2023年12月24日发(作者:)
2018
适用范围:内部
运维人员使用手册
天玥运维安全网关V6.0
适用范围:天玥运维安全网关V6.0系列
精细控制合规审计
北京启明星辰信息安全技术有限公司
目录
1 概述 ................................................................... 1
2 用户登录 ............................................................... 1
2.1 WEB方式 ........................................................ 1
2.1.1 WEB访问方式 ................................................ 1
2.1.2 相关资料下载 ................................................ 2
2.2 运维客户端 ..................................................... 2
2.3 登录认证 ....................................................... 3
3 环境准备 ............................................................... 5
3.1 环境检测 ....................................................... 5
3.2 安装JAVA控件 .................................................. 7
3.3 浏览器设置 ..................................................... 9
3.4 配置本地工具 .................................................. 11
3.5 修改密码 ...................................................... 13
4 运维说明 .............................................................. 14
4.1 RDP/VNC访问 ................................................... 14
4.2 Telnet/SSH/Rlogin访问 ......................................... 15
4.3 FTP访问 ....................................................... 16
4.4 数据库访问 .................................................... 17
4.5 批量登录主机 .................................................. 18
4.6 工单操作 ...................................................... 19
4.6.1 工单申请 .................................................. 19
4.6.2 工单运维 .................................................. 22
4.7 最近访问资源 .................................................. 23
4.8 高级搜索 ...................................................... 23
4.9 菜单模式 ...................................................... 24
4.9.1 命令行方式 ................................................. 24
4.9.2 图形方式 .................................................. 28
5 FAQ ................................................................... 30
5.1 登录提示应用程序被阻止 ......................................... 30
5.2 提示Java过时需要更新 .......................................... 31
5.3 调用应用发布工具失败 ........................................... 32
5.4 使用dbvis提示JAVA环境变量 .................................... 32
天玥运维安全网关V6.0
1 概述
启明星辰天玥运维安全网关V6.0,是启明星辰综合内控系列产品之一。
本手册详细介绍了天玥运维安全网关V6.0进行运维操作过程的使用方法,用户可参考本手册,通过天玥运维安全网关V6.0进行各种运维操作。
2 用户登录
运维用户可选择通过以下方式使用天玥运维安全网关V6.0进行运维操作:(1)WEB方式(依赖JAVA环境);(2)运维客户端方式(不依赖JAVA环境);(3)客户端工具直连模式(不依赖浏览器和JAVA环境,目前支持运维SSH、TELNET、RDP、VNC,使用方法参见本手册4.9章节)。
2.1 WEB方式
2.1.1 WEB访问方式
通过浏览器访问天玥运维安全网关V6.0系统,如图2.1.1所示:(默认URL:天玥OSM系统的IP,如果web服务端口不是默认的443,登录URL地址需要加上web服务当前的端口号,例如:172.16.67.201:10443)。浏览器推荐:IE8及以上版本浏览器、谷歌44及以下版本浏览器和火狐52以下版本或火狐ESR版本浏览器。
图2.1.1:WEB访问方式
1 / 33
天玥运维安全网关V6.0
2.1.2 相关资料下载
运维用户在天玥运维安全网关V6.0系统主登录界面下方或运维界面右上方可以看到【相关下载】按钮,点击【相关下载】,系统会跳转到下载页面,提供运维所需的的证书、JAVA运行环境、用户手册、离线播放器、运行环境监测助手下载和运维客户端,如下图所示:
图2.1.2相关下载
2.2 运维客户端
使用天玥运维安全网关V6.0运维客户端方式需要先通过WEB方式登录管理页面,在“相关下载”中下载运维客户端,并进行安装。安装完成后,在桌面或【开始】程序栏中选择运维客户端图标,打开运维客户端输入天玥运维安全网关V6.0系统IP地址(如果web服务端口不是默认的443,登录时需要在IP后面加上web服务当前的端口号,例如:172.16.67.201:10443),点击“确定”即可进入主登录界面。
2 / 33
天玥运维安全网关V6.0
图2.2.1运维客户端
图2.2.2运维客户端-登录界面
2.3 登录认证
天玥运维安全网关V6.0使用WEB方式和运维客户端方式访问时,用户登录认证分为:单因素认证登录和双因素认证登录。由管理员进行设置,运维人员需要从管理员处获取登录的相关信息。 3 / 33
天玥运维安全网关V6.0
图2.3.1:系统登录界面
用户名密码登录:输入用户名、密码即可登录(包括静态账号密码认证、LDAP认证、windowsAD认证和Radius认证)。
USB令牌认证登录:用户需要在运维客户机上插上管理员为用户颁发的USB令牌,输入用户名、密码后,点击“登录”,会提示进行USB令牌认证,输入管理员为此用户设置的令牌密码,即可登录运维界面,如图2.3.2所示:
图2.3.2 用户登录-USB令牌认证
动态口令卡认证登录:管理员为用户提供账号和对应的动态口令卡,用户在输入用户名、密码后,点击“登录”,会提示进行动态口令卡认证,用户输入登录账号对应的动态口令卡上获取的动态密码,即可登录成功,如图2.3.3所示:
4 / 33
天玥运维安全网关V6.0
图2.3.3 用户登录-动态口令卡认证
吉大正元电子证书认证登录:用户在输入用户名、密码后,点击“登录”,会提示进行吉大正元电子证书认证,证书认证成功后即可登录成功,如图2.3.4所示:
图2.3.4 用户登录-吉大正元电子证书认证
3 环境准备
3.1 环境检测
用户在使用天玥运维安全网关V6.0系统WEB方式进行运维操作时(天玥运维安全网关V6.0运维客户端方式不依赖JAVA环境,首次使用也需要运行环境检测助手),所使用的客户端必须满足以下环境要求:
1.客户端操作系统要求:windows XP SP3、windows7、windows8、windows10
2.客户端RDP版本要求:通过天玥运维安全网关V6.0使用RDP运维windows主机需要客户端RDP版本6.0及以上、通过天玥运维安全网关V6.0系统使用应用发布工具需要客户 5 / 33
天玥运维安全网关V6.0
端RDP版本6.1及以上;
运维方式浏览器的要求:IE8及以上版本浏览器、谷歌44及以下版本浏览器和火狐浏览器(建议使用火狐52以下版本或火狐ESR版本浏览器和最新版本JRE);
环境:JRE 6及以上版本;
5.导入根证书(运行首页下载的环境检测助手自动完成根证书导入);
6.天玥运维安全网关V6.0系统的本地运行组件(运行首页下载的环境检测助手自动完成本地运行组件的加载)。
运维终端首次使用天玥运维安全网关V6.0进行运维操作,需要手动运行环境检测助手对本机环境进行检测,环境检测助手会自动完成导入根证书和更新天玥运维安全网关V6.0系统的本地运维组件。在登录天玥运维安全网关V6.0主界面时,下载环境检测助手。
图3.1.1 下载环境检测助手
运行环境检测助手,检测本机环境。
6 / 33
天玥运维安全网关V6.0
图3.1.2 运行环境检测助手
3.2 安装JAVA控件
如果使用WEB方式进行运维操作,当环境检测助手检测到JAVA缺失,则需要安装JAVA控件。可以选择在运维登录页面中的相关下载中进行下载。如图3.2.1所示,注意:windows操作系统是32位的用户,下载安装“Java运行环境32位”;windows操作系统是64位的用户,需要下载安装“Java运行环境32位”和“Java运行环境64位”。
7 / 33
天玥运维安全网关V6.0
图3.2.1 Java软件下载
下载 JRE并在本地计算机安装。安装完成后,进入JAVA控制面板,确认已勾选“启用浏览器中的Java内容”,如下图所示。
图3.2.2 Java控制面板安全设置
在JAVA控制面板高级属性中,确保“对以下项执行已签名代码证书撤销检查”和“对以下执行TLS证书撤销检查”两项为不检查,如图3.2.3所示。
图3.2.3 Java控制面板高级属性
8 / 33
天玥运维安全网关V6.0
3.3 浏览器设置
在IE浏览器中internet选项-安全-可信站点中加入天玥运维安全网关V6.0系统的URL地址,如图3.3.1所示。
图3.3.1 internet选项信任站点
用户使用火狐浏览器登录天玥运维安全网关V6.0系统时,需要进行如图3.3.2-3.3.4设置:
图3.3.2火狐浏览器-例外站点
9 / 33
天玥运维安全网关V6.0
图3.3.3火狐浏览器-安全设置1
图3.3.4火狐浏览器-安全设置2
如果是谷歌内核的浏览器,在地址栏输入chrome://flags/#enable-npapi,启用NANPI插件,如图3.3.5所示(注意:谷歌浏览器45及以上版本不支持调用JAVA控件)。
10 / 33
天玥运维安全网关V6.0
图3.3.5 谷歌浏览器启用NANPI插件
进入设置>>高级设置>>隐私设置>>内容设置>>插件>>停用单个插件,找到“Java(TM) ”,勾选“始终允许”。如图3.3.6所示。
图3.3.6 谷歌浏览器设置
3.4 配置本地工具
在运维界面中,点击【配置工具】,进入本地客户端工具路径配置界面。如图3.4.1所示:
11 / 33
天玥运维安全网关V6.0
图3.4.1配置工具1
各运维工具推荐版本如下表所示:
服务
Oracle
本地运维工具
PLSQLDev
Toad4Oracle
SQLPlus
ImpExp
Navicat Premium
Dbvis
SQL server SSMS
Navicat Premium
sybase
informix
db2
SqlAdvantage
Sqleditor
Dbvis
Db2cmd
Dbvis
SqlDbx
SqlDbxPro
QuestCentral
mysql Navicat Premium
Mysql
Dbvis
teradata Teradata
Assistant
Dbvis
Telnet Putty
SecureCRT
Xshell
SSH Putty
SecureCRT
Xshell
WinSCP
FlashFXP
推荐版本
7、8、9、10版本
v11.0.0.116
9i、10g、11g
5.7.0
11.1.9
9.1.7
SqlService2008R2
11.1.9
12.5.3
4.0
9.1.7
9.1.7
5.0.2.4
11.1.9
9.1.7
SQL 14.10
1.18.1
9.1.7
6.2.3及以上版本
3.0及以上版本
6.2.3及以上版本
3.0及以上版本
5.5.6
5.1.0
应用发布推荐使用11g
只能使用系统自带版本,运行环境检测助手即可下载到本地
2.0版本无法连接资源主机
只能使用系统自带版本,运行环境检测助手即可下载到本地
2.0版本无法连接资源主机
只能使用应用发布
12 / 33
说明
postgresql PgAdmin3
SSH Secure Shell 3.2.9
Client
FileZilla
Client
http IE
FTP 3.22.2
IE8
天玥运维安全网关V6.0
Firefox
FTP WinSCP
FFFTP
FlashFXP
FileZilla
Client
RDP
VNC
mstsc
mstsc
35及以下版本
5.5.6
1.97
5.1.0
FTP 3.22.2
6.1及以上版本
6.1及以上版本
只能使用应用发布
如果目标资源服务为 RealVNC
5.x Server ,需对 VNC Server
做如下配置方能运维:
(1)配置 Security为Encryption 为 prefer on;
(2)配置 Security为Authentication为 VNC
password 或者 None
只能使用系统自带版本,运行环境检测助手即可下载到本地
rlogin
Putty
操作说明:
1、 选择待保存路径的工具,点击其右侧“修改”按钮,填入本地工具路径信息,点击保存即可;
2、 此页面列表中的客户端工具,均支持用户调用时,代填连接参数以实现直接登录目标主机;
3、 如通过不同本地计算机在不同时间使用用户账号登录的情况下,需要重新配置本地工具路径。
3.5 修改密码
在运维界面中,点击【修改密码】,修改用户的登录密码,如图3.5.1所示:
13 / 33
天玥运维安全网关V6.0
图3.5.1 运维账号密码修改
修改密码:修改本账号的登录密码。[每次修改密码后请用户牢记密码](如用户被设置为需要通过令牌认证,可修改令牌登录密码)
4 运维说明
4.1 RDP/VNC访问
运维用户成功登录天玥运维安全网关V6.0后,选择需要通过RDP/VNC协议实现远程访问的资源,点击服务图标,右侧会显示该资源下RDP或VNC的所有从账号,选择从账号后,再选择运维工具(V6.0.3及以后版本VNC的运维都通过mstsc工具进行,本地工具不需要再配置VNC的工具路径,如图4.1.2所示),使用RDP服务时可选择屏幕大小、RDP剪切板功能、磁盘映射功能和访问方式,最后点击“连接服务”,如图4.1.1所示:
图4.1.1 RDP访问
14 / 33
天玥运维安全网关V6.0
图4.1.2 VNC访问
查询:查询可访问的资源
选择资源:选择待访问的资源名称
IP地址:若该资源有多个IP地址,请选择待访问的IP地址
服务名称:显示当前选择要访问的服务名
选择账号:选择该服务的系统账号进行访问
自定义账号:在运维操作界面登录目标资源前,可选择自行输入登录资源的账号和密码
选择工具:选择本地工具、应用发布访问该服务
屏幕大小:选择远程桌面连接目标服务器时屏幕的大小
开启RDP剪切板:选择远程桌面连接目标主机后是否启用剪切板功能
开启磁盘映射:选择远程桌面登录连接目标主机后是否启用磁盘映射功能和具体映射哪些磁盘
访问方式:当使用远程桌面服务时,可选择NORMAL和CONSOLE。NORMAL:为普通的远程桌面连接模式;CONSOLE:等同于本地终端显示器登录
连接服务:单击后通过客户端连接至目标主机
4.2 Telnet/SSH/Rlogin访问
运维用户成功登录天玥运维安全网关V6.0后,选择需要通过Telnet/SSH/Rlogin协议实施远程访问的资源,点击服务图标,右侧会显示该资源下待访问服务的所以从账号,选择从账号后,再选择运维工具,最后点击“连接服务”,如图4.2.1-4.2.2所示:
15 / 33
天玥运维安全网关V6.0
图4.2.1 telnet访问
图4.2.2 SSH访问
查询:查询待访问的资源
选择资源:选择待访问的资源名称
IP地址:若该资源有多个IP地址,请选择待访问的IP地址
服务名称:显示当前选择要访问的服务名
选择账号:选择该服务的系统账号进行访问
自定义账号:在运维操作界面登录目标资源前,可选择自行输入登录资源的账号和密码
选择工具:选择本地工具、应用发布或者WEB控件访问该服务
WEB控件:选择WEB的控件访问该服务
连接服务:单击后通过Web控件或者客户端连接至目标主机
4.3 FTP访问
运维用户成功登录天玥运维安全网关V6.0后,选择需要通过FTP协议实施远程访问的资源,点击服务图标,右侧会显示该资源下待访问服务的所以从账号,选择从账号后,再选 16 / 33
天玥运维安全网关V6.0
择运维工具,最后点击“连接服务”,如图4.3.1所示:
图4.3.1FTP访问
选择资源:选择待访问的资源名称
查询:查询待访问的资源
IP地址:若该资源有多个IP地址,请选择待访问的IP地址
服务名称:显示当前选择要访问的服务名
选择账号:选择该服务的系统账号进行访问
自定义账号:在运维操作界面登录目标资源前,可选择自行输入登录资源的账号和密码
选择工具:选择本地工具、应用发布或者WEB控件访问该服务(支持Winscp和FlashFXP客户端工具)
WEB控件:选择WEB的控件访问该服务
连接服务:单击后通过Web控件或者其它客户端连接至目标主机
4.4 数据库访问
运维用户成功登录天玥运维安全网关V6.0后,选择需要通过数据库Oracle、Sybase、DB2等协议进行远程访问的资源,点击服务图标,右侧会显示该资源下待访问服务的所以从账号,选择从账号后,再选择运维工具,最后点击“连接服务”,如图4.4.1所示:
17 / 33
天玥运维安全网关V6.0
图4.4.1 数据库访问
选择资源:选择待访问的资源名称
查询:查询待访问的资源
IP地址:若该资源有多个IP地址,请选择待访问的IP地址
服务名称:显示当前选择要访问的服务名
选择账号:选择该服务的系统账号进行访问
自定义账号:在运维操作界面登录目标资源前,可选择自行输入登录资源的账号和密码
选择工具:选择本地工具、应用发布访问该服务
连接服务:单击后通过本地客户端连接至目标主机
4.5 批量登录主机
批量登录主机功能用于使用SecureCRT工具通过SSH或者TELNET协议一次使用多个账号或登录多台主机。
选择需要访问的SSH或TELNET服务的资源,选择SecureCRT工具后,如图4.5.2所示可看到【添加到批量连接】图标,选择后可将此资源添加到【批量连接】组中。
18 / 33
天玥运维安全网关V6.0
图4.5.1 运维操作界面
图4.5.2 添加批量连接
在添加好批量连接组后,选择【批量连接】,选择本次需要批量连接的主机,从账户,和连接方式后,选择【批量连接】进行批量登录主机,如图4.5.3-4.5.4所示
图4.5.3批量连接
图4.5.4批量连接成功
4.6 工单操作
4.6.1 工单申请
19 / 33
天玥运维安全网关V6.0
运维人员如果需要对某个资源申请临时访问权限可通过“工单信息”中的“申请工单”功能进行操作。在运维操作界面选择“工单信息”,如下图。
图4.6.1进入工单信息
在工单信息界面选择“申请工单”进入申请工单界面。
图4.6.2进入申请工单
在运维用户申请工单界面,如下图填入对应信息:工单名称(自定义)、高级属性(如果有RDP类型可根据需要进行选择)、运维时间范围(根据实际需求选择申请操作的时间段)、申请访问资源信息(必须写明需要访问的资源服务及账号信息,便于管理员审核)、操作说明(可选设置)和审批人(选择对应的审批人)。
如果配置了短信接口,审批人和运维人员也正确设置了手机号码,审批人可以接收到工单申请提示的短信,运维人员可以接收到工单申请通过后的提示短信。
20 / 33
天玥运维安全网关V6.0
图4.6.3申请工单内容1
图4.6.4申请工单内容2
工单申请信息填写好确认无误后提交,等待管理员审批。
21 / 33
天玥运维安全网关V6.0
图4.6.5申请工单-等待审批
4.6.2 工单运维
当运维人员申请的工单通过审批或管理员为运维用户下发了工单后,运维用户登录堡垒机,可以在“消息中心”查看到工单提醒信息,通过“工单信息”窗口进入并执行工单。如下图所示:
图4.6.6申请审批通过提醒
图4.6.7运维界面
工单申请通过后工单状态变为“生效”状态,选择“连接”可进入工单资源列表界面进行工单资源的运维操作。
22 / 33
天玥运维安全网关V6.0
图4.6.8申请工单-工单生效
图4.6.9工单运维
4.7 最近访问资源
运维用户最近访问的10个运维资源会在运维菜单左侧目录树“最近访问资源”选择中列出,方便用户在此访问该资源(天玥运维安全网关V6.0系统V6.0.3及以后版本具备该功能),如图4.7.1所示:
图4.7.1最近访问资源
4.8 高级搜索
当运维资源较多的情况下,要快速定位运维资源主机,除了普通搜索之外还可以进行高级搜索,对资源名称、所属组、IP地址、服务等进行关联搜索(天玥运维安全网关V6.0系统V6.0.3及以后版本具备该功能),如图4.8.1所示:
23 / 33
天玥运维安全网关V6.0
图4.8.1高级搜索
4.9 菜单模式
4.9.1 命令行方式
当运维终端是Linux、MAC等系统,或是该终端本地环境不满足我们基本要求,可以无需登录天玥运维安全网关V6.0web运维界面,而使用SSH工具直连天玥运维安全网关V6.0来进行安全运维,目前此种菜单模式支持的运维方式有SSH和telnet。(天玥运维安全网关V6.0系统V6.0.3及以后版本具备该功能)
首先通过SecureCRT工具连接天玥运维安全网关V6.0,主机名为天玥运维安全网关V6.0管理IP地址,端口号为5107,如图4.9.1所示:
24 / 33
天玥运维安全网关V6.0
图4.9.1连接天玥运维安全网关V6.0
登录账号密码和该运维用户从web界面登录的账号密码一致,如图4.9.2所示:
图4.9.2登录天玥运维安全网关V6.0
进入菜单管理界面后,运维用户可以开始选择运维资源。其中“Enter”键为确定,“Esc”键为返回,如图4.9.3-4.9.7所示:
图4.9.3选择资源组
25 / 33
天玥运维安全网关V6.0
图4.9.4选择资源主机
图4.9.5选择服务
26 / 33
天玥运维安全网关V6.0
图4.9.6确认连接
图4.9.7开始安全运维
注意事项:SSH连接必须保证终端类型为VT100或xterm,字符编码:UTF-8(如目标设备字符编码为非 UTF-8,需用户在成功登录目标设备后,再自行调整字符编码),如图4.9.8-4.9.9所示:
27 / 33
天玥运维安全网关V6.0
图4.9.8终端类型
图4.9.9终端编码
4.9.2 图形方式
运维用户若希望通过RDP、VNC协议远程访问主机资源,可以启用Windows系统默认的远程桌面连接工具(RDP:)进入图形化访问资源菜单。如图4.9.10所示,直接输入天玥运维安全网关V6.0系统IP地址,端口为5106,然后选择连接,如果需要映射磁盘,请展开选项卡进行设置,如图4.9.11所示。
28 / 33
天玥运维安全网关V6.0
图4.9.10图形方式访问菜单登录
图4.9.11开启磁盘映射
输入运维账号、密码,如图4.9.12所示。
图4.9.12运维用户身份认证
29 / 33
天玥运维安全网关V6.0
运维账号认证通过后,展现出用户可访问的资源列表,如图4.9.13所示,选择对应的资源和账号后,选择“连接”,便会登录到目标服务器上,如图4.9.14所示。
图4.9.13资源菜单
图4.9.14连接到服务器
5 FAQ
5.1 登录提示应用程序被阻止
问题:登录时提示如图5.1.1所示,应用程序被安全设置阻止时
解决方式:在控制面板中的JAVA安全设置中,将访问天玥运维安全网关V6.0的URL 30 / 33
天玥运维安全网关V6.0
地址添加到例外站点列表,如图5.1.2所示。
图5.1.1 应用程序被安全设置阻止
图5.1.2 JAVA安全设置-添加例外站点
5.2 提示Java过时需要更新
问题:通过天玥运维安全网关V6.0访问资源连接服务时,浏览器提示“Java(TM)已被阻止,因为它已过时并且需要更新”,正在加载控件…,如果此时不做操作会造成无法成功调用JAVA控件,一直读秒超时。
解决方式:(1)选择这次运行,已保证本次浏览器能正常调用Java控件,如图5.2.1所示;(2)在浏览器中internet选项-安全-可信站点中加入堡垒机的URL地址,如图5.2.2所示。
31 / 33
天玥运维安全网关V6.0
图5.2.1 正在加载控件
图5.2.2 internet选项信任站点
5.3 调用应用发布工具失败
问题:运维用户使用应用发布程序发布的运维工具连接资源长时间没有反应,即没有调用到运维工具,也没有报错。
解决方式:有可能是运维用户的RDP客户端(mstsc)版本低于6.1。具体方法:通常XP(SP3)默认mstsc的版本低于6.1,安装windows的RDP更新补丁:链接:/s/1skPDgc9 密码:lejw
5.4 使用dbvis提示JAVA环境变量
问题:使用dbvis运维工具访问资源时,提示“未安装JRE或未配置JAVA_HOME环境变量”,如图5.4.1所示。
32 / 33
天玥运维安全网关V6.0
图5.4.1 dbvis调用提示
解决方式:因为dbvis需要基于JRE环境,需要设置dbvis工具所在终端的环境变量JAVA_HOME的值为JRE的实际路径(如果调用应用发布工具,需要管理员设置应用发布服务器上的环境变量JAVA_HOME),如下图所示。
图5.4.2 设置环境变量JAVA_HOME
33 / 33
发布评论