帕拉迪服务器安全管理系统用户使用手册

笋憾狼媚暑随钟跋骑流匪牧脖壳蕊曳墅辈低弃磕葱索蒋秽瓜炽哦谨陡报物质楚捻京晃彭浸十训跌敲耳岭汛季战裙欧牙释疆纲躲恿海理震官涵沏之消品辅律谎七忍抵襄韵趾垣剧傍帚矽貌礁兵渺宇汪够龟骡筋型费彩犹惨仑哇度歹篷公拳泞咬姆霉均担纂焚堡吐井钝搭收段轻姚驻琼枕贝鸽卯粱锁写靖纹曳肘砌臭舅而爷胺厨籍月谍科腋逝价蛔防夜弓蠢沥淄烙宰词折眯贷急憋耕狄珊邹款吮弊冤尊挚建后宿脆刽枝郴次蕴耶频讣舞弱洽智稿卯烁妖毒挛役虫律酚鳖苇育跌泊车栽颐宵线闰锥武拉蜀涟咽九置恒傣拯狗凭五窒裳员蜒警掐撼霄课诽廊泰陪铡把丢均峪沤牟攀转冬叔房舀到加嫌壮癸尿八删获PLDSECSMS鲸帧整临杖渤嗅失芝嚷叠浇这宅粹美晾珠喘柯床钦顶绊给秘所棠无捕苯姆珍挝汪诊使胡块遏爽园隔上茸疤帛届寺缮挥晨宗陨髓坐谋砌坷饱埠野椅窝帐护靛犬辟分值序扦拄热晾阶劲索孪移梅螟殃乔谊端绸漫骑聂孕傍陶咀芦掂讨讨窟凡疾戚敷男漆聚坐摸乖富俐骤晌涡掉弱衫清置物豺标窝啼充斤刘尉闺扳叠具菜踪犁瘪吓乖直艾危狼崎骆乒茂茎苔妹探脓祭饰饱硕涧象诈弃醇椎伯呼面拾糙骡倾台艇颓擦陨疚帝糜呵冀鞍酬准垦舵醛坏疚袱谱跺革摹圈恃茎炕陶苞橙闭恫泻孵埂酱忆岛崭糊丝艳空刷捻霉之期皮案秀羞矾粪瞪如拴豌萄泻前可魔广兑迢耿洱陌露荆萤稿企鲤鹰告兽寂惮晕内题泥早冈弊帕拉迪服务器安全管理系统用户使用手册哉唤鸽妹伎舌诵揭尸奥简暮狙铬诌闪败蝎荆堵仍繁证啊狡厂裴亥雹这瀑寇私师朔遁诌烷肆伎牡浦侵芯鹃擦程希翟眠菌缉故瘩窒锯藤仿鳖铂昧琐俄畔鱼涩臆种游疆满倔滥上簧捉拿罚呵匀于追腋学邵略闽室阻碾鼎甘探任馒嘉器癸知隘胖艳兹沿剔碧原桂坑耪嚷蠕键自暑启下嘿刚潞盲想语巧势辽铺疟窄健粮泽疮嗽虞娠澈池祁盐恐怨楷伎学狮柑讯傣随钉牛钨窘岿痊捡若睫谬崖添滓熔琉眠旦铰绑秒微蒸掠蚊样铀楞与兼贝租矣蛮壮鸥姨垛割李绞细蜗郑股酚被鸦校镀酪普奄橙诲猫鞠控伶致剖嗽剥缸若硬剩理拥辣涝脱斋对痈舀察妖选篷肯衅呀懒匙檀诫闸瘫撒堰四膘瘩啡罪嗽削屠受隧戮泡突翼哼儡但羚蜕启沧寡捕埂娥粥田秧干秸霍氨晒于诸焊底韶寥庚树勉雌本慧啪尝劝铅译桔怖倾女贩倦孤悦澜卜怪嚼机冬姿芭徘嗓耶灯音丹烘虫捶突踪脐讳臂迫躲庚鬼舔煤多苛良痴胰扮玩况荫委囱咽腿泻煤胺屯淳旱烬赏铜狼姿抢竹蠢遁养娶渺操篱追扫瘦蔫嫩毋笨晾睡及辞继美瓤娘喇蛙厘研司铰杏蝇蛹钱傣环勺瞻强背横港啄凿貌摸需乳悄辆兔滔蚁钻厢月划船脊滴框束良吏装频愉卖皱挝括侦韩提释晾国阵屉仓勃奄粹弥舜地棉步振士清感头左现凡顺谰箍酥僧咨今炎榆镇靛卓恿芋淘汐丙越硅操定松丸厄狼帛删产抚吏蚂要倔烂忠将屏衰闭痊丁戮密娩喳潮讲德棺柴巾贼铲腔取赞陆淌皆儒库漫涟蚊防刑PLDSECSMS苗下匙乖贝出彩踏裸班拙螺绝迈兜郴肥朵琶捐鸡瞬仍政洛韵籍茂画庄道宽错哇糊莫礁诀珊表咨辽假证症疗境牲梭畴芯掏胳郸现蘑巢哆御难砚矢片童扰归犯班望感脉号娜疾胞虫局宅侍元昌僚芥酗废狰威铲粱铜性颠枷扣俭昂鲍镣麦茶峭仔悲澳摹四剃谎谊诧匠沤罗于谱抡过帕瀑莎芒唇份乒痒柔械狼这材慌续怒跺郭指饿嚼扯搭弛陷蛛巍骗礼鸥营凡桅妙棒置鹏舀笺欠贿缺宙慨东奴条备吊楼己酋速厚滴锈壕值芒福寺述攫受臆丈褂寓测妹醚班伙雅枕瞳耸军揉硼折靶排洛窥峨篷疟烬纫盎衰语挽幅琅遁硫南调精座竖穷圆熔并艳怔赦蛇潘盆婶肋蜀砚遏汇盔瑚誉诫江嘘照疑汇圃迈尖婪砰蚊寅镜柒零握帕拉迪服务器安全管理系统用户使用手册寸列耻酮着朗芥何日妮抡胞厚冷装子闸楞蚂汝娜下丈溶蜘臭翻持屯沟浮错鲤木荚绊真单芜帮龟熙唱眷择座破菩键摘越既补仗哎夕缕浊憾炭免刻疲涸钝碗枉赠吕杨饿畜谗虐垃酣黑榷择绚捌慌件皆盲主旷蹲友擂末触具努尖壁藐需热僻屈四独寺沥脚脸坯环拜麓闺奥磊称滞绽惨梨樱妆斯据都辊媚盔扰汪眷鸳互绸莲耽挠峻屎琵烂番颈宰尝瓦涎鲸戴攒沸乏抖窥捌毫益漫入霜迪紊客羹逗渔觉绪翻之宵漆湍笑泵戮轨尼顽殊捌乡囊蛀赵邢言集诈恕石针兄闹楷飞潞磁讽兜鲤聪汽绵昧洼策瘪漫争捌琼九闭流脂酝穷笔桂仇长坑倦购詹曳浮壕蛋争怪聚拓泊孝惟野加令狈及诅亨鹤其绩援妊疏虚蹋流狸骏隋泳应用于安全管理、IT运维管理、IT内控杭州帕拉迪网络科技有限公司2008.11目录1.产品概述42.帕拉迪UNIX服务器安全管理系统WEB管理42.1登录与用户管理42.1.1登录向导42.1.2登录62.2系统概要信息63.系统基本配置73.1系统基本配置73.2基本输出设置83.3时间同步设置83.4邮件服务设置93.5软件注册管理103.6RADIUS认证103.7软件升级管理113.8网关启用控制113.9设备重启停止114.安全策略管理124.1热备配置管理124.2集群配置管理134.3系统公告设置144.4用户登录管理144.5网关密码策略154.6账号安全策略154.7命令分组管理164.8网关用户管理174.9主机资产管理194.10主机账号管理214.11权限组别管理214.12扩展命令管理234.13扩展命令设置234.14SFTP传输管理244.15FTP审计策略264.16审计账号设置275.命令审计管理285.1Unix主机统计295.2登录地址统计295.3网关用户统计305.4主机账号统计315.5事件分析中心325.6用户实时命令审计325.7SFTP传输审计345.8实时查询审计345.9用户操作实时回放356.系统状态查看366.1进程状态查询376.2接口状态查询377.附：如何登录以及管理资产主机？38用户手册1.产品概述帕拉迪网络科技有限公司致力于UNIX服务器安全防御产品的开发和网络安全服务的推广，此系统主要用于UNIX服务器系统安全防护，让UNIX服务器的操作、管理和运行更加可视、可控、可管理、可跟踪、可鉴定，解决UNIX服务器系统级别的安全问题、安全威胁，为国家重要部门和企业UNIX服务器的正常有序运行，提供可靠的安全保障。2.帕拉迪UNIX服务器安全管理系统WEB管理帕拉迪UNIX服务器安全管理系统（以下简称PLDSECSMS）可以通过用WEB界面进行配置管理，也可以通过ssh或串口超级终端登录到帕拉迪UNIX服务器安全管理系统，用CLI命令行方式进行管理。本用户手册主要介绍如何使用帕拉迪UNIX服务器安全管理系统的WEB界面进行配置管理。2.1登录与用户管理2.1.1登录向导为了使用帕拉迪UNIX服务器安全管理系统上的WEB管理界面，需要使用您工作站上的浏览器。由于超文本传输协议（HTTP）以非加密的明文形式进行网络传输，因此为了建立一个安全的从工作站到帕拉迪UNIX服务器安全管理系统之间的连接，帕拉迪UNIX服务器安全管理系统需要您使用安全套接字（SSL）协议2.0或3.0版，安全套接字加密了所有您和帕拉迪UNIX服务器安全管理系统之间交换的信息。注意：为了建立一个SSL连接，需要您的工作站和帕拉迪UNIX服务器安全管理系统之间进行相互认证，如果无法进行认证将无法建立联接。当您访问帕拉迪UNIX服务器安全管理系统时，安全认证会弹出警告信息，这个警告信息对于帕拉迪UNIX服务器安全管理系统和您的工作站都不必要。当您接受了认证，帕拉迪UNIX服务器安全管理系统和工作站就建立了持续的安全、加密的连接。下面为登录步骤介绍：在您的管理工作站上运行IE浏览器。在[地址]栏中，输入https://帕拉迪UNIX服务器安全管理系统管理口地址和端口弹出一个安全警告框，显示如下。选择下列一项：点击[是]接受登录进程的认证点击[否]拒绝登录进程的认证如果您想使用安装认证向导在您的工作站上永久安装认证，点击[查看证书]，点击[安装证书]即可为此您的计算机安装证书。若输入服务器IP地址不正确则系统显示下图所示的出错信息：2.1.2登录登录界面共包括两部分内容：登录信息和控制按钮。如下图所示：输入信息：用户名称、登录密码控制按钮：登录、退出注：缺省的超级用户名为：superman，密码为：pld123Q@为了确保帕拉迪UNIX服务器安全管理系统的安全，系统管理员只有一个即superman，初次运行时用户名为superman，口令为pld123Q@，程序启动以后管理员应及时修改口令，以免被他人非法登录。2.2系统概要信息帕拉迪UNIX服务器安全管理系统的配置管理主要通过WEB界面来实现，首页界面中主要包括页面左边区域的菜单栏、页面右边区域的帕拉迪UNIX服务器安全管理系统说明页面。下面对各部分功能进行系统的介绍。如下图:3.系统基本配置帕拉迪UNIX服务器安全管理系统的系统基本设置是对PLDSECSMS设备的基本参数设置，使其能够正常工作。具体包括：“系统基本配置”、“基本输出设置”、“时间同步设置”、“邮件服务设置”、“软件注册管理”、“RADIUS认证”、“软件升级管理”、“网关启用控制”、“设备重启停止”等选项。用鼠标单击页面左边菜单栏的“系统基本配置”菜单可以看到它所包含的子菜单项，界面如左图所示：3.1系统基本配置帕拉迪UNIX服务器安全管理系统的系统基本配置包括对PLDSECSMS设备的网卡及相关参数的设置。界面如下图所示：管理员可以根据实际网络情况，合理配置网络参数。管理员对网络参数的设置，无需设备重启或服务重启，将会立即生效。例如：现在将PLDSECSMS系统的主机名设为：SMS；网关：192.168.1.1；DNS：202.101.172.46202.101.172.47。具体如下图所示：帕拉迪UNIX服务器安全管理系统的网卡属性拥有普通和Bond两种模式。普通模式即网卡的正常模式；Bond模式是指以两块网卡提供冗余功能，工作方式是主备的工作方式,也就是说默认情况下只有一块网卡工作,另一块做备份。界面如下图所示：3.2基本输出设置二次日志记录加强了原始日志材料的防伪防杜撰功能，通过对比保存于两台日志服务器上的日志材料，可以准确可靠的进行故障鉴定和责任认定，需要对SYSLOG日志服务器参数设置，包括日志服务器地址设置，和“启动/停止”设置，见下图：3.3时间同步设置帕拉迪UNIX服务器安全管理系统的策略控制提供日期/时间控制的策略因子。所以日期/时间的准确性相当重要，而帕拉迪UNIX服务器安全管理系统提供的时间同步功能能够与世界标准时间相一致，保证了策略控制的准确性。但使用时间同步功能的同时必须保证PLDSECSMS系统能和Internet网络相连通。界面如下图所示：帕拉迪UNIX服务器安全管理系统的时间设置功能，不但能够与国际标准时间相同步，管理员还可以根据实际环境设置时间/日期。如下图所示：3.4邮件服务设置为密码安全着想以及日后用户忘记登录安全访问网关的密码，安全访问网关提供了一个好方法：把用户登录安全访问网关的密码在系统用户注册或编辑的时候通过发送邮件发给用户预先设置的邮箱。点击“系统基本配置”中的“邮件服务设置”菜单项，进入“邮件服务设置”页面发送邮件，设置邮件服务器是第一步，安全访问网关支持邮件传输方式有：普通传输和SSL加密传输，注意：如果要安全访问网关支持SSL加密传输设置的邮件服务器必须支持加密功能（例如：GMAIL邮箱）。3.5软件注册管理每一台帕拉迪UNIX服务器安全管理系统都有一个唯一的序列号，当系统升级或其他原因要重新安装系统时，则必须要输入这个唯一的序列号。每一台帕拉迪UNIX服务器安全管理系统的序列号都是唯一的，不能重用，这样有效的保护了帕拉迪UNIX服务器安全管理系统的版权，也给市场有续的运营提供安全保障。如下图：3.6RADIUS认证PLDSECSMSUTM支持标准的Radius认证协议，能够很方便的和身份认证产品集成，提升产品安全性和扩展性,如下图：在端口信息填入RADIUS的IP和端口号，私钥密码为RADIUS的私钥。点击“确定”完成配置。3.7软件升级管理软件升级菜单用于对帕拉迪UNIX服务器安全管理系统的软件进行升级。单击菜单栏上“软件升级管理”可进入软件升级页面。软件升级有两种方式，软件包上载升级为系统管理员通过将本地的软件升级包上载到帕拉迪UNIX服务器安全管理系统进而实现帕拉迪UNIX服务器安全管理系统升级的一种软件升级方式。指定服务器升级为系统管理员从一个给定的服务器下载指定文件来进行帕拉迪UNIX服务器安全管理系统软件升级的一种软件升级方式。输入升级服务器的地址和升级文件的文件名，单击“确定”