安全访问网关(SAG)产品审计管理员使用手册3.4
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Security Access Gateway
索特安全访问网关 3.4 管理员手册
1
目录 第一章 第二章 2.1 第三章 3.1 3.2 前言 ............................................................................................................................... 3 产品简介 ....................................................................................................................... 4 产品特点 ....................................................................................................................... 4 功能介绍 ....................................................................................................................... 7 开始 ............................................................................................................................... 9 操作审计 ....................................................................................................................... 9 3.2.1 3.2.2 3.2.3 监控 ................................................................................................................... 9 审计 ................................................................................................................. 10 统计报表 ......................................................................................................... 15
图1 登录界面
输入审计管理员用户名及密码,如果错误输入用户名或密码超过两次需要输入验证码, 点击“登录”,进入审计管理员管理首页。
7
图2 主界面 F 统计已授权用户的会话概况。 F 请妥善保存好用户名和密码,不要提供给他人使用,登录后,为了安全起见,应经常更换密码。 点击右上角的“用户名”超链接,可修改用户别名、个人电话及电子信箱等信息,如下图所示, 在图中,点击“密码修改”按钮,修改密码,如果密码丢失,请与管理员联系。
图7 命令查看 针对文件传输会话,如果策略中,设置了备份文件,那么查看命令时,可下载备份的文件,如图所示。
图8 文件传输会话命令查看 针对 web 会话,查看命令,可根据“动作” 、 “图片” 、 “网页”过滤查看,如图所示。
图9 web 会话命令查看 11
F 针对字符会话和图形会话,点击【回放】按钮,可在线回放会话.
维护操作的统一入口
SAG 采用堡垒主机模式,避免维护人员直接访问目标资源。SAG 支持常用的设备维护
5
方式。管理员在一点上即可对本系统中的操作维护进行统一管理,包括身份认证和授权、访 问控制、操作审计等。
产品的高安全性、可靠性
SAG 对 Linux 系统内核进行了优化,关闭了除关键性后台服务外的所有服务,对外只 开放必要端口,这很大程度上减少了 SAG 被攻击的可能。SAG 系统经过了专业安全加固, 通过了多种漏洞扫描产品的评测。此外,维护人员访问 SAG 均采用了加密方式,确保维护 操作的安全性。 SAG 作为维护操作的统一入口, 其安全性和可靠性至关重要。 SAG 支持双机热备 (HA) 来保证系统的可靠性,同时支持数据同步保证了数据的完整性和准确性。
4
理员迅速定位维护操作,大大加强了图形审计的实用性,真正做到风险审计; 对于 WEB 应用,记录用户访问的 URL 及发布的内容等信息; 对于数据库应用,能够智能地分析对数据库的各种操作,如登录、查询、插入、修改、 删除等,并可将这些操作还原为 SQL 语句; 对于文件传输应用,对所有文件传输过程进行命令记录,并支持对上传/下载的文件备 份。 SAG 支持分权审计:可以为审计人员指定审计范围; SAG 支持多种审计模式:包括 Web 在线审计、离线审计,并提供各种图表用于审计管 理员分析用户操作行为特征。同时,SAG 也支持实时监控,最大限度的保证了审计的及时 性。
简单的部署方式
SAG 的部署无需在服务器、网络设备上安装代理程序,不需要改变原有网络架构,只 需 SAG 与被管设备网络可达即可,保证了业务系统原有的安全性和整体架构,不会影响业 务系统的性能和稳定。
6
第三章 功能介绍
一、启用 在管理 PC 上,启动微软 Internet Explorer 程序,在 IE 的地址栏里输入安全访问网关 管理系统的 URL(文件是加密传输,所以 URL 以 https 开头) ,就可以登录到安全访问网关 的管理界面。 二、登录界面
强大的审计功能
用户通过 SAG 对目标资源的操作行为将被记录,包括登录的客户端 IP 地址,登录的 SAG 账号,登录的目标资源 IP 地址、账号,登录的起始时间,结束时间等信息; 对于字符应用,记录用户在命令行下的完整过程,包括用户输入、命令输出、操作内容 等信息;内置搜索引擎,支持涵盖命令和回显的全文检索,搜索速度极快; 对于图形及 Windows C/S 应用,对用户的所有操作进行连续视频记录,而且,索特通 过图形定位搜索功能,可实现基于用户名、时间、用户键盘输入等全方位进行定位,便于管
索特科技有限公司自主研发了安全访问网关 (Security Access Gateway, 以下简称SAG) 。 SAG能够有效地对服务器、网络设备、安全设备、企业应用等IT系统的操作行为进行记录、 控制和审计:能够实时、完整地记录IT维护人员的操作,能够通过设定访问策略来控制IT 维护人员访问目标资源时,对接入后的访问时间、访问动作进行安全控制管理,并提供灵活 方便的记录检索和回放功能,从而达到“事先授权、事中监控、事后审计”的目标,保障企 业IT系统的正常运行,提供稳定可靠的服务。
图10 在线回放字符会话
图11 在线回放图形会话 F 针对字符会话和图形会话,点击【下载】按钮,下载保存会话,可通过离线工具离线回放。本地 回放图形会话时,可暂停播放、加速播放、慢速播放、从头播放。
12
图12 打开字符离线工具
图6 会话查询页面 10
F 可通过点击列表中各个列名,对列表进行排序。 F 可根据会话类型、用户名、登陆地址(客户端 IP) 、目标地址(目标资源 IP) 、资源账号快速查询, 点击“更多搜索条件…” ,打开更多查询条件。 F 会话类型包含五种类型:字符会话(协议类型包含 SSH、Telnet、Rlogin)、图形会话(协议类型 包含 RDP、VNC、X11)、文件传输会话(协议类型包含 FTP、SFTP)、web 会话(协议类型包 含 HTTP、HTTPS)、应用会话。 F 可批量导出会话记录,保存 excel 文件。 F 选中会话,点击【查看】按钮,可查看这条会话的命令行信息,如图查看一条字符会话的操作命 令,可模糊搜索。
2.1
产品特点
广泛的目标平台支持
SAG 支持各种 Unix 系列 (AIX、 HP-UX、 Solaris、 SCO、 Linux、 FreeBSD 等) 和 Windows 系列操作,支持 Cisco、Juniper、H3C 等常用网络及安全设备 SAG 支持运维常用协议如下: ◆ 终端字符协议: :Telnet、SSH、Rlogin ◆ 图形协议:RDP、VNC、X11 ◆ 文件传输协议:FTP、SFTP ◆ Web 协议:HTTP、HTTPS ◆ 数据库协议: ORACLE、DB2 等
灵活的策略控制
SAG 提供两种策略控制:基于资源和基于操作的策略控制,保证对访问请求、访问过
程进行安全控制管理,从而实现灵活的访问控制。 基于资源的策略控制,提供基于网关用户、目标服务器、访问时间段、维护客户端 IP 限制等组合的授权功能,实现细粒度授权功能,满足用户实际授权的需求。可以让管理员轻 松的定义谁能在什么时候以何种权限访问哪些设备,让管理一目了然。 基于操作的策略控制,可以帮助管理员建立更好的权限控制。在账号权限范围内,可以 设置命令组的黑名单规则表,使得不同维护人员账号获得全部命令权限或部分命令权限,结 束了系统或网络账号中超级用户权限无限制的情况。
应用发布、审计及应用 SSO
非标准协议的运维操作可以通过虚拟应用的方式实现运维操作的认证、授权、审计和 SSO,具体特点如下: ◆ C/S 应用在 AVS 上集中发布、管理,客户端无需在本地安装; ◆ 所有应用发布程序均以无缝方式显示,如同在本地运行; ◆ 提供 C/S 应用发布的 SSO 功能,所有应用登录行为可由 SAG 完成; ◆ 能实现应用访问控制,能限定用户使用应用访问的目标资源; ◆ 实现真正的应用级审计,包括录像、键盘记录等;
9
图5 实时监控字符类型的会话 F 管理员点击【断开会话】按钮,强行终止当前正在进行的会话。
3.2.2
审计
3.2.2.1 会话查询
查看历史会话,可以审计出每条会话的开始时间、结束时间、用户名、登陆地址(客户 端 IP) 、目标地址(目标服务器 IP) 、类型,可在线回放历史会话、下载保存会话,同时可 以查看会话的操作命令。 查询历史会话,可在线回放会话,可下载保存、回放历史会话。 1)选择【操作审计->会话查询】菜单,进入会话查询页面。
2
第一章 前言
本文档编写目的主要是介绍审计管理员如何查看、审计操作会话记录。 南京索特软件有限公司拥有本文档的全部版权。未经本公司书面许可,任何单位及个人 不得以任何方式或理由对本文档的任何部分进行复制、抄录、传播或将技术文档翻译成他国 语言。 本文档适用于审计管理员。
3
第二章 产品简介
图3 修改个人信息及密码 F 点击右上角 按钮,下载客户端软件。默认安装在 c:/sag 目录下,包括 TELNET/SSH
8
客户端工具(包含 putty 和 SecureCRT)、远程桌面客户端工具的中文版和英文版、字符日志离线 审计工具和远程桌面日志离线审计工具,可选择安装 jre(Java 运行环境) ,按照默认步骤安装就 可。字符日志离线审计工具可回放字符会话,远程桌面日志离线审计工具可回放图形会话。
3.1 开始
查看活动会话及历史会话,统计会话。
3.2 操作审计
3.2.1 监控
3.2.1.1 活动会话
监控当前正在进行的会话。包括网关用户名、客户端 IP、目标 IP 地址、类型。 1)选择【操作审计->活动会话】菜单,打开活动会话界面。
图4 活动会话查询 F 可根据查询条件进行快速查询。 F 如是字符和图形类型会话,点击【实时监控】按钮,可对当前的这个会话进行实时Байду номын сангаас控,在监控 窗口中网关用户输入的命令以及输出都可以在 portal 的监控屏幕上实时看到(注:开始监控前的 动作是看不到的) 。
索特安全访问网关 3.4 管理员手册
1
目录 第一章 第二章 2.1 第三章 3.1 3.2 前言 ............................................................................................................................... 3 产品简介 ....................................................................................................................... 4 产品特点 ....................................................................................................................... 4 功能介绍 ....................................................................................................................... 7 开始 ............................................................................................................................... 9 操作审计 ....................................................................................................................... 9 3.2.1 3.2.2 3.2.3 监控 ................................................................................................................... 9 审计 ................................................................................................................. 10 统计报表 ......................................................................................................... 15
图1 登录界面
输入审计管理员用户名及密码,如果错误输入用户名或密码超过两次需要输入验证码, 点击“登录”,进入审计管理员管理首页。
7
图2 主界面 F 统计已授权用户的会话概况。 F 请妥善保存好用户名和密码,不要提供给他人使用,登录后,为了安全起见,应经常更换密码。 点击右上角的“用户名”超链接,可修改用户别名、个人电话及电子信箱等信息,如下图所示, 在图中,点击“密码修改”按钮,修改密码,如果密码丢失,请与管理员联系。
图7 命令查看 针对文件传输会话,如果策略中,设置了备份文件,那么查看命令时,可下载备份的文件,如图所示。
图8 文件传输会话命令查看 针对 web 会话,查看命令,可根据“动作” 、 “图片” 、 “网页”过滤查看,如图所示。
图9 web 会话命令查看 11
F 针对字符会话和图形会话,点击【回放】按钮,可在线回放会话.
维护操作的统一入口
SAG 采用堡垒主机模式,避免维护人员直接访问目标资源。SAG 支持常用的设备维护
5
方式。管理员在一点上即可对本系统中的操作维护进行统一管理,包括身份认证和授权、访 问控制、操作审计等。
产品的高安全性、可靠性
SAG 对 Linux 系统内核进行了优化,关闭了除关键性后台服务外的所有服务,对外只 开放必要端口,这很大程度上减少了 SAG 被攻击的可能。SAG 系统经过了专业安全加固, 通过了多种漏洞扫描产品的评测。此外,维护人员访问 SAG 均采用了加密方式,确保维护 操作的安全性。 SAG 作为维护操作的统一入口, 其安全性和可靠性至关重要。 SAG 支持双机热备 (HA) 来保证系统的可靠性,同时支持数据同步保证了数据的完整性和准确性。
4
理员迅速定位维护操作,大大加强了图形审计的实用性,真正做到风险审计; 对于 WEB 应用,记录用户访问的 URL 及发布的内容等信息; 对于数据库应用,能够智能地分析对数据库的各种操作,如登录、查询、插入、修改、 删除等,并可将这些操作还原为 SQL 语句; 对于文件传输应用,对所有文件传输过程进行命令记录,并支持对上传/下载的文件备 份。 SAG 支持分权审计:可以为审计人员指定审计范围; SAG 支持多种审计模式:包括 Web 在线审计、离线审计,并提供各种图表用于审计管 理员分析用户操作行为特征。同时,SAG 也支持实时监控,最大限度的保证了审计的及时 性。
简单的部署方式
SAG 的部署无需在服务器、网络设备上安装代理程序,不需要改变原有网络架构,只 需 SAG 与被管设备网络可达即可,保证了业务系统原有的安全性和整体架构,不会影响业 务系统的性能和稳定。
6
第三章 功能介绍
一、启用 在管理 PC 上,启动微软 Internet Explorer 程序,在 IE 的地址栏里输入安全访问网关 管理系统的 URL(文件是加密传输,所以 URL 以 https 开头) ,就可以登录到安全访问网关 的管理界面。 二、登录界面
强大的审计功能
用户通过 SAG 对目标资源的操作行为将被记录,包括登录的客户端 IP 地址,登录的 SAG 账号,登录的目标资源 IP 地址、账号,登录的起始时间,结束时间等信息; 对于字符应用,记录用户在命令行下的完整过程,包括用户输入、命令输出、操作内容 等信息;内置搜索引擎,支持涵盖命令和回显的全文检索,搜索速度极快; 对于图形及 Windows C/S 应用,对用户的所有操作进行连续视频记录,而且,索特通 过图形定位搜索功能,可实现基于用户名、时间、用户键盘输入等全方位进行定位,便于管
索特科技有限公司自主研发了安全访问网关 (Security Access Gateway, 以下简称SAG) 。 SAG能够有效地对服务器、网络设备、安全设备、企业应用等IT系统的操作行为进行记录、 控制和审计:能够实时、完整地记录IT维护人员的操作,能够通过设定访问策略来控制IT 维护人员访问目标资源时,对接入后的访问时间、访问动作进行安全控制管理,并提供灵活 方便的记录检索和回放功能,从而达到“事先授权、事中监控、事后审计”的目标,保障企 业IT系统的正常运行,提供稳定可靠的服务。
图10 在线回放字符会话
图11 在线回放图形会话 F 针对字符会话和图形会话,点击【下载】按钮,下载保存会话,可通过离线工具离线回放。本地 回放图形会话时,可暂停播放、加速播放、慢速播放、从头播放。
12
图12 打开字符离线工具
图6 会话查询页面 10
F 可通过点击列表中各个列名,对列表进行排序。 F 可根据会话类型、用户名、登陆地址(客户端 IP) 、目标地址(目标资源 IP) 、资源账号快速查询, 点击“更多搜索条件…” ,打开更多查询条件。 F 会话类型包含五种类型:字符会话(协议类型包含 SSH、Telnet、Rlogin)、图形会话(协议类型 包含 RDP、VNC、X11)、文件传输会话(协议类型包含 FTP、SFTP)、web 会话(协议类型包 含 HTTP、HTTPS)、应用会话。 F 可批量导出会话记录,保存 excel 文件。 F 选中会话,点击【查看】按钮,可查看这条会话的命令行信息,如图查看一条字符会话的操作命 令,可模糊搜索。
2.1
产品特点
广泛的目标平台支持
SAG 支持各种 Unix 系列 (AIX、 HP-UX、 Solaris、 SCO、 Linux、 FreeBSD 等) 和 Windows 系列操作,支持 Cisco、Juniper、H3C 等常用网络及安全设备 SAG 支持运维常用协议如下: ◆ 终端字符协议: :Telnet、SSH、Rlogin ◆ 图形协议:RDP、VNC、X11 ◆ 文件传输协议:FTP、SFTP ◆ Web 协议:HTTP、HTTPS ◆ 数据库协议: ORACLE、DB2 等
灵活的策略控制
SAG 提供两种策略控制:基于资源和基于操作的策略控制,保证对访问请求、访问过
程进行安全控制管理,从而实现灵活的访问控制。 基于资源的策略控制,提供基于网关用户、目标服务器、访问时间段、维护客户端 IP 限制等组合的授权功能,实现细粒度授权功能,满足用户实际授权的需求。可以让管理员轻 松的定义谁能在什么时候以何种权限访问哪些设备,让管理一目了然。 基于操作的策略控制,可以帮助管理员建立更好的权限控制。在账号权限范围内,可以 设置命令组的黑名单规则表,使得不同维护人员账号获得全部命令权限或部分命令权限,结 束了系统或网络账号中超级用户权限无限制的情况。
应用发布、审计及应用 SSO
非标准协议的运维操作可以通过虚拟应用的方式实现运维操作的认证、授权、审计和 SSO,具体特点如下: ◆ C/S 应用在 AVS 上集中发布、管理,客户端无需在本地安装; ◆ 所有应用发布程序均以无缝方式显示,如同在本地运行; ◆ 提供 C/S 应用发布的 SSO 功能,所有应用登录行为可由 SAG 完成; ◆ 能实现应用访问控制,能限定用户使用应用访问的目标资源; ◆ 实现真正的应用级审计,包括录像、键盘记录等;
9
图5 实时监控字符类型的会话 F 管理员点击【断开会话】按钮,强行终止当前正在进行的会话。
3.2.2
审计
3.2.2.1 会话查询
查看历史会话,可以审计出每条会话的开始时间、结束时间、用户名、登陆地址(客户 端 IP) 、目标地址(目标服务器 IP) 、类型,可在线回放历史会话、下载保存会话,同时可 以查看会话的操作命令。 查询历史会话,可在线回放会话,可下载保存、回放历史会话。 1)选择【操作审计->会话查询】菜单,进入会话查询页面。
2
第一章 前言
本文档编写目的主要是介绍审计管理员如何查看、审计操作会话记录。 南京索特软件有限公司拥有本文档的全部版权。未经本公司书面许可,任何单位及个人 不得以任何方式或理由对本文档的任何部分进行复制、抄录、传播或将技术文档翻译成他国 语言。 本文档适用于审计管理员。
3
第二章 产品简介
图3 修改个人信息及密码 F 点击右上角 按钮,下载客户端软件。默认安装在 c:/sag 目录下,包括 TELNET/SSH
8
客户端工具(包含 putty 和 SecureCRT)、远程桌面客户端工具的中文版和英文版、字符日志离线 审计工具和远程桌面日志离线审计工具,可选择安装 jre(Java 运行环境) ,按照默认步骤安装就 可。字符日志离线审计工具可回放字符会话,远程桌面日志离线审计工具可回放图形会话。
3.1 开始
查看活动会话及历史会话,统计会话。
3.2 操作审计
3.2.1 监控
3.2.1.1 活动会话
监控当前正在进行的会话。包括网关用户名、客户端 IP、目标 IP 地址、类型。 1)选择【操作审计->活动会话】菜单,打开活动会话界面。
图4 活动会话查询 F 可根据查询条件进行快速查询。 F 如是字符和图形类型会话,点击【实时监控】按钮,可对当前的这个会话进行实时Байду номын сангаас控,在监控 窗口中网关用户输入的命令以及输出都可以在 portal 的监控屏幕上实时看到(注:开始监控前的 动作是看不到的) 。