麒麟开源堡垒机用户操作手册簿.docVIP

实用标准文档 文案大全 实用标准文档 文案大全 麒麟开源堡垒机用户操作手册 目 录 TOC \o 1-2 \h \z \u 1. 概述 1 1.1. 功能介绍 1 1.2. 名词解释 1 1.3. 环境要求 2 2. 登录堡垒机 2 2.1. 准备 2 2.1.1. 控件设置 2 2.1.2. Java Applet支持 3 2.2. 登录堡垒机 3 3. 设备运维 4 3.1. Web Portal设备运维 5 3.2. 运维工具直接登录 6 3.3. SecureCRT打开多个设备 7 3.4. 列表导出 11 4. 操作审计 14 4.1. 字符协议审计 14 4.2. SFTP和FTP会话审计 16 4.3. 图形会话审计 17 4.4. RDP会话审计 18 4.5. VNC会话审计 20 5. 其他辅助功能 22 5.1. 修改个人信息 22 5.2. 网络硬盘 22 5.3. 工具下载 23 概述 运维安全堡垒平台（以下简称运维堡垒机）是用于对第三方或者内部运维管理员的运维操作行为进行集中管控审计的系统。运维堡垒机可以帮助客户规范运维操作行为、控制并降低安全风险、满足等级保护级其他法规对IT内控合规性的要求。 功能介绍 运维堡垒机集中管理运维账号、资产设备，集中控制运维操作行为，能够实现实时监控、阻断、告警，以及事后的审计与统计分析。 支持常用的运维工具协议（如SSH、telnet、ftp、sftp、RDP、VNC等），并可以应用发布的方式支持图形化运维工具。 运维堡垒机支持旁路模式和VPN模式两种方式，物理上旁路部署，灵活方面。 运维堡垒机在操作方式上，不改变用户的操作习惯，仍然可以使用自己本机的运维工具。 名词解释 协议 指运维堡垒机运维工具所用的通信协议，比如Putty使用SSH协议，CRT支持SSH和Telnet等。 工具 指运维人员实现对设备的维护所使用的工具软件。 设备账号 指运维目标资产设备的用于维护的系统账户。 自动登录 指运维堡垒机为运维工具实现自动登录目标被管设备，而运维用户不需要输入目标设备的登录账号和密码，也称为单点登录（SSO）。 命令阻断 指根据命令权限策略检查用户输入的操作指令，如果策略不允许执行此指令，会拒绝转发此操作命令目标设备，同时向操作员反馈拒绝执行的提示信息。这是实现实时操作控制的一种重要手段。 应用发布 指通过在应用发布服务器部署应用程序，提供给用户远程虚拟化方式进行使用，就如同安装在本地一样的效果。 环境要求 运维堡垒机提供运维Web Portal，登录 Web Portal要求运维终端采用支持IE内核的浏览器，因为需要支持ActiveX控件，推荐使用IE浏览器，支持IE8、IE9、IE10。另外，运维终端还需要安装JRE环境，支持 Web Portal的Java Applet。 登录堡垒机 控件设置 WebPortal方式使用前必须安装插件，插件支持chrome、firefox、ie等通用浏览器，安装过程如下： 如果终端安装了360杀毒软件，请先关闭360杀毒和安全卫士，不然安装时无法注意，安装后，在开启杀毒软件和卫士就不会在影响使用 登录堡垒机，在堡垒机的其它菜单中，点击工具下载，下载：堡垒机插件2016-221.rar，解压后安装（只需要默认点击下一步） 登录堡垒机 在浏览器地址栏输入 https://ip，在已经导入证书的情况下，会顺利地打开登录页面，否则需要选择信任证书并继续浏览，才能看到登录界面。登录界面如下图： 支持普通口令登录，也支持动态口令登录。动态口令登录需要登录用户手上有动态口令的USBKey才行，没有的人不能用动态口令登录。 认证方式有英文名和中文名两种方式的原因是，在运维堡垒机都采用实名制账户管理，每个用户账号（英文名）都对应一个自然人的真实姓名（中文名）。一般直接使用默认的英文名登录认证方式即可。 输入用户名、密码后认证通过后即可看到堡垒机的运维主界面，如下图所示： 主界面为左右布局，左侧菜单，右侧为工作区，右侧展示菜单对应的各项功能和操作数据。 菜单区有三大功能：“设备管理”、“运维审计”、“其他”。 运维堡垒机的运维Web Portal的核心功能在“设备管理”和“运维审计”两块，设备管理是对设备进行运维的统一操作入口，运维审计是对运维操作的回顾和审计。 从“设备管理”菜单的结构可以看出，运维堡垒机把所有设备分组管理，形成设备组，而且从右侧界面结构看到，设备又根据运维方式进一步分类，比如有SSH设备、RDP