堡垒机安全基线技术手册

极地内网内控安全管理系统（内控堡垒主机）操作手册北京市海淀区上地安宁庄西路9号金泰富地大厦8层电话：010-传真：010-客服：400-01234-18邮编：100085网站：目录一、前言欢迎使用内控堡垒主机系统，本用户使用手册主要介绍内控堡垒主机部署结构、配置、使用和管理。

通过阅读本文档，用户可以了解内控堡垒主机系统的基本设计思想，配置和使用方法。

在安装、使用内控堡垒主机系统之前，请仔细阅读文档内容。

本章内容主要包括：●本文档的用途。

●阅读对象。

●本文档的组织结构。

●如何联系北京极地安全技术支持。

文档目的本文档主要介绍如何配置和使用内控堡垒主机系统。

通过阅读本文档，用户能够正确地部署和配置内控堡垒主机系统。

读者对象本安装手册适用于具有基本网络知识的安全管理员、系统管理员阅读，通过阅读本文档，他们可以独自完成以下一些工作：●内控堡垒主机系统的功能使用。

●内控堡垒主机系统的策略配置与管理。

文档组织本文档包括以下章节及其主要内容：●前言，介绍了本手册各章节的基本内容、文档和技术支持信息。

●系统简介，介绍内控堡垒主机系统的部署结构和登录方法。

●系统应用，介绍如何配置使用内控堡垒主机系统。

技术支持北京极地公司对于生产的安全产品提供远程的产品咨询服务，广大用户和合作伙伴可以通过多种方式获取在线文档、疑难解答等全方位的技术支持。

公司主页提供交互网络服务，用户及合作伙伴可以在世界的任何地方，任何时候访问技术支持中心，获取实时的网络安全解决方案、安全服务和各种安全资料。

●传真: 010-●客服经理承接质量问题投诉邮箱：二、系统简介内控堡垒主机系统是极地安全内控解决方案的重要组成部分，部署在企业的内部网络中，用于保护企业内部核心资源的访问安全。

内控堡垒主机是一种被加固的可以防御进攻的计算机，具备很强安全防范能力。

内控堡垒主机扮演着看门者的工作，所有对网络设备和服务器的请求都要从这扇大门经过。

因此内控堡垒主机能够拦截非法访问，和恶意攻击，对不合法命令进行命令阻断，过滤掉所有对目标设备的非法访问行为。

第一章系统简介内控堡垒主机系统是安全内控解决方案的重要组成部分，部署在企业的内部网络中，用于保护企业内部核心资源的访问安全。

内控堡垒主机是一种被加固的可以防御进攻的计算机，具备很强安全防范能力。

内控堡垒主机扮演着看门者的工作，所有对网络设备和服务器的请求都要从这扇大门经过。

因此内控堡垒主机能够拦截非法访问，和恶意攻击，对不合法命令进行命令阻断，过滤掉所有对目标设备的非法访问行为。

内控堡垒主机具备强大的输入输出审计功能，不仅能够详细记录用户操作的每一条指令，而且能够将所有的输出信息全部记录下来，也具备图形终端操作的审计功能，能够对多平台的多种图形终端操作做审计，并且内控堡垒主机具备审计回放的功能，能够模拟用户在线操作过程。

总之，内控堡垒主机能够极大的保护企业内部网络设备及服务器资源的安全性，使得企业内部网络管理合理化，专业化，信息化。

1关键字自然人：也叫主帐号，使用内控堡垒主机的用户统称为自然人。

资源：被内控堡垒主机管理的主机系统，数据库，网络设备等统称为资源。

例如AIX 系统、Windows2000系统、DB2数据库、CISCO3560等。

从账号：从账号是资源中的账号，例如AIX中的root账号，Windows2000中的Administrator账号。

SSO单点登录：SSO（SingleSign-On）中文为单点登录，就是说在同一个地点完成对不同资源的访问。

双人共管账号：双人保管口令的账号。

共管账号：账号被很多应用系统使用，或内置了口令，如果修改口令可能影响到其他应用系统的使用，对于这类账号，内控堡垒主机称之为共管账号。

2部署结构内控堡垒主机部署逻辑图：内控堡垒主机部署物理图：如图，内控堡垒主机部署在被管服务器区的访问路径上，通过防火墙或者交换机的访问控制策略限定只能由内控堡垒主机直接访问服务器的远程维护端口。

维护人员维护被管服务器或者网络设备时，首先以WEB方式登录堡垒主机，然后通过堡垒主机上展现的访问资源列表直接访问授权资源。

Shterm用户手册- 应用发布手册（配置管理员）杭州奇智信息科技有限公司2011年3月版本<>目录第1章用户登录shterm ...........................................................................错误!未定义书签。

普通用户首次登录........................................................................错误!未定义书签。

用户登录账号....................................................................错误!未定义书签。

使用环境准备....................................................................错误!未定义书签。

第2章Windwos设备访问 .......................................................................错误!未定义书签。

WEB登录 ...........................................................................错误!未定义书签。

本地MSTSC客户端登录...................................................错误!未定义书签。

第3章访问字符终端设备（Telnet、SSH）............................................错误!未定义书签。

Web终端访问 ...................................................................错误!未定义书签。

齐治堡垒机操作手册中国旅游集团有限公司信息共享中心2020年2月版本 <V1.0>目录第一章建立用户账户 (3)1.1 首次访问与默认用户账号 (3)1.2 添加用户账号、分配用户角色 (4)1.3建立普通用户账号 (6)1.4快速身份切换 (6)第二章添加目标设备（配置管理员） (7)2.1 Windows设备（RDP） (7)2.1.1 条件准备 (7)2.1.2 添加设备 (7)2.1.3 设置密码 (8)2.2 Linux设备(SSH、X windows) (10)2.2.1 条件准备 (10)2.2.2 添加设备 (10)2.2.3 设置密码 (11)2.3网络设备（Telnet） (12)2.3.1 条件准备 (12)2.3.2 添加设备 (12)2.3.3 设置null账号密码 (13)2.3.4 设置特权模式（enbale）密码 (14)第三章建立访问控制规则（配置管理员） (15)3.1新建规则 (16)3.2关联用户账户 (16)3.3 关联设备 (17)3.4 关联系统账号 (17)第四章设备访问（普通用户） (18)4.1环境准备 (18)4.2图形设备 (18)4.3 设备访问 (18)4.4字符终端设备访问（Telnet、SSH） (22)4.5 Web终端 (22)4.6 第三方SSH客户端 (23)第五章操作审计（审计管理员） (26)5.1字符会话审计 (26)5.1.1 命令列表式查看 (27)5.1.2 命令回放 (27)5.1.3 命令查询 (28)5．2图形会话审计 (28)5.2.1 会话列表 (29)5.2.2 会话审计 (29)第一章建立用户账户1.1 首次访问与默认用户账号Shterm采用加密型的Http方式进行访问，在浏览器地址栏中输入https://Shterm堡垒机IP地址即可，如：https://10.8.251.70,由于采用SSL技术，首次访问会出现证书错误提示，如下图：此时点击“继续浏览此网站”，将出现Shterm的登录页面。

碉堡用户操作手册——配置管理员北京维方通信息技术有限公司目录第一章用户手册概述........................................................................... 错误！未定义书签。

1.1 碉堡配置管理员权限......... .................................................... 错误！未定义书签。

1.2 如何阅读本手册................. .................................................... 错误！未定义书签。

1.3 手册阅读附加说明............. .................................................... 错误！未定义书签。

1.4 适用版本............................. .................................................... 错误！未定义书签。

第二章用户管理................................................................................... 错误！未定义书签。

2.1 建立用户账户..................... .................................................... 错误！未定义书签。

2.2 用户状态管理..................... .................................................... 错误！未定义书签。

2.3 用户导入、导出...................................................................... 错误！未定义书签。

堡垒机实施指导手册金电网安堡垒机实施注意事项上海金电网安科技有限公司金电网安堡垒机——配置管理手册读者对象本文档针对产品实施技术人员编写。

1金电网安堡垒机——配置管理手册系统配置管理说明堡垒机分为BaseBox、AppBox两部分组成。

如下图所示:2金电网安堡垒机——配置管理手册第1部分工程实施步骤测试实施前准备工作1. 了解客户服务器数量，及其各自帐号和密码。

是否有数据库等其他需要用到APPBOX的应用。

2. 确定哪些部门及人员需参与运维，他们各自享有哪些权限。

3. 向客户索取其详细拓网络扑图，以方便预先准备BaseBox和AppBox放置在何处较为合适。

第2部分 BaseBox和AppBox 2.1 安装向用户要求两个IP地址供BaseBox和AppBox使用，BaseBox和AppBox旁路接入所需运维的网络，保证BaseBox和AppBox与需要运维的设备的网络连通性即可。

3金电网安堡垒机——配置管理手册2.1.1 BaseBox设置通过B/S模式从eth0或eth3口登录BaseBox。

默认IP:eth0:192.168.1.200eth3:192.168.254.200默认管理员用户名:admin默认密码:admin在IE或其他浏览器地址栏内输入或回车后显示如下登录页面，然后点击右下角齿轮状图标“”显示管理登录页面后，输入用户名:admin，密码:admin4金电网安堡垒机——配置管理手册在“系统设置”?“基本网络设置”里设置客户提供的eth0口的IP绑定AppBox，在“应用服务”?“应用中心配置”里添加AppBox，网络地址配置为客户提供的AppBox可使用的IP地址默认帐号:administrator默认密码:JdwaApp-Box5金电网安堡垒机——配置管理手册2.1.2 AppBox设置通过远程桌面从eth0或eth3登录进AppBox默认IP:eth0:192.168.1.201eth3:192.168.254.201默认帐号:administrator默认密码:JdwaApp-Box在远程桌面登录对话框内填入192.168.1.201或192.168.254.2016金电网安堡垒机——配置管理手册登录后修改IP、子网掩码、网关然后点击“”配置AppBox，默认配置密码:Fort&&20117金电网安堡垒机——配置管理手册登录后显示下图窗口，配置向导1注意:服务器名:BaseBox的IP地址无远程桌面背景模式:通常都打勾，如果有运维客户端是Windows7的，点击APP应用后无法弹出APP应用框，就需要将此勾去掉。

运维安全堡垒平台用户操作手册目录1. 概述 (1)1.1. 功能介绍 (1)1.2. 名词解释 (1)1.3. 环境要求 (2)2. 登录堡垒机 (3)2.1. 准备 (3)2.1.1. 控件设置 (3)2.2. 登录堡垒机 (3)3. 设备运维 (5)3.1. Web Portal设备运维 (5)3.2. 运维工具直接登录 (7)3.3. SecureCRT打开多个设备 (9)3.4. 列表导出 (13)4. 操作审计 (16)4.1. 字符协议审计 (16)4.2. SFTP和FTP会话审计 (18)4.3. 图形会话审计 (19)4.4. RDP会话审计 (20)4.5. VNC会话审计 (22)5. 其他辅助功能 (24)5.1. 修改个人信息 (24)5.2. 网络硬盘 (24)5.3. 工具下载 (25)1.概述运维安全堡垒平台（以下简称运维堡垒机）是用于对第三方或者内部运维管理员的运维操作行为进行集中管控审计的系统。

运维堡垒机可以帮助客户规范运维操作行为、控制并降低安全风险、满足等级保护级其他法规对IT内控合规性的要求。

1.1.功能介绍运维堡垒机集中管理运维账号、资产设备，集中控制运维操作行为，能够实现实时监控、阻断、告警，以及事后的审计与统计分析。

支持常用的运维工具协议（如SSH、telnet、ftp、sftp、RDP、VNC等），并可以应用发布的方式支持图形化运维工具。

运维堡垒机支持旁路模式和VPN模式两种方式，物理上旁路部署，灵活方面。

运维堡垒机在操作方式上，不改变用户的操作习惯，仍然可以使用自己本机的运维工具。

1.2.名词解释协议指运维堡垒机运维工具所用的通信协议，比如Putty使用SSH协议，CRT支持SSH和Telnet等。

工具指运维人员实现对设备的维护所使用的工具软件。

设备账号指运维目标资产设备的用于维护的系统账户。

自动登录指运维堡垒机为运维工具实现自动登录目标被管设备，而运维用户不需要输入目标设备的登录账号和密码，也称为单点登录（SSO）。