天玥运维安全网关V60-运维人员使用手册-v10

2016
适用范围：内部运维人员使用手册
天玥运维安全网关V6.0
运维堡垒机
适用范围：天玥OSM系列
精细控制合规审计
北京启明星辰信息安全技术有限公司
目录
1概述 (1)
2用户登录 (1)
** WEB方式 (1)
** WEB访问方式 (1)
** 相关资料下载 (2)
** 运维客户端 (2)
** 登录认证 (3)
3环境准备5
** 环境检测 (5)
** 安装JA V A控件 (6)
** 浏览器设置 (8)
** 配置本地工具 (11)
** 修改密码 (13)
4运维说明14
** RDP/VNC访问 (13)
** Telnet/SSH/Rlogin访问 (15)
** FTP访问 (16)
** 数据库访问 (16)
** 批量登录主机 (17)
** 工单操作 (18)
** 最近访问资源 (19)
** 高级搜索 (20)
** 菜单模式 (20)
** 命令行方式 (20)
** 图形方式 (25)
5FAQ28
** 登录提示应用程序被阻止 (27)
** 登录设备报错 (28)
** 提示Java过时需要更新 (29)
** 调用应用发布工具失败 (30)
** 使用dbvis提示JA V A环境变量30
1概述
启明星辰天玥运维安全网关V6.0，是启明星辰综合内控系列产品之一。

本手册详细介绍了天玥运维安全网关V6.0进行运维操作过程的使用方法，用户可参考本手册，通过天玥运维安全网关V6.0进行各种运维操作。

2用户登录
运维用户可选择通过以下方式使用天玥运维安全网关V6.0进行运维操作：（1）WEB方式（依赖JAVA环境）；（2）运维客户端方式（不依赖JAVA环境）；（3）客户端工具直连模式（不依赖浏览器和JAVA环境，目前支持运维SSH、TELNET、RDP、VNC，使用方法参见本手册4.9章节）。

2.1WEB方式
2.1.1WEB访问方式
通过浏览器访问天玥运维安全网关V6.0系统，如图2.1.1所示：（默认URL：https://天玥OSM系统的IP，如果web服务端口不是默认的443，登录URL地址需要加上web服务当前的端口号，例如：**）。

浏览器推荐：IE8及以上版本浏览器、谷歌44及以下版本浏览器和火狐最新版本浏览器。

图2.1.1：WEB访问方式
2.1.2相关资料下载
运维用户在天玥运维安全网关V6.0系统主登录界面下方或运维界面右上方可以看到【相关下载】按钮，点击【相关下载】，系统会跳转到下载页面，提供运维所需的的证书、JAVA运行环境、用户手册、离线播放器、运行环境监测助手下载和运维客户端，如下图所示：
图2.1.2相关下载
2.2运维客户端
使用天玥运维安全网关V6.0运维客户端方式需要先通过WEB方式登录管理页面，在“相关下载”中下载运维客户端，并进行安装。

安装完成后，在桌面或【开始】程序栏中选择运维客户端图标，打开运维客户端输入天玥运维安全网关V6.0系统IP地址（如果web服务端口不是默认的443，登录时需要在IP后面加上web服务当前的端口号，例如：172.16.67.201:10443），点击“确定”即可进入主登录界面。

图2.2.1运维客户端
图2.2.2运维客户端-登录界面
2.3登录认证
天玥运维安全网关V6.0使用WEB方式和运维客户端方式访问时，用户登录认证分为：单因素认证登录和双因素认证登录。

由管理员进行设置，运维人员需要从管理员处获取登录的相关信息。

图2.3.1：系统登录界面
⏹用户名密码登录：输入用户名、密码即可登录（包括静态账号密码认证、LDAP认证、
windowsAD认证和Radius认证）。

⏹USB令牌认证登录：用户需要在运维客户机上插上管理员为用户颁发的USB令牌，输入
用户名、密码后，点击“登录”，会提示进行USB令牌认证，输入管理员为此用户设置的令牌密码，即可登录运维界面，如图2.3.2所示：
图2.3.2 用户登录-USB令牌认证
⏹动态口令卡认证登录：管理员为用户提供账号和对应的动态口令卡，用户在输入用户名、
密码后，点击“登录”，会提示进行动态口令卡认证，用户输入登录账号对应的动态口令卡上获取的动态密码，即可登录成功，如图2.3.3所示：
图2.3.3 用户登录-动态口令卡认证
⏹吉大正元电子证书认证登录：用户在输入用户名、密码后，点击“登录”，会提示进行
吉大正元电子证书认证，证书认证成功后即可登录成功，如图2.3.4所示：
图2.3.4 用户登录-吉大正元电子证书认证
3环境准备
3.1环境检测
用户在使用天玥运维安全网关V6.0系统WEB方式进行运维操作时（天玥运维安全网关V6.0运维客户端方式不依赖JAVA环境，首次使用也需要运行环境检测助手），所使用的客户端必须满足以下环境要求：
1.客户端操作系统要求：windows XP SP3、windows7、windows8、windows10
2.客户端RDP版本要求：通过天玥运维安全网关V6.0使用RDP运维windows主机需要客户端RDP版本6.0及以上、通过天玥运维安全网关V6.0系统使用应用发布工具需要客户端RDP版本6.1及以上；
**运维方式浏览器的要求：IE8及以上版本浏览器、谷歌44及以下版本浏览器和火狐浏览器（建议使用最新版本火狐和最新版本JRE）；
**环境：JRE 6及以上版本；
5.导入根证书（运行首页下载的环境检测助手自动完成根证书导入）；
6.天玥运维安全网关V6.0系统的本地运行组件（运行首页下载的环境检测助手自动完成本地运行组件的加载）。

运维终端首次使用天玥运维安全网关V6.0进行运维操作，需要手动运行环境检测助手对本机环境进行检测，环境检测助手会自动完成导入根证书和更新天玥运维安全网关V6.0系统的本地运维组件。

在登录天玥运维安全网关V6.0主界面时，下载环境检测助手。

图3.1.1 下载环境检测助手
运行环境检测助手，检测本机环境。

图3.1.2 运行环境检测助手
3.2安装JAVA控件
如果使用WEB方式进行运维操作，当环境检测助手检测到JA V A缺失，则需要安装JA V A 控件。

可以选择在运维登录页面中的相关下载中进行下载。

如图3.2.1所示，注意：windows 操作系统是32位的用户，下载安装“Java运行环境32位”；windows操作系统是64位的用户，需要下载安装“Java运行环境32位”和“Java运行环境64位”。

图3.2.1 Java软件下载
下载JRE并在本地计算机安装。

安装完成后，进入JA V A控制面板，确认已勾选“启用浏览器中的Java内容”，如下图所示。

图3.2.2 Java控制面板安全设置
在JAVA控制面板高级属性中，确保“对以下项执行已签名代码证书撤销检查”和“对以下执行TLS证书撤销检查”两项为不检查，如图3.2.3所示。

图3.2.3 Java控制面板高级属性
3.3浏览器设置
在IE浏览器中internet选项-安全-可信站点中加入天玥运维安全网关V6.0系统的URL 地址，如图3.3.1所示。

图3.3.1 internet选项信任站点
用户使用火狐浏览器登录天玥运维安全网关V6.0系统时，需要进行如图3.3.2-3.3.4设置:
图3.3.2火狐浏览器-例外站点
图3.3.3火狐浏览器-安全设置1
图3.3.4火狐浏览器-安全设置2
如果是谷歌内核的浏览器，在地址栏输入chrome://flags/#enable-npapi，启用NANPI 插件，如图3.3.5所示（注意：谷歌浏览器45及以上版本不支持调用JAVA控件）。

图3.3.5 谷歌浏览器启用NANPI插件
进入设置>>高级设置>>隐私设置>>内容设置>>插件>>停用单个插件，找到“Java(TM) ”，勾选“始终允许”。

如图3.3.6所示。

图3.3.6 谷歌浏览器设置
3.4配置本地工具
在运维界面中，点击【配置工具】，进入本地客户端工具路径配置界面。

如图3.4.1所示：
图3.4.1配置工具1
各运维工具推荐版本如下表所示：
服务本地运维工具推荐版本说明
Oracle PLSQLDev 7、8、9、10版本
Toad4Oracle **
SQLPlus 9i、10g、11g 应用发布推荐使用11g
ImpExp **
Navicat Premium **
Dbvis **
SQL server SSMS SqlService2008R2
Navicat Premium **
sybase SqlAdvantage **
informix Sqleditor **
Dbvis **
db2 Db2cmd
Dbvis **
SqlDbx
SqlDbxPro
QuestCentral **
mysql Navicat Premium **
Mysql
Dbvis **
teradata Teradata SQL
**
Assistant
postgresql PgAdmin3 **
Dbvis **
Telnet Putty 只能使用系统自带版本，运行
环境检测助手即可下载到本地SecureCRT **及以上版本
Xshell **及以上版本**版本无法连接资源主机
SSH Putty 只能使用系统自带版本，运行
环境检测助手即可下载到本地SecureCRT **及以上版本
Xshell **及以上版本**版本无法连接资源主机
WinSCP **
FlashFXP **
SSH Secure Shell
**
Client
http IE IE8 只能使用应用发布
Firefox 35及以下版本只能使用应用发布
FTP WinSCP **
FFFTP **
FlashFXP **
RDP mstsc **及以上版本
VNC mstsc **及以上版本如果目标资源服务为 RealVNC
5.x Server ，需对 VNC Server
做如下配置方能运维：
(1)配置Security为
Encryption 为 prefer on；
(2)配置Security为
Authentication为VNC
password 或者 None
rlogin Putty 只能使用系统自带版本，运行
环境检测助手即可下载到本地
操作说明：
1、选择待保存路径的工具，点击其右侧“修改”按钮，填入本地工具路径信
息，点击保存即可；
2、此页面列表中的客户端工具，均支持用户调用时，代填连接参数以实现直
接登录目标主机；
3、如通过不同本地计算机在不同时间使用用户账号登录的情况下，需要重新
配置本地工具路径。

3.5修改密码
在运维界面中，点击【修改密码】，修改用户的登录密码，如图3.5.1所示：
图3.5.1 运维账号密码修改
修改密码：修改本账号的登录密码。

[每次修改密码后请用户牢记密码]（如用户被设置为需要通过令牌认证，可修改令牌登录密码）
4运维说明
4.1RDP/VNC访问
运维用户成功登录天玥运维安全网关V6.0后，选择需要通过RDP/VNC协议实现远程访问的资源，点击服务图标，右侧会显示该资源下RDP或VNC的所有从账号，选择从账号后，再选择运维工具（V6.0.3及以后版本VNC的运维都通过mstsc工具进行，本地工具不需要再配置VNC的工具路径，如图4.1.2所示），使用RDP服务时可选择屏幕大小、RDP剪切板功能、磁盘映射功能和访问方式，最后点击“连接服务”，如图4.1.1所示：
图4.1.1 RDP访问
图4.1.2 VNC访问
⏹查询：查询可访问的资源
⏹选择资源：选择待访问的资源名称
⏹IP地址：若该资源有多个IP地址，请选择待访问的IP地址
⏹服务名称：显示当前选择要访问的服务名
⏹选择账号：选择该服务的系统账号进行访问
⏹自定义账号：在运维操作界面登录目标资源前，可选择自行输入登录资源的账号和
密码
⏹选择工具：选择本地工具、应用发布访问该服务
⏹屏幕大小：选择远程桌面连接目标服务器时屏幕的大小
⏹开启RDP剪切板：选择远程桌面连接目标主机后是否启用剪切板功能
⏹开启磁盘映射：选择远程桌面登录连接目标主机后是否启用磁盘映射功能和具体映
射哪些磁盘
⏹访问方式：当使用远程桌面服务时，可选择NORMAL和CONSOLE。

NORMAL：为普通
的远程桌面连接模式；CONSOLE：等同于本地终端显示器登录
⏹连接服务：单击后通过客户端连接至目标主机
4.2Telnet/SSH/Rlogin访问
运维用户成功登录天玥运维安全网关V6.0后，选择需要通过Telnet/SSH/Rlogin协议实施远程访问的资源，点击服务图标，右侧会显示该资源下待访问服务的所以从账号，选择从账号后，再选择运维工具，最后点击“连接服务”，如图4.2.1-4.2.2所示：
图4.2.1 telnet访问
图4.2.2 SSH访问
⏹查询：查询待访问的资源
⏹选择资源：选择待访问的资源名称
⏹IP地址：若该资源有多个IP地址，请选择待访问的IP地址
⏹服务名称：显示当前选择要访问的服务名
⏹选择账号：选择该服务的系统账号进行访问
⏹自定义账号：在运维操作界面登录目标资源前，可选择自行输入登录资源的账号和
密码
⏹选择工具：选择本地工具、应用发布或者WEB控件访问该服务
⏹WEB控件：选择WEB的控件访问该服务
⏹连接服务：单击后通过Web控件或者客户端连接至目标主机
4.3FTP访问
运维用户成功登录天玥运维安全网关V6.0后，选择需要通过FTP协议实施远程访问的资源，点击服务图标，右侧会显示该资源下待访问服务的所以从账号，选择从账号后，再选
择运维工具，最后点击“连接服务”，如图4.3.1所示：
图4.3.1FTP访问
⏹选择资源：选择待访问的资源名称
⏹查询：查询待访问的资源
⏹IP地址：若该资源有多个IP地址，请选择待访问的IP地址
⏹服务名称：显示当前选择要访问的服务名
⏹选择账号：选择该服务的系统账号进行访问
⏹自定义账号：在运维操作界面登录目标资源前，可选择自行输入登录资源的账号和
密码
⏹选择工具：选择本地工具、应用发布或者WEB控件访问该服务（支持Winscp和
FlashFXP客户端工具）
⏹WEB控件：选择WEB的控件访问该服务
⏹连接服务：单击后通过Web控件或者其它客户端连接至目标主机
4.4数据库访问
运维用户成功登录天玥运维安全网关V6.0后，选择需要通过数据库Oracle、Sybase、DB2等协议进行远程访问的资源，点击服务图标，右侧会显示该资源下待访问服务的所以从账号，选择从账号后，再选择运维工具，最后点击“连接服务”，如图4.4.1所示：
图4.4.1 数据库访问
⏹选择资源：选择待访问的资源名称
⏹查询：查询待访问的资源
⏹IP地址：若该资源有多个IP地址，请选择待访问的IP地址
⏹服务名称：显示当前选择要访问的服务名
⏹选择账号：选择该服务的系统账号进行访问
⏹自定义账号：在运维操作界面登录目标资源前，可选择自行输入登录资源的账号和
密码
⏹选择工具：选择本地工具、应用发布访问该服务
⏹连接服务：单击后通过本地客户端连接至目标主机
4.5批量登录主机
批量登录主机功能用于使用SecureCRT工具通过SSH或者TELNET协议一次使用多个账号或登录多台主机。

选择需要访问的SSH或TELNET服务的资源，选择SecureCRT工具后，如图4.5.2所示可看到【添加到批量连接】图标，选择后可将此资源添加到【批量连接】组中。

图4.5.1 运维操作界面
图4.5.2 添加批量连接
在添加好批量连接组后，选择【批量连接】，选择本次需要批量连接的主机，从账户，和连接方式后，选择【批量连接】进行批量登录主机，如图4.5.3-4.5.4所示
图4.5.3批量连接
图4.5.4批量连接成功
4.6工单操作
当管理员为运维用户下发工单后，运维用户登录天玥运维安全网关V6.0，可以查看工单信息，并执行工单。

运维用户登录天玥运维安全网关V6.0系统，选择“工单信息”，如图
4.6.1所示：
图4.6.1运维界面
进入工单信息页面后，运维用户可以看到管理员下发给他的所有工单信息，当运维用户进行工单操作时，需要选择相应工单后的“连接”选项，如图4.6.2所示：
图4.6.2工单信息
进入工单操作页面后，运维用户可以看到该工单授权给运维用户的运维资源，并提供连接运维资源主机通道，如图4.6.3所示：
图4.6.3工单操作
4.7最近访问资源
运维用户最近访问的10个运维资源会在运维菜单左侧目录树“最近访问资源”选择中
列出，方便用户在此访问该资源(天玥运维安全网关V6.0系统V6.0.3及以后版本具备该功能)，如图4.7.1所示：
图4.7.1最近访问资源
4.8高级搜索
当运维资源较多的情况下，要快速定位运维资源主机，除了普通搜索之外还可以进行高级搜索，对资源名称、所属组、IP地址、服务等进行关联搜索(天玥运维安全网关V6.0系统V6.0.3及以后版本具备该功能)，如图4.8.1所示：
图4.8.1高级搜索
4.9菜单模式
4.9.1命令行方式
当运维终端是Linux、MAC等系统，或是该终端本地环境不满足我们基本要求，可以无需登录天玥运维安全网关V6.0web运维界面，而使用SSH工具直连天玥运维安全网关V6.0来进行安全运维，目前此种菜单模式支持的运维方式有SSH和telnet。

(天玥运维安全网关
V6.0系统V6.0.3及以后版本具备该功能)
首先通过SecureCRT工具连接天玥运维安全网关V6.0，主机名为天玥运维安全网关V6.0管理IP地址，端口号为5107，如图4.9.1所示：
图4.9.1连接天玥运维安全网关V6.0
登录账号密码和该运维用户从web界面登录的账号密码一致，如图4.9.2所示：
图4.9.2登录天玥运维安全网关V6.0
进入菜单管理界面后，运维用户可以开始选择运维资源。

其中“Enter”建为确定，“Esc”建为返回，如图4.9.3-4.9.7所示：
图4.9.3选择资源组
图4.9.4选择资源主机
图4.9.5选择服务
图4.9.6确认连接
图4.9.7开始安全运维
注意事项：SSH连接必须保证终端类型为VT100或xterm，字符编码：UTF-8（如目标设备字符编码为非 UTF-8，需用户在成功登录目标设备后，再自行调整字符编码），如图4.9.8-4.9.9所示：
图4.9.8终端类型
图4.9.9终端编码
4.9.2图形方式
运维用户若希望通过RDP、VNC协议远程访问主机资源，可以启用Windows系统默认的远程桌面连接工具（RDP：mstsc.exe）进入图形化访问资源菜单。

如图4.9.10所示，直接输入天玥运维安全网关V6.0系统IP地址，端口为5106，然后选择连接，如果需要映射磁盘，请展开选项卡进行设置，如图4.9.11所示。

图4.9.10图形方式访问菜单登录
图4.9.11开启磁盘映射
输入运维账号、密码，如图4.9.12所示。

图4.9.12运维用户身份认证
运维账号认证通过后，展现出用户可访问的资源列表，如图4.9.13所示，选择对应的资源和账号后，选择“连接”，便会登录到目标服务器上，如图4.9.14所示。

图4.9.13资源菜单
图4.9.14连接到服务器
5FAQ
5.1登录提示应用程序被阻止
问题：登录时提示如图5.1.1所示，应用程序被安全设置阻止时
解决方式：在控制面板中的JAVA安全设置中，将访问天玥运维安全网关V6.0的URL 地址添加到例外站点列表，如图5.1.2所示。

图5.1.1 应用程序被安全设置阻止
图5.1.2 JA V A安全设置-添加例外站点
5.2登录设备报错
问题：如图5.2.1所示，用户使用天玥运维安全网关V6.0使用本地工具连接资源设备时候，出现类似的提示：
图5.2.1 连接服务错误提示
解决方式：关闭360安全卫士后，打开IE浏览器，清除浏览器的cookie信息（如图5.2.2），关闭所有浏览器，再重新打开IE浏览器登录天玥运维安全网关V6.0系统。

图5.2.2清除cookie信息
5.3提示Java过时需要更新
问题：通过天玥运维安全网关V6.0访问资源连接服务时，浏览器提示“Java(TM)已被阻止，因为它已过时并且需要更新”，正在加载控件…，如果此时不做操作会造成无法成功调用JAVA控件，一直读秒超时。

解决方式：（1）选择这次运行，已保证本次浏览器能正常调用Java控件，如图5.3.1所示；（2）在浏览器中internet选项-安全-可信站点中加入天玥网络审计系统的URL地址，如图5.3.2所示。

图5.3.1 正在加载控件
图5.3.2 internet选项信任站点
5.4调用应用发布工具失败
问题：运维用户使用应用发布程序发布的运维工具连接资源长时间没有反应，即没有调用到运维工具，也没有报错。

解决方式：有可能是运维用户的RDP客户端（mstsc）版本低于6.1。

具体方法：通常XP(SP3)默认mstsc的版本低于 6.1，安装windows的RDP更新补丁：链接：/share/link?shareid=742507511&uk=1968479635 密码：6kd6
5.5使用dbvis提示JAVA环境变量
问题：使用dbvis运维工具访问资源时，提示“未安装JRE或未配置JAVA_HOME环境变量”，如图5.5.1所示。

图5.5.1 dbvis调用提示
解决方式：因为dbvis需要基于JRE环境，需要设置dbvis工具所在终端的环境变量JA V A_HOME的值为JRE的实际路径（如果调用应用发布工具，需要管理员设置应用发布服务器上的环境变量JA VA_HOME），如下图所示。

图5.5.2 设置环境变量JA V A_HOME。