Bastion Host提供控制策略功能。使用控制策略功能,您可以設定命令控制、命令審批、協議控制和存取控制策略來系統管理使用者對主機的訪問。本文介紹如何建立控制策略。

操作步驟

  1. 登入Bastion Host系統,具體操作請參見登入Bastion Host系統
  2. 在左側導覽列單擊策略 > 控制策略
  3. 控制策略頁面單擊建立控制策略
  4. 配置策略名稱優先順序備忘並單擊下一步:命令控制
    配置基本屬性
    说明
    • 優先順序可設定範圍:1~100。預設值為1,即最高優先順序。
    • 不同控制策略可以設定相同的優先順序。多個控制策略的優先順序相同時,Bastion Host會根據策略中具體的規則來確定策略生效順序。命令相關規則優先順序排序(從高到低):拒絕、允許、審批。存取控制策略優先順序排序:黑名單高於白名單。
  5. 配置命令控制類型命令列表並單擊下一步:命令審批
    命令控制類型分為(白名單)只允許執行以下命令(黑名單)不允許執行以下命令
    • (白名單)只允許執行以下命令:選擇白名單後,命令列表為必填選項。在當前策略生效使用者和主機中,只允許執行白名單命令列表中的命令。
    • (黑名單)不允許執行以下命令:選擇黑名單後,命令控制列表可以為空白。在當前策略生效使用者和主機中,不允許執行黑名單命令列表中的命令。
    命令控制
  6. 配置命令審批中的命令列表並單擊下一步:協議控制
    命令審批對命令控制(白名單或黑名單)以外的命令生效。命令控制策略生效的優先順序高於命令審批。如果使用者執行了已配置在命令審批命令列表中的命令,您可以在Bastion Host控制台對該命令是否執行進行審批。審批允許後該命令會被執行,審批拒絕後該命令不生效。關於命令審批的更多資訊請參見審批命令命令審批
  7. 配置RDP、SSH協議控制策略並單擊下一步:存取控制
    選中協議控制項表示允許該操作,未選中表示不允許進行相應操作。例如:選中檔案上傳,表示允許執行上傳檔案操作。協議控制
  8. 設定允許訪問主機的來源IP限制模式、IP列表並單擊建立控制策略
    您可以選擇以下來源IP限制模式:
    • (白名單)只允許以下IP:如果選擇白名單,IP列表為必填項。只允許白名單中的來源IP訪問當前策略生效的主機。
    • (黑名單)不允許以下IP:如果選擇黑名單,IP列表可以為空白。不允許黑名單中的來源IP訪問當前策略生效的主機。
    存取控制
  9. 可选:單擊關聯主機/使用者關聯主機或使用者
    您可以為該策略關聯使用者或主機,使該策略在相應主機或使用者上生效。更多資訊請參見關聯主機或使用者