1、网神SecFox-LAS-BH运维审计系统 产品安装调试实施方案一 布署结构网神SecFox-LAS-BH运维审计系统提供了灵活布署方法，既能够采取串连模式，也能够采取单臂模式接入到企业内部网络中，可根据企业网络架构实际情况灵活接入。采取串连模式布署时，网神SecFox-LAS-BH运维审计系统含有一定程度上网络控制功效，可提升关键服务器访问安全性；采取单臂旁路模式布署时，不改变网络拓扑，安装调试过程简单，仅需要为系统分配一个IP，并确保该地址和需要运维主机IP可达，协议可访问。维护人员维护被管服务器或网络设备时，首先以WEB方法登录堡垒主机，然后经过堡垒主机上展现访问资源列表直接访问授权资源2、。不管运维人员以何种方法（局域网直连、VPN、ADSL拨号等）访问网神SecFox-LAS-BH运维审计系统，只要确保运维工作站和网神SecFox-LAS-BH运维审计系统路由可达即可。网神SecFox-LAS-BH运维审计系统布署采取分区域、分安全域布署，依据实际网络环境，每个安全域布署一台（套），采取“分布式布署，集中式管理”模式，即“物理分布，逻辑集中”。1.1区域内布署网神SecFox-LAS-BH运维审计系统单臂布署逻辑图：网神SecFox-LAS-BH运维审计系统单臂旁路布署物理图：图，网神SecFox-LAS-BH运维审计系统旁路布署在被管服务器区访问路径上，经过防火墙或交换机访3、问控制策略限定只能由内控堡垒主机直接访问服务器远程维护端口。网神SecFox-LAS-BH运维审计系统串联布署模式图：图，网神SecFox-LAS-BH运维审计系统串联布署在被管服务器区访问路径上，运维区域和被管服务器资源区不在同一个网络区域内，相互隔离；被管资源经过交换机集中连接内控堡垒主机管理口，管理运维人员经过访问网神SecFox-LAS-BH运维审计系统运维管理地址，对被管资源进行运维管理。1.2分布式布署网神SecFox-LAS-BH运维审计系统分布布署图：图，以IDC机房运维为例，在分布在各地IDC机房内视其网络安全域划分情况布署网神SecFox-LAS-BH运维审计系统。运维人员4、只需登陆被管资源所属网神SecFox-LAS-BH运维审计系统即可对该资源进行运维操作。二 上线配置在地址栏上输入系统URL。比如：https:/ ip 系统默认超级管理员帐号：admin，密码：admin123。网神SecFox-LAS-BH运维审计系统启用后，应立即修改口令，以免被非法登录。2.1上线前准备需要在维护工作站上安装以下软件、工具：安装SSO工具使用SSO安装程序安装单点登录工具。安装成功后能够在“控制面板”中“添加、删除程序”中显示：注意：如维护工作站浏览器版本为IE8.0，需要在其“Internet选项”中把网神SecFox-LAS-BH运维审计系统WEB访问地址加入“可信5、站点”，并把“信任站点”安全等级设为“低级”。2.2建立目录树及主帐号（自然人）创建主帐号创建由布署人员配合安全管理员，采取超级用户添加不一样用户（自然人）。“目录树”实施提议目录树设计以下：结合实际环境，将目录树根据登录人员和资源分别进行分组。服务器类：全部服务器主机加入该组。Win服务器：全部Windows主机加入该组。Unix服务器：全部Unix数据库资源加入改组。公布服务器：公布服务器加入改组。交换机组：全部交换机类网络设备加入该组。关键交换机：全部关键交换机加入该组。楼层交换机：全部楼层交换机加入该组。2.3“主账号”实施提议结合实际情况，给每个使用人员分配一个独自“主账号”，主账号6、ID（即登录网神SecFox-LAS-BH运维审计系统账号）为人员姓全拼+名字首字母，新建时全部配置成初始化口令，初始化口令为“123123”。这么，使用人员首次登录网神SecFox-LAS-BH运维审计系统时必需进行密码重置）。2.4资源及资源从帐号创建资源及资源从帐号创建由布署人员配合系统管理员，采取系统管理员添加被管资源及被管资源上从帐号。“资源创建”实施提议分步分批加入被管资源，前期先把“网络设备”加入。稳定运行后再分步加入其它全部资源。“资源从帐号创建”实施提议依据调研表确定全部设备全部有哪些从帐号，能够以什么协议登录。调研清楚后对资源从帐号进行添加。2.5管理角色创建由布署人员依据7、用户实际环境和相关管理制度在目录树对应分组中建立多种角色，比如系统管理员、资源管理员、审计员等多种角色。将新建角色授予自然人，完成内部授权过程。授权后，自然人只含有角色所在分组分组管理权限，满足各部门资源由各部门自行管理要求。“角色”实施提议调研全部使用人员内部使用权限，然后定义出角色，将角色授予对应主帐号。2.6对主帐号授权由布署人员配合安全管理员根据账号使用情况对主帐号进行授权，将资源上已经建立从帐号授权给用户主帐号。 主账号系统角色授权为空，则其只含有通常运维人员权限。授权实施提议依据调研表确定全部资源从帐号哪些在使用，全部谁在使用，哪些从帐号已经不再使用。调研清楚后对主帐号进行授权。对8、于不再使用从帐号要统计核实，确实不再使用要做删除处理。2.7配置策略添加主机命令策略、访问时间策略、访问地址策略、帐号锁定策略、密码策略等。将新建策略分配到自然人帐号和资源帐号，实现对资源访问细粒度控制。通用策略实施提议通用策略包含：访问锁定策略和密码策略。访问锁定策略提议配置：密码输入错误三次自动锁定，锁定时间为十分钟。密码策略提议配置：密码长度为八位，必需包含字母和数字。全部主帐号均配置这两个通用策略。2.8访问控制策略实施提议访问控制策略包含：主机命令策略，访问时间策略，访问地址策略。依据调研表确定全部主帐号访问资源时需要配置什么策略。调研清楚后再应用策略。策略配置能够等上面步骤稳定运行后再配置使用。在上线配置完成后，就能够进入试运行阶段。在试运行阶段，用户能够将正常办公内容转移到网神SecFox-LAS-BH运维审计系统中来完成，从而熟悉网神SecFox-LAS-BH运维审计系统基础功效。在此阶段能够不用增加限制策略，当充足熟悉网神SecFox-LAS-BH运维审计系统运行步骤后再进行限制。此阶段可兼顾正常业务访问（不要切断正常业务访问路径），以免出现问题。