一、登录安恒云管理控制台

通过在谷歌或火狐浏览器地址栏输入“http://IP地址/console”即可登录安恒云管理控制台，管理控制台超级管理员账号是superadmin；

二、系统设置-基础设置

在菜单栏选择“系统设置/基础设置”，可以配置以下参数：

2.1、配置访问协议及访问方式

点击<配置访问协议>，根据您的团队使用习惯，您可以指定协议、端口来访问私有部署门户网址。建议刚开始使用时就确认好后续需要使用的协议及端口，否则后续切换后可能因为Proxy、Agent（直连模式）连接不上门户原网址导致Proxy、Agent断连！！！

点击<配置访问方式>，根据您的团队使用习惯，您可以把门户服务器内网IP映射后的公网IP填入“访问方式”里的“服务器IP”，或把已映射的域名填入“绑定域名”里，并选择您已添加的“CA证书”；

注意：请不要随意修改门户服务器内网IP，否则可能因为Proxy、Agent（直连模式）连接不上门户网址导致Proxy、Agent断连！！！添加IP或域名不会受影响；

延伸阅读：变更访问协议以及端口需要注意什么？

延伸阅读：添加域名证书详细操作步骤

2.2、配置系统参数

点击<配置>，进行系统参数设置。

（1）OTP校验允许偏离范围：OTP校验时，可以设置允许当前时间前后若干个验证码，每个验证码有效期为30秒，为0表示不允许偏离；

（2）敏感操作二次认证有效期：在执行主机运维策略中定义的需要双因子认证的敏感操作时，用户认证后在有效期内无需重复认证；

（3）成员邀请链接有效期：邀请好友加入团队时，邀请链接的有效期；

（4）数据库工具闲置断开时长：使用数据库工具访问数据库时，如果连续在指定时长内未做任何操作，将自动断开连接；

（5）图形验证码强度：图形验证码的强度，强度越大代表干扰线越多，越难识别，但相应的防破解强度更高；

（6）支持FTP协议会话：是否允许创建FTP协议的主机会话，关闭后将无法创建FTP会话。由于FTP协议的安全性较低，请根据实际情况考虑是否启用；

（7）允许匿名参与会话分享：会话开启分享时，是否允许匿名访客进入。禁止后，会话分享将禁止匿名访客进入会话；

（8）允许门户重复登录：是否允许同一个用户同时在不同浏览器登录门户，禁止后，用户登录时，会强制结束该用户在其它浏览器登录的门户会话；

（9）允许密码登录SSH跳板机：是否允许使用密码登录安恒云跳板机并访问主机，关闭后将只能使用密钥登录；

（10）自定义RDP会话标题：WEB及本地工具RDP会话的标题；支持参数+文本，参数包括：主机IP ${hostip}、主机名${hostname}、主机账户${account}

（11）自定义SSH会话标题：WEB及本地工具SSH会话的标题；支持参数+文本，参数包括：主机IP ${hostip}、主机名${hostname}、主机账户${account}

（12）自定义VNC会话标题：WEB的VNC会话的标题；支持参数+文本，参数包括：主机IP ${hostip}、主机名${hostname}、主机账户${account}

（13）自定义Telnet会话标题：WEB的Telnet会话的标题；支持参数+文本，参数包括：主机IP ${hostip}、主机名${hostname}、主机账户${account}

2.3、配置安全策略

配置系统的各项安全策略，保障当前部署的安恒云私有部署安全运行；包括门户安全策略和管理控制台安全策略。

2.3.1、配置门户安全策略：

点击门户安全策略对应的<设置>进行配置。注意，此处配置的是登录门户网址的安全策略，不是登录管理控制台的安全策略；

（1）设置用户密码策略

（此设置对通过外部认证服务器（LDAP）导入的用户无效）：

（2）设置身份认证：

用户在登录安恒云时，可以设置是否对用户进行二次身份验证，二次身份认证可以选择“短信认证”、“OTP”、“第三方应用”、“RADIUS”等作为认证方式。且可以设置“是否允许通过第三方应用扫码登录门户”（前提是在管理控制台里配置了对应的第三方应用）以及设置“登录门户后的超时时长”；

（3）设置防暴力破解：

设置门户安全策略白名单，将只允许白名单中的IP登录门户，此项设置适合在明确访问来源的情况下设置，同时避免互联网环境下的异地登录；

设置门户安全策略为黑名单，可以开启防暴力破解机制，连续尝试密码失败的IP将被加入IP黑名单，黑名单中的IP将不允许登录门户；

设置完后点击<确定>，在这里我们可以看到“门户IP黑名单”（在没有开启黑白名单时不可见），点击<设置>；

此时可以手动添加IP至黑名单，并设置“有效期”；

（4）设置异地登录提醒：

当用户登录门户的公网IP不属于经常登录的城市时，将通过成员已经配置好的微信、短信、邮件进行消息提醒；

（如果系统未配置有效的消息推送方式，异地登录提醒无法生效）

2.3.2、配置管理控制台安全策略：

点击管理控制台安全策略对应的<设置>进行配置。注意，这里是登录管理控制台网址的安全策略，不是登录门户网址的安全策略；

（1）设置用户密码策略：

（2）设置身份认证：

用户在登录管理控制台时，将对用户进行二次身份验证。另外还可以设置“登录管理控制台后的超时时长”；

扩展阅读：开启管理控制台二次认证后，因手机丢失等原因无法通过二次认证进入管理控制台，该如何关闭

（3）设置防暴力破解：

在白名单策略下，将只允许白名单中的IP登录管理控制台，此项设置适合在明确访问来源的情况下设置，同时避免互联网环境下的异地登录；

设置管理控制台安全策略为黑名单，可以开启防暴力破解机制，连续尝试密码失败的IP将被加入IP黑名单，黑名单中的IP将不允许登录管理控制台；

设置完后点击<确定>，在这里我们可以看到“管理控制台IP黑名单”（在没有开启黑白名单时不可见），点击<设置>；

此时可以手动添加IP至黑名单，并设置“有效期”；

2.4、配置存储方式

点击<修改存储方式>，可以重新配置数据存储方式和路径。

在这里您可以查看或配置团队网盘、主机网盘、审计录像、冗余文件的路径到本地存储或公有云对象存储（阿里云OSS、AWS S3或Azure Blob)。如无特别需求，建议用默认存储路径即可。

注意：在修改存储方式时，对于已经产生的数据，系统并不提供迁移的功能，因此修改存储方式后，在安恒云中将无法再访问这些历史数据。请谨慎操作；

如果您想配置路径到阿里云OSS或AWS S3或Azure Blob，请查看配置网盘和审计日志存储至对象存储指引；

2.5、日志文件归档

随着用户使用安恒云的时间逐渐增加，导致用户的审计日志文件越来越繁多，十分占用系统磁盘空间，在这里您可以进行日志文件归档设置。将操作日志、审计日志、审计录像及冗余文件进行归档以节省日志存放的磁盘空间，可有效提升系統响应速度。

可设置的内容：（1）您可以设置归档位置的路径。（2）选择是否开启自动归档。（3）选择归档策略，保留系统最近N个月的日志记录（系统每月1号的0时检查系统日志记录，并自动进行归档）。（4）当存储满时，选择“自动删除最早的归档文件”或“不再归档日志文件”；

2.6、日志备份至syslog服务器

在这里您可以进行日志备份至syslog服务器设置。您配置好您自己的syslog服务器地址后，会实时将选择的日志文件备份到syslog服务器。可以备份“主机操作日志”、“门户登录日志”、“主机会话指令审计日志”、“主机告警记录”、“数据库审计日志”；

注意：发送者标识随意填写即可，一般syslog的默认端口都是514，协议请参考syslog本身的配置文件；

2.7、配置产品信息、Logo、客服、公告

在这里您可以定义您的产品名称、公司名称、备案号、产品Logo、登录页背景；

在这里您可以配置您的电话客服号码、QQ客户号码、旺旺客服号码；

在这里您启用或禁用公告栏；

开启公告栏后，可在管理控制台中发布公告文章到所有团队，在团队的首页可查看发布的公告信息，具体操作请在开启后参考公告栏使用指引

2.8、配置短信网关

在这里您可以配置短信网关，手机短信服务应用于双因子认证和密码重置等验证码应用场景；

安恒云官方为用户提供默认的短信网关，但使用过程有以下限制：

（1）当前主机必须要能够和安恒云的官网通讯；

（2）我们为您提供了共计1000条的短信配额，配额不足时请和安恒云在线客服联系；

（3）默认短信网关仅支持国内短信，如有国际短信需求请和安恒云在线客服联系；

如您想接入已有的短信网关平台，请按照短信网关接口规范文档中的说明完成短信网关API的开发；

2.9、配置邮件服务器

在这里您可以配置邮件服务器，通过配置您的邮件SMTP服务器，来开启当前邮件通知等功能，邮件通知适用于用户邮件注册、用户找回密码等场景，具体配置方式请参考邮件配置指引

2.10、配置微信、企业微信、钉钉

在这里您可以配置微信、企业微信、钉钉其中任意一种应用支持，具体配置方式请参考微信配置指引、企业微信配置指引、钉钉配置指引

三、系统设置-其他设置

3.1、系统设置-许可管理

在菜单栏选择“系统设置/许可管理”，可以查看和配置许可相关信息：

若要更换License，请登录安恒云私有部署管理控制台，如下图，点击<导出服务器标识>，将该服务器标识发送给厂商的客户经理，由其为您颁发新的License许可；

在“许可管理”中，点击<导入许可>；将您获得的新License信息填入，点击<确认>，如果License许可合法，则将成功更换。

3.2、系统设置-中转管理

在私有部署里，门户服务和会话中转服务可以部署在同一个虚拟机之中，也可以独立部署，独立部署的好处是：当并发会话数量过大时，能够将负载压力有效的均衡分布在多个会话中转服务之上。该设置适用于会话并发数量非常多的情况，如需使用该功能，请先和安恒云客服或商务联系，一般建议安装多Proxy来进行云账户会话负载均衡即可，无需安装多中转；

一般默认门户服务器自带中转，无需另外安装。如和客服确定需要安装及管理其他中转，请参考中转部署管理；

3.3、系统设置-OpenAPI

在这里可以启用API，具体使用方式请参考OpenAPI使用指引；

3.4、系统设置-备份与还原

选择菜单栏的“系统设置/备份与还原”，可以查看备份文件所占用的存储资源概况，修改备份目录。可以设置备份策略以及创建备份。

• 扩展阅读：

（1）备份服务对应门户服务器（安装安恒云的服务器）端口配置文件是/opt/cloudbility/conf/cloudEnt.properties

（2）备份服务对应门户服务器的端口号默认为10000

（3）备份服务在门户服务器里重启方式/opt/cloudbility/native/backup/guanjia_backup service restart

（4）中止备份：在门户服务器里输入ps -ef |grep backup.sh|grep -v grep|awk '{print $2}' | xargs kill -9

3.5、系统设置-升级管理

针对资产规模较大的私有部署客户，在升级时可能遇到批量升级Agent及Proxy所带来的流量风暴的困扰。

选择菜单栏的“系统设置/升级管理”，进入“升级管理”界面，可自定义系统升级时，对Agent或Proxy是否进行自动升级、升级的并发数量及升级限速进行设置；同时如果关闭了自动升级，也支持手动对Agent及Proxy进行升级。

3.5.1、Proxy升级管理

选择Proxy页签，点击Proxy升级设置区域的<设置>，可以设置Proxy是否自动升级，并且开启自动升级后，可以设置“升级时最多允许同时升级”的数量，以及设置“每个Proxy升级时限速”，这样可以避免所有Proxy同时进行升级导致网络内的流量风暴；

您还可以点击左下角<强制升级全部待升级的Proxy>或者<强制升级所选Proxy>来升级您需要升级的Proxy；

点击某台Proxy的<查看详情>，可以“强制升级Proxy”，也可以在这里“下载升级日志”（需要先点击上传升级日志）；

3.5.2、Agent升级管理

选择Agent页签，点击Agent升级设置区域的<设置>，可以设置Agent是否自动升级，并且开启自动升级后，可以设置“升级时最多允许同时升级”的数量，以及设置“每个Agent升级时限速”，这样可以避免所有Agent同时进行升级导致网络内的流量风暴；

您还可以点击左下角<强制升级全部待升级的Agent>或者<强制升级所选Agent>来升级您需要升级的Agent；

点击某台Agent的<查看详情>，可以“强制升级Agent”，也可以在这里“下载升级日志”（需要先点击上传升级日志）；

四、团队管理-团队及用户管理

4.1、团队管理-基础信息

（1）在菜单栏选择“团队管理/团队管理”进入团队管理页面，可以创建、删除团队；

（2）在团队管理页面中，点击团队的<详情>，在如图“团队信息”中可以编辑“团队名称”以及更换“团队拥有者”；

4.2、团队管理-产品管理

• 注意：该功能只适用于安恒云运营版；

运营版License许可控制的是多团队运营形态下当前实例能够为团队开通哪些产品。团队默认不开通产品，团队可进行产品自助式开通或申请开通，开通记录将以订单的形式进行记录；

在团队管理页面中，点击团队的<开通产品>或<详情>，例如在下图的“产品管理”中的专享型页签下，可以开通相关产品；

4.3、基础设置-租户资产模型

在菜单栏选择“团队管理/基础设置”，在“可管理资产配置”这里可以选择“租户资产模型”；

建议标准版及企业版许可的选择“租户共享模式”，意味着所有或单个团队共享当前系统可用配额的总数。而在运营版中，租户资产模型固定为租户配额模式，无法修改。

4.4、基础设置-配额管理

在菜单栏选择“团队管理/团队管理”进入团队管理页面，点击团队的<详情>，在如图“配额管理”中点击<编辑>可以编辑相关产品配额，可以修改并发会话数量、主机审计日志保留时长、文件传输冗余文件保存时长、并发作业/任务数量、会话最大时长、网盘单个文件大小、文件传输下行流量、文件中转站存储空间等；

4.5、用户管理

4.5.1、用户创建、删除

在菜单栏选择“团队管理/用户管理”进入用户管理页面，如图可以创建新用户、删除用户，在“进入批量管理”里还能批量删除用户；

4.5.2、用户管理

在菜单栏选择“团队管理/用户管理”进入用户管理页面，在每个用户的最后面，可以点击该用户的<详情>，可以对用户进行密码重置、锁定、手机邮箱动态令牌的绑定及解绑、安全策略设置、登录时段设置；

注意：由于通过第三方认证服务器认证的用户无法重置密码，所以AD/LDAP和RADIUS认证的用户都不允许重置密码；

（1）对门户用户进行密码修改、锁定，给用户绑定手机、邮箱，给用户解绑动态令牌（这里只能解绑）：

（2）用户安全策略设置：

• 注意1：IP限制时请根据您实际情况进行填写，日常通过内网IP方式打开安恒云门户网站时，这里要填写用户电脑客户端的内网IP，而日常是通过外网IP或域名打开安恒云门户网站，这里要填写用户电脑客户端的外网出口IP，否则无法限制生效。

• 注意2：MAC地址限制只对内网访问安恒云门户网站时生效，并且要求同一个内网网段；例如安恒云门户网站是192.168.2.2，那么用户电脑客户端IP如果是192.168.3.2，不在一个网段内，此时设置MAC白名单后，用户也无法登录进安恒云门户网站。

（3）用户登录时段设置：

4.5.2、团队成员添加与移除

在菜单栏选择“团队管理/团队管理”进入团队管理页面，点击<详情>后可以在“成员信息”里为当前团队添加“已有用户”或“创建新成员”，也可以移除“团队成员”；

五、团队管理-登录方式管理

在菜单栏选择“团队管理/基础设置”进入基础设置页面，在用户登录认证设置区域，点击<设置>可以设置多种登录方式；

5.1、OIDC单点登录

在弹出的登录方式设置页面，选择“OIDC单点登录”，开启OIDC单点登录后，安恒云门户登录将被禁用，用户只能通过统一门户进行单点登录。

注意：此种模式如有需要，可以联系安恒云商务人员进行需求沟通。

5.2、CAS单点登录

在弹出的登录方式设置页面，选择“CAS单点登录”，开启CAS单点登录后，安恒云门户登录将被禁用，用户只能通过统一门户进行单点登录。

具体配置方式请参考CAS单点登录配置指引

5.3、ACC单点登录

在弹出的登录方式设置页面，选择“ACC单点登录”，ACC单点登录是电信行业解决方案，开启后仍然通过安恒云门户登录，但由ACC服务器进行用户的身份认证。

具体配置方式请参考ACC单点登录配置指引

5.4、配置AD域/LDAP

在菜单栏选择“团队管理/基础设置”进入基础设置页面，在认证服务器区域点击<立即配置>可以配置“AD域/LDAP”；

具体配置方式请参考AD域/LDAP配置指引

5.5、配置RADIUS

在“团队管理”菜单下的“基础设置”中，在“认证服务器”这里可以配置“RADIUS”；

具体配置方式请参考RADIUS配置指引

六、运营中心

注意：如果您是购买的私有部署标准版或企业版等单团队版本，请直接去门户网址里进行下列设置，管理控制台里的运营中心适用于多团队的运营版；

6.1、订单管理

运营版License许可控制的是多团队运营形态下当前实例能够为团队开通哪些产品。团队默认不开通产品，团队可进行产品自助式开通或申请开通，开通记录将以订单的形式进行记录；

在菜单栏选择“运营中心/订单管理”进入订单管理页面，可以看到所有开通的订单服务信息；

点击<详情>可以看到订单服务具体信息；

6.2、工单中心

在菜单栏选择“运营中心/工单管理”进入工单管理页面，可以创建相关运营中心的工单；

点击<新建运营工单模板>，可以创建“服务申请工单”、“客服工单”、“主机申请工单”、“主机变配工单”；

6.3、资源池管理

在菜单栏选择“运营中心/资源池管理”可以添加新的资源池，具体资源池使用方式请参考资源池管理

添加后请注意该资源池是否有授权给对应的团队；

6.4、成本计费规则

在菜单栏选择“运营中心/成本计费规则”可以配置成本计费规则。

6.5、主机模板管理

在菜单栏选择“运营中心/主机模板管理”可以管理主机模板。

6.6、公告栏管理

在菜单栏选择“运营中心/公告栏管理”可以管理公告栏文章和公告栏标签。

七、控制台管理

注意：这里是管理控制台的用户及角色管理，不是门户网址的用户管理，如不需要为管理控制台添加管理控制台的用户，则无需在这里进行创建管理。

7.1、后台用户管理

管理控制台用户管理；

在菜单栏选择“控制台管理/后台用户管理”可以管理控制台用户。

7.2、后台角色管理

管理控制台角色管理；

在菜单栏选择“控制台管理/后台角色管理”可以管理后台角色。

7.3、用户登录日志

在菜单栏选择“控制台管理/用户登录日志”可以查看到用户通过门户网页、跳板机等登录的相关日志：

7.4、控制台登录日志

在菜单栏选择“控制台管理/控制台登录日志”可以查看用户登录管理控制台网页的日志；

7.5、系统日志

在菜单栏选择“控制台管理/系统日志”可以管理控制台的系统日志；

八、管理控制台密码修改

8.1、知道密码，可以直接在管理控制台里修改密码

管理控制台密码修改，如图，当您可以进入管理控制台时，点击页面右上角的<超级管理员>，在弹出的下拉菜单选择“重置密码”进行修改；

8.2、忘记密码，重置密码方式

管理控制台的密码是在系统初始化时设置的，如果一旦您在后期遗忘了该密码，请按照以下步骤进行重置：

（1）以root用户通过SSH登录安恒云私有部署服务器；root用户密码请联系系统管理员获取。

（2）执行以下命令，进入安恒云的安装目录下的bin文件夹：

cd /opt/cloudbility/bin

 

（3）执行以下命令，并输入两次新的密码，修改管理控制台密码成功（账号默认是admin）。

./gjpasswd --reset

 

九、产品管理

9.1、租户产品实例

在菜单栏选择“产品管理/租户产品实例”，选择专享型产品，可以查看租户产品的实例详情。

9.2、产品基础设置

在菜单栏选择“产品管理/产品基础设置”，选择专享型产品基础设置，可以查看安全产品的运行详情。

点击对应产品的<配置>，可以进行产品配置，在产品配置页面，点击<编辑信息>修改产品配置。

在菜单栏选择“产品管理/产品基础设置”，选择云账号管理（专享型产品） 页签，可以进行云账号管理。

点击<添加云账号>，可以添加新的云账号；点击当前云账号右上角的编辑按钮可以编辑云账号信息；点击删除按钮，可以删除当前云账号。

9.3、产品引流配置

在产品引流配置菜单可以管理IP资源池、引流配置和Netconf配置。对于镜像类安全产品，必须进行引流配置，才可以对流量进行防护。

IP资源池

IP资源池是为安恒云上安全产品分配的可用IP网段。可在引流配置中为不同的安全产品配置使用不同的网段，实现不同租户的安全产品之间的安全隔离。

在菜单栏选择“产品管理/产品引流配置/IP资源池”，进入IP资源池管理界面。可以增加、修改和删除IP资源池。

• 点击<添加IP资源池>，可以添加IP资源池，输入网段名称、VLAN ID以及网段和网关地址。

• 点击IP资源池所在行对应的<编辑>可以修改该IP资源池信息。

• 点击IP资源池所在行对应的<删除>可以删除该IP资源池记录。

引流配置

引流配置可以将IP资源池内的IP网段与团队关联起来，将外部流量引入云内清洗。

引流指的是为租户（团队）分配引流网络（即IP资源池中的网段）。分配引流网络后，租户（团队）才能够创建安全产品。创建安全产品时系统会根据选择的引流网络（网段）为安全实例分配引流网络中IP地址。

为租户（团队）分配引流网络时，系统会自动创建一台引流防火墙，通过该防火墙的策略路由实现用户业务流量的牵引，即用户的业务流量先通过引流防火墙，再到达安全产品。

在菜单栏选择“产品管理/产品引流配置/引流配置”，进入引流配置页面。可以增加和删除引流配置。

• 点击<添加引流配置>可以新建引流配置。

• 点击引流记录所在行对应的<删除>可以删除该引流记录。

Netconf配置

系统通过Netconf接口下发策略路由，将租户（团队）需要防护的业务流量从交换机上引入到对应租户（团队）的虚拟路由器或者引流防火墙上。

在菜单栏选择“产品管理/产品引流配置/Netconf配置”，进入Netconf配置页面，可以进行引流交换机配置和外部引流策略配置。

• 选择引流交换机配置页签，点击<添加引流交换机>，在弹出添加向导提示下添加引流交换机。当前仅支持H3C交换机。

• 点击引流交换机图标上的<编辑>，可以重新配置引流交换机的连接信息和引流配置。

• 点击引流交换机图标上的<删除>，可以删除该引流交换机。

• 选择外部引流策略配置页签，点击<添加外部引流策略>，在弹出添加外部引流策略页面设置外部引流策略，然后点击<确认>。

• 点击引流策略所在行对应的<删除>，可以删除该引流策略。

• 点击引流策略所在行对应的<下载>，可以下载该引流策略。