DataCloudSec安数云擎安池系统软件操作手册

DataCloudSec

安数云擎安池系统

软件操作手册

北京安数云信息技术有限公司

二。一八年七月

前B

产品版本

与本文档相对应的产品版本为擎安池V3.1.2o

本手册适合对象

《擎安池软件操作手册》适用于希望了解本产品的功能，熟练掌握产品

的配置及日常操作维护的工作人员。

系统说明

擎安池产品是一套综合性的云安全管理系统，基于B/S架构，为用户提

供综合性的安全能力，为用户提供了可配置的安全服务，用户可以根据自己

的需求定制安全服务。用户通过使用擎安池产品可以快速的完成安全环境的

搭建，同时根据网络流表定制整体性的安全防护策略。

该手册将会通过以下的章节指导用户完成系统订单模块的使用。

目录

1登录管理.....................................................错误!未定义书签。

1.1系统登录.............................................错误!未定义书签。

1.2系统主界面..........................................错误!未定义书签。

1.2.1总览............................................错误!未定义书签。

1.2.2拓扑图..........................................错误!未定义书签。

2擎安云对接...................................................错误!未定义书签。

3SDN控制器...................................................错误!未定义书签。

4云资源.......................................................错误!未定义书签。

4.1分布式交换机...........................................错误!未定义书签。

4.2主机....................................................错误!未定义书签。

4.2.1主机详情........................................错误!未定义书签。

5服务实例.....................................................错误!未定义书签。

5.1服务实例类型...........................................错误!未定义书签。

5.1.1服务实例类型新增.................................错误!未定义书签。

5.2服务模板...............................................错误!未定义书签。

5.2.1服务模板新增......................................错误!未定义书签。

5.2.2服务模板修改......................................错误!未定义书签。

5.3服务实例................................................错误!未定义书签。

5.3.1服务实例新增.....................................错误!未定义书签。

5.4服务实例总览............................................错误!未定义书签。

5.5服务实例控制台..........................................错误!未定义书签。

5.6服务实例管理............................................错误!未定义书签。

6服务链.......................................................错误!未定义书签。

6.1物理链路.................................................错误!未定义书签。

6.1.1物理链路详情.....................................错误!未定义书签。

6.2服务链管理..............................................错误!未定义书签。

6.2.1服务链详情........................................错误!未定义书签。

6.2.2服务链策略........................................错误!未定义书签。

6.2.3服务链拓扑图.....................................错误!未定义书签。

6.2.4服务链监控........................................错误!未定义书签。

6.3服务链策略.............................................错误!未定义书签。

7租户创建.....................................................错误!未定义书签。

8用户创建.....................................................错误!未定义书签。

9安全服务创建.................................................错误!未定义书签。

10管理员安全服务管理.........................................错误!未定义书签。

10.1待审批订单............................................错误!未定义书签。

10.2订单管理..............................................错误!未定义书签。

10.3已防护服务.............................................错误!未定义书签。

11租户安全服务管理.......................................错误!未定义书签。

11.1安全服务信息..........................................错误!未定义书签。

11.1.1申请购买服务....................................错误!未定义书签。

11.1.2安全服务详情....................................错误!未定义书签。

11.2订单信息..............................................错误!未定义书签。

11.2.1订单取消........................................错误!未定义书签。

11.2.2订单详情........................................错误!未定义书签。

11.3已防护服务............................................错误!未定义书签。

11.3.1再次购买.......................................错误!未定义书签。

11.3.2已防护服务详情.................................错误!未定义书签。

12系统管理...............................................错误!未定义书签。

12.1任务管理..............................................错误!未定义书签。

12.2事件管理.............................................错误!未定义书签。

12.3告警管理..............................................错误!未定义书签。

12.4诊断地址池.............................................错误!未定义书签。

1登录管理

1.1系统登录

在浏览器地址栏输入系统访问地址http://IP:8100,进入系统

登录页面，输入用户名、密码，验证码登录系统（默认后台配置管理员

用户名和密码admin,dataCloud@666）0

系统的用户分为两种，一种是系统的后台管理员，可以登陆系统

进行系统配置，订单的审批等操作；一种是租户，系统可以给安全的

实际使用单位开设租户，实际使用单位使用租户登陆，申请自己的安

全业务。

根据三权分立原则，系统后台管理员分为三个角色，分别是“配

置管理员”、“安全管理员”和“审计管理员”；系统默认配置管

理员用户名和密码admin,dataCloud@666,拥有系统所有的模块的配

置权限；系统默认安全管理员用户名和密码

secadmin,dataCloud@666,拥有系统的用户和角色的管理权限；系统

默认审计管理员用户名和密码adtadmin,dataCloud@666,拥有系统

任务管理和事件管理的权限。

系统登陆如图1T所示:

图1-1登录界面

1.2系统主界面

配置管理员在输入正确的用户名和密码后，进入系统管理主界

面。从主界面可以看到系统主要包含了“首页”、“服务实例管理”、

“服务链管理”、“订单管理”、“云资源”和“系统管理”几大模

块，如图-2所示。

图1-2系统主界面

租户登陆系统后，会进入租户的主界面，租户只能针对自己需要

的安全业务进行安全防护服务的申请和维护。主界面的功能主要有

“安全服务”、“订单管理”和“已防护服务"，如图『3所示。

图1-3租户管理界面

1.2.1总览

配置管理员登陆系统管理界面后可看左侧菜单，如图1-2--1所

ZjSO

悬册卜圉

图总览菜单

进入总览页面，可以查询到当前系统中的告警、WAF、IPS、服务

实例、物理链路、服务链等总览数据，点击相关总览数量，可以跳转

到相关页面查看详情。如图1-2-1-2所示。

图1-2-1-2总览页面

1.2.2拓扑图

配置管理员登陆系统管理界面后可看左侧菜单，如图-2-2-1所

/J\O

感拓扑图

图1-2-2-1拓扑图菜单

进入拓扑图页面，可以看到多主机的页签,进入不同的主机页签,

可以查看该主机下的拓扑图。如图1-2-2-2所不。

d拿安池7=

导航心拓扑图

/壬页

国host20同hostl

15fcl拓扑圉

国服务实例管理

<%>服务链管理

&云资源

■系统管理

图1-2-2-2总览页面

2擎安云对接

配置管理员登陆系统管理界面后可看左侧菜单，如图2-1所示。

码系统管理

笆擎安云对接

怪iSDN控制器

包诊断地址池

向西霞

O告普管理

图2-1擎安云对接菜单

进入擎安云对接功能页面，如图2-2所示。

笆擎安云对接

擎安云IP：192.1683021叵I

描述：擎安云

图2-2擎安云对接页面

点击上图红框内部按钮，弹出擎安云对接页面，输入擎安云系统

的IP等配置，点击确定，完成配置。如图2-3所示：

包编辑

3确定■*取消

图2-3擎安云对接配置

3SDN控制器

配置管理员登陆系统管理界面后可看左侧菜单，如图3-1所示。

的系统管理

婆挈安云对接

SDN控制器

包诊断地址池

O告警管理

图3-1SDN控制器菜单

进入SDN控制器功能页面，如图3-2所示。

星SDN

名称：sdnl[

IP:192.16S30.142

描述：sdnl

图3-2SDN控制器页面

点击上图红框内按钮，弹出SDN控制器配置配置页面，输入SDN

配置信息，点击确定，完成SDN控制器的配置。如图3-3所示。

3霞I舞益，

图3-3SDN控制器配置

4云资源

4.1分布式交换机

配置管理员登陆系统管理界面后可看左侧菜单，选择分布式交换

机菜单，进入分布式交换机配置页面。如图4-1-1所示。

&云资源

图4-1-1分布式交换机菜单

分布式交换机主页面里边包含所有的sdn类型的分布式交换机，

可以进行分布式交换机的挂载和卸载SDN的操作；我们创建流表进行

安全防护之前，需要把防护类型和审计类型的服务实例使用的业务网

卡的分布式交换机挂载到SDN控制器，才能保证配置的流表能正常生

效。分布式交换机信息如图4-1-2所示。

首页I上页。下页I末W

图4-1-2分布式交换机信息

4.2主机

配置管理员登陆系统管理界面后可看左侧菜单，选择主机菜单,

进入主机配置页面。如图4-2T所示。

图4-2-1分布式交换机菜单

主机主页面里边可以查看所有类型的主机，对主机进行AGENT安

装操作时注意:

1、使用云池v3.1.2版本，但没有安装主机代理，影响如下：

1）主机的cpu、内存、系统分区的监控、告警功能不可用。

2）服务实例的业务诊断不可用。

2、如果云平台版本是v3.0.2以前的版本，需要手动安装，步

骤如下：

1）ssh登陆擎安池（切换至root用户下）

2）vi/etc/ansible/hosts将hosts文件修改为目标主机

信息（一台主机对应一条配置）

3）执行

sh/etc/datacloud/hostAgent/install^,安装

hostAgent到目标主机

主机信息如图4-2-2所不。

0主机

+安装AGENT1

名称•B3IP，链接状态，ecputt5可用CPUIJ，总内存（G）：可用内存⑹：主机代理状态5

团host20192.16830.20968794.2485.24

日hostl192.16830.26966894.246624

显示第1至2项结果，共2项［首页|上页―1"下页|末页］

图4-2-2主机信息

4.2.1主机详情

图4-2-1-1为主机详情页面。该页面提供两个页签信息。详情页

签可以查看主机基本信息、主机代理状态以及主机资源信息，如图

4-2-1-1所示。状态页签可以查看主机的系统使用率，包括内存、CPU

以及硬盘的使用率，如图4-2-1-2所示。

主机主机详情

8»：

83IP：192.1683026«aw(n)：

©CPUS!:可用CPUfit:68

可用内存(6):S6J4

主机代理状森

失败原因：

泰源信息

图4-2-1-1主机详情页签

同主机主机详情

CJ详情❶状态

系统使用率

图4-2-1-2主机状态页签

5服务实例

5.1服务实例类型

配置管理员登陆系统管理界面后可看左侧菜单，选择服务实例类

型菜单，进入服务实例类型管理页面。如图5-1T所示。

服务实例管理

88^艮务实飕型

胎服务实例

a服务模板

图5-1-1服务实例类型菜单

进入服务实例类型页面，可以查询到当前系统中所有的服务实例

类型，系统初次安装完成后，可以看到系统中已经默认配置了WAF、

IPS等服务实例类型。如图5-1-2所示。

图5-1-2服务实例类型主页面

5.1.1服务实例类型新增

服务实例类型中维护擎安池当前已经对接了的所有的安全设备类

型，如果在使用时需要对接其他第三方的安全设备，需要增加相关的

服务实例类型数据。

在服务实例类型页面，点击新增按钮，弹出新增服务实例类型页

面，输入相关对接数据；如果第三方的安全设备需要和擎安云进行无

缝对接需要按照对接协议进行适配开发，否则可能无法做到安全设备

配置页面无密码登陆，这时需要配置Token地址信息为空，擎安池系

统将不做内部鉴权，只是打开第三方按照设备的登陆页面，需要用户

自行输入用户名和密码。服务实例类型新增页面如图5T-3所示。

名称：请输入名称

雌:皿人描述信息

TokeniffiAt:SSIfiAtonkeniftttO看第三方服务未开放Token,请不要埴写此项

SS礴：

服务图标：DefaultV

协议：http目

JsoniRIS:

OpenAPlKffi:H提示：若服务支持OpenAPI.清选择岬

图5-1-3新增服务实例类型

5.2服务模板

配置管理员登陆系统管理界面后可看左侧菜单，选择服务模板菜

单，进入服务模板管理页面。如图5-2-1所示。

服务实例管理

⑦脸翅诞

88服务实例跳型

鸵服务实例

困服务模板

图5-2-1服务模板菜单

进入服务模板页面，可以查询到当前系统中所有的服务模板信息,

服务模板用来为服务实例提供规格，包括镜像、计算规格、云盘规格、

网络规格等数据，是创建服务实例的基础配置。如图5-2-2所示。

国服务模板

Q搜索：名称日

名称僦述

舀WAFTemplateTest

国vrouterTemplatevrouterTemplate

国SCANTemplateTest

因iPSTemplateTest

9CASBTemplateTest

g|BDSATemphteTest

显示第1至6腌果，共6项首页|发口TS|末贡

图5-2-2服务模板主页面

5.2.1服务模板新增

点击新增按钮，进入服务模板新增页面，选择服务模板的计算规

格、镜像、云盘规格、网络等数据，点击确定创建服务模板。如图

所不。

服务模板新增服务模板

□pg-protectl2018-05-2820:15:40

□pg-protect22018-05-2820:15:46

显示第1至4耐果，共4项

'返回

图5-2-1-1创建服务模板

5.2.2服务模板修改

进入服务模板详情页面，更改服务模板的名称、描述、计算规格、

镜像、云盘规格、网络等数据，点击确定按钮修改服务模板。如图

5-2-2-1所不。

名称:WAFTemptote

镜像:in^Waf

:duster目

根云》S:50G。

当蠲以网卡:pg-jnainl

网络：b口

选撵名称«

Gfpg-mainl

Opg-«nam2

Opg-protectedl

Odvs-pratected2

显示第1至4簸果，共4项1rowselected

|1*»aE

图5-2-2-1修改服务模板

5.3服务实例

配置管理员登陆系统管理界面后可看左侧菜单，选择服务实例菜

单，进入服务实例管理页面。如图5-3-1所示。

哙实例管理

a隔

88暗实膜型

监服务实例

因服务模板

图5-3-1服务实例菜单

进入服务模板页面，可以查询到当前系统中所有的服务实例信

息，服务实例是为了完成安全防护功能的具体防护模块，包含WAF、

IPS、防火墙等安全防护模块。如图5-3-2所示。

图5-3-2服务实例主页面

5.3.1服务实例新增

点击新增按钮，弹出服务实例创建页面，输入服务实例需要的主

机、主存储、服务实例模板等虚拟化信息，然后输入系统IP、用户

名、密码、服务实例类型等系统登陆信息，点击确定，创建服务实例。

如图5-3-3所不。

gg服务实例新增服务实例

描述:|servicdnstance

使用已有战机：

升I：h0stiO

主讲《：ps。

系统配裳信息

图5-3-3创建服务实例

注：IP需要事先为该服务实例规划好，和系统安装时配置的IP一致。

在服务实例主页面，选中一条服务实例，可以进行服务实例的启

动、停止等操作，也可以打开服务实例的控制台，进行服务实例的安

装等操作。如图5-3-4所示。

gg

am日

cut

ED

E3

ED

EO

ED

EH

E

o

图5-3-4服务实例列表

5.4服务实例总览

配置管理员登陆系统管理界面后可看左侧菜单，选择服务实例总

览菜单，进入服务实例总览页面。如图5-4-1所示。

Q服务实例管理

⑦断翅侬

88服务实例类型

胎服务实例

因服务模板

图5-4-1服务实例总览菜单

进入服务实例总览页面，可以查看所有的运行状态下的服务实例,

每个服务实例可以点击控制台进行服务实例的安装等操作；服务实例

安装完成后，可以点击服务实例的管理按钮，弹出服务实例的管理

UI,完成服务实例的配置。如图5-4-2所示。

图5-4-2服务实例总览

5.5服务实例控制台

在服务实例页面，或者在服务实例总览页面都可以打开服务实例

控制台，打开控制台可以看到服务实例的系统界面，我们在控制台中

可以完成服务实例的系统安装，配置等操作。如图5-5T所示。

ettingconsolescreenmodes.

kippingfontandkeymapsetup(handledbyconsole-setup).

ettingupconsolefontandkeynap...done.

oadlngkernelmodules…done.

ettingKernelvariables...done.

IT：Enteringrunlevel：2

singmakefile-st«iconcurrentbootinrunlevel2.

Startingenhancedsyslogd:rs<

---------------------we'

artIngRCPIservices...StartIngnetuiorkplugdaemon:netplugd.

Startingdeferredexecutionscheduler:atd.

Startingperiodiccommandscheduler：cron.

Loadingcpufreqkernelmodules...done(none).

Startingroutingdaemons:rlpdrlpngdospfdospfSdbgod.

CountingvyOSconi1g...done.

StartingVyOSrouter：migrateri-systemfirewallconfigure.

Startingvyos-intfvatchd：vyos-intfwatchd.

Ivyoslogin:

■HelconetoVyOS-vyosttal

图5-5-1服务实例控制台

5.6服务实例管理

在服务实例总览页面可以打开服务实例管理页面，服务实例系统

安装配置完成后（系统管理IP需要和服务实例的配置IP一致），可以

打开服务实例管理页面，在该页面我们可以对安全服务实例模块进行

具体的业务配置，完成安全防护功能。如图5-5T所示。

Q服务实例总览IPS

安全■将

•主熨

3B£1B»

序号量＜!»口■安全看，坊M）目的（将口，安全*，嬉*）«n

«系统曰置

any/anyany

aMttKS

©A可*住

,s«aes

v安全m*

安全・务

安全触・

应用旨度

♦

Copyright£2016-2020

5-6-1服务实例管理

6服务链

6.1物理链路

配置管理员登陆系统管理界面后可看左侧菜单，选择服务链管理

菜单，进入物理链路页面。如图6TT所示。

&＞服务链管理

|二物理链路

令服务链

叵1服务链策略

图6-1-1物理链路菜单

物理链路管理可以提供配置服务链需要的分布式交换机，安全防

护对应的物理网卡等信息，一个分布式交换机只能配置一个物理链路

数据。

物理链路管理提供创建、修改、查询、删除等功能。

图6-1-2为物理链路列表：

忒物理链路

修新+新增Q0ER：名称0

名称分布式交换机主机名称入口网卡出口网卡使用虚拟路由

忒pyChaindvs-protectedhostlem2etn3否

*auditPyChaindvs-vrouter-testhost20Plpl*it*否

显示第1至2端果，共2项首页上页卜奂

图6-1-2物理链路列表

6.1.1物理链路详情

图6-1-1-1为物理链路详情页面。该页面提供查看物理链路详细

信息，可以进行物理链路的名称、描述信息的修改。

a»：flowchainGf

台独：tsipje便地期图由：

虚拟化信息

的：分花I校换机：dvs-protect

入口网卡：

图6-1-1-1物理链路详情

6.2服务链管理

配置管理员登陆系统管理界面后可看左侧菜单，选择服务链管理

菜单，进入服务链页面。如图6-2-1所示。