极地内网内控安全管理系统内控堡垒主机操作手册V.docx

1、极地内网内控安全管理系统内控堡垒主机操作手册V极地内网内控安全管理系统（内控堡垒主机） 操作手册北京市海淀区上地安宁庄西路9号金泰富地大厦8层电话：010-传真：010-客服：400-01234-18邮编：100085网站：一、前言欢迎使用内控堡垒主机系统，本用户使用手册主要介绍内控堡垒主机部署结构、配置、使用和管理。通过阅读本文档，用户可以了解内控堡垒主机系统的基本设计思想，配置和使用方法。在安装、使用内控堡垒主机系统之前，请仔细阅读文档内容。本章内容主要包括： 本文档的用途。 阅读对象。 本文档的组织结构。 如何联系北京极地安全技术支持。1.1 文档目的本文档主要介绍如何配置和使用内控堡垒

2、主机系统。通过阅读本文档，用户能够正确地部署和配置内控堡垒主机系统。1.2 读者对象本安装手册适用于具有基本网络知识的安全管理员、系统管理员阅读，通过阅读本文档，他们可以独自完成以下一些工作： 内控堡垒主机系统的功能使用。 内控堡垒主机系统的策略配置与管理。1.3 文档组织本文档包括以下章节及其主要内容： 前言，介绍了本手册各章节的基本内容、文档和技术支持信息。 系统简介，介绍内控堡垒主机系统的部署结构和登录方法。 系统应用，介绍如何配置使用内控堡垒主机系统。1.4 技术支持北京极地公司对于生产的安全产品提供远程的产品咨询服务，广大用户和合作伙伴可以通过多种方式获取在线文档、疑难解答等全方位的

3、技术支持。公司主页提供交互网络服务，用户及合作伙伴可以在世界的任何地方，任何时候访问技术支持中心，获取实时的网络安全解决方案、安全服务和各种安全资料。 传真: 010- 客服经理承接质量问题投诉邮箱： 二、系统简介内控堡垒主机系统是极地安全内控解决方案的重要组成部分，部署在企业的内部网络中，用于保护企业内部核心资源的访问安全。内控堡垒主机是一种被加固的可以防御进攻的计算机，具备很强安全防范能力。内控堡垒主机扮演着看门者的工作，所有对网络设备和服务器的请求都要从这扇大门经过。因此内控堡垒主机能够拦截非法访问，和恶意攻击，对不合法命令进行命令阻断，过滤掉所有对目标设备的非法访问行为。内控堡垒主机具

4、备强大的输入输出审计功能，不仅能够详细记录用户操作的每一条指令，而且能够将所有的输出信息全部记录下来，也具备图形终端操作的审计功能，能够对多平台的多种图形终端操作做审计，并且内控堡垒主机具备审计回放的功能，能够模拟用户在线操作过程。总之，内控堡垒主机能够极大的保护企业内部网络设备及服务器资源的安全性，使得企业内部网络管理合理化，专业化，信息化。2.1 关键字用户名：也叫主帐号，使用内控堡垒主机的用户统称为用户名。资源：内控堡垒主机管理的主机系统，数据库，网络设备等统称为资源。例如AIX系统、Windows2000系统、DB2数据库、CISCO3560等。从账号：从账号是资源中的账号，例如AIX

5、中的root账号，Windows2000中的Administrator账号。SSO单点登录：SSO（SingleSign-On）中文为单点登录，就是说在同一个地点完成对不同资源的访问。策略：控制用户登录、设置密码、禁止使用命令、允许访问命令的方法。2.2 部署结构内控堡垒主机部署逻辑图：内控堡垒主机部署物理图：如图，内控堡垒主机部署在被管服务器区的访问路径上。内控堡垒主机接入用户网络中的方式是旁路，仅需要为系统分配一个IP，并确保该地址与需要运维的主机IP可达，协议可访问。可以通过防火墙或者交换机的访问控制策略限定只能由内控堡垒主机直接访问服务器的远程维护端口。维护人员维护被管服务器或者网络设

6、备时，首先以WEB方式登录内控堡垒主机，内控堡垒主机会根据系统管理员预先设置好的访问控制权限，展现访问资源列表，提示用户选择可以访问的授权资源，用户选择完成后会自动直接登录到目标操作系统或网络设备。2.3 系统登录登录页面对管理员及用户进行身份认证，以及策略校验，从而完成登录。在地址栏上输入系统URL。例如：，如图所示，进入系统登录页面。系统默认的超级管理员的帐号：admin，密码：123。内控堡垒主机启用后，应及时修改口令，以免被非法登录。根据管理员和用户的认证方式，管理员和用户可以用简单的静态用户名，口令进行认证，也可以持证书、令牌等强认证方式进行认证。系统根据用户相关登录策略，例如：访问

7、时间策略、访问地址策略、访问锁定策略等进行校验。如果通过校验，用户可进入系统，否则禁止用户登录系统并给出相应提示。三、单点登录（SSO）3.1 单点登录（SSO）3.1.1 界面3.1.2 功能说明单点登录功能是用户访问授权资源的统一入口。通过此功能，用户访问资源时只需要在内控堡垒主机上做一次登录，之后就可以在不输入用户名和密码的情况下使用各种授权资源。3.1.3 操作描述当用户点击“单点登录”时，资源帐号列表中会显示所有授权给此用户的资源。当用户点击资源列表后的授权协议方式按钮时，会自动进入目标资源，完成单点登录。注意：要使用单点登录功能，必须安装单点登录控件，可到“单点登录-?单点登录/回

8、访控件”中下载单点登录控件程序；就可以使用RDP访问资源，被管资源上要开启远程桌面服务，同时也可以使用SSH或TELNET方式访问资源，并且能够支持回放、实时监控等功能。单点登录数据库时，要做好准备工作，首先数据库需要用户自行安装对应数据库的客户端，ORACLE数据库需要安装PLSQL7 ,MSSQL2000/2005/2008，需要安装Sqlserver management studio 2008。然后“单点登录”界面，找到数据库的资源，点击协议进行登录。3.2 单点登录控件及工具安装3.2.1 界面3.2.2 功能说明用户通过资源列表单点登录到授权资源时需要安装单点登录控件。3.2.3

9、操作描述点击-“单点登录”进入单点登录界面，右上方有单点登录控件下载。右键点击-选择目标另存为，下载完毕后关闭IE浏览器对控件进行安装。Win7用户必须以管理员的身份进行下载安装。四、用户管理4.1 用户管理4.1.1 界面4.1.2 功能说明用户名是内控堡垒主机管理员在内控堡垒主机上建立的资源使用帐户，必须由管理员在内控堡垒主机上添加并且授权相应的角色后的用户名才能使用。用户管理，实现用户名生命周期管理的全部过程，包括用创建用户，用户授权，用户变更，锁定用户，注销用户。4.1.3 操作描述用户管理：当管理员点击目录中的用户管理时，目录下侧显示区域会显示用户列表。用户创建：管理员点击账号管理中

10、的添加用户按钮，会进入用户基本信息页面，管理员在此添加新用户信息。用户授权：用户授权用于授予用户访问被管资源和内控堡垒主机管理的权限。用户变更：管理员在用户管理页面中点击用户名，会进入用户变更页面，用以变更用户信息。用户锁定：管理员可以在用户变更页面中点击锁定按钮用以锁定用户，同时会锁定授权资源的访问权限，并可以通过用户管理下的操作下拉列表直接锁定激活用户。用户注销：管理员可以在用户列表中选择所要注销的用户选项，并选择操作下拉列表中的注销用户，按执行按钮注销用户。4.1.4 示例登录系统后，点击用户管理，进入用户管理页面，点击添加用户按钮，进入添加用户信息页面。填写用户的用户名、姓名等信息，在

11、这里可以选择密码认证方式，用户访问系统资源的授权，用户分组等。信息填写完毕后，点击提交，完成用户的添加。下次登录修改密码：选中此复选框，则下次登录则会提示修改密码。管理员授权用户的初始密码比较简单，则需要登录时修改密码。状态：锁定则当前用户不可登陆，解锁则用户可以正常登陆，注销则删除当前账户。4.2 分组管理4.2.1 界面4.2.2 功能说明分组管理是管理员在堡垒机上建立的各个部门等的目录树，便于管理员快速找到相应的用户。4.2.3 操作描述点击用户管理下树形目录上方的管理，进入分组管理页面，先选中相应的节点，然后点击增加同级或者增加下级就可以进行增加分组，选中相应的节点点击删除则删除该分组

12、。在用户的修改界面可以把相应的用户移动到相应的分组。五、资源管理5.1 资源管理5.1.1 资源管理界面5.1.2 功能说明资源就是要通过内控堡垒主机管理的各种设备资源，内控堡垒主机上将资源类型划分为：Windows主机、Windows域控、Windows域内主机、Linux主机、Unix、数据库（独立）、数据库（系统）、网络设备（Radius）、网络设备（Local）等。资源管理实现被管资源的管理和被管资源的帐号管理。给用户授予操作某资源的权限，实际是将资源上的帐号（也叫从帐号）授权给用户使用，因此管理员给用户授权，要做如下两个步骤：建立资源，将资源授权给主账号。5.1.3 操作描述资源管理

13、模块，点击添加资源，就可以进到资源编辑页面。如果要删除或者锁定资源，先选中要进行操作的资源，然后在操作后面的下拉列表框选择相应的操作，点击执行即可。添加Windows、Unix、Linux、网络设备资源1、首先点击资源添加按钮，进入编辑页面。2、填写资源名称，以便识别。3、选择资源的类型（比如Windows主机、Linux主机等）。4、填写资源IP和连接IP，这两个IP皆为被管资源IP。5、在所属组，给资源选择相应的组，以便管理（此为可选项）。6、在授权端口，选择运维改资源所采用的协议：RDP协议：远程桌面，必须该资源开启3389端口，此协议只适用于Windows系统。SSH协议：SSH协议是

14、一种远程命令行运维的方式，该协议采用的加密方式，采用SSH协议进行运维比Telnet更具安全性。（资源必须开启了SSH协议，默认端口22）Telnet协议：SSH协议是一种远程命令行运维方式，一般交换机、路由器设备采用Telnet协议进行运维。（资源必须开启Telnet协议，默认端口23）FTP协议：传统的文件传输协议，可以与服务器之间进行上传和下载文件。（必须在服务器上建立了FTP服务器，默认端口21）SFTP协议：安全文件传送协议，可以为传输文件提供一种安全的加密方法。sftp 与 ftp 有着几乎一样的语法和功能。（默认端口22）X11协议：Xwindows协议，此协议是用于连接Linu

15、x、Unix等系统的图像化界面的。（资源必须要装有图形化界面才能使用该协议，运维计算机必须装有Xmanager，默认端口22）VNC协议：VNC也是一种图形化界面的协议，要使用此协议服务器端必须要装有VNC服务器端，在配置账号的时候账号拦随便起名字，而密码则是服务器端的VNC密码。（服务器端默认端口5900，运维端默认端口5600）7、账号收集信息，这个功能是用于收集该资源的所有账号的，包括数据库账号，系统登陆账号等等，需要填写的是超级管理员的账号和密码。账号收集需要保存退出后，通过修改模式进入资源编辑页面才能够显示出账号收集按钮。（不推荐使用,收集出来的账号太多）8、资源从账号，在这个地方填

16、写该资源的登陆系统账号和密码。9、保存，完成资源的添加。添加数据库资源添加数据库资源其他配置都和上面一样，需要注意的是授权端口变成了数据库信息，数据库信息必须要填写数据库名称，数据库服务，数据库类型，还有数据可占用的窗口，另外在运维机必须装有MYSQL7.0版本和数据库客户端。添加web应用1、首先进入到添加资源页面。2、资源类型选择web资源，其他照旧。3、端口按照实际情况填写。4、账号按实际情况填写。5、根据账号的多少选择参数个数。6、登陆url去该系统的登陆页面查找填写用户名和密码的那个form表单上的.action，然后就是访问的ip地址加上那个.action这个。比如/fort/lo

17、gin/check.action。7、登陆名表单就是填写代码里的用户名输入框的name，登陆密码就是填写密码框的name，参数名称对应账号和密码，然后保存。(注意：WEB系统单点登录需要使用者分析对应WEB系统登录模块脚本，找到相关验证参数，包括：登录验证URL地址、 用户名表单名称，密码表单名称等，再建立从帐号即可WEB单点登录。由于配置WEB单点登录需要有网络管理基础，请使用者寻找企业网络管理员配合下进行配置。)各种资源类型配置特别说明 Unix主机，代表所有类Unix系统，例如：HP Unix、AIX、Sun Solaris、FreeBSD等。 Linux主机，代表所有的Linxu系统，

18、例如：RedHat、Debian等。 Windows主机，此资源有两种连接方式，分别是Telnet和代理程序。Windows的Telnet不稳定，所以建议使用代理程序连接。如果采用Telnet连接，需要将Windows操作系统的Telnet服务打开。如果使用代理程序连接，则不必配置管理员和管理员密码即可做帐号收集和同步。 Windows主机（域控制器），此资源有两种连接方式，分别是Telnet和代理程序。建议采用代理程序连接。Windows域控服务器的帐号收集会收集所有域帐号。 Windows主机（域内），此资源没有依赖于Windows域控服务器中的帐号，添加时除了名称和IP，要配置所属域控服

19、务器。 数据库（独立），此处的独立数据库指帐号和操作系统不共用的数据库，例如Oracle、Sql Server、Mysql、Sybase等。 数据库（系统），此处的系统数据库指帐号和操作系统共用的数据库，例如DB2、Informix等。 网络设备（Radius），指3A指向内控堡垒主机的网络设备（内控堡垒主机内含Radius服务器，可以作为网络设备的认证服务器）。此种资源不用定义从帐号即可授权。 网络设备（Local），没有配置3A或者3A没有指向内控堡垒主机的网络设备。此种资源需要定义从帐号才能做授权。 Web应用，通过IE访问的软件（B/S架构，登陆无验证码）。5.1.4 示例登录系统后，

20、点击资源管理，进入资源管理页面，在图中上方点击添加资源按钮进入资源的编辑页面：配置项含义如下： 资源名称：资源的名称。 资源IP ：资源的IP地址。 资源类型：资源属于什么类型的系统。 连接方式：连接资源进行资源收集管理使用的协议。 连接IP： 用于收集资源账号的IP地址。 端口 ：协议使用的端口。 超时：当连接资源时如果超出此时间就提示连接超时。 管理员： 用于收集资源账号的管理员账号。要求拥有添加删除账号权限。 策略 ：指定资源账号的密码限制策略。如果资源有密码策略，则密码修改计划会按照此密码策略中的要求生成随机密码。 管理员密码 ：管理员账号的密码。 备注 ：资源的描述信息。 授权端口：

21、授权相应协议端口。 状态：资源状态，激活可用/锁定不可用。如果要进行资源帐号的收集和管理，则协议、管理员、密码、提示符这几项是必须配置项。这几项配置完毕后可以点击下面的收集帐号按键进行帐号收集，点击收集帐号后会有成功失败的提示。帐号收集功能只能收集到帐号名称，需要配置密码后才能用于授权。如果不进行资源从帐号的收集，也可以手工定义。点击资源后面的帐号按键进入资源从帐号列表界面，然后点击添加按键进行从帐号的添加。六、角色管理6.1 角色管理6.1.1 界面6.1.2 功能说明角色管理是系统管理员定制系统角色的模块，可以对不同角色分配相应权限。如：可以定义资源管理角色，该角色拥有资源管理的权限，则把

22、此角色授权给自然人后，该自然人就可以进行资源管理了。还可以查看最近新增角色和最近修改角色，所有的角色是按时间来排序的！6.1.3 操作描述用户认证成功登录系统后，点击导航目录中的角色管理进入角色管理页面 。添加角色：点击添加角色按钮，进入角色信息编辑页面。如图用户/组：在此处给把该角色给相应的组或者给单个用户进行授权，让该组或者该用户拥有相应的资源授权和管理权限。资源/组：给该角色授权相应的资源访问权限。管理权限：给该用户或者用户组授权相应的管理权限。七、审计管理7.1 内部审计管理7.1.1 界面7.1.2 功能说明内部审计实现内控堡垒主机自身日志的审计，可以点击查询查找符合条件的审计记录。

23、审计内容包括，帐号登入登出情况，资源变更，用户变更等情况。7.1.3 操作描述内控堡垒主机内部审计模块，当管理员点击内部审计时，内部审计列表会显示审计结果列表。管理员在内部审计列表中点击查询按钮进入查询条件选择页面，输入查询条件点击查询按钮，可以查找满足条件的日志信息。7.2 行为审计管理7.2.1 界面7.2.2 功能说明行为审计实现操作日志的审计，可以点击查询查找符合条件的审计记录。对于字符型的资源，有三种审计展现形式：内容、命令、回放。内容是资源操作的所有指令和对应结果的一次性展现；命令是资源操作的所有指令执行情况；回放是资源操作过程的录像回放。对于图形的资源访问方式有一种展现方式：回放

24、，是图形资源操作过程的录像回放。审计分为两种，一种是事后审计，一种是实时审计。上面说的基本上是事后审计，如果操作人员对资源的操作还没有结束，则审计记录上会多出一种监视的展现方式，点击监视可以实时查看资源使用者对资源的操作过程。7.2.3 操作描述内控堡垒主机行为审计模块，当管理员点击行为审计时，行为审计列表会显示审计结果列表。点击会话中的“内容”、“命令”、“回放”、“监视”可以相应的显示审计到的内容。对于录像的回放，可以通过播放工具条调整播放状态、速度、进度等。管理员在行为审计列表中点击查询按钮进入查询条件选择页面，输入查询条件点击查询按钮，可以查找满足条件的日志信息。7.3 数据库审计管理

25、7.3.1 界面7.3.2 功能说明通过数据库审计可以看到管理员对数据库的操作内容，并且能够显示数据库的类型、IP地址。在操作者方面可以看到操作者的IP、操作时间。最后也能看到审计级别！ 7.3.3 操作描述内控堡垒主机数据库审计模块，当管理员点击数据库审计时，数据库审计列表会显示审计结果列表。管理员在数据库审计列表中点击查询按钮进入查询条件选择页面，输入查询条件点击查询按钮，可以查找满足条件的日志信息。并能导出EXCEL文件。八、组态报表8.1 报表查询8.1.1 界面8.1.2 功能说明组态报表模块提供报表查询、报表管理、定时报表的功能。管理员可以通过报表名称，报表类型和创建时间来查询并且

26、管理报表。组态报表模块最主要的是提供了组态报表模版，组态报表模版的类型可以分为静态模版和动态模版。比如属于动态模版的访问协议统计报表，属于静态模版的Windows用户访问统计报表、Unix访问协议统计报表和Radius用户访问统计报表。在报表的管理中有查询统计功能，统计结果支持图形显示。定时报表是让报表在不同的时间段内起到不同的功能。8.1.3 操作描述以Unix主机用户访问统计报表为例，认证成功登录系统后，点击“组态报表”，所有的报表会以列表的形式显示在组态报表的界面中，然后按照查询条件输入“Unix主机用户访问统计报表”，点击“查询”就会找到相应的报表。并且对相应的报表进行导出！如果想更详

27、细的管理查询报表可以点击“报表管理”，再报表管理界面中支持模糊查询、支持图形显示。看查询结果会更加的直观！定时报表会按照所选的日期形成所需要的报表！8.2 报表管理8.2.1 界面8.2.2 功能说明报表管理是对所有的报表进行管理，包括查询条件设置、分页和报表模版的选择等。报表的查询管理还支持图形显示，在图形显示中可选图的横轴、纵轴和TOP值等。在上面所说过的报表模版分为静态模版和动态模版，其中静态模版没有查询条件的选择。8.2.3 操作描述点击-“组态报表”-“报表管理”会出现以上的界面，在“切换模版”的下拉菜单中选择要查询统计的报表，然后选择“分页”来显示页数。如果是动态模版还可以选择“查

28、询条件设置”。在右侧的“图形显示”中选择图形的TOP值、横轴、纵轴。选择好后点击“查询”按钮，会出现各种图形显示，如下图:列表形式显示上图是以列表的形显示报表，它可以以各种格式的导出报表，包括：TXT、EXCLE、CSV、HTML、WORD、PDF等六种格式。饼图形式显示雷达图形式显示还有柱状图、折线图等显示方式，只要点击上方的显示名称即可。8.3 定时报表8.3.1 界面8.3.2 功能说明定时报表更加人性化的对报表进行管理。在选中报表的前提下可以定时的执行选中的报表，省去了人工定时的操作。可以对报表进行时间设置，其中按周设置即周一到周日。还可以按日控制，即一个月内的30天。8.3.3 操作

29、描述点击-“组态报表”-“定时报表”会出现以上的界面，在“模版类型选择”的下拉菜单中选择报表类型，然后选择“模版选择”窗口中选择报表。时间设置里选择“按周”、“按日”来让选择好的报表进行操作。最后“保存”设置。8.4 自定义报表8.4.1 界面8.4.2 功能说明自定义报表是方便管理查询想要的数据，所设定的自定义模版，如上图所示，可以对某个表进行人员筛选。8.4.3 操作描述点击-“组态报表”-“自定义报表”会出现以下的界面在这里可以选择“模版名称”，在“自定义sql”的框中写上查询语句，点击“查询”，就会显示出所选报表要查询的内容。也可以点击“添加按钮”，在出现的界面中填写好“报表名称”、“

30、sql语句”和“描述”，点击“保存”，转入上面的界面。选中建好的报表，点击“执行”，就会出现查询结果，如下图所示：如果想继续执行别的报表，点击“返回”按钮，继续执行即可。九、策略管理策略是针对主帐号和从帐号的，因此策略建立后，必须在主帐号和从帐号中应用策略，策略才能生效。9.1 指令字对象9.1.1 界面添加指令对象界面：9.1.2 功能说明指令字对象是一个添加指令的集合对象，通过结合时间对象、地址对象组合成为不同的策略。主要包括允许策略、禁止策略两种。9.1.3 操作描述指令字对象：在策略管路目录下的指令字对象点击添加指令字对象，进入指令字对象添加页面，输入相关指令字集合。信息包括：对象名称

31、、对象描述、对象状态、指令字。填写完成后点击保存完成指令字对象的添加。9.2 访问时间对象9.2.1 界面添加时间对象界面：9.2.2 功能说明访问时间对象，用于限制主帐号访问系统及访问资源的时间。通过结合指令字对象、地址对象组合成为不同的策略。主要包括允许策略、禁止策略两种。9.2.3 操作描述访问时间对象：在策略管路目录下的访问时间对象点击添加时间对象，进入时间访问对象添加页面，选择相应的时间段。信息包括：对象名称、对象描述、对象状态、具体时间（具体时间包括三种方式：按周、时间段、时间点），填写完毕后点保存完成时间对象的添加。9.3 访问地址对象9.3.1 界面添加指令对象界面：9.3.2 功能说明访问地址对象，用于限制主帐号访问系统及访问资源时使用的客户端地址。通过结合指令字对象、时间对象组合成为不同的策略。主要包括允许策略、禁止策略两种。9.3.3 操作描述访问地址对象：在策略管路目录下的访问地址对象点击添加地址对象，进入地址访问对象添加页面，添加相应