文档中心

云主机安全CHS用户指南（下）

最近更新时间：

4 安全策略

4.1 安全配置

安全配置是防护系统针对每台计算机的所有安全设置的集合，包括防恶意软件，系统加固，防火墙，入侵防御，网络可视化及管理。用户定义好安全配置后，可以将它应用到多台计算机。可以定义规则自动匹配，也可以手动为虚拟机指定安全配置。

通过安全策略下的安全配置页面，用户可以：

• 查看现有安全配置的列表，包括安全配置的概况。

• 添加、复制和删除安全配置。

4.1.1 编辑安全配置

编辑安全配置页面包括 13 个选项卡，分别在每个选项卡内进行相应的设置。

1. 通用设置

• 名字：规则名称，支持中文名，是必选项。

• 描述：可选项。

• 适用操作系统：Windows 或 Linux 或所有操作系统。

• 自我保护：可以打开或者关闭“开启 Windows 轻代理自保护”功能，仅支持 windows 轻代理。

• 系统资源占用：不限制或平衡型或低资源，默认显示为低资源。

• 不限制：不限制 CPU 使用，扫描速度快。

• 平衡型：限制用于扫描的最大 CPU 使用率为 50%；仅对有代理部署生效，且要求系统至少有 2 核 CPU。

• 低资源：限制用于扫描的最大 CPU 使用率为 25%；仅对有代理部署生效，且要求系统至少有 4 核 CPU。

2. 防恶意软件-实时防护页面

(1) 实时防护：如果打开实时防护，应用该安全配置的虚拟机将受到实时的防恶意软件防护，虚拟机列表中的实时防护状态会变为。

如果关闭实时防护，应用该安全配置的虚拟机不会受到实时的防恶意软件防护，虚拟机列表中的实时防护状态会变为，默认是打开状态。

(2) 恶意软件处理：如果在虚拟机中检测到病毒，系统提供了以下 4 种方式对病毒进行处理：

隔离：将恶意软件移到隔离区，VMware 平台需要手动从安全虚拟机恢复隔离文件。

删除：将恶意软件永久删除。

修复：尝试修复恶意软件并隔离，VMware 平台暂不支持修复。

监控：只记录日志，不对恶意软件采取动作。

(3) 监控压缩包文件。

功能开关：打开功能，支持压缩包文件扫描，关闭功能，不支持压缩包文件扫描；可以进行不同的压缩包文件设置。

设置压缩包大小：如果压缩包大小超过设置值，就不会进行压缩文件扫描，压缩包大小范围为 1-100MB，默认为 10MB。

压缩包层数：压缩包层数会根据实际设置情况进行解压，压缩包层数监控范围为 1-10层，默认为 3 层。

提取文件：提取文件会根据实际设置情况进行提取，提取文件范围为 1-9999，默认为 50个文件。

(4) 扫描设置：要扫描的目录路径，左边输入框每行可填写一条路径。Windows 目录以“\”结束，Linux 目录以“/”结束。

仅扫描下列目录：

− Windows 目录示例：C:\Program Files\

− Linux 文件示例：/usr/bin/test

仅扫描包含下列后缀名的文件。

− 文件名后缀将匹配文件名最后一个点(.)后面的部分，左边输入框每行可填写一个后缀。后缀示例：doc

− 可以通过“添加常见后缀名”进行常见后缀名的添加，具体后缀名包含：

ARJ,BAT,BIN,BOO,CAB,CHM,CLA,CLASS,COM,CSC,DLL,DOC,DOT,DRV,

EML,EXE,GZ,HLP,HTA,HTM,HTML,HTT,INI,JAR,JPEG,JPG,JS,JSE,LNK,LZH,

MDB,MPD,MPP,MPT,MSG,MSO,NWS,OCX,OFT,OVL,PDF,PHP,PIF,PL,POT,

PPS,PPT,PRC,RAR,REG,RTF,SCR,SHS,SYS,AR,VBE,VBS,VSD,VSS,VST,VXD,

WML,WSF,XLA,XLS,XLT,XML,Z,ZIP,ASP,ACCDB,DOCX,DOCM,DOTX,DOTM,

PPTX,PPTM,OTX,POTM,PPAM,PPSM,PPSX,XLSX,XLSM,XLTX,XLTM,XLSB,XLAM。

3. 防恶意软件-手动/定期扫描页面

(1) 定期扫描：可以选择定期对计算机进行全盘扫描。定期时间可以是每天、每周或者每月。

注：只有虚拟机为开启状态才会进行定期扫描。

例如，配置定期扫描时间为每天 15:00，则如果有虚拟机在 15:00 到 16：00 这段时间内从挂起或关闭状态变成开启状态，虚拟机起来后也会进行定期扫描。

(2) 恶意软件处理：如果在虚拟机中检测到病毒，系统提供了以下 4 种方式对病毒进行处理：

隔离：将恶意软件移到隔离区，VMware 平台需要手动从安全虚拟机恢复隔离文件。

删除：将恶意软件永久删除。

修复：尝试修复恶意软件并隔离，VMware 平台暂不支持修复。

监控：只记录日志，不对恶意软件采取动作。

(3) 监控压缩包文件。

功能开关：打开功能，支持压缩包文件扫描，关闭功能，不支持压缩包文件扫描；可以进行不同的压缩包文件设置。

设置压缩包大小：如果压缩包大小超过设置值，就不会进行压缩文件扫描，压缩包大小范围为 1-100MB，默认为 10MB。

压缩包层数：压缩包层数会根据实际设置情况进行解压，压缩包层数监控范围为 1-10层，默认为 3 层。

提取文件：提取文件会根据实际设置情况进行提取，提取文件范围为 1-9999，默认为 50个文件。

(4) 扫描设置。

• 仅扫描下列目录。

要扫描的目录路径，左边输入框每行可填写一条路径。Windows 目录以“\”结束，Linux 目录以“/”结束。

Windows 目录示例：C:\Program Files\

Linux 文件示例：/usr/bin/test

可以勾选“仅扫描下列目录”，并且应用于“手动全盘扫描”或者“定期扫描”。

• 仅扫描包含下列后缀名的文件。

文件名后缀将匹配文件名最后一个点(.)后面的部分，左边输入框每行可填写一个后缀。后缀示例：doc

可以勾选“仅扫描包含下列后缀名的文件”，并且应用于“手动全盘扫描”或者“定期扫描”。

可以通过“添加常见后缀名”进行常见后缀名的添加，具体后缀名包含：

ARJ,BAT,BIN,BOO,CAB,CHM,CLA,CLASS,COM,CSC,DLL,DOC,DOT,DRV,

EML,EXE,GZ,HLP,HTA,HTM,HTML,HTT,INI,JAR,JPEG,JPG,JS,JSE,LNK,LZH,

MDB,MPD,MPP,MPT,MSG,MSO,NWS,OCX,OFT,OVL,PDF,PHP,PIF,PL,POT,

PPS,PPT,PRC,RAR,REG,RTF,SCR,SHS,SYS,AR,VBE,VBS,VSD,VSS,VST,VXD,

WML,WSF,XLA,XLS,XLT,XML,Z,ZIP,ASP,ACCDB,DOCX,DOCM,DOTX,DOTM,

PPTX,PPTM,OTX,POTM,PPAM,PPSM,PPSX,XLSX,XLSM,XLTX,XLTM,XLSB,XLAM。

(5) 白名单设置页面。

a. 目录/文件白名单。

将目录或者文件路径加入白名单，安全模块将不对这些文件进行扫描和检测。匹配时采用模糊算法，如果要扫描的文件全路径中包含有白名单中的任何一项，则被算作匹配。编辑框中每行填入一个白名单路径。

例如：”C:\Program Files\”将匹配文件夹及其下面的所有文件和文件夹，当添加的白名单没有以目录没有以“/”或“\”结束时，将匹配以配置中白名单开头的任意文件或文件夹。

Windows 目录示例：C:\Program Files\

Linux 文件示例：/usr/bin/test

b. 文件名后缀白名单：如果文件名的后缀匹配这个白名单中任何一项，将跳过扫描和检测。

后缀示例：doc

4. Web 应用防护

Webshell 应用防护指 webshell 扫描功能，目前此功能暂不支持 PK 架构的目标主机。

• 定期扫描可选关闭、每天、每周、每月。

• Webshell 白名单跳转设置：系统支持配置 webshell 白名单，单击“设置”，链接即可跳转至“管理 > 系统设置 > 特征库”页面，该页面中可以配置 webshell 白名单。

• 扫描目录设置

除自动扫描 web 服务器工作目录，还扫描以下目录。

5. 系统加固

应用程序控制

• 功能开启：打开功能开关，应用程序控制功能才会生效，默认为关闭状态。

• 只有当功能开关为打开状态，以下配置项才能生效。

• 本列表中应用程序启动时采取动作：系统可以对客户端中的进程采取允许、阻止和监控 3 种动作，并记录日志（操作为允许以及对例外进程的操作不记录日志）。

• 添加系统应用进程：管理中心将 windows 和 linux 操作系统的系统应用程序定义为了信任应用程序，单击 Windows 系统应用程序或 Linux 系统应用程序，即可以将相应的系统应用程序自动添加至应用程序路径列表中。

• 应用程序路径：系统可以对输入的应用程序路径或目录路径执行允许/阻止/监控的操作。

• 例外应用程序路径：例外应用程序路径的操作与其他进程一致。

• 应用程序名：系统可以对输入的应用程序名执行允许/阻止/监控操作。

• 其他应用程序：不在上述 3 个应用程序列表中的应用程序为其他应用程序，其他应用程序在启动时采取的动作为允许/阻止/监控。

完整性监控

• 实时监控：打开实时监控开关，相应的虚拟机/终端才会处于实时的完整性监控中，默认为关闭状态。

• 定期扫描：可以选择定期对虚拟机进行完整性监控扫描。时间可以是每天，每周或者每月的具体某个时间点，默认是关闭状态。

• 监控等级：包括高和严格（从低到高）。等级越高，系统默认推荐的规则就越多。例如，高安全等级，系统默认推荐严重等级为“严重”和“高”的规则；严格安全等级，系统默认推荐严重等级为“中”，“高”和“严重”的规则。

• 显示所有规则：如上所述，高安全等级下，系统默认推荐严重性为“高”和“严重”的规则。如果想添加“中”严重性的规则，可以选中该复选框来显示所有规则。

漏洞管理

• 定期扫描：可以选择定期对虚拟机进行漏洞扫描。时间可以是每天，每周或者每月的具体某个时间点，默认是关闭状态。

• 危险程度筛选：根据危险程度筛选查看对应漏洞规则。

• 操作系统筛选：根据不同虚机的操作系统筛选漏洞规则。

安全基线

(1) 功能开启

默认是关闭状态，开启后可配置每天（24 个小时）、每周（每周几以及每天哪个小时）、每月（每月几号以及每天哪个小时）进行安全基线扫描。

防暴力破解

• 防暴力破解规则页面

a. 功能开启

打开开关，开启防暴力破解功能，此时会加载防暴力破解驱动；关闭开关，关闭防暴力破解功能。

防暴力破解功能开关默认开启状态。

b. 默认规则

防暴力破解模块设置默认规则：60 秒内尝试登录超过 10 次就拦截 10 分钟。

c. 新增规则

单击“ ”，在“防暴力破解规则设置”弹窗中，可以输入规则时间、破解次数和拦截时间三个参数，拦截时间默认显示“分钟”，默认规则参数范围为 1-999；如果超出限制，会有相应的错误提示信息。

d. 删除规则

勾选相应的防暴力破解规则，单击“ ”，可以删除防暴力破解规则。

e. 搜索框

输入不同的关键词，可以精确匹配到想要的规则。

f. Linux 目前支持：ssh、telnet。

g. Windows 支持：RDP、hydra。

• 黑白名单页面

a. 防暴力破解 IP 白名单

防暴力破解 IP 白名单不会被拦截，当某台攻击机器处于拦截状态时，此时对其进行加白，会对加白机器进行放行。

支持格式：IP 地址支持单个地址，地址范围和用掩码表示,每行填写一条。例如：

192.168.1.1

192.168.1.2-192.168.1.254

192.168.2.1/24

每个白名单最大填写 20 条。

b. 防暴力破解 IP 黑名单

防暴力破解 IP 黑名单会直接被拦截。

支持格式：IP 地址支持单个地址，地址范围和用掩码表示,每行填写一条。例如：

192.168.1.1

192.168.1.2-192.168.1.254

192.168.2.1/24

每个黑名单最大填写 20 条。

注：当黑名单和白名单重叠时，白名单优先。

6. 微隔离

防火墙

防火墙开关：打开防火墙开关，该功能才会生效。该开关默认为打开状态。

在防火墙选项页，可以查看现有防火墙规则的列表，也可以添加、复制和删除规则。系统会按照防火墙规则的优先级从高到低依次匹配，所以用户可以调整规则的优先级来达到期望的目的。

• 动作

防火墙对网络流量的默认动作是放行，用户可以添加规则对某些流量进行允许，阻止或者强制允许。

允许：允许与默认放行的后台处理其实是一样的，但是在一些比较复杂的网络环境中，一般会将允许与阻止配合使用。例如某些虚拟机要阻止除 80 端口外的所有出站流量，就可以先配置一条允许80 端口的 TCP 流量，再配置一条阻止所有端口的 TCP 流量，来达到目的。

阻止：阻止指定流量的会话。

强制允许：是指系统不对该网络会话作任何处理。即使它匹配其他网络模块的阻止规则，也不会阻止该会话。

可对单个防火墙规则进行开启和停用：

• 方向

入站：指网络会话的目标地址是虚拟机 IP。

出站：指网络会话的源地址是虚拟机 IP。

• 协议

支持 TCP、UDP 和 ICMP 协议。

• 本地/远程信息

防火墙的本地信息或者远程信息除支持“所有地址”，还支持单个地址，地址范围和带掩码的地址，多个地址用逗号“,”分隔。其中地址范围用中划线“-”分隔，掩码和地址之间用“/”分隔。

例如：192.168.1.1, 192.168.1.2-192.168.1.254, 192.168.2.1/24

• 本地/远程端口

防火墙本地信息和远程信息中的端口除支持“所有端口”，还支持单个端口和端口范围，多个端口之间用逗号“,”分隔。其中端口范围用中划线“-”分隔。

例如：80，8443-8445

7. 入侵防御

集成了高性能深度包检查体系结构和动态更新的特征数据库以提供完善的网络防护，从而抵御应用程序漏洞、蠕虫病毒和恶意网络通信的攻击。

管理员可以在入侵防御页面手动开启或关闭入侵防御的功能开关。如果为开启状态，则当应用该安全配置的虚拟机遭到入侵时，系统会启动防御机制；如果关闭了实时防护，当应用该安全配置的虚拟机遭到入侵时，系统不会对其进行保护。

系统默认根据通用配置中的“适用操作系统”来显示对应的入侵防御规则；例如，适用操作系统为“windows”时，入侵防御规则页面会勾选windows 下的入侵防御规则。

在入侵防御页面可以根据安全等级选取所有的入侵防御规则：

• 安全等级为“严格”时，显示严重性为“严重”、“普通”、“轻微”的入侵防御规则。

• 安全等级为“高”时，显示严重性为“严重”、“普通”的入侵防御规则。

• 安全等级为“中等”时，仅显示严重性为“严重”的入侵防御规则。

用户可以手动去掉某些规则。直接去勾选入侵防御规则前的复选框即可。在“严格”和“高”安全等级时，如果想添加安全等级为“中”的规则，可以选中“显示所有规则”复选框来显示所有规则。单击列表中的规则名称，可以打开“入侵防御规则信息”对话框，查看详细的信息。

单击最后一列中的“参考资料”，能够打开 CVE 漏洞信息库。

可以根据“入侵防御规则的编号/规则名/严重性/操作系统/参考资料/分类”对入侵防御规则列表进行排序，方便管理员查看。

可以根据“入侵防御规则的编号/规则名/严重性/操作系统/参考资料”进行搜索，支持模糊搜索。

动作：分为检测和阻止。在检测模式下，仅检测可疑入侵，不采取任何动作，将对网络的影响减小到最低。阻止模式则对有害网络流量进行实时阻断。

在入侵防御页面下除了入侵防御规则，同时添加了白名单，最多可添加 5 个白名单信息，单击后面的“ ”将删除掉白名单。将攻击的源地址和目的端口添加在白名单后，即使选择阻止，这些白名单里的源地址发送的攻击仍可以攻击成功，且无相关的日志信息。

8. 网络可视化及管理

功能开启：打开功能开启开关，该功能才会生效。该开关默认为打开状态。

从所有支持的网络协议中选取某些进行控制，控制方式有：阻止和强制允许。

强制允许是指防护系统不对该网络协议的网络通信作任何处理。即使该网络协议的数据包匹配了入侵防御的阻止规则，入侵防御模块也不会去阻止。后续的数据包也不会做任何扫描。

在“网络可视化及管理”标签页左侧的树型结构框中，可以通过勾选网络协议类型名称前的复选框来选择某一类或几类的网络协议、也可以选择某个或某些具体的网络协议。

单击，可以展开该类网络协议下包含的具体网络协议。

单击，可以收起该类网络协议的树型结构。

在树型结构框中选择网络协议，单击“阻止”，该网络协议就会被添加至右侧的“要阻止的网络协议”框中。

在树型结构框中选择网络协议，单击“强制允许”，该网络协议就会被添加至右侧的“要强制允许的网络协议”框中。

在“要阻止的网络协议”或“要强制允许的网络协议”框中选择不再需要阻止或强制允许的网络协议，单击“撤销”，网络协议就会移回左侧的树型结构框中。

因为系统支持的网络协议多达上千种，为了提高效率，在配置规则时可以在搜索框中输入网络协议的关键字进行搜索，支持模糊搜索。

注：配置完相应的安全配置后，要记得单击页面下方的“保存”。

4.1.2 搜索安全配置

可以根据安全配置的名称/描述/保护的机器来搜索安全配置，支持模糊搜索。

4.1.3 复制、删除安全配置

在安全配置列表中选择需要复制或删除的安全配置，单击“复制/删除”即可。

4.2 匹配规则

匹配规则可根据虚拟机及其所在主机和主机池的特征，自动为虚拟机指定安全配置。

通过安全策略下的匹配规则页面，用户可以：

• 查看现有匹配规则的列表，包括规则的匹配条件。

• 添加、复制和删除匹配规则。

• 调整匹配规则的优先级。

• 搜索匹配规则。

4.2.1 编辑匹配规则

在匹配规则页面单击“新增”或选择要更改的规则，打开“匹配规则“对话框。

• 指定规则名称和规则的简短描述。

• 指定要应用的安全配置。

• 设定匹配条件，匹配条件至少包括下面的一个条件：

主机池：虚拟机所在主机池的名称，可以配置多个，多个主机池名称之间用英文的逗号“,”分隔。此条件为单租户模式下使用。

项目：虚拟机所在租户的名称，可以配置多个，多个项目名称之间用英文的逗号“,”分隔。为多租户模式系统管理员视图下使用。多租户模式普通租户视图无法使用项目作为筛选条件。

主机：虚拟机所在主机的名称，可以配置多个，多个主机名称之间用英文的逗号“,”分隔。

虚拟机/终端：虚拟机/终端名称，即资产管理-虚拟机/终端页面，虚拟机列表中显示的虚拟机名，可以配置多个，多个虚拟机名称之间用英文的逗号“,”分隔。

• 虚拟机/终端操作系统：操作系统目前支持 Windows 和 Linux，由用户创建虚拟机指定。

• 安全组：openstack 虚拟机或 VMware NSX 环境中虚拟机所属的安全组。

• 分组：虚拟机所在的分组名称。

通过单击来添加匹配条件，单击来删除匹配条件。最多可添加 6 个匹配条件，且不能是同类型的匹配条件。

多个匹配条件之间是“与”的关系，即要满足所有匹配条件，才算匹配成功。

同一个匹配条件之间的多个值是“或”的关系，只要匹配上其中某个值，即算匹配成功。

例：如下所示，只有虚拟机所属的主机名称包含 xenserver-auto；虚拟机操作系统为 windows，且虚拟机名称为 windows 10 的虚拟机能自动匹配上 test 安全配置。

4.2.2 调整优先级

匹配规则时按照优先规则列表的顺序从上向下依次匹配，用户可以调整规则的优先级来达到期望的匹配结果。

选择需要调整优先级的匹配规则，单击“调整优先级 > 置顶/上移/下移/置底”即可。

例：

配置匹配规则，匹配条件为虚拟机名称包含“windows 10”的虚拟机，为其应用名称为“test”的安全配置。

因为匹配规则“rule”在“windows 规则”上面，根据从上至下的匹配顺序，虚拟机 Windows 10(64bit-1)(1)会优先匹配“rule1”，应用其指定的“test”安全配置。

如果调整“rule1”匹配规则，将其置于“windows 规则”的下面，则虚拟机 Windows 10(64bit-1)

(1)会优先匹配“Windows 规则”，应用其指定的“Windows 安全配置”。

匹配条件中的名称都是以关键字形式进行匹配，只要对应的名称中包含匹配条件中的关键字即认为匹配成功。

4.2.3 搜索匹配规则

可以根据匹配规则的名称/描述/保护的机器来搜索匹配规则，支持模糊搜索。

4.2.4 复制、删除匹配规则

在匹配规则列表中选择需要复制或删除的匹配规则，单击“复制/删除”即可。

意见反馈

文档内容是否对您有帮助？

如您有其他疑问，您也可以通过在线客服来与我们联系探讨在线客服