安全访问网关产快速使用手册.pdf

1 Security Access Gateway 索特安全访问网关 3.4 快速使用手册 2 目目 录录 第一章 前言 . 3 第二章 初次使用 SAG 4 2.1 安装部署 . 4 2.2 采用 WebUI 方式管理 . 4 第三章 快速使用 . 7 3.1 字符服务访问过程 . 7 3.2 图形服务访问过程 . 17 3.2.1 RDP 访问过程 17 3.2.2 VNC 访问过程 25 3.2.3 X11 访问过程 . 26 3.3 文件传输服务访问过程 . 28 3.4 Web 服务访问过程 . 32 3.5 应用程序访问过程 . 34 3 第一章 前言 本文档编写目的主要是介绍如何利用安全访问网关提供的管理、授权、审计等诸多功能 来强化现有的安全管理制度。 南京索特软件有限公司拥有本文档的全部版权。未经本公司书面许可，任何单位及个人 不得以任何方式或理由对本文档的任何部分进行复制、抄录、传播或将技术文档翻译成他国 语言。 本文档适用于系统管理员，以及所有进行设备安装、调试的工程师、技术支持人员等。 4 第二章 初次使用 SAG 2.12.1 安装安装部署部署 安全访问网关产品可以安装在标准的19英寸的机架上， 也可独立安装在任何平稳的表面 上，但要确保设备四周有3.75厘米左右的空间让设备正常散热。 网络连接方法如下：网络连接方法如下： 将eth0号网口作为默认网络接口连接到用户内部网络，或可访问的网络节点。 将eth1号网口作为HA端口连接到另一台SAG设备上，若无需HA功能，则无需连接此接 口。 图1 网络部署 2.22.2 采用采用 WebUIWebUI 方式管理方式管理 出厂配置出厂配置 eth0号网口地址为： 用户名及口令用户名及口令： 用户名 口令 管理方式 备注 admin admin123!# Web方式，即HTTPS 系统内置用户，不可 删除，可修改密码。 5 具体步骤： 1）将安全访问网关的 eth0 号网口和管理 PC 连接在一起。或者将两台设备通过直连线 连接在同一网络上。 2）将管理PC配置到和安全访问网关一个网段。设置管理PC的IP地址为01， 同时将网络掩码设为。 3）启动IE浏览器，在地址栏里输入“”，进入安全访问网关的Web 用户界面。 图2 登录界面 4）输入用户名“admin”，口令“admin123!#”，如果错误输入用户名或密码超过两次 需要输入验证码，点击“登录”，进入SAG内部管理界面。 6 图3 首页 5）修改 SAG IP 地址，打开【系统管理网络接口】菜单，出现如下界面： 图4 修改网络接口 修改 SAG 网关地址，将 eth0 修改为用户规划的 IP，如：11，然后“提交”即 可。由于 IP 即时生效，网络会中断； 地址修改之后，重新按照上述步骤登录，（记住：此 时 SAG 登录地址为修改后的新 IP 地址）； 7 第三章 快速使用 3.1 字符服务访问过程字符服务访问过程 字符服务支持 SSH、Telnet、Rlogin 协议，它们的访问过程类似，下面以 SSH 访问过程 为例。 SSH访问过程流程图为： 打开SAG管理界面 输入网关用户名、密码 列表：选择一个配置了SSO账 号的SSH资源 登录到目标设备 实际操作 管理员快速授权 使用putty工具登录到 SAG 维护人员监控会话、 断开会话 维护人员查看会话命 令、在线回放或下载 离线回放会话 列表：选择一个手工代填的 SSH资源 输入目标资源的服务端口号、 登录账号及密码 图5 SSH 访问过程流程图 8 使用使用 putty 工具直接登录到工具直接登录到 SAG 访问过程事例详解：访问过程事例详解： 1）快速授权，选择【访问控制-快速授权】菜单，授权用户、用户组可以访问的资源、 资源组，并指定对应的授权策略，页面如下。 可创建“用户/组资源/组资源账号策略”的授权。 图6 快速授权 F 在“用户/用户组”输入框中，可输入用户/用户组，如果用户不存在，点击“授权”时，系统提 示新增该用户，同时维护人员打开【访问控制-新增用户】菜单，可新增网关用户。 F 在“IP/资源名”输入框中，可输入 IP/资源名，如果 IP 不存在，点击“授权”时，系统提示新增 该资源，同时维护人员打开【访问控制-新增资源】菜单，可新增资源。 F 授权时，默认设置是“常用协议”策略，点击策略名，出现下拉框，可设置其他授权策略。选择 框后面出现“”按钮，点击“”按钮，查看策略的详细信息，点击“”按钮，关闭下拉框。 F 点击“”按钮，展开扩展选项，可设置访问目标资源的 SSO 账号，如图所示。 图7 快速授权 “用户组/用户”输入框后面出现“”按钮，点击按钮，弹出用户选择窗口，如图所示。 图8 选择用户 点击“IP/资源组”输入框后面的“”按钮，弹出资源选择窗口，选择某一资源或多个资源，如图所 示。 9 图9 选择资源 选择资源之后，点击“增加 SSO 账号”按钮，可设置访问目标资源的 SSO 账号。 图10 设置 SSO 账号 F 授权完成，在授权列表中可查看用户的所有授权资源及访问策略，如下图。 图11 用户授权查询 F 默认情况下，如果设置了 SSO 账号，是不允许手工代填的方式，如需修改允许手工代填，点击授 权记录中的按钮，打开修改页面，选中“允许手工输入” ，如图所示。 10 图12 修改授权 2）授权完成后，打开 putty 工具，输入 SAG 服务器 IP 地址及服务端口号,登录到 SAG 服务器。 图13 打开 putty 工具 11 图14 登录到 SAG 服务器 3）输入网关用户名及密码，如输入用户 user001，密码 1234abcd，通过认证后显示网关 用户可使用资源列表。 图15 资源列表界面 4）选择一个服务器 SSH 服务账号，如上图中选择“4” ，直接登录到目标服务器；或者 选择手工方式，如选择“1” ，输入目标服务器 IP、SSH 服务账号及密码登录到目标服务器， 如图所示。 12 图16 字符服务手工代填账号 5）目标服务器认证通过后，登录到目标服务器，就可以进行实际操作。 图17 登录到目标服务器 6）维护管理员可实时监控用户会话或直接断开会话。 管理员打开【操作审计-活动会话】菜单，打开活动会话界面，可查看当前正在进行的 字符会话。记载网关用户名、客户端 IP、目标服务器 IP 地址、类型，如图所示， 13 图18 活动会话查询 点击【实时监控】按钮，可对当前的这个会话进行实时监控，在监控窗口中网关用户输 入的命令以及输出都可以在 portal 的监控屏幕上实时看到。 图19 实时监控字符会话 点击【断开会话】按钮，可终止当前正在进行的会话； 7）维护管理员可查看会话操作命令、在线回放会话或下载保存、离线回放。 管理员打开【操作审计-会话查询】菜单，选择字符会话类型，查看字符会话，如下图 所示。 图20 字符会话查询 点击【查看】按钮，可查看这条会话的命令行信息。 14 图21 命令查看 点击【回放】按钮，在线回放会话。 图22 在线回放 点击【下载】按钮，下载保存会话。可通过离线工具离线回放。 图23 打开字符离线工具 15 图24 下载本地后离线回放字符回放 点击【会话全文检索】，实现命令全文检索，如图所示 图25 全文检索 通过通过 SAG 管理平台的管理平台的访问过程事例详解：访问过程事例详解： 1）快速授权，选择【访问控制-快速授权】菜单，授权用户、用户组可以访问的资源、 资源组，并指定对应的授权策略。 2）打开 SAG 管理界面。 16 图26 打开 SAG 登录界面 2）输入网关用户名及密码，如输入用户 user001，密码 1234abcd，通过认证后登录到用 户自服务界面。 3）在自服务界面中，打开“资源”菜单，在资源列表中，选择设置了 SSO 账号的资源 或需要手工代填账号的记录。 图27 网关用户资源列表界面 4）点击相应工具，如需手工输入，在界面中输入目标资源的服务端口号、登录账号及 密码。 17 图28 字符服务手工代填账号 5）目标服务器认证通过后，登录到目标服务器，就可以进行实际操作。 6）维护管理员可实时监控用户会话或直接断开会话。 管理员打开【操作审计-活动会话】菜单，打开活动会话界面，实时监控用户会话或直 接断开会话。 7）维护管理员可查看会话操作命令、在线回放会话或下载保存、离线回放。 管理员打开【操作审计-会话查询】菜单，选择字符会话类型，查看字符会话，可查看 会话操作命令、在线回放会话或下载保存、离线回放。 3.23.2 图形服务访问过程图形服务访问过程 图形服务支持 RDP、VNC、X11 协议。 3.2.1 RDP 访问过程访问过程 RDP访问过程图为： 18 打开SAG管理界面 输入网关用户名、密码 列表：选择一个配置了SSO账 号的RDP资源 登录到目标设备 实际操作 管理员快速授权 通过mstsc或其他windows远程桌面客 户端工具（如RdpClient），输入SAG 服务器IP地址 维护人员监控会话、 断开会话 维护人员查看会话命 令、在线回放或下载 离线回放会话 列表：选择一个手工代填的 RDP资源 输入目标资源的服务端口号、 登录账号及密码 输入网关用户名、密码 服务器下拉框中选择一个资源 输入目标资源的服务端口号、 登录账号及密码 图29 RDP 访问过程流程图 使用使用 MSTSC 工工具直接登录到具直接登录到 SAG 访问过程事例详解：访问过程事例详解： 1）快速授权，选择【访问控制-快速授权】菜单，授权用户、用户组可以访问的资源、 资源组，并指定对应的授权策略。 2）打开 MSTSC 远程桌面客户端工具，输入 SAG 服务器 IP 地址，登录到 SAG 服务器。 图30 打开远程桌面连接 19 图31 登录到 SAG 服务器 3）输入网关用户名及密码，如输入用户 user001，密码 1234abcd，通过认证后,服务器 下拉框中显示网关用户可使用资源。 20 图32 资源列表界面 4）选择一个服务器，输入服务账号及密码登录到目标服务器。 5）目标服务器认证通过后，登录到目标服务器，就可以进行实际操作。 6）维护管理员可实时监控用户会话或直接断开会话。 管理员打开【操作审计-活动会话】菜单，打开活动会话界面，可查看当前正在进行的 图形会话。包括网关用户名、客户端 IP、目标服务器 IP 地址、协议类型，如图所示， 图33 活动会话查询 点击【实时监控】按钮，可对当前的这个会话进行实时监控，在监控窗口中网关用户输 入的命令以及输出都可以在 portal 的监控屏幕上实时看到。 21 图34 实时监控图形会话 7）维护管理员可查看会话操作命令、在线回放会话或下载保存、离线回放。 管理员打开【操作审计-会话查询】菜单，选择图形会话类型，查看图形会话，如下图 所示。 图35 图形会话查询 点击【查看】按钮，可查看这条会话的命令行信息。 图36 命令查看 点击【回放】按钮，回放历史会话。 22 图37 在线回放图形会话 点击【下载】按钮，下载保存会话。可通过离线工具离线回放，本地回放时，可暂停播 放、加速播放、慢速播放、从头播放。 23 图38 离线回放 通过通过 SAG 管理平台的管理平台的访问过程事例详解：访问过程事例详解： 1）快速授权，选择【访问控制-快速授权】菜单，授权用户、用户组可以访问的资源、 资源组，并指定对应的授权策略。 2）打开 SAG 管理界面。 3）输入网关用户名及密码，如输入用户 user001，密码 1234abcd，通过认证后登录到用 户自服务界面。 4）在自服务界面中，打开“资源”菜单，在资源列表中，选择设置了 SSO 账号的资源 或需要手工代填账号的记录。 24 图39 网关用户资源列表界面 5）点击相应工具，如需手工输入，在界面中输入目标资源的服务端口号、登录账号及 密码。 图40 图形服务手工代填 6）目标服务器认证通过后，登录到目标服务器，就可以进行实际操作。 7）维护管理员可实时监控用户会话。 管理员打开【操作审计-活动会话】菜单，打开活动会话界面，实时监控用户会话。 8）维护管理员可查看会话操作命令、在线回放会话或下载保存、离线回放。 管理员打开【操作审计-会话查询】菜单，选择图形会话类型，查看字符会话，可查看 会话操作命令、在线回放会话或下载保存、离线回放。 25 3.2.2 VNC 访问过程访问过程 VNC访问过程图为： 打开SAG管理界面 输入网关用户名、密码 列表：选择一个配置了SSO账 号的VNC资源 登录到目标设备 实际操作 管理员快速授权 维护人员监控会话、 断开会话 维护人员查看会话命 令、在线回放或下载 离线回放会话 列表：选择一个手工代填的 VNC资源 输入目标资源的服务端口号、 登录账号及密码 图41 VNC 访问过程流程图 访问过程事例详解：访问过程事例详解： 1）快速授权，选择【访问控制-快速授权】菜单，授权用户、用户组可以访问的资源、 资源组，并指定对应的授权策略。 2）打开 SAG 管理界面。 3）输入网关用户名及密码，如输入用户 user001，密码 1234abcd，通过认证后登录到用 户自服务界面。 4）在自服务界面中，打开“资源”菜单，在资源列表中，选择设置了 SSO 账号的资源 26 或需要手工代填账号的记录。 图42 网关用户资源列表界面 5）点击相应工具，如需手工输入，在界面中输入目标资源的服务端口及密码。 图43 VNC 服务手工代填账号 6）目标服务器认证通过后，登录到目标服务器，就可以进行实际操作。 7）维护管理员可实时监控用户会话或直接断开会话。 管理员打开【操作审计-活动会话】菜单，打开活动会话界面，可查看当前正在进行的图形 会话。 8）维护管理员可查看会话操作命令、在线回放会话或下载保存、离线回放。 管理员打开【操作审计-会话查询】菜单，选择图形会话类型，查看图形会话. 3.2.3 X11 访问过程访问过程 X11访问过程图为： 27 打开SAG管理界面 输入网关用户名、密码 登录到目标设备 实际操作 管理员快速授权 维护人员监控会话、 断开会话 维护人员查看会话命 令、在线回放或下载 离线回放会话 列表：选择一个手工代填的 X11资源 输入目标资源的服务端口号、 登录账号及密码 图44 X11 访问过程流程图 访问过程事例详解：访问过程事例详解： 1）快速授权，选择【访问控制-快速授权】菜单，授权用户、用户组可以访问的资源、 资源组，并指定对应的授权策略。 2）打开 SAG 管理界面。 3）输入网关用户名及密码，如输入用户 user001，密码 1234abcd，通过认证后登录到用 户自服务界面。 4）在自服务界面中，打开“资源”菜单，在资源列表中，选择 X11 服务的资源。 28 图45 网关用户资源列表界面 5）点击相应工具，连接目标资源，输入账号及密码。 6）目标服务器认证通过后，登录到目标服务器，就可以进行实际操作。 7）维护管理员可实时监控用户会话或直接断开会话。 管理员打开【操作审计-活动会话】菜单，打开活动会话界面，可查看当前正在进行的 图形会话。 8）维护管理员可查看会话操作命令、在线回放会话或下载保存、离线回放。 管理员打开【操作审计-会话查询】菜单，选择图形会话类型，查看图形会话。 3.33.3 文件传输服务访问过程文件传输服务访问过程 文件传输服务支持 FTP、 SFTP 协议， 它们的访问过程类似， 下面以 FTP 访问过程为例。 FTP访问过程图为： 29 打开SAG管理界面 输入网关用户名、密码 列表：选择一个配置了SSO账 号的FTP资源 登录到目标设备 实际操作 管理员快速授权 打开FTP客户端工具，如FlashFxp 维护人员查看会话命 令、在线回放或下载 离线回放会话 列表：选择一个手工代填的 FTP资源 输入目标资源的服务端口号、 登录账号及密码 输入用户名及密码，格式如下： 服务或URL：SAG服务器IP地址 端口号：2121 用户名： gw_userobj_host_userobj_host_ip 密码：gw_passwdobj_host_passwd 图46 FTP 访问过程流程图 使用使用 FlashFxp 工具直接登录到工具直接登录到 SAG 访问过程事例详解：访问过程事例详解： 1）快速授权，选择【访问控制-快速授权】菜单，授权用户、用户组可以访问的资源、 资源组，并指定对应的授权策略。 2）打开 FlashFxp 客户端工具。 30 图47 打开 ftp 客户端工具 3）输入 SAG 服务器 IP,端口号：2121，用户名按照“网关用户名目标服务器 FTP 用户 名目标服务器 IP 地址: 目标服务器 ftp 服务端口号”填写，密码按照“网关用户登录密码 目标服务器 FTP 服务密码”填写。通过认证后，登录到目标服务器。 图48 输入用户名及密码 4）目标服务器认证通过后，登录到目标资源服务器。就可以进行实际操作 5）操作过程命令、上传、下载等过程都被 SAG 安全记录下来，以供后期安全审计。 6）维护管理员可查看会话操作命令。 管理员打开【操作审计-会话查询】菜单，选择文件传输会话类型，查看会话 31 图49 文件传输会话查询 针对文件传输会话，如果策略中，设置了备份文件，那么查看命令时，可下载备份的文 件，如图所示。 图50 文件传输会话命令查看 通过通过 SAG 管理平台的管理平台的访问过程事例详解：访问过程事例详解： 1）快速授权，选择【访问控制-快速授权】菜单，授权用户、用户组可以访问的资源、 资源组，并指定对应的授权策略。 2）打开 SAG 管理界面。 3）输入网关用户名及密码，如输入用户 user001，密码 1234abcd，通过认证后登录到用 户自服务界面。 4）在自服务界面中，打开“资源”菜单，在资源列表中，选择设置了 SSO 账号的资源 或需要手工代填账号的记录。 32 图51 网关用户资源列表界面 5）点击相应工具，如需手工输入，在界面中输入目标资源的服务端口号、登录账号及 密码。 图52 FTP 服务手工代填账号 6）目标服务器认证通过后，登录到目标服务器，就可以进行实际操作。 7）操作过程命令、上传、下载等过程都被 SAG 安全记录下来，以供后期安全审计。 8）维护管理员可查看会话操作命令。 3.43.4 WWebeb 服务访问过程服务访问过程 访问过程图为： 输入网关用户名、密码 IE选项设置 维护人员查看会话命 令 通过IE浏览器浏览网页 图53 web 访问流程图 访问过程事例详解：访问过程事例详解： 1） 打开 IE 选项，打开连接，点击“局域网设置” 。 33 图54 IE 设置 图55 IE 设置 在“局域网设置”窗口中，设置代理服务器，地址一栏中输入 SAG 服务器地址，端口 号为 8080。 2） 保存设置，在弹出的对话框中，输入网关用户名及密码。 34 图56 用户登录 3） 用户通过 IE 浏览网页等操作都被记载。 4） 维护人员可查看会话操作命令。 管理员打开【操作审计-会话查询】菜单，选择 WEB 会话类型，查看会话 图57 WEB 会话查询 可根据“动作” 、 “图片” 、 “网页”等过滤查看，如图所示。 图58 web 会话命令查看 3.53.5 应用程序访问过程应用程序访问过程 应用程序访问过程图为： 35 打开SAG管理界面 输入网关用户名、密码 应用列表：选择一个配置了 SSO账号的应用程序 登录到目标设备 实际操作 管理员快速授权 维护人员监控会话、 断开会话 维护人员查看会话命 令、在线回放或下载 离线回放会话 应用列表：未设置SSO账号的 应用程序 打开应用程序，输入参数 安装AVS 发布应用 部署AVS服务器 图59 应用程序访问过程流程图 访问过程详解： 1） 部署 AVS 服务器。 可安装 Windows 2003 Server 和 Windows 2008 Server 操作系统，需要安装终端服务授 权，并且配置成每个用户可以启动多个连接，另外，如安装的是 Windows 2008 Server 操作形同，需要把 seamlessrdpshell.exe 作为远程应用发布出来。 2） 安装 AVS. 36 部署完 AVS 服务器，打开 AVS 安装执行文件, 安装 AVS, 默认可以选择安装 PL/SQL Developer 、 Quest Software Toad for Oracle、Synametrics WinSQL Professional、Quest Central for DB2 这四种应用程序，及数据库审计插件，可根据需求选择安装。 3） 发布应用。 以上两步完成后，在 SAG 管理平台中，配置 AVS 服务器及应用程序。 4） 应用授权。授权用户、用户组可以访问的应用程序，并指定对应的应用策略，页面 如下。 可创建“用户/组应用程序策略目标资源目标资源账号”的授权。 图60 应用授权 F 在“用户/用户组”输入框中，可输入用户/用户组，如果用户不存在，点击“授权”时，系统提 示新增该用户，同时维护人员打开【访问控制-新增用户】菜单，可新增网关用户。 F 通过下拉框选择授权的应用程序。 F 授权时，默认显示的是“应用全通”策略。 F 点击“”按钮，展开扩展选项，可设置通过应用程序访问的目标资源及目标资源 的 SSO 账号，如图所示。 图61 应用授权 “用户组/用户”输入框后面出现“”按钮