极地内网内控安全管理系统（内控堡垒主机） 操作手册 北京市海淀区上地安宁庄西路9号金泰富地大厦8层电话：010-62659336传真：010-62570602客服：400-01234-18邮编：100085网站：www.jidisec.com目 录一、前言11.1 文档目的11.2 读者对象11.3 文档组织11.4 技术支持1二、系统简介22.1 关键字22.2 部署结构32.3 系统登录4三、单点登录（SSO）53.1 单点登录（SSO）53.1.1 界面53.1.2 功能说明53.1.3 操作描述63.2 单点登录控件及工具安装63.2.1 界面63.2.2 功能说明63.2.3 操作描述6四、用户管理74.1 用户管理74.1.1 界面74.1.2 功能说明74.1.3 操作描述74.1.4 示例84.2 分组管理84.2.1 界面84.2.2 功能说明94.2.3 操作描述9五、资源管理95.1 资源管理95.1.1 资源管理界面95.1.2 功能说明95.1.3 操作描述105.1.4 示例12六、角色管理146.1 角色管理146.1.1 界面146.1.2 功能说明146.1.3 操作描述14七、审计管理157.1 内部审计管理157.1.1 界面157.1.2 功能说明167.1.3 操作描述167.2 行为审计管理167.2.1 界面167.2.2 功能说明167.2.3 操作描述177.3 数据库审计管理177.3.1 界面177.3.2 功能说明177.3.3 操作描述17八、组态报表188.1 报表查询188.1.1 界面188.1.2 功能说明188.1.3 操作描述188.2 报表管理198.2.1 界面198.2.2 功能说明198.2.3 操作描述198.3 定时报表218.3.1 界面218.3.2 功能说明218.3.3 操作描述218.4 自定义报表218.4.1 界面218.4.2 功能说明218.4.3 操作描述22九、策略管理229.1 指令字对象239.1.1 界面239.1.2 功能说明239.1.3 操作描述239.2 访问时间对象249.2.1 界面249.2.2 功能说明249.2.3 操作描述249.3 访问地址对象259.3.1 界面259.3.2 功能说明259.3.3 操作描述259.4 账户锁定策略269.4.1 界面269.4.2 功能说明269.4.3 操作描述269.5 密码策略279.5.1 界面279.5.2 功能说明279.5.3 操作描述279.6 允许策略289.6.1 界面289.6.2 功能说明289.6.3 操作描述289.7 禁止策略299.7.1 界面299.7.2 功能说明299.7.3 操作描述29十、授权管理3010.1 授权管理3010.1.1 界面3010.1.2 功能说明3010.1.3 操作描述3110.1.4 规则的锁定和注销31十一、脚本管理3111.1 脚本管理3111.1.1 界面3111.1.2 功能说明3211.1.3 操作描述32十二、计划任务3212.1 资源帐号口令修改计划3212.1.1界面3212.1.2 功能说明3312.1.3操作描述3312.2 资源帐号同步计划3312.2.1 界面3312.2.2 功能说明3412.2.3 操作描述34十三、系统设置3513.1 系统状态3513.1.1界面3513.1.2 功能说明3513.1.3 操作描述3513.2 网络设置3613.2.1 界面3613.2.2 功能说明3613.3 系统升级3613.3.1 界面3613.3.2 功能说明3613.4 邮箱设置3713.4.1 界面3713.4.2 功能说明3713.5 安全规则设置3713.5.1 界面3713.5.2 功能说明3713.6 Syslog 设置3813.6.1 界面3813.6.2 功能说明3813.7 客户端安全检查3813.7.1 界面3813.7.2 功能说明3813.8 Radius认证服务器3913.8.1 界面3913.8.2 功能说明3913.8.3 操作描述3913.9 双机热备3913.9.1 界面3913.9.2 功能说明3913.9.3 操作描述40V极地内网内控安全管理系统（内控堡垒主机）操作手册 一、前言欢迎使用内控堡垒主机系统，本用户使用手册主要介绍内控堡垒主机部署结构、配置、使用和管理。通过阅读本文档，用户可以了解内控堡垒主机系统的基本设计思想，配置和使用方法。在安装、使用内控堡垒主机系统之前，请仔细阅读文档内容。本章内容主要包括：l 本文档的用途。l 阅读对象。l 本文档的组织结构。l 如何联系北京极地安全技术支持。1.1 文档目的本文档主要介绍如何配置和使用内控堡垒主机系统。通过阅读本文档，用户能够正确地部署和配置内控堡垒主机系统。1.2 读者对象本安装手册适用于具有基本网络知识的安全管理员、系统管理员阅读，通过阅读本文档，他们可以独自完成以下一些工作：l 内控堡垒主机系统的功能使用。l 内控堡垒主机系统的策略配置与管理。1.3 文档组织本文档包括以下章节及其主要内容：l 前言，介绍了本手册各章节的基本内容、文档和技术支持信息。l 系统简介，介绍内控堡垒主机系统的部署结构和登录方法。l 系统应用，介绍如何配置使用内控堡垒主机系统。1.4 技术支持北京极地公司对于生产的安全产品提供远程的产品咨询服务，广大用户和合作伙伴可以通过多种方式获取在线文档、疑难解答等全方位的技术支持。公司主页www.jidisec.com提供交互网络服务，用户及合作伙伴可以在世界的任何地方，任何时候访问 www.jidisec.com技术支持中心，获取实时的网络安全解决方案、安全服务和各种安全资料。l 传真: 010-62570602l 客服投诉电话：010-62522762l 客服经理承接质量问题投诉邮箱：infojidisec.com 二、系统简介内控堡垒主机系统是极地安全内控解决方案的重要组成部分，部署在企业的内部网络中，用于保护企业内部核心资源的访问安全。内控堡垒主机是一种被加固的可以防御进攻的计算机，具备很强安全防范能力。内控堡垒主机扮演着看门者的工作，所有对网络设备和服务器的请求都要从这扇大门经过。因此内控堡垒主机能够拦截非法访问，和恶意攻击，对不合法命令进行命令阻断，过滤掉所有对目标设备的非法访问行为。内控堡垒主机具备强大的输入输出审计功能，不仅能够详细记录用户操作的每一条指令，而且能够将所有的输出信息全部记录下来，也具备图形终端操作的审计功能，能够对多平台的多种图形终端操作做审计，并且内控堡垒主机具备审计回放的功能，能够模拟用户在线操作过程。总之，内控堡垒主机能够极大的保护企业内部网络设备及服务器资源的安全性，使得企业内部网络管理合理化，专业化，信息化。2.1 关键字用户名：也叫主帐号，使用内控堡垒主机的用户统称为用户名。资源：内控堡垒主机管理的主机系统，数据库，网络设备等统称为资源。例如AIX系统、Windows2000系统、DB2数据库、CISCO3560等。从账号：从账号是资源中的账号，例如AIX中的root账号，Windows2000中的Administrator账号。SSO单点登录：SSO（SingleSign-On）中文为单点登录，就是说在同一个地点完成对不同资源的访问。策略：控制用户登录、设置密码、禁止使用命令、允许访问命令的方法。2.2 部署结构内控堡垒主机部署逻辑图：内控堡垒主机部署物理图：如图，内控堡垒主机部署在被管服务器区的访问路径上。内控堡垒主机接入用户网络中的方式是旁路，仅需要为系统分配一个IP，并确保该地址与需要运维的主机IP可达，协议可访问。可以通过防火墙或者交换机的访问控制策略限定只能由内控堡垒主机直接访问服务器的远程维护端口。维护人员维护被管服务器或者网络设备时，首先以WEB方式登录内控堡垒主机，内控堡垒主机会根据系统管理员预先设置好的访问控制权限，展现访问资源列表，提示用户选择可以访问的授权资源，用户选择完成后会自动直接登录到目标操作系统或网络设备。2.3 系统登录登录页面对管理员及用户进行身份认证，以及策略校验，从而完成登录。在地址栏上输入系统URL。例如：https:/ ip ，如图所示，进入系统登录页面。系统默认的超级管理员的帐号：admin，密码：123。内控堡垒主机启用后，应及时修改口令，以免被非法登录。根据管理员和用户的认证方式，管理员和用户可以用简单的静态用户名，口令进行认证，也可以持证书、令牌等强认证方式进行认证。系统根据用户相关登录策略，例如：访问时间策略、访问地址策略、访问锁定策略等进行校验。如果通过校验，用户可进入系统，否则禁止用户登录系统并给出相应提示。三、单点登录（SSO）3.1 单点登录（SSO）3.1.1 界面3.1.2 功能说明单点登录功能是用户访问授权资源的统一入口。通过此功能，用户访问资源时只需要在内控堡垒主机上做一次登录，之后就可以在不输入用户名和密码的情况下使用各种授权资源。3.1.3 操作描述当用户点击“单点登录”时，资源帐号列表中会显示所有授权给此用户的资源。当用户点击资源列表后的授权协议方式按钮时，会自动进入目标资源，完成单点登录。注意：要使用单点登录功能，必须安装单点登录控件，可到“单点登录-单点登录/回访控件”中下载单点登录控件程序；就可以使用RDP访问资源，被管资源上要开启远程桌面服务，同时也可以使用SSH或TELNET方式访问资源，并且能够支持回放、实时监控等功能。单点登录数据库时，要做好准备工作，首先数据库需要用户自行安装对应数据库的客户端，ORACLE数据库需要安装PLSQL7 ,MSSQL2000/2005/2008，需要安装Sqlserver management studio 2008。然后“单点登录”界面，找到数据库的资源，点击协议进行登录。3.2 单点登录控件及工具安装3.2.1 界面3.2.2 功能说明用户通过资源列表单点登录到授权资源时需要安装单点登录控件。3.2.3 操作描述点击-“单点登录”进入单点登录界面，右上方有单点登录控件下载。右键点击-选择目标另存为，下载完毕后关闭IE浏览器对控件进行安装。Win7用户必须以管理员的身份进行下载安装。四、用户管理4.1 用户管理4.1.1