目录 目录 概述 关于本手册 用户登录 WEB 方式 WEB 访问方式 相关资料下载 运维客户端 登录认证 环境准备 环境检

2017 适用范围 : 内部 运维人员使用手册 网御网络审计系统 V3.0 运维安全管控型 精细控制合规审计 北京网御星云信息技术有限公司

目录 目录... 2 1 概述... 1 1.1 关于本手册... 1 2 用户登录... 1 2.1 WEB 方式... 1 2.1.1 WEB 访问方式... 1 2.1.2 相关资料下载... 2 2.2 运维客户端... 2 2.3 登录认证... 3 3 环境准备... 6 3.1 环境检测... 6 3.2 安装 JAVA 控件... 7 3.3 浏览器设置... 9 3.4 配置本地工具... 11 3.5 修改密码... 13 4 运维说明... 14 4.1 RDP/VNC 访问... 14 4.2 Telnet/SSH/Rlogin 访问... 15 4.3 FTP 访问... 16 4.4 数据库访问... 17 4.5 批量登录主机... 18 4.6 工单操作... 19 4.6.1 工单申请... 19 4.6.2 工单运维... 22 4.7 最近访问资源... 23 4.8 高级搜索... 24 4.9 菜单模式... 24 4.9.1 命令行方式... 24 4.9.2 图形方式... 29 5 FAQ... 31 5.1 登录提示应用程序被阻止... 31 5.2 登录设备报错... 32 5.3 提示 Java 过时需要更新... 33 5.4 调用应用发布工具失败... 34 5.5 使用 dbvis 提示 JAVA 环境变量... 34

1 概述 1.1 关于本手册 网御网络审计系统 V3.0( 运维安全管控型 )( 以下简称网御 LA-OS), 是网御星云综合内控系列产品之一 本手册详细介绍了网御 LA-OS 进行运维操作过程的使用方法, 用户可参考本手册, 通过网御 LA-OS 进行各种运维操作 2 用户登录 运维用户可选择通过以下方式使用网御 LA-OS 进行运维操作 :(1)WEB 方式 ( 依赖 JAVA 环境 );(2) 运维客户端方式 ( 不依赖 JAVA 环境 );(3) 客户端工具直连模式 ( 不依赖浏览 器和 JAVA 环境, 目前支持运维 SSH TELNET RDP VNC, 使用方法参见本手册 4.9 章节 ) 2.1 WEB 方式 2.1.1 WEB 访问方式 通过浏览器访问网御 LA-OS 系统, 如图 2.1 所示 :( 默认 URL:https:// 网御 LA-OS 系统的 IP, 如果 web 服务端口不是默认的 443, 登录 URL 地址需要加上 web 服务当前的端口号, 例如 :https://172.16.67.231:10443) 浏览器推荐:IE8 及以上版本浏览器 谷歌 44 及以下版本浏览器和火狐 52 以下版本或火狐 ESR 版本浏览器

2.1.2 相关资料下载 图 2.1WEB 访问方式 运维用户在网御 LA-OS 系统主登录界面下方或运维界面右上方可以看到 相关下载 按钮, 点击 相关下载, 系统会跳转到下载页面, 提供运维所需的的证书 JAVA 运行环境 用户手册 离线播放器 运行环境监测助手下载和运维客户端, 如下图所示 : 2.2 运维客户端 图 2.2.1 相关下载

使用网御 LA-OS 运维客户端方式需要先通过 WEB 方式登录管理页面, 在 相关下载 中下载运维客户端, 并进行安装 安装完成后, 在桌面或 开始 程序栏中选择运维客户端图标, 打开运维客户端输入网御 LA-OS 系统 IP 地址 ( 如果 web 服务端口不是默认的 443, 登录时需要在 IP 后面加上 web 服务当前的端口号, 例如 :172.16.67.201:10443), 点击 确定 即可进入主登录界面 图 2.2.1 运维客户端 2.3 登录认证 图 2.2.2 运维客户端 - 登录界面 网御 LA-OS 使用 WEB 方式和运维客户端方式访问时, 用户登录认证分为 : 单因素认证登 录和双因素认证登录 由管理员进行设置, 运维人员需要从管理员处获取登录的相关信息

图 2.3.1: 系统登录界面 用户名密码登录 : 输入用户名 密码即可登录 ( 包括静态账号密码认证 LDAP 认证 windowsad 认证和 Radius 认证 ) USB 令牌认证登录 : 用户需要在运维客户机上插上管理员为用户颁发的 USB 令牌, 输入用户名 密码后, 点击 登录, 会提示进行 USB 令牌认证, 输入管理员为此用户设置的令牌密码, 即可登录运维界面, 如图 2.2 所示 图 2.2 用户运维登录 -USB 令牌认证 动态口令卡认证登录 : 管理员为用户提供账号和对应的动态口令卡, 用户在输入用户名

密码后, 点击 登录, 会提示进行动态口令卡认证, 用户输入登录账号对应的动态口 令卡上获取的动态密码, 即可登录成功, 如图 2.3 所示 : 图 2.3 用户运维登录 - 动态口令卡认证 吉大正元电子证书认证登录 : 用户在输入用户名 密码后, 点击 登录, 会提示进行 吉大正元电子证书认证, 证书认证成功后即可登录成功, 如图 2.4 所示 : 图 2.4 用户运维登录 - 吉大正元电子证书认证

3 环境准备 3.1 环境检测 用户在使用网御 LA-OS 系统 WEB 方式进行运维操作时 ( 网御 LA-OS 运维客户端方式不依赖 JAVA 环境, 首次使用也需要运行环境检测助手 ), 所使用的客户端必须满足以下环境要求 : 1. 客户端操作系统要求 :windows XP SP3 windows7 windows8 windows10 2. 客户端 RDP 版本要求 : 通过网御 LA-OS 使用 RDP 运维 windows 主机需要客户端 RDP 版本 6.0 及以上 通过网御 LA-OS 系统使用应用发布工具需要客户端 RDP 版本 6.1 及以上 ; 3.WEB 运维方式浏览器的要求 :IE8 及以上版本浏览器 谷歌 44 及以下版本浏览器和火狐浏览器 ( 建议使用火狐 52 以下版本或火狐 ESR 版本浏览器和最新版本 JRE); 4.JAVA 环境 :JRE 6 update 45 及以上版本 ; 5. 导入根证书 ( 运行首页下载的环境检测助手自动完成根证书导入 ); 6. 网御 LA-OS 系统的本地运行组件 ( 运行首页下载的环境检测助手自动完成本地运行组件的加载 ) 当网御 LA-OS 为 6.0.2.6857 以上版本时, 需要手动运行环境检测助手对本机环境进行检测, 环境检测助手会自动完成导入根证书和更新网御 LA-OS 系统的本地运维组件 在登录网御 LA-OS 主界面时, 下载环境检测助手 运行环境检测助手, 检测本机环境 图 3.1.1 下载环境检测助手

3.2 安装 JAVA 控件 图 3.1.3 运行环境检测助手 如果使用 WEB 方式进行运维操作, 当环境检测助手检测到 JAVA 缺失, 则需要安装 JAVA 控件 可以选择在运维登录页面中的相关下载中进行下载 如图 3.2.1 所示, 注意 :windows 操作系统是 32 位的用户, 下载安装 Java 运行环境 32 位 ;windows 操作系统是 64 位的用户, 需要下载安装 Java 运行环境 32 位 和 Java 运行环境 64 位

图 3.2.1 Java 软件下载 下载 JRE 并在本地计算机安装 安装完成后, 进入 JAVA 控制面板, 确认已勾选 启 用浏览器中的 Java 内容, 如下图所示 图 3.2.2 Java 控制面板安全设置 在 JAVA 控制面板高级属性中, 确保 对以下项执行已签名代码证书撤销检查 和 对以 下执行 TLS 证书撤销检查 两项为不检查, 如图 3.2.3 所示 图 3.2.3 Java 控制面板高级属性

3.3 浏览器设置 在 IE 浏览器中 internet 选项 - 安全 - 可信站点中加入网御 LA-OS 系统的 URL 地址, 如图 3.3.1 所示 图 3.3.1 internet 选项信任站点 用户使用火狐浏览器登录网御 LA-OS 系统时, 需要进行如图 3.3.2-3.3.4 设置 : 图 3.3.2 火狐浏览器 - 例外站点

图 3.3.3 火狐浏览器 - 安全设置 1 图 3.3.4 火狐浏览器 - 安全设置 2 如果是谷歌内核的浏览器, 在地址栏输入 chrome://flags/#enable-npapi, 启用 NANPI 插件, 如图 3.3.5 所示 ( 注意 : 谷歌浏览器 45 及以上版本不支持调用 JAVA 控件 )

图 3.3.5 谷歌浏览器启用 NANPI 插件 进入设置 >> 高级设置 >> 隐私设置 >> 内容设置 >> 插件 >> 停用单个插件, 找到 Java(TM), 勾选 始终允许 如图 3.3.6 所示 3.4 配置本地工具 图 3.3.5 谷歌浏览器设置 示 : 在运维界面中, 点击 配置工具, 进入本地客户端工具路径配置界面 如图 3.4.1 所

图 3.4.1 配置工具 各运维工具推荐版本如下表所示 : 服务 本地运维工具 推荐版本 说明 Oracle PLSQLDev 7 8 9 10 版本 Toad4Oracle v11.0.0.116 SQLPlus 9i 10g 11g 应用发布推荐使用 11g ImpExp 5.7.0 Navicat Premium 11.1.9 Dbvis 9.1.7 SQL server SSMS SqlService2008R2 Navicat Premium 11.1.9 sybase SqlAdvantage 12.5.3 informix Sqleditor 4.0 Dbvis 9.1.7 db2 Db2cmd Dbvis 9.1.7 SqlDbx SqlDbxPro QuestCentral 5.0.2.4 mysql Navicat Premium 11.1.9 Mysql Dbvis 9.1.7 teradata Teradata SQL 14.10 Assistant postgresql PgAdmin3 1.18.1 Dbvis 9.1.7 Telnet Putty 只能使用系统自带版本, 运行 环境检测助手即可下载到本地 SecureCRT 6.2.3 及以上版本 Xshell 3.0 及以上版本 2.0 版本无法连接资源主机 SSH Putty 只能使用系统自带版本, 运行

环境检测助手即可下载到本地 SecureCRT 6.2.3 及以上版本 Xshell 3.0 及以上版本 2.0 版本无法连接资源主机 WinSCP 5.5.6 FlashFXP 5.1.0 SSH Secure Shell 3.2.9 Client http IE IE8 只能使用应用发布 Firefox 35 及以下版本 只能使用应用发布 FTP WinSCP 5.5.6 FFFTP 1.97 FlashFXP 5.1.0 RDP mstsc 6.1 及以上版本 VNC mstsc 6.1 及以上版本 如果目标资源服务为 RealVNC 5.x Server, 需对 VNC Server 做如下配置方能运维 : (1) 配置 Security 为 Encryption 为 prefer on; (2) 配置 Security 为 Authentication 为 VNC password 或者 None rlogin Putty 只能使用系统自带版本, 运行环境检测助手即可下载到本地 3.5 修改密码 操作说明 : 1 选择待保存路径的工具, 点击其右侧 修改 按钮, 填入本地工具路径信息, 点击保存即可 ; 2 此页面列表中的客户端工具, 均支持用户调用时, 代填连接参数以实现直接登录目标主机 ; 3 如通过不同本地计算机在不同时间使用用户账号登录的情况下, 需要重新配置本地工具路径 在运维界面中, 点击 修改密码, 修改用户的登录密码, 如图 3.5.1 所示 :

图 3.5.1 运维账号密码修改 修改密码 : 修改本账号的登录密码 [ 每次修改密码后请用户牢记密码 ]( 如用户被 设置为需要通过令牌认证, 可修改令牌登录密码 ) 4 运维说明 4.1 RDP/VNC 访问 运维用户成功登录网御 LA-OS 后, 选择需要通过 RDP/VNC 协议实现远程访问的资源, 点击服务图标, 右侧会显示该资源下 RDP 或 VNC 的所有从账号, 选择从账号后, 再选择运维工具 (V3.0.3 及以后版本 VNC 的运维都通过 mstsc 工具进行, 本地工具不需要再配置 VNC 的工具路径, 如图 4.1.2 所示 ), 使用 RDP 服务时可选择屏幕大小 RDP 剪切板功能 磁盘映射功能和访问方式, 最后点击 连接服务, 如图 4.1.1 所示 : 图 4.1.1 RDP 访问

图 4.1.2 VNC 访问 查询 : 查询可访问的资源 选择资源 : 选择待访问的资源名称 IP 地址 : 若该资源有多个 IP 地址, 请选择待访问的 IP 地址 服务名称 : 显示当前选择要访问的服务名 选择账号 : 选择该服务的系统账号进行访问 自定义账号 : 在运维操作界面登录目标资源前, 可选择自行输入登录资源的账号和密码 选择工具 : 选择本地工具 应用发布访问该服务 屏幕大小 : 选择远程桌面连接目标服务器时屏幕的大小 开启 RDP 剪切板 : 选择远程桌面连接目标主机后是否启用剪切板功能 开启磁盘映射 : 选择远程桌面登录连接目标主机后是否启用磁盘映射功能和具体映射哪些磁盘 访问方式 : 当使用远程桌面服务时, 可选择 NORMAL 和 CONSOLE NORMAL: 为普通的远程桌面连接模式 ;CONSOLE: 等同于本地终端显示器登录 连接服务 : 单击后通过客户端连接至目标主机 4.2 Telnet/SSH/Rlogin 访问 运维用户成功登录网御 LA-OS 后, 选择需要通过 Telnet/SSH/Rlogin 协议实施远程访问的资源, 点击服务图标, 右侧会显示该资源下待访问服务的所以从账号, 选择从账号后, 再选择运维工具, 最后点击 连接服务, 如图 4.2.1-4.2.2 所示 :

图 4.2.1 telnet 访问 图 4.2.2 SSH 访问 查询 : 查询待访问的资源 选择资源 : 选择待访问的资源名称 IP 地址 : 若该资源有多个 IP 地址, 请选择待访问的 IP 地址 服务名称 : 显示当前选择要访问的服务名 选择账号 : 选择该服务的系统账号进行访问 自定义账号 : 在运维操作界面登录目标资源前, 可选择自行输入登录资源的账号和密码 选择工具 : 选择本地工具 应用发布或者 WEB 控件访问该服务 WEB 控件 : 选择 WEB 的控件访问该服务 连接服务 : 单击后通过 Web 控件或者客户端连接至目标主机 4.3 FTP 访问 运维用户成功登录网御 LA-OS 后, 选择需要通过 FTP 协议实施远程访问的资源, 点击服务图标, 右侧会显示该资源下待访问服务的所以从账号, 选择从账号后, 再选择运维工具,

最后点击 连接服务, 如图 4.3.1 所示 : 图 4.3.1FTP 访问 选择资源 : 选择待访问的资源名称 查询 : 查询待访问的资源 IP 地址 : 若该资源有多个 IP 地址, 请选择待访问的 IP 地址 服务名称 : 显示当前选择要访问的服务名 选择账号 : 选择该服务的系统账号进行访问 自定义账号 : 在运维操作界面登录目标资源前, 可选择自行输入登录资源的账号和密码 选择工具 : 选择本地工具 应用发布或者 WEB 控件访问该服务 ( 支持 Winscp 和 FlashFXP 客户端工具 ) WEB 控件 : 选择 WEB 的控件访问该服务 连接服务 : 单击后通过 Web 控件或者其它客户端连接至目标主机 4.4 数据库访问 运维用户成功登录网御 LA-OS 后, 选择需要通过数据库 Oracle Sybase DB2 等协议进行远程访问的资源, 点击服务图标, 右侧会显示该资源下待访问服务的所以从账号, 选择从账号后, 再选择运维工具, 最后点击 连接服务, 如图 4.4.1 所示 :

图 4.4.1 数据库访问 选择资源 : 选择待访问的资源名称 查询 : 查询待访问的资源 IP 地址 : 若该资源有多个 IP 地址, 请选择待访问的 IP 地址 服务名称 : 显示当前选择要访问的服务名 选择账号 : 选择该服务的系统账号进行访问 自定义账号 : 在运维操作界面登录目标资源前, 可选择自行输入登录资源的账号和密码 选择工具 : 选择本地工具 应用发布访问该服务 连接服务 : 单击后通过本地客户端连接至目标主机 4.5 批量登录主机 批量登录主机功能用于使用 SecureCRT 工具通过 SSH 或者 TELNET 协议一次使用多个账号或登录多台主机 选择需要访问的 SSH 或 TELNET 服务的资源, 选择 SecureCRT 工具后, 如图 4.5.2 所示可看到 添加到批量连接 图标, 选择后可将此资源添加到 批量连接 组中

图 4.5.1 运维操作界面 图 4.5.2 添加批量连接 在添加好批量连接组后, 选择 批量连接, 选择本次需要批量连接的主机, 从账户, 和连接方式后, 选择 批量连接 进行批量登录主机, 如图 4.5.3-4.5.4 所示 图 4.5.3 批量连接 4.6 工单操作 图 4.5.4 批量连接成功 4.6.1 工单申请

运维人员如果需要对某个资源申请临时访问权限可通过 工单信息 中的 申请工单 功能进行操作 在运维操作界面选择 工单信息, 如下图 图 4.6.1 进入工单信息 在工单信息界面选择 申请工单 进入申请工单界面 图 4.6.2 进入申请工单在运维用户申请工单界面, 如下图填入对应信息 : 工单名称 ( 自定义 ) 高级属性( 如果有 RDP 类型可根据需要进行选择 ) 运维时间范围( 根据实际需求选择申请操作的时间段 ) 申请访问资源信息 ( 必须写明需要访问的资源服务及账号信息, 便于管理员审核 ) 操作说明 ( 可选设置 ) 和审批人 ( 选择对应的审批人 ) 如果配置了短信接口, 审批人和运维人员也正确设置了手机号码, 审批人可以接收到工单申请提示的短信, 运维人员可以接收到工单申请通过后的提示短信

图 4.6.3 申请工单内容 1 图 4.6.4 申请工单内容 2 工单申请信息填写好确认无误后提交, 等待管理员审批

图 4.6.5 申请工单 - 等待审批 申请的工单审批通过后, 消息中心会有新消息提醒运维人员 图 4.6.6 申请审批通过提醒 工单申请通过后工单状态变为 生效 状态, 选择 连接 可进入工单资源列表界面 进行工单资源的运维操作 图 4.6.7 申请工单 - 工单生效 4.6.2 工单运维 图 4.6.8 工单运维 当管理员为运维用户下发工单后, 运维用户登录网御 LA-OS, 可以查看工单信息, 并执行工单 运维用户登录网御 LA-OS 系统, 选择 工单信息, 如下图所示 :

图 4.6.9 运维界面 进入工单信息页面后, 运维用户可以看到管理员下发给他的所有工单信息, 当运维用户 进行工单操作时, 需要选择相应工单后的 连接 选项, 如下图所示 : 图 4.6.10 工单信息 进入工单操作页面后, 运维用户可以看到该工单授权给运维用户的运维资源, 并提供连 接运维资源主机通道, 如下图所示 : 4.7 最近访问资源 图 4.6.11 工单操作 运维用户最近访问的 10 个运维资源会在运维菜单左侧目录树 最近访问资源 选择中 列出, 方便用户在此访问该资源 ( 堡垒机 V3.0.2.7811 及以后版本具备该功能 ), 如图 4.7.1 所示 :

4.8 高级搜索 图 4.7.1 最近访问资源 当运维资源较多的情况下, 要快速定位运维资源主机, 除了普通搜索之外还可以进行高 级搜索, 对资源名称 所属组 IP 地址 服务等进行关联搜索 ( 堡垒机 V3.0.2.7811 及以后 版本具备该功能 ), 如图 4.8.1 所示 : 4.9 菜单模式 图 4.8.1 高级搜索 4.9.1 命令行方式 当运维终端是 Linux MAC 等系统, 或是该终端本地环境不满足我们基本要求, 可以无需登录堡垒机 web 运维界面, 而使用 SSH 工具直连堡垒机来进行安全运维, 目前此种菜单模式支持的运维方式有 SSH 和 telnet ( 堡垒机 V3.0.2.7811 及以后版本具备该功能 ) 首先通过 SecureCRT 工具连接堡垒机, 主机名为堡垒机管理 IP 地址, 端口号为 5107, 如图 4.9.1 所示 :

图 4.9.1 连接堡垒机 登录账号密码和该运维用户从 web 界面登录的账号密码一致, 如图 4.9.2 所示 : 图 4.9.2 登录堡垒机 进入菜单管理界面后, 运维用户可以开始选择运维资源 其中 Enter 键为确定, Esc 键为返回, 如图 4.9.3-4.9.7 所示 :

图 4.9.3 选择资源组 图 4.9.4 选择资源主机

图 4.9.5 选择服务 图 4.9.6 确认连接

图 4.9.7 开始安全运维注意事项 :SSH 连接必须保证终端类型为 VT100 或 xterm, 字符编码 :UTF-8( 如目标设备字符编码为非 UTF-8, 需用户在成功登录目标设备后, 再自行调整字符编码 ), 如图 4.9.8-4.9.9 所示 : 图 4.9.8 终端类型

4.9.2 图形方式 图 4.9.9 终端编码 运维用户若希望通过 RDP VNC 协议远程访问主机资源, 可以启用 Windows 系统默认的远程桌面连接工具 (RDP:mstsc.exe) 进入图形化访问资源菜单 如图 4.9.10 所示, 直接输入堡垒机 IP 地址, 端口为 5106, 然后选择连接, 如果需要映射磁盘, 请展开选项卡进行设置, 如图 4.9.11 所示 图 4.9.10 图形方式访问菜单登录

图 4.9.11 开启磁盘映射 输入运维账号 密码, 如图 4.9.12 所示 图 4.9.12 运维用户身份认证 运维账号认证通过后, 展现出用户可访问的资源列表, 如图 4.9.13 所示, 选择对应的 资源和账号后, 选择 连接, 便会登录到目标服务器上, 如图 4.9.14 所示

图 4.9.13 资源菜单 5 FAQ 图 4.9.14 连接到服务器 5.1 登录提示应用程序被阻止 问题 : 登录时提示如图 5.1.1 所示, 应用程序被安全设置阻止时解决方式 : 在控制面板中的 JAVA 安全设置中, 将访问网络安全审计的 URL 地址添加到例外站点列表, 如图 5.1.2 所示

图 5.1.1 应用程序被安全设置阻止 5.2 登录设备报错 图 5.1.2 JAVA 安全设置 - 添加例外站点 问题 : 如图 5.2.1 所示, 用户使用网御 LA-OS 使用本地工具连接资源设备时候, 出现类似的提示 :

图 5.2.1 连接服务错误提示解决方式 : 检查本机是否有安装杀毒软件和 360 安全卫士之类的软件, 如有先暂时关闭, 打开 IE 浏览器, 清除浏览器的 cookie 信息 ( 如图 5.2.2), 关闭所有浏览器, 再重新打开 IE 浏览器登录网御 LA-OS 系统 图 5.2.2 清除 cookie 信息 5.3 提示 Java 过时需要更新 问题 : 通过堡垒机访问资源连接服务时, 浏览器提示 Java(TM) 已被阻止, 因为它已过时并且需要更新, 正在加载控件, 如果此时不做操作会造成无法成功调用 JAVA 控件, 一直读秒超时 解决方式 :(1) 选择这次运行, 已保证本次浏览器能正常调用 Java 控件, 如图 5.3.1 所示 ;( 2) 在浏览器中 internet 选项 - 安全 - 可信站点中加入堡垒机 URL 地址, 如图 5.3.2 所示

图 5.3.1 正在加载控件 5.4 调用应用发布工具失败 图 5.3.2 internet 选项信任站点 问题 : 运维用户使用应用发布程序发布的运维工具连接资源长时间没有反应, 即没有调用到运维工具, 也没有报错 解决方式 : 有可能是运维用户的 RDP 客户端 (mstsc) 版本低于 6.1 具体方法: 通常 XP(SP3) 默认 mstsc 的版本低于 6.1, 安装 windows 的 RDP 更新补丁 : 链接 : http://pan.baidu.com/share/link?shareid=742507511&uk=1968479635 密码 :6kd6 5.5 使用 dbvis 提示 JAVA 环境变量 问题 : 使用 dbvis 运维工具访问资源时, 提示 未安装 JRE 或未配置 JAVA_HOME 环境变量, 如图 5.5.1 所示

图 5.5.1 dbvis 调用提示解决方式 : 因为 dbvis 需要基于 JRE 环境, 需要设置 dbvis 工具所在终端的环境变量 JAVA_HOME 的值为 JRE 的实际路径 ( 如果调用应用发布工具, 需要管理员设置应用发布服务器上的环境变量 JAVA_HOME), 如下图所示 图 5.5.2 设置环境变量 JAVA_HOME