国家 / 地区

H3C SecCloud OMP安全云管理平台 用户FAQ-5W100

手册下载

H3C SecCloud OMP安全云管理平台

用户FAQ

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2018新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。

 


 

1 硬件类FAQ·· 1

1.1 硬件服务器设备最低配置要求是多少?·· 1

2 软件类FAQ·· 1

2.1 软件正式许可到期后会有什么影响?·· 1

2.2 操作系统升级是否会对业务产生影响?·· 1

2.3 操作系统升级是否会丢失相应配置文件?·· 1

3 业务功能类FAQ·· 1

3.1 为何无法打开Web界面?·· 1

3.2 是否允许一个管理员账户被多人同时登陆?·· 1

3.3 忘记账户密码怎么办?·· 1

3.4 系统管理员特征库升级如何操作?·· 2

3.5 安全云系统对浏览器有什么要求?·· 2

3.6 资源分配支持模板批量分配吗?·· 2

3.7 资源有效期是怎么计算的?·· 2

3.8 组织或者普通用户没有资源怎么办?·· 2

3.9 服务到期怎么处理?·· 2

3.10 释放服务资源是什么过程?·· 2

3.11 防火墙规则是如何使用地址对象的?·· 2

3.12 防火墙为什么要绑定虚拟路由器?·· 2

3.13 创建IPS服务前,为何需要新建防火墙?·· 2

3.14 为什么会新建证书失败?·· 3

3.15 若安全云部署的网络为隔离网环境,如何更新特征库?·· 3

3.15.1 授权码和激活文件的关系是什么?·· 3

3.16 应用监控当前只支持HTTPPINGDNS协议,支持其他协议,类似HTTPS吗?·· 3

3.17 应用监控的采集频率是不是越小越好?·· 3

3.18 服务的到期时间,到了那个时间服务就失效了吗?·· 3

3.19 IPS新建策略最佳选择是不是严格模板?·· 3

3.20 网络防病毒如何添加病毒例外。·· 3

3.21 IPS、网络防病毒能够防护任何IP的主机吗?·· 3

3.22 基于特征的攻击,如何进行人工误报判断?·· 4

3.23 DDoS防护的源站IP能使用内网IP地址吗?·· 4

3.24 回源IP段如何添加到白名单·· 4

3.25 服务状态显示错误时,该如何处理?·· 4

3.26 网络防病毒出现误报怎么办?·· 4

3.27 主机安全加固目前能防护任意的主机吗?·· 4

3.28 自动生成的Agent安装脚本适用于所有windows系统吗?·· 4

3.29 Web 应用防火墙支持哪些Web服务框架?·· 4

3.30 Web应用防火墙提供的是几层防护?·· 4

3.31 负载均衡器支持什么类型的会话保持?·· 5

3.32 负载均衡支持哪些负载均衡算法?·· 5

3.33 为什么使用SNAT·· 5

3.34 配置VPN服务时,对本端网络环境有什么要求?·· 5

3.35 为什么组织内子账户A创建的IKE策略、IPsec策略、VPN服务可以被另一个子账户B访问和使用?·· 5

3.36 IPSec VPN是否会自动进行协商?·· 5

3.37 态势感知提供什么服务?·· 5

3.38 创建SSLVPN实例的时候可以多次引用同一个网关(地址+端口)?·· 6

3.39 iMC短信认证有什么条件?·· 6

3.40 证书认证有什么限制?·· 6

3.41 SSLVPN资源支持IPv6吗?·· 6

 


本文档介绍H3C SecCloud OMP安全云管理平台 用户FAQ的用户常见问题及解答。

1 硬件类FAQ

1.1  硬件服务器设备最低配置要求是多少?

设备最低配置要求如下:

CPU2.1GHz/8*2

内存:96G

硬盘:2T

2 软件类FAQ

2.1  软件正式许可到期后会有什么影响?

安全云正式许可目前是永久的,没有到期时间。

2.2  操作系统升级是否会对业务产生影响?

操作系统升级时需要重启,已经进行的业务会话依然会受到相应的影响,应尽量避免业务高峰期进行设备系统升级操作。

2.3  操作系统升级是否会丢失相应配置文件?

操作系统升级后,不会导致配置、日志文件、库文件、license文件丢失。

3 业务功能类FAQ

3.1  为何无法打开Web界面?

请首先检查IP地址是否可以ping通,若不通,登录服务器管理口地址,检查操作系统等是否正常;若可以ping通,登录安全云服务后台,执行pod|grep -i seccloud命令检查进程是否都存在。

3.2  是否允许一个管理员账户被多人同时登陆?

可以。

3.3  忘记账户密码怎么办?

在登录页面,有忘记密码功能,可以根据提示进行密码重置操作。

3.4  系统管理员特征库升级如何操作?

特征库升级分两种:一种手动升级,根据本地下载的特征库文件进行升级;另外一种是自动升级,根据H3C官网特征库版本,选择版本号进行自动升级。

3.5  安全云系统对浏览器有什么要求?

为了获得更好的展示效果,建议使用Chrome54Firefox45IE9及以上版本的浏览器。

3.6  资源分配支持模板批量分配吗?

目前有分配模板,支持同一组织不同服务同时分配资源。

3.7  资源有效期是怎么计算的?

系统管理员Admin分配资源:资源有效期为分配时间+时长。

3.8  组织或者普通用户没有资源怎么办?

可以向管理员申请资源。

3.9  服务到期怎么处理?

服务到期会被释放,服务不可使用。

3.10  释放服务资源是什么过程?

第一,服务资源还给组织;第二,服务变为等待删除状态;第三,服务被释放不可以使用。

3.11  防火墙规则是如何使用地址对象的?

配置防火墙规则时,仅支持选择单个地址或子网形式的地址对象,并且不支持地址对象中的例外IP。将在未来安全云版本中支持全类型的地址对象。

3.12  防火墙为什么要绑定虚拟路由器?

虚拟路由器逻辑上包括连接外部网络的接口和连接内部网络的接口,防火墙的策略应用在路由的外部网络接口和内部网络接口之间,即对南北向流量进行安全访问控制。

3.13  创建IPS服务前,为何需要新建防火墙?

在安全云系统中,IPS服务是需要基于防火墙上实现的,所以需要先新建防火墙,再创建IPS服务。

3.14  为什么会新建证书失败?

目前只支持PEM格式的证书。在上传证书前,确保您的证书、证书链和私钥符合格式要求。

证书格式必须符合如下要求:

(1)      -----BEGIN CERTIFICATE----------END CERTIFICATE----- 开头和结尾;请将这些内容一并上传。

(2)     每行64个字符,最后一行长度可以不足64个字符。

(3)     证书内容不能包含空格。

3.15  若安全云部署的网络为隔离网环境,如何更新特征库?

系统具备离线升级特征库功能,可通过本地导入的方式手工导入特征库进行升级。

3.15.1  授权码和激活文件的关系是什么?

通过购买的授权码来申请激活文件,通过在系统上安装激活文件来获取受限功能的使用权限。

3.16  应用监控当前只支持HTTPPINGDNS协议,支持其他协议,类似HTTPS吗?

暂时没有HTTPS和其他协议,以后如果有需求的话,可以考虑添加其他监控协议。

3.17  应用监控的采集频率是不是越小越好?

并不是这样,采集频率越小,虽然采集到的监控数据能实时反馈被监测对象的状态,但是频繁的请求会影响被监测对象的性能。

3.18  服务的到期时间,到了那个时间服务就失效了吗?

在安全云系统中,服务的到期时间暂时只是服务器的系统时间,没有其他意义,服务不会失效。

3.19  IPS新建策略最佳选择是不是严格模板?

不是。建议综合考虑,根据主机的安全性要求、性能以及流量来选择。严格模板虽然能够提高安全性,但是比较耗费性能。

3.20  网络防病毒如何添加病毒例外。

目前一期没有实现此功能,二期会完善。

3.21  IPS、网络防病毒能够防护任何IP的主机吗?

不是。只能防护内网主机,否则无法引流。

3.22  基于特征的攻击,如何进行人工误报判断?

Web攻击日志中,其中有一项分类为攻击域,里面的内容点击后,便可查看到底是那一部分数据触发了攻击行为,有一点攻防专业技术知识的管理员通过该分类显示内容可进行简单的人工攻击甄别。

3.23  DDoS防护的源站IP能使用内网IP地址吗?

DDoS防护的高防IP是通过公网进行回源的,不支持直接填写内网IP地址。

3.24  回源IP段如何添加到白名单

在云端DDoS防护控制台中,点击回源IP段查看详细回源IP地址段信息,并添加到源站上的防火墙和其他安全软件的白名单,确保回源IP不受源站安全策略的影响。

3.25  服务状态显示错误时,该如何处理?

服务状态显示错误,可能是由于配置参数有误或服务资源已过期导致,可以通过修改配置参数或改换服务资源来尝试解决。

3.26  网络防病毒出现误报怎么办?

目前,只能够联系客服或工单反馈处理。

3.27  主机安全加固目前能防护任意的主机吗?

目前,主机安全加固服务只能防护H3C CloudOS云平台操作系统下的虚拟机。后期会适配其他云平台下的虚拟机或者物理主机。

3.28  自动生成的Agent安装脚本适用于所有windows系统吗?

不适应,有些生成的脚本只能适用于window10以上包括window10的操作系统,脚本不通用。

3.29  Web 应用防火墙支持哪些Web服务框架?

Web应用防火墙部署在云端,与防护的Web服务没有耦合。Web应用防火墙支持任意框

架的Web服务。

3.30  Web应用防火墙提供的是几层防护?

Web应用防火墙提供的是七层(物理层、数据链路层、网络层、传输层、会话层、表

示层和应用层)防护。

3.31  负载均衡器支持什么类型的会话保持?

负载均衡器支持源IPHTTP_COOKIEAPP_COOKIE三种会话保持类型。

3.32  负载均衡支持哪些负载均衡算法?

轮询算法:将请求轮流发送给后端云服务器,常用于短连接服务,例如HTTP等服务。

最少连接:优先将请求发给拥有最少连接数的后端云服务器,常用于长连接服务,例如数据库连接等服务。

IP:将请求的源IP地址作为散列键(HashKey),从静态分配的散列表找出对应的服务器。这可以使得同一个客户端IP的请求始终被派发至某特定的服务器。该方式适合负载均衡无cookie功能的TCP协议。

3.33  为什么使用SNAT

一些云服务器不仅需要使用系统提供的服务,还需要访问外网以获取信息或下载软件。但是,给云服务器分配公网IP需要消耗稀缺资源(如IPv4地址),增加额外的成本,并有可能增加虚拟环境遭受攻击的几率。因此,多个云服务器共享同一公网IP是一种可行的方法,具体实施方法为源地址转换(SNAT)。

3.34  配置VPN服务时,对本端网络环境有什么要求?

创建VPN服务的时候,本端路由器要连接防火墙,本端路由器还要通过端口连接到本端子网,本端路由器还要绑定外部网关IP

3.35  为什么组织内子账户A创建的IKE策略、IPsec策略、VPN服务可以被另一个子账户B访问和使用?

在一个组织内IKE策略、IPsec策略、VPN服务属于共享资源,不管是组织内那个角色创建的,在整个组织内都是共享的。

3.36  IPSec VPN是否会自动进行协商?

支持自动协商。

3.37  态势感知提供什么服务?

态势感知是可视化威胁检测和分析平台。态势感知能够检测出超过20大类的云上安全风险,包括DDoS攻击、Web攻击、后门木马、漏洞攻击、僵尸主机、异常行为等。利用大数据分析技术,态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和聚合分析,为用户呈现出全局安全攻击态势。

3.38  创建SSLVPN实例的时候可以多次引用同一个网关(地址+端口)?

如果直接引用网关(不加域名)的话,只能被一个实例引用,如果加域名的话可以被多个实例引用。

3.39  iMC短信认证有什么条件?

必须购买iMC服务器,并且在上面配置相应的用户信息。

3.40  证书认证有什么限制?

CA证书,服务器证书和必须在网关资源或网关服务类型的防火墙资源上已存在(目前暂不支持自动化下发)。

3.41  SSLVPN资源支持IPv6吗?

暂时只支持IPv4,如果需要的话可以添加对IPv6的支持。