极地内网内控安全管理系统内控堡垒主机操作手册v精选

极地内网内控安全管理系统

（内控堡垒主机）

操作手册

北京市海淀区上地安宁庄西路9号金泰富地大厦8层

电话：010-

传真：010-

客服：400-01234-18

邮编：100085

网站：

目录

一、前言

欢迎使用内控堡垒主机系统，本用户使用手册主要介绍内控堡垒主机部署结构、配置、使用和管理。通过阅读本文档，用户可以了解内控堡垒主机系统的基本设计思想，配置和使用方法。在安装、使用内控堡垒主机系统之前，请仔细阅读文档内容。

本章内容主要包括：

●本文档的用途。

●阅读对象。

●本文档的组织结构。

●如何联系北京极地安全技术支持。

1.1 文档目的

本文档主要介绍如何配置和使用内控堡垒主机系统。通过阅读本文档，用户能够正确地部署和配置内控堡垒主机系统。

1.2 读者对象

本安装手册适用于具有基本网络知识的安全管理员、系统管理员阅读，通过阅读本文档，他们可以独自完成以下一些工作：

●内控堡垒主机系统的功能使用。

●内控堡垒主机系统的策略配置与管理。

1.3 文档组织

本文档包括以下章节及其主要内容：

●前言，介绍了本手册各章节的基本内容、文档和技术支持信息。

●系统简介，介绍内控堡垒主机系统的部署结构和登录方法。

●系统应用，介绍如何配置使用内控堡垒主机系统。

1.4 技术支持

北京极地公司对于生产的安全产品提供远程的产品咨询服务，广大用户和合作伙伴可以通过多种方式获取在线文档、疑难解答等全方位的技术支持。

公司主页提供交互网络服务，用户及合作伙伴可以在世界的任何地方，任何时候访问技术支持中心，获取实时的网络安全解决方案、安全服务和各种安全资料。

●传真: 010-

●客服经理承接质量问题投诉邮箱：

二、系统简介

内控堡垒主机系统是极地安全内控解决方案的重要组成部分，部署在企业的内部网络中，用于保护企业内部核心资源的访问安全。

内控堡垒主机是一种被加固的可以防御进攻的计算机，具备很强安全防范能力。内控堡垒主机扮演着看门者的工作，所有对网络设备和服务器的请求都要从这扇大门经过。因此内控堡垒主机能够拦截非法访问，和恶意攻击，对不合法命令进行命令阻断，过滤掉所有对目标设备的非法访问行为。

内控堡垒主机具备强大的输入输出审计功能，不仅能够详细记录用户操作的每一条指令，而且能够将所有的输出信息全部记录下来，也具备图形终端操作的审计功能，能够对多平台的多种图形终端操作做审计，并且内控堡垒主机具备审计回放的功能，能够模拟用户在线操作过程。总之，内控堡垒主机能够极大的保护企业内部网络设备及服务器资源的安全性，使得企业内部网络管理合理化，专业化，信息化。

2.1 关键字

用户名：也叫主帐号，使用内控堡垒主机的用户统称为用户名。

资源：内控堡垒主机管理的主机系统，数据库，网络设备等统称为资源。例如AIX系统、Windows2000系统、DB2数据库、CISCO3560等。

从账号：从账号是资源中的账号，例如AIX中的root账号，Windows2000中的Administrator账号。

SSO单点登录：SSO（SingleSign-On）中文为单点登录，就是说在同一个地点完成对不同资源的访问。

策略：控制用户登录、设置密码、禁止使用命令、允许访问命令的方法。

2.2 部署结构

内控堡垒主机部署逻辑图：

内控堡垒主机部署物理图：

如图，内控堡垒主机部署在被管服务器区的访问路径上。

内控堡垒主机接入用户网络中的方式是旁路，仅需要为系统分配一个IP，并确保该地址与需要运维的主机IP可达，协议可访问。

可以通过防火墙或者交换机的访问控制策略限定只能由内控堡垒主机直接

访问服务器的远程维护端口。

维护人员维护被管服务器或者网络设备时，首先以WEB方式登录内控堡垒主机，内控堡垒主机会根据系统管理员预先设置好的访问控制权限，展现访问资源列表，提示用户选择可以访问的授权资源，用户选择完成后会自动直接登录到目标操作系统或网络设备。

2.3 系统登录

登录页面对管理员及用户进行身份认证，以及策略校验，从而完成登录。

在地址栏上输入系统URL。例如：，如图所示，进入系统登录页面。

系统默认的超级管理员的帐号：admin，密码：123。内控堡垒主机启用后，应及时修改口令，以免被非法登录。

根据管理员和用户的认证方式，管理员和用户可以用简单的静态用户名，口令进行认证，也可以持证书、令牌等强认证方式进行认证。

系统根据用户相关登录策略，例如：访问时间策略、访问地址策略、访问锁定策略等进行校验。如果通过校验，用户可进入系统，否则禁止用户登录系统并给出相应提示。

三、单点登录（SSO）

3.1 单点登录（SSO）

3.1.1 界面

3.1.2 功能说明

单点登录功能是用户访问授权资源的统一入口。通过此功能，用户访问资源时只需要在内控堡垒主机上做一次登录，之后就可以在不输入用户名和密码的情况下使用各种授权资源。

3.1.3 操作描述

当用户点击“单点登录”时，资源帐号列表中会显示所有授权给此用户的资源。

当用户点击资源列表后的授权协议方式按钮时，会自动进入目标资源，完成单点登录。

注意：要使用单点登录功能，必须安装单点登录控件，可到“单点登录->?单点登录/回访控件”中下载单点登录控件程序；就可以使用RDP访问资源，被管资源上要开启远程桌面服务，同时也可以使用SSH或TELNET方式访问资源，并且能够支持回放、实时监控等功能。

单点登录数据库时，要做好准备工作，首先数据库需要用户自行安装对应数据库的客户端，ORACLE数据库需要安装PLSQL7 ,MSSQL2000/2005/2008，需要安装Sqlserver management studio 2008。

然后“单点登录”界面，找到数据库的资源，点击协议进行登录。

3.2 单点登录控件及工具安装

3.2.1 界面

3.2.2 功能说明

用户通过资源列表单点登录到授权资源时需要安装单点登录控件。

3.2.3 操作描述

点击->“单点登录”进入单点登录界面，右上方有单点登录控件下载。右键点击->选择目标另存为，下载完毕后关闭IE浏览器对控件进行安装。

Win7用户必须以管理员的身份进行下载安装。

四、用户管理

4.1 用户管理

4.1.1 界面

4.1.2 功能说明

用户名是内控堡垒主机管理员在内控堡垒主机上建立的资源使用帐户，必须由管理员在内控堡垒主机上添加并且授权相应的角色后的用户名才能使用。用户