《LanSecS(堡垒主机)内控管理平台用户使用手册.docx》由会员分享,可在线阅读,更多相关《LanSecS(堡垒主机)内控管理平台用户使用手册.docx(33页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第一章 系统简介内控堡垒主机系统是安全内控解决方案的重要组成局部,部署在企业的内部网络中,用于保护企业内部核心资源的访问安全。内控堡垒主机是一种被加固的可以防范进攻的计算机,具备很强安全防范力量。内控堡垒主机扮演着看门者的工作,全部对网络设备和效劳器的恳求都要从这扇大门经过。因此内控堡垒主机能够拦截非法访问,和恶意攻击,对不合法命令进展命令阻断,过滤掉全部对目标设备的非法访问行为。内控堡垒主机具备强大的输入输出审计功能,不仅能够具体记录用户操作的每一条指 令,而且能够将全部的输出信息全部记录下来,也具备图形终端操作的审计功能,能够对多平台的多种图形终端操作做审计,并且内控堡垒主机具备审计回放的
2、功能,能够模拟用户在 线操作过程。总之,内控堡垒主机能够极大的保护企业内部网络设备及效劳器资源的安全性, 使得企业内部网络治理合理化,专业化,信息化。1 关键字 自然人:也叫主帐号,使用内控堡垒主机的用户统称为自然人。 资源: 被内控堡垒主机治理的主机系统,数据库,网络设备等统称为资源。例如 AIX系统、Windows2023 系统、DB2 数据库、CISCO3560 等。 从账号: 从账号是资源中的账号,例如AIX 中的 root 账号, Windows2023 中的Administrator 账号。 SSO 单点登录:SSOSingleSign-On中文为单点登录,就是说在同一个地点完成对
3、不同资源的访问。 双人共管账号:双人保管口令的账号。 共管账号:账号被很多应用系统使用,或内置了口令,假设修改口令可能影响到其他应用系统的使用,对于这类账号,内控堡垒主机称之为共管账号。2 部署构造内控堡垒主机部署规律图:内控堡垒主机部署物理图:如图,内控堡垒主机部署在被管效劳器区的访问路径上,通过防火墙或者交换机的访问掌握策略限定只能由内控堡垒主机直接访问效劳器的远程维护端口。维护人员维护被管效劳器或者网络设备时,首先以 WEB 方式登录堡垒主机,然后通过堡垒主机上呈现的访问资源列表直接访问授权资源。3 系统登录登录页面对治理员及主帐号进展身份认证,以及策略校验,从而完成用户登录。在地址栏上
4、输入系统 URL。例如: s:/ ip ,如下图,进入系统登录页面。系统默认的超级治理员的帐号: simper,密码:123。堡垒主机启用后,应准时修改口令,以免被非法登录。依据治理员和主帐号的认证方式,治理员和主帐号可以用简洁的静态用户名,口令进展认证,也可以持证书、令牌等强认证方式进展认证。系统依据主帐号相关登录策略,例如:访问时间策略、访问地址策略、访问锁定策略等进展校验。假设通过校验,主帐号可进入系统,否则制止主帐号登录系统并给出相应提示。其次章 单点登录SSO1 单点登录SSO1.1 界面1.2 功能说明单点登录功能是主帐号访问授权资源的统一入口。通过此功能,主帐号访问资源时只需要在
5、堡垒主机上做一次登录,之后就可以在不输入用户名和密码的状况下使用各种授权资 源。1.3 操作描述当主帐号点击授权帐号列表时,授权从帐号列表中会显示全部授权给此主帐号的资源。当主帐号点击授权列表中的帐号访问方式按钮时,会自动进入目标资源,完成单点登录。留意:要使用单点登录功能,必需安装单点登录控件,可到“元名目 -帮助- 单点登录控件”中下载单点登录控件程序;使用 RDP 访问资源时,被管资源上要开启远程桌面效劳;使用 SSH 或 TELNET 方式访问资源时,本地要安装 SecureCRT 软件。2 单点登录控件及工具安装2.1 界面2.2 功能说明主帐号通过授权列表单点登录到授权资源时需要安
6、装单点登录控件。第三章 流程1 概述为了完善业务需要,提高内控堡垒主机系统的治理标准性,添加了流程这个模块。流程主要是由一般用户想要申请资源而发起申请至指定审批人,审批人依据实际状况予以审批或拒绝,或转发上级领导连续审批,审批环节可以依据需要分为一级至多级,直至有领导同意后,选择执行人去将此申请落实。留意:流程治理一般在堡垒主机的账户数量比较多的状况下使用。流程包括以下两类:n 治理流程 自然人入职流程 自然人变更流程 自然人离职流程 资源接入流程 自然人与从账号关联授权流程n 登录流程 双人共管账号使用流程 主副岗交接流程对于每种流程而言,都包含填写申请单,处理待办事宜,归档治理三个局部。n
7、 填写申请单 自然人入职申请单:自然人的入职申请,申请安排的自然人账号。 自然人变更申请单:自然人申请调整岗位,申请调整资源授权,申请数字证书等。 自然人离职申请单:自然人申请离职。 资源接入申请单:资源相关负责人申请资源接入到内控堡垒主机系统。 自然人与从账号关联授权申请单:自然人申请使用资源的账号。 双人共管账号使用申请:自然人申请使用双人保管的账号。 主副岗交接申请:副岗向主岗申请需要交接的资源账号。n 待办事宜 可以查看自己提交的申请单。 需要自己审批的申请单。n 归档治理 流程单完毕后的存放处。 对于历史归档流程单的查看。2 治理流程在治理流程中包含 5 类治理流程:自然人入职申请、
8、自然人变更申请、自然人离职申请、资源接入申请、自然人与从帐号关联申请。系统登录后默认进入治理流程的待办事宜列表页面,这里需要说明一下,治理流程中的待办事宜列表页面显示的列表内容包括需要该用户审批的申请单和该用户提交的申请单。3 登录流程在登录流程中包含 2 类:双人共管帐号使用申请、主副岗交接申请。登录流程在资源有双人共管和主副岗的治理需求时使用。第四章 元名目1 名目治理1.1 界面1.2 功能说明在登录后的页面点击页面上方的元名目导航栏,左边会显示一棵名目树,可以点击名目树上方的添加、修改、列表对名目树进展构造和维护。2 自然人主帐号治理2.1 界面2.2 功能说明主帐号是堡垒主机治理员在
9、堡垒主机上建立的资源使用帐户,必需由治理员在堡垒主机上添加并且授权相应的资源后主帐号才能使用。主帐号治理,实现主帐号生命周期治理的全部过程,包括主帐号创立,主帐号授权,主帐号变更,主帐号锁定,主帐号注销。2.3 操作描述主帐号治理,当治理员点击导航树中的主帐号治理时,导航树右侧显示区域会显示主帐号列表。1. 主帐号创立:治理员点击主帐号列表中的添加按钮,会进入主帐号根本信息页面,治理员在此添加主帐号信息。2. 主帐号授权:主帐号授权用于授予主帐号访问被管资源和堡垒主机治理的权限。3. 主帐号变更:治理员在主帐号列表中点击修改按钮,会进入主帐号变更页面,用以变更主帐号信息。4. 主帐号锁定:治理
10、员可以在主帐号变更页面中点击锁定按钮用以锁定主帐号,同时会锁定授权资源的访问权限。5. 主帐号注销:治理员可以在主帐号列表中选择所要注销的主帐号选项,单击删除按钮用于注销选择的主帐号。2.4 例如登录系统后,点击元名目导航栏,进入元名目页面,选择需要添加自然人的组,进入自然人的列表页面。在图中单击右下角的添加按钮,进入自然人的编辑页面:填写自然人的 ID、名称等信息,在这里可以选择密码策略,用户访问系统的时间策略。信息填写完毕后,点击提交,完成自然人的添加。初始化口令:选中此复选框,则不用配置建立帐号的口令。建立帐号的密码为123456,首次登录时会要求修改密码。3 资源治理3.1 界面3.2
11、 功能说明资源就是要通过堡垒主机治理的各种设备资源,堡垒主机上将资源类型划分为: Windows 主机、Windows 域控、Windows 域内主机、Unix 主机、网络设备、数据库等。资源治理实现被管资源的治理和被管资源的帐号治理。给主帐号授予操作某资源的权限,实际 是将资源上的帐号也叫从帐号授权给主帐号使用,因此治理员给主帐号授权,要做如下三个步骤:建立资源,为资源添加可治理帐号,将资源的从帐号增加到主帐号的授权列表。3.3 操作描述资源治理模块,当治理员点击导航树中的资源治理时,资源列表会显示全部被管资源列表。1. 资源创立:治理员点击资源列表中的添加按钮,进入资源添加页面,治理员输入
12、资源根本信息,完成资源的创立。2. 资源删除:治理员在资源列表中选择需要删除的资源,点击删除按钮,删除资源。留意: 假设资源有从帐号,那么必需首先从堡垒主机的内部数据库中删除资源的全部从帐号, 之后才能删除资源删除时选中“仅删除存储”复选框,不选则会将从帐号在资源上也 删除。3. 从帐号收集:资源添加时配置的治理员和治理员密码是用来同步资源帐号的,此资源的治理员要有帐号的治理权限。留意:假设要从堡垒主机直接治理资源上的帐号,例如帐号收集、同步、修改等功能,则必需配置此治理员。帐号收集只能收集到帐号的名称, 不能收集从帐号的密码。收集到的从帐号要想授权必需设置密码后才能授权。4. 从帐号治理:当
13、治理员点击资源列表中具体资源的可管帐号按钮时,进入资源从帐号列表,在此治理员可以做从帐号的创立,修改,删除。帐号有两种类型:共管帐号、接收帐号。自动收集的帐号默认是共管帐号,共管帐号只能配置密码,不能修改。共管帐号只有配置密码后才能授权。从帐号的修改界面上有“写入帐号”按键,含义是将的帐号属性写入资源,例如修改了帐号的密码或者变更了帐号的所属组,要将这些修改直接应用与资源时可以点击此按键。共管帐号不能使用“写入帐号”,接收帐号才能使用“写入帐号”。留意:一般不把资源的超级治理员设置为接收帐号,避开由于误操作引起的 超级治理员密码或者属性修改。从帐号删除时默认也会删除资源上的帐号,所以操作时请留
14、神,假设不想删除资源上的从帐号,只想删除堡垒主机数据库中的从帐号,要选中“仅删除存储”。各种资源类型配置特别说明:1. Unix 主机,代表全部类 Unix 系统,例如:Linux、HP Unix、AIX、Sun Solaris、FreeBSD等。“提示符”要配置成帐号登录后的提示符,常见的有“$”、“#”等。2. Windows 主机,此资源有两种连接方式,分别是 Telnet 和代理程序。Windows 的 Telnet 不稳定,所以建议使用代理程序连接。假设承受 Telnet 连接,需要将 Windows 操作系统的 Telnet 效劳翻开。假设使用代理程序连接,则不必配置治理员和治理员
15、密码即可做帐号收集和同步。3. Windows 主机域掌握器,此资源有两种连接方式,分别是 Telnet 和代理程序。建议承受代理程序连接。Windows 域控效劳器的帐号收集会收集全部域帐号。4. Windows 主机域内,此资源没有依靠于 Windows 域控效劳器中的帐号,添加时除了名称和 IP,要配置所属域控效劳器。5. 数据库独立,此处的独立数据库指帐号和操作系统不共用的数据库,例如 Oracle、 Sql Server、Mysql、Sybase 等。6. 数据库系统,此处的系统数据库指帐号和操作系统共用的数据库,例如 DB2、Informix等。7. 网络设备Radius,指 3A
16、 指向堡垒主机的网络设备堡垒主机内含Radius 效劳器,可以作为网络设备的认证效劳器。此种资源不用定义从帐号即可授权。8. 网络设备Local,没有配置 3A 或者 3A 没有指向堡垒主机的网络设备。此种资源需要定义从帐号才能做授权。3.4 例如登录系统后,点击元名目导航栏,进入元名目页面,选择需要添加资源的组,进入资源的列表页面。在图中右下角选择要添加的资源类型以 Unix 主机为例,然后点击添加按钮,进入资源的编辑页面:配置项含义如下:1. 名称:资源的名称。2. IP :资源的IP 地址。3. 连接器: 资源属于什么类型的系统。4. 协议:连接资源进展资源收集治理使用的协议。5. 连接
17、 IP: 用于收集资源账号的IP 地址。6. 端口 :协议使用的端口。7. 延时:连接资源时使用的延时通讯时间,使用默认值即可。8. 超时:当连接资源时假设超出此时间就提示连接超时。9. 治理员:用于收集资源账号的治理员账号。要求拥有添加删除账号权限。10. 提示符:治理员拥有的提示符,作用是帮助分析。11. 密码策略 :指定资源账号的密码限制策略。假设资源有密码策略,则密码修改打算会依据此密码策略中的要求生成随机密码。12. 治理员密码 :治理员账号的密码13. 描述 : 资源的描述信息。假设要进展资源帐号的收集和治理,则协议、治理员、密码、提示符这几项是必需配置项。这几项配置完毕后可以点击
18、下面的收集帐号按键进展帐号收集,点击收集帐号后会有成功失败的提示。帐号收集功能只能收集到帐号名称,需要配置密码后才能用于授权。假设不进展资源从帐号的收集,也可以手工定义。点击资源后面的帐号按键进入资源从帐号列表界面,然后点击添加按键进展从帐号的添加。4 角色治理4.1 界面4.2 功能说明角色治理是系统治理员定制系统角色的模块,可以对不同角色安排相应权限,如:可以定义资源治理角色,该角色拥有资源治理的权限,则把此角色授权给自然人后,该自然人就可以进展资源治理了。4.3 操作描述主帐号认证成功登录系统后,点击“元名目”,再点击“角色”,进入角色治理页面 。角色隶属于名目树中的分组,例如名目树中研
19、发分组下定义的资源治理角色,只具有治理研发分组中资源的权限。角色定义中的“特权”选项的含义:不勾选特权,则自然人添加,资源添加等操作必 须通过流程见第四章才能完成。假设不想通过流程即能进展治理动作可以勾选此选项。例如,要在研发一部中定义一个自然人治理角色,可以如以下图配置。5 打算治理5.1 界面5.2 功能说明两种打算类型:资源帐号同步打算、资源帐号口令修改打算。资源帐号同步打算用于定期将资源上的从帐号同步到堡垒主机。资源帐号口令修改打算也叫密码变更打算用户用于定期修改资源上从帐号的密码。5.3 操作描述登录系统后,点击元名目导航栏,进入元名目页面,选择需要添加打算的组,点击计 划治理,进入
20、打算的列表页面。两种打算的建立过程如下:首先选择打算类型添加的打算, 打算可以是单此执行的也可以是定期执行的;然后向已经建立的打算中添加打算中要同步 或变更的资源帐号;之后启动打算即可。留意:密码变更打算最好在厂家的指导下使用,由于密码变更打算使用不当有可能在密码变更后造成用户业务的正常使用,所以请慎重使用密码变更打算。请不要轻易将超级治理员的帐号也参加密码变更打算,避开因误操作或其他缘由造成超级治理员的密码丧失。6 内部审计治理6.1 界面6.2 功能说明内部审计实现堡垒主机自身日志的审计,可以点击查询查找符合条件的审计记录。审计内容包括,帐号登入登出状况,资源变更,自然人变更等状况。6.3
21、 操作描述堡垒主机内部审计模块,当治理员点击内部审计时,内部审计列表会显示审计结果列表。治理员在内部审计列表中点击查询按钮进入查询条件选择页面,输入查询条件点击查询按钮,可以查找满足条件的日志信息。7 行为审计治理7.1 界面7.2 功能说明行为审计实现操作日志的审计,可以点击查询查找符合条件的审计记录。对于字符型的 资源,有三种审计呈现形式:内容、命令、回放。内容是资源操作的全部指令和对应结果的一次性呈现;命令是资源操作的全部指令执行状况;回放是资源操作过程的录像回放。对于图形的资源访问方式有一种呈现方式:回放,是图形资源操作过程的录像回放。审计分为两种,一种是事后审计,一种是实时审计。上面
22、说的根本上是事后审计,假设操作人员对资源的操作还没有完毕,则审计记录上会多出一种监视的呈现方式,点击监视可以实时查看资源使用者对资源的操作过程。7.3 操作描述堡垒主机行为审计模块,当治理员点击行为审计时,行为审计列表会显示审计结果列表。点击会话中的“内容”、“命令”、“回放”、“监视”可以相应的显示审计到的内容。对于录像 的回放,可以通过播放工具条调整播放状态、速度、进度等。治理员在行为审计列表中点击查询按钮进入查询条件选择页面,输入查询条件点击查询按钮,可以查找满足条件的日志信息。8 审计报表8.1 界面8.2 功能说明审计报表模块供给报表治理员审计访问资源的命令、用户、协议、行为等,供给
23、 Unix主机访问命令统计报表、Unix 主机访问协议统计报表、Unix 主机访问用户统计报表、Unix 主机用户行为统计报表、Unix 主机综合审计报表、windows 主机访问用户统计报表等报表功能。可以查询指定账号、指定客户端 IP 地址、指定资源IP、关键字范围等查询条件的报表功能。8.3 操作描述以 Unix 主机用户行为统计报表为例,认证成功登录系统后,点击“元名目”,再点击 “审计报表”,进入报表查询页面。选择 Unix 主机用户行为统计报表,输入查询条件,之后点击查询报表按键,就可以生成符合要求的报表了。第五章 配置治理1 策略配置策略是针对主帐号和从帐号的,因此策略建立后,必
24、需在主帐号和从帐号中应用策略, 策略才能生效。1.1 主机命令掌握策略1.1.1 界面1.1.2 功能说明主机命令策略可以设置访问主机时能够使用的命令,配置此策略到达限制主帐号对资源 的访问。此策略有两种类型:黑名单、白名单。类型设置为黑名单,则命令列表是制止执行的集合,类型配置为白名单,则命令列表是只允许执行的集合。此策略应用于资源的从帐号, 这样授权使用此从帐号访问资源的主帐号就只能依据策略的要求执行指令了。1.1.3 操作描述主机命令策略治理:在主机命令策略列表中点击添加按钮,进入主机命令策略添加页面, 输入相关策略信息,信息包含:命令集合以及命令访问类型。点击提交按钮完成访问主机命令策
25、略添加。1.2 客户端地址掌握策略1.2.1 界面1.2.2 功能说明客户端地址掌握策略,用于限制主帐号访问系统及访问资源时使用的客户端地址。访问类型有:可访问IP 段、不行访问IP 段两种。客户端地址掌握策略可以应用于主帐号,此时主帐号只能在策略指定的地址段内登录堡垒主机;客户端地址掌握策略也可以应用于资源的从帐号,此时授权使用此从帐号访问资源的主帐号就只能在策略指定的地址段内访问相应资源了。1.2.3 操作描述客户端地址掌握策略治理:在客户端地址策略列表中点击添加按钮,进入客户端地址策略添加页面,输入相关策略信息,信息包含:客户端 IP 段以及访问类型。点击提交按钮完成客户端地址策略添加。
26、1.3 访问时间掌握策略1.3.1 界面1.3.2 功能说明访问时间掌握策略,用于限制主帐号访问系统及访问资源的时间。访问类型有:可访问时间段、不行访问时间段两种。访问时间掌握策略可以应用于主帐号,此时主帐号只能在策略指定时间段内登录堡垒主机;访问时间掌握策略也可以应用于资源的从帐号,此时授权使用此从帐号访问资源的主帐号就只能在策略指定的时间段内访问相应资源了。1.3.3 操作描述访问时间掌握策略治理:在访问时间策略列表中点击添加按钮,进入访问时间策略添加页面,输入相关策略信息,信息包含:时间范围以及访问时间类型。点击提交按钮完成访问时间策略添加。1.4 访问锁定策略1.4.1 界面1.4.2
27、 功能说明访问锁定策略,用于在主帐号口令输入错误时锁定主帐号,避开主帐号的密码被暴力破解。可以配置输入失败的次数和锁定时间。访问锁定策略应用于主帐号,在主帐号添加和修改时可以指定此策略。1.4.3 操作描述访问锁定策略治理:在访问锁定策略列表中点击添加按钮,进入访问锁定策略添加页面, 输入相关策略信息,信息包含:访问失败次数以及锁定时间。点击提交按钮完成访问锁定策略添加。1.5 密码策略1.5.1 界面1.5.2 功能说明密码策略,用于限制主帐号口令强度,避开主帐号配置的密码过于简洁,被暴力破解。可以配置密码长度,包含字母长度及位置、数字长度及位置、符号长度及位置等。密码策略应用于主帐号,在主
28、帐号添加和修改时可以指定此策略。1.5.3 操作描述密码策略治理:在密码策略列表中点击添加按钮,进入密码策略添加页面,输入相关策略信息,信息包含:密码长度、包含字母长度及位置、包含数字长度及位置、包含符号长度及位置等。点击提交按钮完成密码策略添加。2 效劳配置2.1 堡垒机治理2.1.1 功能说明只有存在多组堡垒机的状况下才需要配置,一般不用。2.2 图形效劳开关2.2.1 功能说明堡垒主机中做 RDP 协议代理的效劳的开启状态及治理。2.3 审计效劳定义2.3.1 功能说明配置成堡垒主机的 IP 地址即可。留意:修改堡垒主机的 IP 地址后,也要修改此处配置的 IP 地址。2.4 帐号同步打
29、算2.4.1 界面2.4.2 功能说明帐号同步打算用于导出堡垒主机中全部记录的从帐号的密码。此功能一般协作密码修改 打算使用,可以将帐号同步打算的执行时间设置为稍晚于密码修改打算中的密码变更时间, 便于密码变更后,在特别状况下做密码的取回。2.4.3 操作描述配置帐号同步打算中的执行时间,和间隔周期,之后点击启动打算按键即可开启打算, 开启后系统依据配置的执行时间和间隔定期生成一个加密的从帐号列表文件,通过文件列表 按键可以进入密码文件列表进展下载。开启帐号同步打算后,需要在加密文件生成后准时下 载生成的密码文件,以备以外发生时猎取资源密码。3 系统配置3.1 系统监控3.1.1 界面3.1.2 功能说明系统使用状况说明。3.1.3 操作描述刷:刷界面参数。重启设备:重启动内控堡垒主机系统关闭设备:关闭内控堡垒主机系统3.2 网络配置3.2.1 界面3.2.2 功能说明内控堡垒主机系统的网卡配置3.3 环境配置3.3.1 界面3.3.2 功能说明用于配置认证效劳器、审计效劳器及日志存储路径等信息。