堡垒机使用手册.docx

运维管理审计系统用户使用手册用户使用手册堡垒机系统产品名称：运维管理审计系统版本标识：V2.3单 位：上海谐润网络信息技术有限公司版 权 声 明本手册中任何信息包括文字叙述、文档格式、插图、照片、方法、过程等内容，其著作权及相关权利均属于上海谐润网络信息技术有限公司（以下简称“本公司”），特别申明的除外。未经本公司书面同意，任何人不得以任何方式或形式对本手册内的全部或部分内容进行修改、复制、发行、传播、摘录、备份、翻译或将其全部或部分用于商业用途。本公司对本手册中提及的所有计算机软件程序享有著作权，受著作权法保护。该内容仅用于为最终用户提供信息，且本公司有权对其作出适时调整。 “运维管理审计系统”商标为本公司的注册商标，受商标法保护。未经本公司许可，任何人不得擅自使用，不得进行仿冒、伪造。本公司对本手册中提及的或与之相关的各项技术或技术秘密享有专利（申请）权、专有权，提供本手册并不表示授权您使用这些技术（秘密）。您可通过书面方式向本公司查询技术（秘密）的许可使用信息。免责声明本公司尽最大努力保证其内容本手册内容的准确可靠，但并不对因本手册内容的完整性、准确性或因对该信息的误解、误用而导致的损害承担法律责任。信息更新本手册依据现有信息制作，其内容如有更改，本公司将不另行通知。出版时间本文档由上海谐润网络信息技术有限公司2011年12月出版。上海谐润网络信息技术有限公司保留对本手册及本声明的最终解释权和修改权。目 次1 产品介绍71.1 系统简介71.2 运维管理审计系统架构72 期望读者83 使用之前94 使用约定105 名词解释116 快速使用126.1 登陆126.2 使用流程147 用户管理157.1 简要介绍157.1.1 用户分类157.1.2 角色职责157.2 用户组157.2.1 添加用户组157.2.2 编辑用户组167.2.3 删除用户组167.3 用户167.3.1 添加用户167.3.2 修改用户177.3.3 删除用户187.3.4 更改密码187.4 批量导入用户188 主机管理208.1 简要介绍208.2 主机组208.2.1 添加主机组208.2.2 编辑主机组208.2.3 删除主机组218.3 主机218.3.1 添加主机218.3.2 编辑主机268.3.3 删除主机268.3.4 批量导入主机268.4 主机参数279 应用中心管理299.1 简要介绍299.2 WEB配置299.3 应用中心自身配置299.4 绑定389.5 应用类型管理399.6 发布应用409.6.1 发布B/S自动代填应用409.6.2 发布普通B/S应用419.6.3 发布PLSQL客户端419.6.4 发布MSSQL应用429.6.5 发布MYSQL应用429.6.6 发布Toad客户端4210 规则管理4410.1 简要介绍4410.2 添加规则4410.3 修改访问规则信息4410.4 删除访问规则4410.5 设置访问规则4410.6 查看访问规则4510.7 命令防火墙管理4510.7.1 添加命令防火墙4510.7.2 修改命令防火墙信息4510.7.3 删除命令防火墙4510.7.4 白名单设置4510.7.5 黑名单设置4511 审计管理4711.1 简要介绍4711.2 图形终端审计4711.3 字符终端审计4811.4 应用服务审计5011.5 文件传输审计5011.6 数据库审计5112 部门管理5212.1 简要介绍5212.2 添加部门5312.3 修改部门部门5412.4 纳入部门5512.4.1 管理员纳入部门5512.4.2 审计员纳入部门5512.4.3 用户纳入部门5512.4.4 主机纳入部门5512.5 删除部门5613 报表管理5713.1 简要介绍5713.2 常规报表5713.3 运维操作统计5713.4 自定义报表模板5713.5 自定义报表5814 系统自身配置管理5914.1 简要介绍5914.2 管理员管理5914.2.1 添加管理员6014.2.2 管理员管理6014.3 网络配置6214.3.1 多网卡配置6214.3.2 静态路由配置6214.4 认证配置6314.4.1 Windows域认证6314.4.2 RADIUS认证6314.4.3 数字证书认证6414.5 时间同步配置6414.6 系统公告配置6514.7 SMTP配置6614.8 SNMP配置6714.9 Syslog配置6714.10 双机热备配置6814.11 外接NAS设置6814.12 定时任务设置6914.12.1 修改密码任务设置6914.12.2 记录归档任务设置6914.12.3 生成报表任务设置7014.13 时间集配置7014.14 主账号密码策略配置7214.15 子（从）账号密码策略配置7214.16 告警通知管理配置7314.16.1 修改密码通知管理7314.16.2 记录归档通知管理7314.16.3 账号访问通知管理7414.17 系统自身日志管理7414.17.1 用户登录日志7414.17.2 系统操作日志7514.17.3 录像查看日志7514.17.4 修改密码日志7614.17.5 邮件发送日志7614.17.6 记录归档日志7615 运维用户使用介绍7715.1 简要介绍7715.2 登录7715.3 装载插件7715.4 配置客户端关联7815.5 配置RDP选项7815.6 使用RDP协议7915.7 使用SSH协议8015.8 使用TELNET协议8015.9 使用SFTP协议8015.10 使用FTP协议8015.11 使用VNC协议811 产品介绍欢迎您使用运维管理审计系统，本章将为您介绍以下内容。1.1 系统简介运维管理审计系统的核心技术原理是采用访问过程双向模拟技术。其主要实现方法为将原先的“客户端-服务器”访问模式，转变成“客户端-运维管理系统-服务器”的协议代理模式。在用户访问过程中，运维管理系统通过技术手段将原来的一次TCP会话，拆分为两个独立的TCP会话，并分别在两个拆分后的会话中模拟了服务器端和客户端角色，因此，无论是与服务器通讯、还是与客户端通讯时，都能准确还原加密信息，进而实现对加密、图形协议的内容识别、控制功能。运维管理审计系统强大的功能、简单的操作、友好的用户界面、全面的技术支持解除了您的后顾之忧，是您值得信赖的网络安全产品。1.2 运维管理审计系统架构运维管理审计系统主要由两大模块组成，协议控制模块、管理模块。协议控制层主要负责实现底层对访问过程的TCP会话拆分、还原识别操作内容、记录操作指令、并根据策略执行阻断操作。管理模块主要实现运维用户、操作对象的配置、访问授权控制策略控制以及行为审计功能。822 期望读者期望了解本产品主要技术特性和安装方法的部门管理员、网络管理员等。本文假设您对下面的知识有一定的了解：可能需要的相关知识，如：l LINUX系统 l LINUX web系统架构l Windows RDP远程管理l Windows VNC远程管理l LINUX SSH远程管理l LINUX VNC远程管理l 交换机远程管理l 数据库管理l 网络路由相关知识3 使用之前谐润运维管理审计系统是基于Linux Web平台，以B/S架构进行管理的。在使用谐润运维管理审计系统过程中，可能需要您安装以下软件：1 Jre 1.6.19及以上版本（审计界面中可以下载）2 Web浏览器3 SecureCRT4 Putty5 FlashFXP6 WinScp4 使用约定这部分解释的是文档中用于表达信息的约定。我们推荐您花一点时间熟悉一下这部分内容。表4-1 使用约定按键名键盘上按键的名字，如Enter、Ctrl以及Del键，他们出现在文档中，就和键盘上的符号一样（如果键盘上有该键的话）。当提到方向键时，指的是键盘上画有箭头标记的四个按键，不过当单独提到一个方向键时，是指每个键各自的名字（如左箭头，下箭头），当提到“上下方向键”时，指的是上箭头和下箭头，当提到“左右方向键”时，指的是左箭头和右箭头。键组合当两个按键用加号连接起来的时候（如Ctrl+C），指的是按住第一个按键，再按下第二个按键。键序列当按键之间被一个逗号隔开的时候，指的是要按顺序按下他们。例如，按键序列Alt+E, C的意思是按住Alt键的同时按下E键，释放这两个键，然后再按下C键，再释放它。鼠标键当要求按鼠标键时，用鼠标左键（除非要求使用右键）。当要求拖动屏幕上的图标时，用鼠标左键（除非要求使用右键）。其他约定在使用本手册之前，应很了解Microsoft Windows的定位技巧和术语、命令以及鼠标的常规用法，对如下术语的含义也应很熟悉，如对象、图标、单击、双击、拖、选中、菜单、窗口、对话框和剪贴板。如果您对基本的Windows技巧和术语不了解，在继续阅读和使用本手册之前，请先学习Microsoft Windows的有关书籍。在使用本手册之前，应对TCP/IP网络术语有所了解，如IP地址，子网掩码，网关等。5 名词解释a) 自然人：自然状态下的人。b) 主账号：自然人登录运维管理审计系统所使用的运维账号。c) 子账号（从账号）：远程主机上的账号，一般用来管理远程主机。d) 普通子账号（从账号）：定义为普通账号的子账号（从账号）在运维用户登录时能够产生日志，但不会有明显的标识，也不会产生告警信息通过邮件等方式发送。e) 重要子账号（从账号）：定义为普通账号的子账号（从账号）在运维用户登录时能够产生日志，有明显的标识，但不会产生告警信息通过邮件等方式发送。f) 核心子账号（从账号）：定义为普通账号的子账号（从账号）在运维用户登录时能够产生日志，有明显的标识，同时会产生告警信息通过邮件等方式发送。g) 超级管理员：系统默认的管理员，能够添加主账号、主机、子账号（从账号），设置访问规则，能够查看日志与审计视频，能够添加管理员，能够管理运维管理审计系统的自身设置。h) 密码管理员：未绑定任何部门之前的密码管理员，能够添加主机、子账号（从账号），无法进行其他任何操作。i) 审计管理员：未绑定任何部门之前的审计管理员，查看由无部门的主账号、主机生成的日志和视频，无法进行其他操作，审计员需要绑定能够审计的运维用户与用户组才能进行正常的审计操作。j) 部门：运维管理审计系统特有的虚拟堡垒机功能由部门体现，每一个绑定了部门之后的管理员、审计员、主账号、主机均属于该部门，无该部门管理权限的管理员无法进行管理，无该部门审计权限审计员无法进行审计，无该部门运维权限的运维人员无法查看运维主机。k) 部门管理员：由超级管理员创建的管理员，绑定部门之后，即成为部门管理员，部门管理员拥有超级管理员管理管理员功能之外的任何操作。l) 部门密码管理员：由普通密码管理员派生而出，普通密码管理员绑定部门之后，即成为部门密码管理员。m) 部门审计员：由普通审计员派生而出，普通审计员绑定部门之后，即成为部门审计员。6 快速使用介绍运维管理审计系统的界面分布，快速使用流程等内容。6.1 登陆登录运维管理审计系统需要满足以下要求：a. 管理运维管理审计系统的主机必须与运维管理审计系统保持三层网络可达。b. 该主机必须有web浏览器。c. 为了保证最好的web体验，请使用1024*768以上的分辨率。运维管理审计系统对外提供web服务的接口经过ssl隧道包裹，因此，使用web浏览器访问运维管理审计系统时请在web浏览器地址栏输入https:/FortIP/， FortIP是指运维管理审计系统的IP地址，浏览器会自动跳转至运维管理审计系统运维用户登录界面，请参考下图操作，有关运维管理审计系统的IP信息可以查看本节内容后的注意。点击此处，切换至管理员登录界面按照上图操作方法点击之后，web界面跳转至管理员登录界面，如下图：如上图，一次在用户名和密码文本框中输入管理员的用户名及密码，点击“登录”按钮，即可登录运维管理审计系统。登录之后，web页面跳转至运维管理审计系统实时信息界面，如下图：资源管理菜单资源展示区域系统导航栏注意！运维管理审计系统的默认IP地址是网卡1：50，网卡2:。 连接运维管理审计系统计算机需要网络配置如下：IP：子网掩码：52网关：N/A首次连接可以使用标准网线直连运维管理审计系统的网卡2，使用https方式登录，管理员的用户名及密码默认均为admin。6.2 使用流程快速使用流程图通过快速使用流程图，可以以最快的方式掌握运维管理审计系统的使用方法，能够最快的了解运维管理审计系统的基本功能。7 用户管理7.1 简要介绍用户管理审计模块主要功能是管理系统的运维用户，即主账号。 7.1.1 用户分类运维管理审计系统主账号有四种：a) 正常帐户：正常帐户指能够进行正常运维操作的帐户。b) 冻结帐户：由于输入密码错误次数超过阈值，造成正常帐户成为冻结帐户，需由管理员修改帐户状态才能够继续使用。c) 废除帐户：此类帐户为待删除帐户，由管理员稍后删除。d) 待激活帐户：由管理员创建，在有需要的时候激活。7.1.2 角色职责a) 正常帐户：1) 职责：按照管理员设定的规则进行运维操作。2) 限制：无法对管理员设置的规则外的资源进行运维操作。b) 其他帐户:1) 权限：无登陆权限。2) 职责：无任何职责。3) 限制：不能够进行任何操作。7.2 用户组用户管理模块还能够对运维帐户进行分组，同时可以创建用户组，删除用户组，在下面的内容进行介绍。7.2.1 添加用户组点击资源管理菜单上的“”按钮，该按钮展开后，点击其下方的“”按钮，资源展示区域即出现添加用户组界面，如下图：如上图，依次填写用户组的名称、描述及别名，勾选绑定的规则，点击“”按钮。7.2.2 编辑用户组点击资源管理菜单上的“”按钮，该按钮展开后，点击其下方的“”按钮，资源展示区域即出现用户组界面，如下图：点击用户组列表后的“”按钮，即可修改用户组的名称描述及用户组使用的规则。7.2.3 删除用户组点击用户组列表后的“”按钮，即可删除该用户组。7.3 用户管理员可以管理系统的运维用户，他可以添加、删除、修改运维用户，调整用户组的权限等。 7.3.1 添加用户点击资源管理菜单上的“”按钮，该按钮展开后，点击其下方的“”按钮，资源展示区域即出现添加用户界面，如下图：上图中，依次填写用户的用户名、登录密码，选择用户状态，勾选所在的用户组，点击“”按钮。注意！为必填项。小提示：用户所在用户组虽然不是必选项，但涉及规则管理，因此，推荐勾选。7.3.2 修改用户点击资源管理菜单上的“”按钮，资源展示区域即出现管理用户界面，如下图：此表中，列出了运维用户的用户名、姓名、状态、所属部门、所在用户组、用户有效期以及能够对用户进行的操作。点击用户列表后的按钮，可以修改该运维用户的mail地址、部门、电话、用户状态、登录IP地址、用户登录远程主机的开关、用户有效期、用户所在用户组等信息。7.3.3 删除用户点击用户列表后的按钮，可以删除该运维用户。7.3.4 更改密码点击用户列表后的按钮，可以修改该运维用户的密码。注意！新建的运维用户和修改密码后的运维用户首次登录运维管理审计系统必须修改密码。7.4 批量导入用户为了更加快速的添加主账号，运维管理审计系统支持用户批量导入。点击资源管理菜单上的“”按钮，该按钮展开后，点击其下方的“”按钮，资源展示区域即出现导入主账号界面，如下图：上图中，鼠标移至处，会有提示信息显示，如下图：管理员可以根据上图中的提示，点击资源展示区域中的按钮，将模板文件下载至管理员的计算机上。下载完毕后，管理员可以根据自己的实际环境，对该模板文件进行修改，修改完毕后，按照提示信息处的提示，将模板文件存储为“制表符分隔的文本文件”，点击资源展示区域的按钮，选中该文件，最终点击即可。8 主机管理8.1 简要介绍本章主要介绍运维管理审计系统管理的资产配置等信息。8.2 主机组8.2.1 添加主机组点击资源管理菜单上的“”按钮，该按钮展开后，点击其下方的“”按钮，资源展示区域即出现添加主机组界面，如下图：如上图，依次填写主机组的名称、描述及别名，勾选使用的规则，点击“”按钮。8.2.2 编辑主机组点击资源管理菜单上的“”按钮，该按钮展开后，点击其下方的“”按钮，资源展示区域即出现主机组列表界面，如下图：点击主机组列表后的按钮，资源展示区域显示主机组编辑界面，如下图：输入新的主机组名称，描述及使用的规则，点击按钮即可完成对主机组的编辑。8.2.3 删除主机组点击主机组列表后对应的按钮，即可删除该主机组。8.3 主机介绍运维管理审计系统管理各种协议主机的操作方法。8.3.1 添加主机点击资源管理菜单上的“”按钮，该按钮展开后，点击其下方的“”按钮，资源展示区域即出现添加用户界面，如下图： 添加RDP协议主机在添加主机过程中，选择操作系统为Windows的主机，运维管理审计系统会自动帮助管理员选择协议为RDP，端口为3389，用户可以根据实际情况，修改远程主机RDP协议监听的端口，确认输入信息无误后，点击“”按钮，即完成RDP协议主机的添加工作。 添加RDP协议账号点击主机列表中Windows主机后对应的“”按钮，即可向该主机录入子账户（从账户），如下图：如上图，依次填写Windows主机的账号、对应密码，选择是否托管该账号，输入账号描述，选择账号级别，选择是否显示命令回显，选择主机的参数设置，点击“”按钮。小提示：此处可以将运维用户的账号自动映射，具体方法是账号处输入“FORWARD-USER”，并勾选不托管密码，其他设置均按照上图所示进行，此方法通常使用在主账号认证方式使用AD认证时。有关账号级别，分为三级：a. 普通账号：定义为普通账号的子账号（从账号）在运维用户登录时能够产生日志，但不会有明显的标识，也不会产生告警信息通过邮件等方式发送。b. 重要账号：定义为重要账号的子账号（从账号）在运维用户登录时能够产生日志，会有明显的标识，但不会产生告警信息通过邮件等方式发送。核心账号：定义为核心账号的子账号（从账号）在运维用户登录时不但能够产生日志，并且有明显的标识，同时会产生告警信息通过邮件等方式发送。 添加SSH协议主机在添加主机过程中，选择操作系统为LINUX的主机，运维管理审计系统会自动帮助管理员选择协议为SSH，端口为22，用户可以根据实际情况，修改远程主机SSH协议监听的端口，确认输入信息无误后，点击“”按钮，即完成SSH协议主机的添加工作。 添加SSH协议账号点击主机列表中LINUX主机后对应的“”按钮，即可向该主机录入子账户（从账户），如下图：如上图，依次填写LINUX主机的账号、对应密码，选择是否托管该账号，输入账号描述，选择账号级别，选择是否显示命令回显，选择主机的参数设置，点击“”按钮。 添加TELNET协议主机在添加主机过程中，选择操作系统为网络交换设备的主机，运维管理审计系统会自动帮助管理员选择协议为TELNET，端口为23，用户可以根据实际情况，修改远程主机TELNET协议监听的端口，确认输入信息无误后，点击“”按钮，即完成SSH协议主机的添加工作。 添加TELNET协议账号点击主机列表中网络交换设备后对应的“”按钮，即可向该主机录入子账户（从账户），如下图：如上图，依次填写网络交换设备的账号、对应密码，选择是否托管该账号，输入账号描述，选择账号级别，选择是否显示命令回显，选择主机的参数设置，点击“”按钮。网络交换设备如Cisco，存在二级视图（特权模式切换），运维管理审计系统录入二级视图（特权模式切换）账号，方法如下：账号名称填写root，账号密码及确认，完成填写之后，点击按钮。管理员配置访问规则使某用户能够同时使用普通账号和此账号，运维人员通过运维管理审计系统登录该设备时即能够实现自动切换到特权模式。 添加VNC协议主机在添加主机过程中，选择操作系统为任意系统的主机，协议为VNC，运维管理审计系统会自动将端口修改为5900，用户可以根据实际情况，修改远程主机VNC协议监听的端口，确认输入信息无误后，点击“”按钮，即完成VNC协议主机的添加工作。注意！Windows上使用VNC主机时，根据Windows上的VNC协议，默认端口为5900即可，但LINUX的VNC协议需要查看VNC账号的ID，如，在某LINUX主机上tomcat用户的VNC协议ID为1，则此时录入VNC主机时所使用的端口应为5901。 添加VNC协议账号点击主机列表中网络交换设备后对应的“”按钮，即可向该主机录入子账户（从账户），如下图：如上图，依次填写VNC主机的账号、对应密码，选择是否托管该账号，输入账号描述，选择账号级别，选择是否显示命令回显，选择主机的参数设置，点击“”按钮。 添加FTP协议主机在添加主机过程中，选择操作系统为任意系统的主机，协议为FTP，运维管理审计系统会自动将端口修改为21，用户可以根据实际情况，修改远程主机FTP协议监听的端口，确认输入信息无误后，点击“”按钮，即完成FTP协议主机的添加工作。0 添加FTP协议账号点击主机列表中FTP服务器后对应的“”按钮，即可向该主机录入子账户（从账户），如下图：如上图，依次填写FTP的账号、对应密码，选择是否托管该账号，输入账号描述，选择账号级别，选择是否显示命令回显，选择主机的参数设置，点击“”按钮。1 修改子（从）账号点击主机列表中设备后方对应的“”按钮，即可查看该设备已录入子账户（从账户），如下图：点击账号后的“”按钮，录入账号名称、密码、账号描述，选择账号等级及命令结果是否回显，点击“”按钮，即可完成对该账号的修改。2 删除子（从）账号点击账号后的“”按钮，即可删除该账号。3 采集主机账号点击账号后的“”按钮，即可采集该主机上所有的账号。注意！使用此功能需要先录入该设备的最高权限的用户。4 同步修改主机密码点击账号后的“”按钮，即可修改主机上账号的密码。注意！使用此功能会同步修改远程主机上对应的账号密码，因此，使用此功能需要保证运维管理审计系统与远程主机之间所的网络可达，并保证该主机的运维协议运维管理审计系统可用。5 账号访问时间设置点击账号后的“”按钮，可以选择时间集，规则该子（从）账号能够被主账号访问的时间，此处时间与主账号有效期时间取交集。8.3.2 编辑主机点击资源管理菜单上的“”按钮，该按钮展开后，点击其下方的“”按钮，资源展示区域即出现主机列表界面，如下图：点击主机列表后对应主机的“”按钮，资源展示区域显示编辑主机界面，管理员可以根据页面显示，修改远程主机的地址、名称、操作系统、网络协议、服务监听端口、主机描述、主机所在部门、主机组等信息，点击“”按钮，即完成该主机信息的编辑。8.3.3 删除主机点击主机列表后对应主机的“”按钮，即可删除对应主机。8.3.4 批量导入主机为了更加快速的添加主机，运维管理审计系统支持主机批量导入。点击资源管理菜单上的“”按钮，该按钮展开后，点击其下方的“”按钮，资源展示区域即出现导入主机导入界面，如下图：上图中，鼠标移至处，会有提示信息显示，如下图：管理员可以根据上图中的提示，点击资源展示区域中的按钮，将模板文件下载至管理员的计算机上。下载完毕后，管理员可以根据自己的实际环境，对该模板文件进行修改，修改完毕后，按照提示信息处的提示，将模板文件存储为“制表符分隔的文本文件”，点击资源展示区域的按钮，选中该文件，最终点击即可。8.4 主机参数运维管理审计系统2.0为了能够更加广泛的管理各种类型的设备（包括主机、服务器、交换机）等，引入了主机参数的概念。此功能多用在网络设备、Linux/UNIX主机上。通过设置主机参数，能够兼容一些不常用的网络交换设备、主机、服务器。点击系统导航栏上的“扩展设置”，展开此栏，点击其中的“主机参数设置”，资源展示区域向管理员展示现有主机参数（默认为空），如下图：点击资源展示区中的“”按钮，资源展示区域展示主机参数添加解界面，以H3C交换机参数为例，请查看下图：填写完毕之后，点击“”按钮。9 应用中心管理运维管理审计系统目前兼容RDP、VNC、SSH、TELNET、FTP等协议，在用户需要使用数据库、B/S架构管理、Radmin等应用时，需要使用应用托管中心（AppBox）。9.1 简要介绍本章主要介绍运维管理审计系统的应用托管中心的使用方法。9.2 WEB配置点击资源管理菜单上的“”按钮，该按钮展开后，点击其下方的“”按钮，资源展示区域即出现添加应用托管中心界面，如下图：应用托管中心与运维管理审计系统之间使用RDP协议进行通讯，因此，为了保证应用托管中心的正常使用，网络中需要保证应用托管中心与运维管理审计系统之间3389端口畅通。上图中，依次录入应用托管中心的IP地址，帐户名称及密码，点击“”按钮，即完成应用托管中心与堡垒机之间的联动。9.3 应用中心自身配置使用RDP协议登录至应用托管中心，点击桌面图标，对AppBox进行配置。输入登录配置界面密码。密码请联系我方工程师获得。“服务器名”处填写所对应的堡垒机的ip地址，并勾选“使用SSL加密”，SSL端口默认为443。然后可以点击“点击打开浏览器访问服务器，测试通信是否正常”来连接上方ip所对应的堡垒机。“下一步”点击“新应用”添加新的应用。可以手动配置应用，也可使用预置的应用。预设8项应用，包括SQLServer、Oracle、MySql、radmin、goglobal、autoie、Road4Oracle、IE，此7项应用的“应用名”“应用程序路径”“代填程序”均已事先设置。a SQLServer应用配置b Oracle应用配置c MySql应用配置注：MySql使用内置的“mysqlfront”访问，所以“应用程序路径”一栏为空。d radmin应用配置e goglobal应用配置f IE应用配置g autoie应用配置h Toad4Oracle应用配置完成应用配置之后，点击“下一步”进入“数据库审计配置”选择相应的网络适配器，点击“完成”。注：此时请不要点击“启动数据库审计服务”完成后退出，再次点击点击桌面图标，来到“数据库审计配置”，点击“启动数据库审计服务”，当服务运行状态变为如图所示时，表示数据库审计服务已经开启。点击“完成”。至此，应用托管中心(AppBox)上的配置全部完成。为了能够使应用中心更好的兼容用户环境的ORACLE数据库，可能还需要对应用托管中心ORACLE数据库tns进行配置，配置方法如下：在ORACLE客户端的安装目录下，找到tnsnames.ora文件，通常该文件在X:oracleproduct10.2.0db_1NETWORKADMIN下（windows和linux通用），APPBOX默认安装在C盘下：使用写字板或者记事本打开tnsnames.ora，如下图：图中的红框表示一个SID的书写规范，若要添加，可以至ORACLE的服务器上找到ORACLE的tnsnames.ora文件，将需要的SID复制至AppBox的tnsnames.ora文件中，如下图： 数据库服务器的tnsnames.ora文件 将其中所需要的内容复制至客户端。完成复制之后，在AppBox上保存该文件即可。9.4 绑定运行桌面上的factorysetting.exe程序，输入设备（AppBox）的型号，服务号码，服务热线，服务人员邮箱（公司服务邮箱），公司网址等信息，点击自动获取按钮，factorysetting.exe程序会自动AppBox的硬件信息，点击确定，程序会自动生成一个factory.setting文件。登陆运维管理审计系统的管理界面，在“系统配置”-“系统授权信息”，点击上传，如下图：9.5 应用类型管理运维管理审计系统web页面上可以设置应用托管中心发布的应用类型，运维管理审计系统默认发布了下图中的应用类型：管理员可以根据实际情况自行添加应用。注意！管理员添加应用应保证应用中心中的应用名称与堡垒机页面上的应用类型必须保持一致，请参考下图：两图红框中的内容必须一致。9.6 发布应用完成以上配置之后，即可在运维管理审计系统web上发布应用了。点击资源管理菜单上的“”按钮，该按钮展开后，点击其下方的“”按钮，资源展示区域即出现添加应用界面，如下图：9.6.1 发布B/S自动代填应用上图中，选择应用类型为autoie，IP处填入浏览器访问地址的完整URL，用户名处填写登录该URL使用的用户名，密码处填写对应的密码，点击“”按钮即可。9.6.2 发布普通B/S应用上图中，选择应用类型为IE，IP处填入浏览器访问地址的完整URL，其他均不填写，点击“”按钮即可。9.6.3 发布PLSQL客户端上图中，选择应用类型为PLSQL，IP处填入浏览器访问ORACLE数据库的TNS标识，用户名处填写登录该数据库使用的用户名，密码处填写对应的密码，点击“”按钮即可。注意！使用ORACLE数据库的tnsname识别ORACLE数据库，需要在应用托管中心上配置TNS文件，配置方法请参考本文章节8.3。9.6.4 发布MSSQL应用上图中，选择应用类型为mssql2005，IP处填入浏览器访问MSSQL数据库的IP地址，用户名处填写登录该数据库使用的用户名，密码处填写对应的密码，点击“”按钮即可。9.6.5 发布MYSQL应用上图中，选择应用类型为mysql-front，IP处填入浏览器访问MYSQL数据库的IP地址，用户名处填写登录该数据库使用的用户名，密码处填写对应的密码，点击“”按钮即可。9.6.6 发布Toad客户端上图中，选择应用类型为toad4oracle，IP处填入浏览器访问ORACLE数据库的TNS标识，用户名处填写登录该数据库使用的用户名，密码处填写对应的密码，点击“”按钮即可。注意！使用ORACLE数据库的tnsname识别ORACLE数据库，需要在应用托管中心上配置TNS文件，配置方法请参考本文章节：应用中心自身配置。10 规则管理10.1 简要介绍通过设置访问规则，可分配运维人员可管理的主机，可使用的帐号，可使用的应用。10.2 添加规则点击资源管理菜单上的“”按钮，该按钮展开后，点击其下方的“”按钮，资源展示区域即出现添加规则界面，如下图：如上图，依次输入规则名称、描述、别名，并选择使用该规则的部门后，点击“”按钮。10.3 修改访问规则信息点击规则列表后的按钮，可修改访问规则信息 10.4 删除访问规则点击规则列表后的按钮，可删除访问规则10.5 设置访问规则点击按钮，选择，可以看见当前存在的访问规则，通过点击希望设置的访问规则后的，可以设定该规则允许哪些用户，访问哪些主机上的哪些帐户，使用哪些应用。首先点击“允许用户”下的“设置”，先选择用户组，再选择用户，点击“提交”，再选择主机组，选择目标主机，点击“提交”，再选择目标主机上的目标账户，点击“提交”，最后点击“目标应用”下的“设置”，设置该规则允许使用哪些应用。10.6 查看访问规则点击规则列表后的按钮，可查看访问规则10.7 命令防火墙管理10.7.1 添加命令防火墙点击按钮，选择，可添加命令防火墙。10.7.2 修改命令防火墙信息点击命令组列表后的按钮，可修改命令组信息10.7.3 删除命令防火墙点击命令组列表后的按钮，可删除命令组10.7.4 白名单设置点击按钮，可设置白名单。10.7.5 黑名单设置点击按钮，可设置黑名单。此处可选择当用户输入黑名单中命令时，是“阻断”还是“警告”。“阻断”表示当用户输入黑名单中命令时，会立刻将用户从会话中断开。“警告”表示当用户输入黑名单中命令时，会在屏幕发送给用户一条警告信息，表明用户刚才所输入的命令是被禁止的。（此命令并不会被执行）11 审计管理11.1 简要介绍通过行为审计，可以查看用户所进行的所有操作。11.2 图形终端审计点击“行为审计”“图形终端审计”，即可查看图形终端审计列表，如下图：点击列表中的“播放”，即可查看该审计操作的视频，如图：点击列表中的“标题”，即可查看该会话中所使用到的窗口标题，如下图：点击列表中的“播放”，即可从该视频操作出开始播放。11.3 字符终端审计点击“行为审计”-“字符终端审计”，即可查看图形终端审计列表，如下图：点击列表中某个会话后的“播放”，即可查看该会话操作记录，如下图：点击列表中某个会话后的“命令”，即可查看该会话输入的命令，如下图：点击”播放”，即可查看使用该命令式的图形审计结果。如下图：11.4 应用服务审计点击，选择，可以查看用户所有应用服务的操作记录。11.5 文件传输审计点击，选择，可以查看用户所有文件传输的操作记录。11.6 数据库审计点击，选择，可以查看用户所有数据库的操作记录。数据库审计的对象是通过使用应用中心进行的数据库操作会话。目前支持MYSQL、MSSQL、ORACLE等主流数据库。12 部门管理12.1 简要介绍在运维管理审计系统2.0之后的版本，为了能够让资源管理细粒度加强，引入了部门的概念。 此处的部门是逻辑部门，部门之间的资源独立，与运维用户、运维主机和访问规则绑定，可以通过示例1详细了解部门。示例1某公司有行政、财务、市场、工程、技术、销售、开发等部门，购买运维管理审计系统之后，使用运维用户组和运维主机组的功能，将每个部门之间的资源划分开来，但是，此时发现所有的管理员均能管理所有的资源，而审计管理员能够查看所有部门的运维日志和视频。此时该公司使用了运维管理审计系统的部门概念，将行政部门的运维用户和被管理资源绑定至行政部门，并为其创建一个独立的访问规则、部门管理员和审计管理员，配置完成之后，行政部门的部门管理员仅能管理行政部门的运维用户、被管理资源，审计管理员仅能查看行政部门运维人员和被管理资源产生的运维日志和视频，其他部门以此类推，均进行部门划分。如下图：超级管理员能够管理运维用户绑定部门之后的部门管理员能够管理的运维用户12.2 添加部门点击系统导航栏上的，展开此栏，点击其中的，如下图：点击此处添加部门点击之后，在资源展示区域，可以看到如下图界面：此处填写部门的描述此处填写部门的名称如上图，依次填入部门的名称及描述，确认信息无误之后，点击“”按钮。注意！默认情况所有部门管理员都没有权限管理“无部门”，只有超级管理员才能管理，所以尽量不要把主机、子帐号、主账号加入“无部门”12.3 修改部门部门点击部门列表后的按钮，可修改部门信息。12.4 纳入部门12.4.1 管理员纳入部门点击对应管理员后的“”按钮，web页面的资源展示区会跳转至部门绑定界面，如下图：勾选部门前的复选框，点击“”按钮。12.4.2 审计员纳入部门点击对应审计员后的“”按钮，web页面的资源展示区会跳转至部门绑定界面，如下图：勾选部门前的复选框，点击“”按钮。12.4.3 用户纳入部门添加用户时或点击对应用户后的图标，可以将用户纳入相应的部门12.4.4 主机纳入部门添加主机时或点击对应主机后的图标，可以将主机纳入相应的部门12.5 删除部门点击部门列表后的按钮，可删除部门13 报表管理13.1 简要介绍通过报表，可以直观了解用户，主机等的使用状况13.2 常规报表常规报表中包括“工作量统计”，“工作量清单”，“用户排行榜”，“主机排行榜”13.3 运维操作统计运维操作统计中包括“运维趋势统计”，“系统操作统计”在“运维趋势统计”中，可以查看某个月中“按分类”，“按部门”的操作统计，“分类”中可查看“服务器”，“网络设备”，“应用服务”，而“部门”中可查看所设置的各个部门的统计。在“系统操作统计”中，可查看“管理操作”，“用户操作”，“连接访问”的统计。13.4 自定义报表模板报表模板是方便用户快速创建报表而使用的功能。点击标签栏上的“报表查看”“报表模板”，页面即可跳转至如下图所示：点击“创建报表模板”按钮，填写模板的名称、描述、生成报表的名称、类型、时间范围、统计选项等信息，即可生成报表模板。如下图：点击“”按钮，可以编辑报表模板的信息。点击“”按钮，可以立刻执行该模板，通过该模板生成报表，点击该按钮之后，页面会自动跳转至报表管理界面。点击“”按钮，即可删除该报表模板。13.5 自定义报表可查看，导出或删除自定义的各种报表内容14 系统自身配置管理14.1 简要介绍14.2 管理员管理运维管理审计系统部门管理员分为四个角色，分别为：超级管理员，部门管理员，密码管理员及审计员。其中部门管理员还能自行添加本部门的密码管理员和审计员。各个级别管理人员的权限与关联表所有其他管理人员都由超级管理员创建并管理，超级管理员具有最高的管理权限。有关这些管理员的详细权限，请参考下表：管理角色添加主机添加运维用户添加应用修改运维用户密码查看审计记录添加管理员报表操作跨部门管理超级管理员是是是是是是是是部门管理员是是是是是否是否部门密码管理员否否否否是否否否部门审计员否否否否是否否否密码管理员是否否否否否否是审计员否否否否是否否是提示！超级管理员（admin）无法添加和删除，其他管理员必须由超级管理员进行创建。14.2.1 添加管理员点击系统导航栏上的“管理员设置”，展开此栏，点击其中的“添加管理员”，如下图：点击此处添加管理员点击之后，在资源展示区域，可以看到如下图界面：如上图，依次输入管理员的用户名、密码、姓名、mail地址、允许登录的IP地址，选择管理员类型，创建后是否锁定该管理员，确认以上信息无误之后，点击“”按钮。14.2.2 管理员管理创建管理员之后，点击系统导航栏上的“管理员设置”，展开此栏，点击其中的“管理员管理”，如下图：点击此处进入管理员管理点击之后在资源展示区域可以看到如下图界面：此表中，列出了管理员的姓名，管理员的类型，mail地址，状态以及能够对管理员进行的操作。有关图示操作，请参考下表：图示操作说明备注查看查看管理员的详细信息所有管理员均有此按钮编辑编辑管理员信息所有管理员均有此按钮，但超级管理员无法修改其管理员类型修改密码修改管理员密码所有管理员均有此按钮绑定部门与某个部门绑定除超级管理员外所有管理员均有此按钮，有关部门内容，请参考本文章节：部门管理绑定用户组与某个运维用户组绑定审计管理员特有按钮，绑定后，该管理员仅能查看由这些运维用户组中的运维用户产生的运维日志和视频绑定主机组与某个主机组绑定审计管理员特有按钮，绑定后，该管理员仅能查看由这些运维主机组中的远程主机产生的运维日志和视频删除删除该用户组除超级管理员无法删除外，其他管理员均可以删除14.3 网络配置14.3.1 多网卡配置点击“”按钮，选择“”，资源展示区域中出现网卡配置页面，如下图：在上图中选择接口名称，远程配置该接口的IP、子网掩码和默认网关，点击