H3C UIS超融合产品
虚拟机防病毒配置指导
资料版本:5W101-20200603
产品版本:UIS-E0715及之后版本
Copyright © 2019-2020 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
服务器虚拟化技术降低了数据中心IT投资和运维管理开支,但是,与传统物理环境一样,虚拟化环境也面临着内部网络病毒、蠕虫、木马程序和恶意软件的入侵。因此,在虚拟化环境下,我们需要考虑如何有效地为虚拟化服务器和虚拟桌面防范内网可能的恶意程序的攻击。
在传统物理环境中,往往需要给每个物理服务器安装防病毒软件,以实时防御可能的病毒入侵,而且,需要配置在非工作时间或非业务高峰期按需扫描病毒,从而最大限度地减少病毒防范操作对正常业务的干扰。当这些业务被迁移到虚拟化环境中后,同一个物理服务器上的众多虚拟机同时更新病毒特征库或按需全盘扫描时,可能导致物理服务器CPU、内存和磁盘I/O出现峰值,从而使得虚拟机在这段时间内无法正常提供服务,这种情况通常称之为“防病毒风暴(AV Storming)”。
H3C UIS超融合管理平台与知名安全软件厂商亚信安全合作,推出了无代理防病毒解决方案,用户无需在每个虚拟机中安装防病毒客户端程序,而是将其中一台虚拟机承担安全虚拟机的角色,让这台安全虚拟机去管理虚拟化环境下的其他所有虚拟机的防护策略。用户只需要安装一次安全防护软件,对这台安全虚拟机进行升级和维护,就能够让其他所有虚拟机得到最新的安全防护。因此,无代理安全防病毒方案降低了虚拟化主机CPU、内存和磁盘I/O负载,避免了“防病毒风暴”。
H3C UIS超融合管理平台从UIS-E0705版本开始支持亚信安全防病毒解决方案。缺省配置下,H3C UIS超融合管理平台没有开启防病毒功能,本文档分别介绍亚信安全安装和配置防病毒解决方案的操作方法与配置步骤。
目前,亚信安全无代理防病毒解决方案只支持Windows类型操作系统防病毒,详细的兼容性列表如下表所示。
虚拟机操作系统兼容性列表由亚信安全提供,并对防病毒功能与操作系统的兼容性保留解释权。
操作系统类型与版本 |
亚信安全 |
Windows Server 2012 R2数据中心版(64位) |
|
Windows Server 2012 R2标准版(64位) |
|
Windows Server 2012数据中心版(64位) |
|
Windows Server 2008 R2数据中心版SP1(64位) |
|
Windows Server 2008 R2企业版SP1(64位) |
|
Windows Server 2008 R2标准版SP1(64位) |
|
Windows Server 2008数据中心版SP2(64位) |
|
Windows Server 2008企业版(64位) |
|
Windows Server 2008标准版(64位) |
|
Windows 10企业版(64位) |
|
Windows 10企业版(32位) |
|
Windows 8.1专业版(64位) |
|
Windows 8.1专业版(32位) |
|
Windows 8企业版(64位) |
|
Windows 8企业版(32位) |
|
Windows 7中文旗舰版SP1(64位) |
|
Windows 7中文旗舰版SP1(32位) |
本文档不严格与具体硬件服务器型号对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。本文档使用的服务器型号与配置如下表所示,该环境不作为实际部署时的强制环境或推荐环境,只需要服务器能够兼容H3C UIS超融合管理平台即可完成本配置。
配置项 |
说明 |
服务器 #1 |
· H3C UIS-Cell 3030 G3 · CPU:2路12核,Intel(R) Xeon(R) Gold 6128 CPU @ 3.40GHz · 内存:128GB |
服务器 #2 |
· H3C UIS-Cell 3030 G3 · CPU:2路12核,Intel(R) Xeon(R) Gold 6128 CPU @ 3.40GHz · 内存:128 GB |
服务器 #3 |
· H3C UIS-Cell 3030 G3 · CPU:2路12核,Intel(R) Xeon(R) Gold 6128 CPU @ 3.40GHz · 内存:128 GB |
软件 |
版本 |
服务器虚拟化管理软件 |
H3C UIS-E0708(KVM Kernel 4.14.0) |
虚拟机操作系统 |
安全虚拟机(用于安装防病毒安全管理中心组件) · Windows Server 2008 R2数据中心版SP1(64位) 被防护虚拟机 · Windows Server 2012 R2数据中心版(64位) · Windows Server 2012 R2标准版(64位) · Windows Server 2008 R2数据中心版SP1(64位) · Windows Server 2008 R2企业版SP1(64位) · Windows Server 2008 R2标准版SP1(64位) · Windows 10企业版(64位) · Windows 8.1专业版(64位) · Windows 8企业版(64位) · Windows 7中文旗舰版SP1(64位) |
亚信安全防病毒软件 |
防病毒安全管理中心组件 · AsiaInfo Deep Security Manager 9.6.4179(Windows 64位版本) 虚拟化主机安全组件 · Deep Security Virtual Appliance 8.0.0.2066 64位 |
图1 H3C UIS虚拟机防病毒解决方案逻辑拓扑图
亚信安全管理中心DSM安装在虚拟机上,虚拟机的硬件配置最低要求如下表所示:
表1 DSM虚拟机硬件配置最低要求
CPU |
内存 |
磁盘 |
2 |
8GB |
100GB |
DSM虚拟机要求安装的操作系统版本为:
· 带有最新Service Pack或Patch的Windows Server 2012(64位)、Windows Server 2012 R2(64位)
· 带有最新Service Pack或Patch的Windows Server 2008(64位)、Windows Server 2008 R2(64 位)
· 带有最新Service Pack或Patch的Windows 2003 Server R2 SP2(64位)
· Red Hat Linux 5/6/7(64位)
DSM虚拟机要求安装的数据库版本为:
· Oracle Database 12c
· Oracle Database 11g、Oracle Database 11g Express
· Microsoft SQL Server 2014、Microsoft SQL Server 2014 Express
· Microsoft SQL Server 2012、Microsoft SQL Server 2012 Express
· Microsoft SQL Server 2008、Microsoft SQL Server 2008 Express
· Microsoft SQL Server 2008 R2、Microsoft SQL Server 2008 R2 Express
DSM虚拟机内要求安装的浏览器版本为:
· Firefox 38+
· Internet Exxplorer 8.x
· Internet Explorer 9.x
· Internet Explorer 10.x
· Internet Explorer 11.x
· Chrome 43+
· Safari 6+
浏览器需要启用cookie。
在项目实施之前,请根据防病毒解决方案的不同,联系亚信安全在当地的售后人员,以获取防病毒软件版本。
亚信安全管理中心是亚信安全公司发布的集中管控虚拟机深度安全策略的管理平台(Deep Security Manager,DSM),是一个安装在Windows操作系统上的软件。该软件由亚信安全公司交付给客户,提供了对动态数据中心中的系统(范围遍及虚拟桌面到物理、虚拟或云服务器)的高级保护,主要包括:
· 防恶意软件
· 入侵检测和阻止(IDS/IPS)
· 防火墙
· Web应用程序防护
· 应用程序控制
本文档将亚信安全安全管理中心DSM安装在一个Windows Server 2008 R2数据中心版64位虚拟机上。
(1) 登录H3C UIS超融合管理平台,创建一个新的虚拟机,建议的虚拟机资源配置如下表所示。
表2 亚信安全管理中心虚拟机资源配置推荐
CPU |
内存 |
适用场景 |
2 |
8~12GB |
适用于少于10,000台虚拟机的场景。 |
4 |
16GB |
适用于少于20,000台虚拟机的场景。 |
4 |
24GB |
适用于多于20,000台虚拟机的场景。 |
(2) 为虚拟机安装Windows Server 2008 R2数据中心版64位操作系统和CAStools工具软件。
(3) 在虚拟机操作系统内,安装亚信安全提供的防病毒安全管理中心组件AsiaInfo Deep Security Manage 9.6.4179(Windows 64位版本)。
(4) 选择数据库:亚信安全服务器深度安全防护系统管理中心自带有一个内置数据库 (Apache Derby),该数据库仅适用于评估目的。对于企业部署,亚信安全服务器深度安全防护系统需要Microsoft SQL Server 2008或2005,或者Oracle Database 11g或10g。
图2 选择数据库
(5) DSM是基于Web的集中式管理系统,如果网络中存在DNS,请在安装过程中配置管理中心主机名,否则,请指定管理中心所在的虚拟机IP地址。
图3 指定DSM安全管理中心IP地址
· “管理中心端口”:通过HTTPS访问DSM安全管理中心的端口号。
· “波动信号端口”:DSM管理中心侦听来自安全主机设备的通信的端口号。
(6) 为登录DSM安全管理中心指定管理帐号和密码,单击<下一步>按钮继续安装。
图4 设置登录DSM安全管理中心的帐号和密码
(7) 安装结束后,通过Web浏览器访问DSM安全管理中心,键入上述设置的用户帐号与密码,单击<登录>按钮。
图5 DSM安全管理中心登录界面
(8) 登录后的控制台界面如图6所示。
(9) 激活DSM:每个DSM安全管理组件通过激活码单独授权,请联系客户或亚信安全售后人员获取。单击[管理/使用授权]进入激活界面,输入DSM安全管理组件的激活码,完成产品的激活。
图7 键入激活码授权DSM安全管理组件
虚拟化主机安全组件是亚信安全公司专为H3C UIS超融合管理平台开发的、安装在H3C UIS主机上的组件包,由亚信安全公司交付给客户。该组件的核心作用是接受DSM安全管理中心的统一管理,实时防护虚拟化主机上所有虚拟机的网络和文件系统,并将检测结果通知DSM安全管理中心。
(1) 登录H3C UIS超融合管理平台,在导航菜单中依次选择“管理”->“安全管理”->“防病毒配置”,在防病毒配置界面中,选择防病毒厂商为“亚信安全”。
图8 配置防病毒厂商
(2) 将亚信安全公司提供的虚拟化主机安全组件从本地目录拖拽到“上传补丁包”指定区域,输入该文件在H3C UIS上的保存路径后,单击<开始上传>按钮。
图9 上传虚拟化主机安全组件到H3C UIS超融合管理平台
(3) 上传完成之后,H3C UIS 超融合管理平台自动将安全组件静默安装到所有的H3C UIS虚拟化主机上。
图10 虚拟化主机安全组件上传并安装完毕
(4) 单击<检查>按钮,可以对虚拟化主机安全组件的安装结果进行确认。
图11 虚拟化主机安全组件安装检测结果
只有在亚信DSM安全管理中心中添加H3C UIS超融合管理平台之后,亚信DSM安全管理中心才能对虚拟化主机和虚拟机进行安全防护及安全策略配置。
(1) 在亚信安全DSM安全管理中心界面导航菜单栏中,选择“计算机”,在工具栏中,单击“新建”按钮,在弹出的下拉框中单击“添加Virtual Center…”子菜单。
图12 在亚信DSM安全管理中心中添加虚拟化管理平台
(2) 在弹出的“添加Virtual Center向导”对话框中,选择类型为“H3C_UIS”,输入H3C UIS超融合管理平台的访问地址、登录帐号和密码,单击<继续>按钮。
图13 添加Virtual Center向导对话框
(3) 亚信DSM安全管理中心自动连接指定的H3C UIS超融合管理平台,并获取主机与虚拟机列表。
图14 获取的H3C UIS主机与虚拟机列表
如果需要对虚拟机进行病毒安全防护,需要手工为其开启防病毒功能(默认情况下,虚拟机不启用防病毒功能)。H3C UIS超融合管理平台支持对单个虚拟机开启防病毒功能,也支持批量为多个虚拟机开启防病毒功能。
(1) 在H3C UIS超融合管理平台中,为需要病毒安全防护的所有虚拟机安装CAStools工具。
(2) 在H3C UIS 超融合管理平台中,单击“虚拟机”,选择“列表”页签,勾选需要开启防病毒功能的虚拟机,单击右键,选择[修改虚拟机]选项。
图15 批量修改虚拟机
(3) 在弹出的“批量修改虚拟机”对话框中,勾选“修改启用防病毒”,单击<确定>按钮。
图16 批量开启虚拟机的防病毒功能
(4) 启动所有已开启防病毒功能且处于关闭状态的虚拟机。
虚拟机至少保持5分钟的运行状态。
(1) 在亚信DSM安全管理中心中,右键单击虚拟化主机,在弹出的菜单中,依次选择“操作”->“激活设备”。
图17 激活设备
(2) 在激活设备配置向导中,“策略”选择为“无”,“从以下位置下载安全更新”选择为“缺省中继组”,单击<下一步>按钮。
策略请务必选择为“无”,否则可能造成亚信安全管理中心无法正常访问H3C UIS 超融合管理平台的问题。
图18 激活设备配置向导
(3) 在虚拟机列表中,勾选需要激活的虚拟机,单击<完成>按钮。
图19 选择需要激活的虚拟机列表
(4) 亚信DSM安全管理中心开始激活指定的虚拟机。激活成功之后,虚拟化主机和虚拟机都呈现为“被管理”状态。但是,此时,因没有为虚拟机指定合适的安全配置文件,虚拟机防恶意软件、防火墙和IPS等功能依然处于关闭状态。
图20 成功激活的虚拟化主机与虚拟机状态
建议不要为安装了DSM的虚拟机分配包含IPS规则和防火墙规则的安全配置文件,否则会造成亚信安全中心无法正常管理H3C UIS虚拟化主机和虚拟机等问题。
(1) 右键单击需要指定安全配置文件的虚拟机,在弹出的菜单中依次选择“操作”->“分配策略”。
图21 为虚拟机分配安全配置文件
(2) 在弹出的“分配策略”页面中,根据虚拟机操作系统的不同,选择合适的安全配置文件,单击<确定>按钮。在实际工作中,启用病毒防护策略即可,即选择“Windows防恶意软件保护”。
图22 为虚拟机指定策略
(1) 从EICAR网站(http://www.eicar.org/)复制如下通用的病毒代码,并粘贴保存到一个文本文件中。
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
· EICAR(全称:欧洲反计算机病毒协会,European Institute for Computer Antivirus Research)创建于1991年,它的宗旨是为了提高反病毒研究的深度和促进杀毒软件的发展。
· EICAR测试文件(正式的名称:EICAR标准反病毒测试文件)是一种由欧洲反计算机病毒协会(EICAR)为了测试计算机反病毒程序(杀毒软件)的反应而开发的文件。它的初衷就是想让个人用户、公司和杀毒软件程序员,在不使用真正的计算机病毒的情况下,来测试他们的软件。因为一旦杀毒软件没有做出正确的应对,可能会引起严重的损失。EICAR将这种使用活病毒对杀毒软件的测试,比喻成是在一个垃圾桶里放了一把火来测试火警系统的灵敏度,推出EICAR测试文件也正是为了安全考虑。
(2) 尝试将上述文本文件复制到受保护的虚拟机操作系统内,目标目录中将看不到该文件,因为该文件已经被亚信DSM安全管理中心隔离。
(3) 在亚信DSM安全管理中心“防恶意软件事件”中,可以看到详细的恶意软件隔离记录。
图23 亚信安全事件监控
(1) 将软件PuTTY传入目标虚拟机。
图24 PuTTY软件传入虚拟机
(2) 在没有启用IPS规则时,使用PuTTY工具可以登录UIS超融合管理平台主机。
图25 在虚拟机内使用PuTTY软件登录UIS超融合管理平台
(3) 在DSM中,选择目标虚拟机,单击“详细信息”按钮。
图26 DSM中查看虚拟机详细信息
(4) 在详细信息页面单击入侵防御项,单击“分配/取消分配…”。
图27 详细信息页面
(5) 搜索IPS规则:1002487 - Application Control For SSH Client,单击鼠标右键,选择[属性]选项,在弹出的窗口中,将其模式修改为“阻止”并应用,然后在IPS规则页面勾选该规则并保存。
图28 配置IPS规则
图29 虚拟机应用IPS规则-1
(6) 将虚拟机的入侵防御设置为打开状态,单击“保存”。
图30 虚拟机应用IPS规则-2
(7) 虚拟机内再次使用PuTTY登录UIS超融合管理平台主机,此时无法登录,说明IPS规则已生效。
图31 IPS规则生效,使用PuTTY无法登录UIS超融合管理平台主机
(8) IPS规则生效产生事件后,在IPS事件页面可查看到相应事件记录。
图32 查看IPS事件
(1) 不启用ICMP防火墙规则在虚拟机外部可以ping通该虚拟机。
(2) 在DSM中,选择目标虚拟机,单击“详细信息”按钮。
图33 DSM中查看虚拟机详细信息
(3) 在虚拟机详细信息页面单击防火墙规则项,单击<分配/取消分配>按钮,为虚拟机分配ICMP规则。在已分配防火墙规则中,选择目标ICMP规则,单击右键—>选择属性(全局),将操作改为拒绝并应用,然后在防火墙规则页面勾选该规则并保存。
图34 配置防火墙规则-1
图35 配置防火墙规则
(4) 将虚拟机的防火墙设置为打开状态,单击“保存”按钮。
图36 虚拟机应用防火墙规则
(5) 再次在应用规则的虚拟机外部ping该虚拟机,该虚拟机无法ping通,说明ICMP防火墙规则已生效。若ICMP防火墙规则未生效,可以尝试将防火墙的状态配置为关闭,保存后再重新打开防火墙进行重试。
图37 ICMP防火墙规则生效,外部无法ping通该虚拟机
(6) 防火墙规则生效后,在DSM防火墙事件页面可查看到相应事件记录。
图38 查看防火墙事件
亚信安全产品的授权交付件是EK(Exchange Key)交换码,该交换码的有效期为6个月。用户收到H3C的授权交付件之后,需尽快在亚信官网(注册网址:http://esupport.asiainfo-sec.com/H3C_reg)进行登记注册取得正式的产品激活码。产品授权需要在软件安装之前完成注册,为避免影响部署服务的实施效率,请提前2个工作日完成注册。
若亚信软件授权EK交换码过期,请于2019年12月15日前在BPM平台填写“工作联络单”电子流申请替换。由代表处总经理审批,主送供应链管理部周成斌(02773)、曾雪姣(WX1402)、占振坤(01468),信息技术部宋冬梅(KF2525)处理,抄送供应链管理部倪进平(02460)、程旭东(00581),云数产品线陈彤(04183)、陈珏秀(12749)。
请将过期的EK码信息填写在工作联络单内,格式如下:
产品型号 |
BOM编码 |
条码 |
EK码 |
举例:LIS-DS-Manager |
3130A2Q3 |
213130A2Q301860000GQ |
DS925-25460-19488 |
若安装部署服务EK交换码过期,请于2019年12月15日前在BPM平台填写“工作联络单”电子流申请延期。电子流主送给云数产品线陈彤(04183)、陈珏秀(12749)申请延期(最多可延长至2019年12月31日)。
请将过期的EK码信息填写在工作联络单内,格式如下:
产品型号 |
BOM编码 |
条码 |
EK码 |
举例:LIS-DS-Manager |
3130A2Q3 |
213130A2Q301860000GQ |
DS925-25460-19488 |
UIS版本升级前后,UIS版本适配的亚信虚拟化主机安全组件版本没有变化的情况下,无需卸载和重新安装亚信虚拟化主机安全组件,可以实现不中断业务的在线升级。
请参见《H3C UIS升级指导书》中的升级步骤进行UIS版本的升级。
(1) 重启DSM。
(2) 在亚信安全DSM安全管理中心界面导航菜单栏中,选择[计算机]菜单项,在工具栏中,右键添加的Virtual Center名称,选择[立即同步]。
图39 同步数据
(3) 同步完成后查看主机和虚拟机的管理状态。重新激活管理主机,重新为虚拟机分配策略,具体步骤请参考2.4.5 激活虚拟机安全防护功能。确保主机和虚拟机均被正常管理、病毒防护正常。
在UIS版本升级过程中,会出现一段时间的虚拟机病毒防护不生效。当在DSM中重新激活主机和虚拟机后,防病毒功能会恢复正常。
· 目前仅支持在虚拟机关闭状态下关闭虚拟机的防病毒功能。
· 手工在线迁移已启用防病毒的虚拟机会概率出现CAStools命令执行失败、卸载亚信驱动失败。若操作失败,请重试几次;若多次重试后仍然失败,请先关闭虚拟机的防病毒功能再迁移虚拟机,迁移完成后先启用虚拟机的防病毒功能,再启动虚拟机。
· 虚拟机启用防病毒功能后,在线热添加CPU会出现严重卡顿或者蓝屏重启。请在虚拟机关闭状态下调整CPU个数。
· 不建议对开启防病毒功能的虚拟机进行含内存的快照、休眠以及暂停状态下的迁移,否则虚拟机会出现严重卡顿。
· 在UIS-E0708版本上使用UIS-E0705版本的开启防病毒的虚拟机(通过模板部署,导入虚拟机或虚拟机还原等方式)时,需要重新为虚拟机启用防病毒功能。
· 开启防病毒功能的虚拟机导出OVF模板后再导入到UIS超融合管理平台中进行部署,部署后的虚拟机的防病毒功能是关闭的。
· 已启用防病毒功能的虚拟机备份或创建还原点后,若通过此备份文件或还原点还原虚拟机之前,修改过虚拟机的防病毒状态,则虚拟机还原后需要重新使能防病毒。
· 已启用防病毒功能的虚拟机动态迁移至另一主机后,当虚拟机的UUID信息在目的主机对应目录下能查看到时,其亚信安全防病毒功能才生效。
· 已启用过防病毒功能且已查询到相应服务的虚拟机,关闭其防病毒功能后,当再次开启虚拟机时,可能仍会查询到亚信相关服务,但此时虚拟机已不能杀毒,不影响功能使用。
· 如果虚拟机在UIS低版本(亚信不生效)中开启过防病毒功能,没有生效,那么升级到高版本(亚信生效)后,该虚拟机的防病毒功能仍然是不生效的。需要执行以下步骤才能正常使用防病毒功能。
a. 登录开启防病毒功能的虚拟机,进入cmd命令行窗口,使用管理权限执行命令sc stop kfileflt,停止kfileflt服务(状态为“STOPPED”,表示停止成功)。
b. 从防病毒功能生效的虚拟机上获取有效的kfileflt文件,替换防病毒功能不生效的虚拟机的kfileflt文件。
kfileflt文件路径:C:\Windows\System32\drivers\kfileflt.sys
· 如果虚拟机在UIS低版本(亚信不生效)中未开启过防病毒功能,升级到高版本(亚信生效)后,该虚拟机直接开启防病毒功能即可生效,那么该虚拟机里的kfileflt文件即为有效的文件。
· 如果UIS低版本(亚信不生效)中所有虚拟机都开启过防病毒,请在高版本中新建一个虚拟机,并为该虚拟机开启防病毒功能,那么该虚拟机里的kfileflt文件即为有效的文件。
· 复制kfileflt文件时,先放到虚拟机桌面,再放到文件夹下。若提示需要管理员权限,重试即可。
c. 在cmd命令行窗口中,使用管理员权限执行命令sc start kfileflt,启动kfileflt服务(状态为“RUNNING”,表示启动成功)。
d. 在DSM中重新激活虚拟机。
(1) 咨询产品EK交换码注册激活的相关事宜,可拨打021-63848899*680,服务时间:周一至周五的9:00~17:30,法定假日除外。
(2) 咨询产品使用、部署过程中的技术问题、病毒库更新的相关事宜,可以拨打800-820-8839或400-820-8839或021-26037677获得技术支持;技术问题提交邮箱:Sec-Service@asiainfo-sec.com(需提供客户名称及产品序列号;售前测试需表明新华三或新华三渠道身份);服务时间:周一至周五的9:30~17:30,法定假日除外。
(3) 非工作时间新华三原厂和渠道工程师可拨打亚信7*24h二线支持电话(13901805524)获得技术支持(需表明新华三或新华三渠道身份);服务时间:周一至周五17:30 ~ 9:30、周末和国家法定节假日。