虚拟化安全管理系统v1.用户使用手册v1

1、360 虚拟化安全管理系统用户手册文档密级版本V1.0日期2015-11-11本文中出现的任何文字叙述、文档格式、插图、方法、过程等内容，除另有特别注明外，所有均属 360 企业安全所有，受到有关及法保护。任何个人、机构360 企业安全集团的，不得以任何方式或本文的任何片断。版本变更2015-11-11V1.0创建骙适用性说明本模板用于撰写 360 企业安全制度等文档使用。中各种正式文件，包括技术手册、标书、白皮书、会议通知、公司时间版本说明修改人1手册说明5文档描述5阅读对象5业务术语51.11.21.32产品简介62.12.2产品定位6产品架构63功能使用说明8界面说明8首页9安全动态9安

2、全指数10数据中心10中心11终端升级12杀毒管理13使用向导133.13.23.2.13.2.23.33.3.13.3.23.43.4.13.4.23.4.33.53.5.13.5.23.63.6.13.6.23.6.33.6.43.6.53.6.63.6.73.6.83.6.9黑白.13专杀工具14管理14规则管理14规则应用15日志报表16安全报表16日志17导入主机日志17终端错误日志17日志17防御日志18全局设置19云设置19账号管理20升级管理21预设扫描22终端配置233.6.103.6.113.6.123.6.13终端保护.243.7其他工具253.7.13.7.2控制中心迁

3、移工具25多级中心25目 录 b )UTZKTZY3.7.3数据备份与恢复264场景参考手册274.14.24.34.44.54.6导入和部署终端27文件扫描和开启策略27设置扫描升级策略28应用应用规则28防御规则29查看日志报表295测试用例说明305.15.25.2.15.2.25.2.35.2.45.35.3.15.3.25.3.35.3.4防功能测试30功能测试32功能32功能32控制策略33未开启开启 下发验证策略有效性34防御功能测试34未开启防御功能34开启下发防御功能35防御策略35验证策略有效性361 手册说明1.1 文档描述360 虚拟化安全管理系统，旨在解决企业在云计算

4、历程中的的虚拟机及云环境的安全防护问题，提供整体的虚拟化安全综合解决方案。本手册为 360 虚拟化安全管理系统-用户手册，对该产品在安装过程中设计的部分要点进行说明阐述。其中第一章产品简介，对产品定位和产品架构进行描述；第二章功能使用介绍，详细介绍整套安全管理系统的全部模块，包括部署终端和用及功能，防御规则的设置等。第三章介绍通过实际部署用例，展示产品使1.2 阅读对象厂商及商实施工程师安装指导，也可品用户参考学习本手册涉及内容，可参考目录中使用演示1.3 业务术语术语解释说明安全控制中心是 360 虚拟化安全的管理台，负责管理、制定策略、全网监测、杀毒、修复以及各种报表和查询等。SVM承担宿

5、主机上所有安装客户端的虚拟机的杀毒任务,并对查杀结果进行全局缓存。轻客户端轻型客户端，部署在虚拟机，执行扫描、控制、防御安全操作。并向控制中心发送相应的安全日志。HypervisorHypervisor 是一种运行在物理服务器和操作系统之间的 中间层,可允许多个操作系统和应用共套基础物理硬件，因此也可以看作是虚拟环境中的“元”操作系统，Guest OS客户机操作系统，即虚拟机IPSru-prevention system：能够监视网络或网络设备的网络资料传输行为的计算机设备，能够即时的中断、调整或一些不正常或是具有性的网络资料传输行为。2 产品简介2.1 产品定位360 虚拟化安全管理系统是集

6、防、虚拟化、防御及宿主机防护于一体的虚拟化安全整体解决方案，旨在解决企业在云计算历程中的的虚拟机及云环境的安全防护、虚拟安全域的划分及热补丁管理等问题，从而形成跨的虚拟化安全综合解决方案。2.2 产品架构360 虚拟化安全管理系统主要由 360 安全中心、SVM 及轻型客户端组成，产品架构图如下图所示： 安全控制中心360 虚拟化安全控制中心，是 360 虚拟化安全的管理台，部署在虚拟机或物理服务器，采用 B/S 架构，管理员可以随时随地的通过浏览器打开。主要负责分组管理、策略制定下发、全网健康状况监测、各种报表和查询等。杀毒、修复以及 查杀服务器查杀服务器即 SVM，主要功能是承担宿主机上所

7、有安装客户端的虚拟机的杀毒任务,并对查杀结果进行全局缓存。 轻客户端轻型客户端，部署在虚拟机，执行扫描、控制、防御安全操作。并向控制中心发送相应的安全日志。3 功能使用说明本章节主要介绍 360 虚拟化安全中心的各功能模块的使用方法。打开控制中心配置页面打开浏览器（终端或者控制中心都可以），输入其中.x 是控制中心，8443 是控制中心管理端口，如果无法确认该地址和端口，请参考安装手册：虚拟化安全管理系统服务端配置向导部分。控制中心（默认用户名：admin,：admin）输入账号、，点击登录 ，3.1 界面说明控制中心主界面如下图所示。3.2 首页首页主要是展示网内虚拟机的安全概况及常用功能模

8、块。如下图所示。3.2.1 安全动态该区域包括了网署情况、和部署信息。新实时显示了网内终端发现的未处理的项。3.2.2 安全指数该区域描述了终端的安全指数情况，包括：状况及部署状况。状况中，可以显示全盘扫描、快速扫描的近期结果及轻客户端主动防御过程中检测到的3.3 数据中心数据中心，是 360 虚拟化安全管理系统的全策略管控。模块之一，主要对网内虚拟机进行安数据中心包括两个子模块：中心和终端升级功能界面如下图所示，主要分为三个区域：上方是功能区，可以从各纬度看虚拟机终端安全情况并进行处理；左侧是结构树，列出了网内的所有虚拟机终端分布情况；右侧是数据展示区，显示其安全状态及功能控制项。3.3.1

9、中心中心展示了网内终端的安全情况。终端按虚拟化分类，按状态可分为、离线、已安装、未安装四种状态。通过导入终端功能，可以主动导入虚拟化的组织架构及资源信息，虚拟化目前支持主流的 VMware H3C Hyper-v Citrix Xen 等多类。导入虚拟化后，系统定期自动同步虚拟化信息，管理员也根据需求，实时手动同步其状态。在中心，可以对虚拟机终端下发各种安全策略，包括：快速扫描、全盘扫描，开启实时防护、更换查杀服务器、查看查杀任务、开启、开启防御等。可针对每台虚拟机终端分别开启实时防护、防御功能，实现虚拟机实时主动防御效果。可根据不同宿主机上虚拟化的分布，选择不同的查杀服务器，优化查杀资源，提

10、高查杀效率。点击“查看查杀任务”，可实时查看已下发执行的云查杀/人为干预，管理员可根据需要主动终止任务。专杀任务，可对任务进行3.3.2 终端升级该功能模块主要帮助轻客户端程序进行版本升级。如下图显示，显示虚拟机终端名称、所属分组、所属查杀服务器、IP 地址、MAC 地址及版本号，当其中轻终端版本较低的时候，会出现绿色升级小箭头，点击之后终端就会升级相对应的版本。3.4 杀毒管理杀毒管理包括三个子模块：使用向导，黑白和专杀工具3.4.1 使用向导使用向导功能，能够很好地帮助用户使用 360 虚拟化的杀毒功能。如果用户是工作在网环境下而且是初装 360 虚拟化，建议选择“正常模式”下的【切换部署

11、模式】，该模式只查毒不杀毒，主要目的是避免 360 虚拟化和现有环境中的应用系统产生不必要的。正常模式：给用户提供全面杀毒，检测防护。部署模式：在进行扫描和实时防护时自动放行所有文件。该功能还能够帮助用户一份自定义白，用户可以通过点击【添加】按钮来自行添加白。3.4.2 黑白黑白功能，加入白的文件及目录在扫描及实时保护时将被跳过，而加入黑的文件及目录在扫描及实时保护时将被删除并备份至区。当检测系统发生误杀情况，请在此功能进行。3.4.3 专杀工具提供对特定的专杀工具，由控制中心导入，并下发到客户端。在特殊泛滥的时候，可以通过该功能将专杀工具迅速下发到轻终端上，并且在直接运行，并可以设置运行期限

12、，能够方便帮助管理员迅速控制。管理3.5杀毒管理包括两个子模块：规则管理和规则应用，提供对及防御规则的综合管理。3.5.1 规则管理规则，支持添加、删除、修改和查询规则。添加规则，可根据优先级、IP、端口、协议类型等不同维度，设定规则。防御规则，支持根据不同操作系统及应用类型查看、搜索防御规则。3.5.2 规则应用支持批量对终端进行及防御规则的应用与撤销。操作步骤：右侧选定需要应用规则，左侧选定需要应用的主机，最后点击应用规则按钮3.6 日志报表日志报表模块提供 360 虚拟化安全管理系统针对所虚拟机的全部，为日常虚拟化运维提供帮助。日志，导入主机日志，终端错误日志，包括安全报表，日志和防御日

13、志3.6.1 安全报表安全报表模块，了网内所有终端的安全历史情况，以便于分析安全情况，确定更好的安全策略。安全报表可以按分组、按时间、按和按终端统计的方式显示数据统计信息。3.6.2日志该功能显示了某个时间段内网内终端的情况，该列表的全部为已处理。点击终端数量，可以查看有哪些终端和处理了这些。3.6.3 导入主机日志该功能虚拟化导入情况，可根据虚拟化的类型，和导入操作的状态查询出相关的日志。3.6.4 终端错误日志可以在此查看游离终端的日志。游离状态的终端是指没有加入虚拟化里的轻终端的信息。3.6.5日志在此可以查看日志的历史及详细信息。3.6.6防御日志在此可以查看防御日志的历史及详细信息。

14、设置中心该模块主要是对控制中心和终端的相关参数进行设置。3.6.7 全局设置全局设置主要是用于设置终端并发控制、云安全鉴定、终端与控制中心通讯间隔、自动删除离线终端、登录安全设置等功能。通讯间隔：是指轻终端向控制中心上报体检信息、杀毒结果、虚拟化信息等。该参数管理员根据自己的实际带宽和终端来决定，在 1000 终端数以下的局域网内，可以设置 5 分钟，如果有广域网终端，建议设置为 30 分钟或者 1 小时。自动删除离线终端，当终端被带出企业或者重做系统等导致该终端长时间不上线时，系统将会自动删除，以避免长时间显示不终端。终端执行控制中心指令提醒设置，主要是控制管理员在下发策略时，终端是否要弹出

15、窗口提醒用户。3.6.8 云设置部署了云引擎的环境中，支持开启云引擎查杀功能；支持开启 360 虚拟化系统与云端联动功能。开启云引擎后，360 虚拟化控制中心可以连接 360 云引擎，控制中心将待查询的文件信息报给云引擎，由云引擎返回文件是否安全。3.6.9 账号管理当企业终端比较多，需要多人管理时，可以通过该模块创建账号，并进行相应的。当使用普通管理员登陆时，对于未开放的模块无权点击右上角“新建账号”按钮，可以新建一个账号。输入账号，后，点击确定即可创建账号。3.6.10升级管理服务器定时升级可以让服务器定期去数据，也可以直接点击“立即升级”升级数据。终端升级文件保存目录，终端升级需要的文件

16、，首次会从，然后缓存在该目录，其他终端再需要这些文件时，则直接缓存目录而不再需要去。做好保持该目录所在盘符有足够的空间，不建议缓存目录存放在系统盘。升级服务器流量设置，支持对内流量进行限速设置，并支持对可同时升级的最大终端数进行设置。升级服务器的时间范围，点击立即设置，可以把不同的分组设置在不同的时间段内进行升级，以充分利用网络带宽，而同时又不会造成网络的拥堵。选择好分组和时间段之后，点击添加，即会产生一条分组升级的时间段策略。升级服务器设置，如果升级服务器本身是通过才能连接互联网的话，需要设置。如果服务器本身可以直接连接互联网，可以忽略该功能。3.6.11预设扫描该模块用来设置网内虚拟化终端

17、的定时杀毒相关参数。按照分组选择本条策略要处理的终端。选择扫描类型，分为快速扫描、增量扫描，全盘扫描。选择扫描频率，可以分为每天一次，每周一次，或者每月一次。选择扫描时间，可以设置扫描启动的时间。设置原则：建议每天做一次快速扫描，每周或者每月做一次全盘扫描。以上数据全部设置完成后添加一条策略即可。3.6.12终端配置该模块设置虚拟化终端杀毒策略配置，分为多引擎设置扫描设置和实时防护设置。多引擎设置：通过控制中心可以集中设置云查杀引擎、QVMII 人工智能引擎、系统修复引擎。扫描设置：可选择扫描文件的类型：全文件扫描、缩包查毒和仅扫描程序及文档其他扫描选项等。实时防御设置：防护级别：高、中、低，

18、管理员可根据环境需求选择对应的防护级别。文件类型：所有文件或仅程序和文档文件。3.6.13终端保护该模块可以设置虚拟化终端卸载或退出时需要输入的，以防止被误操作或卸载，导致终端设备失去安全防护。启用保护功能后，客户端退出保护，需要输入正确。启用保护，终端退出时需输入：3.7 其他工具3.7.1 控制中心迁移工具用于设置控制中心新的 IP 地址或端口后，控制中心将迁移，终端将连接控制中心新的IP 地址或端口。3.7.2 多级中心用于设置多级控制中心之间的从属关系。3.7.3 数据备份与恢复可对控制中心的数据进行备份与恢复。4 场景参考手册根据安装手册完成 360 虚拟化安装过程，了解本系统多个功

19、能模块后，以下介绍多种实际使用场景。4.1 导入和部署终端根据安装手册，完成 360 虚拟化安全管理系统完成后，点击导入终端，根据虚拟化类型，输入 IP 等账户信息，点击确定，开始导入，同步完成后，左侧结构树显示表。4.2 文件扫描和开启策略导入终端成功后，中显示全部需要监测保护的虚拟机系统。在数据展示区，根据实际需求，开始快速扫描或全盘扫描等检查，或者开启或检测等保护。4.3 设置扫描升级策略使用 360 虚拟化安全的重要一步，建议根据业务实际数量，定义自己的安全策略，以便最大化的实现企业安全自动化管理，减少人为参与，提高工作效率。4.4 应用规则使用规则时，首先在控制中心-管理-规则管理中

20、，添加规则，可以根据数据包流向，协议，端口和 IP 地址多个维度进行管控限制。在规则应用模块，将建立的规则，与中应用的虚拟机相应用。4.5 应用防御规则防御规则时，首先在控制中心-管理-规则应用中，搜索到需要启用启用的规则，然后选中规则和对应的虚拟机系统，点击应用规则。4.6 查看日志报表日志报表模块提供 360 虚拟化安全管理系统针对所虚拟机的全部，为日常虚拟化运维提供帮助。日志，导入主机日志，终端错误日志，包括安全报表，日志和防御日志5 测试用例说明5.1 防功能测试通过安装轻客户端在服务器上面，实现客户端的防护功能，即实现基于实时/手动的查杀功能。本节测试将通过文件实时扫描功能和文件预设

21、扫描功能对虚拟机系统中的文件进行扫描鉴定，当检测到文件时将被删除或清除，目的是保护虚拟机系统中文件的安全，最后达到文件安全的目的。测试项目：实时扫描测试测试目的：验证客户端实时扫描系统中文件是否为文件，如文件将被删除。测试条件：已经部署好控制中心和客户端、查杀服务器。测试步骤：通过桌面向安装轻客户端桌面拷贝 Eicar 测试压缩文件解压缩 Eicar 测试到客户端桌面测试文件在解压时即被检测并处理预期结果：Eicar将被实时杀掉，并在日志中显示结果。效果截图：测试项目：手动扫描功能测试测试目的：定期验证客户端扫描系统中文件是否为文件，如文件将被删除，如正常文件则允许测试条件：已经部署好控制中心

22、和客户端、查杀服务器。测试步骤：通过桌面向安装轻客户端桌面拷贝 Eicar 测试压缩文件解压缩 Eicar 测试到客户端桌面控制中心导航至“终端管理“界面，选中测试计算机，点击“全盘扫描“按钮预期结果：桌面上的Eicar将被杀掉，并在日志中显示结果。效果截图：功能测试5.2在被保护虚拟机安装轻客户端程序，开启功能，实现基于端口/协议的防火墙功能。本次测试功能通过禁用ICMP 协议来验证360功能的易用性和安全性。5.2.1未开启功能5.2.2开启功能测试项目：开启功能测试目的：验证虚拟机在开启功能时，无控制策略，虚拟机之间可以通测试条件：已经部署好控制中心和客户端，测试虚拟机关闭。测试步骤：关

23、闭测试虚拟机的查看控制中心此测试虚拟机功能未启用两台虚拟机互预期结果：两台测试虚拟机之间可以通效果截图：测试项目：未开启功能测试目的：验证虚拟机在未开启功能时，无控制策略，其他虚拟机可以通测试虚拟机测试条件：已经部署好控制中心和客户端、查杀服务器，测试虚拟机开启桌面服务。测试步骤：开启测试虚拟机的命令服务查看控制中心此测试虚拟机功能未启用测试虚拟机的桌面预期结果：两台测试虚拟机之间可以通效果截图：5.2.3 下发控制策略测试项目：禁用 ICMP 协议测试目的：验证虚拟机在开启功能时，下发控制策略，其他虚拟机不能，从而证明功能生效。测试条件：已经部署好控制中心和客户端，测试虚拟机关闭。测试步骤：控制中心下发针对测试虚拟机的禁用ICMP 策略两台测试虚拟机之间互预期结果：两台测试虚拟机之间互不通效果截图：5.2.4验证策略有效性防御功能测试5.3通过在客户端安装轻客户端，实现基于主机流量内容的防御功能，从而实现针对利用操作系统进行的流量过滤。5.3.1 未开启防御功能被测试的虚拟机没有打微软的 ms12-020补丁，被测试虚拟机后将蓝屏，业务受到中断。测试项目：被测试目的：验证虚拟机在未开启防御功能时，无防御策略，其他虚拟机可以利用虚