帕拉迪统一安全管理与综合审计系统初始配置手册.docx

统一安全管理与综合审计系统初始配置手册统一安全管理与综合审计系统初始配置手册2013杭州帕拉迪网络科技有限公司2013/01/01目录1.产品概述31.1产品简述31.2功能特点42系统快速上手步骤52.1登录访问52.2网络配置(超级用户权限)62.3系统分组管理(权限管理员权限)62.4添加系统用户(超级用户权限)72.4.1单个系统用户添加72.4.2批量系统用户添加82.5添加主机资产(资产管理员权限)92.5.1单个主机资产添加92.5.2批量主机资产添加112.6权限分配(权限管理员权限)132.7系统应用要求142.7.1根证书下载与安装142.7.2ActiveX控件安装172.7.3浏览器策略设置182.7.4JAVA程序下载与安装202.8运维操作212.8.1B/S运维管理方式字符终端运维管理图形终端运维管理FTP传输运维管理图形应用运维管理252.8.2C/S运维管理方式字符主机运维管理图形主机运维管理2图形应用运维管理292.9审计日志查看(审计管理员权限)312.10安全策略配置(超级用户权限)321. 产品概述1.1 产品简述统一安全管理与综合审计系统提供专业的“人机”交互运维平台和专业的“人机”交付解决方案。统一安全管理与综合审计系统不断以最新的、完整的运维安全防护解决之道为目标，产品致力于满足各行业对网络运维安全有较高的需求。系统主要用于各系统服务器、数据库服务器、业务应用系统、网络设备等主机设备的安全防护，对主机设备的运维操作、管理和运行更加可视、可控、可管理、可跟踪、可鉴定，解决主机设备的安全级别、安全威胁、信息泄露等问题，满足用户的运维管理的合规性、提高主机设备的可用性、降低运维管理的风险。1.2 功能特点统一安全管理与综合审计系统实现统一认证、统一管理、统一授权、统一审计。1、 统一认证集中管理的标志就是入口唯一，统一安全管理与综合审计系统是用户登录的唯一入口。统一认证实现了目标主机与运维人员的对应关系。2、 统一管理统一管理目标主机。统一管理系统用户。3、 统一授权统一对目标主机以及主机账号进行权限分配管理，从而做到运维权限的分配。统一进行控制策略管理：命令的自动执行、命令控制、访问控制、文件传输控制等各种安全策略。4、 统一审计统一审计实现了对用户进行的运维操作会话的全记录、无死角。保证了主机资产的运行安全与责任认定。对主机资产的审计包括：文件传输审计、字符终端审计、图形终端审计、图形应用审计。对系统本身的审计包括：改密审计、登录审计、配置行为审计。文件传输审计与字符终端审计提供了对日志记录的命令操作记录查看、屏幕的分页查看、日志回放、实时操作切断、时间段的查看、命令搜索等功能。支持文本文件和XLS文件下载查看。文件传输审计可以记录所传输的文件并提供下载。图形终端审计与图形应用审计提供了对日志记录的回放、实时的监控、命令操作记录查看、实时操作切断、时间段的查看、命令搜索等功能。2 系统快速上手步骤2.1 登录访问在浏览器地址栏中输入“https:/ 帕拉迪统一安全管理与综合审计系统管理IP”；弹出帕拉迪统一安全管理与综合审计系统的登录界面：在登录框中输入用户名称和密码。（缺省的超级用户名为：superman，密码为：pld123Q）。为了确保帕拉迪统一安全管理与综合审计系统的安全，系统管理员只有一个初始系统用户为superman，口令为pld123Q。程序启动以后管理员应及时修改口令，以免被他人非法登录。 如果superman密码多次输入错误了会被锁定；可以点击登录框下面弹出的“取回密码”，会弹出一个取回密码页面：默认的证件号为123456，密码为superman（证件号和密码都是出厂默认的，是可以改的，但是如果改了，用户就必须记住）。点击“取回密码”后，下面会显示一个密码（比较复杂），可以复制密码，然后粘贴到帕拉迪统一安全管理与综合审计系统的密码登录框中，点击“登录”即可。然后进入界面的“系统用户”先将superman的密码改掉。2.2 网络配置(超级用户权限)在【系统配置管理】中，点击【系统基本配置】：可以修改DNS、网关、管理口IP（eth0）等信息，点击“确定”后，再点击“应用”即可生效。2.3 系统分组管理(权限管理员权限)点击界面中的【组别管理】 或 点击【安全策略管理】中的【组别配置管理】。这2个地方都可以进入同一个设备组管理界面。设备组别的建立：点击图中的“设备组别”，可对设备组进行添加、修改、删除。设备组最好事先设置好，因为添加好设备组后，在添加主机资产和主机账号时可选择它的所属设备组别。如果事先没添加好设备组的话，在添加好主机资产后，又要重新给主机资产和主机账号进行授权分组。用户组别的建立：点击图中的“用户组别”，可对用户组进行添加、修改、删除。用户组和设备组最好事先设置好，因为添加好用户组后，在添加系统用户角色时可选择它的所属的用户组别和设备组别。如果事先没添加好用户组和设备组的话，在添加好系统用户后，又要重新给系统用户授权分组。2.4 添加系统用户(超级用户权限)2.4.1 单个系统用户添加点击界面中的【系统用户】 或 选择【安全策略管理】中的【系统用户管理】。这2个地方都可进入同一管理界面：添加、编辑、删除、扩展命令设置、批量改密。支持对系统用户的批量导入、批量导出功能（提供模板下载）。点击“添加”：里面除了“显示附加选项”外，其他都是必填和必选的。勾选“显示附加选项”后，弹出以下界面：系统用户添加说明：1、 用户状态在添加时，默认是未激活的，只有再编辑一次选择“活动”；或者在第一次登录时要求更改密码才可使用。多次输入密码错误，账号会被“锁定”。2、 有效时间的设置，默认的有效时间的一个月，如果不更改较长的时间，可能会在不知道的情况下，系统用户被“禁用”。2.4.2 批量系统用户添加点击【系统用户】的“批量导入”，显示如下图：点击“下载excel模板文件(.xls)”，下载模板，打开该文档：在文档里面编辑系统用户信息：再将文档另存为csv格式：再点击“批量导入”中的“浏览”，选择“usertpl.csv”文档，点击“确定”，显示下图：最后点击“确认提交”即可。2.5 添加主机资产(资产管理员权限)2.5.1 单个主机资产添加在界面中点击【目标主机】 或 在【安全策略管理】中选择【主机资产管理】。都可以进入同一个管理界面：添加、编辑、删除、账号。支持对主机资产的批量导入、批量导出（提供模板下载）。点击“添加”：图1：字符型主机添加：图2：图形主机添加：注意：“网络协议”所对应的登录提示、密码提示、登录域。一定要与主机正确的登录提示关联正确，否则会影响跟主机的登录和代填。点击“添加”后，会出现：点击“添加账号”：说明：单点登录中的代填与不代填就在这里设置。代填：(1).就将正确的账号和密码添加进去，那么在运维过程中就不用输入主机账号和密码了。(2).如果存在空账号，但是有密码的主机，并且想实现代填，只需将“null”复制-粘贴到账号名称输入框中，然后输入正确的密码即可。不代填：直接将“unused”复制-粘贴到账号和密码输入框中即可。解释：普通登录账号：用于添加主机资产的普通账号，如user、test等。特权切换命令：用于添加主机的用户登录时的切换命令，如su、su - 、enable等。特权登录账号：用于添加主机的最高权限的账号，如administrator、root等。2.5.2 批量主机资产添加点击【目标主机】的“批量导入”，显示如下图：点击“下载excel模板文件(.xls)”，下载模板，并打开该文件：在文档中进行主机资产信息编辑，不对服务器账号密码托管，那就用“unused”代替：再将文档另存为csv格式：再点击“批量导入”中的“浏览”，选择“hosttpl.csv”文档，点击“确定”，显示下图：最后点击“确认提交”即可。2.6 权限分配(权限管理员权限)权限分配包括：“设备组权限”和“用户组权限”点击界面中的【权限管理】，可以对系统用户、主机设备、主机账号、设备组、用户组进行授权。图1：设备组权限授权：图2：用户组权限授权：例如：点击“设备组权限”中的“设备”，可以给主机进行设备组的授权操作。注意：如果在运维平台中无法看到已经添加的主机，那么可能是设备组权限未分配好（需对用户、设备、账号进行有效授权后才能进行运维）。2.7 系统应用要求在界面中点击【运维管理】，可以查看到：根证书下载、JRE下载、PUTTY下载等。根证书需要下载安装好，否则运维平台中无法使用。JRE也需要下载安装好，否则审计记录中回放功能无法播放。其他下载属于运维客户端工具。2.7.1 根证书下载与安装登录统一安全管理与综合审计系统的WEB界面，点击【运维管理】超级链接，显示见下图：点击“根证书下载”超级链接将根证书下载到本地，安装根证书，为根证书选择存储路径-受信任的根证书颁发机构，参见下图：点击“安装证书”，证书存储路径选择完毕：点击“下一步”，显示“正在完成证书导入向导”点击“完成”按钮，显示安全警告参见下图：点击“是”按钮，显示证书导入成功：点击“证书导入向导”对话框“确定”按钮和“证书”对话框“确定”按钮，证书安装完毕。2.7.2 ActiveX控件安装点击WEB界面中【运维管理】超级链接，地址栏下方出现对话框“是否允许运行软件，如ActiveX控件和插件？”。参见下图：单击“是”按钮，弹出安全警告对话框-“您想安装此软件吗？名称：autoterm.cab.”点击”安装”按钮进行autoterm.cab控件安装；安装完毕弹出安全警告对话框“您想安装此软件吗？名称：pldotp.cab.”点击“安装”按钮进行pldotp.cab控件安装。2.7.3 浏览器策略设置浏览器的策略设置也是直接影响到运维管理平台的使用。当Internet与本地Intranet安全级别为最高级时，参见下图：需要将统一安全管理与综合审计系统访问地址添加为可信任站点，操作步骤：右键单击浏览器-选择属性选项，弹出“Intelnet 选项”对话框；左键点击“安全”选项卡，左键点击“受信任站点站点”弹出可信站点对话框，在“添加”按钮左边对应文本框中输入https:/统一安全管理与综合审计系统管理IP地址 ，点击“添加”-“关闭”按钮将统一安全管理与综合审计系统访问地址设置为信任站点。最后将受信任站点安全级别调整到最低，右键单击浏览器-选择属性选项，弹出“Intelnet 选项”对话框；左键点击“安全”选项卡，左键点击“受信任站点”将其安全级别滚动条拉到最低点，最后点击确定按钮。参考下图：2.7.4 JAVA程序下载与安装用户使用字符和图形审计监控和播放时需要安装JRE。登录访问统一安全管理与综合审计系统WEB控制台鼠标点击“运维管理”按钮，在“运维管理”页面中右键单击“JRE下载”选择“目标另存为”将软件包下载到本地，参见下图：双击已下载javaruntime安装包jre-6u13-windows-i586-p-s.exe安装JRE，安装时选项选默认即可。2.8 运维操作运维操作的前提是首先在本地要安装好客户端，如：SecureCRT、Putty、winscp、FlashFXP、mstsc等工具；工具用于运维管理时的调用。2.8.1 B/S运维管理方式【运维管理】页面包含运维用户可以管理的所有类型的资产类型：【字符终端】、【图形终端】、【KVM终端】、【FTP传输】、【前置应用】、【应用中心】。主机资产可以根据设备地址或设备名称或设备帐号进行升序与降序排列；用户可以自定义每页显示记录条数对所有记录进行分页。用户要快速定位目标主机进行运维操作可以在搜索文本框中输入该主机IP地址，帕拉迪统一安全管理与综合审计系统将快速定位用户操作目标主机，见下图： 字符终端运维管理【字符终端】类型包括SSH、TELNET、SFTP、X11协议的主机。（说明：SFTP产生的会话日志在【文件传输审计】中；X11产生的会话日志在【图形终端审计】中）选择【字符终端】，点击该目标主机账号后的工具图标（调用本地安装好的工具SecureCRT、Putty、winscp、mstsc）按钮，帕拉迪统一安全管理与综合审计系统弹出应用程序调用路径指定窗口：点击“浏览”按钮，为应用选择可执行路径:点击确定，用户就可通过Putty或SecureCRT等等工具即可进入主机账号下进行操作： 图形终端运维管理 【图形终端】类型包括RDP、X11、VNC、前置应用协议的主机。选择【图形终端】，点击目标主机账号后的工具图标（直接调用windows自带的mstsc.exe远程桌面连接工具）即可连接目标主机中，运维图标分8位（显示的会话框的分辨率比较低）、16位（显示正常的分辨率像素）： FTP传输运维管理【文件传输】类型包括FTP协议的主机。选择【文件传输】，点击目标主机账号后的工具图标（调用本地安装好的FlashFXP工具，帕拉迪统一安全管理与综合审计系统提供该工具的下载），即可连接到目标主机中进行操作： 图形应用运维管理【图形应用】包括：【KVM终端】、【应用中心】类型下的目标主机。点击目标主机账号后的运维图标（调用本地的远程桌面连接工具mstsc.exe）即可连接到目标主机中。2.8.2 C/S运维管理方式C/S运维管理方式，用于满足用户的使用习惯。 字符主机运维管理此处以SecureCRT运维工具为例：1、打开本地的SecureCRT工具，在登录框中输入正确的运维审计系统用户名和密码：2、点击“确定”后，即可进入字符终端的管理界面：3、在“请选择服务器”后输入服务器序号或者直接输入服务器的IP，回车后即可进去服务器登录界面：4、在“请选择账号”后输入账号的序号即