麒麟开源堡垒机用户操作手册Word格式.doc

1、4.1.字符协议审计144.2.SFTP和FTP会话审计164.3.图形会话审计174.4.RDP会话审计184.5.VNC会话审计205.其他辅助功能225.1.修改个人信息225.2.网络硬盘225.3.工具下载23 第23页1. 概述运维安全堡垒平台（以下简称运维堡垒机）是用于对第三方或者内部运维管理员的运维操作行为进行集中管控审计的系统。运维堡垒机可以帮助客户规范运维操作行为、控制并降低安全风险、满足等级保护级其他法规对IT内控合规性的要求。1.1. 功能介绍运维堡垒机集中管理运维账号、资产设备，集中控制运维操作行为，能够实现实时监控、阻断、告警，以及事后的审计与统计分析。支持常用的运

2、维工具协议（如SSH、telnet、ftp、sftp、RDP、VNC等），并可以应用发布的方式支持图形化运维工具。运维堡垒机支持旁路模式和VPN模式两种方式，物理上旁路部署，灵活方面。运维堡垒机在操作方式上，不改变用户的操作习惯，仍然可以使用自己本机的运维工具。1.2. 名词解释协议 指运维堡垒机运维工具所用的通信协议，比如Putty使用SSH协议，CRT支持SSH和Telnet等。工具指运维人员实现对设备的维护所使用的工具软件。设备账号指运维目标资产设备的用于维护的系统账户。自动登录指运维堡垒机为运维工具实现自动登录目标被管设备，而运维用户不需要输入目标设备的登录账号和密码，也称为单点登录（

3、SSO）。命令阻断指根据命令权限策略检查用户输入的操作指令，如果策略不允许执行此指令，会拒绝转发此操作命令目标设备，同时向操作员反馈拒绝执行的提示信息。这是实现实时操作控制的一种重要手段。应用发布指通过在应用发布服务器部署应用程序，提供给用户远程虚拟化方式进行使用，就如同安装在本地一样的效果。1.3. 环境要求运维堡垒机提供运维Web Portal，登录 Web Portal要求运维终端采用支持IE内核的浏览器，因为需要支持ActiveX控件，推荐使用IE浏览器，支持IE8、IE9、IE10。另外，运维终端还需要安装JRE环境，支持 Web Portal的Java Applet。2. 登录堡垒

4、机2.1. 控件设置WebPortal方式使用前必须安装插件，插件支持chrome、firefox、ie等通用浏览器，安装过程如下：1. 如果终端安装了360杀毒软件，请先关闭360杀毒和安全卫士，不然安装时无法注意，安装后，在开启杀毒软件和卫士就不会在影响使用2. 登录堡垒机，在堡垒机的其它菜单中，点击工具下载，下载：堡垒机插件2016-221.rar，解压后安装（只需要默认点击下一步）2.2. 登录堡垒机在浏览器地址栏输入https:/ip，在已经导入证书的情况下，会顺利地打开登录页面，否则需要选择信任证书并继续浏览，才能看到登录界面。登录界面如下图：支持普通口令登录，也支持动态口令登录。

5、动态口令登录需要登录用户手上有动态口令的USBKey才行，没有的人不能用动态口令登录。认证方式有英文名和中文名两种方式的原因是，在运维堡垒机都采用实名制账户管理，每个用户账号（英文名）都对应一个自然人的真实姓名（中文名）。一般直接使用默认的英文名登录认证方式即可。输入用户名、密码后认证通过后即可看到堡垒机的运维主界面，如下图所示：主界面为左右布局，左侧菜单，右侧为工作区，右侧展示菜单对应的各项功能和操作数据。菜单区有三大功能：“设备管理”、“运维审计”、“其他”。运维堡垒机的运维Web Portal的核心功能在“设备管理”和“运维审计”两块，设备管理是对设备进行运维的统一操作入口，运维审计是对

6、运维操作的回顾和审计。从“设备管理”菜单的结构可以看出，运维堡垒机把所有设备分组管理，形成设备组，而且从右侧界面结构看到，设备又根据运维方式进一步分类，比如有SSH设备、RDP设备等，让用户能够很方便地找到操作对象。“设备管理”菜单中的另一块就是“应用发布”，“应用发布”就是在堡垒机上部署了一些运维工具，提供给运维人员使用，这些工具不需要下载安装，就可以直接使用来对设备进行运维，是一种虚拟化的操作方式。“运维审计”是提供给运维人员自己查看审计自己历史操作过程记录的一个途径，有利于积累操作经验。“其他”是一些辅助功能，比如修改个人信息、下载工具、网盘等。3. 设备运维运维堡垒机支持运维人员以三种

7、方式登录运维：1） 打开WebPortal，在Webportal中点击相应的工具链接进行登录2） 直接在维护终端本地打开工具进行登录3） 进行VPN拨号，然后打开维护终端本地工具进行登录3.1. Web Portal设备运维设备运维除了选用应用发布服务器上的软件工具意外，都是使用本地安装的工具软件。首次登录注意看，设备列表中每个设备右端对应的操作栏，如下图所示。设备列表的第一列是ID，也非常重要，在下一节运维工具直接登录运维的时候要用到。以第一行设备Linux-1为例。它的操作为“ssh（putty | securecrt） sftp（WINSCP）”，表示该设备有两种运维登录方式，一种是ss

8、h方式，第二种是sftp方式，并且列明了可以使用的工具，SSH方式可以使用putty或者securecrt，sftp方式使用WINSCP。括号里面的蓝色字体表示是链接，点击链接可与打开工具。第一次点击工具链接的时候，堡垒机系统并不知道你的工具是否安装以及所在位置，需要用户自己指定工具安装在哪个路径下面，因此，会弹出对话窗口让登录人员进行路径选择，第一次选择路径后，系统即会记录该路径，以后再登录都不需要重新输入，界面如下。找到运维工具后，启动工具，堡垒机系统一般将会自动登录到目标系统，代替运维人员实现登录目标设备的登录操作，这就是单点登录，简化运维操作，不需要记忆大量设备的账号密码。采用putt

9、y工具自动登录目标设备后的界面如下图所示。其他设备的运维与此类似。3.2. 运维工具直接登录除了在Web界面点击工具链接登录目标设备运维，支持使用本地运维工具直接进行登录运维，操作体验与没有使用堡垒机完全相同，完全不改变操作习惯。运维人员直接使用运维工具柜进行运维，与使用堡垒机之前不同，需要注意二个事项：1. 无论运维人员希望登录哪一台目标设备运维，工具的目标主机地址都是运维堡垒机，不能绕过堡垒机直接填写目标设备地址访问。2. 运维人员登录认证的帐号，也不能再使用目标设备最终登录账号，登录账号使用的是用户在运维堡垒机上的登录账号与目标设备在上的ID好组合而成的一个标识，其格式是：堡垒机账号目标

10、设备ID中间的连接符是两个减号。而登录密码就是用户在堡垒机上账号的密码。如何得到设备的ID呢？用浏览器登录堡垒机WebPortal可以查看，在设备列表的衣领就是设备ID，如下图所示Linux-1的ID是5。因此当希望用工具直接登录目标设备Linux-1（192.168.1.45）时，应该在打开的工具（比如putty）界面上，目标主机的地方填写堡垒机地址（假定为192.168.1.61），如下图所示。点击“Open”按钮，当Putty提示输入登录用户名和密码的时候，此时应该输入在堡垒机上的账号名（假设为tom）与ID的组合，即“tom-5”，密码为堡垒机用户tom的密码。这样Putty就会穿过堡

11、垒机把你带到要维护的目标设备192.168.1.45。3.3. SecureCRT打开多个设备1、 登录堡垒机WebPortal（假设为192.16.100.51），点击工具CRT链接可以登录一个目标设备，如下图所示。在SecureCRT上打开“文件”“快速连接”协议选择:“SSH2”主机名:“192.16.100.51”（主机名填写堡垒机的访问IP地址）端口: “23”用户名:即堡垒机用户名，这里是cx用户名格式：堡垒机用户名-服务器ID 如图：打开不同的AIX或Linux需查看不同的服务器ID查看服务器ID的方法：在WebPortal设备列表中左边第一列。点击“连接”，输入堡垒机登录密码。

12、重命名服务器名称 点击“确定”完成配置，如下图。3.4. 列表导出当设备非常多的时候，按上面每台设备添加并填入ID的方式，会给运维人员造成很大的负担，因此堡垒机提供列表导出方式，可以直接导出SecureCRT、Xshell的配置列表（ssh协议）和Mremote列表（RDP、VNC、X11协议），导入列表后，工具内就有用户可以登录所有的设备，并且已经配置好id值用户可以直接使用。首先登录到堡垒机前台，点击列表导出菜单，得到如下界面在界面中，只需要选择SECURECRT的版本（6或7），如果版本低，必须要升级到6.x或7.x版本，然后点击后面的提交按钮，会下载一个以主帐号为命名的zip文件（有的

13、时候，因为IE安全问题，头一次点击提交无法下载，这时只要在到这个界面，选择好版本后在点击提交按钮就可以下载了）。将文件存到一个目录解压，会得到一个以用户名为名称的目录，里面就是所有的主机列表配置。打开Securecrt的option菜单里的global setting，可以得到securecrt的sessions文件存贮位置，如下图：只需要将下载解压的目录的放到这个目录的sessions目录下打开CRT后，会出现一个以用户目录为名称的目录，里面会出现服务器组列表，服务器组列表就会有所有能登录的设备，这时，用户可以直接使用CRT，通过找到服务器点击的方式登录目标设备4. 操作审计操作审计让运维人

14、员可以查看自己的操作记录，既可以积累经验，有便于查找问题的原因，有助于快速解决问题。普通运维用户只能看到自己的操作记录。操作审计主界面如下图所示。把会话按协议进行了分类管理。4.1. 字符协议审计Telnet和SSH会话属于字符会话，这类协议的特点是以字符命令操作为主，命令防火墙对这类协议效果最好。上图所示，会话列表以颜色表示不同会话的状态。堡垒机对不同状态会话的的颜色表示定义是：白色会话行：正常会话；黄色会话行：会话中有告警级别的命令操作；橙色会话行：会话中有被阻断执行的命令；红色会话行：会话有违规操作被断开；n 回放审计点击会话列表中一行中的“回放（putty|CRT）”可以进行回放审计，

15、下图就是回放画面。n 命令记录查看点击一个会话行中的“文件”按钮操作，可以查看会话过程中输入的全部命令和执行结果，如下图所示。n 命令列表式查看点击任何会话行中的“命令”操作按钮，将以列表的方式显示该会话执行的全部命令，如下图所示。4.2. SFTP和FTP会话审计FTP和SFTP会话都是文件传输操作会话，对这两类会话除了可以审计会话用户、时间、来源、目标、操作命令，堡垒机还可以审计上传和下载的文件。SFTP/FTP会话列表包含信息如下图所示。点击“查看”能够查看一个文件传输会话过程中所有的操作命令列表，如下图所示。最右边一列“下载”栏中有下载链接的，表明该行命令有文件传输操作，并且文件已经被

16、备份了，可以下载下来进行审计。4.3. 图形会话审计RDP和VNC会话都属于图形会话，操作基本以鼠标点击为主，也有键盘输入信息。RDP和VNC会话回放审计需要JRE支持。回放支持两种方式，一种是独立窗口回放，一种是ActiveX控件在IE浏览器窗口回放。使用ActiveX在IE窗口回放时，如果感觉不顺畅，可以启用浏览器的“兼容视图”，如图所示点击地址栏图标。兼容性视图也可以在IE菜单工具兼容性视图设置中配置，如下图。4.4. RDP会话审计RDP会话列表如下图所示。从每个会话可以审计来源IP、设备IP、运维用户、系统账号、开始时间、结束时间等。点击“回放”按钮和ActiveX按钮都可以全过程回

17、放会话过程，区别是，直接“回放”是在独立的本地窗口进行回放，而ActiveX方式是在浏览器窗口中进行回放，下面两个图可以看出两者的差别，回放效果相同，从方便性上，可能直接回放更方面，不需要对浏览开放更多的控件许可。RDP会话列表中的“录入”可以查看键盘操作信息，如下图所示。RDP会话列表中的“鼠标”可以查看鼠标点击操作信息，如下图所示。4.5. VNC会话审计VNC会话列表如下图所示，与RDP不同的是有一列流量统计。与RDP会话类似，点击“输入”可以查看键盘操作信息，点击“回放”和ActiveX都可以实现会话过程的回放，ActiveX方式是在网页中回放，两种方式的回放如下面两个图所示。下图是VNC会话中记录的键盘输入信息。5. 其他辅助功能5.1. 修改个人信息在这里可以修改自己的个人信息，包括自己密码的修改，基本信息的配置修改，其中RDP分辨率是指进行RDP操作时的默认屏幕分辨率，RDP映射是对连接RDP时的一个映射盘的选择。默认控件是使用web登陆系统时的控件选择。5.2. 网络硬盘网络硬盘是管理员建立普通用户时在堡垒机分配给用户的一个私人空间，可以上传和下载自己需要的一些文件。5.3. 工具下载工具下载是堡垒机提供给普通用户的一个常用工具的下载。