配置主机安全服务
功能概述
-
主机安全实例与防护云服务器需处于同一网络中。
-
防护云服务器与主机安全实例进行了关联,并安装了相应的 Agent。
-
主机安全实例在主机安全及管理系统平台进行资产和策略配置。
主机安全服务在满足上述条件下,才能生效。若防护云服务器与主机安全实例不在同一网络中,则两者需绑定至同一 VPC 网络中,对应的云服务器才能使用主机安全服务。本文将描述 VPC 网络中,主机安全服务如何生效使用。
如上图所示,主机安全实例 VM 创建时加入到基础网络,主机安全实例部署后绑定至被防护云服务器所在的 VPC 网络中。用户可参考本章节内容,实现主机安全实例与 VPC 内的云服务器通信且对 VPC 内的云服务器进行安全防护。
前提条件
已在本地下载 Nmap 工具并绑定到与防护主机绑定的 EIP 中。
操作步骤
步骤一:主机安全实例加入 VPC 网络
-
通过 Web 浏览器登录企业云平台的 Console。
-
在顶部菜单栏中选择产品与服务 > 安全服务 > 安全资源池 > 主机安全,默认进入主机安全实例管理页面。
-
点击目标主机安全实例所在行末尾的加入网络,弹出网络选择对话框。
-
用户根据实际情况,选择防护云服务器所在的 VPC 网络后,点击提交,完成操作。
步骤二:配置主机安全实例
-
进入主机安全控制台首页。详细步骤参考登录主机安全控制台。
-
在左侧导航栏中,选择系统管理 > 部署管理,进入部署管理页面后,点击添加终端标签。
-
在添加终端标签页中,点击对应操作系统的下载。
-
登录被防护的云服务器,执行以下操作。
-
执行上述页面中离线安装下提示的安装命令。以本次截图显示的操作系统类型为例,需执行以下命令行。
tar --no-same-permissions --no-same-owner -zxvf linux_agent_setup_2.0.17.7.x64.tar.gz && chmod +x install_edr.sh -
解压安装包并修改权限。
-
将
install_conf中SERVER_IP_PORT的地址改为主机安全实例在 VPC 网络中的 IP 地址,此处以172.20.0.4为例。
-
执行
./install_edr.sh脚本,进行安装。
-
-
返回主机安全控制台首页,在左侧导航栏中,选择资产管理 > 资产概况,可查看被防护云服务器
172.20.0.2的信息,其防护状态为防护中,则表示资产添加成功。
步骤三:通过端口扫描验证主机安全
-
返回主机安全控制台首页,在左侧导航栏中,选择策略管理 > 终端策略,进入策略管理页面。
-
点击右上角加号并选择新增,弹出新增策略对话框,用户选择策略继承并输入策略名称后,点击确定。已有的策略模板
默认模板、业务模板与审计模板均不支持修改。用户选择任一模板继承即可。
-
点击新增策略名称,展示新增策略详情信息。在防护网络页签,打开防端口扫描滑动开关,点击保存。
-
点击新增策略所在行的图标,从弹出的快捷菜单中选择绑定资产。
-
弹出资产绑定对话框,将列表 1 中待绑定资产添加到列表 2,点击确定。
-
在本地使用 Nmap 工具执行以下命令对被保护云服务器进行端口扫描。其中
192.168.8.123为被防护云服务器 IP 地址,需根据实际情况进行修改。nmap -Pn 192.168.8.123
-
返回主机安全控制台首页,在左侧导航栏中,选择日志检索 > 防护日志,查看端口扫描信息。主机安全已开启防护,防护日志会记录扫描结果,如下图所示,处理结果显示
已临时封锁 IP。
-
尝试登录被防护云服务器,如下图所示,无法登录。
-
返回主机安全控制台首页,在左侧导航栏中,选择资产管理 > 资产概述,点击待解除临时封锁 IP 的资产名称,进入资产详情页面。
-
在临时封锁 IP 页签选择被防护云服务器 IP 地址点击删除,解除临时封锁 IP。
-
在本地再次使用 Nmap 工具登录被防护云服务器,可成功登录。
