- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecCenter CSAP-ESM-G终端安全管理系统
软件安装指导
Copyright © 2026 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
终端安全管理系统(ESM-G)和终端安全管理系统防病毒(ESM-AV-G)分为服务端和客户端两大部分,采用分级部署架构,实现了策略统一管理、病毒库统一更新和日志汇总统一呈现。ESM-G、ESM-AV-G均广泛地适配多种 CPU 架构( X86、 ARM)和多种操作系统(Linux 和 Windows),ESM-G支持防病毒、EDR、桌管功能,ESM-AV-G支持防病毒功能。终端防护是ESM-G、ESM-AV-G最主要的功能,除了提供常见的恶意程序识别和清除功能外,终端安全管理系统还提供智能防护和恶意程序爆发阻止的解决方案。
终端安全管理系统(ESM-G)和终端安全管理系统防病毒(ESM-AV-G)在服务端部署环节上完全一致,详细的部署步骤请参考以下文档说明。
管理员通过登录服务端的Web管理控制台,可以管理客户端。
服务端支持的操作系统包括:
· RedHat 7.6 x86_64
· CentOS 7.3 x86_64
· CentOS 7.4 x86_64
· CentOS 7.5 x86_64
· CentOS 7.6 x86_64
· CentOS 7.7 x86_64
· CentOS 7.8 x86_64
· 银河麒麟 V10 SP1 服务器版 arm64
服务端CPU内存、磁盘等硬件资源要求由客户端数量决定,对于终端安全管理系统(ESM-G)和终端安全管理系统防病毒(ESM-AV-G)有不同硬件资源要求,如下表所示。
对于终端安全管理系统(ESM-G)和终端安全管理系统防病毒(ESM-AV-G),两款产品对于硬件资源要求不同,请严格遵循要求申请硬件资源,资源不足的情况下部署不会报错,但是存在服务异常。
(1)终端安全管理系统(ESM-G)硬件要求:
表1 终端安全服务端CPU和内存要求
|
客户端数量 |
服务端CPU |
服务端内存 |
服务端硬盘 |
|
小于1000台 |
12核 |
24G |
· 4T |
|
小于4000台 |
24核 |
32G |
8T |
|
小于10000台 |
48核 |
72G |
15T |
(2)终端安全管理系统防病毒(ESM-AV-G)硬件要求:
表2 终端安全防病毒服务端CPU和内存要求
|
客户端数量 |
服务端CPU |
服务端内存 |
服务端硬盘 |
|
小于1000台 |
4核 |
8G |
· 500 GB |
|
小于4000台 |
8核 |
16G |
500 GB |
|
小于10000台 |
16核 |
32G |
800 GB |
如果用户启用了防火墙,必须将服务端的以下端口加入白名单,如下表所示。
|
端口 |
作用 |
|
8443 |
服务端与Web管理控制台通信的端口,包括各种管理页面、客户端下载页面等。 |
|
443 |
服务端与客户端通信的端口,包括注册、心跳、上传数据等。 |
服务端X86版本支持部署在Centos7.3-7.8以及Redhat7.6操作系统上,ARM版本支持部署在银河麒麟V10 SP1服务器版上,可根据需求选择操作系统部署,此处以centos操作系统或者redhat操作系统为例,详细操作系统部署步骤可参考下文。
服务端操作系统版本要求请参考服务端安装要求。
安装过程中选项设置如下。
(1) 选择安装EN版本。
图1 Centos安装EN版本
(2) 选择软件安装包和系统。
a) 单击SOFTWARE SELECTION Minimal Install
图2 Centos单击SOFTWARE SELECTION Minimal Install
b) 单击INSTALLATION DESTINATION Automatic partitioning selected
图3 Centos单击INSTALLATION DESTINATION Automatic partitioning selected
图4 Centos进入INSTALLATION DESTINATION
(3) 选择分配空间。
图5 Centos分配空间
完成以上配置后,单击<Done>,将显示以下界面。
单击“+”,分别添加如下空间。
当有两块硬盘且第二块硬盘空间小时,需提前在BIOS中将第二块硬盘设为开机启动项。
如需更改分区,请手动配置,配置要求如下:
· 当只有一块硬盘时,会作为系统安装盘与数据存储盘,具体分区为/boot为1GB,SWAP为8GB,如果操作系统安装在物理机上,需要新增一个分区biosboot为2MB,剩余的空间分配给/,如果有efi分区,保留该分区。
图6 Centos配置单硬盘分区
· 当有两块硬盘时,会选择空间小的一块硬盘作为系统安装盘,具体区分为/boot为1GB,SWAP为8GB,剩余的空间分配给/,如果有efi分区,保留该分区。剩下的较大盘会作为数据存储盘,具体分为所有空间全部分配给/didata。
图7 Centos配置双硬盘分区
· 不建议挂载超过两块硬盘。当有大于两块盘时,会强制要求手动分区,具体分区请按照两块盘时的分区进行设置。
请手动选择其中一块盘作为系统安装盘,且在BIOS中将其设置为开机启动盘,否则安装完成后系统不能正常运行。
(4) 设置Root密码。
建议使用高复杂度的密码。
图8 Centos系统设置Root密码
图9 Centos系统输入密码和确认密码
(5) 修改网络配置。
vi /etc/sysconfig/network-scripts/ifcfg-eno16777984(根据网卡可能有所不同,以实际网卡名称为准)
(6) 添加分配静态IP和DNS。
BOOTPROTO=static
IPADDR=192.168.1.96
PREFIX=24
GATEWAY=192.168.1.1
ONBOOT=yes
DNS1=8.8.8.8
(7) 重启service。
service network restart
(8) 重启完成后,管理员可以通过Putty或Winscp等访问CentOS或者Redhat系统。
当有两块硬盘时,请一定要配置开机自动挂载磁盘,否则机器重启可能导致数据丢失。
(1) vi /etc/fstab,在结尾加入一行/dev/sdb /didata auto defaults 0 0
(2) mount -a
服务端操作系统版本要求请参考服务端安装要求。
安装过程中选项设置如下。
(1) 选择安装EN版本。
图10 Redhat安装EN版本
(2) 选择软件安装包和系统。
c) 单击SOFTWARE SELECTION Minimal Install
图11 Redhat单击SOFTWARE SELECTION Minimal Install
d) 单击INSTALLATION DESTINATION Automatic partitioning selected
图12 Redhat单击INSTALLATION DESTINATION Automatic partitioning selected
图13 Redhat进入INSTALLATION DESTINATION
(3) 选择分配空间。
图14 Redhat分配空间
完成以上配置后,单击<Done>,将显示以下界面。
单击“+”,分别添加如下空间。
当有两块硬盘且第二块硬盘空间小时,需提前在BIOS中将第二块硬盘设为开机启动项。
如需更改分区,请手动配置,配置要求如下:
· 当只有一块硬盘时,会作为系统安装盘与数据存储盘,具体分区为/boot为1GB,SWAP为8GB,如果操作系统安装在物理机上,需要新增一个分区biosboot为2MB,剩余的空间分配给/,如果有efi分区,保留该分区。
图15 Redhat配置单硬盘分区
· 当有两块硬盘时,会选择空间小的一块硬盘作为系统安装盘,具体区分为/boot为1GB,SWAP为8GB,剩余的空间分配给/,如果有efi分区,保留该分区。剩下的较大盘会作为数据存储盘,具体分为所有空间全部分配给/didata。
图16 Redhat配置双硬盘分区
· 不建议挂载超过两块硬盘。当有大于两块盘时,会强制要求手动分区,具体分区请按照两块盘时的分区进行设置。
请手动选择其中一块盘作为系统安装盘,且在BIOS中将其设置为开机启动盘,否则安装完成后系统不能正常运行。
(4) 设置Root密码。
建议使用高复杂度的密码。
图17 Redhat系统设置Root密码
图18 Redhat系统输入密码和确认密码
(5) 修改网络配置。
vi /etc/sysconfig/network-scripts/ifcfg-eno16777984(根据网卡可能有所不同,以实际网卡名称为准)
(6) 添加分配静态IP和DNS。
BOOTPROTO=static
IPADDR=192.168.1.96
PREFIX=24
GATEWAY=192.168.1.1
ONBOOT=yes
DNS1=8.8.8.8
(7) 重启service。
service network restart
(8) 重启完成后,管理员可以通过Putty或Winscp等访问CentOS或者Redhat系统。
当有两块硬盘时,请一定要配置开机自动挂载磁盘,否则机器重启可能导致数据丢失。
(1) vi /etc/fstab,在结尾加入一行/dev/sdb /didata auto defaults 0 0
(2) mount -a
拷贝软件包文件到服务器本地路径。
请从技术支持获取软件包。
(需要使用最终版本去计算md5)
将ESM应用部署在服务器上,步骤如下。
(1) 进入部署安装包目录cd /home/。
(2) 使用命令tar -zxvf SecCenter CSAP ESM AV-G-IMW310-E6301.tar.gz解压缩软件包 SecCenter CSAP ESM AV-G-IMW310-E6301.tar.gz (此处软件包的名称只作为参考,具体名称以实际为准)。
(3) 进入到解压后的文件夹cd online_centos7。
(4) 执行命令ls显示当前文件夹下的所有内容。
(5) 服务端部署安装
当有多张网卡时,请先禁用其他网卡,仅保留作为管理用的网卡,然后再去部署服务端,否则服务端管理地址会出现异常,服务端部署完成后再启用其余网卡。
(a)多租户版本部署
当需要部署多租户版本终端安全管理系统时,使用命令sh install.sh -t multi-tenant 执行安装脚本,出现“Success to install msp...”和“Success to install esm server..”即为安装成功。
(b)非租户版本部署安装
当需要部署非租户版本终端安全管理系统时,使用命令./install.sh执行安装脚本,出现“Success to install esm server..”即为安装成功。
(1) 使用命令systemctl status nginx查看nginx状态,当服务状态为active,出现进程id以及进程名,即为nginx安装成功。
图19 查看nginx状态
(2) 使用命令systemctl status mysqld查看mysql状态,当服务状态为active,出现进程id以及进程名,即为mysql安装成功。
图20 查看mysql状态
(3) 使用命令systemctl status redis_log查看redis状态,当服务状态为active,出现进程id以及进程名,即为redis安装成功。
图21 查看redis状态
(4) 使用命令systemctl status esm_server查看服务端状态,当服务状态为active,出现进程id以及进程名,即为服务端安装成功。
图22 查看服务端状态
(1) 在浏览器栏输入https://<终端安全管理系统服务端IP地址>:8443,访问Web管理控制台。
登录界面如下图所示,即为安装成功。
图23 登录界面
(2) 输入用户名、密码和验证码。
默认用户名为admin,默认密码为admin。
多租户默认用户名为tenant_admin,默认密码为admin。
(3) 单击<登录>按钮或按Enter键,登录成功。
如果使用账户首次登录,将会强制跳转到修改初始密码界面。
图24 修改初始密码
输入新密码和确认密码,单击<确认>按钮后,提示密码设置成功,然后跳转到登录界面。在登录界面输入用户名和新的密码后,单击<登录>按钮或按Enter键,登录成功。
目前ESM-G、ESM-AV-G共有28种授权码,其中终端安全管理系统(杀毒)服务器版或桌面版授权码仅支持病毒防护功能,终端安全管理系统服务器版授权码支持病毒防护、检测响应、管控基础、外设基础功能,终端安全管理系统桌面版授权码支持病毒防护、检测响应、管控基础、外设基础、漏洞防护功能。授权编码、授权类型关系如下表:
表1 License授权编码、授权类型和对应设备型号说明
|
授权编码 |
授权类型 |
对应授权模块 |
|
3130A5P1 |
H3C SecCenter ESM-AV-G终端安全管理系统(杀毒)服务器版100节点1年授权函 |
病毒防护 |
|
3130A5P2 |
H3C SecCenter ESM-AV-G终端安全管理系统(杀毒)服务器版100节点3年授权函 |
病毒防护 |
|
3130A5NU |
H3C SecCenter ESM-AV-G终端安全管理系统(杀毒)服务器版10节点1年授权函 |
病毒防护 |
|
3130A5NV |
H3C SecCenter ESM-AV-G终端安全管理系统(杀毒)服务器版10节点3年授权函 |
病毒防护 |
|
3130A5PC |
H3C SecCenter ESM-AV-G终端安全管理系统(杀毒)服务器版50节点1年授权函 |
病毒防护 |
|
3130A5P0 |
H3C SecCenter ESM-AV-G终端安全管理系统(杀毒)服务器版50节点3年授权函 |
病毒防护 |
|
3130A5NX |
H3C SecCenter ESM-AV-G终端安全管理系统(杀毒)桌面版100节点1年授权函 |
病毒防护 |
|
3130A5NY |
H3C SecCenter ESM-AV-G终端安全管理系统(杀毒)桌面版100节点3年授权函 |
病毒防护 |
|
3130A5NT |
H3C SecCenter ESM-AV-G终端安全管理系统(杀毒)桌面版500节点1年授权函 |
病毒防护 |
|
3130A5P7 |
H3C SecCenter ESM-AV-G终端安全管理系统(杀毒)桌面版500节点3年授权函 |
病毒防护 |
|
3132A173 |
H3C SecCenter ESM-AV-G终端安全管理系统(杀毒)服务器版1节点1年授权函 |
病毒防护 |
|
3132A176 |
H3C SecCenter ESM-AV-G终端安全管理系统(杀毒)服务器版1节点3年授权函 |
病毒防护 |
|
3132A171 |
H3C SecCenter ESM-AV-G终端安全管理系统(杀毒)桌面版1节点1年授权函 |
病毒防护 |
|
3132A170 |
H3C SecCenter ESM-AV-G终端安全管理系统(杀毒)桌面版1节点3年授权函 |
病毒防护 |
|
3130A5P5 |
H3C SecCenter ESM-G终端安全管理系统服务器版100节点1年授权函 |
病毒防护、检测响应、管控基础、外设基础、基线核查 |
|
3130A5NR |
H3C SecCenter ESM-G终端安全管理系统服务器版100节点3年授权函 |
病毒防护、检测响应、管控基础、外设基础、基线核查 |
|
3130A5NQ |
H3C SecCenter ESM-G终端安全管理系统服务器版10节点1年授权函 |
病毒防护、检测响应、管控基础、外设基础、基线核查 |
|
3130A5P8 |
H3C SecCenter ESM-G终端安全管理系统服务器版10节点3年授权函 |
病毒防护、检测响应、管控基础、外设基础、基线核查 |
|
3130A5NW |
H3C SecCenter ESM-G终端安全管理系统服务器版50节点1年授权函 |
病毒防护、检测响应、管控基础、外设基础、基线核查 |
|
3130A5P9 |
H3C SecCenter ESM-G终端安全管理系统服务器版50节点3年授权函 |
病毒防护、检测响应、管控基础、外设基础、基线核查 |
|
3130A5NN |
H3C SecCenter ESM-G终端安全管理系统桌面版100节点1年授权函 |
病毒防护、检测响应、管控基础、外设基础、漏洞防护、基线核查 |
|
3130A5P3 |
H3C SecCenter ESM-G终端安全管理系统桌面版100节点3年授权函 |
病毒防护、检测响应、管控基础、外设基础、漏洞防护、基线核查 |
|
3130A5NP |
H3C SecCenter ESM-G终端安全管理系统桌面版500节点1年授权函 |
病毒防护、检测响应、管控基础、外设基础、漏洞防护、基线核查 |
|
3130A5P4 |
H3C SecCenter ESM-G终端安全管理系统桌面版500节点3年授权函 |
病毒防护、检测响应、管控基础、外设基础、漏洞防护、基线核查 |
|
3132A172 |
H3C SecCenter ESM-G终端安全管理系统服务器版1节点1年授权函 |
病毒防护、检测响应、管控基础、外设基础、漏洞防护、基线核查 |
|
3132A174 |
H3C SecCenter ESM-G终端安全管理系统服务器版1节点3年授权函 |
病毒防护、检测响应、管控基础、外设基础、漏洞防护、基线核查 |
|
3132A16Y |
H3C SecCenter ESM-G终端安全管理系统桌面版1节点1年授权函 |
病毒防护、检测响应、管控基础、外设基础、漏洞防护、基线核查 |
|
3132A175 |
H3C SecCenter ESM-G终端安全管理系统桌面版1节点3年授权函 |
病毒防护、检测响应、管控基础、外设基础、漏洞防护、基线核查 |
终端安全管理系统(ESM-G)和终端安全管理系统防病毒(ESM-AV-G)激活产品授权的方式相同,仅在导入授权文件以后显示的授权信息有差异,详细差异可参考如下说明。
(1) 转到“通用设置 > 产品授权”。
(2) 单击<导入授权文件>。
(3) 授权文件导入成功后,授权状态显示为已授权,查看授权模块显示病毒防护模块。
图25 终端安全管理防病毒产品授权
图26 授权信息描述
|
项 |
描述 |
|
· 授权状态 |
· 包括: · 未授权 · 在“控制台”界面会提示某功能模块未授权,需要获取授权文件进行激活。 · 已授权 · 即将过期:授权码过期前一个月 · 宽限期 · 已过期 |
|
· 类型 |
· 包括: · 试用版 · 正式版 |
|
· 授权总数 |
· 授权的终端数量 |
|
· 已使用授权 |
· 已使用的授权数量 |
|
· 未授权客户端 |
· 未使用授权的客户端的数量 |
|
· 过期时间 |
· 授权使用到期时间 |
单击<授权详情>,可以查看历史导入的授权文件详细信息。
(1) 转到“通用设置 > 产品授权”。
(2) 单击<导入授权文件>。
(3) 授权文件导入成功后,授权状态显示为已授权,查看授权模块显示漏洞防护、外设管控、管控基础、检测响应和病毒防护五个模块。
图27 产品授权
图28 授权信息描述
|
项 |
描述 |
|
· 授权状态 |
· 包括: · 未授权 · 在“控制台”界面会提示某功能模块未授权,需要获取授权文件进行激活。 · 已授权 · 即将过期:授权码过期前一个月 · 宽限期 · 已过期 |
|
· 类型 |
· 包括: l 试用版 l 正式版 |
|
· 授权总数 |
· 授权的终端数量 |
|
· 已使用授权 |
· 已使用的授权数量 |
|
· 未授权客户端 |
· 未使用授权的客户端的数量 |
|
· 过期时间 |
· 授权使用到期时间 |
单击<授权详情>,可以查看历史导入的授权文件详细信息。
安装客户端程序的终端需要满足以下硬件参数要求,如下表所示。
|
终端授权类型 |
操作系统 |
要求 |
|
桌面版 |
· Windows:10 & 8 & 7 & XP 32位、11&10 & 8 & 7 & XP 64位 · UOS (版本1020-1050)桌面版操作系统 x86_64 · UOS (版本1020-1050)桌面版操作系统 arm64 · 银河麒麟(V10、V10 SP1)桌面版操作系统 arm64 · 银河麒麟(V10、V10 SP1)桌面版操作系统 x86_64 · ubuntu 16.04 桌面操作系统 x86_64 · ubuntu 18.04 桌面操作系统 x86_64 · ubuntu 20.04 桌面操作系统 x86_64 |
· CPU:2核 · 内存:4G · 硬盘:80G |
|
服务器版 |
· UOS (版本1020-1030)服务器版操作系统 x86_64 · UOS (版本1020-1030)服务器版操作系统 arm64 · UOS 1020e 服务器版操作系统 x86_64 · UOS 1020e 服务器版操作系统 arm64 · 银河麒麟(V10、V10 SP1)服务器版操作系统 arm64 · 银河麒麟(V10、V10 SP1)服务器版操作系统 x86_64 · 中标麒麟(V7)服务器版操作系统 arm64 · 中标麒麟(V7)服务器版操作系统 x86_64 · Redhat Enterprise Linux 6.0~8.2 64 位 · CentOS 6.0~8.2 64 位 · Windows Server:2003 32/64 位、2019&2016 & 2012 & (2012 R2) & (2008 R2) 64 位 |
对于win7、 winserver2008R2的系统,由于微软SHA1证书策略变更,需要安装微软对应的SHA2证书系统补丁后,才可安装E6301P02及之后版本客户端,否则会出现安装失败问题。
如果用户启用了防火墙,必须将客户端的以下端口加入白名单,如下表所示。
|
端口 |
作用 |
|
8445 |
客户端与服务端通信的端口,包括发送注册、发送心跳、发送数据、连接到等。 |
|
8446 |
客户端与服务端通信的端口,用于代理更新功能。 |
客户端的安装方法有两种:
· 下载安装包部署:用户可以通过下载地址下载到对应系统的安装包,然后进行解压并安装。
· 基于浏览器形式部署:linux客户端可基于浏览器形式部署,web界面将描述基于浏览器安装方式的过程,并生成一个安装URL,管理员可以通过电子邮件、文本、社交网络或通信软件分享这个URL,用户基于这个URL下载到一个安装脚本,通过执行这个脚本进行自动化安装。
转到“客户端 > 客户端安装”,单击“下载安装包部署”标签页。
图29 下载安装包部署
根据不同的操作系统及CPU架构下载安装包。
(1) 下载安装包
(2) 将安装包拷贝至终端
(3) 在终端解压安装包tar -xzvf agent_installer.tar.gz(agent_installer.tar.gz指下载的安装包名称,以实际下载为准)
(4) 进入解压目录cd agent_install
(5) 执行命令./agent_installer.sh
(6) 执行完成,终端的客户端程序将自动连接H3C SecCenter终端安全管理系统
图30 Centos系统部署客户端
(1) 下载安装包
(2) 将安装包拷贝至终端
(3) 双击exe文件进行安装
(4) 执行完成,终端的客户端程序将自动连接到H3C SecCenter终端安全管理系统
转到“客户端 > 客户端安装”,单击“基于浏览器形式部署”标签页。
复制如下信息,通过邮件、OA等方式发送至客户端,客户端用户自行下载安装包进行安装部署。
wget https://<终端安全管理系统服务端IP地址>:8443/web_install/web_install.tar.gz --no-check-certificate && tar -xzvf web_install.tar.gz && cd web_install && ./installer.sh
1. 基于浏览器方式部署仅支持linux客户端部署,且要求linux系统上需要支持wget、tar命令。
2. 基于浏览器方式部署需要以管理员角色执行复制的部署命令。
图31 基于浏览器形式部署
图32 基于浏览器形式部署客户端
对于Linux系统,使用命令service aisesm status查看客户端安装情况,可以看到进程id以及进程名,即为安装成功。
图33 查看客户端安装
对于Windows系统,使用命令sc query aisesmnetservice 查看客户端安装情况,STATE状态为RUNNING,即为安装成功。
图34 查看客户端安装
另外,登录到Web管理控制台,转到“客户端 > 客户端管理”,连接状态显示为“在线”,且授权模块一列非空,说明客户端已经成功注册到服务端拿到授权文件。
图35 查看客户端是否注册到服务端
(1) 转到“客户端 > 客户端管理”。
(2) 选中一个或多个客户端,单击<更多操作>的下拉框。
(3) 单击<卸载客户端>。
(4) 弹出提示框,单击<确认>。
服务端向客户端下发卸载客户端的任务。客户端卸载后,将不再受服务端的管控。
支持
