H3C SecCenter A1000安全管理中心 快速入门V100.docx

H3C SecCenter A1000安全管理中心 快速入门V100.docx

《H3C SecCenter A1000安全管理中心 快速入门V100.docx》由会员分享，可在线阅读，更多相关《H3C SecCenter A1000安全管理中心 快速入门V100.docx（39页珍藏版）》请在冰豆网上搜索。

H3CSecCenterA1000安全管理中心快速入门V100

目录

第1章产品介绍1-1

1.1产品概述1-1

1.2产品外观1-1

1.2.1整机外观1-2

1.2.2背视图1-2

1.3SecCenterA1000的网络接口1-2

1.4SecCenterA1000的出厂网络配置1-3

第2章将SecCenterA1000接入网络2-1

2.1SecCenterA1000的部署位置2-1

2.2登录SecCenterA1000的远程桌面2-1

2.3设置千兆以太网口IP地址2-3

2.4Web方式登录SecCenterA10002-5

2.4.1SecCenterA1000的Web客户端的软件需求2-5

2.4.2使用浏览器登录SecCenterA1000的Web界面2-5

2.5SecCenterA1000的Syslog配置2-6

第3章功能快速浏览3-1

3.1SecCenterA1000应用界面介绍3-1

3.1.2Dashboard（主监视画面）3-1

3.1.3Alert（报警）3-1

3.1.4Policies（策略）3-1

3.1.5Profiles（定制报告）3-2

3.1.6SecurityCenter（安全中心）3-2

3.1.7Forensics（深度分析）3-2

3.1.8DeviceManager（设备管理）3-2

3.2Dashboard（主监视画面）3-2

3.2.1Dashboard介绍3-2

3.2.2缺省模板（DefaultDashboard）介绍3-3

3.2.3调整Dashboard各显示区域大小3-4

3.2.4定制自己的Dashboard模板3-5

3.3安全中心（SecurityCenter）3-9

3.3.1启动安全中心3-9

3.3.2实时监视器画面（Monitoring）3-10

3.3.3即时报告画面（Reporting）3-12

3.4策略与告警（Policies&Alert）3-17

3.4.1规则模板（RuleTemplates）3-17

3.4.2策略定义（Policies）3-18

3.4.3触发告警（Alert）3-19

3.4.4自定义事件（EventClass）3-21

3.5定制报告（Profiles）3-21

3.5.1定制报告（Profiles）功能画面3-21

3.5.2Profile的建立、修改、删除3-22

3.5.3使用Profile生成的报告3-22

3.6深度分析（Forensics）3-24

3.6.1功能简介3-24

3.6.2建立分析搜索模板3-24

3.6.3深度分析结果画面3-25

3.7设备管理（DeviceManager）3-29

3.7.1组管理（Groups）3-29

3.7.2设备管理（Devices）3-29

3.7.3主机管理（Hosts）3-31

第1章产品介绍

1.1产品概述

SecCenterA1000安全管理中心是杭州华三通信技术有限公司（以下简称H3C公司）推出的安全管理解决方案中的重要组成部分。

它提供了综合的安全智能、高效实施的安全信息和事件管理（SIEM）解决方案，能够对全网海量的安全事件、日志进行集中收集与统一分析，兼容异构网络中各厂商的多种设备，支持海量数据的高度聚合存储及归一化处理。

图1-1所示的是SecCenterA1000的系统结构。

图1-1SecCenterA1000的系统结构

1.2产品外观

SecCenterA1000按19英寸标准设计，支持19英寸标准机柜。

1.2.1整机外观

（1）挂耳

（2）面板

（3）键锁

（4）电源指示灯

（5）告警指示灯

（6）定位指示灯

整机外观图

1.2.2背视图

（1）交流电源输入

（2）电源模块

（3）鼠标、键盘接口

（4）串口1

（5）串口2

（6）USB接口（2个）

（7）千兆网口1、2

（8）千兆网口3、4

（9）百兆网口

（10）显示器接口

（11）PCI-X扩展槽

背视图

1.3SecCenterA1000的网络接口

SecCenterA1000共有五个以太网接口，包括四个千兆以太网接口（GE）和一个百兆以太网接口（FE），如图1-4所示。

千兆以太网接口用于与设备通讯以及供Web客户端访问，百兆以太网接口用于管理SecCenterA1000设备，相当于控制台（Console）接口。

图1-1SecCenterA1000网络接口示意图

1.4SecCenterA1000的出厂网络配置

百兆以太网接口出厂时配置的IP地址为192.168.0.1，掩码为255.255.255.0。

这个百兆以太网接口是作为控制台接口使用的，建议用户在一般情况下不要修改这些配置。

第2章将SecCenterA1000接入网络

2.1SecCenterA1000的部署位置

在网络中，SecCenterA1000部署在防火墙后面，接收防火墙、IDS、路由器、交换机和应用服务器发送的日志信息和NetStream信息等。

SecCenterA1000可以部署在防火墙后的信任区域，一般情况下不需要从外网访问。

如果需要从外网的非信任区域访问，可将SecCenterA1000部署在DMZ区域。

图2-1是SecCenterA1000的典型组网。

图2-1SecCenterA1000典型组网

2.2登录SecCenterA1000的远程桌面

第一次登录SecCenterA1000时，使用一台运行Windows操作系统（Windows2000、WindowsXP、WindowsServer2003）的普通PC机。

通过交换机、Hub或直连网线将PC机与SecCenterA1000的百兆网口相连。

配置PC机的网卡IP地址，使其与SecCenterA1000百兆网口的IP地址处于同一网段。

SecCenterA1000百兆网口出厂时配置的IP地址为192.168.0.1，掩码255.255.255.0，所以PC机的网卡IP地址可以是192.168.0.2～192.168.0.254，掩码为255.255.255.0，如图2-2所示。

图2-1PC机的IP地址配置界面

打开SecCenterA1000的电源开关，大约2分钟后系统启动完毕。

确认PC机网口已经与SecCenterA1000正常连接（观察SecCenterA1000的百兆网口，绿灯闪烁表示连接正常），这时就可以进行远程桌面连接了。

在PC机的Windows界面，点击[开始/程序/附件/通讯/远程桌面连接]，出现远程桌面连接对话框，如图2-3所示。

输入SecCenterA1000的百兆网口的地址（192.168.0.1），点击<连接>按钮登录到SecCenterA1000桌面。

图2-2远程桌面连接程序界面

登录到SecCenterA1000后，需要输入系统登录用户名和密码。

登录用户名为Administrator，登录密码出厂设置为sca1000@。

登录成功后出现SecCenterA1000的系统桌面，SecCenterA1000采用WindowsServer2003Web版作为操作系统。

2.3设置千兆以太网口IP地址

远程登录到SecCenterA1000的桌面后，可配置千兆以太网接口地址。

SecCenterA1000的千兆以太网接口用来与设备通讯和供Web客户端访问，根据具体组网情况选择一个部署SecCenterA1000的位置，并配置相应的IP地址。

配置网卡IP地址操作步骤如下：

在SecCenterA1000的远程桌面，打开[控制面板（controlpanel）/网络连接（NetworkConnections）]，出现网络连接对话框，如图2-4所示。

选择要修改的网卡（作管理接口的百兆网卡下面有：

Intel8255xERPCIAdapter标注，千兆网卡下面有BrodcomNetXtremeGigabitEthernet标注）。

网络连接（NetworkConnections）对话框

用鼠标右键点击网卡图标弹出右键菜单，选择Properties菜单项弹出网卡属性设置对话框，如图2-5所示。

图2-1网卡属性设置对话框

双击列表中的InternelProtocol（TCP/IP）项，弹出InternelProtocol（TCP/IP）Prpperties对话框，如图2-6所示。

输入要修改的新的IP地址、网络掩码、默认网关，点击按钮完成修改。

IP地址配置对话框

2.4Web方式登录SecCenterA1000

配置了SecCenterA1000的IP地址后，就可以通过千兆以太网接口访问SecCenterA1000的Web界面进行使用了。

SecCenterA1000的Web界面可以从五个网络接口的任意一个登录，只要该接口配置了IP并保证登录的PC机可以ping通这个网络接口即可。

建议用户使用千兆以太网接口登录SecCenterA1000的Web界面。

2.4.1SecCenterA1000的Web客户端的软件需求

●操作系统为Windows2000、WindowsXP、WindowsServer2003

●浏览器为InternetExplorer6.0以上版本

●安装Java运行环境（JRE）

通过Web浏览器访问SecCenterA1000需要浏览器安装Java运行环境，版本为Java2RuntimeEnvironmentJREv1.5以上。

JRE会在随机光盘中提供，执行jre-1_5_0_09-windows-i586-p.exe安装程序即可安装。

●AdobeReader浏览器插件安装

SecCenterA1000可以生成多种格式的报表，通过安装相应的浏览器插件，可以在浏览器上直接打开这些报表。

对于PDF格式的报表，需要安装AdobeReader6.0及以上版本的软件浏览；在随机光盘AdobeReader目录中执行安装程序AdbeRdr60_enu_full.exe进行安装。

2.4.2使用浏览器登录SecCenterA1000的Web界面

打开SecCenterA1000Web客户端的IE浏览器，在地址栏输入http:

//:

9216，会出现SecCenterA1000的Web登录界面，如图2-7所示。

图2-1Web登录界面

如果使用出厂设置，在UserName中输入“admin”，在Password中输入“sca1000@”，即可进入SecCenterA1000的应用系统界面。

2.5SecCenterA1000的Syslog配置

设置H3C的SecPath防火墙、VPN网关、路由器、交换机的SyslogServerIP地址为SecCenterA1000的IP地址，这样这些设备发出的Syslog就可以被SecCenterA1000接收。

第3章功能快速浏览

3.1SecCenterA1000应用界面介绍

主要介绍SecCenterA1000应用系统的七个部分内容，各部分在界面中的位置如图3-1所示。

图3-1Sec