手册下载
H3C SecCenter CSAP-ATD高级威胁检测产品
软件安装指导
Copyright © 2022新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
高级威胁检测产品可以广泛应用于各类大型企事业机构内部网络的安全防御,为企业提供全威胁感知和防御能力。
高级威胁检测产品设备通过交换机流量镜像方式获取流量进行分析和检测,进而发现隐藏在流量中的高级恶意威胁。部署模式如下图所示。
图1-1 单机部署方式
为了方便对一个或多个网络接口的流量进行分析(如IDS产品、网络分析仪等),可以通过配置交换机或路由器来把一个或多个端口(VLAN)的数据转发到某一个端口,即端口镜像,来实现对网络的监听。端口镜像功能是对网络流量监控的一个有效的安全手段,对监控流量的分析可以进行安全性的检查,同时也能及时地在网络发生故障时进行准确的定位。
镜像的功能简单地说就是将被监控流量镜像到监控端口,以便对被监控流量进行故障定位、流量分析、流量备份等,监控端口一般直接与监控主机等相连。
高级威胁检测产品支持通过端口镜像功能采集流量,在核心交换机上配置端口镜像,将采集端口的流量镜像到另一个端口上,以指定端口号发送到监控主机高级威胁检测产品的IP地址上。在高级威胁检测产品系统上配置端口监听,接收发过来的流量报文,进行还原、分析和检测。配置流量镜像为双向流量镜像,配置单向流量会导致沙箱无法对报文进行解析。对于vlan tag或vxlan封装的报文,当前支持还原解析,但日志展示时无法展示vlan信息;对于MPLS封装的报文暂不支持。
图2-1 端口镜像示意图
H3C高级威胁产品推荐安装硬件配置如表3-1所示。
表3-1 推荐ATD-E型号硬件参数
配置项 |
高级威胁检测产品服务器 |
型号 |
ATD-E |
CPU |
2*4114(2.2GHz/10核/13.75MB/85W) |
内存 |
192G |
硬盘 |
6*4T SATA |
网卡 |
4端口千兆以太网电接口模块 2端口万兆以太网光接口模块 |
RAID卡 |
独立RAID卡,2G缓存,RAID-P460-M2型号 |
备注 |
只支持网卡芯片型号为Intel I350系列和Intel 82599系列型号的安装沙箱 |
表3-2 推荐ATD-P型号硬件参数
配置项 |
高级威胁检测产品服务器 |
型号 |
ATD-P |
CPU |
2*4214(2.1GHz/12核/16.5MB/85W) |
内存 |
256G |
硬盘 |
8*4T SATA |
网卡 |
4端口千兆以太网电接口模块 2端口万兆以太网光接口模块 |
RAID卡 |
独立RAID卡,2G缓存,RAID-P460-M2型号 |
备注 |
只支持网卡芯片型号为Intel I350系列和Intel 82599系列型号的安装沙箱 |
系统安装前,请将网卡插入服务器。
· 在本地PC上安装好ftp客户端软件(如xftp)。
· 在本地PC上安装好SSH客户端软件(如xshell)
· 在本地PC上准备好沙箱母镜像压缩包。
图3-1 沙箱母镜像文件
· 在本地PC上准备好沙箱安装镜像文件:后缀为.iso的沙箱安装镜像文件,文件名为SecCenterCSAPATD-IMW31-E6801.iso
以下为推荐标准服务器安装参考步骤
服务器在出厂前已配置HDM管理口的IP地址为192.168.1.2/24,并设置了默认的Web登录信息用户名/密码为admin/Password@_,用户可以直接使用该默认信息登录Web界面。
(1) 通过网线连接PC和服务器管理口HDM,修改PC的IP地址为192.168.1.0/24(除192.168.1.2)子网内任意地址,例如192.168.1.1。在PC上启动浏览器,在地址栏中输入IP地址“192.168.1.2”后回车,即可进入服务器Web登录页面,输入默认的用户名和密码,单击<登录>按钮即可登录到192.168.1.2的配置界面上,如下图所示。
图3-2 HDM登录页面
(2) 如果重新修改HDM口的IP,需确保能与PC互通,然后在PC上启动浏览器,在地址栏中输入新配置的IP地址后回车,输入默认的用户名/密码admin/Password@_即可登录服务器配置页面。
(3) 点击“信息> 硬件信息 ”,查看设备CPU信息(包括核数),内存,存储,网卡,PCIe卡等信息。根据实际服务器硬件参数和3.1 1. 推荐硬件参数进行对比查看符合哪个型号,对应配置raid时选择对应的参考步骤。
图3-3 硬件信息比对
(4) 需要管理员在自己的PC上已经安装和配置好Java环境,具体过程略。
(5) 在“远程控制”中选择“远程控制台”进入远程控制台页面,点击<KVM>,下载KVM文件。
图3-4 HDM远程控制台界面
(6) 运行KVM文件,按照提示一步一步打开控制台。
(7) 点击控制台菜单栏中的“电源 > 立即重启”,重新启动服务器。
(8) 当出现下图所示界面时,按F7进入Boot Menu界面。
图3-5 服务器重启页面
(9) 进入此界面后,选择“Enter Setup”。
(10) 修改Boot Mode Select为“LEGACY”,配置完成后按F4保存退出,并重启服务器。
图3-6 Boot配置界面
有关RAID卡的配置,本文仅以ATD-E产品进行举例。其它ATD产品有关RAID卡的配置与此配置步骤类似,只是部分参数有差异。
(1) 服务器启动过程中,当出现如下图所示界面时,请立即按下<Ctrl+A>进入RAID设置页面。不同服务器进入RAID设置的快捷键可能不同,请根据提示进入RAID设置界面。
图3-7 服务器启动界面
(2) 当出现下图界面后先选择“Array Configuration”控制器设置,按回车键进入下一级菜单
图3-8 控制器设置选项页
(3) 选择“Create Array”按回车键进入下一级,创建阵列。
图3-9 RAID主菜单
(4) 使用键盘方向键选择2个4T数据盘,依次按下空格键,此时右侧列表会生成一列信息,然后按回车键进入RAID参数设置页面。
此步骤中ATD-E产品选择2个4T数据盘,ATD-P产品选择3个4T数据盘。
图3-10 选择制作RAID0的两个硬盘
(5) 系统进入进入RAID参数设置页面后设置如下图参数。设置完成后选中“Done”,按回车键返回主菜单页面。
图3-11 设置参数
(6) 使用键盘方向键继续选择“Create Array”,按回车键进入创建阵列页面。
图3-12 RAID主菜单
(7) 使用键盘方向键选择1个4T数据盘,按空格键,此时右侧列表会生成一列信息。然后按回车键进入RAID参数设置页面。
图3-13 选择制作RAID0的一个硬盘
(8) 系统进入RAID参数设置页面后设置如下图参数。设置完成后选中“Done”,按回车键返回主菜单。
图3-14 设置参数
(9) 使用键盘方向键继续选择“Create Array”,按回车键进入创建阵列页面。
图3-15 RAID主菜单
(10) 使用键盘方向键选择3个4T数据盘,按空格键,此时右侧列表会生成一列信息。然后按回车键进入RAID参数设置页面。
此步骤中ATD-E产品选择3个4T数据盘,ATD-P产品选择4个4T数据盘。
图3-16 选择制作RAID0的三个硬盘
(11) 系统进入RAID参数设置页面后设置如下图参数。设置完成后选中“Done”,按回车键返回主菜单。
图3-17 设置参数
(12) 按退出键退出RAID管理页面,此时系统提示“Exit Utility?”,选择“Yes”按回车键退出即可。然后系统将自动重启。
图3-18 退出RAID管理页面
(13) 重启过程中,点击页面左上角“虚拟介质 > 虚拟介质向导”弹出虚拟介质页面,点击“CD/DVD介质:I”后的<浏览>,在ISO文件路径下找到镜像文件,点击打开,挂载镜像文件。
图3-19 虚拟介质页面挂载镜像
(14) 当使用服务器自带的管理口挂载ISO文件后点击<连接CD/DVD>,连接成功后点击关闭,等待服务器重启后开始安装。
(15) 重启过程中当界面出现如下图所示时按F7进入Boot Menu界面,不同服务器快捷键可能不同,请参照实际提示进行配置。
图3-20 启动设置页面
(16) 当出现如下图所示界面时,选择“AMI Virtual CDROM0 1.00”配置成虚拟光驱启动,按Enter键进入安装页面。
图3-21 启动光驱设置
(17) 系统进入自动安装流程。整个过程将持续一个小时至一个半小时,不需要人工干预。
图3-22 自动安装
(1) 在PC上解压所有沙箱母镜像,并将解压后的文件名改成如下图所示。
图3-23 解压并重命名沙箱母镜像
(2) 在PC上打开xftp,如图所示PC和服务器系统管理口使用网线直连,新建如下图所示会话连接服务器,主机配置为系统管理口IP 192.168.10.100,用户名/密码为sftp/Admin@123。配置完成后点击<确定>按钮。
图3-24 服务器默认管理口接线
图3-25 xftp登录页面
标准服务器如图3-40服务器所示,默认的左上方第一个口为系统管理口,且默认系统管理口IP为192.168.10.100,此管理口对应的eth口不一定是eth0。
(3) 点击<连接>按钮
图3-26 连接会话
(4) 将本地的所有沙箱母镜像文件传至kvm文件夹下
图3-27 上传沙箱母镜像
(5) 待所有沙箱母镜像文件传至服务器,使用ssh连接登录沙箱,主机地址为:192.168.10.100输入用户名密码为admin/Admin@123 (此用户仅限SSH连接沙箱,不支持图形化界面登录)
图3-28 SSH连接沙箱
(6) 执行md5sum 命令对上传到沙箱的母镜像分别进行MD5校验,各母镜像文件MD5值和表3-3中MD5一致(更改母镜像文件名不会影响MD5值)。如果不一致请删除MD5校验不一致对应的母镜像文件,并重新上传对应的母镜像直至MD5值和发布文档中的一致。
母镜像名称 |
MD5值 |
netway_new.qcow2_1.0.0.3 |
d113987c74dddb5caf4fb8b2c14fe843 |
Win64.qcow2_2.1.0.21 |
85d98c9e01791f2c58e6a7780de3ea64 |
Windows7.qcow2_2.1.0.21 |
a0eb46c48ab809279dbf6d9f3de3b584 |
WEB.qcow2_3.0.0.3 |
917450af89d1fe9ae547e1dc8d2e2f44 |
WindowsXP.qcow2_2.1.0.21 |
5d2986fdd07e9b215eadf51ae0bda0fa |
图3-29 对母镜像进行校验
(1) 在PC上打开浏览器(请使用谷歌浏览器),并在浏览器地址栏中输入管理IP地址(默认192.168.10.100)即可进入Web登录界面,然后输入默认管理员用户名和密码(管理员默认账户/密码为:admin / Admin@123),点击<登录>。
图4-1 H3C高级威胁检测产品登录页面
(2) 登录成功后,系统提示进行密码修改。
图4-2 修改密码
(3) 修改密码后重新登录页面,跳转至授权页面,记录设备ID。
图4-3 授权页面
(4) 参照license激活申请和注册操作指导对设备进行授权,并将申请下来的激活码导入到设备
(1) 对设备进行授权后,在PC上打开浏览器(请使用谷歌浏览器),并在浏览器地址栏中输入默认管理IP地址192.168.10.100即可进入Web登录界面,然后输入管理员用户名和密码(管理员默认账户/密码为:admin / Admin@123,系统激活后首次登录需修改密码),点击<登录>。
图5-1 系统登录界面
(2) 配置流量采集口之前请务必检查设备已经接入网线,并保证网卡上的指示灯亮。安装完成后,通过ssh连接沙箱后台,用户名密码为admin/Admin@123 ,执行ip a命令,查看网口处于up状态对应的eth口。如图,当前eth0,eth1和eth2处于UP状态
(3) 点击配置>系统配置,查看当前网络配置页面管理口对应的eth口,根据图5-2查看的当前UP的eth口,选择对应流量口。如图5-2所示,当前eth0,eth1和eth2处于UP状态,如图5-3管理口处显示eth2,则对应流量口为eth0和eth1,勾选eth0和eth1为流量口,点击保存按钮
(4) 点击配置>系统配置>网络配置,根据现场实际情况配置管理口及地址。
(5) 点击配置>系统配置>设备操作,点击“设备重启”按钮。待设备起来后,沙箱安装才初步完。