- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecCloud OMP安全云管理平台
用户FAQ
Copyright © 2024新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
H3C SecCloud云安全管理平台独立资源池版用户FAQ
目前独立资源池支持两种模式:云安全管理平台和超融合平台两种,主要参看现场授权申请列表,
|
Item码 |
产品代码 |
描述 |
部署模式 |
|
3130A67B |
LIS-UISOMP-STD |
H3C UIS 云安全管理平台企业版授权函(不限制安全NFV节点数量授权) |
UIS超融合 |
|
3130A4T0 |
LIS-SecCloud OMP-Platform |
H3C SecCloud OMP安全云管理平台企业版基础软件授权函(含20个服务节点授权) |
独立资源池 |
建议开局使用推荐的配套版本,不在配套范围内的请咨询对应服务的接口人;
云安全管理平台默认赠送20临时节点180天有效期;
若需要连接授权服务器,进行平台授权,需要导入正式/临时授权文件;
备注:一旦连接授权服务器,临时授权立即失效;
|
Item码 |
产品代码 |
描述 |
部署模式 |
|
3130A67B(必须) |
LIS-UISOMP-STD |
H3C UIS 云安全管理平台企业版授权函(不限制安全NFV节点数量授权) |
UIS超融合 |
|
3130A4T0(必须) |
LIS-SecCloud OMP-Platform |
H3C SecCloud OMP安全云管理平台企业版基础软件授权函(含20个服务节点授权) |
独立资源池 |
|
3130A4HJ(可以是别的节点数授权) |
LIS-SecCloud OMP-SN-50 |
H3C SecCloud OMP安全云管理平台企业版50个服务节点授权函 |
运维审计、数据库审计、日志审计,Web应用防护、防火墙、负载均衡、V漏扫、网页防篡改八种V服务。
支持商业化版本,x86服务器(华三)、CPU:16核,内存:32G,磁盘:500G支持国产化部署,海光x86服务器、CPU:16核,内存:32G,磁盘:500G;
浏览器建议使用主流版本Google和火狐, Chrome54、Firefox45及以上版本的浏览器
分辨率推荐:1600*900;
目前整个服务都在推行FC通用授权;
E1205及以后的版本,所有服务均支持cloud授权;
创建一个V服务,需要消耗一个服务节点数,同时会消耗对应的通用授权点数;
具体点数转换关系如下:目前设备不支持综合性防火墙服务;
|
安全云管理平台企业版-FC自由兑换模式永久订阅授权函-国内版 |
永久 |
授权码首次激活时启用 |
|
安全云管理平台企业版-FC自由兑换模式一年订阅授权函-国内版 |
1年 |
授权码首次激活时启用 |
|
安全云管理平台企业版-FC自由兑换模式一年更新服务授权函-国内版 |
1年 |
授权码首次激活时启用 |
云安全管理平台租户共包含二种角色类型:
· 系统管理员:超级用户,可以查看所有组织管理员的服务运行情况。
· 组织管理员:可以查看本组织的服务。
使用授权服务:OMP平台、VFW、负载均衡,运维审计、数据库审计、Web应用防护、V漏洞扫描、网页防篡改,日志审计;
目前安全自带授权服务器模板,需要通过模板在CAS部署虚机,手动添加服务IP即可部署;
|
授权服务器模板 |
服务使用 |
备注 |
|
堡垒机授权服务器 |
堡垒机 |
|
|
数据库审计授权服务器 |
数据库审计 |
|
|
WAF/漏扫/网页防篡改 |
WAF 漏扫 网页防窜改 共用 |
|
|
OMP/日审/VFW/VLB |
OMP 日审 VFW VLB 共用 |
|
云安全管理平台升级时需要重启服务相关容器,正在进行的业务会话会受到相应的影响,应尽量避免业务高峰期进行系统升级操作;不会导致配置、日志文件、库文件、License文件丢失。
目前没有做主备服务;服务都是单机版服务;
支持-V和-C的授权;主推荐-C的授权;
1. “资源管理 > 安全资源池”页面,防火墙资源池中授权服务器信息是否配置正确,账号密码参数信息为授权服务器上的客户端参数;
2. 授权服务器上是否有剩余可用license,且license的类型参数与VFW模板参数对应;
3. 检查OMP与虚拟VFW所属网段、授权服务器三者之间网络配置是否可达;
是可以的,但需要注意手动拉起的VFW防火墙需要配置用户及角色、开启NETCONF协议等,可参考典型配置说明书4.4,并且保证已经将除管理口外的业务网接口添加到某一个安全域。
1. 检查授权是不是导入授权服务器;
2. VFW模板是不是正确配置;
3. OMP是不是与授权服务器地址可访问;
异常原因排查:
1) 有没有修改super的默认密码,super有没有http、https访问权限;
2) VFW模板使用确认,支持-C的授权,正常使用配套模板;
3) 检查VFW在CAS的虚拟机光驱挂载的ISO文件是否还在;
负载均衡服务中成员是从当前LB所属组织的“资产管理 > 主机管理”列表中导入,且每个主机只能被导入一次。当添加成员无可用主机时,请做以下检查:
当前“资产管理 > 主机管理”列表中是否有与当前LB服务所属组织相同的主机可供使用;
当前LB服务所属组织的主机是否已被添加过;
确保负载均衡设备与对应主机(实服务器)的路由可达;OMP负载均衡服务不进行路由信息的配置下发;
1. 检查授权服务器地址和端口443是否放行;
2. 检查现场是否放行授权服务器9443端口;
登录WAF后台,输入命令 poolset -D 回车查看端口情况:
3. 创建服务使用的模板要与授权文件对应起来,例如:标准模板 对应 基础授权码,否则创建服务失败;
E1206及其以后的版本都支持,之前版本不支持V100和V200的服务规格。
版本要求:WAF版本 E6203P04及以上
1. 考虑是否授权成功;
2. WAF服务的系统时与OMP时间相差大于3分钟;
3. 密码同步修改;
4. 本地网段到虚拟机的路由是否配置;
支持HTTP和HTTPS服务器。
服务器安全监测系统的License授权租户数量
开通服务后,登录服务安全监测系统,在服务安全监测系统页面下载agent,然后在服务器系统中安装。
支持,租户之间资产是相互隔离的,系统管理员仅能管理自己的资产。
1. 部署好服务器安全监测并授权成功;
2. 在OMP资源池纳管已创建好的服务;
3. 在OMP安全市场开通服务;
4. 注意OMP与服务器安全监测
支持,版本支持共享漏扫和设备漏扫(V漏扫)。
1. 漏扫和授权服务器9443端口能通信
2. 虚机注册成功并加白名单成功
3. 虚机和授权服务器时间差2分钟内
支持同网段和多个IP同时扫描。
原因:
1. 虚拟化平台CAS/UIS首次部署虚机,没有缓存,虚拟机启动太慢,建议手动开启虚机,再次创建 漏扫服务;
2. 查看CAS操作日志,确认内存空间足够,可以创建虚机;
1. 请检查模板配置,在CAS模板,手动部署运维审计模板,部署虚拟机测试模板正确性;
2. 检查资源池虚拟交换机配置或者是下来重新选择确保与CAS那边对应保持一致;
1. 安装授权服务器。
2. 导入授权文件。
3. 配置授权服务器地址。
4. 配置运维审计模板。
5. 租户已创建网络和子网。
1. 检查网络是否正常;
2. 检查磁盘是否满载;
检查方式: df -h;
确保虚机、OMP和授权服务器三者时间差不大于5分钟;
Cloud版本需要进行授权保护机制;
不能实现租户隔离,每个租户创建一个虚拟运维审计。
E6112及以上版本,建议使用推荐配套版本。
运维审计授权,只需要在上传授权文件导入授权文件即可;https://ip/upload;
可以直接单点登录,版本是E1709P06
1.请检查云安全管理平台网络 虚机之间正常;
2.检查日志审计 /etc/hosts 是否存在 ip lcahost管理网参数。
1. 检查资源池管理口网络配置;
2. 确保日志审计下发的地址,在OMP后台可以Ping通;
3. 确保模板配配置正确;
1. 与传统修改网卡的方式不同;
2. 需要登录后台执行修改IP的脚本,请联系管理员,不要轻易操作;
具体脚本目录:
cd /home/csap_install_package/web_service/webapps/Skynet/WEB-INF/classes/shell
缺少路由或者路由添加不正确,需按照模板制作文档正确添加路由。
日志审计1206系列版本仅支持Cloud授权;
1. 数据库审计的模板配置正确;
2. 地址池配置正确网段地址;
3. 管理网互通:虚拟机 OMP 授权服务器;
4. 确认CAS交换机和Vlan配置是否正确
解决方案:检查网络;云平台到授权服务的网络;API接口是否配置正确;最好云平台、cas和授权服务器三者间时差别超过:5分钟;
1. OMP与授权服务器网络互通;
2. 授权服务器要求配置的API接口正取;
IP地址是OMP的地址;
检查态势感知部署的单点登录配置属性是否正常,查看开局指导资源池配置。
在CAS部署所需的centos虚拟机,启动虚拟机,安装终端安全管理系统(团队版)。安装完成后,访问https://ServerIP:7443(ServerIP指目标服务器的IP地址,例如:https://100.0.12.175:7443),进入“系统配置管理”的登录界面,用户名/密码:admin/admin。
建议使用配套版本,若版本存在问题需要更新,可以反馈制作新模板;
现场可以考虑服务升级,需要经过产品和OMP确认;
推荐VLB编排引流 模式,具体引流参看引流部署指导;
硬件服务俗称物理服务,或者ISO部署的服务我们也称作硬件服务,针对资源池纳管硬件服务需要注意以下事项:
1. 服务手动部署成功,设置好网络参数;
2. 服务需要手动导入授权(假如服务需要授权才能正常工作);
3. 在安全资源池添加部署完成的服务;
4. 添加资源池过程,有自动默认用户和密码的服务,请不要删除修改;若没有默认用户名和密码默认的服务,请使用部署服务过程设置的用户名和密码;
5. 通过安全市场申请开通服务界面创建服务;
简单描述如何通过OMP 创建NFV虚拟服务的功能,这里NFV包括:VLB,VFW,VWAF,VDBA,VOA和VLOG;简述步骤
1. 在CAS导入OMP明确的配套模板;
2. 使用模板部署虚机,可以在在资源池CAS选择模板界面,选择交换机;
3. 部署对应服务的授权服务器,一般建议在CAS部署,要求管理网与OMP同网段;
4. 对授权服务器导入正确的授权文件;
5. 在CAS资源池配置需要的模板参数和网段设置;
OMP服务器目前是单机版,不支持集群;OMP宕机只能重新安装,建议经常备份快照和数据库。
目前版本没有实现服务的双机热备功能,只能手动操作备份抢救服务,否则重新创建服务;服务配置重新下发;
支持
