齐治堡垒机操作手册
中国旅游集团
信息共享中心
2020年2月
版本
目录
第一章建立用户账户 (3)
1.1 首次访问与默认用户账号 (3)
1.2 添加用户账号、分配用户角色 (4)
1.3建立普通用户账号 (6)
1.4快速身份切换 (6)
第二章添加目标设备(配置管理员) (7)
2.1 Windows设备(RDP) (7)
2.1.1 条件准备 (7)
2.1.2 添加设备 (7)
2.1.3 设置密码 (8)
2.2 Linux设备(SSH、X windows) (10)
2.2.1 条件准备 (10)
2.2.2 添加设备 (10)
2.2.3 设置密码 (11)
2.3网络设备(Telnet) (12)
2.3.1 条件准备 (12)
2.3.2 添加设备 (12)
2.3.3 设置null账号密码 (13)
2.3.4 设置特权模式(enbale)密码 (14)
第三章建立访问控制规则(配置管理员) (15)
3.1新建规则 (16)
3.2关联用户账户 (16)
3.3 关联设备 (17)
3.4 关联系统账号 (17)
第四章设备访问(普通用户) (18)
4.1环境准备 (18)
4.2图形设备 (18)
4.3 设备访问 (18)
4.4字符终端设备访问(Telnet、SSH) (22)
4.5 Web终端 (22)
4.6 第三方SSH客户端 (23)
第五章操作审计(审计管理员) (26)
5.1字符会话审计 (26)
5.1.1 命令列表式查看 (27)
5.1.2 命令回放 (27)
5.1.3 命令查询 (28)
5.2图形会话审计 (28)
5.2.1 会话列表 (29)
5.2.2 会话审计 (29)
第一章建立用户账户
1.1 首次访问与默认用户账号
Shterm采用加密型的Http方式进行访问,在浏览器地址栏中输入https://Shterm堡垒机IP地址即可,如:https://10.8.251.70,
由于采用SSL技术,首次访问会出现证书错误提示,如下图:
此时点击“继续浏览此”,将出现Shterm的登录页面。如下图:
Shterm默认管理员账号和密码均为小写“shterm”,输入用户名和密码后回车即可登录到Shterm操作界面,如下图:
1.2 添加用户账号、分配用户角色
使用缺省管理员登录到Shterm,并打开基本控制-用户账户菜单,如下图:
点击“新建用户”,进入用户设置界面:
这里不需要填写全部容,但必须设置标有红色*号项,其他可根据实际情况确定是否需要填写即可:
●登录名:登录Shterm的用户ID,可以使用数字、字母或. - _等符号,
但不能以. - _符号开头作为用户名,例如这里我们设置成admin;
密码:选择手动输入或自动设置,默认选择手动输入,依次在设置密码
和确认密码栏中输入两次密码;
●权限:系统默认有4类管理员,分别负责不同的角色,可以将不同的角
色权限分配给不同用户,也可以多个管理员权限分配给同一个用户,可
根据公司实际情况分配权限,例如我们这里将所有权限分配给admin这
个,将这四个管理员选项都勾选上。
1.3建立普通用户账号
因为“普通用户”只有“配置管理员”的账户才有权限添加,因此需要使用配置管理员重新登陆Shterm,例如刚才建立的admin,并打开基本控制-用户菜单,点击新建用户:
与上文中方法一样,建立一个名为user的用户账户,设置其权限为“普通用户”,如下图:
建立完毕后如图:
1.4快速身份切换
如果一个用户具有多个权限,则可以在控制台中快速切换用户身份,例如从超级管理员切换成配置管理员,将鼠标移动到右上角下图位置上,选择相应的权限用户即可完成身份的切换:
第二章添加目标设备(配置管理员)
2.1 Windows设备(RDP)
2.1.1 条件准备
进行本章您需要有准备一台符合以下条件的windows设备作为目标设备:
●Windows 2012/2016(需开启RDP服务)以及系统账号和密码
●Windows服务器IP地址和RDP端口(IP可达,端口可访问)
2.1.2 添加设备
利用admin账号登陆,点击基本控制-目标设备-新建,弹出新增设备配置页面
填写设备名、IP地址、选择设备类型为“Microsoft Windows”后点击确定,如下图:
系统进入添加设备更多选项界面,如果RDP端口不是默认端口,请点击服务列表,在RDP服务项上点击编辑即可修改;如果需要启用RDP的Console模式或客户端磁盘映射,请勾选上相应选项。
在服务列表里会看到访问该目标设备所使用的协议类型和协议名称,需要新建访问协议的话可以在右上角选择相应的协议,然后选择新增按钮。点击编辑查看已有访问协议的基本属性,如下图:
2.1.3 设置密码
点击密码管理设置该设备的系统账号密码,如下图:
提示:Shterm默认仅置了6个常用系统账号,如果列表中没有对应的系统账号,可以在基本控制-系统账号中添加。
齐治堡垒机简易使用手册 Shterm用户手册- 应用发布手册杭州奇智信息科技有限公司2011年3月版本浙江齐治科技有限公司目录第1章用户登录shterm ......................................................... ................................................. 3 普通用户首次登录............................................................... ........................................ 3 用户登录账号............................................................... .................................... 4 使用环境准备............................................................... .................................... 4 第2章Windwos设备访问............................................................... ......................................... 6 WEB登录...............................................................
运维安全堡垒平台用户操作手册 麒麟开源堡垒机用户操作手册
目录 1.概述 (1) 1.1.功能介绍 (1) 1.2.名词解释 (1) 1.3.环境要求 (2) 2.登录堡垒机 (2) 2.1.准备................................................................................................. 错误!未定义书签。 2.1.1.控件设置 (2) 2.1.2.Java Applet支持............................................................................. 错误!未定义书签。 2.2.登录堡垒机 (3) 3.设备运维 (4) 3.1.Web Portal设备运维 (4) 3.2.运维工具直接登录 (6) 3.3.SecureCRT打开多个设备 (7) 3.4.列表导出 (11) 4.操作审计 (14) 4.1.字符协议审计 (14) 4.2.SFTP和FTP会话审计 (16) 4.3.图形会话审计 (17) 4.4.RDP会话审计 (18) 4.5.VNC会话审计 (20) 5.其他辅助功能 (22) 5.1.修改个人信息 (22) 5.2.网络硬盘 (22) 5.3.工具下载 (23)
1.概述 运维安全堡垒平台(以下简称运维堡垒机)是用于对第三方或者内部运维管理员的运维操作行为进行集中管控审计的系统。运维堡垒机可以帮助客户规范运维操作行为、控制并降低安全风险、满足等级保护级其他法规对IT内控合规性的要求。 1.1.功能介绍 运维堡垒机集中管理运维账号、资产设备,集中控制运维操作行为,能够实现实时监控、阻断、告警,以及事后的审计与统计分析。 支持常用的运维工具协议(如SSH、telnet、ftp、sftp、RDP、VNC等),并可以应用发布的方式支持图形化运维工具。 运维堡垒机支持旁路模式和VPN模式两种方式,物理上旁路部署,灵活方面。 运维堡垒机在操作方式上,不改变用户的操作习惯,仍然可以使用自己本机的运维工具。 1.2.名词解释 协议 指运维堡垒机运维工具所用的通信协议,比如Putty使用SSH协议,CRT支持SSH 和Telnet等。 工具 指运维人员实现对设备的维护所使用的工具软件。 设备账号 指运维目标资产设备的用于维护的系统账户。 自动登录 指运维堡垒机为运维工具实现自动登录目标被管设备,而运维用户不需要输入目标设备的登录账号和密码,也称为单点登录(SSO)。 命令阻断
极地内网内控安全管理系统 (内控堡垒主机) 操作手册北京市海淀区上地安宁庄西路9号金泰富地大厦8层 电话:010- 传真:010- 客服:400-01234-18 邮编:100085 网站:
目录
一、前言 欢迎使用内控堡垒主机系统,本用户使用手册主要介绍内控堡垒主机部署结构、配置、使用和管理。通过阅读本文档,用户可以了解内控堡垒主机系统的基本设计思想,配置和使用方法。在安装、使用内控堡垒主机系统之前,请仔细阅读文档内容。 本章内容主要包括: ●本文档的用途。 ●阅读对象。 ●本文档的组织结构。 ●如何联系北京极地安全技术支持。 1.1 文档目的 本文档主要介绍如何配置和使用内控堡垒主机系统。通过阅读本文档,用户能够正确地部署和配置内控堡垒主机系统。 1.2 读者对象 本安装手册适用于具有基本网络知识的安全管理员、系统管理员阅读,通过阅读本文档,他们可以独自完成以下一些工作: ●内控堡垒主机系统的功能使用。 ●内控堡垒主机系统的策略配置与管理。 1.3 文档组织 本文档包括以下章节及其主要内容: ●前言,介绍了本手册各章节的基本内容、文档和技术支持信息。 ●系统简介,介绍内控堡垒主机系统的部署结构和登录方法。 ●系统应用,介绍如何配置使用内控堡垒主机系统。 1.4 技术支持 北京极地公司对于生产的安全产品提供远程的产品咨询服务,广大用户和合作伙伴可以通过多种方式获取在线文档、疑难解答等全方位的技术支持。
公司主页提供交互网络服务,用户及合作伙伴可以在世界的任何地方,任何时候访问技术支持中心,获取实时的网络安全解决方案、安全服务和各种安全资料。 ●传真: 010- ●客服经理承接质量问题投诉邮箱: 二、系统简介 内控堡垒主机系统是极地安全内控解决方案的重要组成部分,部署在企业的内部网络中,用于保护企业内部核心资源的访问安全。 内控堡垒主机是一种被加固的可以防御进攻的计算机,具备很强安全防范能力。内控堡垒主机扮演着看门者的工作,所有对网络设备和服务器的请求都要从这扇大门经过。因此内控堡垒主机能够拦截非法访问,和恶意攻击,对不合法命令进行命令阻断,过滤掉所有对目标设备的非法访问行为。 内控堡垒主机具备强大的输入输出审计功能,不仅能够详细记录用户操作的每一条指令,而且能够将所有的输出信息全部记录下来,也具备图形终端操作的审计功能,能够对多平台的多种图形终端操作做审计,并且内控堡垒主机具备审计回放的功能,能够模拟用户在线操作过程。总之,内控堡垒主机能够极大的保护企业内部网络设备及服务器资源的安全性,使得企业内部网络管理合理化,专业化,信息化。 2.1 关键字 用户名:也叫主帐号,使用内控堡垒主机的用户统称为用户名。 资源:内控堡垒主机管理的主机系统,数据库,网络设备等统称为资源。例如AIX系统、Windows2000系统、DB2数据库、CISCO3560等。 从账号:从账号是资源中的账号,例如AIX中的root账号,Windows2000中的Administrator账号。 SSO单点登录:SSO(SingleSign-On)中文为单点登录,就是说在同一个地点完成对不同资源的访问。 策略:控制用户登录、设置密码、禁止使用命令、允许访问命令的方法。
安全运维审计配置手册 自然人:登录堡垒机使用的账号 资源:需要堡垒机管理的服务器、网络设备等等 从账号:资源本身的账号,即登录资源使用的账号 岗位:资源的集合,通过岗位可以将堡垒机管理的资源进行分类,便于管理员运维自然人与资源之间的使用逻辑关系 个人岗位:岗位的子类,可以理解为对自然人来说个人独有资源集合 密码代填:在运维人员登录资源的时候,堡垒机可以代填用户名密码,如果不代填的情况下,需要用户自己手动输入用户名密码 组织结构:目录树是堡垒机自身的一个目录结构,它可以方便管理员对繁杂的用户群体、资源群体进行归类区分,可以对比windows或者Linux操作系统的文件系统进行理解 目录树:可以将其理解为堡垒机目录结构的根目录,类似于linux系统的根目录
堡垒机使用前准备 1、访问堡垒机页面前浏览器配置 堡垒机使用ie浏览器访问,并需要配置加密协议
2、访问堡垒机页面,并下载安装标准版控件
注:安装控件的时候直接下一步直接安装即可,安装过程中关闭所有浏览器页面安装完控件以后访问堡垒机,浏览器会提示运行加载项,点击允许
管理员对堡垒机的管理操作 堡垒机管理员在管理堡垒机的时侯步骤如下: 1、添加堡垒机用户 2、添加资源(需要堡垒机管理的设备) 3、创建岗位(给资源划分组) 4、如果需要密码代填功能可以将资源的账号绑定到对应资源中 5、将岗位与堡垒机用户关联(将资源组给运维人员) 1、用户管理模块创建自然人 1、用户账号是登录堡垒机时使用的账号,用户名称是用于标识这个账号用的可以使用中文 2、初始化口令的默认密码是123456,用户初次登录堡垒机的时候会强制要求修改密码 3、将用户账号、用户名称、密码等信息都填写完毕以后点击保存即可创建自然人账号,这个账号是每个运维人员登录堡垒机使用的账号
Shterm用户手册- 应用发布手册 (配置管理员) 杭州奇智信息科技有限公司 2011年3月 版本
目录 第1章用户登录shterm (3) 1.1普通用户首次登录 (3) 1.1.1用户登录账号 (4) 1.1.2使用环境准备 (4) 第2章Windwos设备访问 (6) 2.1.1WEB登录 (6) 2.1.2本地MSTSC客户端登录 (7) 第3章访问字符终端设备(Telnet、SSH) (9) 3.1.1Web终端访问 (9) 3.1.2第三方SSH客户端工具访问 (10) 3.1.3WEB调用客户端登录 (12) 第4章客户端工具访问 (14) 4.1.1调用客户端工具 (14) 4.1.2文件传递 (15) 第5章文件传输 (15) 第6章账户设置 (16) 6.1个人信息修改 (16) 6.2密码修改 (18)
第1章用户登录shterm 1.1普通用户首次登录 Shterm采用Web作为用户界面。用户可使用Microsoft Internet Explorer 或以其为内核其他浏览器、Mozilla Firefox、Google Chrome等主流浏览器访问Shterm。 Shterm的访问地址一般为这种形式的:https://ipaddr,如:https://10.100.192.102 注意:建议将此站点加入到浏览器的安全站点中。
1.1.1用户登录账号 目前Shterm已与AD域认证系统进行了联合认证,因此在登录Shterm系统时只需要使用自己的AD域账号密码就可以登录Shterm系统了。 1.1.2使用环境准备 为了正常的使用Shterm您需要做以下环境准备工作:首先在您的系统安装Jre(Java虚拟机),此工具可在shterm的右上方下拉“工具下载”。 如果浏览器用的是IE或IE核心的,则需要再安装ShtermLoader工具,此工具可在shterm的右上方“工具下载”中下载并安装; 注意:需根据浏览器的版本下载相应的ShtermLoader,如32位的浏览器则需要下载32位的ShtermLoader,64位的浏览器则需要下载64位的ShtermLoader;
运维安全堡垒平台用户操作手册
目录 1.概述 (1) 1.1.功能介绍 (1) 1.2.名词解释 (1) 1.3.环境要求 (2) 2.登录堡垒机 (2) 2.1.准备 (2) 2.1.1.控件设置 (2) 2.2.登录堡垒机 (3) 3.设备运维 (4) 3.1.Web Portal设备运维 (4) 3.2.运维工具直接登录 (6) 3.3.SecureCRT打开多个设备 (7) 3.4.列表导出 (11) 4.操作审计 (14) 4.1.字符协议审计 (14) 4.2.SFTP和FTP会话审计 (16) 4.3.图形会话审计 (17) 4.4.RDP会话审计 (18) 4.5.VNC会话审计 (20) 5.其他辅助功能 (22) 5.1.修改个人信息 (22) 5.2.网络硬盘 (22) 5.3.工具下载 (23)
1.概述 运维安全堡垒平台(以下简称运维堡垒机)是用于对第三方或者内部运维管理员的运维操作行为进行集中管控审计的系统。运维堡垒机可以帮助客户规范运维操作行为、控制并降低安全风险、满足等级保护级其他法规对IT内控合规性的要求。 1.1.功能介绍 运维堡垒机集中管理运维账号、资产设备,集中控制运维操作行为,能够实现实时监控、阻断、告警,以及事后的审计与统计分析。 支持常用的运维工具协议(如SSH、telnet、ftp、sftp、RDP、VNC等),并可以应用发布的方式支持图形化运维工具。 运维堡垒机支持旁路模式和VPN模式两种方式,物理上旁路部署,灵活方面。 运维堡垒机在操作方式上,不改变用户的操作习惯,仍然可以使用自己本机的运维工具。 1.2.名词解释 协议 指运维堡垒机运维工具所用的通信协议,比如Putty使用SSH协议,CRT支持SSH 和Telnet等。 工具 指运维人员实现对设备的维护所使用的工具软件。 设备账号 指运维目标资产设备的用于维护的系统账户。 自动登录 指运维堡垒机为运维工具实现自动登录目标被管设备,而运维用户不需要输入目标设备的登录账号和密码,也称为单点登录(SSO)。 命令阻断
堡垒主机用户操作手册 运维管理 版本2.3.2 2011-06 目录1.前言...................................................... 1.1.系统简介 .............................................. 1.2.文档目的 .............................................. 1.3.读者对象 .............................................. 2.登录系统.................................................. 2.1.静态口令认证登录 (3) 2.2.字证书认证登录 ........................................ 2.3.动态口令认证登录 ...................................... 2.4.LDAP域认证登录........................................ 2.5.单点登录工具 ..........................................
3.单点登录(SS0)........................................... 3.1.安装控件 .............................................. 3.2.单点登录工具支持列表 .................................. 3.3.单点登录授权资源查询 .................................. 3.4.单点登录操作 .......................................... Windows资源类(域内主机\域控制器 \windows2003\2008) Unix\Linux资源类............................... 数据库(独立)资源类 ........................... ORACLE_PLSQL单点登录........................... ORACLE_SQLDeveleper单点登录.................... MSSQLServer2000查询分析器单点登录.............. MSSQLServer2000企业管理器单点登录.............. SQLServer2005ManagementStudio单点登录.......... SQLServer2008ManagementStudio单点登录.......... SybaseDbisqlg单点登录..........................
1 前言 当今的时代是一个信息化社会,信息系统已成为各企事业单位业务运营的基础,由于信息系统运维人员掌握着信息系统的最高权限,一旦运维操作出现安全问题将会给企业或单位带来巨大的损失。因此,加强对运维人员操作行为的监管与审计是信息安全发展的必然趋势。在此背景之下,针对运维操作管理与审计的堡垒机应运而生。堡垒机提供了一套多维度的运维操作控管控与审计解决方案,使得管理人员可以全面对各种资源(如网络设备、服务器、安全设备和数据库等)进行集中账号管理、细粒度的权限管理和访问审计,帮助企业提升内部风险控制水平。 2 堡垒机的概念和种类 “堡垒”一词的含义是指用于防守的坚固建筑物或比喻难于攻破的事物,因此从字面的意思来看“堡垒机”是指用于防御攻击的计算机。在实际应用中堡垒机又被称为“堡垒主机”,是一个主机系统,其自身通常经过了一定的加固,具有较高的安全性,可抵御一定的攻击,其作用主要是将需要保护的信息系统资源与安全威胁的来源进行隔离,从而在被保护的资源前面形成一个坚固的“堡垒”,并且在抵御威胁的同时又不影响普通用户对资源的正常访问。 基于其应用场景,堡垒机可分为两种类型: 2.1 网关型堡垒机 网关型的堡垒机被部署在外部网络和内部网络之间,其本身不直接向外部提供服务而是作为进入内部网络的一个检查点,用于提供对内部网络特定资源的安全访问控制。这类堡垒机不提供路由功能,将内外网从网络层隔离开来,因此除非授权访问外还可以过滤掉一些针对内网的来自应用层以下的攻击,为内部网络资源提供了一道安全屏障。但由于此类堡垒机需要处理应用层的数据内容,性能消耗很大,所以随着网络进出口处流量越来越大,部署在网关位置的堡垒机逐渐成为了性能瓶颈,因此网关型的堡垒机逐渐被日趋成熟的防火墙、UTM、IPS、网闸等安全产品所取代。 2.2 运维审计型堡垒机 第二种类型的堡垒机是审计型堡垒机,有时也被称作“内控堡垒机”,这种类型的堡垒机也是当前应用最为普遍的一种。 运维审计型堡垒机的原理与网关型堡垒机类似,但其部署位置与应用场景不同且更为复杂。运维审计型堡垒机被部署在内网中的服务器和网络设备等核心资源的前面,对运维人员的操作权限进行控制和操作行为审计;运维审计型堡垒机即解决了运维人员权限难以控制混乱局面,又可对违规操作行为进行控制和审计,而且由于运维操作本身不会产生大规模的流
堡垒机概念及工作原理浅析 关键词:堡垒机、运维操作审计、工作原理 1前言 当今的时代是一个信息化社会,信息系统已成为各企事业单位业务运营的基础,由于信息系统运维人员掌握着信息系统的最高权限,一旦运维操作出现安全问题将会给企业或单位带来巨大的损失。因此,加强对运维人员操作行为的监管与审计是信息安全发展的必然趋势。在此背景之下,针对运维操作管理与审计的堡垒机应运而生。堡垒机提供了一套多维度的运维操作控管控与审计解决方案,使得管理人员可以全面对各种资源(如网络设备、服务器、安全设备和数据库等)进行集中账号管理、细粒度的权限管理和访问审计,帮助企业提升内部风险控制水平。 2堡垒机的概念和种类 “堡垒”一词的含义是指用于防守的坚固建筑物或比喻难于攻破的事物,因此从字面的意思来看“堡垒机”是指用于防御攻击的计算机。在实际应用中堡垒机又被称为“堡垒主机”,是一个主机系统,其自身通常经过了一定的加固,具有较高的安全性,可抵御一定的攻击,其作用主要是将需要保护的信息系统资源与安全威胁的来源进行隔离,从而在被保护的资源前面形成一个坚固的“堡垒”,并且在抵御威胁的同时又不影响普通用户对资源的正常访问。 基于其应用场景,堡垒机可分为两种类型: 2.1网关型堡垒机 网关型的堡垒机被部署在外部网络和内部网络之间,其本身不直接向外部提供服务而是作为进入内部网络的一个检查点,用于提供对内部网络特定资源的安全访问控制。这类堡垒机不提供路由功能,将内外网从网络层隔离开来,因此除非授权访问外还可以过滤掉一些针对内网的来自应用层以下的攻击,为内部网络资源提供了一道安全屏障。但由于此类堡垒机需要处理应用层的数据内容,性能消耗很大,所以随着网络进出口处流量越来越大,部署在网关位置的堡垒机逐渐成为了性能瓶颈,因此网关型的堡垒机逐渐被日趋成熟的防火墙、UTM、IPS、网闸等安全产品所取代。 2.2运维审计型堡垒机 第二种类型的堡垒机是审计型堡垒机,有时也被称作“内控堡垒机”,这种类型的堡垒机也是当前应用最为普遍的一种。 运维审计型堡垒机的原理与网关型堡垒机类似,但其部署位置与应用场景不同且更为复
Shterm 用户手册 -应用发布手册 (配置管理员) 杭州奇智信息科技有限公司 2011 年 3 月 版本 <>
目录 第 1章用户登录 shterm .....................................错误 ! 未定义书签。 普通用户首次登录 . ...................................错误 ! 未定义书签。 用户登录账号 . .................................错误 ! 未定义书签。 使用环境准备 . .................................错误 ! 未定义书签。第 2 章Windwos 设备访问 ....................................错误 ! 未定义书签。 WEB登录 ......................................错误 ! 未定义书签。 本地 MSTSC客户端登录 . .........................错误 ! 未定义书签。第 3 章访问字符终端设备( Telnet 、 SSH) .....................错误 ! 未定义书签。 Web终端访问 ..................................错误 ! 未定义书签。 第三方 SSH客户端工具访问 . .....................错误 ! 未定义书签。 WEB调用客户端登录 ............................错误 ! 未定义书签。第 4章客户端工具访问 . .....................................错误 ! 未定义书签。 调用客户端工具 . ...............................错误 ! 未定义书签。 文件传递 . .....................................错误 ! 未定义书签。第 5章文件传输 . ...........................................错误 ! 未定义书签。第 6章账户设置 . ...........................................错误 ! 未定义书签。 个人信息修改 . .......................................错误 ! 未定义书签。 密码修改 . ...........................................错误 ! 未定义书签。
丰泽堡垒机 Fortress 运维用户使用手册Version 1.3.4 2014年4月
目录 1前言 (1) 1.1概述 (1) 1.2图形界面格式约定 (1) 1.3使用环境 (1) 2登录设备 (1) 2.1系统首页 (1) 2.2工具安装 (3) 2.2.1客户端工具安装 (3) 2.2.1Java虚拟机安装 (5) 2.3常用参数设置 (7) 2.4个人信息设置 (8) 2.5 委托管理 (8) 3运维访问过程 (9) 4运维协议 (9) 4.1最近访问 (9) 4.2全部协议 (10) 4.3文本协议 (11) 4.4图形协议 (11) 4.5文件传输 (12) 5运维实例 (13) 5.1文本类协议运维实例 (13) 5.2图形类协议运维实例 (15) 5.3HTTP(s)协议运维实例 (17) 5.4文件传输协议运维实例 (18) 5.5特殊运维 (19) 5.5.1紧急运维 (19) 5.5.2二次授权 (21)
1前言 1.1概述 本文档为运维堡垒机的运维用户的使用手册,作为运维用户的操作指南。 1.2图形界面格式约定 1.3使用环境 Fortress 的运维用户采用 WEB作为用户界面。运维用户可以使用任意浏览器,如果您使用的是 IE 8浏览器,请在兼容模式下运行。 2登录设备 2.1系统首页 用IE浏览器访问: https://Fortress-IP,如果是IE7/8,访问过程中会出现证书安全警告等信息: 此时点击“继续浏览此网站”,将出现Fortress的登录页面。如下图:
图1. 用户登录 使用运维管理员分配给运维用户的用户名和密码登录系统。登录成功后,首页如下: 图2. 系统首页 首页内容为:当前日期、上次登录时间及登录IP、最近10次运维记录。运维记录包含运维用户的IP、运维过的资源名称、目标设备的IP地址、设备账户、运维开始时间、运维结束时间、在线时长。 在管理界面的右上角有三个按钮,分别是“修改密码”、“工具下载”、“退出登录”。其作用如下: 修改密码:修改当前运维用户的登录密码,只有静态口令用户可以修改密码。为了安全性考虑,首次登录后,建议静态口令用户对密码进行修改。 工具下载:下载运维用户在进行运维管理时所必需安装的工具,与【运维管理 -> 工具下载】页面下载的文件相同。
堡垒机使用手册 使用堡垒机登陆方法 1、使用Secure CRT 登陆,选择SSH2登陆方式,输入相应的用户名,点击 connect Quick Connect Prvtocol : Ho st name' Authentic 的 on 0 PaaswontJ 0 PdbfccKey I#. Keyboard Irrt 已启crtiu 已 0GSSAPI Ml Save session 0 Open in a tab TVl 2、输入用户名和密码 Enter Secure Shell Password 1 Ml31 @ 10'.4-S.BD.€G requires a password. Pl 亡曰吕e enter a password now. Ussnane: 100131 P asswad. I 1 Save p 曰闘 >VDrd 3、选择1进入服务器列表 [Conneci ] Canod Port; 22 Finewsl: None Username. ?ni| ..Show quick corned on startup
10.43.66 - Seen reCRT File Edit View Options Transfer Script Tools Help Ji] a Cl a SI I 裁昌- 寻m 百瑟F ◎ I 10.4fi.50.66 VENU5TECH AUDIT SYSTEM HAl000 Last login: Thu Jun 7 17:51:07 2012 from 10*4S.51.2J9 shell audit system select node: 1| F 图为服务器列表 B IfUS.SIKGG selected group : BE 5融台应目爼 4、选择需要登陆的服务器 ■t e u t 01^34567890123456789 1234567£911111111112222£22222 13弓.勺?.17.11 133.96.17.13 133.17.14 133 . ■96.17*15 133.96.17.16 133.■96.17.17 133,.■96.17*15 133.96.17.21 133.17.22 丄汨"9乞17.23 133.96.17.25 133.17.27 丄汩"9&17.2勒 133.96.17.29 133,勺 6.17.J0 133.^6.17.31 133.96.17.12 133.S6.17. J3 133.96.17.34 133.96.17.35 133.S6.17.ie 133.96.IS.1(3 133.96.15.12 133.-9^,15*14 133.96.IS.15 133.96.IS.le 133.96.1S*17 133.96.IB.ig 133.■96.IB.21 (bildbi) (b-i1db2) tb11appl) (bi1app2) (memdbl) fmemdb^) (^ccxdbl) (jicttdb2) Cb11app3) (bi 1 app4) CxjdblJ CxjdbZ) (Lilnbikl) Cb11nbi ■ Cb11wbikl) (bi fbl 1weDl) Cb11webZ) (bi1web3) Cb11web4) (bi IwebS) (crmdbl) fcrmdb?) (crmqxappl) ( 堡垒机安装部署测试及优缺点总结 近期出于管理和检查需要,单位领导要求上堡垒机系统,测试了几个商业堡垒机,因为价格超过预算等原因都未购买,又测试了三个开源的堡垒机,感觉麒麟开源堡垒机功能最全,基本上和商业堡垒机一样,唯一的问题就是图形部分不开源,但因为我们的服务器基本上全是LINUX环境,TELNET、SSH、FTP、SFTP已经足够了因此将这套堡垒机已经用于生产环境。 现在市场商业堡垒机价格太高,基本上都要到10万左右,我结合在公司部署开源堡垒机的经验,将过程写成文档与大家分享。 我测试的其它开源堡垒机基本上还是半成品,麒麟堡垒机基本上已经是一个成品堡垒机,但是还是存在某些小BUG,可以自己修改源代码改掉。 麒麟堡垒机安装条件: 1.系统必须至少有二块网卡,一块网卡安装时会报错,如果是虚机虚2块网卡出来。 2.系统最低硬件配置为:Intel 64位CPU、4G内存、200G硬盘。(注意:32位CPU 装不上)。 安装过程: 麒麟堡垒机安装过程非常简单,用光盘启动,一回车,完全无人值守安装,不需要任何的干涉(安装过程赞一个,基本上可以给95分)。 过程图如下: 插入光驱进行启动,会到安装界面,在”blj”那里直接回车(PS:如果使用笔记本进行虚机安装,先选择”Install Pcvm”,方式使用500M SWAP, 默认安装方式使用32G SWAP,这几个安装方式主要就是SWAP大小不同,如果使用虚机方式安装堡垒机,有可能出现SWAP 不够用问题)。 我的硬件物理机为8G内存,普通的E3 单个CPU,2T 串口硬盘,安装过程大约要等30分钟左右,安装完毕,系统重启,退出光盘即可。 麒麟开源堡垒机用户操作手册 目录 1.概述 (1) 1.1.功能介绍 (1) 1.2.名词解释 (1) 1.3.环境要求 (2) 2.登录堡垒机 (2) 2.1.准备 (2) 2.1.1.控件设置 (2) 2.1.2.Java Applet支持 (3) 2.2.登录堡垒机 (3) 3.设备运维 (4) 3.1.Web Portal设备运维 (5) 3.2.运维工具直接登录 (6) 3.3.SecureCRT打开多个设备 (7) 3.4.列表导出 (11) 4.操作审计 (14) 4.1.字符协议审计 (14) 4.2.SFTP和FTP会话审计 (16) 4.3.图形会话审计 (17) 4.4.RDP会话审计 (18) 4.5.VNC会话审计 (20) 5.其他辅助功能 (22) 5.1.修改个人信息 (22) 5.2.网络硬盘 (22) 5.3.工具下载 (23) 1.概述 运维安全堡垒平台(以下简称运维堡垒机)是用于对第三方或者部运维管理员的运维操作行为进行集中管控审计的系统。运维堡垒机可以帮助客户规运维操作行为、控制并降低安全风险、满足等级保护级其他法规对IT控合规性的要求。 1.1.功能介绍 运维堡垒机集中管理运维账号、资产设备,集中控制运维操作行为,能够实现实时监控、阻断、告警,以及事后的审计与统计分析。 支持常用的运维工具协议(如SSH、telnet、ftp、sftp、RDP、VNC等),并可以应用发布的方式支持图形化运维工具。 运维堡垒机支持旁路模式和VPN模式两种方式,物理上旁路部署,灵活方面。 运维堡垒机在操作方式上,不改变用户的操作习惯,仍然可以使用自己本机的运维工具。 1.2.名词解释 协议 指运维堡垒机运维工具所用的通信协议,比如Putty使用SSH协议,CRT支持SSH 和Telnet等。 工具 指运维人员实现对设备的维护所使用的工具软件。 设备账号 指运维目标资产设备的用于维护的系统账户。 自动登录 指运维堡垒机为运维工具实现自动登录目标被管设备,而运维用户不需要输入目标设备的登录账号和密码,也称为单点登录(SSO)。 命令阻断 指根据命令权限策略检查用户输入的操作指令,如果策略不允许执行此指令,会 齐治堡垒机操作手册 中国旅游集团有限公司 信息共享中心 2020年2月 版本 目录 第一章建立用户账户 (3) 1.1 首次访问与默认用户账号 (3) 1.2 添加用户账号、分配用户角色 (4) 1.3建立普通用户账号 (6) 1.4快速身份切换 (6) 第二章添加目标设备(配置管理员) (7) 2.1 Windows设备(RDP) (7) 2.1.1 条件准备 (7) 2.1.2 添加设备 (7) 2.1.3 设置密码 (8) 2.2 Linux设备(SSH、X windows) (10) 2.2.1 条件准备 (10) 2.2.2 添加设备 (10) 2.2.3 设置密码 (11) 2.3网络设备(Telnet) (12) 2.3.1 条件准备 (12) 2.3.2 添加设备 (12) 2.3.3 设置null账号密码 (13) 2.3.4 设置特权模式(enbale)密码 (14) 第三章建立访问控制规则(配置管理员) (15) 3.1新建规则 (16) 3.2关联用户账户 (16) 3.3 关联设备 (17) 3.4 关联系统账号 (17) 第四章设备访问(普通用户) (18) 4.1环境准备 (18) 4.2图形设备 (18) 4.3 设备访问 (18) 4.4字符终端设备访问(Telnet、SSH) (22) 4.5 Web终端 (22) 4.6 第三方SSH客户端 (23) 第五章操作审计(审计管理员) (26) 5.1字符会话审计 (26) 5.1.1 命令列表式查看 (27) 5.1.2 命令回放 (27) 5.1.3 命令查询 (28) 5.2图形会话审计 (28) 5.2.1 会话列表 (29) 5.2.2 会话审计 (29) 堡垒机现身企业内控运维安全"终结者" 堡垒机,听起来就是一个够酷的名字,有用户笑言,听着名儿就觉着安全,就像大块头施瓦辛格一出现在电影镜头里就像终结者一样。那么,作为内网安全的"终结者",堡垒机究竟是个什么摸样。 所谓"堡垒主机"(简称"堡垒机"),就是一种被强化的可以防御进攻的计算机,具备很强安全防范能力。"堡垒主机"这个词是有专门含义的概念,最初由美国 Marcus J.Ranum在Thinking About Firewalls V2.0:Beyond Perimeter Security一书中提出。他提出堡垒主机"是一个系统,作为网络安全的一个关键点,它由防火墙管理员来标识","堡垒主机需要格外的注意自己的安全性,需要定期的审核,并拥有经过修改的软件".通常,堡垒主机是一台独立应用的主机。(这有点类似单用户的单机操作),它有极大的价值,可能蕴含着用户的敏感信息,经常提供重要的网络服务;大部分时候它被防火墙保护,有的则直接裸露在外部网络中。其所承担的服务大都极其重要,如银行、证券、政府单位用来实现业务、发布信息的平台。"堡垒主机"的工作特性要求达到高安全性。 早期堡垒主机,通常是指这样一类提供特定网络或应用服务的计算机设备,其自身相对安全并可以防御一定程度的攻击。作为安全但可公开访问的计算机,堡垒主机通常部署于外围网络(也称为 DMZ、网络隔离区域或屏蔽子网)面向公众的一端。这类堡垒主机不受防火墙或过滤路由器的保护,因此它们完全暴露在攻击中。这类堡垒主机通常用作Web服务器、域名系统(DNS)服务器或文件传输(FTP)服务器等。通过将这些将必须开放的服务部署在堡垒主机而不是内部网络中,可以换取内部网络的安全。因为这些主机吸引了入侵者的注意力,也就相应地减少了内部网络遭受安全攻击的可能性和随之带来的风险。 堡垒主机自身安全性的强化通常是通过禁用或删除不必要的服务、协议、程序和网络接口来实现的。也就是说,堡垒主机往往仅提供极少的必要的服务,以期减少自身的安全漏洞。另外一些可以提高自身安全性的手段则包括:采用安全操作系统、采取必要的身份认证和严格的权限控制技术等。 齐治堡垒机操作手册 中国旅游集团 信息共享中心 2020年2月 版本 目录 第一章建立用户账户 (3) 1.1 首次访问与默认用户账号 (3) 1.2 添加用户账号、分配用户角色 (4) 1.3建立普通用户账号 (6) 1.4快速身份切换 (6) 第二章添加目标设备(配置管理员) (7) 2.1 Windows设备(RDP) (7) 2.1.1 条件准备 (7) 2.1.2 添加设备 (7) 2.1.3 设置密码 (8) 2.2 Linux设备(SSH、X windows) (10) 2.2.1 条件准备 (10) 2.2.2 添加设备 (10) 2.2.3 设置密码 (11) 2.3网络设备(Telnet) (12) 2.3.1 条件准备 (12) 2.3.2 添加设备 (12) 2.3.3 设置null账号密码 (13) 2.3.4 设置特权模式(enbale)密码 (14) 第三章建立访问控制规则(配置管理员) (15) 3.1新建规则 (16) 3.2关联用户账户 (16) 3.3 关联设备 (17) 3.4 关联系统账号 (17) 第四章设备访问(普通用户) (18) 4.1环境准备 (18) 4.2图形设备 (18) 4.3 设备访问 (18) 4.4字符终端设备访问(Telnet、SSH) (22) 4.5 Web终端 (22) 4.6 第三方SSH客户端 (23) 第五章操作审计(审计管理员) (26) 5.1字符会话审计 (26) 5.1.1 命令列表式查看 (27) 5.1.2 命令回放 (27) 5.1.3 命令查询 (28) 5.2图形会话审计 (28) 5.2.1 会话列表 (29) 5.2.2 会话审计 (29) 堡垒机使用说明 注意:可以自行选择WEB方式使用,或通过RDP客户端远程连接WINDOWS、SSH 客户端连接LINUX。无论哪种方式连接,都使用你的堡垒机账号连接183.168.162.8即可。 一 WEB方式使用 准备工作 1.1 根证书安装 使用ie登录 运维人员使用的PC机,需要信任ICore4A-UTM,才能安装控件,进行运维。 步骤1:普通用户登录堡垒机 步骤2:单击界面右上角的【下载】 步骤3:单击下载框中的“下载”,将根证书下载至本地: 步骤4:双击“”,将其添加到受信任的根证书颁发机构进行安装。 1.2 IE选项设置(推荐使用IE) 步骤1:单击IE浏览器中的【工具】>【Internet选项】>【安全】>【可信站点】步骤2:将“该区域的安全级别”设置为最低: 步骤3:单击【站点】,将堡垒机的管理地址添加为可信站点: 步骤4:最后单击【关闭】>【应用】>【确定】即可 1.3 ActiveX控件安装 ICore4A-UTM需要安装控件,才能调用运维人员PC机的本地运维软件,进行运维操作。以下以IE 7.0浏览器为例: 步骤1:普通用户登录到堡垒机后,IE界面中会弹出“ActiveX控件”安装选项: 步骤2:单击该加载选项,再单击“为此计算机上的所有用户安装此加载项(A)…” 步骤3:刷新界面后,再单击【系统运维】,页面将弹出以下提示: 步骤4:单击【安装】后,页面将再次弹出“”控件安装提示: 步骤5:单击【安装】后,页面将弹出“”控件安装提示 步骤6:单击【安装】后即可 1.4 客户端工具准备 字符类工具: 步骤1:检查本地是否安装了字符类工具,如putty、SecureCRT; 如果未安装可从网上下载安装或由厂家提供安装程序。 步骤2:普通用户登录堡垒机后,单击界面右上角的【运维设置】 步骤3:在运维设备对话框中,将本地的putty和SecureCRT等运维工具的绝对路输入到填写框中: 步骤4:设置参数: 堡垒机维护手册 麒麟开源 1麒麟开源堡垒机用户手册概述 本手册为堡垒机运维系统维护手册,适用于没有任何堡垒机使用经验的用户。本手册假设阅读者拥有堡垒机的全部权限。 1.1 如何阅读本手册 如果已经有过堡垒机使用经验,可选取您感兴趣的章节进行阅读;如果您是堡垒机的首次使用者,建议按照顺序通读本手册。 1.2 手册使用说明 带下划线表示操作中的菜单,例如: 资源管理—用户列表—新建用户 表示:操作为先点击“资源管理”菜单,在出现的页面中再点击“用户列表”菜单,最后点击“新建用户”菜单。 红色字体表示用户特别需要注意的内容。 1.3 麒麟开源堡垒机系统版本 本手册为麒麟开源堡垒机 1.1系统版本。 2麒麟开源堡垒机维护介绍 系统维护手册是系统上线运行后,对系统进行日常维护,发现问题解决问题的一个参考手册,基本的日常维护主要包括前台操作和后台维护两部分。系统的维护主要通过后台来进行,前台操作只是为后台维护提供基本的参考。 2.1 麒麟开源堡垒机前台操作 前台操作是指在进行日常后台维护操作之前或者之后,通过前台的一些基本 操作来发现问题,或者查看问题是否解决。 前台的基本操作如下: 2.1.1麒麟开源堡垒机登陆系统 登陆系统分为web登陆和工具直接登录两种,web主要针对的是审计用户包括:操作审计、日志审计和db审计等,工具登陆是一般运维人员的常用登陆方式。 通过这两种登陆方式的检验来确保系统用户的正常基本使用。 2.1.2麒麟开源堡垒机登陆报表 通过查看系统的登陆报表可以较快捷的了解到用户登陆情况和登陆失败的原因。登陆报表在堡垒机的日志报表-审计报表-登陆明细中查看。界面如下: 2.2 麒麟开源堡垒机后台维护 后台维护是对系统进行维护的常用手段,前台登陆是为后台维护的一个辅助手段。 后台维护包括对系统运行命令的查看、启动项是否正常、运行情况的查看以堡垒机安装部署测试文档
麒麟开源堡垒机用户操作手册范本
齐治堡垒机操作手册
堡垒机
齐治堡垒机操作手册
堡垒机使用说明
堡垒机系统维护手册
相关主题
文本预览