当前位置:文档之家› 运维安全审计系统(HAC)_系统管理员使用手册

运维安全审计系统(HAC)_系统管理员使用手册

运维安全审计系统(HAC)系统管理员手册广州江南科友科技股份有限公司2010年5月版权声明本手册中涉及的任何文字叙述、文档格式、插图、照片、方法、过程等所有内容的版权属于广州江南科友科技股份有限公司所有。

未经广州江南科友科技股份有限公司许可,不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。

本手册中的信息受中国知识产权法和国际公约保护。

版权所有,翻版必究©目录1.前言 (4)1.1 概述 (4)1.2 阅读说明 (4)1.3 适用版本 (4)1.4 使用环境 (4)2.设备说明 (5)2.1 HAC面板说明 (5)2.2 工作状态 (5)2.3 出厂配置 (5)2.3.1 接口IP地址 (5)2.3.2 用户名、口令 (6)2.3.3 缺省空闲时间 (6)2.4 管理方式 (6)3.安装配置 (7)3.1 准备工作 (7)3.1.1 确定部署模式 (7)3.1.2 确定IP结构 (7)3.2 具体配置 (8)3.2.1 设备初始化配置 (8)3.2.2 采用WebUI方式初始化 (8)4.首次登陆 (9)5.系统信息 (11)6.管理员管理 (12)6.1 管理员管理 (12)6.2 管理员角色管理 (16)7.网络配置 (19)7.1 配置路由 (19)7.2 DNS配置 (21)7.3 PING功能 (22)7.4 虚拟网卡配置 (22)8.外部认证 (24)8.1 LDAP服务器 (24)8.2 AD域服务器 (25)8.3 R ADIUS服务器 (26)9.双机热备 (27)10.全局配置 (29)10.1 基本配置 (29)10.2 CA证书 (30)10.3 服务器证书 (32)10.4 SYSLOG日志外发 (34)10.5 T OKEN配置文件 (35)11.日志维护 (36)11.1 日志状态 (36)11.2 定期备份配置 (37)11.3 日志备份 (38)11.4 日志文件删除 (39)11.5 日志数据库删除 (39)12.系统维护 (41)12.1 重新激活 (41)12.2 系统重启 (42)12.3 配置备份 (42)12.4 升级管理 (44)12.5 缓存维护 (44)13. 事件通知........................................................................................................................................................45 14. 技术支持.. (48)1.前言1.1概述本文档为运维安全审计系统的系统管理员使用手册,作为系统管理员使用HAC的操作指南。

1.2阅读说明本手册包含系统管理员的全部日常操作。

包含如何添加管理员,如何进行网络配置,添加外部认证服务器,如何进行双机热备配置,怎样进行日志维护以及系统维护等等。

首次阅读此文档时,请认真阅读第2,3,6,7章节。

1.3适用版本本手册,依据HAC 3.6.5374版本编写,适用于3.6的发布版。

1.4使用环境HAC的系统管理员使用WEB登录方式作为用户界面。

HAC的系统管理员,可以使用Microsoft Internet Explore或以其为内核的其他浏览器,因部分控件的兼容问题,如果您使用的是IE 8浏览器,请在兼容模式下进行运行。

2.设备说明2.1H AC面板说明HAC 1000E界面有5个指示灯,分别为电源、硬盘、外网口、内网口、风扇指示灯,还包括Power键、reset键和报警消音键,1个USB接口。

后面板包括:3个千兆以太网口(从左向右分别为:外网口、内网口、热备口),2个USB接口,2个PS/2接口、串口、1个VGA 口。

电源开关(Power)键位于HAC的前面板,用户只需轻击该开关即可接通/切断电源。

Reset 可使用该键重新启动系统。

2.2工作状态当HAC正常加电后,通过面板上各指示灯的状态,可以判断设备的运行情况,其指示灯状态说明见下表:指示灯名称指示灯工作状态描述备注电源灯加电后,蓝色硬盘灯黄色(闪烁)或熄灭启动和读写数据时闪烁,其他情况下处于熄灭状态外网口灯蓝色(闪烁)或熄灭网络接通且有数据流量后,该灯为绿色闪烁状态,无数据流量时处于熄灭状态。

内网口灯蓝色(闪烁)或熄灭网络接通且有数据流量后,该灯为绿色闪烁状态,无数据流量时处于熄灭状态。

2.3出厂配置2.3.1接口IP地址接口名称IP/Subnet 备注可管理、可提供运维访问服务外网口 192.168.0.1/255.255.255.0可管理内网口 192.168.123.1/255.255.255.0可管理热备口 1.1.1.1/255.255.255.02.3.2用户名、口令用户名口令管理方式备注Administrator UnionHAC WebUI方式,即HTTPS 系统内置用户,不可删除,可修改密码。

(注意区分大小写)hacadmin hacadmin Console 系统内置用户,专用于Console管理,不可删除,可修改密码。

2.3.3缺省空闲时间为保证登录设备的安全性,系统设置了空闲超时。

当用户使用WebUI对HAC进行管理时,如果超过了设定的时间,系统将退出至登录界面。

2.4管理方式HAC支持WebUI、Console管理方式。

WebUI管理登录为:https://192.168.0.1/admin,在该方式下HAC管理员可以进行任何操作;Console方式为:在设备紧急情况或恢复出厂配置时使用(COM参数为:9600,8,0,1)。

3.安装配置3.1准备工作3.1.1确定部署模式在正式安装配置HAC之前,需要确定HAC的部署模式,即HAC部署为单臂模式还是串联模式。

这一工作决定了HAC在网络中的工作位置,同时决定了HAC部署是否影响网络结构的变化等。

单臂模式拓扑图如下图:3.1.2确定IP结构确定IP结构是配置HAC最基本的工作,具体内容为:1)确定HAC的IP地址、网关地址;2)确定被审计的核心服务器的IP地址;3)确定HAC达到被审计核心服务器、运维终端的路由,保证双向路由可达。

3.2具体配置3.2.1设备初始化配置设备初始化配置可以采用两种方式:1)采用WebUI方式:这是最常用的管理方式来初始化配置HAC;2)采用Console方式:这是在紧急情况下采用初始化配置的方式。

初始化配置的主要内容为:修改HAC IP地址;设置HAC不同权限的用户;3.2.2采用WebUI方式初始化修改HAC IP地址具体步骤为:1)将本地PC机的IP修改为与HAC外网口IP(192.168.0.1/24)同一网段中的地址;2)用直通网线连接HAC外网口;3)HAC加电开机。

4.首次登陆待HAC启动完成后(可以采用ping 192.168.0.1的方式验证),用IE浏览器访问:https://192.168.0.1/admin;访问过程中,如果是IE7/8,会出现证书安全警告等信息:选择“继续浏览此网站”,进入登陆页面登录名:Administrator 密码:UnionHAC (注意字母大小写,同时应勾选口令认证,系统默认登录方式为证书认证)登录成功后,会出现类似以下的登录页面:首页内容为:当前日期、上次登录时间及登录IP、最近10次操作记录。

操作记录包含操作时间、操作的客户IP、操作功能模块以及操作内容。

为了安全性考虑,建议您登录后,点击页面右上角“修改密码”,对密码进行更新。

5.系统信息系统信息显示系统的基本情况,包括运行时间、产品版本、内核版本、版本日期、外网口、内网口、热备网口、内存区和日志区,显示内容如下:¾运行时间:显示设备持续运行时间;¾产品版本:显示产品版本号;¾内核版本:显示内核版本号;¾版本日期:显示版本的生产日期;¾外网口:显示外网口是否正常连接;¾内网口:显示内网口是否正常连接;¾热备网口:显示热备网口是否正常连接;¾内存区:显示设备当前的内存使用率;¾日志区:显示设备当前的日志区使用率。

6.管理员管理管理员管理,包括管理员的添加、编辑和删除以及管理员角色的添加、编辑和删除。

管理员列表界面如下:6.1管理员管理在上图中,点击“添加”按钮,进入管理员添加页面,如下图:用户名:输入用户名称,要求由数字、英文、下划线、中杠线、点组成,开头必须为字母或数字,且长度为1-16个字符;[必选项]认证方式:包括口令认证、令牌认证和证书认证三种认证方式,默认为口令认证;当认证方式为口令认证时,页面如上图所示,有口令策略、密码强度、密码、确认密码等项需要设置。

口令策略:包括手工配置口令和自动生成(邮件通知)口令;手工配置密码可以直接在下面的密码、确认密码框中中输入用户密码;密码强度:系统会根据密码强度规则自动检测用户输入密码的安全强度,密码强度的设置参见本文的第10.1章节的口令复杂度的描述;密码/确认密码:不限字符,但不能设置空格键;[必选项]自动生成密码,要求“邮箱地址”为必填项,系统生成的密码发到该邮箱地址中。

页面显示如下:注:口令策略中的“自动生成(邮件通知)”,只有在“系统管理/全局配置”中的“邮件服务器”配置了之后才会出现。

当认证方式为令牌认证时,页面如下图所示:令牌认证:使用动态口令认证方式,具体参见《运维安全审计系统(HAC)动态令牌使用手册》当认证方式为证书认证时,页面如下图所示,证书名为必填项,可以对证书的有效期进行设置。

证书认证:使用证书认证方式(具体参见《运维安全审计系统(HAC)科友key使用手册》);姓名:输入对应登录名的真实姓名,不限字符;[必选项]手机号码:即管理员的手机号码,当管理员的配置信息有变更时,系统会通过短信方式通知管理员;[可选项]邮箱地址:即管理员的邮箱地址,当管理员的配置信息有变更时,系统会通过邮件方式通知管理员;[可选项]备注:主要是作为描述该用户的附加注释信息;[可选项]角色列表:将定义的用户分配一个角色;[必选项]系统默认配置了四个角色(系统管理员、运维管理员、口令管理员和审计员),您可以根据准备工作中确定的用户权限来灵活自定义分配的角色。

如果要自定义角色,请参见本文6.2章节。

这里添加一个口令认证的zhangsan为例,分配“审计员”角色,如下图:点击“保存”之后,查看管理员列表:可以通过对管理员用户编辑来修改用户的信息,除了系统管理员Administrator用户之外的用户都可以进行删除。

6.2管理员角色管理进入管理员添加页面,点击“角色配置”按钮,进入下图:您可以根据需要,修改角色名称、分配的权限等信息,如果原有的四种角色不能满足需要,则可以进行添加。

相关主题

相关文档推荐: