管理员指导手册

易安联

Enlinkcloudz

管理员指导手册

(VI.2.2)

易安联网络

ENLINKNETWORKS

声明

Copyright©2020江苏易安联网络技术有限公司及其许可者所有，保留一切权利。

未经本公司书面许可，任何单位和个人不得擅自抄袭、复制本书内容的部分或全部，并

不得以任何形式传播。

ENLINK及图标为江苏易安联网络技术有限公司的商标。对于木手册出现的其他公司的

商标、产品标识和商品名称，由各自权利人拥有。

除非另有约定，本手册仅作为使用指导，本手册的所有陈述、信息和建议不构成任何明

示或暗示的担保。

本手册内容如发生更改，怒不另行通知。

如需要获取手册，请联系江苏易安联网络技术有限公司销售人员、售前工程师和售后技

术支持。

目录

1.管理端基本操作................................................................2

1.1登录Web页面............................................................2

1.2新增用户..................................................................3

1.3新增用户组...............................................................4

1.4新增角色..................................................................4

1.5认证对接..................................................................5

1.6管理员配置...............................................................12

2用户访问应用...................................................................15

2.1web应用.................................................................15

2.2终端应用.................................................................17

2.3网络层应用...............................................................20

3安全策略.......................................................................22

3.1认证策略.................................................................22

3.2访问策略.................................................................29

4日志中心.......................................................................35

4.1用户日志.................................................................41

4.2管理日志.................................................................44

4.3VPN日志................................................................44

4.4应用统计.................................................................44

4.5监控中心................................................................45

1.管理端基本操作

1.1登录Web页面

1.在PC浏览器中输入Web管理端地址儒要联系管理员获取地址。

（注意：实际地址可能有所不同，请以实施工程师给出地址为准）

2.下图文本框中输入用户名及密码。

如用户名：“admin”，默认密码为：“Enlink@123!”。

3.点击“登录”按钮，初次登录需要修改密码

4.修改成功后跳转到登录界面输入新密码，验证成功后进入如下界面。

1.2新增用户

选择“用户管理用户配置-〉本地用户-）新增”

新增用户X

*账号：—号

*姓名：：：）入」：

•555：请输入一<§>

*确认受码：请输入—<§>

*所唐用户组：请一人选择

3

♦账号：添加相应的登录账号（*必填）

♦姓名：添加相应的账号姓名（*必填）

♦密码：添加相应的密码（*必填）

♦确认密码：再次输入相应的密码（*必填）

♦所属用户组：选择用户所属的分组（/必填）

♦邮箱：添加相应用户的邮箱（选填）

♦手机号：添加相应用户的手机号（选填）

♦角色：添加相应的账号的访问应用角色（选填）

♦附加项：添加相应的账号的附加信息：出生日期、性别、身份证号（选填）

1.3新增用户组

选择“用户管理-〉用户配置-＞用户组-〉新增”

新增用户组-默认组X

・用户组名称：I?-P--

»用户组路径："：

角色：1项|匚CIS

|nxyi

认证照务器：

描述：：--：!?：：­:

取消

♦用户组名称：添加相应的用户组名称（*必填）

♦用户组路径：添加相应的用户组路径（*必填）

♦角色：给用户组分配相应的角色（选填）

♦认证服务器：选择用户组的认证服务器（选填）

♦描述：添加对相应用户组的描述信息（选填）

1.4新增角色

选择“用户管理用户配置-＞角色-＞新增”

新增角色X

♦角色名称:

应用：|匚15项a项

请蛤入搜索内容QI____请输入:

瞒讯qq.

□新浪

□黄汛网叁

▼

痛述:■:>---

取消

♦角色名称：添加相应的角色名称（*必填）

♦应用：给相应角色分配应用（选填）

♦描述：添加相应角色的描述（选填）

1.5认证对接

1.5.1LDAP认证

选择“用户管理。认证对接->LDAP・>新增”

WftSlDAPUCEX

•认任名号：

•LDAPK«S：.

(MO：TMACLJ-;

•BASEDN：?.u.N

MEADN：——LU

MJCQDN：/,%—Z

•冬冬8MI通行IT

•・努・・遢口3:<S>

v电a*K设置

网QyTM：|A«A

用户对3瑰■:•

•内Q名"在；fl«iA

♦认证名称：添加LDAP认证的名称（*必填）

♦LDAP服务器：添加LDAP服务器的地址（*必填）

♦端口:添加LDAP服务器的地址的端口号（*必填）

：

♦BASEDN数据库结构，如dc=my-domain/dc=com（*必填）

♦服务器管理账号：添加LDAP服务器管理账号，如

cn=Manager,dc=my-domain,dc=com（*，必填）

♦服务器管理口令：添加LDAP服务器密码（*必填）

♦用户名属性：添加数据库中用户ID的字段名（*必填）

在LDAP认证页面启用该认证，导入后，即可用该数据库下的用户登录客

户端。

新增Idap第三方用户

（需开启同步权限##default##default##common##s参数改为true）第三方

用户-选中Idap用户组-新增，可在Idap数据库中对用户增删操作

1.5.2RADIUS认证

选择“用户管理。认证对接->RADIUS->新增”

编辑RADIUS认证X

取消

♦认证名称：添加RADIUS认证的名称。必填）

>RADIUS服务器：添加RADIUS服务器的地址（*必填）

♦端口号：添加RADIUS服务器的地址的端口号（*必填）

♦预共享密钥：添加RADIUS认证的预共享密钥（*必填）

♦认证算法：选RADIUS服务器的认证算法（*必填）

新增成功后，在RADIUS认证页面启用该认证，无需导入用户，直接使用

RADIUS服务器数据库里配置账号登录客户端即可

1.5.3AD认证

选择“用户管理。认证对接->AD认证・>新增”

新增AD认证

•认证名称:

•A0眠务箭:

♦福口:

比服装sstr建口令:

•BASEDN:

*as：

取消

♦认证名称：添加AD认证的名称（*必填）

♦AD服务器：添加AD服务器的地址（*必填）

♦端口:添加AD服务器的地址的端口号（*必填）

：数据库结构，如：（*必填）

4BASEDNdc=testzdc-com

♦域名：添加AD服务器的域名（*必填）

新增成功后，在AD认证页面启用该认证，绑定用户组后，点击用户组导

入后，即可用该数据库下的用户登录客户端。

1.5.4DB认证

选择“用户管理。认证对接。DB认证->新增”

新增DB认证X

*认证名称：湾蛤人认证名称

»数据库服务器：

，数痣度类型：Mysql

*数据医诫口：3306

*服务器管理口令:□今

*数据店名称:

，数据表名:

“踪号字段名:

«名科字段名：

，加专方式:

姓名字段名:

手机W字段名:

邮箱字段名:

描述字段名:

查询条件:字段名选择条件侑■

取消确定

♦认证名称：添加AD认证的名称（*必填）

♦数据库服务器：添加数据库服务器的地圻（*必填）

♦数据库类型：目前只支持mysql、sqlserver>Oracle

（*必填）

♦数据库端口:添加数据库地址的端口号（*必填）

♦服务器管理账号：数据库服务器的管理员账号一必填）

♦服务器管理口令：数据库服务器的管理员密码（*必填）

♦数据库名称：添加数据库名称（*必填）

♦数据表名：数据库所在用户的表名称（*必填）

♦账号字段名：数据库对应账号（*必填）

♦密码字段名：数据库对应密码（*必填）

♦加密方式：可供选择项：明文、MD5、sha-1（*必填）

♦姓名字段名：添加姓名的字段（选填）

♦手机号字段名：添加手机号的字段（选填）

♦邮箱字段名：添加邮箱的字段（选填）

♦描述字段名：添加相应角色的描述（选填）

♦查询条件：根据数据库表的字段和内容选择性导入此表的用户（选填）

1.5.5认证对接的用户组绑定

这个适用于所有需要将用户导入到管理端的第三方认证服务器。

点击用户管理-〉用户组

选择一个没有绑定认证服务器的用户组点击编辑编辑用户组，点击认证服务

滞选择认证服务器后，确认，相应的认证服务器用户才能够导入。

GroupAADPiXxoupAADP1IDAP犷W导入25⑥

AADPi/Peop4e...AADPl/PeopkLDAP^BQA25S

AADPi/WopieIDAP^IB号入09

AADPl/P«>p4e.../IADP1於eople导入25S

/lADPi/Pe也…AADPi/fWeIDA出名9人2J0

/LADPI/Peopie...AADPi/^opleLDAlbE导入25S

People/IADP1/P<op4eAADP1IDA呀a，入259

■子/LADPl/^eofMe...AADPl/^eoplelOAP^B导入25S

LADP1/LADP1/LDAP11■号垛力空崇明受EH电蜘加Ju*

AD/AD//S

可叵］叵1O«/25KS英

编辑用户组-用户组的X

1匚2

匚test

认证服务器:

庙述：Mysql

sqlserver

192.168.101194

1.5.6第三方登录

支持微信、钉钉和企业微信登录，其中钉钉和企业微信用户需要加入对应组

织群方可绑定。

用a管理/认证对接

认证^序LDAPU证RADUS认证AD认证DB认证REST认证第三方登录SSO

O微信(ZHDQ默认自型

O钉钉(W

•APPID:dlngoac,・.•..，•.(

•APPSECRET:nOxzvJhB25•47丑:.?;••：：jaO-t5AMma5O3B

•丽8洛:support*",

V脸

©企业微信QZ)

«APPID：WWO5I/OUDI%1©.+

•AGENTID：1・"-

•APPSECRET.•*•jV^^9Sv9652RBPkfl2RK4q-♦.」

・回阑域名.%,,.1nlink-top

八建

1.5.7SSO

控制器作为SSOclient对接企业SSOserver：支持CAS,OAUTH2等SSO协议。

用户w理/认证对接

认证班,LDAPiA证RADIUS认证A5A证DB认证REST认证第三方登录SSO

@CAS西段)

»名你：CAS

♦版本：・CAS

*登录：：

SMIV.!..—・•・•-_______________________I

单点登出地址：hr-1K/Iit

*取为S5前5S:.—

“用户壬成字笈：-3-

用户呢称字段：name

用户手机字段：mobi■

用户都德字或：I

QOAUTH

oSAML

1.6管理员配置

1.6.1新增管理员

点击右上角图标进入系统管理界面

e安枢统一控w中。q®

京统管IT

选择“管理员配置->管理员->新增”

・选择角色

・选择用户，移至右侧，确定。

・选择用户组权限，移至右侧，可以操作该用户组的用户

•使用新增管理员用户登录管理端，拥有所有荚单的读写权限

1.6.2新增管理员角色

选择“系统管理。管理员配置〉管理员角色。新增”

•默认存在两个角色：授权管理员和初级管理员，其中，授权管理员具有所有

菜单的读写权限，初级管理员具有所有菜单的只读权限。

•如只想管理员角色具有部分读写权限，需新增角色：

新墙角色X

*名称：用户管理管理员

*权限：0▼首页口只试

・□网络圮扑□a读

・Q用户管理□PiS

・应用管理□只试

■□网关□只读

・□系统管理□RiS

・□安生第18□RiS

■i□日志中心□na

・口监拄中心口A®

痛述：只有用户官理梗洪的谡耳笈眼

例如：新增只有“用户管理”权限的管理员，确定后，此角色下的管理员只

有该模块的读写权限。

1.6.3编辑管理员

选择“系统管理。管理员配置。管理员。账号（enlink）-＞编辑”

编行管理员x

妹号：Ienl

姓名：

♦角色:在权管理员

峥

•针对已存在的“enlink”管理员角色用户，编辑可修改不同的管理员角色

•编辑界面登录名和显示名仅支持显示，选择角色修改即可，如选择“用户管

理管理员”角色，确定

•该用户重新登录管理端，仅只有首页和“用户管理”模块的编辑权限

2用户访问应用

前提条件:存在用户前eshi”,角色“测试”，用户ceshi分配的角色为测试，网

关gate-1（具体配置参照1管理端基本操作相关章节）。

2.1应用发布

选择“应用管理-＞应用发布”来查看所有的应用,

选择“应用管理-＞应用分组”来查看所有的应用分组,

C安枢烧一控制中心

0

2.2web应用

Web应用用于配置登录web网站

选择“应用管理-应用-〉新增”

♦应用名称：添加相应应用的名称（必填）

♦图标：添加相应应用的显示图标（选填）

♦域名：添加相应应用的域名（必填）

♦PATH：添加相应应用的域名的路径（选填）

♦信用等级：给相应应用的设置不同的访问等级（必填）

♦应用网关：将应用分配给相应网关（选填）

♦角色：添加相应用户的角色（选填）

♦应用分组：选择应用的展示的分组（选填）

♦描述：添加相应用户的手机号（选填）

例如新建百度应用，给禅道应用分配网关test-gateT66,关联角色cbbsc测

试，

9«■—

a~一

用户ceshi登录客户端后可访问应用百度,

应刖访的一入口

SSO配置:

♦应用名称：添加相应应用的名称（必填）

♦回调地址：/域名）（必填）

2.3运维终端

运维终端用于配置web终端应用

选择“应用管理运维终端-＞新增”

C安枢统一控制中心

«­*>.2-7

G・灾

•区用容俗22

V««&卜

*.❷在瘴己也上拘密-T力256・258

月一

：SSH

88S"?«3

•Wi-IPv1W.168.100.22

五用are•・口：22

,zbSl第名：'，，坦户名

XM，*，aT_

•信用・球保

皿?用热091B

1IT

<Utf・M・・166

§同美管建

©^ieW

Q*tf«?

应用分日

DD至—

♦应用名称：添加相应应用的名称（必填）

♦图标：添加相应应用的显示图标（选填）

♦协议类型；添加相应应用的协议（必填）

♦地址:）

♦端口:添加相应应用的端口（必填）

♦信用等级：给相应应用的设置不同的访问等级（必填）

♦用户名：添加相应的应用用户名（选填）

♦密码：添加相应的应用用户名密码（选填）

♦应用网关：将应用分配给相应网关（选填）

♦角色：添加相应用户的角色（选填）

♦应用分组：选择应用的展示的分组（选填）

♦描述：添加相应用户的手机号（选填）

例如新建SSH终端应用22,给应用分配网关lesLgateT66,关联角色cbbsc

测试，

C安枢统一控制中心

这年看理/虎—/

Q・R

・五用名际：

回河一卜22

法撑已自HH，工上府—噎三寸为256・258x

只用TTJ

sw

8S

•碇:192.168.100.22

左尾发行22

次《6应用用户总

一

•（用・《：

京侬凭

启用同美;Off1W

Ilf面■量之

test-gate-166

河关管连

e安全街■

*r^0®

JSSS

瓜同殂fi:

DQ

*£

用户ceshi登录客户端后可访问应用22,

2.5隧道应用

隧道应用用于配置VPN隧道服务，只有使用客户端才能生效

选择“应用管理隧道应用->新增”

c安枢统一控制中心

Q苜式

・应用名称：赃

咆阿咨拓外

重标：❾诙撵己有囹标工上竹田标题获寸力2%Q56px

a用ag理

«应用於汉:•:广

88应用管理

史'克5^定：@默认IEChromeFirefox

应用发布

•MS：http：//，192168.100.19

web应用PATH:；•；\PATH

♦信用等级：住

应用网矢：匚0项|。1或

|<test-gate-166

UT叁逐

@网美宣湮

0安全地潞加司■网关：0项

0击叶管理

辱£2=1>

启色：0项

♦应用名称：添加相应应用的名称（必填）

♦图标：添加相应应用的显型图标（选填）

♦应用协议：添加相应应用的应用协议（必填）

♦浏览器绑定：选择浏览器类型（选填）

♦域名：添加相应应用的域名（必填）

♦PATH：添加相应应用的域名的路径（选填）

♦信用等级：给相应应用的设置不同的访问等级（必填）

♦应用网关：将应用分配给相应网关（选填）

♦应用证书：添加相应的应用证书（选填）

♦微隔离网关：添加相应的微隔离网关（选填）

♦角色：添加相应用户的角色（选填）

♦应用分组：选择应用的展示的分组（选填）

♦描述：添加相应用户的手机号（选填）

例如新建视频应用，给禅道应用分配网关test-gate-166,关联角色cbbsc测

试，

C安枢统一控制中心

《应用告理/班遭启用/伸a;：!仁年

Q-二

，应用s长胸

4网珞向卜

哂：。选用已有图标L上杓3ER詈至尺寸为256*2：6px

a用户也理

•应周?>仪：•

88过题咫

浏弟■^走：@■认IEChromeFirefox

立用发布

・WW：Htpy/192,168.100.19

八.63PATH?—AT-

至3薄

取：口OHI口1攻

无・应用

<Cshas•侬

HTv

©网关管理*

◎妄至籁班*加5鸾月曼：口。取FQo®

I3市法营理*

9皿a▼

角色：口035IQ0®

应期金：7.—

口口应吟纲

DD笈”立司

SME9

用户ceshi登录EnAgent客户端后浏览器可访问应用视频（内网地址）

EnAgent客户端EnUEP目录当日登录+日志中可查看隧道应用已下发成功。

tU*»*2021-0«-01115：4»：57H«：^l«v»l«infoB»g»a(4nv«r)s«trotwrdnic«r1>f*lw"hM,・・n”fywtW<E1.8；2W

1—•・2。2»04・0171，：6：3，*:8«l«v»lalnfoB»9«*(<riv«r)ServerSVAF«*9：falM*1xn««*«nu«f>/w»M«rT»x.90:2d2*

tl*e--2021-04-0in5!4t：S7He!^-lerel-info』,・(4neg)Filterxndcmlnrule:•"Ilne-eenwep/wrt>e«rr«r.^!W30

tA«・202»04・"73S:“：37*8：g«l»v»X«xnfoM9s*(<rxv»r)FilterXnipHatTCW4ml*：(tCPUU.XM.IM.1V32:IO:M.IM.11).234ZCXF:IM.l«l.100.XVU:B0:3<.：S2.n3.2M]s

[1*、0pAMb0«E£.g:354s.

tl^»-20n-0«-01T15：4l：57*W：^-Iwl-infoMg«a(4nwr)FilterInipHstTCTMn>l<:lTCP:lW.lW.l«0.J2/32:1014:34.n2.n3.2MICMPzlW.lW.W.22/32:W14:M.lM.llJ.iMr

I1e..2pAMbMnrar.g:3s4s.

xlw*2021-04>0in5:41:$?H«s00*l*v»I«infof•【:nf。[k>lntfU7XD2Controll«rMy:1\"co4»\e:X"2WX",S*»e»s*9e»X":\-0K\*.srrollI•Hn»«at»i«p/wM«rwr.go:))190

Ua»«・28：・O4-(H733:4，：0t«M：kIml-xaXoB»g-W(uifo]r«dir«c9TcR»3・tdataxaM043cXt&2M4»«Oadl917acMS'?dT4df：4c0fb4n>144c：«2&A]41l：4dC4>J^

良22「9：//39匕1£4-3一ecisnk一冲：.,14/一」1A匕▲毕幺liftf-wjep/vebSexver.2o:3W00。.

tA*・202»04・0171S:“：09・8:Mlwl«infoMndl♦JVOCXJ!•falwall-・8：122.

3安全策略

3.1认证策略

・强密码策略

启用此策略，修改密码，新增用户都会触发强密码策略

新增策略X

定担修改策略二次认证第喑登录限制案暗绑定策咯

强密码策略Q启用必须包括字母、数字和符号（除空格）,长度8〜32位

国码容错策略Q启用

«5范围：3〜8次

“执行动作：@锁定用二二次用户认证

*锁定时间（分钟）：100范围：5-1205亍钟（整数）

密码超期策略启用

超期时间（月）：范围：3〜12月（*R）

*名称：谢AA名称

*用户组：42项0项

・匚AD

RADUIS

・默认组

■厂IADP1

取消

•密码容错策略

选择执行动作为"锁定用户〃,触发策略后,用户会被锁定,需要等到锁定时间结束或管理员

解锁

国码容错笫唔□启用

*容错次数：5范围：3〜8次

*执行动作：@钳定用户二次用户认证

，锁定时间（分件）：100范围：5-120分钟（整数）

允许错误5次，第6次错误会触发锁定操作

密码登录r

❷oe.

需要等待锁定时间或者管理员进行解锁

Ki

电话所・用as

共条

3＜[i10*/8

选择执行动作为“二次用户认证〃，用户触发策略后，需要进行二次认证才能解锁。

套码容I昔策略□启用

*容错次数：5范围：3〜8次

*执行动作：锁定用户@二次用户认证

锁定时间（分钟）：100范围：£-120分钟（一）

允许错误5次，第6次输错后触发二次认证操作，后续输对会跳转到二次认证界面，认

证后才能登录。

法》从述方七

逐ilFGMST

•密码超期策略

用户长时间未登录，超过设置的超期时间，会触发策略，需要进行二次认证。

密码超期策略：□启用

*超期时间（月）：6范围：3〜12月（整数）

*的©全局用户组用户组之间策略存在继承关系

X取消

用户6个月未登录，会跳转到二次认证界面，认证后才能登录。

断入口刀认・

闻¥从；1方匕

•执行范围

执行范围，可以选择所有用户组或者部分用户组，未选中的其他用户组和用户不会触发

*名称：—各物

*用户组:42项。项

AD

RADUIS

默认组

LADP1

LADP2

Mysql

取消脸

•登录限制策略

用户账号登录总数超过配置数量后，限制后续登录张户登录，超过限制后后续账号登录时会

提示报错

新增策略X

密码修改策略二次认证策造登录限制策略绑定策空

用户账覆最大登录数策略□史用

*最大登录数：2范围：1~10

设置最大登录数为2,账户登录超过两个后限制后续登录

启用手机勾选策略后，未绑定手机号码的账户登录客户端将提示先绑定手机号码

新增策略

国码修改策略二次认证策珞登录限制策略绑定策略

手机号绑定启用启用后，必须绑定手机号

提小：X

纪末绑定手机号，清先绑定

•白名单策略

■开启后，只允许IP范围内的用户（管理员）登录管理端。

白名单策略内外网策略

白名单策略Q启用启用后，仅允许限定IP范围的管理员登录;至少填写田烟

IPv192.168.0.44

IP1.

IPvI.

X取消V确定

•内外网访问

■开启后，处于IP范围外的用户动态评分降低20分（初始评分100分）。改修改会

影响用户的信用等级，低等级用户无法访问高等级应用

内外网策略IP^

内外网策略Q启用启用后，仅允许限定IP范围的用户访问内网资诙至少填写THWB

内网IP172.16.0.二3

内网IP•・•

内网IP・・.

x取消v确定

图标：选那已有图标±上传图标最佳尺寸为256*256px

♦域名：https，v

PATH:请输入PATH

用等级：［低

用网关：低

中

高

•会话策略

■回话时间到期（无操作），账号自动离线。

:全策略/认证策略

纬探略IP笫略

会话时间（分钟）30范围：10〜12吩钟（整数）

V确定

•IP策略

■可以锁定特定IP,配置锁定时间

新增X

♦锁定IP:"+

示例：.-,/24

♦锁定时间类型：@分钟永久

*锁定时间：谙输入铀定时间

取消

3.2访问策略

•对url实现