网御网络审计系统V3.0(运维安全管控型)-管理员使用手册-346系列-v1.0-20141219更新

网御网络审计系统（运维安全管控型）管理员使用手册网御网络审计系统V3.0（运维安全管控型）管理员使用手册北京网御星云信息技术有限公司文档修订记录版本号日期修订者修订说明V1.0.12014-08-13李彬创建V1.0.22014-09-25李彬修订产品截图和说明V1.0.32014-12-19李彬修订产品截图和说明目录1概述61.1关于本手册61.2格式约定62初始化配置72.1完成配置向导72.1.1设置密码策略72.1.2设置管理员账号和密码82.1.3配置主机网络参数92.1.4导入授权文件102.1.5确认配置信息112.1.6向导配置完成122.2管理员登录132.3配置认证方式152.4添加管理员162.5系统密码策略173用户管理183.1添加用户183.2编辑用户属性203.3用户其它操作223.4用户组织机构234资源管理244.1添加资源244.2编辑主机274.3主机其它操作284.4资源组294.5资源分类294.6资源系统类型304.7资源AD域315策略管理325.1访问策略325.2命令策略355.3集合设定375.3.1时间集合375.3.2IP集合385.3.3命令集合396审计管理406.1实时监控406.1.1会话监控406.1.2实时监控406.2日志查询416.2.1管理日志426.2.2登录日志446.2.3审计日志456.3审计报表486.3.1报表模板486.3.2自定义报表507密码管理537.1密码策略537.2自动改密计划537.3自动改密结果557.4下载密码列表557.5手动改密568系统管理578.1系统信息578.1.1授权信息578.1.2系统升级588.1.3配置备份598.1.4数据备份608.1.5电源管理608.2系统选项618.2.1高可用性618.2.2格尔认证628.2.3认证源648.2.4网络配置648.2.5时间配置658.2.6超时配置668.3接口配置678.3.1Syslog678.3.2短信678.3.3邮件688.3.4SNMP698.3.5资源同步接口708.4设备管理708.4.1设备管理708.4.2设备运行状态718.5应用发布728.5.1应用工具728.5.2发布管理748.6权限管理758.6.1管理员759配置实例799.1添加主机799.2添加用户819.3添加访问策略829.4运维用户登录841 概述1.1 关于本手册网御网络审计系统（运维安全管控型）（以下简称网御LA-OS），是网御星云综合内控系列产品之一。网御LA-OS是针对业务环境下的用户运维操作进行控制和审计的合规性管控系统。它通过对自然人身份以及资源、资源账号的集中管理建立“自然人资源资源账号”对应关系，实现自然人对资源的统一授权，同时，对授权人员的运维操作进行记录、分析、展现，以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放，加强内部业务操作行为监管、避免核心资产（服务器、网络设备、安全设备等）损失、保障业务系统的正常运营。本手册详细介绍了网御LA-OS包括初始化配置、用户管理、资源管理、策略管理、审计管理、密码管理、系统管理各功能模块的使用方法，用户可参考本手册，对网御LA-OS进行各种运维管理和审计管理。1.2 格式约定l 本文中所有图例均为实际拍摄或屏幕截取l 菜单名称和按钮名称的表示方法：【菜单名称】，【按钮名称】l 图标表示的含义：系统管理、配置的重要说明、提示信息。：相关功能配置的举例说明信息；2 初始化配置网御LA-OS系统通过Web浏览器登录进行管理（默认地址为https:/LA-OS-Server的管理IP地址），初始化时需手动设置一个超级管理员账号、密码（自行设定），网御LA-OS目前支持的浏览器包括Internet Explorer8以上的版本和火狐浏览器。2.1 完成配置向导首次登录后，系统自动进入初始化的配置向导界面。全过程操作说明：1、 密码策略的配置；2、 超级管理员账号及密码的配置；3、 主机网络的配置；4、 导入授权文件；5、 确认配置信息；6、 向导配置完成。2.1.1 设置密码策略设置密码策略，如图2.1所示：图2.1设置密码策略操作说明：1、 认证方式的选择；2、 设置最小密码长度；3、 配置密码复杂度；4、 配置密码周期；5、 配置历史对比；6、 配置自动锁定；7、 配置自动解锁；填写完成后点击“下一步”。2.1.2 设置管理员账号和密码设置密码策略后，点击下一步，配置管理员账号和密码，如图2.2所示：图2.2配置管理员账号和密码操作说明：1、 超级管理员姓名填写；2、 超级管理员账号填写（务必请牢记）；3、 超级管理员密码填写（务必请牢记）；4、 管理员确认密码与超级管理员密码一致；填写完成后点击“下一步”。2.1.3 配置主机网络参数设置管理员账号后，点击下一步，配置主机网络参数，如图2.3所示：图2.3配置管理员账号和密码操作说明：1. 填写IP地址（做好记录）；2. 填写子网掩码（做好记录）；填写完成后点击“下一步”。2.1.4 导入授权文件配置完主机网络后，点击下一步进行授权文件的导入，如图2.4-2.5所示：图2.4导入前选择授权文件图2.5导入后明细显示操作说明：1. 点击“导入授权文件”选择授权文件进行导入；2. 导入后可看到“授权文件明细”。2.1.5 确认配置信息导入授权文件后，点击下一步进行配置信息确认，确认无误后，点击下一步完成，如图2.6所示：图2.6确认配置信息操作说明：1. 详细确认所有配置信息的准确性；2. 牢记重要配置信息；确认无误后，点击下一步。2.1.6 向导配置完成配置信息确认无误后，点击完成，结束配置向导，界面提示“正在重启网卡，请耐心等待”，等待10秒后刷新界面即可进入登录页面，如图2.7-2.8所示：图2.7完成配置向导图2.8 完成配置重启网卡2.2 管理员登录打开浏览器，输入https:/LA-OS-Server的管理IP地址，如图2.9所示：图2.9 登录界面输入管理员用户名、密码和验证码即可登录管理界面，登录后可看到监控界面，如图2.10所示：图2.10 监控界面操作说明：1、 网御LA-OS提供浏览器支持，用户可以通过Internet Explorer8以上的版本和火狐浏览器进行登录访问；2、 用户登陆界面提供“下载工具”通道，包括JRE软件下载、证书下载和用户手册下载，点击将进入相应的下载界面。2.3 配置认证方式导航条上选择【系统管理】【系统选项】【认证源】【添加】，可配置认证方式，也可不用配置，系统内部默认有认证模式如图2.11所示：图2.11 配置认证方式n 类型选择： Radius、LDAP、WindowsAD域；操作说明：1、 系统支持本地认证和其它认证方式；其它所有管理员和运维用户均与选择的认证方式相关联；2、 系统默认通过系统自身的账号管理系统进行身份认证；3、 Radius：通过Radius协议由第三方认证服务器对系统用户进行身份认证；4、 LDAP：通过轻量级目录访问协议由第三方认证服务器对系统用户进行身份认证在下拉菜单中可选择openldap和ad域的ldap方式的认证；5、 WindowsAD域：通过Windows AD域服务器对系统用户进行身份认证。2.4 添加管理员重新以超级管理员的身份登录系统，进入日常管理界面，选择【系统管理】【权限管理】【管理员】，如图2.12所示：详细操作请参见8.6.1章节。图2.12 超级管理员操作界面操作说明：1、 默认管理员权限共七种：用户管理，资源管理，策略管理、审计管理，报表管理、密码管理、系统管理；2、 管理员角色可以多选，即一个用户可以兼任多个管理角色；3、 用户管理：用户、用户组的增删改管理；4、 资源管理：资源、资源分类、资源类型的增删改管理；5、 策略管理：运维用户、主机及相应的授权策略管理；6、 审计管理：审计运维用户的操作，包括实时监控、记录检索、审计信息等功能；7、 报表管理：报表的生成和下载，包括会话报表、异常会话报表、异常操作报表、自定义报表等；8、 密码管理：主机的密码安全管理，包括密码策略、自动改密、手工改密以及管理密码文件；9、 系统管理：管理网御LA-OS的基本配置，包括系统监控、管理员配置及其他基本配置信息。2.5 系统密码策略导航条上选择【密码管理】【密码策略】可配置与密码相关的安全策略，如图2.13所示：图2.13密码策略配置n 密码最小长度：限定所有网御LA-OS账户的密码最小长度 n 密码复杂度：勾选可设置密码必须包含大小写字母、数字或符号n 密码周期：若启用，可设置密码过期时间和提醒时间，默认为90天密码过期n 历史对比：若启用，可设置密码对比次数，默认为3次n 登录锁定：若启用，在规定的时间内输入密码错误超过设置的次数，则将帐号锁定，并设置自动解锁时间3 用户管理3.1 添加用户选择导航条上【用户管理】，查看当前用户列表，并可执行【添加】操作；如图3.1所示：图3.1 添加用户-基础信息1、 导航至【用户管理】，可在用户列表界面查看到用户名称、状态、组织机构、真实姓名、主机、邮箱等信息。2、 点击【添加】进入用户属性编辑界面，输入用户基础信息n 名称；用户名支持英文字母、数字、下划线、小数点输入；此项为必填项n 启用/禁用：更改用户账号的启停状态；新账号默认状态为启用n 密码：密码设置可选择手工输入或由系统自动生成密码；此项为必填项n 真实姓名；输入用户真实姓名；姓名支持中英名字母输入；此项为必填项n 手机：输入用户手机号码；此类信息为可选择输入项n 邮箱：输入用户邮箱地址；此类信息为可选择输入项n 开始时间&结束时间：指定用户登录的时间范围；此类信息为可选择输入项n 登录限制：包括客户端IP地址或所在网段（网段的格式例如：/24）和MAC地址（MAC地址的输入格式例如：00-1F-16-29-F1-15）的限制n 高级属性：可勾选不能修改密码、密码永不过期、密码已过期n 备注：可在此对该用户进行描述；此项为可选择输入项3、 强认证n USB令牌认证：根据需要选择运维用户登录时是否使用USB令牌认证（需要插上已通过令牌重置工具初始化的USB令牌），如图3.2所示n 令牌状态：显示令牌状态n 令牌密码：用于此运维用户登录进行令牌认证时n 下载令牌重置工具：令牌重置工具用于重新初始化已与用户绑定的USB令牌，重新初始化后的USB令牌可以再次与需要令牌认证的用户进行绑定图3.2 添加用户-强认证属性n 应用工具限制：用于有应用发布功能时，可选择限制运维用户使用运维工具的种类（如图3.3所示）。图3.3 添加用户-应用工具限制4、 点击【确定】完成用户账号添加。重要说明：1、 手机输入需符合手机号码位长及格式要求；Email信息输入需要符合邮件格式要求；2、 密码设置需要符合密码管理密码策略中已定义的密码长度及复杂度要求；3、 启用账号有效期后，过期账号将会自动锁定；4、 强认证根据需要选择用户登录是否使用USB令牌认证。3.2 编辑用户属性选择导航条上【用户管理】，查看当前用户列表，在对应的用户名后，点击【属性】可对已经存在的用户信息进行修改，如图3.3所示：图3.3 编辑用户属性-基础信息 在强认证属性中对用户增加使用USB令牌认证，如图3.4所示，对已使用USB令牌认证的用户解除令牌绑定，如图3.5所示：图3.4 编辑用户属性-强认证图3.5 编辑用户属性-强认证2重要说明：1、 编辑用户基本信息，如密码、真实姓名、手机、邮箱、描述等；2、 修改密码：重新设置用户密码；3、 启用有效期：修改账号有效期，不启用则为永久账号；4、 在强认证中，配置USB令牌认证的相关信息；5、 在应用工具限制中，对运维用户可使用的运维工具进行限制。3.3 用户其它操作选择导航条上【用户管理】，查看当前用户列表；如图3.6所示：图3.6 用户列表n 删除：从用户列表中勾选需要删除的用户，点击【删除】可从系统中删除该运维用户n 启用：从用户列表中勾选需要禁用的用户，点击【禁用】可将此用户禁用n 禁用：从用户列表中勾选需要启用的用户，点击【启用】可将此用户启用n 移动：从用户列表中勾选需要移动到其它组织机构的用户，点击【移动】，选择需要移动到的组织机构名n 全部导出：按系统定义的格式导出全部用户列表n 导出当前：按系统定义的格式导出选中的用户列表3.4 用户组织机构选择导航条上【用户管理】；查看当前用户组织机构列表，并可执行用户组织机构管理操作；如图3.7所示：图3.7用户组织机构管理鼠标指针移动到资源组名称，显示操作按钮：n 添加：在组织机构或已建立的组织机构名处，点击，即成功添加相应组织机构n 修改：在已建立的组织机构名处，点击，即可修改组织机构的负责人、电话和备注，名称为不可修改项n 删除：在对应的组织机构名处，点击，即成功删除相应组织机构n 导出：在资源组或已建立的组织机构名处，点击，即可将组织机构信息导出4 资源管理4.1 添加资源选择导航条上【资源管理】【资源】；查看当前资源列表，并可执行【添加】操作；如图4.1所示：图4.1添加资源1、 资源列表查看n 列表查看：名称、资源组、资源分类、资源系统类型、IP地址、操作2、 输入资源属性基本信息：n 名称：输入资源名至资源属性；资源名支持中英文、数字及字符输入；此项为必填项n 状态：在下拉菜单中选择启用或禁用资源；此项为必选项n 资源分类：在下拉菜单中选择资源类型；此项为必选项n 资源系统类型：在下拉菜单中选择资源系统类型；此项为必选项n IP地址：输入资源（设备）IP地址；此项为必填项及可填多个IP地址n 编号：输入资源（设备）的编号n 所有者：输入资源（设备）的所有者n 负责人：输入资源（设备）的负责人n 备注：对该主机的功能、特性进行说明3、 添加资源服务信息；如图4.2所示：图4.2添加资源服务n 名称：输入资源服务属性；服务名支持中英文、数字及字符输入；此项为必填项n 类型：在下拉菜单中选择服务类型；此项为必选项n 端口：输入该服务的端口号；此项为必填项n 备注：填写添加服务的备注信息4、 添加资源系统账号信息；如图4.3所示：图4.3添加资源账号n 名称：输入资源账号；此项为必填项，如账号为特权账号，需勾选特权账号n 密码及密码确认：输入该账号对应密码及密码确认，如密码为空则不用输入n 资源AD域：如资源为windows系统，并加入了域，需要对此资源的账号改密时，需要选择资源所属域（域相关的参数设置请参加本手册4.7章节）n 服务授权：勾选该账号连接本资源的服务类型，可多选n 参数：填写连接登录所需参数，如oracle实例名，登录角色选择normal、sysdba或sysoper；n 备注：填写该资源账号的备注信息5、 点击【添加】完成全部主机信息录入。重要说明：1、 通常情况下，用户只需要配置资源IP、资源名、资源类型、服务类型及资源账号信息即可；2、 账号切换命令、密码输入提示、所有者、负责人、编号、备注为可选择输入项，如无需要可不用填写；3、 资源分类、资源系统类型、资源AD域需要在资源管理资源分类、资源管理资源系统类型、资源管理资源AD域中先行定义；4、 用户可以对协议默认端口号进行修改；5、 列表中禁用资源用红色显示4.2 编辑主机选择导航条上【资源管理】【资源】；查看当前资源列表，在对应的资源名后，点击【属性】、【服务】、【账号】可分别对已经存在的主机信息进行修改，如图4.4-4.6所示：图4.4编辑资源属性图4.5编辑资源服务图4.6编辑资源账号1、 编辑资源属性基础信息。如名称、资源分类、资源系统类型、IP地址、账号切换命令 & 密码输入提示等2、 编辑资源服务信息，可对此资源的服务进行添加、编辑、删除等操作3、 编辑资源账号信息，可以对本机账号进行添加、编辑、删除等操作4.3 主机其它操作选择导航条上【资源管理】【资源】；查看当前资源列表，勾选资源并可执行【删除】操作；如图4.7所示：图4.7资源删除n 删除：在勾选对应的资源名后，点击【删除】可从系统中删除该资源；可进行多个资源勾选，进行批量删除n 启用禁用：在勾选对应的资源名后，点击【禁用】可将此资源停止使用，点击【启用】可将此资源启用，默认资源是启用状态n 移动：在勾选对应的资源名后，点击【移动】可将此资源移动到其他资源组内4.4 资源组选择导航条上【资源管理】【资源】；查看当前资源列表，在资源列表左边，可查看当前资源组，并可执行资源组管理操作；如图4.8所示：图4.8 管理资源组鼠标指针移动到资源组名称，显示操作按钮：n 添加：在资源处，点击，即弹出添加资源组信息框，输入需要新增的资源组信息n 修改：在已建立的资源组名处，点击，即可修改资源组名称和备注n 删除：在对应的资源组名处，点击，即成功删除相应资源组4.5 资源分类选择导航条上【资源管理】【资源分类】，在资源分类列表中会显示系统默认的和已添加的资源分类。默认资源分类为主机、数据库、安全设备和网络设备四种，并且不允许删除。另外可通过勾选资源分类名称，对自定义资源分类进行删除操作，点击资源分类属性，可对资源分类进行编辑。资源分类列表如下图4.9所示：图4.9 资源分类列表在资源分类界面点击【添加】，进入添加资源分类页面，如下图4.10所示：图4.10 添加资源分类n 名称：添加名称。必填项，且不能重复。仅支持英文字母、数字、下划线、小数点。n 备注：该资源分类的描述说明。4.6 资源系统类型选择导航条上【资源管理】【资源系统类型】，在资源系统类型列表中会显示系统默认的和已添加的资源系统类型，默认资源类型有Linux、Windows、AIX、HP-UX、Cisco和Huawei六种，并且不允许删除。另外通过勾选资源类型名称，可对自定义资源系统类型进行删除操作，点击资源系统属性，可对资源系统进行编辑。资源系统列表如下图4.11所示：图4.11 资源系统列表在资源系统类型界面点击【添加】，进入添加资源系统页面，如下图4.12所示：图4.12 添加资源系统类型n 名称：资源系统名称。必填项，且不能重复。仅支持英文字母、数字、下划线、小数点n 账号切换命令：选填项n 密码输入提示：选填项n 备注：该资源系统类型的描述说明4.7 资源AD域选择导航条上【资源管理】【资源AD域】，如资源为windows系统，并加入了域，需要对此资源的登录账号改密时，可在此提前设置好资源AD域相关信息，在添加资源的服务账号时，可直接选择此处设置的域名。在主机AD域列表中会显示已添加的AD域清单，列表显示AD域的域名。可从列表直接删除AD域。如图4.13所示：图4.13 资源AD域列表n 添加AD域：点击【添加资源AD域】，在弹出窗口输入域名、域管理员名、密码和域控制器IP地址，点击【确定】，即可完成AD域的添加n 编辑AD域：在清单中单击已有的域名的属性，可进行修改，修改完成之后点击【确定】，即可完成AD域的编辑n 删除AD域：在清单中勾选已有的域名，再点击【删除资源AD域】，即可完成AD域的删除5 策略管理策略管理主要配置运维用户的访问授权及指令授权。访问策略授权和指令操作授权均可配置黑白名单。授权中使用到的指令集合、IP集合和时间集合需要预先定义。5.1 访问策略选择导航条上【策略管理】【访问策略】，授权运维用户访问运维主机，需要配置相应授权。访问策略授权的配置方式采用向导式。访问授权策略页面如图5.1所示：图5.1 访问授权策略列表在访问授权策略列表中显示了已配置的策略。点击【添加】，进入访问策略授权向导如图5.2所示：图5.2 添加访问策略n 名称：输入访问策略名；资源名支持中英文、数字及字符输入；此项为必填项n 高级属性：选择是否启用以下功能：RDP剪切板、RDP磁盘映射n 限制IP：在启用限制IP功能后，在IP设置范围内的运维用户能访问堡垒机n 限制时间：启用限制时间功能后，限制运维用户只能在指定时间范围内能访问堡垒机完成基础信息配置后，点击【下一步】进入绑定用户页面如图5.3所示：图5.3绑定用户页面选择绑定服务，点击【下一步】如图5.4所示：图5.4绑定服务选择绑定账号，可点击连接参数查看账号参数，点击【确定】完成一条访问策略配置，如图5.5所示：图5.5绑定账号5.2 命令策略选择导航条上【策略管理】【命令策略】，指令操作授权主要配置运维用户的指令黑白名单：在命令策略界面点击【添加】，进入命令策略配置向导如图5.6所示：图5.6 命令策略-基本信息基本信息填写名称、匹配模式、审计动作、告警方式、命令集合、操作命令和操作对象等，n 名称：输入审计策略名；资源名支持中英文、数字及字符输入；此项为必填项n 匹配模式：在下拉菜单选择包含或不包含；此项为必选项n 审计动作：在下拉菜单选择允许执行、忽略命令、阻断会话或二次审批；此项为必选项n 告警方式：包括Syslog、短信、邮件、SNMP，相关设置需由系统管理员配置，参见8.2.6和8.3章节n 命令集合：选择在命令集合中设置的命令集n 操作&对象：输入需要匹配的运维操作命令和对象填写完基础信息后，点击【下一步】如图5.7所示：图5.7 命令策略绑定用户绑定用户，勾选上用户名称将这条审计策略授权到指定用户，点击【下一步】如图5.8所示：图5.8命令策略绑定服务绑定服务，勾选上运维服务名称将审计策略授权到指定服务，点击【确定】完成一条审计策略的配置。操作说明：1、策略命令配置和执行命令拒绝为黑名单，一旦运维用户使用命令列表中的命令，将会触发响应，响应方式在审计动作配置，通常设置为阻断命令。2、策略命令配置和执行命令允许为白名单，运维用户使用命令列表中的命令，将会触发响应，响应方式在审计动作配置，通常设置为忽略命令。3、输入多个命令时。每一行只能输入一个命令。5.3 集合设定5.3.1 时间集合选择导航条上【策略管理】【集合设定】【时间集合】，查看当前时间集合列表，点击【添加时间集合】如图5.9所示：图5.9添加时间集合n 名称：该时间集合的名称，可以使用字母、数字和中文n 区间&开始时间&结束时间：配置时间范围，可输入多个时间范围，每行一个n 备注：该时间集合的说明文字重要说明：1、 使用【添加】可以配置多个时间范围。时间范围的数量无限制2、 设置了时间集合，在添加访问策略时，如需限制访问时间时就可以直接选择提前设置的时间集合5.3.2 IP集合选择导航条上【策略管理】【集合设定】【IP集合】，查看当前命令集合列表，点击【添加IP集合】如图5.10所示：图5.10添加IP集合n 名称：该IP集合的名称，可以使用字母、数字和中文n 起始IP&终止IP&显示信息：该IP集合的IP地址段，可输入多个IP地址段，每行一个n 备注：该IP集合的说明文字重要说明：1、 设置了IP集合，在添加访问策略时，如需限制访问的源IP的地址范围时就可以直接选择提前设置的IP集合5.3.3 命令集合选择导航条上【策略管理】【集合设定】【命令集合】，查看当前命令集合列表，点击【添加命令集合】如图5.11所示：图5.11添加命令集合n 名称：该指令集合的名称，可以使用字母、数字和中文n 操作&对象：指令集合的内容，可以输入多个指令，每行一个，对象可为空n 备注：该指令集合的说明文字n 从文件导入：命令集合支持导入功能，可提前在文档中按照要求的格式设置好需要导入的命令重要说明：1、 设置了命令集合，在添加命令策略时，可直接选择提前设置的命令集合6 审计管理6.1 实时监控6.1.1 会话监控选择导航条上【审计管理】【实时监控】【会话监控】，如图6.1所示：图6.1 会话监控n 会话监控：对已建立的会话进行实时监控，可查看到用户名、资源、服务、账号、开始时间等信息。6.1.2 实时监控选择导航条上【运维管理】【实时监控】【会话监控】，如图6.2所示：图6.2 会话监控n 实时监控：对会话监控列表中的会话条目选择实时监控，可对正在进行的会话以图形的方式实时监控，如图6.2所示。图6.3 强制结束会话n 强制结束会话：在会话监控列表选择需要断开的会话，再点击【强制结束会话】，可断开正在进行的会话，如图6.3所示。6.2 日志查询网御LA-OS拥有强大的日志查询功能，同时自带了大量的审计报表模板，让用户方便的制作各类报表。6.2.1 管理日志管理日志主要对管理员在网御网络审计系统上所做的操作进行审计，选择导航条上【运维管理】【日志查询】【管理日志】【设置查询条件】，页面如图6.4-6.6所示：图6.4 管理日志查询-基础限制图6.5 管理日志查询-运维用户限制图6.6 管理日志查询-管理员限制管理日志查询结果如图6.7所示：图 6.7 管理日志查询结果重要说明：1、 设置查询条件中可根据操作时间、操作状态、日志类型、操作名称以及指定用户来设定查询；2、 管理日志查询结果可导出为CSV格式文件。6.2.2 登录日志登录日志主要是对用户登录或注销登录网御网络审计系统的行为进行记录，选择导航条上【运维管理】【日志查询】【审计日志】【设置查询条件】，如图6.7-6.9所示：图6.7 登录日志查询-基础限制图6.8 登录日志查询-运维用户限制图6.9 登录日志查询-管理员限制登录日志查询结果如图6.10所示：图6.10 登录日志查询结果重要说明：1、 设置查询条件中可根据操作时间、操作状态、操作名称以及指定用户来设定查询；2、 登录日志查询结果可导出为CSV格式文件。6.2.3 审计日志审计日志主要是对用户操作目标设备进行操作的审计，选择导航条上【运维管理】【日志查询】【审计日志】【设置查询条件】，如图6.11-6.14所示：图 6.11审计日志查询-基础限制图 6.12 审计日志查询-服务限制图 6.13 审计日志查询-用户限制图 6.14 审计日志查询-命令策略限制审计日志查询结果，如图6.15所示：图 6.15 审计日志查询结果图 6.16 审计日志-命令详情和回放重要说明：1、 审计日志查询可根据时间限制、审计动作、服务IP地址、用户IP地址、账号限制、关键字限制等基础查询条件设置查询；2、 审计日志查询还可选定用户及主机服务等设置查询；3、 查询结果可先试详情，点击一条日志前的+号或者选择上方的“显示详情”即可展开该会话的详细信息；4、 日志结果可导出为CSV格式文件；5、 双击审计日志条目能查看命令详情和会话回放（如图6.16所示）。6.3 审计报表6.3.1 报表模板选择导航条上【审计管理】【审计报表】【报表模版】，网御LA-OS内置了大量的报表模板，可以方便的生成各种统计或明细报表。内置的报表模板分为：默认会话报表模版、默认操作报表模版、默认异常会话报表模版和默认异常操作报表模版，用户仅需在对应的报表模板点击“生成报表”就可按照需要的时间自动生成报表，如图6.17所示：图 6.17 报表模版在【审计管理】【审计报表】【报表模板】列表界面，点击【生成报表】即可设置创建报表，如图6.18-6.19所示：图6.18 创建报表-基本信息图6.19 创建报表-详细配置在【审计管理】【审计报表】【报表文件】界面中可看见已生成的报表和计划任务，计划任务是指周期性地生成报表，如图6.20-6.21所示：图6.20已生成报表列表图 6.21 计划任务报表重要说明：报表生成流程1、 选择导航条上【审计管理】【审计报表】【报表模版】2、 在报表模板分类列表里选择需要操作的分类3、 在对应的报表模板项，点击“生成报表”，弹出“创建报表”向导4、 在创建报表界面填写基本信息和详细配置后，点击“生成报表”5、 在【审计管理】【审计报表】【报表文件】【已生成报表】里，可查看到刚才生成的报表6.3.2 自定义报表选择导航条上【审计管理】【审计报表】【报表模板】，用户也可以自定义报表模板，如图6.23所示：图6.23自定义报表新增模板，如图6.24-6.27所示：图6.24 新建模版-基本信息图6.25 新建模版-报表条件图6.26 新建模版-基础报表图6.27 新建模版-完成设置重要说明：1、 网御LA-OS选择在每天的空闲时间制作自动报表。如选择【每天】，则在每天凌晨00：00之后开始制作上一天的自动报表；如选择【每周】，则在每周一的凌晨00：00之后开始制作上一周的自动报表；如选择【每月】，则在每月1日的凌晨00：00之后开始制作上一月的自动报表。7 密码管理7.1 密码策略选择导航条上【密码管理】【密码策略】，可配置与密码相关的安全策略，详细说明参见2.5章节。页面如图7.1所示：图7.1 密码策略7.2 自动改密计划选择导航条上【密码管理】【自动改密计划】，点击【添加】可配置定期自动修改运维主机的用户密码。如图7.2所示：图7.2 自动改密计划n 计划名称：必填项，不能使用特殊字符，可以使用大小写字母、数字。n 首次执行时间：第一次自动改密的时间。n 执行周期：配置定期修改密码的时间。n 密码策略：生成新密码的复杂度要求。可以使用随机密码，也可以手动指定。填写密码名称、选择首次执行时间、执行周期、密码策略，点击改密对象配置中的配置主机，选择改密计划发送的对象，如图7.3所示:图7.3 改密对象勾选改密对象，点击【确定】完成。重要说明：1、 使用改密功能时，必须配置一个超级管理员账号为特权账号，支持对普通账号进行改密；2、 如果主机为windows，首先要求windows主机必须开启telnet服务，其次必须在网御LA-OS管理界面中，对该windows主机配置telnet服务并绑定超级管理员账号和需要进行改密的普通用户账号，超级管理员账号设置为特权账号；3、 windows类型设备RPC改密机制：改域中的账号的密码的前提是对应的域名必须配置好对应的域控IP地址，在主机管理中的主机AD域管理里有对应的域名的域控制器的IP地址的配置，同一域名可以对应多个IP，但是是在一个框中输入以分号分隔，这个并非是指一个域名可以对应多个域控服务器，而是指主域控服务器以及备域控服务器，我们在确定某个域是哪个域控服务器的时候是先从第一个IP上去确定的，如果第一个IP不能连接则尝试分号分隔的第二个IP，直到能连通为止；不过要注意的是域用户的改密实质上是改域控服务器中的该账号的密码，意味着主机上凡是配了该域的该账号的密码均被修改，不是只改了所改的那台主机上的该账号的密码；4、 主机类型为linux、unix 只支持telnet、ssh、rlogin协议的帐号修改，root帐号必须勾选为特权帐号；4、Cisco、H3C修改帐号必须有一个超级管理员和一个普通用户；7.3 自动改密结果选择导航条上【密码管理】【自动改密结果】，查看自动改密的结果，如图7.4所示：图7.4 自动改密结果重要说明：自动改密结果会通过邮件的方式发送到创建该自动改密计划的管理员，前提条件是该管理员基础信息中已配置了邮箱地址。7.4 下载密码列表选择导航条上【密码管理】【下载密码列表】，网御LA-OS提供了下载运维主机当前密码的功能。经过自动改密后，管理员可能需要一份新的账号密码列表，可从这里直接下载，如图7.5所示：图7.5 下载密码列表重要说明：密码文件需要具有密码管理权限的管理员使用网御LA-OS的密码查看工具查看，密码查看工具的下载界面在【密码管理】【下载密码列表】界面，如图7.5所示。7.5 手动改密选择导航条上【密码管理】【手动改密】，假如运维主机的密码经过手工修改，并且忘记了密码的情况下，可以使用手工改密功能，如图7.6所示：图图7.6 手动改密重要说明：1、 手工改密不需要原密码。2、 使用改密功能时，必须配置一个超级管理员账号为特权账号，支持对普通账号进行改密；3、 如果主机为windows，首先要求windows主机必须开启telnet服务，其次必须在网御LA-OS管理界面中，对该windows主机配置telnet服务并绑定超级管理员账号和需要进行改密的普通用户账号，超级管理员账号设置为特权账号。8 系统管理网御LA-OS运维安全系统管理员，主要负责管理网御LA-OS的基本配置。包括网络及全局策略配置、系统时间管理、配置备份管理、管理员配置等。网御LA-OS超级管理员在完成配置向导时，会添加一个系统管理员用户。通过该用户登录网御LA-OS实施系统基本配置。8.1 系统信息8.1.1 授权信息导航条上选择【系统管理】【系统信息】【授权信息】可查看网御LA-OS系统的授权信息，如图8.1所示：图8.1 授权信息点击更新授权文件可对授权信息进行更新获取一次授权。8.1.2 系统升级导航条上选择【系统管理】【系统信息】【系统升级】可对网御LA-OS进行升级，如图8.2-8.3所示：图8.2 系统升级图8.3 安装升级包操作说明：1、 升级包获取请联系厂商人员进行获取；2、 管理员上传升级包后，请按描述选择恰当的时段进行升级，如升级包描述需要升级后重启设备，那么请管理员选择用户使用率较少的时段进行升级。8.1.3 配置备份导航条上选择【系统管理】【系统信息】【配置备份】可对系统配置进行备份或恢复，如图8.4所示：图8.4 配置备份8.1.4 数据备份导航条上选择【系统管理】【系统信息】【数据备份】可对系统的所有数据（包括配置信息和日志信息）进行备份，如图8.5所示：图8.5 数据备份8.1.5 电源管理导航条上选择【系统管理】【系统信息】【电源管理】可对系统进行重启和关机操作，如图8.6所示：图8.6 电源管理8.2 系统选项8.2.1 高可用性导航条上选择【系统管理】【系统选项】【高可用性】可对热备及浮动地址进行配置，如图8.7所示：图8.7 高可用性操作说明：1、 事先定义好热备的主机和备机，确定热备功能所需的浮动IP地址；2、 在主机的高可用性配置界面，选择“启用”热备功能；选择热备角色为“主机”；配置浮动IP地址（注意子网掩码格式：例如03/16），选择浮动IP相关联的网卡；输入配对号（配对号的范围为：1-254，必须保持主备机配对号一致）；输入备机IP地址，点“确定”保存；3、 在备机的高可用性配置界面，选择“启用”热备功能；选择热备角色为“备机”；输入浮动IP地址（注意子网掩码格式：例如03/16）；选择浮动IP相关联的网卡；输入主机IP地址，根据需要勾选“同步配置”（勾选后点击“确定”就立即同步主机配置），点“确定”保存；4、 热备功能默认备机去同步主机的配置，同步周期默认为每个小时同步一次。5、 热备配置成功后，就能通过浮动IP访问系统：https:/浮动IP地址（例如：03）。8.2.2 格尔认证支持格尔安全网关传递cookie 形式的数字证书认证（具体实现方式请参见格尔公司提供的“格尔安全认证网关的Web系统开发规范”）。导航条上选择【系统管理】【系统选项】【格尔认证】，勾选“启用”格尔认证，认证网关URL地址根据实际环境从格尔厂商处获取，如图8.8所示进行设置。需要设置为通过格尔数字证书认证登录的主账号，在主账号属性中的“格尔认证标识”栏输入格尔数字证书主题CN项值（如图8.9所示）。如管理员也需要设置为格尔数字证书认证登录，那么在管理员的属性中的“格尔认证标识”栏也需要输入与登录用户对应的格尔数字证书主题CN项值。按照以上说明设置好后，在登录页面可以看到“数字证书登录”选项（如图8.10所示），提前准备好需要用于登录的格尔数字证书，选择“数字证书登录”时会提示选择提前准备的证书（如图8.11所示），选择对应的证书，此时格尔安全网关会传递认证信息到网御网络审计系统，网御网络审计系统认证通过后就进入到使用界面。图8.8 格尔认证设置1图8.9 格尔认证设置2图8.10 格尔认证登录图8.11 格尔认证-选择数字证书8.2.3 认证源详细操作请参见2.3章节8.2.4 网络配置选择导航条上【系统管理】【系统选项】【网络配置】，如图8.12所示：图8.12网络配置n 网卡配置：设定或更改网卡的IP地址；n 路由配置：设定或更改路由信息；n 创建证书：首次登陆系统，需创建证书，将网御LA-OS系统IP地址与证书绑定。操作说明：1、 该网络配置页面与串口网络配置菜单相一致；2、 若设备为单机部署，网卡配置地址即是真实IP；8.2.5 时间配置选择导航条上【系统管理】【系统选项】【时间配置】：n 当前系统时间：可以手动修正当前系统时间，如图8.13所示；图 8.13 手动配置当前时间n 时间同步配置：启用时间同步服务器，进行时间同步配置，如图8.14所示：图8.14时间服务器配置n 服务器地址：可手工修改并保存时间同步地址；8.2.6 超时配置 选择导航条上【系统管理】【系统选项】【超时配置】，如图8.15所示：图8.15超时配置n 超时时间设置：默认为1800秒，最小超时时间为300秒，最大超时时间为86400秒；操作说明：1、 页面超时设置对所有管理员和运维用户均有效；2、 超时时间即指页面无任何操作的连续空闲时间，原理上是页面与系统后台程序没有任何交互的时间；8.3 接口配置8.3.1 Syslog选择导航条上【系统管理】【接口配置】【Syslog】，如图8.16所示：选择“启用”Syslog接口，配置接收告警信息的syslog服务器IP地址和端口。图8.16 Syslog接口配置8.3.2 短信选择导航条上【系统管理】【接口配置】【短信】，如图8.17所示：配置短信告警方式的相关参数：数据库类型、数据库服务器IP、端口、数据库登录账号、数据库登录密码、数据库名、短信SQL语句。图8.17 短信接口配置操作说明：1、 选择短信接口操作中间数据库的类型；2、 输入短信接口操作的数据库服务器IP地址，端口；3、 输入短信接口操作的数据库的登陆账号和密码；4、 根据短信sql语句模板，结合实际情况，填写短信接口的sql语句。8.3.3 邮件选择导航条上【系统管理】【接口配置】【邮件】，如图8.18所示：配置邮件接口信息：SMTP服务器、端口、是否匿名用户、账号、密码、是否启用SSL；可填入测试邮箱，测试下邮件接口环境是否正常。图8.18 邮件接口配置操作说明：1、 当选择邮件方式时，需要在邮件收件人地址栏输入告警信息收件人的邮箱地址，每行一个地址；8.3.4 SNMP选择导航条上【系统管理】【接口配置】【SNMP】，如图8.19所示： 配置SNMP接口信息：服务器IP、端口、trapOID、hostOID。图8.19 SNMP接口配置8.3.5 资源同步接口选择导航条上【系统管理】【接口配置】【资源同步接口】（如图8.20所示），如需和外部系统做资源同步，请参见“外部系统资源同步接口”文档。图8.20 资源