2022信安世紀(jì)云密碼服務(wù)平臺用戶手冊

關(guān)于信安世紀(jì)云密碼服務(wù)平臺用戶手冊第一章CCypher產(chǎn)品介紹章信安世紀(jì)CCypherCloudCipherServicePlatformCCSP）VirtualCypherFunction,VCF（VirtualNetworkFunctionVNFCCypher系列平臺為金融、政府、企業(yè)、管理服務(wù)提供商（ManagedServiceProvider，MSP）和云服務(wù)提供商（CloudServiceProvider，CSP）提供向密碼功能虛擬化（CipherFunctionsVirtualization，CFV）及網(wǎng)絡(luò)功能虛擬化（NetworkFunctionsVirtualization，NFV）無縫遷移的解決方案。CCypher設(shè)備提供了一個開放的平臺，不僅支持信安世紀(jì)虛擬化的全系列密碼應(yīng)Next-generationFirewallNGFWIntrusionDetectionSystem，IDS）、入侵防護系統(tǒng)（IntrusionProtectionSystem，IPS）、分布式拒絕服務(wù)（DistributedDenialofService，DDoS）防護和Web應(yīng)用防火墻（WebApplicationFirewall，WAF）。1.1概述CCypher密碼服務(wù)平臺為客戶提供如下價值：交付云和虛擬機的敏捷性CCypher設(shè)備為密碼應(yīng)用安全產(chǎn)品提供了私有云虛擬化基礎(chǔ)設(shè)施的靈活性，例如靈活的規(guī)格、功能以及編排。CCypher設(shè)備支持不同的虛擬機規(guī)格混合部署；信安世紀(jì)eCloudRESTfulAPI接口提供了擴展接口，方便了云管理、編排。應(yīng)用隔離CCypher設(shè)備的虛擬化架構(gòu)可以將設(shè)備上的多種應(yīng)用使用虛擬機的方式進行資源隔離，防止在個別應(yīng)用在發(fā)生系統(tǒng)資源調(diào)度問題的時候影響其它應(yīng)用。第二章系統(tǒng)與網(wǎng)絡(luò)設(shè)置第2章系統(tǒng)與網(wǎng)絡(luò)設(shè)置2.1概述本節(jié)將介紹CCypher驟。2.1.1連接CCypher設(shè)備用戶可以通過如下方式連接CCypher設(shè)備：控制臺SSH（SecureShell）WebUI注意：在連接CCypher設(shè)備前，用戶已經(jīng)通過按設(shè)備前面板上的電源按鈕啟動CCypher設(shè)備?？刂婆_連接如果選擇使用控制臺連接，用戶需要將Console線連接到CCypher設(shè)備的Console接口上，然后將控制臺終端設(shè)置如下：表控制臺設(shè)置設(shè)置項終端仿真類型波特率取值VT10096008數(shù)據(jù)位奇偶校驗停止位無1流控?zé)o建立控制臺連接后，用戶將進入CCypherCLI的User模式。執(zhí)行“enable”命令并按Enter鍵（如果Enable模式的密碼從未發(fā)生變化）進入CCypherCLI的Enable模式。然后執(zhí)行“configterminal”命令進入CCypherCLI的Config模式。當(dāng)看到CLI提示符“AN#(config)”，用戶可以開始配置流程。如果用戶希望通過SSH或WebUI方式遠(yuǎn)程訪問CCypher制臺連接完成系統(tǒng)的初始化配置。第二章系統(tǒng)與網(wǎng)絡(luò)設(shè)置SSH連接在完成系統(tǒng)初始化配置后，用戶可以通過SSH遠(yuǎn)程連接CCypher設(shè)備。注意：Windows、MacOSUnixSSH軟件，可以從網(wǎng)站獲得。要建立SSH1.在工作站上運行SSH程序，并執(zhí)行如下命令：>>ssh"admin@"是為CCypher設(shè)備管理接口配置的IP地址。.按提示輸入密碼。>>>ssh"admin@">admin@'spassword:建立SSHCCypherCLI的UserCCypherCLI的Config模式后，可以開始修改配置。關(guān)于如何進入CCypherCLI的Config模式。WebUI連接本節(jié)介紹通過CCypherWebUI與設(shè)備建立連接的方法。WebUI提供直觀、友好的CCypher置效果，大大方便了用戶的使用和操作。CCypherWebUI功能具有以下優(yōu)點：通過快速響應(yīng)來改善用戶體驗；將CCypher設(shè)備的功能和性能最大化；實現(xiàn)更簡便的系統(tǒng)配置和管理；通過HTTPS協(xié)議提供安全接入。注意：WebUI對CCypher設(shè)備進行配置和管理。要與CCypher設(shè)備建立WebUIWeb瀏覽器中打開CCypherWebUI的URL地址。CCypherWebUI的URL地址的格式為：https://<management_IP>:<WebUI_port>management_IP表示為CCypher管理接口配置的IPwebuiport”命令修改WebUI端口。）第二章系統(tǒng)與網(wǎng)絡(luò)設(shè)置2.為CCypher設(shè)備配置默認(rèn)路由，例如：AN(config)#iproutedefault3.啟用CCypherWebUI功能。AN(config)#webuion4.執(zhí)行如下命令保存配置：AN(config)#writememory將會丟失。2.1.4CLI介紹CCypherCLI允許管理員通過控制臺終端和SSH連接使用命令行對CCypher設(shè)備的主要功能進行配置和控制。CLI使用說明CCypher是一種非常直觀易用的方式，允許用戶僅輸入CLI命令的第一個或前幾個字母，CCypher設(shè)備就能補齊CLI命令。下表列舉了CCypherCLI支持的快捷方式。表快捷方式列表CLI快捷方式Ctrl+aCtrl+eCtrl+fCtrl+bEsc+f操作將光標(biāo)移動到行的開頭。將光標(biāo)移動到行的結(jié)尾。將光標(biāo)向前移動一個字符。將光標(biāo)向后移動一個字符。將光標(biāo)向前移動一個單詞。將光標(biāo)向后移動一個單詞。刪除光標(biāo)對應(yīng)的字符。Esc+bCtrl+dCtrl+kCtrl+u刪除光標(biāo)處到行尾的內(nèi)容。刪除輸入的行。CCypher設(shè)備的CLI命令行遵守下表中的格式約定：表命令行格式約定格式Bold約定命令行主體采用加粗字體表示。Italic命令行參數(shù)采用斜體表示。<[>]表示用“<>”括起來的參數(shù)在配置時是必選的。表示用“[]”括起來的參數(shù)在配置時是可選的。表示從兩個或多個選項中至少選取一個。{x|y|…}第二章系統(tǒng)與網(wǎng)絡(luò)設(shè)置123.選擇平臺>系統(tǒng)>通用設(shè)置>NTP設(shè)置，然后在NTP服務(wù)器表格點擊+加NTP服務(wù)器。圖NTP設(shè)置.在彈出的添加NTPIP地址類型并設(shè)置IPNTP服務(wù)器版本參數(shù)，然后點擊添加按鈕。圖添加NTP服務(wù)器.在NTP區(qū)域，將NTPON，然后點擊保存修改按鈕。圖啟用NTP在NTPNTPCCypher設(shè)備與NTP服務(wù)器的時間分差和關(guān)聯(lián)。第二章系統(tǒng)與網(wǎng)絡(luò)設(shè)置圖NTP統(tǒng)計CLI配置示例1.配置NTP服務(wù)器。AN(config)#ntpserver002.啟用NTP功能。AN(config)#ntpon用戶可以執(zhí)行“showntp”命令查看當(dāng)前的配置，以及CCypher設(shè)備與NTP服務(wù)器的時間分差和關(guān)聯(lián)。AN#showntpntponntpserversynchronisedserver()atstratum3timecorrecttowithin7987mspollingserverevery64sremote=============================================================================62u1066455.234-2.290refidsttwhenreachdelayoffsetjitter=*2.2.2CCypher主機名設(shè)備的默認(rèn)主機名為AN。系統(tǒng)允許用戶修改設(shè)備的主機名。WebUI配置示例選擇平臺>系統(tǒng)>通用設(shè)置>主機設(shè)置，指定主機名稱參數(shù)，然后點擊保存修改按鈕。圖設(shè)置主機名CLI配置示例執(zhí)行“hostname”CCypher設(shè)備的主機名。AN(config)#hostnamemy_ccyphermy_ccypher(config)#第二章系統(tǒng)與網(wǎng)絡(luò)設(shè)置圖2–11查看流量接口的詳細(xì)信息CLI配置示例showinterface信息。AN#showinterfacemgmt:flags=4163<UP,BROADCAST,RUNNING,MULTICAST>1500inet6netmaskbroadcast55inet6fe80::cc3:ffff:fec3:bc40prefixlen64scopeid0x20<link>etherac:1f:6b:81:8f:96txqueuelen(Ethernet)RXpacketsbytes17990391(17.1MiB)RXerrors0dropped249overruns0frame0TXpacketsbytes88784534(84.6MiB)TXerrors0dropped0overruns0carrier0collisions0port1:flags=4099<UP,BROADCAST,MULTICAST>1500ether00:0c:bd:0a:2b:99txqueuelen(Ethernet)RXpackets0bytes0(0.0B)RXerrors0dropped0overruns00TXpackets0bytes0(0.0B)TXerrors0dropped0overruns0carrier0collisions0Speed:Unknown!Duplex:Unknown!Auto-negotiation:055lostcarrier,0WDTresetminuteinputrate0bits/sec,0packets/secminuteoutputrate0bits/sec,0packets/secIntel82599ESSFI/SFP+port2:flags=4099<UP,BROADCAST,MULTICAST>1500ether00:0c:bd:0a:2b:98txqueuelen(Ethernet)RXpackets0bytes0(0.0B)RXerrors0dropped0overruns00TXpackets0bytes0(0.0B)TXerrors0dropped0overruns0carrier0collisions0Speed:Unknown!Duplex:Unknown!Auto-negotiation:055lostcarrier,0WDTresetminuteinputrate0bits/sec,0packets/secminuteoutputrate0bits/sec,0packets/secIntel82599ESSFI/SFP+port3:flags=4099<UP,BROADCAST,MULTICAST>1500ether00:0c:bd:0a:2b:97txqueuelen(Ethernet)RXpackets0bytes0(0.0B)RXerrors0dropped0overruns00TXpackets0bytes0(0.0B)TXerrors0dropped0overruns0carrier0collisions0第二章系統(tǒng)與網(wǎng)絡(luò)設(shè)置Speed:Unknown!Duplex:Unknown!Auto-negotiation:055lostcarrier,0WDTresetminuteinputrate0bits/sec,0packets/secminuteoutputrate0bits/sec,0packets/secIntel82599ESSFI/SFP+port4:flags=4099<UP,BROADCAST,MULTICAST>1500ether00:0c:bd:0a:2b:96txqueuelen(Ethernet)RXpackets0bytes0(0.0B)RXerrors0dropped0overruns00TXpackets0bytes0(0.0B)TXerrors0dropped0overruns0carrier0collisions0Speed:Unknown!Duplex:Unknown!Auto-negotiation:055lostcarrier,0WDTresetminuteinputrate0bits/sec,0packets/secminuteoutputrate0bits/sec,0packets/secIntel82599ESSFI/SFP+port5:flags=4099<UP,BROADCAST,MULTICAST>1500ether00:0c:bd:08:48:33txqueuelen(Ethernet)RXpackets0bytes0(0.0B)RXerrors0dropped0overruns00TXpackets0bytes0(0.0B)TXerrors0dropped0overruns0carrier0collisions0Speed:Unknown!Duplex:Unknown!Auto-negotiation:055lostcarrier,0WDTresetminuteinputrate0bits/sec,0packets/secminuteoutputrate0bits/sec,0packets/secIntel82599ESSFI/SFP+port6:flags=4099<UP,BROADCAST,MULTICAST>1500ether00:0c:bd:08:48:32txqueuelen(Ethernet)RXpackets0bytes0(0.0B)RXerrors0dropped0overruns00TXpackets0bytes0(0.0B)TXerrors0dropped0overruns0carrier0collisions0Speed:Unknown!Duplex:Unknown!Auto-negotiation:055lostcarrier,0WDTresetminuteinputrate0bits/sec,0packets/secminuteoutputrate0bits/sec,0packets/secIntel82599ESSFI/SFP+port7:flags=4099<UP,BROADCAST,MULTICAST>1500ether00:0c:bd:08:48:31txqueuelen(Ethernet)第二章系統(tǒng)與網(wǎng)絡(luò)設(shè)置CCypher(config)#vaportvnsae02port12CCypher(config)#vaportvnsae02port22要允許“vnsae01”和“vnsae02”同時支持動態(tài)聚合，執(zhí)行如下步驟：.在CCypher設(shè)備上，將流量接口添加到CCypher級別的聚合接口。1WebUI配置示例配置獨占流量接口的單個虛擬機支持動態(tài)聚合小節(jié)添加要使用的流量接口到聚合接口。CLI配置示例CCypher(config)#bondinterfacebond1port1CCypher(config)#bondinterfacebond1port22.在“vnsae01”和“vnsae02”中每臺虛擬機上，添加從流量接口VF映射成的系統(tǒng)接口到VA級別的聚合接口，例如：vnsae01(config)#bondinterfacebond1port21vnsae01(config)#bondinterfacebond1port31vnsae02(config)#bondinterfacebond1port21vnsae02(config)#bondinterfacebond1port31注意：為了避免無法預(yù)知的錯誤，除了用于靜態(tài)或者動態(tài)聚合的VFVF。.8.1概述CCypherMACIP地址實現(xiàn)一個邏輯網(wǎng)絡(luò)內(nèi)的以太網(wǎng)網(wǎng)段之間的流量轉(zhuǎn)發(fā)。在CCypher設(shè)備上，虛擬交換機主要提供以下用途：第二章系統(tǒng)與網(wǎng)絡(luò)設(shè)置DHCP服務(wù)器當(dāng)DHCP服務(wù)器功能啟用后，CCypher設(shè)備將作為DHCP服務(wù)器，從DHCPIP地址范圍中為虛擬機的管理接口動態(tài)分配IP地址。該功能默認(rèn)配置為禁用。在CCypher設(shè)備上配置了DHCPDHCP客戶端功能后，CCypher設(shè)備在虛擬機啟動時從DHCPIP地址范圍中為虛擬機的管理接口分配一個IP地址。注意：CCypher設(shè)備僅能作為DHCP服務(wù)器。作為一個DHCP服務(wù)器，CCypher設(shè)備僅對該設(shè)備上的虛擬機的DHCP請求返回響應(yīng)。WebUI配置示例1.選擇平臺>網(wǎng)絡(luò)>DHCPDHCP服務(wù)器標(biāo)簽頁的DHCPIP地址范圍區(qū)域，指定參數(shù)開始IPIP鈕。圖2–42設(shè)置DHCPIP地址范圍2.在DHCP服務(wù)器監(jiān)聽IP地址區(qū)域中，指定參數(shù)IP地址和子網(wǎng)掩碼，然后點擊保存修改按鈕。第二章系統(tǒng)與網(wǎng)絡(luò)設(shè)置DHCP中繼當(dāng)DHCP中繼功能啟用后，CCypher設(shè)備將會成為一臺DHCP中繼代理并將客戶端的DHCP請求轉(zhuǎn)發(fā)至外部DHCP服務(wù)器。該功能默認(rèn)為禁用。所配置的DHCP服務(wù)器不能是一臺DHCPDHCP3個DHCP服務(wù)器IPDHCP服務(wù)器IP時，DHCP中繼代理會將客戶端DHCP請求轉(zhuǎn)發(fā)給所有已配置的DHCP服務(wù)器IP，但只有第一個返回的DHCP響應(yīng)才會用于回復(fù)DHCP請求。WebUI配置示例1.選擇平臺>網(wǎng)絡(luò)>DHCPDHCP中繼標(biāo)簽頁的DHCP中繼監(jiān)聽IP地址區(qū)域，指定IP地址和子網(wǎng)掩碼，然后點擊保存修改按鈕。圖2–46設(shè)置DHCP中繼監(jiān)聽IP2.在DHCP服務(wù)器IP+DHCP中繼功能添加DHCP服務(wù)器窗口，指定DHCP服務(wù)器IP地址，然后點擊確認(rèn)按鈕。圖2–47為DHCP中繼功能添加DHCP服務(wù)器IP3.在DHCP中繼區(qū)域，將DHCP中繼滑塊置為啟用，然后點擊保存修改按鈕。第二章系統(tǒng)與網(wǎng)絡(luò)設(shè)置圖2–48啟用DHCP中繼功能CLI配置示例1.為DHCP中繼功能配置一個DHCP服務(wù)器IP（DHCP中繼代理用于轉(zhuǎn)發(fā)客戶端DHCP請求的外部DHCP服務(wù)器的IP地址）。AN(config)#dhcprelayserverip02.配置DHCP中繼監(jiān)聽IP（DHCP中繼代理監(jiān)聽的IP地址）。AN(config)#dhcprelaylistenip923.啟用DHCP中繼功能。AN(config)#dhcprelayon第三章虛擬機管理通過CCypher命令建立串口控制臺連接執(zhí)行以下命令來和虛擬機建立串口控制臺連接：AN(config)#vaconsoleVA1輸入并執(zhí)行Ctrl+]可切換至CCypher的CLI。建立VNC連接配置示例（使用WebUI內(nèi)嵌的VNC客戶端）12.如果虛擬機尚未運行，請先啟動虛擬機。.選擇虛擬機管理虛擬機，點擊虛擬機名稱進入虛擬機詳情頁面，然后點擊VNC控制臺按鈕。VNC客戶端窗口將自動彈出，如下圖：圖3–12VNC客戶端窗口第三章虛擬機管理WebUI配置示例要手動將虛擬機的管理接口IP地址上報給CCypher設(shè)備，請執(zhí)行以下步驟：選擇虛擬機管理虛擬機，點擊虛擬機名稱進入虛擬機詳情頁面。在概述標(biāo)簽頁的管理接口IP窗口，點擊手動配置圖標(biāo)。在彈出的手動為虛擬機配置管理IP地址窗口中，輸入之前在虛擬機中配置的管理接口IP地址，在點擊確認(rèn)按鈕。圖3–15將虛擬機管理接口IP上報給CCypher設(shè)備要手動將虛擬機的管理接口IP地址上報給CCypher設(shè)備。3.3.7CCypher監(jiān)控虛擬機狀態(tài)在監(jiān)控虛擬機狀態(tài)之前請確保已滿足以下前提條件：用戶已經(jīng)將虛擬機的管理IP地址上報給CCypher設(shè)備。用戶已經(jīng)為虛擬機啟用了SNMP功能。如果要監(jiān)控虛擬機的狀態(tài)信息，請選擇虛擬機管理虛擬機，點擊虛擬機名稱進入虛擬機詳情頁面。在概述標(biāo)簽頁，用戶可以監(jiān)控虛擬機的狀態(tài)信息，如CPU、內(nèi)存、硬盤和網(wǎng)絡(luò)吞吐等。第五章高可用性（）第5章高可用性(HA)5系統(tǒng)支持CCypher級別和VA級別的高可用性（HA）。CCypher級別的HA允許兩個CCypher設(shè)備以主/備的模式運行。主/備之間通過down當(dāng)主再次up時，會搶占回來自己主地位。另外，CCypher級別的HA也提供HA告警功能，當(dāng)主/備機up或者down時，允許系統(tǒng)給管理員發(fā)送告警郵件。VA級別的HA允許在兩個（CCypher級別的HA擬機以主/主或主/備模式運行。55.2.1CCypherHA部署CCypher級別的HA時，需要進行如下操作：1.在兩個CCypher設(shè)備上定義相同的虛擬集群。2.在個兩個CCypher設(shè)備各定義一個CCypher設(shè)備作為HA單元。3.啟用兩個CCypher設(shè)備上的HA功能。第五章高可用性（）5.3.3配置步驟WebUI配置示例1.選擇高可用性>HA配置，點擊+按鈕來添加HA節(jié)點：7和8。在CCypher2上需要完成相同的配置。圖HA節(jié)點2.在彈出的添加HA節(jié)點窗口中，指定相應(yīng)參數(shù)并點擊添加HA節(jié)點按鈕。圖添加HA節(jié)點3.配置HA告警功能時需要配置發(fā)件方和收件方的郵箱地址。a.選擇高可用性告警郵箱，點擊+按鈕來添加接收HA告警郵件的郵箱地址。在彈出的添加HA告警郵箱窗口中，指定告警郵箱并點擊添加HA告警郵箱按鈕。在CCypher2上需要完成相同的配置。圖設(shè)置收件郵箱b.關(guān)于設(shè)置用于發(fā)送告警郵件的系統(tǒng)郵箱，請參見6.2.4系統(tǒng)郵件。在CCypher2上需要完成相同的配置。4.選擇高可用性ID和虛擬機群IP（在CLI中稱為KeepaliveIP在CCypher2上需要完成相同的配置。第六章系統(tǒng)章系統(tǒng)6.1用戶管理系統(tǒng)允許創(chuàng)建新的管理員賬戶，并為其分配Enable或Config訪問權(quán)限。具有Enable權(quán)限的管理員可以執(zhí)行Enable模式下的命令，但不能訪問Config模式。具有Config權(quán)限的管理員可以訪問Config模式，并執(zhí)行Config模式下的所有命令。WebUI配置示例選擇系統(tǒng)+點擊添加按鈕。圖創(chuàng)建管理員賬戶密碼。CLI配置示例要創(chuàng)建一個管理員賬戶，執(zhí)行如下命令：AN(config)#useradmin1password1config要修改管理員賬戶的密碼，執(zhí)行如下命令：AN(config)#useradmin1password2config第六章系統(tǒng)圖6–22從本地主機更新系統(tǒng)圖6–23從HTTP或FTPURL更新系統(tǒng).系統(tǒng)重啟和關(guān)機小節(jié)手動重啟系統(tǒng)使得更新生效。.>系統(tǒng)信息查看升級是否成功。23CLI配置示例1.建立控制臺或SSH連接并使用命令“systemupdate”從軟件包的或FTPURL升級系統(tǒng)。該命令執(zhí)行時，系統(tǒng)將從指定的HTTP或FTPURL導(dǎo)入并安裝軟件包。新的軟件版本將在系統(tǒng)重啟后生效。你可以選擇讓系統(tǒng)自動重啟使新軟件版本立即生效（“immediate”選項）或下一次系統(tǒng)重啟時生效（“deferred”選項）。例如，通過HTTPURL使用命令升級系統(tǒng)，并讓新軟件版本立即生效。第六章系統(tǒng)2.（有條件地）如果選擇了“deferred”選項，使用命令“systemreboot”手動重啟系統(tǒng)使得升級在合適的時間生效。新軟件版本生效后，執(zhí)行命令“showversion”驗證升級是否成功。6.2.3系統(tǒng)重啟和關(guān)機系統(tǒng)重啟WebUI配置示例要重啟系統(tǒng)，選擇系統(tǒng)>系統(tǒng)管理>系統(tǒng)關(guān)機和重啟，并點擊立即重啟按鈕。圖6–24重啟系統(tǒng)CLI配置示例要重啟系統(tǒng)，執(zhí)行如下命令：AN(config)#systemreboot注意：執(zhí)行命令時，系統(tǒng)將記錄虛擬機的狀態(tài)。系統(tǒng)重啟后，系統(tǒng)將虛擬機恢復(fù)到之前的狀態(tài)。因而，如果一個虛擬機在系統(tǒng)重啟前為運行狀態(tài)，系統(tǒng)重啟后仍為運行狀態(tài)。系統(tǒng)關(guān)機CCypher設(shè)備提供兩種關(guān)機方式：關(guān)閉電源（poweroff）：表示系統(tǒng)將被停止，且電源將被關(guān)閉，為默認(rèn)值。暫停（halt）：表示系統(tǒng)將被停止，但是電源不會被關(guān)閉。WebUI配置示例>系統(tǒng)管理>即關(guān)機按鈕。第六章系統(tǒng)圖6–25關(guān)閉系統(tǒng)CLI配置示例要關(guān)閉系統(tǒng)，執(zhí)行以下任意一條命令：AN(config)#systemshutdownpoweroffAN(config)#systemshutdownhalt6.2.4系統(tǒng)郵件對于某些事件（例如HA警告），系統(tǒng)將給管理員發(fā)送警告郵件。系統(tǒng)郵件功能郵件時使用配置的地址作為發(fā)送方。WebUI配置示例>系統(tǒng)管理>件參數(shù)并點擊保存修改按鈕。圖6–26設(shè)置發(fā)送方的郵件地址CLI配置示例要設(shè)置系統(tǒng)郵件的發(fā)送方郵件地址，執(zhí)行如下命令：AN(config)#systemmailfrom"ccypher@"6.2.5系統(tǒng)狀態(tài)監(jiān)控CPU用的平臺資源和系統(tǒng)信息。第六章系統(tǒng)要將運行配置保存為啟動配置，選擇系統(tǒng)配置管理>運行配置運行配置，在運行配置區(qū)域點擊保存按鈕。圖6–29保存運行配置為啟動配置CLI配置示例要將運行配置保存為啟動配置，執(zhí)行如下命令：AN(config)#writememory6.3.2備份和恢復(fù)運行配置管理員可以將運行配置備份到系統(tǒng)磁盤的配置備份文件中并從配置備份文件中恢復(fù)運行配置。WebUI配置示例>配置管理備份和加載配置備份配置，在備份配置到系統(tǒng)磁盤區(qū)域點擊+按鈕，指定保存的文件參數(shù)，并單擊備份按鈕。圖6–30備份運行配置到系統(tǒng)磁盤配置管理>備份和加載配置>加載配置，指定配置類型，并單擊加載按鈕。圖6–31從系統(tǒng)磁盤恢復(fù)運行配置CLI配置示例要將運行配置備份到系統(tǒng)磁盤的備份配置文件，例如“config_20180604”，執(zhí)行如下命令：AN(config)#writefileconfig_20180604第六章系統(tǒng)要從保存在遠(yuǎn)端TFTP主機的備份配置文件上恢復(fù)所有的配置，執(zhí)行如下命令：AN(config)#configallscp15testconfig_20160608password16.3.4恢復(fù)最近保存的配置用戶可以通過恢復(fù)保存的配置，來取消自上次保存操作后所做的配置修改。要恢復(fù)最近保存的配置，選擇系統(tǒng)配置管理運行配置運行配置，，點擊加載按鈕，選擇從保存的文件加載配置，指定相關(guān)的參數(shù)并單擊立即加載按鈕。CLI配置示例要恢復(fù)最近保存的配置，執(zhí)行如下命令：AN(config)#configmemory6.3.5清除配置系統(tǒng)提供如下三種配置清除選項：Entire：清除CCypher設(shè)備上的全部配置。Primary：清除CCypher設(shè)備上的主要網(wǎng)絡(luò)配置。Secondary：清除CCypher設(shè)備上除主要網(wǎng)絡(luò)配置之外的所有配置。WebUI配置示例要清除CCypher設(shè)備上的配置，選擇平臺系統(tǒng)>配置管理清除配置，將清除配置選項參數(shù)設(shè)置allprimary或secondary，然后點擊清除按鈕。圖6–36清除配置CLI配置示例1.要清除CCypher設(shè)備上的全部配置，執(zhí)行“clearconfigallAN(config)#clearconfigall2.要清除CCypher設(shè)備上的主要網(wǎng)絡(luò)配置，執(zhí)行“clearconfigprimary”命令。AN(config)#clearconfigprimary第六章系統(tǒng)3.要清除CCypher設(shè)備上除主要網(wǎng)絡(luò)配置之外的所有配置，執(zhí)行“clearconfigsecondaryAN(config)#clearconfigsecondary66.4.1WebUI接入WebUI允許管理員通過基于Web的圖形用戶界面連接到CCypher設(shè)備。WebUI默認(rèn)是禁用的。使用前，請先啟用。WebUI接入通過使用HTTPS協(xié)議保證安全。要與CCypher設(shè)備建立WebUI連接，需要在Web瀏覽器中打開CCypherWebUI。CCypherWebUI的URL格式為“https://<management_IP>:<WebUI_port>”。WebUI配置示例要修改WebUI>系統(tǒng)訪問控制>WebUIWebUI端口并點擊保存修改按鈕。圖6–37修改WebUI端口號6.4.2XML-RPC接入XML遠(yuǎn)程過程調(diào)用協(xié)議（RemoteProcedureCall，RPC）功能通過給CCypher設(shè)備發(fā)送基于HTTPCCypher就能傳輸，極大簡化了配置過程。管理員可以使用管理接口IP（僅支持IPv4）通過XML-RPC訪問CCypher設(shè)備。如下圖所示，客戶端發(fā)送了一個HTTPPOST請求到CCypher設(shè)備，XML-RPC信息相當(dāng)于這個HTTP請求的主體部分，包含了需要運行的命令和參數(shù)。CCypher設(shè)備對XML-RPCXML代碼的形式返回給客戶端。第六章系統(tǒng)圖6–40配置RESTfulAPI設(shè)置2.根據(jù)6.1用戶管理小節(jié)創(chuàng)建一個具有Config訪問權(quán)限的管理員賬戶。CLI配置示例1.在CCypher設(shè)備上通過執(zhí)行命令“restapion[protocol][port]”啟用RESTfulAPIWeb服務(wù)。例如：AN(config)#restapionhttps9997完成上述配置后，RESTfulAPIWeb服務(wù)已通過HTTPS協(xié)議和端口9997啟用。2.通過執(zhí)行命令“user<user_name><password>config”創(chuàng)建一個具有Config訪問權(quán)限的管理員賬戶。例如：AN(config)#userrestpasswordconfig6.4.4Enable模式設(shè)置系統(tǒng)允許管理員設(shè)置或修改訪問Enable模式的密碼。WebUI配置示例選擇系統(tǒng)>系統(tǒng)訪問控制>Enable模式設(shè)置，指定相關(guān)的參數(shù)并點擊保存修改按鈕。圖6–41設(shè)置訪問Enable模式的密碼CLI配置示例執(zhí)行如下命令設(shè)置或修改訪問Enable模式的密碼：第六章系統(tǒng)AN(config)#passwdenable336.4.5Config模式設(shè)置系統(tǒng)允許管理員在其他管理員已處于Config模式時強制進入Config模式并設(shè)置系統(tǒng)加載配置時命令執(zhí)行的超時時間。WebUI配置示例當(dāng)其他管理員已經(jīng)處于Config>系統(tǒng)訪問控制>Config模式設(shè)ConfigConfig模式超時時間設(shè)置系統(tǒng)加載配置時命令執(zhí)行的超時時間，并點擊保存修改按鈕。圖6–42配置Config模式的設(shè)置CLI配置示例當(dāng)其他管理員已經(jīng)處于Config模式時，執(zhí)行如下命令強制進入Config模式。AN(config)#configterminalforce執(zhí)行如下命令設(shè)置系統(tǒng)加載配置時命令執(zhí)行的超時時間。AN(config)#systemcommandtimeout200第七章管理工具第7章管理工具7.1日志系統(tǒng)支持的日志功能可以將系統(tǒng)事件記錄為符合Syslog機制的日志消息。這些統(tǒng)故障狀態(tài)并進行故障排除。默認(rèn)情況下，該功能是禁用的。日志功能啟用后，系統(tǒng)將發(fā)送生成的日志消息到系統(tǒng)日志緩存和遠(yuǎn)端Syslog主機。7.1.1日志級別日志功能支持八種日志級別，包括緊急（emergency）、報警（alert）、關(guān)鍵（criticalerrorwarningnoticeinfo）和測試（debug）。其中，緊急（emergency）是最高級別，測試（debug）是最info級別的系統(tǒng)日志。7.1.2日志模塊日志模塊指系統(tǒng)產(chǎn)生日志消息的指定元素。日志功能支持local1到local6模塊。默認(rèn)的日志模塊為local1。7.1.3系統(tǒng)日志緩存目前，系統(tǒng)日志緩存可以儲存最多10MB的系統(tǒng)日志消息。你可以查看儲存在系統(tǒng)日志緩存中的最近的日志消息，日志消息按時間從近到遠(yuǎn)排列。7.1.4測試日志系統(tǒng)可以產(chǎn)生一條級別為緊急（emergency）的測試日志消息來測試日志功能是否正常。7.1.5遠(yuǎn)程Syslog主機遠(yuǎn)程Syslog主機是指基于Syslog配置6個IPv4或IPv6遠(yuǎn)程Syslog主機。當(dāng)系統(tǒng)產(chǎn)生日志消息時，將發(fā)送到配置的遠(yuǎn)程Syslog主機。如果想讓配置的遠(yuǎn)程Syslog主機接收所有日志消息，可以將該遠(yuǎn)程主機的ID設(shè)置為0。如果想讓配置的遠(yuǎn)程Syslog主機只接收部分日志消息，可以將該遠(yuǎn)程主機的ID設(shè)置為非0并為其配置日志過濾器。最多可以為一個遠(yuǎn)程Syslog主機配置20個日志過濾器。第七章管理工具注意：配置遠(yuǎn)程Syslog主機前，請保證遠(yuǎn)程Syslog主機可以接收日志消息。7.1.6配置示例配置基本日志設(shè)置WebUI配置示例選擇管理工具系統(tǒng)日志>日志滑塊置為ON，并點擊保存修改按鈕。圖基本日志設(shè)置CLI配置示例1.（可選）要設(shè)置日志級別，例如提示（notice），執(zhí)行如下命令：AN(config)#loglevelnotice2.（可選）要設(shè)置日志模塊，例如local2，執(zhí)行如下命令：AN(config)#logfacilitylocal23.要啟用日志功能，執(zhí)行如下命令：AN(config)#logon配置遠(yuǎn)程SyslogWebUI配置示例1.選擇管理工具系統(tǒng)日志>遠(yuǎn)程Syslog主機，點擊+按鈕。第七章管理工具圖遠(yuǎn)程Syslog主機配置2.在彈出的添加遠(yuǎn)程Syslog主機窗口中，指定相關(guān)參數(shù)并點擊創(chuàng)建按鈕。圖添加一個遠(yuǎn)程Syslog主機3.要為主機ID為非0的遠(yuǎn)程Syslog條目，如圖7–2所示，并點擊+按鈕添加日志過濾器。圖日志過濾器配置4.在彈出的添加日志過濾器窗口中，指定參數(shù)過濾器ID和過濾字符串并點擊創(chuàng)建按鈕。圖添加日志過濾器CLI配置示例1.要配置一個遠(yuǎn)程Syslog主機，執(zhí)行如下命令：AN(config)#loghost00514udp1第七章管理工具系統(tǒng)支持SNMP功能。當(dāng)SNMP功能啟用后，SNMP代理將在系統(tǒng)中啟用。信安世紀(jì)提供了一個專有的MIBCCypherObjectIDOID于CCypher設(shè)備支持的SNMPOID的更多信息，請參見附錄IISNMPOID列表。SNMP代理支持的SNMP版本有v1、v2c和v3。目前SNMP代理可以提供如下功能：響應(yīng)來自于NMS的SNMPGET請求給NMS發(fā)送SNMPTrap消息系統(tǒng)支持IPv4NMS和IPv6NMS。7.2.1SNMP請求下圖展示了SNMPGET請求的流程。圖SNMPGET請求將CCypher設(shè)備的MIB文件導(dǎo)入到NMS并正確設(shè)置SNMP參數(shù)后，NMS用戶可以發(fā)起SNMPGET請求獲取MIB文件中的OID值。然后，CCypher設(shè)備上的SNMP代理將通過發(fā)送SNMPGET響應(yīng)返回查詢的OID值。當(dāng)使用SNMPv3時，SNMP代理可以支持基于用戶的安全模型（User-BasedSecurityModel，USMView-BasedAccessControlModel，VACMUSM可以為SNMP消息提供用戶認(rèn)證和私密性；VACM可以提供基于IP的SNMP訪問控制。在使用SNMPv3時可以使用這兩個安全模型。使用USM時，SNMP代理只響應(yīng)來自于使用SNMPv3用戶賬戶的NMS發(fā)送的SNMPGET請求。因而，要使用USM，需要在系統(tǒng)中為NMS創(chuàng)建SNMPv3用戶賬戶。最多可以創(chuàng)建16個SNMPv3用戶賬戶。使用VACM時，只有當(dāng)SNMPGET請求的源IP地址匹配任意一條配置的允許SNMPSNMP代理才會響應(yīng)該SNMPGETVACM要啟用基于IP的SNMP訪問控制功能并配置允許SNMP訪問控制規(guī)則。7.2.2SNMPTrap下圖展示了SNMPTrap的流程。第七章管理工具圖7–15啟用SNMPTrap服務(wù)23.在SNMPTrap主機表格中點擊+按鈕，如圖所示。.在彈出的添加SNMPTrap主機窗口中，指定相關(guān)參數(shù)并點擊創(chuàng)建按鈕。圖7–16配置支持SNMPv1/v2c的SNMPTrap主機圖7–17配置支持SNMPv3的SNMPTrap主機CLI配置示例1.（可選）配置SNMPTrap主機，例如：AN(config)#snmphost03"ryan""14""1234567855"authNopriv第七章管理工具2.（可選）啟用SNMPTrap服務(wù)，例如：AN(config)#snmpenabletraps7.3問題解決系統(tǒng)允許管理員調(diào)試系統(tǒng)并提供了基本的問題解決工具，例如ping和traceroute。7.3.1調(diào)試系統(tǒng)允許管理員通過執(zhí)行命令“debugsnapshotsystem”收集調(diào)試數(shù)據(jù)。該命令將為系統(tǒng)活動生成快照并產(chǎn)生sys_snap.tar.gz.gpg文件。Debug文件可以導(dǎo)出到外部的FTP服務(wù)器或SCP主機。WebUI配置示例選擇管理工具問題解決>動拍快照并點擊指定調(diào)試文件的下載到本地按鈕進行下載。圖7–18生成調(diào)試文件點擊指定調(diào)試文件的導(dǎo)出按鈕將調(diào)試文件導(dǎo)出到外部的FTP服務(wù)器或SCP主機。第七章管理工具圖7–19導(dǎo)出調(diào)試文件到FTP服務(wù)器圖7–20導(dǎo)出調(diào)試文件到SCP主機CLI配置示例要為系統(tǒng)活動拍快照，執(zhí)行如下命令：AN(config)#debugsnapshotsystem要導(dǎo)出調(diào)試文件到外部的FTP服務(wù)器，執(zhí)行如下命令：AN(config)#debugftpadmin0sys_snap要導(dǎo)出調(diào)試文件到外部的SCP主機，執(zhí)行如下命令：AN(config)#debugscp"admin@0:temp"sys_snap7.3.2工具CCypher設(shè)備提供了如下問題解決工具：Ping：通過發(fā)送因特網(wǎng)控制報文協(xié)議（InternetControlMessageProtocol，ICMP）echo請求檢查到指定IPv4網(wǎng)絡(luò)主機的網(wǎng)絡(luò)連通性。Ping6：通過發(fā)送因特網(wǎng)控制報文協(xié)議第六版（InternetControlMessageProtocolVersion6，ICMPv6）echo請求檢查到指定IPv6網(wǎng)絡(luò)主機的網(wǎng)絡(luò)連通性。Traceroute3個報文到該路徑上的每個中間節(jié)點跟蹤到指定IPv4網(wǎng)絡(luò)主機的路徑。Traceroute6：通過發(fā)送3個報文到該路徑上的每個中間節(jié)點跟蹤到指定IPv6網(wǎng)絡(luò)主機的路徑。WebUI配置示例第七章管理工具1.為了檢查到指定IPv4或IPv6網(wǎng)絡(luò)主機的網(wǎng)絡(luò)連通性，選擇管理工具>問題解決工具，在Ping區(qū)域指定相關(guān)參數(shù)并點擊使用Ping按鈕。圖7–21檢查到網(wǎng)絡(luò)主機的網(wǎng)絡(luò)連通性2.為了跟蹤到指定IPv4或IPv6問題解決>工具，在Traceroute區(qū)域指定相關(guān)參數(shù)并點擊使用Traceroute圖7–22跟蹤到指定網(wǎng)絡(luò)主機的路徑CLI配置示例檢查到指定IPv4網(wǎng)絡(luò)主機的網(wǎng)絡(luò)連通性，執(zhí)行如下命令：AN>ping0AN>ping檢查到指定IPv6網(wǎng)絡(luò)主機的網(wǎng)絡(luò)連通性，執(zhí)行如下命令：AN>ping62012::cAN>ping6跟蹤到指定IPv4網(wǎng)絡(luò)主機的路徑，執(zhí)行如下命令：AN>traceroute0AN>traceroute跟蹤到指定IPv6網(wǎng)絡(luò)主機的路徑，執(zhí)行如下命令：AN>traceroute62012::cAN>traceroute6附錄I縮略語附錄I縮略語縮寫全稱中文應(yīng)用交付控制器應(yīng)用程序編程接口云密碼服務(wù)平臺密碼功能虛擬化命令行接口ADCAPICCSPCFVCLICPUCSPCFVDDoSDHCPHAApplicationDeliveryControllerApplicationProgrammingInterfaceCloudCipherServicePlatformCipherFunctionsVirtualizationCommandLineInterfaceCentralProcessingUnitCloudServiceProvider中央處理器云服務(wù)提供商密碼功能虛擬化分布式拒絕服務(wù)動態(tài)主機配置協(xié)議高可用性CCypherFunctionsVirtualizationDistributedDenialofServiceDynamicHostConfigurationProtocolHighAvailabilityHTTPHyperTextTransferProtocolHyperTextTransferProtocoloverSecureSocketLayer超文本傳輸協(xié)議HTTPSICMPICMPv6IDS安全超文本傳輸協(xié)議因特網(wǎng)控制報文協(xié)議因特網(wǎng)控制報文協(xié)議第六版入侵檢測系統(tǒng)InternetControlProtocolInternetControlProtocolVersion6IntrusionDetectionSystemInstituteofElectricalandElectronicsEngineersIEEE美國電氣和電子工程師學(xué)會IPInternetProtocol因特網(wǎng)協(xié)議IPSLANLEDMIBMSPNICNFPNFVNGFWNMSNTPOUIIntrusionProtectionSystemLocalAreaNetwork入侵防護系統(tǒng)局域網(wǎng)LightEmittingDiode發(fā)光二極管顯示器管理信息庫ManagementInformationBaseManagedServiceProviderNetworkInterfaceControllerNetworkFunctionsPlatformNetworkFunctionsVirtualizationNext-generationFirewallNetworkManagementSystemNetworkTimeProtocol管理服務(wù)提供商網(wǎng)絡(luò)適配器網(wǎng)絡(luò)功能平臺網(wǎng)絡(luò)功能虛擬化下一代防火墻網(wǎng)絡(luò)管理系統(tǒng)時間同步協(xié)議機構(gòu)唯一標(biāo)識符OrganizationallyUniqueIdentifierPeripheralComponentInterconnectExpressPCIe高速外設(shè)組件互連PFPhysicalFunction物理功能RPCSCPRemoteProcedureCall遠(yuǎn)程過程調(diào)用安全拷貝SecureCopy2022InfosecTechnologiesCo.,版權(quán)所有附錄I縮略語縮寫全稱SimpleNetworkManagementProtocolSwitchPortAnalyzer中文簡單網(wǎng)絡(luò)管理協(xié)議交換機端口分析器單根I/O虛擬化安全外殼協(xié)議生成樹協(xié)議SNMPSPANSR-IOVSSHSingleRootVirtualizationSecureShellSTPSpanningTreeProtocolTrivialFileTransferProtocolTotalCostofOwnershipTimeLiveTFTPTCO簡單文件傳輸協(xié)議總體擁有成本生存時間TTLULUniversalLicensing全局授權(quán)URLUniversalResourceLocatorUser-BasedSecurityVirtualAppliance統(tǒng)一資源定位符基于用戶的安全模型虛擬機USMVAVACMVFView-basedAccessControlModelVirtualFunction基于視圖的訪問控制模型虛擬功能VMVirtualMachine虛擬機VNCVirtualNetworkComputingVirtualNetworkFunctionVirtualCypherFunctionVirtualPrivateNetworkWebApplicationFirewallWebUserInterface虛擬網(wǎng)絡(luò)計算虛擬網(wǎng)絡(luò)功能虛擬密碼功能虛擬專用網(wǎng)絡(luò)Web應(yīng)用防火墻Web用戶界面XML遠(yuǎn)程過程調(diào)用VNFVCFVPNWAFWebUIXML-RPCXMLRemoteProcedure2022InfosecTechnologiesCo.,版權(quán)所有附錄IISMMPOID列表附錄IISNMPOID列表SNMPOID列表...4.1.279..27971.42.2ThecurrentsoftwareversionoftheCCypherappliance.TheoftheCCypherappliance.Thea