手册下载
H3C SecCenter X6000系列安管一体机
Web配置指导
Copyright © 2022新华三技术有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
H3C SecCenter安全管理一体机产品是由新华三技术有限公司(以下简称H3C公司)在多年的安全研究沉淀和等保建设服务实践经验的基础上,自主研发的一款用于等保建设或者信息系统安全管理区域建设的综合性的安管管理平台,具有漏洞扫描、日志审计、运维审计、数据库审计、终端杀毒、等保合规、数据备份、上网行为审计(ACG)、安全业务管理平台(SMP)和Web应用防火墙(WAF)功能,全面满足网络安全等级保护技术要求中的管理审计需求,同时安全管理一体机集中整合纳管网络系统中的组成元素形成多态化的安全管理中心,满足系统管理、审计管理、安全管理、集中管控的要求。
表1-1 安管一体机中各功能组件出厂的软件版本号-1
模块 |
X6010 E6301 |
X6020 E6302 |
X6010 E6302 |
X6010 E6303 |
X6010-T E6304P01 |
X6010-S E6305P01 |
X6030 E6305P01 |
CAS |
E0513 |
E0530H12 |
E0530H12 |
E0706 |
E0710P02H01 |
E0718 |
- |
UIS |
- |
- |
- |
- |
- |
- |
E0721P01 |
运维审计 |
E6112P01 |
E6112P03 |
E6112P03 |
E6112P05 |
E6112P14 |
E6112P17 |
E6112P17 |
漏洞扫描 (SysScan-V) |
E6902P02 |
E6903 |
E6903 |
E6903P01 |
- |
- |
- |
漏洞扫描 (SysScan-VE) |
- |
- |
- |
- |
- |
E6202P03 |
E6202P03 |
日志审计 |
D1101P11H01 CSAP-SA |
E1104 CSAP-SA-V |
E1104 CSAP-SA-V |
E1707 CSAP-SA-V |
E1708P01 CSAP-SA-V |
E1709P03 CSAP-SA-V |
E1709P03 CSAP-SA-V |
数据库审计 |
- |
E6204P05 |
- |
E6204P06 |
E6206 |
E6206P02 |
E6206P02 |
终端杀毒/终端安全 |
- |
E6901 |
- |
E6901P01 |
- |
E6902P03 |
E6902P03 |
应用发布服务器 |
winserver2016 |
winserver2016 |
winserver2016 |
winserver2016 |
winserver2019 |
winserver2019 |
winserver2019 |
安全业务管理平台(SMP) |
- |
- |
- |
- |
- |
- |
E1111P03 |
上网行为审计(ACG) |
- |
- |
- |
- |
- |
- |
E6453P02 |
数据备份 |
- |
- |
- |
- |
- |
- |
R1202 |
等保合规 |
- |
- |
- |
- |
- |
- |
E6101P01 |
Web应用防火墙(WAF) |
- |
- |
- |
|
- |
- |
E6203P10 |
表1-2 安管一体机中各功能组件出厂的软件版本号-2
模块 |
X6010 E6305P03 |
X6020 E6305P03 |
X6015 E6305P03 |
X6025 E6305P03 |
X6030 E6305P03 |
CAS |
E0718 |
E0718 |
- |
- |
- |
UIS |
- |
- |
E0721P01 |
E0721P01 |
E0721P01 |
运维审计 |
R6113P01 |
R6113P01 |
R6113P01 |
R6113P01 |
R6113P01 |
漏洞扫描 (SysScan-V) |
E6903P05 |
E6903P05 |
- |
- |
- |
漏洞扫描 (SysScan-VE) |
- |
- |
E6202P04 |
E6202P04 |
E6202P04 |
日志审计 |
E1710P01 |
E1710P01 |
E1710P01 |
E1710P01 |
E1710P01 |
数据库审计 |
R6206P07 |
R6206P07 |
R6206P07 |
R6206P07 |
R6206P07 |
终端杀毒/终端安全 |
E6902P04 |
E6902P04 |
E6902P04 |
E6902P04 |
E6902P04 |
应用发布服务器 |
winserver2019 |
winserver2019 |
winserver2019 |
winserver2019 |
winserver2019 |
安全业务管理平台(SMP) |
- |
- |
- |
- |
E1111P03 |
上网行为审计(ACG) |
- |
E6453P03 |
- |
E6453P03 |
E6453P03 |
数据备份 |
- |
- |
- |
- |
R1202 |
等保合规 |
- |
- |
- |
- |
E6101P01 |
Web应用防火墙(WAF) |
- |
R6203P11 |
- |
R6203P11 |
R6203P11 |
表1-3 X6010/X6020/X6010-T/X6010-S接口说明
接口类型 |
接口说明 |
管理口 |
默认GE0为安管平台的管理口。 初始IP地址为192.168.0.1/24,网关为192.168.0.100。 |
业务口 |
默认GE1为运维审计、漏洞扫描、日志审计、数据库审计、终端杀毒、应用发布服务器的业务口。 初始IP地址如下,均未配置网关。 日志审计:192.168.100.2/24 数据库审计:192.168.100.3/24 运维审计:192.168.100.4/24 终端杀毒:192.168.100.5/24 漏洞扫描:192.168.100.6/24 应用发布服务器:192.168.100.7/24 CAS:192.168.100.254/24 |
表1-4 X6030/X6025/X6015安管一体机接口说明
接口类型 |
接口说明 |
4端口GE电接口网卡(mLOM X722) |
默认eth0为安管平台的管理口。 初始IP地址为192.168.0.1/24,网关为192.168.0.100。 默认eth1为运维审计、漏洞扫描、日志审计、数据库审计、终端杀毒、应用发布服务器、等保合规、数据备份、上网行为审计(ACG)和安全业务管理(SMP)的业务口。 初始IP地址如下: 日志审计:192.168.100.2/24 数据库审计:192.168.100.3/24 运维审计:192.168.100.4/24 终端杀毒:192.168.100.5/24 漏洞扫描:192.168.100.6/24 应用发布服务器:192.168.100.7/24 等保合规监控系统:192.168.100.9/24 数据备份:192.168.100.10/24 上网行为审计ACG:192.168.100.11/24 安全业务管理系统SMP:192.168.100.12/24 Web应用防火墙WAF:192.168.100.13/24 UIS:192.168.100.254/24 默认eth2和eth3出厂不使用,用户可根据自己需求接线使用。注意mLOM网卡不支持设置为PCI直通模式。 |
HDM接口 |
支持H3C Device Management(HDM)管理工具(带独立管理端口) 默认地址:192.168.1.2 默认帐号密码:admin/Password@_ |
1. X6010/X6020/X6010-T/X6010-S不支持串口登录
2. GE0/eth0为默认管理口,通过此网口访问安管管理平台IP。
3. GE1/eth1为各组件默认业务口,各组件通过此网口进行业务流量通信,有些组件需要审计镜像流量,则需要参考下文配置指导添加镜像口,如数据库审计。
安管一体机整体部署在CAS/UIS平台,以X6020为例,其中共有5个应用组件,分别是运维审计、漏扫、日志审计、数据库审计、终端杀毒,另外还有运维审计配套的应用发布服务器,以及用于管理5个应用组件的管理平台。为了让用户更加了解产品架构,做如下说明:
· 管理平台和5个组件之间通过内部虚拟交换机进行通信,因此都配置了8.8.8.x的网卡地址。
· CAS/UIS出厂默认GE0地址9.9.9.2,用于和管理平台通信和检修,因此不允许修改。
· 数据库审计出厂默认第二张网卡为检修口,地址1.0.0.1,不允许修改。
· 应用发布服务器配置4张网卡,分别可与0口,1口,以及两个内部网段(8.8.8.x和1.0.0.x)通信,用途有两个:一是作为运维审计的应用发布服务器,二是在系统故障时可作为检修跳板,如可访问9.9.9.x/8.8.8.x/1.0.0.x地址
· 各虚拟机之间的内部通信如下图所示,此处以X6010-T为例:
图1-1 安管一体机内部虚机组网图
安管一体机中各组件默认IP及用户名密码信息如下下表所示。
表1-5 各组件默认IP及用户名密码信息表
模块名称 |
管理默认IP GE0 |
业务默认IP GE1 |
web默认用户名密码 |
后台默认用户名密码 |
CAS/UIS平台 |
9.9.9.2 |
192.168.100.254 |
X6000 E6302/E6303/E6304P01: admin/X6000@SECcas X6000 E6305P01/E6305P03: admin/Cloud@1234 |
root/X6000@SECCAS |
安管平台 |
192.168.0.1 9.9.9.1(不支持修改) |
- |
admin/admin |
root/X6000@SECMNGT |
日志审计系统 |
- |
192.168.100.2 |
admin/X6000@SECsaad buzAdmin/X6000@SECsabu sysAdmin/X6000@SECsasy auditAdmin/X6000@SECsaau |
root/X6000@SECSA |
数据库审计系统 |
- |
192.168.100.3 |
X6000 E6302/E6303/E6305P03: admin/X6000@SECdbaad sec/X6000@SECdbase audit/X6000@SECdbaau mon/X6000@SECdbamo X6000 E6304P01/E6305P01: admin/admin sec/sec audit/audit mon/mon |
- |
运维审计系统 |
- |
192.168.100.4 |
admin/X6000@SECoa |
root/admin |
终端杀毒 |
- |
192.168.100.5 |
X6000 E6302/E6303: admin/X6000@SECesm X6000 E6305P01/E6305P03: admin/X6000@SECesmad system/X6000@SECesmsy |
root/X6000@SECESM |
漏洞扫描系统(SysScan-V) |
- |
192.168.100.6 |
admin/X6000@SECscanad audit/X6000@SECscanau security/X6000@SECscanse scan/X6000@SECscansc |
con_admin/con_admin@scr |
漏洞扫描系统(SysScan-VE) |
- |
192.168.100.6 |
X6000 E6305P01: admin/X6000@SECscanad account/X6000@SECscanac audit/X6000@SECscanac report/X6000@SECscanre X6000 E6305P03: admin/X6000@SECscanad account/X6000@SECscanac audit/X6000@SECscanau report/X6000@SECscanre |
admin/admin |
应用发布服务器 |
9.9.9.3 |
192.168.100.7 |
administrator/X6000@SECRDS |
- |
等保合规 |
- |
192.168.100.9 |
admin/X6000@SECdaad sadmin/X6000@SECdasa padmin/X6000@SECdapa aadmin/X6000@SECdaaa |
- |
数据备份 |
- |
192.168.100.10 |
admin/Password@_ |
root/h3c_backup |
上网行为审计ACG |
- |
192.168.100.11 |
admin/X6000@SECacg |
admin/X6000@SECacg |
安全业务管理平台SMP |
- |
192.168.100.12 |
admin/X6000SECsmpad buzAdmin/X6000SECsmpbu sysAdmin/X6000SECsmpsy auditAdmin/X6000SECsmpau |
root/X6000@SECSMP |
Web应用防火墙 |
- |
192.168.100.13 |
admin/X6000@SECwafad account/X6000@SECwafac audit/X6000@SECwafau |
admin/X6000@SECwafad |
安管平台数据库中存储各组件的用户及密码,用于自动跳转登录至组件,因此如果修改各组件的默认密码后,需要在安管平台【应用资源>平台管理>应用用户】或者【系统管理>系统维护>通信信息维护】中同步修改密码。
在组件上修改完密码后,需要在管理平台上同步修改密码的组件包括如下:
· 运维审计admin用户
· 漏洞扫描(sysscan-v)admin用户
· 漏洞扫描(sysscan-ve)admin和account用户
· 日志审计admin和root用户
· 终端杀毒(E6901)admin和root用户
· 终端安全(E6902)system用户
· 上网行为审计ACG admin用户
在组件上修改完密码后,不需要在管理平台上同步修改密码的组件包括如下:
· 数据库审计
· 数据备份
· FW&IPS管理(SMP安全业务管理平台)
· 等保合规监控系统
出厂的组件中用户密码为弱密码的有如下组件,需用户现场通过组件的业务地址登录后修改:
· X6000 E6304P01/E6305P01数据库审计
· 接口卡不支持热插拔,需断电后才能插入或拔出插卡。
· 当设备新增或更换接口卡后,设备检测到变更后会再次重启,重启时间较长,请等待启动完毕即可。
· 若设备配备了四光四电插卡,建议插入插槽之后,再启动设备,避免后续插卡还需断电才能生效,而影响业务使用。
· 工控机款型安管一体机的插卡口在CAS上展示的命名方式如下:
1) 设备板载口的丝印为GE0和GE1,在CAS页面对应展示为eth0和eth1
2) 设备插卡口在CAS页面展示为ethxy的二维格式,x指插卡的卡槽位置,y指接口在插卡上的位置,如下图为硬件接线图和CAS页面的对应展示
图1-2 工控机款型安管设备接口及web展示
通过web方式管理系统,浏览器建议使用Chrome 80以上。
(1) 在浏览器中输入https://系统管理IP,进入安管一体机登录页面,如出现不安全,点击继续即可;
(2) 在登录窗口中输入用户名、密码
图1-3 登录页面
(3) 使用默认帐号密码admin/admin登录系统后,系统会要求首次登录强制改密,手动输入一个新密码即可。注意,系统对于密码复杂度有要求:不能少于6位,且密码须包含大小写字母和数字,特殊字符仅支持下划线。
图1-4 首次登录强制改密
安管一体机首页如下图所示:
图2-1 安管一体机首页-E6302
表2-1 系统首页说明-E6302
区域编号 |
区域页面介绍 |
① |
Logo及产品名称 |
② |
主菜单栏,从左至右依次为首页、安全应用、应用资源、系统管理 |
③ |
全屏按钮、产品关于信息及用户登出按钮 |
④ |
安管一体机的资源监测,从左往右分别是CPU、内存、磁盘总量及利用率 |
⑤ |
告警统计,数据来源自日志审计组件【配置>告警管理>告警记录】,从左往右分别展示近24小时、近7天、近30天的告警记录统计信息。 注意日志审计的告警记录,需要预配置告警策略,日志匹配告警策略后才能产生告警记录。 |
⑥ |
服务统计,从上之下分别展示运维审计的用户数(不包含已禁用用户)、资产数(包含已禁用资产),漏洞扫描已完成和进行中的扫描任务数量,日志审计的日志源数量,数据库审计的业务系统数量,终端杀毒的终端数量。 |
⑦ |
操作日志,展示管理平台本身的操作日志。 点击查看更多可跳转至管理平台【系统管理>系统日志>日志】查看详细信息。 |
⑧ |
事件日志,数据来源自日志审计组件的【事件>事件明细】,系统已内置部分关联规则,日志匹配关联规则后才会产生事件。 四个铃铛标志从左往右分别表示低危、中危、高危、严重四个等级的事件统计数量,且分别点击可筛选不同等级的事件。 点击查看更多可跳转至管理平台【系统管理>系统日志>事件日志】查看详细信息。 |
图2-2 安管一体机首页-E6302P01及以上
表2-2 系统首页说明-E6302P01及以上
区域编号 |
区域页面介绍 |
① |
Logo及产品名称 |
② |
主菜单栏,从左至右依次为首页、业务中心、安全应用、系统管理 |
③ |
全屏按钮、产品关于信息及用户登出按钮 |
④ |
安管一体机的系统资源监控,从左往右分别是CPU、内存、磁盘总量及利用率 |
⑤ |
安管一体机的应用资源监控,从上之下分别是运维审计、漏洞扫描、日志审计、数据库审计和终端杀毒/终端安全、FW&IPS管理(SMP安全业务管理平台)、等保合规、数据备份、上网行为审计ACG、Web应用防火墙WAF的CPU、内存、磁盘利用率 其中运维审计、日志审计、漏洞扫描(SysScan-V)、终端杀毒/终端安全、FW&IPS管理、等保合规、数据备份是通过CAS/UIS获取的资源监控数据,由于获取的方式或频率不同,可能会显示不一致,请以各组件自身显示为准。 |
⑥ |
服务统计,从上之下分别展示运维审计的用户数(不包含已禁用用户)、资产数(包含已禁用资产),漏洞扫描已完成和进行中的扫描任务数量,日志审计的日志源数量,数据库审计的业务系统数量,终端杀毒/终端安全的终端数量。 |
⑦ |
关联事件数量统计,数据来源自日志审计组件的【事件>事件明细】,系统已内置部分关联规则,日志匹配关联规则后才会产生事件。 展示近7天的事件个数统计折线图。 |
⑧ |
告警中心,数据来源自安管平台自身的告警,包括3种告警,严重的是指应用组件虚拟机故障,一般的是指安管一体机磁盘利用率超过80%,提示的是只应用组件的授权过期或者即将超期。 展示近7天的系统告警。 |
业务中心展示4个大屏,分别是等保合规监控系统、合规现状展示、脆弱性展示、数据库安全展示(针对安管一体机不同版本和授权,展示的大屏会有所不同,例如X6010 E6302P01版本就只展示合规现状展示和脆弱性展示)。
图3-1 业务中心-E6302P01/E6302P02/E6303/E6304P01
图3-2 业务中心-E6305及以上
用户通过可视化大屏能快速掌握等保工作运行情况,了解单位等级保护合规状态、漏洞危害级别、安全工作运行状态、等保制度符合情况等信息,能够最直观地了解到单位内各系统的等保工作开展情况,以及系统的最近一次自查结果的得分。
注意:此大屏适配屏幕分辨率为1920x1080或者1600x900
图3-3 等保合规监控系统大屏
合规现状展示大屏,展示全网合规现状,包括高危运维操作数量排名、终端病毒数量排名、终端病毒类型分布、各类设备的统计评分、告警事件明细、内网高危告警分布、数据库审计源IP告警排名、数据库审计告警事件类型统计。
图3-4 合规现状展示大屏
· 高危运维操作数量排名:统计近7天运维审计组件高危命令的客户端IP操作次数排名,显示TOP5
· 终端病毒数量排名-E6901:统计近7天终端杀毒客户端感染次数的客户端IP排名,显示TOP5;
· 终端病毒类型分布-E6901:统计当前周内的终端杀毒病毒类型分布饼图;
· 终端病毒数量排名-E6902:统计终端杀毒客户端感染次数的客户端IP排名,显示TOP5;
· 终端病毒类型分布-E6902:统计终端杀毒病毒类型分布饼图;
· 各类设备的统计评分:统计近7天日志审计上不同种类日志源的告警事件明细,设备分数计算方式为:健康分数 = 100 - 告警级别 * 2(告警级别 1 低危,2 中危,3 高危,4 严重),最小为0;
· 告警事件:统计近7天日志审计上的告警事件,显示TOP20;
· 内网高危告警分布:统计近7天日志审计上的告警事件分布,按照事件名称显示分布饼图,显示TOP5,其余归为其它;
· 源IP告警:统计近7天数据库审计上按源IP显示告警数量(源自数据库审计组件的塞班斯(SOX)法案数据库安全审计符合性报告),显示TOP5;
· 告警事件类型统计:统计前一天数据库审计上告警事件类型分布饼图(源自数据库审计组件的报表任务-告警事件类型统计报表),显示TOP5,其余归为其它。
脆弱性展示大屏,展示近7天漏洞总量、影响主机的统计、漏洞类型的分布、漏洞等级的分布以及漏洞种类TOP10列表。
图3-5 脆弱性展示大屏-sysscan-v
· 漏洞数:统计近7天管理平台上的平台扫描任务和同步扫描任务发现的所有漏洞数;
· 高危漏洞数:统计近7天管理平台上的平台扫描任务和同步扫描任务发现的所有高危和严重漏洞数;
· 弱口令:统计近7天管理平台上的平台扫描任务和同步扫描任务发现的所有弱口令漏洞数;
· 配置风险:统计近7天管理平台上的平台扫描任务和同步扫描任务发现的所有配置风险漏洞数;
· 漏洞风险主机:统计近7天管理平台上的平台扫描任务和同步扫描任务发现的所有存在漏洞的主机;
· 高危漏洞风险主机:统计近7天管理平台上的平台扫描任务和同步扫描任务发现的所有存在高危和严重漏洞的主机;
· 弱口令主机:统计近7天管理平台上的平台扫描任务和同步扫描任务发现的所有存在弱口令漏洞的主机;
· 配置风险主机:统计近7天管理平台上的平台扫描任务和同步扫描任务发现的所有存在配置风险的主机;
· 漏洞类型分布:统计近7天管理平台上的平台扫描任务和同步扫描任务发现的所有漏洞类型,并饼状图展示分布;
· 漏洞等级分布:统计近7天管理平台上的平台扫描任务和同步扫描任务发现的所有漏洞等级,并饼状图展示分布;
· 漏洞趋势:统计近7天管理平台上的平台扫描任务和同步扫描任务每天发现的漏洞个数,并以折线图展示;
· TOP10漏洞列表:统计近7天管理平台上的平台扫描任务和同步扫描任务发现的漏洞数量排名,展示TOP10。
图3-6 脆弱性展示大屏-sysscan-ve
· 漏洞数:统计近7天管理平台上的平台扫描任务发现的所有漏洞数;
· 高危漏洞数:统计近7天管理平台上的平台扫描任务发现的所有高危和严重漏洞数;
· 漏洞风险主机:统计近7天管理平台上的平台扫描任务发现的所有存在漏洞的主机;
· 高危漏洞风险主机:统计近7天管理平台上的平台扫描任务发现的所有存在高危和严重漏洞的主机;
· 漏洞类型分布:统计近7天管理平台上的平台扫描任务发现的所有漏洞类型,并饼状图展示分布;
· 漏洞等级分布:统计近7天管理平台上的平台扫描任务发现的所有漏洞等级,并饼状图展示分布;
· 漏洞趋势:统计近7天管理平台上的平台扫描任务每天发现的漏洞个数,并以折线图展示;
· TOP10漏洞列表:统计近7天管理平台上的平台扫描任务发现的漏洞数量排名,展示TOP10。
数据库安全展示,展示全网数据库安全,根据业务系统及时间的不同,将最近发生的事件多元化地展现给用户。包含的内容有:告警事件列表、新增因子、威胁事件统计、审计数据统计、在线用户数统计、当前会话数、流量统计等信息。如图下图所示:
图3-7 数据库安全展示大屏
数据库安全展示大屏根据业务系统及时间的不同,将最近发生的事件多元化地展现给用户。包含的内容有:告警事件列表、新增因子、威胁事件统计、审计数据统计、在线用户数统计、当前会话数、流量统计等信息。如图下图所示
· 数据库选择和统计时间:可根据业务和统计时间范围的不同,选择需要查看的业务系统某个时间范围内的分析情况。数据的统计时间范围为当前时间开始往前计算,比如选择1天,即时间范围为最近24小时。
· 数据库事件数统计:点击高、中、低可疑事件数,即可展开告警事件列表,从告警事件列表中可以看到事件发生的时间、地点、源IP,更多详尽的数据,协助管理员对事件进行核查、分析。
· 最近审计数据统计:对最近时间范围内审计到的会话数、明细条数以及触发预警的次数进行统计。
· 最近威胁事件数:为管理员展示最近时间范围内系统发生的高、中可疑风险事件趋势统计图,可快速掌握最近时间范围内事件发生的“高峰期”。
· 最近新增因子:监测最近统计时间范围内,各类因子对象的创建、更新情况,提供发现新增因子的提醒,以因子名称表项页显示红点的方式展示,方便查看。
· 在线用户数:实时监控系统当前在线用户数量、并发会话数量。
· 当前会话数:以点-线的形式描述当前服务器与客户端的连接关系,由客户端指向服务端。
· 最近流量:
• PQ:最近已处理的业务条数。
• SQ:最近已保存到数据库的业务条数。
• PS:最近已处理的会话业务条数。
• SS:最近已保存到数据库的会话业务条数。
• PA:最近触发的预警条数。
• SA:最近已保存到数据库的预警条数。
实时查看监测地图(中国地图或世界地图)、攻击源TOP10、源地域TOP10、流量趋势、目标服务器TOP10、攻击类型分布、攻击趋势、近期访问次数、近期攻击次数和实时事件。
注意:Web应用防火墙展示大屏和WAF的单点登录功能不支持同时使用。即当使用大屏查看数据时,若用户再去单点登录waf,则大屏会被强制下线。
图3-8 Web应用防火墙展示大屏
在安管平台的安全应用处可对各组件的一些基础配置进行操作,下文进行详细描述。
在安管平台可对运维审计进行如下基本配置操作:
· 用户:新增操作员、删除用户、查找用户、修改用户;
· 资产:新增资产、删除资产、查找资产、修改资产;
· 权限:新增权限、删除权限、查找权限;
· 网络配置:配置业务IP及网关;
· 报表及历史报表:新增报表、删除报表、查看报表、下载报表;
· 其它系统配置的操作可通过【高级配置】按钮跳转至运维审计admin用户界面进行操作。支持对运维审计进行高级配置操作,如用户和资产的导入、导出操作以及admin下拉>系统设置操作等。注意,跳转后的运维审计界面不支持登录测试、运维、实时审计等操作,若要进行这些操作,建议直接在浏览器中登录运维审计业务地址后进行操作。
1、E6302版本安管平台配置的用户、资产、权限不支持修改,若需要进行修改操作,需在【安全应用-运维审计-用户/资产/权限】,点击高级配置跳转到运维审计组件进行配置;
2、安管平台运维审计添加的资产都未添加资产帐号,有些资产类型如windows/linux/网络设备会有默认的特权帐号administrator/root/super,但未托管密码;
3、安管平台添加资产运维审计资产,其协议只支持默认资产类型的协议。
4、安管平台运维审计系统添加应用系统,默认将所有客户端全部勾选。
5、安管平台运维审计高级配置跳转后不支持进行运维、审计、改密、高危命令等,当前只支持【系统设置】,其它操作请登录运维审计业务地址进行操作;
6、管理平台仅支持对运维审计本地认证方式用户进行编辑,不支持对运维审计协议包含“跳转来源自”资产和资产中包含“切换自”帐号进行编辑,高级配置请跳转至运维审计页面后进行配置
7、高级配置操作请登录官网www.h3c.com,参考如下路径的文档:首页>产品支持与服务>文档与软件>文档中心>安全>运维审计>H3C SecPach A2000-VX00系列 云运维审计系统
【安全应用>运维审计>用户】功能界面如下图所示:
图4-1 运维审计用户功能界面
表4-1 运维审计用户功能说明
区域编号 |
区域页面介绍 |
① |
新建用户,仅支持新建操作员用户,且创建的用户仅支持本地密码认证方式 |
② |
删除用户,可通过勾选用户删除一个或多个用户 |
③ |
高级配置,可跳转至运维审计admin用户视图 |
④ |
查找用户,支持按照帐号快速查找,也支持按照帐号、名称、状态、角色进行高级查询 |
⑤ |
展示运维审计上所有帐号,默认展示为状态为活动的帐号,若要查看禁用帐号,可通过高级查询筛选。 |
⑥ |
修改用户,仅支持修改运维审计本地认证用户的名称、手机号和邮箱 |
【安全应用>运维审计>用户】点击新建按钮,填写用户信息如下:
图4-2 运维审计新建用户基本信息填写
表4-2 运维审计用户基本信息填写说明
基本信息 |
说明 |
角色 |
用户的角色。通过管理平台创建的运维审计用户,只支持创建操作员角色用户。 |
帐号 |
用户的帐号。字符串格式,长度范围是1~100个字符,不能包含"+"、":"、"/"、空格和中文字符。 |
名称 |
用户的姓名。字符串格式,长度范围是1~100个字符。 |
密码 |
用户的密码。通过管理平台创建的运维审计用户,只支持本地认证方式。 |
手机号码 |
用户的手机号码。 |
邮箱 |
用户的邮箱地址,长度范围是1~64个字符。 |
【安全应用>运维审计>用户】选择需要删除的用户,点击删除按钮即可删除用户,确认删除用户后,系统会提示操作成功。
图4-3 运维审计删除用户
图4-4 确认删除用户
【安全应用>运维审计>用户】可以按照帐号进行快速查找,也可按照帐号、名称、状态、角色进行高级查找。
图4-5 用户快速查询
图4-6 用户高级查询
【安全应用>运维审计>用户】可以修改用户的名称、手机号和邮箱。
图4-7 修改用户
【安全应用>运维审计>资产】功能界面如下图所示:
图4-8 运维审计资产功能界面
表4-3 运维审计资产功能说明
区域编号 |
区域页面介绍 |
① |
新建资产 |
② |
删除资产,可通过勾选资产删除一个或多个资产 |
③ |
高级配置,可跳转至运维审计admin用户视图 |
④ |
查找资产,支持按照资产名称快速查找,也支持按照资产名称、资产IP、资产系别、资产状态进行高级查询 |
⑤ |
展示运维审计上所有资产,包括活动和禁用状态。 |
⑥ |
修改资产,支持修改资产名称、IP、系统编码和描述,支持增删改资产的访问协议和系统帐号 |
【安全应用>运维审计>资产】点击新建按钮,选择资产类型:
图4-9 运维审计新建资产选择类型
(1) 配置主机和网络资产
运维审计系统缺省支持的主机资产类型包括IBM AS/400、HP UX、IBM AIX、Windows和Linux。
运维审计系统缺省支持的网络资产类型包括Cisco IOS、Huawei Quidway、Juniper NetScreen、H3C Comware和General Network。
图4-10 运维审计创建主机资产基本信息填写
表4-4 运维审计主机和网络资产基本信息填写说明
参数 |
说明 |
资产名称 |
资产的名称,字符串格式,长度范围是1~100个字符。 |
资产IP |
资产的IP地址,IPv4和IPv6都支持。 |
系统编码 |
资产使用的系统编码类型,取值包括ISO-8859-1、GB18030、UTF-8等。如果系统编码选择不正确,可能会出现以下异常问题: 资产访问异常 改密不成功 文件传输时文件名出现乱码 查看审计日志时出现乱码 高危命令中对命令识别错误 |
描述 |
资产的简要说明。 |
(2) 配置数据库资产
运维审计系统缺省支持的数据库类型包括Oracle、MYSQL、MSSQL和DB2。
图4-11 运维审计创建数据库资产基本信息填写
表4-5 运维审计数据库资产基本信息填写说明
参数 |
说明 |
资产名称 |
资产的名称,字符串格式,长度范围是1~100个字符。 |
数据库名(MySQL和DB2) |
数据库的名称。字符串格式,长度范围是1~30个字符。 |
连接方式(Oracle) |
数据库的连接方式,包括: 服务名:使用数据库的ServiceName连接。执行以下命令可以获得服务名。 select value from v$parameter where name = 'service_names'; SID:使用数据库的SID连接。执行以下命令可以获得SID。 select instance_name from v$instance; TNS:使用数据库的TNSName连接。请确保TNS配置串的格式正确,示例如下。 (DESCRIPTION =(ADDRESS_LIST =(ADDRESS = (PROTOCOL = TCP)(HOST = 10.10.16.81)(PORT = 1521)))(CONNECT_DATA =(SERVICE_NAME = devdb))) |
资产IP |
资产的IP地址和服务端口,IPv4和IPv6都支持。 |
OEM URL |
Oracle Enterprise Manager的URL地址。默认客户端中选择了oem,必须填写OEM URL。若实际无,建议高级配置跳转至运维审计添加该资产。 |
实例名(MSSQL) |
数据库的实例名,包括默认实例和自定义实例。字符串格式,长度范围是1~30个字符。 |
描述 |
资产的简要说明。 |
【安全应用>运维审计>资产】选择需要删除的资产,点击删除按钮即可删除资产,确认删除资产后,系统会提示操作成功。
图4-12 运维审计删除资产
图4-13 确认删除资产
【安全应用>运维审计>资产】可以按照资产名称进行快速查找,也可按照资产名称、资产IP、资产系别、资产状态进行高级查找。
图4-14 资产快速查询
图4-15 资产高级查询
【安全应用>运维审计>资产】支持修改资产名称、IP、系统编码和描述,支持增删改资产的访问协议和系统帐号。
图4-16 修改资产
【安全应用>运维审计>权限】功能界面如下图所示:
图4-17 运维审计权限功能界面
表4-6 运维审计权限功能说明
区域编号 |
区域页面介绍 |
① |
新建权限,此处的权限对应运维审计中的动态权限 |
② |
删除权限,可通过勾选权限删除一个或多个权限 |
③ |
高级配置,可跳转至运维审计admin用户视图 |
④ |
查找权限,支持按照权限名称快速查找 |
⑤ |
展示运维审计上所有权限列表 |
【安全应用>运维审计>权限】点击新建按钮,填写权限信息如下:
图4-18 运维审计新建权限基本信息填写
表4-7 运维审计权限基本信息填写说明
参数 |
说明 |
名称 |
权限的名称。字符串格式,长度范围是1~30个字符。 |
用户 |
授权用户。源列表中为运维审计当前所有用户,可选中移至目标列表。源列表中最多只能展示运维审计中2000个用户供选择。 |
资产 |
授权资产。源列表中为运维审计当前所有资产,可选中移至目标列表。源列表中最多只能展示运维审计中2000个资产供选择。 |
协议 |
授权协议。指定操作员可运维的资产协议,可勾选协议。 |
帐号 |
授权帐号。指定操作员可运维的资产帐号,此处仅支持手动指定资产帐号,非可选。 |
【安全应用>运维审计>权限】选择需要删除的权限,点击删除按钮即可删除权限,确认删除权限后,系统会提示操作成功。
图4-19 运维审计删除权限
图4-20 确认删除权限
【安全应用>运维审计>权限】可以按照权限名称进行快速查找。
图4-21 权限快速查询
【安全应用>运维审计>报表/历史报表】功能界面如下图所示:
图4-22 运维审计报表功能界面
图4-23 运维审计历史报表功能界面
图4-24 运维审计报表生成和下载
如上图所示,安管平台支持增删改查运维审计的报表,报表生成模板是运维审计内置的,包括用户基本报表、用户变更报表、用户分类统计报表、会话数据报表、资产基本报表、资产信息统计报表、资产变更报表和帐号基本报表。
【安全应用>运维审计>网络配置】功能界面如下图所示:
图4-25 运维审计网络配置功能界面
表4-8 运维审计网络配置功能说明
参数 |
说明 |
IP地址 |
展示运维审计组件eth1的IP地址 |
子网掩码 |
展示运维审计组件eth1的子网掩码前缀长度 |
网关 |
展示运维审计组件eth1的网关地址 |
1. 若高级配置跳转至运维审计组件【admin下拉>系统设置>基本设置>网络配置】查看eth1子网掩码和网关非空,但安管平台运维审计网络配置中只有IP地址,其它为空,请以运维审计组件上的网络配置为准。
2. 此页面可展示,也可点击确定下发网络配置。
3. 推荐在安管平台【安全应用-运维审计-网络配置】下发运维审计eth1的网络
4. 运维审计虚拟机若添加网卡,可同步展示在运维审计组件【admin下拉>系统设置>基本设置>网络配置】处,但若把虚拟机的网卡删除,运维审计组件上不会同步删除该网卡。
在安管平台可对漏洞扫描进行如下基本配置操作:
· Web漏扫:新建任务、删除任务、查找任务、同步漏扫组件上的任务;
· 数据库漏扫:新建任务、删除任务、查找任务、同步漏扫组件上的任务;
· 系统漏扫:新建任务、删除任务、查找任务、同步漏扫组件上的任务;
· 手动同步:【安全应用>漏洞扫描>Web/数据库/系统漏扫】点击手动同步,可实现把漏扫组件上的扫描任务同步到安管平台上展示,同步过来的任务类型为同步任务,在安管平台创建的任务类型为平台任务。
· 网络配置:配置业务IP及网关;
· 其它系统配置的操作可通过【高级配置】按钮跳转至漏洞扫描admin用户界面进行操作。
1、 漏扫组件上创建的任务不支持时刻同步到管理平台,需在管理平台点击手动同步按钮实现同步;
2、【安全应用-漏洞扫描-Web漏扫/数据库漏扫/系统漏扫】,点击高级配置跳转到漏扫admin用户视图;
3、高级配置操作请登录官网www.h3c.com,参考如下路径的文档:首页>产品支持与服务>文档与软件>文档中心>安全>漏洞扫描>H3C SecPath SysScan-V云漏洞扫描系统
【安全应用>漏洞扫描>Web漏扫】功能界面如下图所示:
图4-26 Web漏扫功能界面
表4-9 Web漏扫功能说明
区域编号 |
区域页面介绍 |
① |
新建Web漏扫任务。 |
② |
删除Web漏扫任务,支持选中一个或多个任务进行删除。 |
③ |
高级配置,可跳转至漏洞扫描admin用户视图。 |
④ |
手动同步,从漏扫组件上同步Web漏扫任务展示在管理平台上。 |
⑤ |
查找任务,支持按照任务名称快速查找。 |
⑥ |
展示Web漏扫任务,包括管理平台上创建和从漏扫组件上同步的任务。 |
⑦ |
漏扫任务的操作,平台任务支持再次扫描、查看报表和下载报表,同步任务支持查看报表和下载报表。 |
【安全应用>漏洞扫描>Web漏扫】点击新建按钮,填写任务信息如下:
图4-27 Web漏扫任务填写
表4-10 Web漏扫任务填写说明
基本信息 |
说明 |
任务名称 |
任务的名称。字符串格式,长度范围是1-30个字符,不能为空,不能输入重复任务名称,不能包含 / \ : * ? " < > | & |
扫描地址 |
Web扫描的目标url。例如:http://www.example.com |
执行方式 |
扫描任务的执行方式可选立即执行、定时执行、每日执行、每周执行、每月执行,若执行方式设置为定时或者周期执行,则该任务会出现在【安全应用>漏洞扫描>定时漏扫】中 |
【安全应用>漏洞扫描>Web漏扫】选择需要删除的任务,点击删除按钮即可删除任务,确认删除任务后,系统会提示操作成功。注意:安管平台上仅支持删除任务类型为平台任务的漏扫任务。
图4-28 漏洞扫描删除Web漏扫任务
图4-29 确认删除任务
【安全应用>漏洞扫描>Web漏扫】可以按照任务名称进行快速查找。
图4-30 Web漏扫快速查询
【安全应用>漏洞扫描>数据库漏扫】功能界面如下图所示:
图4-31 数据库漏扫功能界面
表4-11 数据库漏扫功能说明
区域编号 |
区域页面介绍 |
① |
新建数据库漏扫任务。 |
② |
删除数据库漏扫任务,支持选中一个或多个任务进行删除。 |
③ |
高级配置,可跳转至漏洞扫描admin用户视图。 |
④ |
手动同步,从漏扫组件上同步数据库漏扫任务展示在管理平台上。 |
⑤ |
查找任务,支持按照任务名称快速查找。 |
⑥ |
展示数据库漏扫任务,包括管理平台上创建和从漏扫组件上同步的任务。 |
⑦ |
漏扫任务的操作,平台任务支持再次扫描、查看报表和下载报表,同步任务支持查看报表和下载报表。 |
【安全应用>漏洞扫描>数据库漏扫】点击新建按钮,填写任务信息如下:
图4-32 数据库漏扫任务填写
表4-12 数据库漏扫任务填写说明
基本信息 |
说明 |
任务名称 |
任务的名称。字符串格式,长度范围是1-30个字符,不能为空,不能输入重复任务名称,不能包含 / \ : * ? " < > | & |
扫描地址 |
数据库主机地址。IP地址或域名 注意仅支持单个ipv4地址或域名 |
数据库认证 |
可选是否认证扫描,若开启,认证设置支持SMB、SSH、Telnet、Mysql、Oracle、SqlServer、DB2、Informix、Sybase、DM协议的认证,通过认证设置可以提高扫描精确度与深度。 |
执行方式 |
扫描任务的执行方式可选立即执行、定时执行、每日执行、每周执行、每月执行,若执行方式设置为定时或者周期执行,则该任务会出现在【安全应用>漏洞扫描>定时漏扫】中 |
【安全应用>漏洞扫描>数据库漏扫】选择需要删除的任务,点击删除按钮即可删除任务,确认删除任务后,系统会提示操作成功。注意:安管平台上仅支持删除任务类型为平台任务的漏扫任务。
图4-33 漏洞扫描删除数据库漏扫任务
图4-34 确认删除任务
【安全应用>漏洞扫描>Web漏扫】可以按照任务名称进行快速查找。
图4-35 Web漏扫快速查询
【安全应用>漏洞扫描>系统漏扫】功能界面如下图所示:
图4-36 系统漏扫功能界面
表4-13 系统漏扫功能说明
区域编号 |
区域页面介绍 |
① |
新建系统漏扫任务。 |
② |
删除系统漏扫任务,支持选中一个或多个任务进行删除。 |
③ |
高级配置,可跳转至漏洞扫描admin用户视图。 |
④ |
手动同步,从漏扫组件上同步系统漏扫任务展示在管理平台上。 |
⑤ |
查找任务,支持按照任务名称快速查找。 |
⑥ |
展示系统漏扫任务,包括管理平台上创建和从漏扫组件上同步的任务。 |
⑦ |
漏扫任务的操作,平台任务支持再次扫描、查看报表和下载报表,同步任务支持查看报表和下载报表。 |
【安全应用>漏洞扫描>系统漏扫】点击新建按钮,填写任务信息如下:
图4-37 系统漏扫任务填写
表4-14 系统漏扫任务填写说明
基本信息 |
说明 |
任务名称 |
任务的名称。字符串格式,长度范围是1-30个字符,不能为空,不能输入重复任务名称,不能包含 / \ : * ? " < > | & |
扫描地址 |
目标主机地址。例如192.168.1.1或www.example.com 注意仅支持单个ipv4地址或域名 |
系统认证 |
可选是否认证扫描,若开启,认证设置支持SMB、SSH、TELNET三种协议的认证,通过认证设置可以提高扫描精确度与深度。 |
执行方式 |
扫描任务的执行方式可选立即执行、定时执行、每日执行、每周执行、每月执行,若执行方式设置为定时或者周期执行,则该任务会出现在【安全应用>漏洞扫描>定时漏扫】中 |
【安全应用>漏洞扫描>系统漏扫】选择需要删除的任务,点击删除按钮即可删除任务,确认删除任务后,系统会提示操作成功。注意:安管平台上仅支持删除任务类型为平台任务的漏扫任务。
图4-38 漏洞扫描删除系统漏扫任务
图4-39 确认删除任务
【安全应用>漏洞扫描>系统漏扫】可以按照任务名称进行快速查找。
图4-40 系统漏扫快速查询
【安全应用>漏洞扫描>定时漏扫】功能界面如下图所示:
图4-41 定时漏扫功能界面
表4-15 定时漏扫功能说明
区域编号 |
区域页面介绍 |
① |
删除定时漏扫任务,支持选中一个或多个任务进行删除。 |
② |
暂停定时漏扫任务,支持选中一个或多个任务进行暂停。 |
③ |
开启定时漏扫任务,支持选中一个或多个任务进行开启。 |
④ |
查找任务,支持按照任务名称或者扫描地址快速查找。 |
⑤ |
展示定时漏扫任务。 |
⑥ |
查看漏扫任务,可跳转查看已经执行完成的任务。 |
【安全应用>漏洞扫描>网络配置】功能界面如下图所示:
图4-42 漏洞扫描网络配置功能界面
表4-16 漏洞扫描sysscan-v网络配置功能说明
参数 |
说明 |
IP地址 |
展示漏洞扫描组件GE0/1的IP地址 |
子网掩码 |
展示漏洞扫描组件GE0/1的子网掩码前缀长度 |
网关 |
展示漏洞扫描组件GE0/1的网关地址 |
1. 若高级配置跳转至漏洞扫描组件【系统>系统配置>网络设置】查看GE0/1子网掩码和网关非空,但安管平台漏洞扫描网络配置中只有IP地址,其它为空,请以漏洞扫描组件上的网络配置为准。
2. 此页面可展示,也可点击确定下发网络配置。
3. 推荐在安管平台【安全应用-漏洞扫描-网络配置】下发漏洞扫描GE0/1的网络
在安管平台可对漏洞扫描进行如下基本配置操作:
· Web漏扫:新建任务、删除任务、查找任务、同步漏扫组件上的任务;
· 数据库漏扫:新建任务、删除任务、查找任务、同步漏扫组件上的任务;
· 系统漏扫:新建任务、删除任务、查找任务、同步漏扫组件上的任务;
· 手动同步:【安全应用>漏洞扫描>Web/数据库/系统漏扫】点击手动同步,可实现把漏扫组件上的扫描任务同步到安管平台上展示,同步过来的任务类型为同步任务,在安管平台创建的任务类型为平台任务。
· 网络配置:配置业务IP及网关;
· 系统维护:跳转至漏洞扫描(sysscan-ve)的account用户视图。
· 其它系统配置的操作可通过【高级配置】按钮跳转至漏洞扫描admin用户界面进行操作。
1、漏扫组件上创建的任务不支持时刻同步到管理平台,需在管理平台点击手动同步按钮实现同步;
2、【安全应用-漏洞扫描-Web漏扫/数据库漏扫/系统漏扫】,点击高级配置跳转到漏扫admin用户视图;
3、管理平台上漏洞扫描的高级配置和系统维护按钮跳转token验证时间较长,约20s;
4、高级配置操作请登录官网www.h3c.com,参考如下路径的文档:首页>产品支持与服务>文档与软件>文档中心>安全>漏洞扫描>H3C SecPath SysScan-SE[ME][AE][VE]漏洞扫描系统
【安全应用>漏洞扫描>Web漏扫】功能界面如下图所示:
图4-43 Web漏扫功能界面
表4-17 Web漏扫功能说明
区域编号 |
区域页面介绍 |
① |
新建Web漏扫任务。 |
② |
删除Web漏扫任务,支持选中一个或多个任务进行删除。 |
③ |
高级配置,可跳转至漏洞扫描admin用户视图。 |
④ |
手动同步,从漏扫组件上同步Web漏扫任务展示在管理平台上。 |
⑤ |
查找任务,支持按照任务名称快速查找。 |
⑥ |
展示Web漏扫任务,包括管理平台上创建和从漏扫组件上同步的任务。 |
⑦ |
漏扫任务的操作,平台任务支持再次扫描、查看报表和下载报表,同步任务支持查看报表和下载报表。 |
【安全应用>漏洞扫描>Web漏扫】点击新建按钮,填写任务信息如下:
图4-44 Web漏扫任务填写
表4-18 Web漏扫任务填写说明
基本信息 |
说明 |
任务名称 |
任务的名称。字符串格式,长度范围是1-40个字符,不能为空,不能输入重复任务名称,不能包含@#$%^&*{\/:?"|`<>()};字符 |
扫描地址 |
Web扫描的目标url。例如:http://www.example.com |
执行方式 |
扫描任务的执行方式可选立即执行、定时执行、每日执行、每周执行、每月执行,若执行方式设置为定时或者周期执行,则该任务会出现在【安全应用>漏洞扫描>定时漏扫】中 |
【安全应用>漏洞扫描>Web漏扫】选择需要删除的任务,点击删除按钮即可删除任务,确认删除任务后,系统会提示操作成功。注意:安管平台上仅支持删除任务类型为平台任务的漏扫任务。
图4-45 漏洞扫描删除Web漏扫任务
图4-46 确认删除任务
【安全应用>漏洞扫描>Web漏扫】可以按照任务名称进行快速查找。
图4-47 Web漏扫快速查询
【安全应用>漏洞扫描>数据库漏扫】功能界面如下图所示:
图4-48 数据库漏扫功能界面
表4-19 数据库漏扫功能说明
区域编号 |
区域页面介绍 |
① |
新建数据库漏扫任务,仅支持新建即时任务。 |
② |
删除数据库漏扫任务,支持选中一个或多个任务进行删除。 |
③ |
高级配置,可跳转至漏洞扫描admin用户视图。 |
④ |
手动同步,从漏扫组件上同步数据库漏扫任务展示在管理平台上。 |
⑤ |
查找任务,支持按照任务名称快速查找。 |
⑥ |
展示数据库漏扫任务,包括管理平台上创建和从漏扫组件上同步的任务。注意:目前在漏扫组件上创建的数据库扫描任务无法同步到管理平台数据库漏扫类型,同步到系统漏扫类型,且无法查看扫描结果和下载报表。 |
⑦ |
漏扫任务的操作,平台任务支持再次扫描、查看报表和下载报表,同步任务支持查看报表和下载报表。 |
【安全应用>漏洞扫描>数据库漏扫】点击新建按钮,填写任务信息如下:
图4-49 数据库漏扫任务填写
表4-20 数据库漏扫任务填写说明
基本信息 |
说明 |
任务名称 |
任务的名称。字符串格式,长度范围是1-40个字符,不能为空,不能输入重复任务名称,不能包含@#$%^&*{\/:?"|`<>()};字符 |
扫描地址 |
数据库主机地址。IP地址或域名 注意仅支持单个ipv4地址或域名 |
数据库认证 |
可选是否认证扫描,若开启,认证设置支持Postgres、Mysql、Mssql、Oracle、DB2、Informix、Sybase协议的认证,通过认证设置可以提高扫描精确度与深度。 |
执行方式 |
扫描任务的执行方式可选立即执行、定时执行、每日执行、每周执行、每月执行,若执行方式设置为定时或者周期执行,则该任务会出现在【安全应用>漏洞扫描>定时漏扫】中 |
【安全应用>漏洞扫描>数据库漏扫】选择需要删除的任务,点击删除按钮即可删除任务,确认删除任务后,系统会提示操作成功。注意:安管平台上仅支持删除任务类型为平台任务的漏扫任务。
图4-50 漏洞扫描删除数据库漏扫任务
图4-51 确认删除任务
【安全应用>漏洞扫描>Web漏扫】可以按照任务名称进行快速查找。
图4-52 Web漏扫快速查询
【安全应用>漏洞扫描>系统漏扫】功能界面如下图所示:
图4-53 系统漏扫功能界面
表4-21 系统漏扫功能说明
区域编号 |
区域页面介绍 |
① |
新建系统漏扫任务,仅支持新建即时任务。 |
② |
删除系统漏扫任务,支持选中一个或多个任务进行删除。 |
③ |
高级配置,可跳转至漏洞扫描admin用户视图。 |
④ |
手动同步,从漏扫组件上同步系统漏扫任务展示在管理平台上。 |
⑤ |
查找任务,支持按照任务名称快速查找。 |
⑥ |
展示系统漏扫任务,包括管理平台上创建和从漏扫组件上同步的任务。 |
⑦ |
漏扫任务的操作,平台任务支持再次扫描、查看报表和下载报表,同步任务支持查看报表和下载报表。 |
【安全应用>漏洞扫描>系统漏扫】点击新建按钮,填写任务信息如下:
图4-54 系统漏扫任务填写
表4-22 系统漏扫任务填写说明
基本信息 |
说明 |
任务名称 |
任务的名称。字符串格式,长度范围是1-40个字符,不能为空,不能输入重复任务名称,不能包含@#$%^&*{\/:?"|`<>()};字符 |
扫描地址 |
目标主机地址。例如192.168.1.1或www.example.com 注意仅支持单个ipv4地址或域名 |
执行方式 |
扫描任务的执行方式可选立即执行、定时执行、每日执行、每周执行、每月执行,若执行方式设置为定时或者周期执行,则该任务会出现在【安全应用>漏洞扫描>定时漏扫】中 |
【安全应用>漏洞扫描>系统漏扫】选择需要删除的任务,点击删除按钮即可删除任务,确认删除任务后,系统会提示操作成功。注意:安管平台上仅支持删除任务类型为平台任务的漏扫任务。
图4-55 漏洞扫描删除系统漏扫任务
图4-56 确认删除任务
【安全应用>漏洞扫描>系统漏扫】可以按照任务名称进行快速查找。
图4-57 系统漏扫快速查询
【安全应用>漏洞扫描>定时漏扫】功能界面如下图所示:
图4-58 定时漏扫功能界面
表4-23 定时漏扫功能说明
区域编号 |
区域页面介绍 |
① |
删除定时漏扫任务,支持选中一个或多个任务进行删除。 |
② |
暂停定时漏扫任务,支持选中一个或多个任务进行暂停。 |
③ |
开启定时漏扫任务,支持选中一个或多个任务进行开启。 |
④ |
查找任务,支持按照任务名称或者扫描地址快速查找。 |
⑤ |
展示定时漏扫任务。 |
⑥ |
查看漏扫任务,可跳转查看已经执行完成的任务。 |
【安全应用>漏洞扫描>网络配置】功能界面如下图所示:
图4-59 漏洞扫描网络配置功能界面
表4-24 漏洞扫描sysscan-ve网络配置功能说明
参数 |
说明 |
IP地址 |
展示漏洞扫描组件vlan2的IP地址,对应虚拟机接口GE0/1 |
子网前缀长度 |
展示漏洞扫描组件vlan2的子网掩码前缀,对应虚拟机接口GE0/1 |
网关 |
展示漏洞扫描组件0.0.0.0/0的默认路由,若组件上无默认路由,则展示第一条路由 |
【安全应用>漏洞扫描>系统维护】功能界面如下图所示,点击登录可以跳转至漏扫account用户视图,可进行系统授权、网络配置、版本和特征库升级的操作。
图4-60 漏洞扫描系统维护功能
在安管平台可对日志审计进行如下基本配置操作:
· 日志源:添加日志源、删除日志源、修改日志源、查找日志源;
· 页面内嵌:内嵌日志审计首页、事件明细、事件概览、关联规则页面;
· 网络配置:配置业务IP及网关;
· 其它系统配置的操作可通过【高级配置】按钮跳转至日志审计admin用户界面进行操作。
1、【安全应用-日志审计-日志源】,点击高级配置跳转到日志审计组件;
2、安管平台E6302版本首页的告警统计指的是日志审计【配置-告警管理-告警记录】的对应统计个数,事件日志指的是日志审计【事件-事件明细】中的事件,只显示10条,查看更多看查看到全部事件;
3、高级配置操作请登录官网www.h3c.com,参考如下路径的文档:首页>产品支持与服务>文档与软件>文档中心>安全> H3C SecCenter CSAP-SA综合日志审计平台
【安全应用>日志审计>日志源】功能界面如下图所示:
图4-61 日志源功能界面
表4-25 日志源功能说明
区域编号 |
区域页面介绍 |
① |
添加日志源,仅支持添加被动日志源。 |
② |
删除日志源,支持选中一个或多个日志源进行删除。 |
③ |
高级配置,可跳转至日志审计admin用户视图。 |
④ |
查找日志源,支持按照设备IP快速查找,也支持按照设备IP、设备类型进行高级查询 |
⑤ |
展示日志审计上所有的被动日志源。 |
【安全应用>日志审计>日志源】点击添加按钮,填写任务信息如下:
图4-62 日志源基本信息填写
图4-63 日志类型选择
表4-26 日志源基本信息填写说明
基本信息 |
说明 |
设备名称 |
日志源名称,长度为1~32个字符,只能包含中文、字母、数字和“_”。 |
设备IP |
Web扫描的目标url。例如:http://www.example.com |
设备类型 |
日志源设备类型。 |
生产厂商 |
日志源设备的生产厂商。 |
设备型号 |
日志源设备型号。 |
采集器名称 |
选择与日志源关联的采集器,表示该采集器负责接收从此日志源上报的日志数据。 |
采集器IP |
与日志源关联的采集器的IP地址 |
新增端口信息 |
点击<新增>按钮配置日志源上报的日志的相关信息。 |
日志类型 |
需要采集日志类型,可选AAA、NetStream、会话管理、sflow、Syslog。 |
端口 |
采集器使用该端口接收日志源上报的日志数据。 |
字符集 |
日志的编码方式。 |
对于同一日志源通过多种协议上报的日志数据,采集器必须使用不同端口接收。
添加被动采集日志源时,如设备类型、生产厂商、设备型号下拉菜单中均无选项,则表示系统暂不支持适配该日志源,可联系H3C技术人员进行定制化适配。
处于离线状态的采集器不能进行关联。
当日志源上报的日志为二进制格式(如Netstream、AAA服务上报的日志)时,对应的字符集必须选择bin,否则会导致解析失败。
设备型号、类型、生产厂商均指产生日志的设备的信息,配置错误会导致日志解析结果不准确。
【安全应用>日志审计>日志源】选择需要删除的日志源,点击删除按钮即可删除日志源,确认删除日志源后,系统会提示操作成功。
图4-64 日志审计删除日志源
图4-65 确认删除任务
【安全应用>日志审计>日志源】可以按照设备IP进行快速查找,或者按照设备IP、设备类型进行高级查询。
图4-66 日志源快速查询
图4-67 日志源高级查询
安管平台内嵌日志审计页面包括首页、事件明细、关联规则、事件概览页,这些页面均是日志审计的原始页面,展示如下:
图4-68 日志审计首页内嵌
图4-69 日志审计事件明细内嵌
图4-70 日志审计事件概览内嵌
图4-71 日志审计关联规则内嵌
支持每日凌晨生成日志审计的日志统计报表,支持下载word格式报表。
图4-72 日志审计报表
【安全应用>日志审计>网络配置】功能界面如下图所示:
图4-73 日志审计网络配置功能界面
表4-27 日志审计网络配置功能说明
参数 |
说明 |
IP地址 |
展示日志审计组件eth1的IP地址 |
子网掩码 |
展示日志审计组件eth1的子网掩码前缀长度 |
网关 |
展示日志审计组件eth1的网关地址 |
此页面可展示,也可点击确定下发网络配置。
在安管平台可对数据库审计进行如下基本配置操作:
· 业务系统:添加、删除、修改业务系统;
· 网络配置:配置业务IP及网关;
· 其它系统配置的操作可通过【高级配置】按钮跳转至数据库审计sec用户界面,或者通过【系统维护】按钮跳转至数据库审计admin用户界面进行操作。
1、【安全应用-数据库审计-业务系统配置】,点击高级配置跳转到数据库审计组件sec用户视图,可进行业务系统的配置和审计会话的查看;点击系统维护跳转到数据库审计组件admin用户视图,可进行授权、网络配置、系统升级的等操作。
2、通过安管平台跳转至数据库审计,无法在同一个浏览器同时跳转成功【系统维护】和【高级配置】,建议使用两个浏览器进行跳转或者使用无痕模式跳转数据库审计的另一个用户。
3、数据库审计web显示网卡的顺序是按照MAC地址进行排序,新添加的网卡MAC若比已存在的网卡MAC小,则系统重启后会排序在老网卡前,且会直接使用老网卡的IP地址的配置,因此请不要根据网卡IP来区分网卡。
4、高级配置操作请登录官网www.h3c.com,参考如下路径的文档:首页>产品支持与服务>文档与软件>文档中心>安全>数据安全>H3C SecPath D2000-V系列数据库审计系统
系统可将多个数据库捆绑定义为一个业务系统,方便数据的统一展示,管理员在此设置需要监听的业务系统数据库和相关的行为。目前系统支持Oracle、Sybase、DB2、Mysql、SQL server、Informix等主流数据库,达梦、金仓等国产数据库,Postgresql、Cache等专用数据库。
【安全应用>数据库审计>业务系统配置】功能界面如下图所示:
图4-74 业务系统配置界面
表4-28 业务系统配置功能说明
区域编号 |
区域页面介绍 |
① |
添加业务系统 |
② |
删除业务系统,支持选中一个或多个业务系统进行删除。 |
③ |
系统维护,可跳转至数据库审计admin用户视图。 |
④ |
高级配置,可跳转至数据库审计sec用户视图。 |
⑤ |
展示数据库审计上所有的业务系统。 |
【安全应用>数据库审计>业务系统配置】点击添加按钮,填写业务系统基本信息如下:
图4-75 业务系统基本信息填写
图4-76 数据库配置
表4-29 业务系统基本信息填写说明
基本信息 |
说明 |
业务系统名称 |
业务系统名称,长度为1~32个字符,支持输入数字、字母、下划线、英文.和中文。 |
状态 |
可选启用或禁用 |
字符集 |
当编码策略设置为自动识别时,系统自动识别编码类型。 |
数据库 |
目前系统支持Oracle、Sybase、DB2、Mysql、SQL server、Informix等主流数据库,达梦、金仓等国产数据库,Postgresql、Cache等专用数据库。 |
数据库配置 |
配置数据库所在主机的IP地址及数据库端口号,可同时配置多个IP。 |
在列表中选择某业务系统后点击<修改>按钮便可以编辑、修改配置信息,如下图所示:
图4-77 修改业务系统
【安全应用>数据库审计>业务系统配置】选择需要删除的业务系统,点击删除按钮即可删除业务系统,确认删除业务系统后,系统会提示操作成功。
图4-78 数据库审计删除业务系统
图4-79 确认删除任务
安管平台上支持查看、下载数据库审计的日报-事件日报表,周报-事件周报表,月报-事件月报表,周分析报告-特权帐号与异常时段分析报告,周分析报告-业务流量分析报告。
图4-80 数据库审计报表功能
【安全应用>数据库审计>网络配置】功能界面如下图所示:
图4-81 数据库审计网络配置功能界面
表4-30 数据库审计网络配置功能说明
参数 |
说明 |
IP地址 |
展示数据库审计组件GE0/0的IP地址 |
子网掩码 |
展示数据库审计组件GE0/0的子网掩码前缀长度 |
网关 |
展示数据库审计组件GE0/0的网关地址 |
此页面可展示,也可点击确定下发网络配置。
在安管平台可对终端杀毒进行如下基本配置操作:
· 终端详情:展示终端列表;
· 页面内嵌:内嵌终端杀毒首页、补丁报表统计、病毒报表统计页面;
· 客户端下载:支持直接下载windows、Linux客户端;
· 网络配置:配置业务IP及网关;
· 其它系统配置的操作可通过【高级配置】按钮跳转至终端杀毒控制中心admin用户界面进行操作。
1、【安全应用-终端杀毒-终端详情】,点击高级配置跳转到终端杀毒组件
2、winserver客户端是设备必配的授权,若需要使用windows和linux终端,需另外申请授权。
3、高级配置操作请登录官网www.h3c.com,参考如下路径的文档:首页>产品支持与服务>文档与软件>文档中心>安全>H3C SecCenter CSAP-ESM-AV终端安全管理系统(杀毒)
【安全应用>终端杀毒>终端详情】显示客户端的名称、IP地址、病毒库日期、操作系统、软件版本,如下图:
图4-82 终端详情
安管平台内嵌终端杀毒页面包括首页、补丁报表统计、病毒报表统计,这些页面均是终端杀毒的原始页面,展示如下:
图4-83 终端杀毒首页内嵌
图4-84 终端杀毒补丁报表统计内嵌
图4-85 终端杀毒病毒报表统计内嵌
安管平台上支持直接下载终端杀毒windows、Linux客户端。
图4-86 终端杀毒客户端下载
【安全应用>终端杀毒>网络配置】功能界面如下图所示:
图4-87 终端杀毒网络配置功能界面
表4-31 终端杀毒网络配置功能说明
参数 |
说明 |
IP地址 |
展示终端杀毒组件eth1的IP地址 |
子网掩码 |
展示终端杀毒组件eth1的子网掩码前缀长度 |
网关 |
展示终端杀毒组件eth1的网关地址 |
此页面可展示,也可点击确定下发网络配置。
终端杀毒网络配置必须配置网关参数,否则无法生效。
在安管平台可对终端安全进行如下基本配置操作:
· 终端详情:展示终端列表;
· 页面内嵌:内嵌终端安全首页、补丁报表统计、病毒报表统计页面;
· 客户端下载:支持直接下载windows、Linux、Linux_Arm客户端;
· 网络配置:配置业务IP及网关;
· 其它系统配置的操作可通过【高级配置】按钮跳转至终端安全控制中心system用户界面进行操作。
1、【安全应用-终端安全-终端详情】,点击高级配置跳转到终端安全组件
2、winserver客户端是设备必配的授权,若需要使用windows和linux终端,需另外申请授权。
3、高级配置操作请登录官网www.h3c.com,参考如下路径的文档:首页>产品支持与服务>文档与软件>文档中心>安全>H3C SecCenter CSAP-ESM-AV终端安全管理系统(杀毒)
【安全应用>终端安全>终端详情】显示客户端的名称、IP地址、上线时间、操作系统、软件版本,如下图:
图4-88 终端详情
安管平台内嵌终端安全页面包括首页、补丁报表统计、病毒报表统计,这些页面均是终端安全的原始页面,展示如下:
图4-89 终端安全首页内嵌
图4-90 终端安全补丁报表统计内嵌
图4-91 终端安全病毒报表统计内嵌
安管平台上支持直接下载终端安全windows、Linux客户端、Linux_Arm客户端。
图4-92 终端杀毒客户端下载
【安全应用>终端安全>网络配置】功能界面如下图所示:
图4-93 终端安全网络配置功能界面
表4-32 终端杀毒网络配置功能说明
参数 |
说明 |
IP地址 |
展示终端安全组件eth1的IP地址 |
子网前缀长度 |
展示终端安全组件eth1的子网前缀长度 |
网关 |
展示终端安全组件eth1的网关地址 |
此页面可展示,也可点击确定下发网络配置。
终端安全网络配置必须配置网关参数,否则无法生效。
在安管平台可对FW&IPS管理(SMP)进行如下基本配置操作:
· 页面内嵌:设备组管理、设备管理、安全策略、全局资源、特征库管理、配置文件、配置下发;
· 网络配置:配置业务IP及网关
1、SMP组件暂无单点登录功能,安管平台内嵌功能已足够正常使用,无需跳转。
2、高级配置操作请登录官网www.h3c.com,参考如下路径的文档:首页>产品支持与服务>文档与软件>文档中心>安全>H3C SecCenter SMP安全业务管理平台
【安全应用>FW&IPS管理>设备组管理】可以对设备组进行增删改查操作,设备组是用来给管理设备进行分组,如下图:
图4-94 设备组管理
平台对资产进行监控管理,建议使用模板参数配置管理设备的参数,模板参数与设备的实际配置保持一致。
在【FW&IPS >设备管理】界面,点击右上角<模板参数管理>按钮,进入模板参数管理界面。根据需要配置SNMP模板、SOAP模板。点击<新增> 按钮,新增模板。
新增snmp模板,如图所示:
图4-95 新增snmp模板
新增soap模板,如图所示:
图4-96 新增soap模板
在【FW&IPS管理>设备管理】界面,点击<新增>按钮,进入新增资产信息界面,根据所需添加设备实际情况进行配置。
说明:添加资产,IPS和防火墙获取cpu、内存信息需要配置snmp参数;进行特征库升级、回滚、策略下发以及从设备上读取策略相关信息,均需要配置soap参数。
(认证模板建议从已有的参数模板中选择,减少配置量)
新增防火墙设备为资产,如图所示:
图4-97 新增防火墙设备
点击认证模板-配置snmp参数-设置,选择手工编辑或者从已有模板选取。
图4-98 新增资产配置snmp参数
点击认证模板-配置soap参数-设置,选择手工编辑或者从已有模板选取。
图4-99 新增资产配置soap参数
(1) 在【FW&IPS管理>设备管理】界面,查看cpu利用率和内存利用率
图4-100 查看资产cpu 、内存利用率页面
(2) 点击详情按钮,查看系统流量趋势图、cpu/内存趋势图、系统新建和并发趋势图(V5系列设备没有会话连接数)。
图4-101 查看资产系统信息页面
(1) 设备配置snmp和netconf over soap,可获取到设备上已配置的安全域、IP地址组、IPS策略、AV策略等;
(2) 添加区域;
(3) 添加设备为资产绑定区域,配置snmp参数和soap参数;
(4) 在【运维管理 > 安全业务管理>全局资源】页面,配置IP地址组、服务、时间段、安全域、入侵防御策略、防病毒策略(全局资源可根据需要配置)。
图4-102 全局资源页面
(1) 在【FW&IPS管理>安全策略】页面,点击<新增>按钮,新建安全策略。
图4-103 新增设备策略页面
(2) 在【FW&IPS管理>安全策略>策略下发任务】页面,点击<新增>按钮,新增策略下发任务。
图4-104 新增策略下发任务
(3) 新增下发任务后自动跳转到策略详情页面,此页面可以<选择新增>已创建过的安全策略或直接<新增>策略下发,如图:
(4) 在已有策略列表的情况下,可根据业务需求对安全策略进行修改、移动、删除、插入、冗余分析等操作,无需操作点击<返回>即可回到策略下发任务列表页面:
(5) 在【FW&IPS管理>策略下发任务】页面,查看已下发的策略,点击<总策略数>可查看策略详情,点击<关联设备数>可查看下发的设备,点击<下发结果>可查看每个策略下发的详情。
图4-105 查看已下发的策略
特征库管理包含特征库文件、特征库推送、特征库升级、特征库回滚等功能。
在【运维管理 > 特征库管理>特征库文件】页面,点击<文件上传>按钮,选择需要导入的特征库文件,点击<上传>即可。
图4-106 特征库文件上传页面
(1) 设备配置netconf over soap
(2) 添加区域
(3) 添加资产绑定区域,配置soap参数
(4) 在【运维管理 > 特征库管理>设备特征库】页面,选择设备,点击<升级>按钮,勾选特征库文件,进行升级
图4-107 特征库升级页面
说明:打开官网自动下载开关,将自动连接官网获取最新特征库同步到安全业务管理平台,打开自动升级开关,则会自动同步最新特征库到设备,自动升级开关默认关闭。
(5) 升级成功后,选择设备,点击同步,看到当前特征库版本信息更新。
特征库回滚操作可以将设备的特征库版本回退到上一版本或者出厂版本。
(1) 在【FW&IPS管理>特征库管理>设备特征库】页面,选择设备,点击<回滚>按钮,选择回滚至上一版本或出厂版本 (回滚不支持V5系列设备)
图4-108 特征库回滚页面
(2) 回滚成功后,选择设备,点击同步,看到当前特征库版本信息已经更新。
配置下发页面可以配置不同的命令脚本生成不同的部署模板,并支持对设备进行配置模板下发和回滚操作。
在【FW&IPS管理>配置下发】页面,点击部署模板tab页,点击<新增>按钮,配置部署模板。
在【运维管理 > 配置管理>配置下发】页面,点击部署任务tab页,点击<新增>按钮,配置部署任务(选择部署模板、选择需要下发的设备以及任务基本信息)。
在【FW&IPS管理>配置文件】页面,查看设备配置文件列表,可通过同步按钮将设备的配置文件同步至平台,通过点击详情按钮,查看设备的配置文件详情。
【安全应用>FW&IPS管理>网络配置】功能界面如下图所示:
图4-109 FW&IPS管理网络配置功能界面
表4-33 FW&IPS管理网络配置功能说明
参数 |
说明 |
IP地址 |
展示FW&IPS管理组件eth1的IP地址 |
子网掩码 |
展示FW&IPS管理组件eth1的子网掩码前缀长度 |
网关 |
展示FW&IPS管理组件eth1的网关地址 |
此页面可展示,也可点击确定下发网络配置。
SMP网络配置必须配置网关参数,否则无法生效。
在安管平台可对vACG进行如下基本配置操作:
· 系统登录:单点登录跳转至vACG的admin用户视图进行配置操作;
1、高级配置操作请登录官网www.h3c.com,参考如下路径的文档:首页>产品支持与服务>文档与软件>文档中心>安全> H3C SecPath ACG1000-V系列应用控制网关
【安全应用>上网行为审计>系统登录】功能界面如下图所示,点击登录可以跳转至VACG admin用户视图,可进行系统管理的操作。
图4-110 上网行为审计系统登录功能
在安管平台可对等保合规进行如下基本配置操作:
· 系统登录:点击【高级配置】按钮可跳转至等保合规业务角色admin视图,进行系统各业务模块操作分为执行层和管理层,执行层主要针对等保操作,管理层主要进行等保工作查看。点击【系统维护】按钮可跳转至等保合规系统管理员sadmin视图,用于系统环境的修改,包括指标的管理、软硬件的名称和类型的添加、系统参数的修改和资产的查询、页面指引的配置
· 网络配置:配置等保合规业务IP及网关;
1、通过安管平台跳转至等保合规,无法在同一个浏览器同时跳转成功【系统维护】和【高级配置】,建议使用两个浏览器进行跳转或者使用无痕模式跳转等保合规的另一个用户。
2、系统默认的用户名及角色说明如下:
单位管理员 padmin,用于单位、部门、三方公司、单位人员的创建。
系统管理员 sadmin,用于系统环境的修改,包括指标的管理、软硬件的名称和类型的添加、系统参数的修改和资产的查询、页面指引的配置
审计管理员 aadmin,用于系统的登录日志和操作日志的查询。
业务角色admin ,进行系统各业务模块操作分为执行层和管理层,执行层主要针对等保操作,管理层主要进行等保工作查看。
3、高级配置操作请登录官网www.h3c.com,参考如下路径的文档:首页>产品支持与服务>文档与软件>文档中心>安全> H3C SecCenter X6000系列安管一体机
【安全应用>等保合规>系统登录】功能界面如下图所示,点击高级配置可以跳转至等保合规 admin用户视图,可进行业务配置;点击系统维护可以跳转至等保合规sadmin用户视图,可进行系统配置,包括修改IP和版本升级。
图4-111 等保合规系统登录功能
【安全应用>等保合规>网络配置】功能界面如下图所示:
图4-112 等保合规网络配置功能界面
表4-34 等保合规网络配置功能说明
参数 |
说明 |
IP地址 |
展示等保合规组件的IP地址 |
子网掩码 |
展示等保合规组件的子网 |
网关 |
展示等保合规组件网关地址 |
此页面可展示,也可点击确定下发网络配置。
在安管平台可对数据备份组件进行如下基本配置操作:
· 系统登录:点击登录可以跳转至数据备份mngt用户视图界面。
【安全应用>数据备份>系统登录】功能界面如下图所示,点击登录可以跳转至数据备份mngt用户视图界面。
图4-113 数据备份系统登录功能
数据备份首次使用单点登录功能,由于需要初始化耗时较长,约30s。
数据备份单点登录会创建用户mngt,注意请不要重复创建此用户名。mngt用户默认密码为Admin@1234
在安管平台可对Web应用防火墙(vWAF)进行如下基本配置操作:
· 系统登录:点击登录按钮跳转至Web应用防火墙的admin用户视图;
· 网络配置:配置IP及网关
· 报表:配置下发定时报表任务,支持支持下发报表名称、报表类型、导出周期参数,报表模块、服务器、是否启用参数暂不支持选择。用户可单点登录至waf进行配置。
1、管理平台上waf的报表功能目前仅支持导出WAF组件上的定时报表,暂不支持删除。用户可单点登录至waf删除报表。
2、管理平台仅支持waf的报表任务下发(即用户若在waf上配置定时报表任务后,管理平台无法同步查看到该任务详情),且仅支持下发报表名称、报表类型、导出周期参数,报表模块、服务器、是否启用参数暂不支持选择。用户可单点登录至waf进行配置。
3、高级配置操作请登录官网www.h3c.com,参考如下路径的文档:首页>产品支持与服务>文档与软件>文档中心>安全> WEB应用安全>H3C SecPath W2000-V50[VX00]-G2 云Web应用防火墙
【安全应用>Web应用防火墙>系统登录】功能界面如下图所示,点击登录可以跳转至vWAF的admin用户视图,可对WAF进行网络配置、策略部署的操作等。
图4-114 Web应用防火墙系统登录功能
管理平台上waf的单点登录和web应用防火墙大屏跳转目前仅支持同一时间跳转其中一个页面。
【安全应用>Web应用防火墙>网络配置】功能界面如下图所示:
图4-115 Web应用防火墙网络配置功能界面
表4-35 Web应用防火墙网络配置功能说明
参数 |
说明 |
IP地址 |
展示Web应用防火墙组件br2的IP地址,对应虚拟机接口port1 |
子网掩码 |
展示Web应用防火墙组件br2的子网掩码,对应虚拟机接口port1 |
网关 |
展示Web应用防火墙组件0.0.0.0/0的默认路由,若组件上无默认路由,则展示第一条路由 |
此页面可展示,也可点击确定下发网络配置。
【安全应用>Web应用防火墙>报表】功能界面如下图所示:
图4-116 Web应用防火墙报表功能界面
1、管理平台上waf的报表功能目前仅支持导出WAF组件上的定时报表,暂不支持删除。用户可单点登录至waf删除报表。
2、管理平台仅支持waf的报表任务下发,且仅支持下发报表名称、报表类型、导出周期参数,报表模块、服务器、是否启用参数暂不支持选择。用户可单点登录至waf进行配置。
· 展示组件的在线状态,在线或者离线。
· 展示组件的CPU、内存、磁盘使用率情况,包括运维审计、漏洞扫描、日志审计、数据库审计、终端杀毒。注意:由于采集数据的频率不同,此处数据可作为参考值,具体需跳转至各组件上查看实时数据。
图5-1 数据库审计应用资源监控
可通过此入口登录CAS进行虚拟机的网络配置、资源管理等操作。
图5-2 平台登录
安管平台默认设置是通过各组件默认的用户密码进行跳转登录,若组件的密码被修改,会导致安管平台无法正常跳转至各组件,因此修改密码后需要在【应用资源>平台管理>应用用户】处同步修改该组件的密码。
设备默认的用户名密码参考章节1.5 。
图5-3 同步修改管理平台上组件密码
用户管理支持新增、修改、删除用户,功能界面如下图所示:
图6-1 用户管理功能界面
表6-1 用户管理功能说明
区域 |
参数说明 |
① |
新建用户。新建安管平台的用户。 |
② |
删除用户。可选中一个或多个用户删除。 |
③ |
修改用户。修改用户的密码、访问控制的IP地址、登录时间段、用户描述。 |
④ |
展示用户。展示安管平台上所有用户。 |
【系统管理>用户管理>平台用户】点击新建按钮,填写用户基本信息如下:
图6-2 平台用户基本信息填写
表6-2 平台用户基本信息填写说明
基本信息 |
说明 |
用户姓名 |
用户帐号,用于登录安管平台。 |
密码 |
帐号密码,用于登录安管平台。 |
IP地址白名单 |
支持输入精确IP,或者是IP范围。如:192.168.1-10.1-255。0-255.0-255.0-255.0-255表示不限制登录IP。默认是不限制IP地址。 |
登录时间 |
支持控制用户的登录时间。 |
描述 |
支持填写用户描述。 |
【系统管理>用户管理>平台用户】在列表中选择某用户后点击<修改>按钮便可以修改用户信息,如下图所示:
图6-3 修改用户
【系统管理>用户管理>平台用户】选择需要删除的用户,点击删除按钮即可删除用户,确认删除用户后,系统会提示操作成功。
图6-4 删除平台用户
图6-5 确认删除用户
支持展示用户操作日志的详细信息,并且可以快速查找和高级查询,功能界面如下图所示:
图6-6 日志功能界面
表6-3 日志功能说明
区域 |
参数说明 |
① |
查找操作日志。支持按照用户名快速查找日志,也可按照用户名、IP地址、业务名称、操作描述、操作结果、操作时间进行组合高级查询。 |
② |
展示用户操作日志详情。包括用户名、IP地址、业务名称、操作描述、操作结果、操作时间。 |
安管平台上支持license过期或者即将过期、硬件磁盘利用率超过80%、应用虚拟机组件故障的声音告警,若有告警登录时会有弹框及声音提示,具体的告警信息可以跳转到【系统管理>系统日志>告警】查看详细内容。
图6-7 系统告警功能
事件日志来源于日志审计组件【事件>事件明细】,支持按照告警级别、告警时间进行高级查询。
图6-8 事件日志
图6-9 事件日志高级查询
支持在web界面升级安管平台版本,升级完成后可查看升级日志,具体见下图:
图6-10 系统升级
支持在web界面修改时间和显示时间的格式,如下图所示:
图6-11 日期与时间显示
图6-12 修改日期与时间
注意:修改系统时间需要重启系统,提示如下图所示:
图6-13 确认修改时间
注意,系统版本升级至E6302P01及以上版本之后,建议管理平台通过castools同步从CAS上获取时间,这样每次系统重启后时间不会发生变更,因此将web界面上的修改系统时间功能裁剪。
安管平台支持配置SNMPv2和v3服务。
v2版本支持配置连接客户端的白名单ip,若为空则表示不限制,支持配置读团体字。
v3版本支持认证算法、用户名和认证密码。具体的功能界面如下:
图6-14 SNMPv2配置
图6-15 SNMPv3配置
Syslog配置支持新增、修改、删除syslog服务器,功能界面如下图所示:
图6-16 Syslog配置功能界面
表6-4 Syslog配置功能说明
区域 |
参数说明 |
① |
添加syslog服务器。添加syslog服务器,将安管平台的操作日志发送至syslog服务器。 |
② |
删除syslog服务器。 |
③ |
修改syslog服务器。 |
④ |
展示所有syslog服务器。 |
【系统管理>系统日志>Syslog配置】点击添加按钮,填写syslog基本信息如下:
图6-17 syslog基本信息填写
表6-5 syslog服务器基本信息填写说明
基本信息 |
说明 |
syslog服务器 |
目标syslog服务器的IP地址。 |
端口 |
目标syslog服务器端口号。 |
【系统管理>系统日志>Syslog配置】在列表中选择某服务器后点击<修改>按钮便可以修改信息,如下图所示:
图6-18 修改syslog服务器
【系统管理>系统日志>Syslog配置】选择需要删除的syslog服务器,点击删除按钮即可删除,确认删除后,系统会提示操作成功。
图6-19 删除syslog服务器
图6-20 确认删除
展示云计算管理平台的授权状态、版本及可管理的CPU数量,支持下载设备信息文件和上传授权文件。
图6-21 平台授权
安管平台统一纳管各组件的授权,显示授权状态、授权时间,支持下载设备信息文件、显示软件序列号和上传授权文件。其中漏扫授权(SysScan-V)到期时间为特征库升级到期时间,非功能到期。
图6-22 确认修改时间
支持修改安管平台的网络IP地址、子网掩码、网关,展示和新建路由。该网口默认与设备的GE0口关联。注意:若用户配置了网关以外的其它路由,修改IP地址后此路由会丢失,需要重新添加。
图6-23 平台网络配置
安管平台上支持虚拟网络管理,包括虚拟交换机管理、物理网卡管理、虚拟机管理。
虚拟交换机管理,支持在安管平台上新建、修改、删除CAS上的虚拟交换机。
图6-24 虚拟交换机管理
物理网卡管理,支持在安管平台上查看当前的物理网卡的连接状态、MAC地址和描述。
注意:若系统存在PCI网卡,其实际是连接状态,在此处也是连接状态,而在CAS web界面展示为未知的状态,请以实际的连接状态为准。
图6-25 物理网卡管理
虚拟机管理,支持在安管平台上查看当前虚拟机的状态,支持修改其关联的虚拟交换机。
图6-26 虚拟机管理
E6302P01及以上版本将E6302版本的【应用资源>平台管理>平台登录】迁移到【系统管理>系统维护>平台维护】,功能与上文相同。
可通过此入口登录CAS进行虚拟机的网络配置、资源管理等操作。
图6-27 平台登录
E6302P01及以上版本将E6302版本的【应用资源>平台管理>应用用户】迁移到【系统管理>系统维护>通信信息维护】,功能与上文相同。
安管平台默认设置是通过各组件默认的用户密码进行跳转登录,若组件的密码被修改,会导致安管平台无法正常跳转至各组件,因此修改密码后需要在【应用资源>平台管理>应用用户】处同步修改该组件的密码。
设备默认的用户名密码参考章节1.5 。
图6-28 同步修改管理平台上组件密码
另外在安管平台E6305P02版本后,兼容适配了漏洞扫描(SysScan-V)和漏洞扫描(SysScan-VE)、ESM(AV)-E6901系列和ESM(AV)-E6902及以上系列,并且补充了漏洞扫描和终端杀毒切换版本的功能按钮。如下图所示:
图6-29 SysScan-V切换至SysScan-VE
图6-30 SysScan-VE切换至SysScan-V
注意事项:
1. 出厂预装虚拟机leakscan_server对应漏洞扫描(SysScan-V),leakscanve_server对应漏洞扫描(SysScan-VE)
2. 切换漏洞扫描需保证目标切换服务为开启状态,且其web服务可访问。例如:安管平台上当前漏扫版本为SysScan-V,需要切换至SysScan-VE。则需要确认SysScan-V服务已被关闭,SysScan-VE已开启,且web服务可访问。
3. 管理平台使用预装漏扫默认的帐号密码进行切换,若用户已修改其默认密码,切换时需要手动输入修改后的密码进行切换。预装默认密码如下:
SysScan-V:admin/X6000@SECscanad
SysScan-VE:admin/X6000@SECscanad,account/X6000@SECscanac
图6-31 ESM(AV)-E6901系列切换至ESM(AV)-E6902及以上系列
图6-32 ESM(AV)-E6901系列切换至ESM(AV)-E6902及以上系列
注意事项:
1. 出厂预装虚拟机endpoint_sec_server对应ESM(AV)-E6901系列,esm_server对应ESM(AV)-E6902及以上系列
2. 切换终端安全/杀毒需保证目标切换服务为开启状态,且其web服务可访问。例如:安管平台上当前ESM(AV)为E6901系列版本,需要切换至ESM(AV)-E6902及以上系列。则需要确认其E6901系列版本服务已被关闭,E6902及以上系列版本服务已开启,且web服务可访问。
3. 管理平台使用预装终端安全默认的帐号密码进行切换,若用户已修改其默认密码,切换时需要手动输入修改后的密码进行切换。预装默认密码如下:
ESM(AV)-E6901系列:admin/X6000@SECesm
ESM(AV)-E6902及以上系列:system/X6000@SECesmsy
4. 版本升级后,页面统一展示名称和记录日志均为终端安全字样,不会根据用户导入的授权进行区分是终端安全还是终端杀毒。
· X6010 E6302版本中包含运维审计、日志审计、漏洞扫描三个功能组件,三个组件授权为bundle购买,即硬件与授权捆绑销售。
· X6010 E6303/E6305P03或者X6010-S E6305P01版本中包含运维审计、日志审计、漏洞扫描、数据库审计、终端杀毒五个功能组件,用户可根据自己的需求从5个组件中选择3个购买授权,开启虚拟机后导入使用。
· X6010-T E6304P01版本中包含运维审计、日志审计两个功能组件,数据库审计授权可选。
· X6020 E6302包含运维审计、日志审计、漏洞扫描、数据库审计、终端杀毒五个功能组件,五个组件授权为bundle购买,即硬件与授权捆绑销售。
· X6020 E6305P03版本中包含运维审计、日志审计、漏洞扫描、数据库审计、终端杀毒、VACG和VWAF七个功能组件,用户可根据自己的需求从7个组件中选择5个购买授权,开启虚拟机后导入使用。
· X6030 E6305P01/E6305P03版本中包含运维审计、日志审计、漏洞扫描、数据库审计、终端安全、数据备份、上网行为审计(ACG)、等保合规、安全业务管理平台(SMP)和web应用防火墙(WAF)十个功能组件,用户可根据自己的需求从10个组件中选择购买授权,开启虚拟机后导入使用。
· 由于本文档兼容X6000 E6302/E6303/E6304/E6305版本,手册中各组件界面可能与产品实际情况稍有差异,但是功能全部都是可用。
· 安管一体机各组件出厂时,因为预配置了内容,会有部分操作日志属于正常现象,不影响功能使用。
· CAS/UIS系统默认要求预留20G的空闲内存。
· 安管一体机GE0口存在9.9.9.1(管理平台)和9.9.9.2(CAS/UIS)地址且不支持修改,因此两台安管一体机的GE0不可接入到同一个vlan中,否则会地址冲突,出现网络混乱的现象。
· 安管一体机中的漏洞扫描组件有两种,分别为sysscan-v和sysscan-ve,若漏扫版本是E6903,则对应为sysscan-v;若漏扫版本是E6203,则对应为sysscan-ve。