天融信堡垒主机(TA-SAG)用户操作手册--运维管理
天融信TA系统数据库维护手册
TA系统数据库维护手册利用TA系统做数据库的备份和恢复1、本地数据库备份:1、具体方法:使用GUI连接到TA Server上,在服务器配置里面选择任务调度策略,新建一个备份数据库任务,riL J肆霜驚繰畿瞿箴蠶蠶令黠F向导’您只扁要)^择和输入-锁•:上一歩⑤fr一步凰〉|飓消1注意:完全备份的间隔时间根据日志产生量来确定, 的计算公式是:完全备份的间隔天数<= (磁盘大小12)1每天产生的日志量,推荐至少每周做一次完全备份设S任务执行时闾翳鹭驛矗餐離舉熬期靡?下跻调度时间•翻沁择O 立即执昏©计立嗣—每天执行 ©毎周执行厂1L 債D 垢月执匸ro 自定义时问 piZJ 31^~3314"上’:'4取消I注意:备份参数选择完全备份, 可以根据需要选择是否清除数据库里面的数据;如果选择了“备份完成后清除旧日志” 定要选“紧缩数据库空间”才能保证数据库空间有效释放。
厂1L 債1、 融髓巒执行时,■^统将日志目鳩份在愆指走的歸桎下.關徨为远程服务备份类型;© 融韻邺•O 増量备份(増呈备愉之前必颔进行过完全备份)H ■ ■ ■ ■ ■ ■ ■ X0不删除I 日日志 O 渚除所有旧日志 O 活隍氏于厂数嶠库选项:□紧霜数据库空间验证完全备份是否成功: 棗曲日志°<上1步迢〕I T -步®〉| 取消 ]在开始菜单,选择程序,TOP SEC 安全审计综合分析系统,审计服务器,配置服务器,在数据库设置里面找到备份文件路径,验证路径里面是否存在定制时间的文件,并且以 DBK为扩展名基本设置数据库设置厂1L -I II詹麗驚繰畿霭霧離卸翳号鯛'您只需要选擇和输1硕数据库类型|HS 5eL SIKVEE2000 3服薯器诵口 |1433用尸名 恋码备阱文件诧径[eTVbak=取消I2、 建立增量备份:任务荃本信息职消I 同建立完全备份的方法,在备份参数里面选择增量备份, 建议增量备份的时间间隔为一天,可以根据需要调整设S任务执行时闾翳鹭驛矗餐離嬲曙期靡?下跻调度时间•翻沁择需"O 立即执昏c 上一齿国11下一歩也〕〉| 取消 I注意提示:必须已经成功做过完全备份才可以建立增量备份厂1L 債II融勰巒执行时,统将日志目鳩份在您指走的蹄轻下.關勧远程服务备份类型;0完全备份 0増呈勧幷増曼备符乏箭匹须进行过完至备扮丁j■ H H ■ ■ ■ ■ ■ H ■ ■ ■ ■ H ■ H ■ ■ ■ ■ ■ H H ■ ■ ■ ■ . — . . ■ ■ ■ H ■ H ■ ■ H H ■ ■ ■ ■ . H ■ ■ ■ H ■ H ■ ■ H H ■ ■ ■ ■ . H ■ ■ ■ H ■ H ■ H0不删除I 日日志 O 満殊所有旧日志圭的日志-数鬻库逝项:□紧霜数据库空间3、验证增量备份是否成功:厂1&计划执I ~0骞沃抉行0毎周执行 0毎月执疔0自定义时问[Si re F0ZI W |i 壮越血 W1^~3 |M 西號314:29:[J 2<上1步迢〕I T -步®取消IFBK同验证完全备份的方法,验证数据库备份路径里面是否存在定制时间的文件,并且以为扩展名2些有用的心得(来自深圳雷江生)、刚刚安装设置完成后,建议立即做一次的完整备份;保证完整备份的DBK文件尽可能小,这样在进行历史数据的恢复的时候,速度会快些。
天融信堡垒机配置文档
安全运维审计配置手册自然人:登录堡垒机使用的账号资源:需要堡垒机管理的服务器、网络设备等等从账号:资源本身的账号,即登录资源使用的账号岗位:资源的集合,通过岗位可以将堡垒机管理的资源进行分类,便于管理员运维自然人与资源之间的使用逻辑关系个人岗位:岗位的子类,可以理解为对自然人来说个人独有资源集合密码代填:在运维人员登录资源的时候,堡垒机可以代填用户名密码,如果不代填的情况下,需要用户自己手动输入用户名密码组织结构:目录树是堡垒机自身的一个目录结构,它可以方便管理员对繁杂的用户群体、资源群体进行归类区分,可以对比windows或者Linux操作系统的文件系统进行理解目录树:可以将其理解为堡垒机目录结构的根目录,类似于linux系统的根目录堡垒机使用前准备1、访问堡垒机页面前浏览器配置堡垒机使用ie浏览器访问,并需要配置加密协议2、访问堡垒机页面,并下载安装标准版控件注:安装控件的时候直接下一步直接安装即可,安装过程中关闭所有浏览器页面安装完控件以后访问堡垒机,浏览器会提示运行加载项,点击允许管理员对堡垒机的管理操作堡垒机管理员在管理堡垒机的时侯步骤如下:1、添加堡垒机用户2、添加资源(需要堡垒机管理的设备)3、创建岗位(给资源划分组)4、如果需要密码代填功能可以将资源的账号绑定到对应资源中5、将岗位与堡垒机用户关联(将资源组给运维人员)1、用户管理模块创建自然人1、用户账号是登录堡垒机时使用的账号,用户名称是用于标识这个账号用的可以使用中文2、初始化口令的默认密码是123456,用户初次登录堡垒机的时候会强制要求修改密码3、将用户账号、用户名称、密码等信息都填写完毕以后点击保存即可创建自然人账号,这个账号是每个运维人员登录堡垒机使用的账号2、资源管理模块添加资源添加windows资源添加资源的账号此处的账号是被管设备的账号,如果需要使用密码代填功能,可以将账号添加到堡垒机里面,如果不需要代填功能,此处可以略过,由于各类资源添加账号造的方式一样,此处仅以windows资源为例添加linux资源添加网络设备(通过ssh或者telnet管理)添加安全设备(需要浏览器管理)注:1、应用地址(域名)端口处默认http对应80端口,https对应443端口,如果对应设备端口有改动,请输入对应的访问端口即可2、登陆(URL)此处默认填写“/”即可,如果有的设备访问的时候必须加上一个索引关键字才能访问的花,可以在“/”后面加上对应的关键字3、应用发布服务器需要点击添加按钮找到服务器并选择administrator账号,并绑定(这里的administrator账号在别处都是这么实施的,至于是一定要使用administrator账号,还是使用具有管理员权限的账号就行这个没有明确的规定,建议使用administrator账号)4、这里的administrator账号不对任何人开放,只是访问bs资源的时候会用到,只有堡垒机可以调用3、创建岗位将资源分类,并将资源绑定到特定的岗位注:1、岗位是资源的集合,可以理解为资源分组,可以将资源分为不同的组并分配给不同的人员2、岗位绑定资源后如果需要这个分组中的某个资源在运维人员登陆的时候直接由堡垒机代填密码的话可以将资源对应的账号绑定上3、如果运维人员登陆资源的时候需要手动输入用户名密码的话不需要绑定账号2、将岗位授权给自然人注:1、此处的作用就是将资源授权给运维人员2、绑定岗位的操作还可在用户管理模块每个用户后方岗位按钮处操作3、如果需要密码代填功能,在创建岗位的时候或者个人岗位授权的时候可以进行账号的绑定操作如何实现一些特殊功能1、实现密码代填密码代填功能就是运维人员在通过堡垒机管理资源的时候可以通过堡垒机代填用户名密码直接登陆使用具体配置步骤:1、岗位(分组)绑定资源2、在岗位中对应的资源账号处绑定资源的账号3、将岗位授权给堡垒机运维人员对应的账号2、实现不同的人管理不同的资源(即给不同的人分组)具体配置步骤:1、岗位(分组)绑定资源2、将岗位授权给堡垒机运维人员对应的账号运维人员操作运维人员登陆堡垒机后的操作如下:1、使用个人的堡垒机账号登陆到堡垒机2、堡垒机页面会显示该用户能管理的设备3、点击需要远程登陆的设备后面的配置登陆按钮4、选择相应的登陆方式进行登陆操作1、使用个人的堡垒机账号登陆到堡垒机2、堡垒机页面会显示该用户能管理的设备资源的显示是以岗位的形式进行分组的,点击相应的岗位名称能够跳转到相应的资源列表3、点击需要远程登陆的设备后面的配置登陆按钮4、选择相应的登陆方式进行登陆操作图片以Linux设备为例,堡垒机默认会按照资源类型的不同匹配不同的远程协议,此处Linux 设备它匹配了ssh2、ssh1以及telnet协议,用户可根据需要选择对应的协议进行远程。
天融信堡垒机配置文档
安全运维审计配置手册自然人:登录堡垒机使用的账号资源:需要堡垒机管理的服务器、网络设备等等从账号:资源本身的账号,即登录资源使用的账号岗位:资源的集合,通过岗位可以将堡垒机管理的资源进行分类,便于管理员运维自然人与资源之间的使用逻辑关系个人岗位:岗位的子类,可以理解为对自然人来说个人独有资源集合密码代填:在运维人员登录资源的时候,堡垒机可以代填用户名密码,如果不代填的情况下,需要用户自己手动输入用户名密码组织结构:目录树是堡垒机自身的一个目录结构,它可以方便管理员对繁杂的用户群体、资源群体进行归类区分,可以对比windows或者Linux操作系统的文件系统进行理解目录树:可以将其理解为堡垒机目录结构的根目录,类似于linux系统的根目录堡垒机使用前准备1、访问堡垒机页面前浏览器配置堡垒机使用ie浏览器访问,并需要配置加密协议| XI 常规I安全I隐私I内容I连接]程序高级设置启用Smiii-tScreerL临选器启用本机KMLKTTF支持启用集成Windows蛤证用:+:_u _u _u 1 or- .- 1- 1- 1- L L 5 5 5 s s L L L s s T T T t.使使使Ie 回回回回周□允许活动内容在我的计算机上的文件中运行离□允许来自CD的活动内容在我的计算机上运行水□允许运行或安装软件,即使筲名无效n在右仝和非白仝植式方同切梅时后出嬖告*重新启动Internet Expl or er 之后生效还原高级设关(K)重置Internet Explorer 设更将I nt er ne t Escpl or er设更重毒为引认重量⑤一.I但在刻装器处于无法使用的状态时,才使用此设置口确定I取消I 应用®I------------------ . ............................. . I —,用 福定 । 町消「应用」| | .............................................. ……E访问堡垒机页面,并下载安装标准版控件luterii4t选项常现皮全遏置-Internet 区段anet 愉EwpLom三打世白门;:遮或史改安全设立.设置Intetiiet能任遗该区1邺安全级别©自全亶自三立i :嘉醒罡矗镯版别O F 用。
堡垒机运维审计系统使用指南
堡垒机(运维审计系统)使用指南
一、登陆系统操作指南
1、首先下载VPN客户端。
打开网址,根据本地操作系统选择下载VPN客户端,一般选择windows客户端。
(校外运维需要先申请广西大学运维VPN帐号)
2、下载windows客户端安装
3、通过VPN客户端登录后,自动弹出可用户可访问资源列表,如下图。
在运维管理模块中的点击:深信服堡垒机
4、输入堡垒机账号密码完成登陆
二、WINDOWS远程运维操作步骤:
1)完成堡垒机登陆后。
选择需要运维服务器和登陆方式。
Windows选择使用
MSTSC运维,按提示输入服务器账号、密码,完成登陆服务器操作。
自动弹出mstsc,并且自动填入IP地址与端口号
2)需要通过堡垒机传输文件到目标服务器请注意。
在打开windows本地的远程工具mstc
时,做好以下配置。
设置本地共享目录
三、linux远程运维操作步骤:
堡垒机提供多种LINUX运维工具。
可以用本地工具进行远程连接,也可采用WEB 界面登录操作。
三、注意事项
1.初次登陆堡垒机系统时请首先安装控件。
点击帮助菜单下载。
安装完成后,填入本地运维工具所在路径。
比如:SecureCRT、Xshell等。
如:C:\Users\ps\Desktop\securecrt\
信息网络中心2021年7月。
运维安全堡垒平台用户透明登录操作手册
运维安全堡垒平台用户透明登录操作手册透明登录说明1.透明登录原理描述每一个设备帐号(从帐号),在堡垒机上都会标识以一个唯一的id,比如:1514是设备172.16.210.106的root用户id1502是设备172.16.210.249的root用户的id这时,如果我们使用CRT等工具登录堡垒机时,把id带到用户名中,堡垒机通过把用户名中的id分离出来,就知道我们想登录的目标服务器和用户名。
透明登录中,目标IP为堡垒机IP,登录用户名为堡垒机用户名—id,密码为堡垒机密码,这样,堡垒机通过把id号从用户名中分离出来,即可以跳过显示设备列表的菜单,一步登录到目标服务器。
2.透明登录手工连接在SecureCRT上打开“文件”-“快速连接”协议选择:“SSH2”主机名:“192.16.100.51”(主机名填写堡垒机IP地址)端口: “22”用户名:即堡垒机用户名,这里是cx用户名格式:堡垒机用户名--服务器ID 如图:查看服务器ID的方法:在WebPortal设备列表中左边第一列,如下图:点击“连接”,输入堡垒机登录密码。
3. 批量生成透明登录配置文件当设备非常多的时候,按上面每台设备添加并填入ID的方式,会给运维人员造成很大的负担,因此堡垒机提供列表导出方式,可以直接导出SecureCRT、Xshell的配置列表(ssh协议)和Mremote列表(RDP、VNC、X11协议),导入列表后,工具内就有用户可以登录所有的设备,并且已经配置好id值用户可以直接使用。
首先登录到堡垒机前台,点击列表导出菜单,得到如下界面在界面中,只需要选择SECURECRT的版本(6或7),如果版本低,必须要升级到6.x或7.x版本,然后点击后面的提交按钮,会下载一个以主帐号为命名的zip文件(有的时候,因为IE安全问题,头一次点击提交无法下载,这时只要在到这个界面,选择好版本后在点击提交按钮就可以下载了)。
将文件存到一个目录解压,会得到一个以用户名为名称的目录,里面就是所有的主机列表配置。
VPN和堡垒机用户使用手册
VPN和堡垒机使用手册一、VPN使用步骤VPN和堡垒机组合适用远程运维主机接入,主要用于运维人员和开发人员通过远程桌面和SSH登陆主机进行操作,原则上非运维人员不能使用该方式接入。
登陆主要有访问政务云名美管理网、政务云电信东涌管理网、政务外网业务几种典型应用场景。
1.1典型应用场景访问政务云名美管理网1.使用浏览器访问地址https://210.76.64.244;首次打开后会有提示要先下载并安装客户端,如下图:2.按提示下载安装完毕后,打开客户端,输入服务器地址:https://210.76.64.244;如下图:3.输入完毕后在账号栏处,输入自己的账号用户名和初始密码,如下图:4.输入用户名和密码后点击登录,准入认证通过后,首台终端登录会提示绑定硬件特征码,点击提交申请。
5.首次登录成功后系统会提示进行密码修改(如下图)。
按页面的密码设置要求,在“新密码”和“确认密码”输入文本框中输入新密码,点击“确定”完成密码的修改。
6.登录https://192.168.253.254:1024(使用ie浏览器打开该链接)下载安装华为自带SSL VPN 软件:secoclient-win-64-3.0.3.21;下载地方:登录后点击->用户选项->下载网络扩展客户端软件。
7.启动secoclient软件,首次启动需要创建连接,见下图:网关地址:192.168.253.254 端口10248. 登录堡垒机,进行相关资源访问,见下图:堡垒机地址:https://192.168.156.32/9.登录成功后界面如下:1.2典型应用场景访问政务云东涌管理网1.使用浏览器访问地址https://210.76.64.244;首次打开后会有提示要先下载并安装客户端,如下图:2.按提示下载安装完毕后,打开客户端,输入服务器地址:https://210.76.64.244;如下图:3.输入完毕后在账号栏处,输入自己的账号用户名和初始密码,如下图:4.输入用户名和密码后点击登录,准入认证通过后,首台终端登录会提示绑定硬件特征码,点击提交申请。
堡垒机使用说明
堡垒机使用说明1、堡垒机登录使用管理员提供的地址、帐号、密码,通过浏览器即可登录,推荐使用主流浏览器IE、chrome、firefox等。
如启用了手机动态码二次认证,需在手机端安装FreeOTP应用(支持Android、iOS系统),并按系统提示进行操作。
第一次登录时会提示安装shterm插件,一定要安装。
还要安装Java运行环境,登录后在右上角工具下载中可以下载。
安装上述软件后,重启浏览器,重新登录堡垒机。
2、服务器登录登录堡垒机后就会看到可登录的设备,点选要登录的设备,在设备对应的服务中选择远程连接的服务,通常linux为putty,Windows为rdp 。
登录后即可进行服务器操作。
3、服务器远程操作通过堡垒机进行服务器的远程操作与正常远程操作基本没有差异,正常操作即可。
由于服务器管理员帐号已经内置到堡垒机中,所以请不要修改已有管理员帐号及密码,不要修改网络配置、防火墙配置,也不要安装各类杀毒、防火墙软件,否则将影响正常登录,网信中心IDC会做统一防护。
4、退出服务器操作结束后,正常退出远程连接即可,然后注销堡垒机的登录。
注意事项:1、服务器严格执行软件最小化原则,不得安装各种与应用服务无关的软件。
2、不得将服务器用于与应用服务无关的其他用途。
3、堡垒机有详细的审计记录,所有通过堡垒机的操作都会记录在案,包括通过堡垒机输入的各类密码。
4、各类违规操作一经发现,将根据操作的危害性、造成的后果等调整或限制服务器的权限。
5、堡垒机的帐号专人专用,使用人必须提前登记,人员出现变更要及时更新登记,如出现任何不良影响,都将追究登记人责任。
天融信配置手册
天融信配置手册引言天融信是一家专业的网络安全解决方案提供商,其产品被广泛应用于政府、金融、电信、教育、医疗、能源等行业。
本文将介绍天融信的常见配置手册,以帮助用户更好地使用和配置天融信产品。
配置天融信防火墙登录天融信防火墙管理界面1.打开浏览器,输入防火墙管理IP地址。
2.在登录界面输入用户名和口令,单击登录按钮。
默认用户名为admin,口令为T9msc&oB。
配置基本设置1.进入“网络配置 > 基本设置”界面。
2.配置防火墙管理口和外网口的IP地址的掩码。
3.点击“保存”按钮。
配置规则列表1.进入“规则管理 > 访问规则列表”界面。
2.点击“添加规则”按钮,创建新的规则。
3.设置访问规则列表的相关参数。
4.点击“保存”按钮。
配置用户认证1.进入“认证 > 用户认证”界面。
2.点击“添加用户”按钮,添加新用户。
3.输入用户名、密码、分组等信息。
4.点击“保存”按钮。
配置VPN1.进入“VPN > VPN服务”界面。
2.点击“添加VPN”按钮,创建新的VPN连接。
3.配置VPN的相关参数。
4.点击“保存”按钮。
配置天融信安全网关登录天融信安全网关管理界面1.打开浏览器,输入安全网关管理IP地址。
2.在登录界面输入用户名和口令,单击登录按钮。
默认用户名为admin,口令为T9msc&oB。
配置基本设置1.进入“网络配置 > 基本设置”界面。
2.配置安全网关管理口和外网口的IP地址的掩码。
3.点击“保存”按钮。
配置规则列表1.进入“规则管理 > 访问规则列表”界面。
2.点击“添加规则”按钮,创建新的规则。
3.设置访问规则列表的相关参数。
4.点击“保存”按钮。
配置用户认证1.进入“认证 > 用户认证”界面。
2.点击“添加用户”按钮,添加新用户。
3.输入用户名、密码、分组等信息。
4.点击“保存”按钮。
配置VPN1.进入“VPN > VPN服务”界面。
堡垒机使用说明
堡垒机使用说明注意:可以自行选择WEB方式使用,或通过RDP客户端远程连接WINDOWS、SSH 客户端连接LINUX。
无论哪种方式连接,都使用你的堡垒机账号连接183.168.162.8即可。
一 WEB方式使用准备工作1.1 根证书安装使用ie登录运维人员使用的PC机,需要信任ICore4A-UTM,才能安装控件,进行运维。
步骤1:普通用户登录堡垒机步骤2:单击界面右上角的【下载】步骤3:单击下载框中的“下载”,将根证书下载至本地:步骤4:双击“”,将其添加到受信任的根证书颁发机构进行安装。
1.2 IE选项设置(推荐使用IE)步骤1:单击IE浏览器中的【工具】>【Internet选项】>【安全】>【可信站点】步骤2:将“该区域的安全级别”设置为最低:步骤3:单击【站点】,将堡垒机的管理地址添加为可信站点:步骤4:最后单击【关闭】>【应用】>【确定】即可1.3 ActiveX控件安装ICore4A-UTM需要安装控件,才能调用运维人员PC机的本地运维软件,进行运维操作。
以下以IE 7.0浏览器为例:步骤1:普通用户登录到堡垒机后,IE界面中会弹出“ActiveX控件”安装选项:步骤2:单击该加载选项,再单击“为此计算机上的所有用户安装此加载项(A)…”步骤3:刷新界面后,再单击【系统运维】,页面将弹出以下提示:步骤4:单击【安装】后,页面将再次弹出“”控件安装提示:步骤5:单击【安装】后,页面将弹出“”控件安装提示步骤6:单击【安装】后即可1.4 客户端工具准备字符类工具:步骤1:检查本地是否安装了字符类工具,如putty、SecureCRT;如果未安装可从网上下载安装或由厂家提供安装程序。
步骤2:普通用户登录堡垒机后,单击界面右上角的【运维设置】步骤3:在运维设备对话框中,将本地的putty和SecureCRT等运维工具的绝对路输入到填写框中:步骤4:设置参数:步骤5:单击【保存并关闭】即可图形类工具:调用本地的远程桌面连接工具()文件传输类工具:步骤1:检查本地是否安装了文件传输类工具,如FlashFXP、WinSCP;如果未安装可从网上下载安装或由厂家提供安装程序。
天融信攻防演练系统管理-使用手册
天融信攻防演练系统管理使用手册北京天融信科技有限公司目录一.简介 ------------------------------------------------ 3二.功能概述 -------------------------------------------- 3三.功能使用 -------------------------------------------- 43.1 云管理 ------------------------------------------------ 4 3.1.1 虚拟模板管理 ---------------------------------------- 4 3.1.2 网络拓扑管理 ---------------------------------------- 7 3.1.3 虚拟化管理 ----------------------------------------- 11 3.1.4 集中管理设置 --------------------------------------- 13 3.1.5 虚拟化统一关机 ------------------------------------- 15 3.1.6 令牌桶管理 ----------------------------------------- 16 3.2 云桌面管理 ------------------------------------------- 17 3.2.1 云桌面扫描 ----------------------------------------- 17 3.2.2 云桌面存储空间:------------------------------------ 18 3.2.3 云桌面终端: --------------------------------------- 19一.简介天融信攻防演练系统课程管理系统采用B/S架构作为系统的总体结构,以Web数据库技术为依托,利用虚拟化和PHP技术,结合MYSQL数据库,方便了管理员对天融信攻防演练系统系统的管理。
堡垒机使用手册
堡垒机使用手册第一部分:介绍堡垒机是一种网络安全设备,用于管理和控制网络中的各种终端设备及其访问权限。
它可以帮助企业实现对网络资源的集中管理和安全控制,提高网络访问的可控性和安全性。
本手册将详细介绍堡垒机的功能和使用方法,帮助用户快速上手并灵活应用。
第二部分:安装与配置1. 系统要求在安装堡垒机之前,需要确保满足以下系统要求:- 操作系统:建议使用Linux操作系统,如CentOS、Ubuntu等。
- 硬件配置:至少有2个网卡,并且具备足够的计算和存储能力。
2. 安装步骤按照以下步骤进行堡垒机的安装:- 下载堡垒机安装包。
- 解压安装包并执行安装脚本。
- 配置基本参数,如IP地址、端口号等。
- 配置管理员账号和密码。
- 完成安装并启动堡垒机服务。
第三部分:基本功能1. 用户管理堡垒机支持用户的注册、认证和授权,可以细分用户角色和权限,并提供用户操作日志的记录和审计功能。
2. 会话管理堡垒机可以监控和记录用户终端登录会话的详细信息,包括IP 地址、登录时间、命令执行情况等,可用于审计和追溯。
3. 终端访问控制堡垒机可以对终端设备进行访问控制,包括白名单、黑名单机制、访问时间策略等,有效防止未授权设备的访问。
4. 远程管理堡垒机提供基于Web或SSH等协议的远程管理功能,可以对远程终端进行批量管理、远程协作和命令执行等操作。
5. 安全审计堡垒机具备安全审计功能,可以将各种操作和事件进行记录和审计,包括用户登录、命令执行、文件传输等,保证网络安全可追溯。
第四部分:高级功能1. 单点登录(SSO)堡垒机支持单点登录,用户只需登录一次堡垒机即可访问所有被授权的终端设备,提高用户体验和工作效率。
2. 会话录像堡垒机可以对用户的会话进行录像和回放,不仅方便用户进行回顾和总结,也为后续的安全审计提供重要依据。
3. 业务系统集成堡垒机支持与企业内的业务系统进行集成,如LDAP、AD等,实现用户认证的统一管理和终端权限的集中控制。
天融信客户端使用说明
天融信客户端使用说明1.双击安装程序图标安装客户端2.配置客户端勾选高级设置,出现配置菜单。
点击新建连接点击添加按钮,输入地址(),点击确定。
出现连接属性界面,点击确定返回主界面,配置完成。
填写用户名为工号或学号;登录密码为内网密码。
输入完毕点击连接。
右下角会出现图标表示成功。
WIN7不显示高级设置解决办法如下图,其左下角没有高级设置选项。
只需在分辨率设置中更改一项设置即可,具体操作如下。
在桌面空白处,鼠标右键,然后选择屏幕分辨率。
选择放大或缩小文本和其他项目。
选择较小(S)-100%(默认),然后点击应用,再注销或重启即可。
新版WIN10部分电脑VPN无法连接解决办法1.双击桌面SV独立客户端,链接VPN。
2.点击链接按钮。
3.随后客户端会隐藏到右下角,找到Vone客户端,它会从大叉状态变成链接状态,双击该图标。
4.随后出现下图,看发送数据和接收数据的流量,如果是下图都是“0”的话说明并没有正常链接,那就要用后面的方法使其链接,并不用断开或重新连接。
5.方法一:找到电脑右下角Internet访问方块,或无线链接。
鼠标右键点击,选择打开“网络和Internet”设置。
(无线图标)无线网点击左边“WLAN”,有线网点的左边“以太网”,然后鼠标滚轮向下滚动,选择右边相关设置下的“更改适配器选项”。
弹出网络链接窗口,如下图,此时问题已经解决,关闭窗口即可。
6.方法二:在桌面空白处鼠标右键点击“个性化”点击左边“主题”,然后选择右边“桌面图标设置”勾选“网络”此时桌面上就会多出网络图标,鼠标右键点击“属性”弹出网络和共享中心,不用理会,问题也已经解决此方法设置好后,桌面直接网络图标右键属性即可,操作比较方便,建议使用。
7.上述两种方法都能成功链接VPN,如下图。
这是最新版WIN10的BUG,重启电脑前不用重复操作,但如果出现此问题可以尝试此操作。
天融信堡垒主机(TA-SAG)用户操作手册--运维管理培训课件
精品文档天融信网络审计系统TA-SAG用户操作手册运维管理北京天融信公司二O一三年六月六日精品文档TA-SAG用户操作手册——运维管理精品文档目录第一章前言 (4)1.1简介 (4)1.2文档目的 (4)1.3读者对象 (4)第二章登录系统 (5)2.1静态口令认证登录 (5)2.2字证书认证登录 (5)2.3动态口令认证登录 (6)2.4LDAP域认证登录 (7)2.5单点登录工具 (8)第三章单点登录 (9)3.1单点登录 (9)3.2单点登录工具支持列表 (9)3.3单点登录界面介绍 (10)第四章授权列表 (13)4.1Windows资源类(域内主机\域控制器\windows2003\2008) (13)4.2Unix\Linux资源类 (14)4.3数据库(独立)资源类 (17)4.4ORACLE_PLSQL单点登录 (18)4.5ORACLE_SQLDeveleper单点登录 (20)4.6MSSQLServer2000查询分析器单点登录 (21)4.7MSSQLServer2000 企业管理器单点登录 (23)4.8SQL Server 2005 Management Studio单点登录 (24)4.9SQL Server 2008 Management Studio单点登录 (25)4.10Sybase Dbisqlg单点登录 (26)4.11SQL-Front单点登录 (28)4.12数据库(系统)资源类单点登录(DB2/informix) (29)4.13网络设备(RADIUS\local\其他)资源类 (31)4.14Web应用资源类 (32)4.15会同登录 (33)4.16一次性会话号 (38)第五章工单 (40)第六章工作计划 (43)第七章消息 (45)第八章自维护 (47)第九章控件下载 (49)精品文档第一章前言1.1 简介TA-SAG运维管理是TA-SAG中使用最为频繁的一个平台。
堡垒主机系统操作管理流程(管理员用户操作手册)
堡垒主机操作管理流程一、概述为了完善业务需要,提高内控堡垒主机系统的管理规范性,运维管理人员应依据堡垒主机操作管理流程进行操作。
堡垒主机操作管理流程包含用户账户申请、用户资源申请、授权人审批管理、授权账户安全管理、授权资源操作、责任划分等流程项。
二、管理流程管理流程主要是由普通用户想要申请资源而发起申请至指定审批人,审批人根据实际情况予以审批或拒绝,或转发上级领导继续审批,审批环节可以根据需要分为一级至多级,直至有领导同意后,选择执行人去将此申请落实。
自然人(申请用户)申请、接入资源申请流程主要包括以下几类:●用户账户申请流程向系统管理员或安全部门负责人发起自然人账户申请,并填写账户接入申请单申请新的接入账户,由系统管理员或安全部门负责人审核后给予账户的用户名密码授权。
●资源接入申请流程资源相关负责人申请资源接入到内控堡垒主机系统,用户申请资源接入时需详细列出管理的资源信息,资源信息包括主机系统、登录账户密码、主机IP地址等。
资源信息提交后由系统管理员核对资源信息和接入账户的对应关系。
●自然人变更流程自然人申请调整岗位,申请调整资源授权,申请数字证书等需向系统管理员提交变更申请单。
●自然人注销流程由于工作调离或资源主机下架等造成自然人账户需注销停用,需要向系统管理员作出说明,并由系统管理员审核后对自然人账户进行注销停用处理。
三、账户管理帐号管理包含对所有服务器、网络设备帐号的集中管理。
帐号和资源的集中管理是集中授权、认证和审计的基础。
帐号管理可以完成对帐号整个生命周期的监控和管理,而且还降低了企业管理大量用户帐号的难度和工作量。
同时,通过统一的管理还能够发现帐号中存在的安全隐患,并且制定统一的、标准的用户帐号安全策略。
授权账户的管理按照职责划分可分为系统管理员、安全审计员、普通账号●系统管理员负责对申请人账户的创建、变更和撤销;负责资源的创建、修改、删除、授权。
●安全审计员负责审核、登记备案自然人的用户权限和管理资源,并进行定期审计。
运维安全堡垒平台用户操作手册
运维安全堡垒平台用户操作手册目录1. 概述 (1)1.1. 功能介绍 (1)1.2. 名词解释 (1)1.3. 环境要求 (2)2. 登录堡垒机 (3)2.1. 准备 (3)2.1.1. 控件设置 (3)2.2. 登录堡垒机 (3)3. 设备运维 (5)3.1. Web Portal设备运维 (5)3.2. 运维工具直接登录 (7)3.3. SecureCRT打开多个设备 (9)3.4. 列表导出 (13)4. 操作审计 (16)4.1. 字符协议审计 (16)4.2. SFTP和FTP会话审计 (18)4.3. 图形会话审计 (19)4.4. RDP会话审计 (20)4.5. VNC会话审计 (22)5. 其他辅助功能 (24)5.1. 修改个人信息 (24)5.2. 网络硬盘 (24)5.3. 工具下载 (25)1.概述运维安全堡垒平台(以下简称运维堡垒机)是用于对第三方或者内部运维管理员的运维操作行为进行集中管控审计的系统。
运维堡垒机可以帮助客户规范运维操作行为、控制并降低安全风险、满足等级保护级其他法规对IT内控合规性的要求。
1.1.功能介绍运维堡垒机集中管理运维账号、资产设备,集中控制运维操作行为,能够实现实时监控、阻断、告警,以及事后的审计与统计分析。
支持常用的运维工具协议(如SSH、telnet、ftp、sftp、RDP、VNC等),并可以应用发布的方式支持图形化运维工具。
运维堡垒机支持旁路模式和VPN模式两种方式,物理上旁路部署,灵活方面。
运维堡垒机在操作方式上,不改变用户的操作习惯,仍然可以使用自己本机的运维工具。
1.2.名词解释协议指运维堡垒机运维工具所用的通信协议,比如Putty使用SSH协议,CRT支持SSH和Telnet等。
工具指运维人员实现对设备的维护所使用的工具软件。
设备账号指运维目标资产设备的用于维护的系统账户。
自动登录指运维堡垒机为运维工具实现自动登录目标被管设备,而运维用户不需要输入目标设备的登录账号和密码,也称为单点登录(SSO)。
天融信配置手册
天融信配置手册(总4页)
--本页仅作为文档封面,使用时请直接删除即可--
--内页可以根据需求调整合适字体及大小--
天融信配置手册
1、设备用2个接口,ETH1接互联网、ETH2接内网交换机。
2、登录设备:设备出厂ETH0口默认地址为,默认用户名:superman 密
码:talent
在浏览器地址栏输入:回车登录设备
点击是
输入用户名:superman 密码:talent 点击登录
3、配置接口IP:
登录设备后选择网络管理---------接口---------物理接口
点击 ETH1 的图标:
在地址/掩码后输入各地互联网分配的公网地址,(各个地市不一样,请落实后填写)点击添加-----确定;
分别按上面方式配置ETH2口(内网地址)
4、添加默认路由:
选择网络管理------路由-------静态路由,点击添加
目的地址、目的掩码全是;网关为互联网分配的公网地址,(各个地市不一样,请落实后填写), metric 、接口不用填写,点击确定
5、添加区域
点击资源管理------区域
点击添加
名称可以随意定义,为了统一,我们定义为互联网_eth1 ;选择属性为eth1;然后点击按钮,点击确定,
分别按上面设置内网区域(各地统一)
6、开放远程管理服务:
点击系统管理-----配置-----开放服务,然后点击添加
服务名称选择 WEBUI ;
控制区域选择互联网_eth1;
控制地址选择 any;
点击确定按钮
7、保存配置
在页面的上方有保存配置按钮,请点击,在弹出的对话框中点击确定,保存配置。
(一定要保存配置,要不设备重起配置就丢失了)。
堡垒机使用手册
堡垒机使用手册
一、使用堡垒机登陆方法
1、使用Secure CRT登陆10.48.80.66,选择SSH2登陆方式,输入相应的用户名,点击connect
2、输入用户名和密码
3、选择1进入服务器列表
下图为服务器列表
4、选择需要登陆的服务器
5、选择以何种身份登陆
6、提示输入密码
7、登陆成功
注意:
每个人最多10个并发,整个堡垒主机可5000个并发,若果打不开新界面,请关掉多有堡垒主机ssh窗口。
二、修改密码方法
1、点击http://10.48.80.66/eas/进入堡垒机
2、输入用户名后点击‘修改密码’
3、在如下界面输入新密码
4、提示修改密码成功
(注:范文素材和资料部分来自网络,供参考。
请预览后才下载,期待你的好评与关注。
)。
天融信堡垒主机(TA-SAG)用户操作手册--运维管理
天融信网络审计系统TA-SAG用户操作手册运维管理北京天融信公司二O一三年六月六日TA-SAG用户操作手册——运维管理目录第一章前言 (4)1.1简介 (4)1.2文档目的 (4)1.3读者对象 (4)第二章登录系统 (5)2.1静态口令认证登录 (5)2.2字证书认证登录 (5)2.3动态口令认证登录 (6)2.4LDAP域认证登录 (7)2.5单点登录工具 (8)第三章单点登录 (9)3.1单点登录 (9)3.2单点登录工具支持列表 (9)3.3单点登录界面介绍 (10)第四章授权列表 (13)4.1Windows资源类(域内主机\域控制器\windows2003\2008) (13)4.2Unix\Linux资源类 (14)4.3数据库(独立)资源类 (17)4.4ORACLE_PLSQL单点登录 (18)4.5ORACLE_SQLDeveleper单点登录 (20)4.6MSSQLServer2000查询分析器单点登录 (21)4.7MSSQLServer2000 企业管理器单点登录 (23)4.8SQL Server 2005 Management Studio单点登录 (24)4.9SQL Server 2008 Management Studio单点登录 (25)4.10Sybase Dbisqlg单点登录 (26)4.11SQL-Front单点登录 (28)4.12数据库(系统)资源类单点登录(DB2/informix) (29)4.13网络设备(RADIUS\local\其他)资源类 (31)4.14Web应用资源类 (32)4.15会同登录 (33)4.16一次性会话号 (38)第五章工单 (40)第六章工作计划 (43)第七章消息 (45)第八章自维护 (47)第九章控件下载 (49)第一章前言1.1 简介TA-SAG运维管理是TA-SAG中使用最为频繁的一个平台。
它面向的对象是,企业的运维人员。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
天融信网络审计系统TA-SAG用户操作手册运维管理北京天融信公司二O一三年六月六日TA-SAG用户操作手册——运维管理目录第一章前言 (4)1.1简介 (4)1.2文档目的 (4)1.3读者对象 (4)第二章登录系统 (5)2.1静态口令认证登录 (5)2.2字证书认证登录 (5)2.3动态口令认证登录 (6)2.4LDAP域认证登录 (7)2.5单点登录工具 (8)第三章单点登录 (9)3.1单点登录 (9)3.2单点登录工具支持列表 (9)3.3单点登录界面介绍 (10)第四章授权列表 (13)4.1Windows资源类(域内主机\域控制器\windows2003\2008) (13)4.2Unix\Linux资源类 (14)4.3数据库(独立)资源类 (17)4.4ORACLE_PLSQL单点登录 (18)4.5ORACLE_SQLDeveleper单点登录 (20)4.6MSSQLServer2000查询分析器单点登录 (21)4.7MSSQLServer2000 企业管理器单点登录 (23)4.8SQL Server 2005 Management Studio单点登录 (24)4.9SQL Server 2008 Management Studio单点登录 (25)4.10Sybase Dbisqlg单点登录 (26)4.11SQL-Front单点登录 (28)4.12数据库(系统)资源类单点登录(DB2/informix) (29)4.13网络设备(RADIUS\local\其他)资源类 (31)4.14Web应用资源类 (32)4.15会同登录 (33)4.16一次性会话号 (38)第五章工单 (40)第六章工作计划 (43)第七章消息 (45)第八章自维护 (47)第九章控件下载 (49)第一章前言1.1 简介TA-SAG运维管理是TA-SAG中使用最为频繁的一个平台。
它面向的对象是,企业的运维人员。
该模块是TA-SAG为运维人员提供的登录入口。
因此TA-SAG加强了登录的认证手段,提高安全性的同时不失用户的方便性。
运维人员登录TA-SAG认证成功后,将不会继续认证。
从TA-SAG单点登录平台可以登录任意经过授权的资源。
TA-SAG为每次访问资源都建立了唯一的授权一次性会话号,用以确保登录会话的安全性。
1.2 文档目的TA-SAG运维管理手册是指导运维人员如何登录TA-SAG认证和访问资源。
在该模块中经常会有很多的问题出现。
通过该手册能够解决运维人员的常见问题。
1.3 读者对象本文档适用于企业运维人员使用。
第二章登录系统系统登录主要的工作就是系统认证。
TA-SAG登录界面随系统配置的认证方式不同而有所差异。
TA-SAG支持的认证方式包括静态口令认证、数字证书认证、动态口令认证、LDAP域认证、指纹认证等。
无论TA-SAG配置哪种认证方式,登录系统都需要在浏览器中输入服务地址。
例如:.93。
在该例中,192.168.23. 93为TA-SAGIP地址(TA-SAG出厂设置的管理IP为192.168.2.92)。
当在浏览器中输入示例内容后,点击回车(TA-SAG配置双向认证时,如果需要域名方式访问的情况除外)系统自动转向到登录界面。
下面列举常见的几种常见的认证方式界面。
2.1 静态口令认证登录静态口令登录认证是最基本得认证方式,登录界面入图2.1.1所示。
图2.1.1用户需要输入用户名及口令后,点击登录按钮后登录系统。
2.2 字证书认证登录TA-SAG证书认证登录,支持的形式包括软证书认证,Usbkey证书认证两种。
这两种形式的唯一区别在于证书所依赖的存储截止不同。
Usbkey证书只是将证书导入Usb硬件Key 中,安全性相应增加。
但无论证书以哪种方式存在,TA-SAG都会统一对待。
如图2.2.1所示,当自然人在浏览器地址栏中输入TA-SAG地址后,点击回车,弹出选择证书提示框。
图2.2.1此时用户需要选择所要使用的数字证书,点击确定按钮。
此例子选择名称为simper的证书,点击确定按钮,进入图2.2.2界面。
图2.2.2由于在上一操作步骤中选择的是名称为simper证书,所以TA-SAG此时自动将用户名锁定,禁止自然人修改登录用户名。
防止身份篡改。
此时,用户需要输入simper用户口令即可进行静态口令认证。
静态口令操作内容请参考2.1章节。
2.3 动态口令认证登录动态口令认证是指可以通过OTP令牌方式通过TA-SAG认证登录。
认证界面如图2.3.1所示。
图2.3.1TA-SAG的动态口令登录认证,采用的是双因子认证方式。
也就是说,用户需要输入动态口令的同时必须输入自身的静态口令作为PIN码。
当两项认证都通过时才可以进入TA-SAG。
这一点与数字证书认证方式是类似的。
这种方式大大增强了系统登录的安全性。
2.4 LDAP域认证登录TA-SAG域认证是另外一种第三方认证方式。
TA-SAG将自身的部分系统认证交由第三方安全平台认证。
TA-SAG中将LDAP域口令的认证指派到LDAP服务器上。
LDAP域认证的操作界面入图2.4.1所示。
图2.4.1与动态口令的认证方式类似,域口令认证需要在LDAP域认证通过的情况下同时满足自然人的静态口令认证认证通过,此时才可以成功进入TA-SAG。
2.5 单点登录工具介绍完TA-SAG中常见的认证方式后,用户可能注意到图例中【工具下载】选项。
该选项为用户提供了部分的客户端工具,及TA-SAGSSO登录控件的下载。
点击【工具下载】选项弹出如图2.5.1所示界面。
图2.5.1图2.5.1只截取了部分的内容,其中还包括单点登录工具及客户端工具安装过程中常常出现的问题及解答。
用户可以点击如图2.5.1界面中的带有“单点登录控件”字样的下载链接,下载单点登录工具。
有关单点登录工具详细内容请参见《TA-SAG运维工程师操作手册》。
第三章 单点登录3.1 单点登录在自然人登录到系统后,默认显示的界面为单点登录界面。
如图3.1所示。
图3.13.2 单点登录工具支持列表资源类型windows资源mstsc ftpunix资源SecureCRT SecureNetTerm FTP SFTP Xwindow 数据库(独立)oracle PL/SQLsqlserver2000查询分析器企业管理器sqlserver2005sqlserver2008sybase Sybase Dbisqlgmysql SQL-Front数据库(系统)DB2DB2控制中心INFORMIX Winsql网络设备(RADIUS)SecureCRT SecureNetTerm网络设备(LOCAL)SecureCRT SecureNetTerm支持的单点登录工具SQL Server 2005 Management StudioSQL Server 2008 Management Studio图3.2.13.3 单点登录界面介绍在单点登录界面,“最近使用“模块将显示最近的运维操作资源信息,如图3.3.1所示。
图3.3.1“最常使用”模块显示该自然人最常使用的授权资源列表,如图3.3.2所示。
图3.3.2“工单”模块显示该自然人相关的工单信息。
如图3.3.3所示。
图3.3.3“日历”模块可以显示当前日期,当有工作计划时,相应日期将显示为黄色。
如图3.3.4所示。
图3.3.4“工作计划”模块显示当天的工作计划的执行时间,当点击相应日期,将显示其日期下的工作计划执行时间。
如图3.3.5所示。
图3.3.5第四章授权列表4.1 Windows资源类(域内主机\域控制器\windows2003\2008)点击授权列表将显示出所以授权资源信息,如图4.1.1所示。
图4.1.1对于部分多IP设备将从ip生成一条资源列,如图4.1.2所示。
图4.1.2表示系统的连接方式。
具体的登录方式可以点击进行选择,如图4.1.3所示。
图4.1.3【RDP单点登录】点击并进行标准远程桌面的RDP登录【RDP控制台单点登录】等同于 mstsc /admin或 mstsc /console的控制台登录表示系统的连接方式。
具体的登录方式可以点击进行选择,如图4.1.4所示。
图4.1.4【windows文件共享登录方式】与【windowsFTP登录方式】相同,点击登录即可。
4.2 Unix\Linux资源类点击授权列表将显示出所以授权资源信息,如图4.2.1所示。
图4.2.1对于部分多IP设备将从ip生成一条资源列,如图4.2.2所示。
图4.2.2表示系统的连接方式。
具体的登录方式可以点击进行选择,如图4.2.3所示。
图4.2.3【以选项卡方式打开登录】以选项卡的方式显示,点击进行SecureCRT单点登录【以独立窗口方式打开登录】以独立窗口的方式显示,点击进行SecureCRT单点登录【直连方式打开登录】通过本地的SecureCRT登录,不通过协议代理。
点击进行登录。
表示系统的连接方式。
具体的登录方式可以点击进行选择,如图4.2.4所示。
图4.2.4【windows文件共享登录方式】与【windowsFTP登录方式】相同,点击登录即可。
【Unix\LinuxFTP登录方式】点击FTP按钮进行FTP登录,并确保模式及编码选择正确。
如图4.2.5所示。
图4.2.5注意:本功能需要客户机安装SSO控件,并安装JRE。
【Unix\LinuxSFTP登录方式】与【Unix\LinuxFTP登录方式】相同【x-windows登录】点击按钮进行选择x-windows登录,具体操作方法与【RDP网页登录方式】相同图4.2.6【x-windows会话号登录方式】参见【RDP会话号登录方式】。
【vnc登录】参见【RDP会话号登录方式】4.3 数据库(独立)资源类在介绍本部分以前请先熟悉一下应用发布的原理如下图:对于数据库类资源TA-SAG需要通过中间的应用发布服务器(参见下图)完成对目标数据库的单点登录,通过应用发布服务器完成数据库客户端的单点登录并保证审计业务完整.图4.3.1图4.3.1对于部分多IP设备将从ip生成一条资源列,如图4.3.2所示。
图4.3.2【应用发布服务选择】获在应用发布服务下拉菜单中选择应用发布服务器的IP地址,如图4.3.3所示:图4.3.34.4 ORACLE_PLSQL单点登录自然人身份登录,点击按钮,进入如图4.4.1所示页面。
图4.4.1点击PLSQL图标,出现远程桌面连接,如图4.4.2所示图4.4.2点击[连接],连接到数据库oracle,体现为图4.4.3所示:图4.4.34.5 ORACLE_SQLDeveleper单点登录自然人身份登录,点击相应ORACLE_PLSQL后边的[账号]按钮,进入如图4.5.1所示页面图4.5.1点击sqlDeveleper图标(下图红色区域)弹出远程桌面连接,如图4.5.2所示。