- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
04-服务管理
本章节下载: 04-服务管理 (1.04 MB)
服务管理
本章节主要介绍以下内容:
· 服务链
· 引流配置
· 增强型防火墙
· 标准型防火墙
· 服务器安全监测
· Web应用防护
· 漏洞扫描
· 运维审计
· 数据库审计
· 日志审计
· 安全态势感知
· DDoS防护
· 负载均衡
服务链页面用于防护主机资源应对网络攻击,为主机资产提供保障服务。
服务链通过创建不同类型的防护链类型以及对应防护服务形成一条防护链,可以将不同的主机资产添加到对应的防护链中起到防护作用。
服务链类型用于将服务链进行分组管理,形成不同的服务链结构,为主机资产提供不同类型的防护。目前有五种服务链类型可以选择,分别是防火墙、Web应用防护、负载均衡、防火墙+Web应用防护、防火墙+负载均衡。
未防护资产是当前所有未添加到防护链中的主机,将未防护的资产添加到服务链中,可通过鼠标点击主机并拖拽到要添加的防护链上的虚线框中。
服务链的配置思路如下图所示:
图-1 服务链配置指导图
1. 选择“服务管理 > 服务编排 > 服务链”。
2. 单击<添加服务链>按钮,弹出“添加服务链”页面。
图-2 添加服务链
3. 服务链的具体配置内容如下表所示。
表-1 服务链配置参数表
|
参数 |
说明 |
|
名称 |
表示服务链的名称,每个服务链的名称不能相同 |
|
服务链类型 |
表示服务链的类型,包括防火墙、Web应用防护、负载均衡、防火墙+Web应用防护、防火墙+负载均衡 |
|
防火墙 |
选择防火墙防护服务 |
|
Web应用防护 |
选择Web应用防护服务 |
|
负载均衡 |
选择均衡负载防护服务 |
|
防火墙+Web应用防护 |
选择防火墙和Web应用防护服务 |
|
防火墙+均衡负载 |
选择防火墙和均衡负载防护服务 |
4. 单击<确定>按钮,新建服务链成功,并会在服务链网格页面中显示。
· 在“资产管理 > 主机管理”中添加防护时,对当前的主机每次只能添加一个防护服务,其中添加的运维审计和日志审计服务不会展示在服务链中。
· 在“服务管理 > 服务编排 > 服务链”中可以拖动未防护资产下的主机项到服务链虚线框中,即可将当前主机绑定到当前服务链进行防护。
· 在“服务管理 > 服务编排 > 服务链”中未防护资产列表只展示当前登录租户的未防护的主机。
· 不允许将防护链中的一个主机拖到另一个防护链中,需要先将防护的主机解绑,再添加到另一个防护链。
当引流模式为SW+LB时,系统管理员可为租户基于SW的上行物理接口分配物理子接口,引流配置页面包含子接口的创建、编辑、查询删除功能。
图-3 配置思路
创建子接口具体配置步骤如下:
1. 选择“服务管理 > 服务编排 > 引流配置”。
2. 进入SW上行子接口或LB上行子接口Tab页面,单击<新建>按钮,进入新建SW上行子接口或LB上行子接口页面。
3. 子接口的具体配置内容如下所示:
表-2 子接口配置参数表
|
参数 |
说明 |
|
选择租户 |
拥有该子接口的租户(SW子接口多选,LB子接口单选) |
|
本地IP |
本地IP地址,必须和对端IP同一网段 |
|
掩码 |
掩码范围:1-32 |
|
对端IP |
对端IP地址,必须和本地IP同一网段 |
|
vlan |
vlan值范围:1-4094 |
|
物理接口 |
物理子接口 |
|
描述 |
子接口信息描述 |
4. 单击<确定>按钮,子接口创建成功。
增强型防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。增强型防火墙相比于标准型防火墙增加了引用IPS策略及防病毒策略的深度报文检测。
图-4 增强型防火墙服务创建指导图
在新建增强型防火墙服务前需要先创建防火墙资源,支持通过硬件物理设备资源及VNF虚机两种方式创建防火墙资源。
1. 选择“资源管理 > 安全资源池 > 防火墙资源池”。
2. 单击<新建>按钮,创建防火墙硬件资源实例。
图-5 创建防火墙硬件资源实例
3. 设置优先级“资源池资源>VNF”。
4. 选择“安全市场 > 安全服务 > 增强型防火墙”,单击<立即开通>按钮
1. 选择“资源管理 > 安全资源池 > CAS资源池 > 模板配置”。
2. 配置防火墙虚机模板。
3. 选择“资源管理 > 安全资源池 > 防火墙资源池”。
4. 设置优先级“VNF> 资源池资源”。
5. 选择“安全市场 > 安全服务 > 增强型防火墙”,单击<立即开通>按钮
1. 选择“安全市场 > 安全服务 > 增强型防火墙”。
2. 单击<立即开通>按钮,进入“增强型防火墙”页面。
图-6 开通增强型防火墙
3. 增强型防火墙的具体配置内容如下表所所示。
表-3 防火墙配置参数表
|
参数 |
说明 |
|
用户 |
拥有该增强型防火墙服务的用户 |
|
名称 |
增强型防火墙服务名称,不同防火墙服务名称不能相同 |
|
规则集 |
与增强型防火墙服务名称同名,只读,不支持修改 |
|
规格 |
增强型防火墙带宽规格 |
|
开通时长 |
配置开通服务的时长 |
|
价格 |
所选规格的增强型防火墙服务价格 |
4. 单击<下一步>按钮,增强型防火墙服务订单创建成功,单击<前往订单列表页面>按钮,跳转至订单列表页面,查看所创建的订单。
图-7 增强型防火墙规则配置指导图
1. 选择“服务管理 > 增强型防火墙”。
2. 单击<配置规则>按钮,进入“详情”页面。
3. 增强型防火墙的规则具体配置内容如下表所示。
表-4 增强型防火墙规则配置参数表
|
参数 |
说明 |
|
名称 |
规则名称,不能重复 |
|
源地址对象 |
规则引用源地址 |
|
目的地址对象 |
规则引用目的地址 |
|
服务对象 |
用于匹配报文中的协议类型及协议特性 |
|
动作 |
执行的动作,包括: · 允许 · 禁止 · 深度检测 |
|
IPS策略 |
动作为“深度检测”时特有,在“服务管理>增强型防火墙”页面,单击“IPS策略”进行配置 |
|
防病毒策略 |
动作为“深度检测”时特有,在“服务管理>增强型防火墙”页面,单击“防病毒策略“进行配置 |
4. 规则新建成功后,选中单个规则,单击<移动>按钮,可以对增强型防火墙规则进行排序,顺序在前的规则会优先匹配。
· 新建增强型防火墙服务时,会根据资源池资源和VNF的优先级进行创建。
· 硬件FW支持创建的Context数量需要考虑设备本身的限制。
· 当在资源池添加对应FW资源时,选择是否支持虚拟化,要结合设备的实际情况。
标准型防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。
图-8 标准型防火墙服务创建指导图
在新建标准型防火墙服务前需要先创建标准型防火墙资源,支持通过硬件物理设备资源及VNF虚机两种方式创建标准型防火墙资源。
纳管硬件物理设备创建标准型防火墙资源
1. 选择“资源管理 > 安全资源池 > 防火墙资源池”。
2. 单击<新建>按钮,创建标准型防火墙硬件资源实例。
3. 设置优先级“资源池资源>VNF”。
4. 选择“安全市场 > 安全服务 > 标准型防火墙”,单击<立即开通>按钮
VNF虚机创建标准型防火墙资源
5. 选择“资源管理 > 安全资源池 > CAS资源池 > 模板配置”。
6. 配置防火墙虚机模板。
7. 选择“资源管理 > 安全资源池 > 防火墙资源池”。
8. 设置优先级“VNF> 资源池资源”。
9. 选择“安全市场 > 安全服务 > 标准型防火墙”,单击<立即开通>按钮
创建标准型防火墙服务具体配置步骤如下:
10. 选择“安全市场 > 安全服务 > 标准型防火墙”。
11. 单击<立即开通>按钮,进入“标准型防火墙”页面。
12. 标准型防火墙的具体配置内容如下表所所示。
表-5 标准型防火墙配置参数表
|
参数 |
说明 |
|
用户 |
拥有该标准型防火墙服务的用户 |
|
名称 |
标准型防火墙服务名称,不同标准型防火墙服务名称不能相同 |
|
规则集 |
与标准型防火墙服务名称同名,只读,不支持修改 |
|
规格 |
标准型防火墙带宽规格 |
|
开通时长 |
服务可用时长周期 |
|
价格 |
所选规格的标准型防火墙服务价格 |
13. 单击<下一步>按钮,标准型防火墙服务订单创建成功,单击<前往订单列表页面>按钮,跳转至订单列表页面,查看所创建的订单。
标准型防火墙规则创建:
14. 选择“服务管理 > 标准型防火墙”。
15. 单击<配置规则>按钮,进入“详情”页面。
16. 标准型防火墙的规则具体配置内容如下表所示。
表-6 标准型防火墙规则配置参数表
|
参数 |
说明 |
|
名称 |
规则名称,不能重复 |
|
源地址对象 |
规则引用源地址 |
|
目的地址对象 |
规则引用目的地址 |
|
服务对象 |
用于匹配报文中的协议类型及协议特性 |
|
动作 |
执行的动作,包括:允许、禁止 |
17. 规则新建成功后,选中单个规则,单击<移动>按钮,可以对标准型防火墙规则进行排序,顺序在前的规则会优先匹配。
· 新建标准型防火墙服务时,会根据资源池资源和VNF的优先级进行创建。
· 硬件FW支持创建的Context数量需要考虑设备本身的限制。
· 当在资源池添加对应FW资源时,选择是否支持虚拟化,要结合设备的实际情况。
服务器安全监测服务主要实现云虚拟主机的安全监测防护,对登录用户所属组织下的云虚拟主机提供深度安全监测防护服务。
服务器安全监测通过开通带有多个agent数量的服务,对指定绑定的设备资源进行多项安全扫描和监测。
服务器安全监测的配置思路如下图所示:
图-9 创建服务器安全监测资源池配置思路
图-10 创建服务器安全监测服务配置思路
具体配置步骤如下:
2. 选择“资源管理 > 安全资源池 > 服务器安全监测资源池”。
3. 单击<新建>按钮,新建服务器安全监测资源池。
图-11 新建服务器安全监测资源实例
4. 选择“服务管理 > 服务器安全监测”。
5. 单击<开启服务>按钮开启服务器安全监测服务。开启服务后需要导入agent。
在服务器安全监测资源池中添加终端数量需要与服务侧License证书数量一致。
Web应用防护基于云安全大数据能力实现,通过防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击,过滤海量恶意CC攻击,避免您的网站资产数据泄露,保障网站的安全与可用性。
Web应用防护的配置思路如下图所示:
图-12 Web应用防护配置指导图
Web应用防护的具体配置步骤如下:
1. 选择“安全市场”。
2. 在“安全市场”页面单击Web应用防护对应的<立即开通>按钮,进入“新建Web应用防护”页面。
图-13 开通Web应用防护
3. 新建Web应用防护的具体配置内容如下表所示。
表-7 Web应用防护配置参数表
|
参数 |
说明 |
|
|
选择用户 |
拥有该Web应用防护服务的用户 |
|
|
名称 |
该Web应用防护服务的名称 |
|
|
规格 |
Web应用防护资源规格 |
|
|
开通时长 |
配置开通服务的时长 |
|
|
价格 |
所选规格的Web应用防护服务价格 |
|
4. 单击<下一步>按钮,新建Web应用防护成功,并会在Web应用防护页面中显示。
自定义特征防护规则的具体配置步骤如下:
1. 选择“服务管理 > Web应用防护”。
2. 单击“更多”选择“防护设置”。
3. 选择“特征防护规则”,操作当前状态为开启。
4. 单击“自定义特征防护规则”,进入“特征规则”页签,单击<新建>按钮。
5. 新建特征防护规则的具体配置内容如下表所示。
表-8 特征防护规则配置参数表
|
参数 |
说明 |
|
名称 |
该特征防护规则的名称 |
|
启用状态 |
该特征防护规则是否启用 |
|
规则分类 |
特征防护规则类型,例如SQL注入、恶意攻击等 |
|
处理动作 |
规则生效时具体操作动作,例如阻断、动作、重定向等 |
|
封禁时间 |
封禁规则时持续时长 |
|
告警 设置 |
防护规则生效时告警方式,邮件、短信方式 |
|
日志 |
是否打印日志 |
|
例外URL |
选择并添加该防护规则的URL |
6. 单击<确定>按钮,新建特征防护规则成功,并会在特征规则页面中显示。
自定义HTTP协议校验规则的具体配置步骤如下:
1. 选择“服务管理 > Web应用防护”。
2. 单击“更多”选择“防护设置”。
3. 选择“HTTP协议校验”,操作当前状态为开启。
4. 单击“自定义HTTP协议校验”,进入“自定义HTTP协议校验”页签,单击<新建>按钮。
5. 新建HTTP协议校验规则的具体配置内容如下表所示。
表-9 HTTP协议校验规则配置参数表
|
参数 |
说明 |
|
规则名称 |
该HTTP协议校验的名称 |
|
URL最大长度 |
该HTTP协议校验规则允许的URL最大长度 |
|
Cookies最大长度 |
该HTTP协议校验规则允许的Cookies最大长度 |
|
请求行最大长度 |
该HTTP协议校验规则允许的请求行最大长度 |
|
请求头最大长度 |
该HTTP协议校验规则允许的请求头最大长度 |
|
Content-Length最大值 |
该HTTP协议校验规则允许的Content-Length最大长度 |
|
消息体实际长度 |
该HTTP协议校验规则允许的消息体实际长度 |
|
参数个数 |
该HTTP协议校验规则允许的参数个数 |
6. 单击<确定>按钮,新建HTTP协议校验规则成功,并会在自定义HTTP协议校验规则页面中显示。
登录Web应用防火墙的具体配置步骤如下:
2. 跳转至“H3C SecPath Web应用防火墙系统”登录页面。
3. 输入用户名、密码进入系统。
· 创建Web应用防护前确保虚机模板、管理网地址池及授权服务器配置完毕。
· 配置防护代理前确保根据业务需求自定义创建防护设置。
漏洞扫描系统是一款用于评估目标网络安全状态的综合漏洞扫描系统。该系统严格按照计算机信息系统安全的国家标准、相关行业标准设计、编写,拥有优秀底层核心引擎、全面的漏洞检测规则和领先的扫描技术,可对主流操作系统、Web应用、数据库、网络设备、常见应用等目标进行深入扫描,发现可被黑客利用的安全漏洞、弱口令和其它脆弱性,并针对每一个安全问题提供详尽、专业、有效的安全建议和修补方案,协助安全人员把安全风险降到可接受范围内。
该系统支持主机漏洞扫描、Web漏洞扫描、数据库漏洞扫描、基线核查四大模块:
· 主机漏洞扫描:支持检测主流操作系统、网络设备、常见应用、数据库系统等对象。检测类型包含内存破坏类漏洞、CGI类漏洞、输入验证类漏洞、配置错误类漏洞、系统本地补丁、常见协议弱口令、木马病毒等。
· Web漏洞扫描:全面支持OWASP TOP 10检测。支持SQL注入攻击、跨站脚本、文件包含、远程代码执行、主流CMS漏洞检测等。
· 数据库扫描:支持以登录方式检测主流数据库系统的弱密码和数据库安全漏洞。支持Oracle、MySQL、SQL Server、DB2、Informix、Sybase、达梦等主流数据库数据库类型。
· 基线核查:可以对扫描目标进行安全配置检查,能够发现扫描目标中存在的配置风险信息,同时可以下载离线工具,在目标主机执行命令,生成结果文件,在新建任务时导入结果文件,可以对结果进行合规性检查分析,评估其配置风险。支持对常用操作系统、数据库、应用程序等的基线核查。
漏洞扫描系统可作为防火墙和入侵防御系统的补充,能够有效地降低网络安全管理员的工作量,准确高效地评估当前网络的安全状态,及时发现网络中存在的安全问题,合理解决或规避网络风险。
漏洞扫描的配置思路如下图所示:
图-14 配置思路
在新建漏洞扫描服务前需要先创建漏洞扫描资源。
创建漏洞扫描资源具体配置步骤如下:
1. 选择“资源管理 > 安全资源池 > 漏洞扫描资源池”。
2. 单击<新建>按钮,创建漏洞扫描资源实例。
图-15 创建漏洞扫描资源实例
创建漏洞扫描服务具体配置步骤如下:
3. 选择“安全市场 > 安全服务 > 漏洞扫描”。
4. 单击<立即开通>按钮,进入“漏洞扫描”页面。
图-16 开通漏洞扫描
5. 漏洞扫描的具体配置内容如下表所所示。
表-10 漏洞扫描配置参数表
|
参数 |
说明 |
|
资源 |
资源类型可选:按次申请、按设备申请 |
|
选择用户 |
系统管理员可以给当前系统所有用户创建漏洞扫描服务,租户管理员可以选择给当前组织里面的所有用户创建漏洞扫描服务 |
|
名称 |
用户自行填写 |
|
类型(按次申请) |
三种类型可选:Web扫描、数据库扫描、系统扫描 |
|
扫描次数(按次申请) |
用户申请扫描资源可使用次数,目前有1、10、50、100、150、200可选择 |
|
规格(按设备申请) |
服务规格可选:基础版、专业版、企业版、旗舰版 |
|
开通时长(按设备申请) |
开通时长目前有一个月、两个月、三个月、六个月、一年、两年、三年、永久可供选择 |
|
价格 |
用户购买资源的价格 |
6. 单击<下一步>按钮,漏洞扫描服务订单创建成功,单击<前往订单列表页面>按钮,跳转至订单列表页面,查看所创建的订单。
7. 使用系统管理员账号登录系统,选择“运营管理 > 审核订单”,在审核订单页面找到对应的未审核订单,点击<同意>按钮,提交订单审批意见,完成创建漏洞扫描任务。
8. 选择“服务管理 > 策略管理 > 漏洞扫描”,进入漏洞扫描服务列表页面,可查看所创建的漏洞扫描任务。
新建漏洞扫描服务前,需先创建漏洞扫描资源。
运维审计即堡垒机,在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。
运维审计的配置思路如下图所示:
图-17 配置思路
在新建运维审计服务前需要先创建运维审计资源,支持通过硬件物理设备资源及基于VNF两种方式创建运维审计资源。
1. 选择“资源管理 > 安全资源池 > 运维审计资源池”。
2. 单击<新建>按钮,创建运维审计硬件资源实例。
3. 设置优先级“资源池资源>VNF”。
1. 选择“资源管理 > 安全资源池 > CAS资源池”。
2. 配置CAS参数,单击<下一步>按钮,进行模板配置。
3. 配置运维审计虚机模板。
4. 选择“资源管理 > 安全资源池 > 运维审计资源池”。
5. 设置优先级“VNF> 资源池资源”。
创建运维审计服务具体配置步骤如下:
1. 选择“安全市场 > 安全服务 > 运维审计”。
2. 单击<立即开通>按钮,进入“运维审计”页面。
图-18 开通运维审计
3. 运维审计的具体配置内容如下表所所示。
表-11 运维审计配置参数表
|
参数 |
说明 |
|
选择用户 |
拥有该运维审计服务的用户 |
|
名称 |
运维审计服务名称,不同运维审计服务名称不能相同 |
|
运维审计版本 |
选择运维审计系统的版本类型 |
|
规格 |
根据运维审计授权资产数划分为旗舰版,专业版,标准版 |
|
开通时长 |
配置开通服务的时长 |
|
价格 |
所选规格的运维审计服务的价格 |
4. 单击<下一步>按钮,运维审计服务订单创建成功,单击<前往订单列表页面>按钮,跳转至订单列表页面,查看所创建的订单。
运维审计修改:
1. 选择“服务管理 > 运维审计”。
2. 单击<修改>按钮,进入“修改运维审计”页面。
3. 运维审计的修改内容如下表所示。
表-12 运维审计修改参数表
|
参数 |
说明 |
|
名称 |
规则名称,不能重复 |
|
规格 |
根据运维审计授权资产数划分为旗舰版,专业版,标准版 |
|
价格 |
所选规格的运维审计服务的价格 |
|
登录系统账号 |
当前系统登录的账号 |
|
密码 |
若在运维审计系统修改了密码,请在此处同步修改,否则请勿修改 |
· 新建运维审计服务时,会根据资源池资源和VNF的优先级进行创建。
· 硬件FW支持创建的Context数量需要考虑设备本身的限制。
· 当在资源池添加对应FW资源时,选择是否支持虚拟化,要结合设备的实际情况。
数据库审计能够实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行警告,对攻击行为进行阻断。它通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、事故追根朔源。同时加强内外部数据库网络行为记录,提高数据资产安全。
数据库审计的配置思路如下图所示:
图-19 配置思路
1. 选择“资源管理 > 安全资源池 > 数据库审计资源池”。
2. 单击<新建>按钮,进入新建数据库审计资源池实例页面
新建数据库审计资源池实例
3. 新建数据库审计资源池实例具体配置内容如下表:
表-13 数据库审计资源池实例配置参数表
|
参数 |
说明 |
|
资源名称 |
该实例的资源名称 |
|
型号 |
该实例的型号 |
|
URL |
访问该实例的URL |
|
管理员用户名 |
该实例所属的管理员用户名 |
|
密码 |
管理员所对应的密码 |
|
类型 |
该实例的类型(可选) |
|
实例数 |
该实例的可使用的实例数(可选) |
|
指定组织 |
该实例所属组织(可选) |
|
描述 |
对该实例的描述(可选) |
4. 单击<确定>按钮,完成创建数据库审计资源池实例
1. 选择“资源管理 > 安全资源池 > CAS资源池”。
2. 配置CAS参数,单击<下一步>按钮,进行模板配置。
3. 在CAS资源池中添加数据库审计虚机模板,具体配置参数如下:
表-14 数据库审计虚机模板配置参数表
|
参数 |
说明 |
|
主机池/集群 |
选择所配置的主机池/集群 |
|
存储池名称 |
选择存储池名称 |
|
虚机模板 |
选择“数据库审计”模板 |
|
规格 |
该模板所配置规格 |
|
虚机模板 |
该数据库审计虚机模板 |
|
型号 |
该数据库审计模板型号 |
4. 单击<下一步>按钮,完成数据库审计虚机模板配置。
添加成功硬件数据库审计资源后,资源状态为未分配。进入数据库审计资源池页面,单击资源分配优先级<修改>按钮,设置优先级,单击<保存>按钮,完成配置。
数据库审计的具体配置步骤如下:
1. 选择“安全市场”。
2. 在“安全市场”页面单击数据库审计对应的<立即开通>按钮。
图-20 开通数据库审计
3. 新建数据库审计的具体配置内容如下表所示:
表-15 数据库审计参数配置表
|
参数 |
说明 |
|
|
选择用户 |
拥有该数据库审计服务的用户 |
|
|
名称 |
该数据库审计服务的名称 |
|
|
规格 |
数据库审计资源规格 |
|
|
数据库实例数 |
该数据库审计服务的实例数 |
|
|
开通时长 |
配置开通服务的时长 |
|
|
价格 |
所选规格的数据库审计服务价格 |
|
4. 单击<下一步>按钮,新建数据库审计服务成功,并会在数据库审计页面中显示。
登录数据库审计系统的具体步骤如下:
1. 选择“服务管理 > 策略管理 > 数据库审计”。
2. 单击“登录系统”按钮。
3. 跳转至“数据库伸进系统”登录页面。
4. 输入用户名、密码进入系统。
日志审计主要用于全面收集系统中常见的安全设备、网络设备、数据库、服务器、应用系统、主机等设备所产生的日志,并进行监控、分析和输出报告。
日志审计主要集成了日志监控、日志采集、日志存储、日志检索、日志分析以及日志事件告警功能,通过对不同设备产生的日志进行实时数据监控和收集分析达到安全防护目的。
日志审计类型目前有三种类型可以选择,分别是旗舰版、标准版、专业版。
日志审计的配置思路如下图所示:
图-21 创建日志审计资源配置思路
图-22 创建日志审计服务配置思路
具体配置步骤如下:
1. 选择“资源管理 > 安全资源池 > 日志审计资源池”。
2. 单击<新建>按钮,新建日志审计资源。
图-23 创建日志审计资源实例
3. 进入安全市场页面开通日志审计服务。
图-24 开通日志审计
4. 日志审计的具体配置内容如下表所示。
表-16 日志审计配置参数表
|
参数 |
说明 |
|
|
|
选择用户 |
表示该日志审计服务所属的用户 |
|
|
|
名称 |
表示日志审计订购资源的名称 |
|
|
|
规格 |
表示日志审计选用的类型,包括旗舰版、专业版、标准版 |
|
|
|
开通时长 |
配置开通服务的时长 |
|
|
|
价格 |
所选规格的数据库审计服务价格 |
||
在日志审计资源池中添加日志审计资源时,对当前的主机添加多个设备服务检测时要考虑性能影响。
态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式。
安全态势感知的配置思路如下图所示:
图-25 配置思路
具体配置步骤如下:
1. 选择“资源管理 > 安全资源池 > 安全态势感知”,进入安全态势感知资源池页面。
2. 单击<新建>按钮,进入新建安全态势感知资源池实例页面。
图-26 新建安全态势感知资源池实例
3. 新建安全态势感知资源池实例,具体配置内容如下表所示:
表-17 安全态势感知资源池实例参数配置表
|
参数 |
说明 |
|
资源名称 |
该实例的资源名称 |
|
型号 |
该实例的型号 |
|
URL |
该实例的URL |
|
管理员用户名 |
该实例所属的管理员用户名 |
|
密码 |
该实例管理员所对应的密码 |
|
资源概况 |
实例所对应资源概况 |
|
大屏页面地址 |
大屏页面地址 |
|
组织同步接口 |
组织同步接口 |
|
资产同步接口 |
资产同步接口 |
|
日志查询接口 |
该实例的日志查询接口 |
|
指定组织 |
该实例所指定的组织 |
|
描述 |
对该实例的描述(可选) |
4. 单击<确定>按钮,完成安全态势感知资源池实例创建。
具体配置步骤如下:
1. 选择“安全市场”。
2. 在“安全市场”页面单击安全态势感知对应的<立即开通>按钮,进入“安全态势感知创建”页面。
3. 选择安全态势感知规格。
4. 单击<下一步>按钮,创建安全态势感知服务。
具体配置步骤如下:
1. 选择“服务管理 > 安全态势感知”,进入安全态势感知页面。
2. 单击<开启服务>按钮,开启安全态势感知服务。
DDoS(Distributed Denial of Sevice,分布式拒绝服务攻击),是指利用客户或服务器技术,联合多个计算机作为攻击平台,对目标(一个或者多个)发动拒绝服务攻击,从而大大提高拒绝服务提供的能力。其攻击方式主要是为了消耗攻击目标的各种服务资源,包括内存、进程数、磁盘空间以及网络带宽等,使得一般用户无法正常访问目标或获取目标机器的服务。
DDoS防护的配置思路如下图所示:
图-27 DDoS防护资源池配置指导图
图-28 DDoS防护服务配置指导图
在新建DDoS防护服务前需要先创建DDoS防护资源。
创建DDoS防护资源具体配置步骤如下:
1. 选择“资源管理 > 安全资源池 > DDoS防护资源池”。
2. 单击<新建>按钮,进入“DDoS防护资源池”新建页面,新建DDoS资源实例。
图-29 新建DDoS资源实例
创建DDoS防护服务具体配置步骤如下:
3. 选择“安全市场>安全服务>DDoS防护”,单击<立即开通>按钮,进入“DDoS防护创建”页面,开通DDoS防护服务。
图-30 开通DDoS防护服务
4. 选择“服务管理 > 策略管理 > DDoS防护”。
5. DDoS防护的具体配置内容如下表所示。
表-18 DDoS防护配置参数表
|
参数 |
说明 |
|
名称 |
DDoS防护服务的名称 |
|
规格(Mbps) |
DDoS防护服务的规格 |
|
开通市场 |
服务可用时长周期 |
|
价格 |
所选规格的Web应用防护服务价格 |
|
防护IP/地址前缀 |
防护IP地址/地址掩码(1-32位) |
6. 单击<下一步>按钮,新建DDoS防护成功,并会在DDoS防护页面中显示。
7. 单击服务列表操作栏<配置防护策略集>按钮,可进行防护策略配置和查看
· DDoS的云端清洗服务和本地缓解设备不可以相互替代。
· 系统优化和增加带宽并不能有效缓解DDoS攻击。
· 使用防火墙、IDS(入侵检测系统)/IPS(入侵防御系统)不能缓解DDoS攻击。
数据库审计能够实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行警告,对攻击行为进行阻断。它通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、事故追根朔源。同时加强内外部数据库网络行为记录,提高数据资产安全。
数据库审计三代服务的配置思路,可以参看数据库审计服务如下图所示:
请知悉,暂时三代数据库审计服务不支持NFV创建部分,后期待开发;
图-31 配置思路
创建数据库审计案例申请,具体配置步骤如数据库审计服务,不在赘述;
负载均衡是一种集群的流量分发技术,将访问流量根据转发策略分发到后端多台服务器,从而提升对业务处理的能力,提高业务的可靠性。
图-32 负载均衡服务创建指导图
在新建负载均衡服务前需要先创建负载均衡资源,支持通过硬件物理设备资源及VNF虚机两种方式创建负载均衡资源。
纳管硬件物理设备创建负载均衡资源:
1. 选择“资源管理 > 安全资源池 > 负载均衡资源池”。
2. 设置优先级“资源池资源>VNF”。
3. 单击<新建>按钮,进入新建负载均衡资源池页面,配置物理设备参数创建负载均衡硬件资源实例。
图-33 创建负载均衡硬件资源实例
基于VNF虚机创建负载均衡资源:
4. 选择“资源管理 > 安全资源池 > CAS资源池”。
5. 单击<下一步>按钮,配置负载均衡虚机模板,然后再单击<下一步>按钮完成配置。
6. 选择“资源管理 > 安全资源池 > 负载均衡资源池”。
7. 设置优先级“VNF> 资源池资源”。
创建负载均衡服务具体配置步骤如下:
1. 选择“安全市场 > 安全服务 > 负载均衡”。
2. 单击<立即开通>按钮,进入“负载均衡”页面。
图-34 开通负载均衡服务
3. 负载均衡的具体配置内容如下表所所示。
表-19 负载均衡配置参数表
|
参数 |
说明 |
|
用户 |
拥有该负载均衡服务的用户 |
|
名称 |
负载均衡服务名称,不同负载均衡服务名称不能相同 |
|
规格 |
负载均衡带宽规格 |
|
开通时长 |
负载均衡服务的开通时长 |
|
价格 |
所选规格的负载均衡服务价格 |
4. 单击<下一步>按钮,负载均衡服务订单创建成功,单击<前往订单列表页面>按钮,跳转至订单列表页面,查看所创建的订单。
图-35 负载均衡监听器配置指导图
1. 选择“服务管理 > 负载均衡”。
2. 单击<配置监听器>按钮,进入“基本信息”页面。
3. 在“高级操作 > 监听器”页签单击<新建>按钮,新建监听器。
图-36 新建监听器
4. 负载均衡的监听器具体配置内容如下表所示。
表-20 负载均衡监听器配置参数表
|
参数 |
说明 |
|
名称 |
规则名称,不能重复 |
|
监听协议 |
选择监听协议,包括TCP和HTTP协议 |
|
监听端口 |
监听器布置的端口 |
|
实服务组名称 |
实服务组的名称 |
|
连接限制 |
支持连接的用户上限,0表示不限制 |
|
均衡算法 |
提供的算法选项: · 加权轮询算法 · 加权最小连接 · 源地址算法 |
|
会话持久性 |
提供的持久性选项: · SOURCE_IP · HTTP_COOKIE · APP_COOKIE |
|
启用监听器 |
开启或关闭监听器 |
|
源地址转换 |
开启或关闭源地址转换功能 |
|
开启健康检测 |
开启或关闭健康检测功能 |
|
描述 |
用户自定义添加的备注 |
图-37 负载均衡实服务器组配置指导图
1. 选择“服务管理 > 负载均衡”。
2. 单击<配置监听器>按钮,进入“基本信息”页面。
3. 在“高级操作 > 实服务器组”页签,单击<添加成员>按钮,进入成员管理页面。
4. 单击<新建>按钮,进入添加成员页面。
5. 负载均衡的实服务器组成员具体配置内容如下表所示。
表-21 负载均衡实服务器组成员配置参数表
|
参数 |
说明 |
|
名称 |
实服务器组成员的名称,不能重复 |
|
端口 |
实服务器布置的端口 |
|
权值 |
实服务器的权值 |
|
主机 |
选择实服务器主机 |
· 新建负载均衡服务时,会根据资源池资源和VNF的优先级进行创建。
· 硬件支持负载均衡创建的Context数量需要考虑设备本身的限制。
· 当在资源池添加对应负载均衡资源时,选择是否支持虚拟化,要结合设备的实际情况。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
