1、 1目 录第一章 前言 3第二章 SAG 简介 .42.1 SAG 系统特点 .错误!未定义书签。2.2 SAG 应用环境 .错误!未定义书签。第三章 初次使用 63.1 采用 WebUI 方式登录 .63.2 客户端软件 8第四章 配置说明 错误!未定义书签。4.1 SSO 应用 .144.1.1 SSH 访问过程 错误!未定义书签。4.1.2 TELNET 访问过程 .错误!未定义书签。4.1.3 RLOGIN 访问过程 .错误!未定义书签。4.1.4 FTP 访问过程 .错误!未定义书签。4.1.5 RDP 访问过程 错误!未定义书签。4.1.6 VNC 访问过程 .错误!未定义书签。4
2、.1.7 X11 访问过程 .错误!未定义书签。4.1.8 应用程序访问过程 .错误!未定义书签。4.2 非 SSO 应用 错误!未定义书签。4.2.1 SSH 访问过程 错误!未定义书签。4.2.2 TELNET 访问过程 .错误!未定义书签。4.2.3 RLOGIN 访问过程 .错误!未定义书签。4.2.4 FTP 访问过程 .错误!未定义书签。4.2.5 RDP 访问过程 错误!未定义书签。4.2.6 VNC 访问过程 .错误!未定义书签。4.2.7 X11 访问过程 .错误!未定义书签。4.3 系统管理 174.3.1 Web 操作日志 错误!未定义书签。4.3.2 个人配置 .错误!
3、未定义书签。Security Access Gateway索特安全访问网关 4.0 用户使用手册2目录第一章 前言 3第二章 SAG 简介 42.1 产品特点 4第三章 初次使用 63.1 采用 WebUI 方式登录 .63.2 客户端软件 83.2.1 安装客户端软件 83.2.2 配置 IE 安全级别 9第四章 功能介绍 144.1 资源 144.2 应用 174.3 自助服务 203第一章 前言本文档编写目的主要是介绍网关用户通过SAG如何使用目标资源。南京索特科技有限公司拥有本文档的全部版权。未经本公司书面许可,任何单位及个人不得以任何方式或理由对本文档的任何部分进行复制、抄录、传播或
4、将技术文档翻译成他国语言。本文档适用于网关用户。4第二章 SAG 简介索特科技有限公司自主研发了安全访问网关(Security Access Gateway,以下简称SAG)。SAG能够有效地对服务器、网络设备、安全设备、企业应用等IT系统的操作行为进行记录、控制和审计:能够实时、完整地记录IT维护人员的操作,能够通过设定访问策略来控制IT维护人员访问目标资源时,对接入后的访问时间、访问动作进行安全控制管理,并提供灵活方便的记录检索和回放功能,从而达到“事先授权、事中监控、事后审计”的目标,保障企业IT系统的正常运行,提供稳定可靠的服务。2.1产品特点全面的目标平台支持全面的目标平台支持SAG
5、 支持各种 Unix 系列( AIX,HP-UX,Solaris,SCO,Linux ,FreeBSD 等)和 Windows 系列操作系统;支持Cisco、Juniper、H3C 等常用网络及安全设备;支持基于 Windows 平台的 C/S和 B/S 应用系统;支持使用 SSH/Telnet/Rlogin、RDP/ X11/VNC 、FTP/SFTP、HTTP/HTTPS、常用数据库等协议的运维操作审计。界面友好,轻松上手界面友好,轻松上手采用 web2.0 的 AJAX 技术,局部页面刷新,减少操作,动态提示。借鉴Microsoft 的 Ribbon 设计,界面采用类 office 菜单
6、样式设计。一站式快速授权管理,在一个界面即可完成从用户到资产的创建以及授权的全过程。使用搜索引擎技术实现高效审计使用搜索引擎技术实现高效审计可直接对操作内容、操作结果等操作日志中的关键字进行精确的搜索,基于搜索结果可实现定位回放,便于管理员迅速定位特定运维操作。5智能的知识库分析系统智能的知识库分析系统系统通过内置知识库,自动将用户操作进行多层次分类,并提供审计建议。通过对海量操作日志进行自动分类,大大提高了运维审计的效率,真正做到智能化的高效审计。基于安全规范的合规报表基于安全规范的合规报表SAG 提供各项通用报表功能,以及基于 SOX、PCI 和企业内部控制规范的专项合规报表。可以根据内置
7、报表模板将 SAG 的审计记录按照规范要求进行报表输出。高可靠性保障运维安全高可靠性保障运维安全SAG 系统采用精简的 Linux 系统,并进行了安全加固,只开放必要的端口和服务,保证了其安全性。SAG 支持双机热备保障了业务的连续性和高可靠性。6第三章 初次使用3.1采用 WebUI 方式登录安全访问网关管理系统可以通过 WebUI 方式登录。管理 PC 要求如下:硬件要求平台 CPU 内存 硬盘 网络接口PC x 86 600 MHZ 128 M 10G 10/100M软件要求操作系统(OS) 浏览器Windows NT, 98, 2000, XP 微软 Internet Explorer
8、 8一、 启用在管理 PC 上,启动微软 Internet Explorer 程序,在 IE 的地址栏里输入安全访问网关管理系统的 URL(文件是加密传输,所以 URL 以 https 开头) ,就可以登录到安全访问网关的管理界面。二、 登录界面输入网关用户名及密码(系统管理员已经注册了该网关用户并授权用户可使用资源,同时设置了用户访问策略) 。7图 1 登录界面 完善的用户登录认证功能,请妥善保存好用户名和密码,不要提供给他人使用,登录后,为了安全起见,请及时修改密码,点击【自助服务】菜单进行修改,如图所示:自服务管理 如果错误输入用户名或密码超过两次需要输入验证码.网关用户通过身份认证后,
9、进入用户自服务界面。8图 2 主界面3.2客户端软件3.2.1 安装客户端软件网关用户第一次使用SAG,或者没有安装sag client,系统会检测到不能调用sag client,直接提示安装sag client,下载sag client并安装,提示成功并重启IE,重新打开IE并登录自服务界面,可以通过sag访问应用.安装sag client具体步骤如下:1)在主页面中,点击右上角“ 客户端软件下载”按钮,下载保存软件。图 3 下载保存软件92) 安装前暂时关闭电脑上安装的安全软件或杀毒软件,例如“360 安全卫士”等,等软件安装完毕后再打开。双击下载的文件,按照默认步骤安装,安装的默认目录为
10、 c:/sag。图 4 安装软件 安装的客户端软件包括 TELNET/SSH 客户端工具、远程桌面客户端工具、FTP 客户端工具等。3.2.2 配置 IE 安全级别第一步:将要访问的网站放入“Intranet区域”。打开IE浏览器,选择【工具-Internet 选项】,选择“安全”标签。10图 5 Internet 选项在上图中,在“请为不同区域的web内容指定安全设置”中选择“本地Intranet”,点击“站点”,再点击“高级”,打开如下图。11图 6 添加站点界面如上图所示,将安全访问网关web站点的URL填写到输入框中,点击“添加”,添加到网站中,点击“关闭”,再点击“确定”,回到“安全
11、”标签窗口。第二步:配置Intranet区域的安全级别在“安全”标签页,选择“本地Intranet”后,点击“默认级别”,再点击“应用”,如下图:12图 7 Internet 选项然后再点击“自定义级别”,打开如下图:13图 8 设置自定义级别在“ActiveX 控件和插件”段落中,将其中的“对没有标记为安全的ActiveX控件进行初始化和脚本运行”安全选项选为“启用”,点击“确定”,再点击“确定”保存退出“Internet 选项”设置。14第四章 功能介绍图 9 主界面 包含三大主菜单:资源、应用及自助服务。点击【资源】菜单,显示用户可访问的资源;点击【应用】菜单,显示用户可访问的应用程序;
12、自助服务:修改用户个人信息及密码。 可查看用户上次登录时间。 在右上方输入框中输入关键字如应用名或资源名等,点击【搜索】 ,对所有可见字段查询可使用的应用程序或可访问的资源。 可下载、安装客户端软件。 点击“操作”栏项目,可调用相应的客户端工具访问相应资源,其中安装完客户端软件,第一次点击调用“SecureCRT”和“FlashFxp ”工具时,会自动进行一些注册等相关操作,需要先手动关闭“SecureCRT”或“FlashFxp”软件,然后再次在“操作”栏点击“SecureCRT”或“FlashFxp ”,就会进行正常的访问相应资源。 调用“FlashFxp”客户端工具时,有时会出现电脑上运
13、行的其它软件影响其自动连接的情况,此时如果发现“FlashFxp”客户端打开后,未自动访问相应资源,只需手动点击一下“连接”按钮,即会自动访问相应资源,如下图:154.1资源显示用户可访问的资源。1)点击【资源】菜单,显示用户可访问的资源列表,如图所示。图 10资源列表 有两种方式可以访问目标资源:SSO 方式和手工代填方式。 在上方输入框中输入关键字如资源名、协议或账号等,点击【搜索】 ,对所有可见字段查询可访问资源。2)SSO 方式登录目标资源。管理员授权时,如果设置了 SSO 账号,用户在资源列表操作栏中,点16击相应工具,直接登录到目标设备,如图所示,用户在设置账号的授权中,点击“Pu
14、tty” ,通过 Putty 客户端工具,SSO 方式登录到设备192.168.0.203。 图 11SSO 方式登录图 12SSO 方式登录到目标资源3)手工代填方式登录目标资源。管理员授权时,只授权了访问资源,用户在资源列表操作栏中,点击相应工具,弹出代填窗口,输入账号,登录到目标设备,如图所示17图 13图形服务手工代填图 14文件传输服务手工代填图 15字符服务手工代填账号 输入目标资源的服务端口号、登录账号及密码,点击【确认】按钮,登录目标设备。184.2应用显示用户可使用的应用程序。1)点击【应用】菜单,显示用户可使用的应用程序列表,如图所示。图 16应用列表 有两种方式可以通过应
15、用程序访问目标资源,使用应用 SSO 账号通过应用程序直接访问目标资源和手工代填方式。 在上方输入框中输入关键字如应用名或账号等,点击【搜索】 ,对所有可见字段查询可使用的应用程序。2)SSO 方式登录。管理员授权时,如果设置了 SSO 账号,用户在资源列表操作栏中,点击【打开】按钮,打开应用程序直接连接到目标设备,用户使用 PL/SQL Developer 连接到设备 192.168.0.141,如下图所示 图 17SSO 方式登录19图 18SSO 方式通过 PL/SQL Developer 登录到目标资源3)手工输入参数登录目标资源。管理员授权时,只授权了访问资源,用户在资源列表操作栏中,点击【打开】按钮,打开应用程序,输入账号连接到目标设备,如图所示。图 19手工输入参数204.3自助服务点击【自助服务】菜单,打开网关用户个人信息修改界面,修改个人信息及密码。图 20自助服务 分辨率,用户通过图像服务访问目标资源时,以该分辨率显示。 修改用户基本信息。 修改个人密码,输入旧口令,重复输入两次新口令,让新的口令生效,新旧口令不能相同,密码长度在 6 位以上。全为字母或全为数字,则复杂度为低,字母+数字混合为中,字母+数字+特殊符号则复杂度为高。 如果密码丢失,请及时与管理员联系。 点击【提交表单】按钮,保存修改。
