極地內網(wǎng)內控安全管理系統(tǒng)（內控堡壘主機）操作手冊北京市海淀區(qū)上地安寧莊西路9號金泰富地大廈8層電話：010-傳真：010-客服：400-01234-18郵編：100085網(wǎng)站：一、前言歡迎使用內控堡壘主機系統(tǒng)，本用戶使用手冊主要介紹內控堡壘主機部署結構、配置、使用和管理。通過閱讀本文檔，用戶可以了解內控堡壘主機系統(tǒng)的基本設計思想，配置和使用方法。在安裝、使用內控堡壘主機系統(tǒng)之前，請仔細閱讀文檔內容。本章內容主要包括：本文檔的用途。閱讀對象。本文檔的組織結構。如何聯(lián)系北京極地安全技術支持。文檔目的本文檔主要介紹如何配置和使用內控堡壘主機系統(tǒng)。 通過閱讀本文檔，用戶能夠正確地部署和配置內控堡壘主機系統(tǒng)。讀者對象本安裝手冊適用于具有基本網(wǎng)絡知識的安全管理員、 系統(tǒng)管理員閱讀，通過閱讀本文檔，他們可以獨自完成以下一些工作：內控堡壘主機系統(tǒng)的功能使用。內控堡壘主機系統(tǒng)的策略配置與管理。文檔組織本文檔包括以下章節(jié)及其主要內容：前言，介紹了本手冊各章節(jié)的基本內容、文檔和技術支持信息。系統(tǒng)簡介，介紹內控堡壘主機系統(tǒng)的部署結構和登錄方法。系統(tǒng)應用，介紹如何配置使用內控堡壘主機系統(tǒng)。技術支持北京極地公司對于生產(chǎn)的安全產(chǎn)品提供遠程的產(chǎn)品咨詢服務，廣大用戶和合作伙伴可以通過多種方式獲取在線文檔、疑難解答等全方位的技術支持。公司主頁提供交互網(wǎng)絡服務，用戶及合作伙伴可以在世界的任何地方，任何時候訪問技術支持中心，獲取實時的網(wǎng)絡安全解決方案、安全服務和各種安全資料。傳真：010-客服經(jīng)理承接質量問題投訴郵箱：二、系統(tǒng)簡介內控堡壘主機系統(tǒng)是極地安全內控解決方案的重要組成部分， 部署在企業(yè)的內部網(wǎng)絡中，用于保護企業(yè)內部核心資源的訪問安全。內控堡壘主機是一種被加固的可以防御進攻的計算機，具備很強安全防范能力。內控堡壘主機扮演著看門者的工作，所有對網(wǎng)絡設備和服務器的請求都要從這扇大門經(jīng)過。因此內控堡壘主機能夠攔截非法訪問，和惡意攻擊，對不合法命令進行命令阻斷，過濾掉所有對目標設備的非法訪問行為。內控堡壘主機具備強大的輸入輸出審計功能，不僅能夠詳細記錄用戶操作的每一條指令，而且能夠將所有的輸出信息全部記錄下來， 也具備圖形終端操作的審計功能，能夠對多平臺的多種圖形終端操作做審計， 并且內控堡壘主機具備審計回放的功能，能夠模擬用戶在線操作過程。總之，內控堡壘主機能夠極大的保護企業(yè)內部網(wǎng)絡設備及服務器資源的安全性， 使得企業(yè)內部網(wǎng)絡管理合理化，專業(yè)化，信息化。關鍵字用戶名：也叫主帳號，使用內控堡壘主機的用戶統(tǒng)稱為用戶名。資源：內控堡壘主機管理的主機系統(tǒng)，數(shù)據(jù)庫，網(wǎng)絡設備等統(tǒng)稱為資源。例如AIX系統(tǒng)、Windows2000系統(tǒng)、DB2數(shù)據(jù)庫、CISCO356爵。從賬號：從賬號是資源中的賬號，例如AIX中的root賬號，Windows2000中的Administrator賬號。SSO聿點登錄：SSO(SingleSign-On)中文為單點登錄，就是說在同一個地點完成對不同資源的訪問。策略：控制用戶登錄、設置密碼、禁止使用命令、允許訪問命令的方法。部署結構內控堡壘主機部署邏輯圖：內控堡壘主機部署物理圖：如圖，內控堡壘主機部署在被管服務器區(qū)的訪問路徑上。內控堡壘主機接入用戶網(wǎng)絡中的方式是旁路，僅需要為系統(tǒng)分配一個 IP,并確保該地址與需要運維的主機IP可達，協(xié)議可訪問。可以通過防火墻或者交換機的訪問控制策略限定只能由內控堡壘主機直接訪問服務器的遠程維護端口。維護人員維護被管服務器或者網(wǎng)絡設備時，首先以WEBf式登錄內控堡壘主機，內控堡壘主機會根據(jù)系統(tǒng)管理員預先設置好的訪問控制權限， 展現(xiàn)訪問資源列表，提示用戶選擇可以訪問的授權資源，用戶選擇完成后會自動直接登錄到目標操作系統(tǒng)或網(wǎng)絡設備。系統(tǒng)登錄登錄頁面對管理員及用戶進行身份認證，以及策略校驗，從而完成登錄。在地址欄上輸入系統(tǒng)URL例如：，如圖所示，進入系統(tǒng)登錄頁面。系統(tǒng)默認的超級管理員的帳號：admin,密碼：123。內控堡壘主機啟用后，應及時修改口令，以免被非法登錄。根據(jù)管理員和用戶的認證方式，管理員和用戶可以用簡單的靜態(tài)用戶名，口令進行認證，也可以持證書、令牌等強認證方式進行認證。系統(tǒng)根據(jù)用戶相關登錄策略，例如：訪問時間策略、訪問地址策略、訪問鎖定策略等進行校驗。如果通過校驗，用戶可進入系統(tǒng)，否則禁止用戶登錄系統(tǒng)并給出相應提示。三、單點登錄（SSQ單點登錄（SSQ界面功能說明二^登錄功能是用戶訪問授權資源的統(tǒng)一入口。通過此功能，用戶訪問資源時只需要在內控堡壘主機上做一次登錄，之后就可以在不輸入用戶名和密碼的情況下使用各種授權資源。操作描述當用戶點擊“單點登錄”時，資源帳號列表中會顯示所有授權給此用戶的資源。當用戶點擊資源列表后的授權協(xié)議方式按鈕時， 會自動進入目標資源，完成單點登錄。注意：要使用單點登錄功能，必須安裝單點登錄控件，可到“單點登錄 ->?單點登錄/回訪控件”中下載單點登錄控件程序；就可以使用 RDP?問資源，被管資源上要開啟遠程桌面服務，同時也可以使用 SSMTELNET式訪問資源，并且能夠支持回放、實時監(jiān)控等功能。單點登錄數(shù)據(jù)庫時，要做好準備工作，首先數(shù)據(jù)庫需要用戶自行安裝對應數(shù)據(jù)庫的客戶端，ORACLE據(jù)庫需要安裝PLSQL7MSSQL2000/2005/200日需要安裝Sqlservermanagementstudio2008 。然后“單點登錄”界面，找到數(shù)據(jù)庫的資源，點擊協(xié)議進行登錄。單點登錄控件及工具安裝界面功能說明用戶通過資源列表單點登錄到授權資源時需要安裝單點登錄控件。操作描述點擊->“單點登錄”進入單點登錄界面，右上方有單點登錄控件下載。右鍵點擊->選擇目標另存為，下載完畢后關閉IE瀏覽器對控件進行安裝。Win7用戶必須以管理員的身份進行下載安裝。四、用戶管理用戶管理界面Q戶名J控堡壘主機管理員在內控堡壘主機上建立的資源使用帳戶，必須由管理員在內控堡壘主機上添加并且授權相應的角色后的用戶名才能使用。 用戶管理，實現(xiàn)用戶名生命周期管理的全部過程，包括用創(chuàng)建用戶，用戶授權，用戶變更，鎖定用戶，注銷用戶。操作描述用戶管理：當管理員點擊目錄中的用戶管理時，目錄下側顯示區(qū)域會顯示用戶列表。用戶創(chuàng)建：管理員點擊賬號管理中的添加用戶按鈕， 會進入用戶基本信息頁面，管理員在此添加新用戶信息。用戶授權：用戶授權用于授予用戶訪問被管資源和內控堡壘主機管理的權限。用戶變更：管理員在用戶管理頁面中點擊用戶名，會進入用戶變更頁面，用以變更用戶信息。用戶鎖定：管理員可以在用戶變更頁面中點擊鎖定按鈕用以鎖定用戶， 同時會鎖定授權資源的訪問權限，并可以通過用戶管理下的操作下拉列表直接鎖定激活用戶。用戶注銷：管理員可以在用戶列表中選擇所要注銷的用戶選項， 并選擇操作下拉列表中的注銷用戶，按執(zhí)行按鈕注銷用戶。示例登錄系統(tǒng)后，點擊用戶管理，進入用戶管理頁面，點擊添加用戶按鈕，進入添加用戶信息頁面。填寫用戶的用戶名、姓名等信息，在這里可以選擇密碼認證方式，用戶訪問系統(tǒng)資源的授權，用戶分組等。信息填寫完畢后，點擊提交，完成用戶的添加。下次登錄修改密碼：選中此復選框，則下次登錄則會提示修改密碼。管理員授權用戶的初始密碼比較簡單，則需要登錄時修改密碼。狀態(tài)：鎖定則當前用戶不可登陸，解鎖則用戶可以正常登陸，注銷則刪除當前賬戶。分組管理界面功能說明分組管理是管理員在堡壘機上建立的各個部門等的目錄樹， 便于管理員快速找到相應的用戶。操作描述點擊用戶管理下樹形目錄上方的管理，進入分組管理頁面，先選中相應的節(jié)點，然后點擊增加同級或者增加下級就可以進行增加分組，選中相應的節(jié)點點擊刪除則刪除該分組。在用戶的修改界面可以把相應的用戶移動到相應的分組。五、資源管理5.1資源管理資源管理界面功能說明資源就是要g內控堡，主機管理的各種設備資源，內控堡壘主機上將資源類型劃分為：Windows主機：Windows域控、Windows域內主機、Linux主機、Unix、數(shù)據(jù)庫（獨立）、數(shù)據(jù)庫（系統(tǒng)）、網(wǎng)絡設備（Radius）、網(wǎng)絡設備（Local）等。資源管理實現(xiàn)被管資源的管理和被管資源的帳號管理。給用戶授予操作某資源的權限，實際是將資源上的帳號（也叫從帳號）授權給用戶使用，因此管理員給用戶授權，要做如下兩個步驟：建立資源，將資源授權給主賬號。操作描述資源管理模塊，點擊添加資源，就可以進到資源編輯頁面。如果要刪除或者鎖定資源，先選中要進行操作的資源，然后在操作后面的下拉列表框選擇相應的操作，點擊執(zhí)行即可。添加Windows、Unix、Linux、網(wǎng)絡設備資源1、首先點擊資源添加按鈕，進入編輯頁面。2、填寫資源名稱，以便識別。3、選擇資源的類型（比如Windows主機、Linux主機等）。4、填寫資源IP和連接IP,這兩個IP皆為被管資源IP。5、在所屬組，給資源選擇相應的組，以便管理（此為可選項）。6、在授權端口，選擇運維改資源所采用的協(xié)議：RDPft、議：遠程桌面，必須該資源開啟3389端口，此協(xié)議只適用于Windows系統(tǒng)SSHB議：SSHB議是一種遠程命令行運維的方式，該協(xié)議采用的加密方式，采用SSHB議進行運維比Telnet更具安全性。（資源必須開啟了SSHfe議，默認端口22）Telnet協(xié)議：SSHB議是一種遠程命令行運維方式，一般交換機、路由器設備采用Telnet協(xié)議進行運維。（資源必須開啟Telnet協(xié)議，默認端口23）FTP協(xié)議：傳統(tǒng)的文件傳輸協(xié)議，可以與服務器之間進行上傳和下載文件。（必須在服務器上建立了FTP服務器，默認端口21）SFTPB議：安全文件傳送協(xié)議，可以為傳輸文件提供一種安全的加密方法。sftp與ftp有著幾乎一樣的語法和功能。（默認端口22）X11協(xié)議：Xwindows協(xié)議，此協(xié)議是用于連接Linux、Unix等系統(tǒng)的圖像化界面的。（資源必須要裝有圖形化界面才能使用該協(xié)議，運維計算機必須裝有Xmanager默認端口22）VNO議：VNC&是一種圖形化界面的協(xié)議，要使用此協(xié)議服務器端必須要裝有VNC＞務器端，在配置賬號的時候賬號攔隨便起名字， 而密碼則是服務器端的VN%碼。（服務器端默認端口5900,運維端,默認端口5600）7、賬號收集信息，這個功能是用于收集該資源的所有賬號的，包括數(shù)據(jù)庫賬號，系統(tǒng)登陸賬號等等，需要填寫的是超級管理員的賬號和密碼。賬號收集需要保存退出后，通過修改模式進入資源編輯頁面才能夠顯示出賬號收集按鈕。 （不推薦使用，收集出來的賬號太多）8、資源從賬號，在這個地方填寫該資源的登陸系統(tǒng)賬號和密碼。9、保存，完成資源的添加。添加數(shù)據(jù)庫資源添加數(shù)據(jù)庫資源其他配置都和上面一樣，需要注意的是授權端口變成了數(shù)據(jù)庫信息，數(shù)據(jù)庫信息必須要填寫數(shù)據(jù)庫名稱，數(shù)據(jù)庫服務，數(shù)據(jù)庫類型，還有數(shù)據(jù)可占用的窗口，另外在運維機必須裝有MYSQL7.皈本和數(shù)據(jù)庫客戶端。添加web應用1、首先進入到添加資源頁面。2、資源類型選擇web資源，其他照舊。3、端口按照實際情況填寫。4、賬號按實際情況填寫。5、根據(jù)賬號的多少選擇參數(shù)個數(shù)。6、登陸url去該系統(tǒng)的登陸頁面查找填寫用戶名和密碼的那個 form表單上的.action,然后就是訪問的ip地址加上那個.action這個。比如/fort/login/check.action。7、登陸名表單就是填寫代碼里的用戶名輸入框的 name登陸密碼就是填寫密碼框的name參數(shù)名稱對應賬號和密碼，然后保存。（注意：WE朦統(tǒng)單點登錄需要使用者分析對應WE■統(tǒng)登錄模塊腳本，找到相關驗證參數(shù)，包括：登錄驗證URLM址、用戶名表單名稱，密碼表單名稱等，再建立從帳號即可WE即點登錄。由于配置WE陰點登錄需要有網(wǎng)絡管理基礎，請使用者尋找企業(yè)網(wǎng)絡管理員配合下進行配置。）各種資源類型配置特別說明Unix主機，代表所有類Unix系統(tǒng),例如：HPUnix、AIX、SunSolaris、FreeBSD^。Linux主機，代表所有的Linxu系統(tǒng)，例如：RedHatDebian等。Windows主機，此資源有兩種連接方式，分別是Telnet和代理程序。Windows的Telnet不穩(wěn)定，所以建議使用代理程序連接。如果采用Telnet連接，需要將Windows操作系統(tǒng)的Telnet服務打開。如果使用代理程序連接，則不必配置管理員和管理員密碼即可做帳號收集和同步。Windows主機（域控制器），此資源有兩種連接方式，分別是Telnet和代理程序。建議采用代理程序連接。Windows域控服務器的帳號收集會收集所有域帳號。Windows主機（域內），此資源沒有依賴于Windows域控服務器中的帳號，添加時除了名稱和IP,要配置所屬域控服務器。數(shù)據(jù)庫（獨立），此處的獨立數(shù)據(jù)庫指帳號和操作系統(tǒng)不共用的數(shù)據(jù)庫，例如Oracle>SqlServer、Mysql、Sybase等。數(shù)據(jù)庫（系統(tǒng)），此處的系統(tǒng)數(shù)據(jù)庫指帳號和操作系統(tǒng)共用的數(shù)據(jù)庫，例如DB2Informix等。網(wǎng)絡設備（Radius）,指3A指向內控堡壘主機的網(wǎng)絡設備（內控堡壘主機內含Radius服務器，可以作為網(wǎng)絡設備的認證服務器）。此種資源不用定義從帳號即可授權。網(wǎng)絡設備（Local）,沒有配置3A或者3A沒有指向內控堡壘主機的網(wǎng)絡設備。此種資源需要定義從帳號才能做授權。Web應用，通過IE訪問的軟件（B/S架構，登陸無驗證碼）。5.1.4示例登錄系統(tǒng)后，點擊資源管理，進入資源管理頁面，在圖中上方點擊添加資源按鈕進入資源的編輯頁面：配置項含義如下：資源名稱：資源的名稱。資源IP:資源的IP地址。資源類型：資源屬于什么類型的系統(tǒng)。連接方式：連接資源進行資源收集管理使用的協(xié)議。連接IP： 用于收集資源賬號的IP地址。端口：協(xié)議使用的端口。超時：當連接資源時如果超出此時間就提示連接超時。管理員：用于收集資源賬號的管理員賬號。要求擁有添加刪除賬號權限。策略：指定資源賬號的密碼限制策略。如果資源有密碼策略，則密碼修改計劃會按照此密碼策略中的要求生成隨機密碼。管理員密碼：管理員賬號的密碼。備注：資源的描述信息。授權端口:授權相應協(xié)議端口。狀態(tài)：資源狀態(tài)，激活可用/鎖定不可用。如果要進行資源帳號的收集和管理，則協(xié)議、管理員、密碼、提示符這幾項是必須配置項。這幾項配置完畢后可以點擊下面的收集帳號按鍵進行帳號收集，點擊收集帳號后會有成功失敗的提示。帳號收集功能只能收集到帳號名稱，需要配置密碼后才能用于授權。如果不進行資源從帳號的收集，也可以手工定義。點擊資源后面的帳號按鍵進入資源從帳號列表界面，然后點擊添加按鍵進行從帳號的添加。六、角色管理角色管理界面功能說明角色管理是系統(tǒng)管理員定制系統(tǒng)角色的模塊， 可以對不同角色分配相應權限。如：可以定義資源管理角色，該角色擁有資源管理的權限，則把此角色授權給自然人后，該自然人就可以進行資源管理了。還可以查看最近新增角色和最近修改角色，所有的角色是按時間來排序的！操作描述用戶認證成功登錄系統(tǒng)后,點擊導航目錄中的角色管理進入角色管理頁面 (添加角色：點擊添加角色按鈕，進入角色信息編輯頁面。如圖用戶/組：在此處給把該角色給相應的組或者給單個用戶進行授權，讓該組或者該用戶擁有相應的資源授權和管理權限。資源/組：給該角色授權相應的資源訪問權限。管理權限：給該用戶或者用戶組授權相應的管理權限。七、審計管理內部審計管理界面功能說明內部審計實現(xiàn)內控堡壘主機自身日志的審計， 可以點擊查詢查找符合條件的審計記錄。審計內容包括，帳號登入登出情況，資源變更，用戶變更等情況。操作描述內控堡壘主機內部審計模塊，當管理員點擊內部審計時，內部審計列表會顯示審計結果列表。管理員在內部審計列表中點擊查詢按鈕進入查詢條件選擇頁面， 輸入查詢條件點擊查詢按鈕，可以查找滿足條件的日志信息。行為審計管理界面功能說明行為審計實現(xiàn)操作日志的審計，可以點擊查詢查找符合條件的審計記錄。對于字符型的資源，有三種審計展現(xiàn)形式：內容、命令、回放。內容是資源操作的所有指令和對應結果的一次性展現(xiàn)；命令是資源操作的所有指令執(zhí)行情況；回放是資源操作過程的錄像回放。對于圖形的資源訪問方式有一種展現(xiàn)方式：回放，是圖形資源操作過程的錄像回放。審計分為兩種，一種是事后審計，一種是實時審計。上面說的基本上是事后審計，如果操作人員對資源的操作還沒有結束，則審計記錄上會多出一種監(jiān)視的展現(xiàn)方式，點擊監(jiān)視可以實時查看資源使用者對資源的操作過程。操作描述內控堡壘主機行為審計模塊，當管理員點擊行為審計時，行為審計列表會顯示審計結果列表。點擊會話中的“內容”、“命令”、“回放”、“監(jiān)視”可以相應的顯示審計到的內容。對于錄像的回放，可以通過播放工具條調整播放狀態(tài)、速度、進度等。管理員在行為審計列表中點擊查詢按鈕進入查詢條件選擇頁面， 輸入查詢條件點擊查詢按鈕，可以查找滿足條件的日志信息。數(shù)據(jù)庫審計管理界面功能說明通過數(shù)據(jù)庫審計可以看到管理員對數(shù)據(jù)庫的操作內容，并且能夠顯示數(shù)據(jù)庫的類型、IP地址。在操作者方面可以看到操作者的IP、操作時間。最后也能看到審計級別！操作描述內控堡壘主機數(shù)據(jù)庫審計模塊，當管理員點擊數(shù)據(jù)庫審計時，數(shù)據(jù)庫審計列表會顯示審計結果列表。管理員在數(shù)據(jù)庫審計列表中點擊查詢按鈕進入查詢條件選擇頁面， 輸入查詢條件點擊查詢按鈕，可以查找滿足條件的日志信息。并能導出 EXCE及件。八、組態(tài)報表報表查詢界面功能說明組態(tài)報表模塊提供報表查詢、報表管理、定時報表的功能。管理員可以通過報表名稱，報表類型和創(chuàng)建時間來查詢并且管理報表。組態(tài)報表模塊最主要的是提供了組態(tài)報表模版，組態(tài)報表模版的類型可以分為靜態(tài)模版和動態(tài)模版。 比如屬于動態(tài)模版的訪問協(xié)議統(tǒng)計報表，屬于靜態(tài)模版的Windows用戶訪問統(tǒng)計報表、Unix訪問協(xié)議統(tǒng)計報表和Radius用戶訪問統(tǒng)計報表。在報表的管理中有查詢統(tǒng)計功能，統(tǒng)計結果支持圖形顯示。定時報表是讓報表在不同的時間段內起到不同的功能。操作描述以Unix主機用戶訪問統(tǒng)計報表為例，認證成功登錄系統(tǒng)后，點擊”組態(tài)報表”，所有的報表會以列表的形式顯示在組態(tài)報表的界面中，然后按照查詢條件輸入“Unix主機用戶訪問統(tǒng)計報表”，點擊“查詢”就會找到相應的報表。并且對相應的報表進行導出！如果想更詳細的管理查詢報表可以點擊“報表管理”，再報表管理界面中支持模糊查詢、支持圖形顯示。看查詢結果會更加的直觀！定時報表會按照所選的日期形成所需要的報表！報表管理界面功能說明報表管理是對所有的報表進行管理，包括查詢條件設置、分頁和報表模版的選擇等。報表的查詢管理還支持圖形顯示，在圖形顯示中可選圖的橫軸、縱軸和TOPfi等。在上面所說過的報表模版分為靜態(tài)模版和動態(tài)模版，其中靜態(tài)模版沒有查詢條件的選擇。操作描述點擊->“組態(tài)報表”->“報表管理”會出現(xiàn)以上的界面，在“切換模版”的下拉菜單中選擇要查詢統(tǒng)計的報表，然后選擇“分頁”來顯示頁數(shù)。如果是動態(tài)模版還可以選擇“查詢條件設置”。在右側的“圖形顯示”中選擇圖形的TOP?、橫軸、縱軸。選擇好后點擊“查詢”按鈕，會出現(xiàn)各種圖形顯示，如下圖：列表形式顯示上圖是以列表的形顯示報表，它可以以各種格式的導出報表，包括：TXTEXCLECSVHTMLWORDPDFl?六種格式。餅圖形式顯示雷達圖形式顯示還有柱狀圖、折線圖等顯示方式，只要點擊上方的顯示名稱即可。定時報表界面功能說明定時報表更加人性化的對報表進行管理。在選中報表的前提下可以定時的執(zhí)行選中的報表，省去了人工定時的操作。可以對報表進行時間設置，其中按周設置即周一到周日。還可以按日控制，即一個月內的30天。操作描述點擊->“組態(tài)報表”->“定時報表”會出現(xiàn)以上的界面，在“模版類型選擇”的下拉菜單中選擇報表類型，然后選擇“模版選擇”窗口中選擇報表。時間設置里選擇“按周”、“按日”來讓選擇好的報表進行操作。最后“保存”設置。自定義報表界面功能說明自定義報表是方便管理查詢想要的數(shù)據(jù)，所設定的自定義模版，如上圖所示，可以對某個表進行人員篩選。操作描述點擊->“組態(tài)報表”->“自定義報表”會出現(xiàn)以下的界面在這里可以選擇“模版名稱”，在“自定義sql”的框中寫上查詢語句，點擊“查詢”，就會顯示出所選報表要查詢的內容。也可以點擊“添加按鈕”，在出現(xiàn)的界面中填寫好“報表名稱”、“sql語句”和“描述”，點擊“保存”，轉入上面的界面。選中建好的報表，點擊“執(zhí)行”，就會出現(xiàn)查詢結果，如下圖所示：如果想繼續(xù)執(zhí)行別的報表，點擊“返回”按鈕，繼續(xù)執(zhí)行即可。九、策略管理策略是針對主帳號和從帳號的，因此策略建立后，必須在主帳號和從帳號中應用策略，策略才能生效。指令字對象界面添加指令對象界面：功能說明指令字對象是一個添加指令的集合對象，通過結合時間對象、地址對象組合成為不同的策略。主要包括允許策略、禁止策略兩種。操作描述指令字對象：在策略管路目錄下的指令字對象點擊添加指令字對象， 進入指令字對象添加頁面，輸入相關指令字集合。信息包括：對象名稱、對象描述、對象狀態(tài)、指令字。填寫完成后點擊保存完成指令字對象的添加。訪問時間對象界面添加時間對象界面：功能說明通過結合指令訪問時間對象，用于限制主帳號訪問系統(tǒng)及訪問資源的時間字對象、地址對象組合成為不同的策略。主要包括允許策略、禁止策略兩種。通過結合指令操作描述訪問時間對象：在策略管路目錄下的訪問時間對象點擊添加時間對象， 進入時間訪問對象添加頁面，選擇相應的時間段。信息包括：對象名稱、對象描述、對象狀態(tài)、具體時間（具體時間包括三種方式：按周、時間段、時間點），填寫完畢后點保存完成時間對象的添加。訪問地址對象界面添加指令對象界面：功能說明訪問地址對象，用于限制主帳號訪問系統(tǒng)及訪問資源時使用的客戶端地址。通過結合指令字對象、時間對象組合成為不同的策略。主要包括允許策略、禁止策略兩種。操作描述訪問地址對象：在策略管路目錄下的訪問地址對象點擊添加地址對象， 進入地址訪問對象添加頁面，添加相應的IP地址。信息包括：對象名稱、對象描述、對象狀態(tài)、地址，填寫完畢后點保存完成地址對象的添加。賬戶鎖定策略界面添加鎖定策略界面：功能說明賬戶鎖定策略，用于在用戶口令輸入錯誤時鎖定用戶，避免用戶的密碼被暴力破解。可以配置輸入失敗的次數(shù)和鎖定時間。訪問鎖定策略應用于用戶，在用戶添加和修改時可以指定此策略。操作描述賬戶鎖定策略：在策略管路目錄下的賬戶鎖定策略點擊添加鎖定策略， 進入賬戶鎖定策略添加頁面，添加相應策略。信息包括：策略名稱、策略描述、策略狀態(tài)、登錄失敗次數(shù)、鎖定時間、重置計數(shù)時間。填寫完畢后點保存完成賬戶鎖定策略的添加。密碼策略界面添加密碼策略界面：功能說明密碼策略，用于限制用戶口令強度，避免用戶配置的密碼過于簡單，被暴力破解。可以配置密碼長度，包含大寫字母長度、小寫字母長度、數(shù)字長度、允許特殊字符、修改密碼周期、禁用關鍵字等。密碼策略應用于用戶，在用戶添加和修改時可以指定此策略。操作描述密碼策略：在策略管路目錄下的賬戶鎖定策略點擊添加密碼策略， 進入密碼策略添加頁面，添加相應密碼選項。信息包括：策略名稱、策略描述、策略狀態(tài)、小寫字母個數(shù)、大寫字母個數(shù)、數(shù)字個數(shù)、允許使用字符、禁止關鍵字、密碼修改周期，填寫完畢后點保存完成賬戶鎖定策略的添加。允許策略界面添加允許策略界面：功能說明允許策略，主要由地址訪問對象、時間訪問對象、指令對象三者組合而成，它是用于同時授權給用戶和從賬號，允許用戶在策略所允許的時間操作地址對象，并只允許使用策略指令對象。操作描述允許策略：在策略管路目錄下的允許策略點擊添加允許策略，進入允許策略添加頁面，添加相應允許策略選項。信息包括：策略名稱、策略描述、策略狀態(tài)、時間對象、地址對象、指令字對象，填寫完畢后點保存完成允許策略的添加。禁止策略界面添加禁止策略界面：功能說明禁止策略，主要由地址訪問對象、時間訪問對象、指令對象三者組合而成，它是用于同時授權給用戶和從賬號，禁止用戶在策略所禁止的時間操作禁止操作的地址對象，并禁止使用策略指令對象。操作描述禁止策略：在策略管路目錄下的禁止策略點擊添加禁止策略，進入禁止策略添加頁面，添加相應禁止策略選項。信息包括：策略名稱、策略描述、策略狀態(tài)、時間對象、地址對象、指令字對象，填寫完畢后點保存完成禁止策略的添加。十、授權管理授權管理界面添加規(guī)則界面：功能說明授權管理主要是對給用戶或用戶組進行資源的授權，資源賬號的授權，訪問資源協(xié)議的授權，并且可以關聯(lián)相關的策略進行訪問資源限制。規(guī)則名稱：新增規(guī)則的名稱。備注：對新增規(guī)則的描述。標簽：定義通過哪類標簽能快捷找到此規(guī)則。狀態(tài)：確定當前規(guī)則的狀態(tài)。授權信息：對用戶或用戶組進行資源的相關授權。策略：添加此規(guī)則的限制策略。操作描述授權管理，點導航目錄的授權管理進入到授權管理頁面。 在規(guī)則列表上方點擊添加規(guī)則進入新增規(guī)則編輯頁面，填寫規(guī)則名稱、備注、標簽、狀態(tài)的信息。授權信息此處點擊添加進入到授權信息頁面，首先選擇需要授權的用戶或用戶組（用戶和用戶組只能選擇一項），然后點擊下一步進入到資源選擇頁面，選擇相應的資源，點擊下一步進入到資源賬號和授權協(xié)議的頁面，選擇需要授權的賬號和協(xié)議，點擊確定完成對用戶使用資源的授權。最后添加此規(guī)則的限制策略就完成了規(guī)則的添加。規(guī)則的鎖定和注銷如果要對規(guī)則進行刪除或者鎖定規(guī)則讓規(guī)則暫時失去作用，則需要通過操作的下拉列表來實現(xiàn)，首先選擇需要執(zhí)行注銷或鎖定的規(guī)則，然后選中操作后面下拉列表的選項（包括注銷規(guī)則、鎖定規(guī)則、解鎖規(guī)則三項），點擊執(zhí)行按鈕，就完成了對規(guī)則的鎖定或注銷。十一、腳本管理腳本管理界面添加腳本界面：功能說明腳本管理是此內控堡壘主機的亮點之一，大大加強了被管IT資源的安全性。內控堡壘主機能夠智能的運維腳本。對運維指令集，可以編寫成腳本的形式，由堡壘機定時自動執(zhí)行。代維人員或者廠家人員，如果需要授權他們操作設備，可以改為讓他們提交操作腳本，由業(yè)主單位的管理人員審核后付諸實施。對于基層操作人員和實習人員，也可以改為提交腳本，由領導審核后提交運行。操作描述當管理人員通過驗證登錄內控堡壘主機之后單擊“腳本管理”，所有的腳本就會以列表的形式出現(xiàn)在腳本管理的界面中， 在腳本管理的界面中可以執(zhí)行刪除、啟用和禁用腳本的操作。并且能進行快速查詢。點擊“添加腳本”按鈕，就會出現(xiàn)上面如圖所示的界面。添加腳本后再授權給相應的資源，最后腳本所承載的操作就會在被受資源中允許執(zhí)行。十二、計劃任務資源帳號口令修改計劃界面添加修改計劃幾面：功能說明資源帳號口令修改計劃主要是為了IT資源的安全著想，這就相當于密碼口令的變更計劃，不過內控堡壘主機的口令修改計劃更加的人性化，可以按周、按天和按小時來實施口令修改計劃。而且能夠配合密碼策略共同的執(zhí)行。操作描述經(jīng)過驗證登錄到內控堡壘主機之后單擊“計劃任務”，就會出現(xiàn)資源帳號口令修改計劃的界面，在這里可以選擇對任務計劃的啟用和禁用。并且能夠進行快速搜索。單擊“添加修改計劃”按鈕，可以根據(jù)自己的需要來制定帳號口令的修改計劃，當設置好口令的修改計劃后在資源信息中點擊“添加”按鈕。然后選擇要執(zhí)行帳號口令修改計劃的IT資源，最后保存即可！資源帳號同步計劃界面添加同步計劃界面：功能說明資源帳號同步計劃是為了方便用戶使用，帳號管理員會定期的收集資源的帳號，當需要資源帳號變更時可以定制資源帳號同步計劃！操作描述經(jīng)過驗證登錄到內控堡壘主機之后單擊“計劃任務”，然后再單擊左側的“資源帳號同步計劃”就會出現(xiàn)資源帳號同步計劃的界面， 在這里可以選擇對任務計劃的啟用和禁用。并且能夠進行快速搜索。單擊“添加同步計劃”按鈕，可以根據(jù)自己的需要來制定帳號同步計劃，當設置好資源帳號同步計劃后在資源信息中點擊“添加” 按鈕。然后選擇要執(zhí)行帳號口令修改計劃的IT資源，最后保存即可！十三、系統(tǒng)設置系統(tǒng)狀態(tài)界面功能說明系統(tǒng)狀態(tài)是檢測當前服務器的運行情況，以及相關的服務連接器是否正常。最主要的是在這個控制臺上具有遠程重啟服務器和關閉服務器兩大功能！操作描述點擊導航目錄“系統(tǒng)設置”，然后點擊當前頁面左側的“系