国家 / 地区

H3C SecPath A2000-G[AK][V]系列运维审计系统 典型配置举例(E6101 E6102 E6103 E6104)-5W104

13-文件传输配置举例

本章节下载  (519.33 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Configure/Typical_Configuration_Example/H3C_A2000-G[AK][V]_CE(E6101)-5W104/201905/1189386_30005_0.htm

13-文件传输配置举例

文件传输配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2018新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。



1 简介

1.1  文件传输方式

运维审计系统传输文件的方式很多,根据目标设备的不同主要有两大类:

(1)       Windows:

rdp方式、ftp方式。

(2)       Linux和类UNIX:

rzsz方式、sftp/scp方式(仅OpenSSH)、ftp方式(仅vsftpd)。

推荐在Windows环境下使用rdp方式;在Linux和类UNIX环境下使用rzsz方式。

Sftp、ftp和scp的服务器及客户端环境配置复杂且存在兼容性问题,不推荐使用。

1.2  文件传输客户端和服务端

运维审计系统对文件传输的客户端和服务端的使用要求请参见如下两个表格

表1-1 文件传输客户端

客户端

使用备注

scp命令

scp 1.txt user@堡垒机ip:/serverip/account/var/testdir

FileZilla客户端

WEB页面访问/客户端直连

WinSCP客户端

客户端直连

zmodem

SecureCRT/Xshell进行文件传输

rdp

rdp进行复制/粘贴文件

 

表1-2 文件传输服务端

服务端

FTP服务/软件

Linux/Unix ftp

vsftpd

Linux/Unix sftp

openssh

Windows ftp

IIS自带的FTP(目录浏览样式设置为UNIX)

1.3  文件传输注意事项

·            不支持在winscp上对中文/乱码文件/目录进行操作,包括进入目录。

·            不支持在winscp上上传/新建中文/乱码文件目录。

·            不支持在winscp上对目录下存在中文/乱码文件/目录进行操作。

·            不同的文件/目录权限设置对结果有一定的影响。

·            审计结果实际根据客户端返回的错误进行记录。

·            不支持在winscp上上传大文件到Windows设备。

2 配置举例

2.1  组网需求

图2-1 文件传输配置组网图

 

2.2  系统版本要求

适用产品版本:ESS 6101及以上版本。

2.3  Windows磁盘映射文件传输配置举例

2.3.1  管理员启用RDP磁盘映射

进入“配置管理员”,“基本控制 > 目标设备”。

选择相应的windows设备,点击“编辑”,进入“服务列表”,编辑rdp服务。

勾选“客户端磁盘映射”,勾选剪切板相关的配置。

图2-2 编辑rdp服务

 

进入“配置管理员”,“权限控制 > 访问权限”。

选择相应访问规则,点击“编辑”。

勾选“磁盘映射”,勾选剪切板相应选项。

图2-3 编辑访问规则

 

2.3.2  普通用户使用方法

进入“普通用户”。

选择相应设备的RDP服务,右键点击。

勾选需要映射的磁盘。

图2-4 普通用户使用方法

 

2.3.3  审计管理员查看审计记录

进入“审计管理员”,“会话审计 > 文件传输”。

通过服务过滤rdp服务。

图2-5 审计管理员查看审计记录

 

2.4  Linux/Unix rz/sz文件传输配置举例

2.4.1  配置前提

目标linux设备安装有lrzsz的包。

本地PC需要有支持ZModem的SSH客户端。

2.4.2  上传和下载

通过运维审计系统访问目标设备。

输入“rz”命令,进行文件上传。

图2-6 上传文件

 

输入“sz 文件名”,进行文件下载。

图2-7 下载文件

 

2.4.3  审计

进入“审计管理员”,“会话审计 > 文件传输”。

通过服务过滤zmodem服务。

图2-8 审计

 

2.5  Linux/Unix sftp/scp 文件传输配置举例(不推荐)

2.5.1  配置前提

sftp和scp都依赖于目标设备提供sshd服务。

使用sftp需要本地PC拥有filezilla软件。

2.5.2  管理员启用sftp服务

1. 仅个别设备开启

进入“配置管理员”,“基本控制 > 目标设备”。

选择相应设备,进入“服务列表”,增加sftp服务。

图2-9 增加sftp服务

 

2. 特定设备类型默认开启

进入“超级管理员”,“策略配置”-“设备类型”。

选择需要默认开启的设备类型,点击“管理”,新增默认文件传输方式为sftp。

图2-10 选择需要默认开启的设备类型

 

进入“配置管理员”,“权限控制 > 访问权限”。

选择相应的访问规则,点击“编辑”,勾选sftp服务。

图2-11 选择sftp服务

 

2.5.3  普通用户访问

1. Web页面启动filezilla

进入“普通用户”,选择相应设备,右键点击sftp服务。

·            托管密码方式

系统账户,选择已经托管密码的系统账户(前面有个*)。

图2-12 托管密码方式

 

·            不托管密码方式

系统账户,选择any账户。输入用户名、密码。

图2-13 不托管密码方式

 

2. Filezilla直连

(1)       打开本地PC的filezilla软件。

·            主机格式为:sftp://运维审计系统IP

·            用户名:运维审计系统普通用户账户名。

·            密码:运维审计系统普通用户密码。

图2-14 Filezilla直连

 

(2)       选择目标设备。

图2-15 选择目标设备

 

(3)       选择目标设备的系统账户(该账户必须在运维审计系统托管了账户密码)。

图2-16 选择目标设备的系统账户

 

(4)       列出目标设备的目录。

图2-17 列出目标设备的目录

 

提示

使用WinSCP客户端运维ftp(Linux vsftpd或者Win IIS ftp服务)/sftp(Linux openssh)主机时,无法创建文件、目录,且无法从本地复制文件夹或文件至服务器端。

 

提示

使用双人授权功能时,文件传输无法使用Filezilla&WinSCP直连。请使用web浏览器的方式访问。

 

3. scp

支持scp命令的客户端可以直接将本地文件,通过运维审计系统发送至目标设备。

scp的格式为:

scp 文件名 运维审计系统用户账号@运维审计系统主机地址:/目标设备地址/ftp帐户/目标设备目录

如果admin(用户帐户)要通过运维审计系统(192.168.25.136)使用root账户,将本机的aa文件上传到目标设备(192.168.8.136)的/root/xuhf目录中,可以使用如下命令:

scp ./aa admin@192.168.25.136:/192.168.8.136/root/root/xuhf

·            运维审计系统用户账号为:admin

·            运维审计系统的主机地址为:192.168.25.136

·            目标设备地址为:192.168.8.136

·            目标设备的sftp帐户为:root

·            相应工作目录为root/xuhf

 

2.5.4  审计

进入“审计管理员”,“会话审计 > 文件传输”。

通过服务过滤sftp/scp服务。

图2-18 审计

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!