发布时间 : 星期二 文章LanSecS(堡垒主机)内控管理平台用户使用手册(0727版)更新完毕开始阅读7bae78fec8d376eeaeaa319b
第一章 系统简介
内控堡垒主机系统是安全内控解决方案的重要组成部分,部署在企业的内部网络中,用于保护企业内部核心资源的访问安全。
内控堡垒主机是一种被加固的可以防御进攻的计算机,具备很强安全防范能力。内控堡垒主机扮演着看门者的工作,所有对网络设备和服务器的请求都要从这扇大门经过。因此内控堡垒主机能够拦截非法访问,和恶意攻击,对不合法命令进行命令阻断,过滤掉所有对目标设备的非法访问行为。
内控堡垒主机具备强大的输入输出审计功能,不仅能够详细记录用户操作的每一条指令,而且能够将所有的输出信息全部记录下来,也具备图形终端操作的审计功能,能够对多平台的多种图形终端操作做审计,并且内控堡垒主机具备审计回放的功能,能够模拟用户在线操作过程。总之,内控堡垒主机能够极大的保护企业内部网络设备及服务器资源的安全性,使得企业内部网络管理合理化,专业化,信息化。
1 关键字
? 自然人:也叫主帐号,使用内控堡垒主机的用户统称为自然人。
? 资源:被内控堡垒主机管理的主机系统,数据库,网络设备等统称为资源。例如AIX系统、Windows2000系统、DB2数据库、CISCO3560等。
? 从账号:从账号是资源中的账号,例如AIX中的root账号,Windows2000中的Administrator账号。
? SSO单点登录:SSO(SingleSign-On)中文为单点登录,就是说在同一个地点完成对不同资源的访问。
? 双人共管账号:双人保管口令的账号。
? 共管账号:账号被很多应用系统使用,或内置了口令,如果修改口令可能影响到其他应用系统的使用,对于这类账号,内控堡垒主机称之为共管账号。
2 部署结构
内控堡垒主机部署逻辑图:
内控堡垒主机部署物理图:
如图,内控堡垒主机部署在被管服务器区的访问路径上,通过防火墙或者交换机的访问控制策略限定只能由内控堡垒主机直接访问服务器的远程维护端口。
维护人员维护被管服务器或者网络设备时,首先以WEB方式登录堡垒主机,然后通过堡垒主机上展现的访问资源列表直接访问授权资源。
3 系统登录
登录页面对管理员及主帐号进行身份认证,以及策略校验,从而完成用户登录。 在地址栏上输入系统URL。例如:https:// ip ,如图所示,进入系统登录页面。 系统默认的超级管理员的帐号:simper,密码:123。堡垒主机启用后,应及时修改口令,以免被非法登录。
根据管理员和主帐号的认证方式,管理员和主帐号可以用简单的静态用户名,口令进行认证,也可以持证书、令牌等强认证方式进行认证。
系统根据主帐号相关登录策略,例如:访问时间策略、访问地址策略、访问锁定策略等进行校验。如果通过校验,主帐号可进入系统,否则禁止主帐号登录系统并给出相应提示。