极地内网内控安全管理系统内控堡垒主机操作手册V文档格式.docx

极地内网内控安全管理系统内控堡垒主机操作手册V文档格式.docx

《极地内网内控安全管理系统内控堡垒主机操作手册V文档格式.docx》由会员分享，可在线阅读，更多相关《极地内网内控安全管理系统内控堡垒主机操作手册V文档格式.docx（20页珍藏版）》请在冰豆网上搜索。

本文档的组织结构。

如何联系北京极地安全技术支持。

1.1文档目的

能够正确地部署和配置内控堡垒主机系统。

1.2读者对象

阅读本文档，他们可以独自完成以下一些工作：

内控堡垒主机系统的功能使用。

内控堡垒主机系统的策略配置与管理。

1.3文档组织

本文档包括以下章节及其主要内容：

前言，介绍了本手册各章节的基本内容、文档和技术支持信息。

系统简介，介绍内控堡垒主机系统的部署结构和登录方法。

系统应用，介绍如何配置使用内控堡垒主机系统。

1.4技术支持

北京极地公司对于生产的安全产品提供远程的产品咨询服务，广大用户和合作伙伴可以通过多种方式获取在线文档、疑难解答等全方位的技术支持。

公司主页提供交互网络服务，用户及合作伙伴可以在世界的任何地方，任何时候访问技术支持中心，获取实时的网络安全解决方案、安全服务和各种安全资料。

传真:

010-

客服经理承接质量问题投诉邮箱：

、系统简介

内控堡垒主机系统是极地安全内控解决方案的重要组成部分，部署在企业的

内部网络中，用于保护企业内部核心资源的访问安全。

内控堡垒主机是一种被加固的可以防御进攻的计算机，具备很强安全防范能力。

内控堡垒主机扮演着看门者的工作，所有对网络设备和服务器的请求都要从这扇大门经过。

因此内控堡垒主机能够拦截非法访问，和恶意攻击，对不合法命令进行命令阻断，过滤掉所有对目标设备的非法访问行为。

内控堡垒主机具备强大的输入输出审计功能，不仅能够详细记录用户操作的每一条指令，而且能够将所有的输出信息全部记录下来，也具备图形终端操作的审计功能，能够对多平台的多种图形终端操作做审计，并且内控堡垒主机具备审计回放的功能，能够模拟用户在线操作过程。

总之，内控堡垒主机能够极大的保护企业内部网络设备及服务器资源的安全性，使得企业内部网络管理合理化，专业化，信息化。

2.1关键字

用户名：

也叫主帐号，使用内控堡垒主机的用户统称为用户名。

资源：

内控堡垒主机管理的主机系统，数据库，网络设备等统称为资源。

例如AIX系统、Windows2000系统、DB2数据库、CISCO356（等。

从账号：

从账号是资源中的账号，例如AIX中的root账号，Windows2000

中的Administrator账号。

SSO单点登录：

SSO（SingleSign-On）中文为单点登录，就是说在同一个地点完成对不同资源的访问。

策略：

控制用户登录、设置密码、禁止使用命令、允许访问命令的方法。

2.2部署结构

内控堡垒主机部署逻辑图:

内控堡垒主机部署物理图:

如图，内控堡垒主机部署在被管服务器区的访问路径上。

内控堡垒主机接入用户网络中的方式是旁路，仅需要为系统分配一个IP，

并确保该地址与需要运维的主机IP可达，协议可访问。

可以通过防火墙或者交换机的访问控制策略限定只能由内控堡垒主机直接

访问服务器的远程维护端口。

维护人员维护被管服务器或者网络设备时，首先以WE方式登录内控堡垒主

机，内控堡垒主机会根据系统管理员预先设置好的访问控制权限，展现访问资源

列表，提示用户选择可以访问的授权资源，用户选择完成后会自动直接登录到目

标操作系统或网络设备。

2.3系统登录

登录页面对管理员及用户进行身份认证，以及策略校验，从而完成登录。

在地址栏上输入系统URL例如：

，如图所示，进入系统登录页面。

系统默认的超级管理员的帐号：

admin,密码：

123。

内控堡垒主机启用后,

应及时修改口令，以免被非法登录。

根据管理员和用户的认证方式，管理员和用户可以用简单的静态用户名，口

令进行认证，也可以持证书、令牌等强认证方式进行认证。

系统根据用户相关登录策略，例如：

访问时间策略、访问地址策略、访问锁

定策略等进行校验。

如果通过校验，用户可进入系统，否则禁止用户登录系统并给出相应提示。

、单点登录（SSO

3.1单点登录（SSO

3.1.1界面

功能说明

J一登录功能是用户访问授权资源的统一入口。

通过此功能，用户访问资源

时只需要在内控堡垒主机上做一次登录，之后就可以在不输入用户名和密码的情

况下使用各种授权资源。

3.1.3操作描述

当用户点击“单点登录”时，资源帐号列表中会显示所有授权给此用户的资

源。

当用户点击资源列表后的授权协议方式按钮时，会自动进入目标资源，完成

单点登录。

注意：

要使用单点登录功能，必须安装单点登录控件，可到“单点登录->

?

单点登录/回访控件”中下载单点登录控件程序；

就可以使用RDP访问资源，被

管资源上要开启远程桌面服务，同时也可以使用SSH或TELNET方式访问资源，

并且能够支持回放、实时监控等功能。

单点登录数据库时，要做好准备工作，首先数据库需要用户自行安装对应数

据库的客户端，ORACL数据库需要安装PLSQL7MSSQL2000/2005/2008需要安

装Sqlservermanagementstudio2008。

然后“单点登录”界面，找到数据库的资源，点击协议进行登录。

3.2单点登录控件及工具安装

3.2.1界面

3.2.2功能说明

用户通过资源列表单点登录到授权资源时需要安装单点登录控件。

3.2.3操作描述

点击->

“单点登录”进入单点登录界面，右上方有单点登录控件下载。

右键

点击->

选择目标另存为，下载完毕后关闭IE浏览器对控件进行安装。

Win7用户必须以管理员的身份进行下载安装。

用户

由管理员在内控堡垒主机上添加并且授权相应的角色后的用户名才能使用。

管理，实现用户名生命周期管理的全部过程，包括用创建用户，用户授权,变更，锁定用户，注销用户。

4.1.3操作描述

用户管理：

当管理员点击目录中的用户管理时，目录下侧显示区域会显示用户列表。

用户创建：

管理员点击账号管理中的添加用户按钮，会进入用户基本信息页面，管理员在此添加新用户信息。

用户授权：

用户授权用于授予用户访问被管资源和内控堡垒主机管理的权限。

用户变更：

管理员在用户管理页面中点击用户名，会进入用户变更页面，用以变更用户信息。

用户锁定：

管理员可以在用户变更页面中点击锁定按钮用以锁定用户，同时

会锁定授权资源的访问权限，并可以通过用户管理下的操作下拉列表直接锁定激活用户。

用户注销：

管理员可以在用户列表中选择所要注销的用户选项，并选择操作下拉列表中的注销用户，按执行按钮注销用户。

4.1.4示例

登录系统后，点击用户管理，进入用户管理页面，点击添加用户按钮，进入添加用户信息页面。

填写用户的用户名、姓名等信息，在这里可以选择密码认证方式，用户访问系统资源的授权，用户分组等。

信息填写完毕后，点击提交，完成用户的添加。

下次登录修改密码：

选中此复选框，则下次登录则会提示修改密码。

管理员

授权用户的初始密码比较简单，则需要登录时修改密码。

状态：

锁定则当前用户不可登陆，解锁则用户可以正常登陆，注销则删除当

前账户。

分组管理是管理员在堡垒机上建立的各个部门等的目录树，便于管理员快速找到相应的用户。

4.2.3操作描述

点击用户管理下树形目录上方的管理，进入分组管理页面，先选中相应的节点，然后点击增加同级或者增加下级就可以进行增加分组，选中相应的节点点击

删除则删除该分组。

在用户的修改界面可以把相应的用户移动到相应的分组。

类型划分为：

Windows主机、Windows域控、Windows域内主机、Linux主机、Unix、数据库（独立）、数据库（系统）、网络设备（Radius）、网络设备（Local）等。

资源管理实现被管资源的管理和被管资源的帐号管理。

给用户授予操作某资源的权限，实际是将资源上的帐号（也叫从帐号）授权给用户使用，因此管理员给用户授权，要做如下两个步骤：

建立资源，将资源授权给主账号。

5.1.3操作描述

资源管理模块，点击添加资源，就可以进到资源编辑页面。

如果要删除或者锁定资源，先选中要进行操作的资源，然后在操作后面的下拉列表框选择相应的操作，点击执行即可。

添加Windows、Unix、Linux、网络设备资源

1、首先点击资源添加按钮，进入编辑页面。

2、填写资源名称，以便识别。

3、选择资源的类型（比如Windows主机、Linux主机等）。

4、填写资源IP和连接IP，这两个IP皆为被管资源IP。

5、在所属组，给资源选择相应的组，以便管理（此为可选项）。

6、在授权端口，选择运维改资源所采用的协议：

RDP协议：

远程桌面，必须该资源开启3389端口，此协议只适用于Windows

系统。

SSH协议：

SSH协议是一种远程命令行运维的方式，该协议采用的加密方式，采用SSH协议进行运维比Telnet更具安全性。

（资源必须开启了SSH协议，默认

端口22）

Telnet协议：

SSH协议是一种远程命令行运维方式，一般交换机、路由器设

备采用Telnet协议进行运维。

（资源必须开启Telnet协议，默认端口23）

FTP协议：

传统的文件传输协议，可以与服务器之间进行上传和下载文件。

（必须在服务器上建立了FTP服务器，默认端口21）

SFTP协议：

安全文件传送协议，可以为传输文件提供一种安全的加密方法。

sftp与ftp有着几乎一样的语法和功能。

（默认端口22）

X11协议：

Xwindows协议，此协议是用于连接Linux、Unix等系统的图像化

界面的。

（资源必须要装有图形化界面才能使用该协议，运维计算机必须装有

Xmanage，默认端口22）

VNC协议：

VNC也是一种图形化界面的协议，要使用此协议服务器端必须要

装有VNd艮务器端，在配置账号的时候账号拦随便起名字，而密码则是服务器端的VNC密码。

（服务器端默认端口5900，运维端默认端口5600）

7、账号收集信息，这个功能是用于收集该资源的所有账号的，包括数据库

账号，系统登陆账号等等，需要填写的是超级管理员的账号和密码。

账号收集需要保存退出后，通过修改模式进入资源编辑页面才能够显示出账号收集按钮。

推荐使用,收集出来的账号太多）

8、资源从账号，在这个地方填写该资源的登陆系统账号和密码。

9、保存，完成资源的添加。

添加数据库资源

添加数据库资源其他配置都和上面一样，需要注意的是授权端口变成了数据库信息，数据库信息必须要填写数据库名称，数据库服务，数据库类型，还有数据可占用的窗口，另外在运维机必须装有MYSQL7.皈本和数据库客户端。

添加web应用

1、首先进入到添加资源页面。

2、资源类型选择web资源，其他照旧。

3、端口按照实际情况填写。

4、账号按实际情况填写。

5、根据账号的多少选择参数个数。

6登陆url去该系统的登陆页面查找填写用户名和密码的那个form表单上

的.action，然后就是访问的ip地址加上那个.action这个。

比如

/fort/login/check.