H3C SecCenter A1000安全管理中心 快速入门V100.docx

1、H3C SecCenter A1000安全管理中心 快速入门V100目 录第1章 产品介绍 1-11.1 产品概述 1-11.2 产品外观 1-11.2.1 整机外观 1-21.2.2 背视图 1-21.3 SecCenter A1000的网络接口 1-21.4 SecCenter A1000的出厂网络配置 1-3第2章 将SecCenter A1000接入网络 2-12.1 SecCenter A1000的部署位置 2-12.2 登录SecCenter A1000的远程桌面 2-12.3 设置千兆以太网口IP地址 2-32.4 Web方式登录SecCenter A1000 2-52.4.1

2、SecCenter A1000的Web客户端的软件需求 2-52.4.2 使用浏览器登录SecCenter A1000的Web界面 2-52.5 SecCenter A1000的Syslog配置 2-6第3章 功能快速浏览 3-13.1 SecCenter A1000应用界面介绍 3-13.1.2 Dashboard（主监视画面） 3-13.1.3 Alert（报警） 3-13.1.4 Policies（策略） 3-13.1.5 Profiles（定制报告） 3-23.1.6 Security Center（安全中心） 3-23.1.7 Forensics（深度分析） 3-23.1.8 Dev

3、ice Manager（设备管理） 3-23.2 Dashboard（主监视画面） 3-23.2.1 Dashboard介绍 3-23.2.2 缺省模板（Default Dashboard）介绍 3-33.2.3 调整Dashboard各显示区域大小 3-43.2.4 定制自己的Dashboard模板 3-53.3 安全中心（Security Center） 3-93.3.1 启动安全中心 3-93.3.2 实时监视器画面（Monitoring） 3-103.3.3 即时报告画面（Reporting） 3-123.4 策略与告警（Policies & Alert） 3-173.4.1 规则模板

4、（Rule Templates） 3-173.4.2 策略定义（Policies） 3-183.4.3 触发告警（Alert） 3-193.4.4 自定义事件（Event Class） 3-213.5 定制报告（Profiles） 3-213.5.1 定制报告（Profiles）功能画面 3-213.5.2 Profile的建立、修改、删除 3-223.5.3 使用Profile生成的报告 3-223.6 深度分析（Forensics） 3-243.6.1 功能简介 3-243.6.2 建立分析搜索模板 3-243.6.3 深度分析结果画面 3-253.7 设备管理（Device Manage

5、r） 3-293.7.1 组管理（Groups） 3-293.7.2 设备管理（Devices） 3-293.7.3 主机管理（Hosts） 3-31第1章 产品介绍1.1 产品概述SecCenter A1000安全管理中心是杭州华三通信技术有限公司（以下简称H3C公司）推出的安全管理解决方案中的重要组成部分。它提供了综合的安全智能、高效实施的安全信息和事件管理（SIEM）解决方案，能够对全网海量的安全事件、日志进行集中收集与统一分析，兼容异构网络中各厂商的多种设备，支持海量数据的高度聚合存储及归一化处理。图1-1所示的是SecCenter A1000的系统结构。图1-1 SecCenter

6、A1000的系统结构1.2 产品外观SecCenter A1000按19英寸标准设计，支持19英寸标准机柜。1.2.1 整机外观(1) 挂耳(2) 面板(3) 键锁(4) 电源指示灯(5) 告警指示灯(6) 定位指示灯整机外观图1.2.2 背视图(1) 交流电源输入(2) 电源模块(3) 鼠标、键盘接口(4) 串口1(5) 串口2(6) USB接口（2个）(7) 千兆网口1、2(8) 千兆网口3、4(9) 百兆网口(10) 显示器接口(11) PCI-X扩展槽背视图1.3 SecCenter A1000的网络接口SecCenter A1000共有五个以太网接口，包括四个千兆以太网接口（GE）和

7、一个百兆以太网接口（FE），如图1-4所示。千兆以太网接口用于与设备通讯以及供Web客户端访问，百兆以太网接口用于管理SecCenter A1000设备，相当于控制台（Console）接口。图1-1 SecCenter A1000网络接口示意图1.4 SecCenter A1000的出厂网络配置百兆以太网接口出厂时配置的IP地址为192.168.0.1，掩码为255.255.255.0。这个百兆以太网接口是作为控制台接口使用的，建议用户在一般情况下不要修改这些配置。第2章 将SecCenter A1000接入网络2.1 SecCenter A1000的部署位置在网络中，SecCenter A1

8、000部署在防火墙后面，接收防火墙、IDS、路由器、交换机和应用服务器发送的日志信息和NetStream信息等。SecCenter A1000可以部署在防火墙后的信任区域，一般情况下不需要从外网访问。如果需要从外网的非信任区域访问，可将SecCenter A1000部署在DMZ区域。图2-1是SecCenter A1000的典型组网。图2-1 SecCenter A1000典型组网2.2 登录SecCenter A1000的远程桌面第一次登录SecCenter A1000时，使用一台运行Windows操作系统（Windows 2000、Windows XP、Windows Server 200

9、3）的普通PC机。通过交换机、Hub或直连网线将PC机与SecCenter A1000的百兆网口相连。配置PC机的网卡IP地址，使其与SecCenter A1000百兆网口的IP地址处于同一网段。SecCenter A1000百兆网口出厂时配置的IP地址为192.168.0.1，掩码255.255.255.0，所以PC机的网卡IP地址可以是192.168.0.2192.168.0.254，掩码为255.255.255.0，如图2-2所示。图2-1 PC机的IP地址配置界面打开SecCenter A1000的电源开关，大约2分钟后系统启动完毕。确认PC机网口已经与SecCenter A1000正

10、常连接（观察SecCenter A1000的百兆网口，绿灯闪烁表示连接正常），这时就可以进行远程桌面连接了。在PC机的Windows界面，点击开始/程序/附件/通讯/远程桌面连接，出现远程桌面连接对话框，如图2-3所示。输入SecCenter A1000的百兆网口的地址（192.168.0.1），点击按钮登录到SecCenter A1000桌面。图2-2 远程桌面连接程序界面登录到SecCenter A1000后，需要输入系统登录用户名和密码。登录用户名为Administrator，登录密码出厂设置为sca1000。登录成功后出现SecCenter A1000的系统桌面，SecCenter A

11、1000采用Windows Server 2003 Web版作为操作系统。2.3 设置千兆以太网口IP地址远程登录到SecCenter A1000的桌面后，可配置千兆以太网接口地址。SecCenter A1000的千兆以太网接口用来与设备通讯和供Web客户端访问，根据具体组网情况选择一个部署SecCenter A1000的位置，并配置相应的IP地址。配置网卡IP地址操作步骤如下：在SecCenter A1000的远程桌面，打开控制面板（control panel）/网络连接（Network Connections），出现网络连接对话框，如图2-4所示。选择要修改的网卡（作管理接口的百兆网卡下面

12、有：Intel 8255xER PCI Adapter标注，千兆网卡下面有Brodcom NetXtreme Gigabit Ethernet标注）。网络连接（Network Connections）对话框用鼠标右键点击网卡图标弹出右键菜单，选择Properties菜单项弹出网卡属性设置对话框，如图2-5所示。图2-1 网卡属性设置对话框双击列表中的Internel Protocol(TCP/IP)项，弹出Internel Protocol(TCP/IP) Prpperties对话框，如图2-6所示。输入要修改的新的IP地址、网络掩码、默认网关，点击按钮完成修改。IP地址配置对话框2.4 We

13、b方式登录SecCenter A1000配置了SecCenter A1000的IP地址后，就可以通过千兆以太网接口访问SecCenter A1000的Web界面进行使用了。SecCenter A1000的Web界面可以从五个网络接口的任意一个登录，只要该接口配置了IP并保证登录的PC机可以ping通这个网络接口即可。建议用户使用千兆以太网接口登录SecCenter A1000的Web界面。2.4.1 SecCenter A1000的Web客户端的软件需求 操作系统为Windows 2000、Windows XP、Windows Server 2003 浏览器为Internet Explorer

14、 6.0以上版本 安装Java运行环境（JRE）通过Web浏览器访问SecCenter A1000需要浏览器安装Java运行环境，版本为Java 2 Runtime Environment JRE v1.5 以上。JRE会在随机光盘中提供，执行jre-1_5_0_09-windows-i586-p.exe安装程序即可安装。 Adobe Reader浏览器插件安装SecCenter A1000可以生成多种格式的报表，通过安装相应的浏览器插件，可以在浏览器上直接打开这些报表。对于PDF格式的报表，需要安装Adobe Reader 6.0及以上版本的软件浏览；在随机光盘AdobeReader目录中执

15、行安装程序AdbeRdr60_enu_full.exe进行安装。2.4.2 使用浏览器登录SecCenter A1000的Web界面打开SecCenter A1000Web客户端的IE浏览器，在地址栏输入http:/ :9216，会出现SecCenter A1000的Web登录界面，如图2-7所示。图2-1 Web登录界面如果使用出厂设置，在User Name中输入“admin”，在Password中输入“sca1000”，即可进入SecCenter A1000的应用系统界面。2.5 SecCenter A1000的Syslog配置设置H3C的SecPath防火墙、VPN网关、路由器、交换机的Syslog Server IP地址为SecCenter A1000的IP地址，这样这些设备发出的Syslog就可以被SecCenter A1000接收。第3章 功能快速浏览3.1 SecCenter A1000应用界面介绍主要介绍SecCenter A1000应用系统的七个部分内容，各部分在界面中的位置如图3-1所示。图3-1 Sec