LanSecS(堡垒主机)内控管理平台用户使用手册(0727版)

第一章系统简介
内控堡垒主机系统是安全内控解决方案的重要组成部分，部署在企业的内部网络中，用于保护企业内部核心资源的访问安全。

内控堡垒主机是一种被加固的可以防御进攻的计算机，具备很强安全防范能力。

内控堡垒主机扮演着看门者的工作，所有对网络设备和服务器的请求都要从这扇大门经过。

因此内控堡垒主机能够拦截非法访问，和恶意攻击，对不合法命令进行命令阻断，过滤掉所有对目标设备的非法访问行为。

内控堡垒主机具备强大的输入输出审计功能，不仅能够详细记录用户操作的每一条指令，而且能够将所有的输出信息全部记录下来，也具备图形终端操作的审计功能，能够对多平台的多种图形终端操作做审计，并且内控堡垒主机具备审计回放的功能，能够模拟用户在线操作过程。

总之，内控堡垒主机能够极大的保护企业内部网络设备及服务器资源的安全性，使得企业内部网络管理合理化，专业化，信息化。

1关键字
自然人：也叫主帐号，使用内控堡垒主机的用户统称为自然人。

资源：被内控堡垒主机管理的主机系统，数据库，网络设备等统称为资源。

例如AIX 系统、Windows2000系统、DB2数据库、CISCO3560等。

从账号：从账号是资源中的账号，例如AIX中的root账号，Windows2000中的Administrator账号。

SSO单点登录：SSO（SingleSign-On）中文为单点登录，就是说在同一个地点完成对不同资源的访问。

双人共管账号：双人保管口令的账号。

共管账号：账号被很多应用系统使用，或内置了口令，如果修改口令可能影响到其他应用系统的使用，对于这类账号，内控堡垒主机称之为共管账号。

2部署结构
内控堡垒主机部署逻辑图：
内控堡垒主机部署物理图：
如图，内控堡垒主机部署在被管服务器区的访问路径上，通过防火墙或者交换机的访问控制策略限定只能由内控堡垒主机直接访问服务器的远程维护端口。

维护人员维护被管服务器或者网络设备时，首先以WEB方式登录堡垒主机，然后通过堡垒主机上展现的访问资源列表直接访问授权资源。

3系统登录
登录页面对管理员及主帐号进行身份认证，以及策略校验，从而完成用户登录。

在地址栏上输入系统URL。

例如：https:// ip ，如图所示，进入系统登录页面。

系统默认的超级管理员的帐号：simper，密码：123。

堡垒主机启用后，应及时修改口令，以免被非法登录。

根据管理员和主帐号的认证方式，管理员和主帐号可以用简单的静态用户名，口令进行认证，也可以持证书、令牌等强认证方式进行认证。

系统根据主帐号相关登录策略，例如：访问时间策略、访问地址策略、访问锁定策略等
进行校验。

如果通过校验，主帐号可进入系统，否则禁止主帐号登录系统并给出相应提示。

第二章单点登录（S S O）1单点登录（S S O）
1.1界面
1.2功能说明
单点登录功能是主帐号访问授权资源的统一入口。

通过此功能，主帐号访问资源时只需要在堡垒主机上做一次登录，之后就可以在不输入用户名和密码的情况下使用各种授权资源。

1.3操作描述
当主帐号点击授权帐号列表时，授权从帐号列表中会显示所有授权给此主帐号的资源。

当主帐号点击授权列表中的帐号访问方式按钮时，会自动进入目标资源，完成单点登录。

注意：要使用单点登录功能，必须安装单点登录控件，可到“元目录->帮助-> 单点登录控件”中下载单点登录控件程序；使用RDP访问资源时，被管资源上要开启远程桌面服务；使用SSH或TELNET方式访问资源时，本地要安装SecureCRT软件。

2单点登录控件及工具安装
2.1界面
2.2功能说明
主帐号通过授权列表单点登录到授权资源时需要安装单点登录控件。

第三章流程
1概述
为了完善业务需要，提高内控堡垒主机系统的管理规范性，添加了流程这个模块。

流程主要是由普通用户想要申请资源而发起申请至指定审批人，审批人根据实际情况予以审批或拒绝，或转发上级领导继续审批，审批环节可以根据需要分为一级至多级，直至有领导同意后，选择执行人去将此申请落实。

注意：流程管理一般在堡垒主机的账户数量比较多的情况下使用。

流程包括以下两类：
⏹管理流程
自然人入职流程
自然人变更流程
自然人离职流程
资源接入流程
自然人与从账号关联（授权）流程
⏹登录流程
双人共管账号使用流程
主副岗交接流程
对于每种流程而言，都包含填写申请单，处理待办事宜，归档管理三个部分。

⏹填写申请单
自然人入职申请单：自然人的入职申请，申请分配新的自然人账号。

自然人变更申请单：自然人申请调整岗位，申请调整资源授权，申请数字证书等。

自然人离职申请单：自然人申请离职。

资源接入申请单：资源相关负责人申请资源接入到内控堡垒主机系统。

自然人与从账号关联（授权）申请单：自然人申请使用资源的账号。

双人共管账号使用申请：自然人申请使用双人保管的账号。

主副岗交接申请：副岗向主岗申请需要交接的资源账号。

⏹待办事宜
可以查看自己提交的申请单。

需要自己审批的申请单。

⏹归档管理
流程单结束后的存放处。

对于历史归档流程单的查看。

2管理流程
在管理流程中包含5类管理流程：自然人入职申请、自然人变更申请、自然人离职申请、资源接入申请、自然人与从帐号关联申请。

系统登录后默认进入管理流程的待办事宜列表页面，这里需要说明一下，管理流程中的待办事宜列表页面显示的列表内容包括需要该用户审批的申请单和该用户提交的申请单。

3登录流程
在登录流程中包含2类：双人共管帐号使用申请、主副岗交接申请。

登录流程在资源有双人共管和主副岗的管理需求时使用。

第四章元目录
1目录管理
1.1界面
1.2功能说明
在登录后的页面点击页面上方的元目录导航栏，左边会显示一棵目录树，可以点击目录树上方的添加、修改、列表对目录树进行构造和维护。

2自然人（主帐号）管理
2.1界面
2.2功能说明
主帐号是堡垒主机管理员在堡垒主机上建立的资源使用帐户，必须由管理员在堡垒主机上添加并且授权相应的资源后主帐号才能使用。

主帐号管理，实现主帐号生命周期管理的全部过程，包括主帐号创建，主帐号授权，主帐号变更，主帐号锁定，主帐号注销。

2.3操作描述
主帐号管理，当管理员点击导航树中的主帐号管理时，导航树右侧显示区域会显示主帐号列表。

1．主帐号创建：管理员点击主帐号列表中的添加按钮，会进入主帐号基本信息页面，管理员在此添加新主帐号信息。

2．主帐号授权：主帐号授权用于授予主帐号访问被管资源和堡垒主机管理的权限。

3．主帐号变更：管理员在主帐号列表中点击修改按钮，会进入主帐号变更页面，用以变更主帐号信息。

4．主帐号锁定：管理员可以在主帐号变更页面中点击锁定按钮用以锁定主帐号，同时会锁定授权资源的访问权限。

5．主帐号注销：管理员可以在主帐号列表中选择所要注销的主帐号选项，单击删除按钮用于注销选择的主帐号。

2.4示例
登录系统后，点击元目录导航栏，进入元目录页面，选择需要添加自然人的组，进入自然人的列表页面。

在图中单击右下角的添加按钮，进入自然人的编辑页面：
填写自然人的ID、名称等信息，在这里可以选择密码策略，用户访问系统的时间策略。

信息填写完毕后，点击提交，完成自然人的添加。

初始化口令：选中此复选框，则不用配置新建立帐号的口令。

新建立帐号的密码为123456，首次登录时会要求修改密码。

3资源管理
3.1界面
3.2功能说明
资源就是要通过堡垒主机管理的各种设备资源，堡垒主机上将资源类型划分为：Windows主机、Windows域控、Windows域内主机、Unix主机、网络设备、数据库等。

资源管理实现被管资源的管理和被管资源的帐号管理。

给主帐号授予操作某资源的权限，实际是将资源上的帐号（也叫从帐号）授权给主帐号使用，因此管理员给主帐号授权，要做如下三个步骤：建立资源，为资源添加可管理帐号，将资源的从帐号增加到主帐号的授权列表。

3.3操作描述
资源管理模块，当管理员点击导航树中的资源管理时，资源列表会显示所有被管资源列表。

1.资源创建：管理员点击资源列表中的添加按钮，进入资源添加页面，管理员输入资源基
本信息，完成资源的创建。

2.资源删除：管理员在资源列表中选择需要删除的资源，点击删除按钮，删除资源。

注意：
如果资源有从帐号，那么必须首先从堡垒主机的内部数据库中删除资源的所有从帐号，之后才能删除资源（删除时选中“仅删除存储”复选框，不选则会将从帐号在资源上也删除）。

3.从帐号收集：资源添加时配置的管理员和管理员密码是用来同步资源帐号的，此资源的
管理员要有帐号的管理权限。

注意：如果要从堡垒主机直接管理资源上的帐号，例如帐号收集、同步、修改等功能，则必须配置此管理员。

帐号收集只能收集到帐号的名称，不能收集从帐号的密码。

收集到的从帐号要想授权必须设置密码后才能授权。

4.从帐号管理：当管理员点击资源列表中具体资源的可管帐号按钮时，进入资源从帐号列
表，在此管理员可以做从帐号的创建，修改，删除。

帐号有两种类型：共管帐号、接管帐号。

自动收集的帐号默认是共管帐号，共管帐号只能配置密码，不能修改。

共管帐号只有配置密码后才能授权。

从帐号的修改界面上有“写入帐号”按键，含义是将新的帐号属性写入资源，例如修改了帐号的密码或者变更了帐号的所属组，要将这些修改直接应用与资源时可以点击此按键。

共管帐号不能使用“写入帐号”，接管帐号才能使用“写入帐号”。

注意：一般不把资源的超级管理员设置为接管帐号，避免因为误操作引起的超级管理员密码或者属性修改。

从帐号删除时默认也会删除资源上的帐号，所以操作时请小心，如果不想删除资源上的从帐号，只想删除堡垒主机数据库中的从帐号，要选中“仅删除存储”。

各种资源类型配置特别说明：
1.Unix主机，代表所有类Unix系统，例如：Linux、HP Unix、AIX、Sun Solaris、FreeBSD
等。

“提示符”要配置成帐号登录后的提示符，常见的有“$”、“#”等。

2.Windows主机，此资源有两种连接方式，分别是T elnet和代理程序。

Windows的T elnet
不稳定，所以建议使用代理程序连接。

如果采用T elnet连接，需要将Windows操作系统的T elnet服务打开。

如果使用代理程序连接，则不必配置管理员和管理员密码即可做帐号收集和同步。

3.Windows主机（域控制器），此资源有两种连接方式，分别是Telnet和代理程序。

建议
采用代理程序连接。

Windows域控服务器的帐号收集会收集所有域帐号。

4.Windows主机（域内），此资源没有依赖于Windows域控服务器中的帐号，添加时除了
名称和IP，要配置所属域控服务器。

5.数据库（独立），此处的独立数据库指帐号和操作系统不共用的数据库，例如Oracle、
Sql Server、Mysql、Sybase等。

6.数据库（系统），此处的系统数据库指帐号和操作系统共用的数据库，例如DB2、Informix
等。

7.网络设备（Radius），指3A指向堡垒主机的网络设备（堡垒主机内含Radius服务器，可
以作为网络设备的认证服务器）。

此种资源不用定义从帐号即可授权。

8.网络设备（Local），没有配置3A或者3A没有指向堡垒主机的网络设备。

此种资源需要
定义从帐号才能做授权。

3.4示例
登录系统后，点击元目录导航栏，进入元目录页面，选择需要添加资源的组，进入资源的列表页面。

在图中右下角选择要添加的资源类型（以Unix主机为例），然后点击添加按钮，进入资源的编辑页面：
配置项含义如下：
1.名称：资源的名称。

2.IP ：资源的IP地址。

3.连接器：资源属于什么类型的系统。

4.协议：连接资源进行资源收集管理使用的协议。

5.连接IP：用于收集资源账号的IP地址。

6.端口：协议使用的端口。

7.延时：连接资源时使用的延时通讯时间，使用默认值即可。

8.超时：当连接资源时如果超出此时间就提示连接超时。

9.管理员：用于收集资源账号的管理员账号。

要求拥有添加删除账号权限。

10.提示符：管理员拥有的提示符，作用是帮助分析。

11.密码策略：指定资源账号的密码限制策略。

如果资源有密码策略，则密码修改计划会
按照此密码策略中的要求生成随机密码。

12.管理员密码：管理员账号的密码
13.描述：资源的描述信息。

如果要进行资源帐号的收集和管理，则协议、管理员、密码、提示符这几项是必须配置项。

这几项配置完毕后可以点击下面的收集帐号按键进行帐号收集，点击收集帐号后会有成功失败的提示。

帐号收集功能只能收集到帐号名称，需要配置密码后才能用于授权。

如果不进行资源从帐号的收集，也可以手工定义。

点击资源后面的帐号按键进入资源从帐号列表界面，然后点击添加按键进行从帐号的添加。

4角色管理
4.1界面
4.2功能说明
角色管理是系统管理员定制系统角色的模块，可以对不同角色分配相应权限，如：可以定义资源管理角色，该角色拥有资源管理的权限，则把此角色授权给自然人后，该自然人就可以进行资源管理了。

4.3操作描述
主帐号认证成功登录系统后，点击“元目录”，再点击“角色”，进入角色管理页面。

角色隶属于目录树中的分组，例如目录树中研发分组下定义的资源管理角色，只具有
管理研发分组中资源的权限。

角色定义中的“特权”选项的含义：不勾选特权，则自然人添加，资源添加等操作必须通过流程（见第四章）才能完成。

如果不想通过流程即能进行管理动作可以勾选此选项。

例如，要在研发一部中定义一个自然人管理角色，可以如下图配置。

5计划管理
5.1界面
5.2功能说明
两种计划类型：资源帐号同步计划、资源帐号口令修改计划。

资源帐号同步计划用于定期将资源上的从帐号同步到堡垒主机。

资源帐号口令修改计划（也叫密码变更计划）用户用于定期修改资源上从帐号的密码。

5.3操作描述
登录系统后，点击元目录导航栏，进入元目录页面，选择需要添加计划的组，点击计划管理，进入计划的列表页面。

两种计划的建立过程如下：首先选择计划类型添加新的计划，新计划可以是单此执行的也可以是定期执行的；然后向已经建立的计划中添加计划中要同步或变更的资源帐号；之后启动计划即可。

注意：密码变更计划最好在厂家的指导下使用，因为密码变更计划使用不当有可能在密码变更后造成用户业务的正常使用，所以请慎重使用密码变更计划。

请不要轻易将超级管理员的帐号也加入密码变更计划，避免因误操作或其他原因造成超级管理员的密码丢失。

6内部审计管理
6.1界面
6.2功能说明
内部审计实现堡垒主机自身日志的审计，可以点击查询查找符合条件的审计记录。

审计
内容包括，帐号登入登出情况，资源变更，自然人变更等情况。

6.3操作描述
堡垒主机内部审计模块，当管理员点击内部审计时，内部审计列表会显示审计结果列表。

管理员在内部审计列表中点击查询按钮进入查询条件选择页面，输入查询条件点击查询按钮，可以查找满足条件的日志信息。

7行为审计管理
7.1界面
7.2功能说明
行为审计实现操作日志的审计，可以点击查询查找符合条件的审计记录。

对于字符型的资源，有三种审计展现形式：内容、命令、回放。

内容是资源操作的所有指令和对应结果的一次性展现；命令是资源操作的所有指令执行情况；回放是资源操作过程的录像回放。

对于图形的资源访问方式有一种展现方式：回放，是图形资源操作过程的录像回放。

审计分为两种，一种是事后审计，一种是实时审计。

上面说的基本上是事后审计，如果操作人员对资源的操作还没有结束，则审计记录上会多出一种监视的展现方式，点击监视可以实时查看资源使用者对资源的操作过程。

7.3操作描述
堡垒主机行为审计模块，当管理员点击行为审计时，行为审计列表会显示审计结果列表。

点击会话中的“内容”、“命令”、“回放”、“监视”可以相应的显示审计到的内容。

对于录像的回放，可以通过播放工具条调整播放状态、速度、进度等。

管理员在行为审计列表中点击查询按钮进入查询条件选择页面，输入查询条件点击查询按钮，可以查找满足条件的日志信息。

8审计报表
8.1界面
8.2功能说明
审计报表模块提供报表管理员审计访问资源的命令、用户、协议、行为等，提供Unix
主机访问命令统计报表、Unix主机访问协议统计报表、Unix主机访问用户统计报表、Unix 主机用户行为统计报表、Unix主机综合审计报表、windows主机访问用户统计报表等报表功能。

可以查询指定账号、指定客户端IP地址、指定资源IP、关键字范围等查询条件的报表功能。

8.3操作描述
以Unix主机用户行为统计报表为例，认证成功登录系统后，点击“元目录”，再点击“审计报表”，进入报表查询页面。

选择Unix主机用户行为统计报表，输入查询条件，之后点击查询报表按键，就可以生成符合要求的报表了。

第五章配置管理
1策略配置
策略是针对主帐号和从帐号的，因此策略建立后，必须在主帐号和从帐号中应用策略，策略才能生效。

1.1主机命令控制策略
1.1.1界面
1.1.2功能说明
主机命令策略可以设置访问主机时能够使用的命令，配置此策略达到限制主帐号对资源的访问。

此策略有两种类型：黑名单、白名单。

类型设置为黑名单，则命令列表是禁止执行的集合，类型配置为白名单，则命令列表是只允许执行的集合。

此策略应用于资源的从帐号，这样授权使用此从帐号访问资源的主帐号就只能按照策略的要求执行指令了。

1.1.3操作描述
主机命令策略管理：在主机命令策略列表中点击添加按钮，进入主机命令策略添加页面，输入相关策略信息，信息包含：命令集合以及命令访问类型。

点击提交按钮完成访问主机命
令策略添加。

1.2客户端地址控制策略
1.2.1界面
1.2.2功能说明
客户端地址控制策略，用于限制主帐号访问系统及访问资源时使用的客户端地址。

访问类型有：可访问IP段、不可访问IP段两种。

客户端地址控制策略可以应用于主帐号，此时主帐号只能在策略指定的地址段内登录堡垒主机；客户端地址控制策略也可以应用于资源的从帐号，此时授权使用此从帐号访问资源的主帐号就只能在策略指定的地址段内访问相应资源了。

1.2.3操作描述
客户端地址控制策略管理：在客户端地址策略列表中点击添加按钮，进入客户端地址策略添加页面，输入相关策略信息，信息包含：客户端IP段以及访问类型。

点击提交按钮完
成客户端地址策略添加。

1.3访问时间控制策略
1.3.1界面
1.3.2功能说明
访问时间控制策略，用于限制主帐号访问系统及访问资源的时间。

访问类型有：可访问时间段、不可访问时间段两种。

访问时间控制策略可以应用于主帐号，此时主帐号只能在策略指定时间段内登录堡垒主机；访问时间控制策略也可以应用于资源的从帐号，此时授权使用此从帐号访问资源的主帐号就只能在策略指定的时间段内访问相应资源了。

1.3.3操作描述
访问时间控制策略管理：在访问时间策略列表中点击添加按钮，进入访问时间策略添加页面，输入相关策略信息，信息包含：时间范围以及访问时间类型。

点击提交按钮完成访问时间策略添加。

1.4访问锁定策略
1.4.1界面
1.4.2功能说明
访问锁定策略，用于在主帐号口令输入错误时锁定主帐号，避免主帐号的密码被暴力破解。

可以配置输入失败的次数和锁定时间。

访问锁定策略应用于主帐号，在主帐号添加和修改时可以指定此策略。

1.4.3操作描述
访问锁定策略管理：在访问锁定策略列表中点击添加按钮，进入访问锁定策略添加页面，输入相关策略信息，信息包含：访问失败次数以及锁定时间。

点击提交按钮完成访问锁定策略添加。

1.5密码策略
1.5.1界面
1.5.2功能说明
密码策略，用于限制主帐号口令强度，避免主帐号配置的密码过于简单，被暴力破解。

可以配置密码长度，包含字母长度及位置、数字长度及位置、符号长度及位置等。

密码策略应用于主帐号，在主帐号添加和修改时可以指定此策略。

1.5.3操作描述
密码策略管理：在密码策略列表中点击添加按钮，进入密码策略添加页面，输入相关策略信息，信息包含：密码长度、包含字母长度及位置、包含数字长度及位置、包含符号长度及位置等。

点击提交按钮完成密码策略添加。

2服务配置
2.1堡垒机管理
2.1.1功能说明
只有存在多组堡垒机的情况下才需要配置，一般不用。

2.2图形服务开关
2.2.1功能说明
堡垒主机中做RDP协议代理的服务的开启状态及管理。

2.3审计服务定义
2.3.1功能说明
配置成堡垒主机的IP地址即可。

注意：修改堡垒主机的IP地址后，也要修改此处配置的IP地址。

2.4帐号同步计划
2.4.1界面
2.4.2功能说明
帐号同步计划用于导出堡垒主机中所有记录的从帐号的密码。

此功能一般配合密码修改计划使用，可以将帐号同步计划的执行时间设置为稍晚于密码修改计划中的密码变更时间，便于密码变更后，在特殊情况下做密码的取回。

2.4.3操作描述
配置帐号同步计划中的执行时间，和间隔周期，之后点击启动计划按键即可开启计划，开启后系统根据配置的执行时间和间隔定期生成一个加密的从帐号列表文件，通过文件列表按键可以进入密码文件列表进行下载。

开启帐号同步计划后，需要在加密文件生成后及时下载生成的密码文件，以备以外发生时获取资源密码。