主机安全服务需在主机安全及管理系统平台进行资产和策略配置才可正常使用。且主机安全实例与防护主机需处于同一网络中,若防护主机与主机安全实例主机不在同一网络,两者需绑定到同一 VPC 网络中。

本章节以绑定到 VPC 网络中的场景为例。该场景下主机安全实例主机(VM)创建时加入到基础网络,主机安全实例部署后需绑定到被防护主机所在的 VPC 网络中,实现主机安全实例主机和VPC内的主机通信且对 VPC 内的主机进行安全防护。

图

前提条件

  • 已完成主机安全实例部署并能点击控制台进入主机安全及管理系统平台。

  • 已获取主机安全实例中主机绑定的 VPC 网络地址和 VPC 网络中被防护的主机 IP 地址。

  • 已在本地下载 Nmap 工具并绑定到与防护主机绑定的 EIP 中。

操作步骤

配置主机安全服务

  1. 进入安全资源池页面。

  2. 在左侧导航栏选择主机安全。进入主机安全页面。

  3. 在目标主机安全实例操作一栏点击加入网络,选择防护主机所在的VPC,点击提交

  4. 在目标主机安全实例操作一栏点击控制台,进入主机安全及管理系统首页。

  5. 选择系统管理 > 添加资产,在对应操作系统下点击下载

    下载

  6. 登录被防护的主机,并根据选择的操作系统类型执行离线安装下提示的安装命令。

    以本次截图的上显示的操作系统类型为例可执行以下命令:

    tar --no-same-permissions --no-same-owner -zxvf linux_agent_setup_2.0.17.7.x64.tar.gz && chmod +x install_edr.sh

  7. 解压安装包并修改权限。

    修改权限

  8. install_conf 中SERVER_IP_PORT的地址改为主机安全实例在VPC中的IP地址,此处以172.20.0.4为例。

    示例

  9. 执行./install_edr.sh进行安装。

    安装

  10. 主机安全及管理系统选择资产管理 > 资产概况,可查看被防护主机(172.20.0.2)的信息且防护状态为防护中,表示资产添加成功。

    查看

    通过端口扫描验证主机安全

  11. 新建策略。

    1. 选择策略管理,点击右上角加号并选择新增

      其中已有的默认模板、业务模板、审计模板三个策略不可修改,需新增策略继承以上其中一个策略并进行规则的增加和修改。

      zjv7

    2. 选择策略继承并输入策略名称,点击确定

      确定

    3. 点击新增策略名称,展示新增策略详情信息。

      修改

    4. 防护网络页签,打开防端口扫描滑动开关,点击保存

      保存

  12. 点击新增策略所在行的图标,点击绑定资产,将列表1中待绑定资产添加到列表2,点击确定

    zjv11
    绑定策略

  13. 在本地使用Nmap工具执行以下命令对被保护主机进行端口扫描。

    nmap -Pn <被防护主机IP地址>

    例如:

    nmap -Pn 192.168.8.123
    端口扫描

  14. 选择日志检索 > 防护日志,查看端口扫描信息,并且无法登录被防护主机。

    主机安全开启防护,防护日志会记录扫描结果,且处理结果显示“已临时封锁IP”。

    临时封锁IP
    登录主机

  15. 解除临时封锁 IP。

    1. 选择资产管理 > 资产概述,点击待解除临时封锁 IP 的资产名称,进入资产详情页面。

      资产详情

    2. 临时封锁IP页签选择被防护主机IP点击删除,可解除临时封锁。

      删除

    3. 在本地再次使用Nmap工具登录被防护主机,可成功登录。

      再次登录