网神SecFo 运维安全管理与审计系统 操作手册 V

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

网神SecFox运维安全管理与审计系统
运维审计
操作手册
Legendsec SecFox Security Management System
Operation?audit
Operation manual
网神信息技术(北京)股份有限公司
版权说明
本文的内容是网神SecFox运维安全管理与审计系统操作手册。

文中的资料、说明等相关内容归网神信息技术(北京)股份有限公司所有。

本文中的任何部分未经网神信息技术(北京)股份有限公司(以下简称“网神”)许可,不得转印、影印或复印、发行,不得以任何形式传播。

2006-2016? 版权所有网神信息技术(北京)股份有限公司
商标声明
本用户手册中所涉及的网神产品的名称是网神的商标。

用户手册中涉及的其他公司的注册商标,属各商标注册人所有,恕不逐一列明。

联系信息
北京海淀区上地开拓路7 号先锋大厦二段1 层
2Section 1F , Xianfeng Building , No. 7 Kaituo Road ,
Shangdi Information Industry Base, Haidian District , Beijing
客服热线(Customer Service Hotline):400-610-8220
传真(Fax):0
邮编(Post Code):100085
文档说明
本文档配置案例环境中使用的网神SecFox运维安全管理与审计系统版本为V 版本,低于该版本的安全审计系统均可以参考使用。

目录
一、系统简介
运维审计系统是内控解决方案的重要组成部分,部署在企业的内部网络中,用于保护企业内部核心资源的访问安全。

运维审计系统是一种被加固的可以防御进攻的计算机,具备很强安全防范能力。

运维审计系统扮演着看门者的工作,所有对网络设备和服务器的请求都要从这扇大门经过。

因此运维审计系统能够拦截非法访问,和恶意攻击,对不合法命令进行命令阻断,过滤掉所有对目标设备的非法访问行为。

运维审计系统具备强大的输入输出审计功能,不仅能够详细记录用户操作的每一条指令,而且能够将所有的输出信息全部记录下来,也具备图形终端操作的审计功能,能够对多平台的多种图形终端操作做审计,并且运维审计系统具备审计回放的功能,能够模拟用户在线操作过程。

总之,运维审计系统能够极大的保护企业内部网络设备及服务器资源的安全性,使得企业内部网络管理合理化,专业化,信息化。

1.1关键字
用户名:也叫主帐号,使用运维审计系统的用户统称为用户名。

资源:运维审计系统管理的主机系统,数据库,网络设备等统称为资源。

例如AIX系统、Windows2000系统、DB2数据库、CISCO3560等。

从账号:从账号是资源中的账号,例如AIX中的root账号,Windows2000中的Administrator账号。

SSO单点登录:SSO(SingleSign-On)中文为单点登录,就是说在同一个地点完成对不同资源的访问。

策略:控制用户登录、设置密码、禁止使用命令、允许访问命令的方法。

1.2部署结构
运维审计系统部署逻辑图:
运维审计系统部署物理图:
如图,运维审计系统部署在被管服务器区的访问路径上。

运维审计系统接入用户网络中的方式是旁路,仅需要为系统分配一个IP,并确保该地址与需要运维的主机IP可达,协议可访问。

可以通过防火墙或者交换机的访问控制策略限定只能由运维审计系统直接访问服务器的远程维护端口。

维护人员维护被管服务器或者网络设备时,首先以WEB方式登录运维审计系统,运维审计系统会根据系统管理员预先设置好的访问控制权限,展现访问资源列表,提示用户选择可以访问的授权资源,用户选择完成后会自动直接登录到目标操作系统或网络设备。

1.3系统登录
登录页面对管理员及用户进行身份认证,以及策略校验,从而完成登录。

在地址栏上输入系统URL。

例如: ip。

IP地址为:
GE1:默认管理口为硬件平台的GE1口(也就是网卡1,在登录的web页面平台显示为GE0口)。

默认出厂管理口(GE1口)的ip地址为建议用户不要更改默认管理口(也就是硬件平台的GE1口)的配置,可以选择使用默认管理口以外的其他的接口。

如图所示,进入系统登录页面。

系统默认的超级管理员的帐号:admin,密码:!1fw@2soc#3vpn。

运维审计系统启用后,应及时修改口令,以免被非法登录。

根据管理员和用户的认证方式,管理员和用户可以用简单的静态用户名,口令进行认证,也可以持证书、令牌等强认证方式进行认证。

系统根据用户相关登录策略,例如:访问时间策略、访问地址策略、访问锁定策略等进行校验。

如果通过校验,用户可进入系统,否则禁止用户登录系统并给出相应提示。

1.4配置流程
1,点击“关于产品”,选择“注册码”,进行“产品注册”,根据“硬件特征码”生成注册文件,倒入注册文件,提交,完成注册。

2,点击“用户管理”,添加“用户信息”、“登录信息”、“角色”,选填“策略信息”,“所属组”等。

3,点击“角色管理”,添加“角色名称”,“用户”,“资源”,以及相应的权限管理。

如“用户管理”中是否能“新增用户”。

4,点击“资源管理”,添加“资源名称”,选择“资源类型”,添加“资源IP”,选择授权端口,在“资源从帐号”中,添加资源帐号。

5,点击“策略管理”,根据“指令字对象”、“访问时间对象”、“访问地址对象”创建“允许”或“禁止”策略;添加密码策略;添加账户锁定策略。

6,点击“授权管理”,添加“规则名称”,添加“授权信息”,也可以选择添加“策略”。

7,点击“单点登录”,点击相应的“授权协议”,访问相应的设备。

8,点击“审计管理”,可以进行“内部审计”,“行为审计”。

9,点击“组态报表”,可以进行“报表查询”,“报表管理”,“定时报表”,“自定义报表”操作。

10,点击“脚本管理”,添加“脚本名称”,“上传脚本”,“执行日期”,“授权资源”以及“授权资源的帐号/协议”。

11,点击“计划任务”:
选择“资源帐号口令修改计划”,添加“任务名称”,“任务循环周期”,“密码策略”,“资源信息”。

选择“资源帐号同步计划”,添加“任务名称”,“任务循环周期”,“资源信息”。

12,点击“系统设置”,可以查看“系统状态”,进行“网络设置”,设置“磁盘空间报警”,对“系统升级”,对邮箱、安全规则、Syslog进行设置,对“认证服务器”、“双机热备”进行设置。

二、单点登录(SSO)
2.1单点登录(SSO)
2.1.1界面
2.1.2功能说明
单点登录功能是用户访问授权资源的统一入口。

通过此功能,用户访问资源时只需要在运维审计系统上做一次登录,之后就可以在不输入用户名和密码的情况下使用各种授权资源。

当用户点击“单点登录”时,资源帐号列表中会显示所有授权给此用户的资源。

当用户点击资源列表后的授权协议方式按钮时,会自动进入目标资源,完成单点登录。

注意:要使用单点登录功能,必须安装单点登录控件,可到“单点登录->?单点登录/回访控件”中下载单点登录控件程序;就可以使用RDP访问资源,被管资源上要开启远程桌面服务,同时也可以使用SSH或TELNET方式访问资源,并且能够支持回放、实时监控等功能。

单点登录数据库时,要做好准备工作,首先数据库需要用户自行安装对应数据库的客户端,ORACLE数据库需要安装PLSQL7 ,MSSQL2000/2005/2008,需要安装Sqlserver management studio 2008。

然后“单点登录”界面,找到数据库的资源,点击协议进行登录。

2.2单点登录控件及工具安装
2.2.1界面
2.2.2功能说明
用户通过资源表单点登录到授权资源时需要安装单点登录控件。

并且新版本支持ssh的一键单点功能。

点击->“单点登录”进入单点登录界面,右上方有单点登录控件下载。

右键点击->选择目标另存为,下载完毕后关闭IE浏览器对控件进行安装。

Win7用户必须以管理员的身份进行下载安装。

勾选ssh资源,点击->“一键单点”实现批量登录ssh资源;
三、用户管理
3.1用户管理
3.1.1界面
3.1.2功能说明
用户名是运维审计系统管理员在运维审计系统上建立的资源使用帐户,必须由管理员在运维审计系统上添加并且授权相应的角色后的用户名才能使用。

用户管理,实现用户名生命周期管理的全部过程,包括用创建用户,锁定用户,激活账户,注销用户。

新版本的支持用户的快速添加模块功能。

用户管理:当管理员点击目录中的所有用户时,目录下侧显示区域会显示用户列表。

用户创建:管理员点击账号管理中的添加用户按钮,会进入用户基本信息页面,管理员在此添加新用户信息。

用户变更:管理员在用户管理页面中点击用户名,会进入用户变更页面,用以变更用户信息。

用户锁定:管理员可以在用户变更页面中点击锁定按钮用以锁定用户,同时会锁定授权资源的访问权限,并可以通过用户管理下的操作下拉列表直接锁定激活用户。

用户注销:管理员可以在用户列表中选择所要注销的用户选项,并选择操作下拉列表中的注销用户,按执行按钮注销用户。

快速添加:快速添加功能,可以帮组管理员快速有效的创建用户,方便操作,简化操作的流程。

而且支持新创建用户的复制、删除功能。

直观、简单明了。

3.1.4示例
登录系统后,点击用户管理,进入用户管理页面,点击添加用户按钮,进入添加用户信息页面。

填写用户的用户名、姓名等信息,在这里可以选择密码认证方式,策略,用户分组等。

信息填写完毕后,点击提交,完成用户的添加。

下次登录修改密码:选中此复选框,则下次登录则会提示修改密码。

管理员授权用户的初始密码比较简单,则需要登录时修改密码。

策略:可以添加或删除允许策略,禁止策略,密码策略,锁定策略。

状态:锁定则当前用户不可登陆,解锁则用户可以正常登陆,注销则删除当前账户。

3.2分组管理
3.2.1界面
3.2.2功能说明
分组管理是管理员在运维审计系统上建立的各个部门等的目录树,便于管理员快速找到相应的用户。

3.2.3操作描述
点击用户管理下树形目录上方的管理,进入分组管理页面,先选中相应的节点,然后点击添加同级或者添加下级就可以进行增加分组,选中相应的节点点击删除则删除该分组。

四、角色管理
4.1角色管理
4.1.1界面
4.1.2功能说明
角色管理是系统管理员定制系统角色的模块,可以对不同角色分配相应权限。

如:可以定义资源管理角色,该角色拥有资源管理的权限,则把此角色授权给自然人后,该自然人就可以进行资源管理了。

除资源管理外,还可以定义用户管理、资源管理、策略管理、授权管理、审计管理、组态报表、脚本管理、计划任务、系统设置等角色。

角色管理中可以查看最近新增角色和最近修改角色,所有的角色是按时间来排序的!
4.1.3操作描述
用户认证成功登录系统后,点击导航目录中的角色管理进入角色管理页面。

添加角色:点击添加角色按钮,进入角色信息编辑页面。

如图
用户/组:在此处给把该角色给相应的组或者给单个用户进行授权,让该组或者该用户拥有相应的资源授权和管理权限。

资源/组:给该角色授权相应的资源访问权限。

管理权限:给该用户或者用户组授权相应的管理权限。

五、资源管理
5.1资源管理
5.1.1.资源管理界面
5.1.2.功能说明
资源就是要通过运维审计系统管理的各种设备资源,运维审计系统上将资源类型划分为:Windows主机、Windows域控、Windows域内主机、Linux主机、Unix、数据库(独立)、数据库(系统)、网络设备(Radius)、网络设备(Local)、web 应用等。

资源管理实现被管资源的管理和被管资源的帐号管理。

新版本支持资源的分组导出功能,支持资源按时间排序查询功能。

添加了资源的API接口。

5.1.3操作描述
资源管理模块,点击添加资源,就可以进到资源编辑页面。

如果要删除,锁定资源,删除资源,生成密码信封,先选中要进行操作的资源,然后在操作后面的下拉列表框选择相应的操作,点击执行即可。

密码信封中的发送邮件支持txt、zip、xls三种模式的发送。

资源管理模块,点击分组导出,就可以选择相应的资源,点击确定即可
添加Windows、Unix、Linux、网络设备资源
1、首先点击添加资源按钮,进入编辑页面。

2、填写资源名称,以便识别。

3、选择资源的类型(比如Windows主机、Linux主机等)。

4、填写资源IP和连接IP,这两个IP皆为被管资源IP。

5、在所属组,给资源选择相应的组,以便管理(此为可选项)。

6、在授权端口,选择运维资源所采用的协议:
RDP协议:远程桌面,必须该资源开启3389端口,此协议只适用于Windows 系统。

SSH协议:SSH协议是一种远程命令行运维的方式,该协议采用的加密方式,采用SSH协议进行运维比Telnet更具安全性。

(资源必须开启了SSH协议,默认端口22)
Telnet协议:SSH协议是一种远程命令行运维方式,一般交换机、路由器设备采用Telnet协议进行运维。

(资源必须开启Telnet协议,默认端口23)FTP协议:传统的文件传输协议,可以与服务器之间进行上传和下载文件。

(必须在服务器上建立了FTP服务器,默认端口21)
SFTP协议:安全,可以为传输文件提供一种安全的加密方法。

sftp 与 ftp 有着几乎一样的语法和功能。

(默认端口22)
X11协议:Xwindows协议,此协议是用于连接Linux、Unix等系统的图像化界面的。

(资源必须要装有图形化界面才能使用该协议,运维计算机必须装有Xmanager,默认端口22)
VNC协议:VNC也是一种图形化界面的协议,要使用此协议服务器端必须要装有VNC服务器端,在配置账号的时候账号随便起名字,而密码则是服务器端的VNC密码。

(服务器端默认端口5900,运维端默认端口5600)
7、账号收集信息,这个功能是用于收集该资源的所有账号的,包括数据库账号,系统登陆账号等等,需要填写的是超级管理员的账号和密码。

账号收集需要保存退出后,通过修改模式进入资源编辑页面才能够显示出账号收集按钮。

(不推荐使用,收集出来的账号太多)
8、资源从账号,在这个地方填写该资源的登陆系统账号和密码。

支持从账号的试播功能,如果正确账号后面标有“ˇ”如果错误账号后面标有“×”。

9、保存,完成资源的添加。

添加数据库资源
添加数据库资源其他配置都和上面一样,需要注意的是授权端口变成了数据库信息,数据库信息必须要填写数据库名称,数据库服务,数据库类型,还有数据可占用的端口,另外在运维机必须装有版本和数据库客户端。

添加web应用
1、首先进入到添加资源页面。

2、资源类型选择web资源,其他照旧。

3、端口按照实际情况填写。

4、账号按实际情况填写。

5、根据账号个数及对应web参数选择填写参数内容。

6、登陆url去该系统的登陆页面查找填写用户名和密码的那个form表单上的.action,然后就是访问的ip地址加上那个.action这个。

比如。

7、登陆名表单就是填写代码里的用户名输入框的name,登陆密码表单就是填写密码框的name,参数名称对应账号和密码,然后保存。

(注意:WEB系统单点登录需要使用者分析对应WEB系统登录模块脚本,找到相关验证参数,包括:登录验证URL地址、用户名表单名称,密码表单名称等,再建立从帐号即可WEB单点登录。

由于配置WEB单点登录需要有网络管理基础,请使用者寻找企业网络管理员配合下进行配置。

)
各种资源类型配置特别说明
●Unix主机,代表所有类Unix系统,例如:HP Unix、AIX、
Sun Solaris、FreeBSD等。

●Linux主机,代表所有的Linxu系统,例如:RedHat、Debian
等。

●Windows主机,此资源有两种连接方式,分别是Telnet和代
理程序。

Windows的Telnet不稳定,所以建议使用代理程序连接。

如果采用Telnet连接,需要将Windows操作系统的Telnet服务打
开。

如果使用代理程序连接,则不必配置管理员和管理员密码即可
做帐号收集和同步。

●Windows主机(域控制器),此资源有两种连接方式,分别是
Telnet和代理程序。

建议采用代理程序连接。

Windows域控服务器
的帐号收集会收集所有域帐号。

●Windows主机(域内),此资源没有依赖于Windows域控服务
器中的帐号,添加时除了名称和IP,要配置所属域控服务器。

●数据库(独立),此处的独立数据库指帐号和操作系统不共
用的数据库,例如Oracle、Sql Server、Mysql、Sybase等。

●数据库(系统),此处的系统数据库指帐号和操作系统共用
的数据库,例如DB2、Informix等。

●网络设备(Radius),指3A指向运维审计系统的网络设备(运
维审计系统内含Radius服务器,可以作为网络设备的认证服务器)。

此种资源不用定义从帐号即可授权。

●网络设备(Local),没有配置3A或者3A没有指向运维审计
系统的网络设备。

此种资源需要定义从帐号才能做授权。

●Web应用,通过IE访问的软件(B/S架构,登陆无验证码)。

●自定义C/S客户端程序,通过发布服务器实现客户端的调用
和操作的审计功能。

六、策略管理
策略是针对主帐号和从帐号的,因此策略建立后,必须在主帐号和从帐号中应用策略,策略才能生效。

6.1指令字对象
6.1.1界面
添加指令对象界面:
6.1.2功能说明
指令字对象是一个添加指令的集合对象,通过结合时间对象、地址对象组合成为不同的策略。

主要包括允许策略、禁止策略两种。

6.1.3操作描述
指令字对象:在策略管理目录下的指令字对象点击添加指令字对象,进入指令字对象添加页面,输入相关指令字集合。

信息包括:对象名称、对象描述、对象状态、指令字。

填写完成后点击保存完成指令字对象的添加。

6.2.1界面
添加时间对象界面:
6.2.2功能说明
访问时间对象,用于限制主帐号访问系统及访问资源的时间。

通过结合指令字对象、地址对象组合成为不同的策略。

主要包括允许策略、禁止策略两种。

6.2.3操作描述
访问时间对象:在策略管理目录下的访问时间对象点击添加时间对象,进入时间访问对象添加页面,选择相应的时间段。

信息包括:对象名称、对象描述、对象状态、具体时间(具体时间包括三种方式:按周、时间段、时间点),填写完毕后点保存完成时间对象的添加。

6.3.1界面
添加地址对象界面:
6.3.2功能说明
访问地址对象,用于限制主帐号访问系统及访问资源时使用的客户端地址。

通过结合指令字对象、时间对象组合成为不同的策略。

主要包括允许策略、禁止策略两种。

6.3.3操作描述
访问地址对象:在策略管路目录下的访问地址对象点击添加地址对象,进入地址访问对象添加页面,添加相应的IP地址。

信息包括:对象名称、对象描述、对象状态、地址,填写完毕后点保存完成地址对象的添加。

6.4账户锁定策略
6.4.1界面
添加锁定策略界面:
6.4.2功能说明
账户锁定策略,用于在用户口令输入错误时锁定用户,避免用户的密码被暴力破解。

可以配置输入失败的次数和锁定时间。

访问锁定策略应用于用户,在用户添加和修改时可以指定此策略。

6.4.3操作描述
账户锁定策略:在策略管路目录下的账户锁定策略点击添加锁定策略,进入账户锁定策略添加页面,添加相应策略。

信息包括:策略名称、策略描述、策略
状态、登录失败次数、锁定时间、重置计数时间。

填写完毕后点保存完成账户锁定策略的添加。

6.5密码策略
6.5.1界面
添加密码策略界面:
6.5.2功能说明
密码策略,用于限制用户口令强度,避免用户配置的密码过于简单,被暴力破解。

可以配置密码长度,包含大写字母长度、小写字母长度、数字长度、允许特殊字符、修改密码周期、禁用关键字等。

密码策略应用于用户,在用户添加和修改时可以指定此策略。

6.5.3操作描述
密码策略:在策略管理目录下的账户锁定策略点击添加密码策略,进入密码策略添加页面,添加相应密码选项。

信息包括:策略名称、策略描述、策略状态、小写字母个数、大写字母个数、数字个数、允许使用字符、禁止关键字、密码修改周期,填写完毕后点保存完成账户锁定策略的添加。

6.6允许策略
6.6.1界面
添加允许策略界面:
6.6.2功能说明
允许策略,主要由地址访问对象、时间访问对象、指令对象三者组合而成,它是用于同时授权给用户和从账号,允许用户在策略所允许的时间操作地址对象,并只允许使用策略指令对象。

6.6.3操作描述
允许策略:在策略管路目录下的允许策略点击添加允许策略,进入允许策略添加页面,添加相应允许策略选项。

信息包括:策略名称、策略描述、策略状态、时间对象、地址对象、指令字对象,填写完毕后点保存完成允许策略的添加。

6.7禁止策略
6.7.1界面
添加禁止策略界面:
6.7.2功能说明
禁止策略,主要由地址访问对象、时间访问对象、指令对象三者组合而成,它是用于同时授权给用户和从账号,禁止用户在策略所禁止的时间操作禁止操作的地址对象,并禁止使用策略指令对象。

6.7.3操作描述
禁止策略:在策略管路目录下的禁止策略点击添加禁止策略,进入禁止策略添加页面,添加相应禁止策略选项。

信息包括:策略名称、策略描述、策略状态、时间对象、地址对象、指令字对象,填写完毕后点保存完成禁止策略的添加。

七、授权管理
7.1授权管理
7.1.1界面
添加规则界面:
7.1.2功能说明
授权管理主要是对给用户或用户组进行资源的授权,资源账号的授权,访问资源协议的授权,并且可以关联相关的策略进行访问资源限制。

规则名称:新增规则的名称。

备注:对新增规则的描述。

状态:确定当前规则的状态。

授权信息:对用户或用户组进行资源的相关授权。

策略:添加此规则的限制策略。

7.1.3操作描述
授权管理,点导航目录的授权管理进入到授权管理页面。

在规则列表上方点击添加规则进入新增规则编辑页面,填写规则名称、备注、状态的信息。

授权信息此处点击添加进入到授权信息页面,首先选择需要授权的用户或用户组(用户和用户组只能选择一项),然后点击下一步进入到资源选择页面,选择相应的资源,点击下一步进入到资源账号和授权协议的页面,选择需要授权的账号和协议,点击确定完成对用户使用资源的授权。

最后添加此规则的限制策略就完成了规则的添加。

7.1.4规则的锁定和注销
如果要对规则进行删除或者锁定规则让规则暂时失去作用,则需要通过操作的下拉列表来实现,首先选择需要执行注销或锁定的规则,然后选中操作后面下拉列表的选项(包括注销规则、锁定规则、解锁规则三项),点击执行按钮,就完成了对规则的锁定或注销。

八、工单管理
界面
临时授权功能说明
申请目标设备的临时访问授权;临时授权可限制授权协议、账号及生效时间等。

临时授权申请方式通过Web 页、邮件及短信(短信网关及短信猫)的方式呈交对应设备负责人审批 .
操作描述
在功能界面点击“工单管理”进入,左边有两大部分,
“我的工单信息”是用于创建我的申请单,然后点击“新建”将相应的信息填写完毕后,点击“保存”即可
“其他工单信息”是用于查看需要审批或者自己提交工单后审批的结果。

可执行工单的“允许”“拒绝”“废弃”。

说明:新建工单的用户需要有上级领导,上级领导可以在用户管理模块,用户信息栏中单击【管理】进行添加领导,并在用户添加到该组。

指令申请功能说明
当对用户使用的规则的禁止策略中包含指令字对象时,使用该用户进行单点登录,输入该指令时,该信息会出现在指令申请列表中
二次申请功能说明:
当用户进行单点登录时,对于一些比较重要的资源,用户需要再次申请,这时的申请信息会出现在二次申请列表中。

相关文档
最新文档