统一服务器安全管理系统集成了防恶意软件、进程管控、防火墙、应用控制、入侵检测、DDoS、海量数据可视化分析等多个模块，以确保云服务器的应用及数据安全。防护系统支持linux主机和容器、采用有代理的部署模式，可直接对linux主机和容器内部的文件及网络内容进行安全检测。

管理中心页面登录方式为https://IP:8443 输入用户名密码，首次登录需要修改初始密码，管理员登录到系统后可进入 管理->用户管理 页面自己添加或删除用户。

1 部署主机安全组件

有代理主机和容器的安装部署方式一致，都是部署在主机上；当主机中有容器时，部署时应选择类型为服务器（容器）或server with container。

为方便用户使用，系统支持两种方式部署主机安全组件：

1.1 通过管理中心一键部署

1) 进入 资产管理 ->主机 页面

2) 在页面中点击 新增 按钮，会弹出 新增主机池 对话框，平台选择“非虚拟化平台”

3) 在对话框中输入主机池名称、选择添加方式、输入计算机名、IP地址，点击确定即可。

参数说明：

名称 : 有代理主机将要添加至的主机池名称，手动输入会新建一个以输入的名称命名的主机池、也可以选择管理中心现有的有代理主机池。

添加方式：有代理主机的添加方式分为单台计算机和网段范围内的多台计算机，默认为单台计算机，即一次添加一台有代理主机；如果选择网段范围内的多台计算机，即一次性添加多台有代理主机，如下图所示需要填写起始地址和结束地址。

计算机名：如果填写的是有代理主机的域名，系统会根据域名去添加有代理主机，不需要再输入计算机IP；如果填写的是有代理主机的别名，则需要再输入正确的计算机IP。

计算机IP：有代理主机的IP地址。

4) 添加成功后，主机状态为“未安装安全组件”

5) 选择刚才添加的有代理主机，点击“安装安全组件”按钮

6) 在弹出的对话框中，输入主机用户名、密码（即ssh的用户名和密码），选择许可类型为标准版，点击确定，系统开始在有代理主机上安装安全组件。

7) 安装安全组件过程中的状态变化由未安装安全组件->正在安装->安装成功->连接中断->已连接，整个过程大约需要2分钟。

8) 部署成功后，页面中会显示该主机池/资源池的服务器类型、部署地址，主机池名称、该主机池/资源池下的所有主机、系统版本信息、文件和网络特征库信息及当前的连接状态，如下图所示。

9) 主机注册成功后，管理中心 “资产管理”->“虚拟机/终端”页面能够看到该机器，其实时防护状态正确。

10) 如果安装失败，主机状态会显示为“安装失败”，可点击“安装失败”字样查看失败原因。

2 功能验证

2.1 防恶意软件（服务器）

防恶意软件的功能能够为有代理主机提供恶意软件防护，可以使得每台主机都能得到病毒防护，其功能如下：

每一台主机

可以为主机指定独立的保护策略（安全配置）

提供实时、手动、指定目录和定期扫描功能

恶意软件日志管理

测试方法：通过下载病毒文件至主机上，检查恶意程序是否被隔离。

1) 进入管理中心，进入“资产管理 ”> “虚拟机/终端” 页面，找到测试主机，然后点击安全配置链接，进入“防恶意软件页面”

2) 确认实时防护已经打开

3) 单击”保存”保存配置

4) 进入测试主机，然后下载测试病毒至本地

5) 查看病毒文件是否下载成功

6) 等一两分钟，然后进入管理中心，进入“实时监控”页面，查看“安全事件历史”，可以看到有防恶意软件安全事件：

7) 点击上图中有安全事件的点，可以进入到日志分析界面，点击原始日志图标，可以查看恶意软件防护的原始日志

2.2 防恶意软件（容器）

防恶意软件的功能能够为有代理主机及其中的容器提供恶意软件防护，可以使得每台主机和主机中的所有容器都能得到病毒防护，其功能如下

主机及主机中的每一个容器

可以为主机指定独立的保护策略（安全配置）

提供实时、手动、指定目录和定期扫描功能

恶意软件日志管理

测试方法：通过下载病毒文件至容器中，检查恶意程序是否被隔离。

(1) 进入管理中心，进入“资产管理 ”> “虚拟机/终端” 页面，找到测试主机，然后点击安全配置链接，进入“防恶意软件页面”

(2) 确认实时防护已经打开

(3) 单击”保存”保存配

(4) 进入测试主机，然后下载测试病毒至容器中

(5) 查看病毒文件是否下载成功

(6) 等一两分钟，然后进入管理中心，进入“实时监控”页面，查看“安全事件历史”，可以看到有防恶意软件安全事件：

(1) 点击上图中有安全事件的点，可以进入到日志分析界面，点击原始日志图标，可以查看恶意软件防护的原始日志。如下图所示，容器中的病毒文件隔离成功，日志中记录了容器中病毒文件的路径及对应的容器名称。

注： 对于容器内的病毒，删除操作会清空文件，不会删除文件；隔离操作是隔离并清空文件。

2.3 应用程序控制

防护系统的应用程序控制功能，支持根据应用程序路径和应用程序名制定规则，并预置操作系统应用程序列表。支持白名单和黑名单方式，可针对不同的用户场景灵活配置管控规则。未被允许的应用程序将无法使用，彻底阻止勒索软件或其他恶意软件执行。

测试方法：禁止在主机中运行chmod命令

1) 进入管理中心 安全策略 > 安全配置页面

2) 点击“Linux安全配置，进入“应用程序控制”标签页

3) 开启实时管控功能、允许Linux系统应用程序、配置例外应用程序路径为/usr/bin/chmod，其他应用程序启动时采取动作为阻止

4) 点击保存按钮

1) 在测试主机中运行chmod命令，提示权限不够/Permission denied

2) 等一二分钟，进入管理中心 分析-应用程序控制页面应该能看到进程管控的阻止日志

2.4 完整性监控

防护系统的完整性监控功能，可以通过对文件/目录、注册表等类型进行监控，并对严重程度为高的事件进行告警，从而达到了系统安全防护预警的目的。

测试方法：手动扫描完整性监控文件的增加。

1) 登录管理中心界面，选择安全策略–安全配置-点击或新增Linux安全配置，进入配置界面。

2) 点击系统加固下拉箭头，选择完整性监控，关闭实时扫描、定期扫描，监控等级设置为严格，勾选“编号为30002，监控系统安装的通用软件目录的任何变化(/bin)”这条规则，点击保存。

3) 在管理中心选择资产管理–虚拟机/终端，勾选所要扫描的虚拟机，点击安全操作下拉箭头，点击重新生成完整性基线。

4) 根据30002这条规则，在所测虚拟机上对所监控/bin目录下建立测试文件1。

5) 在管理中心上选择此虚拟机点击安全操作下拉箭头，点击完整性扫描。

6) 扫描完成后可在管理中心完整性监控分析日志看到对应日志：

2.5 漏洞管理

防护系统的漏洞管理功能支持对虚拟机/终端上的漏洞进行扫描，详细展示相关的漏洞名称、漏洞类型、危险程度、CVE编号等。同时基于漏洞扫描信息支持单机或批量推荐IPS规则，进行漏洞的防护处理。

测试方法：手动漏洞扫描

1) 登录管理中心界面，选择资产管理–虚拟机/终端，勾选所要扫描的虚拟机，点击安全操作下拉箭头，点击漏洞扫描。

2) 等待大约10秒，会有弹窗提醒漏洞扫描已开始，请在虚拟机详情中查看扫描详情。

3) 点击虚拟机名称进入虚机概况界面，可以看到扫描状态，上次扫描时间以及扫描结果。

4) 在虚机概况界面点击对应严重等级的漏洞数，可以查看该严重等级的漏洞详情

5) 在虚机概况界面点击漏洞管理最右边的查看日志，可以查看所有漏洞的详情。

2.6 防火墙

防护系统防火墙模块确保服务器在所必需的端口和协议上通信，并阻止其他所有端口和协议，降低对服务器进行未授权访问的风险。

测试方法：禁止主机入站ssh协议。

1) 首先确认主机的ssh进程已启动

2) 进入管理中心 安全策略 > 安全配置页面

3) 点击“Linux安全配置”，进入“防火墙”标签页

4) 点击“新增”按钮，会打开“防火墙规则“对话框

在对话框中输入防火墙规则名称、选择动作为”阻止“、选择方向为”入站“，选择协议为”TCP“、在本地信息中配置端口为22，点击确定按钮。

6) 点击保存按钮，保存安全配置

7) 在其他机器上通过ssh协议访问测试主机，访问失败，提示connection refused

8) 等一两分钟，进入管理中心查看有防火墙规则阻止成功的日志

2.7 失陷检测

防护系统的失陷检测功能能够及时发现网络中的僵尸主机，并进行告警和防护处理，防止这些“定时炸弹”摧毁目标网络。

1) 登录管理中心界面，选择安全策略–安全配置-点击或新增Linux安全配置，进入配置界面。

2) 点击微隔离下拉箭头，选择失陷检测，打开失陷检测开关，失陷处理选择隔离，点击保存。

3) 当有在威胁情报库中的恶意流量攻击虚机时，可以看到虚机名称变成绿色，同时安全配置后面会出现一个自定义配置的标记。

4) 在虚拟机概况界面可以看到失陷状态：已失陷；隔离状态：已隔离。

5) 点击虚机的防火墙页面可以看到自动生成的防火墙规则，阻止恶意流量进一步攻击。

2.8 网络可视化及管理

防护系统网络可视化及管理模块支持识别、拦截一千多种流行的网络协议，用户可以根据需要设置不允许一些跟工作无关的网络协议运行，或者不允许占用太多网络或者其他资源的网络协议。

测试方法：禁止在测试主机中访问购物网站

1) 进入管理中心 安全策略 > 安全配置页面

2) 点击“Linux安全配置”，进入“网络可视化及管理”的“上网行为管理”标签页

3) 在左侧的“选择网络协议”栏中选择“商城/在线购物”，点击”阻止“按钮，点击保存

4) 在测试主机中访问购物网站，访问失败

5) 等一两分钟，管理中心能够看到对应应用程序阻止的日志

2.9 入侵防御

功能描述：操作系统或应用程序不能及时打补丁的虚拟机或者还没有对应的安全补丁，经常会面临病毒等恶意软件的攻击，但大量终端的补丁管理很难做到一步到位，并且新发布的补丁与业务系统的兼容性也需要验证的时间；防护系统的入侵防御模块提供针对这种入侵进行防御功能，避免恶意软件的威胁；

漏洞介绍

ApacheStruts 2.3.5 – 2.3.31版本及2.5 – 2.5.10版本存在远程代码执行漏洞（CNNVD-201703-152 ，CVE-2017-5638）。该漏洞是由于上传功能的异常处理函数没有正确处理用户输入的错误信息。导致远程攻击者可通过发送恶意的数据包，利用该漏洞在受影响服务器上执行任意命令。

环境准备

1. 准备好str045攻击漏洞的war包, str.war

2. 准备好攻击脚本st2.py

被攻击主机：

在被攻击的linux主机中安装jdk和tomcat

将st2.war文件放入tomcat的webapps目录下

启动tomcat

使用浏览器访问http://ip:8080/st2/index.action 其中ip为被攻击的地址，如果出现welcome的字样，表示被攻击主机的漏洞环境部署成功

攻击主机

将攻击脚本st2.py拷贝至攻击主机中

测试方法

1. 在管理中心添加并部署被攻击主机

2. 确认被攻击主机的安全策略的有针对str045漏洞的入侵防御规则

3. 在攻击主机中运行st2.py，并输入相关参数，让攻击主机获取被攻击主机的管理员权限，并执行添加用户的命令， 如下所示，攻击失败，日志显示Connection reset by peer

4. 管理中心能够看到入侵防御日志