安全访问网关(SAG)产品系统管理员使用手册4.0

Security Access Gateway索特安全访问网关4.0管理员手册目 录第一章前言3第二章产品简介42.1产品特点42.2总体架构6第三章功能介绍83.1开始93.1.1系统校时103.1.2用户服务103.1.3资源维护113.2系统管理113.2.1系统状态113.2.2系统配置133.2.3设备维护243.3访问控制273.3.1授权273.3.2用户373.3.3资源413.3.4策略463.3.5密钥维护483.3.6应用发布管理503.4操作审计583.4.1监控583.4.2审计593.4.3告警91第一章 前言通过阅读本文档，读者能够正确地安装和配置安全访问网关，并利用安全访问网关提供的管理、授权、审计等诸多功能来强化现有的安全管理制度。南京索特科技有限公司拥有本文档的全部版权。未经本公司书面许可，任何单位及个人不得以任何方式或理由对本文档的任何部分进行复制、抄录、传播或将技术文档翻译成他国语言。本文档适用于每个管理员，以及所有进行设备安装、调试的工程师、技术支持人员等。第二章 产品简介索特科技有限公司自主研发了安全访问网关（Security Access Gateway，以下简称SAG）。SAG能够有效地对服务器、网络设备、安全设备、企业应用等IT系统的操作行为进行记录、控制和审计：能够实时、完整地记录IT维护人员的操作，能够通过设定访问策略来控制IT维护人员访问目标资源时，对接入后的访问时间、访问动作进行安全控制管理，并提供灵活方便的记录检索和回放功能，从而达到“事先授权、事中监控、事后审计”的目标，保障企业IT系统的正常运行，提供稳定可靠的服务。2.1 产品特点全面的目标平台支持SAG支持各种Unix系列（AIX，HP-UX，Solaris，SCO，Linux，FreeBSD 等）和Windows系列操作系统；支持Cisco、Juniper、H3C等常用网络及安全设备；支持基于Windows平台的C/S和B/S应用系统；支持使用SSH/Telnet/Rlogin、RDP/ X11/VNC 、FTP/SFTP、HTTP/HTTPS、常用数据库等协议的运维操作审计。界面友好，轻松上手采用web2.0的AJAX技术，局部页面刷新，减少操作，动态提示。借鉴Microsoft的Ribbon设计，界面采用类office菜单样式设计。一站式快速授权管理，在一个界面即可完成从用户到资产的创建以及授权的全过程。使用搜索引擎技术实现高效审计可直接对操作内容、操作结果等操作日志中的关键字进行精确的搜索，基于搜索结果可实现定位回放，便于管理员迅速定位特定运维操作。智能的知识库分析系统系统通过内置知识库，自动将用户操作进行多层次分类，并提供审计建议。通过对海量操作日志进行自动分类，大大提高了运维审计的效率，真正做到智能化的高效审计。基于安全规范的合规报表SAG提供各项通用报表功能，以及基于SOX、PCI和企业内部控制规范的专项合规报表。可以根据内置报表模板将SAG的审计记录按照规范要求进行报表输出。高可靠性保障运维安全SAG系统采用精简的Linux系统，并进行了安全加固，只开放必要的端口和服务，保证了其安全性。SAG支持双机热备保障了业务的连续性和高可靠性。2.2 总体架构图1 总体架构图安全访问网关：实现接入管理、访问控制、操作审计功能。虚拟应用服务器（Application Virtualization Server，以下简称AVS）：与SAG结合，可实现Windows应用程序的发布，实现应用SSO，及应用的访问控制，基于数据库客户端应用发布可实现SQL语句级的数据库审计。第三章 功能介绍启动IE浏览器（微软Internet Explorer 8.0），在地址栏里输入“”，进入安全访问网关的Web管理界面。图2 登录界面1) 默认系统管理员用户名为“admin”，口令“admin123!#”，输入已注册的管理员账号及密码，如果错误输入用户名或密码超过两次需要输入验证码。登录系统后如果系统没有注册License或License失效 ，弹出license验证失败对话框，点击“确定”，系统提示用户导入License，具体参考节注册信息。图1 License验证失败如果系统管理员是第一次登录，或者设置的网关不通时，系统会弹出页面，提示用户正确设置SAG IP地址，如下图所示： 图1 提示点击【确定】按钮，设置SAG IP地址，如下界面：图2 修改网络接口修改SAG网关地址，将eth0修改为用户规划的IP，如：30，然后点击【完成并应用更新】按钮即可。由于IP即时生效，网络会中断； 地址修改之后，重新按照上述步骤登录，（注意：此时SAG登录地址为修改后的新IP地址）.系统管理员拥有sag所有管理权限，审计管理员主要权限是查看、审计会话记录，策略管理员主要权限是用户管理、资源管理、策略管理及授权。密码管理员主要权限是管理资源账号、设置资源账号密码策略。如下图为系统管理员登录的首页：图3 系统管理员登录首页F 显示网关各个性能参数、CPU/内存利用率及各个服务的运行状态。F 点击右上角按钮，下载客户端软件。默认安装在c:/sag目录下，包括TELNET/SSH客户端工具（包含putty和SecureCRT）、远程桌面客户端工具的中文版和英文版、字符日志离线审计工具和远程桌面日志离线审计工具，可选择安装jre（Java运行环境），按照默认步骤安装即可。字符日志离线审计工具可回放字符会话，远程桌面日志离线审计工具可回放图形会话。下图为策略管理员登录首页，首页可以快速授权用户、用户组可以访问的资源、资源组，并指定对应的授权策略，同时显示已授权用户列表。图4 策略管理员主界面下图为审计管理员登录主界面，首页显示已授权用户的会话概况。图5 审计管理员主界面下图为密码管理员登录主界面，首页显示资源账号列表。图6 密码管理员主界面3.1 开始快速使用SAG功能，查看安全网关管理系统当天CPU、内存利用率趋势图及硬盘利用情况，查看系统服务运行状态，给用户快速授权，审计会话。 3.1.1 系统校时配置SAG服务器系统时间。1）选择【开始-系统时间】菜单，打开系统时间配置页面。图7 系统时间配置页面F 系统当前时间状态：显示当前同步的时间服务器，以及安全网关管理系统服务器当前时间，格式为：YYYY-MM-DD HH:MM:SS，全部为数字。F 点击【立即同步】按钮，系统立即跟当前在用的时间服务器同步时间。F 设定时间同步服务器，配置时间同步服务器，点击【启用】按钮，启用该时间服务器，系统时间则以时间同步服务器的时间为准。F 手工设定当前时间：点击【手工同步】按钮，系统时间与输入时间同步。F 同步周期设定：设定时间同步的周期，系统将会根据同步周期，通过在用的时间服务器同步当前服务器的时间。3.1.2 用户服务设置个人信息。1）选择【开始-用户服务】菜单，显示如下页面：图8 修改个人信息及密码F 可修改用户别名、个人电话及电子信箱等信息，在图中，点击“密码修改”按钮，修改密码，如果密码丢失，请与管理员联系。3.1.3 资源维护如果管理员有多角色管理权限，包含网关用户身份，管理员点击【开始-资源维护】打开授权的资源页面，具体参考安全访问网关(SAG)产品网关用户使用手册。3.2 系统管理当SAG设备初始化配置完后，配置相应的系统信息，对系统性能、参数、服务、日志、备份等管理。3.2.1 系统状态 系统性能显示设备当前的系统资源使用比例，包含：内存使用率、CPU使用率及硬盘使用率。及网关服务运行状态。1）选择【系统管理-系统性能】菜单，打开系统性能页面。图9 系统性能页面F 了解安全网关管理系统属性值，包含：网关映射IP和网关别名。F 了解安全网关管理系统当天CPU、内存利用率趋势图及硬盘利用情况表，点击或按钮，查看CPU/内存的前7天或30天的利用率趋势图。F 显示安全网关管理系统各个应用服务运行状态，绿色表示正常运行，红色表示不在运行。 系统服务1）选择【系统管理-系统服务】菜单，进入系统服务页面。图10 系统服务页面F 字符网关相关服务包含： SSH 接入服务、TELNET接入服务。F 在上图中1所标注，选中“调试模式”，重启各个应用服务时，系统将记录下该操作日志。F 显示安全访问网关系统各个应用协议运行状态，如协议服务状态显示红色或服务被更新过，点击“重启”按钮，启动协议服务。F 在上图中2所标注，点击【重启】按钮，重新启动系统服务器，点击【关机】按钮，关闭系统服务器。F 用户可下载保存系统各个应用协议运行日志，点击【下载日志】按钮，如下图所示，记载每个应用服务最近日志记载时间及当前的日志文件大小。选中服务，点击【下载】按钮，下载保存选中的服务运行日志。点击【下载全部】按钮，下载保存所有应用协议运行日志。图11 下载保存应用服务运行日志F 点击【清除所有历史日志】按钮，清空当前所有应用服务的运行日志。3.2.2 系统配置 注册信息SAG提供了灵活的授权方式，客户根据机器码购买License，导入License文件。方可正常使用SAG其他服务。1)登录SAG管理平台，如果系统没有注册License或License失效 ，弹出license验证失败对话框。图12 License验证失败点击“确定”，系统提示用户导入License。图13 注册信息配置页面2）客户根据机器码购买License，点击【选择文件】按钮，导入License文件（文件必须为.zip文件）。license导入成功，则会跳转至首页，如失败，提示导入失败。成功更新license后，请重新登录。3）点击“高级选项”，可版本升级，如下图所示：图14 高级选项4）注册license后，打开【系统管理-注册信息】菜单，可查看license注册信息。图15 注册信息F 型号，SAG型号，包含企业版、标准版和试用版。F 机器码，设备的唯一标识。F 版本号，显示设备软件系统的产品版本。F 资源数，可管理的终端资源数量，如设置了双机热配，主机和备机的总资源数不得超过配置值。F AVS并发连接数，AVS可同时存在的连接数，如设置了双机热配，主机和备机的总AVS并发连接数不得超过配置值。F AVS_SSO功能，支持AVS的单点登录功能。F AVS_DBAUDIT功能，支持数据库审计功能。5）如果当前型号是试用版，会显示license到期时间（剩余天数），当license到期之后，SAG管理平台功能无法使用。6）如需更新License，打开【系统管理-注册信息】菜单 ，根据界面中的机器码购买License，再导入License文件。 系统备份/还原备份方式有手动备份和自动备份。系统备份的具体步骤如下：1）选择【系统管理-系统备份/还原】菜单，打开系统备份配置界面。图16 系统备份配置F 备份模式，模式可按日期、按天、按周、按月。F 备份日期，系统备份的日期，如备份模式选择“按月”，备份日期就是每月的某一天。F 备份系统文件时可以选择是否备份会话文件，如果选择备份会话文件，备份时间会长些。F 备份方式，备份文件有两种保存方式：保存本地或保存远程FTP服务器。保存本地是把备份文件保存在本地系统服务器一个目录下。保存远程FTP服务器，通过ftp服务，把备份文件保存到一台远程服务器上，设置远程服务器地址及通过ftp服务连接到远程服务器的用户名、密码。F 存放路径，备份文件存放的路径。F 会话文件保存时间，设置系统备份的会话文件存放时间。F 还原点保留，保留存放的备份文件的个数。F 点击【提交】按钮，保存系统备份任务。F 设置好备份任务后，用户点击【立即备份】按钮，可立即备份系统，包含备份session文件。同时可选择是否备份session文件，如果选择备份session文件，备份时间会长些。系统还原的具体步骤如下：有两种方法：1） 选择【系统管理-系统备份/还原】菜单，点击左下角【手动还原】按钮，打开系统还原界面。图17 系统还原F 点击“浏览”按钮，定位到保存好的系统备份文件。F 点击“提交”即可完成恢复。2） 可先查看系统备份日志，选择备份文件，点击按钮，还原系统。图18 系统备份日志图19 确认系统还原查看系统备份/还原日志：1) 选择【系统管理-系统备份/还原】菜单，点击左下角【查看日志】按钮，查看系统备份日志。图20 系统备份查询页面F 可根据执行状态、执行起始时间、任务结束起始时间、任务类型组合查询。F 日志记载分系统备份日志和系统还原日志两种类型，可查看任务生成时间、任务执行状态。在“备份下载”栏中，点击备份文件名，可下载保存系统备份的原文件。在“操作”栏中，点击“”按钮，可手工删除系统备份/还原的操作日志文件，如是备份日志文件，同时删除SAG上对应的备份的原文件。 系统参数.1 通用参数设置系统常用参数设置。1）打开【系统管理-系统参数】菜单，选中“通用参数设置”选项卡，打开通用参数设置界面。图21 通用参数设置F 索引时长，创建索引的周期，以分钟为单位，默认为5分钟。F 设置图形方式是否记录键盘操作。F 设置知识库分类协议，审计会话时，只审计所选择的协议会话。F 本系统支持中英文两个版本，用户可自由切换系统语言。.2 邮件服务器设置发送邮件服务器，SAG将告警事件以邮件的方式通知相关管理员。1）打开【系统管理-系统参数】菜单，选中“邮箱服务器”选项卡，打开邮件服务器配置界面。图22 邮件服务器配置F 邮件服务器，格式如：，或者直接输入邮件服务器的IP地址。F 端口号，设置邮件服务器SMTP端口号。F 邮件用户名及密码，需要身份验证，添加发送者的用户名和密码。.3 SYSLOG服务器SAG将告警事件通过标准的SYSLOG格式发送到定义的所有SYSLOG服务器。1）打开【系统管理-系统参数】菜单，选中“SYSLOG服务器”选项卡，显示当前系统中所有的SYSLOG服务器列表。图23 SYSLOG服务器列表F 可通过关键字查询相应的SYSLOG服务器。F 在SYSLOG列表中，在操作栏中，点击“”按钮，可重新设置SYSLOG服务器，点击“”按钮，删除该SYSLOG服务器。2） 添加SYSLOG服务器在SYSLOG服务器列表界面中，点击右上角的【添加SYSLOG服务器】按钮，添加新的SYSLOG服务器页面，如下图所示：图24 添加SYSLOG服务器F SYSLOG服务器，SYSLOG服务器的IP地址。F 端口号：SYSLOG服务器端口号。.4 密码策略配置密码策略，为了防止管理员和用户账号密码被暴力破解，所设置的安全策略。1）打开【系统管理-系统参数】菜单，选中“密码策略配置”选项卡，打开配置密码策略界面。图25 密码策略配置F 密码修改周期，默认设置90天，密码修改周期超过设置的天数，系统将提醒管理员和网关用户修改密码。F 密码修改周期到期后，系统会提醒用户修改密码或强制用户修改密码。F 密码尝试次数，默认为3次，登录时错误输入密码次数超过设置值，该账户将被锁定，账号状态为锁定状态。F 自动解锁时间，默认1小时，账号被锁定1小时后，系统自动解锁用户账号。.5 RADIUS系统支持用户基于radius认证。1）打开【系统管理-系统参数】菜单，选中“RADIUS”选项卡，打开RADIUS服务器配置界面。图26 配置RADIUS服务器F Radius服务器地址，radius服务器IP地址。F 认证端口号，RADIUS服务器的认证端口号。F 计费端口号，RADIUS服务器的计费端口号。F 服务器通讯密码，登录RADIUS服务器的通讯密码。2）在RADIUS服务器配置界面，点击“测试”按钮，测试RADIUS服务器是否正常运行。.6 RSA系统支持RSA认证，RSA认证即双因素认证，用户有一个属于自己的静态密码，静态密码会在RSA认证服务器上加密保存。当用户创建号密码后，认证的最终过程为：用户的静态密码 + 电子令牌显示的动态密码。1）打开【系统管理-系统参数】菜单，选中“RSA”选项卡，打开RSA代理服务器配置界面。图27 配置RSA代理服务器F 设置代理服务器地址，并上传代理配置文件。.7 知识导入通过“知识导入”，可以升级标准知识库版本，同时在节中用户可自定义知识库。1）打开【系统管理-系统参数】菜单，选中“知识导入”选项卡，打开知识导入界面。图28 知识库升级F 从标准知识库维护系统中导出标准知识（加密的xml文件），导入时选择处理的文件。导入成功后，需要重启web服务，进入等待页，自动切换到登录页面。导入的知识文件会提示本次导入的知识版本信息及可适合使用的sag版本。 双机热备配置“双机热备”是SAG提供设备高可用性，保障业务连续运行的一个重要功能。双机热备，将两台SAG设置为互相备份，并且在同一时间内只有一台服务器运行。当前工作的SAG出现故障无法正常工作时，会迅速切换到备用SAG，保证高可用性。配置双机热备时，特别注意的，先在两台机子的“网络接口”页面都配好两个网口的地址（一个是网络接口地址，一个是心跳接口地址），而后只需在主机的“双击热备配置”页面做配置并提交。具体配置步骤如下：1)选择【系统管理-双机热备配置】菜单，打开双机热备配置界面，如下图所示：图29 双机热备配置F 浮动地址指向主机或备机，和主、备机在同一网段内。F 对端心跳接口地址，即备机心跳接口地址，主、备机的IP地址必须在同一网段内。F 网关地址，设置设备所在的网关地址。F 当配置双机热配时，设备间用网线把心跳接口连接起来，外网接口及心跳接口如图中标示。F 提交时需要输入对端的admin账号密码。图30 输入对端admin口令F 保存双机热配设置，需要重启服务器，才可以成功创建双机热配。图31 确认重启系统 版本升级通过“版本升级”，可以升级SAG软件版本。1）选择【系统管理-版本升级】菜单，打开版本升级界面。图32 版本升级F 将现有版本升级到新版本，只需准备一个升级包，包含升级脚本和升级文件。F 通过浏览选择系统升级文件，并将该文件上传。若页面提示成功，并且指定目录成功拷贝了升级文件，则升级成功。 外挂设备管理服务器外挂硬盘，如本地硬盘、USB。 1）选择【系统管理-外挂硬盘】菜单，查看系统外挂设备。图33 外接设备管理2）点击【检测外接设备】，检测服务器所有外挂设备。图34 检测外接设备F 检测了外挂设备后，设置设备路径，点击【装载】按钮，装载设备。F 点击【卸载】按钮，卸载外挂设备。 操作日志查看管理员使用安全访问网关管理平台的所有操作日志。1）选择【系统管理-操作日志】菜单，打开查询界面，如下图所示：图35 操作日志查询F 可根据时间范围、管理员、客户端IP、操作类型、操作结果、操作描述、结果描述组合查询。2）点击右上角导出excel按钮，报表导出保存excel文件。3.2.3 设备维护 网络接口网络设置是设备正常工作运行最基本的配置工作，主要配置内容为：A) 网络接口B) 路由/网关C) DNS1)选择【系统管理-网络接口】菜单，打开网络设置界面，如下图所示：图36 网络接口设置F 网络设置，管理SAG服务器网络接口（双网卡），修改接口地址（SAG服务器网络地址）、子网掩码（与服务器网络相对应的掩码）及DNS。点击各个设置项，如“未设置”，可设置，如已经设置，可修改。F 在图中，IP地址后面有高级按钮，点击【高级设置】，可以为IP地址单独设置网关。2)在网络配置图中，点击“路由设置”，展开路由设置界面，如下图所示, 可以设置静态路由.图37 路由设置 远程维护设置可远程管理系统的IP地址，用户可通过列表中的IP，以sagadmin账号登陆到安全访问网关管理系统，可以手工添加多个远程管理IP地址。1）选择【系统管理远程维护】菜单，添加远程管理IP地址。图38 远程维护界面F 在IP地址栏中输入IP地址，点击【】即可，只有列表中的IP才可以登陆到系统服务器，默认情况下所有IP都不可以登录。F 用户以sagadmin账号登陆到安全访问网关管理系统，输入“？”查看可使用的命令列表，如下图所示：命令列表F 命令的使用方法参考sagadmin操作守则。 网络工具比较常用的网络工具：ping、ifconfig、route、traceroute。探测工具Ping，用户可以通过向目标主机发出一个试探性的IP检测包，来测试该主机是否可以到达。 格式：Ping 目的地址，其中目的地址是指被探测主机的地址，如: ping 00 ，设置ping 次数（缺省5次），执行ping命令，同时将结果显示在网页上。跟踪路由工具traceroute，显示从本地主机到目标主机所经过的每一个主机地址及来回时间，格式：traceroute 目标主机，如：traceroute 。TCP/IP配置程序IPconfig，查看TCP/IP配置参数,显示本机的IP地址、子网掩码、默认网关等。网络路由表设置程序Route，查看路由表条目。1）选择【系统管理网络工具】菜单，使用以下常用的网络工具，如下图所示：图39 网络工具应用3.3 访问控制访问策略控制是保证接入安全的重要手段，它负责从SAG接入到被维护对象，对接入后的访问请求、访问过程以及访问时间进行安全控制管理。该部分配置主要包含以下几个方面： 1、定义被管理的资源IP及访问协议的登录账号，及资源组； 2、定义网关用户、用户组； 3、设置策略，定义用户访问资源时，访问时间、可使用的协议、字符命令黑名单等；4、快速授权，授权用户、用户组可以访问的资源、资源组，并指定对应的授权策略；3.3.1 授权 快速授权授权用户、用户组可以访问的资源、资源组，并指定对应的授权策略。.1 查看授权1）查看用户授权选择【访问控制-快速授权】菜单，通过“用户/组”、“资源/组”、“策略名”查询条件，查看用户授权，如下图所示：图40 授权查询F 可通过点击列表中各个列名，对列表进行排序。F 一个用户、一台资源只对应一条授权记录，如授权中SSO账号超过3条，显示一共有多少条记录，点击“更多”查看。F 可批量删除或单个删除当前授权。F 鼠标悬停在“策略名称”上，可显示策略的详细信息。2）修改策略在授权列表页面中，选中授权记录，点击右上角“批量修改”按钮，可批量更改或单个更改策略，或点击操作栏中“”按钮，单个修改策略，如下图所示。图41 更改策略3） 设置是否允许手工输入可设置允许手工输入用户名、密码，默认情况下，如何设置了SSO账号，是不允许手工输入用户名、密码的方式，如需修改允许手工输入，在授权列表页面中，选中授权记录，点击右上角“批量修改”按钮，可批量更改修改，或点击操作栏中“”按钮，单个修改，打开修改页面，勾选“允许手工输入”，如下图所示：图42 修改授权4）修改资源SSO账号在授权列表页面中，点击操作栏中“修改账号”按钮，可重置资源账号，如下图所示。图43 设置SSO账号.2 创建授权基于用户（组）、运维协议、目标主机（组）、运维时间段（年、月、日、周、时间）、等组合的授权功能，即用户/组资源/组资源账号策略”的授权。基于多角色权限，只要包含网关用户权限的，都可以对该用户授权。1）选择【访问控制-快速授权】菜单，在下图中红框中添加授权。图44 快速授权F 授权用户、用户组可以访问的资源、资源组，并指定对应的授权策略。F 点击“扩展选项”按钮，展开扩展选项。 F 输入用户或资源时，会出现下拉框，提示以此开头的包含网关用户的用户/组或资源/组。图45 用户/组下拉框选择图46 资源/组下拉框选择F 在“用户/用户组”输入框中，如果用户不存在，点击“授权”时，系统提示可新增该用户，无需到用户管理中添加。图47 新增用户F 在“IP/资源名”输入框中，可输入不存在的资源IP，如果资源IP不存在，点击“授权”时，系统提示可新增该资源IP，无需到资源管理界面中添加。图48 新增资源F 授权时，默认设置是“常用协议”策略，点击策略名，出现下拉框，可设置其他授权策略。选择框后面出现“”按钮，点击“”按钮，查看策略的详细信息，点击“”按钮，关闭下拉框。图49 选择策略2）扩展选项点击“”按钮，展开扩展选项，如图所示。图50 快速授权F 可设置访问目标资源的SSO账号。F “用户组/用户”输入框后面出现“”按钮，点击按钮，弹出用户选择窗口，单选用户，如图所示。图51 选择用户F 点击“”按钮，关闭扩展选项。3）选择资源点击“IP/资源组”输入框后面的“”按钮，可选择某一或多个资源，如图所示。图52 选择资源F 在打开的新界面中，组装成树型菜单，包含资源组、资源、已选择资源。展开资源组，显示所有资源群组，点击资源群组名，右边表格中显示群组包含的所有资源，可分页查看，可模糊查询。点击资源，右边表格显示可使用的所有资源，可分页查看，可模糊查询。已选资源即已经选中的资源。 应用授权授权用户、用户组可以访问的应用程序，并指定对应的应用策略。.1 查看授权1）查看用户授权选择【访问控制-应用授权】菜单，通过“用户/组”、“应用名”、“策略名”查询条件，查看用户授权记录，如下图所示：图53 授权管理F 一个用户对应一个应用，只显示一条记录，资源可显示多个。如资源超过3条，显示一共有多少条记录，点击“更多”查看。如SSO账号超过3条，显示一共有多少条记录，点击“更多”查看。F 可通过点击列表中各个列名，对列表进行排序。F 可批量删除或单个删除当前授权。F 鼠标悬停在“策略名称”上，可显示策略的详细信息。2）设置可访问的资源在“IP/组名”栏中或点击操作栏中“修改访问控制”按钮可添加或删除可访问的资源。如下图所示，弹出资源选择窗口，可选择某一或多个资源。图54 选择资源F 在打开的新界面中，组装成树型菜单，包含资源组、资源、已选择资源。F 在树中，展开资源组，显示所有资源群组，点击资源群组名，右边表格中显示群组包含的所有资源，可分页查看，可模糊查询。F 在树中，点击资源，表格显示可使用的所有资源，可分页查看，可模糊查询。F 已选资源，已经选中的资源。3）修改策略在授权列表页面中，选中授权记录，点击右上角“批量修改”按钮，可批量更改或单个更改策略，或点击操作栏中“”按钮，单个修改策略，如下图所示。图55 更改策略4）修改资源SSO账号在授权列表页面中，点击操作栏中“修改账号”按钮，可重置资源账号，如下图所示。图56 设置应用SSO账号.2 创建授权可创建“用户/组应用程序策略目标资源目标资源账号”的授权。基于多角色权限，只要包含网关用户权限的，都可以对该用户授权。1）选择【访问控制-应用授权】菜单，在下图中红框中添加授权。图57 应用授权F 输入用户/用户组时，会出现下拉框，提示以此开头的存在网关用户/用户组，如下图所示：图58 下拉框选择用户F 在“用户/用户组”输入框中，如果输入的用户不存在，点击“授权”时，系统提示新增该用户。图59 创建用户F 通过下拉框选择授权的应用程序。F 授权时，默认设置是“应用全通”策略。2） 扩展选项点击“”按钮，展开扩展选项，如图所示。图60 应用授权F 可设置通过应用程序访问的目标资源及目标资源的SSO账号。F 展开扩展选项后，“用户组/用户”输入框后面出现“”按钮，点击按钮，弹出选择用户窗口，可选择用户，如图所示。图61 选择用户F 默认显示的是“应用全通”策略，点击策略名，出现下拉框，可设置其他授权策略。展开扩展选项后，选择框后面出现“”按钮，点击“”按钮，查看策略的详细信息，点击“”按钮，关闭下拉框。图62 选择应用策略F 点击“”按钮，关闭扩展选项。3） 选择资源展开扩展选项后，可设置通过应用程序访问的目标资源，点击“增加目标资源”，出现输入框，输入框后面出现“”和“”按钮，如图所示。图63 扩展选项F 输入资源/资源组时，会出现下拉框，提示以此开头的存在资源/资源组。F 在输入框中，如果输入的资源IP不存在，点击“授权”时，系统提示可新增该资源IP，无需到资源管理界面中添加。图64 创建资源F 点击“”按钮，弹出资源选择窗口，选择某一资源，如图所示。图65 选择资源F 在打开的选择资源新界面中，组装成树型菜单，包含资源组、资源、已选择资源。展开资源组，显示所有资源群组，点击资源群组名，右边表格中显示群组包含的所有资源，可分页查看，可模糊查询。点击资源，右边表格显示可使用的所有资源，可模糊查询。已选资源即已经选中的资源。F 点击“”按钮，关闭目标资源输入框。4） 设置应用SSO账号选择目标资源之后，点击“增加SSO账号”，弹出资源账号窗口，同时输入框后面出现“”和“”按钮，如图所示。图66 扩展选项图67 资源账号弹出窗口F 选中资源应用账号，点击“提交”，完成应用SSO账号设置。F 点击“”按钮，也弹出资源账号过滤窗口。F 点击“”按钮，关闭应用SSO账号输入框。3.3.2 用户本系统中设置了管理员和网关用户两种角色，管理员包括：系统管理员、策略管理员、审计管理员及密码管理员。“网关用户”即根据管理员授权的资源和权限，通过SAG登录到网关设备，访问授权的资源。一个用户可以拥有多个角色的权限，可同时拥有管理员和网关用户多个角色。 用户列表1）选择【访问控制-用户列表】菜单，打开用户查询列表页面。图68 用户列表F 可根据用户名、用户别名、用户角色组合查询，点击“更多搜索条件”，选择更多查询条件；F 支持对账号的锁定、解锁功能。当用户错误输入密码超过规定次数而账户被锁定时，图中解锁功能可以解除账户锁定；F 如用户丢失密码，管理员可帮助用户重置用户密码；F 可编辑、删除用户；F 可通过点击列表中各个列名，对列表进行排序。F 可批量导出用户,以Excel的形式导出用户配置列表。F 可批量导入用户，点击右上角“导入用户”按钮，打开如下页面，先点击【下载】按钮，下载模板文件，根据模板输入用户，点击【浏览】按钮，上传文件即可。图69 批量导入用户 新增用户1）选择【访问控制-新增用户】菜单，出现如下添加页面。图70 添加用户默认选项图71 高级选项F 默认添加的是网关用户，如需添加或增加其他角色，点击“高级选项”按钮，选择用户类型，可同时选择多个角色。如包含管理员角色，可授权管理员可管理的资源和用户，限制管理员的越权使用，如图所示：图72 管理员权限设置F 新建系统管理员时要勾选“创建用户和资源权限”复选框才可新增用户和新增资源，如图下图所示：图73 系统管理员权限设置F 默认只需要输入用户名、密码及认证方式。F 用户名，登录SAG的登录名，必填项，不可以重名。F 密码，密码长度不得少于6位，必填项。F 密码强度，主要用来控制SAG管理员密码和网关用户密码的复杂度，系统会根据密码强度规则自动检测用户输入密码的安全强度，全为字母或全为数字，则复杂度为低，字母+数字混合为中，字母+数字+特殊符号则复杂度为高。F 电子邮件地址，即网关用户的邮箱地址。F 认证方式包含四种：本地认证、外部认证、Radius认证和RSA认证。外部认证属第三方认证，可定制。Radius认证，使用Radius认证服务器进行认证，Radius认证服务器配置参见.5节。RSA认证, 双因素身份认证，RSA认证代理服务器配置参见.6节，新建用户时必须选择一个认证方式。F 用户生命周期, 设置网关用户的有效日期，默认为永久有效。F 允许登录IP范围，设置网关用户允许登录SAG的IP范围（如果IP范围只填写了一个，表示指定这一个IP的地址），如果不在此范围登录，系统将阻断登录，并提示告警。F 设置用户登陆终端的映射地址，及SSH映射端口、RDP映射端口及ftp映射端口。2)添加一个网关用户，如用户名：user001，密码：user001，点击“提交”按钮，完成用户添加。 群组列表1）选择【访问控制-群组列表】菜单，打开群组列表页面。图74 群组列表F 系统有一条默认用户组，默认情况下用户都分配在默认组里，可修改默认组中包含的用户。F 可根据群组名、描述搜索。F 可通过点击列表中各个列名，对列表进行排序。 新增群组群组主要功能是实现用户集中管理，一个用户可以属于多个群组。1）选择【访问控制-新增群组】菜单，进入添加用户群组页面。图75 添加群组F 用户群组名称，定义用户群组组名，用户群组名唯一，必填项。F 群组包含用户，加入该用户群组的用户。2）输入用户群组名称、描述，点击“提交”按钮，即完成用户组添加工作。3.3.3 资源 资源列表定义被管理的目标设备IP及服务账号。目标设备支持多种操作系统，如CentOS、Extreme、Linux、NetScreen、Cisco、Windows等。1）选择【访问控制-资源列表】菜单，打开资源列表页面。图76 查询资源列表F 默认显示所有已登记的资源。可根据资源地址、MAC地址、别名查询，点击“更多搜索条件”,展开其他搜索条件。 F 可编辑、删除资源，可管理资源账号。F 可通过点击列表中各个列名，对列表进行排序。F 在列表中，如果资源账号超过三个，显示一共有多少条账号，点击“更多”显示其他账号信息。F 可批量导出服务器，保存excel文件。F 点击右上角“导入资源”按钮，可批量导入资源。2)资源账号管理资源账号管理实现对目标资源账号的添加、删除、导入、编辑等操作。对目标资源应用程序账号添加、删除、导入或编辑等操作。资源列表页面中，点击资源记录中的“账号管理”按钮，打开资源账号管理页面。图77 资源账号管理F 选择账号类型、端口号等信息组合查询账号。F 可新增、批量导入、编辑、删除账号。3）新增资源账号在账号管理界面中，点击右上角【新增账号】按钮,新增账号。图78 新增资源账号界面F 可添加资源服务账号,如下图添加设备的SSH服务账号，SSH服务的默认端口为22，输入设备SSH服务账号：root，密码：1234abcd，点击“提交”按钮，账号添加完成。图79 新增设备SSH服务账号F 当账号类型是Telnet、SSH时，可以选择是否设置权限提升命令与密码,当设备类型是Cisco的时候系统默认权限提升命令是enable。F 当账号类型是SFTP时，可以选择认证方式：密码认证或证书认证。如是密码认证，需要输入密码，如是证书认证，需要正确导入证书。否则用户登录自服务系统，不能够正常SSO到目录资源。F 可定义系统默认安装的应用程序的应用SSO账号。应用SSO账号即通过应用程序访问目标资源的登录账号，如下图添加目标资源上SQLPLUS应用程序的登录账号。图80 新增资源SQLPLUS应用程序的登录账号4）批量导入账号点击右上角【导入账号】按钮,打开批量导入资源账号界面。图81 批量导入资源账号F 先选择账号类型,再下载模板,按照模板格式正确填写账号信息,再进行文件上传。以Excel的形式导入资源账号配置列表。 新增资源定义被管理的资源。1）选择【访问控制-新增资源】菜单，打开添加资源页面。图82 添加资源图83 高级选项F 默认只需要输入资源地址，点击“高级选项”按钮，可选择输入更多信息。F 资源别名，定义设备名。F 资源地址，输入资源IP地址，资源地址不可以重复，必填项。F Mac地址，输入资源Mac地址。F 操作系统，选择该资源对应的操作系统，及操作系统版本。F 添加资源，同时分配资源所属群组。F 设置资源密码策略，如果设置了资源密码托管策略，那么需要设置登陆资源账号，如果资源本身需要权限提升才能实现账号托管则设置跳转账号，否则无法实现密码托管管理。批量添加资源的具体步骤：1)选择【访问控制-资源列表】菜单，打开资源列表界面。2）点击“导入资源”按钮，打开导入资源界面。图84 批量导入资源F 先下载模板文件,然后根据模板文件格式填写资源信息,再进行文件上传。 群组列表1）选择【访问控制-群组列表】菜单，打开群组列表页面。图85 群组列表F 系统有一条默认资源组，默认情况下资源都分配在默认组里，可修改默认组中包含的资源。F 可根据群组名、别名搜索。F 可通过点击列表中各个列名，对列表进行排序。 新增群组主要功能是实现资源集中管理，集中分配。1）选择【访问控制-新增群组】菜单，进入添加资源群组页面。图86 添加资源群组页面F 资源群组名，定义资源群组组名，资源群组名唯一，必填项。F 分配资源，选择属于该资源组的设备。3.3.4 策略策略是保证接入安全的重要手段，用户访问目标资源时，对接入后的访问时间、访问动作进行安全控制管理。系统默认配置了五条策略：常用协议（SSH、Telnet、RDP）、字符协议（SSH、Telnet）、SSH协议、Telnet协议、RDP协议。 策略列表1）选择【访问控制-策略列表】菜单，进入策略查询列表的页面，查看当前存在的策略。图87 访问策略查询界面F 可根据关键字模糊搜索，点击“更多搜索条件”，打开更多查询条件。F 可编辑、删除策略，系统默认的策略不可以删除、修改。F 可通过点击列表中各个列名，对列表进行排序 新增策略策略规则定义了，访问时间范围、字符命令黑名单、字符命令黑名单动作控制。1）选择【访问控制-新增策略】菜单，进入策略添加页面.图88 新增策略图89 高级选项F 默认只需要策略名称、时间模式及可选协议，点击“高级选项”按钮，可设置更多信息。F 时间模式，用于设置可访问该资源的具体时间，包含以下四种模式：月/周/日期/全通,默认时间全通。月：允许可访问该资源的每月中的某一时间段，如10日20日。周：允许可访问该资源的一周中的某几天或某一天，如周一周日。日期：允许可访问该资源的任意时间段，如2010-7-22 2010-8-30。时间：允许可访问该资源的一天中的时间段，格式为：hh:mm-hh:mm，如：9:00-18:00。F 可选协议，有字符（SSH/TELNET/RLOGIN）、图形（RDP/VNC/X11）、文件传输(FTP/SFTP)及web(HTTP/HTTPS)。F 字符命令黑名单，针对命令交互方式的协议，如SSH、telnet协议，设置黑名单命令。F 针对字符命令黑名单，设置动作，拒绝命令执行或阻断当前会话。F 针对FTP/SFTP协议，如果选中“备份”，系统将备份上传/下载的文件，可下载保存。2）点击“提交表单”，即可完成策略设置。3.3.5 密钥维护 密码管理修改资源账号密码，定期发送“资源账号密码”邮件给系统管理员。1)选择【访问策略-密码管理】菜单，查看资源账号密码.图90 资源密码管理F 可修改密码，特殊账号密码不可修改。F 点击右上角【导出excel】按钮，把服务器账号保存为excel表格，打开文件时需要输入管理员密码才可以打开文件。F 点击右上角【导出PDF】按钮，把服务器账号保存为PDF文件导出，打开文件时需要输入管理员密码才可以打开文件。2）在图中，点击【修改密码】按钮，修改密码，如果资源设置了密码策略，修改密码时必须按照密码策略设置密码。图91 密码修改 新增策略添加资源密码策略。1)选择【访问控制新增策略】菜单，打开新增密码策略界面。图92 新增密码策略F 密码策略，设置资源账号密码的最小长度、最大长度及密码复杂度（密码内容）。F 修改模式和密码周期，修改模式分四种模式：按周期、按月、按周、按天，如选择“按