H3C SecCenter X6000系列安管一体机

Web配置指导

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

除新华三技术有限公司的商标外，本手册中出现的其它公司的商标、产品标识及商品名称，由各自权利人拥有。

本文档中的信息可能变动，恕不另行通知。

4.2 漏洞扫描-sysscan-v· 34

4.3 漏洞扫描-sysscan-ve· 45

1 登录系统

1.1 产品介绍

H3C SecCenter安全管理一体机产品是由新华三技术有限公司（以下简称H3C公司）在多年的安全研究沉淀和等保建设服务实践经验的基础上，自主研发的一款用于等保建设或者信息系统安全管理区域建设的综合性的安管管理平台，具有漏洞扫描、日志审计、运维审计、数据库审计、终端杀毒、等保合规、数据备份、上网行为审计（ACG）、安全业务管理平台（SMP）和Web应用防火墙（WAF）功能，全面满足网络安全等级保护技术要求中的管理审计需求，同时安全管理一体机集中整合纳管网络系统中的组成元素形成多态化的安全管理中心，满足系统管理、审计管理、安全管理、集中管控的要求。

1.2 各组件出厂版本号

表1-1 安管一体机中各功能组件出厂的软件版本号-1

模块	X6010 E6301	X6020 E6302	X6010 E6302	X6010 E6303	X6010-T E6304P01	X6010-S E6305P01	X6030 E6305P01
CAS	E0513	E0530H12	E0530H12	E0706	E0710P02H01	E0718	-
UIS	-	-	-	-	-	-	E0721P01
运维审计	E6112P01	E6112P03	E6112P03	E6112P05	E6112P14	E6112P17	E6112P17
漏洞扫描 (SysScan-V)	E6902P02	E6903	E6903	E6903P01	-	-	-
漏洞扫描 (SysScan-VE)	-	-	-	-	-	E6202P03	E6202P03
日志审计	D1101P11H01 CSAP-SA	E1104 CSAP-SA-V	E1104 CSAP-SA-V	E1707 CSAP-SA-V	E1708P01 CSAP-SA-V	E1709P03 CSAP-SA-V	E1709P03 CSAP-SA-V
数据库审计	-	E6204P05	-	E6204P06	E6206	E6206P02	E6206P02
终端杀毒/终端安全	-	E6901	-	E6901P01	-	E6902P03	E6902P03
应用发布服务器	winserver2016	winserver2016	winserver2016	winserver2016	winserver2019	winserver2019	winserver2019
安全业务管理平台（SMP）	-	-	-	-	-	-	E1111P03
上网行为审计（ACG）	-	-	-	-	-	-	E6453P02
数据备份	-	-	-	-	-	-	R1202
等保合规	-	-	-	-	-	-	E6101P01
Web应用防火墙（WAF）	-	-	-		-	-	E6203P10

表1-2 安管一体机中各功能组件出厂的软件版本号-2

模块	X6010 E6305P03	X6020 E6305P03	X6015 E6305P03	X6025 E6305P03	X6030 E6305P03
CAS	E0718	E0718	-	-	-
UIS	-	-	E0721P01	E0721P01	E0721P01
运维审计	R6113P01	R6113P01	R6113P01	R6113P01	R6113P01
漏洞扫描 (SysScan-V)	E6903P05	E6903P05	-	-	-
漏洞扫描 (SysScan-VE)	-	-	E6202P04	E6202P04	E6202P04
日志审计	E1710P01	E1710P01	E1710P01	E1710P01	E1710P01
数据库审计	R6206P07	R6206P07	R6206P07	R6206P07	R6206P07
终端杀毒/终端安全	E6902P04	E6902P04	E6902P04	E6902P04	E6902P04
应用发布服务器	winserver2019	winserver2019	winserver2019	winserver2019	winserver2019
安全业务管理平台（SMP）	-	-	-	-	E1111P03
上网行为审计（ACG）	-	E6453P03	-	E6453P03	E6453P03
数据备份	-	-	-	-	R1202
等保合规	-	-	-	-	E6101P01
Web应用防火墙（WAF）	-	R6203P11	-	R6203P11	R6203P11

1.3 设备接口说明

表1-3 X6010/X6020/X6010-T/X6010-S接口说明

接口类型	接口说明
管理口	默认GE0为安管平台的管理口。初始IP地址为192.168.0.1/24，网关为192.168.0.100。
业务口	默认GE1为运维审计、漏洞扫描、日志审计、数据库审计、终端杀毒、应用发布服务器的业务口。初始IP地址如下，均未配置网关。日志审计：192.168.100.2/24 数据库审计：192.168.100.3/24 运维审计：192.168.100.4/24 终端杀毒：192.168.100.5/24 漏洞扫描：192.168.100.6/24 应用发布服务器：192.168.100.7/24 CAS：192.168.100.254/24

接口类型

接口说明

管理口

默认GE0为安管平台的管理口。

初始IP地址为192.168.0.1/24，网关为192.168.0.100。

业务口

默认GE1为运维审计、漏洞扫描、日志审计、数据库审计、终端杀毒、应用发布服务器的业务口。

初始IP地址如下，均未配置网关。

日志审计：192.168.100.2/24

数据库审计：192.168.100.3/24

运维审计：192.168.100.4/24

终端杀毒：192.168.100.5/24

漏洞扫描：192.168.100.6/24

应用发布服务器：192.168.100.7/24

CAS：192.168.100.254/24

表1-4 X6030/X6025/X6015安管一体机接口说明

接口类型	接口说明
4端口GE电接口网卡（mLOM X722）	默认eth0为安管平台的管理口。初始IP地址为192.168.0.1/24，网关为192.168.0.100。默认eth1为运维审计、漏洞扫描、日志审计、数据库审计、终端杀毒、应用发布服务器、等保合规、数据备份、上网行为审计（ACG）和安全业务管理（SMP）的业务口。初始IP地址如下：日志审计：192.168.100.2/24 数据库审计：192.168.100.3/24 运维审计：192.168.100.4/24 终端杀毒：192.168.100.5/24 漏洞扫描：192.168.100.6/24 应用发布服务器：192.168.100.7/24 等保合规监控系统：192.168.100.9/24 数据备份：192.168.100.10/24 上网行为审计ACG：192.168.100.11/24 安全业务管理系统SMP：192.168.100.12/24 Web应用防火墙WAF：192.168.100.13/24 UIS：192.168.100.254/24 默认eth2和eth3出厂不使用，用户可根据自己需求接线使用。注意mLOM网卡不支持设置为PCI直通模式。
HDM接口	支持H3C Device Management(HDM)管理工具(带独立管理端口) 默认地址：192.168.1.2 默认帐号密码：admin/Password@_

接口类型

接口说明

4端口GE电接口网卡（mLOM X722）

默认eth0为安管平台的管理口。

初始IP地址为192.168.0.1/24，网关为192.168.0.100。

默认eth1为运维审计、漏洞扫描、日志审计、数据库审计、终端杀毒、应用发布服务器、等保合规、数据备份、上网行为审计（ACG）和安全业务管理（SMP）的业务口。

初始IP地址如下：

日志审计：192.168.100.2/24

数据库审计：192.168.100.3/24

运维审计：192.168.100.4/24

终端杀毒：192.168.100.5/24

漏洞扫描：192.168.100.6/24

应用发布服务器：192.168.100.7/24

等保合规监控系统：192.168.100.9/24

数据备份：192.168.100.10/24

上网行为审计ACG：192.168.100.11/24

安全业务管理系统SMP：192.168.100.12/24

Web应用防火墙WAF：192.168.100.13/24

UIS：192.168.100.254/24

默认eth2和eth3出厂不使用，用户可根据自己需求接线使用。注意mLOM网卡不支持设置为PCI直通模式。

HDM接口

支持H3C Device Management(HDM)管理工具(带独立管理端口)

默认地址：192.168.1.2

默认帐号密码：admin/Password@_

1. X6010/X6020/X6010-T/X6010-S不支持串口登录

2. GE0/eth0为默认管理口，通过此网口访问安管管理平台IP。

3. GE1/eth1为各组件默认业务口，各组件通过此网口进行业务流量通信，有些组件需要审计镜像流量，则需要参考下文配置指导添加镜像口，如数据库审计。

1.4 产品内部通信组网

安管一体机整体部署在CAS/UIS平台，以X6020为例，其中共有5个应用组件，分别是运维审计、漏扫、日志审计、数据库审计、终端杀毒，另外还有运维审计配套的应用发布服务器，以及用于管理5个应用组件的管理平台。为了让用户更加了解产品架构，做如下说明：

· 管理平台和5个组件之间通过内部虚拟交换机进行通信，因此都配置了8.8.8.x的网卡地址。

· CAS/UIS出厂默认GE0地址9.9.9.2，用于和管理平台通信和检修，因此不允许修改。

· 数据库审计出厂默认第二张网卡为检修口，地址1.0.0.1，不允许修改。

· 应用发布服务器配置4张网卡，分别可与0口，1口，以及两个内部网段（8.8.8.x和1.0.0.x）通信，用途有两个：一是作为运维审计的应用发布服务器，二是在系统故障时可作为检修跳板，如可访问9.9.9.x/8.8.8.x/1.0.0.x地址

· 各虚拟机之间的内部通信如下图所示，此处以X6010-T为例：

图1-1 安管一体机内部虚机组网图

1.5 设备IP及密码

1.5.1 默认IP及密码

安管一体机中各组件默认IP及用户名密码信息如下下表所示。

表1-5 各组件默认IP及用户名密码信息表

模块名称	管理默认IP GE0	业务默认IP GE1	web默认用户名密码	后台默认用户名密码
CAS/UIS平台	9.9.9.2	192.168.100.254	X6000 E6302/E6303/E6304P01： admin/X6000@SECcas X6000 E6305P01/E6305P03： admin/Cloud@1234	root/X6000@SECCAS
安管平台	192.168.0.1 9.9.9.1（不支持修改）	-	admin/admin	root/X6000@SECMNGT
日志审计系统	-	192.168.100.2	admin/X6000@SECsaad buzAdmin/X6000@SECsabu sysAdmin/X6000@SECsasy auditAdmin/X6000@SECsaau	root/X6000@SECSA
数据库审计系统	-	192.168.100.3	X6000 E6302/E6303/E6305P03： admin/X6000@SECdbaad sec/X6000@SECdbase audit/X6000@SECdbaau mon/X6000@SECdbamo X6000 E6304P01/E6305P01： admin/admin sec/sec audit/audit mon/mon	-
运维审计系统	-	192.168.100.4	admin/X6000@SECoa	root/admin
终端杀毒	-	192.168.100.5	X6000 E6302/E6303： admin/X6000@SECesm X6000 E6305P01/E6305P03： admin/X6000@SECesmad system/X6000@SECesmsy	root/X6000@SECESM
漏洞扫描系统(SysScan-V)	-	192.168.100.6	admin/X6000@SECscanad audit/X6000@SECscanau security/X6000@SECscanse scan/X6000@SECscansc	con_admin/con_admin@scr
漏洞扫描系统(SysScan-VE)	-	192.168.100.6	X6000 E6305P01： admin/X6000@SECscanad account/X6000@SECscanac audit/X6000@SECscanac report/X6000@SECscanre X6000 E6305P03： admin/X6000@SECscanad account/X6000@SECscanac audit/X6000@SECscanau report/X6000@SECscanre	admin/admin
应用发布服务器	9.9.9.3	192.168.100.7	administrator/X6000@SECRDS	-
等保合规	-	192.168.100.9	admin/X6000@SECdaad sadmin/X6000@SECdasa padmin/X6000@SECdapa aadmin/X6000@SECdaaa	-
数据备份	-	192.168.100.10	admin/Password@_	root/h3c_backup
上网行为审计ACG	-	192.168.100.11	admin/X6000@SECacg	admin/X6000@SECacg
安全业务管理平台SMP	-	192.168.100.12	admin/X6000SECsmpad buzAdmin/X6000SECsmpbu sysAdmin/X6000SECsmpsy auditAdmin/X6000SECsmpau	root/X6000@SECSMP
Web应用防火墙	-	192.168.100.13	admin/X6000@SECwafad account/X6000@SECwafac audit/X6000@SECwafau	admin/X6000@SECwafad

1.5.2 组件密码修改

1. 原理说明

安管平台数据库中存储各组件的用户及密码，用于自动跳转登录至组件，因此如果修改各组件的默认密码后，需要在安管平台【应用资源>平台管理>应用用户】或者【系统管理>系统维护>通信信息维护】中同步修改密码。

2. CAS/UIS的admin和root密码禁止修改。

3. 需要同步修改管理平台通信密码的组件

在组件上修改完密码后，需要在管理平台上同步修改密码的组件包括如下：

· 运维审计admin用户

· 漏洞扫描（sysscan-v）admin用户

· 漏洞扫描（sysscan-ve）admin和account用户

· 日志审计admin和root用户

· 终端杀毒（E6901）admin和root用户

· 终端安全（E6902）system用户

· 上网行为审计ACG admin用户

4. 不需要同步修改管理平台通信密码的组件

在组件上修改完密码后，不需要在管理平台上同步修改密码的组件包括如下：

· 数据库审计

· 数据备份

· FW&IPS管理（SMP安全业务管理平台）

· 等保合规监控系统

5. 弱密码组件

出厂的组件中用户密码为弱密码的有如下组件，需用户现场通过组件的业务地址登录后修改：

· X6000 E6304P01/E6305P01数据库审计

1.6 扩展卡使用说明

· 接口卡不支持热插拔，需断电后才能插入或拔出插卡。

· 当设备新增或更换接口卡后，设备检测到变更后会再次重启，重启时间较长，请等待启动完毕即可。

· 若设备配备了四光四电插卡，建议插入插槽之后，再启动设备，避免后续插卡还需断电才能生效，而影响业务使用。

· 工控机款型安管一体机的插卡口在CAS上展示的命名方式如下：

1) 设备板载口的丝印为GE0和GE1，在CAS页面对应展示为eth0和eth1

2) 设备插卡口在CAS页面展示为ethxy的二维格式，x指插卡的卡槽位置，y指接口在插卡上的位置，如下图为硬件接线图和CAS页面的对应展示

图1-2 工控机款型安管设备接口及web展示

1.7 登录web界面

通过web方式管理系统，浏览器建议使用Chrome 80以上。

(1) 在浏览器中输入https://系统管理IP，进入安管一体机登录页面，如出现不安全，点击继续即可；

(2) 在登录窗口中输入用户名、密码

图1-3 登录页面

(3) 使用默认帐号密码admin/admin登录系统后，系统会要求首次登录强制改密，手动输入一个新密码即可。注意，系统对于密码复杂度有要求：不能少于6位，且密码须包含大小写字母和数字，特殊字符仅支持下划线。

图1-4 首次登录强制改密

2 首页

安管一体机首页如下图所示：

图2-1 安管一体机首页-E6302

表2-1 系统首页说明-E6302

区域编号	区域页面介绍
①	Logo及产品名称
②	主菜单栏，从左至右依次为首页、安全应用、应用资源、系统管理
③	全屏按钮、产品关于信息及用户登出按钮
④	安管一体机的资源监测，从左往右分别是CPU、内存、磁盘总量及利用率
⑤	告警统计，数据来源自日志审计组件【配置>告警管理>告警记录】，从左往右分别展示近24小时、近7天、近30天的告警记录统计信息。注意日志审计的告警记录，需要预配置告警策略，日志匹配告警策略后才能产生告警记录。
⑥	服务统计，从上之下分别展示运维审计的用户数（不包含已禁用用户）、资产数（包含已禁用资产），漏洞扫描已完成和进行中的扫描任务数量，日志审计的日志源数量，数据库审计的业务系统数量，终端杀毒的终端数量。
⑦	操作日志，展示管理平台本身的操作日志。点击查看更多可跳转至管理平台【系统管理>系统日志>日志】查看详细信息。
⑧	事件日志，数据来源自日志审计组件的【事件>事件明细】，系统已内置部分关联规则，日志匹配关联规则后才会产生事件。四个铃铛标志从左往右分别表示低危、中危、高危、严重四个等级的事件统计数量，且分别点击可筛选不同等级的事件。点击查看更多可跳转至管理平台【系统管理>系统日志>事件日志】查看详细信息。

图2-2 安管一体机首页-E6302P01及以上

表2-2 系统首页说明-E6302P01及以上

区域编号	区域页面介绍
①	Logo及产品名称
②	主菜单栏，从左至右依次为首页、业务中心、安全应用、系统管理
③	全屏按钮、产品关于信息及用户登出按钮
④	安管一体机的系统资源监控，从左往右分别是CPU、内存、磁盘总量及利用率
⑤	安管一体机的应用资源监控，从上之下分别是运维审计、漏洞扫描、日志审计、数据库审计和终端杀毒/终端安全、FW&IPS管理（SMP安全业务管理平台）、等保合规、数据备份、上网行为审计ACG、Web应用防火墙WAF的CPU、内存、磁盘利用率其中运维审计、日志审计、漏洞扫描（SysScan-V）、终端杀毒/终端安全、FW&IPS管理、等保合规、数据备份是通过CAS/UIS获取的资源监控数据，由于获取的方式或频率不同，可能会显示不一致，请以各组件自身显示为准。
⑥	服务统计，从上之下分别展示运维审计的用户数（不包含已禁用用户）、资产数（包含已禁用资产），漏洞扫描已完成和进行中的扫描任务数量，日志审计的日志源数量，数据库审计的业务系统数量，终端杀毒/终端安全的终端数量。
⑦	关联事件数量统计，数据来源自日志审计组件的【事件>事件明细】，系统已内置部分关联规则，日志匹配关联规则后才会产生事件。展示近7天的事件个数统计折线图。
⑧	告警中心，数据来源自安管平台自身的告警，包括3种告警，严重的是指应用组件虚拟机故障，一般的是指安管一体机磁盘利用率超过80%，提示的是只应用组件的授权过期或者即将超期。展示近7天的系统告警。

3 业务中心

业务中心展示4个大屏，分别是等保合规监控系统、合规现状展示、脆弱性展示、数据库安全展示（针对安管一体机不同版本和授权，展示的大屏会有所不同，例如X6010 E6302P01版本就只展示合规现状展示和脆弱性展示）。

图3-1 业务中心-E6302P01/E6302P02/E6303/E6304P01

图3-2 业务中心-E6305及以上

3.2 等保合规监控系统

用户通过可视化大屏能快速掌握等保工作运行情况，了解单位等级保护合规状态、漏洞危害级别、安全工作运行状态、等保制度符合情况等信息，能够最直观地了解到单位内各系统的等保工作开展情况，以及系统的最近一次自查结果的得分。

注意：此大屏适配屏幕分辨率为1920x1080或者1600x900

图3-3 等保合规监控系统大屏

3.3 合规现状展示

合规现状展示大屏，展示全网合规现状，包括高危运维操作数量排名、终端病毒数量排名、终端病毒类型分布、各类设备的统计评分、告警事件明细、内网高危告警分布、数据库审计源IP告警排名、数据库审计告警事件类型统计。

图3-4 合规现状展示大屏

· 高危运维操作数量排名：统计近7天运维审计组件高危命令的客户端IP操作次数排名，显示TOP5

· 终端病毒数量排名-E6901：统计近7天终端杀毒客户端感染次数的客户端IP排名，显示TOP5；

· 终端病毒类型分布-E6901：统计当前周内的终端杀毒病毒类型分布饼图；

· 终端病毒数量排名-E6902：统计终端杀毒客户端感染次数的客户端IP排名，显示TOP5；

· 终端病毒类型分布-E6902：统计终端杀毒病毒类型分布饼图；

· 各类设备的统计评分：统计近7天日志审计上不同种类日志源的告警事件明细，设备分数计算方式为：健康分数 = 100 - 告警级别 * 2（告警级别 1 低危，2 中危，3 高危，4 严重），最小为0；

· 告警事件：统计近7天日志审计上的告警事件，显示TOP20；

· 内网高危告警分布：统计近7天日志审计上的告警事件分布，按照事件名称显示分布饼图，显示TOP5，其余归为其它；

· 源IP告警：统计近7天数据库审计上按源IP显示告警数量（源自数据库审计组件的塞班斯（SOX）法案数据库安全审计符合性报告），显示TOP5；

· 告警事件类型统计：统计前一天数据库审计上告警事件类型分布饼图（源自数据库审计组件的报表任务-告警事件类型统计报表），显示TOP5，其余归为其它。

3.4 脆弱性展示

脆弱性展示大屏，展示近7天漏洞总量、影响主机的统计、漏洞类型的分布、漏洞等级的分布以及漏洞种类TOP10列表。

图3-5 脆弱性展示大屏-sysscan-v

· 漏洞数：统计近7天管理平台上的平台扫描任务和同步扫描任务发现的所有漏洞数；

· 高危漏洞数：统计近7天管理平台上的平台扫描任务和同步扫描任务发现的所有高危和严重漏洞数；

· 弱口令：统计近7天管理平台上的平台扫描任务和同步扫描任务发现的所有弱口令漏洞数；

· 配置风险：统计近7天管理平台上的平台扫描任务和同步扫描任务发现的所有配置风险漏洞数；

· 漏洞风险主机：统计近7天管理平台上的平台扫描任务和同步扫描任务发现的所有存在漏洞的主机；

· 高危漏洞风险主机：统计近7天管理平台上的平台扫描任务和同步扫描任务发现的所有存在高危和严重漏洞的主机；

· 弱口令主机：统计近7天管理平台上的平台扫描任务和同步扫描任务发现的所有存在弱口令漏洞的主机；

· 配置风险主机：统计近7天管理平台上的平台扫描任务和同步扫描任务发现的所有存在配置风险的主机；

· 漏洞类型分布：统计近7天管理平台上的平台扫描任务和同步扫描任务发现的所有漏洞类型，并饼状图展示分布；

· 漏洞等级分布：统计近7天管理平台上的平台扫描任务和同步扫描任务发现的所有漏洞等级，并饼状图展示分布；

· 漏洞趋势：统计近7天管理平台上的平台扫描任务和同步扫描任务每天发现的漏洞个数，并以折线图展示；

· TOP10漏洞列表：统计近7天管理平台上的平台扫描任务和同步扫描任务发现的漏洞数量排名，展示TOP10。

图3-6 脆弱性展示大屏-sysscan-ve

· 漏洞数：统计近7天管理平台上的平台扫描任务发现的所有漏洞数；

· 高危漏洞数：统计近7天管理平台上的平台扫描任务发现的所有高危和严重漏洞数；

· 漏洞风险主机：统计近7天管理平台上的平台扫描任务发现的所有存在漏洞的主机；

· 高危漏洞风险主机：统计近7天管理平台上的平台扫描任务发现的所有存在高危和严重漏洞的主机；

· 漏洞类型分布：统计近7天管理平台上的平台扫描任务发现的所有漏洞类型，并饼状图展示分布；

· 漏洞等级分布：统计近7天管理平台上的平台扫描任务发现的所有漏洞等级，并饼状图展示分布；

· 漏洞趋势：统计近7天管理平台上的平台扫描任务每天发现的漏洞个数，并以折线图展示；

· TOP10漏洞列表：统计近7天管理平台上的平台扫描任务发现的漏洞数量排名，展示TOP10。

3.5 数据库安全展示

数据库安全展示，展示全网数据库安全，根据业务系统及时间的不同，将最近发生的事件多元化地展现给用户。包含的内容有：告警事件列表、新增因子、威胁事件统计、审计数据统计、在线用户数统计、当前会话数、流量统计等信息。如图下图所示：

图3-7 数据库安全展示大屏

数据库安全展示大屏根据业务系统及时间的不同，将最近发生的事件多元化地展现给用户。包含的内容有：告警事件列表、新增因子、威胁事件统计、审计数据统计、在线用户数统计、当前会话数、流量统计等信息。如图下图所示

· 数据库选择和统计时间：可根据业务和统计时间范围的不同，选择需要查看的业务系统某个时间范围内的分析情况。数据的统计时间范围为当前时间开始往前计算，比如选择1天，即时间范围为最近24小时。

· 数据库事件数统计：点击高、中、低可疑事件数，即可展开告警事件列表，从告警事件列表中可以看到事件发生的时间、地点、源IP，更多详尽的数据，协助管理员对事件进行核查、分析。

· 最近审计数据统计：对最近时间范围内审计到的会话数、明细条数以及触发预警的次数进行统计。

· 最近威胁事件数：为管理员展示最近时间范围内系统发生的高、中可疑风险事件趋势统计图，可快速掌握最近时间范围内事件发生的“高峰期”。

· 最近新增因子：监测最近统计时间范围内，各类因子对象的创建、更新情况，提供发现新增因子的提醒，以因子名称表项页显示红点的方式展示，方便查看。

· 在线用户数：实时监控系统当前在线用户数量、并发会话数量。

· 当前会话数：以点-线的形式描述当前服务器与客户端的连接关系，由客户端指向服务端。

· 最近流量：

• PQ：最近已处理的业务条数。

• SQ：最近已保存到数据库的业务条数。

• PS：最近已处理的会话业务条数。

• SS：最近已保存到数据库的会话业务条数。

• PA：最近触发的预警条数。

• SA：最近已保存到数据库的预警条数。

3.6 Web应用防火墙展示

实时查看监测地图（中国地图或世界地图）、攻击源TOP10、源地域TOP10、流量趋势、目标服务器TOP10、攻击类型分布、攻击趋势、近期访问次数、近期攻击次数和实时事件。

注意：Web应用防火墙展示大屏和WAF的单点登录功能不支持同时使用。即当使用大屏查看数据时，若用户再去单点登录waf，则大屏会被强制下线。

图3-8 Web应用防火墙展示大屏

4 安全应用

在安管平台的安全应用处可对各组件的一些基础配置进行操作，下文进行详细描述。

4.1 运维审计

在安管平台可对运维审计进行如下基本配置操作：

· 用户：新增操作员、删除用户、查找用户、修改用户；

· 资产：新增资产、删除资产、查找资产、修改资产；

· 权限：新增权限、删除权限、查找权限；

· 网络配置：配置业务IP及网关；

· 报表及历史报表：新增报表、删除报表、查看报表、下载报表；

· 其它系统配置的操作可通过【高级配置】按钮跳转至运维审计admin用户界面进行操作。支持对运维审计进行高级配置操作，如用户和资产的导入、导出操作以及admin下拉>系统设置操作等。注意，跳转后的运维审计界面不支持登录测试、运维、实时审计等操作，若要进行这些操作，建议直接在浏览器中登录运维审计业务地址后进行操作。

1、E6302版本安管平台配置的用户、资产、权限不支持修改，若需要进行修改操作，需在【安全应用-运维审计-用户/资产/权限】，点击高级配置跳转到运维审计组件进行配置；

2、安管平台运维审计添加的资产都未添加资产帐号，有些资产类型如windows/linux/网络设备会有默认的特权帐号administrator/root/super，但未托管密码；

3、安管平台添加资产运维审计资产，其协议只支持默认资产类型的协议。

4、安管平台运维审计系统添加应用系统，默认将所有客户端全部勾选。

5、安管平台运维审计高级配置跳转后不支持进行运维、审计、改密、高危命令等，当前只支持【系统设置】，其它操作请登录运维审计业务地址进行操作；

6、管理平台仅支持对运维审计本地认证方式用户进行编辑，不支持对运维审计协议包含“跳转来源自”资产和资产中包含“切换自”帐号进行编辑，高级配置请跳转至运维审计页面后进行配置

7、高级配置操作请登录官网www.h3c.com，参考如下路径的文档：首页>产品支持与服务>文档与软件>文档中心>安全>运维审计>H3C SecPach A2000-VX00系列云运维审计系统

4.1.1 配置用户

【安全应用>运维审计>用户】功能界面如下图所示：

图4-1 运维审计用户功能界面

表4-1 运维审计用户功能说明

区域编号	区域页面介绍
①	新建用户，仅支持新建操作员用户，且创建的用户仅支持本地密码认证方式
②	删除用户，可通过勾选用户删除一个或多个用户
③	高级配置，可跳转至运维审计admin用户视图
④	查找用户，支持按照帐号快速查找，也支持按照帐号、名称、状态、角色进行高级查询
⑤	展示运维审计上所有帐号，默认展示为状态为活动的帐号，若要查看禁用帐号，可通过高级查询筛选。
⑥	修改用户，仅支持修改运维审计本地认证用户的名称、手机号和邮箱

1. 新增操作员

【安全应用>运维审计>用户】点击新建按钮，填写用户信息如下：

图4-2 运维审计新建用户基本信息填写

表4-2 运维审计用户基本信息填写说明

基本信息	说明
角色	用户的角色。通过管理平台创建的运维审计用户，只支持创建操作员角色用户。
帐号	用户的帐号。字符串格式，长度范围是1~100个字符，不能包含"+"、":"、"/"、空格和中文字符。
名称	用户的姓名。字符串格式，长度范围是1~100个字符。
密码	用户的密码。通过管理平台创建的运维审计用户，只支持本地认证方式。
手机号码	用户的手机号码。
邮箱	用户的邮箱地址，长度范围是1~64个字符。

2. 删除用户

【安全应用>运维审计>用户】选择需要删除的用户，点击删除按钮即可删除用户，确认删除用户后，系统会提示操作成功。

图4-3 运维审计删除用户

图4-4 确认删除用户

3. 查找用户

【安全应用>运维审计>用户】可以按照帐号进行快速查找，也可按照帐号、名称、状态、角色进行高级查找。

图4-5 用户快速查询

图4-6 用户高级查询

4. 修改用户

【安全应用>运维审计>用户】可以修改用户的名称、手机号和邮箱。

图4-7 修改用户

4.1.2 配置资产

【安全应用>运维审计>资产】功能界面如下图所示：

图4-8 运维审计资产功能界面

表4-3 运维审计资产功能说明

区域编号	区域页面介绍
①	新建资产
②	删除资产，可通过勾选资产删除一个或多个资产
③	高级配置，可跳转至运维审计admin用户视图
④	查找资产，支持按照资产名称快速查找，也支持按照资产名称、资产IP、资产系别、资产状态进行高级查询
⑤	展示运维审计上所有资产，包括活动和禁用状态。
⑥	修改资产，支持修改资产名称、IP、系统编码和描述，支持增删改资产的访问协议和系统帐号

1. 新增资产

【安全应用>运维审计>资产】点击新建按钮，选择资产类型：

图4-9 运维审计新建资产选择类型

(1) 配置主机和网络资产

运维审计系统缺省支持的主机资产类型包括IBM AS/400、HP UX、IBM AIX、Windows和Linux。

运维审计系统缺省支持的网络资产类型包括Cisco IOS、Huawei Quidway、Juniper NetScreen、H3C Comware和General Network。

图4-10 运维审计创建主机资产基本信息填写

表4-4 运维审计主机和网络资产基本信息填写说明

参数	说明
资产名称	资产的名称，字符串格式，长度范围是1~100个字符。
资产IP	资产的IP地址，IPv4和IPv6都支持。
系统编码	资产使用的系统编码类型，取值包括ISO-8859-1、GB18030、UTF-8等。如果系统编码选择不正确，可能会出现以下异常问题：资产访问异常改密不成功文件传输时文件名出现乱码查看审计日志时出现乱码高危命令中对命令识别错误
描述	资产的简要说明。

(2) 配置数据库资产

运维审计系统缺省支持的数据库类型包括Oracle、MYSQL、MSSQL和DB2。

图4-11 运维审计创建数据库资产基本信息填写

表4-5 运维审计数据库资产基本信息填写说明

参数	说明
资产名称	资产的名称，字符串格式，长度范围是1~100个字符。
数据库名（MySQL和DB2）	数据库的名称。字符串格式，长度范围是1~30个字符。
连接方式（Oracle）	数据库的连接方式，包括：服务名：使用数据库的ServiceName连接。执行以下命令可以获得服务名。 select value from v$parameter where name = 'service_names'; SID：使用数据库的SID连接。执行以下命令可以获得SID。 select instance_name from v$instance; TNS：使用数据库的TNSName连接。请确保TNS配置串的格式正确，示例如下。 (DESCRIPTION =(ADDRESS_LIST =(ADDRESS = (PROTOCOL = TCP)(HOST = 10.10.16.81)(PORT = 1521)))(CONNECT_DATA =(SERVICE_NAME = devdb)))
资产IP	资产的IP地址和服务端口，IPv4和IPv6都支持。
OEM URL	Oracle Enterprise Manager的URL地址。默认客户端中选择了oem，必须填写OEM URL。若实际无，建议高级配置跳转至运维审计添加该资产。
实例名（MSSQL）	数据库的实例名，包括默认实例和自定义实例。字符串格式，长度范围是1~30个字符。
描述	资产的简要说明。

2. 删除资产

【安全应用>运维审计>资产】选择需要删除的资产，点击删除按钮即可删除资产，确认删除资产后，系统会提示操作成功。

图4-12 运维审计删除资产

图4-13 确认删除资产

3. 查找资产

【安全应用>运维审计>资产】可以按照资产名称进行快速查找，也可按照资产名称、资产IP、资产系别、资产状态进行高级查找。

图4-14 资产快速查询

图4-15 资产高级查询

4. 修改资产

【安全应用>运维审计>资产】支持修改资产名称、IP、系统编码和描述，支持增删改资产的访问协议和系统帐号。

图4-16 修改资产

4.1.3 配置权限

【安全应用>运维审计>权限】功能界面如下图所示：

图4-17 运维审计权限功能界面

表4-6 运维审计权限功能说明

区域编号	区域页面介绍
①	新建权限，此处的权限对应运维审计中的动态权限
②	删除权限，可通过勾选权限删除一个或多个权限
③	高级配置，可跳转至运维审计admin用户视图
④	查找权限，支持按照权限名称快速查找
⑤	展示运维审计上所有权限列表

1. 新建权限

【安全应用>运维审计>权限】点击新建按钮，填写权限信息如下：

图4-18 运维审计新建权限基本信息填写

表4-7 运维审计权限基本信息填写说明

参数	说明
名称	权限的名称。字符串格式，长度范围是1~30个字符。
用户	授权用户。源列表中为运维审计当前所有用户，可选中移至目标列表。源列表中最多只能展示运维审计中2000个用户供选择。
资产	授权资产。源列表中为运维审计当前所有资产，可选中移至目标列表。源列表中最多只能展示运维审计中2000个资产供选择。
协议	授权协议。指定操作员可运维的资产协议，可勾选协议。
帐号	授权帐号。指定操作员可运维的资产帐号，此处仅支持手动指定资产帐号，非可选。

2. 删除权限

【安全应用>运维审计>权限】选择需要删除的权限，点击删除按钮即可删除权限，确认删除权限后，系统会提示操作成功。

图4-19 运维审计删除权限

图4-20 确认删除权限

3. 查找权限

【安全应用>运维审计>权限】可以按照权限名称进行快速查找。

图4-21 权限快速查询

4.1.4 报表和历史报表

【安全应用>运维审计>报表/历史报表】功能界面如下图所示：

图4-22 运维审计报表功能界面

图4-23 运维审计历史报表功能界面

图4-24 运维审计报表生成和下载

如上图所示，安管平台支持增删改查运维审计的报表，报表生成模板是运维审计内置的，包括用户基本报表、用户变更报表、用户分类统计报表、会话数据报表、资产基本报表、资产信息统计报表、资产变更报表和帐号基本报表。

4.1.5 网络配置

【安全应用>运维审计>网络配置】功能界面如下图所示：

图4-25 运维审计网络配置功能界面

表4-8 运维审计网络配置功能说明

参数	说明
IP地址	展示运维审计组件eth1的IP地址
子网掩码	展示运维审计组件eth1的子网掩码前缀长度
网关	展示运维审计组件eth1的网关地址

1. 若高级配置跳转至运维审计组件【admin下拉>系统设置>基本设置>网络配置】查看eth1子网掩码和网关非空，但安管平台运维审计网络配置中只有IP地址，其它为空，请以运维审计组件上的网络配置为准。

2. 此页面可展示，也可点击确定下发网络配置。

3. 推荐在安管平台【安全应用-运维审计-网络配置】下发运维审计eth1的网络

4. 运维审计虚拟机若添加网卡，可同步展示在运维审计组件【admin下拉>系统设置>基本设置>网络配置】处，但若把虚拟机的网卡删除，运维审计组件上不会同步删除该网卡。

4.2 漏洞扫描-sysscan-v

在安管平台可对漏洞扫描进行如下基本配置操作：

· Web漏扫：新建任务、删除任务、查找任务、同步漏扫组件上的任务；

· 数据库漏扫：新建任务、删除任务、查找任务、同步漏扫组件上的任务；

· 系统漏扫：新建任务、删除任务、查找任务、同步漏扫组件上的任务；

· 手动同步：【安全应用>漏洞扫描>Web/数据库/系统漏扫】点击手动同步，可实现把漏扫组件上的扫描任务同步到安管平台上展示，同步过来的任务类型为同步任务，在安管平台创建的任务类型为平台任务。

· 网络配置：配置业务IP及网关；

· 其它系统配置的操作可通过【高级配置】按钮跳转至漏洞扫描admin用户界面进行操作。

1、漏扫组件上创建的任务不支持时刻同步到管理平台，需在管理平台点击手动同步按钮实现同步；

2、【安全应用-漏洞扫描-Web漏扫/数据库漏扫/系统漏扫】，点击高级配置跳转到漏扫admin用户视图；

3、高级配置操作请登录官网www.h3c.com，参考如下路径的文档：首页>产品支持与服务>文档与软件>文档中心>安全>漏洞扫描>H3C SecPath SysScan-V云漏洞扫描系统

4.2.1 Web漏扫

【安全应用>漏洞扫描>Web漏扫】功能界面如下图所示：

图4-26 Web漏扫功能界面

表4-9 Web漏扫功能说明

区域编号	区域页面介绍
①	新建Web漏扫任务。
②	删除Web漏扫任务，支持选中一个或多个任务进行删除。
③	高级配置，可跳转至漏洞扫描admin用户视图。
④	手动同步，从漏扫组件上同步Web漏扫任务展示在管理平台上。
⑤	查找任务，支持按照任务名称快速查找。
⑥	展示Web漏扫任务，包括管理平台上创建和从漏扫组件上同步的任务。
⑦	漏扫任务的操作，平台任务支持再次扫描、查看报表和下载报表，同步任务支持查看报表和下载报表。

2. 新建任务

【安全应用>漏洞扫描>Web漏扫】点击新建按钮，填写任务信息如下：

图4-27 Web漏扫任务填写

表4-10 Web漏扫任务填写说明

基本信息	说明
任务名称	任务的名称。字符串格式，长度范围是1-30个字符，不能为空，不能输入重复任务名称，不能包含 / \ : * ? " < > \| &
扫描地址	Web扫描的目标url。例如：http://www.example.com
执行方式	扫描任务的执行方式可选立即执行、定时执行、每日执行、每周执行、每月执行，若执行方式设置为定时或者周期执行，则该任务会出现在【安全应用>漏洞扫描>定时漏扫】中

3. 删除任务

【安全应用>漏洞扫描>Web漏扫】选择需要删除的任务，点击删除按钮即可删除任务，确认删除任务后，系统会提示操作成功。注意：安管平台上仅支持删除任务类型为平台任务的漏扫任务。

图4-28 漏洞扫描删除Web漏扫任务

图4-29 确认删除任务

4. 查找任务

【安全应用>漏洞扫描>Web漏扫】可以按照任务名称进行快速查找。

图4-30 Web漏扫快速查询

4.2.2 数据库漏扫

【安全应用>漏洞扫描>数据库漏扫】功能界面如下图所示：

图4-31 数据库漏扫功能界面

表4-11 数据库漏扫功能说明

区域编号	区域页面介绍
①	新建数据库漏扫任务。
②	删除数据库漏扫任务，支持选中一个或多个任务进行删除。
③	高级配置，可跳转至漏洞扫描admin用户视图。
④	手动同步，从漏扫组件上同步数据库漏扫任务展示在管理平台上。
⑤	查找任务，支持按照任务名称快速查找。
⑥	展示数据库漏扫任务，包括管理平台上创建和从漏扫组件上同步的任务。
⑦	漏扫任务的操作，平台任务支持再次扫描、查看报表和下载报表，同步任务支持查看报表和下载报表。

1. 新建任务

【安全应用>漏洞扫描>数据库漏扫】点击新建按钮，填写任务信息如下：

图4-32 数据库漏扫任务填写

表4-12 数据库漏扫任务填写说明

基本信息	说明
任务名称	任务的名称。字符串格式，长度范围是1-30个字符，不能为空，不能输入重复任务名称，不能包含 / \ : * ? " < > \| &
扫描地址	数据库主机地址。IP地址或域名注意仅支持单个ipv4地址或域名
数据库认证	可选是否认证扫描，若开启，认证设置支持SMB、SSH、Telnet、Mysql、Oracle、SqlServer、DB2、Informix、Sybase、DM协议的认证，通过认证设置可以提高扫描精确度与深度。
执行方式	扫描任务的执行方式可选立即执行、定时执行、每日执行、每周执行、每月执行，若执行方式设置为定时或者周期执行，则该任务会出现在【安全应用>漏洞扫描>定时漏扫】中

2. 删除任务

【安全应用>漏洞扫描>数据库漏扫】选择需要删除的任务，点击删除按钮即可删除任务，确认删除任务后，系统会提示操作成功。注意：安管平台上仅支持删除任务类型为平台任务的漏扫任务。

图4-33 漏洞扫描删除数据库漏扫任务

图4-34 确认删除任务

3. 查找任务

【安全应用>漏洞扫描>Web漏扫】可以按照任务名称进行快速查找。

图4-35 Web漏扫快速查询