代理isaserver

vShieldZones管理指南vShieldZones1.
0CN-000167-00VMware,Inc.
3401HillviewAve.
PaloAlto,CA94304www.
vmware.
com2VMware,Inc.
vShieldZones管理指南VMware网站将提供最新的技术文档,网址为:http://www.
vmware.
com/cn/support/此外,VMware网站还提供最新的产品更新.
如果对本文档有任何意见或建议,请将反馈信息提交至以下地址:docfeedback@vmware.
com版权所有2009VMware,Inc.
保留所有权利.
此产品受到美国和国际版权法及知识产权法保护.
VMware产品涉及http://www.
vmware.
com/go/patents中列出的一项或多项权利.
VMware是VMware,Inc.
在美国和/或其他法律辖区的注册商标或商标.
此处提到的所有其他商标和名称分别为其各自公司的商标.
VMware,Inc.
3目录关于本文档91vShieldZones概述11vShieldZones组件11vShieldManager11vShield代理112vShieldManager用户界面基础13登录vShieldManager13访问联机帮助13vShieldManager用户界面14vShieldManager清单面板14刷新清单面板14搜索清单面板14vShieldManager配置面板143管理系统设置15标识vCenterServer15标识DNS服务16设置vShieldManager的日期和时间16标识代理服务器16从组件中下载技术支持日志17备份vShieldManager数据17查看vShieldManager系统状态17手动安装vShield代理17将vShieldManager注册为vSphereClient插件174备份vShieldManager数据19按需备份vShieldManager数据19调度vShieldManager数据的备份20还原备份205更新系统软件21查看当前系统软件21上载更新21查看更新历史记录226用户管理23管理用户权限23管理默认用户帐户24添加用户24为用户分配角色和权限24编辑用户帐户25删除用户帐户25vShieldZones管理指南4VMware,Inc.
7系统事件27查看系统事件报告27系统事件通知27vShieldManager虚拟设备事件27vShield代理虚拟设备事件28Syslog格式288查看审核日志299vShield代理安装31安装vShield代理31使用vShield代理模板安装vShield代理31在vSwitch上手动安装vShield代理32创建辅助vSwitch33在第一个vSwitch上创建受保护的端口组33在第二个vSwitch上创建不受保护的端口组33将vShield代理添加到ESX主机33将vShield代理接口分配给端口组34设置vShield代理34将vShield代理添加到vShieldManager35将虚拟机从第一个vSwitch移动到第二个vSwitch35在vNetwork分布式交换机上手动安装vShield代理36创建辅助vNetwork分布式交换机36在第一个vNetwork分布式交换机上创建受保护的dvPort组37在辅助vNetwork分布式交换机上创建不受保护的dvPort组37安装vShieldAgent37将vShield代理接口分配给dvPort组38设置vShield代理38将vShield代理添加到vShieldManager39关闭vShield代理虚拟机39将物理网卡从vNDS‐1移动到vNDS‐240启动vShield代理虚拟机40卸载vShield代理40卸载基于模板的vShield代理40从vSwitch卸载手动安装的vShield代理41从vNDS卸载手动安装的vShield代理41关闭vShieldZones虚拟机4110vShield代理管理43将vShield代理系统事件发送到Syslog服务器43备份vShield代理运行的CLI配置43查看vShield代理的当前系统状态44强制vShield代理与vShieldManager同步44重新启动vShield代理44按vShield代理界面查看流量统计信息44下载vShield代理的防火墙日志4511防火墙管理47使用VMWall47默认规则47第4层规则和第2层/第3层规则47VMWall规则的层次结构48计划VMWall规则实施48创建第4层防火墙规则48创建第2层/第3层防火墙规则49VMware,Inc.
5目录恢复为先前的VMWall配置49删除VMWall规则5012流量分析51使用VMFlow51在VMFlow图表中查看特定应用程序51更改VMFlow图表的日期范围52查看VMFlow报告52从VMFlow报告添加VMWall规则53删除所有记录的流53编辑端口映射54添加应用程序‐端口对映射54删除应用程序‐端口对映射54隐藏端口映射表5413虚拟机发现和清单55阅读发现结果表55启用持续发现56运行虚拟机的按需发现56调度虚拟机的定期发现57终止正在进行的发现57停止已调度的发现扫描58使用VMInventory查看虚拟机详细信息58A命令行界面59登录和注销CLI59CLI命令模式59CLI语法60在CLI中移动60在CLI内获取帮助60常见配置61保护CLI用户帐户和特权模式密码61添加用户帐户61删除admin用户帐户62更改特权模式密码62在vShield代理上启用扫描界面63命令参考63管理命令64list64reboot64shutdown64CLI模式命令65configureterminal65disable65enable65end66exit66interface66quit67配置命令67clearvmwallrules67copyrunning‐configstartup‐config68databaseerase68vShieldZones管理指南6VMware,Inc.
enablepassword68hostname69IPaddress69IPnameserver70IProute70managerkey71setclock71NTPserver72setup72syslog73write73writeerase73writememory74调试命令74debugcopy74debugpacketcapture75debugpacketdisplayinterface75debugremove76debugservice76debugserviceflowsrc77debugshowfiles77显示命令78showalerts78showarp78showclock79showdebug79showethernet79showfilesystem80showgatewayrules80showhardware81showinterface81showiproute82showlog82showlogalerts83showlogevents83showloglast83showmanagerlog84showmanagerloglast84showntp85showrunning‐config85showservices85showsession‐managercounters86showsession‐managersessions86showslots87showstacktrace87showstartup‐config87showsyslog88showsystemmemory88showsystemuptime88showversion88showvmwalllog89showvmwallrules89VMware,Inc.
7目录诊断和故障排除命令90exporttech‐supportscp90link‐detect90ping90showtechsupport91ssh91telnet91traceroute92用户管理命令92defaultweb‐managerpassword92user92web‐manager93终端命令93clearvty93reset94terminallength94terminalnolength94已弃用的命令95B将vMotion和vShieldZones结合使用97阻止vMotion移动vShieldZones虚拟设备97允许vMotion移动受保护的虚拟机98C故障排除99对安装问题进行故障排除99vShieldZonesOVF文件已解压缩到未安装vSphereClient的个人计算机中99无法将vShieldZonesOVF安装到vSphereClient中99安装OVF之后无法启动vShield代理虚拟机99在启动vShieldManager虚拟机之后,无法登录CLI100无法登录vShieldManager用户界面100从vShieldManager用户界面中看不到vShield代理模板100从vShieldManager用户界面安装vShield代理失败100vShieldManager无法与vShield代理进行通信100对操作问题进行故障排除101无法配置vShield代理101防火墙阻止规则不阻止符合条件的流量101在手动执行发现或调度发现之后没有结果101VMFlow中不显示任何流数据102索引103vShieldZones管理指南8VMware,Inc.
VMware,Inc.
9《vShieldZones管理指南》手册介绍了如何使用vShieldManager用户界面和命令行界面(CLI)安装、配置、监控和维护VMwarevShieldZones系统.
此信息包括分步配置说明以及建议的最佳做法.
目标读者本手册专供要在VMwarevCenter环境中安装或使用vShieldZones的用户使用.
本手册的目标读者为熟悉虚拟机技术和虚拟数据中心操作且经验丰富的系统管理员.
该手册假设您熟悉VMwareInfrastructure,包括VMwareESX4.
0、vCenterServer和vSphereClient.
文档反馈VMware欢迎您提出宝贵建议,以便改进我们的文档.
如有意见,请将反馈发送到docfeedback@vmware.
com.
vShieldZones文档vShieldZones文档集包括下列文档:《vShieldZones管理指南》《vShieldZones快速入门指南》《vShieldZones简介》技术支持和教育资源下面各节介绍为您提供的技术支持资源.
要访问本文档的当前版本和其他文档,请访问http://www.
vmware.
com/cn/support/pubs.
在线支持和电话支持要通过在线支持提交技术支持请求、查看产品和合同信息以及注册您的产品,请访问http://www.
vmware.
com/cn/support.
客户只要拥有相应的支持合同,就可以通过电话支持,尽快获得对优先级高的问题的答复.
请访问http://www.
vmware.
com/cn/support/phone_support.
支持服务项目要了解VMware支持服务项目如何帮助您满足业务需求,请访问http://www.
vmware.
com/cn/support/services.
关于本文档vShieldZones管理指南10VMware,Inc.
VMware专业服务VMware教育服务课程提供了大量实践操作环境、案例研究示例,以及用作作业参考工具的课程材料.
这些课程可以通过现场指导、教室授课的方式学习,也可以通过在线直播的方式学习.
要开展现场试点项目并采用最佳实施方法,VMware咨询服务可提供多种服务,协助您评估、计划、构建和管理虚拟环境.
要了解有关教育课程、认证计划和咨询服务的信息,请访问http://www.
vmware.
com/cn/services.
VMware,Inc.
111vShieldZones是为VMwarevCenterServer集成构建的应用程序感知防火墙.
vShieldZones检查客户端服务器通信和内部虚拟机通信以提供详细的流量分析和应用程序感知防火墙保护.
vShieldZones是用于保护虚拟化数据中心免遭攻击和误用的关键安全组件,可帮助您实现要求合规性的目标.
本指南假设您对整个vShieldZones系统具有管理员访问权限.
根据分配给用户的角色和权限,vShieldManager用户界面中的可查看资源会有所不同.
如果无法查看屏幕或执行特定任务,请咨询您的vShieldZones管理员.
vShieldZones组件vShieldZones包括对保护虚拟机至关重要的组件和服务.
可通过基于Web的用户界面和命令行界面(CLI)配置vShieldZones.
要运行vShieldZones,您需要一个vShieldManager虚拟机以及至少一个vShield代理虚拟机.
vShieldManagervShieldManager是vShieldZones的集中式网络管理组件,可通过使用vSphereClient作为虚拟机安装.
使用vShieldManager用户界面,管理员可以安装、配置和维护vShield代理.
vShieldManager可在除vShield代理之外的其他ESX主机上运行,并且仍然可以控制跨其他ESX主机的多个vShield代理.
vShieldManager利用VMwareInfrastructureSDK显示vSphereClient清单面板的副本.
可以使用下列支持的Web浏览器之一连接到vShieldManager:InternetExplorer5.
x和更高版本MozillaFirefox1.
x和更高版本Safari1.
x或2.
x有关使用vShieldManager用户界面的更多信息,请参见第2章,"vShieldManager用户界面基础"(第13页).
vShield代理vShield代理是活动安全组件,用于检查流量并提供防火墙保护.
您可以在承载物理网卡的vSwitch上安装vShield代理.
因为一个ESX主机可拥有多个vSwitch和物理网卡,所以您可以在一个ESX主机上安装多个vShield代理.
安装的每个vShield代理都可以监控主机vSwitch上的所有入站和出站流量.
当流量通过vShield代理时,称为"发现"的进程将检查会话标头以对数据进行分类.
"发现"进程将为每个虚拟机创建一个配置文件,其中包含网络通信中使用的操作系统、应用程序、端口和协议的详细信息.
基于这些信息,在保持锁定端口1024及更高端口的同时,以允许FTP和RPC等动态协议通过的方式允许使用短暂端口.
每个vShield代理都提供了丰富的流量统计信息,您可以使用这些信息来创建防火墙允许和拒绝规则,以控制进出虚拟网络的访问权限.
流量统计信息也可用于网络故障排除,如检测应用程序、服务器或客户端的高流量或低流量使用情况.
使用vSphereClient将vShield代理安装为模板.
使用该模板,可以将vShieldManager的多个vShield代理安装到vCenter环境中.
vShieldZones概述1vShieldZones管理指南12VMware,Inc.
VMware,Inc.
132vShieldManager用户界面提供了专用于vShieldZones使用的配置和数据查看选项.
vShieldManager利用VMwareInfrastructureSDK显示vSphereClient清单面板,以此提供vCenter环境的完整视图.
本章包含下列主题:"登录vShieldManager"(第13页)"访问联机帮助"(第13页)"vShieldManager用户界面"(第14页)登录vShieldManager使用Web浏览器访问vShieldManager管理界面.
登录vShieldManager用户界面1打开Web浏览器窗口并键入分配给vShieldManager的IP地址.
必须以https作为IP地址的前缀.
2接受安全证书.
此时将显示vShieldManager登录屏幕.
3使用用户名admin和密码default登录vShieldManager用户界面.
您应首先更改默认密码以防止未授权使用.
请参见"编辑用户帐户"(第25页).
4单击[LogIn].
访问联机帮助可通过单击vShieldManager右上角的访问联机帮助.
vShieldManager用户界面基础2vShieldZones管理指南14VMware,Inc.
vShieldManager用户界面vShieldManager用户界面可划分成两个面板:清单面板和配置面板.
从清单面板选择资源,以在配置面板中打开可用详细信息和配置选项.
vShieldManager清单面板vShieldManager清单面板层次结构模仿vSphereClient清单层次结构.
资源包括根文件夹、数据中心、集群、端口组、ESX主机和虚拟机,还包括已安装的vShield代理.
因此,vShieldManager结合vCenterServer清单以提供虚拟部署的完整视图.
vShieldManager是唯一一个不显示在vShieldManager清单面板中的虚拟机.
vShieldManager设置是在清单面板顶部的[Settings&Reports]资源中配置的.
该清单面板提供两个视图:[Hosts&Clusters]视图和[Networks]视图.
[Hosts&Clusters]视图显示清单中的集群、资源池和ESX主机.
[Networks]视图显示清单中的VLAN网络和端口组.
这些视图与vSphereClient中的相同视图保持一致.
单击每个清单对象时,会在配置面板中显示该清单对象的一组特定选项卡.
代表虚拟机和vShield代理的各图标,在vShieldManager和vSphereClient清单面板之间存在差别.
自定义图标用于显示vShield代理和虚拟机的区别,以及显示受保护和不受保护的虚拟机的区别.
刷新清单面板要刷新清单面板中的资源列表,请单击.
该刷新操作请求接收来自vCenterServer的最新资源信息.
默认情况下,vShieldManager每5分钟请求接收一次来自vCenterServer的资源信息.
搜索清单面板要搜索特定资源的清单面板,请在vShieldManager清单面板顶部的字段中键入一个字符串,然后单击.
vShieldManager配置面板vShieldManager配置面板根据所选清单资源和vShieldZones操作的输出显示可配置的设置.
每个资源都提供多个选项卡,每个选项卡都显示与资源相对应的信息或配置表单.
由于每个资源的用途不同,因此某些选项卡特定于某些资源.
另外,某些选项卡还包含二级选项.
表2-1.
清单面板中的vShield代理图标和虚拟机图标图标描述已启动的处于活动保护状态的vShield代理.
已关闭的vShield代理.
已启动的受vShield代理保护的虚拟机.
已启动的不受vShield代理保护的虚拟机.
已关闭的虚拟机.
VMware,Inc.
153vShieldManager要求与vCenterServer和服务(例如DNS和NTP)进行通信,以提供有关VMwareInfrastructure清单的详细信息.
本章包含下列主题:"标识vCenterServer"(第15页)"标识DNS服务"(第16页)"设置vShieldManager的日期和时间"(第16页)"标识代理服务器"(第16页)"从组件中下载技术支持日志"(第17页)"查看vShieldManager系统状态"(第17页)"手动安装vShield代理"(第17页)"将vShieldManager注册为vSphereClient插件"(第17页)标识vCenterServer将vShieldManager安装为虚拟机之后,请登录vShieldManager用户界面以连接到vCenterServer.
这使vShieldManager可以显示VMwareInfrastructure清单.
从vShieldManager中标识vCenterServer1登录vShieldManager.
在初始登录时,vShieldManager打开[Configuration]>[vCenter]选项卡.
如果您以前配置过[vCenter]选项卡表单,请执行下列步骤:a在vShieldManager清单面板中单击[Settings&Reports].
b单击[Configuration]选项卡.
此时将显示vCenter屏幕.
2在[IPaddress/Name]字段中键入vCenterServer的IP地址.
3在[UserName]字段中键入vSphereClient登录用户名.
此用户帐户必须具有管理员访问权限.
4在[Password]字段中键入与用户名关联的密码.
5单击[Commit].
vShieldManager将连接到vCenterServer,登录并利用VMwareInfrastructureSDK填充vShieldManager清单面板.
清单面板显示在屏幕左侧.
此资源树应该与VMwareInfrastructure清单面板相匹配.
vShieldManager不显示在vShieldManager清单面板中.
管理系统设置3vShieldZones管理指南16VMware,Inc.
标识DNS服务您最多可以指定三个DNS服务器,供vShieldManager用于解析IP地址和主机名称.
因为通常一个DNS服务器并不能提供所有IP地址和主机名称,所以标识第二个或第三个DNS服务器可以提供最佳的覆盖范围.
标识DNS服务器1在vShieldManager清单面板中单击[Settings&Reports].
2单击[Configuration]选项卡.
3单击[DNS].
4在[PrimaryDNSIPAddress]中键入一个IP地址以标识主DNS服务器.
将首先检查此服务器以查看所有解析请求.
5(可选)在[SecondaryDNSIPAddress]字段中键入一个IP地址.
6(可选)在[TertiaryDNSIPAddress]字段中键入一个IP地址.
7单击[Save].
设置vShieldManager的日期和时间您可以设置vShieldManager的日期、时间和时区.
您还可以指定与NTP服务器建立连接以确定公共网络时间.
系统中的日期和时间值用于在事件发生时标记事件.
设置vShieldManager的日期和时间配置1在vShieldManager清单面板中单击[Settings&Reports].
2单击[Configuration]选项卡.
3单击[Date/Time].
4在[DateandClock]字段中,以YYYY‐MM‐DDHH:MM:SS的格式键入日期和时间.
5在[NTPServer]字段中,键入NTP服务器的IP地址.
6从[TimeZone]下拉菜单中选择适当的时区.
7单击[Save].
标识代理服务器如果使用代理服务器实现网络连接,则可以配置vShieldManager以使用该代理服务器.
vShieldManager支持应用程序级HTTP/HTTPS代理,例如CacheFlow和MicrosoftISAServer.
标识代理服务器1在vShieldManager清单面板中单击[Settings&Reports].
2单击[Configuration]选项卡.
3单击[HTTPProxy].
4从[UseProxy]下拉菜单中选择[Yes].
5(可选)在[ProxyHostName]字段中键入代理服务器的主机名称.
6在[ProxyIPAddress]字段中键入代理服务器的IP地址.
7在[ProxyPort]字段中键入代理服务器上的连接端口号.
8键入登录代理服务器所需的用户名.
9键入与用于登录代理服务器的用户名关联的密码.
10单击[Save].
VMware,Inc.
17第3章管理系统设置从组件中下载技术支持日志您可以使用[Support]选项将系统日志从vShieldZones组件下载到您的个人计算机.
系统日志可用于对操作问题进行故障排除.
下载vShieldZones组件系统日志1在vShieldManager清单面板中单击[Settings&Reports].
2单击[Configuration]选项卡.
3单击[Support].
4在[TechSupportLogDownload]下,单击相应的组件旁边的[Initiate].
一旦启动,将生成日志并将其上载到vShieldManager.
此操作可能需要几秒钟时间.
5准备好日志后,单击[Download]链接将该日志下载到您的个人计算机.
该日志经过压缩,并使用专用的文件扩展名.
blsl.
您可以通过在保存文件的目录中浏览查找[AllFiles]来使用解压缩实用程序打开该日志.
备份vShieldManager数据您可以使用[Backups]选项备份vShieldManager数据.
请参见"备份vShieldManager数据"(第19页).
查看vShieldManager系统状态[Status]选项卡显示vShieldManager系统资源使用情况的状态,以及软件版本详细信息、许可证状态和序列号.
必须通过技术支持注册序列号,以便更新和获得支持.
查看vShieldManager的系统状态1在vShieldManager清单面板中单击[Settings&Reports].
2单击[Configuration]选项卡.
3单击[Status].
4(可选)单击[VersionStatus]以查看vShieldZones组件上运行的系统软件的当前版本.
此时将显示[UpdateStatus]选项卡.
请参见"查看当前系统软件"(第21页).
手动安装vShield代理您可以使用[ManualInstall]选项手动安装vShield代理.
请参见"安装vShield代理"(第31页).
将vShieldManager注册为vSphereClient插件通过[vSpherePlug‐in]选项,您可以将vShieldManager注册为vSphereClient插件.
在注册插件之后,您可以从vSphereClient打开vShieldManager用户界面.
将vShieldManager注册为vSphereClient插件1如果已登录vSphereClient,请将其注销.
2登录vShieldManager.
3在vShieldManager清单面板中单击[Settings&Reports].
4单击[Configuration]选项卡.
5单击[vSpherePlug‐in].
6单击[Register].
vShieldZones管理指南18VMware,Inc.
7登录vSphereClient.
验证[vShield]是否作为vSphereClient选项显示.
8单击[vShield]以连接到vShieldManager.
vShieldManager登录屏幕将显示在vSphereClient窗口中.
VMware,Inc.
194您可以备份和还原vShieldManager数据,其中可包含系统配置、事件和审核日志表.
但是,您可以排除系统和审核日志事件.
保存备份的位置必须是vShieldManager可以访问的远程位置.
可根据调度执行备份或按需执行备份.
本章包括以下主题:"按需备份vShieldManager数据"(第19页)"调度vShieldManager数据的备份"(第20页)"还原备份"(第20页)按需备份vShieldManager数据您随时可通过执行按需备份对vShieldManager数据进行备份.
备份vShieldManager数据库1在vShieldManager清单面板中单击[Settings&Reports].
2单击[Configuration]选项卡.
3单击[Backups].
4(可选)如果不希望备份系统事件表,请选中[ExcludeSystemEvents]复选框.
5(可选)如果不希望备份审核日志表,请选中[ExcludeAuditLogs]复选框.
6键入将保存备份的系统的[HostIPAddress].
7(可选)键入备份系统的[HostName].
8键入登录到备份系统所需的[UserName].
9键入与备份系统的用户名关联的[Password].
10在[BackupDirectory]字段中,键入用于存储备份的绝对路径.
11在[FilenamePrefix]中键入一个文本字符串.
此文本将被预置到备份文件名中以便于识别备份系统.
例如,如果键入ppdb,则生成的备份的名称为ppdbHH_MM_SS_DayDDMonYYYY.
12从[TransferProtocol]下拉菜单中,选择[SFTP]或[FTP].
13单击[Backup].
在完成备份后,该备份将显示在此表单下方的表中.
14单击[SaveSettings]保存配置.
备份vShieldManager数据4vShieldZones管理指南20VMware,Inc.
调度vShieldManager数据的备份在任何给定时间只能调度一种备份类型的参数.
无法调度仅供配置的备份和完整数据备份同时运行.
定期调度vShieldManager数据的备份1在vShieldManager清单面板中单击[Settings&Reports].
2单击[Configuration]选项卡.
3单击[Backups].
4从[ScheduledBackups]下拉菜单中,选择[On].
5从[BackupFrequency]下拉菜单中,选择[Hourly]、[Daily]或[Weekly].
系统将根据所选的频率禁用[DayofWeek]、[HourofDay]和[Minute]下拉菜单.
例如,如果您选择[Daily],则将禁用[DayofWeek]下拉菜单,因为此字段不适用于每天频率.
6(可选)如果不希望备份系统事件表,请选中[ExcludeSystemEvents]复选框.
7(可选)如果您不希望备份审核日志表,请选中[ExcludeAuditLog]复选框.
8键入将保存备份的系统的[HostIPAddress].
9(可选)键入备份系统的[HostName].
10键入登录到备份系统所需的[UserName].
11键入与备份系统的用户名关联的[Password].
12在[BackupDirectory]字段中,键入用于存储备份的绝对路径.
13在[FilenamePrefix]中键入一个文本字符串.
此文本将被预置到每个备份文件名中以便于识别备份系统.
例如,如果键入ppdb,则生成的备份的名称为ppdbHH_MM_SS_DayDDMonYYYY.
14根据目标支持的内容,从[TransferProtocol]下拉菜单中选择[SFTP]或[FTP].
15单击[SaveSettings].
还原备份要还原可用备份,[Backups]屏幕中的[HostIPAddress]、[UserName]、[Password]和[BackupDirectory]字段就必须包含用于识别要恢复的备份的位置的值.
还原备份时,将覆盖当前配置.
如果备份文件包含系统事件数据和审核日志数据,则还将还原这些数据.
还原可用的vShieldManager备份1在vShieldManager清单面板中单击[Settings&Reports].
2单击[Configuration]选项卡.
3单击[Backups].
4单击[ViewBackups],查看保存到备份服务器的所有可用备份.
5选中与要还原的备份对应的复选框.
6单击[Restore].
7单击[OK]确认.
重要信息在还原备份文件前,请对您的当前数据进行备份.
VMware,Inc.
215vShieldZones软件要求定期更新以保持系统性能.
使用[Updates]选项卡选项,您可以安装并跟踪系统更新.
本章包括以下主题:"查看当前系统软件"(第21页)"上载更新"(第21页)"查看更新历史记录"(第22页)查看当前系统软件vShieldZones组件软件的当前版本显示在[UpdateStatus]选项卡下.
查看当前系统软件1在vShieldManager清单面板中单击[Settings&Reports].
2单击[Updates]选项卡.
3单击[UpdateStatus].
上载更新vShieldZones更新可按脱机更新形式提供.
某一更新可用时,您可以将该更新下载到您的PC,并使用vShieldManager用户界面上载该更新.
上载更新后,首先更新vShieldManager,然后更新所有vShield代理.
如果需要重新引导vShieldManager或vShield代理,[UpdateStatus]屏幕会提示您重新引导该组件.
在必须重新引导vShieldManager和所有vShield代理的情况下,则必须首先重新引导vShieldManager,然后再重新引导vShield代理.
上载更新1在vShieldManager清单面板中单击[Settings&Reports].
2单击[Updates]选项卡.
3单击[UploadSettings].
4单击[Browse]查找更新.
5找到文件后,单击[UploadFile].
6单击[ConfirmInstall]确认更新安装.
此屏幕中显示两个表.
在安装期间,您可以查看顶部的表了解当前更新的说明、开始时间、成功状态和进程状态.
查看底部的表了解每个vShield代理的更新状态.
当最后一个vShield代理的状态显示为[Finished]时,所有vShield代理都已升级.
7重新引导vShieldManager后,单击[UpdateStatus]选项卡.
更新系统软件5vShieldZones管理指南22VMware,Inc.
8如果出现提示,单击[RebootManager].
9单击[FinishInstall]完成系统更新.
10单击[Confirm].
查看更新历史记录[UpdateHistory]选项卡列出了已安装的更新,包括每次更新的安装日期和简要说明.
查看安装的更新的历史记录1在vShieldManager清单面板中单击[Settings&Reports].
2单击[Updates]选项卡.
3单击[UpdateHistory].
VMware,Inc.
236安全性操作通常由多人管理.
根据特定的逻辑分类将整个系统委派给不同的人员管理.
然而,只有具有特定资源的适当权限的用户才有权执行任务.
在[Users]区域中,您可以通过授予适当的权限向用户委派此类资源管理.
vShieldManager用户界面中的用户管理与任何vShieldZones组件的CLI中的用户管理是单独进行的.
本章包括以下主题:"管理用户权限"(第23页)"添加用户"(第24页)"为用户分配角色和权限"(第24页)"编辑用户帐户"(第25页)"删除用户帐户"(第25页)管理用户权限在vShieldManager用户界面中,用户的权限定义允许用户对给定资源执行的操作.
权限决定用户获得授权可对给定资源执行的活动,从而确保用户只能执行完成适当操作必需的功能.
这样可以实现对特定资源的域控制,如果您的权限涵盖系统资源,还可实现系统范围的控制.
强制执行下列规则:用户对一个资源只有一个权限.
用户不能添加或删除已分配的权限和资源.
用户管理6表6-1.
vShieldManager用户权限权限描述R只读CRUD读取和写入表6-2.
vShieldManager用户资源资源描述系统可以访问整个vShieldZones系统防火墙只能访问VMWall组件无不能访问任何资源vShieldZones管理指南24VMware,Inc.
管理默认用户帐户vShieldManager用户界面包含一个默认用户帐户(用户名为admin),此帐户具有对所有资源的访问权限.
您不能编辑此用户的权限或删除此用户.
admin的默认密码是default.
请在初始登录到vShieldManager时更改此帐户的密码.
请参见"编辑用户帐户"(第25页).
添加用户在创建基本用户帐户时需要为用户分配登录名和密码.
创建新的用户帐户1在vShieldManager清单面板中单击[Settings&Reports].
2单击[Users]选项卡.
3单击[CreateUser].
将打开[NewUser]屏幕.
4键入一个用户名.
这个用户名用于登录到vShieldManager用户界面.
不能使用此用户名和关联的密码访问vShield代理或vShieldManagerCLI.
5(可选)键入用户的全名进行标识.
6(可选)键入电子邮件地址.
7键入用于登录的密码.
8在[RetypePassword]字段中再次键入该密码.
9单击[OK].
在创建帐户之后,单独配置权限和资源分配.
为用户分配角色和权限在创建用户帐户之后,您可以为用户分配角色和对系统资源的访问权限.
角色定义资源,而权限定义用户对该资源的访问权限.
为用户分配角色和权限1在vShieldManager清单面板中单击[Settings&Reports].
2单击[Users]选项卡.
3双击该用户的[UserRole]单元格.
4从打开的下拉菜单中,选择可用资源.
5双击该资源的[AccessRight]单元格.
6从打开的下拉菜单中,选择可用权限.
VMware,Inc.
25第6章用户管理编辑用户帐户您可以编辑用户帐户来更改密码.
编辑现有的用户帐户1在vShieldManager清单面板中单击[Settings&Reports].
2单击[Users]选项卡.
3单击标识该用户帐户的表行中的一个单元格.
4单击[UpdateUser].
5根据需要进行更改.
如果要更改密码,则在[RetypePassword]字段中再键入一次密码以进行确认.
6单击[OK]以保存更改.
删除用户帐户您可以删除创建的任何用户帐户,但不能删除admin帐户.
已删除用户的审核记录会保留在数据库中,并可以在审核日志报告中进行引用.
删除用户帐户1在vShieldManager清单面板中单击[Settings&Reports].
2单击[Users]选项卡.
3单击标识该用户帐户的表行中的一个单元格.
4单击[DeleteUser].
vShieldZones管理指南26VMware,Inc.
VMware,Inc.
277系统事件指与vShield代理操作有关的事件.
生成事件的目的是详细记录每个操作事件,例如vShield代理重新引导或vShield代理和vShieldManager之间的通信中断.
这些事件可能与基本操作(信息)或vShield代理操作中的重要错误(重要事件)相关.
本章包括以下主题:"查看系统事件报告"(第27页)"系统事件通知"(第27页)"Syslog格式"(第28页)查看系统事件报告vShieldManager将系统事件汇总到可以根据vShield代理和事件严重性进行筛选的报告中.
查看系统事件报告1在vShieldManager清单面板中单击[Settings&Reports].
2单击[SystemEvents]选项卡.
3(可选)从[vShield]字段中选择一个或多个vShield代理.
默认情况下已选中所有vShield代理.
4从[andSeverity]下拉菜单中,选择筛选结果所依据的严重性.
默认情况下包含所有严重性.
您每次可以选择一个或多个严重性.
5单击[ViewReport].
6在报告输出中,单击[EventTime]链接以查看有关特定事件的详细信息.
系统事件通知vShieldManager虚拟设备事件系统事件7关机启动界面下移界面上移本地CLI运行showlogfollow命令.
运行showlogfollow命令.
运行showlogfollow命令.
运行showlogfollow命令.
GUI不适用不适用不适用不适用vShieldZones管理指南28VMware,Inc.
vShield代理虚拟设备事件Syslog格式syslog中记录的系统事件消息包含以下结构:syslogheader(timestamp+hostname+sysmgr/)Timestamp(fromtheservice)Name/valuepairsNameandvalueseparatedbydelimiter'::'(doublecolons)Eachname/valuepairseparatedbydelimiter';;'(doublesemi-colons)系统事件的字段和类型是:EventID::32bitunsignedintegerTimestamp::32bitunsignedintegerApplicationName::stringApplicationSubmodule::stringApplicationProfile::stringEventCode::integer(possiblevalues:10007100161004320019)Severity::string(possiblevalues:INFORMATIONLOWMEDIUMHIGHCRITICAL)Message::CPU内存存储器本地CLI运行showprocessmonitor命令.
运行showsystemmemory命令.
运行showfilesystem命令.
GUI请参见"查看vShieldManager系统状态"(第17页).
请参见"查看vShieldManager系统状态"(第17页).
请参见"查看vShieldManager系统状态"(第17页).
关机启动界面下移界面上移本地CLI运行showlogfollow命令.
运行showlogfollow命令.
运行showlogfollow命令.
运行showlogfollow命令.
Syslog不适用请参见"Syslog格式"(第28页).
e1000:mgmt:e1000_watchdog_task:NICLinkisUp/Down100MbpsFullDuplex.
Forscriptingonthesyslogserver,searchforNICLinkis.
e1000:mgmt:e1000_watchdog_task:NICLinkisUp/Down100MbpsFullDuplex.
Forscriptingonthesyslogserver,searchforNICLinkis.
GUI系统事件日志中的"检测信号故障"事件.
请参见"查看系统事件报告"(第27页).
请参见"查看vShield代理的当前系统状态"(第44页).
请参见"查看vShield代理的当前系统状态"(第44页).
请参见"查看vShield代理的当前系统状态"(第44页).
CPU内存存储器由于DoS、不活动或者数据超时导致的会话重置本地CLI运行showprocessmonitor命令.
运行showsystemmemory命令.
运行showfilesystem命令.
运行showlogfollow命令.
Syslog不适用不适用不适用请参见"Syslog格式"(第28页).
GUI请参见"查看vShield代理的当前系统状态"(第44页).
请参见"查看vShield代理的当前系统状态"(第44页).
请参见"查看vShield代理的当前系统状态"(第44页).
请参见系统事件日志.
请参见"查看系统事件报告"(第27页).
VMware,Inc.
298[AuditLogs]选项卡提供了所有vShieldManager用户执行的操作的视图.
vShieldManager会将审核日志数据保留一年,之后将丢弃该数据.
查看审核日志1在vShieldManager清单面板中单击[Settings&Reports].
2单击[AuditLogs]选项卡.
3通过单击以下列筛选器中的一个或多个,缩小输出范围:查看审核日志8列描述[UserName]选择执行操作的用户的登录名.
[Module]选择对其执行操作的vShieldZones资源.
[Operation]选择执行的操作的类型.
[Status]选择操作结果:"成功"或"失败".
[OperationSpan]选择对其执行操作的vShieldZones组件.
[Local]指的是vShieldManager.
vShieldZones管理指南30VMware,Inc.
VMware,Inc.
319必须将每个vShield代理添加到vShieldManager以进行配置和管理.
本章包括以下主题:"安装vShield代理"(第31页)"卸载vShield代理"(第40页)"关闭vShieldZones虚拟机"(第41页)安装vShield代理安装vShield代理会将代理添加到vCenterServer清单和vShieldManager.
必须命名vShield代理并为管理接口指定IP地址.
必须安装vShield代理以保护连接到vSwitch的虚拟机.
为每个vSwitch安装一个带有附加网卡的vShield代理.
任何连接到尚未安装vShield代理的vSwitch的虚拟机均不受vShieldZones保护.