堡垒机安全基线技术手册

极地内网内控安全管理系统（内控堡垒主机）操作手册北京市海淀区上地安宁庄西路9号金泰富地大厦8层电话：010-传真：010-客服：400-01234-18邮编：100085网站：目录一、前言欢迎使用内控堡垒主机系统，本用户使用手册主要介绍内控堡垒主机部署结构、配置、使用和管理。

通过阅读本文档，用户可以了解内控堡垒主机系统的基本设计思想，配置和使用方法。

在安装、使用内控堡垒主机系统之前，请仔细阅读文档内容。

本章内容主要包括：●本文档的用途。

●阅读对象。

●本文档的组织结构。

●如何联系北京极地安全技术支持。

文档目的本文档主要介绍如何配置和使用内控堡垒主机系统。

通过阅读本文档，用户能够正确地部署和配置内控堡垒主机系统。

读者对象本安装手册适用于具有基本网络知识的安全管理员、系统管理员阅读，通过阅读本文档，他们可以独自完成以下一些工作：●内控堡垒主机系统的功能使用。

●内控堡垒主机系统的策略配置与管理。

文档组织本文档包括以下章节及其主要内容：●前言，介绍了本手册各章节的基本内容、文档和技术支持信息。

●系统简介，介绍内控堡垒主机系统的部署结构和登录方法。

●系统应用，介绍如何配置使用内控堡垒主机系统。

技术支持北京极地公司对于生产的安全产品提供远程的产品咨询服务，广大用户和合作伙伴可以通过多种方式获取在线文档、疑难解答等全方位的技术支持。

公司主页提供交互网络服务，用户及合作伙伴可以在世界的任何地方，任何时候访问技术支持中心，获取实时的网络安全解决方案、安全服务和各种安全资料。

●传真: 010-●客服经理承接质量问题投诉邮箱：二、系统简介内控堡垒主机系统是极地安全内控解决方案的重要组成部分，部署在企业的内部网络中，用于保护企业内部核心资源的访问安全。

内控堡垒主机是一种被加固的可以防御进攻的计算机，具备很强安全防范能力。

内控堡垒主机扮演着看门者的工作，所有对网络设备和服务器的请求都要从这扇大门经过。

因此内控堡垒主机能够拦截非法访问，和恶意攻击，对不合法命令进行命令阻断，过滤掉所有对目标设备的非法访问行为。

第一章系统简介内控堡垒主机系统是安全内控解决方案的重要组成部分，部署在企业的内部网络中，用于保护企业内部核心资源的访问安全。

内控堡垒主机是一种被加固的可以防御进攻的计算机，具备很强安全防范能力。

内控堡垒主机扮演着看门者的工作，所有对网络设备和服务器的请求都要从这扇大门经过。

因此内控堡垒主机能够拦截非法访问，和恶意攻击，对不合法命令进行命令阻断，过滤掉所有对目标设备的非法访问行为。

内控堡垒主机具备强大的输入输出审计功能，不仅能够详细记录用户操作的每一条指令，而且能够将所有的输出信息全部记录下来，也具备图形终端操作的审计功能，能够对多平台的多种图形终端操作做审计，并且内控堡垒主机具备审计回放的功能，能够模拟用户在线操作过程。

总之，内控堡垒主机能够极大的保护企业内部网络设备及服务器资源的安全性，使得企业内部网络管理合理化，专业化，信息化。

1关键字自然人：也叫主帐号，使用内控堡垒主机的用户统称为自然人。

资源：被内控堡垒主机管理的主机系统，数据库，网络设备等统称为资源。

例如AIX 系统、Windows2000系统、DB2数据库、CISCO3560等。

从账号：从账号是资源中的账号，例如AIX中的root账号，Windows2000中的Administrator账号。

SSO单点登录：SSO（SingleSign-On）中文为单点登录，就是说在同一个地点完成对不同资源的访问。

双人共管账号：双人保管口令的账号。

共管账号：账号被很多应用系统使用，或内置了口令，如果修改口令可能影响到其他应用系统的使用，对于这类账号，内控堡垒主机称之为共管账号。

2部署结构内控堡垒主机部署逻辑图：内控堡垒主机部署物理图：如图，内控堡垒主机部署在被管服务器区的访问路径上，通过防火墙或者交换机的访问控制策略限定只能由内控堡垒主机直接访问服务器的远程维护端口。

维护人员维护被管服务器或者网络设备时，首先以WEB方式登录堡垒主机，然后通过堡垒主机上展现的访问资源列表直接访问授权资源。

Shterm用户手册- 应用发布手册（配置管理员）杭州奇智信息科技有限公司2011年3月版本<>目录第1章用户登录shterm ...........................................................................错误!未定义书签。

普通用户首次登录........................................................................错误!未定义书签。

用户登录账号....................................................................错误!未定义书签。

使用环境准备....................................................................错误!未定义书签。

第2章Windwos设备访问 .......................................................................错误!未定义书签。

WEB登录 ...........................................................................错误!未定义书签。

本地MSTSC客户端登录...................................................错误!未定义书签。

第3章访问字符终端设备（Telnet、SSH）............................................错误!未定义书签。

Web终端访问 ...................................................................错误!未定义书签。

齐治堡垒机操作手册中国旅游集团有限公司信息共享中心2020年2月版本 <V1.0>目录第一章建立用户账户 (3)1.1 首次访问与默认用户账号 (3)1.2 添加用户账号、分配用户角色 (4)1.3建立普通用户账号 (6)1.4快速身份切换 (6)第二章添加目标设备（配置管理员） (7)2.1 Windows设备（RDP） (7)2.1.1 条件准备 (7)2.1.2 添加设备 (7)2.1.3 设置密码 (8)2.2 Linux设备(SSH、X windows) (10)2.2.1 条件准备 (10)2.2.2 添加设备 (10)2.2.3 设置密码 (11)2.3网络设备（Telnet） (12)2.3.1 条件准备 (12)2.3.2 添加设备 (12)2.3.3 设置null账号密码 (13)2.3.4 设置特权模式（enbale）密码 (14)第三章建立访问控制规则（配置管理员） (15)3.1新建规则 (16)3.2关联用户账户 (16)3.3 关联设备 (17)3.4 关联系统账号 (17)第四章设备访问（普通用户） (18)4.1环境准备 (18)4.2图形设备 (18)4.3 设备访问 (18)4.4字符终端设备访问（Telnet、SSH） (22)4.5 Web终端 (22)4.6 第三方SSH客户端 (23)第五章操作审计（审计管理员） (26)5.1字符会话审计 (26)5.1.1 命令列表式查看 (27)5.1.2 命令回放 (27)5.1.3 命令查询 (28)5．2图形会话审计 (28)5.2.1 会话列表 (29)5.2.2 会话审计 (29)第一章建立用户账户1.1 首次访问与默认用户账号Shterm采用加密型的Http方式进行访问，在浏览器地址栏中输入https://Shterm堡垒机IP地址即可，如：https://10.8.251.70,由于采用SSL技术，首次访问会出现证书错误提示，如下图：此时点击“继续浏览此网站”，将出现Shterm的登录页面。

碉堡用户操作手册——配置管理员北京维方通信息技术有限公司目录第一章用户手册概述........................................................................... 错误！未定义书签。

1.1 碉堡配置管理员权限......... .................................................... 错误！未定义书签。

1.2 如何阅读本手册................. .................................................... 错误！未定义书签。

1.3 手册阅读附加说明............. .................................................... 错误！未定义书签。

1.4 适用版本............................. .................................................... 错误！未定义书签。

第二章用户管理................................................................................... 错误！未定义书签。

2.1 建立用户账户..................... .................................................... 错误！未定义书签。

2.2 用户状态管理..................... .................................................... 错误！未定义书签。

2.3 用户导入、导出...................................................................... 错误！未定义书签。

堡垒机实施指导手册金电网安堡垒机实施注意事项上海金电网安科技有限公司金电网安堡垒机——配置管理手册读者对象本文档针对产品实施技术人员编写。

1金电网安堡垒机——配置管理手册系统配置管理说明堡垒机分为BaseBox、AppBox两部分组成。

如下图所示:2金电网安堡垒机——配置管理手册第1部分工程实施步骤测试实施前准备工作1. 了解客户服务器数量，及其各自帐号和密码。

是否有数据库等其他需要用到APPBOX的应用。

2. 确定哪些部门及人员需参与运维，他们各自享有哪些权限。

3. 向客户索取其详细拓网络扑图，以方便预先准备BaseBox和AppBox放置在何处较为合适。

第2部分 BaseBox和AppBox 2.1 安装向用户要求两个IP地址供BaseBox和AppBox使用，BaseBox和AppBox旁路接入所需运维的网络，保证BaseBox和AppBox与需要运维的设备的网络连通性即可。

3金电网安堡垒机——配置管理手册2.1.1 BaseBox设置通过B/S模式从eth0或eth3口登录BaseBox。

默认IP:eth0:192.168.1.200eth3:192.168.254.200默认管理员用户名:admin默认密码:admin在IE或其他浏览器地址栏内输入或回车后显示如下登录页面，然后点击右下角齿轮状图标“”显示管理登录页面后，输入用户名:admin，密码:admin4金电网安堡垒机——配置管理手册在“系统设置”?“基本网络设置”里设置客户提供的eth0口的IP绑定AppBox，在“应用服务”?“应用中心配置”里添加AppBox，网络地址配置为客户提供的AppBox可使用的IP地址默认帐号:administrator默认密码:JdwaApp-Box5金电网安堡垒机——配置管理手册2.1.2 AppBox设置通过远程桌面从eth0或eth3登录进AppBox默认IP:eth0:192.168.1.201eth3:192.168.254.201默认帐号:administrator默认密码:JdwaApp-Box在远程桌面登录对话框内填入192.168.1.201或192.168.254.2016金电网安堡垒机——配置管理手册登录后修改IP、子网掩码、网关然后点击“”配置AppBox，默认配置密码:Fort&&20117金电网安堡垒机——配置管理手册登录后显示下图窗口，配置向导1注意:服务器名:BaseBox的IP地址无远程桌面背景模式:通常都打勾，如果有运维客户端是Windows7的，点击APP应用后无法弹出APP应用框，就需要将此勾去掉。

运维安全堡垒平台用户操作手册目录1. 概述 (1)1.1. 功能介绍 (1)1.2. 名词解释 (1)1.3. 环境要求 (2)2. 登录堡垒机 (3)2.1. 准备 (3)2.1.1. 控件设置 (3)2.2. 登录堡垒机 (3)3. 设备运维 (5)3.1. Web Portal设备运维 (5)3.2. 运维工具直接登录 (7)3.3. SecureCRT打开多个设备 (9)3.4. 列表导出 (13)4. 操作审计 (16)4.1. 字符协议审计 (16)4.2. SFTP和FTP会话审计 (18)4.3. 图形会话审计 (19)4.4. RDP会话审计 (20)4.5. VNC会话审计 (22)5. 其他辅助功能 (24)5.1. 修改个人信息 (24)5.2. 网络硬盘 (24)5.3. 工具下载 (25)1.概述运维安全堡垒平台（以下简称运维堡垒机）是用于对第三方或者内部运维管理员的运维操作行为进行集中管控审计的系统。

运维堡垒机可以帮助客户规范运维操作行为、控制并降低安全风险、满足等级保护级其他法规对IT内控合规性的要求。

1.1.功能介绍运维堡垒机集中管理运维账号、资产设备，集中控制运维操作行为，能够实现实时监控、阻断、告警，以及事后的审计与统计分析。

支持常用的运维工具协议（如SSH、telnet、ftp、sftp、RDP、VNC等），并可以应用发布的方式支持图形化运维工具。

运维堡垒机支持旁路模式和VPN模式两种方式，物理上旁路部署，灵活方面。

运维堡垒机在操作方式上，不改变用户的操作习惯，仍然可以使用自己本机的运维工具。

1.2.名词解释协议指运维堡垒机运维工具所用的通信协议，比如Putty使用SSH协议，CRT支持SSH和Telnet等。

工具指运维人员实现对设备的维护所使用的工具软件。

设备账号指运维目标资产设备的用于维护的系统账户。

自动登录指运维堡垒机为运维工具实现自动登录目标被管设备，而运维用户不需要输入目标设备的登录账号和密码，也称为单点登录（SSO）。

堡垒机安全基线技术手册堡垒机安全基线技术手册1. 引言1.1 目的1.2 范围1.3 定义2. 堡垒机概述2.1 介绍堡垒机的定义和用途2.2 堡垒机的工作原理2.3 堡垒机的主要功能与特点3. 堡垒机安全基线3.1 安全基线的定义和目的3.2 安全基线的制定与管理3.3 堡垒机的安全基线设定与优化3.4 安全基线的完善与持续改进4. 堡垒机的操作权限管理4.1 用户身份认证4.2 用户权限管理4.3 角色与权限分配4.4 审计与日志管理5. 堡垒机的远程访问管理5.1 远程访问协议的选择与配置 5.2 远程访问控制策略5.3 远程访问身份认证5.4 远程访问授权与审计6. 堡垒机的网络安全设置6.1 网络隔离与安全策略6.2 防火墙配置与管理6.3 安全通信协议的使用6.4 入侵检测与防御7. 堡垒机的系统安全硬ening7.1 操作系统安全设置7.2 安全补丁管理7.3 受限执行和安全隔离策略7.4 安全审计与日志管理8. 堡垒机的应急响应与恢复8.1 应急响应计划8.2 安全事件的处理与分析8.3 系统恢复与业务持续性计划8.4 应急情况演练与评估9. 附件附件1: 堡垒机安全基线检查表附件2: 防火墙配置示例附件3: 安全审计日志模板法律名词及注释：1. CFAA（计算机欺诈和滥用法案）：美国针对计算机犯罪的法律，规定了计算机系统的非法访问和使用行为。

2. GDPR（通用数据保护条例）：欧盟制定的保护个人数据隐私和处理个人数据的法规。

3. PII（个人身份信息）：个人身份信息是指能够唯一识别、联系到特定个人身份的信息。

4. HIPAA（医疗保险可移植性定期与责任法案）：美国规定医疗信息私密性和安全性的法规。

5. CCPA（加州消费者隐私法案）：加利福尼亚州规定个人信息隐私保护的法规。

齐治堡垒机操作手册中国旅游集团信息共享中心2020年2月版本 <V1.0>目录第一章建立用户账户 (3)1.1 首次访问与默认用户账号 (3)1.2 添加用户账号、分配用户角色 (4)1.3建立普通用户账号 (6)1.4快速身份切换 (6)第二章添加目标设备（配置管理员） (7)2.1 Windows设备（RDP） (7)2.1.1 条件准备 (7)2.1.2 添加设备 (7)2.1.3 设置密码 (8)2.2 Linux设备(SSH、X windows) (10)2.2.1 条件准备 (10)2.2.2 添加设备 (10)2.2.3 设置密码 (11)2.3网络设备（Telnet） (12)2.3.1 条件准备 (12)2.3.2 添加设备 (12)2.3.3 设置null账号密码 (13)2.3.4 设置特权模式（enbale）密码 (14)第三章建立访问控制规则（配置管理员） (15)3.1新建规则 (16)3.2关联用户账户 (16)3.3 关联设备 (17)3.4 关联系统账号 (17)第四章设备访问（普通用户） (18)4.1环境准备 (18)4.2图形设备 (18)4.3 设备访问 (18)4.4字符终端设备访问（Telnet、SSH） (22)4.5 Web终端 (22)4.6 第三方SSH客户端 (23)第五章操作审计（审计管理员） (26)5.1字符会话审计 (26)5.1.1 命令列表式查看 (27)5.1.2 命令回放 (27)5.1.3 命令查询 (28)5．2图形会话审计 (28)5.2.1 会话列表 (29)5.2.2 会话审计 (29)第一章建立用户账户1.1 首次访问与默认用户账号Shterm采用加密型的Http方式进行访问，在浏览器地址栏中输入https://Shterm堡垒机IP地址即可，如：https://10.8.251.70,由于采用SSL技术，首次访问会出现证书错误提示，如下图：此时点击“继续浏览此”，将出现Shterm的登录页面。

精品文档天融信网络审计系统TA-SAG用户操作手册运维管理北京天融信公司二O一三年六月六日精品文档TA-SAG用户操作手册——运维管理精品文档目录第一章前言 (4)1.1简介 (4)1.2文档目的 (4)1.3读者对象 (4)第二章登录系统 (5)2.1静态口令认证登录 (5)2.2字证书认证登录 (5)2.3动态口令认证登录 (6)2.4LDAP域认证登录 (7)2.5单点登录工具 (8)第三章单点登录 (9)3.1单点登录 (9)3.2单点登录工具支持列表 (9)3.3单点登录界面介绍 (10)第四章授权列表 (13)4.1Windows资源类（域内主机\域控制器\windows2003\2008） (13)4.2Unix\Linux资源类 (14)4.3数据库（独立）资源类 (17)4.4ORACLE_PLSQL单点登录 (18)4.5ORACLE_SQLDeveleper单点登录 (20)4.6MSSQLServer2000查询分析器单点登录 (21)4.7MSSQLServer2000 企业管理器单点登录 (23)4.8SQL Server 2005 Management Studio单点登录 (24)4.9SQL Server 2008 Management Studio单点登录 (25)4.10Sybase Dbisqlg单点登录 (26)4.11SQL-Front单点登录 (28)4.12数据库（系统）资源类单点登录（DB2/informix） (29)4.13网络设备（RADIUS\local\其他）资源类 (31)4.14Web应用资源类 (32)4.15会同登录 (33)4.16一次性会话号 (38)第五章工单 (40)第六章工作计划 (43)第七章消息 (45)第八章自维护 (47)第九章控件下载 (49)精品文档第一章前言1.1 简介TA-SAG运维管理是TA-SAG中使用最为频繁的一个平台。

1.1运维管控与安全审计系统
1.1.1绿盟堡垒机安全基线技术要求
1.1.1.1设备管理
转变传统 IT安全运维被动响应的模式，建立面向用户的集中、主动的运维安全管控模式，降低人为安全风险，满足合规要求，保障公司效益。

1.1.1.2用户账号与口令安全
应配置用户账号与口令安全策略，提高设备账户与口令安全。

1.1.1.3日志与审计
堡垒机支持“日志零管理”技术。

提供：日志信息自动备份维护、提供多种详细的日志报表模板、全程运维行为审计（包括字符会话审计、图形操作审计、数据库运维审计、文件传输审计）
1.1.1.4安全防护
堡垒机采用专门设计的安全、可靠、高效的硬件平台。

该硬件平台采用严格的设计和工艺标准，保证高可靠性。

操作系统经过优化和安全性处理，保证系统的安全性。

采用强加密的 SSL 传输控制命令，完全避免可能存在的嗅探行为，确保数据传输安全。

1.1运维监控系统
1.1.1Nagios和Centreon安全基线技术要求
监控工作主要由nagios完成，再通过ndo2db写入数据库，最后由centreon调用显示出来。

有了centreon后就可以用web来操作了。

Shterm用户手册- 应用发布手册（配置管理员）杭州奇智信息科技有限公司2011年3月版本 <V1.0>目录第1章用户登录shterm (3)1.1普通用户首次登录 (3)1.1.1用户登录账号 (4)1.1.2使用环境准备 (4)第2章Windwos设备访问 (6)2.1.1WEB登录 (6)2.1.2本地MSTSC客户端登录 (7)第3章访问字符终端设备（Telnet、SSH） (9)3.1.1Web终端访问 (9)3.1.2第三方SSH客户端工具访问 (10)3.1.3WEB调用客户端登录 (12)第4章客户端工具访问 (14)4.1.1调用客户端工具 (14)4.1.2文件传递 (15)第5章文件传输 (15)第6章账户设置 (16)6.1个人信息修改 (16)6.2密码修改 (18)第1章用户登录shterm1.1普通用户首次登录Shterm采用Web作为用户界面。

用户可使用Microsoft Internet Explorer 或以其为内核其他浏览器、Mozilla Firefox、Google Chrome等主流浏览器访问Shterm。

Shterm的访问地址一般为这种形式的：https://ipaddr，如：https://10.100.192.102注意：建议将此站点加入到浏览器的安全站点中。

1.1.1用户登录账号目前Shterm已与AD域认证系统进行了联合认证，因此在登录Shterm系统时只需要使用自己的AD域账号密码就可以登录Shterm系统了。

1.1.2使用环境准备为了正常的使用Shterm您需要做以下环境准备工作：首先在您的系统安装Jre（Java虚拟机），此工具可在shterm的右上方下拉“工具下载”。

如果浏览器用的是IE或IE核心的，则需要再安装ShtermLoader工具，此工具可在shterm的右上方“工具下载”中下载并安装；注意：需根据浏览器的版本下载相应的ShtermLoader，如32位的浏览器则需要下载32位的ShtermLoader，64位的浏览器则需要下载64位的ShtermLoader；第2章Windwos设备访问对于Windows设备访问，Shterm提供了两种方式：1.直接在WEB界面中登录设备，此种方式需要安装JRE/ShtermLoader；2.打开本地MSTSC客户端登录Shterm后再登录目标设备，此种方式不需要安装任何插件；2.1.1WEB登录用户直接通过浏览器登录Shterm。

齐治堡垒机操作手册(总30页) -CAL-FENGHAI.-(YICAI)-Company One1-CAL-本页仅作为文档封面，使用请直接删除齐治堡垒机操作手册中国旅游集团有限公司信息共享中心2020年2月版本 <>目录第一章建立用户账户 (4)首次访问与默认用户账号 (4)添加用户账号、分配用户角色 (5)建立普通用户账号 (7)快速身份切换 (7)第二章添加目标设备（配置管理员） (8)Windows设备（RDP） (8)条件准备 (8)添加设备 (8)设置密码 (10)Linux设备(SSH、X windows) (12)条件准备 (12)添加设备 (12)设置密码 (13)网络设备（Telnet） (14)条件准备 (14)添加设备 (15)设置null账号密码 (16)设置特权模式（enbale）密码 (17)第三章建立访问控制规则（配置管理员） (18)新建规则 (18)关联用户账户 (19)关联设备 (19)关联系统账号 (19)第四章设备访问（普通用户） (20)环境准备 (20)图形设备 (21)设备访问 (21)字符终端设备访问（Telnet、SSH） (24)Web终端 (24)第三方SSH客户端 (26)第五章操作审计（审计管理员） (28)字符会话审计 (28)命令列表式查看 (29)命令回放 (29)命令查询 (30)5．2图形会话审计 (31)会话列表 (31)会话审计 (31)第一章建立用户账户首次访问与默认用户账号Shterm采用加密型的Http方式进行访问，在浏览器地址栏中输入，如：,由于采用SSL技术，首次访问会出现证书错误提示，如下图：此时点击“继续浏览此网站”，将出现Shterm的登录页面。

如下图：Shterm默认管理员账号和密码均为小写“shterm”，输入用户名和密码后回车即可登录到Shterm操作界面，如下图：添加用户账号、分配用户角色使用缺省管理员帐号登录到Shterm，并打开基本控制-用户账户菜单，如下图：点击“新建用户”，进入用户帐号设置界面：这里不需要填写全部内容，但必须设置标有红色*号项，其他可根据实际情况确定是否需要填写即可：登录名：登录Shterm的用户ID，可以使用数字、字母或. - _等符号，但不能以. - _符号开头作为用户名，例如这里我们设置成admin；密码：选择手动输入或自动设置，默认选择手动输入，依次在设置密码和确认密码栏中输入两次密码；权限：系统默认有4类管理员，分别负责不同的角色，可以将不同的角色权限分配给不同用户，也可以多个管理员权限分配给同一个用户，可根据公司实际情况分配权限，例如我们这里将所有权限分配给admin这个帐号，将这四个管理员选项都勾选上。