網(wǎng)御網(wǎng)絡(luò)審計(jì)系統(tǒng)V3.0(運(yùn)維安全管控型)-管理員使用手冊-346系列-v1.0-20141219更新

1、.WD.WD.WD.網(wǎng)御網(wǎng)絡(luò)審計(jì)系統(tǒng)V3.0運(yùn)維安全管控型管理員使用手冊北京網(wǎng)御星云信息技術(shù)文檔修訂記錄版本號日期修訂者修訂說明V1.0.12014-08-13李彬創(chuàng)立V1.0.22014-09-25李彬修訂產(chǎn)品截圖和說明V1.0.32014-12-19李彬修訂產(chǎn)品截圖和說明目錄 TOC o 1-4 h z u HYPERLINK l _Toc406789279 1概述 PAGEREF _Toc406789279 h 6 HYPERLINK l _Toc406789280 1.1關(guān)于本手冊 PAGEREF _Toc406789280 h 6 HYPERLINK l _Toc406789281

2、1.2格式約定 PAGEREF _Toc406789281 h 6 HYPERLINK l _Toc406789282 2初始化配置 PAGEREF _Toc406789282 h 7 HYPERLINK l _Toc406789283 2.1完成配置向?qū)?PAGEREF _Toc406789283 h 7 HYPERLINK l _Toc406789284 2.1.1設(shè)置密碼策略 PAGEREF _Toc406789284 h 7 HYPERLINK l _Toc406789285 2.1.2設(shè)置管理員賬號和密碼 PAGEREF _Toc406789285 h 8 HYPERLINK l _

3、Toc406789286 2.1.3配置主機(jī)網(wǎng)絡(luò)參數(shù) PAGEREF _Toc406789286 h 9 HYPERLINK l _Toc406789287 2.1.4導(dǎo)入授權(quán)文件 PAGEREF _Toc406789287 h 10 HYPERLINK l _Toc406789288 2.1.5確認(rèn)配置信息 PAGEREF _Toc406789288 h 11 HYPERLINK l _Toc406789289 2.1.6向?qū)渲猛瓿?PAGEREF _Toc406789289 h 12 HYPERLINK l _Toc406789290 2.2管理員登錄 PAGEREF _Toc40678

4、9290 h 13 HYPERLINK l _Toc406789291 2.3配置認(rèn)證方式 PAGEREF _Toc406789291 h 15 HYPERLINK l _Toc406789292 2.4添加管理員 PAGEREF _Toc406789292 h 16 HYPERLINK l _Toc406789293 2.5系統(tǒng)密碼策略 PAGEREF _Toc406789293 h 17 HYPERLINK l _Toc406789294 3用戶管理 PAGEREF _Toc406789294 h 18 HYPERLINK l _Toc406789295 3.1添加用戶 PAGEREF _

5、Toc406789295 h 18 HYPERLINK l _Toc406789296 3.2編輯用戶屬性 PAGEREF _Toc406789296 h 20 HYPERLINK l _Toc406789297 3.3用戶其它操作 PAGEREF _Toc406789297 h 22 HYPERLINK l _Toc406789298 3.4用戶組織機(jī)構(gòu) PAGEREF _Toc406789298 h 23 HYPERLINK l _Toc406789299 4資源管理 PAGEREF _Toc406789299 h 24 HYPERLINK l _Toc406789300 4.1添加資源

6、PAGEREF _Toc406789300 h 24 HYPERLINK l _Toc406789301 4.2編輯主機(jī) PAGEREF _Toc406789301 h 27 HYPERLINK l _Toc406789302 4.3主機(jī)其它操作 PAGEREF _Toc406789302 h 28 HYPERLINK l _Toc406789303 4.4資源組 PAGEREF _Toc406789303 h 29 HYPERLINK l _Toc406789304 4.5資源分類 PAGEREF _Toc406789304 h 29 HYPERLINK l _Toc406789305 4.

7、6資源系統(tǒng)類型 PAGEREF _Toc406789305 h 30 HYPERLINK l _Toc406789306 4.7資源AD域 PAGEREF _Toc406789306 h 31 HYPERLINK l _Toc406789307 5策略管理 PAGEREF _Toc406789307 h 32 HYPERLINK l _Toc406789308 5.1訪問策略 PAGEREF _Toc406789308 h 32 HYPERLINK l _Toc406789309 5.2命令策略 PAGEREF _Toc406789309 h 35 HYPERLINK l _Toc406789

8、310 5.3集合設(shè)定 PAGEREF _Toc406789310 h 37 HYPERLINK l _Toc406789311 5.3.1時(shí)間集合 PAGEREF _Toc406789311 h 37 HYPERLINK l _Toc406789312 5.3.2IP集合 PAGEREF _Toc406789312 h 38 HYPERLINK l _Toc406789313 5.3.3命令集合 PAGEREF _Toc406789313 h 39 HYPERLINK l _Toc406789314 6審計(jì)管理 PAGEREF _Toc406789314 h 40 HYPERLINK l _

9、Toc406789315 6.1實(shí)時(shí)監(jiān)控 PAGEREF _Toc406789315 h 40 HYPERLINK l _Toc406789316 6.1.1會(huì)話監(jiān)控 PAGEREF _Toc406789316 h 40 HYPERLINK l _Toc406789317 6.1.2實(shí)時(shí)監(jiān)控 PAGEREF _Toc406789317 h 40 HYPERLINK l _Toc406789318 6.2日志查詢 PAGEREF _Toc406789318 h 41 HYPERLINK l _Toc406789319 6.2.1管理日志 PAGEREF _Toc406789319 h 42 HY

10、PERLINK l _Toc406789320 6.2.2登錄日志 PAGEREF _Toc406789320 h 44 HYPERLINK l _Toc406789321 6.2.3審計(jì)日志 PAGEREF _Toc406789321 h 45 HYPERLINK l _Toc406789322 6.3審計(jì)報(bào)表 PAGEREF _Toc406789322 h 48 HYPERLINK l _Toc406789323 6.3.1報(bào)表模板 PAGEREF _Toc406789323 h 48 HYPERLINK l _Toc406789324 6.3.2自定義報(bào)表 PAGEREF _Toc406

11、789324 h 50 HYPERLINK l _Toc406789325 7密碼管理 PAGEREF _Toc406789325 h 53 HYPERLINK l _Toc406789326 7.1密碼策略 PAGEREF _Toc406789326 h 53 HYPERLINK l _Toc406789327 7.2自動(dòng)改密方案 PAGEREF _Toc406789327 h 53 HYPERLINK l _Toc406789328 7.3自動(dòng)改密結(jié)果 PAGEREF _Toc406789328 h 55 HYPERLINK l _Toc406789329 7.4下載密碼列表 PAGERE

12、F _Toc406789329 h 55 HYPERLINK l _Toc406789330 7.5手動(dòng)改密 PAGEREF _Toc406789330 h 56 HYPERLINK l _Toc406789331 8系統(tǒng)管理 PAGEREF _Toc406789331 h 57 HYPERLINK l _Toc406789332 8.1系統(tǒng)信息 PAGEREF _Toc406789332 h 57 HYPERLINK l _Toc406789333 8.1.1授權(quán)信息 PAGEREF _Toc406789333 h 57 HYPERLINK l _Toc406789334 8.1.2系統(tǒng)升級

13、 PAGEREF _Toc406789334 h 58 HYPERLINK l _Toc406789335 8.1.3配置備份 PAGEREF _Toc406789335 h 59 HYPERLINK l _Toc406789336 8.1.4數(shù)據(jù)備份 PAGEREF _Toc406789336 h 60 HYPERLINK l _Toc406789337 8.1.5電源管理 PAGEREF _Toc406789337 h 60 HYPERLINK l _Toc406789338 8.2系統(tǒng)選項(xiàng) PAGEREF _Toc406789338 h 61 HYPERLINK l _Toc406789

14、339 8.2.1高可用性 PAGEREF _Toc406789339 h 61 HYPERLINK l _Toc406789340 8.2.2格爾認(rèn)證 PAGEREF _Toc406789340 h 62 HYPERLINK l _Toc406789341 8.2.3認(rèn)證源 PAGEREF _Toc406789341 h 64 HYPERLINK l _Toc406789342 8.2.4網(wǎng)絡(luò)配置 PAGEREF _Toc406789342 h 64 HYPERLINK l _Toc406789343 8.2.5時(shí)間配置 PAGEREF _Toc406789343 h 65 HYPERLIN

15、K l _Toc406789344 8.2.6超時(shí)配置 PAGEREF _Toc406789344 h 66 HYPERLINK l _Toc406789345 8.3接口配置 PAGEREF _Toc406789345 h 67 HYPERLINK l _Toc406789346 8.3.1Syslog PAGEREF _Toc406789346 h 67 HYPERLINK l _Toc406789347 8.3.2短信 PAGEREF _Toc406789347 h 67 HYPERLINK l _Toc406789348 8.3.3郵件 PAGEREF _Toc406789348 h

16、68 HYPERLINK l _Toc406789349 8.3.4SNMP PAGEREF _Toc406789349 h 69 HYPERLINK l _Toc406789350 8.3.5資源同步接口 PAGEREF _Toc406789350 h 70 HYPERLINK l _Toc406789351 8.4設(shè)備管理 PAGEREF _Toc406789351 h 70 HYPERLINK l _Toc406789352 8.4.1設(shè)備管理 PAGEREF _Toc406789352 h 70 HYPERLINK l _Toc406789353 8.4.2設(shè)備運(yùn)行狀態(tài) PAGEREF

17、 _Toc406789353 h 71 HYPERLINK l _Toc406789354 8.5應(yīng)用發(fā)布 PAGEREF _Toc406789354 h 72 HYPERLINK l _Toc406789355 8.5.1應(yīng)用工具 PAGEREF _Toc406789355 h 72 HYPERLINK l _Toc406789356 8.5.2發(fā)布管理 PAGEREF _Toc406789356 h 74 HYPERLINK l _Toc406789357 8.6權(quán)限管理 PAGEREF _Toc406789357 h 75 HYPERLINK l _Toc406789358 8.6.1管

18、理員 PAGEREF _Toc406789358 h 75 HYPERLINK l _Toc406789359 9配置實(shí)例 PAGEREF _Toc406789359 h 79 HYPERLINK l _Toc406789360 9.1添加主機(jī) PAGEREF _Toc406789360 h 79 HYPERLINK l _Toc406789361 9.2添加用戶 PAGEREF _Toc406789361 h 81 HYPERLINK l _Toc406789362 9.3添加訪問策略 PAGEREF _Toc406789362 h 82 HYPERLINK l _Toc406789363

19、9.4運(yùn)維用戶登錄 PAGEREF _Toc406789363 h 84概述關(guān)于本手冊網(wǎng)御網(wǎng)絡(luò)審計(jì)系統(tǒng)運(yùn)維安全管控型以下簡稱網(wǎng)御LA-OS，是網(wǎng)御星云綜合內(nèi)控系列產(chǎn)品之一。網(wǎng)御LA-OS是針對業(yè)務(wù)環(huán)境下的用戶運(yùn)維操作進(jìn)展控制和審計(jì)的合規(guī)性管控系統(tǒng)。它通過對自然人身份以及資源、資源賬號的集中管理建設(shè)“自然人資源資源賬號對應(yīng)關(guān)系，實(shí)現(xiàn)自然人對資源的統(tǒng)一授權(quán)，同時(shí)，對授權(quán)人員的運(yùn)維操作進(jìn)展記錄、分析、展現(xiàn)，以幫助內(nèi)控工作事前規(guī)劃預(yù)防、事中實(shí)時(shí)監(jiān)控、違規(guī)行為響應(yīng)、事后合規(guī)報(bào)告、事故追蹤回放，加強(qiáng)內(nèi)部業(yè)務(wù)操作行為監(jiān)管、防止核心資產(chǎn)服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等損失、保障業(yè)務(wù)系統(tǒng)的正常運(yùn)營。本手冊詳細(xì)介紹了

20、網(wǎng)御LA-OS包括初始化配置、用戶管理、資源管理、策略管理、審計(jì)管理、密碼管理、系統(tǒng)管理各功能模塊的使用方法，用戶可參考本手冊，對網(wǎng)御LA-OS進(jìn)展各種運(yùn)維管理和審計(jì)管理。格式約定本文中所有圖例均為實(shí)際拍攝或屏幕截取菜單名稱和按鈕名稱的表示方法：【菜單名稱】，【按鈕名稱】圖標(biāo)表示的含義：系統(tǒng)管理、配置的重要說明、提示信息。：相關(guān)功能配置的舉例說明信息；初始化配置網(wǎng)御LA-OS系統(tǒng)通過Web瀏覽器登錄進(jìn)展管理默認(rèn)地址為 s:/LA-OS-Server的管理IP地址，初始化時(shí)需手動(dòng)設(shè)置一個(gè)超級管理員賬號、密碼自行設(shè)定，網(wǎng)御LA-OS目前支持的瀏覽器包括Internet Explorer8以上的版本

21、和火狐瀏覽器。完成配置向?qū)状蔚卿浐螅到y(tǒng)自動(dòng)進(jìn)入初始化的配置向?qū)Ы缑?。全過程操作說明：密碼策略的配置；超級管理員賬號及密碼的配置；主機(jī)網(wǎng)絡(luò)的配置；導(dǎo)入授權(quán)文件；確認(rèn)配置信息；向?qū)渲猛瓿伞ＴO(shè)置密碼策略設(shè)置密碼策略，如圖2.1所示：圖2.1設(shè)置密碼策略操作說明：認(rèn)證方式的選擇；設(shè)置最小密碼長度；配置密碼復(fù)雜度；配置密碼周期；配置歷史比照；配置自動(dòng)鎖定；配置自動(dòng)解鎖；填寫完成后點(diǎn)擊“下一步。設(shè)置管理員賬號和密碼設(shè)置密碼策略后，點(diǎn)擊下一步，配置管理員賬號和密碼，如圖2.2所示：圖2.2配置管理員賬號和密碼操作說明：超級管理員姓名填寫；超級管理員賬號填寫務(wù)必請牢記；超級管理員密碼填寫務(wù)必請牢記；管理

22、員確認(rèn)密碼與超級管理員密碼一致；填寫完成后點(diǎn)擊“下一步。配置主機(jī)網(wǎng)絡(luò)參數(shù)設(shè)置管理員賬號后，點(diǎn)擊下一步，配置主機(jī)網(wǎng)絡(luò)參數(shù)，如圖2.3所示：圖2.3配置管理員賬號和密碼操作說明：填寫IP地址做好記錄；填寫子網(wǎng)掩碼做好記錄；填寫完成后點(diǎn)擊“下一步。導(dǎo)入授權(quán)文件配置完主機(jī)網(wǎng)絡(luò)后，點(diǎn)擊下一步進(jìn)展授權(quán)文件的導(dǎo)入，如圖2.4-2.5所示：圖2.4導(dǎo)入前選擇授權(quán)文件圖2.5導(dǎo)入后明細(xì)顯示操作說明：點(diǎn)擊“導(dǎo)入授權(quán)文件選擇授權(quán)文件進(jìn)展導(dǎo)入；導(dǎo)入后可看到“授權(quán)文件明細(xì)。確認(rèn)配置信息導(dǎo)入授權(quán)文件后，點(diǎn)擊下一步進(jìn)展配置信息確認(rèn)，確認(rèn)無誤后，點(diǎn)擊下一步完成，如圖2.6所示：圖2.6確認(rèn)配置信息操作說明：詳細(xì)確認(rèn)所有配置信

23、息的準(zhǔn)確性；牢記重要配置信息；確認(rèn)無誤后，點(diǎn)擊下一步。向?qū)渲猛瓿膳渲眯畔⒋_認(rèn)無誤后，點(diǎn)擊完成，完畢配置向?qū)?，界面提示“正在重啟網(wǎng)卡，請耐心等待，等待10秒后刷新界面即可進(jìn)入登錄頁面，如圖2.7-2.8所示：圖2.7完成配置向?qū)D2.8 完成配置重啟網(wǎng)卡管理員登錄翻開瀏覽器，輸入 s:/LA-OS-Server的管理IP地址，如圖2.9所示：圖2.9 登錄界面輸入管理員用戶名、密碼和驗(yàn)證碼即可登錄管理界面，登錄后可看到監(jiān)控界面，如圖2.10所示：圖2.10 監(jiān)控界面操作說明：網(wǎng)御LA-OS提供瀏覽器支持，用戶可以通過Internet Explorer8以上的版本和火狐瀏覽器進(jìn)展登錄訪問；用戶登

24、陸界面提供“下載工具通道，包括JRE軟件下載、證書下載和用戶手冊下載，點(diǎn)擊將進(jìn)入相應(yīng)的下載界面。配置認(rèn)證方式導(dǎo)航條上選擇【系統(tǒng)管理】【系統(tǒng)選項(xiàng)】【認(rèn)證源】【添加】，可配置認(rèn)證方式，也可不用配置，系統(tǒng)內(nèi)部默認(rèn)有認(rèn)證模式如圖2.11所示：圖2.11 配置認(rèn)證方式類型選擇：Radius、LDAP、WindowsAD域；操作說明：系統(tǒng)支持本地認(rèn)證和其它認(rèn)證方式；其它所有管理員和運(yùn)維用戶均與選擇的認(rèn)證方式相關(guān)聯(lián)；系統(tǒng)默認(rèn)通過系統(tǒng)自身的賬號管理系統(tǒng)進(jìn)展身份認(rèn)證；Radius：通過Radius協(xié)議由第三方認(rèn)證服務(wù)器對系統(tǒng)用戶進(jìn)展身份認(rèn)證；LDAP：通過輕量級目錄訪問協(xié)議由第三方認(rèn)證服務(wù)器對系統(tǒng)用戶進(jìn)展身份認(rèn)

25、證在下拉菜單中可選擇openldap和ad域的ldap方式的認(rèn)證；WindowsAD域：通過Windows AD域服務(wù)器對系統(tǒng)用戶進(jìn)展身份認(rèn)證。添加管理員重新以超級管理員的身份登錄系統(tǒng)，進(jìn)入日常管理界面，選擇【系統(tǒng)管理】【權(quán)限管理】【管理員】，如圖2.12所示：詳細(xì)操作請參見8.6.1章節(jié)。圖2.12 超級管理員操作界面操作說明：默認(rèn)管理員權(quán)限共七種：用戶管理，資源管理，策略管理、審計(jì)管理，報(bào)表管理、密碼管理、系統(tǒng)管理；管理員角色可以多項(xiàng)選擇，即一個(gè)用戶可以兼任多個(gè)管理角色；用戶管理：用戶、用戶組的增刪改管理；資源管理：資源、資源分類、資源類型的增刪改管理；策略管理：運(yùn)維用戶、主機(jī)及相應(yīng)的授權(quán)

26、策略管理；審計(jì)管理：審計(jì)運(yùn)維用戶的操作，包括實(shí)時(shí)監(jiān)控、記錄檢索、審計(jì)信息等功能；報(bào)表管理：報(bào)表的生成和下載，包括會(huì)話報(bào)表、異常會(huì)話報(bào)表、異常操作報(bào)表、自定義報(bào)表等；密碼管理：主機(jī)的密碼安全管理，包括密碼策略、自動(dòng)改密、手工改密以及管理密碼文件；系統(tǒng)管理：管理網(wǎng)御LA-OS的 基本配置，包括系統(tǒng)監(jiān)控、管理員配置及其他 基本配置信息。系統(tǒng)密碼策略導(dǎo)航條上選擇【密碼管理】【密碼策略】可配置與密碼相關(guān)的安全策略，如圖2.13所示：圖2.13密碼策略配置密碼最小長度：限定所有網(wǎng)御LA-OS賬戶的密碼最小長度密碼復(fù)雜度：勾選可設(shè)置密碼必須包含大小寫字母、數(shù)字或符號密碼周期：假設(shè)啟用，可設(shè)置密碼過期時(shí)間和提

27、醒時(shí)間，默認(rèn)為90天密碼過期歷史比照：假設(shè)啟用，可設(shè)置密碼比照次數(shù)，默認(rèn)為3次登錄鎖定：假設(shè)啟用，在規(guī)定的時(shí)間內(nèi)輸入密碼錯(cuò)誤超過設(shè)置的次數(shù)，那么將帳號鎖定，并設(shè)置自動(dòng)解鎖時(shí)間用戶管理添加用戶選擇導(dǎo)航條上【用戶管理】，查看當(dāng)前用戶列表，并可執(zhí)行【添加】操作；如圖3.1所示：圖3.1 添加用戶-根基信息導(dǎo)航至【用戶管理】，可在用戶列表界面查看到用戶名稱、狀態(tài)、組織機(jī)構(gòu)、真實(shí)姓名、主機(jī)、郵箱等信息。點(diǎn)擊【添加】進(jìn)入用戶屬性編輯界面，輸入用戶根基信息名稱；用戶名支持英文字母、數(shù)字、下劃線、小數(shù)點(diǎn)輸入；此項(xiàng)為必填項(xiàng)啟用/禁用：更改用戶賬號的啟停狀態(tài)；新賬號默認(rèn)狀態(tài)為啟用密碼：密碼設(shè)置可選擇手工輸入或由系

28、統(tǒng)自動(dòng)生成密碼；此項(xiàng)為必填項(xiàng)真實(shí)姓名；輸入用戶真實(shí)姓名；姓名支持中英名字母輸入；此項(xiàng)為必填項(xiàng)手機(jī)：輸入用戶手機(jī)號碼；此類信息為可選擇輸入項(xiàng)郵箱：輸入用戶郵箱地址；此類信息為可選擇輸入項(xiàng)開場時(shí)間&完畢時(shí)間：指定用戶登錄的時(shí)間范圍；此類信息為可選擇輸入項(xiàng)登錄限制：包括客戶端IP地址或所在網(wǎng)段網(wǎng)段的格式例如：192.168.1.0/24和MAC地址MAC地址的輸入格式例如：00-1F-16-29-F1-15的限制高級屬性：可勾選不能修改密碼、密碼永不過期、密碼已過期備注：可在此對該用戶進(jìn)展描述；此項(xiàng)為可選擇輸入項(xiàng)強(qiáng)認(rèn)證USB令牌認(rèn)證：根據(jù)需要選擇運(yùn)維用戶登錄時(shí)是否使用USB令牌認(rèn)證需要插上已通過令牌

29、重置工具初始化的USB令牌，如圖3.2所示令牌狀態(tài)：顯示令牌狀態(tài)令牌密碼：用于此運(yùn)維用戶登錄進(jìn)展令牌認(rèn)證時(shí)下載令牌重置工具：令牌重置工具用于重新初始化已與用戶綁定的USB令牌，重新初始化后的USB令牌可以再次與需要令牌認(rèn)證的用戶進(jìn)展綁定圖3.2 添加用戶-強(qiáng)認(rèn)證屬性應(yīng)用工具限制：用于有應(yīng)用發(fā)布功能時(shí)，可選擇限制運(yùn)維用戶使用運(yùn)維工具的種類如圖3.3所示。圖3.3 添加用戶-應(yīng)用工具限制點(diǎn)擊【確定】完成用戶賬號添加。重要說明：手機(jī)輸入需符合手機(jī)號碼位長及格式要求；Email信息輸入需要符合郵件格式要求；密碼設(shè)置需要符合密碼管理密碼策略中已定義的密碼長度及復(fù)雜度要求；啟用賬號有效期后，過期賬號將會(huì)自

30、動(dòng)鎖定；強(qiáng)認(rèn)證根據(jù)需要選擇用戶登錄是否使用USB令牌認(rèn)證。編輯用戶屬性選擇導(dǎo)航條上【用戶管理】，查看當(dāng)前用戶列表，在對應(yīng)的用戶名后，點(diǎn)擊【屬性】可對已經(jīng)存在的用戶信息進(jìn)展修改，如圖3.3所示：圖3.3 編輯用戶屬性-根基信息 在強(qiáng)認(rèn)證屬性中對用戶增加使用USB令牌認(rèn)證，如圖3.4所示，對已使用USB令牌認(rèn)證的用戶解除令牌綁定，如圖3.5所示：圖3.4 編輯用戶屬性-強(qiáng)認(rèn)證圖3.5 編輯用戶屬性-強(qiáng)認(rèn)證2重要說明：編輯用戶 基本信息，如密碼、真實(shí)姓名、手機(jī)、郵箱、描述等；修改密碼：重新設(shè)置用戶密碼；啟用有效期：修改賬號有效期，不啟用那么為永久賬號；在強(qiáng)認(rèn)證中，配置USB令牌認(rèn)證的相關(guān)信息；在應(yīng)用

31、工具限制中，對運(yùn)維用戶可使用的運(yùn)維工具進(jìn)展限制。用戶其它操作選擇導(dǎo)航條上【用戶管理】，查看當(dāng)前用戶列表；如圖3.6所示：圖3.6 用戶列表刪除：從用戶列表中勾選需要?jiǎng)h除的用戶，點(diǎn)擊【刪除】可從系統(tǒng)中刪除該運(yùn)維用戶啟用：從用戶列表中勾選需要禁用的用戶，點(diǎn)擊【禁用】可將此用戶禁用禁用：從用戶列表中勾選需要啟用的用戶，點(diǎn)擊【啟用】可將此用戶啟用移動(dòng)：從用戶列表中勾選需要移動(dòng)到其它組織機(jī)構(gòu)的用戶，點(diǎn)擊【移動(dòng)】，選擇需要移動(dòng)到的組織機(jī)構(gòu)名全部導(dǎo)出：按系統(tǒng)定義的格式導(dǎo)出全部用戶列表導(dǎo)出當(dāng)前：按系統(tǒng)定義的格式導(dǎo)出選中的用戶列表用戶組織機(jī)構(gòu)選擇導(dǎo)航條上【用戶管理】；查看當(dāng)前用戶組織機(jī)構(gòu)列表，并可執(zhí)行用戶組織機(jī)

32、構(gòu)管理操作；如圖3.7所示：圖3.7用戶組織機(jī)構(gòu)管理鼠標(biāo)指針移動(dòng)到資源組名稱，顯示操作按鈕：添加：在組織機(jī)構(gòu)或已建設(shè)的組織機(jī)構(gòu)名處，點(diǎn)擊，即成功添加相應(yīng)組織機(jī)構(gòu)修改：在已建設(shè)的組織機(jī)構(gòu)名處，點(diǎn)擊，即可修改組織機(jī)構(gòu)的負(fù)責(zé)人、 和備注，名稱為不可修改項(xiàng)刪除：在對應(yīng)的組織機(jī)構(gòu)名處，點(diǎn)擊，即成功刪除相應(yīng)組織機(jī)構(gòu)導(dǎo)出：在資源組或已建設(shè)的組織機(jī)構(gòu)名處，點(diǎn)擊，即可將組織機(jī)構(gòu)信息導(dǎo)出資源管理添加資源選擇導(dǎo)航條上【資源管理】【資源】；查看當(dāng)前資源列表，并可執(zhí)行【添加】操作；如圖4.1所示：圖4.1添加資源資源列表查看列表查看：名稱、資源組、資源分類、資源系統(tǒng)類型、IP地址、操作輸入資源屬性 基本信息：名稱：輸入

33、資源名至資源屬性；資源名支持中英文、數(shù)字及字符輸入；此項(xiàng)為必填項(xiàng)狀態(tài)：在下拉菜單中選擇啟用或禁用資源；此項(xiàng)為必選項(xiàng)資源分類：在下拉菜單中選擇資源類型；此項(xiàng)為必選項(xiàng)資源系統(tǒng)類型：在下拉菜單中選擇資源系統(tǒng)類型；此項(xiàng)為必選項(xiàng)IP地址：輸入資源設(shè)備IP地址；此項(xiàng)為必填項(xiàng)及可填多個(gè)IP地址編號：輸入資源設(shè)備的編號所有者：輸入資源設(shè)備的所有者負(fù)責(zé)人：輸入資源設(shè)備的負(fù)責(zé)人備注：對該主機(jī)的功能、特性進(jìn)展說明添加資源服務(wù)信息；如圖4.2所示：圖4.2添加資源服務(wù)名稱：輸入資源服務(wù)屬性；服務(wù)名支持中英文、數(shù)字及字符輸入；此項(xiàng)為必填項(xiàng)類型：在下拉菜單中選擇服務(wù)類型；此項(xiàng)為必選項(xiàng)端口：輸入該服務(wù)的端口號；此項(xiàng)為必填項(xiàng)

34、備注：填寫添加服務(wù)的備注信息添加資源系統(tǒng)賬號信息；如圖4.3所示：圖4.3添加資源賬號名稱：輸入資源賬號；此項(xiàng)為必填項(xiàng)，如賬號為特權(quán)賬號，需勾選特權(quán)賬號密碼及密碼確認(rèn)：輸入該賬號對應(yīng)密碼及密碼確認(rèn)，如密碼為空那么不用輸入資源AD域：如資源為windows系統(tǒng)，并參加了域，需要對此資源的賬號改密時(shí)，需要選擇資源所屬域域相關(guān)的參數(shù)設(shè)置請參加本手冊4.7章節(jié)服務(wù)授權(quán)：勾選該賬號連接本資源的服務(wù)類型，可多項(xiàng)選擇參數(shù)：填寫連接登錄所需參數(shù)，如oracle實(shí)例名，登錄角色選擇normal、sysdba或sysoper；備注：填寫該資源賬號的備注信息點(diǎn)擊【添加】完成全部主機(jī)信息錄入。重要說明：通常情況下，用

35、戶只需要配置資源IP、資源名、資源類型、服務(wù)類型及資源賬號信息即可；賬號切換命令、密碼輸入提示、所有者、負(fù)責(zé)人、編號、備注為可選擇輸入項(xiàng)，如無需要可不用填寫；資源分類、資源系統(tǒng)類型、資源AD域需要在資源管理資源分類、資源管理資源系統(tǒng)類型、資源管理資源AD域中先行定義；用戶可以對協(xié)議默認(rèn)端口號進(jìn)展修改；列表中禁用資源用紅色顯示編輯主機(jī)選擇導(dǎo)航條上【資源管理】【資源】；查看當(dāng)前資源列表，在對應(yīng)的資源名后，點(diǎn)擊【屬性】、【服務(wù)】、【賬號】可分別對已經(jīng)存在的主機(jī)信息進(jìn)展修改，如圖4.4-4.6所示：圖4.4編輯資源屬性圖4.5編輯資源服務(wù)圖4.6編輯資源賬號編輯資源屬性根基信息。如名稱、資源分類、資源

36、系統(tǒng)類型、IP地址、賬號切換命令 & 密碼輸入提示等編輯資源服務(wù)信息，可對此資源的服務(wù)進(jìn)展添加、編輯、刪除等操作編輯資源賬號信息，可以對本機(jī)賬號進(jìn)展添加、編輯、刪除等操作主機(jī)其它操作選擇導(dǎo)航條上【資源管理】【資源】；查看當(dāng)前資源列表，勾選資源并可執(zhí)行【刪除】操作；如圖4.7所示：圖4.7資源刪除刪除：在勾選對應(yīng)的資源名后，點(diǎn)擊【刪除】可從系統(tǒng)中刪除該資源；可進(jìn)展多個(gè)資源勾選，進(jìn)展批量刪除啟用禁用：在勾選對應(yīng)的資源名后，點(diǎn)擊【禁用】可將此資源停頓使用，點(diǎn)擊【啟用】可將此資源啟用，默認(rèn)資源是啟用狀態(tài)移動(dòng)：在勾選對應(yīng)的資源名后，點(diǎn)擊【移動(dòng)】可將此資源移動(dòng)到其他資源組內(nèi)資源組選擇導(dǎo)航條上【資源管理】【

37、資源】；查看當(dāng)前資源列表，在資源列表左邊，可查看當(dāng)前資源組，并可執(zhí)行資源組管理操作；如圖4.8所示：圖4.8 管理資源組鼠標(biāo)指針移動(dòng)到資源組名稱，顯示操作按鈕：添加：在資源處，點(diǎn)擊，即彈出添加資源組信息框，輸入需要新增的資源組信息修改：在已建設(shè)的資源組名處，點(diǎn)擊，即可修改資源組名稱和備注刪除：在對應(yīng)的資源組名處，點(diǎn)擊，即成功刪除相應(yīng)資源組資源分類選擇導(dǎo)航條上【資源管理】【資源分類】，在資源分類列表中會(huì)顯示系統(tǒng)默認(rèn)的和已添加的資源分類。默認(rèn)資源分類為主機(jī)、數(shù)據(jù)庫、安全設(shè)備和網(wǎng)絡(luò)設(shè)備四種，并且不允許刪除。另外可通過勾選資源分類名稱，對自定義資源分類進(jìn)展刪除操作，點(diǎn)擊資源分類屬性，可對資源分類進(jìn)展編

38、輯。資源分類列表如以以下圖4.9所示：圖4.9 資源分類列表在資源分類界面點(diǎn)擊【添加】，進(jìn)入添加資源分類頁面，如以以下圖4.10所示：圖4.10 添加資源分類名稱：添加名稱。必填項(xiàng)，且不能重復(fù)。僅支持英文字母、數(shù)字、下劃線、小數(shù)點(diǎn)。備注：該資源分類的描述說明。資源系統(tǒng)類型選擇導(dǎo)航條上【資源管理】【資源系統(tǒng)類型】，在資源系統(tǒng)類型列表中會(huì)顯示系統(tǒng)默認(rèn)的和已添加的資源系統(tǒng)類型，默認(rèn)資源類型有Linux、Windows、AIX、HP-UX、Cisco和Huawei六種，并且不允許刪除。另外通過勾選資源類型名稱，可對自定義資源系統(tǒng)類型進(jìn)展刪除操作，點(diǎn)擊資源系統(tǒng)屬性，可對資源系統(tǒng)進(jìn)展編輯。資源系統(tǒng)列表如以

39、以下圖4.11所示：圖4.11 資源系統(tǒng)列表在資源系統(tǒng)類型界面點(diǎn)擊【添加】，進(jìn)入添加資源系統(tǒng)頁面，如以以下圖4.12所示：圖4.12 添加資源系統(tǒng)類型名稱：資源系統(tǒng)名稱。必填項(xiàng)，且不能重復(fù)。僅支持英文字母、數(shù)字、下劃線、小數(shù)點(diǎn)賬號切換命令：選填項(xiàng)密碼輸入提示：選填項(xiàng)備注：該資源系統(tǒng)類型的描述說明資源AD域選擇導(dǎo)航條上【資源管理】【資源AD域】，如資源為windows系統(tǒng)，并參加了域，需要對此資源的登錄賬號改密時(shí)，可在此提前設(shè)置好資源AD域相關(guān)信息，在添加資源的服務(wù)賬號時(shí)，可直接選擇此處設(shè)置的域名。在主機(jī)AD域列表中會(huì)顯示已添加的AD域清單，列表顯示AD域的域名?？蓮牧斜碇苯觿h除AD域。如圖4.

40、13所示：圖4.13 資源AD域列表添加AD域：點(diǎn)擊【添加資源AD域】，在彈出窗口輸入域名、域管理員名、密碼和域控制器IP地址，點(diǎn)擊【確定】，即可完成AD域的添加編輯AD域：在清單中單擊已有的域名的屬性，可進(jìn)展修改，修改完成之后點(diǎn)擊【確定】，即可完成AD域的編輯刪除AD域：在清單中勾選已有的域名，再點(diǎn)擊【刪除資源AD域】，即可完成AD域的刪除策略管理策略管理主要配置運(yùn)維用戶的訪問授權(quán)及指令授權(quán)。訪問策略授權(quán)和指令操作授權(quán)均可配置黑白名單。授權(quán)中使用到的指令集合、IP集合和時(shí)間集合需要預(yù)先定義。訪問策略選擇導(dǎo)航條上【策略管理】【訪問策略】，授權(quán)運(yùn)維用戶訪問運(yùn)維主機(jī)，需要配置相應(yīng)授權(quán)。訪問策略授權(quán)

41、的配置方式采用向?qū)?。訪問授權(quán)策略頁面如圖5.1所示：圖5.1 訪問授權(quán)策略列表在訪問授權(quán)策略列表中顯示了已配置的策略。點(diǎn)擊【添加】，進(jìn)入訪問策略授權(quán)向?qū)鐖D5.2所示：圖5.2 添加訪問策略名稱：輸入訪問策略名；資源名支持中英文、數(shù)字及字符輸入；此項(xiàng)為必填項(xiàng)高級屬性：選擇是否啟用以下功能：RDP剪切板、RDP磁盤映射限制IP：在啟用限制IP功能后，在IP設(shè)置范圍內(nèi)的運(yùn)維用戶能訪問堡壘機(jī)限制時(shí)間：啟用限制時(shí)間功能后，限制運(yùn)維用戶只能在指定時(shí)間范圍內(nèi)能訪問堡壘機(jī)完成根基信息配置后，點(diǎn)擊【下一步】進(jìn)入綁定用戶頁面如圖5.3所示：圖5.3綁定用戶頁面選擇綁定服務(wù)，點(diǎn)擊【下一步】如圖5.4所示：圖5.

42、4綁定服務(wù)選擇綁定賬號，可點(diǎn)擊連接參數(shù)查看賬號參數(shù)，點(diǎn)擊【確定】完成一條訪問策略配置，如圖5.5所示：圖5.5綁定賬號命令策略選擇導(dǎo)航條上【策略管理】【命令策略】，指令操作授權(quán)主要配置運(yùn)維用戶的指令黑白名單：在命令策略界面點(diǎn)擊【添加】，進(jìn)入命令策略配置向?qū)鐖D5.6所示：圖5.6 命令策略- 基本信息 基本信息填寫名稱、匹配模式、審計(jì)動(dòng)作、告警方式、命令集合、操作命令和操作對象等，名稱：輸入審計(jì)策略名；資源名支持中英文、數(shù)字及字符輸入；此項(xiàng)為必填項(xiàng)匹配模式：在下拉菜單項(xiàng)選擇擇包含或不包含；此項(xiàng)為必選項(xiàng)審計(jì)動(dòng)作：在下拉菜單項(xiàng)選擇擇允許執(zhí)行、忽略命令、阻斷會(huì)話或二次審批；此項(xiàng)為必選項(xiàng)告警方式：包括

43、Syslog、短信、郵件、SNMP，相關(guān)設(shè)置需由系統(tǒng)管理員配置，參見8.2.6和8.3章節(jié)命令集合：選擇在命令集合中設(shè)置的命令集操作&對象：輸入需要匹配的運(yùn)維操作命令和對象填寫完根基信息后，點(diǎn)擊【下一步】如圖5.7所示：圖5.7 命令策略綁定用戶綁定用戶，勾選上用戶名稱將這條審計(jì)策略授權(quán)到指定用戶，點(diǎn)擊【下一步】如圖5.8所示：圖5.8命令策略綁定服務(wù)綁定服務(wù)，勾選上運(yùn)維服務(wù)名稱將審計(jì)策略授權(quán)到指定服務(wù)，點(diǎn)擊【確定】完成一條審計(jì)策略的配置。操作說明：1、策略命令配置和執(zhí)行命令拒絕為黑名單，一旦運(yùn)維用戶使用命令列表中的命令，將會(huì)觸發(fā)響應(yīng)，響應(yīng)方式在審計(jì)動(dòng)作配置，通常設(shè)置為阻斷命令。2、策略命令配

44、置和執(zhí)行命令允許為白名單，運(yùn)維用戶使用命令列表中的命令，將會(huì)觸發(fā)響應(yīng)，響應(yīng)方式在審計(jì)動(dòng)作配置，通常設(shè)置為忽略命令。3、輸入多個(gè)命令時(shí)。每一行只能輸入一個(gè)命令。集合設(shè)定時(shí)間集合選擇導(dǎo)航條上【策略管理】【集合設(shè)定】【時(shí)間集合】，查看當(dāng)前時(shí)間集合列表，點(diǎn)擊【添加時(shí)間集合】如圖5.9所示：圖5.9添加時(shí)間集合名稱：該時(shí)間集合的名稱，可以使用字母、數(shù)字和中文區(qū)間&開場時(shí)間&完畢時(shí)間：配置時(shí)間范圍，可輸入多個(gè)時(shí)間范圍，每行一個(gè)備注：該時(shí)間集合的說明文字重要說明：使用【添加】可以配置多個(gè)時(shí)間范圍。時(shí)間范圍的數(shù)量無限制設(shè)置了時(shí)間集合，在添加訪問策略時(shí)，如需限制訪問時(shí)間時(shí)就可以直接選擇提前設(shè)置的時(shí)間集合IP集合

45、選擇導(dǎo)航條上【策略管理】【集合設(shè)定】【IP集合】，查看當(dāng)前命令集合列表，點(diǎn)擊【添加IP集合】如圖5.10所示：圖5.10添加IP集合名稱：該IP集合的名稱，可以使用字母、數(shù)字和中文起始IP&終止IP&顯示信息：該IP集合的IP地址段，可輸入多個(gè)IP地址段，每行一個(gè)備注：該IP集合的說明文字重要說明：設(shè)置了IP集合，在添加訪問策略時(shí)，如需限制訪問的源IP的地址范圍時(shí)就可以直接選擇提前設(shè)置的IP集合命令集合選擇導(dǎo)航條上【策略管理】【集合設(shè)定】【命令集合】，查看當(dāng)前命令集合列表，點(diǎn)擊【添加命令集合】如圖5.11所示：圖5.11添加命令集合名稱：該指令集合的名稱，可以使用字母、數(shù)字和中文操作&對象：指

46、令集合的內(nèi)容，可以輸入多個(gè)指令，每行一個(gè)，對象可為空備注：該指令集合的說明文字從文件導(dǎo)入：命令集合支持導(dǎo)入功能，可提前在文檔中按照要求的格式設(shè)置好需要導(dǎo)入的命令重要說明：設(shè)置了命令集合，在添加命令策略時(shí)，可直接選擇提前設(shè)置的命令集合審計(jì)管理實(shí)時(shí)監(jiān)控會(huì)話監(jiān)控選擇導(dǎo)航條上【審計(jì)管理】【實(shí)時(shí)監(jiān)控】【會(huì)話監(jiān)控】，如圖6.1所示：圖6.1 會(huì)話監(jiān)控會(huì)話監(jiān)控：對已建設(shè)的會(huì)話進(jìn)展實(shí)時(shí)監(jiān)控，可查看到用戶名、資源、服務(wù)、賬號、開場時(shí)間等信息。實(shí)時(shí)監(jiān)控選擇導(dǎo)航條上【運(yùn)維管理】【實(shí)時(shí)監(jiān)控】【會(huì)話監(jiān)控】，如圖6.2所示：圖6.2 會(huì)話監(jiān)控實(shí)時(shí)監(jiān)控：對會(huì)話監(jiān)控列表中的會(huì)話條目選擇實(shí)時(shí)監(jiān)控，可對正在進(jìn)展的會(huì)話以圖形的方式

47、實(shí)時(shí)監(jiān)控，如圖6.2所示。圖6.3 強(qiáng)制完畢會(huì)話強(qiáng)制完畢會(huì)話：在會(huì)話監(jiān)控列表選擇需要斷開的會(huì)話，再點(diǎn)擊【強(qiáng)制完畢會(huì)話】，可斷開正在進(jìn)展的會(huì)話，如圖6.3所示。日志查詢網(wǎng)御LA-OS擁有強(qiáng)大的日志查詢功能，同時(shí)自帶了大量的審計(jì)報(bào)表模板，讓用戶方便的制作各類報(bào)表。管理日志管理日志主要對管理員在網(wǎng)御網(wǎng)絡(luò)審計(jì)系統(tǒng)上所做的操作進(jìn)展審計(jì)，選擇導(dǎo)航條上【運(yùn)維管理】【日志查詢】【管理日志】【設(shè)置查詢條件】，頁面如圖6.4-6.6所示：圖6.4 管理日志查詢-根基限制圖6.5 管理日志查詢-運(yùn)維用戶限制圖6.6 管理日志查詢-管理員限制管理日志查詢結(jié)果如圖6.7所示：圖 6.7 管理日志查詢結(jié)果重要說明：設(shè)置查

48、詢條件中可根據(jù)操作時(shí)間、操作狀態(tài)、日志類型、操作名稱以及指定用戶來設(shè)定查詢；管理日志查詢結(jié)果可導(dǎo)出為CSV格式文件。登錄日志登錄日志主要是對用戶登錄或注銷登錄網(wǎng)御網(wǎng)絡(luò)審計(jì)系統(tǒng)的行為進(jìn)展記錄，選擇導(dǎo)航條上【運(yùn)維管理】【日志查詢】【審計(jì)日志】【設(shè)置查詢條件】，如圖6.7-6.9所示：圖6.7 登錄日志查詢-根基限制圖6.8 登錄日志查詢-運(yùn)維用戶限制圖6.9 登錄日志查詢-管理員限制登錄日志查詢結(jié)果如圖6.10所示：圖6.10 登錄日志查詢結(jié)果重要說明：設(shè)置查詢條件中可根據(jù)操作時(shí)間、操作狀態(tài)、操作名稱以及指定用戶來設(shè)定查詢；登錄日志查詢結(jié)果可導(dǎo)出為CSV格式文件。審計(jì)日志審計(jì)日志主要是對用戶操作目

49、標(biāo)設(shè)備進(jìn)展操作的審計(jì)，選擇導(dǎo)航條上【運(yùn)維管理】【日志查詢】【審計(jì)日志】【設(shè)置查詢條件】，如圖6.11-6.14所示：圖 6.11審計(jì)日志查詢-根基限制圖 6.12 審計(jì)日志查詢-服務(wù)限制圖 6.13 審計(jì)日志查詢-用戶限制圖 6.14 審計(jì)日志查詢-命令策略限制審計(jì)日志查詢結(jié)果，如圖6.15所示：圖 6.15 審計(jì)日志查詢結(jié)果圖 6.16 審計(jì)日志-命令詳情和回放重要說明：審計(jì)日志查詢可根據(jù)時(shí)間限制、審計(jì)動(dòng)作、服務(wù)IP地址、用戶IP地址、賬號限制、關(guān)鍵字限制等根基查詢條件設(shè)置查詢；審計(jì)日志查詢還可選定用戶及主機(jī)服務(wù)等設(shè)置查詢；查詢結(jié)果可先試詳情，點(diǎn)擊一條日志前的+號或者選擇上方的“顯示詳情即可

50、展開該會(huì)話的詳細(xì)信息；日志結(jié)果可導(dǎo)出為CSV格式文件；雙擊審計(jì)日志條目能查看命令詳情和會(huì)話回放如圖6.16所示。審計(jì)報(bào)表報(bào)表模板選擇導(dǎo)航條上【審計(jì)管理】【審計(jì)報(bào)表】【報(bào)表模版】，網(wǎng)御LA-OS內(nèi)置了大量的報(bào)表模板，可以方便的生成各種統(tǒng)計(jì)或明細(xì)報(bào)表。內(nèi)置的報(bào)表模板分為：默認(rèn)會(huì)話報(bào)表模版、默認(rèn)操作報(bào)表模版、默認(rèn)異常會(huì)話報(bào)表模版和默認(rèn)異常操作報(bào)表模版，用戶僅需在對應(yīng)的報(bào)表模板點(diǎn)擊“生成報(bào)表就可按照需要的時(shí)間自動(dòng)生成報(bào)表，如圖6.17所示：圖 6.17 報(bào)表模版在【審計(jì)管理】【審計(jì)報(bào)表】【報(bào)表模板】列表界面，點(diǎn)擊【生成報(bào)表】即可設(shè)置創(chuàng)立報(bào)表，如圖6.18-6.19所示：圖6.18 創(chuàng)立報(bào)表- 基本信息

51、圖6.19 創(chuàng)立報(bào)表-詳細(xì)配置在【審計(jì)管理】【審計(jì)報(bào)表】【報(bào)表文件】界面中可看見已生成的報(bào)表和方案任務(wù)，方案任務(wù)是指周期性地生成報(bào)表，如圖6.20-6.21所示：圖6.20已生成報(bào)表列表圖 6.21 方案任務(wù)報(bào)表重要說明：報(bào)表生成流程選擇導(dǎo)航條上【審計(jì)管理】【審計(jì)報(bào)表】【報(bào)表模版】在報(bào)表模板分類列表里選擇需要操作的分類在對應(yīng)的報(bào)表模板項(xiàng)，點(diǎn)擊“生成報(bào)表，彈出“創(chuàng)立報(bào)表向?qū)г趧?chuàng)立報(bào)表界面填寫 基本信息和詳細(xì)配置后，點(diǎn)擊“生成報(bào)表在【審計(jì)管理】【審計(jì)報(bào)表】【報(bào)表文件】【已生成報(bào)表】里，可查看到剛剛生成的報(bào)表自定義報(bào)表選擇導(dǎo)航條上【審計(jì)管理】【審計(jì)報(bào)表】【報(bào)表模板】，用戶也可以自定義報(bào)表模板，如圖6

52、.23所示：圖6.23自定義報(bào)表新增模板，如圖6.24-6.27所示：圖6.24 新建模版- 基本信息圖6.25 新建模版-報(bào)表?xiàng)l件圖6.26 新建模版-根基報(bào)表圖6.27 新建模版-完成設(shè)置重要說明：網(wǎng)御LA-OS選擇在每天的空閑時(shí)間制作自動(dòng)報(bào)表。如選擇【每天】，那么在每天凌晨00：00之后開場制作上一天的自動(dòng)報(bào)表；如選擇【每周】，那么在每周一的凌晨00：00之后開場制作上一周的自動(dòng)報(bào)表；如選擇【每月】，那么在每月1日的凌晨00：00之后開場制作上一月的自動(dòng)報(bào)表。密碼管理密碼策略選擇導(dǎo)航條上【密碼管理】【密碼策略】，可配置與密碼相關(guān)的安全策略，詳細(xì)說明參見2.5章節(jié)。頁面如圖7.1所示：圖7

53、.1 密碼策略自動(dòng)改密方案選擇導(dǎo)航條上【密碼管理】【自動(dòng)改密方案】，點(diǎn)擊【添加】可配置定期自動(dòng)修改運(yùn)維主機(jī)的用戶密碼。如圖7.2所示：圖7.2 自動(dòng)改密方案方案名稱：必填項(xiàng)，不能使用特殊字符，可以使用大小寫字母、數(shù)字。首次執(zhí)行時(shí)間：第一次自動(dòng)改密的時(shí)間。執(zhí)行周期：配置定期修改密碼的時(shí)間。密碼策略：生成新密碼的復(fù)雜度要求?？梢允褂秒S機(jī)密碼，也可以手動(dòng)指定。填寫密碼名稱、選擇首次執(zhí)行時(shí)間、執(zhí)行周期、密碼策略，點(diǎn)擊改密對象配置中的配置主機(jī)，選擇改密方案發(fā)送的對象，如圖7.3所示:圖7.3 改密對象勾選改密對象，點(diǎn)擊【確定】完成。重要說明：使用改密功能時(shí)，必須配置一個(gè)超級管理員賬號為特權(quán)賬號，支持對普

54、通賬號進(jìn)展改密；如果主機(jī)為windows，首先要求windows主機(jī)必須開啟telnet服務(wù)，其次必須在網(wǎng)御LA-OS管理界面中，對該windows主機(jī)配置telnet服務(wù)并綁定超級管理員賬號和需要進(jìn)展改密的普通用戶賬號，超級管理員賬號設(shè)置為特權(quán)賬號；windows類型設(shè)備RPC改密機(jī)制：改域中的賬號的密碼的前提是對應(yīng)的域名必須配置好對應(yīng)的域控IP地址，在主機(jī)管理中的主機(jī)AD域管理里有對應(yīng)的域名的域控制器的IP地址的配置，同一域名可以對應(yīng)多個(gè)IP，但是是在一個(gè)框中輸入以分號分隔，這個(gè)并非是指一個(gè)域名可以對應(yīng)多個(gè)域控服務(wù)器，而是指主域控服務(wù)器以及備域控服務(wù)器，我們在確定某個(gè)域是哪個(gè)域控服務(wù)器的時(shí)

55、候是先從第一個(gè)IP上去確定的，如果第一個(gè)IP不能連接那么嘗試分號分隔的第二個(gè)IP，直到能連通為止；不過要注意的是域用戶的改密實(shí)質(zhì)上是改域控服務(wù)器中的該賬號的密碼，意味著主機(jī)上但凡配了該域的該賬號的密碼均被修改，不是只改了所改的那臺主機(jī)上的該賬號的密碼；主機(jī)類型為linux、unix 只支持telnet、ssh、rlogin協(xié)議的帳號修改，root帳號必須勾選為特權(quán)帳號；4、Cisco、H3C修改帳號必須有一個(gè)超級管理員和一個(gè)普通用戶；自動(dòng)改密結(jié)果選擇導(dǎo)航條上【密碼管理】【自動(dòng)改密結(jié)果】，查看自動(dòng)改密的結(jié)果，如圖7.4所示：圖7.4 自動(dòng)改密結(jié)果重要說明：自動(dòng)改密結(jié)果會(huì)通過郵件的方式發(fā)送到創(chuàng)立該

56、自動(dòng)改密方案的管理員，前提條件是該管理員根基信息中已配置了郵箱地址。下載密碼列表選擇導(dǎo)航條上【密碼管理】【下載密碼列表】，網(wǎng)御LA-OS提供了下載運(yùn)維主機(jī)當(dāng)前密碼的功能。經(jīng)過自動(dòng)改密后，管理員可能需要一份新的賬號密碼列表，可從這里直接下載，如圖7.5所示：圖7.5 下載密碼列表重要說明：密碼文件需要具有密碼管理權(quán)限的管理員使用網(wǎng)御LA-OS的密碼查看工具查看，密碼查看工具的下載界面在【密碼管理】【下載密碼列表】界面，如圖7.5所示。手動(dòng)改密選擇導(dǎo)航條上【密碼管理】【手動(dòng)改密】，假設(shè)運(yùn)維主機(jī)的密碼經(jīng)過手工修改，并且忘記了密碼的情況下，可以使用手工改密功能，如圖7.6所示：圖圖7.6 手動(dòng)改密重要

57、說明：手工改密不需要原密碼。使用改密功能時(shí)，必須配置一個(gè)超級管理員賬號為特權(quán)賬號，支持對普通賬號進(jìn)展改密；如果主機(jī)為windows，首先要求windows主機(jī)必須開啟telnet服務(wù)，其次必須在網(wǎng)御LA-OS管理界面中，對該windows主機(jī)配置telnet服務(wù)并綁定超級管理員賬號和需要進(jìn)展改密的普通用戶賬號，超級管理員賬號設(shè)置為特權(quán)賬號。系統(tǒng)管理網(wǎng)御LA-OS運(yùn)維安全系統(tǒng)管理員，主要負(fù)責(zé)管理網(wǎng)御LA-OS的 基本配置。包括網(wǎng)絡(luò)及全局策略配置、系統(tǒng)時(shí)間管理、配置備份管理、管理員配置等。網(wǎng)御LA-OS超級管理員在完成配置向?qū)r(shí)，會(huì)添加一個(gè)系統(tǒng)管理員用戶。通過該用戶登錄網(wǎng)御LA-OS實(shí)施系統(tǒng) 基本

58、配置。系統(tǒng)信息授權(quán)信息導(dǎo)航條上選擇【系統(tǒng)管理】【系統(tǒng)信息】【授權(quán)信息】可查看網(wǎng)御LA-OS系統(tǒng)的授權(quán)信息，如圖8.1所示：圖8.1 授權(quán)信息點(diǎn)擊更新授權(quán)文件可對授權(quán)信息進(jìn)展更新獲取一次授權(quán)。系統(tǒng)升級導(dǎo)航條上選擇【系統(tǒng)管理】【系統(tǒng)信息】【系統(tǒng)升級】可對網(wǎng)御LA-OS進(jìn)展升級，如圖8.2-8.3所示：圖8.2 系統(tǒng)升級圖8.3 安裝升級包操作說明：升級包獲取請聯(lián)系廠商人員進(jìn)展獲?。还芾韱T上傳升級包后，請按描述選擇恰當(dāng)?shù)臅r(shí)段進(jìn)展升級，如升級包描述需要升級后重啟設(shè)備，那么請管理員選擇用戶使用率較少的時(shí)段進(jìn)展升級。配置備份導(dǎo)航條上選擇【系統(tǒng)管理】【系統(tǒng)信息】【配置備份】可對系統(tǒng)配置進(jìn)展備份或恢復(fù)，如圖8

59、.4所示：圖8.4 配置備份數(shù)據(jù)備份導(dǎo)航條上選擇【系統(tǒng)管理】【系統(tǒng)信息】【數(shù)據(jù)備份】可對系統(tǒng)的所有數(shù)據(jù)包括配置信息和日志信息進(jìn)展備份，如圖8.5所示：圖8.5 數(shù)據(jù)備份電源管理導(dǎo)航條上選擇【系統(tǒng)管理】【系統(tǒng)信息】【電源管理】可對系統(tǒng)進(jìn)展重啟和關(guān)機(jī)操作，如圖8.6所示：圖8.6 電源管理系統(tǒng)選項(xiàng)高可用性導(dǎo)航條上選擇【系統(tǒng)管理】【系統(tǒng)選項(xiàng)】【高可用性】可對熱備及浮動(dòng)地址進(jìn)展配置，如圖8.7所示：圖8.7 高可用性操作說明：事先定義好熱備的主機(jī)和備機(jī)，確定熱備功能所需的浮動(dòng)IP地址；在主機(jī)的高可用性配置界面，選擇“啟用熱備功能；選擇熱備角色為“主機(jī)；配置浮動(dòng)IP地址注意子網(wǎng)掩碼格式：例如172.16

60、.67.203/16，選擇浮動(dòng)IP相關(guān)聯(lián)的網(wǎng)卡；輸入配對號配對號的范圍為：1-254，必須保持主備機(jī)配對號一致；輸入備機(jī)IP地址，點(diǎn)“確定保存；在備機(jī)的高可用性配置界面，選擇“啟用熱備功能；選擇熱備角色為“備機(jī)；輸入浮動(dòng)IP地址注意子網(wǎng)掩碼格式：例如172.16.67.203/16；選擇浮動(dòng)IP相關(guān)聯(lián)的網(wǎng)卡；輸入主機(jī)IP地址，根據(jù)需要勾選“同步配置勾選后點(diǎn)擊“確定就立即同步主機(jī)配置，點(diǎn)“確定保存；熱備功能默認(rèn)備機(jī)去同步主機(jī)的配置，同步周期默認(rèn)為每個(gè)小時(shí)同步一次。熱備配置成功后，就能通過浮動(dòng)IP訪問系統(tǒng)： s:/浮動(dòng)IP地址例如： s:/172.16.67.203。格爾認(rèn)證支持格爾安全網(wǎng)關(guān)傳遞c