手册下载
H3C SecCloud OMP安全云管理平台
用户FAQ
资料版本:5W103-20221201
Copyright © 2022新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
旁路同时部署了检测和清洗设备时,DDoS防护服务触发检测防护策略,是否就会触发清洗设备的工作?
DDoS防护服务关闭服务开关会占用云平台租户DDoS防护配额吗?
WAF设备上线后,能正常访问服务器但攻击不被防护,无防护日志及攻击日志?
安全云系统可以正常通过系统页面下发配置,但本地直接访问WAF管理端不通是什么原因?
应用监控当前只支持HTTP、PING和DNS协议,支持HTTPS吗?
服务器安全监测自动生成的Agent安装脚本适用于所有Windows系统吗?
安全云管理平台可以正常通过系统页面下发配置,但本地无法访问WAF管理端是什么原因?
防火墙服务创建失败,错误信息提示“License Server授权失败”,是什么原因?
通过系统管理员纳管物理防火墙时,防火墙还需要开放那哪些配置?
虚墙Context, 这个context里面包含reth1和reth2,两个子接口是以什么方式互联?
安全云管理平台上负载均衡服务目前仅支持服务器负载均衡的NAT模式,若想使用链路负载均衡、全局负载均衡技术,如何配置?
登录设备后“系统 > 管理员”中为什么会存在用户名为“super”的超级管理员?
负载均衡服务提示“License server授权失败”怎么办?
负载均衡服务成员添加成功后,访问vIP,为什么访问请求未转发到对应主机上?
H3C SecCloud安全云管理平台用户FAQ
本文档介绍H3C SecCloud安全云管理平台的用户常见问题及解答。
运维审计、数据库审计、日志审计、Web应用防护、防火墙、负载均衡六种服务。
安全云管理平台服务器的硬件要求如下:
· 服务器类型:x86服务器/海光x86服务器
· CPU:16核以上
· 内存:32GB以上
· 磁盘:500GB以上
OMP服务器目前是单机版,不支持集群;OMP宕机只能重新安装,建议定期备份数据库。
当前版本没有实现服务双机热备功能,只能手动操作,重新创建服务,配置需重新下发。
云安全管理平台默认赠送20临时节点180天有效期。
若要导入正式授权,需要连接授权服务器,导入正式授权。
一旦连接授权服务器,临时授权立即失效。
浏览器建议使用主流版本Google和火狐, Chrome54、Firefox45及以上版本的浏览器。
分辨率推荐:1600*900。
安全云基础License、防火墙服务、负载均衡服务、日志审计服务。
创建一个基于NFV的服务,需要消耗一个服务节点,同时会消耗对应的通用授权节点数。
安全云平台默认自带20个服务节点License,默认使用180天,到期后安全服务将不可创建,但是原有服务可以继续使用。
版本文件中会附带对应版本的NFC服务模板,使用模板时请注意:
· 修改模板的网口,确保网口与交换机口名称一致。具体方法:先部署模板,调整模板参数,再保存模板。
· 防火墙和数据审计需要多张网卡。
· 第一张网卡是管理网卡。
安全云租户共包含三种角色类型:
· 系统管理员:可以查看所有服务的运行情况,配置资源池。
· 组织管理员:可以查看本组织的服务。
· 租户:只能查看自己创建的服务数据。
安全云升级时需要重启相关容器,已经进行的业务会话会受到相应的影响,应尽量避免业务高峰期进行系统升级操作。不会导致配置、日志文件、库文件、License文件丢失。
不支持主备服务,仅支持单机版服务。
硬件服务即物理服务,或者ISO部署的服务我们也称作硬件服务,针对资源池纳管硬件服务需要注意以下事项:
(1) 服务手动部署成功,设置好网络参数;
(2) 服务需要手动导入授权(假如服务需要授权才能正常工作);
(3) 在安全资源池添加部署完成的服务;
(4) 添加资源池过程,有自动默认用户和密码的服务,请不要删除修改;若没有默认用户名和密码默认的服务,请使用部署服务过程设置的用户名和密码;
(5) 通过安全市场申请开通服务界面创建服务;
· 检查是否在资源池CAS界面配置模板。
· 检查是否按照要求部署授权服务器并导入授权文件。
· 检查租户网络和子网是否创建。
· 检查服务配额是否充足。
可以。
为了获得更好的展示效果,建议使用Chrome54、Firefox45及以上版本的浏览器。
支持。
支持这两种部署模式的异常流量清洗设备,但是一个管理平台只支持添加一种模式的设备。
不是的,旁路同时部署了检测和清洗设备时只有同时触发检测防护策略和清洗策略时才会触发对该主机IP的清洗动作。
占用,只有删除服务后才会释放License数量。
1. 检查授权服务器地址和端口443是否放行。
2. 检查现场是否放行授权服务器9443端口。
3. 创建服务使用的模板要与授权文件对应起来,例如:标准模板对应基础授权码,否则创建服务失败。
使用Account账户登录WAF管理端,在“系统配置 > 账户管理 > 用户管理”页面查找用户列表,点击对应用户,可进行解封。
使用Account账户登录WAF管理端,在在“系统配置 > 账户管理 > 用户管理”页面找到对应的用户,选中对应用户单击<重置>按钮,设置新密码后可重新登录。若Account密码忘记,需联系H3C相关技术人员需求支持。
版本要求E6203P04及以上。
· 授权失败。
· WAF服务的系统时与OMP系统时间相差大于3分钟。
不支持。当前安全云版本暂不支持防护HTTPS服务器,若需要防护HTTPS服务器,可登录WAF管理端手动配置防护HTTPS服务器。
· 在WAF上抓取业务网桥的数据包,查看服务器的双向流量(request包及response包)是否都经过WAF,如果request包或response包不经过WAF,WAF将不能防护。
· 查看服务器管理中配置的服务器信息和部署防护模式是否正确,如果信息填写错误会导致WAF不防护。
· 查看是否配置了Web防护策略,如果尚未配置,需要增加Web防护策略,选择待防护的服务器,并开启策略。
当前网段与WAF管理网段不属于同一网段时,需要提前在WAF设备侧添加相应路由配置,具体操作步骤为在创建Web应用防护服务之前,在“资源 > 安全资源池 > CAS资源池”页面配置管理网路由配置,添加实际路由信息。
不支持。
服务器安全监测系统的License授权租户数量。
开通服务后,登录服务安全监测系统,在服务安全监测系统页面下载Agent,然后在服务器系统中安装。
支持,租户之间资产是相互隔离的,系统管理员仅能管理自己的资产。
租户创建服务成功,即开通服务。
不支持,目前仅支持HTTP协议。
初始化后会同步展示漏洞扫描资源池中实例正常的设备端知识库内容,漏洞知识库初始化按钮仅对系统管理员展示。
管理员账号创建定时任务时,会在指定的时间触发执行扫描任务。子账号申请定时任务时,若超时未审批,服务会处于异常状态。此时管理员审批成功后,服务会变更为待执行状态,用户可自行修改扫描任务的执行方式。
可以,漏洞扫描版本存在限制,需E6903P01版本。
支持网段和多个IP同时扫描。
支持。
不支持同一用户重复创建对相同监控类型、相同监控地址的监控任务。
关闭应用监控服务,只是暂时关闭监控任务的监控状态,开启后可继续执行监控任务;只有当删除监控任务时才会释放占用的应用监控配额。
不支持,目前仅支持HTTPS。
(1) 安装授权服务器。
(2) 导入授权文件。
(3) 配置授权服务器地址。
(4) 配置运维审计模板。
(5) 租户已创建网络和子网。
(1) 检查网络是否正常。
(2) 执行df –h检查磁盘是否满载。
确保虚机、安全云平台和授权服务器三者时间差不大于5分钟。
不能实现租户隔离,每个租户创建一个虚拟运维审计。
建议使用推荐配套版本E6112。
支持。
默认用户是admin,密码为seccloud。
通过申请不同服务类型,网站安全体检/主机安全体检/应急响应/安全协维/安全培训/渗透测;帮助客户预防、监测、发现主机、站点及系统的安全风险,给出解决方案及权威报告,并及时修复被攻击系统,降低损失。此外,还提供等保安全等一站式服务。
只能由租户创建,管理员审批同意或者驳回。
不是,组织管理员也可以。
不可以,需要手动导入License,且导入License后,服务需要1分钟左右重启时间,之后才可以登录。
不支持。
绑定时会在日志审计上创建该日志源,绑定的信息采用默认信息(可以登录后查看)。如果需要特殊的绑定(比如发送日志的编码格式不是utf-8),需要登录后手动添加,解绑即删除该日志源。
不可以,还需要在设备侧配置要发送的日志审计信息。
不会,只会清除绑定关系,需要登录日志审计手动删除。
与传统修改网卡的方式不同,需要登录后台执行修改IP的脚本,请联系管理员,不要轻易操作。具体脚本目录:
cd /home/csap_install_package/web_service/webapps/Skynet/WEB-INF/classes/shell
缺少路由或者路由添加不正确,需按照模板制作文档正确添加路由。
数据库审计的时间Licence Server的时间及系统平台的时间相差不要超过5分钟,否则创建失败。
可以登录数据库审计后手动Ping一下控制器,就会上线了,不影响功能的使用。
不支持,只支持30天临时授权的和永久的授权。
暂时不支持HTTPS协议及其他协议。
不是,采集频率越高,虽然采集到的监控数据能实时反馈被监测对象的状态,但是频繁的请求会影响被监测对象的性能。
服务状态显示错误,可能是由于配置参数有误或服务资源已过期导致,可以通过修改配置参数或更换服务资源来尝试解决。
目前,服务器安全监测服务只能防护CloudOS下的虚拟机。后期会适配其他云平台下的虚拟机或者物理主机。
不适用,有些生成的脚本只能适用于Windows 10及以上版本的操作系统。
Web应用防火墙部署在云端,与防护的Web服务没有耦合。Web应用防火墙支持任意框架的Web服务。
Web应用防火墙提供的是七层防护。
当前网段与WAF管理网段不属于同一网段时,需要提前在WAF设备侧添加相应路由配置,具体操作步骤为在创建Web应用防护服务之前,在“资源管理 > 管理网地址池 > 管理网配置 > 路由地址”添加实际路由信息。
(1) 确认vWAF授权服务器与vWAF网络互达
(2) 确认该规格vWAF对应产品型号在授权服务器上有足够授权资源(包括特征库授权包和功能授权包),安全云规格与vWAF产品型号对应关系:
¡ 标准版:W2000-V300-G2
¡ 专业版:W2000-V400-G2
¡ 旗舰版:W2000-V500-G2
态势感知是可视化威胁检测和分析平台,能够检测出超过20大类的云上安全风险,包括DDoS攻击、Web攻击、后门木马、漏洞攻击、僵尸主机、异常行为等。利用大数据分析技术,态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和聚合分析,为用户呈现出全局安全攻击态势。
服务有三种类型:硬件FW、context FW、vFW。
服务为vFW类型时会出现此异常。若出现此异常提示,系统管理员可从以下几点进行检查:
(1) 进入“资源管理 > 安全资源池”页面,防火墙资源池中授权服务器信息是否配置正确,账号密码参数信息为授权服务器上的客户端参数。
(2) 授权服务器上是否有剩余可用License,且License的类型参数与VFW模板参数对应。
(3) 检查安全云与虚拟vFW所属网段、授权服务器三者网络是否可达。
是可以的,但需要注意手动拉起的VFW防火墙需要配置用户及角色、开启NETCONF协议等,并且保证已经将除管理口外的业务网接口添加到某一个安全域。
(1) 检查输入的IP及账号密码是否是正确的,可以用该参数登录页面一下来判断。
(2) 如果可以正常登录,可以去后台检查用户权限,以及是否开启NETCONF协议。
(3) 如果未提示实例参数不正确,但是没有可以使用的接口供选择,则需登录设备,检查业务口是否是UP状态,UP接口是否加入到某一安全域,如果没有则需要配置。
需要开通NETCONF,同时需要配置用户,在资源池实例纳管设备时使用。
共享上下行口,子接口互联是方式设置IP。
LB不支持跨板转发,入出接口只能在同一板卡,设备堆叠时不支持跨板卡转发。
支持租户隔离。每一个创建成功的负载均衡服务都对应着一台独立的负载均衡设备。
可选择“服务管理 > 策略管理 > 负载均衡”进入负载均衡服务列表页面,单击<登录系统>在设备上自行配置。
可联系系统管理员进行获取,vLB类型用户名/密码为admin/admin。
vLB及Context LB类型的设备上会存在此账号。此“super”账号是为了供安全云下发配置使用,主要目的是为了和用户登录账号进行隔离。
注意:请勿对“super”账号进行修改,否则将无法通过OMP进行配置下发。
服务为vLB类型时会出现此异常。若出现此异常提示,系统管理员可从以下几点进行检查。
· “资源管理 > 安全资源池”页面,负载均衡资源池中授权服务器信息是否配置正确。
· 授权服务器上是否有剩余可用License。
· 选择“资源管理 > 安全资源池 > CAS资源池”,负载均衡模板配置中虚拟机模板与型号是否对应。
· 检查OMP与虚拟LB所属网段、授权服务器三者网络可达。
负载均衡服务中成员是从当前LB所属组织的“资产管理 > 主机管理”列表中导入,且每个主机只能被导入一次。当添加成员无可用主机时,请做以下检查:
(1) 当前“资产管理 > 主机管理”列表中是否有与当前LB服务所属组织相同的主机可供使用。
(2) 当前LB服务所属组织的主机是否已被添加过。
请确保负载均衡设备与对应主机(实服务器)的路由可达,负载均衡服务不进行路由信息的配置下发。