启明星辰天玥网络安全审计系统手册

1、 初始化配置

1.1 登陆信息

启明星辰OSM-3600天玥网络安全审计系统的出厂默认管理地址以下：

接口编号	IP地址	访问方式	用户名	密码
管理口	10.0.0.1/24	https://10.0.0.1:8889	administrator	administrator
Console		波特率为115200	sysadm	sys$admin@028
SSH		端口号2222	sysadm	sys$admin@028

 

在进行初始化配置时，本机地址须要配置成10.0.0.200/24才能登陆设备。

1.2 运维终端到堡垒机防火墙必需要开放的端口

端口号 TCP	协议	描述
443	HTTPS	向外提供 Web 访问（支持更改默认端口）
2222	SSH	堡垒机远程维护通道，可在网络上屏蔽，屏蔽后用串口访问代替，不能更改
8080	运维通道协议	WEB或专用运维客户端运维模式下必须开放, （支持更改默认端口）
5106	RDP	客户端直连堡垒机菜单模式运维方式，支持访问RDP,VNC协议资源（支持更改默认端口）
5107	SSH	客户端直连堡垒机菜单模式运维方式，支持访问TELNET,SSH协议资源（支持更改默认端口）
5110	实时监控	用于管理员在管理界面使用实时监控功能（支持更改默认端口）

 

1.3 应用发布服务器和堡垒机开放端口

端口号	服务	协议	描述
3389	RDP	TCP	向用户开放，支持修改端口号
5108	设备管理	TCP	向堡垒机开放，不能修改端口号

 

1.4 运维堡垒机针对应用发布服务器防火墙开放端口

端口号	服务	协议	描述
53	应用发布AD域 DNS	TCP/UDP	向应用发布服务器开放，不能修改端口号
88	应用发布AD域 kerberos	TCP/UDP	向应用发布服务器开放，不能修改端口号
135	应用发布AD域 End Point Mapper (DCE/RPC Locator Service)	TCP	向应用发布服务器开放，不能修改端口号
137	应用发布AD域 NetBIOS Name Service	UDP	向应用发布服务器开放，不能修改端口号
138	应用发布AD域 NetBIOS Datagram	UDP	向应用发布服务器开放，不能修改端口号
139	应用发布AD域 NetBIOS Session	TCP	向应用发布服务器开放，不能修改端口号
389	应用发布AD域	TCP/UDP	向应用发布服务器开放，不能修改端口号
445	应用发布AD域 SMB over TCP	TCP	向应用发布服务器开放，不能修改端口号
464	应用发布AD域 Kerberos kpasswd	TCP/UDP	向应用发布服务器开放，不能修改端口号
636	应用发布AD域 LDAPS (only if "tls enabled = yes")	TCP	向应用发布服务器开放，不能修改端口号
1024	应用发布AD域 Dynamic RPC Ports*	TCP	向应用发布服务器开放，不能修改端口号
3268	应用发布AD域 Global Cataloge	TCP	向应用发布服务器开放，不能修改端口号
3269	应用发布AD域 Global Cataloge SSL (only if "tls enabled =   yes")	TCP	向应用发布服务器开放，不能修改端口号
5109	设备事件通知	TCP	向应用发布服务器开放，不能修改端口号
5110	审计日志	TCP	向应用发布服务器开放，不能修改端口号
5353	组播DNS	TCP/UDP	向应用发布服务器开放，不能修改端口号

 

1.5 发布服务器配置需求

应用发布服务器操做系统只支持Windows 2008 Server Enterprise R2（64位）SP1版本；或者Windows Server 2012 R2 Standard（64位）版本，且配置windows管理员帐号和密码；

 

应用会话并发数	内存	CPU	适用客户
60并发	8G	2.8G四核*1颗	使用应用发布的运维人员30如下
100并发	12G	2.8G四核*1颗	使用应用发布的运维人员50如下
150并发	16G	3.2G四核*1颗	使用应用发布的运维人员80如下
200并发	24G	3.2G四核*1颗	使用应用发布的运维人员100如下
250并发	32G	3.4G四核*1颗	使用应用发布的运维人员130如下
300并发	40G	2.9G六核*1颗	使用应用发布的运维人员150如下

2、 系统登陆

2.1 系统登陆

       天玥运维安全网关V6.0系统登陆界面（URL地址：https://OSM-Server的管理IP）如图所示：

 

2.2 用户权限

天玥运维安全网关V6.0系统自带三种类型系统级管理员：sysuseradmin、sysauditor和sysadmin，各类类型帐号的权限范围以下：

帐号类型	权限范围	默认帐号/密码
系统帐号管理员	系统帐号管理（系统审计员、系统管理员的建立和管理）；认证方式管理；密码策略	sysuseradmin/ sua_password$123
系统审计员	查询系统管理日志；查询全部用户登陆日志；系统管理报表	sysauditor/ sa_password$123
系统管理员	运维用户管理；业务管理员管理；资源管理；策略管理；工单管理；实时监控；查询运维日志、查询运维用户登陆日志和查询业务管理日志；审计和业务管理报表；从帐号改密；系统升级；配置数据备份；电源管理；高可用性；网络配置；时间设置；Web运维相关设置；接口配置；应用发布管理	sysadmin/ password$123
业务管理员	运维用户管理；资源管理；策略管理；工单管理；实时监控；查询运维日志、查询运维用户登陆日志和查询业务管理日志；审计和业务管理报表；从帐号改密	由系统管理员建立
普通用户（运维帐号）	运维操做	由系统管理员或业务管理员建立

备注：系统管理员的帐号和密码为系统升级到V6.0.2.8489版本前的超级管理员的帐号和密码，V6.0.2.8489及之后版本系统重置后系统管理员的帐号为：sysadmin，密码为：password$123

2.3 软件环境安装

2.3.1 环境检测

运维终端首次使用天玥运维安全网关V6.0，须要用户从天玥运维安全网关V6.0登陆界面手动下载环境检测助手进行手动检测。登陆Web界面，下载环境检测助手。

运行环境检测助手，检测本地环境。

在环境检测项中，打勾项表示环境正常；感叹号项提醒用户该环境错误或缺失，可是不影响正常使用；打叉项表示该环境项错误或缺失，并且会影响正常操做，须要用户手工修复，并提供相应的下载连接。

在环境检测项中，打勾项表示环境正常；感叹号项提醒用户该环境错误或缺失，可是不影响正常使用；打叉项表示该环境项错误或缺失，并且会影响正常操做，须要用户手工修复，并提供相应的下载连接。

当用户经过web登陆堡垒机时，浏览器不会再自动检测环境，只有经过环境检测助手进行手动检测。若是本地环境有问题，虽然也能够正常登陆web界面，可是会致使运维等操做的失败。

若是用户第一次登陆堡垒机，会提醒用户下载环境检测助手进行环境检测

2.3.2 安装JAVA运行环境

       系统登陆前请安装JAVA运行环境，能够根据环境检测助手上的下载连接到Java网站上下载，也能够在登陆界面中的下载工具列表中进行下载，注意：windows操做系统是32位的用户，下载安装【Java运行环境32位证书下载】；

windows操做系统是64位的用户，须要下载安装【Java运行环境32位】和【Java运行环境64位】。

2.4 WEB登陆

完成JAVA运行环境和证书安装后，便可经过WEB页面进行系统登陆。在终端IE输入天玥运维安全网关V6.0地址：https://天玥运维安全网关V6.0的实际IP地址，并输入初始化定义的管理员用户名和密码登陆，提示安全警告，请选择【继续】->【运行】后登陆到管理界面首页，以下图所示：

2.5 建立证书

天玥运维安全网关V6.0系统更改网络配置点击“应用”保存后，天玥运维安全网关V6.0系统会自动生成证书。

 

如需在系统管理界面添加网关，请导航到【系统管理】-【系统选项】-【网络配置】点击“新增路由”，网络地址填目标网络地址，掩码填目标网络掩码，下一跳地址填网关地址，绑定网卡选择管理口，而后点击“确认”便可：

2.6 导入受权文件

在没有导入任何受权的状况下，系统自带3个资源的试用受权。

选择导航条【系统管理】->【系统信息】->【受权信息】，点击受权信息页面的【更新受权】，选择受权文件所在路径（OSM受权文件没有任何后缀），点击肯定直到受权上传成功。如图所示

2.7 网络配置

 

3、典型配置实例

3.1 添加用户

具备用户管理权限的管理员登录天玥运维安全网关V6.0管理界面，选择导航条上【用户管理】，在对应的组织机构中添加用户t123_1，根据提示输入基础信息，名称、密码和真是姓名是必填项，其余选项根据实际状况进行设置，以下图所示：

完成基础信息后，点击【下一步】，进入认证方式配置界面，根据实际状况选择须要使用的认证方式，直接点击【下一步】，如图4.2所示：

若是须要限制用户经过应用发布服务器访问应用工具的类型，请在下图中勾选“启用限制”，勾选的工具才被容许使用，最后点击“肯定”完成用户的添加。

 

3.2 添加访问策略

具备策略管理权限的管理员登录天玥运维安全网关V6.0管理界面，选择导航条上【策略管理】→【访问策略】，添加访问策略，在基础信息中根据提示输入相关信息，如服务器是windows系统，经过RDP协议访问，可选择是否开启“RDP剪切板”和“RDP磁盘映射”，如图所示：

完成绑定用户后，点击【下一步】，进入绑定服务界面，选择适用该策略的主机172.16.67.210的SSH服务，如图5.3所示：

完成绑定服务后，点击【下一步】，进入绑定帐号界面，选择适用该策略的服务对应的帐号user01，最后点击【肯定】完成策略的添加，如图5.4所示：

 

3.3 运维验证

使用刚创建的运维账号登陆天玥运维安全网关V6.0，选择须要访问的资源、登陆帐户和使用的运维工具，最后点击“链接服务”，如图所示

 

3.4 审计管理

具备资源管理权限的管理员登录天玥运维安全网关V6.0管理界面，选择导航条上【审计管理】->【实时监控】->【会话监控】能够查询正在实时链接的会话，如图所示

点击【会话监控】操做栏“阻断”，选择【日志查询】->【管理日志】能够查询到此条会话的会话阻断记录。

若是想要审计运维用户对主机资源的操做记录，选择【日志查询】->【审计日志】，如图所示，对资源的详细操做能够在审计的这条记录点击“协议回放”，如图所示

 

3.5 应用发布服务器

若是须要对堡垒机支持运维审计的协议进行扩充，好比：被管资源的类型为http/https的应用或其它不能经过堡垒机调用本地工具来支持的应用程序均可以经过应用发布服务器来支持，并进行录像审计。(应用发布的详细安装过程请参考应用发布安装配置手册)

在部署应用发布服务器的相关注意事项以下：

1)   应用发布服务器操做系统推荐：Windows server 2008 R2 Enterprise64位或Windows server 2012 R2 Standard 64位；

2)   应用发布安装程序版本必须和堡垒机版本配套；

3)   应用发布服务器windows server 2008 R2和windows server 2012 R2的远程桌面服务默认试用时间是120天，因此远程桌面服务须要申请受权（远程桌面服务是微软的付费服务）。使用administrator管理员帐号登陆应用发布服务器系统，在远程桌面受权管理器中激活远程桌面服务器；

4)   如在运维堡垒机管理界面的网络配置中对多个网口配置了IP地址，请使用能与应用发布服务器正常通讯的IP地址登陆WEB管理界面进行应用发布服务器的添加；

5)   客户端操做系统是windows XP，请检查C:\Windows\System32\mstscax.dll的版本是否在6.1以上，如版本在6.1如下请下载安装windows的RDP更新补丁（连接：http://pan.baidu.com/share/link?shareid=742507511&uk=1968479635 密码：6kd6）；

6)   在运维堡垒机管理界面的“系统管理”-“设备管理”中将应用发布服务器添加成功后，应用发布服务器的网络配置中的DNS地址会被设置为堡垒机的IP地址，注意不要更改此设置（DNS设置关系到应用发布服务器的正常使用）。

 

 

3.6 SSH典型配置实例

具备资源管理权限的管理员登录天玥运维安全网关V6.0管理界面，选择导航条上【资源管理】→【资源】，在对应的资源组中添加资源172.16.67.210，根据提示输入相关信息，如图所示：

完成基础信息后，点击【下一步】，进入服务&帐号配置界面，点击【添加】SSH服务，输入须要添加服务的相关信息，连通检测功能能够检测堡垒机到目标资源的对应端口的连通性，如图所示：

添加完服务后，添加服务对应的帐号信息，以下图所示，输入帐号user01、对应密码，服务受权中勾选帐号对应的SSH服务，点击【添加】，SSH服务和对应的user01帐号添加完毕，最后点击【肯定】完成主机的添加，如图所示。

添加完账号后，点击【下一步】，进入绑定应用发布、应用发布服务器页面，能够选择访问此资源是使用协议代理服务器或者应用发布服务器，以下图所示。

 

3.7 添加web应用典型配置实例（防火墙等web登陆设备）

需在堡垒机发布服务器上安装Mozilla Firefox（version45-52版本）；

3.7.1 应用工具修改

具备资源管理权限的管理员登录天玥运维安全网关V6.0管理界面，选择导航条上【系统管理】→【应用工具】→【应用工具】→【Mozilla Firefox】→【属性】，核对路径信息是否有误，如图所示：(路径为发布服务器中的安装路径)

 

3.7.2 应用工具发布管理

选择导航条上【系统管理】→【应用工具】→【发布管理】→【发布】，查找“Mozilla Firefox”并选择【应用发布服务器】，如图所示：

 

3.7.3 添加资源

 选择导航条上【资源管理】→【选择资源组】→【添加】，填写基本信息，如图所示：

填写服务信息并测试连通监测，如图所示：

3.7.4 WEB参数设置及由来

（填写完WEB参数记得保存）：

打开设备WEB界面，按下F12开发者模式（建议Google浏览器）

选择发布服务器，

3.8 VMware Client典型配置实例

仅支持一个地址登陆，需在发布服务器安装VMware-viclient-all-6.0.0

3.7.1 应用工具修改

登陆发布服务器，选择【VMware vSphere Client】→【属性】→【打开文件位置】→【编辑vpxClient.exe】，如图所示：

       在文档中添加：

<user>username</user>             ######用户名######

<server>servername  or serverIP</server>   ######vCenter URL地址######

<password>password</password>     ######密 码######

3.7.2 应用工具添加

具备资源管理权限的管理员登录天玥运维安全网关V6.0管理界面选择导航条上【系统管理】→【应用工具】→【添加】，填写【应用程序名称】→【路径】，,如图所示：

上传图标不得大于1MB

绑定服务器类型：（可选择Other或自行更改）

代填方式为空

3.7.3 应用工具发布管理

选择导航条上【系统管理】→【应用工具】→【发布管理】→【发布】，查找“VMware Client”并选择【应用发布服务器】，如图所示：

 

3.7.4 添加资源

选择导航条上【资源管理】→【选择资源组】→【添加】，填写基本信息，如图所示：

填写服务信息并测试连通监测，如图所示：

3.7.5 VMware参数为空

（勾选服务受权便可）：

4、串口配置详解

4.1 虚拟终端访问设置

以SecureCRT6.5为例说明：

串口链接出现登陆页面后，在当前会话标签页上点击鼠标右键选择“会话选项（Session Options）”：

而后选择“仿真（Emulation）”，修改终端（Terminal）为“Xterm”，而后勾选“ANSI颜色（ANSI Color）”和“使用颜色方案（Use color scheme）”：

而后选择“模式（Modes）”，将“启用小键盘模式转换（Enable keypad mode switching）”前面的勾取消：

选择“外观（appearance）”，修改“字体（Fonts）”为vt100 10pt 粗体，修改编码为UTF-8：

完成后点击 OK 按钮应用设置，而后关闭本次会话从新进行链接便可。

 

4.2 菜单说明

链接后台输入帐号密码成功登陆后，系统会显示Menu菜单主界面，以下图所示：

1.System Version：系统版本

2.System Time：系统时间

3.IP Addresses：IP地址信息

4.Net Utilities：网络测试功能（包括：ping、arping、traceroute和tcpdump）

5.Device Role：更改服务器角色（主服务器、协议代理服务器）

6.Change Password：更改密码

7.Reboot：重启设备

8.Poweroff：设备关机

4.3 网络配置说明

具备资源管理权限的管理员登录菜单主界面界面，选择【IP Addresses】→【Set】→【选择eth0】填写IP地址信息，IP修改完成后，Tab键选择“OK”回车，系统自动重启网卡更新IP地址。如图所示：

4.4 重置管理员密码

若是用户遗忘当天玥运维安全网关V6.0系统管理员sysadmin的密码，可经过系统帐号管理员sysuseradmin登陆管理界面重置密码，若是遗忘sysuseradmin的密码，请参考下图5.1.1方法从后台重置密码。

重置管理员密码的方式是经过串口或网口SSH协议链接到系统后台管理界面，在主菜单界面（如图5.1.1所示）输入Ctrl+R，键入“sys$maintain@028”，提示挑战码（如图5.1.2所示），将挑战码提交给有关人员获得确认码后，填入，便可进入“[ Maintain Entry ]”子菜单（如图5.1.3所示），内含重置默认管理员 admin 密码的功能（出厂密码：password$123）。