网神SecFox安全审计系统(运维审计)产品技术培训V971

1、作者：杨晓楠日期：2014.4.1目 录 SecFox运维审计产品简介 SecFox运维审计关键技术及技术原理 SecFox运维审计功能、性能关键指标 SecFox运维审计快速配置、安装指导 SecFox运维审计典型应用场景分析 SecFox运维审计技术支持FAQ产品简介堡垒机是一种被强化的可以防御进攻的计算机。为了保障网络和数据不受来自外部和内部用户的入侵和破坏，而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动，以便集中记录、分析、处理的一种技术手段。目 录 SecFox运维审计产品简介 SecFox运维审计关键技术及技术原理 SecFox运维审计功能、

2、性能关键指标 SecFox运维审计快速配置、安装指导 SecFox运维审计典型应用场景分析 SecFox运维审计技术支持FAQ产品模块-协议代理运维审计系统整体是由协议代理模块及应用发布模块两个大模块组成，根据客户实际使用情况进行选择。堡垒机进行协议代理SSH、Telnet、ftp、sftp、rdp等应用发布服务器负责应用发布模块，对数据库、IE、X11等进行登录产品模块-应用发布关键技术及原理-单点登录单点登录及单点登录控件单点登录RDP协议通过控件调用本地远程桌面（mstsc）单点登录SSH、telnet等命令行协议通过调用本地CRT或控件中的CRT程序单点登录X11（xwindows）图

3、形通过应用发布服务器调用Xmanager程序单点登录web页面、数据库、通过发布服务器调用IE浏览器关键技术及原理-单点登录关键技术及原理-双机热备双机热备heartbeat进行检测端口、ip、服务DRBD进行数据、审计信息、分区同步其他底层脚本及程序进行提取heartbeat和DRBD相应信息进行判断自动切换和手动切换浮动IP由主备机IP虚拟出来的一个同网段IP（用户通过访问浮动IP会自动访问到目前正常使用的堡垒）主备机IP地址同一网内IP（互动）心跳口IP地址默认/2，IP不需要修改。通过此网口进行heartbeat+DRBD检测及数据同步关键技术及原理-负载均衡负载均

4、衡多用户访问同一台堡垒，堡垒会根据目前会话情况及带宽等情况进行自动分配至网内其他堡垒机代替操作运维目 录 SecFox运维审计产品简介 SecFox运维审计关键技术及技术原理 SecFox运维审计功能、性能关键指标 SecFox运维审计快速配置、安装指导 SecFox运维审计典型应用场景分析 SecFox运维审计技术支持FAQ产品功能模块概述单点登录对X11、linux、unix、数据库、网络设备、安全设备等一系列授权账号进行密码的自动化周期更改，简化密码管理，让使用者无需记忆众多系统密码，即可实现自动登录目标设备，便捷安全用户管理登录网神运维审计系统的账号密码创建。并在此模块进行结合其他认证

5、方式，如usbkey、指纹、AD域等双因素认证角色管理对角色权限进行自定义添加修改资源管理添加资源设备及设备账号密码、查看密码信封策略管理通过配置访问地址、密码、指令、锁定等策略达到限制用户只能在规定的策略下进行资源访问及登录。授权管理提供基于用户、目标设备、时间、协议类型IP、行为等要素实现细粒度的操作授权，最大限度保护用户资源的安全审批/申请管理申请目标设备的临时访问授权；临时授权可限制授权协议、账号及生效时间等。临时授权申请方式通过Web 页、邮件及短信（短信网关及短信猫）的方式呈交对应设备负责人审批审计管理对字符串、图形、文件传输、数据库等全程操作行为审计；通过设备录像方式实时监控运维

6、人员对操作系统、安全设备、网络设备、数据库等进行的各种操作，对违规行为进行事中控制。对终端指令信息能够进行精确搜索，进行录像精确定位组态报表生成已内置的报表及自定义生成报表并到处供用户查看使用脚本管理堡垒机定时自动执行包含运维指令的脚本计划任务定期修改资源设备密码及同步设备其他账号产品功能-单点登录支持支持SSO单点登录功能，使用人员不需要知道服务器账号及密码，无需进行单点登录功能，使用人员不需要知道服务器账号及密码，无需进行二次登录认证。二次登录认证。系统支持将堡垒机内的单点登录信息导出为系统支持将堡垒机内的单点登录信息导出为SecureCRT可导入的格式。可导入的格式。产品自带产品自带SS

7、O单点登录控件，运维工作站不需要安装部署单点登录控件，运维工作站不需要安装部署SecureCRT、SSHClient等终端仿真程序，即可通过等终端仿真程序，即可通过SSH、TELNET、FTP、VNC、XWINDOW等网管协议对资源进行运维操作。等网管协议对资源进行运维操作。对于数据库、对于数据库、web、专用、专用C/S客户端程序支持以应用发布的方式进行授权和客户端程序支持以应用发布的方式进行授权和审计。审计。资源类型支持资源类型支持Windows主机、域控主机、域控内主机、主机、域控主机、域控内主机、Unix主机、各种网主机、各种网络设备、安全设备、网元、数据库等。络设备、安全设备、网元、

8、数据库等。支持资源接入的流程管理，支持流程申请人、审批人、执行人的委派。资源支持资源接入的流程管理，支持流程申请人、审批人、执行人的委派。资源的接入需要申请人定义申请单，发起事件申请；审批人收到申请后可以同意的接入需要申请人定义申请单，发起事件申请；审批人收到申请后可以同意或拒绝申请，同意时可以指定执行人进行实际的管理动作的执行。图或拒绝申请，同意时可以指定执行人进行实际的管理动作的执行。图3（需（需升级到升级到176版本）版本）能够添加、修改、删除被管资源。能够添加、修改、删除被管资源。产品功能-资源管理运维审计内部管理功能权限支持角色定义，角色可以针对目录树的节点定运维审计内部管理功能权限

9、支持角色定义，角色可以针对目录树的节点定义，从而使角色即可以限制能够使用的功能项，也达到角色权限只在某个义，从而使角色即可以限制能够使用的功能项，也达到角色权限只在某个树形节点范围内生效。树形节点范围内生效。产品功能-角色管理支持根据支持根据IP地质、时间、用户名、操作指令等内容设定安全时间规则。地质、时间、用户名、操作指令等内容设定安全时间规则。支持黑、白名单控制，可根据黑白名单的命令集限制用户的操作权限。支持黑、白名单控制，可根据黑白名单的命令集限制用户的操作权限。对违规的事件进行告警及自动阻断。对违规的事件进行告警及自动阻断。客户端地址策略可以应用于主帐号，也可以应用于从帐号。客户端地址

10、策略可以应用于主帐号，也可以应用于从帐号。产品功能-策略管理系统支持短信授权操作。系统支持短信授权操作。授权分为运维审计管理功能授权和资源访问授权。内部管理功能授权可以限授权分为运维审计管理功能授权和资源访问授权。内部管理功能授权可以限制到某个树形节点的范围内。制到某个树形节点的范围内。支持授权的流程管理。支持流程申请人、审批人、执行人的委派。授权需要支持授权的流程管理。支持流程申请人、审批人、执行人的委派。授权需要申请人定义申请单，发起事件申请；审批人收到申请后可以同意或拒绝申请申请人定义申请单，发起事件申请；审批人收到申请后可以同意或拒绝申请，同意时可以指定执行人进行实际的管理动作的执行。

11、，同意时可以指定执行人进行实际的管理动作的执行。支持按用户组、资源组方式进行访问授权。支持按用户组、资源组方式进行访问授权。产品功能-授权管理系统具备组态报表功能，支持用户自定义报表模板，可以通过制定动态模系统具备组态报表功能，支持用户自定义报表模板，可以通过制定动态模板、静态模板，可以对各种数据进行组合查询。查询结果可以导出板、静态模板，可以对各种数据进行组合查询。查询结果可以导出TXT、HTML、XLS等多种格式报表文件。等多种格式报表文件。按照预设统计报表模板和命令关键字等条件进行查询统计时，可以同时输按照预设统计报表模板和命令关键字等条件进行查询统计时，可以同时输入多个命令，为多命令的

12、统计报表提供便利。入多个命令，为多命令的统计报表提供便利。支持以支持以html或或Excel方式输出。方式输出。支持自定义模板，支持二次开发定制报表。支持自定义模板，支持二次开发定制报表。产品功能-报表管理目 录 SecFox运维审计产品简介 SecFox运维审计关键技术及技术原理 SecFox运维审计功能、性能关键指标 SecFox运维审计快速配置、安装指导 SecFox运维审计典型应用场景分析 SecFox运维审计技术支持FAQ产品快速配置、安装指导目 录 SecFox运维审计产品简介 SecFox运维审计关键技术及技术原理 SecFox运维审计功能、性能关键指标 SecFox运维审计快速配置、安装指导 SecFox运维审计典型应用场景分析 SecFox运维审计技术支持FAQ产品典型应用场景-外网使用外网使用场景网神运维审计系统架设到网络核心交换机下，与全网设备及用户网络可达。所有用户通过通过内网访问运维审计系统。外网用户通过internet过防火墙访问网神运维审计系统（在防火墙上对网神运维审计系统常用端口开放及外网映射）映射IP单点登录 443、2001、3389、5808、9880监控审计 3000、3391、3392产品典型应用场景-