1、 初始化配置
1.1 登錄信息
啓明星辰OSM-3600天玥網絡安全審計系統的出廠默認管理地址如下:
接口編號 | IP地址 | 訪問方式 | 用戶名 | 密碼 |
管理口 | 10.0.0.1/24 | administrator | administrator | |
Console | 波特率爲115200 | sysadm | sys$admin@028 | |
SSH | 端口號2222 | sysadm | sys$admin@028 |
在進行初始化配置時,本機地址需要配置成10.0.0.200/24才能登錄設備。
1.2 運維終端到堡壘機防火牆必須要開放的端口
端口號 TCP | 協議 | 描述 |
443 | HTTPS | 向外提供 Web 訪問(支持更改默認端口) |
2222 | SSH | 堡壘機遠程維護通道,可在網絡上屏蔽,屏蔽後用串口訪問代替,不能更改 |
8080 | 運維通道協議 | WEB或專用運維客戶端運維模式下必須開放, (支持更改默認端口) |
5106 | RDP | 客戶端直連堡壘機菜單模式運維方式,支持訪問RDP,VNC協議資源(支持更改默認端口) |
5107 | SSH | 客戶端直連堡壘機菜單模式運維方式,支持訪問TELNET,SSH協議資源(支持更改默認端口) |
5110 | 實時監控 | 用於管理員在管理界面使用實時監控功能(支持更改默認端口) |
1.3 應用發佈服務器和堡壘機開放端口
端口號 | 服務 | 協議 | 描述 |
3389 | RDP | TCP | 向用戶開放,支持修改端口號 |
5108 | 設備管理 | TCP | 向堡壘機開放,不能修改端口號 |
1.4 運維堡壘機針對應用發佈服務器防火牆開放端口
端口號 | 服務 | 協議 | 描述 |
53 | 應用發佈AD域 DNS | TCP/UDP | 嚮應用發佈服務器開放,不能修改端口號 |
88 | 應用發佈AD域 kerberos | TCP/UDP | 嚮應用發佈服務器開放,不能修改端口號 |
135 | 應用發佈AD域 End Point Mapper (DCE/RPC Locator Service) | TCP | 嚮應用發佈服務器開放,不能修改端口號 |
137 | 應用發佈AD域 NetBIOS Name Service | UDP | 嚮應用發佈服務器開放,不能修改端口號 |
138 | 應用發佈AD域 NetBIOS Datagram | UDP | 嚮應用發佈服務器開放,不能修改端口號 |
139 | 應用發佈AD域 NetBIOS Session | TCP | 嚮應用發佈服務器開放,不能修改端口號 |
389 | 應用發佈AD域
| TCP/UDP | 嚮應用發佈服務器開放,不能修改端口號 |
445 | 應用發佈AD域 SMB over TCP | TCP | 嚮應用發佈服務器開放,不能修改端口號 |
464 | 應用發佈AD域 Kerberos kpasswd | TCP/UDP | 嚮應用發佈服務器開放,不能修改端口號 |
636 | 應用發佈AD域 LDAPS (only if "tls enabled = yes") | TCP | 嚮應用發佈服務器開放,不能修改端口號 |
1024 | 應用發佈AD域 Dynamic RPC Ports* | TCP | 嚮應用發佈服務器開放,不能修改端口號 |
3268 | 應用發佈AD域 Global Cataloge | TCP | 嚮應用發佈服務器開放,不能修改端口號 |
3269 | 應用發佈AD域 Global Cataloge SSL (only if "tls enabled = yes") | TCP | 嚮應用發佈服務器開放,不能修改端口號 |
5109 | 設備事件通知 | TCP | 嚮應用發佈服務器開放,不能修改端口號 |
5110 | 審計日誌 | TCP | 嚮應用發佈服務器開放,不能修改端口號 |
5353 | 組播DNS | TCP/UDP | 嚮應用發佈服務器開放,不能修改端口號 |
1.5 發佈服務器配置需求
應用發佈服務器操作系統只支持Windows 2008 Server Enterprise R2(64位)SP1版本;或者Windows Server 2012 R2 Standard(64位)版本,且配置windows管理員賬號和密碼;
應用會話併發數 | 內存 | CPU | 適用客戶 |
60併發 | 8G | 2.8G四核*1顆 | 使用應用發佈的運維人員30以下 |
100併發 | 12G | 2.8G四核*1顆 | 使用應用發佈的運維人員50以下 |
150併發 | 16G | 3.2G四核*1顆 | 使用應用發佈的運維人員80以下 |
200併發 | 24G | 3.2G四核*1顆 | 使用應用發佈的運維人員100以下 |
250併發 | 32G | 3.4G四核*1顆 | 使用應用發佈的運維人員130以下 |
300併發 | 40G | 2.9G六核*1顆 | 使用應用發佈的運維人員150以下 |
2、 系統登錄
2.1 系統登錄
天玥運維安全網關V6.0系統登錄界面(URL地址:https://OSM-Server的管理IP)如圖所示:
2.2 用戶權限
天玥運維安全網關V6.0系統自帶三種類型系統級管理員:sysuseradmin、sysauditor和sysadmin,各種類型賬號的權限範圍如下:
賬號類型 | 權限範圍 | 默認賬號/密碼 |
系統賬號管理員 | 系統賬號管理(系統審計員、系統管理員的創建和管理);認證方式管理;密碼策略 | sysuseradmin/ sua_password$123 |
系統審計員 | 查詢系統管理日誌;查詢所有用戶登錄日誌;系統管理報表 | sysauditor/ sa_password$123 |
系統管理員 | 運維用戶管理;業務管理員管理;資源管理;策略管理;工單管理;實時監控;查詢運維日誌、查詢運維用戶登錄日誌和查詢業務管理日誌;審計和業務管理報表;從賬號改密;系統升級;配置數據備份;電源管理;高可用性;網絡配置;時間設置;Web運維相關設置;接口配置;應用發佈管理 | sysadmin/ password$123 |
業務管理員 | 運維用戶管理;資源管理;策略管理;工單管理;實時監控;查詢運維日誌、查詢運維用戶登錄日誌和查詢業務管理日誌;審計和業務管理報表;從賬號改密 | 由系統管理員創建 |
普通用戶(運維賬號) | 運維操作 | 由系統管理員或業務管理員創建 |
備註:系統管理員的賬號和密碼爲系統升級到V6.0.2.8489版本前的超級管理員的賬號和密碼,V6.0.2.8489及以後版本系統重置後系統管理員的賬號爲:sysadmin,密碼爲:password$123
2.3 軟件環境安裝
2.3.1 環境檢測
運維終端首次使用天玥運維安全網關V6.0,需要用戶從天玥運維安全網關V6.0登錄界面手動下載環境檢測助手進行手動檢測。登錄Web界面,下載環境檢測助手。
運行環境檢測助手,檢測本地環境。
在環境檢測項中,打勾項表示環境正常;感嘆號項提醒用戶該環境錯誤或缺失,但是不影響正常使用;打叉項表示該環境項錯誤或缺失,而且會影響正常操作,需要用戶手工修復,並提供相應的下載鏈接。
在環境檢測項中,打勾項表示環境正常;感嘆號項提醒用戶該環境錯誤或缺失,但是不影響正常使用;打叉項表示該環境項錯誤或缺失,而且會影響正常操作,需要用戶手工修復,並提供相應的下載鏈接。
當用戶通過web登錄堡壘機時,瀏覽器不會再自動檢測環境,只有通過環境檢測助手進行手動檢測。如果本地環境有問題,雖然也可以正常登錄web界面,但是會導致運維等操作的失敗。
如果用戶第一次登錄堡壘機,會提醒用戶下載環境檢測助手進行環境檢測
2.3.2 安裝JAVA運行環境
系統登錄前請安裝JAVA運行環境,可以根據環境檢測助手上的下載鏈接到Java網站上下載,也可以在登錄界面中的下載工具列表中進行下載,注意:windows操作系統是32位的用戶,下載安裝【Java運行環境32位證書下載】;
windows操作系統是64位的用戶,需要下載安裝【Java運行環境32位】和【Java運行環境64位】。
2.4 WEB登錄
完成JAVA運行環境和證書安裝後,即可通過WEB頁面進行系統登錄。在終端IE輸入天玥運維安全網關V6.0地址:https://天玥運維安全網關V6.0的實際IP地址,並輸入初始化定義的管理員用戶名和密碼登錄,提示安全警告,請選擇【繼續】->【運行】後登錄到管理界面首頁,如下圖所示:
2.5 創建證書
天玥運維安全網關V6.0系統更改網絡配置點擊“應用”保存後,天玥運維安全網關V6.0系統會自動生成證書。
如需在系統管理界面添加網關,請導航到【系統管理】-【系統選項】-【網絡配置】點擊“新增路由”,網絡地址填目標網絡地址,掩碼填目標網絡掩碼,下一跳地址填網關地址,綁定網卡選擇管理口,然後點擊“確認”即可:
2.6 導入授權文件
在沒有導入任何授權的情況下,系統自帶3個資源的試用授權。
選擇導航條【系統管理】->【系統信息】->【授權信息】,點擊授權信息頁面的【更新授權】,選擇授權文件所在路徑(OSM授權文件沒有任何後綴),點擊確定直到授權上傳成功。如圖所示
2.7 網絡配置
3、典型配置實例
3.1 添加用戶
具有用戶管理權限的管理員登陸天玥運維安全網關V6.0管理界面,選擇導航條上【用戶管理】,在對應的組織機構中添加用戶t123_1,根據提示輸入基礎信息,名稱、密碼和真是姓名是必填項,其他選項根據實際情況進行設置,如下圖所示:
完成基礎信息後,點擊【下一步】,進入認證方式配置界面,根據實際情況選擇需要使用的認證方式,直接點擊【下一步】,如圖4.2所示:
如果需要限制用戶通過應用發佈服務器訪問應用工具的類型,請在下圖中勾選“啓用限制”,勾選的工具才被允許使用,最後點擊“確定”完成用戶的添加。
3.2 添加訪問策略
具有策略管理權限的管理員登陸天玥運維安全網關V6.0管理界面,選擇導航條上【策略管理】→【訪問策略】,添加訪問策略,在基礎信息中根據提示輸入相關信息,如服務器是windows系統,通過RDP協議訪問,可選擇是否開啓“RDP剪切板”和“RDP磁盤映射”,如圖所示:
完成綁定用戶後,點擊【下一步】,進入綁定服務界面,選擇適用該策略的主機172.16.67.210的SSH服務,如圖5.3所示:
完成綁定服務後,點擊【下一步】,進入綁定賬號界面,選擇適用該策略的服務對應的賬號user01,最後點擊【確定】完成策略的添加,如圖5.4所示:
3.3 運維驗證
使用剛建立的運維帳號登錄天玥運維安全網關V6.0,選擇需要訪問的資源、登錄賬戶和使用的運維工具,最後點擊“連接服務”,如圖所示
3.4 審計管理
具有資源管理權限的管理員登陸天玥運維安全網關V6.0管理界面,選擇導航條上【審計管理】->【實時監控】->【會話監控】可以查詢正在實時連接的會話,如圖所示
點擊【會話監控】操作欄“阻斷”,選擇【日誌查詢】->【管理日誌】可以查詢到此條會話的會話阻斷記錄。
如果想要審計運維用戶對主機資源的操作記錄,選擇【日誌查詢】->【審計日誌】,如圖所示,對資源的詳細操作可以在審計的這條記錄點擊“協議回放”,如圖所示
3.5 應用發佈服務器
如果需要對堡壘機支持運維審計的協議進行擴充,比如:被管資源的類型爲http/https的應用或其它不能通過堡壘機調用本地工具來支持的應用程序都可以通過應用發佈服務器來支持,並進行錄像審計。(應用發佈的詳細安裝過程請參考應用發佈安裝配置手冊)
在部署應用發佈服務器的相關注意事項如下:
1) 應用發佈服務器操作系統推薦:Windows server 2008 R2 Enterprise64位或Windows server 2012 R2 Standard 64位;
2) 應用發佈安裝程序版本必須和堡壘機版本配套;
3) 應用發佈服務器windows server 2008 R2和windows server 2012 R2的遠程桌面服務默認試用時間是120天,所以遠程桌面服務需要申請授權(遠程桌面服務是微軟的付費服務)。使用administrator管理員賬號登錄應用發佈服務器系統,在遠程桌面授權管理器中激活遠程桌面服務器;
4) 如在運維堡壘機管理界面的網絡配置中對多個網口配置了IP地址,請使用能與應用發佈服務器正常通信的IP地址登錄WEB管理界面進行應用發佈服務器的添加;
5) 客戶端操作系統是windows XP,請檢查C:\Windows\System32\mstscax.dll的版本是否在6.1以上,如版本在6.1以下請下載安裝windows的RDP更新補丁(鏈接:http://pan.baidu.com/share/link?shareid=742507511&uk=1968479635 密碼:6kd6);
6) 在運維堡壘機管理界面的“系統管理”-“設備管理”中將應用發佈服務器添加成功後,應用發佈服務器的網絡配置中的DNS地址會被設置爲堡壘機的IP地址,注意不要更改此設置(DNS設置關係到應用發佈服務器的正常使用)。
3.6 SSH典型配置實例
具有資源管理權限的管理員登陸天玥運維安全網關V6.0管理界面,選擇導航條上【資源管理】→【資源】,在對應的資源組中添加資源172.16.67.210,根據提示輸入相關信息,如圖所示:
完成基礎信息後,點擊【下一步】,進入服務&賬號配置界面,點擊【添加】SSH服務,輸入需要添加服務的相關信息,連通檢測功能可以檢測堡壘機到目標資源的對應端口的連通性,如圖所示:
添加完服務後,添加服務對應的賬號信息,如下圖所示,輸入賬號user01、對應密碼,服務授權中勾選賬號對應的SSH服務,點擊【添加】,SSH服務和對應的user01賬號添加完畢,最後點擊【確定】完成主機的添加,如圖所示。
添加完帳號後,點擊【下一步】,進入綁定應用發佈、應用發佈服務器頁面,可以選擇訪問此資源是使用協議代理服務器或者應用發佈服務器,如下圖所示。
3.7 添加web應用典型配置實例(防火牆等web登錄設備)
需在堡壘機發布服務器上安裝Mozilla Firefox(version45-52版本);
3.7.1 應用工具修改
具有資源管理權限的管理員登陸天玥運維安全網關V6.0管理界面,選擇導航條上【系統管理】→【應用工具】→【應用工具】→【Mozilla Firefox】→【屬性】,覈對路徑信息是否有誤,如圖所示:(路徑爲發佈服務器中的安裝路徑)
3.7.2 應用工具發佈管理
選擇導航條上【系統管理】→【應用工具】→【發佈管理】→【發佈】,查找“Mozilla Firefox”並選擇【應用發佈服務器】,如圖所示:
3.7.3 添加資源
選擇導航條上【資源管理】→【選擇資源組】→【添加】,填寫基本信息,如圖所示:
填寫服務信息並測試連通監測,如圖所示:
3.7.4 WEB參數設置及由來
(填寫完WEB參數記得保存):
打開設備WEB界面,按下F12開發者模式(建議Google瀏覽器)
選擇發佈服務器,
3.8 VMware Client典型配置實例
僅支持一個地址登錄,需在發佈服務器安裝VMware-viclient-all-6.0.0
3.7.1 應用工具修改
登錄發佈服務器,選擇【VMware vSphere Client】→【屬性】→【打開文件位置】→【編輯vpxClient.exe】,如圖所示:
在文檔中添加:
<user>username</user> ######用戶名######
<server>servername or serverIP</server> ######vCenter URL地址######
<password>password</password> ######密 碼######
3.7.2 應用工具添加
具有資源管理權限的管理員登陸天玥運維安全網關V6.0管理界面選擇導航條上【系統管理】→【應用工具】→【添加】,填寫【應用程序名稱】→【路徑】,,如圖所示:
上傳圖標不得大於1MB
綁定服務器類型:(可選擇Other或自行更改)
代填方式爲空
3.7.3 應用工具發佈管理
選擇導航條上【系統管理】→【應用工具】→【發佈管理】→【發佈】,查找“VMware Client”並選擇【應用發佈服務器】,如圖所示:
3.7.4 添加資源
選擇導航條上【資源管理】→【選擇資源組】→【添加】,填寫基本信息,如圖所示:
填寫服務信息並測試連通監測,如圖所示:
3.7.5 VMware參數爲空
(勾選服務授權即可):
4、串口配置詳解
4.1 虛擬終端訪問設置
以SecureCRT6.5爲例說明:
串口連接出現登錄頁面後,在當前會話標籤頁上點擊鼠標右鍵選擇“會話選項(Session Options)”:
然後選擇“仿真(Emulation)”,修改終端(Terminal)爲“Xterm”,然後勾選“ANSI顏色(ANSI Color)”和“使用顏色方案(Use color scheme)”:
然後選擇“模式(Modes)”,將“啓用小鍵盤模式轉換(Enable keypad mode switching)”前面的勾取消:
選擇“外觀(appearance)”,修改“字體(Fonts)”爲vt100 10pt 粗體,修改編碼爲UTF-8:
完成後點擊 OK 按鈕應用設置,然後關閉本次會話重新進行連接即可。
4.2 菜單說明
連接後臺輸入賬號密碼成功登錄後,系統會顯示Menu菜單主界面,如下圖所示:
1.System Version:系統版本
2.System Time:系統時間
3.IP Addresses:IP地址信息
4.Net Utilities:網絡測試功能(包括:ping、arping、traceroute和tcpdump)
5.Device Role:更改服務器角色(主服務器、協議代理服務器)
6.Change Password:更改密碼
7.Reboot:重啓設備
8.Poweroff:設備關機
4.3 網絡配置說明
具有資源管理權限的管理員登陸菜單主界面界面,選擇【IP Addresses】→【Set】→【選擇eth0】填寫IP地址信息,IP修改完成後,Tab鍵選擇“OK”回車,系統自動重啓網卡更新IP地址。如圖所示:
4.4 重置管理員密碼
如果用戶遺忘當天玥運維安全網關V6.0系統管理員sysadmin的密碼,可通過系統賬號管理員sysuseradmin登錄管理界面重置密碼,如果遺忘sysuseradmin的密碼,請參考下圖5.1.1方法從後臺重置密碼。
重置管理員密碼的方式是通過串口或網口SSH協議連接到系統後臺管理界面,在主菜單界面(如圖5.1.1所示)輸入Ctrl+R,鍵入“sys$maintain@028”,提示挑戰碼(如圖5.1.2所示),將挑戰碼提交給有關人員得到確認碼後,填入,即可進入“[ Maintain Entry ]”子菜單(如圖5.1.3所示),內含重置默認管理員 admin 密碼的功能(出廠密碼:password$123)。