1、网神SecFox-LAS-BH运维审计系统 产品安装调试实施方案一 部署结构网神SecFox-LAS-BH运维审计系统提供了灵活的部署方式，既可以采取串连模式，也可以采用单臂模式接入到企业内部网络中，可按照企业网络架构的实际情况灵活接入。采用串连模式部署时，网神SecFox-LAS-BH运维审计系统具备一定程度上的网络控制的功能，可提高核心服务器访问的安全性；采用单臂旁路模式部署时，不改变网络拓扑，安装调试过程简单，仅需要为系统分配一个IP，并确保该地址与需要运维的主机IP可达，协议可访问。维护人员维护被管服务器或者网络设备时，首先以WEB方式登录堡垒主机，然后通过堡垒主机上展现的访问资源列表2、直接访问授权资源。不论运维人员以何种方式（局域网直连、VPN、ADSL拨号等）访问网神SecFox-LAS-BH运维审计系统，只要保证运维工作站与网神SecFox-LAS-BH运维审计系统路由可达即可。网神SecFox-LAS-BH运维审计系统部署采用分区域、分安全域部署，根据实际网络环境，每个安全域部署一台（套），采用“分布式部署，集中式管理”模式，即“物理分布，逻辑集中”。1.1区域内部署网神SecFox-LAS-BH运维审计系统单臂部署逻辑图：网神SecFox-LAS-BH运维审计系统单臂旁路部署物理图：如图，网神SecFox-LAS-BH运维审计系统旁路部署在被管服务器区的访问路径上，3、通过防火墙或者交换机的访问控制策略限定只能由内控堡垒主机直接访问服务器的远程维护端口。网神SecFox-LAS-BH运维审计系统串联部署模式图：如图，网神SecFox-LAS-BH运维审计系统串联部署在被管服务器区的访问路径上，运维区域和被管服务器资源区不在同一个网络区域内，相互隔离；被管资源通过交换机集中连接内控堡垒主机的管理口，管理运维人员通过访问网神SecFox-LAS-BH运维审计系统的运维管理地址，对被管资源进行运维管理。1.2分布式部署网神SecFox-LAS-BH运维审计系统分布部署图：如图，以IDC机房运维为例，在分布在各地的IDC机房内视其网络安全域划分情况部署网神SecFo4、x-LAS-BH运维审计系统。运维人员只需登陆被管资源所属的网神SecFox-LAS-BH运维审计系统即可对该资源进行运维操作。二 上线配置在地址栏上输入系统URL。例如：https:/ ip 系统默认的超级管理员的帐号：admin，密码：admin123。网神SecFox-LAS-BH运维审计系统启用后，应及时修改口令，以免被非法登录。2.1上线前准备需要在维护工作站上安装以下软件、工具：安装SSO工具使用SSO安装程序安装单点登录工具。安装成功后可以在“控制面板”中的“添加、删除程序”中显示：注意：如维护工作站的浏览器版本为IE8.0，需要在其“Internet选项”中把网神SecFox-5、LAS-BH运维审计系统WEB访问地址加入“可信站点”，并把“信任站点”的安全级别设为“低级”。2.2建立目录树及主帐号（自然人）创建主帐号创建由部署人员配合安全管理员，采用超级用户添加不同用户（自然人）。“目录树”实施建议目录树设计如下：结合实际环境，将目录树按照登录人员和资源分别进行分组。服务器类：所有服务器主机加入该组。Win服务器：所有Windows主机加入该组。Unix服务器：所有Unix数据库资源加入改组。发布服务器：发布服务器加入改组。交换机组：所有交换机类网络设备加入该组。核心交换机：所有核心交换机加入该组。楼层交换机：所有楼层交换机加入该组。2.3“主账号”实施建议结合实际情6、况，给每个使用人员分配一个独自的“主账号”，主账号ID（即登录网神SecFox-LAS-BH运维审计系统账号）为人员姓全拼+名字首字母，新建时全部配置成初始化口令，初始化口令为“123123”。这样，使用人员首次登录网神SecFox-LAS-BH运维审计系统时必须进行密码重置）。2.4资源及资源从帐号创建资源及资源从帐号创建由部署人员配合系统管理员，采用系统管理员添加被管资源及被管资源上的从帐号。“资源创建”实施建议分步分批加入被管资源，前期先把“网络设备”加入。稳定运行后再分步加入其他所有资源。“资源从帐号创建”实施建议根据调研表确定所有设备都有哪些从帐号，可以以什么协议登录。调研清楚后对资7、源从帐号进行添加。2.5管理角色的创建由部署人员根据用户实际环境与相关管理制度在目录树相应分组中建立各种角色，例如系统管理员、资源管理员、审计员等各种角色。将新建的角色授予自然人，完成内部授权过程。授权后，自然人只具备角色所在分组的分组管理权限，满足各部门资源由各部门自行管理的要求。“角色”实施建议调研所有使用人员的内部使用权限，然后定义出角色，将角色授予相应的主帐号。2.6对主帐号授权由部署人员配合安全管理员按照账号使用情况对主帐号进行授权，将资源上已经建立的从帐号授权给用户主帐号。 主账号系统角色授权为空，则其只具备一般运维人员权限。授权实施建议根据调研表确定所有资源的从帐号哪些在使用，都8、谁在使用，哪些从帐号已经不再使用。调研清楚后对主帐号进行授权。对于不再使用的从帐号要统计核实，确实不再使用的要做删除处理。2.7配置策略添加主机命令策略、访问时间策略、访问地址策略、帐号锁定策略、密码策略等。将新建的策略分配到自然人帐号和资源帐号，实现对资源访问的细粒度控制。通用策略实施建议通用策略包括：访问锁定策略和密码策略。访问锁定策略建议配置：密码输入错误三次自动锁定，锁定时间为十分钟。密码策略建议配置：密码长度为八位，必须包含字母和数字。所有主帐号均配置这两个通用策略。2.8访问控制策略实施建议访问控制策略包括：主机命令策略，访问时间策略，访问地址策略。根据调研表确定所有主帐号访问资源时需要配置什么策略。调研清楚后再应用策略。策略配置可以等上面步骤稳定运行后再配置使用。在上线配置完成后，就可以进入试运行阶段。在试运行阶段，用户可以将正常办公的内容转移到网神SecFox-LAS-BH运维审计系统中来完成，从而熟悉网神SecFox-LAS-BH运维审计系统的基本功能。在此阶段可以不用增加限制策略，当充分熟悉网神SecFox-LAS-BH运维审计系统运行流程后再进行限制。此阶段可兼顾正常业务的访问（不要切断正常业务的访问路径），以免出现问题。