0407 天清汉马USG防火墙P系列集中管理中心用户使用手册Word格式.docx
《0407 天清汉马USG防火墙P系列集中管理中心用户使用手册Word格式.docx》由会员分享,可在线阅读,更多相关《0407 天清汉马USG防火墙P系列集中管理中心用户使用手册Word格式.docx(53页珍藏版)》请在冰豆网上搜索。
激活系统之后,如果未导入数量控制型License,则本系统默认可管理设备数量为2台(I型)。
需要登录系统,进入License管理功能,导入数量控制型License后,才能正常管理设备。
2.2进入系统
2.2.1登录
打开浏览器,输入管理中心主页URL,出现登录界面,如图所示:
图表2-1
●管理员账号:
用户登录的名称。
●密码:
分配给用户的密码。
(系统默认用户名为admin,密码为admin123。
)
2.2.2界面主框架
进入管理中心,包括三个部分:
顶部菜单栏、左侧导航栏和中间主界面。
●顶部菜单栏:
包括:
主页、资产、态势、事件、报表、规则、权限、系统、帮助共9项。
●左侧导航栏:
在不同的功能模块,左侧导航栏会出现不同的内容。
如在主页菜单中,左侧显示安全等级、24小时安全趋势、分析报表等内容。
●中间主界面:
系统各个功能的主要展示界面。
3第三章系统主页
3.1概述
主页显示全局的安全态势,展示系统各个方面的安全信息,包括安全等级,安全趋势,基于事件、告警的安全态势分析,基于设备的安全态势分析,实时告警等。
图表3-1
3.1.1安全等级
安全等级是系统分析全网安全数据得出的综合指标,代表全网的安全级别。
点击安全等级可以看到引起安全等级变化的最新告警信息。
可以调整安全规则来自定义安全等级。
图表3-2
3.1.224小时安全趋势
24小时安全趋势显示当天的安全告警趋势,该图显示了当天安全级别的变化趋势。
用户通过此图可以获取总体安全的变化趋势。
图表3-3
3.1.3系统状态
系统状态现了系统所在服务器的基本信息,包括cpu,内存使用率,剩余磁盘,系统运行天数等。
点击链接可以获取更多的系统状态信息。
图表3-4
3.1.4设备探测
设备探测利用snmp技术自动发现系统服务器所在网段的网络设备,并对启明设备进行自动监管。
该列表展示最新发现的设备。
点击链接可以获取更多的设备信息。
图表3-5
3.2安全概览图
安全概览图显示了最近时间的安全态势分析,以图形化形式展示。
图表3-6
●安全事件统计,显示了当天各个设备的安全事件分布;
●安全事件趋势,蓝色趋势线显示了安全事件流量的趋势,红色堆积图显示安全告警流量的趋势。
●安全威胁分析,显示了当天各等级告警的分布情况。
●安全告警统计,显示了各个设备告警分布情况。
3.3安全设备分析
设备安全统计显示了系统中各个设备的安全态势分析,使安全管理人员直观了解各个安全设备的安全信息。
图表3-7
以下是各列信息说明:
●设备类型:
以图标形式展示该设备的类型。
●设备:
显示设备名称。
●管理IP:
显示该安全设备提供的管理IP地址。
●设备状态:
显示设备连接与否。
●安全级别:
显示该设备的整体安全级别,可以链接到该设备的威胁分析报告。
图表3-8
●告警总数:
显示该设备当天告警数目信息,可以链接到该设备当天告警详情
●Top事件:
显示该设备当天发生最多的事件,可以链接到该设备当天事件分析。
●事件总数:
显示该设备当天发生的事件总数,可以链接到该设备当天事件分析。
图表3-9
3.4实时告警
实时告警是最近的告警信息显示。
图表3-10
●告警来源:
显示该告警来源的设备名称。
●告警等级:
显示该告警的严重等级。
●发生时间:
显示该告警发生时间。
●攻击源:
显示告警的攻击源。
●攻击目的:
显示告警的攻击目的信息。
●攻击拓扑:
点击此链接可以获取攻击的拓扑图信息。
●处理状态:
显示该告警是否已处理。
●操作:
提供处理该告警或告警的详细信息。
3.5攻击拓扑
攻击拓扑功能直观显示攻击发生的来源,目的和路径,有效的帮助管理人员迅速解决安全威胁。
攻击拓扑页面包括攻击拓扑图,攻击详细信息,攻击当前解决状态,并提供了针对该攻击的解决指导信息。
图表3-11
4第四章资产管理
在管理中心中,我们把设备、网络连接等归类为资产,统一在管理域中进行管理。
4.1设备管理
设备管理拓扑图是对设备和网络的可视化管理。
通过设备管理域拓扑图,可以从全局角度对网络系统、管理子网、设备等对象以及它们之间的归属关系和连接关系进行管理。
设备管理拓扑图中,管理对象主要是指:
设备、管理域(子图)、网络连接,用户可以在系统中新建管理对象、修改对象属性以及删除管理对象,或通过对象的右键菜单进入对象管理的其它功能,如设备监控、配置查看、远程登录等。
图表4-1
4.1.1网络拓扑管理
4.1.1.1管理域树
管理域功能树实现管理域的管理、浏览功能,通过管理域子图功能树可以清楚的查看系统内的管理域结构,通过鼠标点击可以快速打开管理域拓扑图,或通过右键弹出菜单完成对管理域的新建、属性修改和删除等工作,也可以进行创建设备、设备监控、策略管理等各项功能操作。
图表4-2
用户可以展开、新建、修改、删除管理域。
在管理域拓扑图,用户可以看到设备当前的运行状态。
当设备状态发生改变时,安全管理中心通过设备状态轮询,自动发现设备状态的改变,并在管理域拓扑图上更新设备状态的显示。
设备状态显示图标说明:
设备正常运行状态
;
设备无法连通
4.1.1.2管理域拓扑图
图表4-3
当用户通过鼠标单击设备管理树节点时,系统会在拓扑图面板上显示属于当前子图下的全部子图、设备以及网络连接。
设备管理域拓扑图全局直观的展现了当前打开的子图下定义的全部内容,用户可以通过鼠标双击设备对象或连接对象,查看或修改对象的属性;
或双击拓扑图上的子图,展开该子图的拓扑视图。
也可以通过鼠标拖拽的方式调整子图和设备在拓扑图上的布局。
当调整了拓扑布局后,需要对修改进行保存,否则在用户关闭当前管理域(子图)后调整会丢失。
拓扑管理包括了物理拓扑和逻辑拓扑两种管理视图,列表选项可以列表显示两种不同视图的内容,用户点击逻辑拓扑后再点击列表按钮,列表显示逻辑拓扑视图的设备与连接等内容。
同理,用户点击物理拓扑后再点击列表按钮,列表显示物理拓扑视图中的各项信息。
4.1.1.3拓扑布局调整
拓扑布局调整分为手动和自动调整两种方式,用户可以通过鼠标拖拽的方式调整管理域和设备在拓扑图上的布局,展开将要操作的管理域拓扑图;
且用户可以通过鼠标点击工具栏中的“布局”功能按钮,自动布局当前管理域子图。
调整后请注意保存对拓扑图布局修改。
4.1.1.4设备管理工具栏
图表4-4
4.1.1.5弹出菜单功能
鼠标右键点击拓扑对象(子网、设备、连接)或设备管理树图上的子网对象,可弹出对象弹出式菜单,用来执行选择对象的属性修改、对象删除、配置查看、设备监控等操作。
对于不同类型的受管设备,弹出菜单会有所不同。
4.1.2设备信息读取
设备管理功能包括新建、修改、删除、转移以及设备远程登录。
点击拓扑图工具栏中的“设备”,即可弹出添加设备对话框。
界面如图所示:
图表4-5
用户需要输入合法的设备IP地址、SNMP版本、SNMP访问读团体字符串(默认为“public”)、SNMP写团体字符串(默认为“private”),然后点击“读取设备信息”按钮,如果输入IP地址符合系统要求,并且SNMP方式能够连通设备,系统将得到设备类型、设备联系方式、设备名称、设备描述等基本信息,显示到新建设备界面中。
用户输入设备名称、类型、联系方式、描述等信息,按“确定”按钮添加设备。
在添加设备窗口中,设备类型和设备型号以下拉框的形式选择。
如果在添加设备或修改设备属性时没有将启用SNMP管理功能选中,则设备图标不显示连接状态。
设备添加过程中,如果所选的设备类型及型号不是启明设备,则点击完成即可保存修改;
如果是,则需要输入设备的其它属性。
远程登录管理是安全管理中心提供给用户远程登录设备的WEB接口,使用户很方便的通过管理中心完成对设备的配置管理。
用户可以输入该设备的资产价值,系统可以自动完成资产价值分析。
结果通过资产价值查看菜单显示。
设备如存在SSH接口,用户需要配置相应的SSH参数。
4.1.3设备基本信息查看
在将要查看的设备上右键单击,选择“配置查看”,即可弹出设备基本信息查看窗口:
图表4-6
该窗口显示使用SNMP协议从设备中读取的基本配置信息。
窗口分上下两部分。
上部分显示设备基本信息,包括设备名称、运行时间、设备描述、服务协议等。
服务协议按OSI协议模型分层显示。
下部分分别显示该设备的物理接口,IP设置,地址转换,路由设置的配置信息。
当系统不能正确的从设备中读取信息时,会弹出提示窗口。
这时请检查设备的属性、网络连接等设置以排除错误。
4.1.4设备管理配置
管理中心需要预先完成对被管理的设备配置。
启动设备SNMP代理以便管理中心可以通过SNMP协议访问,实现设备监控,采集设备报警等功能;
设置支持SYSLOG的设备把日志发送到管理中心服务器514端口以便对日志进行审计。
管理中心可对系列防火墙等设备实现远程登录、远程监控、远程升级、策略管理等。
4.1.5节点管理
4.1.5.1连接管理
用户可以新建、修改、删除连接。
鼠标点击工具栏中的“新建连接”,系统进入画线状态。
通过鼠标在要建立连接关系的两个对象(子图或设备)之间画连接,成功画线之后,点击工具栏中的“保存拓扑图”,保存对拓扑图修改。
连接名称系统默认为“节点名称-节点名称”的格式。
4.1.5.2快捷节点管理
系统提供节点快速定位的功能,用户可以为管理域或设备建立快捷节点,通过快捷节点可以方便的定位所连接的实际节点。
具体操作步骤为:
1、选择要建立快捷节点的管理域或设备节点,点击鼠标右键,复制快捷节点。
2、打开将要建立快捷节点的管理域子图,在拓扑图空白处点击鼠标右键,粘贴快捷节点即可完成创建过程,快捷节点显示状态:
。
3、用户通过鼠标双击管理域快捷节点,可以直接打开所关联的管理域;
通过鼠标双击设备快捷节点,可以直接定位到所关联的设备节点。
4.1.5.3节点(管理域、设备、连接)查找
通过节点(管理域、设备、连接)对象查找功能,可以在系统中查找节点对象。
输入对象名称,指定对象类型,点击“立即查找”按钮,查找结果会显示在查找结果列表中。
查找结果中显示了节点名称、对象图标、对象所在管理域和对象类型描述信息。
在查找列表中选择节点对象,鼠标双击或点击“定位节点”,即可打开选中节点所在的管理域拓扑图,并使焦点定位在选择的管理域、设备或连接对象上。
4.1.5.4节点类型管理
用户可以通过系统管理菜单进入节点类型管理界面,窗口分三页,分别是设备类型管理,设备型号管理和连接类型管理。
设备类型列表中显示设备类型描述和编辑状态。
显示全封闭的小锁的设备类型为系统内置的设备类型,不能修改和删除,显示半开的小锁的设备类型为用户自定义的设备类型,可以修改和删除。
图表4-7
4.1.5.5设备节点统计
根据设备类型对系统中管理的设备数量进行分类统计,产生统计图例。
4.1.5.6资产价值查看
根据用户填入的资产价值和域权重信息,完成自动统计。
权重针对域设计,对于设备,用户通过设置完整性、保密性、可用性价值数据体现差异,权重固定取100%,无需用户输入。
4.1.6级联管理
级联管理功能可以实现安全管理中心多级级联,中心服务器可以管理中心网络、接收本地安全告警,同时可建立下级与分中心的级联应用;
中心服务器通过网络,使用分中心的超级用户身份,访问分中心服务器,从而实现集中管理、集中监控、集中审计、分布部署等功能。
其应用环境如图所示:
图表4-8
在级联环境中,中心服务器通过超级用户身份登录分中心服务器后,通过远程调用,取得分中心服务器的拓扑数据、设备管理数据、设备监控数据等;
分中心服务器同样可以再级联二级分中心服务器等,从而达到多级级联的功能。
在拓扑管理树上,可以通过菜单,在添加管理域窗口内添加下级级联管理中心;
选择管理域为下级级联管理中心后,弹出属性配置窗口,用户需填入并确认相应下级管理中心属性数据;
下级管理中心级联到本地管理后,下级管理中心拓扑图逻辑结构可以在本地拓扑树图和拓扑图中显示。
如果操作节点为下级管理中心所管理内容,可以通过级联调用,显示下级管理中心拓扑图。
4.2策略管理
策略管理用于为选定的子图或设备配置安全策略,根据用户的权限、选定的节点(子图或设备)所处的层级位置,执行预定义的业务逻辑,并将数据保存到数据库中。
用户在设备管理或拓扑管理界面中选择要管理的节点(子图或设备),从弹出菜单中选择策略管理,进入该节点的策略管理主界面。
主界面工具栏中有若干按钮,提供一些关于该节点策略的全局性操作,包括获取当前节点的安全策略状态信息、改变当前节点的策略发布状态、将安全策略立即发布到设备上(对于当前节点是设备,立即发布就是将策略发布到该设备上,对于当前节点是子图,立即发布则是将策略发布到为该子图子孙节点的每一台设备上)。
并保存当前对策略的修改。
主界面的状态栏中显示当前设备类型(对于设备节点而言,就是其自身的设备类型,对于子图节点而言,则是进策略管理主界面时选中的要管理的设备类型)、当前节点在层级中的全路径(即:
根结点名-祖父节点名-父结点名-当前节点名,当然,层级也可能更多或更少)。
策略管理支持情况如下表所示:
设备类型
支持的策略功能模块
策略管理方式
防火墙,SJW87
策略配置、资源定义;
策略配置包括对安全选项、安全规则、代理服务、黑名单的设置,资源定义包括地址资源、服务资源、时间资源的管理。
数据库存取,统一下发
AV设备
AV策略的管理
实时获取,不在本地保存,修改后选择下发,
UTM设备
AV策略,IPS策略与DCP策略的管理
IPS设备
IPS策略的管理
图表4-9
4.2.1策略管理工具栏
工具栏中依次显示“允许发布”、“立即发布”、“状态信息”、“保存”、“刷新”按钮。
某个节点的策略有发布和编辑两种不同状态,发布状态是指对该节点的策略配置已经完成,策略可以进行发布。
而编辑状态是指正对策略进行编辑,配置没有完成,不能将此策略下发到设备上。
用户可以点击“允许发布”复选框将策略的状态改为编辑(或发布状态)。
策略管理界面中配置完成的策略并不立即发布到相应的设备上。
如果希望立即将配置好的策略下发到相应的设备上,点击工具栏中的“立即发布”按钮,即通知相应的设备来取策略。
当前节点是设备,立即下发即将策略下发到该设备上,当前节点是子图,则将策略下发到该子图的每一个子孙设备上。
根据设备数及到设备的连接速度的不同,策略的下发可能很快完成,也可能比较耗时,如果由于某些设备不在线或不能连通,速度会更慢一些(系统会反复尝试多次才放弃,做失败处理)。
为避免用户因未能立即得到结果而连续点击“立即发布”按钮,用户点击此按钮后该按钮失效,此时用户可以进行其他操作。
发布操作完成后,会弹出一个对话框,告知用户发布的情况。
设备发布成功与否会通过告警信息提示用户。
用户关闭此对话框后,“立即发布”按钮再次生效。
4.3VPN管理
VPN管理作为VPN整体解决方案的策略管理部分,为用户提供了VPN设备管理,策略编辑,策略发布等功能,将会极大地减少VPN环境的部署工作量。
VPN管理分为五个部分:
策略模板,IKE策略,IPSec策略,VPN策略向导,VPN隧道监控。
4.3.1IKE策略
用户可以添加、修改、删除、查询、发布IKE策略
。
添加IKE策略需要注意端点必须是当前用户管理的网关之一。
当选择的认证方式是预共享密钥匙时,需要输入的值[或随机生成]。
如果选择的交换模式为主模式,则网关1或2中如果有一端为动态地址网关,则预共享密钥的值为另一端的默认预共享密钥;
如果选择的交换模式为野蛮模式,则网关1或2中如果有一端为匿名网关,则预共享密钥的值为另一端的默认预共享密钥。
如果两端都是匿名网关则不能够建立隧道。
操作完毕请点击“确定”或者“回车”,
IKE策略在策略编辑的配置中允许发布IKE策略,有两种方法可以完成操作:
1.首先要选择需要发布的策略,然后点击“发布策略”图标。
2.选择需要发布的策略,右键单击选择“发布策略”。
注:
默认情况下为“发布全部策略”。
4.3.2IPSec策略
本模块是在已经存在的IKE策略基础上,进行IPSec策略管理。
用户可以添加、修改、删除、查询、发布IPSec策略。
基本信息选项如下:
策略名称:
全局唯一的名字。
策略描述:
描述策略的文字,可以为空。
关联IKE:
此处选择在IKE策略配置处,保存的网关对网关的策略配置名字。
子网信息选项:
输入的地址必须是合法的IP地址。
4.3.3策略模板
策略模板对配置参数进行组合,可以简化操作。
策略模板分IKE策略模板、IPSec策略模板。
4.3.4VPN策略向导
VPN设备分组用来管理VPN网关和VPN客户端,一个VPN设备组可以管理多个VPN网关和VPN客户端。
通过VPN的设备分组管理策略,对各区域内或是具有相同以及相似属性的VPN产品进行分组管理。
在管理对象的配置中允许用户对VPN设备组进行添加、修改、删除、查询和导出等操作,并可以添加、删除成员。
VPN策略向导提供简单化的IKE和IPSEC的设置帮助。
4.3.5VPN隧道监控
提供对VPN隧道的全局监控,界面上方提供了五种查询VPN隧道状态的条件,分别为:
隧道名称、安全网关、保护子网、隧道类型和隧道状态。
用户可以通过输入或选择确定查询条件,单击“确定”则显示查询结果。
如果不输入查询条件,系统默认显示全部的VPN隧道。
图表4-11
4.4设备监控
4.4.1单个设备监控
设备监控窗口界面默认包括运行状态、监控曲线图、告警监控3部分,并根据不同的设备显示不同的监控项:
●启明防火墙包括IP连接数监控、IPSec隧道监控、PPTP/L2TP监控、在线用户监控、IP连接状态监控、HA监控。
监控时间间隔控制:
在监控窗口的下方,通过下拉框可以选择希望的监控时间间隔,即每隔多少时间采集一次设备数据。
定制监控任务,对正在监控的设备定制监控任务;
监控任务管理:
进入监控任务管理窗口。
对于详细监控信息中的数据,都可以在此窗口以曲线图的形式表示。
系统规定最多可以同时显示6条曲线。
系统从启动监控窗口开始将所有监控数据保存在内存(最长能保存大约3天的监控数据),所以在曲线切换时不用担心数据丢失。
同时监控项列表还可以根据监控数据自动统计出峰值、发生峰值的具体时间以及整个监控期间的平均值。
图表4-12
4.4.2设备集中监控
通过管理域弹出菜单可以打开设备集中监控功能,集中监控设备状态:
窗口下方区域中缺省显示第一个设备的监控信息,鼠标双击设备列表中的某一行,下方区域切换到所选设备的监控信息。
其它操作和单个设备监控一致。
4.4.3监控任务管理
除实时监控外,用户可以定制监控任务,系统在管理员指定的时间内对设备进行监控,并将监控结果记录下来,管理员可以随时查看监控结果。
从安管平台的“监控任务”->
“设备历史状态监控”即可登录到监控任务管理界面。
监控任务参数说明:
1、监控时间长度最少为15分钟,最长为100天;
监控起始时间必须大于当前时间;
2、15分钟<
=监控时间<
=24小时,监控间隔=10秒;
3、1天<
监控时间<
=5天,监控间隔=60秒;
4、5天<
=15天,监控间隔=10分钟;
5、15天<
=30天,监控时间间隔=30分钟;
6、30天<
=100天,监控时间间隔=60分钟。
管理员应根据需要设置监控时间长度。
为了避免监控任务对设备运行造成较大的负担,如果对同一个设备有多个监控任务,那么监控时间长度在一天以内的监控任务不允许有时间重叠。
查看监控数据:
选中监控任务后,点击“查看监控数据”按钮,该监控任务的监控数据显示在下方区域,主要包括设备基本信息、设备详细信息、监控曲线图、IP连接Top10四部分。
数据显示和实时监控基本一致,不再说明。
监控数据回放的控制说明如图所示:
图表4-13
4.5升级管理
设备升级管理包括“升级包管理”和“设备升级”两部分。
详细参见如下:
4.5.1设备升级包管理
用户可以导入升级包、把升级包导出到控制台,查看升级包属性,删除升级包,获取最新的所有的设备升级包记录。
导入升级包最好添加注释,便于以后查看。
4.5.2设备升级管理
升级会员 