SANGFOR等保一体机5.0.0运维手册v1.0

等保一体机5.0.0运维手册v1.0深信服科技有限公司目录1.关于文档..............................................................................................................22.等保一体机控制台登陆方式............................................错误！未定义书签。3.等保一体机授权导入..........................................................................................34.等保一体机安全架构配置................................................错误！未定义书签。4.1.创建业务物理出口.............................................................错误！未定义书签。4.2.创建安全应用....................................................................................................154.3.自定义网络拓扑................................................................................................164.4.模板....................................................................................................................174.5.单点登陆............................................................................................................185.等保一体机日常管理功能使用........................................................................195.1.首页....................................................................................................................205.2.运营中心............................................................................................................215.3.应用市场............................................................................................................225.4.资源池................................................................................................................185.5.系统管理............................................................................................................226.常见问题............................................................................................................291.关于文档介绍如何在日常工作中对等保一体机进行运维。2.等保一体机控制台的登录方式等保一体机默认IP地址是10.251.251.251，将笔记本电脑配置一个10.251.251.0/24的IP，并与安装完成的主机eth0口直连。在浏览器中输入，并使用默认账号密码：admin/admin登录安全服务平台。3.等保一体机授权导入当等保一体机授权需要更改的时候，可以在控制台“系统”——“平台授权”进行授权的更改，导入授权文件，授权文件为.cert格式的除了平台授权，部署安全应用还需要开相应的应用授权，否则没有应用授权创建不了安全应用。因此，除了平台授权外，还需要导入相应的应用授权。等保一体机支持安全应用列表为：安全应用应用规格AF下一代防火墙100M、200M、500M、1G、2G、3G、4GAD应用交付100M、200M、500M、1G、2G、3G、4GAC上网行为管理100M、200M、500M、1G、2G、3G、4GSSLVPN1-10000并发DAS数据库审计100M、200M、400MEDR1-2000并发OSM运维安全管理10资产、20资产、50资产、100资产、200资产、300资产、500资产LAS日志审计20资产、50资产、100资产、200资产、300资产、500资产BVT基线核查50资产、100资产、200资产、300资产、500资产聚铭日志审计20资产、50资产、100资产、200资产、300资产安全应用授权有效期包括安全应用功能有效期和服务有效期，功能有效期是永久的，但是服务有效期是有期限的，超出服务有效期，产品版本不能更新，规则库不能更新。深信服安全应用试用授权3个月的服务有效期，服务有效期到期后，等保一体机的安全应用还可以继续使用，网络功能不受影响，但是安全功能失效。4.等保一体机安全架构配置4.1创建业务物理出口物理出口：物理出口用来连通虚拟网络和物理网络，对用户呈现为服务器物理网口。“物理出口”对内可以通过端口组连接虚拟路由器、虚拟网络设备或虚拟机，对外通过主机的物理网口连接连接交换机与外部网络互通。管理员根据等保一体机规划的部署模式，创建相应数量的业务物理出口。比如等保一体机规划的是路由模式做网关，外网有两个互联网链路，内网有两个交换机做堆叠，那就需要创建3个业务物理出口，2个外网业务物理出口，以及1个内网业务物理出口；比如等保一体机规划的是单臂部署在核心交换机上，那就需要创建1个业务物理出口；如果等保一体机是集群部署，那创建物理出口的时候需要将所有主机的物理网口都添加上，否则发生主机故障，或者安全组件故障迁移的时候，网络会出现不通的故障。另外，如果等保一体机需要镜像部署，那就可以创建1个物理出口并开启镜像模式。4.2创建安全应用管理员可以根据需求创建所需的安全应用组件，比如vAF、vAC、vAD、SSL、OSM、LAS、BVT、EDR、DAS其中一种或几种。管理员可以从【安全架构】左边列表将安全应用组件拖拽到中间，并选择相应的授权，然后点【立即生效】就可以创建好安全应用组件了。4.3自定义网络拓扑创建好物理出口以及安全应用后，管理员就可以根据规划部署方案来自定义网络拓扑了。比如用户希望在等保一体机里部署vAF、vAC、vDAS，然后将等保一体机的vAF作为网关接电信和联通两个外网出口，vAC网桥接在vAF和内网口物理出口之间与物理交换机互联，同时还将数据库审计桥接到镜像物理出口上。如下图：以下是常见的几种自定义部署案例：1)日志审计类组件部署方案2)镜像类组件部署方案3)透明部署方案4.4模板除了自定义网络拓扑以外，系统还内置了4个常用的模板，包括出口边界模板、等保合规模板（单臂）、等保合规模板（路由）和安全管理中心模板。这些模板已经预设好物理出口、区域、虚拟组件、虚拟路由器、虚拟交换机等元素，并且已经连好线。用户只需根据需求选择虚拟组件及配置物理出口，配置生效后就可以创建好相应的虚拟网络。出口边界模板出口边界模板包括应用交付、下一代防火墙和上网行为管理这3种虚拟组件，还包括2个物理出口。其中，应用交付是路由模式做网关，下一代防火墙是路由模式，上网行为管理是网桥模式。该模板适用于将等保一体机做为安全网关部署在出口，该方案可以替代传统硬件网关方案。考虑到网关的高可用性，出口边界模板里的虚拟组件都支持高可用部署，用户可以通过配置来启用高可用。启用高可用后，应用交付和下一代防火墙为主备模式部署，上网行为管理为主主模式部署。【备注】高可用只能在集群两台以上部署时才能启用；以下是出口边界模板双机集群部署的配置步骤：1)将出口边界模板拖到安全架构内；2)开启高可用；3)勾选vAD、vAF、vAC，以及选择相应的授权；4)配置上行物理出口及下行物理出口；5)配置主vAD的上联运营商地址，以及下联与vAF对接的交换网口地址，上联接口建议配置链路健康检查，然后配置路由、NAT以及链路负载和应用负载策略；配置主vAD双机配置里的网口同步列表和故障切换；6)配置主vAF高可用性的配置同步角色为主控，然后配置主vAF的上联与vAD对接的VLAN接口地址，以及下联与vAC对接的LAN口地址，下联接口建议配置链路故障检测，然后配置路由和安全防护策略；7)配置vAC的功能策略；等保合规模板（单臂）等保合规模板（单臂）包括下一代防火墙、SSLVPN、EDR、基线核查、运维安全管理、日志审计、数据库安全审计这7种虚拟组件，还包括1个物理出口。该模板适合希望通过等保一体机过等保同时又不能改变物理网络拓扑的用户，此时可以将等保一体机单臂部署在物理交换机上，同时在物理交换机上做策略路由将指定业务流量引流到等保一体机进行流量清洗。以下是等保合规模板（单臂）部署的配置步骤：1)虚拟路由器需要给虚拟路由器的接口配置IP地址与物理网络互联；需要给虚拟路由器的接口配置IP地址与各安全组件互联；配置指向物理交换机的默认路由；配置两条策略路由，将业务系统进出的流量都引流至AF；2)安全组件需要在所有组件上配置接口IP地址需要配置默认路由指向虚拟路由器；需要配置相关的功能策略；3)物理交换机配置目的为安全组件IP地址段的路由指向虚拟路由器的互联IP；如果有购买服务器区域的AF，则需要配置两条策略路由，将业务系统进出的流量都引流至虚拟路由器的互联IP；等保合规模板（路由）等保合规模板（路由）包括下一代防火墙、上网行为管理、SSLVPN、EDR、基线核查、运维安全管理、日志审计、数据库安全审计这8种虚拟组件，还包括2个物理出口。该模板适用于将等保一体机作为网关部署。以下是等保合规模板（路由）部署的配置步骤：1)虚拟路由器需要给虚拟路由器的接口配置IP地址与物理网络互联；需要给虚拟路由器的接口配置IP地址与各安全组件互联；需要配置指向出口vAF的默认路由；需要配置目的地址为内网网段的回包路由指向下联交换机；2)安全组件需要在所有组件上配置接口IP地址、默认路由；需要在vAF上配置到内网网段的回包路由指向虚拟路由器；需要配置对应的功能策略；3)物理交换机配置指向虚拟路由器的默认路由；安全管理中心模板等保合规模板（路由）包括下一代防火墙、SSLVPN、EDR、运维安全管理、日志审计、数据库安全审计和网管中心这7种虚拟组件，还包括1个物理出口。该模板针对等保2.0安全管理中心技术指标所做，适合希望通过等保一体机过等保同时又不能改变物理网络拓扑的用户。以下是安全管理中心模板部署的配置步骤：i.安全组件需要在所有组件上配置接口IP地址需要配置默认路由指向物理交换机；需要配置相关的功能策略；ii.物理交换机配置与物理出口相连的互联IP；4.5单点登录管理员可以在【安全架构】页面中，选中某个应用，通过点击『进入应用』就能够单点登录跳转到应用界面，进行策略配置；或者通