《安全访问网关(sag)产品快速使用手册3.4》由会员分享,可在线阅读,更多相关《安全访问网关(sag)产品快速使用手册3.4(41页珍藏版)》请在金锄头文库上搜索。
1、 1 Security Access Gateway 索特安全访问网关 3.4 快速使用手册 2 目目 录录 第一章 前言 . 3 第二章 初次使用 SAG . 4 2.1 安装部署 . 4 2.2 采用 WebUI 方式管理 . 4 第三章 快速使用 . 7 3.1 字符服务访问过程 . 7 3.2 图形服务访问过程 . 17 3.2.1 RDP 访问过程 . 17 3.2.2 VNC 访问过程 . 25 3.2.3 X11 访问过程 . 26 3.3 文件传输服务访问过程 . 28 3.4 Web 服务访问过程 . 32 3.5 应用程序访问过程 . 34 3 第一章 前言 本文档编写目的
2、主要是介绍如何利用安全访问网关提供的管理、授权、审计等诸多功能来强化现有的安全管理制度。 南京索特软件有限公司拥有本文档的全部版权。未经本公司书面许可,任何单位及个人不得以任何方式或理由对本文档的任何部分进行复制、抄录、传播或将技术文档翻译成他国语言。 本文档适用于系统管理员,以及所有进行设备安装、调试的工程师、技术支持人员等。 4 第二章 初次使用 SAG 2.12.1 安装安装部署部署 安全访问网关产品可以安装在标准的19英寸的机架上, 也可独立安装在任何平稳的表面上,但要确保设备四周有3.75厘米左右的空间让设备正常散热。 网络连接方法如下:网络连接方法如下: 将eth0号网口作为默认网
3、络接口连接到用户内部网络,或可访问的网络节点。 将eth1号网口作为HA端口连接到另一台SAG设备上,若无需HA功能,则无需连接此接口。 图1 网络部署 2.22.2 采用采用 WebUIWebUI 方式管理方式管理 出厂配置出厂配置 eth0号网口地址为:192.168.1.1 用户名及口令用户名及口令: 用户名 口令 管理方式 备注 admin admin123!# Web方式,即HTTPS 系统内置用户,不可删除,可修改密码。 5 具体步骤: 1)将安全访问网关的 eth0 号网口和管理 PC 连接在一起。或者将两台设备通过直连线连接在同一网络上。 2)将管理PC配置到和安全访问网关一个
4、网段。设置管理PC的IP地址为192.168.1.101,同时将网络掩码设为255.255.255.0。 3)启动IE浏览器,在地址栏里输入“https:/192.168.1.1”,进入安全访问网关的Web用户界面。 图2 登录界面 4)输入用户名“admin”,口令“admin123!#”,如果错误输入用户名或密码超过两次需要输入验证码,点击“登录”,进入SAG内部管理界面。 6 图3 首页 5)修改 SAG IP 地址,打开【系统管理网络接口】菜单,出现如下界面: 图4 修改网络接口 修改 SAG 网关地址,将 eth0 修改为用户规划的 IP,如:192.168.0.211,然后“提交”
5、即可。由于 IP 即时生效,网络会中断; 地址修改之后,重新按照上述步骤登录,(记住:此时 SAG 登录地址为修改后的新 IP 地址); 7 第三章 快速使用 3.1 字符服务访问过程字符服务访问过程 字符服务支持 SSH、Telnet、Rlogin 协议,它们的访问过程类似,下面以 SSH 访问过程为例。 SSH访问过程流程图为: 打开SAG管理界面输入网关用户名、密码列表:选择一个配置了SSO账 号的SSH资源登录到目标设备实际操作管理员快速授权使用putty工具登录到 SAG维护人员监控会话、 断开会话维护人员查看会话命 令、在线回放或下载 离线回放会话列表:选择一个手工代填的 SSH资
6、源输入目标资源的服务端口号、 登录账号及密码图5 SSH 访问过程流程图 8 使用使用 putty 工具直接登录到工具直接登录到 SAG 访问过程事例详解:访问过程事例详解: 1)快速授权,选择【访问控制-快速授权】菜单,授权用户、用户组可以访问的资源、资源组,并指定对应的授权策略,页面如下。 可创建“用户/组资源/组资源账号策略”的授权。 图6 快速授权 F 在“用户/用户组”输入框中,可输入用户/用户组,如果用户不存在,点击“授权”时,系统提示新增该用户,同时维护人员打开【访问控制-新增用户】菜单,可新增网关用户。 F 在“IP/资源名”输入框中,可输入 IP/资源名,如果 IP 不存在,
7、点击“授权”时,系统提示新增该资源,同时维护人员打开【访问控制-新增资源】菜单,可新增资源。 F 授权时,默认设置是“常用协议”策略,点击策略名,出现下拉框,可设置其他授权策略。选择框后面出现“”按钮,点击“”按钮,查看策略的详细信息,点击“”按钮,关闭下拉框。 F 点击“”按钮,展开扩展选项,可设置访问目标资源的 SSO 账号,如图所示。 图7 快速授权 “用户组/用户”输入框后面出现“”按钮,点击按钮,弹出用户选择窗口,如图所示。 图8 选择用户 点击“IP/资源组”输入框后面的“”按钮,弹出资源选择窗口,选择某一资源或多个资源,如图所示。 9 图9 选择资源 选择资源之后,点击“增加 S
8、SO 账号”按钮,可设置访问目标资源的 SSO 账号。 图10 设置 SSO 账号 F 授权完成,在授权列表中可查看用户的所有授权资源及访问策略,如下图。 图11 用户授权查询 F 默认情况下,如果设置了 SSO 账号,是不允许手工代填的方式,如需修改允许手工代填,点击授权记录中的按钮,打开修改页面,选中“允许手工输入” ,如图所示。 10 图12 修改授权 2)授权完成后,打开 putty 工具,输入 SAG 服务器 IP 地址及服务端口号,登录到 SAG服务器。 图13 打开 putty 工具 11 图14 登录到 SAG 服务器 3)输入网关用户名及密码,如输入用户 user001,密码
9、 1234abcd,通过认证后显示网关用户可使用资源列表。 图15 资源列表界面 4)选择一个服务器 SSH 服务账号,如上图中选择“4” ,直接登录到目标服务器;或者选择手工方式,如选择“1” ,输入目标服务器 IP、SSH 服务账号及密码登录到目标服务器,如图所示。 12 图16 字符服务手工代填账号 5)目标服务器认证通过后,登录到目标服务器,就可以进行实际操作。 图17 登录到目标服务器 6)维护管理员可实时监控用户会话或直接断开会话。 管理员打开【操作审计-活动会话】菜单,打开活动会话界面,可查看当前正在进行的字符会话。记载网关用户名、客户端 IP、目标服务器 IP 地址、类型,如图
10、所示, 13 图18 活动会话查询 点击【实时监控】按钮,可对当前的这个会话进行实时监控,在监控窗口中网关用户输入的命令以及输出都可以在 portal 的监控屏幕上实时看到。 图19 实时监控字符会话 点击【断开会话】按钮,可终止当前正在进行的会话; 7)维护管理员可查看会话操作命令、在线回放会话或下载保存、离线回放。 管理员打开【操作审计-会话查询】菜单,选择字符会话类型,查看字符会话,如下图所示。 图20 字符会话查询 点击【查看】按钮,可查看这条会话的命令行信息。 14 图21 命令查看 点击【回放】按钮,在线回放会话。 图22 在线回放 点击【下载】按钮,下载保存会话。可通过离线工具离
11、线回放。 图23 打开字符离线工具 15 图24 下载本地后离线回放字符回放 点击【会话全文检索】,实现命令全文检索,如图所示 图25 全文检索 通过通过 SAG 管理平台的管理平台的访问过程事例详解:访问过程事例详解: 1)快速授权,选择【访问控制-快速授权】菜单,授权用户、用户组可以访问的资源、资源组,并指定对应的授权策略。 2)打开 SAG 管理界面。 16 图26 打开 SAG 登录界面 2)输入网关用户名及密码,如输入用户 user001,密码 1234abcd,通过认证后登录到用户自服务界面。 3)在自服务界面中,打开“资源”菜单,在资源列表中,选择设置了 SSO 账号的资源或需要手工代填账号的记录。 图27 网关用户资源列表界面 4)点击相应工具,如需手工输入,在界面中输入目标资源的服务端口号、登录账号及密码。 17 图28 字符服务手工代填账号 5)目标服务器认证通过后,登录到目标服务器,就可以进行实际操作。 6)维护管理员可实时监控用户会话或直接断开会话。 管理员打开【操作审计-活动会话】菜单,打开活动会话界面,实时监控用户会话或直接断开会话。 7)维护管理员可查看会话操作命令、在线回放会话或下载保存、离线回放。 管理员打开【操作审计-会话查询】菜单,选择字符会话类型,查看字符会话,可查看会话操作命令
