帕拉迪服务器安全管理系统用户使用手册

杭州帕拉迪网络科技有限公司用户使用手册3.1应用于安全管理、IT运维管理、IT内控杭州帕拉迪网络科技有限公司2008.11PLDSECSMSVersion:3.1用户使用手册Date:26102008documentidentifierPLDSECSMS-0608-002Confidential,2008Page2of44目录1.产品概述42.帕拉迪UNIX服务器安全管理系统WEB管理42.1登录与用户管理42.1.1登录向导42.1.2登录62.2系统概要信息63.系统基本配置73.1系统基本配置73.2基本输出设置83.3时间同步设置83.4邮件服务设置93.5软件注册管理103.6RADIUS认证103.7软件升级管理113.8网关启用控制113.9设备重启停止124.安全策略管理124.1热备配置管理124.2集群配置管理134.3系统公告设置144.4用户登录管理144.5网关密码策略154.6账号安全策略154.7命令分组管理164.8网关用户管理174.9主机资产管理194.10主机账号管理214.11权限组别管理224.12扩展命令管理234.13扩展命令设置244.14SFTP传输管理254.15FTP审计策略274.16审计账号设置285.命令审计管理295.1Unix主机统计295.2登录地址统计305.3网关用户统计315.4主机账号统计32PLDSECSMSVersion:3.1用户使用手册Date:26102008documentidentifierPLDSECSMS-0608-002Confidential,2008Page3of445.5事件分析中心325.6用户实时命令审计335.7SFTP传输审计355.8实时查询审计365.9用户操作实时回放366.系统状态查看386.1进程状态查询386.2接口状态查询397.附：如何登录以及管理资产主机？40PLDSECSMSVersion:3.1用户使用手册Date:26102008documentidentifierPLDSECSMS-0608-002Confidential,2008Page4of44用户手册1.产品概述帕拉迪网络科技有限公司致力于UNIX服务器安全防御产品的开发和网络安全服务的推广，此系统主要用于UNIX服务器系统安全防护，让UNIX服务器的操作、管理和运行更加可视、可控、可管理、可跟踪、可鉴定，解决UNIX服务器系统级别的安全问题、安全威胁，为国家重要部门和企业UNIX服务器的正常有序运行，提供可靠的安全保障。2.帕拉迪UNIX服务器安全管理系统WEB管理帕拉迪UNIX服务器安全管理系统（以下简称PLDSECSMS）可以通过用WEB界面进行配置管理，也可以通过ssh或串口超级终端登录到帕拉迪UNIX服务器安全管理系统，用CLI命令行方式进行管理。本用户手册主要介绍如何使用帕拉迪UNIX服务器安全管理系统的WEB界面进行配置管理。2.1登录与用户管理2.1.1登录向导为了使用帕拉迪UNIX服务器安全管理系统上的WEB管理界面，需要使用您工作站上的浏览器。由于超文本传输协议（HTTP）以非加密的明文形式进行网络传输，因此为了建立一个安全的从工作站到帕拉迪UNIX服务器安全管理系统之间的连接，帕拉迪UNIX服务器安全管理系统需要您使用安全套接字（SSL）协议2.0或3.0版，安全套接字加密了所有您和帕拉迪UNIX服务器安全管理系统之间交换的信息。注意：为了建立一个SSL连接，需要您的工作站和帕拉迪UNIX服务器安全管理系统之间进行相互认证，如果无法进行认证将无法建立联接。当您访问帕拉迪UNIX服务器安全管理系统时，安全认证会弹出警告信息，这个警告信息对于帕拉迪UNIX服务器安全管理系统和您的工作站都不必要。当您接受了认证，帕拉迪UNIX服务器安全管理系统和工作站就建立了持续的安全、加密的连接。PLDSECSMSVersion:3.1用户使用手册Date:26102008documentidentifierPLDSECSMS-0608-002Confidential,2008Page5of44下面为登录步骤介绍：在您的管理工作站上运行IE浏览器。在[地址]栏中，输入https://帕拉迪UNIX服务器安全管理系统管理口地址和端口弹出一个安全警告框，显示如下。选择下列一项：点击[是]接受登录进程的认证点击[否]拒绝登录进程的认证如果您想使用安装认证向导在您的工作站上永久安装认证，点击[查看证书]，点击[安装证书]即可为此您的计算机安装证书。若输入服务器IP地址不正确则系统显示下图所示的出错信息：PLDSECSMSVersion:3.1用户使用手册Date:26102008documentidentifierPLDSECSMS-0608-002Confidential,2008Page6of442.1.2登录登录界面共包括两部分内容：登录信息和控制按钮。如下图所示：输入信息：用户名称、登录密码控制按钮：登录、退出注：缺省的超级用户名为：superman，密码为：pld123Q@为了确保帕拉迪UNIX服务器安全管理系统的安全，系统管理员只有一个即superman，初次运行时用户名为superman，口令为pld123Q@，程序启动以后管理员应及时修改口令，以免被他人非法登录。2.2系统概要信息帕拉迪UNIX服务器安全管理系统的配置管理主要通过WEB界面来实现，首页界面中主要包括页面左边区域的菜单栏、页面右边区域的帕拉迪UNIX服务器安全管理系统说明页面。下面对各部分功能进行系统的介绍。如下图:PLDSECSMSVersion:3.1用户使用手册Date:26102008documentidentifierPLDSECSMS-0608-002Confidential,2008Page7of443.系统基本配置帕拉迪UNIX服务器安全管理系统的系统基本设置是对PLDSECSMS设备的基本参数设置，使其能够正常工作。具体包括：“系统基本配置”、“基本输出设置”、“时间同步设置”、“邮件服务设置”、“软件注册管理”、“RADIUS认证”、“软件升级管理”、“网关启用控制”、“设备重启停止”等选项。用鼠标单击页面左边菜单栏的“系统基本配置”菜单可以看到它所包含的子菜单项，界面如左图所示：3.1系统基本配置帕拉迪UNIX服务器安全管理系统的系统基本配置包括对PLDSECSMS设备的网卡及相关参数的设置。界面如下图所示：管理员可以根据实际网络情况，合理配置网络参数。管理员对网络参数的设置，无需设备重启或服务重启，将会立即生效。例如：现在将PLDSECSMS系统的主机名设为：SMS；网关：192.168.1.1；DNS：202.101.172.46202.101.172.47。具体如下图所示：PLDSECSMSVersion:3.1用户使用手册Date:26102008documentidentifierPLDSECSMS-0608-002Confidential,2008Page8of44帕拉迪UNIX服务器安全管理系统的网卡属性拥有普通和Bond两种模式。普通模式即网卡的正常模式；Bond模式是指以两块网卡提供冗余功能，工作方式是主备的工作方式,也就是说默认情况下只有一块网卡工作,另一块做备份。界面如下图所示：3.2基本输出设置二次日志记录加强了原始日志材料的防伪防杜撰功能，通过对比保存于两台日志服务器上的日志材料，可以准确可靠的进行故障鉴定和责任认定，需要对SYSLOG日志服务器参数设置，包括日志服务器地址设置，和“启动/停止”设置，见下图：3.3时间同步设置帕拉迪UNIX服务器安全管理系统的策略控制提供日期/时间控制的策略因子。所以日期/时间的准确性相当重要，而帕拉迪UNIX服务器安全管理系统提供的时间同步功能能够与世界标准时间相一致，保证了策略控制的准确性。但使用时间同步功能的同时必须保证PLDSECSMS系统能和Internet网络相连通。界面如下图所示：PLDSECSMSVersion:3.1用户使用手册Date:26102008documentidentifierPLDSECSMS-0608-002Confidential,2008Page9of44帕拉迪UNIX服务器安全管理系统的时间设置功能，不但能够与国际标准时间相同步，管理员还可以根据实际环境设置时间/日期。如下图所示：3.4邮件服务设置为密码安全着想以及日后用户忘记登录安全访问网关的密码，安全访问网关提供了一个好方法：把用户登录安全访问网关的密码在系统用户注册或编辑的时候通过发送邮件发给用户预先设置的邮箱。点击“系统基本配置”中的“邮件服务设置”菜单项，进入“邮件服务设置”页面PLDSECSMSVersion:3.1用户使用手册Date:26102008documentidentifierPLDSECSMS-0608-002Confidential,2008Page10of44发送邮件，设置邮件服务器是第一步，安全访问网关支持邮件传输方式有：普通传输和SSL加密传输，注意：如果要安全访问网关支持SSL加密传输设置的邮件服务器必须支持加密功能（例如：GMAIL邮箱）。3.5软件注册管理每一台帕拉迪UNIX服务器安全管理系统都有一个唯一的序列号，当系统升级或其他原因要重新安装系统时，则必须要输入这个唯一的序列号。每一台帕拉迪UNIX服务器安全管理系统的序列号都是唯一的，不能重用，这样有效的保护了帕拉迪UNIX服务器安全管理系统的版权，也给市场有续的运营提供安全保障。如下图：3.6RADIUS认证PLDSECSMSUTM支持标准的Radius认证协议，能够很方便的和身份认证产品集成，提升产品安全性和扩展性,如下图：在端口信息填入RADIUS的IP和端口号，私钥密码为RADIUS的私钥。点击“确定”完成配置。PLDSECSMSVersion:3.1用户使用手册Date:26102008documentidentifierPLDSECSMS-0608-002Confidential,2008Page11of443.7软件升级管理软件升级菜单用于对帕拉迪UNIX服务器安全管理系统的软件进行升级。单击菜单栏上“软件升级管理”可进入软件升级页面。软件升级有两种方式，软件包上载升级为系统管理员通过将本地的软件升级包上载到帕拉迪UNIX服务器安全管理系统进而实现帕拉迪UNIX服务器安全管理系统升级的一种软件升级方式。指定服务器升级为系统管理员从一个给定的服务器下载指定文件来进行帕拉迪UNIX服务器安全管理系统软件升级的一种软件升级方式。输入升级服务器的地址和升级文件的文件名，单击“确定”，如果升级包格式错误或者升级包加密验证错误，将提示错误验证信息。3.8网关启用控制“网关启用控制”负责帕拉迪UNIX服务器安全管理系统的启用和停止。这里的“网关启用控制”功能也只有超级用户有权限设置。其它用户只有访问浏览的权限。如下图：点击上图中的“启用监控”按钮，系统即进入监控状态，帕拉迪UNIX服务器安全管理系统根据用户所设配置的策略给受保护UNIX主机对应的保护。PLDSECSMSVersion:3.1用户使用手册Date:26102008documentidentifierPLDSECSMS-0608-002Confidential,2008Page12of443.9设备重启停止“设备重启停止”用来重启设备和关闭设备4.安全策略管理安全策略管理是本系统的核心，它包括了UNIX服务器安全管理系统所有策略例如密码策略、账号策略以及类防火墙策略等等。4.1热备配置管理正常情况下主机处于工作状态，备机处于监控状态，主备之间监控使用“心跳线”和“参考地址”方式实现。当主机出现故障时，备机主动接管主机的工作并自动升级为主机身份。故障主机恢复