1、 初始化配置
1.1 登录信息
启明星辰OSM-3600天玥网络安全审计系统的出厂默认管理地址如下:
接口编号 |
IP地址 |
访问方式 |
用户名 |
密码 |
管理口 |
10.0.0.1/24 |
https://10.0.0.1:8889 |
administrator |
administrator |
Console |
波特率为115200 |
sysadm |
sys$admin@028 |
|
SSH |
端口号2222 |
sysadm |
sys$admin@028 |
在进行初始化配置时,本机地址需要配置成10.0.0.200/24才能登录设备。
1.2 运维终端到堡垒机防火墙必须要开放的端口
端口号 TCP |
协议 |
描述 |
443 |
HTTPS |
向外提供 Web 访问(支持更改默认端口) |
2222 |
SSH |
堡垒机远程维护通道,可在网络上屏蔽,屏蔽后用串口访问代替,不能更改 |
8080 |
运维通道协议 |
WEB或专用运维客户端运维模式下必须开放, (支持更改默认端口) |
5106 |
RDP |
客户端直连堡垒机菜单模式运维方式,支持访问RDP,VNC协议资源(支持更改默认端口) |
5107 |
SSH |
客户端直连堡垒机菜单模式运维方式,支持访问TELNET,SSH协议资源(支持更改默认端口) |
5110 |
实时监控 |
用于管理员在管理界面使用实时监控功能(支持更改默认端口) |
1.3 应用发布服务器和堡垒机开放端口
端口号 |
服务 |
协议 |
描述 |
3389 |
RDP |
TCP |
向用户开放,支持修改端口号 |
5108 |
设备管理 |
TCP |
向堡垒机开放,不能修改端口号 |
1.4 运维堡垒机针对应用发布服务器防火墙开放端口
端口号 |
服务 |
协议 |
描述 |
53 |
应用发布AD域 DNS |
TCP/UDP |
向应用发布服务器开放,不能修改端口号 |
88 |
应用发布AD域 kerberos |
TCP/UDP |
向应用发布服务器开放,不能修改端口号 |
135 |
应用发布AD域 End Point Mapper (DCE/RPC Locator Service) |
TCP |
向应用发布服务器开放,不能修改端口号 |
137 |
应用发布AD域 NetBIOS Name Service |
UDP |
向应用发布服务器开放,不能修改端口号 |
138 |
应用发布AD域 NetBIOS Datagram |
UDP |
向应用发布服务器开放,不能修改端口号 |
139 |
应用发布AD域 NetBIOS Session |
TCP |
向应用发布服务器开放,不能修改端口号 |
389 |
应用发布AD域
|
TCP/UDP |
向应用发布服务器开放,不能修改端口号 |
445 |
应用发布AD域 SMB over TCP |
TCP |
向应用发布服务器开放,不能修改端口号 |
464 |
应用发布AD域 Kerberos kpasswd |
TCP/UDP |
向应用发布服务器开放,不能修改端口号 |
636 |
应用发布AD域 LDAPS (only if "tls enabled = yes") |
TCP |
向应用发布服务器开放,不能修改端口号 |
1024 |
应用发布AD域 Dynamic RPC Ports* |
TCP |
向应用发布服务器开放,不能修改端口号 |
3268 |
应用发布AD域 Global Cataloge |
TCP |
向应用发布服务器开放,不能修改端口号 |
3269 |
应用发布AD域 Global Cataloge SSL (only if "tls enabled = yes") |
TCP |
向应用发布服务器开放,不能修改端口号 |
5109 |
设备事件通知 |
TCP |
向应用发布服务器开放,不能修改端口号 |
5110 |
审计日志 |
TCP |
向应用发布服务器开放,不能修改端口号 |
5353 |
组播DNS |
TCP/UDP |
向应用发布服务器开放,不能修改端口号 |
1.5 发布服务器配置需求
应用发布服务器操作系统只支持Windows 2008 Server Enterprise R2(64位)SP1版本;或者Windows Server 2012 R2 Standard(64位)版本,且配置windows管理员账号和密码;
应用会话并发数 |
内存 |
CPU |
适用客户 |
60并发 |
8G |
2.8G四核*1颗 |
使用应用发布的运维人员30以下 |
100并发 |
12G |
2.8G四核*1颗 |
使用应用发布的运维人员50以下 |
150并发 |
16G |
3.2G四核*1颗 |
使用应用发布的运维人员80以下 |
200并发 |
24G |
3.2G四核*1颗 |
使用应用发布的运维人员100以下 |
250并发 |
32G |
3.4G四核*1颗 |
使用应用发布的运维人员130以下 |
300并发 |
40G |
2.9G六核*1颗 |
使用应用发布的运维人员150以下 |
2、 系统登录
2.1 系统登录
天玥运维安全网关V6.0系统登录界面(URL地址:https://OSM-Server的管理IP)如图所示:
2.2 用户权限
天玥运维安全网关V6.0系统自带三种类型系统级管理员:sysuseradmin、sysauditor和sysadmin,各种类型账号的权限范围如下:
账号类型 |
权限范围 |
默认账号/密码 |
系统账号管理员 |
系统账号管理(系统审计员、系统管理员的创建和管理);认证方式管理;密码策略 |
sysuseradmin/ sua_password$123 |
系统审计员 |
查询系统管理日志;查询所有用户登录日志;系统管理报表 |
sysauditor/ sa_password$123 |
系统管理员 |
运维用户管理;业务管理员管理;资源管理;策略管理;工单管理;实时监控;查询运维日志、查询运维用户登录日志和查询业务管理日志;审计和业务管理报表;从账号改密;系统升级;配置数据备份;电源管理;高可用性;网络配置;时间设置;Web运维相关设置;接口配置;应用发布管理 |
sysadmin/ password$123 |
业务管理员 |
运维用户管理;资源管理;策略管理;工单管理;实时监控;查询运维日志、查询运维用户登录日志和查询业务管理日志;审计和业务管理报表;从账号改密 |
由系统管理员创建 |
普通用户(运维账号) |
运维操作 |
由系统管理员或业务管理员创建 |
备注:系统管理员的账号和密码为系统升级到V6.0.2.8489版本前的超级管理员的账号和密码,V6.0.2.8489及以后版本系统重置后系统管理员的账号为:sysadmin,密码为:password$123
2.3 软件环境安装
2.3.1 环境检测
运维终端首次使用天玥运维安全网关V6.0,需要用户从天玥运维安全网关V6.0登录界面手动下载环境检测助手进行手动检测。登录Web界面,下载环境检测助手。
运行环境检测助手,检测本地环境。
在环境检测项中,打勾项表示环境正常;感叹号项提醒用户该环境错误或缺失,但是不影响正常使用;打叉项表示该环境项错误或缺失,而且会影响正常操作,需要用户手工修复,并提供相应的下载链接。
在环境检测项中,打勾项表示环境正常;感叹号项提醒用户该环境错误或缺失,但是不影响正常使用;打叉项表示该环境项错误或缺失,而且会影响正常操作,需要用户手工修复,并提供相应的下载链接。
当用户通过web登录堡垒机时,浏览器不会再自动检测环境,只有通过环境检测助手进行手动检测。如果本地环境有问题,虽然也可以正常登录web界面,但是会导致运维等操作的失败。
如果用户第一次登录堡垒机,会提醒用户下载环境检测助手进行环境检测
2.3.2 安装JAVA运行环境
系统登录前请安装JAVA运行环境,可以根据环境检测助手上的下载链接到Java网站上下载,也可以在登录界面中的下载工具列表中进行下载,注意:windows操作系统是32位的用户,下载安装【Java运行环境32位证书下载】;
windows操作系统是64位的用户,需要下载安装【Java运行环境32位】和【Java运行环境64位】。
2.4 WEB登录
完成JAVA运行环境和证书安装后,即可通过WEB页面进行系统登录。在终端IE输入天玥运维安全网关V6.0地址:https://天玥运维安全网关V6.0的实际IP地址,并输入初始化定义的管理员用户名和密码登录,提示安全警告,请选择【继续】->【运行】后登录到管理界面首页,如下图所示:
2.5 创建证书
天玥运维安全网关V6.0系统更改网络配置点击“应用”保存后,天玥运维安全网关V6.0系统会自动生成证书。
如需在系统管理界面添加网关,请导航到【系统管理】-【系统选项】-【网络配置】点击“新增路由”,网络地址填目标网络地址,掩码填目标网络掩码,下一跳地址填网关地址,绑定网卡选择管理口,然后点击“确认”即可:
2.6 导入授权文件
在没有导入任何授权的情况下,系统自带3个资源的试用授权。
选择导航条【系统管理】->【系统信息】->【授权信息】,点击授权信息页面的【更新授权】,选择授权文件所在路径(OSM授权文件没有任何后缀),点击确定直到授权上传成功。如图所示
2.7 网络配置
3、典型配置实例
3.1 添加用户
具有用户管理权限的管理员登陆天玥运维安全网关V6.0管理界面,选择导航条上【用户管理】,在对应的组织机构中添加用户t123_1,根据提示输入基础信息,名称、密码和真是姓名是必填项,其他选项根据实际情况进行设置,如下图所示:
完成基础信息后,点击【下一步】,进入认证方式配置界面,根据实际情况选择需要使用的认证方式,直接点击【下一步】,如图4.2所示:
如果需要限制用户通过应用发布服务器访问应用工具的类型,请在下图中勾选“启用限制”,勾选的工具才被允许使用,最后点击“确定”完成用户的添加。
3.2 添加访问策略
具有策略管理权限的管理员登陆天玥运维安全网关V6.0管理界面,选择导航条上【策略管理】→【访问策略】,添加访问策略,在基础信息中根据提示输入相关信息,如服务器是windows系统,通过RDP协议访问,可选择是否开启“RDP剪切板”和“RDP磁盘映射”,如图所示:
完成绑定用户后,点击【下一步】,进入绑定服务界面,选择适用该策略的主机172.16.67.210的SSH服务,如图5.3所示:
完成绑定服务后,点击【下一步】,进入绑定账号界面,选择适用该策略的服务对应的账号user01,最后点击【确定】完成策略的添加,如图5.4所示:
3.3 运维验证
使用刚建立的运维帐号登录天玥运维安全网关V6.0,选择需要访问的资源、登录账户和使用的运维工具,最后点击“连接服务”,如图所示
3.4 审计管理
具有资源管理权限的管理员登陆天玥运维安全网关V6.0管理界面,选择导航条上【审计管理】->【实时监控】->【会话监控】可以查询正在实时连接的会话,如图所示
点击【会话监控】操作栏“阻断”,选择【日志查询】->【管理日志】可以查询到此条会话的会话阻断记录。
如果想要审计运维用户对主机资源的操作记录,选择【日志查询】->【审计日志】,如图所示,对资源的详细操作可以在审计的这条记录点击“协议回放”,如图所示
3.5 应用发布服务器
如果需要对堡垒机支持运维审计的协议进行扩充,比如:被管资源的类型为http/https的应用或其它不能通过堡垒机调用本地工具来支持的应用程序都可以通过应用发布服务器来支持,并进行录像审计。(应用发布的详细安装过程请参考应用发布安装配置手册)
在部署应用发布服务器的相关注意事项如下:
1) 应用发布服务器操作系统推荐:Windows server 2008 R2 Enterprise64位或Windows server 2012 R2 Standard 64位;
2) 应用发布安装程序版本必须和堡垒机版本配套;
3) 应用发布服务器windows server 2008 R2和windows server 2012 R2的远程桌面服务默认试用时间是120天,所以远程桌面服务需要申请授权(远程桌面服务是微软的付费服务)。使用administrator管理员账号登录应用发布服务器系统,在远程桌面授权管理器中激活远程桌面服务器;
4) 如在运维堡垒机管理界面的网络配置中对多个网口配置了IP地址,请使用能与应用发布服务器正常通信的IP地址登录WEB管理界面进行应用发布服务器的添加;
5) 客户端操作系统是windows XP,请检查C:\Windows\System32\的版本是否在6.1以上,如版本在6.1以下请下载安装windows的RDP更新补丁(链接:/share/link?shareid=742507511&uk=1968479635 密码:6kd6);
6) 在运维堡垒机管理界面的“系统管理”-“设备管理”中将应用发布服务器添加成功后,应用发布服务器的网络配置中的DNS地址会被设置为堡垒机的IP地址,注意不要更改此设置(DNS设置关系到应用发布服务器的正常使用)。
3.6 SSH典型配置实例
具有资源管理权限的管理员登陆天玥运维安全网关V6.0管理界面,选择导航条上【资源管理】→【资源】,在对应的资源组中添加资源172.16.67.210,根据提示输入相关信息,如图所示:
完成基础信息后,点击【下一步】,进入服务&账号配置界面,点击【添加】SSH服务,输入需要添加服务的相关信息,连通检测功能可以检测堡垒机到目标资源的对应端口的连通性,如图所示:
添加完服务后,添加服务对应的账号信息,如下图所示,输入账号user01、对应密码,服务授权中勾选账号对应的SSH服务,点击【添加】,SSH服务和对应的user01账号添加完毕,最后点击【确定】完成主机的添加,如图所示。
添加完帐号后,点击【下一步】,进入绑定应用发布、应用发布服务器页面,可以选择访问此资源是使用协议代理服务器或者应用发布服务器,如下图所示。
3.7 添加web应用典型配置实例(防火墙等web登录设备)
需在堡垒机发布服务器上安装Mozilla Firefox(version45-52版本);
3.7.1 应用工具修改
具有资源管理权限的管理员登陆天玥运维安全网关V6.0管理界面,选择导航条上【系统管理】→【应用工具】→【应用工具】→【Mozilla Firefox】→【属性】,核对路径信息是否有误,如图所示:(路径为发布服务器中的安装路径)
3.7.2 应用工具发布管理
选择导航条上【系统管理】→【应用工具】→【发布管理】→【发布】,查找“Mozilla Firefox”并选择【应用发布服务器】,如图所示:
3.7.3 添加资源
选择导航条上【资源管理】→【选择资源组】→【添加】,填写基本信息,如图所示:
填写服务信息并测试连通监测,如图所示:
3.7.4 WEB参数设置及由来
(填写完WEB参数记得保存):
打开设备WEB界面,按下F12开发者模式(建议Google浏览器)
选择发布服务器,
3.8 VMware Client典型配置实例
仅支持一个地址登录,需在发布服务器安装VMware-viclient-all-6.0.0
3.7.1 应用工具修改
登录发布服务器,选择【VMware vSphere Client】→【属性】→【打开文件位置】→【编辑】,如图所示:
在文档中添加:
<user>username</user> ######用户名######
<server>servername or serverIP</server> ######vCenter URL地址######
<password>password</password> ######密 码######
3.7.2 应用工具添加
具有资源管理权限的管理员登陆天玥运维安全网关V6.0管理界面选择导航条上【系统管理】→【应用工具】→【添加】,填写【应用程序名称】→【路径】,,如图所示:
上传图标不得大于1MB
绑定服务器类型:(可选择Other或自行更改)
代填方式为空
3.7.3 应用工具发布管理
选择导航条上【系统管理】→【应用工具】→【发布管理】→【发布】,查找“VMware Client”并选择【应用发布服务器】,如图所示:
3.7.4 添加资源
选择导航条上【资源管理】→【选择资源组】→【添加】,填写基本信息,如图所示:
填写服务信息并测试连通监测,如图所示:
3.7.5 VMware参数为空
(勾选服务授权即可):
4、串口配置详解
4.1 虚拟终端访问设置
以SecureCRT6.5为例说明:
串口连接出现登录页面后,在当前会话标签页上点击鼠标右键选择“会话选项(Session Options)”:
然后选择“仿真(Emulation)”,修改终端(Terminal)为“Xterm”,然后勾选“ANSI颜色(ANSI Color)”和“使用颜色方案(Use color scheme)”:
然后选择“模式(Modes)”,将“启用小键盘模式转换(Enable keypad mode switching)”前面的勾取消:
选择“外观(appearance)”,修改“字体(Fonts)”为vt100 10pt 粗体,修改编码为UTF-8:
完成后点击 OK 按钮应用设置,然后关闭本次会话重新进行连接即可。
4.2 菜单说明
连接后台输入账号密码成功登录后,系统会显示Menu菜单主界面,如下图所示:
Version:系统版本
Time:系统时间
Addresses:IP地址信息
Utilities:网络测试功能(包括:ping、arping、traceroute和tcpdump)
Role:更改服务器角色(主服务器、协议代理服务器)
Password:更改密码
:重启设备
:设备关机
4.3 网络配置说明
具有资源管理权限的管理员登陆菜单主界面界面,选择【IP Addresses】→【Set】→【选择eth0】填写IP地址信息,IP修改完成后,Tab键选择“OK”回车,系统自动重启网卡更新IP地址。如图所示:
4.4 重置管理员密码
如果用户遗忘当天玥运维安全网关V6.0系统管理员sysadmin的密码,可通过系统账号管理员sysuseradmin登录管理界面重置密码,如果遗忘sysuseradmin的密码,请参考下图5.1.1方法从后台重置密码。
重置管理员密码的方式是通过串口或网口SSH协议连接到系统后台管理界面,在主菜单界面(如图5.1.1所示)输入Ctrl+R,键入“sys$maintain@028”,提示挑战码(如图5.1.2所示),将挑战码提交给有关人员得到确认码后,填入,即可进入“[ Maintain Entry ]”子菜单(如图5.1.3所示),内含重置默认管理员 admin 密码的功能(出厂密码:password$123)。