供外网服务的企业服务器进行可用性监控。
图89 应用监控配置组网图
· 使用安全云应用监控服务前,需先向组织管理员或系统管理员申请获得可用服务资源。
· 请确保被监测的网站、服务器等资源,处于可用的活跃状态。
11.3.3 使用版本
本举例是在安全云V100R001B02D001、H3C Cloud OS E3104、VCF Controller E2506版本上验证的。
11.3.4 配置步骤
1. 配置应用监控服务
(1) 使用组织管理员帐号或者普通用户帐号登录安全云系统。
(2) 点击导航树中的“产品与服务 > 应用监控 > 新建监控任务”,进入新建监控任务页面,如图90所示。
(3) 单击<HTTP监控>按钮,进入新建HTTP监控任务页面,如图91所示。
图91 新建HTTP监控任务
(4) 配置监控任务名称、输入监控地址、选择资源实例,配置报警条件。
(5) 单击<确定>按钮,返回新建监控任务页面。
(6) 单击<DNS监控>按钮,进入新建DNS监控任务页面,如图92所示。
图92 新建DNS监控任务
(7) 配置监控任务名称、输入监控地址、选择资源实例,配置报警条件。
(8) 单击<确定>按钮,返回新建监控任务页面。
(9) 单击<PING监控>按钮,进入新建PING监控任务页面,如(6)图92所示。
图93 新建PING监控任务
(10) 配置监控任务名称、输入监控地址、选择资源实例,配置报警条件。
(11) 单击<确定>按钮,完成配置。
11.3.5 验证配置
(1) 点击导航树中的“产品与服务 > 应用监控 > 查看监控列表”,进入新建监控任务页面,如图94所示。
(2) 在监控服务列表中可看到用户创建的三种监控任务,以及每种任务当前的服务状态。
本节介绍了安全云系统中漏洞扫描服务的典型配置。
漏洞扫描是对扫描目标进行评估网络安全状态的综合漏洞扫描系统,包括Web漏洞扫描、数据库漏洞扫描和系统漏洞扫描。它作为防火墙和入侵防御系统的补充,对主流操作系统、Web应用、数据库、网络设备、常见应用等目标进行深入扫描,发现可被黑客利用的安全漏洞、弱口令和其他脆弱性,帮助用户解决目前所面临的各类常见及最新的安全问题。
Web漏扫支持SQL注入攻击、跨站脚本、文件包含、远程代码执行、主流CMS漏洞检测等。
数据库漏扫支持以登录方式检测主流数据库系统的弱密码和数据库安全漏洞。支持Oracle、MySQL、SQL Server、DB2等主流数据库类型。
系统漏扫支持检测主流操作系统、网络设备等对象。检测类型包含内存破坏类漏洞、输入验证类漏洞、配置错误类漏洞、系统本地补丁、常见协议弱口令、木马病毒等。
本节不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册或以设备实际情况为准。
本节中的配置均是在实验室环境下进行的配置和验证。如果您已经对设备和系统进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本节假设您已了解漏洞扫描的基本原理。
在改组网中,通过旁路部署的方式对目标进行漏洞扫描。
图95 漏洞扫描组网图
· 使用安全云漏洞扫描服务前,需先向组织管理员或系统管理员申请获得可用服务资源。
· 请确保被扫描的网站、服务器等资源,处于可用的活跃状态。
本举例是在安全云V100R001B02D001、H3C Cloud OS E3104、H3C i-Ware Software, Version 3.10 ESS 6902P03版本上验证的。
(1) 使用组织管理员帐号或者普通用户帐号登录安全云系统。
(2) 点击导航树中的“产品与服务 > 漏洞扫描 > 新建扫描任务”,进入新建扫描任务页面,如图96所示。
(3) 单击<Web漏洞扫描>按钮,进入新建Web漏洞扫描任务页面,如图97所示。
图97 新建Web漏洞扫描任务
(4) 配置任务名称、选择已申请的资源、输入扫描地址、选择扫描模式和配置认证信息。
(5) 单击<开始扫描>按钮即可开始扫描任务。
(6) 返回新建扫描任务页面,单击<数据库漏洞扫描>按钮,进入新建数据库漏洞扫描任务页面,如图98所示。
(7) 配置任务名称、选择已申请的资源、输入扫描地址、选择扫描模式和配置认证信息。
(8) 单击<开始扫描>按钮即可开始扫描任务。
(9) 返回新建扫描任务页面,单击<数据库漏洞扫描>按钮,进入新建数据库漏洞扫描任务页面,如(9)图99所示。
(10) 单击<开始扫描>按钮即可开始扫描任务。
点击导航树中的“产品与服务 > 漏洞扫描 > 查看扫描列表”,进入查看扫描列表页面,可查看已创建的扫描任务。
图100 查看扫描列表
单击<查看报表>可以看到任务扫描的数据。
图101 扫描任务报表
本节介绍了安全云系统中数据库审计服务的典型配置。
数据库审计是一款记录数据库操作行为日志的独立系统。它能够实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,对攻击行为进行阻断。通过对用户访问数据库行为的记录,分析和汇报,用来帮助用户事后生成合规报告,追根溯源,同时加强内外部数据库网络行为记录,提高数据资产安全。
数据库审计采用Agent代理方式,将用户访问数据库流量镜像至数据库审计系统进行解析分析。
数据库审计系统包括预警和报表、审计信息筛选、标准化审计信息、原始信息收集几部分。由规则和报表等分析手段发现数据库的违规行为。
通过事前安全风险评估,事中攻击实时检测,违规行为告警,事后审计取证追溯,异常行为分析构成数据安全的基石。
本节不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册或以设备实际情况为准。
本节中的配置均是在实验室环境下进行的配置和验证。如果您已经对设备和系统进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本节假设您已了解数据库审计的基本原理。
通过将访问数据库服务器的镜像流量的审计,确保数据库操作的安全,用户通过旁路部署数据库审计设备到所有访问数据库的流量都经过的服务器,数据库审计设备对操作数据库的流量进行分析、记录日志,危险操作将产生告警,且数据库审计系统故障不影响用户正常业务。
图102 数据库审计组网图
使用数据库审计服务前,需先向组织管理员或系统管理员申请获得可用服务资源。
本举例是在安全云V100R001B02D001、H3C Cloud OS E3104、VCF Controller E2506版本上验证的。
(1) 使用组织管理员帐号或者普通用户帐号登录安全云系统。
(2) 点击导航树中的“产品与服务 > 数据库审计”,进入数据库审计页面,如图103所示。
(3) 单击<新建>按钮,弹出新建数据库审计窗口,如图104所示。
(4) 配置数据库审计参数:
· 名称:数据审计任务的名称。
· 资源:选择已申请的数据库审计资源。
· 网络:选择已在CloudOS中创建的网络。
· 子网:选择已创建的子网。
(5) 单击<确定>按钮进入数据库信息配置页面,选择操作系统类型,填写数据库服务器IP、数据库服务器端口、选择数据库类型以及版本。
(6) 单击<确定>按钮完成数据库审计创建。
当创建的数据库审计记录服务状态变成正常运行,单击<登录系统>按钮,成功跳转到数据库审计系统。
本文介绍了安全云系统中运维审计服务的典型配置。运维审计包含两部分功能:一是在存在硬件设备,可以通过资源池直接纳管设备;二是没有物理设备,可以通过服务创建虚拟堡垒机满足需求。
运维审计系统即堡垒机,又称“堡垒主机”,是一个主机系统,其自身通常经过了一定的加固,具有较高的安全性,可抵御一定的攻击,其作用主要是将需要保护的信息系统资源与安全威胁的来源进行隔离,从而在被保护的资源前面形成一个坚固的“堡垒”,并且在抵御威胁的同时又不影响普通用户对资源的正常访问。
本节不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证。如果您已经对设备和系统进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解运维审计的基本原理。
在该组网中,需要部署一个运维审计系统用于对运维过程进行监督,对操作过程进行详细日志记录,达到运维过程安全监察作用,保障运维服务的安全运行。
图105 运维审计部署组网图
使用运维审计服务前,需先向组织管理员或系统管理员申请获得可用服务资源。
本举例是在安全云V100R001B02D001、H3C Cloud OS E3104、H3C SecPath A2000-V版本上验证的。
(1) 使用组织管理员帐号或者普通用户帐号登录安全云系统。
(2) 点击导航树中的“产品与服务 > 运维审计”,进入运维审计页面,如图106所示。
(3) 单击<新建>按钮,弹出新建运维审计窗口,如图107所示。
(4) 配置运维审计系统的名称、选择已申请的资源、所属的网络和子网。
(5) 单击<确定>按钮,新建运维审计系统完成,刚创建的运维审计系统状态为“等待创建”,等待5分钟后刷新页面,自动部署完成,服务状态为“正常运行”,如图108所示。
单击<登录系统>按钮,成功访问运维审计系统,如图109所示。
本节介绍了安全云系统中态势感知服务的典型配置。
态势感知是一个大数据安全分析平台,能对您所有资产进行安全检查,告警,展示。并用机器学习来发现潜在的入侵和高隐蔽性攻击,回溯攻击历史,预测即将发生的安全事件。
本节不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册或以设备实际情况为准。
本节中的配置均是在实验室环境下进行的配置和验证。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本节假设您已了解态势感知服务等特性。
· 需要部署态势感知系统,并事先在安全云配置中心里设置态势感知配置参数。
· 组织管理员的态势感知服务申请需要系统管理员审批和流程均同意才能正常使用。
· 普通用户帐号的态势感知服务申请需要组织管理员审批通过即可使用。
本举例是在安全云V100R001B02D001、H3C Cloud OS E3104版本上验证的。
(1) 使用系统管理员帐号登录安全云系统。
(2) 点击导航树中的“配置中心 > 系统参数”,进入系统参数页面,如图110所示。
(3) 单击态势感知参数对应的<编辑>按钮,弹出编辑态势感知参数窗口,如图111所示。
(4) 配置态势感知的相关参数,具体参数值,必须和部署的态势感知系统一致。
(5) 单击<确定>按钮完成操作。
(1) 使用组织管理员帐号或者普通用户帐号登录安全云系统。
(2) 点击导航树中的“产品与服务 > 态势感知 > 安全态势”,进入安全态势页面,如图112所示。
(3) 单击<申请态势感知>按钮,进去申请态势感知资源页面,选择名称、套餐类型、申请时长。
图113 申请态势感知资源
(4) 单击<立即申请>按钮,进入我的申请页面,显示状态为审核中。
(5) 在上级组织审批通过后,点击导航树中的“产品与服务 > 态势感知 > 服务列表”,进入服务列表页面,显示状态为等待创建(需要上级处理流程)。
图114 服务列表
(6) 在上级组织(系统管理员)流程处理完毕后,显示状态为正常运行。
图115 服务列表
(7) 返回安全态势页面,显示服务已开通,可单击<登录态势感知>按钮查看服务页面。
图116 服务已开通
本节介绍了安全云系统中主机安全加固服务的典型配置。
主机安全加固服务主要实现安全云管理平台的主机安全防护服务,对登录用户所属组织下的主机提供深度防护服务
本节不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册或以设备实际情况为准。
本节中的配置均是在实验室环境下进行的配置和验证。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本节假设您已了解主机安全加固服务等特性。
· 需要部署主机安全加固系统,并先在安全云配置中心里设置主机安全加固配置参数。
· 组织管理员的主机安全加固服务申请需要系统管理员审批和流程均同意才能正常使用。
· 普通用户的主机安全加固服务申请需要组织管理员审批通过即可使用。
本举例是在安全云V100R001B02D001、H3C Cloud OS E3104、亚信安全服务器深度安全防护系统管理中心 9.6.4.4193版本上验证的。
(1) 使用系统管理员帐号登录安全云系统。
(2) 点击导航树中的“配置中心 > 系统参数”,进入系统参数页面。
(3) 单击主机安全加固参数对应的<编辑>按钮,弹出编辑主机安全加固参数窗口,如图117所示。
(4) 配置主机安全加固的相关参数,具体参数值,必须和部署的主机安全加固系统一致。
(5) 单击<确定>按钮完成操作,返回系统参数页面。
(6) 单击主机安全加固参数对应的<上传证书>按钮,弹出导入证书窗口。
图118 导入证书
(7) 单击<选择文件>按钮,选择证书文件并导入。
(1) 使用组织管理员帐号或者普通用户帐号登录安全云系统。
(2) 点击导航树中的“产品与服务 > 主机安全加固”,进入主机安全加固页面,如图119所示。
(3) 单击<申请服务>按钮,进入申请主机安全加固资源页面,选择名称、套餐类型、申请时长。
图120 申请主机安全加固资源
(4) 单击<立即申请>按钮,进入我的申请页面,显示状态为审核中。
(5) 在其上级组织审批通过后,显示服务已开通,可登录主机安全加固系统来查看服务页面。
(1) 点击导航树中的“产品与服务 > 主机安全加固”,进入主机安全加固页面。
(2) 单击<进入服务>按钮进入主机安全加固服务,如图121所示。
(3) 单击<Agent安装>按钮,下载并在被保护主机上安装Agent程序,纳管主机。
本文介绍了安全云系统中日志审计服务的典型配置。
日志审计服务具有高性能的日志采集能力,提供了强大的分析功能,能够对业务系统、云主机的日志进行统一管理、集中存储、统计分析、快速查询,透过事件的表象真实地还原事件背后的信息,为用户提供真正可信赖的事件追责依据和业务运行的深度安全。
日志审计的特点包括:
· 高性能数据采集:支持多种业务系统和云主机的日志采集和适配;支持SYSLOG协议、HTTP/HTTPS被动采集,FTP、数据库主动采集等多样化日志接入
· 多维度日志审计:支持匹配正则表达式、逻辑运算符、关系运算符定义日志审计规则,触发安全事件告警;实现海量日志分类检索、全文检索和规范化日志详情查看
· 多维度风险展示:通过多维度(漏洞、统计、规则)进行数据关联分析,发现潜在的安全问题;利用内置的多种分析规则,对数据进行多维度关联分析,有效发现攻击行为和违规访问;基于机器学习和专家系统,对大范围样本数据进行安全分析,发现威胁并预判趋势
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证。如果您已经对设备和系统进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解日志审计的基本原理。
· 使用安全云日志审计服务前,需先向组织管理员或系统管理员申请获得可用服务配额。
· 如果需要日志审计接收到日志源的日志,必须在绑定日志源时确保日志源和日志审计路由可达。
· 日志审计支持虚拟资源池,如果用户已有自己的日志审计服务,可先创建日志审计安全资源池,当组织管理员和普通用户创建日志审计服务时,如果有可用的日志审计资源,会优先从资源池里获取资源,然后日志审计服务绑定该资源,否则会通过模板的方式创建新的日志审计虚机。
本举例是在安全云V100R001B02D001、H3C Cloud OS E3104、H3C-D1102-CSAP-SA版本上验证的。
(1) 使用系统管理员帐号登录安全云系统。
(2) 点击导航树中的“资源管理 > 安全资源池”,进入安全资源池页面。
图122 安全资源池
(3) 单击“日志审计资源池”,进入日志审计资源池页面。
(4) 单击<新建>按钮,弹出新建窗口。
图123 新建日志审计资源池
(5) 填写名称,选择类型、型号、是否共享(如果共享,多个租户的日志会发送到同一个日志审计设备上)、配置认证信息、URL(日志审计的登录地址)。
(6) 单击<确定>按钮,完成新建资源池配置。
(1) 使用组织管理员帐号或者普通用户帐号登录安全云系统。
(2) 点击导航树中的“产品与服务 > 日志审计”,进入日志审计列表页面。
图124 日志审计
(3) 单击<新建>按钮,弹出新建日志审计窗口,如图125所示。
(4) 配置日志审计名称、选择已申请的日志审计资源、选择已创建的网络和子网。
(5) 单击<确定>按钮完成新建日志审计。
(1) 点击导航树中的“产品与服务 > 日志审计 > 日志源列表 > 云主机”,进入云主机页面。
图126 云主机
(2) 勾选需要在日志审计上创建日志源的主机(主机状态必须为运行中,否则绑定不成功),单击<绑定>按钮,选择已创建的日志审计。
图127 绑定日志审计服务
(3) 单击<确定>按钮,即可完成在日志审计上创建该主机的日志源(其他的业务系统的绑定同理)。
(1) 点击导航树中的“产品与服务 > 日志审计”,进入日志审计列表页面,查看日志审计状态为正常运行。
图128 日志审计正常运行
(2) 单击<登录系统>,可登录到创建好的日志审计平台,查看日志等其他信息。
(3) 进入日志审计,点击导航树中的“配置 > 日志采集器 > 日志源管理”,可查看到已经绑定的日志源。
图129 日志源已绑定