20070911_天清汉马USG系列_数据中心配置简介

安全变得简单，从天清汉马开始
数据中心概述
• 数据库可与数据中心安装在一台服务器上，也可独立安装在 另一台服务器上（数据库在另一台服务器上） • 数据库服务器: 硬件环境: PC服务器／Pentium IV CPU /2G内存／200G硬盘 软件环境: MSDE或MS SQL Server 2000+SQL2KSP4 • 数据中心要求的环境如下： 硬件环境: PC服务器／Pentium IV CPU /1G内存 软件环境: Windows 2000 / Windows XP / Windows 2003操 作系统
安全变得简单，从天清汉马开始
数据中心配置及使用--报表
• 报表文件

说明： “报表--配置”中配置并选择好模板，并生成报表后，生成的报表文件在 “报表--文件”中可查看，直接点击文件名称或点击可是中链接都行。生 成的报表文件可在web界面直接删除，也可在后续的报表维护中备份或删 除
安全变得简单，从天清汉马开始
数据中心配置及使用—数据库及报表维护
•
报表文件维护 进入“开始->Venustech->USG DataCenter->报表文件维护”，打开报 表文件维护菜单可进行配置，报表文件维护功能包括报表文件的自动备 份、手工维护和导入三个子功能点。 自动备份：可配置备份频率。选择关闭则不会备份报表文件；选择具体 的天数和时间则可在选定的时间进行报表文件备份操作；目标路径表示 备份文件所要存放的路径；选择删除源，则备份后源文件同时会被删除 手工维护：可对报表文件进行备份或删除。可选择删除在某一时间范围 内所生成的报表文件；也可选择对某一时间范围内所生成的报表进行备 份；目标路径指备份文件所要存放的路径 导入：将某一时间范围内产生的报表文件导入到当前数据中心的报表文 件目录中；源路径指需要导入的源文件路径
安全变得简单，从天清汉马开始
数据中心基本配置
• 添加设备： “系统管理->设备”下进行添加设备：
安全变得简单，从天清汉马开始
数据中心基本配置
• “报表->配置->设备”中选择设备：


说明：如上图所示，在默认报表中，除“设备”模板是空外， 其他模板都有一些基本值。故此处只需要选择设备后，便可以 点击图标 直接生成报表。 自动模板的默认时间是每天凌晨零点开始生成此报表
安全变得简单，从天清汉马开始
数据中心配置及使用--报表
•
•
输出模板：即设置输出 格式，有HTML、PDF、 EXCEL、CSV四种格 式可选择，默认是前两 种格式。HTML和PDF 格式有完整的报表和图 形，EXCEL和CSV格 式只有数据没有图形 收件人：配置收件人地 址后，当报表生成成功 时会向邮箱发送一份报 表文件
安全变得简单，从天清汉马开始
数据库安装
• 数据库安装MS SQL Server 2000注意： • 在安装“服务账户”中选择“使用本地系统账户（L）”，身份 验证模式中选择“混合模式”，并设置sa密码； • 装完数据库后安装补丁SQL2KSP4
PS：若数据库用MSDE，默认安装即可，先装MSDE再装 数据中心。
安全变得简单，从天清汉马开始
数据中心安装
• 按照安装向导安装数据中心之后，首先要进行数据中心管理配置，配置 数据库服务器的IP地址、端口、用户名、密码等基本信息。如下图：
安全变得简单，从天清汉马开始
数据中心安装
• IP地址：数据库服务器的IP地址。如果数据库安装在本机上，则为 127.0.0.1。 • 端口：数据库的连接端口，默认1433。 • 用户名：sa • 密码：sa用户的密码，若数据库是MSDE，则此密码为空；若是SQL Server2000，则此密码与数据库安装过程中的sa用户密码一致 • 数据库路径：数据库自身的数据文件存放路径。 • 数据库名称：数据库的名称。 • 创建新库：根据以上信息创建新库。该库中存储USG设备的各种日志
• 文件跟踪指三种文件跟踪类型的日志，包括Email文件跟踪, 其他协议文件跟踪和IM文件跟踪三部分。文件跟踪部分的 日志与查询->历史中查询到该类型的日志基本是一样的，这 里单独提出来是为了方便用户通过文件跟踪日志对文件传输 情况进行管理 • 用户跟踪是根据用户属性查找特定日志的功能，包括用户和 跟踪两部分。用户属性需要预先输入，包括认证用户名称、 IP地址、Email地址和IM用户名称。使用跟踪功能时先选择 IP地址、特定的用户或用户组，再输入时间和搜索项，即可 获得与该IP地址或用户相关的日志信息。
安全变得简单，从天清汉马开始
数据中心概述
• 天清汉马数据中心采用分布式系统架构，对网络管理 域中的USG设备上报的安全相关信息收集存储，通 过数据发掘提供详尽灵活的统计图、报表，从而辅助 管理员进行安全信息审计，全面掌握网络的整体安全 状况。 • 天清汉马数据中心具备如下主要功能和特点： • 对USG系列安全设备发送的日志信息进行实时解析 存储。 • 对各种报警日志， Netflow日志等进行统计查询，并 得出详尽的统计图表。 • 通过易用的Web界面进行配置管理。
数据中心配置及使用--报表
• 过滤模板：主要是对要 产生报表的日志再进行 一次条件过滤，有选择 性生成所关注的内容 优先级：可以选择生成 某一级别范围内的日志 其它过滤条件：与此条 件匹配的日志内容被过 滤出来 非：过滤条件后若选中 “非”，则表示与过滤 条件相反 时间、每周：此处的时 间条件与基本信息里面 的时间取交集。
名称：报表名称，不能为空 时间：生成报表的日志时间 范围 TOP N：报表内容TOPN的 设置 提交人：报表提交人名称， 不能为空 提交单位：报表提交单位名 称，不能为空
安全变得简单，从天清汉马开始
数据中心配置及使用--报表
•
分类模板的配置：用 户可以根据需要选择 不同的分类 新建模板 复制模板 编辑模板 删除模板 说明： 1.新建一个模板选择所需 要的分类，在其它报表 中也可以使用该模板 2.编辑一个模板会影响到 使用该模板的所有报表 3.当模板有被其它报表引 用时，无法删除
和Netflow日志。
安全变得简单，从天清汉马开始
数据中心基本配置
• 前期的安装完成后，本机通过https://127.0.0.1或 https://localhost登陆到数据中心Web管理界面，其它终端通 过具体的IP登录。 默认用户名：admin 密码：venus.usg • 登陆进入到Web管理状态页后，要使用查询和报表功能，还 需要进行一些基本的配置。 第一步：在“系统管理->维护->选项”中，配置syslog监听 端口和Netflow监听端口 第二步：在“系统管理->设备”中，添加设备。添加设备后 便可以在 “查询->历史”中查询该设备上发送的相关日志了 第三步：在“报表->配置->设备”中，选中相应设备。 配置了前面两步，可以保证进行基本的查询（包括日志查询、 流量查询）和生成报表功能了，下面具体演示 。 PS：默认情况下，任何用户都可以访问数据中心，可以通过 “系统管理->管理员”下配置限定访问的IP地址或网段。
安全变得简单，从天清汉马开始
数据中心配置及使用--查询
• 查询设置
• • 设备：产生日志的 设备。 优先级：日志的优 先级。能够查询到 优先级高于或等于 所选级别的日志。
• • •
类型：日志类型。 时间：日志的时 间范围。 显示条数：查询 后日志显示的最 大条数。选择单 类型时没有此配 置项
安全变得简单，从天清汉马开始
安全变得简单，从天清汉马开始
数据中心配置及使用--流量

“流量->当天统计”部分：

说明： “当天统计”部分只对当天流量按不同的类别进行统计，能够选 择一天之中的时间段。其中，对于TOP N的统计还能够分别选择不 同的设备查看统计信息
安全变得简单，从天清汉马开始
数据中心配置及使用—文件跟踪、用户跟踪
安全变得简单，从天清汉马开始
数据中心基本配置
• 配置日志接收端口： 天清汉马能够接收和处理Syslog和NetFlow数据，它们的默认 值分别为514和9898。这和USG设备上的端口要保持一致， 否则会接收不到数据。进入“系统管理->维护->选项”,如下 图：

分别进入“查询->历史”和“流量->查询”，如果接 收到日志数据，说明数据中心已经能够正常运行了
天清汉马USG数据中心配置简介
－天清汉马USG一体化安全网关
产品管理中心－安全网关产品部
Fra Baidu bibliotek
2007年9月
北京启明星辰信息技术有限公司
安全变得简单，从天清汉马开始
数据中心培训提纲
• • • • • • •
1.数据中心概述 2.数据库安装 3.数据中心安装 4.基本配置 5.数据中心配置及使用 6.数据库及报表的维护 7.数据库注意事项及常见问题排查
安全变得简单，从天清汉马开始
数据中心配置及使用—系统管理
• 系统管理：
• • • • • • 状态：状态首页中的“昨天日志统计”部分是对前一天所有日志的分 类统计。如果昨天没有日志，则此处为空。 设备：可配置设备和设备组，配置设备组是为了方便管理。 维护：“时间”项可配置系统时间；“选项”配置日志的接收端口； “告警”可配置告警条件和告警检测时间，可以选择是否启用邮箱告 警 邮件：邮件服务器信息及发件人配置。数据中心所有涉及到要发送邮 件的地方都依赖于此邮件服务器的配置。 管理员：配置允许登陆的管理员和登陆IP，默认登陆用户名admin，密 码venus.usg，登陆IP为空，任意可访问的PC都可登录。若是要仅允 许部分PC登陆，则需要配置管理员和具体的管理IP 告警：“告警”页面主要是查看告警信息，包括报表的生成信息、数 据库及磁盘空间告警、未知设备检测、设备同步异常等。其中，告警 页面上“保存时间”是配置告警信息最多保存的天数，此配置在凌晨 30分执行
数据中心配置及使用--流量
• • 流量部分包括流量查询和流量当天统计两部分 “流量->查询”界面如下：

说明：
“流量->查询”界面和“查询->历史”界面比较类似，界面上相同 的图标功能相同； 点击设置图标 ，可以选择具体的设备和日期查询流量； 默认情况下进入“流量查询”界面时，看到的是当天所有设备的流 量
安全变得简单，从天清汉马开始
数据中心配置及使用
•
前面的基本配置只能保证数据中心可以进行基本的查询和报表生成 功能，要使用数据中心比较完整的功能，此配置远远不够，下面从 数据中心的各部分进行一个简单的介绍：
系统管理：系统配置和管理。包括状态、设备、维护、邮件、管理员、 告警。 查询：日志查询相关配置及查询。 流量：流量查询相关配置。包括历史查询和当天统计。 文件跟踪：文件跟踪日志查询。包括Email、其他协议、IM。 用户跟踪：用户跟踪相关配置和查找。包括用户、跟踪。 报表：报表相关配置和管理。包括配置、文件。
• •
•
•
安全变得简单，从天清汉马开始
数据中心配置及使用--报表
•
自动模板：配置自动模板后可 以让报表定时自动生成 • 关闭：表示关闭自动生成功能 • 每天：表示每天固定时间自动 生成报表 • 每周：表示每周哪几天自动生 成报表 • 每月：表示每月哪几天自动生 成报表，多天可用逗号隔开 • 时间：表示一天中自动生成报 表的具体时间，默认0时0分 PS：建议自动生成报表时间在1 点之后，因为0点到1点是系 统定时器处理的时间，会比较 忙
安全变得简单，从天清汉马开始
数据中心配置及使用--报表
• • • 报表配置相当于对生成的报表文件做条件预置，报表配置中有一个默认报 表，此默认报表不可删除但其配置可以更改 报表配置中除基本信息外，还包括五个模板：分类、设备、过滤、自动、 输出。后面会分别介绍其功能和配置方法 “基本”信息界面如下：

安全变得简单，从天清汉马开始
数据中心配置及使用--报表
• •
•
设备：指产生并发 送日志的设备 默认情况下，设备 模板中的没有设备 选中，要生成报表 必须在此选中相关 设备 设备木板的配置和 分类模板配置相同。 可以创建、复制、 编辑和删除模板， 模板中可以根据需 要选择相关设备
安全变得简单，从天清汉马开始


安全变得简单，从天清汉马开始
数据中心配置及使用--查询
• 查询界面中的列设置举例：

说明： 配置协议“TCP”后，选择“启用”，提交后能够将协议字段 是“TCP”的日志过滤出来； 若同时选择“非”和“启用”，则将协议字段不是“TCP”的 日志过滤出来 PS：若只选择了“非”，无效
安全变得简单，从天清汉马开始
数据中心配置及使用--查询
• 查询界面


界面说明：
内容搜索：对“内容”列字段做模糊查找。 ：设置条件。点击此图标即进入“查询设置”界面 ：生成EXCEL文件。点击此图标可保存当前页的查询结果 ：设置列。可配置特定的列在界面上显示或不显示（对于多类型， 没有此配置项） ：查询条件。起过滤作用，如只需要显示“协议”列字段是“TCP” 的NAT日志（对于多类型， 没有此配置项） ：搜索