麒麟開源堡壘機用戶操作手冊

目錄

I.概述........................................................................1

1.1.功能介紹..................................................................1

1.2.名詞說明..................................................................1

13.環境要求..................................................................2

2.登錄堡壘機.................................................................2

2.1.打算.....................................................錯誤!未定義書簽。

2.1.1.控件設置..................................................................2

2.1.2.JavaApplet支持..........................................錯誤!未定義書簽。

2.2.登錄堡壘機................................................................3

3.設備運維....................................................................4

3.1.WebPortal設備運維........................................................4

32運維工具干脆登錄.........................................................5

33SecureCRT打開多個設備...................................................7

3.4.列表導出.................................................................11

4.操作審計...................................................................14

4.1.字符協議審計.............................................................14

4.2.S會話審計...............................................................16

43圖形會話審計.............................................................17

4.4.RDP會話審計............................................................18

4.5.VNC會話審計...........................................................20

5.其他協助功能.................................................................22

5.1.修改個人信息............................................................22

5.2.網絡硬盤.................................................................22

5.3.工具下載.................................................................23

1.概述

運維平安堡壘平臺（以下簡稱運維堡壘機）是用于對第三方或者內部運維管

理員的運維操作行為進行集中管控審計的系統。運維堡壘機可以幫助客戶規范運

維操作行為、限制并降低平安風險、滿意等級愛護級其他法規對IT內控合規性

的要求。

LL功能介紹

運維堡壘機集中管理運維賬號、資產設備，集中限制運維操作行為，能嵯實

現實時監控、阻斷、告警，以及事后的審計及統計分析。

支持常用的運維工具協議（如SSH、telnetsRDP、VNC等），并可以應用發

布的方式支持圖形化運維工具。

運維堡壘機支持旁路模式和VPN模式兩種方式，物理上旁路部署，敏捷方面。

運維堡壘機在操作方式上，不變更用戶的操匕習慣，仍舊可以運用自己本機

的運維工具。

12名詞說明

協議

指運維堡壘機運維工具所用的通信協議，比如Putty運用SSH協議，CRT支持SSH

和Telnet等。

工具

指運維人員實現對設備的維護所運用的工具軟件。

設備賬號

指運維目標資產設備的用于維護的系統賬戶。

自動登錄

指運維堡壘機為運維工具實現自動登錄目標被管設備，而運維用戶不須要輸入目

標設備的登錄賬號和密碼，也稱為單點登錄（SSO）o

吩咐阻斷

指依據吩咐權限策略檢查用戶輸入的操作指令，假如策略不允許執行此指令，會

拒絕轉發此操作吩咐目標設備，同時向操作員反饋拒絕執行的提示信息。這是實

現實時操作限制的一種重要手段。

應用發布

指通過在應用發布服務器部署應用程序，供應應用戶遠程虛擬化方式進行運用，就猶如安裝

在本地一樣的效果。

1.3.環境要求

運維堡壘機供應運維NebPortal,登錄WebPortal要求運維終端采納支持IE

內核的閱讀潛，因為須要支持ActiveX控件，舉薦運用IE閱讀器，支持IE8、

IE9JE10。另外,運維終端還須要安裝JRE環境,支持WebPortal的JavaApplet0

2.登錄堡壘機

2.1.控件設置

WebPortal方式運用前必需安裝插件，插件支持chrome、firefox>ie等通用

閱讀器，安裝過程如下：

1.假如終端安裝了360殺毒軟件，請先關閉360殺毒和平安衛士，不然安

裝時無法留意，安裝后，在開啟殺毒軟件和衛士就不會在影響運用

2.登錄堡壘機，在堡壘機的其它菜單中，點擊工具下載，下載：堡壘機插

件2016-221.rar,解壓后安裝（只須要默認點擊下一步）

2.2.登錄堡壘機

在閱讀器地址欄輸入，在己經導入證書的狀況下，會順當地打開登錄頁面,

否則須要選擇信任證書并接著閱讀，才能看到登錄界面。登錄界面如下圖：

支持一般口令登錄，也支持動態口令登錄。動態口令登錄須要登錄用戶手上

有動態口令的USBKey才行，沒有的人不能用動態口令登錄。

認證方式有英文名和中文名兩種方式的緣由是，在運維堡壘機都采納實名制

賬戶管理，每個用戶賬號（英文名）都對應一個自然人的真實姓名（中文名）。

一般干脆運用默認的英文名登錄認證方式即可。

輸入用戶名、密碼后認證通過后即可看到堡壘機的運維主界面，如下圖所示:

主界面為左右布局，左側菜單，右側為工作區，右側展示菜單對應的各項功

能和操作數據。

菜單區有三大功能：“設備管理”、“運維審計”、“其他二

運維堡壘機的運維WebPorlal的核心功能在“設備管理”和“運維審計”兩

塊，設備管理是對設備進行運維的統一操作入口，運維審計是對運維操作的回顧

和審計。

從“設備管理”菜單的結構可以看出，運維堡壘機把全部設備分組管理，形

成設備組，而且從右側界面結構看到，設備又依據運維方式進一步分類，比如有

SSH設備、RDP設備等，讓用戶能夠很便利地找到操作對象。

“設備管理”菜單中的另一塊就是“應用發布”，“應用發布”就是在堡壘機

上部署了一些運維工具，供應應運維人員運用，這些工具不須要下載安裝，就可

以干脆運用來對設備進行運維，是一種虛擬化的操作方式。

“運維審計”是供應應運維人員自己查看審t-自己歷史操作過程記錄的一個

途徑，有利于積累操作閱歷。

“其他”是一些協助功能，比如修改個人信息、下載工具、網盤等。

3.設備運維

運維堡壘機支持運維人員以三種方式登錄運維：

1）打開WcbPortal,在Wcbportal中點擊相應的工具鏈接進行登錄

2）干脆在維護終端本地打開工具進行登錄

3）進行VPN撥號，然后打開維護終端本地工具進行登錄

3.1.WebPortal設備運維

設備運維除了選用應用發布服務器上的軟件工具意外，都是運用本地安裝的

工具軟件。首次登錄留意看，設備列表中每個設各右端對應的操作欄，如下圖所

示。設備列表的第一列是ID,也特別重要，在下一節運維工具干脆登錄運維的

時候要用到。

SSH設備ILLMI設結KDP8&\、（設備“暇備密用

IP：MW?：I192vjjy防武：|-物口團t朦<??］；□［iB且府運］

K?3MM1-~登砂用戶要聚方式

51W.16SL45Lmvx-1root的1新Jm(puttyMctrecn)曲XVkTNSCP)

14192IM1.4)Linvx-1rod伙擊日Jtenet(ptttysecureat)

919M6tM7adatfes￡fi￡c<恢有丁(HJPWEB)

1319116tX6即空用戶快jiie(RDPUTB)

共盯記錄首頁上一頁IK一頁末貢貢次：“頁21記錄頁HMKJ5

以第一行設備Linux-1為例。它的操作為“ssh（putty|securecrt）s）”，表示該

設備有兩種運維登錄方式，一種是ssh方式，其次種是sftp方式，并且列明白可

以運用的工具，SSH方式可以運用putty或者securecrt,sftp方式運用WINSCP。

括號里面的藍色字體表示是鏈接，點擊鏈接可及打開工具。

第一次點擊工具鏈接的時候，堡壘機系統并不知道你的工具是否安裝以及所

在位置，須要用戶自己指定工具安裝在哪個路徑下面，因此，會彈出對話窗口讓

登錄人員進行路徑選擇，第一次選擇路徑后，系統即會記錄該路徑，以后再登錄

都不須要重新輸入，界面如下。

找到運維工具后，啟動T具，堡壘機系統一般將會自動登錄到目標系統，代

替運維人員實現登錄目標設備的登錄操作，這就是單點登錄，簡化運維操作，不

須要記憶大量設備的賬號密碼。采納putty工具自動登錄目標設備后的界面如下

圖所示。

01-PuTTY

P設&應艘布

Uaernaiae:monitor

碼定】

Password:Hl

lianxincong>

iianxintong>6/ftp(8

lianxmtong>

6/RDP(

dianxincong>

iianxmcong>

dianxintong>

iianxintong>

>telnet

ldianxintong>/RDP2

ldianxmcong>

BL.

|dianxincong>

ldianxintong>/由i

)ldianxmtong>

/岫（I

dianxincong>

?dianxmcong>

xincong>

jcincona>

其他設備的運維及此類似。

3.2.運維工具干脆登錄

除了在Web界面點擊工具鏈接登錄目標設備運維，支持運用本地運維工

具干脆進行登錄運維，操作體驗及沒有運用堡壘機完全相同，完全不變更操

作習慣。

運維人員干脆運用運維工具柜進行運維，及運用堡壘機之前不同，須要

留意二個事項：

1.無論運維人員希望登錄哪一臺目標設各運維，工具的目標主機地址都

是運維堡壘機，不能繞過堡壘機干脆填寫目標設備地址訪問。

2.運維人員登錄認證的帳號，也不能再運用目標設備最終登錄賬號，登

錄賬號運用的是用戶在運維堡壘機上的登錄賬號及目標設備在上的

ID好組合而成的一個標識，其格式是：

堡壘機賬號一目標設備ID

中間的連接符是兩個減號。

而登錄密碼就是用戶在堡壘機上賬號的密碼.

如何得到設備的ID呢？用閱讀器登錄堡壘機WebPortal可以查看，在設備列

表的衣領就是設備ID,如下圖所示Linux」的ID是5。

因此當希望用工具干脆登錄目標設備Linux-l（5）時，應當在打開

的工具（比如putty）界面上，目標主機的地方填寫堡壘機地址（假定為

1）,如下圖所示。

點擊“Open”按鈕，當Putty提示輸入登錄用戶名和密碼的時候，此時應當

輸入在堡壘機上的賬號名（假設為lom）及ID的組合，即密碼為堡

壘機用戶tom的密碼。這樣Putty就會穿過堡壘機把你帶到要維護的目標設備

5o

3.3.SecureCRT打開多個設備

1、登錄堡壘機WebPortal（假設為192.16.100.51）,點擊工具CRT鏈接可以登

錄一個目標設備，如下圖所示。

192.16.100.61-SccurcCRT

文件9???）吏孑&）選項Q）件編2”岑⑤T*（P?toQ|）

3S3?旦加為WC?！癟

77]Q

telnet（bladeO9）工

AIXversion5

CopyrightIB**Corporation,1982.2008.

login:root

root'sPassword:

welcometoAIXversion5.3?

PleaseseetheREADMEfilein/usr/lpp/bosfor1nfor?at1onpertinentto

thisreleaseoftheAIXOperatingSystem.

Lastunsuccessfullogin:wedFeb2010:02:38BEIST2013on/dev/pts/Ofrora68

Lastlogin:MonMar1812:16:03BCICT2013on/dcv/pts/lfrom192.1?.100.$1

在SecureCRT上打開“文件”一“快速連接”

協議選擇：“SSH2”

主機名：“192.16.100.51”（主機名填寫堡壘機的訪問1P地址）

端口：“23”

用戶名：即堡壘機用戶名，這里是ex

用戶名格式：堡壘機用戶名一服務器TD如圖：

打開不同的AIX或Linux需查看不同的服務器ID

快速連接

鑒權登陸用戶名一ID號

0Password▲|屋性回…

PlPublidCey

0KeyboardInteractive二I

0GSSAPI

□jg動時顯示快速連接?0保存金話⑨

叵）在新標筌中打開①

|連接][■消]

查看服務器ID的方法：在WebPortal設備列表中左邊第一列。

點擊“連接”，輸入堡壘機登錄密碼。

192.16.100.51(8)-SccurcCRT-rX

文仲中???1）杳￥&）逡項?）任帖9*岑。）TAI）財助QP

I19116.100.S1I1(8)□

*人安全外殼宓四區I

cx-118^1reqi>?dp?swd.I1

?nt?rapM9*>ordnow.|J

[M]

用戶名幼：O--UB

口保存密弼㈤堡壘機登陸密碼，默認i12345678

Kit147行.125列VT100

重命名服務器名稱

192.16.100.61(8)-SccurcCRT

文件Q)?an)逡項Q)件輸9，本⑤TftD資助QP

@S30/油△為ZWd-總g〃里工

[4216.100.51!?2.16?100.5迪]___________________________________________________________________________________________□

telnet(mgrdb)曲名1)

流―國)

默開?

關團1￡)Ctrl*P4

WttSiX?)

3B5siX?)

劉S在薪窗口

發送費照窗口

S?snt標簽貝⑤

打開$“3?PX<X)

含話卻S3..

Lastunsuccessfullogin:MonHar1811:07:34BEIST2013on/dev/pts/4frora68

Lastlogin:MonMar1812:22:06BGIST2013on/dev/pts/5from19>.16.100.51

?h2ABSWSE<1,1647行,125列VTlOO

.：；開始?ISasE"?A?A。關?X13運CI□*-.而1US，2，：.，?13%

1(8)-SccurcCRT

文件(I)蜩蟠陰查看Q)iSflqp隹翁9*本⑤工具《)必助01)

穹處口汨3力的竽國d谷/，4Gq________________________________________

telnet(mgrao;不

AIXversion5

CopyrightIB**Corporation.1982,2009.

loqln:root

root'sPassword:

welcometoAIXversion5.3!

PleaseseetheREAOEfilein/usr/lpp/bosforInformationpertinentto

thisreleaseoftheAIXoperatingSystem.

Lastunsuccessfullogin:MonMar1811:07:34BEIST2013on/dev/pts/4frora68

Lastlogin:HonMar1812:22:06BGIST2013on/dev/pts/5from19>.16.100.51

root^nardb:/!*

點擊“確定”完成配置，如下圖。

192.16.10.69

文件Q)??il)吏*5件輸*本⑹TAH)越助Qp

幻si@、：J油為

[T19116.100.Sljj192.1610.69]□

telnet(mgrdb)工

AIXversion5

ightIBVCorporation,1982.2009.

:root

sPassword:

wtkometoAIXversion5.3?

PleaseseetheREADMEfileIn/usr/lpp/bosforInfornationpertinentto

thisreleaseoftheAIXOperatingSystem.

Lastunsuccessfullogin:Monpar1811:07:34BEIST2013on/dev/pts/4from68

Lastlogin:KonMar1812:22:06BEIST2013on/dev/pts/5from1

rootOmgrdb:/]*

root^ngrdb:/]*|

欽語sah24?25&ECT,1647行,125列VH8

34列表導出

當設備特別多的時候，按上面每臺設備添加并填入ID的方式，會給運

維人員造成很大的負擔，因此堡壘機供應列表導出方式，可以干脆導出

SecureCRT.Xshell的配置列表（ssh協議）和Mremote列表（RDP、VNC、XII

協議），導入列表后，工具內就有用戶可以登錄全部的設備，并且已經配置好

id值用戶可以干脆運用。

首先登錄到堡壘機前臺，點擊列表導出菜單，得到如下界面

在界面中，只須要選擇SECURECRT的版本（6或7）,假如版本低，必須

要升級到6.x或7.x版本，然后點擊后面的提交按鈕，會下載一個以主帳號為命

名的zip文件（有的時候，因為1E平安問題，頭一次點擊提交無法下載，這時

只要在到這個界面，選擇好版本后在點擊提交按鈕就可以下載了）。

已完成0%-admin.zip（來自32）

文件下載

您想打開或保存此文件嗎?

名稱

admin.zip

類

理

來

源WinRARZIP壓縮文件,253KE

61.233.3L132

打開⑥保存en取消

該爻件。有度就險?

將文件存到一個書目解壓，會得到一個以用戶名為名稱的書目，里面就是全

部的主機列表配置。

打開Securecrt的option菜單里的globalsetting,可以得到securecrt的sessions

文件存貯位置，如下圖:

new-Options_ITransferScriptToolsHelp

ECTi(

-11:3,!aner

ispond：General)devic

1-11:3；General

1-11:3LDefaultSession!aner

Dialogs

jspond:白-Terminal)devic

.ECTai「Showconnectiondoseddialogt,logi

/n,rdpnee

HANSIColor7Showconfirmdisconnectdialog

-11:2:Advanced[ZShowconnectdialogonstartup

1-11:3i-Tabs

1/Savee/ndedfolderstateinconnectdialog

1-E1c1T:3aB-Printing

d

nrP*????Advanced[?'Newses$?onuseswizard

>3

-1l?

?■■WebBrowser

l?3

-1?View

-1l?3Advanced

?[<ShowtoolbarV]Showrnenubar

-1l?3Firewall

-1?

l?3SSH2Showstatusbar

?

l?3

?SSHHostKeys

l?3Sessions

l??3sernam

??SortConnectcialogentriesalphabeticaly

l?3

?

l?3「Mintnizetoqctvatorinthesystemtray

l??3isernam

l?3>ytest

??Rgcentiyusedsessionkst:4

Tm

13iiy，、y

?Confij^FaUohfuklci

1?3

?

53d:(tim

X?C:\Users\Administrator\AppDataWoaming\VanDyke\ConfigVanl

J(itocol:

13

?

TI1-8

z

(Xiystemu

xJ?

ow13Mysql

T?

stCancel

ho-

」

只須要將下載解壓的書目的放到這個書目的sessions書目下

■v?VanDyke?ConfigVanDyke?Sessions?

豪的sessions

K打開包含到鼻牛▼共享▼刻錄新建文件夾子目錄虻▼：

取n名稱"修改日期蟠

F載|adnin〉復制到SBSSi強度錄”2:1?文件關

富圓上安全小組2015/3/1015:19文件夾

跖訪河的位置.跳機2015/7/1411:28文件夾

也_FolderData_2015/7/1411:28ScSiSS

苞Default2015/3/2721:17配寄殳音

就風影視摩

賺=

黑

打開CRT后，會出現一個以用戶書目為名稱的書目，里面會出現服務器組

列表，服務器組列表就會有全部能登錄的設備，這時，用戶可以干脆運用CRT,

通過找到服務器點擊的方式登錄目標設備

om

E)OSessions>,rd|

Q-㈢admin

白…口aaaa

…??國1,1.1.l_ssh22_NULL

?…閡127.0.0,l_ssh2288_NULL(TOI

.閡127.0.0,1_ssh2288_root

…閡_ssh22_test

國127.0,0.1_ssh22_wangyu/ord：

?g=0

因172.16.210,210_ssh22_blj

,口Cisco/ord：

;因223.72,151.89_telnet23_nwnet

I+1-0Linux

m

4.操作審計

操作審計讓運維人員可以查看自己的操作記錄，既可以積累閱歷，有便于查

找問題的緣由，有助于快速解決問題。一般運維用戶只能看到自己的操作記錄。

操作審計主界面如下圖所示。把會話按協議進行了分類管理。

tnrnr.VM_____

3.J—.______

一需

一

二

二

一

：

二

一EE

二

二

三

二

三

三-B

三

二

三

二

三

二

一

三

三m

::::

4.1.字符協議審計

Telnet和SSH會話屬于字符會話，這類協議的特點是以字符吩咐操作為主，

吩咐防火墻對這類協議效果最好。

上圖所示，會話列表以顏色表示不同會話的狀態。堡壘機對不同狀態會話的

的顏色表示定義是：

白色會話行：正常會話；

黃色會話行：會話中有告警級別的吩咐操作；

橙色會話行：會話中有被阻斷執行的吩咐；

紅色會話行：會話有違規操作被斷開；

■回放審計

點擊會話列表中一行中的“回放(putty|CRT)w可以進行回放審計，下圖就

是回放畫面。

解

Usingusername"tomy——nonitorl——51——0——ijIBI3E8".

Lastlogin:MonSep206:27:332013from1

(root01ocalhost~J#Is

anaconda-ks.cfginstall.loginstall.log.syslogREADME.”。

[root@localhost-]#

吩咐記錄查看

點擊一個會話行中的“文件”按鈕操作，可以查看會話過程中輸入的全部吩

咐和執行結果，如下圖所示。

■吩咐列表式查看

點擊任何會話行中的“吩咐”操作按鈕，將以列表的方式顯示該會話執行的

全部吩咐，如下圖所示。

4.2.S會話審計

會話都是文件傳輸操作會話，對這兩類會話除了可以審計會話用戶、時間、

來源、目標、操作吩咐，堡壘機還可以審計上傳和下載的文件。

s會話列表包含信息如下圖所示。

密擊“查看”能夠查看一個文件傳輸會話過程中全部的操作吩咐列表，如下圖所

/J\o

最右邊一列“下載”欄中有下載鏈接的，表明該行吩咐有文件傳輸操作，并

且文件已經被備份了，可以下載下來進行審計。

4.3.圖形會話審計

RDP和VNC會話都屬于圖形會話，操作基本以鼠標點擊為主，也有鍵盤輸

入信息。

RDP和VNC會話回放審計須要JRE支持?；胤胖С謨煞N方式，一種是獨立

窗口回放，一種是ActiveX控件在IE閱讀器窗口回放。

運用ActiveX在正窗口回放時，假如感覺不順暢，可以啟用閱讀器的“兼容

視圖”，如圖所示點擊地址欄圖標。

M>?eII1MIMROHMfirstM

[jaEK①1?--'?_____

MQMiBtfUBM?BT*VT^tCT1

j|MMCMBICUo4?-MWI

1?MCNiBr??

>

兼容性視圖也可以在IE菜單一工具一兼容性視圖設置中配置，如下圖。

4.4.RDP會話審計

RDP會話列表如下圖所示°

從每個會話可以審計來源IP、設備IP、運維用戶、系統賬號、起先時間、結

束時間等。

點擊“回放”按鈕和ActiveX按鈕都可以全過程回放會話過程，區分是，干

脆“回放”是在獨立的本地窗口進行回放，而ActiveX方式是在閱讀器窗口中進

行回放，下面兩個圖可以看出兩者的差別，回放效果相同，從便利性上，可能干

脆回放更方面，不須要對閱讀開放更多的控件許可。

RDP會話列表中的“錄入”可以查看鍵盤操作信息，如下圖所示。

RDP會話列表中的“鼠標”可以查看鼠標點擊操作信息，如下圖所示。

4.5.VNC會話審計

VNC會話列表如下圖所示，及RDP不同的是有一列流量統計。

及RDP會話類似，點擊“輸入”可以查看鍵盤操作信息，點擊“回放”和

ActiveX都可以實現會話過程的回放，ActiveX方式是在網頁中回放，兩種方式

的回放如下面兩個圖廳示。

.■

F*r?fca

SS9

gbk?y_h..新逑文本文四文*文

Server20..；,：二」?'一

幅ES1…

GV\C?Server-Enterprise-UserMode