云池 云安全管理平台 部署手册说明书

Version v1.2
Copyright2021Hillstone Networks.All rights reserved.
Information in this document is subject to change without notice.The software described in this doc-ument is furnished under a license agreement or nondisclosure agreement.The software may be used or copied only in accordance with the terms of those agreements.No part of this publication may be reproduced,stored in a retrieval system,or transmitted in any form or any means electronic or mechanical,including photocopying and recording for any purpose other than the purchaser's per-sonal use without the written permission of Hillstone Networks.
Hillstone Networks
本文档禁止用于任何商业用途。

联系信息
北京苏州
地址：北京市海淀区宝盛南路1号院20号楼5层地址：苏州市高新区科技景润路181号邮编：100192邮编：215000
联系我们：https:///about/contact_Hillstone.html
关于本手册
本手册介绍山石网科的云·池云安全管理平台系统的使用方法。

获得更多的文档资料，请访问：https://
针对本文档的反馈，请发送邮件到：***********************
山石网科
https://
TWNO:TW-WUG-UNI-A-1.2-CN-v1.2-11/5/2021
目录
目录i 第1章介绍iii 功能介绍iii 在OpenStack上部署云·池vi
环境要求vi
部署原理vii
准备工作ix
部署步骤x
步骤一：创建映像文件x
步骤二：创建实例类型xii
步骤三：创建网络xiv
步骤四：启动云主机实例xv
步骤五：登录云·池，通过配置向导部署方案xvi 第2章在HStack上部署云·池xvi
环境要求xvi
准备工作xvii
部署步骤xviii
步骤一：创建镜像文件xviii
步骤二：创建网络xix
步骤三：创建安全组xxi
步骤四：创建云主机类型xxiii 步骤五：创建云主机实例xxiv 步骤六：登录云·池，通过配置向导部署方案xxvi 配置向导xxvii 通过配置向导部署云·池xxvii 准备工作xxvii 部署步骤xxvii 第一步：方案选择xxvii 第二步：云平台配置xxviii 第三步：配置vLMS xxx 配置恢复xxxi
第1章介绍
云·池云安全管理平台（CloudPool SecaaS）（以下简称云·池）是基于软件定义安全技术的云安全管理平台，向用户提供丰富的安全资源，且与云平台解耦，广泛应用于新建、已建、扩建的云场景及传统数据中心安全建设。

云·池支持管理多种虚拟化安全网元，包括防火墙，Web应用防火墙，数据库审计，日志审计，漏扫，堡垒机；实现自动化编排组网及安全业务的自动开通；对租户进行管理，为租户配置不同的安全套餐，并进行业务部署；可对部署的安全网元进行监控和管理，并支持单点登录到各个安全网元进行业务配置；可根据各计算节点的使用情况对部署安全网元的计算节点进行增加或删除；帮助客户业务系统满足《信息安全技术网络安全等级保护基本要求》，同时，帮助客户将NFV框架体系实现快速的落地。

功能介绍
山石云·池以云主机的形式部署在云平台上，可管理多种虚拟化安全网元，包括防火墙，Web应用防火墙，数据库审计，日志审计，漏扫，堡垒机。

云·池支持以下的功能：
l首页
l安全态势
l安全总览
l租户统计
l安全事件
l租户
l网元
l网元
l网元网络
l网元初始化配置
l网元许可证
l部署管理
l部署配置
l引流
l物理主机
l网元许可配置
l全局参数
l安全市场
l网元类型
l套餐
l网元镜像
l消息告警
l系统管理
l系统信息
l系统配置
l网络
l系统调试信息
l NTP服务器
l系统定制
l账户中心
l账户中心
l安全设置
l证书认证
l可信主机
l许可证管理
l系统日志
l事件日志
l操作日志
l日志配置
l日志服务器l升级
l配置文件
l HA
在OpenStack上部署云·池
环境要求
在OpenStack上部署山石网科的云·池云安全管理平台（CloudPool SecaaS）（以下简称云·池）产品，需要满足以下要求：
l已经安装OpenStack版本及其相关组件。

l云·池虚机最低配置要求4个vCPU，内存为8192MB，根磁盘大小至少为80GB。

l云·池需部署LMS许可证管理系统，并按照等保2.0、等保3.0的规范导入相应的许可证，同时开启许可证全局自动下发策略，以及安装许可证后设备立即重启功能。

向LMS导入许可证文件之前，请先向山石网科销售人员获取.tar格式的许可证压缩包文件。

导入许
可证，请按照以下步骤进行操作：
1.在LMS系统上，点击<许可证管理>页面左上角的“导入”按钮。

2.在弹出的<导入许可证列表>对话框中，点击“浏览”按钮，选择需要上传的许可证压缩包
文件。

3.点击“确定”按钮完成上传。

关于LMS的更多信息，请查阅LMS许可证管理系统用户手册。

部署原理
如下图为云•池路由器网关迁移方案部署的网络拓扑图。

部署完成后，云•池创建在单独的租户中，通过管理网络（Cloudpool_mgt_net）与LMS许可证服务器实现网络连通；并且通过云平台虚拟路由器与其他租户中的云•界（vFW）进行通信。

其他网元的管理通过云•界（vFW）的业务网络（Service_ net）。

如下图为云•池外部设备网关迁移方案部署的网络拓扑图。

部署完成后，云•池创建在单独的租户中，云•池通过管理网络（Cloudpool_mgt_net）与LMS许可证服务器实现网络连通；由于使用统一的外部网关，云•池与云•界（vFW）通过配置路由实现连通，配置引流后，会将用户业务子网的下一
跳设置为云•界（vFW）新增的引流接口。

其他网元的管理通过云•界（vFW）的业务网络（Service_ net）。

如下图为云•池策略路由引流方案部署的网络拓扑图。

部署完成后，云•池创建在单独的租户中，通过管理网络（Cloudpool_mgt_net）与LMS许可证服务器实现网络连通；由于使用统一的外部网关，云•池与云•界（vFW）通过配置路由实现连通。

在外部路由器上通过策略路由将流量引入云•界
（vFW），并最终再从云•界（vFW）转发到外部路由器上。

其他网元的管理通过云•界（vFW）的业务网络（Service_net）。

准备工作
1.从技术支持人员那里获得云·池所需要的QCOW2镜像文件（例如“CloudPool-SecaaS-1.0.q-
cow2”），并保存到本地PC。

2.创建一个新项目，并在该项目下新创建一个管理员用户。

如“项目名称：CloudPool，管理员用户
为hillstone。

3.在OpenStack上，需要使用到虚拟网络，各个网络的网段地址不能重合，各个网络的用途描述如
下：
l云·池管理网络（Cloudpool_Mgt_net）：用作云·池与LMS通信的网络。

l HA心跳网络、HA数据网络（可共用同一个网络）：用作组建云池HA的网络。

4.创建一个安全组，在其中添加一条远端任何IP地址、任何端口、任何协议、IPv4版本、入口方向
的安全组规则，如“allow_all”。

这样，管理员能够从外网访问云·池。

部署步骤
l步骤一：创建映像文件
l步骤二：创建实例类型
l步骤三：创建网络
l步骤四：启动云主机实例
l步骤五：登录云池过配置向导部署方案
步骤一：创建映像文件
将云·池云安全管理平台镜像文件上传到映像服务，请按照以下步骤进行：
1.登录OpenStack的Web管理界面，选择“项目>计算>映像”。

2.点击页面右上角的“创建映像”按钮。

3.在弹出的<创建镜像>对话框中，设置以下基本信息。

4.点击右下角的“创建映像”按钮，完成配置。

新创建的镜像将会显示在映像列表中。

步骤二：创建实例类型
创建实例类型，请按照以下步骤进行：
1.使用管理员帐户，登录OpenStack的Web管理界面。

2.选择“管理员>系统>flavor”，点击右上角“创建flavor”按钮。

3.在弹出的<创建flavor>对话框，进行设置。

4.在<falvor信息>标签页设置基本信息。

选项说明
名称指定实例类型名称，如"Cloudpool-flavor"。

标识标识由OpenStack自动生成。

VCPU数量指定该主机的CPU虚拟内核的数量为2。

5.点击右下角“创建flavor”按钮，完成配置。

步骤三：创建网络
使用管理员账户，新创建一个网络，请按照以下步骤进行：
1.使用管理员帐户，登录OpenStack的Web管理界面。

2.选择“项目>网络>网络”，点击右上角“创建网络”按钮。

3.在弹出的<创建网络>对话框，创建网络名称，点击“前进”然后继续配置子网信息。

在<子网>标签页设置基本信息。

4.点击"前进"，然后继续点击“已创建”按钮，完成配置。

步骤四：启动云主机实例
使用管理员帐户，创建云主机实例，请按照以下步骤进行：
1.选择“项目>计算>映像”，点击步骤一创建的映像列表项后面的“启动”按钮。

2.在弹出的<启动实例>对话框的<详情信息>标签页中，配置“Instance Name”为“Cloudpool-
v1.0”。

3.在<flavor>标签页中，选择步骤二中配置的实例类型“Cloudpool-flavor”。

4.在<网络>标签页中，选择网络“Mgt_net”用作管理网络。

如果组成HA组，需要添加HA网络。

注意：用于构建HA的两台云池设备必须连接相同的网络。

5.在<安全组>标签页中，选择的安全组需配置允许内部和外部的流量都可进入云主机的策略。

6.其他选项均使用默认数值，点击右下角“启动实例”按钮，完成配置。

7.等待云·池实例创建完成后，点击该实例的名称，进入实例的详情界面，选择<概况>标签页，查
看“IP地址”“Mgt_net”网络对应的IP地址（即云·池管理口的IP地址），可用于后续的登录WebUI登录使用。

步骤五：登录云·池，通过配置向导部署方案
在浏览器输入云平台分配给管理口的IP地址，如https://管理口IP。

连接后，输入用户名和密码（默认账户为hillstone，密码为Hillstone@123），即可登录云·池的WebUI界面。

云·池在未进行方案部署的情况下，将直接进入“配置向导”页面，请按配置向导的步骤进行配置。

第2章在HStack上部署云·池
环境要求
在山石云管理平台（HStack）上部署云·池云安全管理平台（CloudPool SecaaS）（以下简称云·池）产品，需要满足以下要求：
l已经安装HStack版本及其相关组件。

l云·池虚机最低配置要求4个vCPU，内存为8192MB，根磁盘大小至少为80GB。

l云·池需部署vLMS许可证管理系统，部署步骤请参考云·池部署的步骤一至步骤五。

并按照等保2.0、等保3.0的规范导入相应的许可证，同时开启许可证全局自动下发策略，以及安装许可证后设备立即重启功能。

向vLMS导入许可证文件之前，请先向山石网科销售人员获取.tar格式的许可证压缩包文件。

导入许可证，请按照以下步骤进行操作：
1.在vLMS系统上，点击<许可证管理>页面左上角的“导入”按钮。

2.在弹出的<导入许可证列表>对话框中，点击“浏览”按钮，选择需要上传的许可证压缩包
文件。

3.点击“确定”按钮完成上传。

关于vLMS的更多信息，请查阅LMS许可证管理系统用户手册。

准备工作
1.从技术支持人员那里获得vLMS的镜像文件和云·池所需要的QCOW2镜像文件（例如“CloudPool-
SecaaS-1.1.qcow2”），并保存到本地PC。

2.与客户沟通，提供相关网络规划，为后面的网络创建做准备。

部署步骤
l步骤一：创建镜像文件
l步骤二：创建网络
l步骤三：创建安全组
l步骤四：创建云主机类型
l步骤五：创建云主机实例
l步骤六：登录云·池，通过配置向导部署方案
步骤一：创建镜像文件
将云·池云安全管理平台镜像文件上传到云平台镜像服务，请按照以下步骤进行：
1.使用管理员（admin）帐户，登录HStack的控制台界面，选择“ 计算>镜像”。

2.点击页面右上角的“创建镜像”按钮。

3.配置以下基本信息。

4.点击右下角的“确定”按钮，完成配置。

新创建的镜像将会显示在列表中。

步骤二：创建网络
新创建一个网络，请按照以下步骤进行：
1.使用管理员（admin）帐户，登录HStack的控制台界面，点击右上角“管理平台”切换至管理平
台。

2.选择“网络>网络”，点击右上角“创建网络”按钮。

3.在弹出的<创建网络>对话框，创建管理网络。

第1章介绍xix
在<创建网络>对话框中配置基本信息。

选项说明
网络名称根据需要指定网络的名称。

可用域在下拉列表中选择需要的可用域。

创建子网勾选“创建子网”复选框并配置子网相关内容。

共享勾选“共享”复选框，使得该网络可以被平台中所有租户使
xx第1章介绍
4.点击"前进"，然后继续点击“已创建”按钮，完成配置。

步骤三：创建安全组
创建安全组，请按照以下步骤进行：
1.使用管理员（admin）帐户，登录HStack的控制台界面。

2.选择“安全>安全组”，点击“创建安全组”按钮。

第1章介绍xxi
3.在<创建安全组>页面，进行设置。

4.配置以下信息。

5.点击所创建的安全组，进入该安全组，单击“创建规则”配置相应规则。

如：放通入口的所有
TCP协议。

6.如果对于安全组没有特殊需求，可以按照如下规则来创建安全组，能够满足云池所有需求。

xxii第1章介绍
步骤四：创建云主机类型
创建云主机类型，请按照以下步骤进行：
1.使用管理员（admin）帐户，登录HStack的控制台界面，点击右上角“管理平台”切换至管理平
台。

2.选择“计算>云主机类型”，点击“创建云主机类型”按钮。

3.在<创建云主机类型>页面，进行设置。

4.在<基础配置>标签页设置基本信息。

第1章介绍xxiii
5.点击右下角“下一步：访问类型设置”按钮。

6.在<访问类型设置>标签页设置基本信息。

7.点击“确定”完成云主机类型的创建。

步骤五：创建云主机实例
创建云主机实例，请按照以下步骤进行：
1.使用管理员（admin）帐户，登录HStack的控制台界面。

2.选择“计算>云主机”，点击“创建云主机”按钮。

3.在<创建云主机>页面，进行设置。

xxiv第1章介绍
4.在<基础配置>标签页设置基本信息。

选项说明
可用域默认选择为“nova”。

规格选择云池对应创建的云主机类型。

启动源指定启动源为镜像类型。

操作系统根据创建镜像时选择的操作系统进行操作系统和镜像的选
择，如操作系统选择“其他”。

系统盘类型默认选择为“__DEFAULT__”，容量至少为80G。

请勾选“随云主机删除”。

内存（MB）指定云·池云主机的内存大小为4096MB。

指定云·池云主机的根磁盘大小为80GB。

根磁盘
（GB）
5.点击右下角“下一步：网络配置”按钮。

6.在<网络配置>标签页设置基本信息。

选项说明
虚拟网卡在网络列表中选择之前创建的管理网络，选择完网络会自动
第1章介绍xxv
7.点击右下角“下一步：系统配置”按钮。

8.在<系统配置>标签页设置基本信息。

9.点击右下角“下一步：确认配置”按钮。

10.在“确认配置”页面，确认云主机相关配置，点击“确认”按钮，完成配置。

步骤六：登录云·池，通过配置向导部署方案
云主机配置完成后，等待几分钟，云主机则自动启动完成。

点击该云主机的名称，进入云主机的详情界面，在<详情>标签页，查看“网络信息”的网络对应的IP地址（即云·池管理口的IP地址），可用于后续的登录WebUI登录使用。

在浏览器输入云平台分配给管理口的IP地址，如https://管理口IP。

连接后，输入用户名和密码（默认账户为hillstone，密码为Hillstone@123），即可登录云·池的WebUI界面。

云·池在未进行方案部署的情况下，将直接进入“配置向导”页面，请按配置向导的步骤进行配置。

xxvi第1章介绍
配置向导
在使用云·池前，请先按照配置向导的指引，配置相关的参数，完成初始的部署。

通过配置向导部署云·池
云·池可管理多种管理多种虚拟化安全网元，包括防火墙，Web应用防火墙，数据库审计，日志审计，漏扫，堡垒机，实现自动化编排组网及安全业务的自动开通，并对租户进行管理，为租户配置不同的安全套餐，进行业务部署。

准备工作
l确保已经按照云·池安装步骤（部署云·池），将云·池虚拟机安装成功。

并且，已经设置云·池的管理IP地址。

l确保已部署vLMS许可证管理系统，且已导入足够的云·界许可证。

关于vLMS的更多信息，请查阅LMS许可证管理系统用户手册。

部署步骤
在云平台上安装完成云·池后，在浏览器输入云平台分配给管理口的IP地址，如https://管理口IP。

连接后，输入用户名和密码（默认账户为hillstone，密码为Hillstone@123），即可登录云·池的WebUI界面。

云·池在未进行方案部署的情况下，将直接进入“配置向导”页面。

通过配置向导，按照以下步骤进行：
l第一步：方案选择
l第二步：云平台配置
l第三步：vLMS配置
第一步：方案选择
选择云·池部署的方案，按照以下步骤进行操作：
配置向导xxvii
1.在<方案选择>页面，根据需要选择部署“硬件资源池”或“软件资源池”。

2.当选择软件资源池时，选中“策略路由引流”的部署方案。

3.点击“下一步”，进入<云平台配置>配置页。

第二步：云平台配置
<云平台>页面主要用来配置连接云平台相关的信息，包括云平台的认证URL、域名称、项目名称、用户名及密码和区域名称等。

当选择软件资源池方案时，支持在OpenStack云平台上部署云·池。

当选择硬件资源池方案时，即在HStack云平台上部署云·池。

配置云平台信息，按照以下步骤进行操作：
xxviii配置向导
1.在<云平台配置>页面，需配置如下信息：
选择HStack云平台或“OpenStack”云平台时，配置如下信息。

云·池一体机环境变量的获取方式，在部署节点（默认是172.16.101.11这台节点）的/etc/kolloa目录下，文件名为admin.openrc，参数配置可参考admin.openrc里的内容。

选项说明
认证URL指定云平台认证服务的URL，系统将会向云平台的控制节点去认证管理
配置向导xxix
2.点击“认证”，进入<LMS配置>配置页。

第三步：配置vLMS
用户需要在<LMS配置>页面配置私网许可证管理系统的IP地址及端口，用于网元的许可证校验及管理，关于vLMS的更多信息，请查阅LMS许可证管理系统用户手册。

配置vLMS服务器，按照以下步骤进行：
1.在<LMS配置>页面，需配置如下信息：
选项说明
URL指定vLMS服务器的URL地址，格式为“https://IP”。

用户名指定登录vLMS服务器的用户。

密码指定登录vLMS服务器的密码。

2.点击“确定”，完成配置向导。

xxx配置向导
配置恢复
系统可以通过导入配置文件重新部署一台新的云·池虚机并恢复原配置。

配置恢复，请按照如下步骤进行操作：
1.在配置向导页面，点击页面上方的“配置恢复”按钮，打开配置恢复页面。

2.点击按钮，选择需要的配置文件。

3.点击“确定”按钮，完成配置。

配置向导xxxi。