網(wǎng)神SecFo運(yùn)維安全管理與審計(jì)系統(tǒng)操作手冊V

1、SECWORLD網(wǎng)神SecFox運(yùn)維安全管理與審計(jì)系統(tǒng)運(yùn)維審計(jì)操作手冊Legendsec SecFox Security Management SystemOperation ?auditOperation manual網(wǎng)神信息技術(shù)（北京）股份有限公司版權(quán)說明本文的內(nèi)容是網(wǎng)神SecFox運(yùn)維安全管理與審計(jì)系統(tǒng)操作手冊。 文中的資料、 說明等相關(guān)內(nèi)容歸網(wǎng)神信息技術(shù)（北京）股份有限公司所有。本文中的任何部分 未經(jīng)網(wǎng)神信息技術(shù)（北京）股份有限公司（以下簡稱網(wǎng)神）許可，不得轉(zhuǎn)印、影印或復(fù)印、發(fā)行，不得以任何形式傳播。2006-2016? 版權(quán)所有 網(wǎng)神信息技術(shù)（北京）股份有限公司商標(biāo)聲明本用戶手冊中所

2、涉及的網(wǎng)神產(chǎn)品的名稱是網(wǎng)神的商標(biāo)。用戶手冊中涉及的其 他公司的注冊商標(biāo)，屬各商標(biāo)注冊人所有，恕不逐一列明。聯(lián)系信息北京海淀區(qū)上地開拓路7號先鋒大廈二段1層2Section 1F , Xianfeng Building , No. 7 Kaituo Road ,Shangdi Information Industry Base, Haidian District , Beijing 客服熱線(Customer Service Hotline ) : 400-610-8220 傳真(Fax) ： 0由B編(Post Code ) : 100085文檔說明本文檔配置案例環(huán)境中使用的網(wǎng)神SecFox運(yùn)

3、維安全管理與審計(jì)系統(tǒng)版本為V版本，低于該版本的安全審計(jì)系統(tǒng)均可以參考使用。系統(tǒng)簡介運(yùn)維審計(jì)系統(tǒng)是內(nèi)控解決方案的重要組成部分，部署在企業(yè)的內(nèi)部網(wǎng)絡(luò)中， 用于保護(hù)企業(yè)內(nèi)部核心資源的訪問安全。運(yùn)維審計(jì)系統(tǒng)是一種被加固的可以防御進(jìn)攻的計(jì)算機(jī)，具備很強(qiáng)安全防范能 力。運(yùn)維審計(jì)系統(tǒng)扮演著看門者的工作，所有對網(wǎng)絡(luò)設(shè)備和服務(wù)器的請求都要從 這扇大門經(jīng)過。因此運(yùn)維審計(jì)系統(tǒng)能夠攔截非法訪問，和惡意攻擊，對不合法命 令進(jìn)行命令阻斷，過濾掉所有對目標(biāo)設(shè)備的非法訪問行為。運(yùn)維審計(jì)系統(tǒng)具備強(qiáng)大的輸入輸出審計(jì)功能，不僅能夠詳細(xì)記錄用戶操作的 每一條指令，而且能夠?qū)⑺械妮敵鲂畔⑷坑涗浵聛恚?也具備圖形終端操作的 審計(jì)功能

4、，能夠?qū)Χ嗥脚_的多種圖形終端操作做審計(jì)，并且運(yùn)維審計(jì)系統(tǒng)具備審計(jì)回放的功能，能夠模擬用戶在線操作過程。總之，運(yùn)維審計(jì)系統(tǒng)能夠極大的保 護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)設(shè)備及服務(wù)器資源的安全性，使得企業(yè)內(nèi)部網(wǎng)絡(luò)管理合理化，專業(yè)化，信息化。1.1 關(guān)鍵字用戶名：也叫主帳號，使用運(yùn)維審計(jì)系統(tǒng)的用戶統(tǒng)稱為用戶名。資源：運(yùn)維審計(jì)系統(tǒng)管理的主機(jī)系統(tǒng)，數(shù)據(jù)庫，網(wǎng)絡(luò)設(shè)備等統(tǒng)稱為資源。例 如 AIX 系統(tǒng)、Windows2000系統(tǒng)、DB2數(shù)據(jù)庫、CISCO356d?。從賬號：從賬號是資源中的賬號，例如 AIX中的root賬號，Windows2000 中的 Administrator 賬號。SSOI點(diǎn)登錄：SSO(SingleS

5、ign-On )中文為單點(diǎn)登錄，就是說在同一個(gè)地 點(diǎn)完成對不同資源的訪問。策略：控制用戶登錄、設(shè)置密碼、禁止使用命令、允許訪問命令的方法。1.2 部署結(jié)構(gòu)運(yùn)維審計(jì)系統(tǒng)部署邏輯圖:運(yùn)維區(qū)0 0 0Windaws LlUUK安全設(shè)備交換機(jī)I I II II I運(yùn)維審計(jì)系統(tǒng)部署物理圖:區(qū)薦三百掙人員外網(wǎng)訪問仆支機(jī)槨/如圖，運(yùn)維審計(jì)系統(tǒng)部署在被管服務(wù)器區(qū)的訪問路徑上。運(yùn)維審計(jì)系統(tǒng)接入用戶網(wǎng)絡(luò)中的方式是旁路，僅需要為系統(tǒng)分配一個(gè)IP,并確保該地址與需要運(yùn)維的主機(jī)IP可達(dá)，協(xié)議可訪問?？梢酝ㄟ^防火墻或者交換機(jī)的訪問控制策略限定只能由運(yùn)維審計(jì)系統(tǒng)直接 訪問服務(wù)器的遠(yuǎn)程維護(hù)端口。維護(hù)人員維護(hù)被管服務(wù)器或者網(wǎng)絡(luò)

6、設(shè)備時(shí)，首先以WEBf式登錄運(yùn)維審計(jì)系 統(tǒng)，運(yùn)維審計(jì)系統(tǒng)會(huì)根據(jù)系統(tǒng)管理員預(yù)先設(shè)置好的訪問控制權(quán)限，展現(xiàn)訪問資源列表，提示用戶選擇可以訪問的授權(quán)資源，用戶選擇完成后會(huì)自動(dòng)直接登錄到目 標(biāo)操作系統(tǒng)或網(wǎng)絡(luò)設(shè)備。1.3 系統(tǒng)登錄登錄頁面對管理員及用戶進(jìn)行身份認(rèn)證，以及策略校驗(yàn)，從而完成登錄。在地址欄上輸入系統(tǒng)URL例如：ip 。 IP地址為：GE1默認(rèn)管理口為硬件平臺的 GE1 口（也就是網(wǎng)卡1,在登錄的web頁面 平臺顯示為GE0口）。默認(rèn)出廠管理口（ GE1 口）的ip地址為 建議用戶不要 更改默認(rèn)管理口（也就是硬件平臺的 GE1 口）的配置，可以選擇使用默認(rèn)管 理口以外的其他的接口。如圖所示，進(jìn)

7、入系統(tǒng)登錄頁面。系統(tǒng)默認(rèn)的超級管理員的帳號：admin,密碼：！1fw2soc#3vpn 。運(yùn)維審計(jì) 系統(tǒng)啟用后，應(yīng)及時(shí)修改口令，以免被非法登錄。根據(jù)管理員和用戶的認(rèn)證方式，管理員和用戶可以用簡單的靜態(tài)用戶名，口 令進(jìn)行認(rèn)證，也可以持證書、令牌等強(qiáng)認(rèn)證方式進(jìn)行認(rèn)證。系統(tǒng)根據(jù)用戶相關(guān)登錄策略，例如：訪問時(shí)間策略、訪問地址策略、訪問鎖 定策略等進(jìn)行校驗(yàn)。如果通過校驗(yàn)，用戶可進(jìn)入系統(tǒng)，否則禁止用戶登錄系統(tǒng)并 給出相應(yīng)提示。2ft Fj m-l HZl 值占二二JlICRXF1.4 配置流程1，點(diǎn)擊“關(guān)于產(chǎn)品”，選擇“注冊碼”，進(jìn)行“產(chǎn)品注冊”，根據(jù)“硬件特征 碼”生成注冊文件，倒入注冊文件，提交，完

8、成注冊。2,點(diǎn)擊“用戶管理”，添加“用戶信息”、“登錄信息”、“角色”，選填“策 略信息”，“所屬組”等。3,點(diǎn)擊“角色管理”，添加“角色名稱”，“用戶”，“資源”，以及相應(yīng)的權(quán) 限管理。如“用戶管理”中是否能“新增用戶”。4,點(diǎn)擊“資源管理”，添加“資源名稱”，選擇“資源類型”，添加“資源 IP”，選擇授權(quán)端口，在“資源從帳號”中，添加資源帳號。5,點(diǎn)擊“策略管理”，根據(jù)“指令字對象”、“訪問時(shí)間對象”、“訪問地址對 象”創(chuàng)建“允許”或“禁止”策略；添加密碼策略；添加賬戶鎖定策略。6,點(diǎn)擊“授權(quán)管理”，添加“規(guī)則名稱”，添加“授權(quán)信息”，也可以選擇添 加“策略”。7,點(diǎn)擊“單點(diǎn)登錄”，點(diǎn)擊相

9、應(yīng)的“授權(quán)協(xié)議”，訪問相應(yīng)的設(shè)備。8,點(diǎn)擊“審計(jì)管理”，可以進(jìn)行“內(nèi)部審計(jì)”，“行為審計(jì)”。9,點(diǎn)擊“組態(tài)報(bào)表”，可以進(jìn)行“報(bào)表查詢”，“報(bào)表管理”，“定時(shí)報(bào)表”，自定義報(bào)表”操作10,點(diǎn)擊“腳本管理”，添加“腳本名稱”，“上傳腳本”，“執(zhí)行日期”，“授 權(quán)資源”以及“授權(quán)資源的帳號/協(xié)議”。11,點(diǎn)擊“計(jì)劃任務(wù)”：選擇“資源帳號口令修改計(jì)劃”，添加“任務(wù)名稱”，“任務(wù)循環(huán)周期”，“密 碼策略”，“資源信息”。選擇“資源帳號同步計(jì)劃”，添加“任務(wù)名稱”，“任務(wù)循環(huán)周期”，“資源信 息”。12,點(diǎn)擊“系統(tǒng)設(shè)置”，可以查看“系統(tǒng)狀態(tài)”，進(jìn)行“網(wǎng)絡(luò)設(shè)置”，設(shè)置“磁 盤空間報(bào)警”，對“系統(tǒng)升級”，對郵

10、箱、安全規(guī)則、Syslog進(jìn)行設(shè)置，對“認(rèn) 證服務(wù)器”、“雙機(jī)熱備”進(jìn)行設(shè)置。二、單點(diǎn)登錄（SSO）2.1 單點(diǎn)登錄（SSOMT修1回* a3EMM餐錄我,2,即 保2.1,1界面gm心2.1.2功能說明單點(diǎn)登錄功能是用戶訪問授權(quán)資源的統(tǒng)一入口。通過此功能，用戶訪問資源時(shí)只需要在運(yùn)維審計(jì)系統(tǒng)上做一次登錄，之后就可以在不輸入用戶名和密碼的情 況下使用各種授權(quán)資源當(dāng)用戶點(diǎn)擊“單點(diǎn)登錄”時(shí)，資源帳號列表中會(huì)顯示所有授權(quán)給此用戶的資 源。當(dāng)用戶點(diǎn)擊資源列表后的授權(quán)協(xié)議方式按鈕時(shí)，會(huì)自動(dòng)進(jìn)入目標(biāo)資源，完成單點(diǎn)登錄。注意：要使用單點(diǎn)登錄功能，必須安裝單點(diǎn)登錄控件，可到“單點(diǎn)登錄-?單點(diǎn)登錄/回訪控件”中下

11、載單點(diǎn)登錄控件程序；就可以使用RD刖問資源，被管資源上要開啟遠(yuǎn)程桌面服務(wù)，同時(shí)也可以使用SSM TELNET式訪問資源，并且能夠支持回放、實(shí)時(shí)監(jiān)控等功能。單點(diǎn)登錄數(shù)據(jù)庫時(shí)，要做好準(zhǔn)備工作，首先數(shù)據(jù)庫需要用戶自行安裝對應(yīng)數(shù) 據(jù)庫的客戶端，ORACL敢據(jù)庫需要安裝PLSQL7MSSQL2000/2005/2008,需要安 裝 Sqlserver management studio 2008。然后“單點(diǎn)登錄”界面，找到數(shù)據(jù)庫的資源，點(diǎn)擊協(xié)議進(jìn)行登錄。2.2 單點(diǎn)登錄控件及工具安裝2.2.1 界面2.2.2 功能說明用戶通過資源表單點(diǎn)登錄到授權(quán)資源時(shí)需要安裝單點(diǎn)登錄控件。并且新版本支持ssh的一鍵單點(diǎn)

12、功能。2.2.3 操作描述點(diǎn)擊- “單點(diǎn)登錄”進(jìn)入單點(diǎn)登錄界面，右上方有單點(diǎn)登錄控件下載。右鍵 點(diǎn)擊-選擇目標(biāo)另存為，下載完畢后關(guān)閉IE瀏覽器對控件進(jìn)行安裝。Win7用戶必須以管理員的身份進(jìn)行下載安裝。勾選ssh資源，點(diǎn)擊- “一鍵單點(diǎn)”實(shí)現(xiàn)批量登錄ssh資源；三、用戶管理3.1 用戶管理3.1.1 界面軒支持快速添加用戶的功能I3.1.2 功能說明用戶名是運(yùn)維審計(jì)系統(tǒng)管理員在運(yùn)維審計(jì)系統(tǒng)上建立的資源使用帳戶，必須由管理員在運(yùn)維審計(jì)系統(tǒng)上添加并且授權(quán)相應(yīng)的角色后的用戶名才能使用。用戶管理，實(shí)現(xiàn)用戶名生命周期管理的全部過程，包括用創(chuàng)建用戶，鎖定用戶，激活 賬戶，注銷用戶。新版本的支持用戶的快速添

13、加模塊功能。用戶管理：當(dāng)管理員點(diǎn)擊目錄中的所有用戶時(shí)，目錄下側(cè)顯示區(qū)域會(huì)顯示用 戶列表。用戶創(chuàng)建：管理員點(diǎn)擊賬號管理中的添加用戶按鈕， 會(huì)進(jìn)入用戶基本信息頁 面，管理員在此添加新用戶信息。用戶變更：管理員在用戶管理頁面中點(diǎn)擊用戶名， 會(huì)進(jìn)入用戶變更頁面，用 以變更用戶信息。用戶鎖定：管理員可以在用戶變更頁面中點(diǎn)擊鎖定按鈕用以鎖定用戶，同時(shí)會(huì)鎖定授權(quán)資源的訪問權(quán)限，并可以通過用戶管理下的操作下拉列表直接鎖定激 活用戶。用戶注銷：管理員可以在用戶列表中選擇所要注銷的用戶選項(xiàng)，并選擇操作下拉列表中的注銷用戶，按執(zhí)行按鈕注銷用戶?？焖偬砑樱嚎焖偬砑庸δ?，可以幫組管理員快速有效的創(chuàng)建用戶，方便操作， 簡

14、化操作的流程。而且支持新創(chuàng)建用戶的復(fù)制、刪除功能。直觀、簡單明了。3.1.4 示例登錄系統(tǒng)后，點(diǎn)擊用戶管理，進(jìn)入用戶管理頁面，點(diǎn)擊添加用戶按鈕，進(jìn)入 添加用戶信息頁面。SecFox1 Linffl*工籥t-rwr . ,* Mg填寫用戶的用戶名、姓名等信息，在這里可以選擇密碼認(rèn)證方式，策略，用 戶分組等。信息填寫完畢后，點(diǎn)擊提交，完成用戶的添加。下次登錄修改密碼：選中此復(fù)選框，則下次登錄則會(huì)提示修改密碼。 管理員 授權(quán)用戶的初始密碼比較簡單，則需要登錄時(shí)修改密碼。策略：可以添加或刪除允許策略，禁止策略，密碼策略，鎖定策略。狀態(tài)：鎖定則當(dāng)前用戶不可登陸，解鎖則用戶可以正常登陸，注銷則刪除當(dāng) 前賬

15、戶3.2 分組管理3.2,1界面3.2.2 功能說明分組管理是管理員在運(yùn)維審計(jì)系統(tǒng)上建立的各個(gè)部門等的目錄樹，便于管理員快速找到相應(yīng)的用戶。3.2.3 操作描述點(diǎn)擊用戶管理下樹形目錄上方的管理， 進(jìn)入分組管理頁面，先選中相應(yīng)的節(jié) 點(diǎn)，然后點(diǎn)擊添加同級或者添加下級就可以進(jìn)行增加分組，選中相應(yīng)的節(jié)點(diǎn)點(diǎn)擊 刪除則刪除該分組。四、角色管理4.1角色管理4.1,1界面4.1.2功能說明角色管理是系統(tǒng)管理員定制系統(tǒng)角色的模塊，可以對不同角色分配相應(yīng)權(quán) 限。如：可以定義資源管理角色，該角色擁有資源管理的權(quán)限，則把此角色授權(quán)給自然人后，該自然人就可以進(jìn)行資源管理了。 除資源管理外，還可以定義用戶 管理、資源管

16、理、策略管理、授權(quán)管理、審計(jì)管理、組態(tài)報(bào)表、腳本管理、計(jì)劃 任務(wù)、系統(tǒng)設(shè)置等角色。角色管理中可以查看最近新增角色和最近修改角色， 所有的角色是按時(shí)間來 排序的!4.1.3操作描述用戶認(rèn)證成功登錄系統(tǒng)后，點(diǎn)擊導(dǎo)航目錄中的角色管理進(jìn)入角色管理頁面 添加角色：點(diǎn)擊添加角色按鈕，進(jìn)入角色信息編輯頁面。如圖：SecFoxt e “臂”定如工*Xd 0現(xiàn)評* C匚 H-a*匚MkQH19一-FEn十”育we=-wS?Hr*,?*L *!(!.1，看I f4filr ribr *3；” b =-E戲二匚”祠L蚓我W 口QUO-.青T- F用戶/組：在此處給把該角色給相應(yīng)的組或者給單個(gè)用戶進(jìn)行授權(quán)，讓該組 或

17、者該用戶擁有相應(yīng)的資源授權(quán)和管理權(quán)限。資源/組：給該角色授權(quán)相應(yīng)的資源訪問權(quán)限。管理權(quán)限：給該用戶或者用戶組授權(quán)相應(yīng)的管理權(quán)限。五、資源管理5.1資源管理5.1.1,資源管理界面：支持資源按時(shí)間排序查詢功能I4T.YiTa.雷事. VihdfFlttj4 TllfclSPIi* 15.1.2 .功能說明資源就是要通過運(yùn)維審計(jì)系統(tǒng)管理的各種設(shè)備資源，運(yùn)維審計(jì)系統(tǒng)上將資源 類型劃分為：Windows主機(jī)、Windows域控、Windows域內(nèi)主機(jī)、Linux主機(jī)、Unix、 數(shù)據(jù)庫（獨(dú)立）、數(shù)據(jù)庫（系統(tǒng)）、網(wǎng)絡(luò)設(shè)備（Radius）、網(wǎng)絡(luò)設(shè)備（Local ）、web 應(yīng)用等。資源管理實(shí)現(xiàn)被管資源的管

18、理和被管資源的帳號管理。新版本支持資源 的分組導(dǎo)出功能，支持資源按時(shí)間排序查詢功能。添加了資源的 API接口。5.1.3 操作描述資源管理模塊，點(diǎn)擊添加資源，就可以進(jìn)到資源編輯頁面。如果要?jiǎng)h除，鎖 定資源，刪除資源，生成密碼信封，先選中要進(jìn)行操作的資源，然后在操作后面 的下拉列表框選擇相應(yīng)的操作，點(diǎn)擊執(zhí)行即可。密碼信封中的發(fā)送郵件支持txt、 zip、xls三種模式的發(fā)送。資源管理模塊，點(diǎn)擊分組導(dǎo)出，就可以選擇相應(yīng)的資源，點(diǎn)擊確定即可添加Windows Unix、Linux、網(wǎng)絡(luò)設(shè)備資源1、首先點(diǎn)擊添加資源按鈕，進(jìn)入編輯頁面。2、填寫資源名稱，以便識別。3、選擇資源的類型（比如 Windows

19、主機(jī)、Linux主機(jī)等）。4、填寫資源IP和連接IP,這兩個(gè)IP皆為被管資源IP。5、在所屬組，給資源選擇相應(yīng)的組，以便管理（此為可選項(xiàng)）。6、在授權(quán)端口，選擇運(yùn)維資源所采用的協(xié)議：RDP議：遠(yuǎn)程桌面，必須該資源開啟3389端口，此協(xié)議只適用于 Windows 系統(tǒng)。SSHft、議：SSHB議是一種遠(yuǎn)程命令行運(yùn)維的方式， 該協(xié)議采用的加密方式， 采用SSH*議進(jìn)行運(yùn)維比Telnet更具安全性。（資源必須開啟了 SSHB議，默認(rèn) 端口 22）Telnet協(xié)議：SSHB議是一種遠(yuǎn)程命令行運(yùn)維方式， 一般交換機(jī)、路由器設(shè) 備采用Telnet協(xié)議進(jìn)行運(yùn)維。（資源必須開啟Telnet協(xié)議，默認(rèn)端口 23

20、）FTP協(xié)議：傳統(tǒng)的文件傳輸協(xié)議，可以與服務(wù)器之間進(jìn)行上傳和下載文件。（必須在服務(wù)器上建立了 FTP服務(wù)器，默認(rèn)端口 21）SFTPB議：安全，可以為傳輸文件提供一種安全的加密方法。sftp與ftp有著幾乎一樣的語法和功能。（默認(rèn)端口 22）X11協(xié)議：Xwindows協(xié)議，此協(xié)議是用于連接Linux、Unix等系統(tǒng)的圖像化 界面的。（資源必須要裝有圖形化界面才能使用該協(xié)議，運(yùn)維計(jì)算機(jī)必須裝有 Xmanageg 默認(rèn)端口 22）VNO議：VNC&是一種圖形化界面的協(xié)議，要使用此協(xié)議服務(wù)器端必須要 裝有VNC服務(wù)器端，在配置賬號的時(shí)候賬號隨便起名字， 而密碼則是服務(wù)器端的 VNCg碼。（服務(wù)器端

21、默認(rèn)端口 5900,運(yùn)維端,默認(rèn)端口 5600）7、賬號收集信息，這個(gè)功能是用于收集該資源的所有賬號的，包括數(shù)據(jù)庫 賬號，系統(tǒng)登陸賬號等等，需要填寫的是超級管理員的賬號和密碼。賬號收集需要保存退出后，通過修改模式進(jìn)入資源編輯頁面才能夠顯示出賬號收集按鈕。（不推薦使用，收集出來的賬號太多）8、資源從賬號，在這個(gè)地方填寫該資源的登陸系統(tǒng)賬號和密碼。支持從賬號的試播功能，如果正確賬號后面標(biāo)有“v”如果錯(cuò)誤賬號后面標(biāo)有“X”。9、保存，完成資源的添加05式Fox試播功能,測試從賬號的可用性添加數(shù)據(jù)庫資源添加數(shù)據(jù)庫資源其他配置都和上面一樣，需要注意的是授權(quán)端口變成了數(shù)據(jù) 庫信息，數(shù)據(jù)庫信息必須要填寫數(shù)據(jù)

22、庫名稱，數(shù)據(jù)庫服務(wù)，數(shù)據(jù)庫類型，還有數(shù) 據(jù)可占用的端口，另外在運(yùn)維機(jī)必須裝有版本和數(shù)據(jù)庫客戶端。添加web應(yīng)用1、首先進(jìn)入到添加資源頁面。2、資源類型選擇web資源，其他照舊。3、端口按照實(shí)際情況填寫。4、賬號按實(shí)際情況填寫。5、根據(jù)賬號個(gè)數(shù)及對應(yīng) web參數(shù)選擇填寫參數(shù)內(nèi)容。- 丁二6、登陸url去該系統(tǒng)的登陸頁面查找填寫用戶名和密碼的那個(gè)form表單上的.action ,然后就是訪問的ip地址加上那個(gè).action這個(gè)。比如。7、登陸名表單就是填寫代碼里的用戶名輸入框的 name登陸密碼表單就是 填寫密碼框的name參數(shù)名稱對應(yīng)賬號和密碼，然后保存。(注意：WE朦統(tǒng)單點(diǎn)登錄需要使用者分析對

23、應(yīng) WE朦統(tǒng)登錄模塊腳本，找 到相關(guān)驗(yàn)證參數(shù)，包括：登錄驗(yàn)證 URL地址、用戶名表單名稱，密碼表單名稱 等，再建立從帳號即可WE邪點(diǎn)登錄。由于配置WE即點(diǎn)登錄需要有網(wǎng)絡(luò)管理基礎(chǔ)，請使用者尋找企業(yè)網(wǎng)絡(luò)管理員配合下進(jìn)行配置。)各種資源類型配置特別說明Unix主機(jī)，代表所有類 Unix系統(tǒng)，例如：HP Unix、AIX、 Sun Solaris、FreeBSD。Linux主機(jī)，代表所有的Linxu系統(tǒng)，例如：RedHat Debian 等。Windows主機(jī)，此資源有兩種連接方式，分別是Telnet和代 理程序。Windows的Telnet不穩(wěn)定，所以建議使用代理程序連接。如果采用Telnet連接，

24、需要將 Windows操作系統(tǒng)的Telnet服務(wù)打開。如果使用代理程序連接，則不必配置管理員和管理員密碼即可做帳號收集和同步Windows主機(jī)（域控制器），此資源有兩種連接方式，分別是 Telnet和代理程序。建議采用代理程序連接。 Windows域控服務(wù)器 的帳號收集會(huì)收集所有域帳號。Windows主機(jī)（域內(nèi)），此資源沒有依賴于 Windows域控服務(wù) 器中的帳號，添加時(shí)除了名稱和IP,要配置所屬域控服務(wù)器。數(shù)據(jù)庫（獨(dú)立），此處的獨(dú)立數(shù)據(jù)庫指帳號和操作系統(tǒng)不共用的數(shù)據(jù)庫，例如 Oracle Sql Server、Mysql、Sybase等。數(shù)據(jù)庫（系統(tǒng)），此處的系統(tǒng)數(shù)據(jù)庫指帳號和操作系統(tǒng)共用

25、 的數(shù)據(jù)庫，例如DB2 Informix等。網(wǎng)絡(luò)設(shè)備（Radius）,指3A指向運(yùn)維審計(jì)系統(tǒng)的網(wǎng)絡(luò)設(shè)備（運(yùn) 維審計(jì)系統(tǒng)內(nèi)含Radius服務(wù)器，可以作為網(wǎng)絡(luò)設(shè)備的認(rèn)證服務(wù)器）。 此種資源不用定義從帳號即可授權(quán)。網(wǎng)絡(luò)設(shè)備（Local ）,沒有配置3A或者3A沒有指向運(yùn)維審計(jì) 系統(tǒng)的網(wǎng)絡(luò)設(shè)備。此種資源需要定義從帳號才能做授權(quán)。Wetg用，通過IE訪問的軟件（B/S架構(gòu)，登陸無驗(yàn)證碼）。自定義C/S客戶端程序，通過發(fā)布服務(wù)器實(shí)現(xiàn)客戶端的調(diào)用 和操作的審計(jì)功能。六、策略管理策略是針對主帳號和從帳號的，因此策略建立后，必須在主帳號和從帳號中 應(yīng)用策略，策略才能生效。6.1指令字對象6.1,1界面畬 Sec

26、Fox比 丁用1國的期I黃蜒4 臼曲BQ I尸線苗一里T贊珠I RE： 丁甘謔T地港I好呻強(qiáng)Itfi V融*腺正嫻去朕網(wǎng)a添加指令對象界面:a SecFoxj 帳號:as-n襁4星J12 陣世：梭苣艮2當(dāng)占盧皂:D棉箱恥劃4 EW1-4期叫f端1:就酬師白皿加閶1?我：肖幽：丁段的中福,fytSE* WBI科 八|:-道勒：sunoffl *1c 1m曲朝陽a. ifi附址熊6.1.2功能說明指令字對象是一個(gè)添加指令的集合對象，通過結(jié)合時(shí)間對象、地址對象組合 成為不同的策略。主要包括允許策略、禁止策略兩種。6.1.3操作描述指令字對象：在策略管理目錄下的指令字對象點(diǎn)擊添加指令字對象，進(jìn)入指 令

27、字對象添加頁面，輸入相關(guān)指令字集合。信息包括：對象名稱、對象描述、對 象狀態(tài)、指令字。填寫完成后點(diǎn)擊保存完成指令字對象的添加。6.2 訪問時(shí)間對象6.2,1界面 SecFox爆號二adriri *裝#兇：）.ft fi Mitt 醞 a mTMi四蹈Mie配上圖打航足1.4:=:，添加時(shí)間對象界面:SecFox看號! atimrri-&t申GF3于潘融后H I BRffl I 由豺解I/耕修tfinw r tw i喇州i i用桐* r Hrwff i *i幃梟i常需諱RC得lEtft-向煙川泉Bin!?IT心6.2.2 功能說明訪問時(shí)間對象，用于限制主帳號訪問系統(tǒng)及訪問資源的時(shí)間。 通過結(jié)合指

28、令 字對象、地址對象組合成為不同的策略。主要包括允許策略、禁止策略兩種。6.2.3 操作描述訪問時(shí)間對象：在策略管理目錄下的訪問時(shí)間對象點(diǎn)擊添加時(shí)間對象，進(jìn)入時(shí)間訪問對象添加頁面，選擇相應(yīng)的時(shí)間段。信息包括：對象名稱、對象描述、 對象狀態(tài)、具體時(shí)間（具體時(shí)間包括三種方式：按周、時(shí)間段、時(shí)間點(diǎn)） ，填寫 完畢后點(diǎn)保存完成時(shí)間對象的添加。6.3 訪問地址對象6.3,1界面lw轉(zhuǎn)色二箱箱觸喃器:Q，部I工垂物助I配材I型式，可朋I期爐衛(wèi)I”姆3 SecFoxM睢耀添加地址對象界面:0 SecFox- MHQ身獨(dú)： 號 L 3*- W1W*超融 ISRrft.由弟日刃K1處;抑敢湎W明肺 -U融鑄6.

29、3.2 功能說明訪問地址對象，用于限制主帳號訪問系統(tǒng)及訪問資源時(shí)使用的客戶端地址。通過結(jié)合指令字對象、時(shí)間對象組合成為不同的策略。主要包括允許策略、禁止 策略兩種。6.3.3 操作描述訪問地址對象：在策略管路目錄下的訪問地址對象點(diǎn)擊添加地址對象，進(jìn)入地址訪問對象添加頁面，添加相應(yīng)的IP地址。信息包括：對象名稱、對象描述、 對象狀態(tài)、地址，填寫完畢后點(diǎn)保存完成地址對象的添加。6.4 賬戶鎖定策略6.4,1界面律生agn色都節(jié)嶼中湛電0，尸溢/I ReHE吃喻豫，帽南電律摩回歸U推添加鎖止策略界面:SecFoxft.生 3d箱地；P十，r虐艇 ffrtpT制Ef I喀市WE |再I前I TE Ti

30、lrf I用Ft/薩清I中那普I茶潮修F華干產(chǎn)磔題IBMH VOi爭到宏B=土口比*3第才:“獨(dú)維?相.鉀.面片（何闞號用r*r恒上利晰曾，炯也所懂一方甲物6.4.2 功能說明賬戶鎖定策略，用于在用戶口令輸入錯(cuò)誤時(shí)鎖定用戶， 避免用戶的密碼被暴 力破解?？梢耘渲幂斎胧〉拇螖?shù)和鎖定時(shí)間。訪問鎖定策略應(yīng)用于用戶，在用 戶添加和修改時(shí)可以指定此策略。6.4.3 操作描述賬戶鎖定策略：在策略管路目錄下的賬戶鎖定策略點(diǎn)擊添加鎖定策略，進(jìn)入賬戶鎖定策略添加頁面，添加相應(yīng)策略。信息包括：策略名稱、策略描述、策略狀態(tài)、登錄失敗次數(shù)、鎖定時(shí)間、重置計(jì)數(shù)時(shí)間。填寫完畢后點(diǎn)保存完成賬戶鎖 定策略的添加。6.5 密

31、碼策略6.5,1界面稿年球?用麗再修1正訶It4他添加密碼策略界面:6.5.2 功能說明密碼策略，用于限制用戶口令強(qiáng)度，避免用戶配置的密碼過于簡單， 被暴力 破解?？梢耘渲妹艽a長度，包含大寫字母長度、小寫字母長度、數(shù)字長度、允許 特殊字符、修改密碼周期、禁用關(guān)鍵字等。密碼策略應(yīng)用于用戶，在用戶添加和 修改時(shí)可以指定此策略。6.5.3 操作描述密碼策略：在策略管理目錄下的賬戶鎖定策略點(diǎn)擊添加密碼策略，進(jìn)入密碼策略添加頁面，添加相應(yīng)密碼選項(xiàng)。信息包括：策略名稱、策略描述、策略狀態(tài)、 小寫字母個(gè)數(shù)、大寫字母個(gè)數(shù)、數(shù)字個(gè)數(shù)、允許使用字符、禁止關(guān)鍵字、密碼修 改周期，填寫完畢后點(diǎn)保存完成賬戶鎖定策略的添

32、加。6.6 允許策略6.6.2 界面7 Q乘新肉觸 r而腳網(wǎng)漫添加允許策略界面:6.6.3 功能說明允許策略，主要由地址訪問對象、時(shí)間訪問對象、指令對象三者組合而成, 它是用于同時(shí)授權(quán)給用戶和從賬號，允許用戶在策略所允許的時(shí)間操作地址對 象，并只允許使用策略指令對象。6.6.4 操作描述允許策略：在策略管路目錄下的允許策略點(diǎn)擊添加允許策略， 進(jìn)入允許策略 添加頁面，添加相應(yīng)允許策略選項(xiàng)。信息包括：策略名稱、策略描述、策略狀態(tài)、 時(shí)間對象、地址對象、指令字對象，填寫完畢后點(diǎn)保存完成允許策略的添加。6.7 禁止策略6.7.2 界面 穹 SecFoxt- 胃& ag院機(jī)黜Efl黃巾誄嗎！ 3添加禁止

33、策略界面:6.7.3 功能說明禁止策略，主要由地址訪問對象、時(shí)間訪問對象、指令對象三者組合而成， 它是用于同時(shí)授權(quán)給用戶和從賬號，禁止用戶在策略所禁止的時(shí)間操作禁止操作 的地址對象，并禁止使用策略指令對象。6.7.4 操作描述禁止策略：在策略管路目錄下的禁止策略點(diǎn)擊添加禁止策略， 進(jìn)入禁止策略 添加頁面，添加相應(yīng)禁止策略選項(xiàng)。信息包括：策略名稱、策略描述、策略狀態(tài)、 時(shí)間對象、地址對象、指令字對象，填寫完畢后點(diǎn)保存完成禁止策略的添加。七、授權(quán)管理7.1授權(quán)管理SecFox7.1,1界面asnin 襁源門-造滑窗腦隱：i就景 空都號鱷1輜11郎部r im珥爵 1 wm1 HO 1懶1好徭郭-四嶼

34、9 M憾%豁Fl即鐳M酗用戶用局廉疑例4減精日曼麟的虹繳施鐮廉相鐮鐲犍宣靛聚都邳寸脂2DLWD-EL薪魂狼犍/舐聚幫2II4-1D-JT2ILH0-1T明髓（5匚1方-不痛llal案副出添加規(guī)則界面:, SecFox代竊和酢mI 通博.WMF；* 之 Mmkii WfeNA* 口 I聳室肪S員串I修疆，。u司飾微部I目，5R!loirIUI 哪* ftiiKM品7.1.2功能說明授權(quán)管理主要是對給用戶或用戶組進(jìn)行資源的授權(quán)，資源賬號的授權(quán)，訪問 資源協(xié)議的授權(quán)，并且可以關(guān)聯(lián)相關(guān)的策略進(jìn)行訪問資源限制。規(guī)則名稱：新增規(guī)則的名稱。備注：對新增規(guī)則的描述。狀態(tài)：確定當(dāng)前規(guī)則的狀態(tài)。授權(quán)信息：對用戶或

35、用戶組進(jìn)行資源的相關(guān)授權(quán)。策略：添加此規(guī)則的限制策略。7.1.3 操作描述授權(quán)管理，點(diǎn)導(dǎo)航目錄的授權(quán)管理進(jìn)入到授權(quán)管理頁面。 在規(guī)則列表上方點(diǎn) 擊添加規(guī)則進(jìn)入新增規(guī)則編輯頁面，填寫規(guī)則名稱、備注、狀態(tài)的信息。授權(quán)信 息此處點(diǎn)擊添加進(jìn)入到授權(quán)信息頁面，首先選擇需要授權(quán)的用戶或用戶組（用戶 和用戶組只能選擇一項(xiàng)），然后點(diǎn)擊下一步進(jìn)入到資源選擇頁面，選擇相應(yīng)的資 源，點(diǎn)擊下一步進(jìn)入到資源賬號和授權(quán)協(xié)議的頁面， 選擇需要授權(quán)的賬號和協(xié)議， 點(diǎn)擊確定完成對用戶使用資源的授權(quán)。最后添加此規(guī)則的限制策略就完成了規(guī)則 的添加。7.1.4 規(guī)則的鎖定和注銷響題1爆題I / BSS二田翻I於 I,陽蒼I曬副I洶觸

36、I部是I苓溫如gs劑strjflp/m其酷1閡西關(guān)帆口，下則需要通過操作如果要對規(guī)則進(jìn)行刪除或者鎖定規(guī)則讓規(guī)則暫時(shí)失去作用, 的下拉列表來實(shí)現(xiàn)，首先選擇需要執(zhí)行注銷或鎖定的規(guī)則，然后選中操作后面下，點(diǎn)擊執(zhí)行按鈕，就拉列表的選項(xiàng)（包括注銷規(guī)則、鎖定規(guī)則、解鎖規(guī)則三項(xiàng)）完成了對規(guī)則的鎖定或注銷。八、工單管理界面穹 SecFox蛀* 用m T *理塞 *sr! MRVF r tML”口工”弓* *trnWlff 狀犀 住國旅EM到君皿5工冠上一iSTTS市克|二迨一就分為審死押面臨時(shí)授權(quán)功能說明申請目標(biāo)設(shè)備的臨時(shí)訪問授權(quán)；臨時(shí)授權(quán)可限制授權(quán)協(xié)議、賬號及生效時(shí)間等。臨時(shí)授權(quán)申請方式通過 Web頁、郵件

37、及短信（短信網(wǎng)關(guān)及短信貓）的方式 呈交對應(yīng)設(shè)備負(fù)責(zé)人審批.在功能界面點(diǎn)擊“工單管理”進(jìn)入，左邊有兩大部分，“我的工單信息”是用于創(chuàng)建我的申請單，然后點(diǎn)擊“新建”將相應(yīng)的信息 填寫完畢后，點(diǎn)擊“保存”即可“其他工單信息”是用于查看需要審批或者自己提交工單后審批的結(jié)果?？?執(zhí)行工單的“允許” “拒絕”“廢棄”。說明：新建工單的用戶需要有上級領(lǐng)導(dǎo)， 上級領(lǐng)導(dǎo)可以在用戶管理模塊，用 戶信息欄中單擊【管理】進(jìn)行添加領(lǐng)導(dǎo)，并在用戶添加到該組。指令申請功能說明當(dāng)對用戶使用的規(guī)則的禁止策略中包含指令字對象時(shí)，使用該用戶進(jìn)行單點(diǎn)登錄，輸入該指令時(shí)，該信息會(huì)出現(xiàn)在指令申請列表中二次申請功能說明：當(dāng)用戶進(jìn)行單點(diǎn)登錄

38、時(shí)，對于一些比較重要的資源，用戶需要再次申請，這 時(shí)的申請信息會(huì)出現(xiàn)在二次申請列表中。九、審計(jì)管理9.1. 內(nèi)部審計(jì)管理9.1.1. 界面J SecFox*鼻謝I- 向越豹?jiǎng)倨ツ芮?公 曲林清防Q妙 法詩年丁用F/用E蝴群 11 T*CT ,前 1 書 113髓由簾呻十折殍11eb福和HQ一鼾口*ft*M I4 口血 El HtRL/l 而 IfrU.泣任口H3QL+-D- LL 51:圖癡相志版蠅 nMtainM DIE1的 1HD4 W 36:119帕志ssats淅h Diraio-n nan#f晅克llj rfetil HI t葡IIMIHI 巾 21。制H卷.就債E占山的口 血IMT的

39、M修安陽志ifKmintfl 0 B E如 14rm IT 3 U號正日志，誦9t聲寶酒0|料H D t FIT fli B!auras曹麗打卻0*bbM.ai.i川川4/慍 9也白右血通矛B4口EU. El Bl Z33Lf JD-11 LQ.ll.ZJI卻自土軸堂城R心mDO DIS前HHIHP 15 - W癡那日專融理耒B*ihDiraino-ii itoF忑f*atiWinM O Q 10劉LECH* M塾，加區(qū)盅9.1.2. 功能說明內(nèi)部審計(jì)實(shí)現(xiàn)運(yùn)維審計(jì)系統(tǒng)自身日志的審計(jì)， 可以點(diǎn)擊查詢查找符合條件的 審計(jì)記錄。審計(jì)內(nèi)容包括，帳號登入登出情況，資源更新，新增允許 /禁止策略, 極其操

40、作日志等情況。9.1.3. 操作描述運(yùn)維審計(jì)系統(tǒng)內(nèi)部審計(jì)模塊，當(dāng)管理員點(diǎn)擊內(nèi)部審計(jì)時(shí)，內(nèi)部審計(jì)列表會(huì)顯 示審計(jì)結(jié)果列表。管理員在內(nèi)部審計(jì)列表中點(diǎn)擊查詢按鈕進(jìn)入查詢條件選擇頁面，輸入查詢條件點(diǎn)擊查詢按鈕，可以查找滿足條件的日志信息。9.2. 行為審計(jì)管理9.2.1. 界面9.2.2. 功能說明行為審計(jì)實(shí)現(xiàn)操作日志的審計(jì)，可以點(diǎn)擊查詢查找符合條件的審計(jì)記錄。 對 于字符型的資源（ssh, telnet等等）,有三種審計(jì)展現(xiàn)形式：內(nèi)容、命令、回 放。內(nèi)容是資源操作的所有指令和對應(yīng)結(jié)果的一次性展現(xiàn)；命令是資源操作的所有指令執(zhí)行情況；回放是資源操作過程的錄像回放。對于圖形的資源訪問方式有 一種展現(xiàn)方式：

41、回放，是圖形資源操作過程的錄像回放， 可以定位回放和記錄鼠 標(biāo)的審計(jì)。審計(jì)分為兩種，一種是事后審計(jì)，一種是實(shí)時(shí)審計(jì)。上面說的基本上是事后 審計(jì)，如果操作人員對資源的操作還沒有結(jié)束， 則審計(jì)記錄上會(huì)多出一種監(jiān)視的 展現(xiàn)方式，點(diǎn)擊監(jiān)視可以實(shí)時(shí)查看資源使用者對資源的操作過程。9.2.3. 操作描述運(yùn)維審計(jì)系統(tǒng)行為審計(jì)模塊，當(dāng)管理員點(diǎn)擊行為審計(jì)時(shí)，行為審計(jì)列表會(huì)顯 示審計(jì)結(jié)果列表。點(diǎn)擊會(huì)話中的“內(nèi)容”、“命令”、“回放”、“監(jiān)視”可以相應(yīng)的 顯示審計(jì)到的內(nèi)容。對于錄像的回放，可以通過播放工具條調(diào)整播放狀態(tài)、速度、 進(jìn)度等。管理員在行為審計(jì)列表中點(diǎn)擊查詢按鈕進(jìn)入查詢條件選擇頁面，輸入查詢條件點(diǎn)擊查詢按鈕

42、，可以查找滿足條件的日志信息。行為審計(jì)中搜索欄的內(nèi)容在指 令、內(nèi)容頁面中會(huì)被標(biāo)紅；行為審計(jì)支持資源 IP彈出顯示；十、組態(tài)報(bào)表10.1.報(bào)表詢10.2.9.界面if i*. 0占5,也髓I狀 物1r用期中開71nr 5M物對存,褚械,1 驪的丁F千產(chǎn)品|探祚0艮行 A寫出wwMMWWiiUJ89香驛MH於懶加1步底IT Ot Cfi用油面訊HHh前左*再3H1(口 3百盧1”即始1弗塞III ,4a力歸計(jì)內(nèi)：湖那百anz-nrio m：r：zilme用戶in孽露糕E附品.用=由臺訃瞞a初析W13-W-W *Ti聲解計(jì)|腺工國aa ,計(jì)r!r純?nèi)シ员倍?導(dǎo):冏“用日后計(jì)現(xiàn)mg近取日期$冊龍邰號:

43、明j5詔|加幸百日旭新m1舸做玷t計(jì)別獻(xiàn)力晴awbiQ re a “組態(tài)報(bào)表”- “報(bào)表管理”會(huì)出現(xiàn)以上的界面，在“切換模版”的 下拉菜單中選擇要查詢統(tǒng)計(jì)的報(bào)表，然后選擇“分頁”來顯示頁數(shù)。如果是動(dòng)態(tài) 模版還可以選擇“查詢條件設(shè)置”。在右側(cè)的“圖形顯示”中選擇圖形的 TOPS、橫軸、縱軸。選擇好后點(diǎn)擊“查詢”按鈕，會(huì)出現(xiàn)各種圖形顯示，如下圖 ：列表形式顯示上圖是以列表的形顯示報(bào)表，它可以以各種格式的導(dǎo)出報(bào)表，包括：TXTEXCLE CSV HTML WORDPDFl?六種格式。餅圖形式顯示0 SecFoxj等&BMn*R*S】Di， * a用充白w：q回wtzs占星“ 1 Rpzg r f-s

44、Ft siniE r 川 聲4m 1 *tlT5 r憐 IE*jKD1S 聃 MNHtl 烹柱狀圖形式顯示SecFoxs* 配in*丐3亶：a前生吊翎M松福川i.T I I8F AfiSI I 珈W I HR I BIPW I 1飛1 l -空短 I 武般fcr瓦啪售廣幃I：嬴. 城F= 11*51折線圖形式顯示還有柱狀圖、折線圖等顯示方式10.3. 自定義報(bào)表暫 SecFox10.3.1.界面Ut idrm贛!*fl. 口公 回R fe： .fJfSffE 中值嗎.“一（做如t| ；內(nèi)總由mH想芭國百Utiri整HHSKaiHJT-M 口郎制ftftBWMWit*MMm 11 31 無sai

45、-rom l i ii 9蚓福1軸耶4苗如中*-隆日期B#nm 1曲1母M初步tt標(biāo)12 29 %2aiM2-S3 口 DE；證廊宴/岳國 u juUrjL 虹 口6口1占隹礎(chǔ)iH隨三:由w* “組態(tài)報(bào)表”- “自定義報(bào)表”會(huì)出現(xiàn)以下的界面在這里可以選擇“模版名稱”，在“自定義sql”的框中寫上查詢語句，點(diǎn)擊“查詢”，就會(huì)顯示出所選報(bào)表要查詢的內(nèi)容。也可以點(diǎn)擊“添加按鈕”，在出現(xiàn)的界面中填寫好“報(bào)表名稱” 、“sql語句” 和“描述”，點(diǎn)擊“保存”，轉(zhuǎn)入上面的界面。選中建好的報(bào)表，點(diǎn)擊“執(zhí)行”， 就會(huì)出現(xiàn)查詢結(jié)果。如果想繼續(xù)執(zhí)行別的報(bào)表，點(diǎn)擊“返回”按鈕，繼續(xù)執(zhí)行即可10.4. 定時(shí)報(bào)表點(diǎn)擊- “組態(tài)報(bào)表”- “定時(shí)報(bào)表”會(huì)出現(xiàn)以下的界面teftGIl feAHit *n f FjjJS * 3t.wsf it 0圖丁 swm I eif rk可，r t1 *urr 電罅* i mio 片硼號 丁 財(cái)時(shí)羯 到稀一二U 5： H Q H a : X廠日選擇系統(tǒng)模塊，或者自