堡垒机提供控制策略功能。使用控制策略功能,您可以设置命令控制、命令审批、协议控制和访问控制策略来管理用户对主机的访问。本文介绍如何新建控制策略。

操作步骤

  1. 登录堡垒机系统。具体操作,请参见登录堡垒机系统
  2. 在左侧导航栏,单击控制策略
  3. 控制策略页面,单击新建控制策略
  4. 配置策略名称优先级备注并单击下一步:命令控制
    配置基本属性
    说明
    • 优先级可设置范围:1~100。默认值为1,即最高优先级。
    • 不同控制策略可以设置相同的优先级。多个控制策略的优先级相同时,堡垒机会根据策略中具体的规则来确定策略生效顺序。命令相关规则优先级排序(从高到低):拒绝、允许、审批。访问控制策略优先级排序:黑名单高于白名单。
  5. 配置命令控制类型命令列表并单击下一步:命令审批
    命令控制类型分为(白名单)只允许执行以下命令(黑名单)不允许执行以下命令
    • (白名单)只允许执行以下命令:选择白名单后,命令列表为必填选项。在当前策略生效用户和主机中,只允许执行白名单命令列表中的命令。
    • (黑名单)不允许执行以下命令:选择黑名单后,命令控制列表可以为空。在当前策略生效用户和主机中,不允许执行黑名单命令列表中的命令。
    命令控制
  6. 配置命令审批中的命令列表并单击下一步:协议控制
    命令审批对命令控制(白名单或黑名单)以外的命令生效。命令控制策略生效的优先级高于命令审批。如果用户执行了已配置在命令审批命令列表中的命令,您可以在堡垒机控制台对该命令是否执行进行审批。审批允许后该命令会被执行,审批拒绝后该命令不生效。关于命令审批的更多信息请参见审批命令命令审批
  7. 配置RDP、SSH协议控制策略并单击下一步:访问控制
    选中协议控制项表示允许该操作,未选中表示不允许进行相应操作。例如:选中文件上传,表示允许执行上传文件操作。协议控制
  8. 设置允许访问主机的来源IP限制模式、IP列表并单击新建控制策略
    您可以选择以下来源IP限制模式:
    • (白名单)只允许以下IP:如果选择白名单,IP列表为必填项。只允许白名单中的来源IP访问当前策略生效的主机。
    • (黑名单)不允许以下IP:如果选择黑名单,IP列表可以为空。不允许黑名单中的来源IP访问当前策略生效的主机。
    访问控制
  9. 可选:单击关联主机/用户关联主机或用户
    您可以为该策略关联用户或主机,使该策略在相应主机或用户上生效。更多信息请参见关联主机或用户