堡垒机实施指导手册.doc

金电网安堡垒机 实施注意事项 上海金电网安科技有限公司  读者对象 本文档针对产品实施技术人员编写。 系统配置管理说明 堡垒机分为BaseBox、AppBox两部分组成。如下图所示：  工程实施步骤 测试实施前准备工作 了解客户服务器数量，及其各自帐号和密码。是否有数据库等其他需要用到APPBOX的应用。 确定哪些部门及人员需参与运维，他们各自享有哪些权限。 向客户索取其详细拓网络扑图，以方便预先准备BaseBox和AppBox放置在何处较为合适。 BaseBox和AppBox 安装 向用户要求两个IP地址供BaseBox和AppBox使用，BaseBox和AppBox旁路接入所需运维的网络，保证BaseBox和AppBox与需要运维的设备的网络连通性即可。 BaseBox设置 通过B/S模式从eth0或eth3口登录BaseBox。 默认IP：eth0：00 eth3：00 默认管理员用户名：admin 默认密码：admin 在IE或其他浏览器地址栏内输入00或00 回车后显示如下登录页面，然后点击右下角齿轮状图标“” 显示管理登录页面后，输入用户名：admin，密码：admin 在“系统设置”→“基本网络设置”里设置客户提供的eth0口的IP 绑定AppBox，在“应用服务”→“应用中心配置”里添加AppBox，网络地址配置为客户提供的AppBox可使用的IP地址 默认帐号：administrator 默认密码：JdwaApp-Box AppBox设置 通过远程桌面从eth0或eth3登录进AppBox 默认IP：eth0：01 eth3：01 默认帐号：administrator 默认密码：JdwaApp-Box 在远程桌面登录对话框内填入01或01 登录后修改IP、子网掩码、网关 然后点击“”配置AppBox，默认配置密码：Fort2011 登录后显示下图窗口，配置向导1 注意： 服务器名：BaseBox的IP地址 无远程桌面背景模式：通常都打勾，如果有运维客户端是Windows7的，点击APP应用后无法弹出APP应用框，就需要将此勾去掉。 测试连接成功后，点击“下一步”进入配置向导2 如果要加新应用，点击右上角“新应用” 如果没有新应用要加，直接点“下一步”进入配置向导3 如果用户没有数据库审计应用，直接点完成。 如果用户有数据库审计应用，那么在BaseBox配置完数据库应用后，需要到此处点击“停止数据库审计服务”，然后点完成。 随后再重新点击“”配置一遍。到上面一步时，“启动数据库审计服务”，再点完成。 AppBox授权 通常情况下，出厂的BaseBox和AppBox应该是一对一绑定的。如果AppBox没授权请按下列步骤执行： 远程桌面登录进AppBox，点击“”。 显示上图窗口后点击“自动获取”，再点“确定”。将授权文件保存在本地，随后通过IE登录BaseBox。 在“系统设置”→“系统授权信息”中载入刚才保存的授权文件。登录密码为admin 策略配置 添加用户 在“用户管理”中点击“添加用户” 注意： Console、剪切板、磁盘映射、文件传输等功能，如果需要就打勾。运维登录时， 还需打勾下图多选框 或点运维页面右上角“”，修改其默认登录方式。 “开始时间”要手动往前调一天，否则添加完后要等凌晨才能生效。 “所在用户组”一定要选，否则配置策略时可能选不到。 添加主机 添加主机 点击“主机管理”→“添加主机”，按照客户不同运维终端的要求，选择不同的终端设备。 注意： 一般交换设备的操作系统选“General Network”，连接后进入一般模式，不进特权模式。用户进入特权模式需要手动输入密码。 添加帐号 主机加完后，先加的主机显示在列表下方，后加的主机显示在列表上方。即从下至上依次显示添加的主机。 点击每个主机后面的“”进行帐号添加。如下图所示： 添加应用 点击“应用设置”→“添加应用服务” 注意： Autoie类型一般用于防火墙等设备 需填入IP、用户名、密码 Mysqlfront类型一般用于Mysql数据库 需填入IP、用户名、密码 Mssql类型一般用于mssql数据库 需填入IP、用户名、密码 Plsql类型一般用于oracle数据库 需填入IP、用户名、密码 IP一栏有特定格式要求，格式为IP：端口/实例名 例如：2:1521/orcl 添加访问规则 点击“访问规则”→“添加规则” 提交后点击规则后方“”进行设置，如下图： 将用户、主机、帐号、应用关联起来。 脚本管理 点击“主机管理”→“管理脚本命令” 然后按“”，显示下图 脚本文件需要事先写好，界面上只提供上传脚本文件，不提供脚本编写。 黑白命令名单 点击“访问规则” 先要