- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecCenter CSAP-ESM-G终端安全管理系统
软件安装指导
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
终端安全管理系统(ESM-G)和终端安全管理系统防病毒(ESM-AV-G)分为服务端和客户端两大部分,采用分级部署架构,实现了策略统一管理、病毒库统一更新和日志汇总统一呈现。ESM-G、ESM-AV-G均广泛地适配多种 CPU 架构( X86、 ARM)和多种操作系统(Linux 和 Windows),ESM-G支持防病毒、EDR、桌管功能,ESM-AV-G支持防病毒功能。终端防护是ESM-G、ESM-AV-G最主要的功能,除了提供常见的恶意程序识别和清除功能外,终端安全管理系统还提供智能防护和恶意程序爆发阻止的解决方案。
终端安全管理系统(ESM-G)和终端安全管理系统防病毒(ESM-AV-G)在服务端部署环节上完全一致,详细的部署步骤请参考以下文档说明。
管理员通过登录服务端的Web管理控制台,可以管理客户端。
服务端支持的操作系统包括:
l RedHat 7.6 x86_64
l CentOS 7.3 x86_64
l CentOS 7.4 x86_64
l CentOS 7.5 x86_64
l CentOS 7.6 x86_64
l CentOS 7.7 x86_64
l CentOS 7.8 x86_64
l 银河麒麟 V10 SP1 服务器版 arm64
服务端CPU内存、磁盘等硬件资源要求由客户端数量决定,对于终端安全管理系统(ESM-G)和终端安全管理系统防病毒(ESM-AV-G)有不同硬件资源要求,如下表所示。
1. 对于终端安全管理系统(ESM-G)和终端安全管理系统防病毒(ESM-AV-G),两款产品对于硬件资源要求不同,请严格遵循要求申请硬件资源,资源不足的情况下部署不会报错,但是存在服务异常。
(1)终端安全管理系统(ESM-G)硬件要求:
表2-1 终端安全服务端CPU和内存要求
|
客户端数量 |
服务端CPU |
服务端内存 |
服务端硬盘 |
|
小于1000台 |
12核 |
24G |
4T |
|
小于4000台 |
24核 |
32G |
8T |
|
小于10000台 |
48核 |
72G |
15T |
(2)终端安全管理系统防病毒(ESM-AV-G)硬件要求:
表2-2 终端安全防病毒服务端CPU和内存要求
|
客户端数量 |
服务端CPU |
服务端内存 |
服务端硬盘 |
|
小于1000台 |
4核 |
8G |
500 GB |
|
小于4000台 |
8核 |
16G |
500 GB |
|
小于10000台 |
16核 |
32G |
800 GB |
如果用户启用了防火墙,必须将服务端的以下端口加入白名单,如下表所示。
|
端口 |
作用 |
|
8443 |
服务端与Web管理控制台通信的端口,包括各种管理页面、客户端下载页面等。 |
|
443 |
服务端与客户端通信的端口,包括注册、心跳、上传数据等。 |
服务端X86版本支持部署在Centos7.3-7.8以及Redhat7.6操作系统上,ARM版本支持部署在银河麒麟V10 SP1服务器版上,可根据需求选择操作系统部署,此处以centos操作系统或者redhat操作系统为例,详细操作系统部署步骤可参考下文。
服务端操作系统版本要求请参考服务端安装要求。
安装过程中选项设置如下。
(1) 选择安装EN版本。
图2-1 Centos安装EN版本
(2) 选择软件安装包和系统。
a) 单击SOFTWARE SELECTION Minimal Install
图2-2 Centos单击SOFTWARE SELECTION Minimal Install
b) 单击INSTALLATION DESTINATION Automatic partitioning selected
图2-3 Centos单击INSTALLATION DESTINATION Automatic partitioning selected
图2-4 Centos进入INSTALLATION DESTINATION
(3) 选择分配空间。
图2-5 Centos分配空间
完成以上配置后,单击<Done>,将显示以下界面。
单击“+”,分别添加如下空间。
当有两块硬盘且第二块硬盘空间小时,需提前在BIOS中将第二块硬盘设为开机启动项。
如需更改分区,请手动配置,配置要求如下:
· 当只有一块硬盘时,会作为系统安装盘与数据存储盘,具体分区为/boot为1GB,SWAP为8GB,如果操作系统安装在物理机上,需要新增一个分区biosboot为2MB,剩余的空间分配给/,如果有efi分区,保留该分区。
图2-6 Centos配置单硬盘分区
· 当有两块硬盘时,会选择空间小的一块硬盘作为系统安装盘,具体区分为/boot为1GB,SWAP为8GB,剩余的空间分配给/,如果有efi分区,保留该分区。剩下的较大盘会作为数据存储盘,具体分为所有空间全部分配给/didata。
图2-7 Centos配置双硬盘分区
· 不建议挂载超过两块硬盘。当有大于两块盘时,会强制要求手动分区,具体分区请按照两块盘时的分区进行设置。
请手动选择其中一块盘作为系统安装盘,且在BIOS中将其设置为开机启动盘,否则安装完成后系统不能正常运行。
(4) 设置Root密码。
建议使用高复杂度的密码。
图2-8 Centos系统设置Root密码
图2-9 Centos系统输入密码和确认密码
(5) 修改网络配置。
vi /etc/sysconfig/network-scripts/ifcfg-eno16777984(根据网卡可能有所不同,以实际网卡名称为准)
(6) 添加分配静态IP和DNS。
BOOTPROTO=static
IPADDR=192.168.1.96
PREFIX=24
GATEWAY=192.168.1.1
ONBOOT=yes
DNS1=8.8.8.8
(7) 重启service。
service network restart
(8) 重启完成后,管理员可以通过Putty或Winscp等访问CentOS或者Redhat系统。
当有两块硬盘时,请一定要配置开机自动挂载磁盘,否则机器重启可能导致数据丢失。
(1) vi /etc/fstab,在结尾加入一行/dev/sdb /didata auto defaults 0 0
(2) mount -a
服务端操作系统版本要求请参考服务端安装要求。
安装过程中选项设置如下。
(1) 选择安装EN版本。
图2-10 Redhat安装EN版本
(2) 选择软件安装包和系统。
c) 单击SOFTWARE SELECTION Minimal Install
图2-11 Redhat单击SOFTWARE SELECTION Minimal Install
d) 单击INSTALLATION DESTINATION Automatic partitioning selected
图2-12 Redhat单击INSTALLATION DESTINATION Automatic partitioning selected
图2-13 Redhat进入INSTALLATION DESTINATION
(3) 选择分配空间。
图2-14 Redhat分配空间
完成以上配置后,单击<Done>,将显示以下界面。
单击“+”,分别添加如下空间。
当有两块硬盘且第二块硬盘空间小时,需提前在BIOS中将第二块硬盘设为开机启动项。
如需更改分区,请手动配置,配置要求如下:
· 当只有一块硬盘时,会作为系统安装盘与数据存储盘,具体分区为/boot为1GB,SWAP为8GB,如果操作系统安装在物理机上,需要新增一个分区biosboot为2MB,剩余的空间分配给/,如果有efi分区,保留该分区。
图2-15 Redhat配置单硬盘分区
· 当有两块硬盘时,会选择空间小的一块硬盘作为系统安装盘,具体区分为/boot为1GB,SWAP为8GB,剩余的空间分配给/,如果有efi分区,保留该分区。剩下的较大盘会作为数据存储盘,具体分为所有空间全部分配给/didata。
图2-16 Redhat配置双硬盘分区
· 不建议挂载超过两块硬盘。当有大于两块盘时,会强制要求手动分区,具体分区请按照两块盘时的分区进行设置。
请手动选择其中一块盘作为系统安装盘,且在BIOS中将其设置为开机启动盘,否则安装完成后系统不能正常运行。
(4) 设置Root密码。
建议使用高复杂度的密码。
图2-17 Redhat系统设置Root密码
图2-18 Redhat系统输入密码和确认密码
(5) 修改网络配置。
vi /etc/sysconfig/network-scripts/ifcfg-eno16777984(根据网卡可能有所不同,以实际网卡名称为准)
(6) 添加分配静态IP和DNS。
BOOTPROTO=static
IPADDR=192.168.1.96
PREFIX=24
GATEWAY=192.168.1.1
ONBOOT=yes
DNS1=8.8.8.8
(7) 重启service。
service network restart
(8) 重启完成后,管理员可以通过Putty或Winscp等访问CentOS或者Redhat系统。
当有两块硬盘时,请一定要配置开机自动挂载磁盘,否则机器重启可能导致数据丢失。
(1) vi /etc/fstab,在结尾加入一行/dev/sdb /didata auto defaults 0 0
(2) mount -a
拷贝软件包文件到服务器本地路径。
请从技术支持获取软件包。
(需要使用最终版本去计算md5)
将ESM应用部署在服务器上,步骤如下。
(1) 进入部署安装包目录cd /home/。
(2) 使用命令tar –zxvf SecCenter CSAP ESM AV-G-IMW310-E6301.tar.gz解压缩软件包 SecCenter CSAP ESM AV-G-IMW310-E6301.tar.gz (此处软件包的名称只作为参考,具体名称以实际为准)。
(3) 进入到解压后的文件夹cd online_centos7。
(4) 执行命令ls显示当前文件夹下的所有内容。
(5) 服务端部署安装
当有多张网卡时,请先禁用其他网卡,仅保留作为管理用的网卡,然后再去部署服务端,否则服务端管理地址会出现异常,服务端部署完成后再启用其余网卡。
(a)多租户版本部署
当需要部署多租户版本终端安全管理系统时,使用命令sh install.sh -t multi-tenant 执行安装脚本,出现“Success to install msp...”和“Success to install esm server..”即为安装成功。
(b)非租户版本部署安装
当需要部署非租户版本终端安全管理系统时,使用命令./install.sh执行安装脚本,出现“Success to install esm server..”即为安装成功。
(1) 使用命令systemctl status nginx查看nginx状态,当服务状态为active,出现进程id以及进程名,即为nginx安装成功。
图2-19 查看nginx状态
(2) 使用命令systemctl status mysqld查看mysql状态,当服务状态为active,出现进程id以及进程名,即为mysql安装成功。
图2-20 查看mysql状态
(3) 使用命令systemctl status redis_log查看redis状态,当服务状态为active,出现进程id以及进程名,即为redis安装成功。
图2-21 查看redis状态
(4) 使用命令systemctl status esm_server查看服务端状态,当服务状态为active,出现进程id以及进程名,即为服务端安装成功。
图2-22 查看服务端状态
(1) 在浏览器栏输入https://<终端安全管理系统服务端IP地址>:8443,访问Web管理控制台。
登录界面如下图所示,即为安装成功。
图2-23 登录界面
(2) 输入用户名、密码和验证码。
默认用户名为admin,默认密码为admin。
多租户默认用户名为tenant_admin,默认密码为admin。
(3) 单击<登录>按钮或按Enter键,登录成功。
如果使用账户首次登录,将会强制跳转到修改初始密码界面。
图2-24 修改初始密码
输入新密码和确认密码,单击<确认>按钮后,提示密码设置成功,然后跳转到登录界面。在登录界面输入用户名和新的密码后,单击<登录>按钮或按Enter键,登录成功。
目前ESM-G、ESM-AV-G共有28种授权码,其中终端安全管理系统(杀毒)服务器版或桌面版授权码仅支持病毒防护功能,终端安全管理系统服务器版授权码支持病毒防护、检测响应、管控基础、外设基础功能,终端安全管理系统桌面版授权码支持病毒防护、检测响应、管控基础、外设基础、漏洞防护功能。授权编码、授权类型关系如下表:
表1 License授权编码、授权类型和对应设备型号说明
|
授权编码 |
授权类型 |
对应授权模块 |
|
3130A5P1 |
H3C SecCenter ESM-AV-G终端安全管理系统(杀毒)服务器版100节点1年授权函 |
病毒防护 |
|
3130A5P2 |
H3C SecCenter ESM-AV-G终端安全管理系统(杀毒)服务器版100节点3年授权函 |
病毒防护 |
|
3130A5NU |
H3C SecCenter ESM-AV-G终端安全管理系统(杀毒)服务器版10节点1年授权函 |
病毒防护 |
|
3130A5NV |
H3C SecCenter ESM-AV-G终端安全管理系统(杀毒)服务器版10节点3年授权函 |
病毒防护 |
|
3130A5PC |
H3C SecCenter ESM-AV-G终端安全管理系统(杀毒)服务器版50节点1年授权函 |
病毒防护 |
|
3130A5P0 |
H3C SecCenter ESM-AV-G终端安全管理系统(杀毒)服务器版50节点3年授权函 |
病毒防护 |
|
3130A5NX |
H3C SecCenter ESM-AV-G终端安全管理系统(杀毒)桌面版100节点1年授权函 |
病毒防护 |
|
3130A5NY |
H3C SecCenter ESM-AV-G终端安全管理系统(杀毒)桌面版100节点3年授权函 |
病毒防护 |
|
3130A5NT |
H3C SecCenter ESM-AV-G终端安全管理系统(杀毒)桌面版500节点1年授权函 |
病毒防护 |
|
3130A5P7 |
H3C SecCenter ESM-AV-G终端安全管理系统(杀毒)桌面版500节点3年授权函 |
病毒防护 |
|
3132A173 |
H3C SecCenter ESM-AV-G终端安全管理系统(杀毒)服务器版1节点1年授权函 |
病毒防护 |
|
3132A176 |
H3C SecCenter ESM-AV-G终端安全管理系统(杀毒)服务器版1节点3年授权函 |
病毒防护 |
|
3132A171 |
H3C SecCenter ESM-AV-G终端安全管理系统(杀毒)桌面版1节点1年授权函 |
病毒防护 |
|
3132A170 |
H3C SecCenter ESM-AV-G终端安全管理系统(杀毒)桌面版1节点3年授权函 |
病毒防护 |
|
3130A5P5 |
H3C SecCenter ESM-G终端安全管理系统服务器版100节点1年授权函 |
病毒防护、检测响应、管控基础、外设基础、基线核查 |
|
3130A5NR |
H3C SecCenter ESM-G终端安全管理系统服务器版100节点3年授权函 |
病毒防护、检测响应、管控基础、外设基础、基线核查 |
|
3130A5NQ |
H3C SecCenter ESM-G终端安全管理系统服务器版10节点1年授权函 |
病毒防护、检测响应、管控基础、外设基础、基线核查 |
|
3130A5P8 |
H3C SecCenter ESM-G终端安全管理系统服务器版10节点3年授权函 |
病毒防护、检测响应、管控基础、外设基础、基线核查 |
|
3130A5NW |
H3C SecCenter ESM-G终端安全管理系统服务器版50节点1年授权函 |
病毒防护、检测响应、管控基础、外设基础、基线核查 |
|
3130A5P9 |
H3C SecCenter ESM-G终端安全管理系统服务器版50节点3年授权函 |
病毒防护、检测响应、管控基础、外设基础、基线核查 |
|
3130A5NN |
H3C SecCenter ESM-G终端安全管理系统桌面版100节点1年授权函 |
病毒防护、检测响应、管控基础、外设基础、漏洞防护、基线核查 |
|
3130A5P3 |
H3C SecCenter ESM-G终端安全管理系统桌面版100节点3年授权函 |
病毒防护、检测响应、管控基础、外设基础、漏洞防护、基线核查 |
|
3130A5NP |
H3C SecCenter ESM-G终端安全管理系统桌面版500节点1年授权函 |
病毒防护、检测响应、管控基础、外设基础、漏洞防护、基线核查 |
|
3130A5P4 |
H3C SecCenter ESM-G终端安全管理系统桌面版500节点3年授权函 |
病毒防护、检测响应、管控基础、外设基础、漏洞防护、基线核查 |
|
3132A172 |
H3C SecCenter ESM-G终端安全管理系统服务器版1节点1年授权函 |
病毒防护、检测响应、管控基础、外设基础、漏洞防护、基线核查 |
|
3132A174 |
H3C SecCenter ESM-G终端安全管理系统服务器版1节点3年授权函 |
病毒防护、检测响应、管控基础、外设基础、漏洞防护、基线核查 |
|
3132A16Y |
H3C SecCenter ESM-G终端安全管理系统桌面版1节点1年授权函 |
病毒防护、检测响应、管控基础、外设基础、漏洞防护、基线核查 |
|
3132A175 |
H3C SecCenter ESM-G终端安全管理系统桌面版1节点3年授权函 |
病毒防护、检测响应、管控基础、外设基础、漏洞防护、基线核查 |
终端安全管理系统(ESM-G)和终端安全管理系统防病毒(ESM-AV-G)激活产品授权的方式相同,仅在导入授权文件以后显示的授权信息有差异,详细差异可参考如下说明。
(1) 转到“通用设置 > 产品授权”。
(2) 单击<导入授权文件>。
(3) 授权文件导入成功后,授权状态显示为已授权,查看授权模块显示病毒防护模块。
图3-1 终端安全管理防病毒产品授权
图3-2 授权信息描述
|
项 |
描述 |
|
授权状态 |
· 包括: l 未授权 在“控制台”界面会提示某功能模块未授权,需要获取授权文件进行激活。 l 已授权 l 即将过期:授权码过期前一个月 l 宽限期 l 已过期 |
|
类型 |
· 包括: l 试用版 l 正式版 |
|
授权总数 |
授权的终端数量 |
|
已使用授权 |
已使用的授权数量 |
|
未授权客户端 |
未使用授权的客户端的数量 |
|
过期时间 |
授权使用到期时间 |
单击<授权详情>,可以查看历史导入的授权文件详细信息。
(1) 转到“通用设置 > 产品授权”。
(2) 单击<导入授权文件>。
(3) 授权文件导入成功后,授权状态显示为已授权,查看授权模块显示漏洞防护、外设管控、管控基础、检测响应和病毒防护五个模块。
图3-3 产品授权
图3-4 授权信息描述
|
项 |
描述 |
|
授权状态 |
· 包括: l 未授权 在“控制台”界面会提示某功能模块未授权,需要获取授权文件进行激活。 l 已授权 l 即将过期:授权码过期前一个月 l 宽限期 l 已过期 |
|
类型 |
· 包括: l 试用版 l 正式版 |
|
授权总数 |
授权的终端数量 |
|
已使用授权 |
已使用的授权数量 |
|
未授权客户端 |
未使用授权的客户端的数量 |
|
过期时间 |
授权使用到期时间 |
单击<授权详情>,可以查看历史导入的授权文件详细信息。
安装客户端程序的终端需要满足以下硬件参数要求,如下表所示。
|
终端授权类型 |
操作系统 |
要求 |
|
桌面版 |
· Windows:10 & 8 & 7 & XP 32位、11&10 & 8 & 7 & XP 64位 · UOS (版本1020-1050)桌面版操作系统 x86_64 · UOS (版本1020-1050)桌面版操作系统 arm64 · 银河麒麟(V10、V10 SP1)桌面版操作系统 arm64 · 银河麒麟(V10、V10 SP1)桌面版操作系统 x86_64 · ubuntu 16.04 桌面操作系统 x86_64 · ubuntu 18.04 桌面操作系统 x86_64 · ubuntu 20.04 桌面操作系统 x86_64 |
· CPU:2核 · 内存:4G · 硬盘:80G |
|
服务器版 |
· UOS (版本1020-1030)服务器版操作系统 x86_64 · UOS (版本1020-1030)服务器版操作系统 arm64 · UOS 1020e 服务器版操作系统 x86_64 · UOS 1020e 服务器版操作系统 arm64 · 银河麒麟(V10、V10 SP1)服务器版操作系统 arm64 · 银河麒麟(V10、V10 SP1)服务器版操作系统 x86_64 · 中标麒麟(V7)服务器版操作系统 arm64 · 中标麒麟(V7)服务器版操作系统 x86_64 · Redhat Enterprise Linux 6.0~8.2 64 位 · CentOS 6.0~8.2 64 位 · Windows Server:2003 32/64 位、2019&2016 & 2012 & (2012 R2) & (2008 R2) 64 位 |
对于win7、 winserver2008R2的系统,由于微软SHA1证书策略变更,需要安装微软对应的SHA2证书系统补丁后,才可安装E6301P02及之后版本客户端,否则会出现安装失败问题。
如果用户启用了防火墙,必须将客户端的以下端口加入白名单,如下表所示。
|
端口 |
作用 |
|
8445 |
客户端与服务端通信的端口,包括发送注册、发送心跳、发送数据、连接到等。 |
|
8446 |
客户端与服务端通信的端口,用于代理更新功能。 |
客户端的安装方法有两种:
· 下载安装包部署:用户可以通过下载地址下载到对应系统的安装包,然后进行解压并安装。
· 基于浏览器形式部署:linux客户端可基于浏览器形式部署,web界面将描述基于浏览器安装方式的过程,并生成一个安装URL,管理员可以通过电子邮件、文本、社交网络或通信软件分享这个URL,用户基于这个URL下载到一个安装脚本,通过执行这个脚本进行自动化安装。
转到“客户端 > 客户端安装”,单击“下载安装包部署”标签页。
图4-1 下载安装包部署
根据不同的操作系统及CPU架构下载安装包。
(1) 下载安装包
(2) 将安装包拷贝至终端
(3) 在终端解压安装包tar -xzvf agent_installer.tar.gz(agent_installer.tar.gz指下载的安装包名称,以实际下载为准)
(4) 进入解压目录cd agent_install
(5) 执行命令./agent_installer.sh
(6) 执行完成,终端的客户端程序将自动连接H3C SecCenter终端安全管理系统
图4-2 Centos系统部署客户端
(1) 下载安装包
(2) 将安装包拷贝至终端
(3) 双击exe文件进行安装
(4) 执行完成,终端的客户端程序将自动连接到H3C SecCenter终端安全管理系统
转到“客户端 > 客户端安装”,单击“基于浏览器形式部署”标签页。
复制如下信息,通过邮件、OA等方式发送至客户端,客户端用户自行下载安装包进行安装部署。
wget https://<终端安全管理系统服务端IP地址>:8443/web_install/web_install.tar.gz --no-check-certificate && tar -xzvf web_install.tar.gz && cd web_install && ./installer.sh
1. 基于浏览器方式部署仅支持linux客户端部署,且要求linux系统上需要支持wget、tar命令。
2. 基于浏览器方式部署需要以管理员角色执行复制的部署命令。
图4-3 基于浏览器形式部署
图4-4 基于浏览器形式部署客户端
对于Linux系统,使用命令service aisesm status查看客户端安装情况,可以看到进程id以及进程名,即为安装成功。
图4-5 查看客户端安装
对于Windows系统,使用命令sc query aisesmnetservice 查看客户端安装情况,STATE状态为RUNNING,即为安装成功。
图4-6 查看客户端安装
另外,登录到Web管理控制台,转到“客户端 > 客户端管理”,连接状态显示为“在线”,且授权模块一列非空,说明客户端已经成功注册到服务端拿到授权文件。
图4-7 查看客户端是否注册到服务端
(1) 转到“客户端 > 客户端管理”。
(2) 选中一个或多个客户端,单击<更多操作>的下拉框。
(3) 单击<卸载客户端>。
(4) 弹出提示框,单击<确认>。
服务端向客户端下发卸载客户端的任务。客户端卸载后,将不再受服务端的管控。
支持
