Zones管理指南 vShieldZones1.0 CN-000167-00 vShieldZones管理指南 VMware网站将提供最新的技术文档，网址为：/support/此外，VMware网站还提供最新的产品更新。
如果对本文档有任何意见或建议，请将反馈信息提交至以下地址：docfeedback@ 版权所有©2009VMware,Inc.保留所有权利。
此产品受到美国和国际版权法及知识产权法保护。
VMware产品涉及/go/patents中列出的一项或多项权利。
VMware是VMware,Inc.在美国和/或其他法律辖区的注册商标或商标。
此处提到的所有其他商标和名称分别为其各自公司的商标。
VMware,Inc.3401HillviewAve.PaloAlto,CA94304
2 VMware,Inc. 目录 关于本文档9 1vShieldZones概述11 vShieldZones组件11vShieldManager11vShield代理11 2vShieldManager用户界面基础13 登录vShieldManager13访问联机帮助13vShieldManager用户界面14 vShieldManager清单面板14刷新清单面板14搜索清单面板14 vShieldManager配置面板14 3管理系统设置15 标识vCenterServer15标识DNS服务16设置vShieldManager的日期和时间16标识代理服务器16从组件中下载技术支持日志17备份vShieldManager数据17查看vShieldManager系统状态17手动安装vShield代理17将vShieldManager注册为vSphereClient插件17 4备份vShieldManager数据19 按需备份vShieldManager数据19调度vShieldManager数据的备份20还原备份20 5更新系统软件21 查看当前系统软件21上载更新21查看更新历史记录22 6用户管理23 管理用户权限23管理默认用户帐户24添加用户24为用户分配角色和权限24编辑用户帐户25删除用户帐户25 VMware,Inc.
3 vShieldZones管理指南 7系统事件27 查看系统事件报告27系统事件通知27 vShieldManager虚拟设备事件27vShield代理虚拟设备事件28Syslog格式28 8查看审核日志29 9vShield代理安装31 安装vShield代理31使用vShield代理模板安装vShield代理31在vSwitch上手动安装vShield代理32 创建辅助vSwitch33在第一个vSwitch上创建受保护的端口组33在第二个vSwitch上创建不受保护的端口组33将vShield代理添加到ESX主机33将vShield代理接口分配给端口组34设置vShield代理34将vShield代理添加到vShieldManager35将虚拟机从第一个vSwitch移动到第二个vSwitch35在vNetwork分布式交换机上手动安装vShield代理36创建辅助vNetwork分布式交换机36在第一个vNetwork分布式交换机上创建受保护的dvPort组37在辅助vNetwork分布式交换机上创建不受保护的dvPort组37安装vShieldAgent37将vShield代理接口分配给dvPort组38设置vShield代理38将vShield代理添加到vShieldManager39关闭vShield代理虚拟机39将物理网卡从vNDS‐1移动到vNDS‐240启动vShield代理虚拟机40卸载vShield代理40卸载基于模板的vShield代理40从vSwitch卸载手动安装的vShield代理41从vNDS卸载手动安装的vShield代理41关闭vShieldZones虚拟机41 10vShield代理管理43 将vShield代理系统事件发送到Syslog服务器43备份vShield代理运行的CLI配置43查看vShield代理的当前系统状态44 强制vShield代理与vShieldManager同步44重新启动vShield代理44按vShield代理界面查看流量统计信息44下载vShield代理的防火墙日志45 11防火墙管理47 使用VMWall47默认规则47第4层规则和第2层/第3层规则47VMWall规则的层次结构48计划VMWall规则实施48 创建第4层防火墙规则48创建第2层/第3层防火墙规则49
4 VMware,Inc. 目录 恢复为先前的VMWall配置49删除VMWall规则50 12流量分析51 使用VMFlow51在VMFlow图表中查看特定应用程序51更改VMFlow图表的日期范围52查看VMFlow报告52从VMFlow报告添加VMWall规则53删除所有记录的流53编辑端口映射54 添加应用程序‐端口对映射54删除应用程序‐端口对映射54隐藏端口映射表54 13虚拟机发现和清单55 阅读发现结果表55启用持续发现56运行虚拟机的按需发现56调度虚拟机的定期发现57终止正在进行的发现57停止已调度的发现扫描58使用VMInventory查看虚拟机详细信息58 A命令行界面59 登录和注销CLI59CLI命令模式59CLI语法60在CLI中移动60在CLI内获取帮助60常见配置61 保护CLI用户帐户和特权模式密码61添加用户帐户61删除admin用户帐户62更改特权模式密码62 在vShield代理上启用扫描界面63命令参考63 管理命令64list64reboot64shutdown64 CLI模式命令65configureterminal65disable65enable65end66exit66interface66quit67 配置命令67clearvmwallrules67copyrunning‐configstartup‐config68databaseerase68 VMware,Inc.
5 vShieldZones管理指南 enablepassword68hostname69IPaddress69IPnameserver70IProute70managerkey71setclock71NTPserver72setup72syslog73write73writeerase73writememory74调试命令74debugcopy74debugpacketcapture75debugpacketdisplayinterface75debugremove76debugservice76debugserviceflowsrc77debugshowfiles77显示命令78showalerts78showarp78showclock79showdebug79show79showfilesystem80showgatewayrules80showhardware81showinterface81showiproute82showlog82showlogalerts83showlogevents83showloglast83showmanagerlog84showmanagerloglast84showntp85showrunning‐config85showservices85showsession‐managercounters86showsession‐managersessions86showslots87showstacktrace87showstartup‐config87showsyslog88showsystemmemory88showsystemuptime88showversion88showvmwalllog89showvmwallrules89
6 VMware,Inc. 目录 诊断和故障排除命令90exporttech‐supportscp90link‐detect90ping90showtechsupport91ssh9191traceroute92 用户管理命令92defaultweb‐managerpassword92user92web‐manager93 终端命令93clearvty93reset94terminallength94terminalnolength94 已弃用的命令95 B将vMotion和vShieldZones结合使用97 阻止vMotion移动vShieldZones虚拟设备97允许vMotion移动受保护的虚拟机98 C故障排除99 对安装问题进行故障排除99vShieldZonesOVF文件已解压缩到未安装vSphereClient的个人计算机中99无法将vShieldZonesOVF安装到vSphereClient中99安装OVF之后无法启动vShield代理虚拟机99在启动vShieldManager虚拟机之后，无法登录CLI100无法登录vShieldManager用户界面100从vShieldManager用户界面中看不到vShield代理模板100从vShieldManager用户界面安装vShield代理失败100vShieldManager无法与vShield代理进行通信100 对操作问题进行故障排除101无法配置vShield代理101防火墙阻止规则不阻止符合条件的流量101在手动执行发现或调度发现之后没有结果101VMFlow中不显示任何流数据102 索引103 VMware,Inc.
7 vShieldZones管理指南
8 VMware,Inc. 关于本文档 《vShieldZones管理指南》手册介绍了如何使用vShieldManager用户界面和命令行界面(CLI)安装、配置、监控和维护VMwarevShieldZones系统。
此信息包括分步配置说明以及建议的最佳做法。
目标读者 本手册专供要在VMwarevCenter环境中安装或使用vShieldZones的用户使用。
本手册的目标读者为熟悉虚拟机技术和虚拟数据中心操作且经验丰富的系统管理员。
该手册假设您熟悉VMwareInfrastructure，包括VMwareESX4.0、vCenterServer和vSphereClient。
文档反馈 VMware欢迎您提出宝贵建议，以便改进我们的文档。
如有意见，请将反馈发送到docfeedback@。
vShieldZones文档 vShieldZones文档集包括下列文档：„《vShieldZones管理指南》„《vShieldZones快速入门指南》„《vShieldZones简介》 技术支持和教育资源 下面各节介绍为您提供的技术支持资源。
要访问本文档的当前版本和其他文档，请访问/support/pubs。
在线支持和电话支持 要通过在线支持提交技术支持请求、查看产品和合同信息以及注册您的产品，请访问/support。
客户只要拥有相应的支持合同，就可以通过电话支持，尽快获得对优先级高的问题的答复。
请访问/support/phone_support。
支持服务项目 要了解VMware支持服务项目如何帮助您满足业务需求，请访问/support/services。
VMware,Inc.
9 vShieldZones管理指南 VMware专业服务 VMware教育服务课程提供了大量实践操作环境、案例研究示例，以及用作作业参考工具的课程材料。
这些课程可以通过现场指导、教室授课的方式学习，也可以通过在线直播的方式学习。
要开展现场试点项目并采用最佳实施方法，VMware咨询服务可提供多种服务，协助您评估、计划、构建和管理虚拟环境。
要了解有关教育课程、认证计划和咨询服务的信息，请访问/services。
10 VMware,Inc.
1 vShieldZones概述
1 vShieldZones是为VMware®vCenterServer集成构建的应用程序感知防火墙。
vShieldZones检查客户端服务器通信和内部虚拟机通信以提供详细的流量分析和应用程序感知防火墙保护。
vShieldZones是用于保护虚拟化数据中心免遭攻击和误用的关键安全组件，可帮助您实现要求合规性的目标。
本指南假设您对整个vShieldZones系统具有管理员访问权限。
根据分配给用户的角色和权限，vShieldManager用户界面中的可查看资源会有所不同。
如果无法查看屏幕或执行特定任务，请咨询您的vShieldZones管理员。
vShieldZones组件 vShieldZones包括对保护虚拟机至关重要的组件和服务。
可通过基于Web的用户界面和命令行界面(CLI)配置vShieldZones。
要运行vShieldZones，您需要一个vShieldManager虚拟机以及至少一个vShield代理虚拟机。
vShieldManager vShieldManager是vShieldZones的集中式网络管理组件，可通过使用vSphereClient作为虚拟机安装。
使用vShieldManager用户界面，管理员可以安装、配置和维护vShield代理。
vShieldManager可在除vShield代理之外的其他ESX主机上运行，并且仍然可以控制跨其他ESX主机的多个vShield代理。
vShieldManager利用VMwareInfrastructureSDK显示vSphereClient清单面板的副本。
可以使用下列支持的Web浏览器之一连接到vShieldManager： „Explorer5.x和更高版本 „MozillaFirefox1.x和更高版本 „Safari1.x或2.x 有关使用vShieldManager用户界面的更多信息，请参见第2章，“vShieldManager用户界面基础”（第13页）。
vShield代理 vShield代理是活动安全组件，用于检查流量并提供防火墙保护。
您可以在承载物理网卡的vSwitch上安装vShield代理。
因为一个ESX主机可拥有多个vSwitch和物理网卡，所以您可以在一个ESX主机上安装多个vShield代理。
安装的每个vShield代理都可以监控主机vSwitch上的所有入站和出站流量。
当流量通过vShield代理时，称为“发现”的进程将检查会话标头以对数据进行分类。
“发现”进程将为每个虚拟机创建一个配置文件，其中包含网络通信中使用的操作系统、应用程序、端口和协议的详细信息。
基于这些信息，在保持锁定端口1024及更高端口的同时，以允许FTP和RPC等动态协议通过的方式允许使用短暂端口。
每个vShield代理都提供了丰富的流量统计信息，您可以使用这些信息来创建防火墙允许和拒绝规则，以控制进出虚拟网络的访问权限。
流量统计信息也可用于网络故障排除，如检测应用程序、服务器或客户端的高流量或低流量使用情况。
使用vSphereClient将vShield代理安装为模板。
使用该模板，可以将vShieldManager的多个vShield代理安装到vCenter环境中。
VMware,Inc. 11 vShieldZones管理指南 12 VMware,Inc.
2 vShieldManager用户界面基础
2 vShieldManager用户界面提供了专用于vShieldZones使用的配置和数据查看选项。
vShieldManager利用VMwareInfrastructureSDK显示vSphereClient清单面板，以此提供vCenter环境的完整视图。
本章包含下列主题：„“登录vShieldManager”（第13页）„“访问联机帮助”（第13页）„“vShieldManager用户界面”（第14页） 登录vShieldManager 使用Web浏览器访问vShieldManager管理界面。
登录vShieldManager用户界面1打开Web浏览器窗口并键入分配给vShieldManager的IP地址。
必须以https作为IP地址的前缀。
2接受安全证书。
此时将显示vShieldManager登录屏幕。
3使用用户名admin和密码default登录vShieldManager用户界面。
您应首先更改默认密码以防止未授权使用。
请参见“编辑用户帐户”（第25页）。
4单击[LogIn]。
访问联机帮助 可通过单击vShieldManager右上角的 访问联机帮助。
VMware,Inc. 13 vShieldZones管理指南 vShieldManager用户界面 vShieldManager用户界面可划分成两个面板：清单面板和配置面板。
从清单面板选择资源，以在配置面板中打开可用详细信息和配置选项。
vShieldManager清单面板 vShieldManager清单面板层次结构模仿vSphereClient清单层次结构。
资源包括根文件夹、数据中心、集群、端口组、ESX主机和虚拟机，还包括已安装的vShield代理。
因此，vShieldManager结合vCenterServer清单以提供虚拟部署的完整视图。
vShieldManager是唯一一个不显示在vShieldManager清单面板中的虚拟机。
vShieldManager设置是在清单面板顶部的[Settings&Reports]资源中配置的。
该清单面板提供两个视图：[Hosts&Clusters]视图和[Networks]视图。
[Hosts&Clusters]视图显示清单中的集群、资源池和ESX主机。
[Networks]视图显示清单中的VLAN网络和端口组。
这些视图与vSphereClient中的相同视图保持一致。
单击每个清单对象时，会在配置面板中显示该清单对象的一组特定选项卡。
代表虚拟机和vShield代理的各图标，在vShieldManager和vSphereClient清单面板之间存在差别。
自定义图标用于显示vShield代理和虚拟机的区别，以及显示受保护和不受保护的虚拟机的区别。
表2-
1.清单面板中的vShield代理图标和虚拟机图标 图标描述已启动的处于活动保护状态的vShield代理。
已关闭的vShield代理。
已启动的受vShield代理保护的虚拟机。
已启动的不受vShield代理保护的虚拟机。
已关闭的虚拟机。
刷新清单面板要刷新清单面板中的资源列表，请单击。
该刷新操作请求接收来自vCenterServer的最新资源信息。
默认情况下，vShieldManager每5分钟请求接收一次来自vCenterServer的资源信息。
搜索清单面板要搜索特定资源的清单面板，请在vShieldManager清单面板顶部的字段中键入一个字符串，然后单击。
vShieldManager配置面板 vShieldManager配置面板根据所选清单资源和vShieldZones操作的输出显示可配置的设置。
每个资源都提供多个选项卡，每个选项卡都显示与资源相对应的信息或配置表单。
由于每个资源的用途不同，因此某些选项卡特定于某些资源。
另外，某些选项卡还包含二级选项。
14 VMware,Inc.
3 管理系统设置
3 vShieldManager要求与vCenterServer和服务（例如DNS和NTP）进行通信，以提供有关VMwareInfrastructure清单的详细信息。
本章包含下列主题：„“标识vCenterServer”（第15页）„“标识DNS服务”（第16页）„“设置vShieldManager的日期和时间”（第16页）„“标识代理服务器”（第16页）„“从组件中下载技术支持日志”（第17页）„“查看vShieldManager系统状态”（第17页）„“手动安装vShield代理”（第17页）„“将vShieldManager注册为vSphereClient插件”（第17页） 标识vCenterServer 将vShieldManager安装为虚拟机之后，请登录vShieldManager用户界面以连接到vCenterServer。
这使vShieldManager可以显示VMwareInfrastructure清单。
从vShieldManager中标识vCenterServer 1登录vShieldManager。
在初始登录时，vShieldManager打开[Configuration]>[vCenter]选项卡。
如果您以前配置过[vCenter]选项卡表单，请执行下列步骤：a在vShieldManager清单面板中单击[Settings&Reports]。
b单击[Configuration]选项卡。
此时将显示vCenter屏幕。
2在[IPaddress/Name]字段中键入vCenterServer的IP地址。
3在[UserName]字段中键入vSphereClient登录用户名。
此用户帐户必须具有管理员访问权限。
4在[Password]字段中键入与用户名关联的密码。
5单击[Commit]。
vShieldManager将连接到vCenterServer，登录并利用VMwareInfrastructureSDK填充vShieldManager清单面板。
清单面板显示在屏幕左侧。
此资源树应该与VMwareInfrastructure清单面板相匹配。
vShieldManager不显示在vShieldManager清单面板中。
VMware,Inc. 15 vShieldZones管理指南 标识DNS服务 您最多可以指定三个DNS服务器，供vShieldManager用于解析IP地址和主机名称。
因为通常一个DNS服务器并不能提供所有IP地址和主机名称，所以标识第二个或第三个DNS服务器可以提供最佳的覆盖范围。
标识DNS服务器1在vShieldManager清单面板中单击[Settings&Reports]。
2单击[Configuration]选项卡。
3单击[DNS]。
4在[PrimaryDNSIPAddress]中键入一个IP地址以标识主DNS服务器。
将首先检查此服务器以查看所有解析请求。
5（可选）在[SecondaryDNSIPAddress]字段中键入一个IP地址。
6（可选）在[TertiaryDNSIPAddress]字段中键入一个IP地址。
7单击[Save]。
设置vShieldManager的日期和时间 您可以设置vShieldManager的日期、时间和时区。
您还可以指定与NTP服务器建立连接以确定公共网络时间。
系统中的日期和时间值用于在事件发生时标记事件。
设置vShieldManager的日期和时间配置1在vShieldManager清单面板中单击[Settings&Reports]。
2单击[Configuration]选项卡。
3单击[Date/Time]。
4在[DateandClock]字段中，以YYYY‐MM‐DDHH:MM:SS的格式键入日期和时间。
5在[NTPServer]字段中，键入NTP服务器的IP地址。
6从[TimeZone]下拉菜单中选择适当的时区。
7单击[Save]。
标识代理服务器 如果使用代理服务器实现网络连接，则可以配置vShieldManager以使用该代理服务器。
vShieldManager支持应用程序级HTTP/HTTPS代理，例如CacheFlow和MicrosoftISAServer。
标识代理服务器1在vShieldManager清单面板中单击[Settings&Reports]。
2单击[Configuration]选项卡。
3单击[HTTPProxy]。
4从[UseProxy]下拉菜单中选择[Yes]。
5（可选）在[ProxyHostName]字段中键入代理服务器的主机名称。
6在[ProxyIPAddress]字段中键入代理服务器的IP地址。
7在[ProxyPort]字段中键入代理服务器上的连接端口号。
8键入登录代理服务器所需的用户名。
9键入与用于登录代理服务器的用户名关联的密码。
10单击[Save]。
16 VMware,Inc. 第3章管理系统设置 从组件中下载技术支持日志 您可以使用[Support]选项将系统日志从vShieldZones组件下载到您的个人计算机。
系统日志可用于对操作问题进行故障排除。
下载vShieldZones组件系统日志1在vShieldManager清单面板中单击[Settings&Reports]。
2单击[Configuration]选项卡。
3单击[Support]。
4在[TechSupportLogDownload]下，单击相应的组件旁边的[Initiate]。
一旦启动，将生成日志并将其上载到vShieldManager。
此操作可能需要几秒钟时间。
5准备好日志后，单击[Download]链接将该日志下载到您的个人计算机。
该日志经过压缩，并使用专用的文件扩展名.blsl。
您可以通过在保存文件的目录中浏览查找[AllFiles]来使用解压缩实用程序打开该日志。
备份vShieldManager数据 您可以使用[Backups]选项备份vShieldManager数据。
请参见“备份vShieldManager数据”（第19页）。
查看vShieldManager系统状态 [Status]选项卡显示vShieldManager系统资源使用情况的状态，以及软件版本详细信息、许可证状态和序列号。
必须通过技术支持注册序列号，以便更新和获得支持。
查看vShieldManager的系统状态1在vShieldManager清单面板中单击[Settings&Reports]。
2单击[Configuration]选项卡。
3单击[Status]。
4（可选）单击[VersionStatus]以查看vShieldZones组件上运行的系统软件的当前版本。
此时将显示[UpdateStatus]选项卡。
请参见“查看当前系统软件”（第21页）。
手动安装vShield代理 您可以使用[ManualInstall]选项手动安装vShield代理。
请参见“安装vShield代理”（第31页）。
将vShieldManager注册为vSphereClient插件 通过[vSpherePlug‐in]选项，您可以将vShieldManager注册为vSphereClient插件。
在注册插件之后，您可以从vSphereClient打开vShieldManager用户界面。
将vShieldManager注册为vSphereClient插件1如果已登录vSphereClient，请将其注销。
2登录vShieldManager。
3在vShieldManager清单面板中单击[Settings&Reports]。
4单击[Configuration]选项卡。
5单击[vSpherePlug‐in]。
6单击[Register]。
VMware,Inc. 17 vShieldZones管理指南 7登录vSphereClient。
验证[vShield]是否作为vSphereClient选项显示。
8单击[vShield]以连接到vShieldManager。
vShieldManager登录屏幕将显示在vSphereClient窗口中。
18 VMware,Inc.
4 备份vShieldManager数据
4 您可以备份和还原vShieldManager数据，其中可包含系统配置、事件和审核日志表。
但是，您可以排除系统和审核日志事件。
保存备份的位置必须是vShieldManager可以访问的远程位置。
可根据调度执行备份或按需执行备份。
本章包括以下主题：„“按需备份vShieldManager数据”（第19页）„“调度vShieldManager数据的备份”（第20页）„“还原备份”（第20页） 按需备份vShieldManager数据 您随时可通过执行按需备份对vShieldManager数据进行备份。
备份vShieldManager数据库1在vShieldManager清单面板中单击[Settings&Reports]。
2单击[Configuration]选项卡。
3单击[Backups]。
4（可选）如果不希望备份系统事件表，请选中[ExcludeSystemEvents]复选框。
5（可选）如果不希望备份审核日志表，请选中[ExcludeAuditLogs]复选框。
6键入将保存备份的系统的[HostIPAddress]。
7（可选）键入备份系统的[HostName]。
8键入登录到备份系统所需的[UserName]。
9键入与备份系统的用户名关联的[Password]。
10在[BackupDirectory]字段中，键入用于存储备份的绝对路径。
11在[FilenamePrefix]中键入一个文本字符串。
此文本将被预置到备份文件名中以便于识别备份系统。
例如，如果键入ppdb，则生成的备份的名称为ppdbHH_MM_SS_DayDDMonYYYY。
12从[TransferProtocol]下拉菜单中，选择[SFTP]或[FTP]。
13单击[Backup]。
在完成备份后，该备份将显示在此表单下方的表中。
14单击[SaveSettings]保存配置。
VMware,Inc. 19 vShieldZones管理指南 调度vShieldManager数据的备份 在任何给定时间只能调度一种备份类型的参数。
无法调度仅供配置的备份和完整数据备份同时运行。
定期调度vShieldManager数据的备份1在vShieldManager清单面板中单击[Settings&Reports]。
2单击[Configuration]选项卡。
3单击[Backups]。
4从[ScheduledBackups]下拉菜单中，选择[On]。
5从[BackupFrequency]下拉菜单中，选择[Hourly]、[Daily]或[Weekly]。
系统将根据所选的频率禁用[DayofWeek]、[HourofDay]和[Minute]下拉菜单。
例如，如果您选择[Daily]，则将禁用[DayofWeek]下拉菜单，因为此字段不适用于每天频率。
6（可选）如果不希望备份系统事件表，请选中[ExcludeSystemEvents]复选框。
7（可选）如果您不希望备份审核日志表，请选中[ExcludeAuditLog]复选框。
8键入将保存备份的系统的[HostIPAddress]。
9（可选）键入备份系统的[HostName]。
10键入登录到备份系统所需的[UserName]。
11键入与备份系统的用户名关联的[Password]。
12在[BackupDirectory]字段中，键入用于存储备份的绝对路径。
13在[FilenamePrefix]中键入一个文本字符串。
此文本将被预置到每个备份文件名中以便于识别备份系统。
例如，如果键入ppdb，则生成的备份的名称为ppdbHH_MM_SS_DayDDMonYYYY。
14根据目标支持的内容，从[TransferProtocol]下拉菜单中选择[SFTP]或[FTP]。
15单击[SaveSettings]。
还原备份 要还原可用备份，[Backups]屏幕中的[HostIPAddress]、[UserName]、[Password]和[BackupDirectory]字段就必须包含用于识别要恢复的备份的位置的值。
还原备份时，将覆盖当前配置。
如果备份文件包含系统事件数据和审核日志数据，则还将还原这些数据。
重要信息在还原备份文件前，请对您的当前数据进行备份。
还原可用的vShieldManager备份1在vShieldManager清单面板中单击[Settings&Reports]。
2单击[Configuration]选项卡。
3单击[Backups]。
4单击[ViewBackups]，查看保存到备份服务器的所有可用备份。
5选中与要还原的备份对应的复选框。
6单击[Restore]。
7单击[OK]确认。
20 VMware,Inc.
5 更新系统软件
5 vShieldZones软件要求定期更新以保持系统性能。
使用[Updates]选项卡选项，您可以安装并跟踪系统更新。
本章包括以下主题：„“查看当前系统软件”（第21页）„“上载更新”（第21页）„“查看更新历史记录”（第22页） 查看当前系统软件 vShieldZones组件软件的当前版本显示在[UpdateStatus]选项卡下。
查看当前系统软件1在vShieldManager清单面板中单击[Settings&Reports]。
2单击[Updates]选项卡。
3单击[UpdateStatus]。
上载更新 vShieldZones更新可按脱机更新形式提供。
某一更新可用时，您可以将该更新下载到您的PC，并使用vShieldManager用户界面上载该更新。
上载更新后，首先更新vShieldManager，然后更新所有vShield代理。
如果需要重新引导vShieldManager或vShield代理，[UpdateStatus]屏幕会提示您重新引导该组件。
在必须重新引导vShieldManager和所有vShield代理的情况下，则必须首先重新引导vShieldManager，然后再重新引导vShield代理。
上载更新1在vShieldManager清单面板中单击[Settings&Reports]。
2单击[Updates]选项卡。
3单击[UploadSettings]。
4单击[Browse]查找更新。
5找到文件后，单击[UploadFile]。
6单击[ConfirmInstall]确认更新安装。
此屏幕中显示两个表。
在安装期间，您可以查看顶部的表了解当前更新的说明、开始时间、成功状态和进程状态。
查看底部的表了解每个vShield代理的更新状态。
当最后一个vShield代理的状态显示为[Finished]时，所有vShield代理都已升级。
7重新引导vShieldManager后，单击[UpdateStatus]选项卡。
VMware,Inc. 21 vShieldZones管理指南 8如果出现提示，单击[RebootManager]。
9单击[FinishInstall]完成系统更新。
10单击[Confirm]。
查看更新历史记录 [UpdateHistory]选项卡列出了已安装的更新，包括每次更新的安装日期和简要说明。
查看安装的更新的历史记录1在vShieldManager清单面板中单击[Settings&Reports]。
2单击[Updates]选项卡。
3单击[UpdateHistory]。
22 VMware,Inc.
6 用户管理
6 安全性操作通常由多人管理。
根据特定的逻辑分类将整个系统委派给不同的人员管理。
然而，只有具有特定资源的适当权限的用户才有权执行任务。
在[Users]区域中，您可以通过授予适当的权限向用户委派此类资源管理。
vShieldManager用户界面中的用户管理与任何vShieldZones组件的CLI中的用户管理是单独进行的。
本章包括以下主题：„“管理用户权限”（第23页）„“添加用户”（第24页）„“为用户分配角色和权限”（第24页）„“编辑用户帐户”（第25页）„“删除用户帐户”（第25页） 管理用户权限 在vShieldManager用户界面中，用户的权限定义允许用户对给定资源执行的操作。
权限决定用户获得授权可对给定资源执行的活动，从而确保用户只能执行完成适当操作必需的功能。
这样可以实现对特定资源的域控制，如果您的权限涵盖系统资源，还可实现系统范围的控制。
强制执行下列规则： „用户对一个资源只有一个权限。
„用户不能添加或删除已分配的权限和资源。
表6-1.vShieldManager用户权限 权限 描述
R 只读 CRUD 读取和写入 表6-2.vShieldManager用户资源 资源 描述 系统 可以访问整个vShieldZones系统 防火墙 只能访问VMWall组件 无 不能访问任何资源 VMware,Inc. 23 vShieldZones管理指南 管理默认用户帐户 vShieldManager用户界面包含一个默认用户帐户（用户名为admin），此帐户具有对所有资源的访问权限。
您不能编辑此用户的权限或删除此用户。
admin的默认密码是default。
请在初始登录到vShieldManager时更改此帐户的密码。
请参见“编辑用户帐户”（第25页）。
添加用户 在创建基本用户帐户时需要为用户分配登录名和密码。
创建新的用户帐户1在vShieldManager清单面板中单击[Settings&Reports]。
2单击[Users]选项卡。
3单击[CreateUser]。
将打开[NewUser]屏幕。
4键入一个用户名。
这个用户名用于登录到vShieldManager用户界面。
不能使用此用户名和关联的密码访问vShield代理或vShieldManagerCLI。
5（可选）键入用户的全名进行标识。
6（可选）键入电子邮件地址。
7键入用于登录的密码。
8在[RetypePassword]字段中再次键入该密码。
9单击[OK]。
在创建帐户之后，单独配置权限和资源分配。
为用户分配角色和权限 在创建用户帐户之后，您可以为用户分配角色和对系统资源的访问权限。
角色定义资源，而权限定义用户对该资源的访问权限。
为用户分配角色和权限1在vShieldManager清单面板中单击[Settings&Reports]。
2单击[Users]选项卡。
3双击该用户的[UserRole]单元格。
4从打开的下拉菜单中，选择可用资源。
5双击该资源的[essRight]单元格。
6从打开的下拉菜单中，选择可用权限。
24 VMware,Inc. 第6章用户管理 编辑用户帐户 您可以编辑用户帐户来更改密码。
编辑现有的用户帐户1在vShieldManager清单面板中单击[Settings&Reports]。
2单击[Users]选项卡。
3单击标识该用户帐户的表行中的一个单元格。
4单击[UpdateUser]。
5根据需要进行更改。
如果要更改密码，则在[RetypePassword]字段中再键入一次密码以进行确认。
6单击[OK]以保存更改。
删除用户帐户 您可以删除创建的任何用户帐户，但不能删除admin帐户。
已删除用户的审核记录会保留在数据库中，并可以在审核日志报告中进行引用。
删除用户帐户1在vShieldManager清单面板中单击[Settings&Reports]。
2单击[Users]选项卡。
3单击标识该用户帐户的表行中的一个单元格。
4单击[DeleteUser]。
VMware,Inc. 25 vShieldZones管理指南 26 VMware,Inc.
7 系统事件
7 系统事件指与vShield代理操作有关的事件。
生成事件的目的是详细记录每个操作事件，例如vShield代理重新引导或vShield代理和vShieldManager之间的通信中断。
这些事件可能与基本操作（信息）或vShield代理操作中的重要错误（重要事件）相关。
本章包括以下主题： „“查看系统事件报告”（第27页） „“系统事件通知”（第27页） „“Syslog格式”（第28页） 查看系统事件报告 vShieldManager将系统事件汇总到可以根据vShield代理和事件严重性进行筛选的报告中。
查看系统事件报告1在vShieldManager清单面板中单击[Settings&Reports]。
2单击[SystemEvents]选项卡。
3（可选）从[vShield]字段中选择一个或多个vShield代理。
默认情况下已选中所有vShield代理。
4从[andSeverity]下拉菜单中，选择筛选结果所依据的严重性。
默认情况下包含所有严重性。
您每次可以选择一个或多个严重性。
5单击[ViewReport]。
6在报告输出中，单击[EventTime]链接以查看有关特定事件的详细信息。
系统事件通知 vShieldManager虚拟设备事件 本地CLIGUI 关机 运行showlogfollow命令。
不适用 启动 运行showlogfollow命令。
不适用 界面下移 运行showlogfollow命令。
不适用 界面上移 运行showlogfollow命令。
不适用 VMware,Inc. 27 vShieldZones管理指南 本地CLIGUI CPU 运行showprocessmonitor命令。
请参见“查看vShieldManager系统状态”（第17页）。
内存运行showsystemmemory命令。
存储器运行showfilesystem命令。
请参见“查看vShieldManager系统状态”（第17页）。
请参见“查看vShieldManager系统状态”（第17页）。
vShield代理虚拟设备事件 本地CLI 关机 运行showlogfollow命令。
不适用 启动 运行showlogfollow命令。
请参见“Syslog格式”（第28页）。
SyslogGUI 系统事件日志中的“检测信号故障”事件。
请参见“查看系统事件报告”（第27页）。
请参见“查看vShield代理的当前系统状态”（第44页）。
界面下移 运行showlogfollow命令。
e1000:mgmt:e1000_watchdog_task:NICLinkisUp/Down100MbpsFullDuplex.Forscriptingonthesyslogserver,searchforNICLinkis. 请参见“查看vShield代理的当前系统状态”（第44页）。
界面上移 运行showlogfollow命令。
e1000:mgmt:e1000_watchdog_task:NICLinkisUp/Down100MbpsFullDuplex.Forscriptingonthesyslogserver,searchforNICLinkis. 请参见“查看vShield代理的当前系统状态”（第44页）。
本地CLISyslog GUI 由于DoS、不活动或者数据超时导 CPU 内存 存储器 致的会话重置 运行showprocessmonitor命令。
运行showsystemmemory命令。
运行showfilesystem运行showlogfollow命令。
命令。
不适用 不适用 不适用 请参见“Syslog格式”（第28页）。
请参见“查看vShield代理的当前系统状态”（第44页）。
请参见“查看vShield请参见“查看vShield 代理的当前系统状态”代理的当前系统状态” （第44页）。
（第44页）。
请参见系统事件日志。
请参见“查看系统事件报告”（第27页）。
Syslog格式 syslog中记录的系统事件消息包含以下结构： syslogheader(timestamp+hostname+sysmgr/)Timestamp(fromtheservice)Name/valuepairsNameandvalueseparatedbydelimiter'::'(doublecolons)Eachname/valuepairseparatedbydelimiter';;'(doublesemi-colons) 系统事件的字段和类型是： EventID::32bitunsignedintegerTimestamp::32bitunsignedintegerApplicationName::stringApplicationSubmodule::stringApplicationProfile::stringEventCode::integer(possiblevalues:10007100161004320019)Severity::string(possiblevalues:INFORMATIONLOWMEDIUMHIGHMessage:: CRITICAL) 28 VMware,Inc.
8 查看审核日志
8 [AuditLogs]选项卡提供了所有vShieldManager用户执行的操作的视图。
vShieldManager会将审核日志数据保留一年，之后将丢弃该数据。
查看审核日志1在vShieldManager清单面板中单击[Settings&Reports]。
2单击[AuditLogs]选项卡。
3通过单击以下列筛选器中的一个或多个，缩小输出范围： 列[UserName][Module][Operation][Status][OperationSpan] 描述选择执行操作的用户的登录名。
选择对其执行操作的vShieldZones资源。
选择执行的操作的类型。
选择操作结果：“成功”或“失败”。
选择对其执行操作的vShieldZones组件。
[Local]指的是vShieldManager。
VMware,Inc. 29 vShieldZones管理指南 30 VMware,Inc.
9 vShield代理安装
9 必须将每个vShield代理添加到vShieldManager以进行配置和管理。
本章包括以下主题：„“安装vShield代理”（第31页）„“卸载vShield代理”（第40页）„“关闭vShieldZones虚拟机”（第41页） 安装vShield代理 安装vShield代理会将代理添加到vCenterServer清单和vShieldManager。
必须命名vShield代理并为管理接口指定IP地址。
必须安装vShield代理以保护连接到vSwitch的虚拟机。
为每个vSwitch安装一个带有附加网卡的vShield代理。
任何连接到尚未安装vShield代理的vSwitch的虚拟机均不受vShieldZones保护。
安装vShield代理的方法有三种。
„“使用vShield代理模板安装vShield代理”（第31页） „“在vSwitch上手动安装vShield代理”（第32页） „“在vNetwork分布式交换机上手动安装vShield代理”（第36页） 使用vShield代理模板安装vShield代理 要使用模板进行安装，则必须建立vShield代理模板，《vShieldZones快速入门指南》中提供了详细说明。
使用vShield代理模板将vShield代理添加到vShieldManager1在vShieldManager的清单面板中单击要保护的ESX主机。
2在[InstallvShield]选项卡中，单击[ConfigureInstallParameters]。
3完成以下表单： 字段[SelectfromavailablevShields][Selecttemplatetoclone][Selectadatastoretoplaceclone][Enteranamefortheclone] [SpecifyIPAddressofvShieldVM][SpecifyIPMaskforvShield] 操作将此字段留空。
选择vShield代理模板。
选择要用来存储vShield代理虚拟机数据的数据存储。
键入vShield代理的唯一名称。
该名称将显示在您的vSphereClient清单和vShieldManager清单中。
键入要分配给vShield代理的管理接口的IP地址。
以
A.B.C.D(255.255.255.0)格式键入与分配的IP地址关联的IP子网掩码。
VMware,Inc. 31 vShieldZones管理指南 字段[SpecifyIPAddressofDefaultGatewayforvShield][SpecifyassociatedVLANID(optional)] [SpecifySecureKeyforvShield(leaveblankfordefault)] [SelectavSwitchtoshield] 操作 键入默认网络网关的IP地址。
键入要分配给vShield代理的管理接口的VLANID。
如果vShieldManager管理接口已使用VLANID标记，则需要填写此字段。
这些管理接口必须能够进行通信以完成安装。
（可选）键入用于在vShield代理和vShieldManager间进行安全通信的密钥。
默认情况下，此字段中的此条目被屏蔽。
此密钥用于在vShield代理和vShieldManager间进行加密通信。
密钥不通过网络共享。
选择要保护的vSwitch。
符合保护条件的vSwitch在随附表中以绿色突出显示。
4单击[Continue]（位于表单上方）。
摘要页面显示在ESX主机上的vShield代理安装的图示前后。
注意摘要页面中的图示为静态，不直接反映您的虚拟网络。
屏幕右侧带编号的安装脚本详细介绍了实际安装步骤。
5单击[Install]。
可以按照位于vSphereClient窗口底部的[RecentTasks]状态窗格中的vShield代理安装步骤完成操作。
6完成安装后，打开vSphereClient。
7将vShield代理置于您的清单中。
此时vShield代理虚拟机已启动。
8如果已启用vMotion，则针对vShield代理虚拟机将其禁用。
请参见“将vMotion和vShieldZones结合使用”（第97页）。
9确保已启用持续发现。
请参见“启用持续发现”（第56页）。
在vSwitch上手动安装vShield代理 可以将vShield代理手动安装到与物理网卡相关联的vSwitch上。
手动安装vShield代理需要创建辅助vSwitch和两个端口组。
创建这些项后，可以安装vShield代理并将虚拟机移动到第二个vSwitch进行保护。
警告手动安装vShield代理时，虚拟机在vSwitch间转换期间将出现网络停机。
手动安装代理涉及以下过程（假设已部署至少具有一个附加vNIC的vSwitch）。
1创建辅助vSwitch。
将vNIC保留在原始vSwitch上，请参见“创建辅助vSwitch”（第33页）。
2创建一个受保护的端口组和一个不受保护的端口组。
请参见“在第一个vSwitch上创建受保护的端口组”（第33页）和“在第二个vSwitch上创建不受保护的端口组”（第33页）。
3安装vShield代理，将vShield代理网络适配器分别连接到受保护的端口组和不受保护的端口组。
还必须将vShield代理的管理接口连接到可以通过vShieldManager访问的端口组。
请参见“安装vShieldAgent”（第37页）。
4将虚拟机从第一个vSwitch移动到第二个vSwitch。
请参见“将虚拟机从第一个vSwitch移动到第二个vSwitch”（第35页）。
32 VMware,Inc. 第9章vShield代理安装 创建辅助vSwitch 在目标ESX主机上创建辅助vSwitch。
此交换机称为vSwitch‐
2。
不要为vSwitch‐2分配物理适配器。
在第一个vSwitch上创建受保护的端口组 必须将受保护的端口组添加到第一个vSwitch（称为vSwitch‐1）。
重要信息不要将虚拟机添加到受保护的端口组。
此端口组配置为启用混杂模式，此配置允许vShield代理查看所有传递的通信。
创建受保护的端口组1单击vSwitch‐1的[Properties]。
2创建端口组。
在名称中包括[protected]或[prot]等字符串以便快速识别。
3（可选）识别可以通过端口组的VLANID。
4创建受保护的端口组后，为该端口组启用混杂模式。
在第二个vSwitch上创建不受保护的端口组 必须将不受保护的端口组添加到第二个vSwitch（称为vSwitch‐2）。
重要信息不要将虚拟机添加到不受保护的端口组。
此端口组配置为启用混杂模式，此配置允许vShield代理查看所有传递的通信。
创建不受保护的端口组1单击vSwitch‐2的[Properties]。
2创建端口组。
在名称中包括[unprotected]或[unprot]等字符串以便快速识别。
3（可选）标识可以通过端口组的VLANID。
4创建不受保护的端口组后，为该端口组启用混杂模式。
将vShield代理添加到ESX主机 在将vShield代理添加到vShieldManager用户界面之前，必须使用vSphereClient安装vShield代理。
手动安装vShield代理需要使用vShield代理OVF。
将vShield代理手动添加到ESX主机1登录vSphereClient，从清单面板中选择目标ESX主机。
2选择[File]>[DeployOVFTemplate]。
此时将打开“部署OVF模板”向导。
3在包含vShield代理OVF文件的客户端计算机上，依次单击[Deployfromfile]和[Browse]以查找该文 件夹。
4完成该向导。
vShield代理已安装到清单中。
可以按照位于vSphereClient窗口底部的[RecentTasks]状态窗格中的vShield代理安装步骤完成操作。
VMware,Inc. 33 vShieldZones管理指南 将vShield代理接口分配给端口组 必须编辑安装的vShield代理的虚拟机设置以将代理接口分配给端口组。
vShield代理管理接口必须位于可从vShieldManager访问的端口组。
可以创建端口组或将管理接口分配给现有端口组。
将vShield代理接口分配给端口组1登录vSphereClient。
2右键单击vShield代理虚拟机并单击[EditSettings]。
3单击[Networkadapter1]。
这是vShield代理的管理接口。
4将网络标签分配给可从vShieldManager访问的网络适配器
1。
5单击[Networkadapter2]并执行以下步骤。
a确保选中[Connected]和[ConnectatPoweron]复选框。
b在[NetworkConnection]下方，从[NetworkLabel]下拉列表中选择[Protected]端口组。
6单击[Networkadapter3]并执行以下步骤。
a确保选中[Connected]和[ConnectatPoweron]复选框。
b在[NetworkConnection]下方，从[NetworkLabel]下拉列表中选择[Unprotected]端口组。
7单击[OK]。
设置vShield代理 分配vShield代理接口后，启动vShield代理虚拟机并使用CLI配置基本设置。
设置vShield代理1登录vSphereClient并启动vShield代理。
引导过程可能需要几分钟。
2启动完成后，在清单面板中选择vShield代理并单击[Console]选项卡。
3在显示[localhostlogin]提示时，使用用户名[admin]和密码[default]登录CLI。
4运行setup命令以启动CLI设置向导。
该CLI设置向导指导您完成为管理接口分配IP地址和标识默认网关IP地址的全过程。
vShield代理的管理接口IP地址必须可由vShieldManager访问。
vShield>setup Usectrl-dtoabortconfigurationdialogatanyprompt.Defaultsettingsareinsquarebrackets'[]'. Hostname[vShield]:Managerkey[bluelane]:IPAddress:Defaultgateway:Oldconfigurationwillbelost,andsystemneedstoberebootedDoyouwanttosavenewconfiguration(y/[n]):yPleaselogoutandlogbackinagain. vshield>exit 5登录CLI。
6对默认网关执行Ping命令以验证网络连接。
vShield>ping10.115.219.253 34 VMware,Inc. 第9章vShield代理安装 7进入配置模式。
vShield>enablepassword:vShield#vShield#configurevShield(config)# terminal 8针对p0接口进入接口配置模式。
vShield(config)#interfacep0vShield(config-if)# 9运行noshutdown命令以激活p0接口。
vShield(config-if)#noshutdown 10针对p0接口退出配置模式。
vShield(config-if)#quit 11针对u0接口进入接口配置模式。
vShield(config)#interfaceu0vShield(config-if)# 12运行noshutdown命令以激活u0接口。
vShield(config-if)#noshutdown 13退出CLI会话。
将vShield代理添加到vShieldManager 必须将vShield代理添加到vShieldManager以进行配置和数据监控。
1打开Web浏览器并登录到vShieldManager。
2在清单面板上，单击[Settings&Reports]。
3在[Configuration]选项卡上，单击[ManualInstall]。
4单击[Add]。
5完成以下表单。
字段[Name][IPAddress][Location][Key] [ClusteringSettings] 操作在vSphereClient上部署OVF时，键入为vShield代理输入的名称。
键入分配给vShield代理的IP地址。
键入vShield代理所处位置的描述。
键入使用CLIsetup命令输入的Managerkey值。
如果未在CLI设置过程中输入键，请将此字段留空。
选择[Standalone]以添加集群外的vShield代理。
6单击[OK]（位于该表单上方）。
vShieldManager与vShield代理通信以完成此安装。
将虚拟机从第一个vSwitch移动到第二个vSwitch 完成vShield代理安装后，将虚拟机从vSwitch‐1移动到vSwitch‐2以进行保护。
VMware,Inc. 35 vShieldZones管理指南 在vNetwork分布式交换机上手动安装vShield代理 对于vNetwork分布式交换机环境，必须手动安装vShield代理。
手动安装vShield代理要求创建辅助vNetwork分布式交换机和两个分布式虚拟端口(dvPort)组。
创建这些项目后，安装vShield代理并将虚拟机移动到第二个vNetwork分布式交换机以进行保护。
警告在vNDS环境中安装vShield代理时，转换物理网卡期间将出现虚拟机网络停机。
以下概览介绍了该手动安装过程。
该概览假设您已经部署了一个至少具有一个附加vNIC的vNetwork分布式交换机，并部署了一个上行链路端口组。
1创建辅助vNetwork分布式交换机，在此方案中称为vNDS‐
2。
将所有vNIC保留在原始vNetwork分布 式交换机vNDS‐1上。
将ESX主机添加到vNDS‐
2，但不要连接任何vNIC。
请参见“创建辅助vNetwork分布式交换机”（第36页）。
2创建两个dvPort组：„受保护：请参见“在第一个vNetwork分布式交换机上创建受保护的dvPort组”（第37页）。
„不受保护：请参见“在辅助vNetwork分布式交换机上创建不受保护的dvPort组”（第37页）。
3安装vShield代理。
请参见“安装vShieldAgent”（第37页）。
4将vShield代理网络适配器分别连接到受保护的dvPort组和不受保护的dvPort组。
还必须将vShield代理的管理接口连接到可以通过vShieldManager访问的端口组。
请参见“将vShield代理接口分配给dvPort组”（第38页）。
5关闭vShield代理虚拟机。
请参见“关闭vShield代理虚拟机”（第39页）。
6将物理网卡从vNDS‐1删除并将它们添加到vNDS‐
2。
请参见“将物理网卡从vNDS‐1移动到vNDS‐2”（第40页）。
7启动vShield代理虚拟机。
请参见“启动vShield代理虚拟机”（第40页）。
创建辅助vNetwork分布式交换机 必须创建辅助vNetwork分布式交换机。
该交换机称为vNDS‐
2。
创建辅助vNetwork分布式交换机1登录vSphereClient并从清单面板中选择现有vNetwork分布式交换机所驻留的集群。
2在[GettingStarted]选显卡上，在[BasicTasks]下单击[AddavNetworkDistributedSwitch]。
3在[Name]文本框中，为新的vNetwork分布式交换机输入名称。
4对于[NumberofUplinkPorts]选项，选择[1]并单击[Next]。
创建上行链路端口组时，为所有主机和参与网卡创建足够的插槽。
5选择[Addnow]并选中与此列表中的每个ESX主机对应的复选框。
不要选择任何物理适配器。
6单击[Next]。
当显示确认选择不包括任何物理适配器的警告时，单击[Yes]。
7单击[Finish]。
36 VMware,Inc. 第9章vShield代理安装 在第一个vNetwork分布式交换机上创建受保护的dvPort组 必须在第一个vNetwork分布式交换机上添加受保护的dvPort组。
该交换机称为vNDS‐
1。
创建受保护的dvPort组1登录到vSphereClient，在清单面板中选择vNDS‐
1。
2在[GettingStarted]选项卡上，单击[Createanewportgroup]。
3在[Name]文本框中，为dvport组输入名称。
在名称中包括[protected]或[prot]等字符串以便快速识别。
4（可选）识别可以通过端口组的VLANID。
5单击[Next]，然后单击[Finish]。
6创建受保护的端口组后，为该端口组启用混杂模式。
在辅助vNetwork分布式交换机上创建不受保护的dvPort组 必须在辅助vNetwork分布式交换机上添加不受保护的dvPort组。
重要信息不要向不受保护的dvPort组添加虚拟机。
此端口组配置为打开混杂模式，此配置允许vShield代理查看所有传递的通信。
创建不受保护的dvPort组1登录到vSphereClient，在清单面板中选择vNDS‐
2。
2在[GettingStarted]选项卡上，单击[Createanewportgroup]。
3在[Name]文本框中，为dvPort组输入名称。
在名称中包括[unprotected]或[unprot]等字符串以便快速识别。
4（可选）识别可以通过端口组的VLANID。
5单击[Next]，然后单击[Finish]。
6创建不受保护的端口组后，为该端口组启用混杂模式。
安装vShieldAgent 在将vShield代理添加到vShieldManager用户界面之前，必须使用vSphereClient安装vShield代理。
此安装要求使用vShield代理OVF。
手动添加vShield代理1登录到vSphereClient，在清单面板中选择ESX主机。
2选择[File]>[DeployOVFTemplate]。
3在包含vShield代理OVF文件的客户端计算机上，依次单击[Deployfromfile]和[Browse]以查找该文 件夹。
4完成该向导。
vShield代理已安装到清单中。
可以按照位于vSphereClient窗口底部的[RecentTasks]状态窗格中的vShield代理安装步骤完成操作。
VMware,Inc. 37 vShieldZones管理指南 将vShield代理接口分配给dvPort组 必须编辑安装的vShield代理的虚拟机设置以将接口分配给受保护的dvPort组和不受保护的dvPort组。
vShield代理管理接口必须位于可从vShieldManager访问的基本端口组或dvPort组中。
可以创建新的端口组或将管理接口分配给现有端口组。
将vShield代理接口分配给端口组1登录vSphereClient。
2右键单击vShield代理虚拟机并单击[EditSettings]。
3单击[Networkadapter1]。
这是vShield代理的管理接口。
4将网络标签分配给可从vShieldManager访问的网络适配器
1。
5单击[Networkadapter2]并执行以下步骤： a确保选中[Connected]和[ConnectatPoweron]复选框。
b在[NetworkConnection]下，从[NetworkLabel]下拉列表中选择[Protected]dvPort组。
6单击[Networkadapter3]并执行以下步骤：a确保选中[Connected]和[ConnectatPoweron]复选框。
b在[NetworkConnection]下，从[NetworkLabel]下拉列表中选择[Unprotected]dvPort组。
7单击[OK]。
设置vShield代理 分配vShield代理接口后，启动vShield代理虚拟机并使用CLI配置基本设置。
设置vShield代理1登录vSphereClient并启动vShield代理。
引导过程可能需要几分钟。
2启动完成后，在清单面板中选择vShield代理并单击[Console]选项卡。
3在显示[localhostlogin]提示时，使用用户名[admin]和密码[default]登录CLI。
4运行setup命令以启动CLI设置向导。
该CLI设置向导指导您完成将IP地址分配给管理接口和标识默认网关IP地址的全过程。
vShield代理的管理接口IP地址必须可由vShieldManager访问。
vShield>setup Usectrl-dtoabortconfigurationdialogatanyprompt.Defaultsettingsareinsquarebrackets'[]'. Hostname[vShield]:Managerkey[bluelane]:IPAddress:Defaultgateway:Oldconfigurationwillbelost,andsystemneedstoberebootedDoyouwanttosavenewconfiguration(y/[n]):yPleaselogoutandlogbackinagain. vshield>exit 5登录CLI。
6对默认网关执行Ping命令以验证网络连接。
vShield>ping10.115.219.253 38 VMware,Inc. 第9章vShield代理安装 7进入配置模式。
vShield>enablepassword:vShield#vShield#configurevShield(config)# terminal 8针对p0接口进入接口配置模式。
vShield(config)#interfacep0vShield(config-if)# 9运行noshutdown命令以激活p0接口。
vShield(config-if)#noshutdown 10针对p0接口退出配置模式。
vShield(config-if)#quit 11针对u0接口进入接口配置模式。
vShield(config)#interfaceu0vShield(config-if)# 12运行noshutdown命令以激活u0接口。
vShield(config-if)#noshutdown 13退出CLI会话。
将vShield代理添加到vShieldManager 要管理vShield代理和激活防火墙规则的实施，必须将vShield代理添加到vShieldManager。
1打开Web浏览器并登录到vShieldManager。
2在清单面板上，单击[Settings&Reports]。
3在[Configuration]选项卡上，单击[ManualInstall]。
4单击[Add]。
5完成以下表单。
字段[Name][IPAddress][Location][Key] [ClusteringSettings] 操作在vSphereClient上部署OVF时，键入为vShield代理输入的名称。
键入分配给vShield代理的IP地址。
键入vShield代理所处位置的描述。
键入使用CLIsetup命令输入的Managerkey值。
Leavethisfieldblanktousethedefaultkey. 选择[Standalone]以添加集群外的vShield代理。
6单击[OK]（位于该表单上方）。
vShieldManager与vShield代理通信以完成此安装。
关闭vShield代理虚拟机 完成vShield代理安装后，关闭vShield代理虚拟机以防止网络循环。
VMware,Inc. 39 vShieldZones管理指南 将物理网卡从vNDS-1移动到vNDS-
2 安装并连接vShield代理后，将物理网卡从vNDS‐1移动到vNDS‐
2。
为此，必须将网卡从vNDS‐1中删除并将它们添加到vNDS‐
2。
将虚拟机从vNDS-1移动到vNDS-21登录到vSphereClient，在清单面板中选择vNDS‐
1。
2在[Configuration]选项卡上，单击[Networking]。
3选择[vNetworkDistributedSwitch]视图。
4单击[ManagePhysicalAdapters]。
5单击要删除的上行链路旁边的[Remove]。
6单击[OK]。
为每个必须移动的物理网卡重复上述步骤。
7在清单面板中选择vNDS‐
2。
8在[Configuration]选项卡上，单击[Networking]。
9选择[vNetworkDistributedSwitch]视图。
10单击[ManagePhysicalAdapters]。
11单击要向其添加上行链路的上行链路端口旁边的[ClicktoAddNIC]。
12选择要添加的物理适配器。
如果选择的适配器已连接到其他交换机，适配器会从该交换机中删除并重新分配给此vNetwork分布式交换机。
13单击[Select]。
14单击[OK]。
为每个必须移动的物理网卡重复上述步骤。
启动vShield代理虚拟机 移动所有网卡后，启动vShield代理虚拟机。
卸载vShield代理 卸载vShield代理会将代理从网络中删除。
安装vShield代理的方法有三种。
„“卸载基于模板的vShield代理”（第40页）„“从vSwitch卸载手动安装的vShield代理”（第41页）„“从vNDS卸载手动安装的vShield代理”（第41页） 卸载基于模板的vShield代理 每个基于模板的vShield代理都有[UninstallvShield]选项卡。
卸载基于模板的vShield代理1在清单面板中选择vShield代理。
2单击[UninstallvShield]选项卡。
3单击[Uninstall]。
vShield代理已卸载。
40 VMware,Inc. 第9章vShield代理安装 从vSwitch卸载手动安装的vShield代理 必须手动卸载手动安装的vShield代理。
卸载包括将代理从vSwitch删除。
卸载手动安装的vShield代理1登录vSphereClient。
2将虚拟机从受保护的vSwitch移动到不受保护的vSwitch。
3登录vShieldManager。
4在清单面板中单击根文件夹。
5在[Configuration]选项卡上，单击[ManualInstall]。
6选中与vShield代理对应的复选框并单击[Remove]。
7在弹出窗口中单击[OK]。
vShield代理已卸载。
8在vSphereClient中，删除受保护的端口组和不受保护的端口组。
从vNDS卸载手动安装的vShield代理 必须手动卸载手动安装的vShield代理。
卸载包括将代理从vNetwork分布式交换机环境中删除。
卸载手动安装的vShield代理1登录vSphereClient。
2将物理网卡从vNDS‐2移动到vNDS‐
1。
3登录vShieldManager。
4在清单面板中单击根文件夹。
5在[Configuration]选项卡上，单击[ManualInstall]。
6选中与vShield代理对应的复选框并单击[Remove]。
7在弹出窗口中单击[OK]。
vShield代理已卸载。
8在vSphereClient中，删除受保护的端口组和不受保护的端口组。
9删除vNDS‐
2。
关闭vShieldZones虚拟机 可随时关闭vShieldZones虚拟机。
当再次启动虚拟机时，使用上次保存的配置。
警告如果关闭vShield代理，将阻止指向vShield代理后端虚拟机的流量，直到启动或卸载vShield代理。
关闭vShieldZones虚拟机 1登录vSphereClient。
2在清单面板中选择vShieldZones虚拟机。
3单击[Console]选项卡打开vShieldZonesCLI。
4登录CLI。
5键入enable以进入特权模式。
6键入shutdown。
7CLI关机完成后，在清单面板中右键单击虚拟机并选择[Power]>[PowerOff]。
VMware,Inc. 41 vShieldZones管理指南 42 VMware,Inc. 10 vShield代理管理 10 您可以通过使用vShieldManager用户界面以及将vShield代理系统事件发送到syslog服务器监视vShield代理的健康状况。
本章包括以下主题：„“将vShield代理系统事件发送到Syslog服务器”（第43页）„“备份vShield代理运行的CLI配置”（第43页）„“查看vShield代理的当前系统状态”（第44页） 将vShield代理系统事件发送到Syslog服务器 您可以将vShield代理事件发送到syslog服务器。
将vShield代理系统事件发送到syslog服务器1在清单面板中选择vShield代理。
2单击[Configuration]选项卡。
3单击[SyslogServers]。
4键入syslog服务器的IP地址。
5从[LogLevel]下拉菜单中，选择将vShield代理事件发送到syslog服务器的事件级别及更高级别。
例如，如果您选择[Emergency]，则仅将紧急级别事件发送到syslog服务器。
如果您选择[Critical]，则会将重要、预警和紧急级别的事件发送到syslog服务器。
6单击[Add]以保存新设置。
您最多可以将vShield代理事件发送到五个syslog实例。
备份vShield代理运行的CLI配置 [CLIConfiguration]选项显示vShield代理运行的配置。
您可以将运行配置备份到vShieldManager来保留配置。
备份vShield代理运行的CLI配置1在清单面板中选择vShield代理。
2单击[Configuration]选项卡。
3单击[CLIConfiguration]。
4单击[BackupConfiguration]。
在[BackupConfiguration]字段中填充配置。
您可以在配置模式提示时将此文本剪切和粘贴到vShield代理CLI。
VMware,Inc. 43 vShieldZones管理指南 查看vShield代理的当前系统状态 通过[SystemStatus]选项，您可以查看和影响vShield代理的健康状况。
详细信息包括系统统计信息、端口状态、软件版本和环境变量。
查看vShield代理的健康状况1在清单面板中选择vShield代理。
2单击[Configuration]选项卡。
3单击[SystemStatus]。
在[SystemStatus]屏幕中，您可以执行下列操作：„“强制vShield代理与vShieldManager同步”（第44页）„“重新启动vShield代理”（第44页）„“按vShield代理界面查看流量统计信息”（第44页）„“下载vShield代理的防火墙日志”（第45页） 强制vShield代理与vShieldManager同步 [ForceSync]选项强制vShield代理与vShieldManager重新同步。
这在软件升级后可能是必要的。
强制vShield代理与vShieldManager重新同步1在清单面板中选择vShield代理。
2单击[Configuration]选项卡。
3单击[SystemStatus]。
4单击[ForceSync]。
重新启动vShield代理 您可以重新启动vShield代理以对操作问题进行故障排除。
重新启动vShield代理1在清单面板中选择vShield代理。
2单击[Configuration]选项卡。
3单击[SystemStatus]。
4单击[Restart]。
5在弹出窗口中单击[OK]确认重新引导。
按vShield代理界面查看流量统计信息 您可以查看每个vShield界面的流量统计信息。
按vShield端口查看流量统计信息1在清单面板中选择vShield代理。
2单击[Configuration]选项卡。
3单击[SystemStatus]。
4单击[Port]列下的界面以查看流量统计信息。
例如，要查看vShield代理管理界面的流量统计信息，请单击[mgmt]。
44 VMware,Inc. 第10章vShield代理管理 下载vShield代理的防火墙日志 您可以从vShield代理下载防火墙活动的日志。
防火墙日志根据与流量匹配的防火墙规则详细记录了防火墙操作的结果。
下载并查看vShield代理的防火墙日志1在清单面板中选择vShield代理。
2单击[Configuration]选项卡。
3单击[SystemStatus]。
4在[VMWall]下，单击[ShowLogs]。
vShield代理会将日志上载到vShieldManager。
5要将日志从vShieldManager下载到您的个人计算机，请单击[DownloadVMWallLogs]。
VMware,Inc. 45 vShieldZones管理指南 46 VMware,Inc. 11 防火墙管理 11 vShield代理的主要功能是通过检查每次会话并将详细信息返回vShieldManager来深入了解虚拟网络中的流量。
流量详细信息包括源、目标、会话方向、应用程序和正在使用的端口。
流量详细信息可用于创建防火墙允许或拒绝规则。
本章包括以下主题： „“使用VMWall”（第47页） „“创建第4层防火墙规则”（第48页） „“创建第2层/第3层防火墙规则”（第49页） „“恢复为先前的VMWall配置”（第49页） „“删除VMWall规则”（第50页） 使用VMWall VMWall是虚拟机环境的集中式层次结构防火墙。
您可以在数据中心级和集群级管理VMWall规则，为这些容器下的多个vShield代理提供一组一致的规则。
由于这些容器中的成员资格可以动态更改，所以VMWall可以保持现有的会话状态，而不需要重新配置防火墙规则。
因此，VMWall可以有效持续占用托管容器下的每台ESX主机。
当创建VMWall规则时，您可以根据容器级的入站或出站流量创建一般规则。
例如，您可以创建规则，以拒绝从数据中心外到数据中心内的目标的任何流量。
您可以创建规则，以拒绝任何未使用VLANID标记的入站流量。
默认规则 默认情况下，VMWall强制实施一组规则，以允许流量通过所有vShield代理。
这些规则将显示在VMWall表的[DefaultRules]区域。
不能删除或添加默认规则。
但是，您可以将每个规则的[Action]元素从[Allow]更改为[Deny]。
第4层规则和第2层/第3层规则 [VMWall]选项卡提供了两组可配置规则：L4（第4层）规则和L2/L3（第2层/第3层）规则。
层指的是开放系统互连(OSI)参考模型的层。
第4层规则管理第7层或特定应用程序的流量的TCP和UDP传输。
第2层/第3层规则监控来自ICMP、ARP及其他第2层和第3层协议的流量。
您只能在数据中心层配置第2层/第3层规则。
默认情况下，允许所有的第4层和第2层/第3层流量通过。
VMware,Inc. 47 vShieldZones管理指南 VMWall规则的层次结构 每个vShield代理按照从上到下的顺序执行VMWall规则。
vShield首先检查每个流量会话是否符合VMWall表中的顶部规则，然后向下移动到表中的后续规则。
强制执行表中第一个匹配流量参数的规则。
在VMWall表中，按以下层次结构执行这些规则： 1数据中心高优先规则 2集群层规则 3数据中心低优先规则（选择数据中心资源后，显示为[Rulesbelowthislevelhavelowerprecedencethanclusterlevelrules]） 4默认规则 VMWall提供容器层和自定义优先级优先配置： „容器层优先指数据中心级别的优先级高于集群层。
当在数据中心层配置规则时，此处的所有集群和vShield代理都将继承此规则。
集群层规则仅适用于集群中的vShield代理。
„自定义优先级优先指可以在数据中心层将高优先或低优先分配给规则。
高优先规则按照容器层优先描述中的说明执行。
低优先规则包括默认规则和数据中心低优先规则的配置。
借助这种灵活性，您可以识别多层已应用的优先。
在集群级可以配置应用于集群中所有vShield代理的规则。
由于数据中心高优先规则在集群层规则之上，请确保您的集群层规则不会与数据中心高优先规则发生冲突。
计划VMWall规则实施 使用VMWall，您可以根据网络策略配置允许和拒绝规则。
下面的示例表示两种常用的防火墙策略： „默认情况下允许所有流量。
您可以保留默认的允许所有规则，并根据VMFlow数据或手动VMWall配置添加拒绝规则。
在此方案中，如果会话不符合任何拒绝规则，vShield将允许流量通过。
„默认情况下拒绝所有流量。
您可以将默认规则的[Action]状态从[Allow]更改为[Deny]，并为特定的系统和应用程序显式添加允许规则。
在此方案中，如果会话不符合任何允许规则，vShield将在会话到达目标之前丢弃会话。
如果您将所有默认规则更改为拒绝所有流量，vShield将丢弃所有入站和出站流量。
创建第4层防火墙规则 第4层防火墙规则根据以下条件允许或拒绝流量： 条件源(
A.B.C.D/nm)源端口目标(
A.B.C.D/nm)目标应用程序目标端口协议 描述产生通信的子网掩码和IP地址产生通信的端口通信流向目标的子网掩码和IP地址源流向的目标上的应用程序通信流向的目标的端口用于通信的传输协议 创建第4层防火墙规则1从清单面板选择一个数据中心或集群资源。
2单击[VMWall]选项卡。
3如果在数据中心层添加规则，请单击[L4Rules]。
4单击表中适当区域中的现有行。
可用区域基于从清单面板中选择的资源。
48 VMware,Inc. 第11章防火墙管理 5单击[Add]。
将在该区域底部添加新行。
6双击新行中的每个单元格以选择适当的信息。
您可以在[Source]和[Destination]字段中键入IP地址，或从默认的方向容器选项中选择。
7（可选）选中新行后，单击[Up]向上移动行的优先级。
8（可选）选中[Log]复选框以记录与此规则匹配的所有会话。
9单击[Commit]保存规则。
注意还可以从VMFlow报告中创建第4层防火墙规则。
请参见“从VMFlow报告添加VMWall规则”（第53页）。
创建第2层/第3层防火墙规则 使用第2层/第3层防火墙，可以为ICMPping和traceroute等常用的数据链路层和网络层请求配置允许或拒绝规则。
您可以根据网络安全策略将默认的第2层/第3层规则从允许更改为拒绝。
创建第2层/第3层防火墙规则1从清单面板中选择一个数据中心资源。
2单击[VMWall]选项卡。
3单击[L2/L3Rules]。
4单击表中[DataCenterRules]区域中的现有行。
5单击[Add]。
将在[DatacenterRules]区域底部添加新行。
6双击新行中的每个单元格以键入或选择适当的信息。
7（可选）选中[Log]复选框以记录与此规则匹配的所有会话。
8单击[Commit]。
注意还可以从VMFlow报告中创建第2层/第3层防火墙规则。
请参见“从VMFlow报告添加VMWall规则”（第53页）。
恢复为先前的VMWall配置 每次提交新规则时，vShieldManager都会保存VMWall设置的快照。
单击[Commit]，vShieldManager将在添加新规则之前使用时间戳保存先前配置。
这些快照位于[ReverttoSnapshot]的下拉菜单中。
恢复为先前的VMWall配置1从清单面板选择一个数据中心或集群资源。
2单击[VMWall]选项卡。
3从[ReverttoSnapshot]下拉菜单中选择快照。
将按照时间戳的顺序显示快照，最新快照位于顶部。
查看快照配置详细信息。
要返回当前配置，从[ReverttoSnapshot]下拉菜单中选择[‐]选项。
4单击[Commit]使用快照配置覆盖当前配置。
VMware,Inc. 49 vShieldZones管理指南 删除VMWall规则 您可以删除创建的任何VMWall规则。
但不能删除表中[DefaultRules]区域中的任何规则。
删除VMWall规则1从清单面板选择一个数据中心或集群资源。
2单击[VMWall]选项卡。
3单击表中[DataCenterRules]或[ClusterLevelRules]区域中的现有行。
可用区域基于从清单面板中选择 的资源。
4单击[Delete]。
50 VMware,Inc. 12 流量分析 12 VMFlow是一个流量分析工具，可提供虚拟网络中通过vShield代理的流量的详细视图。
VMFlow输出定义哪些计算机正通过哪些应用程序交换数据。
此数据中包括会话数、数据包数和每个会话传输的字节数。
VMFlow作为取证工具对检测恶意服务和检查出站会话非常有用，也可用于创建VMWall规则。
vShieldManager最多可维护一百万个第4层会话和一百万个第2/3层会话。
本章包括以下主题：„“使用VMFlow”（第51页）„“在VMFlow图表中查看特定应用程序”（第51页）„“更改VMFlow图表的日期范围”（第52页）„“查看VMFlow报告”（第52页）„“从VMFlow报告添加VMWall规则”（第53页）„“编辑端口映射”（第54页）„“删除所有记录的流”（第53页） 使用VMFlow 此[VMFlow]选项卡显示数据中心、集群或文件夹容器中或各个端口组或虚拟机级别的所有活动的vShield代理返回的吞吐量统计信息。
VMFlow在以下三个图表中显示流量统计信息：„会话/小时：每小时的会话总数„服务器千字节数/小时：每小时的出站千字节数„客户端/小时：每小时的入站千字节数VMFlow按客户端服务器通信中使用的应用程序协议组织统计信息，图表中的每种颜色表示一种不同的应用程序协议。
此图表方法允许您按应用程序跟踪服务器资源。
流量统计信息显示在指定的时间段内检查到的所有会话。
默认情况下显示最后七天的数据。
在VMFlow图表中查看特定应用程序 可通过单击[Application]下拉菜单选择要在图表中查看的特定应用程序。
在VMFlow图表中查看特定应用程序 1从清单面板中选择一个数据中心、集群、文件夹、端口组或虚拟机实例。
2单击[VMFlow]选项卡。
3从[Application]下拉菜单中选择要查看的应用程序。
此时VMFlow图表刷新，显示与所选的应用程序相对应的数据。
VMware,Inc. 51 vShieldZones管理指南 更改VMFlow图表的日期范围 可以更改VMFlow图表的日期范围以查看流量数据历史记录。
更改VMFlow图表的日期范围1从清单面板中选择一个数据中心、集群、文件夹、端口组或虚拟机实例。
2单击[VMFlow]选项卡。
此时图表更新，显示最后七天内的最新信息。
此操作可能需要几秒钟时间。
3在[StartDate]字段中键入一个新日期。
该日期表示从其开始查询的最远过去日期。
4在[EndDate]字段中键入一个新日期。
这表示查询到此截止的最近日期。
5单击[UpdateChart]。
查看VMFlow报告 VMFlow报告提供表格格式的流量统计信息。
此报告支持按照以下层次结构详细查看流量统计信息：1选择防火墙操作：“允许”或“阻止”。
2选择L4协议或L2/L3协议。
„L4：TCP或UDP„L2/L3：ICMP、Other‐IPv4或ARP3如果已选择了L2/L3协议，则选择L2/L3协议或消息类型。
4选择流量方向：入站、出站或内部（在虚拟机之间）。
5选择端口类型：分类（标准化端口）或未分类（非标准化端口）。
6选择应用程序协议或端口。
7选择目标IP地址。
8选择源IP地址。
在源IP地址级别，您可以根据特定的源和目标IP地址创建VMWall规则。
52 VMware,Inc. 第12章流量分析 查看VMFlow报告 1从清单面板中选择一个数据中心、集群、文件夹、端口组或虚拟机实例。
2单击[VMFlow]选项卡。
此时图表更新，显示最近七天内的最新信息。
此操作可能需要几秒钟时间。
3单击[ShowReport]。
4详细查看该报告。
5单击[ShowLatest]更新报告统计信息。
从VMFlow报告添加VMWall规则 通过详细查看流量数据，您可以评估资源的使用并将会话信息发送到VMWall以创建新的允许规则或拒绝规则。
从VMFlow数据创建的VMWall规则仅可用于数据中心和集群级别。
从VMFlow报告输出添加防火墙规则 1从清单面板选择一个数据中心或集群资源。
2单击[VMFlow]选项卡。
3展开防火墙操作列表。
4展开L4或L2/L3协议列表。
5如果已选择L2/L3协议，则选择L2/L3协议或消息类型。
6展开流量方向列表。
7展开端口类型列表。
8展开应用程序或端口列表。
9展开目标IP地址列表。
10查看源IP地址。
11为源IP地址选择[VMWall]列单选按钮以创建VMWall规则。
此时将打开一个弹出窗口。
单击[OK]继续。
此时显示VMWall表。
在[DataCenterLowPrecedenceRules]或[ClusterLevelRules]部分的底部显示新表行，其中包含已完成的会话信息。
12（可选）双击[Action]列单元格以更改[Allow]或[Deny]的值。
13（可选）选择此新行后，单击[Up]提高规则的优先级。
14（可选）选中[Log]复选框以记录与此规则匹配的所有会话。
15单击[Commit]保存规则。
删除所有记录的流 在数据中心级别，您可以删除数据中心中所有记录的流量会话的数据。
这将清除图表、报告和数据库中的数据。
通常，这仅用于将vShieldZones部署从实验室环境移动到生产环境。
如果必须保留流量会话的历史记录，请不要使用此功能。
删除数据中心的流量统计信息1从清单面板选择一个数据中心或集群资源。
2单击[VMFlow]选项卡。
3从清单面板中选择一个数据中心资源。
4单击[DeleteAllFlows]。
5在弹出窗口中单击[Ok]确认删除。
警告无法在单击[DeleteAllFlows]后恢复流量数据。
VMware,Inc. 53 vShieldZones管理指南 编辑端口映射 单击[EditPortMappings]时将出现一个表，其中列出了已知的应用程序和协议及其各自的端口和描述。
vShieldZones识别常用协议和端口映射，例如通过端口80的HTTP。
您的组织可能采用使用非标准端口的应用程序或协议。
在这种情况下，您可以使用[EditPortMappings]标识自定义协议-端口对。
自定义映射显示在VMFlow报告输出中。
[EditPortMappings]表提供了完整的管理功能。
您可以编辑或删除该表中的任何行，包括默认条目。
该表为您提供了一个参考模型。
添加应用程序-端口对映射 您可以将自定义应用程序-端口映射添加到端口映射表。
添加应用程序-端口对映射 1从清单面板选择一个数据中心或集群资源。
2单击[VMFlow]选项卡。
3单击[EditPortMappings]。
4单击表中的行。
5单击[Add]。
将在所选行的上方插入一个新行。
6双击[Application]单元格并键入应用程序名称。
7双击[PortNumber]单元格并键入端口号。
8双击[Protocol]单元格，选择传输协议。
9双击[Resource]单元格，选择要在其中执行新映射的容器。
ANY值将端口映射添加到所有容器。
10双击[Description]单元格并键入简要描述。
11单击[HidePortMappings]。
删除应用程序-端口对映射 可以从表中删除任何应用程序-端口对映射。
删除映射后，应用程序-端口对中的任何流量在VMFlow统计信息中都将被列为[Uncategorized]。
删除应用程序-端口对映射 1从清单面板选择一个数据中心或集群资源。
2单击[VMFlow]选项卡。
3单击[EditPortMappings]。
4单击表中的行。
5单击[Delete]从表中删除该行。
隐藏端口映射表 单击[EditPortMappings]时，该标签将从[EditPortMappings]更改为[HidePortMappings]。
单击[HidePortMappings]。
54 VMware,Inc. 13 虚拟机发现和清单 13 发现功能允许vShield检查并提供有关出入虚拟机的流量会话的详细信息。
该功能还允许vShield对虚拟机进行扫描以标识操作系统和开放式服务。
发现虚拟机后，vShield将在[VMInventory]表中提供有关该虚拟机的详细信息。
本章包括以下主题：„“阅读发现结果表”（第55页）„“启用持续发现”（第56页）„“运行虚拟机的按需发现”（第56页）„“调度虚拟机的定期发现”（第57页）„“终止正在进行的发现”（第57页）„“停止已调度的发现扫描”（第58页）„“使用VMInventory查看虚拟机详细信息”（第58页） 阅读发现结果表 [Results]表提供下列信息： 列[Checkbox] [Start/ScheduledTime][IPsin] [ServersDiscovered] [Duration(sec)][Status] 描述 选中顶部的复选框即会选中底部的复选框。
您可以将复选框选项和[Terminate]或[Remove]操作配合使用。
启动当前发现的时间或将启动调度的发现的时间。
手动或调度的发现操作中包含的IP地址数。
如果在单个主机上运行发现，则此值显示为
1。
如果在子网中的服务器上运行发现，则此值反映该子网中的逻辑IP地址的数目。
在发现中找到的主机数。
如果您是在单个主机上执行发现操作，则此值显示为
1。
如果您是在子网中发现应用程序，则此值反映在该子网中发现的主机数。
如果子网中的主机数未达到满员数，则此值可以不同于[IPsin]值。
发现操作期间经过的总时间量，以秒为单位。
发现操作的当前状态：„[InProgress]表示正在运行发现操作。
„[Completed]表示发现操作已完成。
„[Scheduled]表示发现操作当前处于不活动状态，但将在调度时开始执行该操作。
VMware,Inc. 55 vShieldZones管理指南 启用持续发现 持续发现允许活动检查和标识通过vShield的所有流量。
启用持续发现后，vShield将检查所有入站和出站流量以按IP地址标识网络中的虚拟机。
发现过程将标识每个虚拟机的操作系统、开放应用程序以及应用程序端口。
vShieldManager在[VMFlow]图表和[VMInventory]表中提供此信息。
使用[VMFlow]图表中的信息，您可以创建防火墙规则以根据发现的标准允许或拒绝进行进一步通信。
持续发现优先于手动发现操作。
启用持续发现1在清单面板中选择vShield代理。
2单击[VMDiscovery]选项卡。
3单击[Automated]。
4从[ScheduledDiscoveryStatus]下拉菜单中，选择[Continuous]。
5单击[OK]。
运行虚拟机的按需发现 手动发现提供了子网中单个虚拟机或多个虚拟机上的操作系统、应用程序和开放端口的仅供查看的视图。
扫描漏洞时，您可以使用手动发现标识不应打开的应用程序或端口中的潜在安全问题。
如果目标服务器位于对vShield与所扫描服务器之间的直接通信造成阻碍的物理防火墙、代理或任何类似设备之外，则vShieldZones不支持手动发现操作。
运行虚拟机的按需发现1在清单面板中选择vShield代理。
2单击[VMDiscovery]选项卡。
3单击[Manual]。
4键入要扫描的子网或虚拟机的[NetworkAddress]。
5键入子网或虚拟机的[Mask]。
6单击[Add]。
7重复步骤4‐6以指定要扫描的多个子网或虚拟机。
8单击[Start]。
进度对话框显示发现详细信息。
请注意下列字段：„[Status]：下列状态阶段详细指明了发现操作的进度。
„[InProgress]表示正在运行发现。
„[ProcessingResults]表示搜索已完成，当前正在处理要显示的数据。
„[Completed]表示发现操作已完成。
„[ServersDiscovered]：在参数中找到的服务器数„[ScheduledStartTime]：开始执行发现操作的时间„[Duration]：已完成的发现过程的时间长度„[Targets]：搜索的子网或虚拟机的IP地址发现详细信息在被删除之前始终保留在[Results]表中。
56 VMware,Inc. 第13章虚拟机发现和清单 调度虚拟机的定期发现 定期发现允许您设置一个调度，vShield通过该调度扫描子网中的单个虚拟机或多个虚拟机。
定期发现提供与手动发现相同的反馈，可协助您标识不应打开的应用程序或端口中的潜在安全问题。
完成定期发现后，发现的虚拟机被输入VMInventory表中。
定期发现与持续发现冲突。
如果您选择调度定期发现，则持续发现将终止，而且在重新启用之前不会恢复。
您每次只可以调度一个定期发现操作。
但是，您可以在一个调度操作中搜索多个子网和服务器。
调度虚拟机的定期发现1在清单面板中选择vShield代理。
2单击[VMDiscovery]选项卡。
3单击[Automated]。
4从[ScheduledDiscoveryStatus]下拉菜单中，选择[Periodic]。
5在[MaximumDiscoveryDuration(min)]字段中键入一个值，以限制发现操作在必须终止之前可运行的 分钟数。
默认值为90分钟。
6从[DiscoverFrequency]下拉菜单中，选择[Hourly]、[Daily]或[Weekly]。
根据所选的频率禁用[DayofWeek]、[HourofDay]和[Minute]下拉菜单。
例如，如果您选择[Daily]，则将禁用[DayofWeek]下拉菜单，因为此字段不适用于每天频率。
7键入要处理的子网或虚拟机的[NetworkAddress]。
8键入子网或虚拟机的[Mask]。
对于单个虚拟机，请键入255.255.255.255。
9单击[Add]。
10（可选）重复步骤7‐9以添加多个子网虚拟机。
11单击[OK]。
发现操作根据调度运行。
当到达调度时间时，发现操作启动，并将[Results]表中的[Status]字段更改为[InProgress]。
12在[VMDiscovery]选项卡下，单击[Results]。
13当状态显示为[Completed]时，单击[Start/ScheduledTime]链接以查看结果。
终止正在进行的发现 可以终止正在进行的发现扫描。
终止正在进行的发现1在清单面板中选择vShield代理。
2单击[VMDiscovery]选项卡。
3单击[Results]。
4在[Status]列中，搜索“正在进行”的扫描。
5选中正在进行的扫描旁边的复选框。
6单击表底部的[Terminate]。
7单击[OK]，确认终止。
VMware,Inc. 57 vShieldZones管理指南 停止已调度的发现扫描 可以在已调度的发现扫描开始之前停止该扫描。
删除调度的发现扫描1在清单面板中选择vShield代理。
2单击[VMDiscovery]选项卡。
3单击[Automated]。
4从[ScheduledDiscoveryStatus]下拉列表中，选择[Off]。
5选中[NetworkAddress]下的每个子网或虚拟机旁边的复选框，然后单击[Remove]。
6单击[OK]。
调度的扫描已删除。
使用VMInventory查看虚拟机详细信息 vShieldZones通过持续发现出入您的虚拟机的流量会话概括清单中各个虚拟机的配置情况。
在vShield扫描流量后将创建一个配置文件，其中详细说明了每个虚拟机的操作系统、应用程序和开放端口。
这些配置文件显示在[VMInventory]选项卡下。
初始设置vShieldZones完成后，清单将为空，等待每个vShield代理执行持续发现操作以标识受保护区域中的虚拟机和服务。
vShield通过检查入站和出站会话或通过执行直接发现扫描发现虚拟机上的所有开放服务。
每个虚拟机都列在执行发现操作的vShield下。
[VMInventory]选项卡在数据中心、集群、文件夹和端口组级别以及单个虚拟机级别显示。
在容器级别，[VMInventory]选项卡列出了受所选容器中的所有vShield代理保护的所有虚拟机。
[VMInventory]表中提供了下列信息： 列[VM/Application] [Version/Ports][LastUpdateTime] 描述 显示信息的三个级别。
初看起来，虚拟机的IP地址显示进一步嵌套信息。
展开该虚拟机IP地址时，将显示该虚拟机的操作系统。
展开该操作系统时，将显示在该虚拟机上发现的开放应用程序。
显示两条信息。
虚拟机的操作系统版本与虚拟机IP地址显示在同一行。
在第一列中展开操作系统时，[Version/Ports]列显示与每个发现的应用程序相关联的开放端口。
显示上次更新虚拟机详细信息的日期。
58 VMware,Inc.
A 命令行界面
A 每个vShieldZones虚拟机都包含一个命令行界面(CLI)。
本附录将详细介绍CLI的用法和命令。
CLI中的用户管理不同于vShieldManager用户界面中的用户管理。
本附录包含下列主题：„“登录和注销CLI”（第59页）„“CLI命令模式”（第59页）„“CLI语法”（第60页）„“在CLI中移动”（第60页）„“在CLI内获取帮助”（第60页）„“常见配置”（第61页）„“命令参考”（第63页） 登录和注销CLI 在运行CLI命令之前，您必须启动与vShieldZones虚拟机的控制台会话。
要在vSphereClient中打开控制台会话，请从[inventory]面板中选择vShieldZones虚拟机，然后单击[Console]选项卡。
您可以使用默认的用户名admin和密码default登录CLI。
在将IP地址分配给vShieldZones虚拟机的管理界面后，您还可以使用SSH和访问CLI。
要注销CLI，请在基本模式或特权模式下键入exit。
CLI命令模式 在任何给定时间可以使用的命令取决于您当前所处的模式。
„基本模式：基本模式是只读模式。
要访问所有命令，您必须进入特权模式。
„特权模式：特权模式命令允许支持级别选项，例如调试和系统诊断。
重新引导时将不保存特权模式配置。
必须运行writememory命令才能保存特权模式配置。
„配置：配置模式命令允许您在vShieldZones虚拟机上更改实用程序的当前配置。
您可以从特权模式中访 问配置模式。
您也可以从配置模式中进入界面配置模式。
„界面配置：界面配置模式命令允许您更改虚拟机界面的配置。
例如，您可以更改vShieldManager管理端 口的IP地址和IP路由。
VMware,Inc. 59 vShieldZones管理指南 CLI语法 如下所示，在提示符下运行命令。
不要键入()、<>或[]符号。
mandA.B.C.D(option1|option2)<0-512>[word]„必须输入的文本和数值以斜体显示。
„多个必需的关键字或值都包含在圆括号中，并用单条竖线隔开。
„数字范围包含在尖括号中。
„可选的关键字或值包含在方括号中。
在CLI中移动 下列命令可以在命令行中移动指针。
按键Ctrl+ACtrl+B或左箭头键Ctrl+CCtrl+DCtrl+ECtrl+F或右箭头键Ctrl+KCtrl+N或向下箭头键Ctrl+P或向上箭头键Ctrl+UCtrl+WEnterESC+BESC+DESC+F空格 描述将指针移动到行首。
将指针向后移动一个字符。
结束继续传播的任何操作，例如ping。
删除指针所在位置的字符。
将指针移动到行尾。
将指针向前移动一个字符。
删除指针与行尾之间的所有字符。
使用ctrl+P（或向上箭头键）恢复命令后，显示历史记录的缓冲区中的最新命令。
重复此操作可以恢复最近运行的其他命令。
从最近完成的命令开始，恢复历史记录中的命令。
重复此操作可以连续恢复原来的命令。
删除指针与行首之间的所有字符。
删除指针左侧的单词。
向下滚动一行。
将指针向后移动一个单词。
删除指针与单词结尾之间的所有字符。
将指针向前移动一个单词。
向下滚动一个屏幕。
在CLI内获取帮助 CLI包含下列命令，以协助您使用。
命令?
sho?
exp+TABshow?
showlog?
list 描述将指针移到行首。
显示以特定字符串开头的命令列表。
完成部分命令名称。
列出命令相关联的关键字。
列出关键字相关联的参数。
显示当前模式下所有命令的详细选项。
60 VMware,Inc. 附录A命令行界面 常见配置 正文 保护CLI用户帐户和特权模式密码 必须在各个vShieldZones虚拟机上单独管理CLI用户帐户。
默认情况下，使用admin用户帐户登录到各个vShieldZones虚拟机的CLI。
CLIadmin帐户和密码与vShieldManager用户界面的admin帐户和密码不同。
您应该创建一个新的CLI用户帐户并删除admin帐户以安全访问每个vShieldZones虚拟机上的CLI。
vShieldZonesCLI中的用户帐户管理遵循下列规则。
„您可以创建CLI用户帐户。
每个创建的用户帐户都具有CLI的管理员级访问权限。
„不能更改任何CLI用户帐户的密码。
如果需要更改CLI用户帐户密码，则必须删除该用户帐户，然后使 用新密码重新添加该帐户。
分开管理CLIadmin帐户密码和特权模式密码。
每个CLI用户帐户的默认特权模式密码都相同。
您应该更改特权模式密码以安全访问CLI配置选项。
重要信息每个vShieldZones虚拟机都有两个可供系统使用的内置CLI用户帐户：nobody和m。
不要删除或修改这两个帐户。
如果删除或修改这两个帐户，虚拟机将无法使用。
添加用户帐户您可以添加使用强密码的用户帐户，以使CLI可以安全访问每个vShieldZones虚拟机。
添加用户帐户后，您应该删除admin用户帐户。
1登录vSphereClient。
2从清单中选择vShieldZones虚拟机。
3单击[Console]选项卡，打开CLI会话。
4使用admin帐户登录。
managerlogin:adminpassword:manager> 5切换到特权模式。
manager>enablepassword:manager# 6切换到配置模式。
manager#configureterminal 7添加用户帐户。
manager(config)#userrootpasswordplaintextpassword 8保存配置。
manager(config)#writememoryBuildingConfiguration...Configurationsaved.[OK] 9退出CLI。
manager(config)#exitmanager#exit VMware,Inc. 61 vShieldZones管理指南 删除admin用户帐户添加CLI用户帐户后，您可以删除admin用户帐户以安全访问CLI。
重要信息在添加用户帐户以替换admin帐户之前，不要删除admin用户帐户。
这可防止您无法访问CLI。
删除admin用户帐户1登录vSphereClient。
2从清单中选择vShieldZones虚拟机。
3单击[Console]选项卡，打开CLI会话。
4使用除admin之外的用户帐户登录。
5切换到特权模式。
6切换到配置模式。
7删除admin用户帐户。
manager(config)#nouseradmin 8保存配置。
9运行两次exit命令以注销CLI。
更改特权模式密码您可以更改特权模式密码以安全访问CLI的配置选项。
更改特权模式密码1登录vSphereClient。
2从清单中选择vShieldZones虚拟机。
3单击[Console]选项卡，打开CLI会话。
4登录CLI。
5切换到特权模式。
6切换到配置模式。
7更改特权模式密码。
manager(config)#enablepassword(hash|plaintext)password8保存配置。
9运行两次exit命令以注销CLI。
10登录CLI。
11使用新密码切换到特权模式。
62 VMware,Inc. 附录A命令行界面 在vShield代理上启用扫描界面 默认情况下，vShield代理使用管理界面执行搜索查询。
如果管理界面无法执行搜索查询，您可以在vShield代理上启用扫描界面以执行搜索查询。
默认情况下，扫描界面处于禁用状态。
扫描界面要求使用的IP地址与要扫描的虚拟机在同一子网内。
vShield代理使用已启用的扫描界面。
启用扫描界面1登录vSphereClient。
2从清单中选择vShieldZones虚拟机。
3单击[Console]选项卡，打开CLI会话。
4登录CLI。
5切换到特权模式。
6切换到配置模式。
7切换到扫描界面的界面配置模式。
vShield(config)#interfacescanvShield(config-if)# 8启用扫描界面。
vShield(config-if)#noshutdown 9为扫描界面分配IP地址。
vShield(config-if)#ipaddress192.168.110.200/24 10保存配置。
vShield(config-if)#writememoryBuildingConfiguration...Configurationsaved.[OK] 11退出CLI。
vShield(config-if)#exitvShield(config)#exitvShield#exit 命令参考 本命令参考详细介绍了每个CLI命令，包括语法、用法和相关命令。
„管理命令„CLI模式命令„配置命令„调试命令„显示命令„诊断和故障排除命令„用户管理命令„终端命令„已弃用的命令 VMware,Inc. 63 vShieldZones管理指南 管理命令 list列出所有模式内的命令。
语法 list CLI模式基本模式、特权模式、配置模式、界面配置模式 示例 vShieldMgr>listenableexitlistpingWORDquitshowinterfaceshowiproutesshWORDWORDWORDPORTtracerouteWORD ... reboot重新引导vShieldZones虚拟机。
您还可以从vShieldManager用户界面重新引导vShield代理。
请参见“重新启动vShield代理”（第44页）。
语法 reboot CLI模式特权模式 示例 vShield#reboot 相关命令shutdown shutdown在特权模式下，shutdown命令将关闭虚拟机。
在界面配置模式下，shutdown命令禁用界面。
要启用已禁用的界面，请在命令前添加“no”。
语法 [no]shutdown CLI模式特权模式、界面配置模式 64 VMware,Inc. 示例 vShield#shutdown 或 vShield(config)#interfacemgmtvShield(config-if)#shutdownvShield(config-if)#noshutdown 相关命令reboot CLI模式命令 configureterminal从特权模式切换到配置模式。
语法 configureterminal CLI模式特权模式示例 vShield#configureterminalvShield(config)# 相关命令interface disable从特权模式切换到基本模式。
语法 disable CLI模式基本模式示例 vShield#disablevShield> 相关命令enable enable从基本模式切换到特权模式。
语法 enable CLI模式基本模式 VMware,Inc. 附录A命令行界面65 vShieldZones管理指南 示例 vShield>enablepassword:vShield# 相关命令disable end结束当前的CLI模式并切换到以前的模式。
语法 end CLI模式基本模式、特权模式、配置模式和界面配置模式示例 vShield#endvShield> 相关命令„exit„quit exit从当前模式退出并切换到以前的模式，或退出在特权或基本模式下运行的CLI会话。
语法 exit CLI模式基本模式、特权模式、配置模式和界面配置模式示例 vShield(config-if)#exitvShield(config)#exitvShield# 相关命令„end„quit interface切换到指定界面的界面配置模式。
要删除界面配置，请在此命令前添加“no”。
语法 [no]interface(mgmt|p0|u0|scan) 66 VMware,Inc. 附录A命令行界面 选项mgmtp0u0scan 描述vShieldZones虚拟机上的管理端口。
vShield代理p0界面。
vShield代理u0界面。
vShield代理扫描界面。
CLI模式 配置模式 示例 vShield#configureterminalvShield(config)#interfacemgmtvShield(config-if)#orvShield(config)#nointerfacemgmt 相关命令 showinterface quit退出界面配置模式并切换到配置模式，或退出在特权或基本模式下运行的CLI会话。
语法 quit CLI模式基本模式、特权模式和界面配置模式示例 vShield(config-if)#quitvShield(config)# 相关命令„end„exit 配置命令 clearvmwallrules将vShield代理上的防火墙规则集重置为默认的规则集。
这种情况是暂时的，可用于对防火墙问题进行故障排除。
您可以在vShieldManager中对vShield代理执行强制同步操作来还原防火墙规则集。
有关强制同步的详细信息，请参阅“强制vShield代理与vShieldManager同步”（第44页）。
语法 clearvmwallrules CLI模式特权模式 使用指南vShield代理CLI VMware,Inc. 67 vShieldZones管理指南 示例 manager#clearvmwallrules 相关命令„showvmwalllog„showvmwallrules copyrunning-configstartup-config将当前系统配置复制到启动配置。
您还可以在vShieldManager用户界面中复制并保存vShield代理正在运行的CLI配置。
请参见“备份vShield代理运行的CLI配置”（第43页）。
语法 copyrunning-configstartup-config CLI模式特权模式示例 manager#copyrunning-configstartup-configBuildingConfiguration...Configurationsaved.[OK] 相关命令„showrunning‐config„showstartup‐config databaseerase擦除vShieldManager数据库，将数据库重置为出厂默认设置。
此命令将清除vShieldManager用户界面中的所有配置数据，包括vShield代理配置、事件数据等。
vShieldManagerCLI配置不受此命令影响。
语法 databaseerase CLI模式特权模式使用指南vShieldManagerCLI 示例 manager#databaseerase enablepassword更改特权模式密码。
您应该更改每个vShieldZones虚拟机的特权模式密码。
分开管理CLI用户密码和特权模式密码。
每个CLI用户帐户的特权模式密码都相同。
语法 enablepassword(hash|plaintext)password 68 VMware,Inc. 附录A命令行界面 选项hash plaintextpassword 描述 使用MD5哈希值屏蔽密码。
您可以通过运行showrunning-config命令查看并复制提供的MD5哈希值。
取消密码的屏蔽。
要使用的密码。
默认密码是default。
CLI模式配置模式 示例 vShield#configureterminalvShield(config)#enablepasswordplaintextabcd123 相关命令„enable„showrunning‐config hostname更改CLI提示符的名称。
vShieldManager默认的提示符名称为manager，vShield代理默认的提示符名称为vShield。
语法hostnameword 选项word 描述要使用的提示符名称。
CLI模式配置模式 示例 vShield(config)#hostnamevs123vs123(config)# IPaddress为界面分配IP地址。
在vShieldManager上，您只能为管理界面分配IP地址。
在vShield代理上，您可以为管理界面和扫描界面分配IP地址。
要删除界面的IP地址，请在此命令前添加“no”。
语法[no]ipaddressA.B.C.D/M 选项
A.B.C.DM 描述要使用的IP地址。
要使用的子网掩码。
CLI模式界面配置模式 VMware,Inc. 69 vShieldZones管理指南 示例 vShield(config)#interfacemgmtvShield(config-if)#ipaddress192.168.110.200/24 或 vShield(config)#interfacemgmtvShield(config-if)#noipaddress192.168.110.200/24 相关命令showinterface IPnameserver标识DNS服务器以提供地址解析服务。
您还可以使用vShieldManager用户界面标识一个或多个DNS服务器。
请参见“标识DNS服务”（第16页）。
要删除DNS服务器，请在此命令前添加“no”。
语法[no]ipnameserverA.B.C.D 选项
A.B.C.D 描述要使用的IP地址。
CLI模式配置模式示例 vShield(config)#ipnameserver192.168.1.3 或 vShield(config)#noipnameserver192.168.1.3 IProute添加静态路由。
要删除IP路由，请在此命令前添加“no”。
语法 [no]iprouteA.B.C.D/MW.X.Y.Z 选项
A.B.C.DMW.X.Y.Z 描述要使用的IP地址。
要使用的子网掩码。
网关的IP地址。
CLI模式配置模式 示例 vShield#configureterminalvShield(config)#iproute0.0.0.0/0192.168.1.1 或 vShield(config)#noiproute0.0.0.0/0192.168.1.1 70 VMware,Inc. 附录A命令行界面 相关命令showiproute managerkey 设置共享密钥，对vShield代理和vShieldManager之间的通信进行身份验证。
您可以对任何vShield代理设置共享密钥。
在vShield代理安装期间，必须在vShieldManager用户界面中输入此密钥。
如果vShield代理和vShieldManager之间的共享密钥不相同，则此代理无法安装且不可操作。
语法 managerkeykey 选项key 描述vShield代理和vShieldManager之间的密钥必须匹配。
CLI模式特权模式使用指南vShield代理CLI示例 vShield#managerkeyabc123 相关命令setup setclock 设置日期和时间。
您可以从vShieldManager用户界面连接到NTP服务器以实现时间同步。
所有vShield代理都使用vShieldManager的NTP服务器配置。
如果您符合下列条件之
一，则应该使用此命令。
„无法连接到NTP服务器。
„频繁关闭和启动vShield代理，例如在实验室环境中。
当频繁启动和关闭vShield代理时，它可能会与 vShieldManager不同步。
语法 setclockHH:MM:SSMMDDYYYY 选项HH:MM:SSMMDDYYYY 描述时:分:秒月日年 CLI模式特权模式示例 vShield(config)#setclock00:00:0008282009 VMware,Inc. 71 vShieldZones管理指南 相关命令„NTPserver„showclock„showntp NTPserver 标识网络时间协议(NTP)服务器以实现时间同步服务。
初始NTP服务器同步可能需要15分钟。
您可以从vShieldManager用户界面连接到NTP服务器以实现时间同步。
请参见“设置vShieldManager的日期和时间”（第16页）。
所有vShield代理都使用vShieldManager的NTP服务器配置。
您可以使用此命令将vShield代理连接到vShieldManager未使用的NTP服务器。
要删除NTP服务器，请在此命令前添加“no”。
语法 [no]ntpserver(hostname|
A.B.C.D) 选项hostnameA.B.C.D 描述NTP服务器的主机名。
NTP服务器IP地址。
CLI模式配置模式 使用指南vShield代理CLI 示例 vShield#configureterminalvShield(config)#ntpserver10.1.1.113 或 vShield#configureterminalvShield(config)#nontpserver 相关命令showntp setup打开用于安装vShieldZones虚拟机的CLI初始化向导。
您可以使用此命令配置多个设置。
在vShieldManager安装期间和手动安装vShield代理期间运行setup命令。
按Enter接受默认值。
语法 setup CLI模式基本模式 使用指南Managerkey选项仅适用于vShield代理设置。
72 VMware,Inc. 附录A命令行界面 示例 manager(config)#setupDefaultsettingsareinsquarebrackets'[]'.Hostname[manager]:IPAddress(
A.B.C.DorA.B.C.D/MASK):192.168.0.253Defaultgateway(
A.B.C.D):192.168.0.1Oldconfigurationwillbelost,andsystemneedstoberebootedDoyouwanttosavenewconfiguration(y/[n]):yPleaselogoutandlogbackinagain. manager> syslog标识将接收vShieldZones虚拟机发送的系统事件的syslog服务器。
您还可以使用vShieldManager用户界面标识一个或多个syslog服务器。
请参见“将vShield代理系统事件发送到Syslog服务器”（第43页）。
要禁用syslog导出，请在此命令前添加“no”。
语法[no]syslog(host|
A.B.C.D) 选项hostnameA.B.C.D 描述syslog服务器的主机名。
syslog服务器的IP地址。
CLI模式配置模式示例 vShield(config)#syslog192.168.1.2 相关命令showsyslog write将运行的配置写入内存。
此命令与writememory命令执行相同操作。
语法 write CLI模式特权模式示例 manager#write 相关命令writememory writeerase将CLI配置重置为出厂默认设置。
语法 writeerase VMware,Inc. 73 vShieldZones管理指南 CLI模式特权模式示例 manager#writeerase writememory将当前配置写入内存。
此命令等同于write命令。
语法 writememory CLI模式特权模式、配置模式和界面配置模式示例 manager#writememory 相关命令write 调试命令 debugcopy复制一个或所有数据包跟踪或tcpdump文件，然后将其导出到远程服务器。
在复制和导出文件之前，必须启用debugpacketcapture命令。
语法debugcopy(scp|ftp)URL(packet-traces|tcpdumps)(filename|all) 选项scpftpURL packet-tracestcpdumpsfilenameall 描述将SCP用作传输协议。
将FTP用作传输协议。
添加userid@:格式的URL。
例如：admin@10.10.1.10:/tmp复制并导出数据包跟踪。
复制并导出系统tcpdump。
标识要导出的特定数据包跟踪或tcpdump文件。
复制并导出所有数据包跟踪或tcpdump文件。
CLI模式特权模式使用指南vShield代理CLI示例 vShield#debugcopyftp192.168.1.1tcpdumpsall 74 VMware,Inc. 附录A命令行界面 相关命令„debugpacketcapture„debugremove„debugshowfiles debugpacketcapture捕获vShield代理处理的所有数据包，类似于tcpdump。
启用此命令可能会降低vShield代理性能。
默认情况下，禁用Packetdebugcapture。
要禁用数据包捕获，请在此命令前添加“no”。
语法[no]debugpacketcapture(segment0|interface(mgmt|u0|p0))[expression] 选项segment0 interface(mgmt|u0|p0)expression 描述 vShield代理上的分段，调试功能为其捕获tcpdump信息。
分段0是唯一的活动分段。
分段1和分段2已弃用。
从其中捕获数据包的特定界面。
界面p1、u1、p2、u2、p3和u3已弃用。
tcpdump格式的字符串。
表达式中的单词之间必须使用下划线。
CLI模式特权模式使用指南vShield代理CLI示例 vShield#debugpacketcapturesegment0host_10.10.11.11_port_
8 相关命令„debugcopy„debugpacketdisplayinterface debugpacketdisplayinterface 显示vShield代理界面捕获的所有数据包，类似于tcpdump。
启用此命令可能会降低vShield代理性能。
要禁用数据包显示，请在此命令前添加“no”。
语法[no]debugpacketdisplayinterface(mgmt|u0|p0)[expression] 选项mgmt|u0|p0expression 描述从其中捕获数据包的特定界面。
tcpdump格式的字符串。
表达式中的单词之间必须使用下划线。
CLI模式特权模式使用指南vShield代理CLI。
VMware,Inc. 75 vShieldZones管理指南 示例 vShield#debugpacketdisplayinterfacemgmthost_10.10.11.11_and_port_80 相关命令debugpacketcapture debugremove从vShield代理中删除一个或所有数据包跟踪或者tcpdump文件。
语法 debugremove(packet-traces|tcpdumps)(filename|all) 选项packet-tracestcpdumpsfilenameall 描述删除一个或所有数据包跟踪文件。
删除一个或所有tcpdump文件。
标识要导出的特定数据包跟踪或tcpdump文件。
删除所有数据包跟踪或tcpdump文件。
CLI模式特权模式使用指南vShield代理CLI示例 vShield#debugremovetcpdumpsall 相关命令„debugcopy„debugpacketcapture„debugshowfiles debugservice启用服务的日志记录，以便记录特定的服务引擎和事件的严重性。
您可以运行showservices命令以查看运行服务的列表。
要禁用特定服务的日志记录，请在此命令前添加“no”。
语法 [no]debugservice(ice|sysmgr|vdb|word)(low|medium|high) 选项serviceicesysmgrvdbwordlowmediumhigh 描述服务名称。
vShield代理协议解码引擎。
vShield代理系统管理器。
已弃用。
保留选项，专供技术支持使用。
事件的严重性为低。
事件的严重性为中。
事件的严重性为高。
76 VMware,Inc. 附录A命令行界面 CLI模式特权模式使用指南vShield代理CLI示例 vShield#debug2050001_SAFLOW-FTPD-Dynamic-Port-Detectionsysmgrhigh 相关命令showservices debugserviceflowsrc调试正在处理特定的源到目标对之间的通信的服务消息。
您可以运行showservices命令以查看运行服务的列表。
要禁用日志记录，请在此命令前添加“no”。
语法[no]debugserviceflowsrcA.B.C.D/M:PdstW.X.Y.Z/M:
P 选项serviceA.B.C.DMPW.X.Y.ZMP 描述服务名称。
要使用的源IP地址。
要使用的源子网掩码。
要使用的源端口。
要使用的目标IP地址。
要使用的目标子网掩码。
要使用的目标端口。
CLI模式特权模式使用指南vShield代理CLI。
源或目标值0.0.0.0/0:0与所有值匹配。
示例 vShield#debug2050001_SAFLOW-FTPD-Dynamic-Port-Detectionsrc192.168.110.199/24:1234dst192.168.110.200/24:4567 相关命令showservices debugshowfiles显示已保存的数据包跟踪或tcpdump文件。
语法 debugshowfiles(packet-traces|tcpdumps) 选项packet-tracestcpdumps 描述复制并导出数据包跟踪复制并导出系统tcpdump VMware,Inc. 77 vShieldZones管理指南 CLI模式特权模式 使用指南vShield代理CLI 示例 vShield#debugshowfilestcpdumpstotal8.0K-rw-r--r--1514Jan2018:31tcpdump.unprot-rw-r--r--1514Jan2018:31tcpdump.prot 相关命令„debugcopy„debugremove 显示命令 showalerts显示与协议解码器或网络事件相关的系统警报。
如果没有引发任何警报，则不返回任何输出。
语法 showalerts(vulnerability|decoder|events) 选项vulnerabilitydecoderevents 描述已弃用。
由协议解码器错误引发的警报。
由网络事件引发的警报。
CLI模式 基本模式、特权模式 使用指南vShield代理CLI 示例 vShield#showalertsevents IPaddress HWtype 192.0.2.130 0x1 192.168.110.10x1 Flags0x60x2 HWaddress00:00:00:00:00:8100:0F:90:D5:36:C1 Mask** Devicevirteth1mgmt showarp显示ARP缓存的内容。
语法 showarp CLI模式基本模式、特权模式 78 VMware,Inc. 附录A命令行界面 示例 vShield#showarp IPaddress HWtype 192.0.2.130 0x1 192.168.110.10x1 Flags0x60x2 HWaddress00:00:00:00:00:8100:0F:90:D5:36:C1 Mask** Devicevirteth1mgmt showclock显示虚拟机的当前时间和日期。
如果您使用NTP服务器实现时间同步，则该时间基于协调世界时(UTC)。
语法 showclock CLI模式基本模式、特权模式示例 vShield#showclockWedFeb913:04:50UTC2005 相关命令„NTPserver„setclock showdebug显示已启用的调试进程。
您必须通过运行debugpacket或debugservice命令之一来启用调试路径。
语法 showdebug CLI模式基本模式、特权模式使用指南vShield代理CLI示例 vShield#showdebugNodebuglogsenabled 相关命令„debugservice„debugserviceflowsrc show显示虚拟机界面的以太网信息。
语法 show CLI模式基本模式、特权模式 VMware,Inc. 79 vShieldZones管理指南 示例 vShield#showSettingsformgmt: Supportedports:[TP]Supportedlinkmodes:10baseT/Half10baseT/Full 100baseT/Half100baseT/Full1000baseT/FullSupportsauto-negotiation:YesAdvertisedlinkmodes:10baseT/Half10baseT/Full100baseT/Half100baseT/Full1000baseT/FullAdvertisedauto-negotiation:YesSpeed:100Mb/sDuplex:Full showfilesystem 显示vShieldZones虚拟机的硬盘驱动器容量。
vShield代理包含一个磁盘驱动器；vShieldManager包含两个磁盘驱动器。
语法 showfilesystem CLI模式基本模式、特权模式 示例 vShield#showFilesystem/dev/hda3/dev/hda6/dev/hda7 filesystemSize4.9G985M24G UsedAvailUse%Mountedon730M3.9G16%/ 17M919M2%/tmp1.7G21G8%mon showgatewayrules显示vShield代理上运行的当前IP规则。
语法 showgatewayrules CLI模式特权模式 示例 vShield#showgatewayrulesbufsz:8192inadaquateforallrules;newbufsz=9980sizeofrule_details=36KernelRulesBegin ProxyId=
0,ServiceName=proxy-unused,NumThreads=0ACTION=FORWARD ProxyId=
1,ServiceName=proxy-zombie,NumThreads=0ACTION=FORWARD ProxyId=
2,ServiceName=vproxy-forward-allow,NumThreads=0ACTION=VPROXY ProxyId=
3,ServiceName=vproxy-reverse-allow,NumThreads=0ACTION=UNKNOWN ProxyId=
4,ServiceName=vproxy-inverse-allow,NumThreads=0ACTION=UNKNOWN... 80 VMware,Inc. 附录A命令行界面 showhardware 显示vShieldZones虚拟机的组件。
语法 showhardware CLI模式 基本模式、特权模式 示例 manager#showhardware-[0000:00]-+-00.0IntelCorporation440BX/ZX/DX-82443BX/ZX/DXHostbridge +-01.0-[0000:01]-+-07.0IntelCorporation82371AB/EB/MBPIIX4ISA+-07.1IntelCorporation82371AB/EB/MBPIIX4IDE+-07.3IntelCorporation82371AB/EB/MBPIIX4ACPI+-07.7VMwareIncVirtualMachineCommunicationInterface+-0f.0VMwareIncAbstractSVGAIIAdapter+-10.0BusLogicBT-946C(BA80C30)[MultiMaster10]+-11.0-[0000:02]----00.0IntelCorporation82545EMGigabitController(Copper)+-15.0-[0000:03]-... showinterface 显示所有界面或单个界面的状态和配置。
您也可以从vShieldManager用户界面查看vShield代理的界面统计信息。
请参见“查看vShield代理的当前系统状态”（第44页）。
语法 showinterface[mgmt|p0|u0|scan] 选项mgmtp0u0scan 描述管理界面vShield代理P0界面vShield代理端口U0界面vShield代理扫描界面 CLI模式 基本模式、特权模式 示例 manager#showinterfacemgmtInterfacemgmtisup,lineprotocolisup index1metric1mtu1500HWaddr:00:50:56:9e:7a:6010.115.216.63/22broadcast10.115.219.255Auto-duplex(Full),Auto-speed(1000Mb/s) inputpackets5492438,bytes2147483647,dropped0,multicastpackets0inputerrors0,length0,overrun0,CRC0,frame0,fifo0,missed0outputpackets2754582,bytes559149291,dropped0outputerrors0,aborted0,carrier0,fifo0,heartbeat0,window0collisions0 相关命令 interface VMware,Inc. 81 vShieldZones管理指南 showiproute显示IP路由表。
语法 showiproute[
A.B.C.D/M] 选项
A.B.C.DM 描述要使用的IP地址。
要使用的子网掩码。
CLI模式基本模式、特权模式 示例 vShield#showiprouteCodes:K-kernelroute,C-connected,S-static, >-selectedroute,*-FIBroute S>*0.0.0.0/0[1/0]via192.168.110.1,mgmtC>*192.168.110.0/24isdirectlyconnected,mgmt 相关命令IProute showlog显示所有vShield代理活动的系统日志。
语法 showlog[follow|reverse] 选项followreverse 描述每5秒更新一次显示的日志。
按时间顺序的降序显示日志。
CLI模式 基本模式、特权模式 示例 vShield#showlogAug717:32:37vShield_118syslog-ng[27397]:Configurationreloadrequestreceived,reloading configuration;Aug717:32:37vShield_118udev[21427]:removingdevicenode'/dev/vcs12'Aug717:32:37vShield_118udev[21429]:removingdevicenode'/dev/vcsa12'Aug717:32:37vShield_118udev[21432]:creatingdevicenode'/dev/vcs12'Aug717:32:37vShield_118udev[21433]:creatingdevicenode'/dev/vcsa12'Aug717:33:37vShield_118ntpdate[21445]:adjusttimeserver10.115.216.84offset0.011031secAug717:34:37vShield_118ntpdate[21466]:adjusttimeserver10.115.216.84offset0.002739secAug717:35:37vShield_118ntpdate[21483]:adjusttimeserver10.115.216.84offset0.010884sec... 相关命令 „showlogalerts „showlogevents „showloglast 82 VMware,Inc. showlogalerts显示防火墙规则警报的日志。
语法 showlogalerts CLI模式基本模式、特权模式使用指南vShield代理CLI示例 vShield#showlogalerts 相关命令showlog showlogevents显示vShield代理系统事件的日志。
语法 showlogevents CLI模式基本模式、特权模式使用指南vShield代理CLI示例 vShield#showlogevents 相关命令showlog showloglast显示日志的最后n行。
语法 showloglastn 选项n 描述要显示的日志行数 CLI模式基本模式、特权模式 VMware,Inc. 附录A命令行界面83 vShieldZones管理指南 示例 vShield#showloglast2Feb912:30:55localhostntpdate[24503]:adjusttimeserver192.168.110.199offset-0.000406secFeb912:31:54localhostntpdate[24580]:adjusttimeserver192.168.110.199offset-0.000487sec 相关命令 showlog showmanagerlog显示vShieldManager的系统日志。
语法 showmanagerlog[follow|reverse] 选项followreverse 描述每5秒更新一次显示的日志。
按时间顺序的降序显示日志。
CLI模式基本模式、特权模式使用指南vShieldManagerCLI 示例 vShield#showmanagerlogSEMDebugNov15,200502:46:23PMPropertyUtilsPrefix:applicationDir SEMDebugNov15,200502:46:23PMPropertyUtilsPropsRead:[]SEMInfoNov15,200502:46:23PMRefreshDbUpdateVersionNumbersinfodoesnotexist SEMDebugNov15,200502:46:23PMRefreshDbApplications:[]SEMInfoNov15,200502:46:23PMRefreshDbCompilerversionpairsfound:[] 相关命令showmanagerloglast showmanagerloglast显示vShieldManager日志中最后n个事件。
语法 showmanagerloglastn 选项n 描述要显示的事件数。
CLI模式基本模式、特权模式使用指南vShieldManagerCLI 84 VMware,Inc. 附录A命令行界面 示例 manager#showmanagerloglast10 相关命令showmanagerlog showntp显示网络时间协议(NTP)服务器的IP地址。
使用vShieldManager用户界面设置NTP服务器的IP地址。
语法 showntp CLI模式基本模式、特权模式使用指南vShieldManagerCLI示例 manager#showntpNTPserver:192.168.110.199 相关命令NTPserver showrunning-config显示当前运行的配置。
语法 showrunning-config CLI模式基本模式、特权模式示例 vShield#showrunning-configBuildingconfiguration... Currentconfiguration:!
segment0defaultbypass!
相关命令„copyrunning‐configstartup‐config„showstartup‐config showservices显示受vShield代理保护的服务。
语法 showservices CLI模式基本模式、特权模式 VMware,Inc. 85 vShieldZones管理指南 使用指南vShield代理CLI。
在本示例中，2050001_SAFLOW‐FTPD‐Dynamic‐Port‐Detection是服务的全名。
您必须将此字符串作为服务名称复制并粘贴到debugservice命令中。
示例 vShield#showservicesnproxy_D_T_0001isACTIVE 56-2050001_SAFLOW-FTPD-Dynamic-Port-Detection57-2050001_SAFLOW-MSRPC-Dynamic-Port-Detection58-2050001_SAFLOW-ORACLE-Dynamic-Port-Detection-Reverse59-2050001_SAFLOW-FTPD-Dynamic-Port-Detection-Reverse60-2050001_SAFLOW-SUNRPC-Dynamic-Port-Detection61-2050001_SAFLOW-MSRPC-Dynamic-Port-Detection-Reverse62-2050001_SAFLOW-SUNRPC-Dynamic-Port-Detection-Reverse63-2050001_SAFLOW-ORACLE-Dynamic-Port-Detection64-2050001_SAFLOW-Generic-Single-Session-Inverse-Attached65-2050001_SAFLOW-Generic-Single-Session-Forward-Attached 相关命令1debugservice 2debugserviceflowsrc showsession-managercounters显示由vShield代理处理的会话中的历史统计信息，例如，已接收的SYN的数量、重新传输的SYN的数量等。
语法 showsession-managercounters CLI模式 基本模式、特权模式 使用指南vShield代理CLI 示例 vShield#showsession-managercounterssa_tcp_sockets_allocated_high_water_mark8sa_tcp_tw_count_high_water_mark3SA_TCP_STATS_OpenreqCreated61SA_TCP_STATS_SockCreated61SA_TCP_STATS_NewSynReceived61SA_TCP_STATS_RetransSynReceived0 相关命令showsession‐managersessions showsession-managersessions显示vShield代理当前正在处理的会话。
语法 showsession-managersessions CLI模式 基本模式、特权模式 86 VMware,Inc. 使用指南vShield代理CLI 示例 vShield#showsession-managersessions Activeconnections(serversandestablished) ProtoRecv-QSend-QLocalAddress ForeignAddress tcp
0 00.0.0.0:2601 0.0.0.0:* tcp
0 00.0.0.0:7060 0.0.0.0:* V_Listen tcp
0 0192.168.110.229:461320.0.0.0:* 相关命令showsession‐managercounters StateLISTENLISTEN LISTEN showslots显示vShieldZones虚拟机的插槽上的软件映像。
Boot指示用于引导虚拟机的映像。
语法 showslots CLI模式基本模式、特权模式示例 manager#showslots Recovery:Slot1:Slot2: SystemRecoveryv0.3.213Aug09-09.49PDT*16Aug09-23.52PDT(Boot) showstacktrace显示故障组件的堆栈跟踪。
如果没有故障组件，则不返回任何输出。
语法 showstacktrace CLI模式基本模式、特权模式示例 vShield#showstacktrace showstartup-config显示启动配置。
语法 showstartup-config CLI模式基本模式、特权模式示例 vShield#showstartup-config VMware,Inc. 附录A命令行界面87 vShieldZones管理指南 相关命令„copyrunning‐configstartup‐config„showrunning‐config showsyslog显示syslog配置。
语法 showsyslog CLI模式基本模式、特权模式 示例 vShield#showsyslog*.*-/var/log/messages*.emerg/dev/tty1 相关命令syslog showsystemmemory显示内存使用情况的摘要。
语法 showsystemmemory CLI模式基本模式、特权模式 示例 vShield#showsystemmem MemTotal: 2072204kB MemFree: 1667248kB Buffers: 83120kB showsystemuptime显示自上次重新引导后，虚拟机已运行的时间长度。
语法 showsystemuptime CLI模式基本模式、特权模式示例 vShield#showsystemuptime0day(s),8hour(s),50minute(s),26second(s) showversion显示虚拟机上当前运行的软件版本。
88 VMware,Inc. 语法 showversion CLI模式基本模式、特权模式示例 vShield#showversion showvmwalllog显示符合防火墙规则的会话。
语法 showvmwalllog[follow|reverse] CLI模式基本模式、特权模式使用指南vShield代理CLI示例 vShield#showvmwalllog 相关命令showvmwallrulesshowvmwallrules显示在vShield代理上处于活动状态的防火墙规则。
语法 showvmwallrules CLI模式基本模式、特权模式使用指南vShield代理CLI示例 vShield#showvmwallrulesPrintingVMWallRulesandIPLists... 相关命令„clearvmwallrules„showvmwalllog VMware,Inc. 附录A命令行界面89 vShieldZones管理指南 诊断和故障排除命令 exporttech-supportscp通过安全复制协议(SCP)将系统诊断导出到特定位置。
您还可以从vShieldManager用户界面导出对vShieldZones虚拟机的系统诊断。
请参见“从组件中下载技术支持日志”（第17页）。
语法 exporttech-supportscpURL 选项 描述 URL 输入目标的完整路径。
CLI模式基本模式和特权模式示例 vShield#exporttech-supportscpuser123@host123:file123 link-detect为界面启用链接检测。
链接检测将检查界面的状态为“已启用”还是“已禁用”。
默认情况下，链接检测处于启用状态。
要为界面禁用链接检测，请在此命令前添加“no”。
语法 [no]link-detect CLI模式界面配置模式示例 vShield(config-if)#link-detect 或 vShield(config-if)#nolink-detect ping根据目标的主机名或IP地址Ping目标。
语法 ping(hostname|
A.B.C.D) 选项hostname|
A.B.C.D 描述目标系统的主机名或IP地址。
CLI模式基本模式、特权模式使用指南按Ctrl+C结束ping答复。
90 VMware,Inc. 示例 vShield#ping192.168.1.1 showtechsupport可通过运行exporttech-supportscp命令显示发送到技术支持的系统诊断日志。
语法 showtechsupport CLI模式基本模式、特权模式示例 vShield#showtechsupport 相关命令exporttech‐supportscp ssh打开与远程系统的SSH连接。
语法 ssh(hostname|
A.B.C.D) 选项word 描述目标主机的主机名或IP地址。
CLI模式基本模式、特权模式示例 vShield#sshserver123 打开与远程系统的会话。
语法 (hostname|
A.B.C.D)[port] 选项hostname|
A.B.C.Dport 描述目标系统的主机名或IP地址。
侦听远程系统上的端口。
CLI模式基本模式、特权模式示例 vShield#server123 或 vShield#server1231221 VMware,Inc. 附录A命令行界面91 vShieldZones管理指南 traceroute跟踪指向目标的路由。
语法 traceroute(hostname|
A.B.C.D) 选项hostname|
A.B.C.D 描述目标系统的主机名或IP地址。
CLI模式 基本模式、特权模式 示例 vShield#traceroute10.16.67.118tracerouteto10.16.67.118(10.16.67.118),30hopsmax,40bytepackets 110.115.219.253(10.115.219.253)128.808ms74.876ms74.554ms210.17.248.51(10.17.248.51)0.873ms0.934ms0.814ms310.16.101.150(10.16.101.150)0.890ms0.913ms0.713ms410.16.67.118(10.16.67.118)1.120ms1.054ms1.273ms 用户管理命令 defaultweb-managerpassword将vShieldManager用户界面admin用户帐户密码重置为default。
语法 defaultweb-managerpassword CLI模式特权模式使用指南vShieldManagerCLI示例 manager#defaultweb-managerpasswordPasswordreset user 添加CLI用户帐户。
admin用户是默认的用户帐户。
CLIadmin帐户和密码与vShieldManager用户界面的admin帐户和密码不同。
不能更改CLI用户的密码。
必须删除用户帐户，然后重新添加帐户才能更改密码。
如果必须更改密码，请创建一个新的用户帐户以防止CLI锁定。
重要信息每个vShieldZones虚拟机都有两个可供系统使用的内置CLI用户帐户：nobody和m。
不要删除或修改这两个帐户。
如果删除或修改这两个帐户，虚拟机将无法使用。
要删除CLI用户帐户，请在此命令前添加“no”。
92 VMware,Inc. 附录A命令行界面 语法[no]userusernamepassword(hash|plaintext)password 选项usernamehash plaintextpassword 描述用户的登录名。
使用MD5哈希值屏蔽密码。
您可以通过运行showrunning-config命令查看并复制提供的MD5哈希值。
取消密码的屏蔽。
要使用的密码。
CLI模式配置模式示例 vShield(config)#usernewuser1passwordplaintextabcd1234 或 vShield(config)nousernewuser1 web-manager在vShieldManager上启动Web服务。
安装vShieldManager后启动Web服务。
要在vShieldManager上停止Web服务（HTTP守护进程），请在此命令前添加“no”。
此命令使vShieldManager对Web控制台浏览器会话不可用。
语法 [no]web-manager CLI模式配置模式 使用指南vShieldManagerCLI。
您可以在运行noweb-manager命令后使用此命令停止vShieldManager的HTTP服务，然后重新启动该服务。
示例 manager(config)#noweb-managermanager(config)#web-manager 终端命令 clearvty清除VTY与CLI的所有其他连接。
语法 clearvty CLI模式特权模式示例 manager#clearvty VMware,Inc. 93 vShieldZones管理指南 reset重置终端设置以删除当前屏幕输出并返回一个不带任何内容的提示符。
语法 reset CLI模式基本模式、特权模式、配置模式示例 manager#reset 相关命令„terminallength„terminalnolength terminallength设置CLI终端中一次显示的行数。
语法 terminallength<0-512> 选项0‐512 描述输入要显示的行数。
如果长度是
0，则不执行显示控制。
CLI模式特权模式示例 manager#terminallength50 相关命令„reset„terminalnolength terminalnolength对terminallength命令求反。
语法 terminalnolength CLI模式特权模式示例 manager#terminalnolength 相关命令„reset„terminallength 94 VMware,Inc. 已弃用的命令 vShieldZonesCLI包含已弃用的命令。
下表列出了已弃用的命令。
表A-
1.已弃用的命令 命令closesupport-tunnelcopyhttpURLslot(1|2)copyhttpURLtempcopyscpURLslot(1|2)copyscpURLtempdebugexportsnapshotdebugimportsnapshotdebugsnapshotlistdebugsnapshotremovedebugsnapshotrestoreduplexautoduplex(half|full)speed(10|100|1000)ippolicy-addresslinkwatchinterval<5-60>modepolicy-based-forwardingopensupport-tunnelsetsupportkeyshowraidshowraiddetail 附录A命令行界面 VMware,Inc. 95 vShieldZones管理指南 96 VMware,Inc.
B 将vMotion和vShieldZones结合使用
B VMwarevMotion™有助于在物理服务器间实时迁移正在运行的虚拟机，通常用于负载平衡和容错等情况。
vShieldZones虚拟设备遵循与客户虚拟机相同的高可用性规则。
但是，vShieldZones不需要移动vShieldZones虚拟设备。
本章包含以下主题。
„“阻止vMotion移动vShieldZones虚拟设备”（第97页）„“允许vMotion移动受保护的虚拟机”（第98页） 阻止vMotion移动vShieldZones虚拟设备 如果已启用VMwareHA或DRS功能，则必须禁止移动vShieldZones虚拟设备。
将每个vShieldZones组件安装到vCenter后必须执行该操作。
可以使用VMotion迁移vShieldManager虚拟设备，不会产生不良影响。
禁止VMwareHA或DRS移动vShieldZones虚拟设备 1登录vSphereClient。
2右键单击包含vShieldZones虚拟设备的集群，然后单击[EditProperties]。
此时将打开[AdminSettings]对话框。
3在VMwareHA下，单击[VirtualMachineOptions]。
在列表中查找vShieldManager和vShield代理。
4对于每个vShieldZones虚拟设备，选择下列值： „[VMRestartPriority]:[Disabled]„[HostIsolationResponse]:[LeaveVMpoweredon]如果也启用了VMwareDRS，此时不要单击[OK]。
5在VMwareDRS下，单击[VirtualMachineOptions]。
在列表中查找vShieldManager和vShield代理。
6为每个vShieldZones虚拟设备选择[DisabledforAutomationLevel]。
7在配置完所有vShieldZones虚拟设备后，单击[OK]。
VMware,Inc. 97 vShieldZones管理指南 允许vMotion移动受保护的虚拟机 默认情况下，vShield操作阻止vMotion在ESX主机之间移动受保护的虚拟机。
部署vShieldZones时，您可能有多个ESX主机，其中包含一个或多个配置相同的vShield代理。
例如，可使用vMotion将ESX‐1上受vShield‐1保护的虚拟机移动到ESX‐
2。
通过明确允许vMotion，虚拟机在ESX‐2上可受到与在ESX‐1上相同的保护。
默认情况下，在尝试迁移虚拟机期间vShield会引发错误。
该错误提示虚拟机连接到了虚拟。
此是虚拟机通过受vShield保护的vSwitch连接到的网络，该网络不带有物理网卡。
在这种情况下，vShield将流量桥接到与物理网卡连接的不受保护的网络。
允许vMotion禁用虚拟检查 1在vCenterServer上查找vpxd.cfg文件。
该文件通常默认安装在C:\DocumentsandSettings\AllUsers\ApplicationData\VMware\VMwarevCenter。
2在文本编辑器中编辑该vpxd.cfg文件。
将下列各行添加为config一节的子级，使它们与vpxd一节的级别相同。
<>false 3保存该vpxd.cfg文件。
4重新启动VMwarevCenterServer服务。
您可以通过转到[ControlPanel]>[AdministrativeTools]>[Services]来访问该服务菜单。
98 VMware,Inc.
C 故障排除
C 本节将指导您对常见的vShieldZones问题进行故障排除。
本附录包括下列主题：„“对安装问题进行故障排除”（第99页）„“对操作问题进行故障排除”（第101页） 对安装问题进行故障排除 vShieldZonesOVF文件已解压缩到未安装vSphereClient的个人计算机中 问题我已经获取vShieldZonesOVF文件并将其下载到了我的个人计算机上。
如果我的个人计算机上没有安装vSphereClient，我应该如何安装vShieldZones？解决方案您必须安装vSphereClient才能安装vShieldZones。
无法将vShieldZonesOVF安装到vSphereClient中 问题我在尝试安装vShieldZonesOVF文件时，安装失败。
解决方案如果无法安装vShieldZonesOVF文件，vSphereClient中将显示错误窗口，标识发生故障的行。
将此错误信息与vSphereClient版本信息一起发送到VMware技术支持。
安装OVF之后无法启动vShield代理虚拟机 问题我在安装vShield代理OVF之后，尝试启动vShield代理虚拟机。
然而，虚拟机无法启动。
解决方案vShield代理虚拟机构建为在安装OVF之后保持关闭状态。
必须将初始vShield代理虚拟机转换成模板，才可以从vShieldManager自动安装所有vShield代理。
VMware,Inc. 99 vShieldZones管理指南 在启动vShieldManager虚拟机之后，无法登录CLI 问题我在安装OVF之后，无法登录vShieldManagerCLI。
解决方案安装完vShieldManager之后等待几分钟再登录vShieldManagerCLI。
在[Console]选项卡视图中，如果屏幕为空，请按Enter检查是否出现命令提示符。
无法登录vShieldManager用户界面 问题我在尝试从Web浏览器登录vShieldManager用户界面时，出现[PageNotFound]异常。
解决方案vShieldManagerIP地址位于Web浏览器无法访问的子网中。
必须通过使用vShieldZones的Web浏览器才能访问vShieldManager管理界面。
从vShieldManager用户界面中看不到vShield代理模板 问题我从vShield代理虚拟机中创建了一个模板。
然而，我在使用vShieldManager用户界面安装vShield代理时，却找不到对vShield代理模板的引用。
解决方案在vSphereClient中，关闭模板并重新启动。
如果此操作不起作用，请删除该模板并重复vShield代理OVF安装和模板转换过程。
如果此操作仍不起作用，请获取新的vShield代理OVF。
从vShieldManager用户界面安装vShield代理失败 问题我尝试从vShieldManager用户界面安装vShield代理失败。
解决方案通常情况下，这是因为在安装过程中vShieldManager和vShield之间没有进行通信。
如果vShieldManagerIP地址无法Ping您分配的vShield代理IP地址，则安装失败。
然而，vShieldManager在测试连接之前添加了端口组和新的vSwitch。
您的虚拟机不会受到影响，但是您必须手动删除已创建的端口组和vSwitch。
vShieldManager无法与vShield代理进行通信 问题我无法从vShieldManager配置vShield代理。
解决方案如果您无法从vShieldManager配置vShield代理，则说明两者之间的连接中断。
vShield管理界面无法与vShieldManager管理界面进行通信。
请确保两个管理界面位于同一子网中。
如果使用了VLAN，请确保两个管理界面位于同一VLAN中。
另一个原因可能是关闭了vShield代理或vShieldManager虚拟机。
100 VMware,Inc. 附录C故障排除 对操作问题进行故障排除 无法配置vShield代理 问题我无法配置vShield代理。
解决方案这可能由下列其中一种情况导致。
„vShield代理虚拟机损坏。
请从vShieldManager用户界面卸载vShield代理。
安装新的vShield代理以 保护vSwitch。
„vShieldManager无法与vShield代理进行通信。
„承载vShield配置文件的存储/LUN出现故障。
如果发生这种情况，您无法更改任何配置。
然而，防火墙 会继续运行。
如果远程存储器不可靠，您可以将vShieldZones虚拟机存储到本地存储器。
使用vSphereClient对受影响的vShield代理创建快照或创建TAR。
将此信息发送到VMware技术支持。
防火墙阻止规则不阻止符合条件的流量 问题我将VMWall规则配置为阻止特定的流量。
我使用VMFlow查看流量，却发现我希望阻止的流量被允许通过。
解决方案请检查该规则的顺序和范围。
这包括在其上执行该规则的容器级别。
如果在错误的容器下配置基于IP地址的规则，可能会出现问题。
检查受影响的虚拟机所在的位置。
虚拟机是否在vShield代理之后？如果不是，则没有执行该规则的代理。
在资源树中选择虚拟机。
此虚拟机的[VMWall]选项卡显示影响此虚拟机的所有规则。
将任何不受保护的虚拟机放置在受vShield保护的交换机中，或通过安装vShield保护虚拟机所在的vSwitch。
为上述VMWall规则启用日志记录。
这可能会减慢通过vShield代理的网络通信。
验证vShield代理连接。
检查vShield代理是否与[SystemStatus]页上不同步。
如果不同步，请单击[ForceSync]。
如果仍然不同步，请查看系统事件日志查明原因。
在手动执行发现或调度发现之后没有结果 问题我设置了[Discovery]以扫描子网或服务器。
然而，扫描完成后没有返回任何数据。
这可能是网络问题导致的。
vShield代理管理界面是默认的扫描界面。
此界面分配有IP地址。
如果此IP地址与扫描的虚拟机位于不同的子网中，则扫描不会返回任何结果。
解决方案如果管理界面的IP地址与扫描的虚拟机位于不同的子网中，则在vShield代理上启用扫描界面。
默认情况下，扫描界面未处于启用状态，必须通过CLI进行启用。
在启用扫描端口之后，运行[showlogfollow]命令查看发现查询。
VMware,Inc. 101 vShieldZones管理指南 VMFlow中不显示任何流数据 问题我安装了vShieldManager和vShield代理。
我在打开[VMFlow]选项卡时，没有看到任何数据。
解决方案这可能由下列其中一种或多种情况导致的。
„您没有为vShield代理提供足够的时间来监控流量会话。
安装vShield代理之后等待几分钟再收集流量数 据。
通过单击[VMFlow]上的[GetLatest]选项卡来请求数据收集。
„流量传至不受vShield代理保护的虚拟机。
请确保您的虚拟机受vShield代理保护。
虚拟机必须与vShield 代理保护的(p0)端口位于相同的端口组中。
„没有流量传至受vShield代理保护的虚拟机。
„检查每个vShield代理的系统状态，确定是否存在不同步的问题。
102 VMware,Inc. 索引 A admin用户帐户24按需发现56安装 更新21来自模板的vShield31vShield安装32,36安装vShield31
B 帮助13CLI60 报告审核日志29系统事件27 备份按需19调度20还原20 备份配置43编辑端口映射54 删除54添加映射54隐藏端口映射54编辑用户帐户25 C clearvty93CLI 帮助60备份配置43登录59界面模式59模式59配置模式59特权模式59语法60CLI基本模式59CLI界面模式59CLI命令语法60CLI配置模式59CLI特权模式59configureterminal65copyrunning-configstartup-config68插件17持续发现56 VMware,Inc. 重新引导64创建用户24 D databaseerase68debugcopy74debugpacketcapture75debugpacketdisplayinterface75debugremove76debugservice76debugserviceflowsrc77debugshowfiles77defaultweb-managerpassword92disable65DNS16代理服务16登录 CLI59vShieldManager13调度备份20定期发现57端口映射54删除54添加54隐藏54 E enable65enablepassword68end66exit66exporttech-supportscp90
F 发现55持续56定期57手动56移除结果58终止57 发现结果55防火墙 从VMFlow添加规则53关于47计划规则实施48日志45 103 vShieldZones管理指南 删除规则50添加L2/L3规则49添加L4规则48访问联机帮助13服务DNS16代理16NTP16
G 更新安装21更新历史记录22更新状态21 更新历史记录22更新用户25更新状态21关机64规则 将L2/L3规则添加到VMWall49将L4规则添加到VMWall48删除VMWall规则50 H hostname69[Hosts&Clusters]视图14HTTP代理16还原备份20 I interface66IPaddress69IPnameserver70IProute70
J 集群层规则48角色和权限 分配给用户24关于23
L L2/L3规则关于47添加49 L4规则关于47添加48 link-detect90来自vShield的SNMP陷阱43联机帮助13连接到vCenterServer15列表64 104 流分析日期范围52流量分析日期范围52 M managerkey71命令语法60默认规则48
N [Networks]视图14NTP16NTPserver72 P password25ping90 Q quit67强制同步44清除vmwall规则67清单 面板14VMInventory58清单面板14 R reset（重置）94日期16日志 防火墙45审核29 S setclock71setup72showalerts78showarp78showclock79showdebug79show79showfilesystem80showgatewayrules80showhardware81showinterface81showiproute82showlog82showlogalerts83showlogevents83showloglast83showmanagerlog84showmanagerloglast84showntp85 VMware,Inc. showrunning-config85showservices85showsession-managercounters86showsession-managersessions86showslots87showstacktrace87showstartup-config87showsyslog88showsystemmemory88showsystemuptime88showtechsupport91showversion88showvmwalllog89showvmwallrules89ssh91syslog73Syslog服务器43syslog格式28删除端口映射54删除用户25审核日志29时间16事件 发送到syslog43syslog格式28vShieldManager事件27vShield事件28系统事件27作为陷阱发送到SNMP服务器43视图网络14主机和集群14手动安装32,36数据按需备份19调度备份20还原备份20数据中心低优先规则48数据中心高优先规则48 T 91terminallength94terminalnolength94traceroute92添加用户24同步vShield44 U user92 VMware,Inc. 索引 V vCenterServer连接15[vCenter]选项卡15VMFlow 日期范围52添加VMWall规则53显示报告52VMFlow的日期范围52VM发现持续56定期57结果55手动56移除结果58终止57VMInventory58VMWall47从VMFlow添加规则53关于L4和L2/L3规则47规则层次结构48计划规则实施48删除规则50添加L2/L3规则49添加L4规则48VMWall规则的层次结构48vMotion97vShield44CLI配置43从模板安装31发现55防火墙日志45关于11基于事件的通知28将事件发送到syslog43将事件作为陷阱发送到SNMP43流量状态44强制同步44手动安装32,36系统状态44卸载40vShield的流量统计44vShieldManager按需备份19DNS16代理服务16登录13调度备份20访问联机帮助13关于11还原备份20基于事件的通知27NTP16 105 vShieldZones管理指南 清单面板14日期和时间16手动安装17vSphere插件17序列号17用户界面面板14状态17vShieldManager序列号17vShieldZonesvShield11vShieldManager11vSphere插件17 W web-manager93write73writeerase73writememory74
X 系统时间16系统事件27系统状态44 流量状态44强制同步44显示VMWall日志45重新启动44 下载防火墙日志45 陷阱目标43显示报告52显示日志45卸载vShield40
Y 移除发现结果58隐藏端口映射54用户 admin帐户24编辑25分配角色和权限24更改密码25角色和权限23删除25添加24用户界面登录13联机帮助13
Z 终止发现57状态 更新21vShield44 vShieldManager17 106 VMware,Inc.