用户手册
深信服科技有限公司
目录
1.声明............................................................................................................................32.前言............................................................................................................................33.等保一体机控制台登录方式....................................................................................44.等保一体机初始化操作............................................................................................45.等保SANGFOR等保一体机授权激活...................................................................96.SANGFOR等保一体机部署配置...........................................................................10
6.1创建业务物理出口.................................................................................................106.2创建安全应用.........................................................................................................126.3自定义网络拓扑.....................................................................................................126.4模板.........................................................................................................................146.5单点登录.................................................................................................................197.等保SANGFOR等保一体机日常管理功能使用.................................................20
7.1首页.........................................................................................................................207.2运营中心.................................................................................................................217.3集中管控.................................................................................................................237.4应用市场.................................................................................................................237.5资源池.....................................................................................................................247.5.1应用管理............................................................................................................247.5.2网络管理............................................................................................................257.5.3主机扩容............................................................................................................267.5.4磁盘扩容............................................................................................................277.5.5模板管理............................................................................................................27
7.6系统.........................................................................................................................287.6.1平台升级..............................................................................................................287.6.2管理员账号..........................................................................................................287.6.3时间和日期..........................................................................................................307.6.4操作日志..............................................................................................................307.6.5告警信息..............................................................................................................307.6.6平台授权..............................................................................................................317.6.7恢复默认配置......................................................................................................317.6.8高可用..................................................................................................................327.6.9其他设置..............................................................................................................32
1.声明Copyright©2018深信服科技股份有限公司及其许可者版权所有,保留一切权利。未经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。SANGFOR为深信服科技股份有限公司的商标。对于本手册出现的其他公司的商标、产品标识和商品名称,由各自权利人拥有。除非另有约定,本手册仅作为使用指导,本手册中的所有陈述、信息和建议不构成任何明示或暗示的担保。本手册内容如发生更改,恕不另行通知。如需要获取最新手册,请联系深信服科技股份有限公司技术服务部。深信服科技股份有限公司(以下简称为深信服科技、SANGFOR)。2.前言本手册以深信服等保一体机xsec5.0.0版本为例进行配置说明。感谢您使用我们的产品及用户手册,如果您对我们的产品或用户手册有什么意见和建议,您可以通过电话、论坛或电子邮件反馈给我们,我们将不胜感谢。3.等保一体机控制台登录方式等保一体机默认IP地址是10.251.251.251,将笔记本电脑配置一个10.251.251.0/24的IP,并与安装完成的主机eth0口直连。在浏览器中输入https://10.251.251.251,并使用默认账号密码:admin/admin登录安全服务平台。提示:admin默认密码为admin,初次登录会被系统要求强制修改密码。提示:推荐使用Chrome浏览器登录等保一体机控制台页面。4.等保一体机初始化操作首次登录等保一体机,系统会进入初始化操作页面,系统初始化之后,后续再登录等保一体机就不会出现初始化页面。首先需要等保一体机的数量选择[单机模式]还是[集群模式],如果是单台部署,则选择[单主机模式],如果是多台部署,则选择[集群模式]。如果选择[单主机模式],进入欢迎页面后,配置主机IP、CSSP管理IP后,完成初始化流程。如果选择[集群模式],除了需要配置主机IP、CSSP管理IP,还需要选择其中一台主机作为主机,在该主机的此页面里勾选设置【CSSP运行在当前主机】,其他主机不需要勾选。将所有主机配置完毕后,按照标准的接线方式,将所有主机连接到交换机上.添加主机:自动跳转到云安全服务平台欢迎页面,点击下一步,选择需要添加的主机,并配置好集群管理IP,点击下一步配置数据通信口。每台主机选择网口,作为数据通信口,可以使用网口聚合配置存储通信口。每台主机选择网口,作为存储通信口在该步,可以配置存储通信的配置方式:无链路聚合、单交换机链路聚合、双交换机链路聚合设置磁盘用途。服务平台会列出所有主机的所有磁盘信息,客户在无特殊情况下,选择推荐的磁盘用途即可初始化。点击初始化按钮,平台进入初始化步骤,大概半小时后,即可完成初始化步骤。并自动跳转到网络配置页面,方便客户进行业务网口配置5.等保SANGFOR等保一体机授权激活首次使用等保一体机,需要对等保一体机进行离线授权激活。如果是服务器(SdSec-1000-A600、SdSec-1000-A602、SdSec-1000-B606等),授权激活首先需要一个授权KEY,将KEY插在其中一台主机上,然后点击立即激活。如果是工控机(SdSec-1000-H440M、,授权激活不需要授权KEY,直接点击立即激活。SdSec-1000-I444M、SdSec-1000-J444M等)导入离线授权文件即可完成激活,其中产品ID为KEYID或者硬件特征码。完成激活后,在管理->平台授权页面,可以查看该平台当前的授权详情,包括平台的激活状态以及应用授权的详情。6.SANGFOR等保一体机部署配置管理员可以根据规划的部署模式在【安全架构】完成部署配置,包括以下内容:创建业务物理出口;创建安全应用;自定义网络拓扑;快速进入各个安全应用;6.1创建业务物理出口物理出口:物理出口用来连通虚拟网络和物理网络,对用户呈现为服务器物理网口。“物理出口”对内可以通过端口组连接虚拟路由器、虚拟网络设备或虚拟机,对外通过主机的物理网口连接连接交换机与外部网络互通。管理员根据等保一体机规划的部署模式,创建相应数量的业务物理出口。比如等保一体机规划的是路由模式做网关,外网有两个互联网链路,内网有两个交换机做堆叠,那就需要创建3个业务物理出口,2个外网业务物理出口,以及1个内网业务物理出口;比如等保一体机规划的是单臂部署在核心交换机上,那就需要创建1个业务物理出口;如果等保一体机是集群部署,那创建物理出口的时候需要将所有主机的物理网口都添加上,否则发生主机故障,或者安全组件故障迁移的时候,网络会出现不通的故障。另外,如果等保一体机需要镜像部署,那就可以创建1个物理出口并开启镜像模式。6.2创建安全应用管理员可以根据需求创建所需的安全应用组件,比如vAF、vAC、vAD、SSL、OSM、LAS、BVT、EDR、DAS其中一种或几种。管理员可以从【安全架构】左边列表将安全应用组件拖拽到中间,并选择相应的授权,然后点【立即生效】就可以创建好安全应用组件了。
6.3自定义网络拓扑创建好物理出口以及安全应用后,管理员就可以根据规划部署方案来自定义网络拓扑了。比如用户希望在等保一体机里部署vAF、vAC、vDAS,然后将等保一体机的vAF作为网关接电信和联通两个外网出口,vAC网桥接在vAF和内网口物理出口之间与物理交换机互联,同时还将数据库审计桥接到镜像物理出口上。如下图:
以下是常见的几种自定义部署案例:1)日志审计类组件部署方案2)镜像类组件部署方案3)透明部署方案6.4模板除了自定义网络拓扑以外,系统还内置了4个常用的模板,包括出口边界模板、等保合规模板(单臂)、等保合规模板(路由)和安全管理中心模板。这些模板已经预设好物理出口、区域、虚拟组件、虚拟路由器、虚拟交换机等元素,并且已经连好线。用户只需根据需求选择虚拟组件及配置物理出口,配置生效后就可以创建好相应的虚拟网络。
出口边界模板出口边界模板包括应用交付、下一代防火墙和上网行为管理这3种虚拟组件,还包括2个物理出口。其中,应用交付是路由模式做网关,下一代防火墙是路由模式,上网行为管理是网桥模式。该模板适用于将等保一体机做为安全网关部署在出口,该方案可以替代传统硬件网关方案。考虑到网关的高可用性,出口边界模板里的虚拟组件都支持高可用部署,用户可以通过配置来启用高可用。启用高可用后,应用交付和下一代防火墙为主备模式部署,上网行为管理为主主模式部署。【备注】高可用只能在集群两台以上部署时才能启用;以下是出口边界模板双机集群部署的配置步骤:1)2)3)4)5)将出口边界模板拖到安全架构内;开启高可用;勾选vAD、vAF、vAC,以及选择相应的授权;配置上行物理出口及下行物理出口;配置主vAD的上联运营商地址,以及下联与vAF对接的交换网口地址,上联接口建议配置链路健康检查,然后配置路由、NAT以及链路负载和应用负载策略;配置主vAD双机配置里的网口同步列表和故障切换;6)配置主vAF高可用性的配置同步角色为主控,然后配置主vAF的上联与vAD对接的VLAN接口地址,以及下联与vAC对接的LAN口地址,下联接口建议配置链路故障检测,然后配置路由和安全防护策略;7)配置vAC的功能策略;等保合规模板(单臂)等保合规模板(单臂)包括下一代防火墙、SSLVPN、EDR、基线核查、运维安全管理、日志审计、数据库安全审计这7种虚拟组件,还包括1个物理出口。该模板适合希望通过等保一体机过等保同时又不能改变物理网络拓扑的用户,此时可以将等保一体机单臂部署在物理交换机上,同时在物理交换机上做策略路由将指定业务流量引流到等保一体机进行流量清洗。以下是等保合规模板(单臂)部署的配置步骤:1)2)3)虚拟路由器需要给虚拟路由器的接口配置IP地址与物理网络互联;需要给虚拟路由器的接口配置IP地址与各安全组件互联;配置指向物理交换机的默认路由;配置两条策略路由,将业务系统进出的流量都引流至AF;安全组件需要在所有组件上配置接口IP地址需要配置默认路由指向虚拟路由器;需要配置相关的功能策略;物理交换机配置目的为安全组件IP地址段的路由指向虚拟路由器的互联IP;如果有购买服务器区域的AF,则需要配置两条策略路由,将业务系统进出的流量都引流至虚拟路由器的互联IP;等保合规模板(路由)等保合规模板(路由)包括下一代防火墙、上网行为管理、SSLVPN、EDR、基线核查、运维安全管理、日志审计、数据库安全审计这8种虚拟组件,还包括2个物理出口。该模板适用于将等保一体机作为网关部署。以下是等保合规模板(路由)部署的配置步骤:1)2)虚拟路由器需要给虚拟路由器的接口配置IP地址与物理网络互联;需要给虚拟路由器的接口配置IP地址与各安全组件互联;需要配置指向出口vAF的默认路由;需要配置目的地址为内网网段的回包路由指向下联交换机;安全组件需要在所有组件上配置接口IP地址、默认路由;3)需要在vAF上配置到内网网段的回包路由指向虚拟路由器;需要配置对应的功能策略;物理交换机配置指向虚拟路由器的默认路由;安全管理中心模板等保合规模板(路由)包括下一代防火墙、SSLVPN、EDR、运维安全管理、日志审计、数据库安全审计和网管中心这7种虚拟组件,还包括1个物理出口。该模板针对等保2.0安全管理中心技术指标所做,适合希望通过等保一体机过等保同时又不能改变物理网络拓扑的用户。以下是安全管理中心模板部署的配置步骤:i.安全组件需要在所有组件上配置接口IP地址需要配置默认路由指向物理交换机;需要配置相关的功能策略;ii.物理交换机配置与物理出口相连的互联IP;6.5单点登录管理员可以在【安全架构】页面中,选中某个应用,通过点击『进入应用』就能够单点登录跳转到应用界面,进行策略配置;或者通过点击『进入控制台』就能跳转到后台维护界面,进行后台命令行排障等。
A:在【安全架构】里点击BVT的【配置应用】,进入到BVT的硬件管理平台。7.等保SANGFOR等保一体机日常管理功能使用7.1首页1、在云安全服务平台的首页,能够清晰地看到应用状态、主机状态、磁盘状态、网络风险、网络状态和CSSP双机状态2、入侵风险:展示客户被攻击的主机,可切换攻击的类型。2、僵尸主机:展示客户环境中的僵尸主机信息。3、外发流量异常:展示客户环境被攻击的信息。4、在首页可切换不同的防火墙信息。5、在平台右上角的告警页面中,能够看到对于平台网口通信故障告警、应用(即将)过期告警。5、在【系统】->【告警信息】页面中,能够展示所有的历史告警信息。7.2运营中心1、资产中心:实现以业务、用户组为维度的风险评估2、业务风险:3、用户风险:4、大屏中心:7.3集中管控支持设备的统一纳管、规则库与补丁包的统一升级、策略的统一配置、客户端补丁包统一升级。7.4应用市场应用市场上列出了等保一体机支持的安全应用,管理员可以在该页面了解各安全应用的功能详情,也可以免费试用安全应用,试用期3个月。7.5资源池『资源池』页面包括『应用』、『网络』、『主机』、『存储』和『模板』。7.5.1应用管理在用户侧的【资源池】->【应用】界面,能够清晰看到用户所有的正式购买、免费试用的应用信息。应用磁盘空间扩容用户可以在【资源池】->【应用】页面中,对运维安全管理和聚铭日志审计应用进行磁盘扩容。注:支持运维安全管理和日志审计的磁盘扩容修改应用的规格在用户侧的【资源池】->【应用】界面,能够对应用更改规格7.5.2网络管理网络管理页面可以查看主机网口用途及IP地址、修改管理地址、设置聚合网口等。7.5.3主机扩容随着业务的发展,安全服务平台会存在资源不够的情况。进入【资源池】->【主机】页面,通过添加主机的方式,增加主机资源。添加主机的过程,详见2.3配置安全服务平台。7.5.4磁盘扩容用户可以在【资源池】->【存储】页面中,添加磁盘注:只支持集群环境下,主机磁盘扩容7.5.5模板管理进入资源池,点击模板,可查看组件的模板信息,并上传模板。7.6系统7.6.1平台升级
7.6.2管理员账号
等保一体机管理员支持三权分立配置,以及设置密码安全策略、登录失败策略。7.6.3时间和日期
用于设置系统时间与日期,配置NTP服务器。7.6.4操作日志
用于查看管理员操作日志7.6.5告警信息
用于查看平台的告警信息7.6.6平台授权
用于激活及更新授权7.6.7恢复默认配置
用于恢复平台默认配置,目前只支持单机恢复默认配置,集群环境不支持。7.6.8高可用
用于开启CSSP高可用,工控机集群场景建议开启。7.6.9其他设置
用于开启后台接入服务以及是否同意隐私政策
因篇幅问题不能全部显示,请点此查看更多更全内容