系统配置

仅安全设备、ADC设备和WAF设备支持该功能。

HSM通过对应设备管理器可以对单台被管理设备进行系统配置,并在完成配置后,立即将对应配置下发给指定的设备。包含:

HSM除了可以对单台设备下发系统配置,还可以通过创建系统配置模板,批量下发系统配置给多台设备。具体介绍,请参阅“新建系统配置模板”。

不同设备的系统配置,需先进入对应设备管理器的<设备管理>页面,再执行相关操作。

管理员配置

安全设备、ADC设备和WAF设备的管理员根据角色的不同,对系统可执行的管理和配置权限不同。用户可以通过HSM的相关设备管理器对纳管设备的管理员进行如下配置:

新建管理员

新建管理员,请按照以下步骤进行操作:

  1. 在对应设备管理器的<设备管理>页面,点击列表中的设备名称,打开<设备详情>页面。
  2. 选择“系统信息 > 管理员配置”,进入管理员配置页面。
  3. 点击“新增”按钮,打开<新增管理员>页面。

    在该页面进行如下配置。

    选项说明
    管理员输入管理员的名称。
    管理员角色从下拉菜单选择管理员的角色。安全设备/WAF设备的管理员角色包括系统管理员、系统操作员、系统审计员和系统管理员(只读);ADC设备的管理员角色包括系统管理员、安全操作员、安全审计员和系统管理员(只读)。
    不同的管理员角色拥有不同的权限:
    • 系统管理员:拥有读、执行和写权限,可以对设备所有功能模块进行配置。
    • 系统操作员/安全操作员:可以修改除管理员配置以外的其他功能模块配置,但是不能查看日志信息。
    • 系统审计员/安全审计员:只可以对日志信息进行操作,包括查看、导出和清除。
    • 系统管理员(只读):拥有读和执行权限,可查看当前或者历史配置信息。
    认证类型选择认证类型方式。包括两种:
    • 本地认证:当管理员接入时,根据配置在设备上的管理员信息(包括账号、密码等)进行认证。
    • 服务器认证:当管理员接入时,根据配置在认证服务器上的管理员信息(包括账号、密码等)进行认证。
    说明:在安全设备管理器的“系统信息 > 管理员配置”页面需要配置该选项。
    认证服务器当“认证类型”选择为“服务器认证”,需要选择设备已有的认证服务器,或者点击“”按钮,新建认证服务器。配置认证服务器,请参阅《StoneOS WebUI手册》、《山石网科网络入侵防御系统WebUI手册》或《山石网科网络入侵检测系统WebUI手册》的“配置AAA服务器”章节。支持选择以下四种服务器:
    • RADIUS服务器
    • Active Directory服务器
    • LDAP服务器
    说明:在安全设备管理器的“系统信息 > 管理员配置”页面需要配置该选项。
    逃生模式启用本功能后,服务器不可达时会尝试本地密码校验。服务器返回密码错误时,本功能无效。默认是关闭状态。
    说明:在安全设备管理器的“系统信息 > 管理员配置”页面需要配置该选项。
    密码输入管理员的登录密码。密码的设定需符合系统密码策略规则。
    确认密码 再次输入管理员密码进行确认。
    修改密码编辑管理员配置时,可以看到修改密码功能。开启后,将展示密码输入框。如需修改,输入新的密码后保存配置即可。
    登录类型选择管理员的登录类型复选框。
    • 安全设备的管理员可以采用Console、Telnet、SSH、HTTP、HTTPS和NETCONF的方式登录。
    • ADC设备的管理员可以采用Console、Telnet、SSH、HTTP、HTTPS、RESTful-API和RESTful-API-HTTPS的方式登录。
    • WAF设备的管理员可以采用Console、Telnet、SSH、HTTP和HTTPS的方式登录。
    如果需要采用以上所有方式登录,可选择“全选”复选框。
    RESTful-API Token过期时间指定管理员通过RESTful-API方式登录设备时,登录请求中携带的token的过期时间。管理员首次使用RESTful-API 方式登录时,设备对用户信息认证后,会返回一个token给客户端。客户端再起发起RESTful-API登录请求时,会携带该token,若该token超过了指定的过期时间,将登录失败;客户端需重新向设备发起token认证。取值范围是1到43200分钟,默认值为1440分钟。
    说明:在ADC管理器和WAF设备管理器的“系统信息 > 管理员配置”页面需要配置该选项。
    邮箱在“邮箱”文本框中输入邮箱地址。当开启邮箱认证功能后,可以通过邮箱验证码进行二次认证,未配置邮箱地址的管理员将无法登录。
    说明:在安全设备管理器的“系统信息 > 管理员配置”页面需要配置该选项。
    手机号码在“手机号码”文本框中输入手机号码。当开启短信认证功能后,可以通过手机验证码进行二次认证,未配置手机号码的管理员将无法登录。
    说明:在安全设备管理器的“系统信息 > 管理员配置”页面需要配置该选项。
    描述用户可根据需要指定管理员的描述信息。
  4. 点击“确定”按钮保存所做的配置。系统将立即下发该管理员配置至相应的设备。

编辑管理员

编辑管理员,请按照以下步骤进行操作:

  1. 在对应设备管理器的<设备管理>页面,点击列表中的设备名称,打开<设备详情>页面。
  2. 选择“系统信息 > 管理员配置”,进入管理员配置页面。
  3. 点击“操作”列的按钮进行编辑,具体操作与新建管理员类似,可参阅新建管理员部分。
注意: 不支持编辑管理员名称。

删除管理员

删除管理员,请按照以下步骤进行操作:

  1. 在对应设备管理器的<设备管理>页面,点击列表中的设备名称,打开<设备详情>页面。
  2. 选择“系统信息 > 管理员配置”,进入管理员配置页面。
  3. 点击“操作”列的 按钮,删除相应管理员;点击设备列表上方的按钮,批量删除选中的管理员。

可信主机配置

安全设备、ADC设备和WAF设备使用可信主机来进一步保证系统安全。管理员可以指定一个IP地址范围,在该指定范围内的主机为可信主机。只有可信主机才可以对相应设备进行管理。用户可以通过HSM的相关设备管理器对指定设备的可信主机进行如下配置:

新建可信主机

新建可信主机,请按照以下步骤进行操作:

  1. 在对应设备管理器的<设备管理>页面,点击列表中的设备名称,打开<设备详情>页面。
  2. 选择“系统信息 > 可信主机配置”,进入可信主机配置页面。
  3. 点击“新增”按钮,打开<新增可信主机配置>页面。

    在该页面进行如下配置。

    选项说明
    类型选择可信主机IP地址的类型,可以为IPv4或者IPv6。
    IP地址 根据选择的IP地址类型,输入对应的可信主机IP地址。ADC设备和WAF设备的可信主机IP地址暂不支持配置为IPv6地址。
    • 当可信主机的IP地址类型为“IPv4”时,支持输入IP地址掩码或IP地址范围。
      • IP掩码:在文本框中输入可信主机的IP地址和子网掩码。
        格式示例:1.1.1.1/1。
      • IP范围:在文本框中输入可信主机的起始IP地址和终止IP地址。
        格式示例:1.1.1.1-1.1.1.2。
    • 当可信主机的IP地址类型为“IPv6”时,支持输入IPv6地址或IPv6地址范围。
      • IPv6/前缀长度:在文本框中输入可信主机的IPv6地址和前缀长度。
        格式示例:2001::1/64。
      • IPv6范围:在文本框中输入可信主机的起始IPv6地址和终止IPv6地址。
        格式示例:FF01::1101-FF01::1102。
    MAC当可信主机的IP地址类型为“IPv4”时,该选项可配。
    点击“MAC”后的“启用”按钮,并在下方“MAC地址”文本框中输入可信主机的MAC地址或MAC范围。
    登录类型 选择可信主机的登录类型复选框。
    • 安全设备的可信主机可以采用Console、Telnet、SSH、HTTP、HTTPS和NETCONF的方式登录。
    • ADC设备的可信主机可以采用Console、Telnet、SSH、HTTP、HTTPS、RESTful-API和RESTful-API-HTTPS的方式登录。如果需要采用以上所有方式登录。
    • WAF设备的可信主机可以采用Telnet、SSH、HTTP和HTTPS的方式登录。
    如果需要采用以上所有方式登录,可选择“全选”复选框。
  4. 点击“确定”按钮保存所做的配置。系统将立即下发该可信主机配置至安全设备。

编辑可信主机

编辑可信主机,请按照以下步骤进行操作:

  1. 在对应设备管理器的<设备管理>页面,点击列表中的设备名称,打开<设备详情>页面。
  2. 选择“系统信息 > 可信主机配置”,进入可信主机配置页面。
  3. 点击“操作”列的 按钮进行编辑,具体操作与新建可信主机类似,可参阅新建可信主机部分。
注意: 不支持编辑可信主机的IP地址。

删除可信主机

删除可信主机,请按照以下步骤进行操作:

  1. 在对应设备管理器的<设备管理>页面,点击列表中的设备名称,打开<设备详情>页面。
  2. 选择“系统信息 > 可信主机配置”,进入可信主机配置页面。
  3. 点击“操作”列的 按钮,删除相应可信主机;点击设备列表上方的按钮,批量删除选中的可信主机。

SNMP配置

SNMP功能用于接受网络管理平台的操作请求并反馈网络和系统的相应信息。用户可以通过HSM的安全设备管理器/ADC管理器/WAF设备管理器对指定设备的SNMP功能进行如下配置:

编辑SNMP代理

纳管设备的SNMP代理功能提供网络管理,通过统计数据和接收重要系统事件通知监控网络和系统的运行情况。

编辑SNMP代理,请按照以下步骤进行操作:

  1. 在对应设备管理器的<设备管理>页面,点击列表中的设备名称,打开<设备详情>页面。
  2. 选择“系统信息 > SNMP > SNMP代理”,进入SNMP代理的配置页面。
  3. 点击“编辑”按钮,然后点击SNMP代理后的“启用”按钮,开启SNMP代理功能。

    在该页面进行如下配置。

    选项说明
    对象ID显示系统的SNMP对象ID。此ID为系统专有,用户不能修改。
    系统联络输入SNMP系统联系信息。系统联络,是MIB II中系统组的一个管理变量,内容为网关相关人员的标识及联系方法。用户可以通过配置此参数,将重要信息存储在网关中,以便出现紧急问题时查询使用。
    系统位置输入系统的位置。
    主机端口输入SNMP代理系统的端口号。
    虚拟路由器从下拉菜单中选择所需的虚拟路由器名称。
    本地引擎ID输入SNMP引擎ID号。SNMP引擎ID唯一标识一个引擎。SNMP引擎是SNMP实体(网络管理平台或者被管理网络设备)的重要组成部分,完成SNMP消息的收发、验证、提取PDU、组装消息与SNMP应用程序通信等功能。
  4. 配置完成后,点击“确定”按钮。 系统将立即下发该SNMP代理配置至相应的设备。

新建SNMP主机

新建SNMP主机,请按照以下步骤进行操作:

  1. 在对应设备管理器的<设备管理>页面,点击列表中的设备名称,打开<设备详情>页面。
  2. 选择“系统信息 > SNMP > SNMP主机”,进入SNMP主机的配置页面。
  3. 点击“新增”按钮,打开<新增SNMP主机配置>页面。

    在该页面进行如下配置。

    选项说明
    主机IP 输入SNMP主机的IP地址,支持输入IP地址、IP/掩码或IP范围。
    • IP地址:在文本框中输入主机的IP地址。
      格式示例:1.1.1.1。
    • IP/掩码:在文本框中分别输入主机的IP地址和网络掩码。
      格式示例:1.1.1.1/1。
    • IP范围:在文本框中分别输入起始IP地址和终止IP地址。
      格式示例:1.1.1.1-1.1.1.2。
    SNMP版本选择SNMP版本。
    团体字输入SNMP主机的团体字。团体字是管理进程和代理进程之间的口令,是明文格式。
    权限 选择该团体字的读写权限。
    • 只读:表示此类团体字只可读取MIB中的信息。
    • 可写:表示此类团体字不仅可以读取MIB中的信息,还可以对信息进行修改。
  4. 点击“确定”按钮保存所做的配置。系统将立即下发该SNMP主机配置至相应的设备。
注意: 系统支持为同一SNMP主机下发两种SNMP版本的配置。

编辑SNMP主机

编辑SNMP主机,请按照以下步骤进行操作:

  1. 在对应设备管理器的<设备管理>页面,点击列表中的设备名称,打开<设备详情>页面。
  2. 选择“系统信息 > SNMP > SNMP主机”,进入SNMP主机的配置页面。
  3. 点击“操作”列的 按钮进行编辑,具体操作与新建SNMP主机类似,可参阅新建SNMP主机部分。
注意: 不支持编辑SNMP主机的IP地址和SNMP版本。

删除SNMP主机

删除SNMP主机,请按照以下步骤进行操作:

  1. 在对应设备管理器的<设备管理>页面,点击列表中的设备名称,打开<设备详情>页面。
  2. 选择“系统信息 > SNMP > SNMP主机”,进入SNMP主机的配置页面。
  3. 点击“操作”列的 按钮,删除相应SNMP主机;点击设备列表上方的按钮,批量删除选中的SNMP主机。

新建Trap主机

用户可以新建SNMP Trap主机,用于接收SNMP Trap报文。

新建Trap主机,请按照以下步骤进行操作:

  1. 在对应设备管理器的<设备管理>页面,点击列表中的设备名称,打开<设备详情>页面。
  2. 选择“系统信息 > SNMP > Trap主机”,进入Trap主机的配置页面。
  3. 点击“新增”按钮,打开<新增Trap主机配置>页面。

    在该页面进行如下配置。

    选项说明
    Trap主机 在文本框中输入Trap主机的IP地址。
    Trap主机端口在文本框中输入Trap主机的端口号。
    SNMP代理 选择SNMP版本。
    团体字输入Trap主机的团体字。团体字是管理进程和代理进程之间的口令,是明文格式。
  4. 点击“确定”按钮保存所做的配置。系统将立即下发该Trap主机配置至相应的设备。

编辑Trap主机

编辑Trap主机,请按照以下步骤进行操作:

  1. 在对应设备管理器的<设备管理>页面,点击列表中的设备名称,打开<设备详情>页面。
  2. 选择“系统信息 > SNMP > Trap主机”,进入Trap主机的配置页面。
  3. 点击“操作”列的 按钮进行编辑,具体操作与新建Trap主机类似,可参阅新建Trap主机部分。
注意: 不支持编辑Trap主机的IP地址。

删除Trap主机

删除Trap主机,请按照以下步骤进行操作:

  1. 在对应设备管理器的<设备管理>页面,点击列表中的设备名称,打开<设备详情>页面。
  2. 选择“系统信息 > SNMP > Trap主机”,进入Trap主机的配置页面。
  3. 点击“操作”列的 按钮,删除相应Trap主机;点击设备列表上方的按钮,批量删除选中的Trap主机。

DNS服务器配置

DNS(Domain Name System,域名系统)是一种组织成域层次结构的计算机和网络服务命名系统,用于TCP/IP网络,主要用来寻找Internet域名(如www.xxxx.com)并转化为IP地址(如“10.1.1.1”)以定位相应的计算机和相应服务。

HSM可以通过对应设备管理器为指定设备配置DNS服务器,即为指定设备配置进行DNS解析时使用的服务器。

新建DNS服务器

新建DNS服务器,请按照以下步骤进行操作:

  1. 在对应设备管理器的<设备管理>页面,点击列表中的设备名称,打开<设备详情>页面。
  2. 选择“系统信息 > DNS服务器配置”,进入DNS服务器配置页面。
  3. 点击“新增”按钮,打开<新增DNS服务器配置>页面。
    • 类型:选择DNS服务器IP地址的类型,可以为IPv4或者IPv6。
    • 虚拟路由器 : 在下拉菜单选择VR,默认为缺省VR,即trust-vr。为安全设备和WAF设备配置DNS服务器时需配置该选项。
    • 服务器IP:输入DNS服务器的IP地址。
  4. 点击“确定”按钮。系统将立即下发该DNS服务器配置至相应的设备。

删除DNS服务器

删除DNS服务器,请按照以下步骤进行操作:

  1. 在对应设备管理器的<设备管理>页面,点击列表中的设备名称,打开<设备详情>页面。
  2. 选择“系统信息 > DNS服务器配置”,进入DNS服务器配置页面。
  3. 点击“操作”列的 按钮,删除相应DNS服务器;点击设备列表上方的按钮,批量删除选中的DNS服务器。

管理接口配置

安全设备/WAF设备支持Console、Telnet、SSH以及Web方式的访问;ADC设备支持Console、Telnet、SSH、Web、Web控制台以及RESTful-API方式的访问。用户可以配置各种访问方式的相关参数,如超时时间、端口号、HTTPS的PKI信任域等。

使用Telnet、SSH、HTTP或者HTTPS方式登录设备时,如果在一分钟内连续三次登录失败,系统会将登录失败的IP地址锁定两分钟。被锁定的IP地址在两分钟内不能建立与安全设备/ADC设备/WAF设备的连接。

使用HTTPS方式登录设备时,可以使用常规HTTPS方式或者国密HTTPS方式。安全设备两种方式均支持,ADC和WAF设备仅支持使用常规HTTPS方式。

用户可以通过HSM的安全设备管理器/ADC管理器/WAF设备管理器对指定设备的管理接口进行配置。

配置管理接口的相关参数,请按照以下步骤进行操作:

  1. 在对应设备管理器的<设备管理>页面,点击列表中的设备名称,打开<设备详情>页面。
  2. 选择“系统信息 > 管理接口配置”,进入管理接口配置页面。
  3. 点击“编辑”按钮,进入设备管理接口配置的编辑页面。

    在该页面进行如下配置。

    选项说明
    Console 配置使用Consoe管理口登录的参数信息。
    • 超时:输入Console登录的超时时间。单位为分钟,取值范围为0到60,默认值为10。若取值为0,表示Console方式访问无时间限制。系统若发现用户在超时时间内未通过Console口进行任何配置,将断开此次Console连接。
    Telnet 配置Telnet登录的参数信息。
    • 超时:输入Telnet登录的超时时间。单位为分钟,取值范围为1到60,默认值为10。
    • 物理端口:输入Telnet登录使用的端口号,取值范围为1到65535,默认值为23。
    SSH 配置SSH登录的参数信息。
    • 超时:输入SSH登录的超时时间。单位为分钟,取值范围为1到60,默认值为10。
    • 物理端口:输入SSH登录使用的端口号,取值范围为1到65535,默认值为22。
    Web 配置WebUI登录的参数信息。 不同类型的设备的WebUI登录参数不同,请以实际界面为准。
    • 单点登录:点击启用按钮,开启允许第三方单点登录设备的功能。该功能默认为关闭状态,用户可按需开启。开启该功能并配置第三方平台对应的单点登录方案后,用户可在登录第三方平台后,直接访问设备而无需输入用户名和密码。系统支持三种单点登录方案。
      • CAS_QIMING:指定单点登录方案为启明CAS服务器单点登录。指定后,用户可在启明星辰云安全资源池平台单点登录到设备。
        • Service Ticket校验地址:指定CAS服务器校验 Service Ticket的URL地址。
        • 虚拟路由器:指定CAS服务器所在的虚拟路由器。
      • CTYUN:指定单点登录方案为天翼云单点登录。指定后,用户可在天翼云平台单点登录到设备。
      • 360_YUNZHEN:指定单点登陆方案为360云阵单点登录。指定后,用户可在360云阵云安全管理平台单点登录到设备。
    • 允许相同账号同时登录:点击启用按钮,开启允许相同账号同时登录功能。开启该功能后,当使用Web方式登录设备时,用户可以使用同一账号在多处同时登录设备。默认情况下,该功能为关闭状态,即当使用同一账号再次登录时,已登录的用户将会被踢出。
    • 超时:输入WebUI登录的超时时间。单位为分钟,取值范围为1到1440,默认值为10。
    • HTTP服务端口:输入HTTP登录使用的端口号,取值范围为1到65535,默认值为80。
    • HTTPS服务端口:输入HTTPS登录使用的端口号,取值范围为1到65535,默认值为443。
    • HTTPS国密算法:点击“启用”按钮,开启国密HTTPS方式登录设备的功能。若不启用该功能,当使用HTTPS方式登录设备时,默认使用常规HTTPS方式登录设备。该功能默认为关闭状态。
    • HTTPS信任域:从下拉菜单中选择常规HTTPS方式登录设备时使用的PKI信任域,或者选择国密HTTPS方式登录设备时使用的签名证书信任域。当使用常规HTTPS方式登录设备时,系统会使用指定PKI信任域中的证书;当使用国密HTTPS方式登录设备时,系统会使用指定PKI信任域中的证书作为签名证书。默认情况下,系统将使用缺省PKI信任域trust_domain_default。
    • HTTPS加密信用域:从下拉菜单中选择国密HTTPS方式登录设备时使用的加密信任域。当使用国密HTTPS方式登录设备时,系统会使用指定PKI信任域中的证书作为加密证书。默认情况下,系统将使用缺省PKI信任域trust_domain_default。
    • 证书认证:点击“启用”按钮,开启证书认证登录功能。其中证书包括两种:客户端数字证书和由根CA签名的二级CA证书。证书认证属于双因素认证的一种。双因素认证是指除了对用户名和密码进行认证外,还需要进行其他方式的认证,例如证书和指纹等等。
    • 证书绑定信任域:开启证书认证登录功能后,当使用HTTPS方式登录设备时,系统会使用此PKI信任域中的证书进行认证。此信任域必须导入CA根证书。
    • CN检查:开启CN检查后,用户登录时会对CA根证书的主题名称进行检查校验,只有证书与用户对应一致才能登录成功。
    Web控制台配置使用Web控制台登录的参数信息。仅ADC设备支持配置该选项。
    • 物理端口:输入使用Web控制台登录使用的端口号,取值范围为1到65535,默认值为420。
    RESTful-API 配置RESTful-API登录的参数信息。 仅ADC设备支持配置该选项。
    • HTTP服务端口:输入RESTful-API-HTTP登录使用的端口号,取值范围为1到65535,默认值为8000。
    • HTTPS服务端口:输入RESTful-API-HTTPS登录使用的端口号,取值范围为1到65535,默认值为4443。
    • HTTPS信任域:从下拉菜单中选择RESTful-API-HTTPS登录的PKI信任域。当使用RESTful-API-HTTPS方式登录设备时,系统会使用指定PKI信任域中的证书。
  4. 点击“确定”。系统将立即下发该管理接口配置至相应的设备。
注意: 当改变HTTP服务端口、HTTPS服务端口、HTTPS信任域、HTTPS加密信用域、证书认证、证书绑定信任域、CN检查时,Web服务器需要重启,这可能会导致浏览器无法得到回应。当这种情况发生时,请重新登录设备。

NTP服务器配置

被HSM系统纳管的设备的系统时间影响到VPN隧道的建立和时间表的时间,因此系统时间的精确性十分重要。为保证设备的系统能够一直保持精确时间,安全设备/ADC设备/WAF设备允许用户通过NTP来使系统时间与网络上的NTP服务器同步。

用户可以通过HSM的安全设备管理器/ADC管理器/WAF设备管理器对指定设备的NTP服务器进行配置。

配置NTP服务器,请按照以下步骤进行操作:

  1. 在对应设备管理器的<设备管理>页面,点击列表中的设备名称,打开<设备详情>页面。
  2. 选择“系统信息 > NTP服务器配置”,进入NTP服务器配置页面。
  3. 点击“编辑”按钮,然后点击启用NTP后的“启用”按钮,开启NTP功能。

    在该页面进行如下配置。

    选项说明
    启用NTP 点击“启用”按钮,开启NTP功能。默认情况下,系统的NTP功能是关闭的。
    认证 点击“启用”按钮,开启NTP身份验证。
    NTP服务器 指定安全设备需要同步的NTP服务器,用户最多可以指定3个NTP服务器。
    • IP/域名:在文本框中输入服务器的IP地址或域名。
    • 密钥:指定可以通过该服务器验证的密钥。如果要在配置的时钟服务器上使用NTP身份验证功能,用户必须指定密钥参数值。
    • 虚拟路由器:指定进行NTP通信的接口所属的VR。
    • 源接口:指定设备上发送和接收NTP包的接口。
    • 首选服务器:点击启用按钮,将对应的服务器设置为首选服务器。设备首先与首选服务器进行时间同步。
    系统与NTP服务器同步的间隔时间 指定同步间隔的时间。设备每隔一个同步间隔就与服务器做一次同步,以保证设备系统时间的准确。取值范围是1到60分钟,默认值为5分钟。
    最大调整时间指定最大调整时间的值。如果设备和NTP时钟服务器的时间差在最大调整时间之内,就能成功进行时间同步,否则同步不成功。取值范围是0到3600秒,默认值为10秒。
  4. 点击“确定”按钮保存所做配置。 系统将立即下发该NTP服务器配置至相应的设备。

邮件服务器配置

用户可以HSM的安全设备管理器/ADC管理器/WAF设备管理器对指定设备的邮件服务器进行配置,将系统日志等信息发送到指定的邮箱。

配置邮件服务器,请按照以下步骤进行操作:

  1. 在对应设备管理器的<设备管理>页面,点击列表中的设备名称,打开<设备详情>页面。
  2. 选择“系统信息 > 邮件服务器配置”,进入邮件服务器配置页面。
  3. 点击“编辑”按钮,进入邮件服务器配置的编辑页面。

    在该页面进行如下配置。

    选项说明
    名称输入邮件服务器的名称。
    服务器(域名/IP)输入邮件服务器的域名或者IP地址。
    传输方式 指定邮件的传输方式。
    • PLAIN:指定邮件使用明文且非加密的方式传输。该方式为默认传输方式。
    • STARTTLS:STARTTLS是对纯文本通信协议的扩展,它将纯文本连接升级为加密连接。指定为该方式,邮件将使用加密方式传输。
    • SSL:SSL协议是为网络通信提供安全及数据完整性的一种安全协议。指定为该方式,邮件将使用加密方式传输。
    物理端口在文本框中指定邮件服务器的端口号。范围是1到65535。不同传输方式下的默认端口号不同,PLAIN:25,STARTTLS:25,SSL:465。
    虚拟路由器从下拉菜单中选择SMTP服务器的VR。默认为缺省VR,即trust-vr。
    验证用户可根据需要,点击“启用”按钮开启验证功能,并在之后的“用户名”、“密码”和“确认密码”文本框中输入发送日志信息的用户名以及对应的密码。
    Email在文本框中指定发送日志信息的Email地址。
  4. 点击“确定”按钮,保存所做配置。 如需清空已做配置,点击“清空配置”按钮。系统将立即下发该邮件服务器配置至相应的设备。

手动同步配置

当用户在HSM的安全设备管理器/ADC管理器/WAF设备管理器中进行配置并下发至相应的设备后,会在列表中“配置状态”列展示下发状态,包含“同步”和“未同步”。

如下图所示,以管理员列表为例,若HSM成功下发配置,配置状态为“同步”;若HSM下发配置失败,配置状态为“未同步”,可以点击按钮,重新下发配置至相应的设备。