配置服务器设置

思科AMPThreatGrid设备设置和配置指南1.
4.
5版最后更新时间:2015年12月10日思科系统公司www.
cisco.
com思科在全球设有200多个办事处.
思科网站www.
cisco.
com/go/offices上列出了各办事处的地址、电话和传真.
思科AMPThreatGrid设备设置和配置指南目录ii目录目录ii图片清单v前言vi简介1本指南的目标读者.
1支持-联系ThreatGrid.
1支持模式.
2支持服务器.
2支持快照.
3规划4环境要求4硬件要求4硬件文档4网络要求5DNS服务器访问.
5NTP服务器访问.
5使用DHCP5许可证5用户5更新5版本说明6ThreatGrid设备用户界面.
6TGSH对话.
6OpAdmin门户6AMPThreatGrid门户6CIMC.
6思科AMPThreatGrid设备设置和配置指南目录iii登录名和密码-默认.
6网络UI管理员6OpAdmin和Shell用户.
6CIMC(思科集成管理控制器)7设置和配置步骤.
7所需的时间.
7服务器设置.
8网络接口连接.
8ADMIN接口.
9CLEAN接口.
10DIRTY接口.
10CIMC接口.
10保留10网络接口设置图.
11防火墙规则建议.
12通电13TGSH对话-网络配置.
15启动支持模式-许可证解决方法操作(Operations)>更新设备(UpdateAppliance)完整的服务状态(来自外壳的服务状态)网络图或说明(如果适用)支持模式(外壳或网络界面)支持请求详细信息思科AMPThreatGrid设备设置和配置指南简介2支持模式如果您需要获得ThreatGrid工程师的支持,他们可能要求您启用"支持模式",此模式是一个实时支持会话,可供ThreatGrid支持工程师远程访问您的设备.
此操作不会影响设备的正常运行.
此操作可通过OpAdmin门户支持(Support)菜单完成.
(您也可以从TGSH对话中启用支持模式(SUPPORTMODE).
)要通过ThreatGrid技术支持启动实时支持会话,请执行以下操作:在OpAdmin中,依次选择支持(Support)>实时支持会话(LiveSupportSession),然后点击启动支持会话(StartSupportSession).
注意:在获得许可之前,您可以跳过OpAdmin向导任务流来启用支持模式.
图1-OpAdmin启动实时支持会话支持服务器建立支持会话要求TG设备可以访问以下服务器:support-snapshots.
threatgrid.
comrash.
threatgrid.
com在支持会话处于活动状态期间,防火墙应允许访问这两台服务器.
思科AMPThreatGrid设备设置和配置指南3支持快照支持快照主要是运行系统的快照(包含日志、ps输出等),用来帮助支持人员排除问题.
1.
从支持(Support)菜单中,选择支持快照(SupportSnapshots).
2.
拍摄快照.
3.
拍摄快照之后,您可以自行下载.
tar.
gz格式的快照,或者可以按提交(Submit),这样会将快照自动上传到ThreatGrid快照服务器.
思科AMPThreatGrid设备设置和配置指南规划4规划思科AMPThreatGrid设备是一个Linux服务器,在出厂之前已由思科制造团队安装了ThreatGrid软件.
收到新设备后,您必须针对自己的本地网络环境对新设备进行设置和配置.
在开始之前,需要考虑和计划诸多问题.

环境要求、硬件要求和网络要求如下所述.
有关ThreatGrid设备的其他信息,请参阅《ThreatGrid设备管理员指南》.
环境要求ThreatGrid设备应部署在UCSC220-M3服务器上.
在设置和配置设备之前,请根据服务器的规格确保符合电源、机架空间、冷却和其他方面的必要环境要求.
硬件要求Admin接口的外形规格为SFP+.
如果交换机上没有可用的SFP+端口,或您不需要SFP+,则可以使用1000Base-T收发器(例如思科兼容的千兆RJ45铜缆SFP收发器模块Mini-GBIC-10/100/1000Base-T铜缆SFP模块).
图2-思科1000BASE-T铜缆SFP(GLC-T)显示器:您可以在服务器上连接一个显示器,如果配置了CIMC(思科集成管理控制器),也可以使用远程KVM.
硬件文档CiscoUCSC220M3服务器安装和服务指南http://www.
cisco.
com/c/en/us/td/docs/unified_computing/ucs/c/hw/C220/install/C220.
htmlCiscoUCSC220M3高密度机架式服务器(小型磁盘驱动器型号)规格清单http://www.
cisco.
com/c/dam/en/us/products/collateral/servers-unified-computing/ucs-c-series-rack-servers/C220M3_SFF_SpecSheet.
pdf思科电源/冷却计算器思科提供了一个电源/冷却计算器,可能会对您有所帮助:https://mainstayadvisor.
com/Go/Cisco/Cisco-UCS-Power-Calculator.
aspx思科AMPThreatGrid设备设置和配置指南规划5网络要求ThreatGrid设备需要三个网络:ADMIN–"管理"网络.
必须配置该网络才能设置设备.
CLEAN-"CLEAN"网络用于流入设备的可信入站流量(请求).
这包括多个集成设备.
例如,思科邮件安全设备和网络安全设备(ESA/WSA)连接到CLEAN接口的IP地址.
DIRTY-"DIRTY"网络用于从设备流出的出站流量(包括恶意软件流量).
注意:我们建议使用不同于您的企业IP的专用外部IP地址(例如,"DIRTY"接口),以保护您的内部网络资产.
有关网络接口设置的信息,请参阅下面的建议的ThreatGrid设置部分.
DNS服务器访问DNS服务器需要通过"DIRTY"网络进行访问.
NTP服务器访问NTP服务器需要通过"DIRTY"网络进行访问.
使用DHCP如果您已连接到一个配置为使用DHCP的网络,请按照《ThreatGrid设备管理员指南》中使用DHCP部分的说明进行操作.
许可证您会收到来自CiscoAMPThreatGrid的许可证和密码.
有关许可证的问题,请通过dedebeer@cisco.
com联系DeanDeBeer.
用户在完成设备的设置和网络配置之后,您需要创建初始的ThreatGrid用户帐户,以便用户可以登录并开始提交恶意软件样本进行分析.
此任务可能需要在多个用户和团队之间进行规划和协调,具体取决于您的要求.

更新在安装任何设备更新之前,必须完成初始设备设置和配置步骤.
我们建议您在完成本指南介绍的初始配置之后检查是否有更新.
必须按顺序安装更新.
ThreatGrid设备更新必须要等到安装许可证之后才能下载,并且更新过程要求完成初始设备配置.
更新设备的相关说明位于《ThreatGrid设备管理员指南》中.
思科AMPThreatGrid设备设置和配置指南规划6版本说明有关详细的更新信息,请参阅版本说明,该说明可从OpAdmin门户的以下位置获取:操作(Operations)菜单>更新设备(UpdateAppliance)注意:要查看设备上安装的ThreatGridPortal的版本说明,请在其导航栏中点击帮助(Help).
UI的帮助(Help)页面(导航栏>帮助(Help))上提供了访问当前ThreatGrid门户版本说明的链接.
ThreatGrid设备用户界面在服务器正确连接到网络并通电后,有多个用户界面可用于配置ThreatGrid设备:TGSH对话第一个界面是TGSH对话,用于配置网络接口.
在设备成功启动后,系统会显示TGSH对话.
重新连接到TGSH对话TGSH对话将在控制台上保持打开状态,并可通过在设备上连接一个显示器进行访问;如果配置了CIMC,也可通过远程KVM访问.
要重新连接到TGSH对话,请通过SSH以用户"threatgrid"的身份连接到AdminIP地址所需的密码可以是随机生成的初始密码(最初在TGSH对话中显示),也可以是您在OpAdmin门户配置的第一步创建的新管理员密码(相关内容将在下节介绍).
OpAdmin门户这是主要的ThreatGridGUI配置工具.
该设备的大量配置都只能通过OpAdmin完成,包括许可证、邮件主机、SSL证书等.
AMPThreatGrid门户ThreatGrid用户界面应用可作为一项云服务提供,也可安装在ThreatGrid设备上.
ThreatGrid云服务与ThreatGrid设备随附的ThreatGrid门户之间不进行通信.
CIMC另一个用户界面是思科集成管理控制器("CIMC"),用于管理服务器.
登录名和密码-默认网络UI管理员登录名称:admin密码:"changeme"OpAdmin和Shell用户先使用ThreatGrid/TGSH对话随机生成的初始密码,然后使用在OpAdmin配置工作流第一步中输入的新密码.
思科AMPThreatGrid设备设置和配置指南规划7如果密码丢失,请按照《ThreatGrid设备管理员指南》支持部分中的丢失密码相关说明操作.
CIMC(思科集成管理控制器)登录名称:admin密码:"password"设置和配置步骤本文档介绍了以下设置和初始配置步骤:1.
设置服务器2.
网络接口连接:-ADMIN-CLEAN-DIRTY-建议的网络接口设置-防火墙规则建议3.
TGSH对话-网络配置4.
OpAdmin门户-初始配置5.
安装更新6.
对设备设置进行测试:提交样本进行分析7.
管理配置-剩余的管理配置任务按照《ThreatGrid设备管理员指南》中的说明在OpAdmin门户中完成.
所需的时间完成服务器设置和初始配置步骤大约需要1小时的时间.
注意:在完成TGSH对话设置的"应用"部分、执行设备配置安装步骤以及完成初始配置之后执行任何更新期间,请耐心等待系统完成相关过程.
这些步骤有时可能需要10多分钟才能完成.
思科AMPThreatGrid设备设置和配置指南服务器设置8服务器设置首先,连接设备背面的两个电源,然后将随附的KVM适配器连接到外部显示器和键盘,并插入服务器前面的KVM端口中,如下图所示.
如果配置了CIMC,则可以使用远程KVM.
有关CIMC配置的信息,请参阅附录中的配置CIMC(可选).
有关详细的硬件和环境设置信息,请参阅相关的服务器产品文档.
上述"硬件文档"部分提供了访问产品文档的链接.
网络接口连接找到设备背面的两个SFP+端口和三个以太网端口,然后按照下图所示连接网线:图3-CiscoUCSC220M3SFF机架式服务器必须正确连接和配置接口,设备才能运行.
注意:您的设备的详细信息可能与上图中显示的信息有所不同.
如有任何疑问,请联系support@threatgrid.
com.
注意:"已保留(Reserved)"的非管理SFP+端口会被保留,以供日后使用.
有关C220M3服务器的详细信息,请参阅下图.
思科AMPThreatGrid设备设置和配置指南网络接口连接9图4-CiscoUCSC220M3后视图详细信息注意:对于版本1.
0-1.
2,如果在启动时接口处于未插入状态,则可能需要重新启动.
此问题出现于1.
3以下的版本(不包括需要SFP的任何接口,对于1.
3以上的版本,此类接口仍需在启动时处于插入状态).
插入SFP的网线可以安全地热插拔.
ADMIN接口连接到ADMIN网络.
仅入站(来自ADMIN网络).
OpAdminUI流量用于TGSH对话的SSH(入站)注意:ADMIN接口的外形规格是SFP+.
请参阅上图1-思科1000BASE-T铜缆SFP(GLC-T).
思科AMPThreatGrid设备设置和配置指南网络接口连接10CLEAN接口连接到CLEAN网络.
CLEAN网络必须可从公司网络进行访问,但不需要出站访问互联网,除非是在恢复模式下.

UI和API流量(入站)样本提交SMTP(出站连接到配置的邮件服务器)恢复模式支持会话(出站)SSH(TGSH对话的入站访问)系统日志(出站连接到配置的系统日志服务器)DIRTY接口连接到DIRTY网络.
需要访问互联网.
仅出站!
DNSNTP更新正常运行模式下的支持会话支持快照恶意软件样本发起的流量CIMC接口可选.
如果已配置,则用于服务器管理和维护.
有关详细信息,请参阅附录中的配置CIMC(可选).
保留(可选)非管理SFP+端口将保留以供将来使用.
思科AMPThreatGrid设备设置和配置指南网络接口连接11网络接口设置图本部分介绍AMPThreatGrid设备的最合理/建议的设置.
但是,每个客户的接口设置是不同的.
例如,根据您的网络要求,在制定了正确的网络安全措施的情况下,您可能决定将DIRTY接口连接至内部,将CLEAN接口连接至外部.
图5-网络接口设置图思科AMPThreatGrid设备设置和配置指南网络接口连接12防火墙规则建议当前状态目标状态协议/端口操作原因DIRTY接口互联网SMTP拒绝防止恶意软件发送垃圾邮件DIRTY接口互联网TCP/19791允许允许连接到ThreadGRID支持DIRTY接口互联网TCP/22允许更新和支持快照服务DIRTY接口互联网IP/任何允许允许来自恶意软件样本的出站流量(要获得准确结果,需要允许恶意软件联系其命令和控制服务器.
)DIRTY接口互联网DNS允许允许出站DNS.
DIRTY接口互联网NTP(UDP/123)允许允许出站流量访问NTP.
CLEAN接口SMTP服务器SMTP允许设备使用CLEAN接口启动与配置的邮件服务器的SMTP连接.
(CLEAN接口不需要出站连接"至互联网".
)CLEAN接口互联网TCP/19791允许允许建立ThreadGRID恢复模式支持连接用户网络CLEAN接口TCP/80TCP/443允许设备API和用户界面CLEAN接口用户网络系统日志/可配置允许允许连接到指定为接收系统日志消息和ThreatGrid通知的服务器.
管理网络ADMIN接口TCP/22TCP/80TCP/443允许SSHOpAdmin门户接口用户网络CLEAN接口TCP/9443允许允许连接到ThreatGRIDUIGlovebox思科AMPThreatGrid设备设置和配置指南网络接口连接13通电连接了服务器外围设备和网络接口之后,请接通设备电源并等待它启动.
思科屏幕会短暂显示:图6-启动期间的思科屏幕注意:如果您要配置此接口,请在完成内存检查后按F8,然后按照"配置CIMC(可选)"部分中的说明操作.
成功启动并连接服务器后,控制台上将显示TGSH对话:思科AMPThreatGrid设备设置和配置指南网络接口连接14图7-TGSH对话ADMINURL显示为不可用-网络接口连接尚未配置,因此无法访问OpAdmin门户来执行此任务.
注意:将管理员密码记录到一个单独的文本文件中,以便在OpAdmin门户配置过程中使用(复制粘贴).
重要信息:TGSH对话将显示初始管理员密码,稍后在配置工作流步骤中访问和配置OpAdmin门户接口时需要该密码.
思科AMPThreatGrid设备设置和配置指南TGSH对话-网络配置15TGSH对话-网络配置DHCP用户:以下步骤假设您使用的是静态IP地址.
如果您使用DHCP获取IP地址,则请参阅《ThreatGrid设备管理员指南》了解详细信息.
1.
在TGSH对话界面中,选择CONFIG_NETWORK.
网络配置控制台将会打开:图8-TGSH对话-网络配置控制台2.
根据您的网络管理员为CLEAN、DIRTY和ADMIN接口提供的设置填写空白字段.
3.
将启用DHCP(DHCPEnabled)从Y更改为N.
注意:您必须通过按BACKSPACE键删除旧字符,才能输入新字符.
4.
DNS名称.
如果您的网络为CLEAN网络使用了DNS名称,则在此处输入该名称.
5.
将配置非默认路由(ConfigureNon-DefaultRoutes)保留为默认的N(除非需要其他路由).
思科AMPThreatGrid设备设置和配置指南TGSH对话-网络配置16图9-正在进行网络配置(CLEAN和DIRTY)6.
将DIRTY网络的DNS名称(DNSName)留空.
思科AMPThreatGrid设备设置和配置指南TGSH对话-网络配置17图10-正在进行网络配置(ADMIN)7.
输入了所有网络设置后,按Tab键向下移动,然后选择验证(Validate)来验证您输入的内容.
如果输入了无效值,可能会显示错误.
如果出现这种情况,请纠正错误并重新验证.