实例管理

购买实例

租户通过本功能完成对服务实例的创建、维护和管理。

菜单路径

产品与服务 → 安全（云御） → 云主机杀毒 AVS → 服务列表 → 点击购买云主机杀毒

操作步骤

1、 登录浪潮云服务控制台。

2、 点击 产品与服务 → 安全（云御） → 云主机杀毒 AVS → 服务列表，进入实例操作界面。

3、 点击"购买云主机杀毒"，填写基本信息。 如表 1所示。

表 1 属性说明

4、 确认无误后，点击"立即购买"，进入订单确认页， 支付成功后即完成一个云主机杀毒的购买 。

续费

操作步骤

1、 登录浪潮云服务控制台。

2、 点击 产品与服务 → 安全（云御） → 主机杀毒 AVS → 服务列表，进入实例操作界面。

3、 在需要续费的实例的操作栏中，点击"更多"选择"续费"，跳转到续费订单界面。

4、 选择续费的时长，点击"去支付"。

5、 支付成功，完成续费。

管理实例

操作步骤

1、 登录浪潮云服务控制台。

2、 点击 产品与服务 → 安全（云御） → 云主机杀毒 AVS → 服务列表，进入实例操作界面.

3、 管理单个实例：在右侧操作栏中，单击"管理"，即可登录到实例管理界面进行操作。

实例详情

操作步骤

1、 登录浪潮云服务控制台。

2、 点击 产品与服务 → 安全（云御） → 云主机杀毒 AVS → 服务列表，进入实例操作界面。

3、 点击需要查看详情的实例 ID 进入 。

搜索实例

操作步骤

1、 登录浪潮云服务控制台

2、 点击 产品与服务 → 安全（云御） → 云主机杀毒 AVS → 服务列表，进入实例操作界面。

3、 在上方的搜索框中输入要搜索的实例的名称、ID 或内网 IP，点击"搜索"按钮。

产品登录

通过控制台单点登录

具有 admin 权限的云平台用户，可通过实例的单点登录功能登录云主机杀毒系统，登录后创策略，操作步骤如下：

1. 登录浪潮云服务控制台。

2. 点击 产品与服务 → 安全（云御） → 云主机杀毒 → 服务列表，进入实例操作界面。

注：由于政务云环境缺少 DNS 服务器，需要根据提示配置本机 host 文件

管理单个实例：在右侧操作栏中，单击"管理"，即可登录到实例管理界面进行操作。

通过 IP 地址登录

客户在可以访问浪潮云控制台的基础上可以通过云主机杀毒 IP 地址直接登录至主机杀毒管理控制台界面。

https://IP:8443/inspur.jsp 通过登录浪潮云的账户后，可直接单点跳转至云主机杀毒控制台管理页面。

安装客户端

手动下载安装

在政务云场景，租户的云服务器均可通过产品列表中云主机杀毒产品 IP 地址手动下载主机杀毒防护 agent 并进行安装。

登录云服务器，输入以下 URL 进行：

Windows 版云服务器客户端下载地址如下所示（替换 IP 为服务列表中的 IP 地址）：https://IP:8443/download/deploy/ROOT/agent/ics-agent.exe

在管理中心处，输入下载客户端的 IP 地址。

填写主机名，便于标识该主机。

Linux 版云服务器客户端下载地址如下所示（替换 IP 为服务列表中的 IP 地址）：https://IP:8443/download/deploy/ROOT/agent/ics_agent.py

下载后进行客户端安装即可。

客户端推送

租户登录管理控制台后，租户通过资产管理---主机---选择需要安装客户端的主机，点击安装安全插件。

注明：进行客户端推送选择的云服务器必须已经绑定 FIP 或者 EIP，否则因为网络问题无法推送成功。

备注：除以下版本的操作系统外其他操作系统无需重启。

设置安全策略

安全配置

安全配置是防护系统针对每台计算机的所有安全设置的集合，包括防恶意软件，系统加固，防火墙，入侵防御，网络可视化及管理。 用户定义好安全配置后， 可以将它应用到多台计算机。可以定义规则自动匹配，也可以手动为虚拟机指定安全配置。

通过安全策略下的安全配置页面，用户可以：

• 查看现有安全配置的列表，包括安全配置的概况

• 添加、复制和删除安全配置

安全配置编辑

点击安全策略名称，可进行安全策略的编辑。编辑安全配置页面包括 10 个选项卡，分别在每个选项卡内进行相应的设置。

通用设置

名字： 规则名称，支持中文名，是必选项。

描述： 可选项。

适用操作系统：Windows/Linux/所有操作系统。

防恶意软件

a) 实时防护

如果打开实时防护，应用该安全配置的虚拟机将受到实时的防恶意软件防护，虚拟机列表中的实时防护状态会变为。如果关闭实时防护，应用该安全配置的虚拟机不会受到实时的防恶意软件防护，虚拟机列表中的实时防护状态会变为 ，默认是打开状态。

b) 恶意软件处理

如果在虚拟机中检测到病毒，系统提供了以下 4 种方式对病毒进行处理

隔离：将恶意软件移到隔离区，VMware 平台需要手动从安全虚拟机恢复隔离文件

删除：将恶意软件永久删除

修复：尝试修复恶意软件并隔离，VMware 平台暂不支持修复

监控：只记录日志，不对恶意软件采取动作

c) 定期扫描

可以选择定期对虚拟机进行全盘扫描。时间可以是每天，每周或者每月的具体某个时间点，默认是关闭状态。

注：只有虚拟机为开启状态才会进行定期扫描。

例如，配置定期扫描时间为每天 15:00，则如果有虚拟机在 15:00 到 16：00 这段时间内从挂起或关闭状态变成开启状态，虚拟机起来后也会进行定期扫描。

d) 文件白名单

将文件夹或者文件路径加入白名单，安全模块将不对这些文件进行扫描和检测。匹配时采用模糊算法，如果要扫描的文件全路径中包含有白名单中的任何一项，则被算作匹配。 编辑框中每行填入一个白名单路径。

例如："C:\Program Files\"将匹配文件夹及其下面的所有文件和文件夹。

e) 文件名后缀白名单

如果文件名的后缀匹配这个白名单中任何一项，将跳过扫描和检测。 可以配置多个文件后缀，每个文件后缀之间用换行符进行分隔。

f) 仅扫描指定目录设置

如果选中"仅扫描下列目录"复选框，可以把扫描目录限制到指定的目录范围。同时可以把指定目录范围应用到手动全盘扫描，实时扫描和定期扫描中的一项或者多项。

g) 仅扫描包含指定后缀名的文件

如果选中"仅扫描包含下列后缀名的文件"复选框，可以限定只扫描特定文件类型。同时可以把指定文件类型应用到手动全盘扫描，实时扫描和定期扫描中的一项或者多项。

复制、删除安全配置

在安全配置列表中选择需要复制或删除的安全配置，点击复制/删除按钮即可。

匹配规则

匹配规则可根据虚拟机及其所在主机和主机池的特征，自动为虚拟机指定安全配置。

通过安全策略下的匹配规则页面，用户可以：

• 查看现有匹配规则的列表，包括规则的匹配条件

• 添加、复制和删除匹配规则

• 调整匹配规则的优先级

• 搜索匹配规则

编辑匹配规则

在匹配规则页面单击"新增"或选择要更改的规则，能够打开"匹配规则"对话框。

匹配规则编辑过程：

• 指定规则名称和规则的简短描述。

• 指定要应用的安全配置。

• 设定匹配条件，匹配条件至少包括下面的一个条件：

主机池： 虚拟机所在主机池的名称，可以配置多个，多个主机池名称之间用英文的逗号'，'分隔。此条件为单租户模式下使用。

项目：虚拟机所在租户的名称，可以配置多个，多个项目名称之间用英文的逗号'，'分隔。为多租户模式系统管理员视图下使用。多租户模式普通租户视图无法使用项目作为筛选条件。

主机：虚拟机所在主机的名称，可以配置多个，多个主机名称之间用英文的逗号'，'分隔。

虚拟机/终端：虚拟机/终端名称，即资产管理-虚拟机/终端页面 虚拟机列表中显示的虚拟机名，可以配置多个，多个虚拟机名称之间用英文的逗号'，'分隔。

虚拟机/终端操作系统：操作系统目前支持 Windows 和 Linux，由用户创建虚拟机指定。

安全组：openstack 虚拟机或 VMware NSX 环境中虚拟机所属的安全组

分组 : 虚拟机所在的分组名称

通过点击来添加匹配条件，点击来删除匹配条件。最多可添加 7 个匹配条件，且不能是同类型的匹配条件。

多个匹配条件之间是'与'的关系，即要满足所有匹配条件，才算匹配成功。

同一个匹配条件之间的多个值是'或'的关系，只要匹配上其中某个值，即算匹配成功。

例：如下所示 ，只有虚拟机所属的主机名称包含 xenserver-auto；虚拟机操作系统为 windows，且虚拟机名称为 windows 10 的虚拟机能自动匹配上 test 安全配置。

调整优先级

匹配规则时按照优先规则列表的顺序从上向下依次匹配，用户可以调整规则的优先级来达到期望的匹配结果。

选择需要调整优先级的匹配规则，点击 "调整优先级->置顶/上移/下移/置底'即可，例：

配置匹配规则，匹配条件为虚拟机名称包含'windows 10'的虚拟机，为其应用名称为'test'的安全配置。

因为匹配规则'rule'在'windows 规则'上面，根据从上至下的匹配顺序，虚拟机 Windows 10(64bit-1) (1)会优先匹配'rule1'，应用其指定的'test'安全配置

如果调整'rule1'匹配规则，将其置于'windows 规则'的下面，则虚拟机 Windows 10(64bit-1) (1)会优先匹配'Windows 规则'，应用其指定的"Windows 安全配置"

注意：匹配条件中的名称都是以关键字形式进行匹配，只要对应的名称中包含匹配条件中的关键字即认为匹配成功。

虚机安全策略制定

安全策略管理

系统中有两种默认安全配置，即 Linux 安全配置、Windows 安全配置。系统会根据虚拟机的操作系统为其自动分配对应的安全配置。

(1) 指定安全配置

• 在虚拟机列表选中一个或者多个虚拟机 。

• 点击"安全策略 > 指定安全配置"，在弹出页面选择安全配置，然后确认。

• 这些虚拟机将使用指定的安全配置，虚拟机列表的"安全配置"前有一个小图标表示其由手动指定。

(2) 重置安全配置：

手动指定安全配置后，也可以对指定的安全配置进行重置。

• 在虚拟机列表选中一个或者多个虚拟机 。

• 点击"安全策略 >重置安全配置"即可。

(3) 启停安全功能

安全功能只有处于激活状态，功能才会生效。

• 在虚拟机列表中选中一个或多个虚拟机

• 点击"安全策略 > 启停安全功能"，在弹出页面选择要激活的安全功能，保存。

注意：只有被勾选的安全功能才会激活，没有被勾选的安全功能置关闭状态。

• 被启停的安全功能在虚机详情页面中会显示。在资产管理-虚拟机/终端页面点击虚拟机/终端名称进入对应的虚拟机详情页面。

安全操作

在虚拟机页面还能够对虚拟机进行扫描，包括快速扫描和全盘扫描和指定目录扫描

(1) 快速扫描

在虚拟机列表选中一个或者多个虚拟机。

点击"安全操作>快速扫描"，系统会开始对指定的虚拟机进行快速扫描，安全检测状态栏中会显示扫描进度。快速扫描的范围主要是 C 盘中的目录，包括：Program Files、Program Files(x86)、Windows、User（或用户）、Document and Settings。

扫描完成后，会显示扫描结果

(2) 全盘扫描

在虚拟机列表中选择虚拟机

点击"安全操作>全盘扫描"，系统会开始对指定的虚拟机进行全盘扫描，实时检测状态栏中会显示扫描进度。全盘扫描的范围是虚拟机中的所有文件。

如果想要停止扫描，则点击"安全操作>停止扫描"即可。

如果扫描过程发现病毒，则病毒文件会在虚拟机内部进行隔离。

注：安全配置可以控制全盘扫描的目录范围。在安全配置防恶意软件的"扫描设置"可以指定扫描的目录。具体设置请参考"安全配置"帮助页面。

(3) 扫描指定目录

在虚拟机列表中选择虚拟机

点击"安全操作>扫描指定目录"，在弹出窗口中填写需要扫描的目录

系统会开始对选中虚拟机的指定目录进行扫描，实时检测状态栏中会显示扫描进度。

如果想要停止扫描，则点击"安全操作>停止扫描"即可。

(4) 停止扫描

在虚拟机列表中选择虚拟机。

点击"安全操作>停止扫描"，系统会开始对指定的扫描中的虚拟机进行停止扫描，停止扫描后虚拟机扫描状态将显示上次扫描完成的时间。

(5) 隔离失陷主机

在虚拟机列表中选择虚拟机。

点击"安全操作>隔离失陷主机"，系统会开始对指定的虚拟机进行隔离失陷主机操作。

注意：隔离失陷主机需要在失陷检测出攻击行为后，提示需要隔离时才可隔离失陷主机。

(6) 取消隔离失陷主机

在虚拟机列表中选择虚拟机。

点击"安全操作>取消隔离失陷主机"，系统会开始对指定的已隔离虚拟机进行取消隔离失陷主机操作。

分析呈现

防恶意软件

防恶意软件页面显示的是虚拟机感染恶意软件的历史数据。

左边栏的分类情况，根据主机池（非 OpenStack 多租）/项目（OpenStack 多租）、分组(非 OpenStack 多租的所有项目视图)、虚拟机/终端、恶意软件进行分类统计，每种分类会显示出排名前五的分类统计情况。

在左侧栏中点击某个统计数据，可以查看其具体的信息。左边菜单选择的过滤条件也会显示在右边数据上方，可以点击过滤条件，从而取消使用该条件对数据进行过滤。

对于没有排名到前五内的分类情况，用户可以在每个分类上方的搜索框中进行搜索并选择，系统会以该分类的值作为过滤条件对数据进行过滤 ,右边部分会显示数据过滤的结果。

系统可以从时间维度进行数据过滤，可以查看今天、昨天、最近 7 天、本月、上月的历史数据，管理员还可以自定义需要查询的时间范围。管理中心最多保存 120 天的历史数据，超过 120 天的历史数据将会被删除。

可以选择以哪个维度进行数据显示，包括主机池/项目、分组、虚拟机/终端、恶意软件

也可以设置显示数据的数目（5,10,15,20）。

数据的展现可以是柱状图、线性图、饼图，也可以是每一条原始的日志记录。

点击，就能以线性图进行数据展现

点击，就能以饼图进行数据展现

点击能够查看详细的日志信息，包括感染的时间、虚拟机名称、分组、虚拟机应用的安全配置、恶意软件类型、恶意软件名称及具体的文件名。日志信息每页显示 50 条，可以点击页面下方的进行翻页；点击导出还能将日志导出至 excel 表中。