天融信堡垒主机(TA-SAG)用户操作手册--配置管理

天融信网络审计系统用户操作手册 配置管理 北京天融信公司 二O一三年六月六日 文档名称 更新历史 编写人 日期 版本号 变更内容 吴玉飞 2013.06 V3.0 堡垒主机（TA-SAG）V3.0最新版                                 目录 第一章    前言    1 1.1    简介    1 1.2    文档目的    1 1.3    读者对象    1 第二章    登录系统    2 2.1    静态口令认证登录    2 2.2    字证认证登录    2 2.3    动态口令认证登录    3 2.4    LDAP域认证登录    4 2.5    单点登录工具    5 第三章    配置管理    6 3.1    概述    6 3.2    策略配置    6 3.2.1    行为控制策略    6 3.2.2    访问时间策略    11 3.2.3    FTP控制策略    13 3.2.4    客户端地址策略    15 3.2.5    访问锁定策略    17 3.2.6    口令策略    19 3.3    服务配置    21 3.3.1    图形化服务开关    21 3.3.2    账号导出计划    25 3.3.3    应用发布管理    27 3.3.4    邮件服务    30 3.4    系统配置    31 3.4.1    系统升级    31 3.4.2    系统监控    32 3.4.3    网络配置    33 3.4.4    认证配置    37 3.4.5    环境配置    39 3.4.6    审计修复    41 3.4.7    恢复出厂设置    42 3.4.8    外接存储设备    42 3.4.9    消息管理    43 3.4.10    行为审计导入导出配置    44 第一章 前言 一.1 简介 天融信天融信网络审计系统TA-SAG（以下简称TA-SAG）配置管理模块是系统管理员的配置策略模块，也就是说管理员会经常和该模块打交道。配置管理由策略配置、服务配置、系统配置三部分组成。 一.2 文档目的 TA-SAG配置主要用于指导管理员如何建立相关的策略，控制系统本身的相关服务的开关，对系统本身的一些配置管理等。 一.3 读者对象 本文档适用于TA-SAG管理人员、赋予单独模块管理角色的管理员。 第二章 登录系统 系统登录主要的工作就是系统认证。TA-SAG登录界面随系统配置的认证方式不同而有所差异。 TA-SAG支持的认证方式包括静态口令认证、数字证书认证、动态口令认证、LDAP域认证、指纹认证等。 无论TA-SAG配置哪种认证方式，登录系统都需要在浏览器中输入服务地址。例如:。在该例中，192.168.1.254为TA-SAGIP地址（TA-SAG出厂设置的管理IP为192.168.1.254）。当在浏览器中输入示例内容后，点击回车（TA-SAG配置双向认证时，如果需要域名方式访问的情况除外）系统自动转向到登录界面。下面列举常见的几种常见的认证方式界面。 二.1 静态口令认证登录 静态口令登录认证是最基本得认证方式，登录界面入图2.1.1所示。 图2.1.1 用户需要输入用户名及口令后，点击登录按钮后登录系统。 二.2 字证书认证登录 TA-SAG证书认证登录，支持的形式包括软证书认证，Usbkey证书认证两种。这两种形式的唯一区别在于证书所依赖的存储截止不同。Usbkey证书只是将证书导入Usb硬件Key中，安全性相应增加。但无论证书以哪种方式存在，TA-SAG都会统一对待。 如图2.2.1所示，当自然人在浏览器地址栏中输入TA-SAG地址后，点击回车，弹出选择证书提示框。 图2.2.1 此时用户需要选择所要使用的数字证书，点击确定按钮。此例子选择名称为simper的证书，点击确定按钮，进入图2.2.2界面。 图2.2.2 由于在上一操作步骤中选择的是名称为simper证书，所以TA-SAG此时自动将用户名锁定，禁止自然人修改登录用户名。防止身份篡改。此时，用户需要输入simper用户口令即可进行静态口令认证。静态口令操作内容请参考2.1章节。 二.3 动态口令认证登录 动态口令认证是指可以通过OTP令牌方式通过TA-SAG认证登录。认证界面如图2.3.1所示。 图2.3.1 TA-SAG的动态口令登录认证，采用的是双因子认证方式。也就是说，用户需要输入动态口令的同时必须输入自身的静态口令作为PIN码。当两项认证都通过时才可以进入TA-SAG。这一点与数字证书认证方式是类似的。这种方式大大增强了系统登录的安全性。 二.4 LDAP域认证登录 TA-SAG域认证是另外一种第三方认证方式。TA-SAG将自身的部分系统认证交由第三方安全平台认证。TA-SAG中将LDAP域口令的认证指派到LDAP服务器上。LDAP域认证的操作界面入图2.4.1所示。 图2.4.1 与动态口令的认证方式类似，域口令认证需要在LDAP域认证通过的情况下同时满足自然人的静态口令认证认证通过，此时才可以成功进入TA-SAG。 二.5     单点登录工具 介绍完TA-SAG中常见的认证方式后，用户可能注意到图例中【工具下载】选项。该选项为用户提供了部分的客户端工具，及TA-SAGSSO登录控件的下载。点击【工具下载】选项弹出如图2.5.1所示界面。 图2.5.1 图2.5.1只截取了部分的内容，其中还包括单点登录工具及客户端工具安装过程中常常出现的问题及解答。 用户可以点击如图2.5.1界面中的带有“单点登录控件”字样的下载链接，下载单点登录工具。有关单点登录工具详细内容请参见《TA-SAG运维师操作手册》。 第三章 配置管理 三.1 概述 TA-SAG的配置管理主要包括策略配置、服务配置、系统配置3部分组成。 三.2 策略配置 点击TA-SAG一级菜单上 图标进入配置管理模块。点击左侧二级菜单上 图标进入策略配置模块。以下逐一介绍策略管理中的个功能项的使用方法。 三.2.1 行为控制策略 命令策略可以定义一组命令规则，这个规则可以限制自然人通过TA-SAG访问目标资源时所能使用的命令（或禁止使用的命令）。该策略仅限于限制自然人使用字符方式访问TA-SAG。具体操作方法如下。 点击左侧导航 图标进入【命令策略】列表界面。 三.2.1.1 命令控制策略 点击左侧导航 图标进入【命令控制策略】列表界面 三.2.1.1.1 添加命令控制策略 在命令控制策略列表界面点击 按钮进入添加命令控制策略界面，如图3.2.1.1.1所示，输入基本信息。点击提交即完成命令控制策略添加。 图3.2.1.1.1 如图3.2.1.1.1所示： 【命令访问类型】选项分为禁止命令和使用命令。 【命令名称】输入框为正则表达式语句，命令名称可以添加多条。 【提交测试】用来测试命令列表中的命令名称，检验命令名称的有效性。 【用户切换】选项为用户切换身份需要输入的命令 三.2.1.1.2 修改命令控制策略 在命令控制策略列表界面对指定的命令控制策略点击 按钮进入编辑命令控制策略界面，如图3.2.1.1.2所示，修改命令控制策略的基本信息。点击提交即完成命令控制策略修改。 图3.2.1.1.2 如图3.2.1.1.2所示： 【用户切换】选项为用户切换身份需要输入的命令 【命令访问类型】选项分为禁止命令和使用命令 【命令名称】输入框为正则表达式语句，命令名称可以添加多条。 【提交测试】用来测试命令列表中的命令名称，检验命令名称的有效性。 三.2.1.1.3 查询命令控制策略 如图3.2.1.1.3所示，在命令控制策略列表界面的名称查询框输入要查询的命令控制策略，点击查询即可查到指定的命令控制策略。 图3.2.1.1.3 三.2.1.1.4 删除命令控制策略 如图3.2.1.1.4所示，在命令控制策略列表界面选中要删除的命令控制策略，然后点击 按钮即可删除命令控制策略。 图3.2.1.1.4 三.2.1.2 rdp控制策略 点击左侧导航 图标进入【rdp控制策略】列表界面 如3.2.1.2.1图所示 图3.2.1.2.1 三.2.1.2.1 添加 rdp控制策略 点击 按钮便添加一个rdp控制策略,如图3.2.1.2.2所示 图3.2.1.2.2 完成之后点击【提交】。 【禁用RDP本地设备和资源】 1. 驱动器被勾选时，RDP单点登陆后，无法看到共享磁盘。 2. 剪切板被勾选时，RDP单点登陆后，无法从服务器端复制粘贴内容到本地。 三.2.1.2.2 修改 rdp控制策略 点击 按钮便添加一个rdp控制策略,如图3.2.1.2.3所示 图3.2.1.2.3 三.2.1.2.3 查询 rdp控制策略 如图3.2.1.2.4所示，在rdp控制策略列表界面的名称查询框输入要查询的rdp控制策略，点击查询即可查到指定的rdp控制策略。 图3.2.1.2.4 三.2.1.2.4 删除 rdp控制策略 删除RDP控制策略只要在RDP控制策略前面 点击 如图3.2.1.2.5。 图3.2.1.2.5 三.2.1.3 拓展策略 点击左侧导航 图标进入【拓展策略】列表界面 三.2.1.3.1 添加拓展策略 点击 按钮便添加一个拓展策略,如图3.2.1.3.1所示 图3.2.1.3.1 完成之后点击【提交】。 三.2.1.3.2 修改拓展策略 点击 按钮便添加一个拓展策略,如图3.2.1.3.2所示 图3.2.1.3.2 三.2.1.3.3 查询拓展策略 如图3.2.1.3.3所示，在拓展策略列表界面的名称查询框输入要查询的r拓展策略，点击查询即可查到指定的拓展策略。 图3.2.1.3.3 三.2.1.3.4 删除拓展策略 删除拓展策略只要在拓展策略前面 点击 如图3.2.1.3.4所示。 图3.2.1.3.4 三.2.2 访问时间策略 与客户端地址策略类似，客户端地址策略也属于访问类限制策略。管理员可以定义该种类策略限制自然人访问TA-SAG或限制自然人通过TA-SAG访问目标机的时间。 点击左侧导航 图标进入访问时间策略列表界面。 三.2.2.1 添加访问时间策略 在访问时间策略列表界面点击 按钮进入添加访问时间策略界面，如图3.2.2.1所示，输入基本信息。点击新增时段 图3.2.2.1 如图3.2.2.1所示：，点击添加即完成访问时间策略添加。 【访问类型】选项分为可访问时间段和不可访问时间段。 【全选/全不选】：勾选此项，选择全部时间段或全不选。 【反选】：勾选此项，将选择选中项以外的所有时间。 3.2.2.1 查询访问时间策略 如图3.2.2.2所示，在访问时间策略列表界面的名称查询框输入要查询的访问时间策略，点击查询即可查到指定的访问时间策略。 图3.2.4.2 三.2.2.2 删除访问时间策略 如图3.2.2.3所示，在访问时间策略列表界面选中要删除的访问时间策略，然后点击 按钮即可删除访问时间策略。 图3.2.2.3 三.2.3 FTP控制策略 与命令策略相类似，FTP控制策略是限制TA-SAG使用FTP或SFTP方式通过TA-SAG访问目标资源的一项策略。 点击左侧导航 图标进入FTP控制策略列表界面。 三.2.3.1 FTP控制策略添加 在FTP控制策略列表界面点击 按钮进入添加FTP控制控制策略界面，如图3.2.3.1所示，输入基本信息。点击提交即完成FTP控制策略添加。 图3.2.3.1 如图3.2.3.1.1所示： 【访问类型】选项分为使用命令和禁用命令。 【操作】选项分为对FTP服务器下载文件、上传文件、重命名、删除文件和创建目录选项。 三.2.3.2 修改FTP控制策略 在FTP控制策略列表界面对指定的FTP控制策略点击 按钮进入编辑FTP控制策略界面，如图3.2.3.2所示，修改FTP控制策略的基本信息。点击提交即完成FTP控制策略修改。 图3.2.3.2 如图3.2.3.2所示： 【访问类型】选项分为使用命令和禁用命令。 【操作】选项分为对FTP服务器下载文件、上传文件、重命名、删除文件和创建目录选项。 三.2.3.3 查询FTP控制策略 如图3.2.3.3所示，在FTP控制策略列表界面的名称查询框输入要查询的FTP控制策略，点击查询即可查到指定的FTP控制策略。 图3.2.3.3 三.2.3.4 删除FTP策略 如图3.2.3.4所示，在FTP控制策略列表界面选中要删除的FTP控制策略，然后点击 按钮即可删除FTP控制策略。 图3.2.3.4 三.2.4 客户端地址策略 客户端地址策略用于限制自然人使用的客户端地址。管理员可以为某些特殊的地址段做限制，限制从这些特殊的地址访问TA-SAG。 点击左侧导航 图标进入客户端地址策略列表界面。 三.2.4.1 添加客户端地址策略 在客户端地址策略列表界面点击 按钮进入添加客户端地址策略界面，如图3.2.4.1所示，输入基本信息。点击提交即完成客户端地址策略添加。 图3.2.4.1 如图3.2.4.1所示： 【访问类型】选项分为可访问IP段和不可访问IP段。 【IP地址】为IP段的范围。 三.2.4.2 修改客户端地址策略 在FTP策略列表界面对指定的客户端地址策略点击 按钮进入编辑客户端地址策略界面，如图3.2.4.2所示，修改客户端地址策略的基本信息。点击提交即完成客户端地址策略修改。 图3.2.4.2 如图3.2.4.2所示： 【访问类型】选项分为可访问IP段和不可访问IP段。 【IP地址】为IP段的范围。 三.2.4.3 查询客户端地址策略 如图3.2.4.3所示，在客户端地址策略列表界面的名称查询框输入要查询的客户端地址策略，点击查询即可查到指定的客户端地址策略。 图3.2.4.3 三.2.4.4 删除客户端地址策略 如图3.2.4.4所示，在客户端地址策略列表界面选中要删除的客户端地址策略，然后点击 按钮即可删除客户端地址策略。 图3.2.4.4 三.2.5 访问锁定策略 访问锁定策略也是访问限制类策略的一种，为了提高TA-SAG的安全性，防止恶意破解口令，当恶意用户在强力破解口令时锁定当前恶意用户，使其不能访问TA-SAG。 点击左侧导航 图标进入访问访问锁定策略列表界面。 三.2.5.1 添加访问锁定策略 在访问锁定策略列表界面点击 按钮进入添加访问锁定策略界面，如图3.2.5.1所示，输入基本信息。点击提交即完成访问锁定策略添加。 图3.2.5.1 如图3.2.5.1所示： 【访问锁定次数】为访问失败指定次数锁定账号。 【失败锁定时间】为账号被锁定指定时间才可自动解锁。 三.2.5.2 修改访问锁定策略 在访问锁定策略列表界面对指定的访问锁定策略点击 按钮进入编辑访问锁定策略界面，如图3.2.5.2所示，修改访问锁定策略的基本信息。点击提交即完成访问锁定策略修改。 图3.2.5.2 如图3.2.5.2所示： 【访问锁定次数】为访问失败指定次数锁定账号。 【失败锁定时间】为账号被锁定指定时间才可自动解锁。 三.2.5.3 查询访问锁定策略 如图3.2.5.3所示，在访问锁定策略列表界面的名称查询框输入要查询的访问锁定策略，点击查询即可查到指定的访问锁定策略。 图3.2.5.3 三.2.5.4 删除访问锁定策略 如图3.2.5.4所示，在访问锁定策略列表界面选中要删除的访问锁定策略，然后点击 按钮即可删除访问锁定策略。 图3.2.5.4 三.2.6 口令策略 口令策略定义了一套口令的书写，用于提高管理员或普通用户设置口令的安全性。按照一定的口令强度规则定义口令是一种良好的习惯。这样可以从最基本的静态口令层面提高安全性，是最为经济的一种方式。 点击左侧导航 图标进入访问口令策略列表界面。 三.2.6.1 添加口令策略 在口令策略列表界面点击 按钮进入添加访问锁定策略界面，如图3.2.6.1所示，输入基本信息。点击提交即完成访问锁定策略添加。 图3.2.6.1 如图3.2.6.1所示： 【有效期】为口令的有效期限。 【口令长度】为包含字母、包含数字和包含符号来限定。 【禁止使用的关键字】为口令中禁止使用的关键字。 三.2.6.2 修改口令策略 在口令策略列表界面对指定的口令策略点击 按钮进入编辑口令策略界面，如图3.2.6.2所示，修改口令策略的基本信息。点击提交即完成口令策略修改。 图3.2.6.2 如图3.2.6.2所示： 【有效期】为口令的有效期限。 【口令长度】为包含字母、包含数字和包含符号来限定。 【禁止使用的关键字】为口令中禁止使用的关键字。 三.2.6.3 查询口令策略 如图3.2.6.3所示，在口令策略列表界面的名称查询框输入要查询的口令策略，点击查询即可查到指定的口令策略。 图3.2.6.3 三.2.6.4 口令策略删除 如图3.2.6.4所示，在口令策略列表界面选中要删除的口令策略，然后点击 按钮即可删除口令策略。 图3.2.6.4 三.3 服务配置 服务配置是TA-SAG对外提供服务配的功能选项，目前包含图形化服务、账号导出计划、行为审计导入导出、应用发布服务和LDAP配置管理服务，以下分别介绍如何使用这些功能。 点击TA-SAG一级菜单上的 图标 ,可以进入配置管理界面 点击二级菜单上的 图标,也可以进入服务配置界面。 三.3.1 图形化服务开关 在服务配置界面中点击左侧导航菜单上的 图标，进入图形化服务开关管理界面，如图3.3.1.1所示。 图3.3.1.1 图形化服务包括图形化代理和图形审计服务两项。以下分别介绍这两项功能。 三.3.1.1 图形化服务 TA-SAG支持图形化服务开关功能。 图形化服务开启时，支持图形化访问代理。图形化服务关闭时，无法支持图形化访问代理。 图形化服务默认是开启状态，图形化服务界面中图形代理显示“运行中”，按钮显示“点击停止”，如图3.3.1.2所示。 图3.3.1.2 点击【点击停止】按钮，可以关闭图形化服务。点击后显示“图形代理服务停止成功”对话框。如图3.3.1.3所示。 图3.3.1.3 点击确定按钮后返回图形化服务界面，图形化服务界面中图形代理显示“已停止”，按钮显示“点击启动”。如图3.3.1.4所示。 图3.3.1.4 三.3.1.2 图形审计服务 TA-SAG支持图形审计服务开关功能。 图形审计服务影响TA-SAG的监控和审计功能。图形审计服务开启时，可以正常使用监视和审计功能。图形审计服务关闭时，无法使用TA-SAG的监视和审计功能。 图形审计服务默认是开启状态，图形化服务界面中图形代理后面显示“运行中”，按钮显示“点击停止”，如图3.3.1.2.1所示。 图3.3.1.2.1 如果想关闭图形审计服务，可以点击图形审计服务后的【点击停止】按钮，点击后显示“图形审计服务停止成功”对话框，如图3.3.1.2.2所示。 图3.3.1.2.2 点击确定按钮后返回图形化服务界面，图形化服务界面中图形审计服务显示“已停止”，按钮显示“点击启动”。如图3.3.1.2.3所示。 图3.3.1.2.3 注意：由于图形化服务开关涉及到RDP单点登录和监控，推荐不要关闭。并且TA-SAG支持RDP的守护功能，如果图形代理停止，TA-SAG自带的RDP守护进程会自动启动图形代理和图形审计服务。 三.3.2 账号导出计划 在服务配置界面中点击左侧导航菜单上的 图标，进入账号导出计划管理界面，如图3.3.2.1所示。 图3.3.2.1 账号导出计划可以导出被TA-SAG接管的所有账号信息。可以手动设定执行时间和执行的间隔周期，在点击启动计划按钮后，计划按照执行时间和间隔周期执行，如图3.3.2.2所示。 图3.3.2.2 点击文件列表按钮，进入资源账号导出信息页面，会看到计划生成后生成的账号信息加密包，如图3.3.2.3所示。 图3.3.2.3 在资源账号导出信息页面，右键点击要下载的包另存为，可以下载定期导出被接管的账号与口令的加密包。如图3.3.2.4所示。 图3.3.2.4 点击保存按钮可以保存到本地，通过随机光盘提供的解密器 解密压缩包获取账号信息。如图3.3.2.5所示。 图3.3.2.5 在资源账号导出信息页面，点击删除按钮，可以删除定期导出被接管的账号信息的加密包。点击删除按钮时，提示确认删除的提示信息，如图3.3.2.6所示。 图3.3.2.6 点击确定按钮，删除生成的加密包，如图3.3.2.7所示。 图3.3.2.7 三.3.3 应用发布管理 应用发布服务器是堡垒主机针对数据库操作进行审计的一种功能。应用发布服务器上会安装很多数据库客户端，堡垒主机连接到应用发布服务器上的数据库客户端后实行远程登录到数据库的服务端，从而以录像的形式进行数据库审计。 三.3.3.1 应用发布服务器添加 在应用发布服务器列表界面点击 按钮进入“应用发布服务器->编辑”界面，如图3.3.3.1.1所示，输入应用发布服务器的基本信息，基本信息包括名称、IP地址、连接用户数、连接口令、口令确认。 图3.3.3.1.1 点击提交按钮，提示“应用发布服务器添加成功”，如图3.3.3.1.2所示。 图3.3.3.1.2 返回应用发布服务器列表页面，会看到新追加的应用发布服务器，如图3.3.3.1.3所示。 图3.3.3.1.3 三.3.3.2 应用发布服务器修改 在应用发布服务器列表界面对指定的应用发布服务器点击 按钮进入编辑应用发布服务器界面，如图3.3.3.2.1所示，修改应用发布服务器的基本信息。点击提交即完成应用发布服务器修改。 图3.3.3.2.1 三.3.3.3 应用发布服务器查询 在应用发布服务器列表界面的名称查询框输入要查询的应用发布服务器名称，点击查询即可查到指定的应用发布服务器。如图3.3.3.3.1所示。 图3.3.3.3.1 三.3.3.4 应用发布服务器删除 在应用发布服务器列表界面选中要删除的应用发布服务器，然后点击 按钮即可删除应用发布服务器。如图3.3.3.4.1所示。 图3.3.3.4.1 点击删除按钮，提示删除成功，如图3.3.3.4.2所示。 图3.3.3.4.2 点击确定后，返回应用发布服务器列表页面，应用发布服务器被删除，如图3.3.3.4.3所示。 图3.3.3.4.3 三.3.4 邮件服务 邮件服务是用来配置TA-SAG的邮件服务器的地址、发送方名称，TA-SAG会使用发送方名称给TA-SAG使用者发送邮件。 在服务配置界面中点击左侧导航菜单上的 图标，进入邮件服务配置界面，输入基本信息，点击 按钮。如图3.3.4.1所示。 图3.3.4.1 如图3.3.4.1所示： 【发送邮件服务器地址】选项为邮件服务器地址。 【发送方用户名】选项为TA-SAG的邮件发送者。 【邮件接收地址】选项为邮件接收方地址，用来测试TA-SAG的邮件服务器地址是否可用。 【测试按钮】用来测试邮件接收地址列表中的邮件地址是否能收到TA-SAG邮件服务器发送的邮件。 三.4 系统配置 系统配置是系统本身的一些参数配置，例如网络配置，环境配置等，这些功能为管理员操作主机系统提供了系统配置是系统本身的一些参数配置，例如网络配置，环境配置等，这些功能为管理员操作主机系统提供了自定义配置。 点击TA-SAG一级菜单上的 图标进入配置管理模块。点击左侧二级菜单上的 图标进入系统配置模块。 三.4.1 系统升级 TA-SAG的系统升级功能提供了升级功能及补丁的入口，用户可以通过升级功能为TA-SAG更新版本。 在系统配置模块点击左侧导航菜单上的 图标进入系统升级界面， 如图3.4.1.1所示。 图3.4.1.1 该界面列出了TA-SAG当前的版本信息。用户可以选择需要升级的升级包点击【开始上传】按钮把升级包上传到TA-SAG上。如图3.4.1.2所示。 图3.4.1.2 用户可以通过系统比对查看版本差异，确认无误后点击【升级】按钮更新TA-SAG版本。 三.4.2 系统监控 TA-SAG监控提供了用户查看TA-SAG工作状态的信息，并且提供了重启和关闭TA-SAG的功能。 在系统配置模块点击左侧导航菜单上的 图标进入系统监控界面 TA-SAG支持系统的基本信息显示。基本信息包括CPU监控、内存监控、磁盘监控、服务监控。如图3.4.2.1 图3.4.2.1 三.4.3 网络配置 TA-SAG网络配置提供了用户配置TA-SAG网卡和路由的功能。 在系统配置模块点击左侧导航菜单上的   图标进入网络配置界面。 三.4.3.1 网卡配置 如图3.4.3.1.1所示为TA-SAG网口配置界面。 图3.4.3.1.1 点击 填写要配置的网口IP，MASK,GATEWAY到相应的网口;如图3.4.3.1.2所示为eth0网口添加配置信息。 图3.4.3.1.2 在网络配置界面点击 即保存此网卡设置。 三.4.3.2 路由配置 点击路由配置按钮便进入了如图3.4.3.2.1为路由配置界面。 图3.4.3.2.1 要添加路由，根据选择的路由标志点击 在相应文本框输入网段，网关，子网掩码；在如图3.4.3.2.2为TA-SAG添加网段为192.168.1.0的网段点击 即可添加该网段。 图3.4.3.2.2 删除路由配置，如图3.4.3.2.3所示删除网段为192.168.23.0的路由信息。 勾选要删除路由 点击删除 。 图3.4.3.2.3 三.4.3.3 端口配置 TA-SAG端口配置功能，可以自定义TA-SAG的端口开关，防止外部攻击。 如图3.4.3.3.1所示为TA-SAG网口配置界面 图3.4.3.3.1 勾选需要关闭的端口点击【保存设置】即可关闭勾选的端口。 三.4.3.4 网络检查 TA-SAG的网络与服务检查提供了检查目标机网络是否连通和端口是否开启的功能。 如图3.4.3.4.1所示为TA-SAG网络检查界面。 图3.4.3.4.1 在IP文本框输入目标机器IP地址填写存活数值m点击【测试网络】即可测试目标机器网络。如图3.4.3.4.1所示测试IP为192.168.23.192的目标机器是否连通网络。 在IP，最大生存期，端口填写对应的参数就可以测试连通性。 三.4.4 认证配置 TA-SAG认证配置提供了TA-SAG登录系统的认证配置及认证的开关功能。 在系统配置模块点击左侧导航菜单上的 图标进入认证配置界面。 三.4.4.1 OTP服务配置 填写OTP服务信息，填写OTP服务主机地址和备机地址，OTP认证端口，OTP认证方法和OTP认证密匙；如图3.4.4.1所示。 图3.4.4.1 勾选OTP服务开关 点击OTP服务配置界面 即可保存并开启OTP服务。 不勾选OTP服务开关 点击OTP服务配置界面 即可保存并关闭OTP服务。 三.4.4.2 域服务配置 填写域服务配置信息，如图3.4.4.2所示。 图3.4.4.2 勾选 然后点击域服务配置上 按钮即可保存并开启域服务。 不勾选 然后点击域服务配置上 按钮即可保存并关闭域服务。 三.4.4.3 证书配置 如图3.4.4.3所示 图3.4.4.3 点击 即可开启或关闭证书认证。 三.4.4.4 MAC配置 如图3.4.4.4所示 。 图3.4.4.4 点击 即可开启或关闭全局MAC认证。 三.4.5 环境配置 TA-SAG环境配置提供了用户配置TA-SAG环境的功能。 在系统配置模块点击左侧导航菜单上的 图标进入环境配置模块。如图3.4.5.1所示 图3.4.5.1 点击环境配置界面时钟文本效果如图3.4.5.2所示选择年月日，时间。 图3.4.5.2 【清空】可以清时间文本框内时间信息。 【今天】可以选择当天时间。 点击时间框上 设置时间 点击环境配置界面 即可设定TA-SAG时钟。 环境配置还可以配置认证服务，命令审计服务，Syslog审计服务和日志存储位置，注：一般不建议修改！如图3.4.5.3所示。 图3.4.5.3 三.4.6 审计修复 TA-SAG支持审计修复功能，在发生审计无法显示的情况，可以使用审计修复。 在系统配置模块点击左侧导航菜单上的    图标进入审计修复界面。如图3.4.6.1。 图3.4.6.1 点击【修复审计】按钮即可修复TA-SAG审计。 三.4.7 恢复出厂设置 TA-SAG恢复出厂设置提供了清空数据库数据，LADP数据和日志数据的功能。 在系统配置模块点击左侧导航菜单上的    图标进入端口配置界面。如图3.4.7.1所示。 图3.4.7.1 点击【清除数据库】是对数据库内容进行清除 【清空审计日志】是对审计日志进行清除 【清空外接存储配置】是对外接存储的配置信息进行清除。 在恢复出厂设置界面上点击 可以重启TA-SAG。 在恢复出厂设置界面上点击 可以关闭TA-SAG。 在恢复出厂设置界面上点击 可以重新启动web服务。 三.4.8 外接存储设备 TA-SAG外接存储设备功能提供了外接硬盘挂载功能。 在系统配置模块点击左侧导航菜单上的    图标进入外接存储设备界面。 外接存储设备添加可用添加LINUX和WINDOWS类型设备。 挂载WINDOWS类型磁盘，如图3.4.8.1所示。 图3.4.8.1 挂载LINUX类型磁盘，如图3.4.8.2所示。 图3.4.8.2 勾选需要删除的磁盘信息，点击【删除选中】即可删除磁盘共享。如图3.4.10.3所示。 图3.4.8.3 三.4.9 消息管理 消息管理是向堡垒主机的所有运维人员发布信息的功能。 点击 按钮，如图3.4.9.1所示填写标题和内容点击 就消息就完成了。 图3.4.9.1 三.4.10 行为审计导入导出配置 TA-SAG支持行为审计的导入导出，便于对行为审计进行备份和恢复管理。由日志导入导出账号配置管理、导出管理和导入管理三部分组成。 三.4.10.1 审计导入导出管理员口令设置 行为审计导出的压缩包是通过SFTP工具连接TA-SAG获得。但必须是通过日志导入导出账号来登录到TA-SAG，账号默认为logmgr（此账号不可更改），口令默认为123456。可以在【行为审计导入导出配置->审计导入导出管理员口令配置】界面中自定义设置SFTP连接TA-SAG的登录口令。如图3.4.10.1所示。 点击审计导入导出管理员口令设置如3.4.10.1图所示设置管理员口令 图3.4.10.1 输入新口令如图3.4.10.2所示 图3.4.10.1.2 点击提交按钮，提示操作成功，如图3.4.10.3所示 图 3.4.10.3 点击确定按钮，口令修改成功。可以用新口令连接TA-SAG。我们拿winscp为例连接，如图3.4.10.4所示。 图3.4.10.4 点击确定按钮，输入新口令，如图3.4.10.5所示。 图3.4.10.5 点击确定按钮，登进TA-SAG审计备份目录下，如图3.4.10.6所示。 图3.4.10.6 【export】目录是数据导出目录 【import】目录是数据导入目录 三.4.10.2 行为审计导入 打开WinSCP工具，主机名中中输入TA-SAG的IP地址，用户名和密码分别输入日志导入导出的账号和密码，点击登录，如图3.4.10.7所示。 图3.4.10.7 把需要导入的日志tar包上传到TA-SAG的/var/log/simp_fort/session_bak/import目录下，如图3.4.10.8 图3.4.10.8 进入【行为审计导入导出配置】-【行为审计西西导入】界面，如图3.4.10.9 图3.4.10.9 所示，对指定的导入条目点击 按钮。会出现如图3.4.10.10提示，显示导入成功 图3.4.10.10 点击 按钮，便可以把导入的备份删除。 三.4.10.3 行为审计导出 在行为审计导入导出配置中 图标，点击【行为审计导出】选项进入行为审计导出管理界面，如图3.4.10.11所示 图3.4.10.11 三.4.10.3.1 新建审计导出 要新建一个导出计划，点击 然后填写时间范围如图3.4.10.12所示 图3.4.10.12 点击 按钮，会返回导出列表页面，会有一条被导出的审计记录，如图3.4.10.13所示 图3.4.10.13 再次用WINSCP工具连接TA-SAG，会看到新生成的审计tar包，如图3.4.10.14所示 图3.4.10.14 三.4.10.3.2 删除审计导出 点击审计后面的【删除】按钮就可以删除审计导出如图3.4.10.15所示 图3.4.10.15