Bastion Host提供控制策略功能。使用控制策略功能,您可以設定命令控制、命令審批、協議控制和存取控制策略來系統管理使用者對主機的訪問。本文介紹如何建立控制策略。
操作步驟
- 登入Bastion Host系統,具體操作請參見登入Bastion Host系統。
- 在左側導覽列單擊。
- 在控制策略頁面單擊建立控制策略。
- 配置策略名稱、優先順序和備忘並單擊下一步:命令控制。
说明
- 優先順序可設定範圍:1~100。預設值為1,即最高優先順序。
- 不同控制策略可以設定相同的優先順序。多個控制策略的優先順序相同時,Bastion Host會根據策略中具體的規則來確定策略生效順序。命令相關規則優先順序排序(從高到低):拒絕、允許、審批。存取控制策略優先順序排序:黑名單高於白名單。
- 配置命令控制類型、命令列表並單擊下一步:命令審批。
命令控制類型分為
(白名單)只允許執行以下命令和
(黑名單)不允許執行以下命令:
- (白名單)只允許執行以下命令:選擇白名單後,命令列表為必填選項。在當前策略生效使用者和主機中,只允許執行白名單命令列表中的命令。
- (黑名單)不允許執行以下命令:選擇黑名單後,命令控制列表可以為空白。在當前策略生效使用者和主機中,不允許執行黑名單命令列表中的命令。
- 配置命令審批中的命令列表並單擊下一步:協議控制。
命令審批對命令控制(白名單或黑名單)以外的命令生效。命令控制策略生效的優先順序高於命令審批。如果使用者執行了已配置在命令審批命令列表中的命令,您可以在Bastion
Host控制台對該命令是否執行進行審批。審批允許後該命令會被執行,審批拒絕後該命令不生效。關於命令審批的更多資訊請參見
審批命令。
- 配置RDP、SSH協議控制策略並單擊下一步:存取控制。
選中協議控制項表示允許該操作,未選中表示不允許進行相應操作。例如:選中檔案上傳,表示允許執行上傳檔案操作。
- 設定允許訪問主機的來源IP限制模式、IP列表並單擊建立控制策略。
您可以選擇以下來源IP限制模式:
- (白名單)只允許以下IP:如果選擇白名單,IP列表為必填項。只允許白名單中的來源IP訪問當前策略生效的主機。
- (黑名單)不允許以下IP:如果選擇黑名單,IP列表可以為空白。不允許黑名單中的來源IP訪問當前策略生效的主機。
- 可选:單擊關聯主機/使用者。
您可以為該策略關聯使用者或主機,使該策略在相應主機或使用者上生效。更多資訊請參見
關聯主機或使用者。