LanSecS(堡垒主机)牡内控管理平台用户使用手册(0727版).pdfVIP

一章 系统简介 一章 系统简介 控堡垒主机系统是安全内控解决方案的重要组成部分，部署在企业的内部网络中，用 于保护企业 部核心资源的访问安全。 控堡垒主机是一种被加固的可以防御进攻的计算机，具备很强安全防范能力。 控堡 垒主机扮演着看门者的工作，所有对网络设备和服务器的请求都要从这扇大门经过。因此 控堡垒主机能够拦截非法访问，和恶意攻击，对不合法命令进行命令阻断，过滤掉所有对目 标设备的非法访问行为。 控堡垒主机具备强大的输入输出审计功能，不仅能够详细记录用户操作的每一条指 令，而且能够将所有的输出信息全部记录下来，也具备图形终端操作的审计功能，能够对多 平台的多种图形终端操作做审计，并且 控堡垒主机具备审计回放的功能，能够模拟用户在 线操作过程。总之，内控堡垒主机能够极大的保护企业内部网络设备及服务器资源的安全性， 使得企业内部网络管理合理化，专业化，信息化。 1 关键字 1 关键字 然人：也叫主帐号，使用 控堡垒主机的用户统称为自然人。 资源：被 控堡垒主机管理的主机系统，数据库，网络设备等统称为资源。例如 AIX 系统、Windows2000 系统、DB2 数据库、CISCO3560 等。 从账号：从账号是资源中的账号，例如 AIX 中的 root 账号，Windows2000 中的 Administrator 账号。 SSO 单点登录：SSO （SingleSign-On）中文为单点登录，就是说在同一个地点完成对 同资源的访问。 双人共管账号：双人保管口令的账号。 共管账号：账号被很多应用系统使用，或 置了口令，如果修 口令可能影响到其他应 用系统的使用，对于这类账号， 控堡垒主机称之为共管账号。 PDF 文件使用 pdfFactory Pro 试用版本创建 2 部署结构 2 部署结构 控堡垒主机部署逻辑图： 控堡垒主机部署物理图： PDF 文件使用 pdfFactory Pro 试用版本创建 如图， 控堡垒主机部署在被管服务器区的访问路径上，通过防火墙或者交换机的访问 控制策略限定只能由 控堡垒主机直接访问服务器的远程维护端口。 维护人员维护被管服务器或者网络设备时，首先以WEB 方式登录堡垒主机，然后通过堡 垒主机上展现的访问资源列表直接访问授权资源。 3 系统登录 3 系统登录 登录页面对管理员及主帐号进行身份认证，以及策略校验，从而完成用户登录。 在地址栏上输入系统URL。例如：https:// ip ，如图所示，进入系统登录页面。 系统默认的超级管理员的帐号：simper ，密码：123 。堡垒主机启用后，应及时修 口 令，以免被非法登录。 根据管理员和主帐号的认证方式，管理员和主帐号可以用简单的静态用户名，口令进行 认证，也可以持证书、令牌等强认证方式进行认证。