H3C SecCenter 安全业务管理平台 联机帮助(E1111)-5W100

01-正文

本章节下载  (1.26 MB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/SecCenter/H3C_SMP/Configure/Online_Help/H3C_SecCenter_OH(E1111)/202103/1396010_30005_0.htm

01-正文

对浏览器的要求

推荐使用的浏览器及版本为:Chrome57及以上版本,推荐分辨率为1600*900

首次登录安全业务管理平台

Chrome浏览器地址栏中输入https://{安全业务管理平台IP地址},按回车键即可进入安全业务管理平台登录页面,输入用户名和密码,即可进入平台首页。

安全业务管理平台设置有缺省的Web登录信息,用户可以直接使用缺省登录信息通过HTTPS服务登录设备的Web界面。缺省的Web登录信息如下表所示。

用户名/密码

用户角色

用户权限

sysAdmin/sysAdmin

系统管理员

管理系统配置、区域、资产

buzAdmin/buzAdmin

业务管理员

管理各类安全业务

admin/admin@admin

超级管理员

所有权限

auditAdmin/auditAdmin

审计管理员

查看日志记录

 

Chrome浏览器地址栏输入安全业务管理平台的IP地址,即可进入登录界面。首次登录建议使用超级管理员用户登录。

登录设备后,可以进入“系统配置 > 系统管理 > 角色及权限管理 > 用户管理”页面,修改用户的密码,以提高安全性;还可以创建新的用户,以方便对设备进行管理。

Web页面布局介绍

用户登录Web后,能够看到的页面导航内容、能够执行的操作与该用户的角色有关。

 

图-1 Web页面布局

 

1)标识和面板区

2)导航栏

3)执行区

 

如上图所示,Web页面有以下几个功能区域:

·     标识和面板区:该区域用来显示公司Logo、系统名称、功能面板、当前登录用户信息,并提供显示通知消息、退出登录、更改系统主题、全屏展示功能。

·     导航栏:以树的形式组织设备的Web功能菜单。用户在导航栏中可以方便的选择功能菜单,选择结果显示在执行区中。

·     执行区:进行配置操作、信息查看、操作结果显示的区域。

退出Web登录

为保证设备的安全性,用户在Web上完成操作后应及时退出登录。单击Web页面右上角用户名后的<>按钮,选择注销,即可退出Web

 

首页展示本平台管理的资产的资源使用情况以及网络安全概况。包括资产的CPU利用率、内存利用率、会话趋势图、IPS阻断Top 50事件、攻击事件趋势图和设备日志接收趋势图等。

单击每个展示窗口右上角的<>按钮,进入参数设置页面,可通过设置资产名称、时间范围以及刷新时间,展示用户关心的数据。

使用限制和配置指导

当界面没有显示数据时,建议进行如下检查:

·     选择“运维管理 > 设备管理 > 设备管理”,查看是否已正确添加资产,并成功同步资产。

·     参考“日志中心-使用限制和配置指导”中的说明,检查设备侧配置。

安全事件

本功能用于展示平台记录的安全事件。可查看事件的生成时间、事件名称、事件标签、真实源IP地址、关注点等信息,并可通过单击<原始事件数>列下的统计值,查看生成该事件的原始日志信息。管理员可通过配置统计周期和查询条件(例如处理状态、事件等级等),筛选出关心的事件。

平台同时提供如下功能,方便管理员对安全事件进行查看、分析等处理。

·     批量处理:用于同时将多个选中的事件设置为已处理状态。

·     一键处理:用于将所有事件设置为已处理状态。

·     刷新配置:用于管理员根据实际需求调整界面数据刷新的时间间隔。

·     告警配置:用于开启或关闭安全事件告警弹窗功能。开启该功能后,当生成安全事件时,界面会出现弹窗进行提示。管理员可根据实际需求调整弹窗的提示时间间隔。使用限制和配置指导

使用限制和配置指导

当界面没有显示数据时,可能原因如下:

·     平台没有收集到设备侧的攻击日志。请参考“日志中心-使用限制和配置指导“中的说明,检查设备侧配置是否正确。

·     平台收到了设备侧的攻击日志,但没有匹配到关联规则。

告警通知

本功能用于将安全事件以邮件的方式发送到指定的收件人。

告警策略

用于配置发送安全事件邮件的条件以及邮件参数。

使用限制和配置指导

配置本功能前,需要完成以下配置:

·     选择“系统配置 > 全局配置 > 邮件服务器”,在邮件服务器配置页面中,配置邮件服务器参数。

·     选择“系统配置 > 全局配置 > 角色及权限管理”,在用户管理页面中,配置用户的邮箱。

新增告警策略

选择“威胁处置 > 告警通知 > 告警策略”,单击<新增>按钮,进入新增告警策略页面。配置告警策略的基本信息、触发条件和邮件参数。配置如下参数后,单击<确认>按钮完成操作。

参数说明:

·     告警策略名称:告警策略的名称。

·     描述:告警策略的描述信息。

·     安全状态:安全事件的状态,包括已失陷、高可疑和低可疑。发送间隔:发送邮件的间隔时间。

·     阈值:安全事件中原始事件数的阈值。仅当原始事件数高于或等于阈值时,才发送安全事件邮件。

·     邮件标题:安全事件邮件的标题。

·     收件人:安全事件邮件的收件人。其中,收件人手工配置以及从已有的收件人中选取。

·     模板预览:预览邮件中的内容。

安全事件邮件中,仅显示按照原始事件数降序排行的top50个安全事件。

告警记录

平台每发送一次安全事件邮件,则生成一条告警记录。

选择“威胁处置 > 告警通知 > 告警记录”,可查看安全事件邮件的发送记录,包括发送时间、告警策略名称、收件人等。

关联规则

本功能用于对一段时间内采集器上报的日志按照一定的规则进行关联分析。匹配关联规则的日志将会输出一个安全事件,并在安全事件页面进行展示。以便用户可实时监控整网安全情况,用户也可以根据事件的描述、关注点等字段进行有针对性的排查并采取相应的措施,确保网络安全。系统支持以下两种类型的关联规则:

·     预定义关联规则:系统内置的关联规则算法,可以在海量日志和流量中关联分析出异常信息。

·     自定义关联规则:用户可根据实际需求自定义关联规则并对其进行管理,包括新增、删除、启用、停用关联规则。

使用限制和配置指导

·     通过特定字段前后加占位符%方式表示安全事件信息时,特定字段将被替换为该字段的实际取值。

¡     事件名称、事件描述可配置的特定字段为攻击类型、攻击名称、攻击源、攻击目的、源IP、目的IP、主机名称、情报类型。

¡     事件描述可配置的特定字段为攻击类型、攻击名称、攻击源、攻击目的、源IP、目的IP、主机名称、情报类型、事件名称、事件描述、规则名称、攻击次数。

其中攻击源、攻击目的若已配置资产名或用户名,则展示资产名或用户名,否则展示为IP地址。

·     建议不要配置过长的时间窗,否则会影响匹配性能。

·     关联规则停用后,不会影响停用前匹配的数据展示。

新增关联规则

该功能用于新增自定义关联规则。主要包括规则定义、事件输出和规则配置三个部分。

操作步骤

1.     选择“威胁处置 > 关联规则”进入关联规则页面。

2.     单击<新增>按钮,进入新增关联规则页面。配置相关参数后单击<确认>按钮完成操作。

规则定义区域参数说明:

¡     规则名称:规则的唯一标识,不能重复。

¡     规则描述:规则的描述信息,通过合理编写描述信息,便于管理员快速理解和识别该规则。

¡     时间窗:规则匹配日志的时间段,只有在时间窗内上送到本平台的日志才会进行匹配。时间窗单位可选秒、分钟、小时,必须是正整数,无论选择何种单位,时间窗都不能超过1天。

事件输出区域参数说明:

¡     事件名称:该规则生成的安全事件的名称。

¡     事件描述:该规则生成的安全事件的详细描述。

¡     威胁等级:该规则生成的安全事件的等级,可选择低危、中危、高危、严重和默认。其中选择默认时,将展示日志本身的威胁等级。

¡     关注点:该规则生成的安全事件的关注点,可选择关注源或目的。确信度:该规则生成的安全事件的可信程度,包括已失陷、高可疑、低可疑。

规则配置区域参数说明:

用于匹配原始日志的规则。单击<添加>按钮,进入添加子规则页面。配置相关参数后,单击<确认>按钮完成操作。

¡     子规则名称:子规则的唯一标识,不能重复。

¡     子规则描述:子规则的详细描述,通过合理编写描述信息,便于管理员快速理解和识别该规则。

¡     条件属性:该规则匹配的日志的类型,包括漏洞攻击日志和病毒攻击日志。

¡     聚合:日志聚合的条件,系统将对满足条件的日志进行聚合,上报为事件。例如,设备采集到100条满足匹配条件的暴力破解攻击日志,若未配置聚合功能,则将100条攻击日志分别上报为事件,若配置了聚合功能,则根据聚合条件的配置上报相应的事件。系统默认未开启聚合功能。

-     分组字段选择:根据所选的分组字段对所有满足匹配条件的日志进行首次分组聚合。分组字段取值相同的日志为一组,每组聚合为一条日志。例如,对于设备收到的100条满足匹配条件的暴力破解攻击日志,若需要根据源安全域聚合上报日志,则可以将分组字段配置为源安全域。

-     分组字段统计次数:若根据分组字段聚合后的日志条数大于或等于配置的分组字段统计次数,则将聚合日志上报为事件;否则分组字段匹配失败,不上报事件。例如:对于设备收到的100条满足匹配条件的暴力破解攻击日志,假设配置的分组字段选择为“用户登录IP”,分组字段统计次数为10。即根据用户登录IP地址对设备收到的100条暴力破解日志进行分组,若分组个数大于等于10(登录用户的个数大于等于10),则上报事件,否则认为攻击规模不具有威胁性,不上报日志。

-     继承策略:指定聚合日志输出和上报事件的时间依据。若选择“最早时间”,则选择产生时间最早的日志为聚合日志或上报事件;若选择“最晚时间”,则选择产生时间最晚的日志为聚合日志或上报事件。

¡     匹配条件:指定规则的匹配条件。可配置多个匹配条件,条件间可以配置逻辑关系。单击<>按钮可以增加一个匹配条件,单击<>按钮可以删除一个匹配条件。匹配条件的配置参数如下。

-     设置匹配条件间的逻辑关系:用于设置多个条件之间的逻辑关系,可选择与、或和自定义。在使用自定义的逻辑关系时,可使用ORAND来组合成逻辑表达式,例如,1 and (2 or 3) and 4

-     设置匹配条件:指定匹配条件的关键字段和实际取值之间的逻辑关系,包括:“=”、“!=”、“>”、“<”、“>=”、“<=”、“IN”、“NOTIN”。其中,选择“IN”和“NOTIN”时,可以输入多个参数,参数之间以逗号分隔。

一个关联规则下可添加多个子规则,多个子规则之间可以配置“子规则关系“,即规则间的匹配顺序,包括全部匹配、任一匹配和顺序匹配。仅当配置了多个子规则时才显示该字段。

该功能用于展示从设备采集的安全日志、流量日志和应用审计日志。

页面默认30s自动刷新一次,仅刷新当前页面。管理员可根据实际情况,通过单击左上角<配置>按钮,进入配置页面,开启自动刷新功能并配置刷新的间隔时间。

平台支持配置统计周期,或通过单击<>按钮,配置多种查询条件,筛选出管理员关心的日志。界面将根据配置的查询条件显示相应的日志信息。单击<>列定制按钮,可选择界面中需要展示的日志字段。

如需导出界面中的日志信息,可单击左上角的<导出>按钮,导出日志,并通过单击面板区右侧<>按钮,查看日志导出进度。单击<>按钮后,进入下载列表页面,可单击指定文件右侧操作列下的<下载>按钮,将导出的日志文件下载到PC中,便于查看。

其中,日志规模不同,将导出不同格式的日志文件:

·     日志量低于10万条,则直接导出格式为.CSV的日志文件。

·     日志量在10-100万条之间,则会生成多个CSV文件,并打包进行一次压缩,导出文件的格式为.ZIP

·     日志量大于100万条时,则会将压缩文件再次压缩,导出文件格式为.ZIP

使用限制和配置指导

本功能需要管理员在设备侧(例如防火墙)先开启各业务(例如入侵防御、防病毒等)的日志功能并配置日志主机。其中,日志主机地址需要配置为本平台的IP地址,端口号则需根据实际情况进行如下配置:

·     NAT流日志的日志主机端口号为9002

·     其他日志主机端口号为51430514

当界面上没有显示数据时,建议参考上文,检查相关配置。

终端日志(终端识别日志、异常流量日志)功能需要导入终端管理授权函,否则日志中心不予显示终端日志。

安全日志

本功能用于展示从设备采集的漏洞攻击日志、病毒攻击日志和安全策略日志。

·     漏洞攻击日志:选择“日志中心 > 安全日志 > 漏洞攻击日志”,可查看设备上报的漏洞攻击日志信息。当管理员认为某条日志是误报时,可单击指定日志右侧的<>按钮,进入新增IPS白名单页面,系统将自动提取该条日志的信息,管理员在确认信息正确后,需要配置白名单名称,并单击<确认>按钮,完成新增入侵防御白名单。详细参数说明请参见“入侵防御白名单”。

·     病毒攻击日志:选择“日志中心 > 安全日志 > 病毒攻击日志”,进入病毒攻击日志页面,可查看设备上报的病毒攻击日志信息。

·     安全策略日志:选择“日志中心 > 安全日志 > 安全策略日志”,进入安全策略日志页面,可查看设备上报的安全策略日志信息。

流量日志

流量日志中可查看设备上报的NAT会话日志、NAT444端口块日志和NAT444会话日志。

·     NAT会话日志:NAT会话日志是为了满足用户的安全审计需要,对NAT会话(报文经过设备时,源或目的信息被NAT进行过转换的连接)信息进行的记录,包括IP地址及端口的转换信息、用户的访问信息、会话开始和结束时间等信息。

·     NAT444端口块日志:NAT444端口块日志是为了满足用户溯源的需要,在NAT444地址转换中,对每个用户的私网IP地址进行端口块分配或回收时,都会输出一条基于用户的日志,记录私网IP地址和端口块的映射关系。在进行用户溯源时,只需根据报文的公网IP地址和端口找到对应的端口块分配日志信息,即可确定私网IP地址。

·     NAT444会话日志:NAT444会话日志是为了满足用户的安全审计需要,对NAT444会话信息进行的记录,包括IP地址及端口的转换信息。

应用审计日志

应用审计日志用来查看用户的上网行为记录(例如IM聊天软件中的用户信息、搜索引擎的历史记录等),方便管理员根据用户上网的情况调整相关策略,规范用户的上网行为。

设备日志

·     设备日志-故障日志:用来查看设备上报的故障告警日志。即设备发生类似板卡故障、设备重启、电源风扇异常及互联接口链路中断等设备故障日志

·     设备日志-配置日志:用来查看设备上报的配置日志。该日志记录了管理员向设备下发的配置。通过查看配置日志信息可以跟踪管理员对设备的操作,有利于对管理员操作设备的行为进行审计以及进行设备故障排查

终端日志

·     终端日志-终端识别日志:用来查看设备上报的终端识别日志。

·     终端日志-异常流量日志:用来查看设备上报的异常流量日志。

分析中心

本功能可对主平台、子平台所管理的设备上报的漏洞攻击日志和病毒攻击日志进行汇总、分析,生成图表,并从攻击趋势、事件级别、事件类型等多个维度展示分析结果。

使用限制和配置指导

本功能的统计数据来源自“日志中心”界面展示的数据,当界面没有显示趋势或统计数据时,请参考“日志中心-使用限制和配置指导”中的说明,检查设备侧配置。

攻击趋势

攻击趋势页面用于展示统计时间段内,主平台或子平台上报的攻击事件的攻击趋势。

用户可通过单击列表中“全部事件数”或“阻断事件数”列下的统计值,跳转到详情界面,查看相应的日志详情。

参数说明:

·     时间:事件统计时间,例如,统计时间为1天,则每15分钟统计一次。

·     全部事件数:该统计时间段内发生的所有攻击事件数。

·     阻断事件数:该统计时间段内发生的阻断事件数。

·     阻断事件比例(%):阻断事件在同时段全部事件中所占比例。

事件级别

事件级别页面用于展示统计时间段内,主平台或子平台上报的攻击事件的严重级别分布情况。

选择“分析中心 > 安全事件分析”页面,单击页面右上角<>按钮,在弹出的分析选项页面中,配置统计对象为事件级别,其他选项可根据需要进行配置。单击<确认>按钮,即可查看攻击事件的严重级别分布情况。

用户可通过单击列表中“严重”、“高危”、“中危”和“低危”列下的统计值,跳转到详情界面,查看相应的日志详情。

参数说明:

·     时间:事件统计时间,例如,统计时间为1天,则每15分钟统计一次。

·     严重:该统计时间段内所有严重级别的攻击事件数。

·     高危:该统计时间段内所有高危级别的攻击事件数。

·     中危:该统计时间段内所有中危级别的攻击事件数。

·     低危:该统计时间段内所有低危级别的攻击事件数。

目的端口

目的端口页面用于展示统计时间段内,主平台或子平台上报的端口被攻击的情况。

选择“分析中心 > 安全事件分析”,单击页面右上角<>按钮,在弹出的分析选项页面中,配置统计对象为“目的端口”,其他选项可根据需要配置。单击<确认>按钮,即可查看目的端口的统计信息。

用户可通过单击列表中“目的端口”和“事件数”列下的统计值,或者单击操作列下的<>按钮,跳转到详情界面,查看相应的日志详情。

参数说明:

·     目的端口:统计时间段内被攻击的端口。

·     事件数:统计时间段内端口发生的攻击事件数。

·     百分比(%):统计时间段内该端口发生的攻击事件在所有端口攻击事件中所占比例

事件类型

事件类型页面用于展示统计时间段内,主平台或子平台上报的攻击事件的类型分布情况。

选择“分析中心 > 安全事件分析”,单击页面右上角<>按钮,在弹出的分析选项页面中,配置统计对象为事件类型,其他选项可根据需要选择。单击<确认>按钮,即可查看攻击事件的类型分布情况。

用户可通过单击列表中“事件类型”和“事件数”列下的统计值,或者单击操作列下的<>按钮,跳转到详情界面,查看相应的日志详情。

参数说明:

·     事件类型:统计时间段内发生的攻击事件类型。

·     事件数:统计时间段内该类型事件发生次数。

·     百分比(%):统计时间段内该类型事件在所有类型事件中所占比例

事件协议

事件协议页面用于展示统计时间段内,主平台或子平台上报的攻击事件的协议分布情况。

选择“分析中心 > 安全事件分析”,单击页面右上角<>按钮,在弹出的分析选项页面中,配置统计对象为事件协议,其他选项可根据需要选择。单击<确认>按钮,即可查看攻击事件的协议分布情况。

用户可通过单击列表中“事件协议”和“事件数”列下的统计值,或者单击操作列下的<>按钮,跳转到详情界面,查看相应的日志详情。

参数说明:

·     事件协议:统计时间段内发生的攻击事件协议

·     事件数:统计时间段内发生的基于该协议的攻击事件数。

·     百分比(%):统计时间段内发生基于该协议的攻击事件在所有攻击事件所占比例

IP

IP页面用于展示统计时间段内,主平台或子平台上报的攻击事件的真实源IP地址分布情况。

选择“分析中心 > 安全事件分析”,单击页面右上角<>按钮,在弹出的分析选项页面中,配置统计对象为源IP,其他选项可根据需要选择。单击<确认>按钮,即可查看攻击事件的真实源IP分布情况。

用户可通过单击列表中“源IP”和“事件数”列下的统计值,或者单击操作列下的<>按钮,跳转到详情界面,查看相应的日志详情。

参数说明:

·     IP:统计时间段内发生的攻击事件的真实IP地址

·     事件数:统计时间段内该IP地址发生的攻击事件数。

·     百分比(%):统计时间段内该IP地址发生的攻击事件在所有攻击事件中所占比例

目的IP

目的IP页面用于展示统计时间段内,主平台或子平台上报的攻击事件的目的IP分布情况。

选择“分析中心 > 安全事件分析”,单击页面右上角<>按钮,在弹出的分析选项页面中,配置统计对象为目的IP,其他选项可根据需要选择。单击<确认>按钮,即可查看攻击事件的目的IP分布情况。

用户可通过单击列表中“目的IP”和“事件数”列下的统计值,或者单击操作列下的<>按钮,跳转到详情界面,查看相应的日志详情。

参数说明:

·     目的IP:统计时间段内发生的攻击事件的目IP地址

·     事件数:统计时间段内该目的IP地址发生的攻击事件数。

·     百分比(%):统计时间段内该目的IP地址发生的攻击事件在所有攻击事件中所占比例

特征命中次数

特征命中次数页面用于展示统计时间段内,主平台上报的漏洞攻击日志中的特征命中情况。

选择“分析中心 > 安全事件分析”,单击页面右上角<>按钮,在弹出的分析选项页面中,配置统计对象为特征命中次数,其他选项可根据需要选择。单击<确认>按钮,即可查看特征命中的统计信息。

用户可通过单击列表中“命中次数”列下的统计值,或者单击操作列下的<>按钮,跳转到详情界面,查看相应的日志详情。

参数说明:

·     攻击ID:统计时间段内主平台上报的漏洞攻击日志中的攻击ID

·     命中次数:统计时间段内,该攻击ID的命中次

·     命中次数占比(%):统计时间段内,该攻击ID命中次数在同时段所有攻击ID命中次数中所占比例

报表管理

报表文件

本功能用于展示通过报表任务生成的报表文件,可查看文件名称、生该该报表文件的任务名称、任务类型等信息,并支持下载、删除报表文件。

管理员可选择指定的报表文件,并单击<下载>按钮,或单击指定报表文件右侧的<>按钮,下载报表文件到本地进行查看。

报表任务

本功能用于定期或即时生成报表文件,管理员可根据实际需求,配置报表类型、生成报表的时间以及引用的报表模板等。

报表任务支持如下类型:

·     周期性报表任务:根据报表类型,包括日报、周报、月报,周期性执行任务,生成相应类型的周期性报表。周期性报表统计数据的时间范围即为选择的周期,按天统计。

¡     日报:统计每天00:00:00到前一天00:00:00的数据。

¡     周报:统计数据范围与配置的“每周”有关。例如,当配置为“每周二”时,则统计每周二00:00:00到上周二00:00:00的数据。

¡     月报:统计上个月100:00:00到上个月最后一天00:00:00的数据。

·     即时性报表任务:立即执行的任务,可立即生成报表。统计数据的时间范围为所选的统计周期范围,可以为最近一小时、最近一天、最近一周、最近一月,也可自定义时间。

新增报表任务

使用限制和配置指导

仅支持对周期性报表任务执行启用或停用的操作。

新增报表任务

1.     选择“报表管理 > 报表管理 > 报表任务”,单击<新增>按钮,进入新增任务界面。

2.     在基本信息页签下,配置如下参数。

基本信息参数说明:

¡     任务名称:报表任务名称。

¡     任务类型:任务执行周期,可选择日报、周报、月报及立即执行,不同的任务类型需要配置的参数如下:

-     选择日报,需要指定任务执行时间,例如,指定任务执行时间为20:30:00,平台将会在每天20:30:00执行报表任务,并统计前一天的安全事件信息,生成报表。

-     选择周报,需要指定任务执行时间和在每周周几执行任务,例如指定任务执行时间为20:30:00、每周字段选择周一,平台将会在每周一的20:30:00执行报表任务,并统计最近1周(不包含当天)的安全事件信息,生成报表。

-     选择月报,需要指定任务执行时间,例如,指定任务执行时间为20:30:00,平台将会在每月120:30:00执行报表任务,并统计上个月的安全事件信息,生成报表。

-     选择立即执行,需要指定统计周期,例如最近1小时、最近1周等。如果选择自定义,则需要配置统计开始时间和结束时间。配置完成后,任务将立即执行,并按照配置的统计周期统计安全事件信息,生成报表。

¡     报表格式:选择生成的报表文件的格式,目前仅支持生成DOCX文件。

3.     单击<下一步>按钮,选择报表模板。平台将根据选择的模板统计相应的事件信息生成报表文件。其中IPS安全事件模板、IPS攻击IP模板支持配置报表筛选条件。

-     IPS安全事件模板支持配置筛选条件包括:动作(允许、阻断、全部)、源IP、目的IP、真实源IP

-     IPS攻击IP模板支持配置筛选条件包括:动作(允许、阻断、全部)、方向、事件名称、攻击ID

4.     单击<下一步>按钮,配置统计对象。

统计对象参数说明:

¡     事件列表TopN:统计排名TOP N的事件。

¡     统计对象:统计指定的对象,目前仅支持设备。

¡     设备:统计指定的设备

¡     检索标签:统计指定的日志检索标签,取值包括灰名单、白名单和黑名单。

¡     源安全域:统计指定的源安全域。

¡     目的安全域:统计指定的目的安全域。

5.     单击<确认>按钮,完成配置。管理员可在报表任务列表中查看任务状态。

报表模板

报表模板定义了报表中包含的统计内容,不同模板可以生成不同内容的报表。平台提供了如下几种预定义报表模板:

·     IPS攻击目的端口:统计所有攻击事件的目的端口、攻击次数及事件所占比例,并按攻击次数排序。

·     IPS攻击类型:统计所有攻击事件的攻击类型、攻击次数及事件所占比例,并按攻击次数排序。

·     IPS攻击级别:统计所有攻击事件的攻击级别、攻击次数及事件所占比例,并按攻击次数排序。

·     IPS攻击协议:统计所有攻击事件的攻击级别、攻击次数及事件所占比例,并按攻击次数排序。

·     IPS攻击事件趋势:按照时间点统计所有攻击事件的攻击级别、攻击次数,并时间排序,生成IPS攻击事件趋势图。

·     IPS安全事件:统计所有攻击事件/阻断事件/允许放通事件名称、事件数以及所占比例,并按攻击次数排序。其中,当“动作”筛选条件选择为全部时,统计IPS攻击事件;选择为允许时,统计IPS允许放通事件;选择为阻断,即统计IPS阻断事件。

·     IPS攻击IP:统计所有攻击源IP /目的IP地址、事件数以及所占比例,并按攻击次数排序。其中,当“方向“筛选条件为源IP/目的IP时,统计IPS攻击源IP/IPS攻击目的IP

·     综合报表:包含上述7个报表的内容,生成综合的报表文件。

选择“报表管理 > 报表管理 > 报表模板”,进入报表模板页面,可查看模板信息。单击操作列下的<>按钮,可预览报表模板内容。

区域管理

本功能用于对用户网络进行划分区域管理,用户可根据实际需要将网络划分为不同区域,并为区域配置子区域、资产及区域采集器。平台通过区域采集器与资产进行信息交互。

新增区域管理

选择“运维管理 > 区域管理”,单击<新增>按钮,进入新增区域管理页面。配置如下参数后,单击<确认>按钮,完成操作。

参数说明:

·     区域名称:区域的名称。

·     区域描述:区域的描述信息。

·     区域地理位置:区域所在的省市县。

·     区域采集器:当前区域所部署的采集器IP地址。平台通过区域采集器与资产进行信息交互

·     区域IP范围:当前区域包含的IP地址范围。单击<添加>按钮,进入添加IP界面,并配置如下参数。

¡     开始IPIP地址范围的起始IPv4IPv6地址。

¡     结束IPIP地址范围的结束IPv4IPv6地址,结束IP必须大于或等于起始IP

¡     IP类型:可选择配置IPv4IPv6

添加子区域

在区域管理页面,单击指定区域右侧操作列的<>按钮,即可为该区域添加子区域。子区域的配置步骤与区域相同。

设备组管理

本功能用于对用户资产进行分组管理,用户可根据实际需要将资产划分为不同组,方便管理员对属于同一组的多个资产进行安全分析、查询日志审计、生成报表等。

使用限制和配置指导

设备组下面存在设备时,不能删除该设备组

新增设备组

选择“运维管理 > 设备组管理”,单击<新增>按钮,进入新增设备组页面。配置如下参数后,单击<确认>按钮,完成操作。

参数说明:

·     设备组名称:设备组的名称。

·     资产设备:设备组中包含的资产。

·     设备组描述:设备组的描述信息,合理的设备组的描述信息有利于管理员快速了解和使用设备组。

删除设备组

设备组管理页面,可通过如下方式删除设备组:

·     选中需要删除的设备组,单击<删除>按钮。

·     单击指定设备组右侧<删除>按钮。

设备管理

本功能用于管理用户的资产,并实时监控资产运行信息。

模板参数管理

本功能用于管理参数模板,包括SNMP模板、SSH模板和SOAP模板。

·     SNMP模板:可用于监控设备状态、获取CPU和内存使用率等信息。

·     SSH模板:可用于登录设备。

·     SOAP模板:可对设备进行配置和管理,例如特征库升级、回滚等。

通过配置参数模板,平台可监控设备状态、远程登录设备、下发配置到设备。

新增SNMP模板

1.     选择“运维管理 > 设备管理”,单击页面右上角<模板参数管理>按钮,进入模板参数管理界面。

2.     选择SNMP模板页签,单击<新增>按钮,进入新增SNMP模板界面。配置如下参数后,单击<确认>按钮,完成模板配置。

参数说明:

¡     模板名称:模板的名称。

¡     SNMP版本:支持SNMP v1v2v3其中V3支持多种加密认证方式,包括:无加密/无认证、无加密/MD5认证、无加密/SHA认证、DES加密/MD5认证、DES加密/SHA认证、AES128加密/MD5认证和AES128加密/SHA认证。

¡     只读团体字:本参数必须与设备上配置的只读团体名一致。

¡     用户名:用于认证的用户名。

¡     认证密码:用于认证的密码。

¡     加密密码:用于加密的密码。

¡     SNMP端口号:平台接收SNMP报文的本地端口号。

¡     模板描述:模板的描述信息。

新增SSH模板

1.     选择“运维管理 > 设备管理”,单击页面右上角<模板参数管理>按钮,进入模板参数管理界面。

2.     选择SSH模板页签,单击<新增>按钮,进入新增SSH模板页面。配置如下参数后,单击<确认>按钮,完成模板配置。

参数说明:

¡     模板名称:模板的名称。

¡     SSH端口号:平台使用该端口号登录设备。

¡     用户名:平台使用该用户名登录设备。

¡     用户密码:平台使用该密码登录设备。

¡     模板描述:模板的描述信息。

新增SOAP模板

1.     选择“运维管理 > 设备管理”,单击页面右上角<模板参数管理>按钮,进入模板参数管理界面。

2.     选择SOAP模板页签,单击<新增>按钮,进入新增SOAP模板页面。配置如下参数后,单击<确认>按钮,完成模板配置。

参数说明:

¡     模板名称:模板的名称。

¡     访问URL协议:选择开启基于HTTPSHTTPNETCONF over SOAP功能。

¡     端口号:NETCONF over SOAP功能使用的端口号。基于HTTPNETCONF over SOAP功能使用的端口号为80;基于HTTPSNETCONF over SOAP功能使用的端口号为832

¡     用户名:平台使用该用户名登录设备。

¡     密码:平台使用该密码登录设备。

¡     模板描述:模板的描述信息。

设备管理

本功能用于管理和监控设备,并支持同步设备上的业务配置到平台进行管理以及向设备下发业务配置。其中,设备可由用户手动添加或批量导入。

使用限制和配置指导

添加设备之前,需要先配置模板参数。平台配置的SNMP模板或SOAP模板参数必须与设备上配置的SNMP功能或NETCONF over SOAP功能相关参数一致,否则会导致信息交互失败。

查看资产系统信息

在设备管理页面可查看设备的基本信息(例如资产名称、所属区域、IP地址等)以及CPU利用率和内存利用率等信息。

单击指定资产右侧的<详情>按钮,可查看设备的流量统计信息、会话统计信息、CPU/内存利用率趋势以及接口详情信息。

单击指定资产右侧“CPU利用率(%)“和”内存利用率(%)“列下的统计值,可进入设备数据页面。查看设备的性能数据(包括型号、软件版本等)和磁盘数据(包括磁盘大小、已使用大小、未使用大小等)。

单击<>按钮,可跳转至设备的Web登录界面。

新增资产

新增资产的具体配置步骤如下:

1.     在设备管理页面,单击<新增>按钮,进入新增资产信息界面,配置如下参数。

参数说明:

¡     资产名称:设备的名称,建议填写设备的实际名称。

¡     管理IP:设备的管理IP地址。

¡     制造商:设备制造厂商。

¡     资产类型:入侵防御设备选择“安全设备-入侵防御”,防火墙设备选择“安全设备-防火墙”。

¡     资产描述:设备的描述信息

¡     所属区域:设备所在的区域。

¡     资产IP:在输入框中输入设备的IP地址,并单击右侧的<添加>按钮,可添加资产IP地址。管理员可打开资产IP列表,查看设备的IP信息。

¡     所属设备组:设备所在的设备组。

¡     日志编码格式:设备上报日志的编码格式。取值包括GBKUTF-8,默认为GBK

2.     配置设备引用的认证模板,可手工编辑或者选择已配置的模板。

¡     引用SNMP模板:单击<配置SNMP参数>,单击<设置>按钮,进入设置SNMP参数页面。可选择手工编辑或者从已有模板选取。该页面参数说明请参见“新增SNMP模板”。

¡     引用SSH模板:单击<配置SSH参数>,单击<设置>按钮,进入设置SSH参数页面。可选择手工编辑或者从已有模板选取。该页面参数说明请参见“新增SSH模板”。

¡     引用SOAP模板:单击<配置SOAP参数>,单击<设置>按钮,进入设置SOAP参数页面,可选择手工编辑或者从已有模板选取。该页面参数说明请参见“新增SSH模板”。

3.     配置设备扩展属性,可根据设备实际情况配置其各属性值,包括设备序列号、资产编号等。

4.     单击<确认>按钮,完成新增资产。

批量导入资产

1.     在设备管理页面,单击<导入>按钮,选择资产批量导入模板下载。

2.     按照模板样式填写设备信息后,再次单击<导入>按钮,选择资产导入。选择已经填写设备信息的模板,即可批量导入设备。

3.     完成以上操作后,单击<导入>按钮,选择操作结果,查看资产导入结果。

同步资产配置

同步功能可将设备上已有的业务配置同步到本平台进行统一的管理。

选择一个或多个设备,单击<同步>按钮,可将选中设备上所有支持同步的业务配置同步至平台。可在“业务配置”列查看同步结果。

资产业务配置

本功能用于向设备下发业务配置。设备同步成功后,选择指定的设备,单击“业务配置”列下的<>按钮,进入业务配置页面,可向指定的设备下发配置。

支持的配置包括安全策略、IP地址组、服务组、应用、应用组、时间段、安全域、入侵防御、防病毒、入侵防御白名单、NAT动态转换、NAT地址组、带宽策略和带宽通道。用户可根据实际需求,对设备上的业务配置进行统一的管理。

需要注意,对设备的业务配置进行的新增、删除、修改、移动等操作会立即下发至设备。

保存资产配置

本功能用于批量保存设备配置。

选择指定的单台设备或多台设备,单击<保存配置>按钮,选择保存配置。所选设备的当前配置将保存到设备的配置文件中。再次单击<保存配置>按钮,选择操作结果,可查看配置是否保存成功。

导入资产配置到平台

本功能主要用于将设备上的业务配置导入到平台,可实现安全策略等业务配置的快速迁移。单设备的配置资源可导入至本平台成为全局资源。管理员可将全局资源下发至多台设备,从而实现多设备间的配置复制下发。

设备同步成功后,单击指定设备右侧“业务配置”列下的<>按钮,进入业务配置页面。单击右上角的<导入配置>按钮,进入导入配置页面。该页面可查看设备支持导入的资源和安全策略列表。

管理员可以根据实际需求,勾选状态为“可导入”的资源或安全策略,单击页面下方的<导入>按钮,即可将配置导入到本平台。

需要注意如下限制:

·     导入配置时,设备会将待导入的配置与“安全业务管理 > 全局资源“中的配置进行对比分析,如果待导入的配置与全局资源中的配置存在冲突,则不允许导入该配置。

·     导入资源时,该资源及其所引用的资源都会被导入到全局资源。

·     导入安全策略时,该策略及其引用的资源都会被导入到全局资源。

虚拟设备管理

本功能用于对设备上的虚拟设备(即Context)进行管理。

虚拟设备是通过虚拟化技术将一台物理设备划分成多台虚拟设备,每台虚拟设备就称为一个Context。每个Context拥有自己专属的软硬件资源,独立运行。

对于用户来说,每个Context就是一台独立的设备,方便管理和维护;对于管理者来说,可以将一台物理设备虚拟成多台逻辑设备供不同的分支机构使用,可以保护现有投资,提高组网灵活性。

用户可以在该页面查看、删除、创建、停用、启用虚拟设备。

使用限制和配置指导

创建虚拟设备时需要确保物理设备在线,且NETCONF连接通畅。

分配VLAN时有如下注意事项:

·     共享VLAN必须是设备上存在的VLAN。请先创建VLAN,再指定共享VLAN

·     VLAN 1不能被共享。

·     端口的缺省VLAN不能被共享。

·     已经创建了VLAN接口的VLAN不能被共享。

分配接口时有如下注意事项

·     逻辑接口(如子接口、聚合接口等)仅支持共享方式分配,物理接口支持独占和共享两种方式分配。

·     如果子接口已经被分配,则不能再分配其父接口;如果父接口已经被分配,则不能再分配其子接口。

·     如果接口已经被共享分配,则不能再独占分配。需将共享分配配置取消后,才能独占分配。

·     当设备运行在集群模式时,禁止将集群物理端口分配给Context

·     聚合接口的成员接口不能分配给Context

冗余口的成员接口不能分配给Context,当冗余口的成员接口为子接口时,其子接口的主接口也不能分配给Context

新增虚拟设备

新增虚拟设备的配置步骤如下:

1.     单击<新增>按钮,进入增加虚拟设备界面。

参数说明

¡     虚拟设备名称:用户设备中的Context的名称。

¡     描述:Context的描述信息,合理编写描述信息便于管理员快速了解和识别Context的作用,有利于后期维护。

¡     物理设备名称:指定需要创建Context的物理设备。

配置完成上述参数后,可勾选<资源设置>前的复选框,为Context分配资源。

参数说明:

¡     CPU资源限额:即CPU权重,当CPU无法满足所有Context的处理需求时,系统将按照CPU权重值为每个Context分配处理时间。通过调整权重,可以使指定的Context获得更多的CPU资源,保证关键业务的运行。

¡     吞吐量值:为了防止一个Context的报文过多而导致其它Context的报文被丢弃,需要限制Context的吞吐量。当启用吞吐量限制时,系统优先处理协议报文,对于超过限制值的业务报文会被丢弃。

¡     SSL VPN登录用户数:对Context的最大SSL VPN登录用户数进行限制后,当该ContextSSL VPN登录用户数达到最大数目时,该Context将不允许新的用户登录。如果设置的数值小于当前ContextSSL VPN登录用户总数,则配置可以成功,但不再允许新的用户登录,且已经登录的用户不会被删除。直到已登录的用户通过老化机制下线或用户主动下线,使得用户总数低于配置的最大值后,系统才允许新的用户登录。

¡     会话并发数:设备能够同时维持的会话连接总数是有限制的,为防止一个Context创建过多的会话,而导致其它Context无法创建新的会话,需要限制Context的会话并发数。用户可以为每个Context配置最大的会话并发数。

¡     会话新建速率:会话新建速率是指设备在单位时间内所能够完全处理的新会话请求数量。由于设备的处理能力有限,为防止一个Context的会话新建速率过高,而导致其它Context创建会话失败,需要限制Context的会话新建速率。用户可以为每个Context配置最大的会话新建速率。

2.     配置完成上述参数后,单击<下一步>按钮,继续为Context分配接口和VLAN资源。

3.     选择VLAN的分配方式,VLAN支持如下分配方式。

¡     共享:该模式下的VLAN由管理员在缺省Context中创建,统一配置和管理。此方式适用于同一个VLAN由多个Context共同使用的场景。

¡     独占:该模式下的VLAN由各Context的管理员登录各自的Context后,自行创建、配置和管理。该模式要求各Context的管理员来规划和配置VLAN此方式适用于Context需要各自管理和使用一个独立VLAN的场景。

4.     单击<新增>按钮,在接口列表中选择为Context分配的接口。选择后单击<确认>按钮,完成接口的分配。

5.     单击<下一步>按钮,配置管理接口IP和接口信息。

参数说明:

¡     管理接口:Context的管理接口。

¡     管理IP/子网掩码/网关:Context管理口的IP地址/子网掩码/网关地址。

¡     网关路由(目的地址/掩码/下一跳):设备到平台的路由。

¡     SNMP参数模板:Context绑定的SNMP模板

¡     NETCONF参数模板:Context绑定的SOAP参数模板

¡     保存配置:勾选此项后,Context的配置将保存在设备配置文件中。

6.     配置完成上述参数后,单击<确认>按钮,完成Context的创建。

用户可在虚拟设备管理界面查看Context的信息、启用状态以及资源使用情况。也可以根据实际需求,对Context进行删除、启用和停用的操作。

Context创建成功后,将作为新增设备显示在设备管理页面中,管理员可在该页面中对其进行管理。

安全业务管理

本功能用于管理设备的安全业务配置,包括全局资源(如IP地址组、服务管理、时间段管理等)和安全策略。全局资源可被安全策略引用并下发至一台或多台设备,以便管理员可通过本平台快速、批量管理和下发安全策略。

使用限制和配置指导

·     下发配置前必须先在设备配置NETCONF over SOAP,并将设备添加为资产,且指定设备所属区域和引用SOAP参数模板。

·     入侵防御中的“策略匹配统计”、“版本基线”以及入侵防御白名单功仅在开启高级模式后才可以配置。如需配置,请先到“系统配置 > 系统管理 > 全局配置 > 系统参数”中开启高级模式配置。

全局资源

IP地址管理

该功能主要用于管理主机地址、范围地址、子网地址及IP地址组,包括查询、新增、删除及修改。

·     主机地址:用于匹配报文中的IPv4/IPv6地址。主机地址名称不能与范围地址和子网地址的名称重复。支持IPv4IPv6两种类型,其使用状态由该主机地址是否加入了IP地址组决定,若加入了IP地址组,则状态为已使用,否则状态为未使用。

·     范围地址:用于匹配报文中的指定范围内的地址。支持IPv4IPv6两种类型,其使用状态由该范围地址是否加入了IP地址组决定,若加入了IP地址组,则状态为已使用,否则状态为未使用。

·     子网地址:用于匹配报文中的指定子网内的地址。支持IPv4IPv6两种类型,其使用状态由该地址是否加入了IP地址组决定,若加入了IP地址组,则状态为已使用,否则状态为未使用。

·     IP地址组:包含主机地址、范围地址和子网地址。支持IPv4IPv6两种类型。

服务管理

服务组中包含服务对象,用于匹配报文中的协议类型以及协议的特性(如TCPUDP的源端口/目的端口、ICMP协议的消息类型/消息码等)。服务组包括预定义服务组和自定义服务组,管理员可以根据需要自定义服务组。自定义服务组支持查询、增加、修改、删除操作。

时间段管理

时间段定义了一个时间范围,用户通过创建一个时间段并在域间规则中将其引用,就可以使该规则在此时间段定义的时间范围内生效。时间段包括绝对时间段和周期时间段:

·     周期时间段:表示以一周为周期(如每周一的812点)循环生效的时间段。

·     绝对时间段:表示在指定时间范围内(如2015118点至20151318点)生效的时间段。

安全域管理

安全域(Security Zone),是一个逻辑概念,用于管理设备上安全需求相同的多个接口。管理员将安全需求相同的接口进行分类,并划分到不同的安全域,统一应用安全策略,简化配置,方便管理。

使用限制和配置指导:

·     新增安全域时,需要选择目标设备和加入该安全域的接口。配置完成后,系统将下发该安全域配置到目标设备,下发配置需要一段时间。

·     为安全域选择接口时,已被加入到其它安全域的接口不能重复添加。

新增安全域的配置步骤如下:

在安全域管理页面,单击<新增>按钮,进入增加安全域页面。配置安全域名称和描述,并添加设备接口。单击<选择接口>按钮,在选择接口页面中,选择下发安全域的设备,以及该设备中需要加入该安全域的接口。单击<确定>按钮,系统将对该设备下发新增安全域的操作。

入侵防御

入侵防御是一种可以对应用层攻击进行检测并防御的安全防御技术。入侵防御通过分析流经设备的网络流量来实时检测入侵行为,并通过一定的响应动作来阻断入侵行为,实现保护企业信息系统和网络免遭攻击的目的。

新增入侵防御配置文件的配置步骤如下:

1.     在“入侵防御”页面单击<新增>按钮,进入“新增入侵防御”页面,配置配置文件的名称。

2.     在特征筛选条件区域,配置如下参数,筛选出配置文件中所需的入侵防御特征。

参数说明:

¡     保护对象:特征的保护对象。

¡     攻击分类:特征所属的攻击分类。

¡     缺省动作:特征的预定义动作。包括如下取值:丢弃、允许、重置、黑名单。

¡     严重级别:特征的严重级别,包括如下取值:严重、高、中、低。

¡     缺省状态:特征的推荐使用状态,该状态值用于标识特征库中缺省是否推荐使用该特征匹配报文。取值包括使能和未使能。其中,使能表示该特征具有广泛的使用场景、具备普遍性,缺省推荐使用;未使能表示该特征仅适用于特殊场景、不具备普遍性,缺省不推荐使用。

入侵防御配置文件将筛选出匹配所有条件的特征,如果某个条件配置了多个参数,则特征至少需要匹配上其中一个参数,才表示匹配上该属性。

3.     (可选)在统一配置区域,可选择配置如下参数。

参数说明:

¡     策略匹配统计:开启此功能后,可以统计报文命中入侵防御配置文件的次数。

¡     动作:特征统一执行的动作,动作类型包括:缺省、黑名单、丢弃、允许、重置和重定向。如果动作为缺省,则对筛选出的特征执行各自的缺省动作。

¡     日志:对匹配特征的报文记录日志。

¡     抓包:对匹配特征的报文进行抓包。

¡     版本基线:用于帮助用户快速筛选出基线版本与当前版本之间新增的特征,设备将使用基线版本的特征与报文进行匹配,而不必回滚至基线版本的特征库版本。新增的特征将被置为非生效状态。基线下拉框中可选择的版本号由设备侧同步得到。如果基线版本号配置为1.0.83,当前特征库版本为1.0.86,则8386之间新增加的特征不生效,即不能用于匹配报文,并显示在未生效特征列表中。如果希望对这些新增的特征进行自定义设置或移动到生效列表中,则需要先将基线版本号调整为新增特征的版本号。

4.     (可选)在筛选特征区域,可更改“生效特征列表”和“非生效特征列表”中特征的状态和执行的动作。选择指定的特征,单击<更改状态>按钮,可修改特征的状态;单击<编辑>按钮,可修改对匹配该特征报文执行的动作。

5.     单击<选择设备>按钮,选择需要下发该入侵防御配置文件的设备。单击<确认>按钮,完成设备的选择。

6.     单击<确认>按钮,完成入侵防御配置文件的配置,配置文件将下发至该设备。

7.     在安全策略的IPS策略中引用此配置文件。有关安全策略的详细配置介绍请参见“安全策略”。

入侵防御白名单

当发现入侵防御日志中存在误报的情况时,可通过开启白名单功能,将误报日志中提取到的威胁ID(入侵防御特征ID)、URLIP地址加入白名单。设备对匹配白名单的报文放行,可以减少误报。

新增入侵防御白名单的配置步骤如下:

1.     在“入侵防御白名单”页面,单击<新增>按钮,进入“新增入侵防御白名单”页面。配置如下参数。

参数说明:

¡     名称:配置入侵防御白名单的名称。

¡     描述:配置入侵防御白名单的描述信息。

¡     威胁ID:从误报的日志中提取到的入侵防御特征ID

¡     URL:从误报的日志中提取到的URL,由报文头域和报文首行组成,例如:10.153.93.166/wnm/get.j

¡     匹配模式:URL的匹配方式,取值包括精确匹配和字串匹配。其中,精确匹配要求报文中URL必须和配置的URL完全一致才能匹配成功;子串匹配要求报文中携带的URL只要包含配置的URL即可匹配成功。

¡     IP地址:从误报的日志中提取到的IP地址。

¡     IP地址类型:IP地址类型,取值包括IPV4IPv6

2.     单击<选择设备>按钮,选择需要下发该入侵防御白名单的设备。单击<确认>按钮,完成设备选择。

3.     单击<确认>按钮,完成入侵防御白名单的配置,白名单将直接下发至该设备。

防病毒

防病毒功能是一种通过对报文应用层信息进行检测来识别和处理病毒报文的安全机制。防病毒功能凭借庞大且不断更新的病毒特征库可有效保护网络安全,防止病毒在网络中的传播。将具有防病毒功能的设备部署在企业网入口,可以将病毒隔离在企业网之外,为企业内网的数据安全提供坚固的防御。目前,该功能支持对基于以下应用层协议传输的报文进行防病毒检测:

HTTPHypertext Transfer Protocol,超文本传输协议)

FTPFile Transfer Protocol,文件传输协议)

SMTPSimple Mail Transfer Protocol,简单邮件传输协议)

IMAPInternet Mail Access ProtocolInternet邮件访问协议)

POP3Post Office Protocol - Version 3,邮局协议版本3

新增防病毒配置文件的配置步骤如下:

1.     在“防病毒”页面单击<新增>按钮,进入“新增防病毒配置文件”页面,配置如下参数。

参数说明:

¡     名称:防病毒配置文件的名称。

¡     描述:通过合理编写描述信息,便于管理员快速理解和识别防病毒配置文件的作用,有利于后期维护。

¡     上传:对HTTPFTPSMTPIMAP协议上传方向的报文进行病毒检测。其中,SMTP协议只支持上传方向。

¡     下载:对HTTPFTPPOP3IMAP协议下载方向的报文进行病毒检测。其中,POP3协议只支持下载方向。

¡     动作:设备可根据报文的应用层协议类型和传输方向来对其进行病毒检测,如果检测到病毒,则对此报文执行此处指定的动作。动作包括:告警、阻断、重定向。IMAP协议只支持告警动作。

2.     (可选)缺省情况下,设备基于应用层协议的防病毒动作对符合病毒特征的报文进行处理,当需要对某应用层协议上的具体应用采取不同的动作时,可在应用例外区域中在下拉框中选择指定的应用,单击右侧的<添加>按钮,将指定的应用添加到应用例外列表中,可为应用配置动作。设备将对该匹配该应用的报文执行配置的动作。例如,对HTTP协议进行允许通过处理,但是需要对HTTP协议上承载的游戏类应用采取阻断动作,这时就可以把所有游戏类的应用设置为应用例外,并配置动作为阻断。

3.     (可选)当发现某类检测出病毒的报文被误报时,可以把该报文对应的病毒特征设置为病毒例。当后续再有检测出包含此病毒特征的报文通过时,设备将对其执行允许动作。

4.     单击<选择设备>按钮,选择需要下发该防病毒配置文件的设备。单击<确认>按钮,完成设备选择。

5.     单击<确认>按钮,完成防病毒配置文件的配置。防病毒配置文件将立即下发到指定的设备。

6.     在安全策略的防病毒策略中引用此配置文件。有关安全策略的详细配置介绍请参见“安全策略”。

应用管理

APRApplication Recognition)即应用层协议识别。基于应用的业务在进行报文处理时需要知道报文所属的应用层协议,APR可以为这样的业务提供应用识别服务,并能够对接口上接收或者发送的某个应用层协议的报文进行数目和速率统计。APR为了更好地识别报文所属的应用层协议,提供了两种应用识别方法:基于端口的应用识别和基于内容特征的应用识别。

·     PBARPort Based Application Recognition,基于端口的应用层协议识别):根据定义的应用层协议端口与应用的映射关系识别报文所属的应用层协议。

·     NBARNetwork Based Application Recognition,基于内容特征的应用层协议识别):提取应用报文区别于其它应用报文的特征,通过将报文的内容与特征库中的特征项进行匹配来识别报文所属的应用层协议。

新增自定义应用的配置步骤如下:

1.     在“应用管理”页面选择应用服务页签。单击<新增>按钮,进入“新增自定义应用”页面。

2.     配置应用的名称

3.     单击<新增>按钮,进入新增端口映射页面,配置如下参数。

参数说明:

¡     端口号:表示指定与应用层协议映射的端口。

¡     协议类型:表示指定应用层协议使用的传输层协议。取值包括allDCCPDatagram Congestion Control Protocol,数据报拥塞控制协议)、SCTPStream Control Transmission Protocol,流控制传输协议)、TCP协议、UDP协议和UDP-Lite协议。其中,all表示所有传输层协议的指定端口的报文均被识别为指定应用层协议的报文

¡     匹配方式:端口映射的匹配方式,取值包括all(通用端口映射)、基于IPv4地址的主机端口映射、基于IPv4网段的主机端口映射、基于IPv4 ACL的主机端口映射、基于IPv6地址的主机端口映射、基于IPv6网段的主机端口映射和基于IPv6 ACL的主机端口映射。其中,对于基于IPv4IPv6 ACL的主机端口映射,平台仅支持使用设备上已有的ACL

4.     单击确认按钮,完成应用配置。

5.     单击<选择设备>按钮,选择需要下发应用的设备。单击<确认>按钮,完成设备的选择。

6.     单击<完成>按钮,应用将下发到指定的设备。

可以将具有相似特征或者相似限制要求的应用添加到一个应用组。设备最多可支持配置1000个应用组,每个应用组里最多可以包含1000个用户自定义应用,预定义应用无限制。

新增应用组的配置步骤如下:

1.     在“应用管理”页面选择自定义应用组页签。单击<新增>按钮,进入“新增自定义应用组”页面。

2.     配置应用组的名称和描述信息。

3.     在“类别”区域,筛选出指定类型的应用。筛选结果将显示在“可选应用”列表中。

4.     选择需要加入应用组的应用,单击右侧的<>按钮,可将所选应用加入右侧的“已选应用”列表中;或者可以单击<>按钮,将所有应用加入右侧的“已选应用”列表中。

5.     单击<选择设备>按钮,选择需要下发应用组的设备。单击<确认>按钮,完成设备的选择。

6.     单击<确认>按钮,应用组将下发到指定的设备。

安全策略

安全策略通过指定源/目的安全域、源IP/MAC地址、目的IP地址、服务、应用、用户和时间段等过滤条件匹配出特定的报文,并根据预先设定的策略动作对此报文进行处理;若报文未匹配上任何策略,则丢弃该报文。当安全策略中未配置过滤条件时,则该策略将匹配所有报文。

新增安全策略

新增安全策略的配置步骤如下:

1.     在“安全策略”界面下,单击<新增>按钮,进入新增安全策略界面。配置如下参数。

参数说明:

¡     策略名称:表示安全策略的名称,同一类型安全策略的名称不能相同。

¡     源安全域:配置源安全域作为安全策略的过滤条件。

¡     目的安全域:配置目的安全域作为安全策略的过滤条件。

¡     动作:安全策略动作包括如下:

-     允许:表示对符合安全策略过滤条件的报文进行允许通过处理。

-     拒绝:表示对符合安全策略过滤条件的报文进行阻断处理。

¡     IP类型:安全策略包括IPv4IPv6两种类型。

¡     IP地址组:配置源IP地址组作为安全策略的过滤条件。

¡     目的IP地址组:配置目的IP地址作为安全策略的过滤条件。

¡     服务组:配置服务组作为安全策略的过滤条件。

¡     应用:配置应用作为安全策略的过滤条件。

¡     应用组:配置应用组作为安全策略的过滤条件。

¡     时间段:配置安全策略生效的时间段。

¡     IPS策略:在安全策略中引用入侵防御策略,设备将对符合安全策略过滤条件的报文进行入侵防御业务处理。

¡     防病毒策略:在安全策略中引用防病毒策略,设备将对符合安全策略过滤条件的报文进行防病毒业务处理。

¡     描述信息:通过配置描述信息,便于管理员快速理解和识别此安全策略的作用。

¡     日志记录:开启日志记录功能后,对符合安全策略过滤条件的报文记录日志信息。

¡     统计功能:开启开启策略匹配功能后,对符合安全策略过滤条件的报文进行数据统计。

¡     启用策略:开启本功能后,安全策略开始生效。

2.     配置上述参数后,单击<确认>按钮,完成安全策略的创建。

管理员可对安全策略进行删除、编辑和复制的操作。

策略下发任务

该功能用于批量下发安全策略到多个设备并展示下发结果。

新增策略下发任务的配置步骤如下:

1.     在“策略下发”页面,单击<新增>按钮,进入新增策略下发任务页面。配置如下参数:

参数说明:

¡     任务名称:策略下发任务名称,名称不可重复。

¡     任务描述:通过配置描述信息,便于管理员快速理解和识别此策略下发任务的作用。

2.     单击<选择设备>按钮,选择将安全策略下发到目标设备。单击<确认>按钮,完成设备的选择。

3.     单击<确认>按钮,完成策略下发任务的创建,并进入“策略详情”页面。

4.     在策略详情页面添加需要下发到目标设备上的安全策略。可通过新增和选择已有安全策略的方式添加安全策略。并可以对待下发的安全策略进行调序、移动、删除和冗余分析的操作。

策略审计

该功能用于分析某设备在策略下发任务中创建或选择的策略与业务配置中策略的配置内容对比,并展示对比的结果和详细内容。

1.     单击<开始审计>按钮,将对指定的设备进行策略审计,并统计出不同标签对应的策略数目。

2.     标签分为未纳管未下发不一致,页面提示信息可查看标签的定义:

¡     未纳管:设备已有的策略已同步至业务配置,且未在策略下发任务中管理的策略;需要注意通过业务配置模块下发的策略不认定为未纳管策略。

¡     未下发:在策略下发任务中已配置,但在设备侧不存在的策略。

¡     不一致:在策略下发任务中已配置,并且在设备侧也存在,但双方存在差异的策略。

3.     单击指定设备标签不为0的值,可进入策略审计详情列表,展示该标签分类下的策略审计结果,并且将有差异的配置高亮展示。

4.     审计结果显示差异概况,当该策略属于不一致标签分类是,审计结果可下钻,下钻页面展示平台侧和设备侧的每条策略对比详情。

5.     单击<批量备注>,每条策略审计结果可批量修改备注信息并保存。

6.     单击<一键覆盖>,可选择指定策略,在各自所属的策略下发任务中重新下发到其关联的设备。

特征库管理

使用限制和配置指导

使用特征库管理功能前必须确保设备已配置NETCONF over SOAP功能,且设备已被平台添加为资产并指定所属区域和引用SOAP参数。

设备特征库

设备特征库页面可查看所有设备的特征库信息,并支持对设备进行特征库升级和回滚操作。

使用限制和配置指导

如果界面没有展示特征库信息,建议到“运维管理 > 设备管理 > 设备管理”页面,查看是否已添加资产,并同步成功。

特征库升级

1.     在设备特征库页面,选择目标设备,单击<升级>按钮,选择特征库文件。单击<确认>按钮,设备将使用该文件进行特征库升级。

2.     升级成功后,选择目标设备,单击<同步>按钮,可显示该设备当前特征库版本升级结果。

特征库回滚

1.     在设备特征库页面,选中目标设备,单击<回滚>按钮,可选择将该设备上的IPS特征库(即入侵防御特征库)、AV特征库(即防病毒特征库)、APR特征库(即应用识别特征库)或URL特征库回滚到上一版本或出厂版本。

2.     回滚成功后,选择目标设备,单击<同步>按钮,可显示该设备当前特征库版本回滚结果。

升级文件服务器配置

特征库升级使用,仅在NAT场景或VPN场景中需要配置,非指定场景不需要额外修改。

特征库文件

该功能可管理特征库文件,包括上传特征库文件到平台、删除特征库文件,向子平台推送特征库文件。

上传特征库文件

在特征库文件页面,单击<文件上传>按钮,选择需要上传到平台的特征库文件,单击<上传>按钮。文件将被上传到平台。

即时推送特征库文件

1.     在特征库文件页面,选择需要推送的特征库文件,单击<文件推送>按钮,选择立即推送,选择推送的目标子级平台。单击<确认>按钮,系统会立即将特征库文件推送到子级平台。

2.     单击操作列的<详情>按钮,可查看推送结果。也可在“推送任务管理”页签中,查看推送结果。

定时推送特征库文件

1.     在特征库文件页面,选择需要推送特征库文件,单击<文件推送>按钮,选择定时推送,进入文件定时推送界面。

2.     选择推送的子级平台并设置定时推送的时间,单击<确认>按钮,系统将在指定时间将特征库文件推送到子级平台。

3.     单击操作列的<详情>按钮,可查看推送结果。也可选择“运维管理 > 特征库管理 > 推送任务管理”,查看任务运行结果,也可在该界面中停止或启用指定的推送任务。

官网自动下载特征库文件

1.     在特征库文件页面,打开“官网自动下载”开关,立刻触发一次从官网自动下载最新版本特征库文件的任务,并且展示启动状态和“最近更新时间”。

2.     从官网自动下载的最新版本特征库文件的“文件来源”列显示为 在线获取”。

3.     “官网自动下载”开关处于开启状态时,系统每日凌晨410分(错开整点定时任务)自动从官网下载最新特征库,并且更新启动状态和“最近更新时间”。

4.     若平台无法直接访问官网,则需要配置DNS服务器或者代理服务器。

自动升级特征库

1.     在特征库文件页面,仅在“官网自动下载”功能开启状态下,显示“自动升级”按钮开关。若关闭“官网自动下载”开关,则自动升级开关自动关闭并且隐藏。开启自动升级立即触发一次自动升级任务。

2.     若当前正在执行官网自动下载特征库任务,则自动升级将在全部文件下载完成后启动,按顺序升级所有版本低于最新特征库的设备的特征库。

3.     自动升级开启保持开启状态下,在每日凌晨的“官网自动下载”任务执行完成后,自动触发一次自动升级,并且记录升级结果。

配置代理服务器

在需要使用“官网自动下载”的功能时,本平台可能部署在内网,无法直接访问官网的特征库专区,此时可通过本功能配置代理服务器,解决上述问题。

配置管理

配置下发

配置下发页面可以配置不同的命令脚本生成不同的部署模板,并支持对设备进行配置模板下发和回滚操作。

使用限制和配置指导

使用配置下发功能前必须确保设备已开启SSH功能,且设备已被平台添加为资产并指定所属区域和引用SSH参数。

部署任务

用于关联配置模板与目标设备。管理员可通过在部署任务中引用配置模板,实现向多台设备批量下发相同的配置。

新增部署任务的步骤如下:

1.     选择“运维管理 > 配置管理 > 配置下发 > 部署任务”。

2.     单击<新增>按钮,进入新增部署任务界面。

3.     在基本配置区域配置如下参数。

¡     名称:部署任务的名称。

¡     描述:部署任务的描述信息,便于管理员快速理解和识别任务的作用,有利于后期维护。

4.     在选择模板区域,选择已创建的配置模板。

5.     在选择设备区域,单击<选择设备>按钮,进入关联设备界面,按照实际需求,选择需要下发配置的目标设备。

6.     如果引用的配置模板中使用了变量,则需要在设备列表中单击指定目标设备右侧的<>按钮,在弹出的配置参数框中,根据变量名称,为各个变量赋予需要下发到目标设备上的实际值。单击<确认>按钮,完成变量赋值。

7.     单击<确认>按钮,完成目标设备的选择。

8.     单击<确认>按钮,完成新增部署任务。

部署回滚的具体配置步骤如下:

在部署任务页面,选中目标任务,单击<回滚>按钮,可将下发至设备的部署模板回滚到下发前的状态。回滚成功后,可以下发结果处,查看回滚结果。

部署模板

包含需要下发到目标设备的配置命令以及目标设备的厂商信息和设备类型。其中,命令支持以脚本的形式进行配置。

新增部署模板的步骤如下:

1.     选择“运维管理 > 配置管理 > 配置下发 > 部署模板”。

2.     单击<新增>按钮,进入新增配置模板界面。配置参数如下:

¡     模板名称:部署模板的名称。

¡     描述:部署模板的描述信息,便于管理员快速理解和识别模板的作用,有利于后期维护。

¡     适用设备:设备所属的厂商和设备类型。

¡     配置脚本:需要下发到设备的配置命令,多条命令间使用逗号或换行符进行分割。平台支持在命令中使用变量,这样可提升模板的复用性。变量格式为:${变量名称},管理员需要在配置部署任务时为各个变量设置实际的内容,当平台向设备下发配置脚本时,变量会被替换为管理员设置的实际内容。例如,脚本内容为“blacklist ip ${阻断IP}”,管理员为“阻断IP”这个变量设置的实际内容为“1.1.1.1”,则平台最终会将“blacklist ip 1.1.1.1”下发到目标设备。

3.     单击<确认>按钮,完成新增部署模板。

配置文件

使用限制和配置指导

使用本功能前必须确保设备已配置NETCONF over SOAP功能,且设备已被平台添加为资产并指定所属区域和引用SOAP参数。

同步配置文件

同步功能可将设备上配置文件信息同步到本平台进行统一的展示。

选择一个或多个设备,单击<同步>按钮,可将选中设备上的配置文件同步至平台。

配置文件查看

在列表页面中,单击<详情>按钮,可查看该设备的配置文件详情。

抓包取证

使用限制和配置指导

·     使用本功能前,必须确保设备已配置NETCONF over SOAP功能,且设备已被平台添加为资产并指定所属区域和引用SOAP参数。

·     使用本功能前,需要在设备侧配置报文捕获参数。

抓包任务下发

本功能用于将抓包相关配置下发至设备,设备将按照配置参数进行报文捕获,并上报至本平台。

配置步骤如下:

1.     选择一个设备,单击设备列表中的<>按钮,配置报文捕获的接口以及抓包时长。

2.     点击<开始抓包>按钮,平台会将任务下发至设备。

抓包文件查看

本功能支持以列表的形式展示当前获取的抓包文件信息,包括名称、大小。同时支持下载抓包文件。

单击指定抓包文件右侧的<>按钮,下载抓包文件到本地进行查看。

终端资产管理

本功能用于对所有的终端进行管理,包括新增、修改、删除、批量审批、导入、封堵和放通的操作,并支持查看终端的具体信息。

使用限制和指导

本功能需要管理员先在视频网关设备上配置终端识别功能、带宽检测功能、带宽阈值学习功能、IP黑名单等相关功能。具体配置步骤请参见视频网关设备配套的用户手册。

所有终端

本功能包含了新发现终端和非法终端界面下的所有终端信息,支持对终端进行新增、修改、删除、批量审批、导入、封堵和放通的操作,并支持多条件查询终端信息。

新增终端信息

新增终端信息的具体配置步骤如下:

1.     在所有终端页面,单击<新增>按钮,进入新增终端信息界面,配置如下参数。

参数说明:

¡     名称:终端的名称。

¡     IP地址:终端的IP地址。

¡     MAC地址:终端的MAC地址。

¡     终端类型:终端的具体类型,例如摄像头、WIFI探针等。默认为普通监控。

¡     协议:终端使用的协议。

¡     操作系统:终端的操作系统。

¡     厂商:终端所属的厂商,默认为其厂商。

¡     终端型号:终端的具体型号。

¡     区域:终端所属的区域。

¡     管理网关:终端所属的网关设备。

2.     单击<确认>按钮,完成新增终端信息。

批量导入终端

1.     在所有终端页面,单击<导入>按钮,选择终端批量导入模板下载。

2.     按照模板中的说明填写终端信息后,再次单击<导入>按钮,选择终端导入。单击<选择>按钮,选择已经填写终端信息的模板文件,即可批量导入终端。

3.     完成以上操作后,单击<导入>按钮,选择操作结果,可查看终端导入结果。

批量审批

1.     在所有终端页面,选择一条或多条终端信息后,单击<批量审批>按钮。

2.     批量修改终端的合规状态,包括非法和合法。

修改合规状态

终端包含合法和非法两种合规状态。

·     合法:表示管理员信任当前识别出的终端信息,将其标识为合法,便于在终端信息变化时,作为参考。标识为合法后,平台会将此终端IP添加到管理该终端的视频网关的IP白名单中。

·     非法:表示管理员不信任当前识别出的终端信息。标识为非法后,平台会将此终端IP添加到管理该终端的视频网关的IP黑名单中。

修改通行状态

1.     在所有终端页面,单击某一个终端信息右侧“通行状态”下的<放通><封堵>按钮。

2.     修改终端的通行状态为封堵或放通,即阻断或放行该终端的流量。

新发现终端

本功能用于展示本平台通过主动采集和被动流量识别所发现的终端,包括视频终端和其他终端。支持对终端进行新增、修改、删除、批量审批、导入、封堵和放通的操作,并支持多条件查询终端信息。具体操作步骤请参见所有终端

·     视频终端:通过被动流量识别功能识别出的终端都属于视频终端。本平台主要通过同步视频网关设备上的终端信息表以及接收视频网关设备的终端日志来获取终端信息。

·     其他终端:通过资产探测主动采集的终端属于其他终端,支持多条件查询终端信息。

非法终端

本功能用于展示合规状态为非法的终端的信息,支持对终端进行批量审批、封堵和放通的操作,并支持多条件查询终端信息。

业务分析

本功能包括异常流量、NAT网中网、弱口令三个模块,是通过分析异常流量日志、终端识别日志和弱口令类型的漏洞攻击日志生成的。

异常流量

本功能基于对异常流量日志进行分析,方便管理员对产生异常流量的终端设备进行批量处理、一键处理、封堵/放通以及下钻查看原始事件的操作。

批量处理/一键处理

·     批量处理:选择一条或多条异常流量终端信息,可批量处理成已处理或未处理的状态。

·     一键处理:用于将所有未处理的异常流量终端信息修改成已处理的状态。

事件数

支持通过单击“事件数“列下的统计值,可下钻跳转到原始日志查询页面,查看异常流量的原始日志详情。

修改通行状态

支持通过单击“通行状态“列下的<放通><封堵>按钮,修改通行状态为封堵或放通。即阻断或放行该流量。

NAT网中网

NAT网中网是指对通过NAT方式私接网络的场景。本功能通过对异常流量日志和终端识别日志的分析,基于“流量阈值“以及”终端指纹信息变化频率“两个维度来检测是否存在“NAT网中网“。

本功能支持对检测出NAT网中网的终端进行批量处理、一键处理、封堵/放通功能,原始事件数的下钻页查看。

配置

用于配置NAT网中网的检测参数,包括流量阈值、时间周期和阈值。

NAT网中网的具体配置如下:

1.     勾选<启用流量监测>,开启流量监测功能。

2.     配置流量阈值,当检测到的终端流量高于阈值时,则认为可能存在NAT网中网。

3.     勾选<启用终端变更监测>,开启流终端信息变更监测功能。

4.     配置时间周期与阈值,用于检测终端信息的变化频率,即在指定的时间周期内,终端指纹信息(例如MAC地址、厂商等)变化的次数若达到上限,则认为可能存在NAT网中网。

批量处理/一键处理

·     批量处理:选择一条或多条终端信息,可批量处理为已处理或未处理的状态。

·     一键处理:将所有处于未处理状态的终端修改成已处理的状态。

事件数

单击“事件数“列下的统计值,可下钻跳转到原始日志查询页面,查看原始日志详情。

修改通行状态

支持通过单击“通行状态“列下的<放通><封堵>按钮,修改通行状态为封堵或放通。即阻断或放行该终端流量。

弱口令

本功能通过对“弱口令”类型的漏洞攻击日志进行分析,可展示受到弱口令攻击的终端信息,并支持对终端进行批量处理、一键处理、封堵/放通以及下钻查看原始日志的操作。

批量处理/一键处理

·     批量处理:选择一条或多条终端信息,可批量处理为已处理或未处理的状态。

·     一键处理:将所有处于未处理状态的终端修改成已处理的状态。

事件数

单击“事件数“列下的统计值,可下钻跳转到原始日志查询页面,查看原始日志详情。

修改通行状态

支持通过单击“通行状态“列下的<放通><封堵>按钮,修改通行状态为封堵或放通。即阻断或放行该终端流量。

网关管理

本功能用于展示本平台管理的视频网关设备信息,可对视频网关设备下发IP白名单、MAC白名单以及通过配置脚本直接下发命令,同时支持终端识别模式的修改和查看设备的封堵详情。

使用限制和配置指导

使用本功能之前,需要保证视频网关设备是在线状态并且在设备管理中是同步成功的状态。

全局配置

可配置白名单模式为IPMAC模式。

·     MAC白名单模式:表示仅放行匹配MAC白名单的终端流量。

·     IP白名单模式:表示仅放行匹配IP白名单的终端流量。此模式下可以继续配置识别模式。

¡     告警模式:该模式下,当终端信息发生变化时,视频网关设备会向用户发送日志进行告警。

¡     白名单模式:该模式下,设备仅放行匹配白名单的终端流量,未匹配白名单的终端流量将被阻断。其中,对于匹配白名单的终端流量,当终端信息变化时,用户可以根据实际需求,对终端执行放通或阻断动作。

白名单配置

单击<白名单配置>按钮,可进入IP/MAC白名单配置页面。可新增,修改或删除IP/MAC白名单成员。

脚本配置下发

单击<脚本配置下发>按钮,进入脚本配置下发页面。平台默认提供预定义的配置片段,管理员可根据实际需求修改配置,单击<确认>按钮后,平台会将配置直接下发给视频网关设备。

查看封堵详情

单击<封堵详情>按钮后,可查看指定视频网关设备的封堵详情。

系统配置

 

本功能用于管理系统相关的配置,如设置用户对本系统的操作权限、记录用户操作日志、系统名称及Logo定制、分级系统管理等。

系统管理

全局配置

系统参数

本功能用于设置用户登录相关的参数或恢复缺省设置。

参数说明:

·     户闲置超时时长:用户在本参数设置的时间内一直没有操作Web界面,系统会强制断开该用户的Web连接,使该用户下线。

·     允许登录失败次数:允许连续登录失败次数。

·     登录失败锁定时长:达到允许连续登录失败次数后,需要等待本参数设置的时间后才能重新登录。

·     高级模式配置:开启本功能后,系统将会打开入侵防御易用性以及入侵防御白名单相关功能。

邮件服务器

本功能用于配置发送安全事件邮件的邮件服务器参数。

参数说明:

·     协议:支持SMTPExChange

·     开启SSL:开启本功能后,邮件将使用SSL协议进行加密传输。

·     邮件服务器地址:邮件服务器的IP地址或主机名。

·     端口号:邮件服务器的端口号。

·     邮箱账号:系统向外发送邮件时使用的账号。

·     密码:邮箱的账号密码。

·     邮箱测试:勾选本功能后,可测试邮箱服务器是否可用。

·     接收者地址:用于邮箱测试的接收者邮箱地址。单击<发送邮件测试>按钮,系统将使用上述配置的参数进行邮件发送测试。

告警规则设置

系统告警规则:该功能用于设置系统CPU、内存、磁盘(数据)、磁盘(系统)的告警阈值,当其中某项的利用率达到所设置的阈值,系统将发出告警提示信息。

系统告警规则的具体操作步骤如下:

1.     选择系统配置 > 全局配置 > 告警规则设置“,选择系统告警规则页签。

2.     单击指定告警规则右侧的<编辑>按钮,进入编辑告警规则页面,可修改规则参数。

参数说明:

¡     规则名称:告警规则名称,包括CPU、内存、磁盘(数据)、磁盘(系统)。

¡     告警阈值:CPU、内存、磁盘(数据)、磁盘(系统)的使用率的上限值。

¡     告警级别:告警信息的严重级别,取值包括严重、警告和通知。

¡     告警描述:告警信息的描述信息,格式固定为“%主机名%XXX利用率超过%阈值%“。其中,”%主机名%“表示触发告警的主机名;”XXX“表示告警规则的类型,取值包括CPU、内存、数据盘或系统盘;”%阈值%“表示告警阈值。

3.     单击<确认>按钮,完成告警规则参数的配置。

设备告警规则:该功能用于设置设备离线和长时间无日志上报时是否开启弹窗提示,并可以配置提示弹窗的间隔时长、无日志上报的间隔时长以及告警关注的设备。

认证服务器配置

该功能用于配置对用户身份信息进行认证的RADIUS服务器。平台将用户信息传输到指定的RADIUS服务器,然后根据服务器返回的信息进行相应处理(如接受/拒绝用户接入)。

参数说明:

·     认证方式:表示服务器认证用户的方式,包括CHAPPAP

·     RADIUS服务器IP地址:表示服务器的IP地址。

·     认证端口:表示服务器的端口号。

·     共享密钥:表示与服务器交互信息时使用的密钥。

平台网络设置

该功能用于配置DNS服务器IP地址。当使用官网自动下载特征库文件功能,需要配置本功能。

配置步骤如下:

1.     选择“系统配置 > 系统管理 > 全局配置 > 平台网络设置”,进入平台网络设置页面。

2.     填写DNS服务器IP地址,单击<确认>按钮,完成配置。

统一平台配置

该功能用于配置统一管理平台信息,用于本平台注册至上层管控平台。

配置步骤如下:

1.     选择“系统配置 > 系统管理 > 全局配置 >统一平台配置”,进入统一平台配置页面。

2.     根据实际情况填写注册IP地址、端口,单击<确认>按钮,完成配置。

系统登录白名单

该功能用于配置登录系统的白名单,配置后,仅在白名单列表中的IP地址才可以访问本平台。请谨慎操作。

新增系统登录白名单的配置步骤如下:

1.     选择“系统配置 > 系统管理 > 全局配置 > 系统登录白名单”,进入系统登录白名单页面。

2.     单击<新增>按钮,进入新增系统登录白名单页面。配置如下参数。

参数说明:

¡     类型:配置的白名单地址类型,取值包括单IPIP地址范围。

¡     IP:需要加入白名单的IP地址或IP地址范围。

¡     描述:白名单的描述信息。

3.     单击<确认>按钮,完成系统登录白名单的配置。

数据清理设置

数据清理功能可自动周期性检查并清理系统中原始日志,当日志存储容量或存储时间达到阈值条件时会触发删除告警,系统将删除存储时间最早的原始日志,直到原始日志的存储空间或存储天数降到清理阈值以下。

参数说明:

·     日志存储空间阈值:日志存储量占系统总容量的百分比达到空间阈值后,系统将清理存储时间最早的日志,直到日志存储百分比小于空间阈值。

·     时间阈值设置:日志存储天数达到设置的保存天数后将删除存储时间最早的原始日志。可单击指定类型日志右侧的<编辑>按钮,修改保存天数。

日志备份与恢复

该功能用于备份与恢复平台产生的大量日志数据,为用户提供更加灵活的方式管理日志数据。

·     日志备份:自动备份系统中的日志。配置正确的FTP服务器连接参数并启用备份功能后,系统将于配置的开始时间,打包前一天的日志数据并将其转储至目标FTP服务器上。一次最多只能备份50GB日志数据包,超过50GB会备份失败。

·     日志恢复:可从目标FTP服务器上恢复指定时间区间内的日志数据。

日志备份的具体操作如下:

1.     选择“系统配置 > 系统管理 > 全局配置 > 日志备份与恢复”,选择“日志备份”页签。

2.     配置相关参数。

参数说明:

¡     FTP路径:将系统中的日志转储到该FTP服务器的对应目录下。

¡     用户名:FTP的登录用户名,用于连接FTP服务器,上传备份的日志。

¡     密码:FTP的登录密码,用于连接FTP服务器,上传备份的日志。

¡     开始时间:设置日志备份功能启用时间。

3.     单击<启用>按钮,开启日志备份功能。备份成功的日志记录将展示在下方的日志备份记录列表中。

如需停止日志备份功能,可单击<停用>按钮,停止备份日志。

日志恢复的具体操作如下:

4.     选择“系统配置 > 系统管理 > 全局配置 > 日志备份与恢复”,选择“日志恢复”页签

5.     配置相关参数。

参数说明:

¡     FTP路径:FTP服务器用于存放备份日志文件的路径。

¡     用户名:FTP的登录用户名,用于连接FTP服务器。

¡     密码:FTP的登录密码,用于连接FTP服务器。

¡     时间区间:在该时间段内的备份的日志将被恢复到本系统,最大恢复时间段为7天(包含开始时间和结束时间)。

6.     单击<开始恢复>按钮,系统将根据配置的参数恢复日志。恢复成功的日志记录将展示在下方的恢复任务记录列表中。

日志转发策略

该功能用于将本平台收集的日志转发到其他日志分析平台或日志接收系统。

新增日志转发策略的配置步骤如下:

1.     选择“系统配置 > 系统管理 > 全局配置 > 日志转发策略”,进入日志转发策略页面。

2.     单击<新增>按钮,进入新增日志转发策略页面。配置如下参数。

参数说明:

¡     接收主机IP:接收本平台转发的日志数据主机的IPv4地址。

¡     接收端口:接收本平台转发的日志数据的目的端口。

¡     日志内容:选择需要转发的日志字段。

¡     级别:选择需要转发的日志级别。

3.     单击<确认>按钮,完成日志转发策略的配置。

日志检索黑白名单

本功能用于根据漏洞日志中提取的信息生成黑白名单,可快速阻断或放行报文。

新增黑白名单的配置步骤如下:

1.     选择“系统配置 > 系统管理 > 全局配置 > 日志检索黑白名单”,进入日志检索黑白名单页面。

2.     单击<新增>按钮,进入新增黑白名单页面。配置如下参数。

参数说明:

¡     策略名称:黑/白名单的名称。

¡     描述:黑/白名单的描述信息。

¡     类型:标识名单类型,取值包括黑名单和白名单。如果为黑名单,则对匹配黑名单的报文进行阻断;如果为白名单,则对匹配白名单的报文执行放行动作。

¡     IP:日志中提取出的报文源IP地址。

¡     目的IP:日志中提取出的报文目的IP地址。

¡     目的端口:日志中提取出的报文目的端口。

¡     HOST字段:日志中提取出的报文HOST字段信息。

¡     真实源IP:日志中提取出的报文真实源IP地址。

¡     动作:日志中提取出的报文被执行的动作。

¡     特征ID:日志中提取出的报文匹配到的特征ID

3.     单击<确认>按钮,完成黑白名单的配置。

配置黑白名单功能后,当报文匹配到黑/白名单时,管理员可到日志中心页面进行查看。匹配黑白名单的报文日志中,将携带黑/白名单的类型。

为了减少管理员手工新增黑白名单工作量,平台支持导入黑白名单。配置步骤如下:

1.     选择“系统配置 > 系统管理 > 全局配置 > 日志检索黑白名单”,进入日志检索黑白名单页面。

2.     单击<导入>按钮,选择黑白名单模板下载。

3.     根据实际情况,按照模板中的格式要求输入黑白名单信息。Excel表格中一次最多可配置5000条数据。

4.     再次单击<导入>按钮,选择黑白名单导入。进入导入Excel文件页面,可通过单击<选择>按钮,或直接将上一步骤中配置好的文件拖拽到“拖拽指示区”内。

安全事件转发策略

本功能用于将本平台收集的安全事件转发到其他日志分析平台或日志接收系统。

新增安全事件转发策略的配置步骤如下:

1.     选择“系统配置 > 系统管理 > 全局配置 > 安全事件转发策略”,进入安全事件转发策略页面。

2.     单击<新增>按钮,进入新增安全事件转发策略页面。配置如下参数。

参数说明:

¡     接收主机IP:接收本平台转发的安全事件主机的IPv4地址。

¡     接收端口:接收本平台转发的安全事件的目的端口。

¡     工行格式:是否以工商银行的格式要求进行转发。

¡     事件名称:需要转发的安全事件名称。仅当选择使用工行各式时需要配置。

¡     事件级别:需要转发的安全事件级别。仅当选择使用工行各式时需要配置。

¡     事件内容:选择需要转发的安全事件信息字段。

¡     安全状态:选择需要转发的安全事件状态。

3.     单击<确认>按钮,完成告警事件转发策略的配置。

系统监控

管理员可实时监控平台整体运行状态和资源消耗情况,包括平台CPU使用率、内存使用率、磁盘的系统区与数据区的使用率,还可以查看平台的核心服务与各服务器节点的运行状态。

参数说明:

·     平台整体运行状态

¡     整体运行状态:平台的整体运行状态由节点运行状态和核心服务状态共同决定,包括健康和故障:

-     平台中除cyber2外的任意节点离线,整体运行状态显示故障。

-     任意核心服务故障,整体运行状态显示为故障。

¡     CPU使用率:集群CPU的总容量和当前使用百分比。

¡     内存使用率:集群内存总容量合和当前使用百分比。

¡     磁盘[系统区]使用率:集群中所有系统盘总容量和当前使用百分比。

¡     磁盘[数据区]使用率:集群中所有数据盘总容量和当前使用百分比。

·     核心服务监控

¡     名称:核心服务的名称。

¡     状态:服务的运行状态,包括健康和故障:

-     对于在线服务,若该服务包含的任意进程异常退出,则该服务状态为故障。

-     对于离线服务,若在调度周期内启动失败,则该服务状态为故障。

¡     CPU使用率:服务包含的所有进程的CPU使用率总和。

¡     内存使用率:服务包含的所有进程的内存使用率总和。

·     节点监控

¡     名称:节点名称,组成安全业务管理平台的一台服务器为一个节点。

¡     状态:节点服务器的运行情况,包括健康和故障,若服务器离线则显示故障。

¡     CPU使用率:节点服务器的CPU使用百分比。

¡     内存使用率:节点服务器的内存使用百分比。

¡     磁盘[系统区]使用率:节点服务器的系统盘使用百分比。

¡     磁盘[数据区]使用率:节点服务器的数据盘的使用百分比。

角色及权限管理

安全业务管理平台预定义了4个缺省用户角色及4个相应角色的用户。其中,预定义角色不能修改或删除,包括业务管理员、系统管理员、审计管理员及超级管理员;预定义用户不能删除,但可以修改其用户全称、电话、邮箱、密码及登录认证方式。

不同角色的用户拥有不同的权限,为用户指定角色后可以实现用户权限管理。系统预定义角色、用户及其权限如下表所示。

表-1 系统预定义角色、用户及权限信息

用户名/密码

用户角色

用户权限

sysAdmin/sysAdmin

系统管理员

管理系统配置、区域、资产

buzAdmin/buzAdmin

业务管理员

管理各类安全业务

admin/admin@admin

超级管理员

所有权限

auditAdmin/auditAdmin

审计管理员

查看日志记录

 

用户可以根据实际需求自定义角色并赋予相应的权限,创建新用户。选择“系统配置 > 系统管理 > 角色及权限管理”即可对管理用户及角色信息。

用户管理

选择“系统配置 > 系统管理 > 角色及权限管理 > 用户管理”,进入用户管理页面,可查看、新增、修改或删除用户信息。

新增管理员的配置步骤如下:

1.     单击<新增>按钮,进入新增管理员页面。配置如下参数。

参数说明:

¡     账号:登录用户名。

¡     用户全称:用户全称,可与账号相同。

¡     登录认证:用户身份认证方式,支持RADIUS认证和简单密码认证。

¡     密码:登录用户的密码。

¡     确认密码:再次输入登录用户的密码。

¡     电话:用户联系方式,11位手机号。

¡     邮箱:用户邮箱,配置后可在告警策略中选为收件人,接收告警邮件。

¡     用户角色:选择用户所属角色。取值包括:超级管理员、业务管理员、系统管理员和审计管理员。

¡     登录状态:默认为正常,状态为锁定时不可登录。

2.     单击<确认>按钮,完成新增管理员的配置。

角色管理

选择“系统配置 > 系统管理 > 角色及权限管理 > 角色管理”进入角色管理页面,可查看、新增或删除角色信息。

新增角色的配置步骤如下:

1.     单击<新增>按钮,进入新增角色页面。配置如下参数。

参数说明:

¡     色名称:角色的名称。

¡     角色描述:配置有关此角色的描述信息。

2.     单击<确认>按钮,完成新增角色的配置。

系统支持为自定义角色赋予权限,管理员可选择指定的自定义角色,单击<权限>按钮,进入角色权限页面。可在界面导航中勾选指定界面前的复选框,为角色赋予该界面的操作权限。单击<确认>按钮,完成角色权限配置。

日志记录

本功能用于展示登录本系统的用户操作日志和系统日志。

操作日志:用于展示登录平台的操作人的用户名、IP地址及其操作内容等信息,便于管理员对登录用户行为进行审计。

系统日志:用户展示平台的系统信息,便于管理员了解平台下设备的日志上报情况和在线状态等信息。

个性化定制

本功能用于用户自定义系统名称和系统的Logo图片。

系统信息

本功能用于展示系统信息,包括产品名称、型号及软件版本号。

License

该功能用于管理系统license文件,包括展示当前已安装的特性许可文件、获取授权信息及导入许可文件。

获取授权码

该功能用于获取主机信息文件(安全业务管理平台的设备硬件信息和用户信息加密后生成的.did文件),使用主机信息文件、授权码及SN序列号即可登录官网申请License文件。

获取授权码的具体操作如下:

1.     选择系统配置 > License管理“,进入License管理页面。

2.     单击<获取授权申请码>按钮,进入产品注册页面,填写获取主机信息文件的配置信息,如下:

¡     输入最终用户信息,包括用户姓名、国家/地区、省/市、公司/单位名称、地址、邮编、邮件地址及联系电话。

¡     输入申请人信息:包括申请人姓名、公司/单位名称、电子邮件地址及联系电话。

¡     单击<下一步>进入下载文件页面。

¡     单击<下载>按钮即可下载主机信息文件。

导入许可文件

该功能用于导入从官网申请的License文件。

导入License文件的具体操作步骤如下:

1.     选择系统配置 > License管理“,进入License管理页面。

2.     单击<导入许可文件>按钮,进入产品注册页面,选择通过官网申请的激活后的license文件,单击上传完成操作。

3.     系统将解析并安装license文件。

分级管理

该功能用于监控本平台所拥有的子级平台或采集器状态。当需要将网络划分为不同的区域时,每个区域都需要通过安全业务管理平台进行管理,用户可根据实际情况选择一个安全业务管理平台作为父级平台,其他平台作为子级平台需要注册到父级平台下,并每隔1分钟上报一次资源使用信息(CPU负载、内存使用率、硬盘使用率等),管理员便可通过父级平台统一监控子级平台的状态。

配置限制和使用指导

·     父级平台下可以注册多个子级平台,子级平台下不能再注册子级平台。因此,只有父级平台的分级管理页面会显示子级平台信息。

·     不支持通过Web界面新增或删除父级或子级平台。

子平台注册

注册子级平台需要使用管理员账号密码通过SSH方式登录到子平台的后台,并进行如下操作:

说明

H3linux系统默认账号为root,密码为root。用户可以自行修改。登录时使用的账号和密码请以实际情况为准。

 

1.     进入/opt/ipsm/csap_com/config路径,修改配置文件application.yml

 

2.     具体修改内容,请参见如下截图。

¡     enabled参数改为true

¡     配置IP地址为主平台的IP地址。

 

3.     修改参数后保存退出。

 

4.     /opt/ipsm/csap_com/路径下重启子平台的cloudops服务,使子平台连接到主平台。

 

查看分级管理信息

管理员完成子平台注册后,可在“系统配置 > 分级管理“界面查看子平台的信息。

参数说明:

·     名称:子级平台名称。

·     类型:子级运维系统

·     IP:子级平台IP地址

·     描述:对子级平台或采集器的描述

·     注册状态:显示子级平台是否已经注册。

·     在线状态:子级平台状态,包括离线和在线两种状态。

·     最后一次信息上报时间:子级平台上一次上报资源使用情况的时间。

·     跳转到子平台:显示为图标,单击可跳转到该子平台的登录页面。

·     状态监控:显示为图标,单击可查看子级平台资源使用情况。

参数说明:

¡     最后一次信息上报时间:子平台最后一次信息上报时间。

¡     在线状态:展示子级平台系统是否在线。

¡     内存使用率:展示子级平台系统内存的使用情况。

¡     磁盘使用率:展示子级平台系统磁盘的使用情况。

¡     CPU利用率:展示子级平台的CPU使用情况。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们