啓明星辰天玥網絡安全審計系統手冊

時間 2019-11-07

原文原文鏈接

1、初始化配置

1.1 登陸信息

啓明星辰OSM-3600天玥網絡安全審計系統的出廠默認管理地址以下：web

接口編號windows	IP地址瀏覽器	訪問方式安全	用戶名服務器	密碼網絡
管理口併發	10.0.0.1/24app	https://10.0.0.1:8889運維	administratortcp	administrator
Console		波特率爲115200	sysadm	sys$admin@028
SSH		端口號2222	sysadm	sys$admin@028

在進行初始化配置時，本機地址須要配置成10.0.0.200/24才能登陸設備。

1.2 運維終端到堡壘機防火牆必需要開放的端口

端口號 TCP	協議	描述
443	HTTPS	向外提供 Web 訪問（支持更改默認端口）
2222	SSH	堡壘機遠程維護通道，可在網絡上屏蔽，屏蔽後用串口訪問代替，不能更改
8080	運維通道協議	WEB或專用運維客戶端運維模式下必須開放, （支持更改默認端口）
5106	RDP	客戶端直連堡壘機菜單模式運維方式，支持訪問RDP,VNC協議資源（支持更改默認端口）
5107	SSH	客戶端直連堡壘機菜單模式運維方式，支持訪問TELNET,SSH協議資源（支持更改默認端口）
5110	實時監控	用於管理員在管理界面使用實時監控功能（支持更改默認端口）

1.3 應用發佈服務器和堡壘機開放端口

端口號	服務	協議	描述
3389	RDP	TCP	向用戶開放，支持修改端口號
5108	設備管理	TCP	向堡壘機開放，不能修改端口號

1.4 運維堡壘機針對應用發佈服務器防火牆開放端口

端口號	服務	協議	描述
53	應用發佈AD域 DNS	TCP/UDP	嚮應用發佈服務器開放，不能修改端口號
88	應用發佈AD域 kerberos	TCP/UDP	嚮應用發佈服務器開放，不能修改端口號
135	應用發佈AD域 End Point Mapper (DCE/RPC Locator Service)	TCP	嚮應用發佈服務器開放，不能修改端口號
137	應用發佈AD域 NetBIOS Name Service	UDP	嚮應用發佈服務器開放，不能修改端口號
138	應用發佈AD域 NetBIOS Datagram	UDP	嚮應用發佈服務器開放，不能修改端口號
139	應用發佈AD域 NetBIOS Session	TCP	嚮應用發佈服務器開放，不能修改端口號
389	應用發佈AD域	TCP/UDP	嚮應用發佈服務器開放，不能修改端口號
445	應用發佈AD域 SMB over TCP	TCP	嚮應用發佈服務器開放，不能修改端口號
464	應用發佈AD域 Kerberos kpasswd	TCP/UDP	嚮應用發佈服務器開放，不能修改端口號
636	應用發佈AD域 LDAPS (only if "tls enabled = yes")	TCP	嚮應用發佈服務器開放，不能修改端口號
1024	應用發佈AD域 Dynamic RPC Ports*	TCP	嚮應用發佈服務器開放，不能修改端口號
3268	應用發佈AD域 Global Cataloge	TCP	嚮應用發佈服務器開放，不能修改端口號
3269	應用發佈AD域 Global Cataloge SSL (only if "tls enabled = yes")	TCP	嚮應用發佈服務器開放，不能修改端口號
5109	設備事件通知	TCP	嚮應用發佈服務器開放，不能修改端口號
5110	審計日誌	TCP	嚮應用發佈服務器開放，不能修改端口號
5353	組播DNS	TCP/UDP	嚮應用發佈服務器開放，不能修改端口號

1.5 發佈服務器配置需求

應用發佈服務器操做系統只支持Windows 2008 Server Enterprise R2（64位）SP1版本；或者Windows Server 2012 R2 Standard（64位）版本，且配置windows管理員帳號和密碼；

應用會話併發數	內存	CPU	適用客戶
60併發	8G	2.8G四核*1顆	使用應用發佈的運維人員30如下
100併發	12G	2.8G四核*1顆	使用應用發佈的運維人員50如下
150併發	16G	3.2G四核*1顆	使用應用發佈的運維人員80如下
200併發	24G	3.2G四核*1顆	使用應用發佈的運維人員100如下
250併發	32G	3.4G四核*1顆	使用應用發佈的運維人員130如下
300併發	40G	2.9G六核*1顆	使用應用發佈的運維人員150如下

2、系統登陸

2.1 系統登陸

天玥運維安全網關V6.0系統登陸界面（URL地址：https://OSM-Server的管理IP）如圖所示：

2.2 用戶權限

天玥運維安全網關V6.0系統自帶三種類型系統級管理員：sysuseradmin、sysauditor和sysadmin，各類類型帳號的權限範圍以下：

帳號類型	權限範圍	默認帳號/密碼
系統帳號管理員	系統帳號管理（系統審計員、系統管理員的建立和管理）；認證方式管理；密碼策略	sysuseradmin/ sua_password$123
系統審計員	查詢系統管理日誌；查詢全部用戶登陸日誌；系統管理報表	sysauditor/ sa_password$123
系統管理員	運維用戶管理；業務管理員管理；資源管理；策略管理；工單管理；實時監控；查詢運維日誌、查詢運維用戶登陸日誌和查詢業務管理日誌；審計和業務管理報表；從帳號改密；系統升級；配置數據備份；電源管理；高可用性；網絡配置；時間設置；Web運維相關設置；接口配置；應用發佈管理	sysadmin/ password$123
業務管理員	運維用戶管理；資源管理；策略管理；工單管理；實時監控；查詢運維日誌、查詢運維用戶登陸日誌和查詢業務管理日誌；審計和業務管理報表；從帳號改密	由系統管理員建立
普通用戶（運維帳號）	運維操做	由系統管理員或業務管理員建立

備註：系統管理員的帳號和密碼爲系統升級到V6.0.2.8489版本前的超級管理員的帳號和密碼，V6.0.2.8489及之後版本系統重置後系統管理員的帳號爲：sysadmin，密碼爲：password$123

2.3 軟件環境安裝

2.3.1 環境檢測

運維終端首次使用天玥運維安全網關V6.0，須要用戶從天玥運維安全網關V6.0登陸界面手動下載環境檢測助手進行手動檢測。登陸Web界面，下載環境檢測助手。

運行環境檢測助手，檢測本地環境。

在環境檢測項中，打勾項表示環境正常；感嘆號項提醒用戶該環境錯誤或缺失，可是不影響正常使用；打叉項表示該環境項錯誤或缺失，並且會影響正常操做，須要用戶手工修復，並提供相應的下載連接。

當用戶經過web登陸堡壘機時，瀏覽器不會再自動檢測環境，只有經過環境檢測助手進行手動檢測。若是本地環境有問題，雖然也能夠正常登陸web界面，可是會致使運維等操做的失敗。

若是用戶第一次登陸堡壘機，會提醒用戶下載環境檢測助手進行環境檢測

2.3.2 安裝JAVA運行環境

系統登陸前請安裝JAVA運行環境，能夠根據環境檢測助手上的下載連接到Java網站上下載，也能夠在登陸界面中的下載工具列表中進行下載，注意：windows操做系統是32位的用戶，下載安裝【Java運行環境32位證書下載】；

windows操做系統是64位的用戶，須要下載安裝【Java運行環境32位】和【Java運行環境64位】。

2.4 WEB登陸

完成JAVA運行環境和證書安裝後，便可經過WEB頁面進行系統登陸。在終端IE輸入天玥運維安全網關V6.0地址：https://天玥運維安全網關V6.0的實際IP地址，並輸入初始化定義的管理員用戶名和密碼登陸，提示安全警告，請選擇【繼續】->【運行】後登陸到管理界面首頁，以下圖所示：

2.5 建立證書

天玥運維安全網關V6.0系統更改網絡配置點擊「應用」保存後，天玥運維安全網關V6.0系統會自動生成證書。

如需在系統管理界面添加網關，請導航到【系統管理】-【系統選項】-【網絡配置】點擊「新增路由」，網絡地址填目標網絡地址，掩碼填目標網絡掩碼，下一跳地址填網關地址，綁定網卡選擇管理口，而後點擊「確認」便可：

2.6 導入受權文件

在沒有導入任何受權的狀況下，系統自帶3個資源的試用受權。

選擇導航條【系統管理】->【系統信息】->【受權信息】，點擊受權信息頁面的【更新受權】，選擇受權文件所在路徑（OSM受權文件沒有任何後綴），點擊肯定直到受權上傳成功。如圖所示

2.7 網絡配置

3、典型配置實例

3.1 添加用戶

具備用戶管理權限的管理員登錄天玥運維安全網關V6.0管理界面，選擇導航條上【用戶管理】，在對應的組織機構中添加用戶t123_1，根據提示輸入基礎信息，名稱、密碼和真是姓名是必填項，其餘選項根據實際狀況進行設置，以下圖所示：

完成基礎信息後，點擊【下一步】，進入認證方式配置界面，根據實際狀況選擇須要使用的認證方式，直接點擊【下一步】，如圖4.2所示：

若是須要限制用戶經過應用發佈服務器訪問應用工具的類型，請在下圖中勾選「啓用限制」，勾選的工具才被容許使用，最後點擊「肯定」完成用戶的添加。

3.2 添加訪問策略

具備策略管理權限的管理員登錄天玥運維安全網關V6.0管理界面，選擇導航條上【策略管理】→【訪問策略】，添加訪問策略，在基礎信息中根據提示輸入相關信息，如服務器是windows系統，經過RDP協議訪問，可選擇是否開啓「RDP剪切板」和「RDP磁盤映射」，如圖所示：

完成綁定用戶後，點擊【下一步】，進入綁定服務界面，選擇適用該策略的主機172.16.67.210的SSH服務，如圖5.3所示：

完成綁定服務後，點擊【下一步】，進入綁定帳號界面，選擇適用該策略的服務對應的帳號user01，最後點擊【肯定】完成策略的添加，如圖5.4所示：

3.3 運維驗證

使用剛創建的運維賬號登陸天玥運維安全網關V6.0，選擇須要訪問的資源、登陸帳戶和使用的運維工具，最後點擊「鏈接服務」，如圖所示

3.4 審計管理

具備資源管理權限的管理員登錄天玥運維安全網關V6.0管理界面，選擇導航條上【審計管理】->【實時監控】->【會話監控】能夠查詢正在實時鏈接的會話，如圖所示

點擊【會話監控】操做欄「阻斷」，選擇【日誌查詢】->【管理日誌】能夠查詢到此條會話的會話阻斷記錄。

若是想要審計運維用戶對主機資源的操做記錄，選擇【日誌查詢】->【審計日誌】，如圖所示，對資源的詳細操做能夠在審計的這條記錄點擊「協議回放」，如圖所示

3.5 應用發佈服務器

若是須要對堡壘機支持運維審計的協議進行擴充，好比：被管資源的類型爲http/https的應用或其它不能經過堡壘機調用本地工具來支持的應用程序均可以經過應用發佈服務器來支持，並進行錄像審計。(應用發佈的詳細安裝過程請參考應用發佈安裝配置手冊)

在部署應用發佈服務器的相關注意事項以下：

1) 應用發佈服務器操做系統推薦：Windows server 2008 R2 Enterprise64位或Windows server 2012 R2 Standard 64位；

2) 應用發佈安裝程序版本必須和堡壘機版本配套；

3) 應用發佈服務器windows server 2008 R2和windows server 2012 R2的遠程桌面服務默認試用時間是120天，因此遠程桌面服務須要申請受權（遠程桌面服務是微軟的付費服務）。使用administrator管理員帳號登陸應用發佈服務器系統，在遠程桌面受權管理器中激活遠程桌面服務器；

4) 如在運維堡壘機管理界面的網絡配置中對多個網口配置了IP地址，請使用能與應用發佈服務器正常通訊的IP地址登陸WEB管理界面進行應用發佈服務器的添加；

5) 客戶端操做系統是windows XP，請檢查C:\Windows\System32\mstscax.dll的版本是否在6.1以上，如版本在6.1如下請下載安裝windows的RDP更新補丁（連接：http://pan.baidu.com/share/link?shareid=742507511&uk=1968479635 密碼：6kd6）；

6) 在運維堡壘機管理界面的「系統管理」-「設備管理」中將應用發佈服務器添加成功後，應用發佈服務器的網絡配置中的DNS地址會被設置爲堡壘機的IP地址，注意不要更改此設置（DNS設置關係到應用發佈服務器的正常使用）。

3.6 SSH典型配置實例

具備資源管理權限的管理員登錄天玥運維安全網關V6.0管理界面，選擇導航條上【資源管理】→【資源】，在對應的資源組中添加資源172.16.67.210，根據提示輸入相關信息，如圖所示：

完成基礎信息後，點擊【下一步】，進入服務&帳號配置界面，點擊【添加】SSH服務，輸入須要添加服務的相關信息，連通檢測功能能夠檢測堡壘機到目標資源的對應端口的連通性，如圖所示：

添加完服務後，添加服務對應的帳號信息，以下圖所示，輸入帳號user01、對應密碼，服務受權中勾選帳號對應的SSH服務，點擊【添加】，SSH服務和對應的user01帳號添加完畢，最後點擊【肯定】完成主機的添加，如圖所示。

添加完賬號後，點擊【下一步】，進入綁定應用發佈、應用發佈服務器頁面，能夠選擇訪問此資源是使用協議代理服務器或者應用發佈服務器，以下圖所示。

3.7 添加web應用典型配置實例（防火牆等web登陸設備）

需在堡壘機發布服務器上安裝Mozilla Firefox（version45-52版本）；

3.7.1 應用工具修改

具備資源管理權限的管理員登錄天玥運維安全網關V6.0管理界面，選擇導航條上【系統管理】→【應用工具】→【應用工具】→【Mozilla Firefox】→【屬性】，覈對路徑信息是否有誤，如圖所示：(路徑爲發佈服務器中的安裝路徑)

3.7.2 應用工具發佈管理

選擇導航條上【系統管理】→【應用工具】→【發佈管理】→【發佈】，查找「Mozilla Firefox」並選擇【應用發佈服務器】，如圖所示：

3.7.3 添加資源

選擇導航條上【資源管理】→【選擇資源組】→【添加】，填寫基本信息，如圖所示：

填寫服務信息並測試連通監測，如圖所示：

3.7.4 WEB參數設置及由來

（填寫完WEB參數記得保存）：

打開設備WEB界面，按下F12開發者模式（建議Google瀏覽器）

選擇發佈服務器，

3.8 VMware Client典型配置實例

僅支持一個地址登陸，需在發佈服務器安裝VMware-viclient-all-6.0.0

3.7.1 應用工具修改

登陸發佈服務器，選擇【VMware vSphere Client】→【屬性】→【打開文件位置】→【編輯vpxClient.exe】，如圖所示：

在文檔中添加：

<user>username</user> ######用戶名######

<server>servername or serverIP</server> ######vCenter URL地址######

<password>password</password> ######密碼######

3.7.2 應用工具添加

具備資源管理權限的管理員登錄天玥運維安全網關V6.0管理界面選擇導航條上【系統管理】→【應用工具】→【添加】，填寫【應用程序名稱】→【路徑】，,如圖所示：

上傳圖標不得大於1MB

綁定服務器類型：（可選擇Other或自行更改）

代填方式爲空

3.7.3 應用工具發佈管理

選擇導航條上【系統管理】→【應用工具】→【發佈管理】→【發佈】，查找「VMware Client」並選擇【應用發佈服務器】，如圖所示：

3.7.4 添加資源

選擇導航條上【資源管理】→【選擇資源組】→【添加】，填寫基本信息，如圖所示：

填寫服務信息並測試連通監測，如圖所示：

3.7.5 VMware參數爲空

（勾選服務受權便可）：

4、串口配置詳解

4.1 虛擬終端訪問設置

以SecureCRT6.5爲例說明：

串口鏈接出現登陸頁面後，在當前會話標籤頁上點擊鼠標右鍵選擇「會話選項（Session Options）」：

而後選擇「仿真（Emulation）」，修改終端（Terminal）爲「Xterm」，而後勾選「ANSI顏色（ANSI Color）」和「使用顏色方案（Use color scheme）」：

而後選擇「模式（Modes）」，將「啓用小鍵盤模式轉換（Enable keypad mode switching）」前面的勾取消：

選擇「外觀（appearance）」，修改「字體（Fonts）」爲vt100 10pt 粗體，修改編碼爲UTF-8：

完成後點擊 OK 按鈕應用設置，而後關閉本次會話從新進行鏈接便可。

4.2 菜單說明

鏈接後臺輸入帳號密碼成功登陸後，系統會顯示Menu菜單主界面，以下圖所示：

1.System Version：系統版本

2.System Time：系統時間

3.IP Addresses：IP地址信息

4.Net Utilities：網絡測試功能（包括：ping、arping、traceroute和tcpdump）

5.Device Role：更改服務器角色（主服務器、協議代理服務器）

6.Change Password：更改密碼

7.Reboot：重啓設備

8.Poweroff：設備關機

4.3 網絡配置說明

具備資源管理權限的管理員登錄菜單主界面界面，選擇【IP Addresses】→【Set】→【選擇eth0】填寫IP地址信息，IP修改完成後，Tab鍵選擇「OK」回車，系統自動重啓網卡更新IP地址。如圖所示：

4.4 重置管理員密碼

若是用戶遺忘當天玥運維安全網關V6.0系統管理員sysadmin的密碼，可經過系統帳號管理員sysuseradmin登陸管理界面重置密碼，若是遺忘sysuseradmin的密碼，請參考下圖5.1.1方法從後臺重置密碼。

重置管理員密碼的方式是經過串口或網口SSH協議鏈接到系統後臺管理界面，在主菜單界面（如圖5.1.1所示）輸入Ctrl+R，鍵入「sys$maintain@028」，提示挑戰碼（如圖5.1.2所示），將挑戰碼提交給有關人員獲得確認碼後，填入，便可進入「[ Maintain Entry ]」子菜單（如圖5.1.3所示），內含重置默認管理員 admin 密碼的功能（出廠密碼：password$123）。