极地内网内控安全管理系统内控堡垒主机操作手册V.docxVIP

极地内网内控安全管理系统内控堡垒主机操作手册V 极地内网内控安全管理系统 （内控堡垒主机） 操作手册北京市海淀区上地安宁庄西路9号金泰富地大厦8层 电话：010- 传真：010- 客服：400-01234-18 邮编：100085 网站： 目录 一、前言 欢迎使用内控堡垒主机系统，本用户使用手册主要介绍内控堡垒主机部署结构、配置、使用和管理。通过阅读本文档，用户可以了解内控堡垒主机系统的基本设计思想，配置和使用方法。在安装、使用内控堡垒主机系统之前，请仔细阅读文档内容。 本章内容主要包括： ●本文档的用途。 ●阅读对象。 ●本文档的组织结构。 ●如何联系北京极地安全技术支持。 1.1 文档目的 本文档主要介绍如何配置和使用内控堡垒主机系统。通过阅读本文档，用户能够正确地部署和配置内控堡垒主机系统。 1.2 读者对象 本安装手册适用于具有基本网络知识的安全管理员、系统管理员阅读，通过阅读本文档，他们可以独自完成以下一些工作： ●内控堡垒主机系统的功能使用。 ●内控堡垒主机系统的策略配置与管理。 1.3 文档组织 本文档包括以下章节及其主要内容： ●前言，介绍了本手册各章节的基本内容、文档和技术支持信息。 ●系统简介，介绍内控堡垒主机系统的部署结构和登录方法。 ●系统应用，介绍如何配置使用内控堡垒主机系统。 1.4 技术支持 北京极地公司对于生产的安全产品提供远程的产品咨询服务，广大用户和合作伙伴可以通过多种方式获取在线文档、疑难解答等全方位的技术支持。 公司主页提供交互网络服务，用户及合作伙伴可以在世界的任何地方，任何时候访问技术支持中心，获取实时的网络安全解决方案、安全服务和各种安全资料。 ●传真: 010- ●客服经理承接质量问题投诉邮箱： 二、系统简介 内控堡垒主机系统是极地安全内控解决方案的重要组成部分，部署在企业的内部网络中，用于保护企业内部核心资源的访问安全。 内控堡垒主机是一种被加固的可以防御进攻的计算机，具备很强安全防范能力。内控堡垒主机扮演着看门者的工作，所有对网络设备和服务器的请求都要从这扇大门经过。因此内控堡垒主机能够拦截非法访问，和恶意攻击，对不合法命令进行命令阻断，过滤掉所有对目标设备的非法访问行为。 内控堡垒主机具备强大的输入输出审计功能，不仅能够详细记录用户操作的每一条指令，而且能够将所有的输出信息全部记录下来，也具备图形终端操作的审计功能，能够对多平台的多种图形终端操作做审计，并且内控堡垒主机具备审计回放的功能，能够模拟用户在线操作过程。总之，内控堡垒主机能够极大的保护企业内部网络设备及服务器资源的安全性，使得企业内部网络管理合理化，专业化，信息化。 2.1 关键字 用户名：也叫主帐号，使用内控堡垒主机的用户统称为用户名。 资源：内控堡垒主机管理的主机系统，数据库，网络设备等统称为资源。例如AIX系统、Windows2000系统、DB2数据库、CISCO3560等。 从账号：从账号是资源中的账号，例如AIX中的root账号，Windows2000中的Administrator账号。 SSO单点登录：SSO（SingleSign-On）中文为单点登录，就是说在同一个地点完成对不同资源的访问。 策略：控制用户登录、设置密码、禁止使用命令、允许访问命令的方法。 2.2 部署结构 内控堡垒主机部署逻辑图： 内控堡垒主机部署物理图： 如图，内控堡垒主机部署在被管服务器区的访问路径上。 内控堡垒主机接入用户网络中的方式是旁路，仅需要为系统分配一个IP，并确保该地址与需要运维的主机IP可达，协议可访问。 可以通过防火墙或者交换机的访问控制策略限定只能由内控堡垒主机直接访问服务器的远程维护端口。 维护人员维护被管服务器或者网络设备时，首先以WEB方式登录内控堡垒主机，内控堡垒主机会根据系统管理员预先设置好的访问控制权限，展现访问资源列表，提示用户选择可以访问的授权资源，用户选择完成后会自动直接登录到目标操作系统或网络设备。 2.3 系统登录 登录页面对管理员及用户进行身份认证，以及策略校验，从而完成登录。 在地址栏上输入系统URL。例如：，如图所示，进入系统登录页面。 系统默认的超级管理员的帐号：admin，密码：123。内控堡垒主机启用后，应及时修改口令，以免被非法登录。 根据管理员和用户的认证方式，管理员和用户可以用简单的静态用户名，口令进行认证，也可以持证书、令牌等强认证方式进行认证。 系统根据用户相关登录策略，例如：访问时间策略、访问地址策略、访问锁定策略等进行校验。如果通过校验，用户可进入系统，否则禁止用户登录系统并给出相应提示。 三、单点登录（SSO） 3.1 单点登录（SSO） 3.1.1 界面 3.1.2 功能说明 单点登录功能是用户访问授权资源的统一入口。通过此功能，用户访问资源 时只需要在内控