您的当前位置:首页正文

帕拉迪服务器安全管理系统用户使用手册

2021-12-27 来源:钮旅网


<杭州帕拉迪网络科技有限公司>

用户使用手册<3.1>

应用于安全管理、IT运维管理、IT内控

杭州帕拉迪网络科技有限公司

2008.11

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002 Version: < 3.1 > Date: < 26 10 2008 > 目录

1. 产品概述

2. 帕拉迪UNIX服务器安全管理系统WEB管理

4 4 2.1 登录与用户管理

2.1.1 登录向导 2.1.2 登录 2.2 系统概要信息 3. 系统基本配置

3.1 系统基本配置 3.2 基本输出设置 3.3 时间同步设置 3.4 邮件服务设置 3.5 软件注册管理 3.6 RADIUS认证 3.7 软件升级管理 3.8 网关启用控制 3.9 设备重启停止 4. 安全策略管理

4.1 热备配置管理 4.2 集群配置管理 4.3 系统公告设置 4.4 用户登录管理 4.5 网关密码策略 4.6 账号安全策略 4.7 命令分组管理 4.8 网关用户管理 4.9 主机资产管理 4.10 主机账号管理 4.11 权限组别管理 4.12 扩展命令管理 4.13 扩展命令设置

Confidential

, 2008

4 4 6 6 7 7 8 8 9 10 10 11 11 12 12 12 13 14 14 15 15 16 17 19 21 22 23 24

Page 2 of 44

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002 4.14 SFTP传输管理 4.15 FTP审计策略 4.16 审计账号设置 5. 命令审计管理

5.1 Unix主机统计 5.2 登录地址统计 5.3 网关用户统计 5.4 主机账号统计 5.5 事件分析中心 5.6 用户实时命令审计 5.7 SFTP传输审计 5.8 实时查询审计 5.9 用户操作实时回放 6. 系统状态查看

6.1 进程状态查询 6.2 接口状态查询

7. 附:如何登录以及管理资产主机?

Confidential

, 2008 Version: < 3.1 > Date: < 26 10 2008 > 25 27 28 29 29 30 31 32 32 33 35 36 36 38 38 39 40

Page 3 of 44

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002 Version: < 3.1 > Date: < 26 10 2008 > 用户手册

1.

产品概述

帕拉迪网络科技有限公司致力于UNIX服务器安全防御产品的开发和网络安全服务的推广,此系统主要用于UNIX服务器系统安全防护,让UNIX服务器的操作、管理和运行更加可视、可控、可管理、可跟踪、可鉴定,解决UNIX服务器系统级别的安全问题、安全威胁,为国家重要部门和企业UNIX服务器的正常有序运行,提供可靠的安全保障。

2. 帕拉迪UNIX服务器安全管理系统WEB管理

帕拉迪UNIX服务器安全管理系统(以下简称PLDSEC SMS)可以通过用WEB界面进行配置管理,

也可以通过ssh或串口超级终端登录到帕拉迪UNIX服务器安全管理系统,用CLI命令行方式进行管理。本用户手册主要介绍如何使用帕拉迪UNIX服务器安全管理系统的WEB界面进行配置管理。

2.1 登录与用户管理

2.1.1 登录向导 为了使用帕拉迪UNIX服务器安全管理系统上的WEB管理界面,需要使用您工作站上的浏览器。由于超文本传输协议(HTTP)以非加密的明文形式进行网络传输,因此为了建立一个安全的从工作站到帕拉迪UNIX服务器安全管理系统之间的连接,帕拉迪UNIX服务器安全管理系统需要您使用安全套接字(SSL)协议2.0或3.0版,安全套接字加密了所有您和帕拉迪UNIX服务器安全管理系统之间交换的信息。

注意:为了建立一个SSL连接,需要您的工作站和帕拉迪UNIX服务器安全管理系统之间进行相互认证,如果无法进行认证将无法建立联接。当您访问帕拉迪UNIX服务器安全管理系统时,安全认证会弹出警告信息,这个警告信息对于帕拉迪UNIX服务器安全管理系统和您的工作站都不必要。当您接受了认证,帕拉迪UNIX服务器安全管理系统和工作站就建立了持续的安全、加密的连接。

Confidential

, 2008 Page 4 of 44

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002 Version: < 3.1 > Date: < 26 10 2008 > 下面为登录步骤介绍:

在您的管理工作站上运行IE浏览器。

在[地址]栏中,输入https:// 帕拉迪UNIX服务器安全管理系统管理口地址和端口弹出一个安全警告框,显示如下。 选择下列一项:

 点击[是]接受登录进程的认证  点击[否]拒绝登录进程的认证

 如果您想使用安装认证向导在您的工作站上永久安装认证,点击[查看证书],点击[安装

证书]即可为此您的计算机安装证书。

若输入服务器IP地址不正确则系统显示下图所示的出错信息:

Confidential

, 2008 Page 5 of 44

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002 Version: < 3.1 > Date: < 26 10 2008 > 2.1.2 登录 登录界面共包括两部分内容:登录信息和控制按钮。如下图所示: 输入信息:用户名称、登录密码 控制按钮:登录、退出

注:缺省的超级用户名为:superman,密码为:pld123Q@

为了确保帕拉迪UNIX服务器安全管理系统的安全,系统管理员只有一个即superman,初次运行时用户名为

superman,口令为pld123Q@,程序启动以后管理员应及时修改口令,以免被他 人非法登录。

2.2 系统概要信息

帕拉迪UNIX服务器安全管理系统的配置管理主要通过WEB界面来实现,首页界面中主要包括页面左边区域的菜单栏、页面右边区域的帕拉迪UNIX服务器安全管理系统说明页面。下面对各部分功能进行系统的介绍。如下图:

Confidential

, 2008 Page 6 of 44

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002 Version: < 3.1 > Date: < 26 10 2008 > 3. 系统基本配置

帕拉迪UNIX服务器安全管理系统的系统基本设置是对PLDSEC SMS设备的基本参数设置,使其能够正常工作。具体包括:“系统基本配置”、“基本输出设置”、“时间同步设置”、“邮件服务设置”、 “软件注册管理”、 “RADIUS认证”、“软件升级管理”、“网关启用控制”、“设备重启停止”等选项。用鼠标单击页面左边菜单栏的“系统基本配置”

菜单可以看到它所包含的子菜单项,界面如左图所示:

3.1 系统基本配置

帕拉迪UNIX服务器安全管理系统的系统基本配置包括对PLDSEC SMS设备的网卡及相关参数的设置。界面如下图所示:

管理员可以根据实际网络情况,合理配置网络参数。管理员对网络参数的设置,无需设备重启或服务重启,将会立即生效。例如:现在将PLDSEC SMS系统的主机名设为:SMS;网关:192.168.1.1;DNS:202.101.172.46 202.101.172.47。具体如下图所示:

Confidential

, 2008 Page 7 of 44

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002 Version: < 3.1 > Date: < 26 10 2008 > 帕拉迪UNIX服务器安全管理系统的网卡属性拥有普通和Bond两种模式。普通模式即网卡的正常模式;Bond模式是指以两块网卡提供冗余功能,工作方式是主备的工作方式,也就是说默认情况下只有一块网卡工作,另一块做备份。界面如下图所示:

3.2 基本输出设置

二次日志记录加强了原始日志材料的防伪防杜撰功能,通过对比保存于两台日志服务器上的日志材料,可以准确可靠的进行故障鉴定和责任认定,需要对SYSLOG日志服务器参数设置,包括日志服务器地址设置,和“启动/停止”设置,见下图:

3.3 时间同步设置

帕拉迪UNIX服务器安全管理系统的策略控制提供日期/时间控制的策略因子。所以日期/时间的准确性相当重要,而帕拉迪UNIX服务器安全管理系统提供的时间同步功能能够与世界标准时间相一致,保证了策略控制的准确性。但使用时间同步功能的同时必须保证PLDSEC SMS系统能和Internet网络相连通。界面如下图所示:

Confidential

, 2008 Page 8 of 44

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002 Version: < 3.1 > Date: < 26 10 2008 > 帕拉迪UNIX服务器安全管理系统的时间设置功能,不但能够与国际标准时间相同步,管理员还可以根据实际环境设置时间/日期。如下图所示:

3.4 邮件服务设置

为密码安全着想以及日后用户忘记登录安全访问网关的密码,安全访问网关提供了一个好方法:把用户登录安全访问网关的密码在系统用户注册或编辑的时候通过发送邮件发给用户预先设置的邮箱。

点击“系统基本配置”中的“邮件服务设置”菜单项,进入“邮件服务设置”页面

Confidential

, 2008

Page 9 of 44

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002 Version: < 3.1 > Date: < 26 10 2008 > 发送邮件,设置邮件服务器是第一步,安全访问网关支持邮件传输方式有:普通传输和SSL加密传输,注意:如果要安全访问网关支持SSL加密传输设置的邮件服务器必须支持加密功能(例如:GMAIL邮箱)。

3.5 软件注册管理

每一台帕拉迪UNIX服务器安全管理系统都有一个唯一的序列号,当系统升级或其他原因要重新安装系统时,则必须要输入这个唯一的序列号。

每一台帕拉迪UNIX服务器安全管理系统的序列号都是唯一的,不能重用,这样有效的保护了帕拉迪UNIX服务器安全管理系统的版权,也给市场有续的运营提供安全保障。如下图:

3.6 RADIUS认证

PLDSEC SMS UTM支持标准的Radius认证协议,能够很方便的和身份认证产品集成,提升产品安全性和扩展性,如下图:

在端口信息填入RADIUS的IP和端口号,私钥密码为RADIUS的私钥。点击“确定”完成配置。

Confidential

, 2008 Page 10 of 44

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002 Version: < 3.1 > Date: < 26 10 2008 > 3.7 软件升级管理

软件升级菜单用于对帕拉迪UNIX服务器安全管理系统的软件进行升级。单击菜单栏上“软件升级管理”可进入软件升级页面。

软件升级有两种方式,软件包上载升级为系统管理员通过将本地的软件升级包上载到帕拉迪UNIX服务器安全管理系统进而实现帕拉迪UNIX服务器安全管理系统升级的一种软件升级方式。

指定服务器升级为系统管理员从一个给定的服务器下载指定文件来进行帕拉迪UNIX服务器安全管理系统软件升级的一种软件升级方式。输入升级服务器的地址和升级文件的文件名,单击“确定”,如果升级包格式错误或者升级包加密验证错误,将提示错误验证信息。

3.8 网关启用控制

“网关启用控制”负责帕拉迪UNIX服务器安全管理系统的启用和停止。这里的“网关启用控制”功能也只有超级用户有权限设置。其它用户只有访问浏览的权限。

如下图:

点击上图中的“启用监控”按钮,系统即进入监控状态,帕拉迪UNIX服务器安全管理系统根据用户所设配置的策略给受保护UNIX主机对应的保护。

Confidential

, 2008 Page 11 of 44

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002 Version: < 3.1 > Date: < 26 10 2008 > 3.9 设备重启停止

“设备重启停止”用来重启设备和关闭设备

4. 安全策略管理

安全策略管理是本系统的核心,它包括了UNIX服务器安全管理系统所有策略例如密码策略、账号策略以及类防火墙策略等等。

4.1 热备配置管理

正常情况下主机处于工作状态,备机处于监控状态,主备之间监控使用“心跳线”和“参考地址”方式实现。当主机出现故障时,备机主动接管主机的工作并自动升级为主机身份。故障主机恢复正常后处于备机状态,不提供服务,只负责监控实际主机的状态。当主机再次发生故障,备机同样主动接管主机的所有工作,保证服务的不间断运行,实现高可用性。双机热备配置如下:

Confidential

, 2008 Page 12 of 44

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002 Version: < 3.1 > Date: < 26 10 2008 > 选中“启用热备管理”选择主机或者备机,点击“启用”按钮。

在心跳接口填入对端(备机)的心跳地址10.1.1.2。工作接口填入对外的虚拟地址

192.168.1.199(注意:2两个设备要设置一样的对外服务地址),参考地址填入第3方存活着的主机(经常设置为网关)192.168.1.1

4.2 集群配置管理

集群是双机热备的一种进阶型部署,能更好的提高系统稳定性。集群部署能很好的支持跨区域部署。集群管理能更好的对整个网络进行统一管理。配置如下:

填入相应地址和节点名,点击“添加”按钮

Confidential

, 2008

Page 13 of 44

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002 Version: < 3.1 > Date: < 26 10 2008 > 集群运行模式:

1. 单独运行模式:系统既有单独的管理配置和审计功能模块

2. 集群中心模式:集群中心除了具有单独运行的功能,还具有调度管理节点的功能。节点上的管理

配置由集群中心下发。

4.3 系统公告设置

系统公告设置界面的公告用来提示登录SecureCRT用户操作信息

4.4 用户登录管理

可以根据客户环境需求设置连接限制,比如:不准同一个用户多IP同时登录,登录连接数不得超过2条:

Confidential

, 2008 Page 14 of 44

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002 Version: < 3.1 > Date: < 26 10 2008 > 4.5 网关密码策略

网关密码策略模块通过有效设置密码安全策略选项达到保护登录UNIX服务器安全管理系统密码安全的目的,策略选项包含密码最小长度、自动密码长度、密码强度选项(包含数字、包含大写字母、包含小写字母、包含特殊字符)、密码有效期、重试锁定次数。登录密码丢失后用户可以通过提供有效证件号和密码来取回登录UNIX服务器安全管理系统的密码。

4.6 账号安全策略

账号安全策略模块通过设置策略选项来保护登录资产服务器的密码,策略选项包括自动更新启用、自动更新周期、计划更新时间、账号长度、密码强度控制选项(包含数字、包含大写字母、包含小写字母、包含特殊字符)、密码保存。密码更新功能是为了防止密码因长时间使用而被他人窃取的现象发生。更新密码会自动发给用户指定的密码管理员。

Confidential

, 2008 Page 15 of 44

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002 Version: < 3.1 > Date: < 26 10 2008 >

4.7 命令分组管理

“命令分组管理”是对帕拉迪UNIX服务器安全管理系统安全审计所匹配的命令进行添加、修改、删除的操作。在“命令组别”后的文本框中键入命令组别名称。点击“添加”按钮,完成命令组别的添加,下图所示命令分组管理界面:

Confidential

, 2008

Page 16 of 44

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002 Version: < 3.1 > Date: < 26 10 2008 > 要对命令集中的命令进行编辑操作单击“编辑”按钮,进入命令编辑菜单,如下图:

用户只需将被操作审计的命令按命令模式或参数模式(参数模式即关键字模式)在相应的文本框键入命令,单击“添加”即可。帕拉迪UNIX服务器安全管理系统的命令编辑功能支持多命令名称、多命令参数、多匹配模式的工作方式,用户可根据自己的需求自由配置。

4.8 网关用户管理

网关用户管理模块用来添加和编辑登录UNIX服务器安全管理系统的用户相关资料

从上图显示信息我们可以得知目前安全访问网关拥有4位用户(superman、zby、chenhu、gaoming),而且用户状态都是活动的,用户superman为超级用户可以执行UNIX服务器安全管理系统web界面上的所有操作,其他用户属密码管理员比普通用户唯一多了一项接受主机资产帐号更新密码的功能。普通用户拥有查看安全访问网关web界面内容的功能,他不能编辑其他用户信息,不能执行添加和删除操作。在这张图中超级用户可以编辑任何一个用户的信息和删除除了用户类型为超级用户的其他用户信息。点击用户名 superman所在记录右边的“编辑”按钮,显示画面见下图:

Confidential

, 2008

Page 17 of 44

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002 Version: < 3.1 > Date: < 26 10 2008 >

上图包含信息有:用户名称superman、用户邮箱(用来接收密码邮件)、用户类型(超级用户)、用户状态为活动(表示此用户能够成功登录UNIX服务器安全管理系统)、密码管理选项(备注:可以自己按照密码策略要求设置密码或点击“自动密码”按钮生成大家难以记住的复杂密码)等等。点击“个人信息”按钮进入superman个人资料编辑窗口:

Confidential

, 2008 Page 18 of 44

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002 Version: < 3.1 > Date: < 26 10 2008 >

注意:为了增强附件安全性安全访问网关提供用户设置附件解压密码的功能,虽然下载了附件但是不知道附件解压密码的人是不能看见附件内容的,附件内容里存放着登录UNIX服务器安全管理系统的密码,一定程度上起到了保护网关用户密码的作用。

4.9 主机资产管理

主机资产管理模块用来添加、编辑和删除被管理主机资产,主机资产只有被添加进来才可能受到UNIX服务器安全管理系统的保护

Confidential

, 2008 Page 19 of 44

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002 Version: < 3.1 > Date: < 26 10 2008 > 为了添加主机资产,点击“添加”按钮后显示如下:

例如要添加IP为192.168.1.153的主机资产服务器:

输入此机器的相关信息:主机名称(AS4 LINUX)、主机地址(192.168.1.153)、操作系统(UNIX)、协议(SSH)、服务器端口(22)、所属用户(superman)、用户名前缀(login:)、密码前缀(assword:)

Confidential

, 2008 Page 20 of 44

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002 Version: < 3.1 > Date: < 26 10 2008 >

点击“添加”按钮,在主机资产管理页面新增添了一条记录,指定主机资产服务器被成功添加

主机资产管理

4.10 主机账号管理

主机账号管理模块用来管理所有服务器(UNIX服务器安全管理系统和主机资产服务器)的账号信息,涉及两方面的内容,一、账号同步设置。二、使用账号进行SFTP传输的设置。账号能够成功更新,设置必须包含三步:(1)时间同步服务器的设置(账号更新的时间参照物)(2)帐号密码策略选项更新启用和更新时间、周期的设置;(3)帐号同步启用。sftp 工具可以用来打开一次安全互动的 FTP 会话。它与 ftp 相似, 只不过,它使用安全、加密的连接。

Confidential

, 2008

Page 21 of 44

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002 Version: < 3.1 > Date: < 26 10 2008 >

主机帐号管理

4.11 权限组别管理

权限组别管理模块对UNIX服务器安全管理系统所有的服务器进行归类,直接管理服务器的可应用性(在主机资产管理中添加的资产服务器IP地址、账号如果没有出现在下图中,表示该资产服务器没有受安全访问网关的保护)。

目标资产管理界面中已有机器(点击“主机”连接如下图)

Confidential

, 2008 Page 22 of 44

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002 Version: < 3.1 > Date: < 26 10 2008 >

可以根据实际情况将现有的资产主机权限划分给用户

划分完资产主机将会有主机相关联的账号可以划分

4.12 扩展命令管理

帕拉迪UNIX安全管理系统支持自定义编辑批量命令集。批量命令可在多种字符系统下应用,设置好命令前缀,编辑用户所需要的命令集,支持命令排序更改,支持命令加密,支持多批量命令应用。如下图:

Confidential

, 2008

Page 23 of 44

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002 Version: < 3.1 > Date: < 26 10 2008 > 点击“编辑”超级连接后点击“添加”按钮。如下图:

根据实际情况添加命令集,如下图:

4.13 扩展命令设置

在编辑命令集后,设置具体对应用户管理的主机账号执行批量命令集。如下图:

比如设置“zby2”执行命令集,点击在zby2的行的“选择”超级连接,如下图:

Confidential

, 2008 Page 24 of 44

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002 Version: < 3.1 > Date: < 26 10 2008 >

4.14 SFTP传输管理

为方便服务器的维护和数据安全传输,帕拉迪推出两种文件传输方式,分别支持FTP、SFTP两种数据传输工具,支持任何基于上述两种协议的现有工具。针对SFTP协议,帕拉迪提出一站式传输理念,用户直接将文件通过UNIX安全管理系统,将文件SFTP到目标主机,中间没有停留,直接到站,与此同时,整个使用FTP, SFTP方式传输文件的过程,都会被PLDSEC SMS UTM实时完整的记录下来,方便后期集中审计,责任鉴定。

点击“编辑”按钮进入如下图:

Confidential

, 2008

Page 25 of 44

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002 Version: < 3.1 > Date: < 26 10 2008 > 上图信息展现的内容:系统用户superman 可以通过SFTP上下载文件到目标资产192.168.1.153,使用主机资产帐号wang,上下载文件的资产目录为/home/wang。

用户要进行sftp传输必须在sftp工具(WinSCP)中进行如下设置:

Host name值为UNIX服务器安全管理系统IP地址,User name、Password为登陆UNIX服务器安全管理系统用户名、密码,端口号22。点击Login按钮进入下图:

用户只要点击进入上图页面中的文件夹192.168.1.153##home#wang,就能进行上、下载文件。

Confidential

, 2008 Page 26 of 44

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002 Version: < 3.1 > Date: < 26 10 2008 > 4.15 FTP审计策略

策略的配置管理,用户可以根据日期、星期、时间、命令集等条件对UNIX主机设置安全策略。如下图:

在上图中单击“添加”按钮,进入“安全策略编辑页面”。如下图:

添加如下内容的一条策略: 用户名称(即登陆到UNIX服务器安全管理系统的用户名)superman;服务器地址(主机资产服务器地址)为192.168.1.153/32, 远程账号(即登陆主机资产服务器192.168.1.153的账号)wang。登陆地址为192.168.1.80/32;日期为2007/1/15—2007/01/31;时间为00:00—20:00;命令集为!(非)CMD;动作接受。符合以上所有条件的用户被允许登陆主机资产服务器192.168.1.153,执行除了CMD命令集中的其他命令。被成功添加的策略记录如下图:

Confidential

, 2008 Page 27 of 44

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002 Version: < 3.1 > Date: < 26 10 2008 > “安全策略编辑”中的日期/星期、时间、命令集合、空闲时间、动作(接受、拒绝和警告)是进行UNIX主机安全策略匹配的条件因子,全部条件都增加“非”的功能,完善了策略配置的灵活性和多样性。用户可以根据本地的网络情况,科学配置。

4.16 审计账号设置

设置专门针对WINDOWS、X-WINDOW、VNC图形界面操作审计客户端。如下配置:

在客户端192.168.1.22(WINDOWS系统)上装“RDP审计客户端”软件,添加服务器,填入如上的相应信息完成配置。

Confidential

, 2008 Page 28 of 44

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002 Version: < 3.1 > Date: < 26 10 2008 >

RDP审计客户端软件界面

5. 命令审计管理

命令审计管理由五部分组成:用户操作表(Unix主机统计、登录地址统计、网关用户统计、远程账号统计)、事件分析报告、实时命令审计、SFTP传输审计、实时审计查询。

5.1 Unix主机统计

“Unix主机统计”根据每个主机资产服务器的IP地址来统计远程登录用户登录日期、离开日期,远程账号数量、用户数量、登录IP数量、命令数量、session数。

Confidential

, 2008

Page 29 of 44

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002 Version: < 3.1 > Date: < 26 10 2008 > 点击上图服务器地址为192.168.1.42的超级链接得到下图:

在此图中给出了不同远程用户在服务器192.168.1.42上操作记录的统计信息,包括用户名(登录UNIX服务器安全管理系统的用户名)、远程账号(服务器192.168.1.42的帐号)、远程用户的登录IP地址、登录时间、执行的命令总数、以及指向用来回放用户操作行为的命令记录和屏幕记录超级链接。

5.2 登录地址统计

“登录地址统计”根据远程用户的登录地址对用户操作行为相关信息进行记录包括:起始日期、截至日期、远程账号数量、用户数量、登录次数、命令数量、session数。见下图:

点击图中登录IP地址为192.168.1.100的蓝色超级链接,显示结果为:

Confidential

, 2008 Page 30 of 44

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002 Version: < 3.1 > Date: < 26 10 2008 >

在此图中给出了远程登录IP地址为192.168.1.100更加详细的操作记录,包括以什么用户名登录UNIX服务器安全管理系统,登录到哪个unix服务器,所用主机账号等等。

5.3 网关用户统计

“网关用户统计”根据远程用户使用的UNIX服务器安全管理系统用户名对用户操作行为相关信息进行统计。见下图:

在图中给出了以不同用户名登录UNIX服务器安全管理系统然后跳转到目标主机服务器进行命令操作的总体概要信息,例如:以用户superman登录UNIX服务器安全管理系统然后跳转到目标主机服务器进行命令操作的主机帐号数量4、登录IP数量4、统计命令数137、session数30。点击“superman”超级链接,结果显示如下:

Confidential

, 2008 Page 31 of 44

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002 Version: < 3.1 > Date: < 26 10 2008 >

登录到主机服务器192.168.1.154进行命令操作有来自IP地址192.168.1.100\\192.168.1.78,所使用主机帐号root,其中来自IP地址192.168.1.100的用户曾三次登录主机资产服务器192.168.1.154,操作的命令条数分别为:10、4、3。

5.4 主机账号统计

“主机账号统计”根据远端用户登录目标服务器所使用账号对用户操作行为相关信息进行统计。见下图:

5.5 事件分析中心

对于所有登录主机资产服务器的操作信息进行记录,记录信息包括起始日期、起始事件、结束日期、结束时间。默认情况PLDSEC SMS以事件日期和时间倒序方式显示所有操作相关信息,显示内容见下图:

Confidential

, 2008

Page 32 of 44

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002 Version: < 3.1 > Date: < 26 10 2008 >

注意上图中以红颜色标出的文字,用来提醒管理员此登录用户在这一刻执行了高危命令,应该把此用户列为危险对象,而针对此用户的策略应该更加严格。用户可以有目的地随意定制过滤条件进行操作信息的查看,例如:要查看事件结果为拒绝的记录只需在“事件结果”的组合选项中选中拒绝选项,点击确定,立即得到您想要查看的信息如下图所示:

5.6 用户实时命令审计

“实时命令审计”是对登录到主机资产服务器上的用户操作命令和执行动作进行实时审计。如下图:

Confidential

, 2008 Page 33 of 44

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002 Version: < 3.1 > Date: < 26 10 2008 >

用户可以根据主机地址、起始日期、结束日期、网关用户、登录地址、用户命令、主机帐号、操作时间这些参数进行挑选来进行有目的的审计,根据审计情况即时修改策略配置使得主机资产服务器更加安全和合理的被使用。例如:审计用户操作命令ls的操作纪录,在“用户命令”文本框中输入命令ls,点击确定按钮后显示结果为下图所示:

点击序号1对应记录命令查看项的“命令”超级链接,结果显示如下图:

Confidential

, 2008

Page 34 of 44

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002 Version: < 3.1 > Date: < 26 10 2008 > 点击实“时命令审计”对应记录“屏幕”项的超级链接,结果显示如下图:

点击“播放”超级连接,结果如下图:

5.7 SFTP传输审计

SFTP方式传输文件的过程,都会被PLDSEC SMS UTM实时完整的记录下来,方便后期集中审计,责任鉴定。如下图:

Confidential

, 2008

Page 35 of 44

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002 Version: < 3.1 > Date: < 26 10 2008 > 5.8 实时查询审计

专门针对WINDOWS、X-WINDOW、VNC图形界面操作审计。通过对用户的操作数据流进行实时捕获,将审计到的数据包进行逻辑重组,恢复和还原用户的远程桌面访问过程,自动以Session方式记录。强大的日志查询,日志审计中心提供功能强大的搜索引擎,为用户实现对时间、登陆地址、主机地址、主机帐号等多种丰富的查询条件,用户可以按照自己的需要查找所关心的符合监控规则的Session日志。如下图:

5.9 用户操作实时回放

日志审计中心是对审计到的日志进行回放的平台,工作在专用主机上。日志审计中心可以对数据中心的日志进行实时查询、批量下载日志。日志播放支持快进、后退、暂停、播放点定位等功能,方便管理员追溯关键操作。

Confidential

, 2008 Page 36 of 44

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002 Version: < 3.1 > Date: < 26 10 2008 >

Confidential

图5.1 RDP集中审计中心

图5.2 RDP日志播回放界面

, 2008 Page 37 of 44

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002 Version: < 3.1 > Date: < 26 10 2008 > 图5.3 X-Window日志回放界面

6. 系统状态查看

系统状态查看由进程状态查询和接口状态查询两部分组成

6.1 进程状态查询

TOP命令提供了实时的对系统处理器的状态监视,它将显示系统中CPU最“敏感”的任务列表。“TOP状态查询”把TOP命令的输出结果以网页的形式展现给管理员看,使管理员迅速地知道自己最关心的系统信息,方便管理员分析问题,进行系统维护。如下图

Confidential

, 2008

Page 38 of 44

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002 Version: < 3.1 > Date: < 26 10 2008 > 6.2 接口状态查询

“接口状态查询”显示UNIX服务器安全管理系统的接口配置信息,如下图:

Confidential

, 2008 Page 39 of 44

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002 Version: < 3.1 > Date: < 26 10 2008 > 7. 附:如何登录以及管理资产主机?

SSH/Telnet登录方式:

通过TELNET、SSH工具(CMD.exe或SecureCRT.EXE等)登陆帕拉迪安全管理系统,帕拉迪安全管理系统依据用户策略,将用户直接连接到策略指定服务器,完成单点登录、用户行为分析、用户命令识别、用户行为控制和用户操作审计等功能。如下图:

通过用系统自带的远程桌面连接(mstsc.exe)登陆帕拉迪安全管理系统,帕拉迪安全管理系统依

RDP/VNC/X-window登录方式:

据用户策略,将用户直接连接到策略指定服务器,完成单点登录。如下图:

Confidential

, 2008

Page 40 of 44

PLDSEC SMS 用户使用手册 Version: < 3.1 > Date: < 26 10 2008 > < document identifier > PLDSEC SMS-0608-002 VNC连接注意事项:

1. VNC资产主机配置时需加入密码(因VNC是密码匹配)。

2.VNC服务配置的加密选项选项应选择“关闭”。

Confidential , 2008

Page 41 of 44

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002 Version: < 3.1 > Date: < 26 10 2008 > SFTP登录方式:

通过SFTP常用软件WinSCP3.exe登陆帕拉迪安全管理系统,就可看到资产SFTP服务器。如下图:

FTP登录方式(字符模式):

通过常用软件CMD.exe登陆帕拉迪安全管理系统(如:ftp 192.168.1.254),然后在用户输入:FTP用户名@FTP服务器地址(**********.1.32)密码输入: FTP服务器密码。如下图:

Confidential

, 2008 Page 42 of 44

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002 Version: < 3.1 > Date: < 26 10 2008 > FTP登录方式(图形模式):

打开浏览器(IE、TT、遨游、火狐等)或WINDOWS文件窗口,登陆帕拉迪安全管理系统(如ftp:// 192.168.1.254)弹出提示框,如下图:

“确定”后右击窗口选择“登录”,然后输入相应用户名和密码(**********.1.32)登录即可。如下图

Confidential

, 2008

Page 43 of 44

PLDSEC SMS 用户使用手册 < document identifier > PLDSEC SMS-0608-002

Version: < 3.1 > Date: < 26 10 2008 > =============手册结尾=============

Confidential

, 2008 Page 44 of 44

因篇幅问题不能全部显示,请点此查看更多更全内容