极地内网内控安全管理系统
(内控堡垒主机)
操作手册
北京市海淀区上地安宁庄西路9号金泰富地大厦8层
电话:010-
传真:010-
客服:400-01234-18
邮编:100085
网站:
目录
一、前言
欢迎使用内控堡垒主机系统,本用户使用手册主要介绍内控堡垒主机部署结构、配置、使用和管理。通过阅读本文档,用户可以了解内控堡垒主机系统的基本设计思想,配置和使用方法。在安装、使用内控堡垒主机系统之前,请仔细阅读文档内容。
本章内容主要包括:
●本文档的用途。
●阅读对象。
●本文档的组织结构。
●如何联系北京极地安全技术支持。
1.1 文档目的
本文档主要介绍如何配置和使用内控堡垒主机系统。通过阅读本文档,用户能够正确地部署和配置内控堡垒主机系统。
1.2 读者对象
本安装手册适用于具有基本网络知识的安全管理员、系统管理员阅读,通过阅读本文档,他们可以独自完成以下一些工作:
●内控堡垒主机系统的功能使用。
●内控堡垒主机系统的策略配置与管理。
1.3 文档组织
本文档包括以下章节及其主要内容:
●前言,介绍了本手册各章节的基本内容、文档和技术支持信息。
●系统简介,介绍内控堡垒主机系统的部署结构和登录方法。
●系统应用,介绍如何配置使用内控堡垒主机系统。
1.4 技术支持
北京极地公司对于生产的安全产品提供远程的产品咨询服务,广大用户和合作伙伴可以通过多种方式获取在线文档、疑难解答等全方位的技术支持。
公司主页提供交互网络服务,用户及合作伙伴可以在世界的任何地方,任何时候访问技术支持中心,获取实时的网络安全解决方案、安全服务和各种安全资料。
●传真: 010-
●客服经理承接质量问题投诉邮箱:
二、系统简介
内控堡垒主机系统是极地安全内控解决方案的重要组成部分,部署在企业的内部网络中,用于保护企业内部核心资源的访问安全。
内控堡垒主机是一种被加固的可以防御进攻的计算机,具备很强安全防范能力。内控堡垒主机扮演着看门者的工作,所有对网络设备和服务器的请求都要从这扇大门经过。因此内控堡垒主机能够拦截非法访问,和恶意攻击,对不合法命令进行命令阻断,过滤掉所有对目标设备的非法访问行为。
内控堡垒主机具备强大的输入输出审计功能,不仅能够详细记录用户操作的每一条指令,而且能够将所有的输出信息全部记录下来,也具备图形终端操作的审计功能,能够对多平台的多种图形终端操作做审计,并且内控堡垒主机具备审计回放的功能,能够模拟用户在线操作过程。总之,内控堡垒主机能够极大的保护企业内部网络设备及服务器资源的安全性,使得企业内部网络管理合理化,专业化,信息化。
2.1 关键字
用户名:也叫主帐号,使用内控堡垒主机的用户统称为用户名。
资源:内控堡垒主机管理的主机系统,数据库,网络设备等统称为资源。例如AIX系统、Windows2000系统、DB2数据库、CISCO3560等。
从账号:从账号是资源中的账号,例如AIX中的root账号,Windows2000中的Administrator账号。
SSO单点登录:SSO(SingleSign-On)中文为单点登录,就是说在同一个地点完成对不同资源的访问。
策略:控制用户登录、设置密码、禁止使用命令、允许访问命令的方法。
2.2 部署结构
内控堡垒主机部署逻辑图:
内控堡垒主机部署物理图:
如图,内控堡垒主机部署在被管服务器区的访问路径上。
内控堡垒主机接入用户网络中的方式是旁路,仅需要为系统分配一个IP,并确保该地址与需要运维的主机IP可达,协议可访问。
可以通过防火墙或者交换机的访问控制策略限定只能由内控堡垒主机直接
访问服务器的远程维护端口。
维护人员维护被管服务器或者网络设备时,首先以WEB方式登录内控堡垒主机,内控堡垒主机会根据系统管理员预先设置好的访问控制权限,展现访问资源列表,提示用户选择可以访问的授权资源,用户选择完成后会自动直接登录到目标操作系统或网络设备。
2.3 系统登录
登录页面对管理员及用户进行身份认证,以及策略校验,从而完成登录。
在地址栏上输入系统URL。例如:,如图所示,进入系统登录页面。
系统默认的超级管理员的帐号:admin,密码:123。内控堡垒主机启用后,应及时修改口令,以免被非法登录。
根据管理员和用户的认证方式,管理员和用户可以用简单的静态用户名,口令进行认证,也可以持证书、令牌等强认证方式进行认证。
系统根据用户相关登录策略,例如:访问时间策略、访问地址策略、访问锁定策略等进行校验。如果通过校验,用户可进入系统,否则禁止用户登录系统并给出相应提示。
三、单点登录(SSO)
3.1 单点登录(SSO)
3.1.1 界面
3.1.2 功能说明
单点登录功能是用户访问授权资源的统一入口。通过此功能,用户访问资源时只需要在内控堡垒主机上做一次登录,之后就可以在不输入用户名和密码的情况下使用各种授权资源。
3.1.3 操作描述
当用户点击“单点登录”时,资源帐号列表中会显示所有授权给此用户的资源。
当用户点击资源列表后的授权协议方式按钮时,会自动进入目标资源,完成单点登录。
注意:要使用单点登录功能,必须安装单点登录控件,可到“单点登录->?单点登录/回访控件”中下载单点登录控件程序;就可以使用RDP访问资源,被管资源上要开启远程桌面服务,同时也可以使用SSH或TELNET方式访问资源,并且能够支持回放、实时监控等功能。
单点登录数据库时,要做好准备工作,首先数据库需要用户自行安装对应数据库的客户端,ORACLE数据库需要安装PLSQL7 ,MSSQL2000/2005/2008,需要安装Sqlserver management studio 2008。
然后“单点登录”界面,找到数据库的资源,点击协议进行登录。
3.2 单点登录控件及工具安装
3.2.1 界面
3.2.2 功能说明
用户通过资源列表单点登录到授权资源时需要安装单点登录控件。
3.2.3 操作描述
点击->“单点登录”进入单点登录界面,右上方有单点登录控件下载。右键点击->选择目标另存为,下载完毕后关闭IE浏览器对控件进行安装。
Win7用户必须以管理员的身份进行下载安装。
四、用户管理
4.1 用户管理
4.1.1 界面
4.1.2 功能说明
用户名是内控堡垒主机管理员在内控堡垒主机上建立的资源使用帐户,必须由管理员在内控堡垒主机上添加并且授权相应的角色后的用户名才能使用。用户
管理,实现用户名生命周期管理的全部过程,包括用创建用户,用户授权,用户变更,锁定用户,注销用户。
4.1.3 操作描述
用户管理:当管理员点击目录中的用户管理时,目录下侧显示区域会显示用户列表。
用户创建:管理员点击账号管理中的添加用户按钮,会进入用户基本信息页面,管理员在此添加新用户信息。
用户授权:用户授权用于授予用户访问被管资源和内控堡垒主机管理的权限。
用户变更:管理员在用户管理页面中点击用户名,会进入用户变更页面,用以变更用户信息。
用户锁定:管理员可以在用户变更页面中点击锁定按钮用以锁定用户,同时会锁定授权资源的访问权限,并可以通过用户管理下的操作下拉列表直接锁定激活用户。
用户注销:管理员可以在用户列表中选择所要注销的用户选项,并选择操作下拉列表中的注销用户,按执行按钮注销用户。
4.1.4 示例
登录系统后,点击用户管理,进入用户管理页面,点击添加用户按钮,进入添加用户信息页面。
填写用户的用户名、姓名等信息,在这里可以选择密码认证方式,用户访问系统资源的授权,用户分组等。信息填写完毕后,点击提交,完成用户的添加。
下次登录修改密码:选中此复选框,则下次登录则会提示修改密码。管理员授权用户的初始密码比较简单,则需要登录时修改密码。
状态:锁定则当前用户不可登陆,解锁则用户可以正常登陆,注销则删除当前账户。
4.2 分组管理
4.2.1 界面
4.2.2 功能说明
分组管理是管理员在堡垒机上建立的各个部门等的目录树,便于管理员快速找到相应的用户。
4.2.3 操作描述
点击用户管理下树形目录上方的管理,进入分组管理页面,先选中相应的节点,然后点击增加同级或者增加下级就可以进行增加分组,选中相应的节点点击删除则删除该分组。在用户的修改界面可以把相应的用户移动到相应的分组。
五、资源管理
5.1 资源管理
5.1.1 资源管理界面
5.1.2 功能说明
资源就是要通过内控堡垒主机管理的各种设备资源,内控堡垒主机上将资源类型划分为:Windows主机、Windows域控、Windows域内主机、Linux主机、Unix、数据库(独立)、数据库(系统)、网络设备(Radius)、网络设备(Local)等。资源管理实现被管资源的管理和被管资源的帐号管理。给用户授予操作某资源的权限,实际是将资源上的帐号(也叫从帐号)授权给用户使用,因此管理员给用户授权,要做如下两个步骤:建立资源,将资源授权给主账号。
5.1.3 操作描述
资源管理模块,点击添加资源,就可以进到资源编辑页面。如果要删除或者锁定资源,先选中要进行操作的资源,然后在操作后面的下拉列表框选择相应的操作,点击执行即可。
添加Windows、Unix、Linux、网络设备资源
1、首先点击资源添加按钮,进入编辑页面。
2、填写资源名称,以便识别。
3、选择资源的类型(比如Windows主机、Linux主机等)。
4、填写资源IP和连接IP,这两个IP皆为被管资源IP。
5、在所属组,给资源选择相应的组,以便管理(此为可选项)。
6、在授权端口,选择运维改资源所采用的协议:
RDP协议:远程桌面,必须该资源开启3389端口,此协议只适用于Windows 系统。
SSH协议:SSH协议是一种远程命令行运维的方式,该协议采用的加密方式,采用SSH协议进行运维比Telnet更具安全性。(资源必须开启了SSH协议,默认端口22)
Telnet协议:SSH协议是一种远程命令行运维方式,一般交换机、路由器设备采用Telnet协议进行运维。(资源必须开启Telnet协议,默认端口23)FTP协议:传统的文件传输协议,可以与服务器之间进行上传和下载文件。(必须在服务器上建立了FTP服务器,默认端口21)
SFTP协议:安全文件传送协议,可以为传输文件提供一种安全的加密方法。sftp 与 ftp 有着几乎一样的语法和功能。(默认端口22)
X11协议:Xwindows协议,此协议是用于连接Linux、Unix等系统的图像化界面的。(资源必须要装有图形化界面才能使用该协议,运维计算机必须装有Xmanager,默认端口22)
VNC协议:VNC也是一种图形化界面的协议,要使用此协议服务器端必须要装有VNC服务器端,在配置账号的时候账号拦随便起名字,而密码则是服务器端的VNC密码。(服务器端默认端口5900,运维端默认端口5600)
7、账号收集信息,这个功能是用于收集该资源的所有账号的,包括数据库账号,系统登陆账号等等,需要填写的是超级管理员的账号和密码。账号收集需要保存退出后,通过修改模式进入资源编辑页面才能够显示出账号收集按钮。(不推荐使用,收集出来的账号太多)
8、资源从账号,在这个地方填写该资源的登陆系统账号和密码。
9、保存,完成资源的添加。
添加数据库资源
添加数据库资源其他配置都和上面一样,需要注意的是授权端口变成了数据库信息,数据库信息必须要填写数据库名称,数据库服务,数据库类型,还有数据可占用的窗口,另外在运维机必须装有MYSQL7.0版本和数据库客户端。
添加web应用
1、首先进入到添加资源页面。
2、资源类型选择web资源,其他照旧。
3、端口按照实际情况填写。
4、账号按实际情况填写。
5、根据账号的多少选择参数个数。
6、登陆url去该系统的登陆页面查找填写用户名和密码的那个form表单上的.action,然后就是访问的ip地址加上那个.action这个。比如
/fort/login/check.action。
7、登陆名表单就是填写代码里的用户名输入框的name,登陆密码就是填写密码框的name,参数名称对应账号和密码,然后保存。
(注意:WEB系统单点登录需要使用者分析对应WEB系统登录模块脚本,找到相关验证参数,包括:登录验证URL地址、用户名表单名称,密码表单名称等,再建立从帐号即可WEB单点登录。由于配置WEB单点登录需要有网络管理基础,请使用者寻找企业网络管理员配合下进行配置。)
各种资源类型配置特别说明
●Unix主机,代表所有类Unix系统,例如:HP Unix、AIX、Sun Solaris、
FreeBSD等。
●Linux主机,代表所有的Linxu系统,例如:RedHat、Debian等。
●Windows主机,此资源有两种连接方式,分别是Telnet和代理程序。
Windows的Telnet不稳定,所以建议使用代理程序连接。如果采用
Telnet连接,需要将Windows操作系统的Telnet服务打开。如果
使用代理程序连接,则不必配置管理员和管理员密码即可做帐号收
集和同步。
●Windows主机(域控制器),此资源有两种连接方式,分别是Telnet
和代理程序。建议采用代理程序连接。Windows域控服务器的帐号
收集会收集所有域帐号。
●Windows主机(域内),此资源没有依赖于Windows域控服务器中
的帐号,添加时除了名称和IP,要配置所属域控服务器。
●数据库(独立),此处的独立数据库指帐号和操作系统不共用的数
据库,例如Oracle、Sql Server、Mysql、Sybase等。
●数据库(系统),此处的系统数据库指帐号和操作系统共用的数据
库,例如DB2、Informix等。
●网络设备(Radius),指3A指向内控堡垒主机的网络设备(内控堡
垒主机内含Radius服务器,可以作为网络设备的认证服务器)。此
种资源不用定义从帐号即可授权。
●网络设备(Local),没有配置3A或者3A没有指向内控堡垒主机的
网络设备。此种资源需要定义从帐号才能做授权。
● Web应用,通过IE访问的软件(B/S架构,登陆无验证码)。
5.1.4 示例
登录系统后,点击资源管理,进入资源管理页面,在图中上方点击添加资源按钮进入资源的编辑页面:
配置项含义如下:
●资源名称:资源的名称。
●资源IP :资源的IP地址。
●资源类型:资源属于什么类型的系统。
●连接方式:连接资源进行资源收集管理使用的协议。
●连接IP:用于收集资源账号的IP地址。
●端口:协议使用的端口。
●超时:当连接资源时如果超出此时间就提示连接超时。
●管理员:用于收集资源账号的管理员账号。要求拥有添加删除账号
权限。
●策略:指定资源账号的密码限制策略。如果资源有密码策略,则密
码修改计划会按照此密码策略中的要求生成随机密码。
●管理员密码:管理员账号的密码。
●备注:资源的描述信息。
●授权端口:授权相应协议端口。
●状态:资源状态,激活可用/锁定不可用。
如果要进行资源帐号的收集和管理,则协议、管理员、密码、提示符这几项是必须配置项。这几项配置完毕后可以点击下面的收集帐号按键进行帐号收集,点击收集帐号后会有成功失败的提示。帐号收集功能只能收集到帐号名称,需要配置密码后才能用于授权。
如果不进行资源从帐号的收集,也可以手工定义。点击资源后面的帐号按键进入资源从帐号列表界面,然后点击添加按键进行从帐号的添加。
六、角色管理
6.1 角色管理
6.1.1 界面
6.1.2 功能说明
角色管理是系统管理员定制系统角色的模块,可以对不同角色分配相应权限。如:可以定义资源管理角色,该角色拥有资源管理的权限,则把此角色授权给自然人后,该自然人就可以进行资源管理了。
还可以查看最近新增角色和最近修改角色,所有的角色是按时间来排序的!
6.1.3 操作描述
用户认证成功登录系统后,点击导航目录中的角色管理进入角色管理页面。
添加角色:点击添加角色按钮,进入角色信息编辑页面。如图
用户/组:在此处给把该角色给相应的组或者给单个用户进行授权,让该组
或者该用户拥有相应的资源授权和管理权限。
资源/组:给该角色授权相应的资源访问权限。
管理权限:给该用户或者用户组授权相应的管理权限。
七、审计管理
7.1 内部审计管理
7.1.1 界面
7.1.2 功能说明
内部审计实现内控堡垒主机自身日志的审计,可以点击查询查找符合条件的审计记录。审计内容包括,帐号登入登出情况,资源变更,用户变更等情况。
7.1.3 操作描述
内控堡垒主机内部审计模块,当管理员点击内部审计时,内部审计列表会显示审计结果列表。
管理员在内部审计列表中点击查询按钮进入查询条件选择页面,输入查询条件点击查询按钮,可以查找满足条件的日志信息。
7.2 行为审计管理
7.2.1 界面
7.2.2 功能说明
行为审计实现操作日志的审计,可以点击查询查找符合条件的审计记录。对于字符型的资源,有三种审计展现形式:内容、命令、回放。内容是资源操作的所有指令和对应结果的一次性展现;命令是资源操作的所有指令执行情况;回放是资源操作过程的录像回放。对于图形的资源访问方式有一种展现方式:回放,是图形资源操作过程的录像回放。
审计分为两种,一种是事后审计,一种是实时审计。上面说的基本上是事后审计,如果操作人员对资源的操作还没有结束,则审计记录上会多出一种监视的展现方式,点击监视可以实时查看资源使用者对资源的操作过程。
7.2.3 操作描述
内控堡垒主机行为审计模块,当管理员点击行为审计时,行为审计列表会显示审计结果列表。点击会话中的“内容”、“命令”、“回放”、“监视”可以相应的显示审计到的内容。对于录像的回放,可以通过播放工具条调整播放状态、速度、进度等。
管理员在行为审计列表中点击查询按钮进入查询条件选择页面,输入查询条件点击查询按钮,可以查找满足条件的日志信息。
7.3 数据库审计管理
7.3.1 界面
7.3.2 功能说明
通过数据库审计可以看到管理员对数据库的操作内容,并且能够显示数据库的类型、IP地址。在操作者方面可以看到操作者的IP、操作时间。最后也能看到审计级别!
7.3.3 操作描述
内控堡垒主机数据库审计模块,当管理员点击数据库审计时,数据库审计列表会显示审计结果列表。
管理员在数据库审计列表中点击查询按钮进入查询条件选择页面,输入查询条件点击查询按钮,可以查找满足条件的日志信息。并能导出EXCEL文件。
八、组态报表
8.1 报表查询
8.1.1 界面
8.1.2 功能说明
组态报表模块提供报表查询、报表管理、定时报表的功能。管理员可以通过报表名称,报表类型和创建时间来查询并且管理报表。组态报表模块最主要的是提供了组态报表模版,组态报表模版的类型可以分为静态模版和动态模版。比如属于动态模版的访问协议统计报表,属于静态模版的Windows用户访问统计报表、Unix访问协议统计报表和Radius用户访问统计报表。在报表的管理中有查询统计功能,统计结果支持图形显示。定时报表是让报表在不同的时间段内起到不同的功能。
8.1.3 操作描述
以Unix主机用户访问统计报表为例,认证成功登录系统后,点击“组态报表”,所有的报表会以列表的形式显示在组态报表的界面中,然后按照查询条件输入“Unix主机用户访问统计报表”,点击“查询”就会找到相应的报表。并
且对相应的报表进行导出!
如果想更详细的管理查询报表可以点击“报表管理”,再报表管理界面中支持模糊查询、支持图形显示。看查询结果会更加的直观!定时报表会按照所选的日期形成所需要的报表!
8.2 报表管理
8.2.1 界面
8.2.2 功能说明
报表管理是对所有的报表进行管理,包括查询条件设置、分页和报表模版的选择等。报表的查询管理还支持图形显示,在图形显示中可选图的横轴、纵轴和TOP值等。在上面所说过的报表模版分为静态模版和动态模版,其中静态模版没有查询条件的选择。
8.2.3 操作描述
点击->“组态报表”->“报表管理”会出现以上的界面,在“切换模版”的下拉菜单中选择要查询统计的报表,然后选择“分页”来显示页数。如果是动态模版还可以选择“查询条件设置”。
在右侧的“图形显示”中选择图形的TOP值、横轴、纵轴。
选择好后点击“查询”按钮,会出现各种图形显示,如下图:
列表形式显示
上图是以列表的形显示报表,它可以以各种格式的导出报表,包括:TXT、EXCLE、CSV、HTML、WORD、PDF等六种格式。
饼图形式显示
雷达图形式显示
还有柱状图、折线图等显示方式,只要点击上方的显示名称即可。
8.3 定时报表
8.3.1 界面
8.3.2 功能说明
定时报表更加人性化的对报表进行管理。在选中报表的前提下可以定时的执行选中的报表,省去了人工定时的操作。可以对报表进行时间设置,其中按周设置即周一到周日。还可以按日控制,即一个月内的30天。
8.3.3 操作描述
点击->“组态报表”->“定时报表”会出现以上的界面,在“模版类型选择”的下拉菜单中选择报表类型,然后选择“模版选择”窗口中选择报表。
时间设置里选择“按周”、“按日”来让选择好的报表进行操作。
最后“保存”设置。
8.4 自定义报表
8.4.1 界面
8.4.2 功能说明
自定义报表是方便管理查询想要的数据,所设定的自定义模版,如上图所示,可以对某个表进行人员筛选。
8.4.3 操作描述
点击->“组态报表”->“自定义报表”会出现以下的界面
在这里可以选择“模版名称”,在“自定义sql”的框中写上查询语句,点击“查询”,就会显示出所选报表要查询的内容。
也可以点击“添加按钮”,在出现的界面中填写好“报表名称”、“sql语句”和“描述”,点击“保存”,转入上面的界面。选中建好的报表,点击“执行”,就会出现查询结果,如下图所示:
如果想继续执行别的报表,点击“返回”按钮,继续执行即可。
九、策略管理
策略是针对主帐号和从帐号的,因此策略建立后,必须在主帐号和从帐号中应用策略,策略才能生效。
9.1 指令字对象
9.1.1 界面
添加指令对象界面:
9.1.2 功能说明
指令字对象是一个添加指令的集合对象,通过结合时间对象、地址对象组合成为不同的策略。主要包括允许策略、禁止策略两种。
9.1.3 操作描述
指令字对象:在策略管路目录下的指令字对象点击添加指令字对象,进入指令字对象添加页面,输入相关指令字集合。信息包括:对象名称、对象描述、对象状态、指令字。填写完成后点击保存完成指令字对象的添加。
9.2 访问时间对象
9.2.1 界面
添加时间对象界面:
9.2.2 功能说明
访问时间对象,用于限制主帐号访问系统及访问资源的时间。通过结合指令字对象、地址对象组合成为不同的策略。主要包括允许策略、禁止策略两种。9.2.3 操作描述
访问时间对象:在策略管路目录下的访问时间对象点击添加时间对象,进入时间访问对象添加页面,选择相应的时间段。信息包括:对象名称、对象描述、对象状态、具体时间(具体时间包括三种方式:按周、时间段、时间点),填写完毕后点保存完成时间对象的添加。
9.3 访问地址对象
9.3.1 界面
添加指令对象界面:
9.3.2 功能说明
访问地址对象,用于限制主帐号访问系统及访问资源时使用的客户端地址。通过结合指令字对象、时间对象组合成为不同的策略。主要包括允许策略、禁止策略两种。
9.3.3 操作描述
访问地址对象:在策略管路目录下的访问地址对象点击添加地址对象,进入地址访问对象添加页面,添加相应的IP地址。信息包括:对象名称、对象描述、对象状态、地址,填写完毕后点保存完成地址对象的添加。
9.4 账户锁定策略
9.4.1 界面
添加锁定策略界面:
9.4.2 功能说明
账户锁定策略,用于在用户口令输入错误时锁定用户,避免用户的密码被暴力破解。可以配置输入失败的次数和锁定时间。访问锁定策略应用于用户,在用户添加和修改时可以指定此策略。
9.4.3 操作描述
账户锁定策略:在策略管路目录下的账户锁定策略点击添加锁定策略,进入账户锁定策略添加页面,添加相应策略。信息包括:策略名称、策略描述、策略状态、登录失败次数、锁定时间、重置计数时间。填写完毕后点保存完成账户锁定策略的添加。
9.5 密码策略
9.5.1 界面
添加密码策略界面:
9.5.2 功能说明
密码策略,用于限制用户口令强度,避免用户配置的密码过于简单,被暴力破解。可以配置密码长度,包含大写字母长度、小写字母长度、数字长度、允许特殊字符、修改密码周期、禁用关键字等。密码策略应用于用户,在用户添加和修改时可以指定此策略。
9.5.3 操作描述
密码策略:在策略管路目录下的账户锁定策略点击添加密码策略,进入密码策略添加页面,添加相应密码选项。信息包括:策略名称、策略描述、策略状态、小写字母个数、大写字母个数、数字个数、允许使用字符、禁止关键字、密码修改周期,填写完毕后点保存完成账户锁定策略的添加。
9.6 允许策略
9.6.1 界面
添加允许策略界面:
9.6.2 功能说明
允许策略,主要由地址访问对象、时间访问对象、指令对象三者组合而成,它是用于同时授权给用户和从账号,允许用户在策略所允许的时间操作地址对象,并只允许使用策略指令对象。
9.6.3 操作描述
允许策略:在策略管路目录下的允许策略点击添加允许策略,进入允许策略添加页面,添加相应允许策略选项。信息包括:策略名称、策略描述、策略状态、时间对象、地址对象、指令字对象,填写完毕后点保存完成允许策略的添加。9.7 禁止策略
9.7.1 界面
添加禁止策略界面:
9.7.2 功能说明
禁止策略,主要由地址访问对象、时间访问对象、指令对象三者组合而成,它是用于同时授权给用户和从账号,禁止用户在策略所禁止的时间操作禁止操作的地址对象,并禁止使用策略指令对象。
9.7.3 操作描述
禁止策略:在策略管路目录下的禁止策略点击添加禁止策略,进入禁止策略添加页面,添加相应禁止策略选项。信息包括:策略名称、策略描述、策略状态、时间对象、地址对象、指令字对象,填写完毕后点保存完成禁止策略的添加。
十、授权管理
10.1 授权管理
10.1.1 界面
添加规则界面:
10.1.2 功能说明
授权管理主要是对给用户或用户组进行资源的授权,资源账号的授权,访问资源协议的授权,并且可以关联相关的策略进行访问资源限制。
规则名称:新增规则的名称。
备注:对新增规则的描述。
标签:定义通过哪类标签能快捷找到此规则。
状态:确定当前规则的状态。
授权信息:对用户或用户组进行资源的相关授权。
策略:添加此规则的限制策略。
10.1.3 操作描述
授权管理,点导航目录的授权管理进入到授权管理页面。在规则列表上方点击添加规则进入新增规则编辑页面,填写规则名称、备注、标签、状态的信息。授权信息此处点击添加进入到授权信息页面,首先选择需要授权的用户或用户组(用户和用户组只能选择一项),然后点击下一步进入到资源选择页面,选择相应的资源,点击下一步进入到资源账号和授权协议的页面,选择需要授权的账号和协议,点击确定完成对用户使用资源的授权。最后添加此规则的限制策略就完成了规则的添加。
10.1.4 规则的锁定和注销
如果要对规则进行删除或者锁定规则让规则暂时失去作用,则需要通过操作的下拉列表来实现,首先选择需要执行注销或锁定的规则,然后选中操作后面下拉列表的选项(包括注销规则、锁定规则、解锁规则三项),点击执行按钮,就完成了对规则的锁定或注销。
十一、脚本管理
11.1 脚本管理
11.1.1 界面
添加脚本界面:
11.1.2 功能说明
脚本管理是此内控堡垒主机的亮点之一,大大加强了被管IT资源的安全性。内控堡垒主机能够智能的运维脚本。
●对运维指令集,可以编写成脚本的形式,由堡垒机定时自动执行。
●代维人员或者厂家人员,如果需要授权他们操作设备,可以改为让
他们提交操作脚本,由业主单位的管理人员审核后付诸实施。
●对于基层操作人员和实习人员,也可以改为提交脚本,由领导审核
后提交运行。
11.1.3 操作描述
快速阅读指南 1.本使用手册为北信源终端安全管理系列产品全功能用户手册,请按照所购买产品对应相关的产品说明进行配置使用(该手册第一、二、三章为终端安全管理产品共有部分,凡购买任何一款终端安全管理产品都应首先详细阅读此三个章节)。 2.详细阅读本软件组件功能、组成、作用、应用构架,确切了解本软件的系统应用。 3.安装准备软件环境:Microsoft SQL Server2000、Windows2000Server、Internet服务管理器。SQL安装注意事项请参照第二章2-3-1所示。建议将数据库管理系统、区域管理器、WEB管理平台安装在同一服务器上,确认区域管理器所在机器的88端口不被占用(即非主域控制器);防火墙应允许打开88,2388,2399,22105,8900,8901,22106,22108,8889端口。 4.按步骤安装各组件后,通过http://*.*.*.*/vrveis登录Web管理平台,首先对Web管理平台进行如下配置:添加区域→划分该区域IP范围→指定区域管理器→指定区域扫描器。 5.双击屏幕右下角区域管理器、单击主机保护进行通讯参数配置。 6.在\VRV\VRVEIS\download目录中,使用RegTools.exe工具修改DeviceRegist.exe文件中的本地区域管理器IP,将修改后的注册程序DeviceRegist.exe放在机构网站上进行静态网页注册,或者在机构网站上加载动态网页检测注册脚本语句,进行动态设备注册。 7.系统升级:联系北信源公司获取最新的软件组件升级包,确保Web管理平台、区域管理器、客户端注册程序等组件的升级。 8.如果本说明书中的插图与实际应用的产品有出入,以实际产品为主。 特别提示:默认管理员用户:admin,密码:123456;系统指定审计用户名:audit,密码:123456请注意修改。
齐治堡垒机简易使用手册 Shterm用户手册- 应用发布手册杭州奇智信息科技有限公司2011年3月版本浙江齐治科技有限公司目录第1章用户登录shterm ......................................................... ................................................. 3 普通用户首次登录............................................................... ........................................ 3 用户登录账号............................................................... .................................... 4 使用环境准备............................................................... .................................... 4 第2章Windwos设备访问............................................................... ......................................... 6 WEB登录...............................................................
(单机版
Version:8.0.7.x)
中国软件与技术服务股份有限公司 CHINA NATIONAL SOFTWARE & SERVICE CO.,LTD.
版 权 声 明
非常感谢您选用我们的产品, 本手册用于指导用户安装中软统一终端安全管理平台 8.0 (中文简称安全管理平台) ,请您在安装本系统前,详细阅读本手册。本手册和系统一并出售且 仅提供电子文档。 。 Copyright ? 2005 by CS&S,中国软件与技术服务股份有限公司版权所有。 中软统一终端安全管理平台 8.0 是中国软件与技术服务股份有限公司自主研发的受法 律保护的商业软件。遵守法律是共同的责任,任何人未经授权人许可,不得以任何形式或方法 及出于任何目的复制或传播本软件和手册,权利人将追究侵权者责任并保留要求赔偿的权利。 任何人或实体由于该手册提供的信息造成的任何损失或损害,中国软件与技术服务股 份有限公司不承担任何义务或责任。
系统版权 中文名称:中软统一终端安全管理平台 8.0 英文简称:UEM8.0 开发单位:中国软件与技术服务股份有限公司
本系统的版权单位 中国软件与技术服务股份有限公司 地址:北京市海淀区学院南路 55 号中软大厦,100081 电话: (010)51508031/32/33 邮箱:waterbox@https://www.doczj.com/doc/8c8651205.html,
2
前
言
目前,个人计算机系统成为组成企业、单位网络的主体,也是绝大多数泄密事件发生的源头。 针对这一现状,中软自主研发的终端安全管理平台是内网安全管理的有力武器,是加强个人计算机 内部安全管理的重要工具。它作为国内市场上第一款成熟的内部安全管理软件,填补了国内在该领 域的空白,为我国信息安全保障工作注入了新的活力。 本书详细介绍了中软统一终端安全管理平台 8.0 安装方法,为用户在安装本系统时提供参考, 全书共为五章。 第一章:系统概述 第二章:体系结构和运行所需软硬件环境 第三章:服务器安装与卸载 第四章:控制台安装与卸载 第五章:客户端安装与卸载 本书内容全面,深入浅出,适合安装、使用中软统一终端安全管理平台的用户读者;检测、评 估中软统一终端安全管理平台的技术人员和专家以及希望使用中软统一终端安全管理平台协助对其 组织、机构或企业进行管理的管理人员等。 本手册适用于中软统一终端安全管理平台 8.0 的 8.0.7.x 单机版本的安装使用,随相应版本的产 品光盘附带,对该产品的其他版本,如未作特殊说明或者更新,该手册同样适用。 本手册在编写过程中,尽管我们做了最大努力力求完美和准确,但由于水平有限,难免存在疏 漏和缺陷之处。如果您对本手册有任何疑问、意见或建议,请与我们联系。感谢您对我们的支持和 帮助。
通用产品研发中心 2008 年 3 月
3
极地内网内控安全管理系统 (内控堡垒主机) 操作手册北京市海淀区上地安宁庄西路9号金泰富地大厦8层 电话:010- 传真:010- 客服:400-01234-18 邮编:100085 网站:
目录
一、前言 欢迎使用内控堡垒主机系统,本用户使用手册主要介绍内控堡垒主机部署结构、配置、使用和管理。通过阅读本文档,用户可以了解内控堡垒主机系统的基本设计思想,配置和使用方法。在安装、使用内控堡垒主机系统之前,请仔细阅读文档内容。 本章内容主要包括: ●本文档的用途。 ●阅读对象。 ●本文档的组织结构。 ●如何联系北京极地安全技术支持。 1.1 文档目的 本文档主要介绍如何配置和使用内控堡垒主机系统。通过阅读本文档,用户能够正确地部署和配置内控堡垒主机系统。 1.2 读者对象 本安装手册适用于具有基本网络知识的安全管理员、系统管理员阅读,通过阅读本文档,他们可以独自完成以下一些工作: ●内控堡垒主机系统的功能使用。 ●内控堡垒主机系统的策略配置与管理。 1.3 文档组织 本文档包括以下章节及其主要内容: ●前言,介绍了本手册各章节的基本内容、文档和技术支持信息。 ●系统简介,介绍内控堡垒主机系统的部署结构和登录方法。 ●系统应用,介绍如何配置使用内控堡垒主机系统。 1.4 技术支持 北京极地公司对于生产的安全产品提供远程的产品咨询服务,广大用户和合作伙伴可以通过多种方式获取在线文档、疑难解答等全方位的技术支持。
公司主页提供交互网络服务,用户及合作伙伴可以在世界的任何地方,任何时候访问技术支持中心,获取实时的网络安全解决方案、安全服务和各种安全资料。 ●传真: 010- ●客服经理承接质量问题投诉邮箱: 二、系统简介 内控堡垒主机系统是极地安全内控解决方案的重要组成部分,部署在企业的内部网络中,用于保护企业内部核心资源的访问安全。 内控堡垒主机是一种被加固的可以防御进攻的计算机,具备很强安全防范能力。内控堡垒主机扮演着看门者的工作,所有对网络设备和服务器的请求都要从这扇大门经过。因此内控堡垒主机能够拦截非法访问,和恶意攻击,对不合法命令进行命令阻断,过滤掉所有对目标设备的非法访问行为。 内控堡垒主机具备强大的输入输出审计功能,不仅能够详细记录用户操作的每一条指令,而且能够将所有的输出信息全部记录下来,也具备图形终端操作的审计功能,能够对多平台的多种图形终端操作做审计,并且内控堡垒主机具备审计回放的功能,能够模拟用户在线操作过程。总之,内控堡垒主机能够极大的保护企业内部网络设备及服务器资源的安全性,使得企业内部网络管理合理化,专业化,信息化。 2.1 关键字 用户名:也叫主帐号,使用内控堡垒主机的用户统称为用户名。 资源:内控堡垒主机管理的主机系统,数据库,网络设备等统称为资源。例如AIX系统、Windows2000系统、DB2数据库、CISCO3560等。 从账号:从账号是资源中的账号,例如AIX中的root账号,Windows2000中的Administrator账号。 SSO单点登录:SSO(SingleSign-On)中文为单点登录,就是说在同一个地点完成对不同资源的访问。 策略:控制用户登录、设置密码、禁止使用命令、允许访问命令的方法。
局域网动态IP用户且可控制局域网主机并设置端口映射 2010-07-15 13:56 1.使用花生壳实现动态域名解析 由于我们大多数人都是ADSL拨号上网,每次拨号IP都是不同的,这样每次都要告诉朋友自己代理的IP,这样非常的麻烦。现在国内有个花生壳软件可以让你的动态IP拥有一个固定的域名,只要将你的域名告诉朋友,不管你IP怎么变化你的代理都可以通过一个固定的域名使用。而且完全是免费的。 首先到https://www.doczj.com/doc/8c8651205.html,/Passport/Passport_Register_Statement.asp 注册一个帐号。 然后到https://www.doczj.com/doc/8c8651205.html,/PeanutHull/PeanutHull_Dowload.asp下载软件,我们以目前最新的“花生壳(PeanutHull)客户端 3.0 正式版” 作为教程演示软件。 登陆后点“域名管理”---→“申请免费域名” 在接下来的页面里 然后提交即可生效。 这里设置完了,我们就可以下载花生壳软件了,只要启动软件他就会自动绑定你当前的IP地址。 大家可以做个测试,启动花生客后ping你刚注册的花生壳域名,看看显示的IP 是不是你本地的IP。
一般ping自己本地IP的速度都非常快time<10ms 这样动态ADSL用户也同样有了自己固定的域名,一样可以做代理了。 2.透过局域网架代理服务器的准备工作--PortTunnel 由于整个局域网在Internet上只有一个真正的IP地址,而这个IP地址是属于局域网中主机(服务器)独有的,即使我们在其它计算机中通过ROXY等软件架设了HTTP/SOCKS代理服务器,但是无法让Internet上的朋友使用。这是为什么呢?打个比方说,如果你仅仅知道朋友在某幢写字楼上班,但是不知道它具体的房间,你就无法找到他。同样的道理,如果直接在局域网中架设代理服务器,那么Internet上的朋友登录的时候仅仅可以找到局域网中的服务器,但是至于怎样才能连接到你的计算机上就是一个问号了。为了解决这个问题,我们在局域网中建造自己代理服务器的时候需要一个端口映射软件来帮助,在此推荐一个小巧实用的工具-PortTunnel,它可以帮助大家轻松搞定这一切。顾名思义,PortTunnel的中文意思就是“端口通道”,它的作用就是在服务器上为你的计算机指定一条通道,使得Internet上的朋友可以顺利的与你建立连接。 首先我们需要到: https://www.doczj.com/doc/8c8651205.html,/steelbytes/PortTunnel_CHS.zip去下载这个软件。 在使用PortTunnel之前有一点需要强调,就是它必须运行在主机服务器端,这样才能够实现端口映射的目的。运行PortTunnel之后将会看见图所示的窗口:
运维安全堡垒平台用户操作手册 麒麟开源堡垒机用户操作手册
目录 1.概述 (1) 1.1.功能介绍 (1) 1.2.名词解释 (1) 1.3.环境要求 (2) 2.登录堡垒机 (2) 2.1.准备................................................................................................. 错误!未定义书签。 2.1.1.控件设置 (2) 2.1.2.Java Applet支持............................................................................. 错误!未定义书签。 2.2.登录堡垒机 (3) 3.设备运维 (4) 3.1.Web Portal设备运维 (4) 3.2.运维工具直接登录 (6) 3.3.SecureCRT打开多个设备 (7) 3.4.列表导出 (11) 4.操作审计 (14) 4.1.字符协议审计 (14) 4.2.SFTP和FTP会话审计 (16) 4.3.图形会话审计 (17) 4.4.RDP会话审计 (18) 4.5.VNC会话审计 (20) 5.其他辅助功能 (22) 5.1.修改个人信息 (22) 5.2.网络硬盘 (22) 5.3.工具下载 (23)
1.概述 运维安全堡垒平台(以下简称运维堡垒机)是用于对第三方或者内部运维管理员的运维操作行为进行集中管控审计的系统。运维堡垒机可以帮助客户规范运维操作行为、控制并降低安全风险、满足等级保护级其他法规对IT内控合规性的要求。 1.1.功能介绍 运维堡垒机集中管理运维账号、资产设备,集中控制运维操作行为,能够实现实时监控、阻断、告警,以及事后的审计与统计分析。 支持常用的运维工具协议(如SSH、telnet、ftp、sftp、RDP、VNC等),并可以应用发布的方式支持图形化运维工具。 运维堡垒机支持旁路模式和VPN模式两种方式,物理上旁路部署,灵活方面。 运维堡垒机在操作方式上,不改变用户的操作习惯,仍然可以使用自己本机的运维工具。 1.2.名词解释 协议 指运维堡垒机运维工具所用的通信协议,比如Putty使用SSH协议,CRT支持SSH 和Telnet等。 工具 指运维人员实现对设备的维护所使用的工具软件。 设备账号 指运维目标资产设备的用于维护的系统账户。 自动登录 指运维堡垒机为运维工具实现自动登录目标被管设备,而运维用户不需要输入目标设备的登录账号和密码,也称为单点登录(SSO)。 命令阻断
北信源内网终端安全管理系统 解决方案 北京北信源软件股份有限公司
目录 1.前言 (4) 1.1. 概述 (4) 1.2. 应对策略 (5) 2.终端安全防护理念 (6) 2.1. 安全理念 (6) 2.2. 安全体系 (7) 3.终端安全管理解决方案 (9) 3.1. 终端安全管理建设目标 (9) 3.2. 终端安全管理方案设计原则 (9) 3.3. 终端安全管理方案设计思路 (10) 3.4. 终端安全管理解决方案实现 (12) 3.4.1. 网络接入管理设计实现 ........................................ 错误!未定义书签。 3.4.1.1. 网络接入管理概述 ........................................ 错误!未定义书签。 3.4.1.2. 网络接入管理方案及思路............................... 错误!未定义书签。 3.4.2. 补丁及软件自动分发管理设计实现 (12) 3.4.2.1. 补丁及软件自动分发管理概述 (12) 3.4.2.2. 补丁及软件自动分发管理方案及思路 (12) 3.4.3. 移动存储介质管理设计实现 (17) 3.4.3.1. 移动存储介质管理概述 (17) 3.4.3.2. 移动存储介质管理方案及思路 (18) 3.4.4. 桌面终端管理设计实现 (21) 3.4.4.1. 桌面终端管理概述 (21) 3.4.4.2. 桌面终端管理方案及思路 (22) 3.4.5. 终端安全审计设计实现 ........................................ 错误!未定义书签。 3.4.5.1. 终端安全审计概述 ........................................ 错误!未定义书签。 3.4.5.2. 终端安全审计方案及思路............................... 错误!未定义书签。 4.方案总结 (41) 5.附录:系统硬件要求 (41) 6.预算 (43)
内网终端安全管理系统解决方案
北信源内网终端安全管理系统 解决方案 北京北信源软件股份有限公司
目录 1.前言................................ 错误!未定义书签。 1.1.概述 错误!未定义书签。 1.2.应对策略 错误!未定义书签。 2.终端安全防护理念.................... 错误!未定义书签。 2.1.安全理念 错误!未定义书签。 2.2.安全体系 错误!未定义书签。 3.终端安全管理解决方案................ 错误!未定义书签。 3.1.终端安全管理建设目标 错误!未定义书签。 3.2.终端安全管理方案设计原则 错误!未定义书签。 3.3.终端安全管理方案设计思路 错误!未定义书签。 3.4.终端安全管理解决方案实现 错误!未定义书签。 3.4.1.网络接入管理设计实现 错误!未定义书签。 3.4.1.1.网络接入管理概述
3.4.1.2.网络接入管理方案及思路 错误!未定义书签。 3.4.2.补丁及软件自动分发管理设计实现 错误!未定义书签。 3.4.2.1.补丁及软件自动分发管理概述 错误!未定义书签。 3.4.2.2.补丁及软件自动分发管理方案及思路 错误!未定义书签。 3.4.3.移动存储介质管理设计实现 错误!未定义书签。 3.4.3.1.移动存储介质管理概述 错误!未定义书签。 3.4.3.2.移动存储介质管理方案及思路 错误!未定义书签。 3.4.4.桌面终端管理设计实现 错误!未定义书签。 3.4.4.1.桌面终端管理概述 错误!未定义书签。 3.4.4.2.桌面终端管理方案及思路 错误!未定义书签。 3.4.5.终端安全审计设计实现 错误!未定义书签。 3.4.5.1.终端安全审计概述
安全运维审计配置手册 自然人:登录堡垒机使用的账号 资源:需要堡垒机管理的服务器、网络设备等等 从账号:资源本身的账号,即登录资源使用的账号 岗位:资源的集合,通过岗位可以将堡垒机管理的资源进行分类,便于管理员运维自然人与资源之间的使用逻辑关系 个人岗位:岗位的子类,可以理解为对自然人来说个人独有资源集合 密码代填:在运维人员登录资源的时候,堡垒机可以代填用户名密码,如果不代填的情况下,需要用户自己手动输入用户名密码 组织结构:目录树是堡垒机自身的一个目录结构,它可以方便管理员对繁杂的用户群体、资源群体进行归类区分,可以对比windows或者Linux操作系统的文件系统进行理解 目录树:可以将其理解为堡垒机目录结构的根目录,类似于linux系统的根目录
堡垒机使用前准备 1、访问堡垒机页面前浏览器配置 堡垒机使用ie浏览器访问,并需要配置加密协议
2、访问堡垒机页面,并下载安装标准版控件
注:安装控件的时候直接下一步直接安装即可,安装过程中关闭所有浏览器页面安装完控件以后访问堡垒机,浏览器会提示运行加载项,点击允许
管理员对堡垒机的管理操作 堡垒机管理员在管理堡垒机的时侯步骤如下: 1、添加堡垒机用户 2、添加资源(需要堡垒机管理的设备) 3、创建岗位(给资源划分组) 4、如果需要密码代填功能可以将资源的账号绑定到对应资源中 5、将岗位与堡垒机用户关联(将资源组给运维人员) 1、用户管理模块创建自然人 1、用户账号是登录堡垒机时使用的账号,用户名称是用于标识这个账号用的可以使用中文 2、初始化口令的默认密码是123456,用户初次登录堡垒机的时候会强制要求修改密码 3、将用户账号、用户名称、密码等信息都填写完毕以后点击保存即可创建自然人账号,这个账号是每个运维人员登录堡垒机使用的账号
公网(Internet)访问局域网内部主机的实现方法 深圳市宏电技术开发有限公司 宏电公司H7000 GPRS 无线DDN 系统在有些情况下需要通过Internet 接入数据中心服务器,很多公司通常也有一台服务器并有固定IP 地址。但是考虑到服务器的稳定运行问题通常不允许在服务器上安装其他应用软件,所以H7000 GPRS 数据中心系统也不允许安装在该服务器上,为了解决这一问题,可在服务器上进行必要的设置,以便GPRS DTU 的数据经过Internet 传输以后能够传输到局域网内某台装有H7000 GPRS 数据中心软件的主机。 此外,由于公网IP 地址有限,不少ISP 都采用多个内网用户通过代理和网关路由共用一个公网IP 上Internet 的方法,这样就限制了这些用户在自己计算机上安装数据中心,为了在这些用户端安装数据中心软件,最关键的一点是,怎样把多用户的内网IP 和一个他们唯一共享上网的公网IP 地址进行映射,就像在局域网或网吧内一样,虽然你可以架设多台服务器和网站,但是对公网来说,你还是只有一个外部的IP 地址。怎样把公网的IP 映射成相应的内网IP 地址,这应该是内网的那台代理服务器或网关路由器该做的事,对我们用私有IP 地址的用户也就是说这是我们的接入ISP 服务商(中国电信、联通、网通、铁通等)应该提供的服务,因为这种技术的实现对他们来说是举手之劳,而对我们来说是比较困难的,首先得得到系统管理员的支持才能够实现。因为这一切的设置必须在代理服务器上做的。 要实现这一点,可以用Windows 2000 Server 的端口映射功能。除此之外,WinRoute Pro 也具有这样的功能,还有各种企业级的防火墙。而对于我们这些普通用户,恐怕还是用Windows 2000 Server 最为方便。 先来介绍一下NAT ,NAT(网络地址转换)是一种将一个IP 地址域映射到另一个IP 地址域技术,从而为终端主机提供透明路由。NAT 包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。NAT 常用于私有地址域与公用地址域的转换以解决IP 地址匮乏问题。在防火墙上实现NAT 后,可以隐藏受保护网络的内部拓扑结构,在一定程度上提高网络的安全性。如果反向NAT 提供动态网络地址及端口转换功能,还可以实现负载均衡等功能。 IP = 195.75.16.65 NI = Network Interface IP = 192.168.0.22IP = 195.75.16.65 NI = Network Interface IP = 192.168.0.22 NAT 正/反向转换示意图
天珣内网安全风险管理与审计系统 安装配置手册 (V6.6.9.4) 启明星辰 Beijing Venustech Cybervision Co., Ltd. 2012年11月
版权声明 北京启明星辰信息安全技术有限公司版权所有,并保留对本文档及本声明的最终解释权和修改权。 本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。未经北京启明星辰信息安全技术有限公司书面同意,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。 “天珣”为北京启明星辰信息安全技术有限公司的注册商标,不得侵犯。 免责条款 本文档依据现有信息制作,其内容如有更改,恕不另行通知。 北京启明星辰信息安全技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠,但北京启明星辰信息安全技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。
目录 版权声明 (1) 免责条款 (1) 信息反馈........................................... 错误!未定义书签。1综述 . (4) 2安装环境及要求 (4) 3.天珣内网安全风险管理与审计系统主要组件介绍 (6) 3.1.服务器组件 (6) 3.1.1. 中心策略服务器 (6) 3.1.2. 本地策略服务器 (6) 3.1.3. 资产管理服务器................................错误!未定义书签。 3.1.4. Radius服务器 (6) 3.1.5. 攻击告警服务器 (6) 3.1.6. 软件分发服务器 (7) 3.1.7. HOD远程桌面服务器 (7) 3.2.策略网关组件 (7) 3.2.1. 策略网关代理 (7) 3.2.2. 中性策略网关 (7) 3.2.3. IIS策略网关 (8) 3.2.4. ISA策略网关 (8) 3.2.5. EXCHANGE策略网关 (8) 3.2.6. DNS策略网关及旁路监听式DNS策略网关 (8) 3.2.7. 客户端 (9) 3.2.8. 按需支援管理端 (9) 3.2.9. 客户端打包程序 (9) 4.天珣内网安全风险管理与审计系统的安装 (9) 4.1.快速安装 (10) 4.1.1 快速安装部署 (10) 4.1.2 基本配置 (27) 4.2.自定义安装 (31) 4.2.1 自定义安装中心服务器 (32) 4.3.本地服务器的安装配置 (33) 4.3.1 添加策略服务器 (37) 4.4.策略网关配置 (38) 4.4.1 添加策略网关代理 (38) 4.4.2 安装中性策略网关 (39) 4.5.远程桌面的系统配置 (46) 4.5.1 安装添加远程桌面服务器 (46) 4.5.2 添加远程桌面管理员 (46) 4.5.3 安装按需支援管理员端程序 (47) 4.5.4 用户请求管理员远程帮助 (49) 4.6.软件分发安装与配置 (49) 4.6.1 安装软件分发服务器 (49)
构建学校机房100台机器的局域网 一、前言 二十一世纪是知识经济时代。随着现代科学技术的飞速发展,全球信息化浪潮势不可挡,已经迅速延伸至国防、科研、经济等各个领域,也不可避免地改变着传统教育模式。信息和教育相结合毫无疑问成为当今世界教育改革和发展中极其重要的部分,而当前蓬勃发展的以计算机和网络为主导的现代信息技术则是教育现代化必不可少的技术基础。 二、项目内容 1、校园网的建设思路 校园作为一个特殊的网络应用环境,它的建设与使用都有其自身的特点。在选择局域网的网络技术时要体现开放式、分布式、安全可靠,维护简单的原则。校园网的建设主要应用局域网技术以及多媒体技术为主的各种网络应用技术。 2、校园网的建设原则 校园网建设是一项综合性非常强的系统工程,它包括了网络系统的总体规划、硬件的选型配置、系统管理软件的应用以及人员培训等诸多方面。因此在校园网的建设工作中必须处理好实用与发展、建设与管理、使用与培训等关系,从而使校园网的建设工作健康稳定地开展。 3、校园网的建设规划 校园网建设作为一项复杂的系统工程,与任何一项工程建设一样,在开始建设前都要根据工程的特点事先进行详细的工程规化与技术需求分析,它的成功与否都直接影响到工程的建设质量以及今后网络能否可靠运行都有直接的关系,因此要特别认真地进行系统规划。对于校园网来说,必须对技术和教育的发展前景有着清醒的认识,只有这样,才能从很好地为校园网进行合理的规划。 三、需求分析 1、选择常用网络设备 网络设备主要是指硬件系统,各种网络设备之间是有着相互关联而不是相互独立的,每一部分在网络中有着不同的作用,缺一不可,只有把这些设备通过一定的形式连起来才能组成一个完整的网络系统,组建计算机网络,最关键的是选择采用什么样的传输介质和网络连接设备,这些选择不仅关系到计算机网络的性能,而且关系到组建网络的成本。
Shterm用户手册- 应用发布手册 (配置管理员) 杭州奇智信息科技有限公司 2011年3月 版本
目录 第1章用户登录shterm (3) 1.1普通用户首次登录 (3) 1.1.1用户登录账号 (4) 1.1.2使用环境准备 (4) 第2章Windwos设备访问 (6) 2.1.1WEB登录 (6) 2.1.2本地MSTSC客户端登录 (7) 第3章访问字符终端设备(Telnet、SSH) (9) 3.1.1Web终端访问 (9) 3.1.2第三方SSH客户端工具访问 (10) 3.1.3WEB调用客户端登录 (12) 第4章客户端工具访问 (14) 4.1.1调用客户端工具 (14) 4.1.2文件传递 (15) 第5章文件传输 (15) 第6章账户设置 (16) 6.1个人信息修改 (16) 6.2密码修改 (18)
第1章用户登录shterm 1.1普通用户首次登录 Shterm采用Web作为用户界面。用户可使用Microsoft Internet Explorer 或以其为内核其他浏览器、Mozilla Firefox、Google Chrome等主流浏览器访问Shterm。 Shterm的访问地址一般为这种形式的:https://ipaddr,如:https://10.100.192.102 注意:建议将此站点加入到浏览器的安全站点中。
1.1.1用户登录账号 目前Shterm已与AD域认证系统进行了联合认证,因此在登录Shterm系统时只需要使用自己的AD域账号密码就可以登录Shterm系统了。 1.1.2使用环境准备 为了正常的使用Shterm您需要做以下环境准备工作:首先在您的系统安装Jre(Java虚拟机),此工具可在shterm的右上方下拉“工具下载”。 如果浏览器用的是IE或IE核心的,则需要再安装ShtermLoader工具,此工具可在shterm的右上方“工具下载”中下载并安装; 注意:需根据浏览器的版本下载相应的ShtermLoader,如32位的浏览器则需要下载32位的ShtermLoader,64位的浏览器则需要下载64位的ShtermLoader;
如何组建局域网和设置主机 1、启用来宾帐户。 开始-控制面版--管理工具--计算机管理-展开系统工具--本地用户和组--用户,在右边会见到一个GUEST用户,双击它,把帐号已停用前面的勾去掉. 。 2、用户权利指派。 “控制面板-管理工具-本地安全策略”,在“本地安全策略”对话框中,依次选择“本地策略-用户权利指派”,在右边的选项中依次对“从网络上访问这台计算机”和“拒绝从网络上访问这台计算机”这两个选项进行设置。 “从网络上访问这台计算机”选项需要将guest用户和everyone添加进去;“拒绝从网络上访问这台计算机”需要将被拒绝的所有用户删除掉,默认情况下guest是被拒绝访问的。 3、建立工作组。 以XP为例,右击“我的电脑”---“属性”,在“计算机名”选项卡中,点“更改”按钮,在下面的“工作组”文本框里输入工作组的名字,随便输,只要保证两台机器工作组一样就行。 或,右键点击“我的电脑”,选择“属性”,然后单击“计算机名”选项卡,看看该选项卡中有没有出现你的局域网工作组名称,如“workgroup”等。然后单击“网络ID”按钮,开始“网络标识向导”:单击“下一步”,选择“本机是商业网络的一部分,用它连接到其他工作着的计算机”;单击“下一步”,选择“公司使用没有域的网络”;单击“下一步”按钮,然后输入你的局域网的工作组名,这里我建议大家用“BROADVIEW”,再次单击“下一步”按钮,最后单击“完成” 按钮完成设置。 4、设置共享文件夹。 (1)我的电脑→工具→文件夹选项→查看→去掉“使用简单文件共享(推荐)”前的勾。 (2)把你要共享的文件全部放在一个文件夹里,右击这个文件夹--共享和安全,在“共享”选项卡中选中“在网络上共享这个文件夹”复选框,这时“共享名”文本框和“允许其他用户更改我的文件”复选框变为可用状态。用户可以在“共享名”文本框中更改该共享文件夹的名称;若清除“允许其他用户更改我的文件”复选框,则其他用户只能看该共享文件夹中的内容,而不能对其进行修改。设置完毕后,单击“应用”按钮和“确定”按钮即可。 5、关闭防火墙。 打开网上邻里,可看到对方机子上的共享文件夹。 局域网访问出现密码提示的解决方法: 1.开启guest帐户 开始-设置-控制面板-用户帐户-guest帐户-启用guest帐户 2.让guest可以访问 开始-设置-控制面板-管理工具-本地安全策略 -本地策略-用户权利指派-拒绝从网络访问这台计算机 -属性-选guest,删除 3.允许使用空白密码登录 开始-设置-控制面板-管理工具-本地安全策略 -本地策略-安全选项-帐户:使用空白密码的本地帐户只允许进行控制台登录 -属性:选中“已禁用” 4.设置共享目录 HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Control\Lsa” 中的dword型键值项“restrictanonymous”的值是不是为1, 如为1,改为0,重启后就能访问
内网安全管理系统项目方案
目录 第一章概述 (4) 1.1 建立内网安全管理系统的必要性 (4) 1.2 现状分析 (4) 1.3 项目需求 (4) 第二章系统建设目标与原则 (5) 2.1 系统建设目标 (5) 2.2 系统建设原则 (6) 2.2.1 先进性原则 (6) 2.2.2 易于管理、操作和维护原则 (6) 2.2.3 充分利用现有资源原则 (6) 2.2.4 安全与性能负载均衡原则 (6) 第三章总体设计方案 (6) 3.1 系统总体架构 (7) 3.2 系统功能架构设计 (9) 3.2.1 基于进程的文档加密驱动 (9) 3.2.2 端口控制驱动 (10) 3.2.3 移动存储设备控制驱动 (10) 3.3 系统配置清单 (11) 第四章系统功能设计 (11) 4.1 认证授权系统设计 (11) 4.1.1 客户端动态注册,浮动License 管理 (11) 4.1.2 控制台和客户端的网络身份认证 (12) 4.1.3 多种身份认证相结合 (12) 4.1.4 策略集中分级管理 (12) 4.1.5 支持按分组和单个计算机灵活定制策略 (13) 4.1.6 限时有效策略 (13) 4.2 数据安全保密系统设计 (13) 4.2.1 文件透明加解密 (14) 4.2.2 涉密文件安全防护 (15) 4.3 硬件安全防护系统设计 (16) 4.3.1 存储设备控制 (16) 4.3.2 通讯设备控制 (16) 4.3.3 存储设备准入认证 (16) 4.4 IT 资产管理系统设计 (17) 4.4.1 资产的完备性 (17) 4.4.2 资产变更的准实时性 (17) 4.4.3 详细的报告 (17)
“中软统一终端安全管理系统(United Endpoint Management, 简称UEM)”,以其全新的安全理念、强大的功能体系、完善的技术架构,改变了传统的内网安全管理模式,实现了主机监控与审计的完美统一。该系统采用了终端安全“一体化”的安全防护技术,整合了病毒防护监测、网络接入认证、终端健康性检查、系统身份认证、资产管理、补丁管理、运行监控和失泄密防护等等终端软件的安全功能,是终端安全的完整解决方案。 【系统功能】 该系统的主要从以下几个方面保障内部安全: 一.终端安全管理 1.安全策略管理 按照企业终端计算机安全管理规定,统一配置终端计算机的Windows安全策略,实现集中的安全策略配置管理,统一提高终端计算机用户的安全策略基线。系统所能配置的安全策略有:帐户密码策略监视、帐户锁定策略监视、审核策略监视、共享策略监视、屏保策略监视。 2.终端入网认证 对接入内网的计算机进行统一的管理,未经许可的计算机不能接入内网,接入内网的计算机必须通过安全性检查才能访问内部网络资源,其主要功能为:非法用户内联控制、主机安全性检查。 3.用户身份认证 身份认证是系统应用安全的起点,通过硬件USBKey和口令认证登录Windows系统用户身份,保证进入Windows系统用户身份的合法性;对登录用户权限进行合法性检查,保证用户权限的合规性。具体功能为:基于USBKey的身份认证、登录用户权限合法性检查。 4.网络进程管理 通过对网络进程的统一管理,规范计算机用户的网络行为,实现“外面的网路连接未经许可进不来,里面的网络进程未经许可出不去”。具体功能为:管理向外发起连接的网络进程、管理接收外部连入的网络进程、实时获取网络进程信息和会话连接状态。 5.防病毒软件监测 通过策略设置输入防病毒软件特征,按照统一的策略监测防病毒软件使用状况,并进行统计分析形成统一的数据报表。具体功能为:监视防病毒软件的使用状况、防病毒软件监测特征的自定义。 6.补丁分发管理 统一配置终端计算机的补丁管理策略,实现对系统补丁状况的扫描,自动完成补丁分发。系统所支持的补丁包括:Windows操作系统补丁系列、office系列办公软件补丁、SQL Server系列补丁等
堡垒主机用户操作手册 运维管理 版本2.3.2 2011-06 目录1.前言...................................................... 1.1.系统简介 .............................................. 1.2.文档目的 .............................................. 1.3.读者对象 .............................................. 2.登录系统.................................................. 2.1.静态口令认证登录 (3) 2.2.字证书认证登录 ........................................ 2.3.动态口令认证登录 ...................................... 2.4.LDAP域认证登录........................................ 2.5.单点登录工具 ..........................................
3.单点登录(SS0)........................................... 3.1.安装控件 .............................................. 3.2.单点登录工具支持列表 .................................. 3.3.单点登录授权资源查询 .................................. 3.4.单点登录操作 .......................................... Windows资源类(域内主机\域控制器 \windows2003\2008) Unix\Linux资源类............................... 数据库(独立)资源类 ........................... ORACLE_PLSQL单点登录........................... ORACLE_SQLDeveleper单点登录.................... MSSQLServer2000查询分析器单点登录.............. MSSQLServer2000企业管理器单点登录.............. SQLServer2005ManagementStudio单点登录.......... SQLServer2008ManagementStudio单点登录.......... SybaseDbisqlg单点登录..........................
原文地址:C#得到局域网内所有主机名,IP地址,MAC地址作者:西西里の哈皮Kevi private void btnCheck_Click(object sender, EventArgs e) { string ipAddress = this.cboBoxIp.Text.Trim(); Regex rgx = new Regex(@"^([1-9]|[1-9][0-9]|1[0-9][0-9]|2[0-4][0-9]|25[0-5])(.([0-9]|[1-9][0-9]|1[0-9][0-9]|2[0-4][0 -9]|25[0-5])){3}$"); if (rgx.IsMatch(ipAddress)) { https://www.doczj.com/doc/8c8651205.html,belIpResult.Text = GetName(ipAddress); https://www.doczj.com/doc/8c8651205.html,belMacResult.Text = GetMacAddress(ipAddress); } else { https://www.doczj.com/doc/8c8651205.html,belIpResult.Text = "IP address is not valid."; https://www.doczj.com/doc/8c8651205.html,belMacResult.Text = "No mac result"; } } ///