「銀行堡壘機(jī)實(shí)施方案」.doc

銀行分行運(yùn)維審計(jì)平臺(tái)實(shí)施方案修訂記錄/Change History日期修訂版本描述作者2016-2-16V1.0獨(dú)立實(shí)施方案，完善測試部分麒麟目錄1 文檔說明51.1 概述51.2 運(yùn)維操作現(xiàn)狀52 物理部署規(guī)劃62.1 設(shè)備硬件信息62.2 軟件信息72.3 系統(tǒng)LOGO72.4 地址規(guī)劃72.5 部署規(guī)劃73 應(yīng)用部署實(shí)施83.1 堡壘機(jī)上線說明83.2 設(shè)備初始化83.2.1 上架加電93.2.2 網(wǎng)絡(luò)配置93.3 堡壘機(jī)配置修改方式93.3.1 目錄樹調(diào)整103.3.2 設(shè)備類型添加及修改113.3.3 堡壘機(jī)用戶導(dǎo)入及用戶配置113.3.4 主機(jī)設(shè)備帳號(hào)導(dǎo)入143.3.5 系統(tǒng)帳號(hào)賦權(quán)183.3.6 應(yīng)用發(fā)布服務(wù)器添加203.4 堡壘機(jī)應(yīng)用發(fā)布配置223.4.1 應(yīng)用發(fā)布用戶配置223.4.2 應(yīng)用用戶組授權(quán)233.5 數(shù)據(jù)留存配置243.5.1 審計(jì)數(shù)據(jù)留存243.5.2 設(shè)備配置留存253.5.3 定時(shí)任務(wù)配置263.5.4 動(dòng)態(tài)令牌使用手冊(cè)271、證書導(dǎo)入272、證書綁定283、運(yùn)維人員使用283.6 應(yīng)急方案304 系統(tǒng)測試314.1 TELNET訪問操作管理314.2 SFTP訪問操作管理314.3 SSH訪問操作管理324.4 RDP訪問操作管理324.5 FTP訪問操作管理325 集中管控平臺(tái)335.1 集中管控平臺(tái)功能335.2 設(shè)備硬件信息335.3 軟件信息335.4 地址規(guī)劃335.5 部署規(guī)劃345.6 集中管控平臺(tái)部署345.7 系統(tǒng)上線需求355.8 系統(tǒng)安裝356 雙機(jī)部署模式366.1 雙機(jī)部署模式功能366.2 上線條件366.3 地址規(guī)劃376.4 上線步驟371 文檔說明1.1 麒麟開源堡壘機(jī)使用概述隨著我行業(yè)務(wù)范圍和營業(yè)網(wǎng)點(diǎn)的不斷延伸擴(kuò)大，各類特色業(yè)務(wù)系統(tǒng)和基礎(chǔ)網(wǎng)絡(luò)設(shè)備隨之上線運(yùn)行，切實(shí)有效的保障了各分行業(yè)務(wù)的穩(wěn)定性、安全性和靈活性。但與此同時(shí)，隨著業(yè)務(wù)系統(tǒng)應(yīng)用范圍越來越廣、數(shù)據(jù)越來越多，所需日常維護(hù)的系統(tǒng)和設(shè)備也在日益增長，科技運(yùn)維部門面臨的網(wǎng)絡(luò)、系統(tǒng)安全穩(wěn)定運(yùn)行的壓力也隨之增加。當(dāng)前運(yùn)維管理中存在的主要問題是，技術(shù)人員和維護(hù)人員的日常管理和維護(hù)都是直接登錄業(yè)務(wù)系統(tǒng)、設(shè)備進(jìn)行操作，沒有針對(duì)運(yùn)維操作進(jìn)行統(tǒng)一管理、統(tǒng)一審計(jì)、統(tǒng)一分析的系統(tǒng)，造成運(yùn)維操作沒有辦法進(jìn)行監(jiān)控分析，進(jìn)而造成內(nèi)部數(shù)據(jù)信息泄露、違規(guī)操作、惡意操作、密碼外泄等一系列重大安全隱患。隨著監(jiān)管對(duì)于日常運(yùn)維工作審計(jì)記錄的監(jiān)管需求以及XX銀行本身運(yùn)維規(guī)范化管理的需求，實(shí)現(xiàn)分行骨干設(shè)備的運(yùn)維操作的審計(jì)需求迫在眉睫。本次堡壘機(jī)項(xiàng)目使用麒麟開源堡壘機(jī)，麒麟開源堡壘機(jī)產(chǎn)品功能強(qiáng)大穩(wěn)定性高，經(jīng)過測試可以完全滿足銀行的使用需要。1.2 運(yùn)維操作現(xiàn)狀當(dāng)前分行均已部署了ACS設(shè)備，實(shí)現(xiàn)了網(wǎng)絡(luò)帳號(hào)統(tǒng)一管理、權(quán)限控制、及命令記錄功能。但因?yàn)槿鄙賹I(yè)的運(yùn)維管理系統(tǒng)，對(duì)于運(yùn)維操作的監(jiān)控，還存在一定的盲區(qū)，主要表現(xiàn)為： 運(yùn)維操作方式多樣、分散，缺乏有效集中管理； 運(yùn)維操作缺乏技術(shù)手段來約束； 對(duì)運(yùn)維操作行為的審計(jì)方式不直觀； 共享賬號(hào)的情況普遍，給訪問者定位帶來難題。2 物理部署規(guī)劃2.1 設(shè)備硬件信息運(yùn)維審計(jì)系統(tǒng)包括堡壘機(jī)和應(yīng)用發(fā)布服務(wù)器兩臺(tái)設(shè)備，物理參數(shù)如下：設(shè)備型號(hào)硬件參數(shù)堡壘機(jī)麒麟開源堡壘機(jī)CPU 64位 3G/16G內(nèi)存/2T硬盤/交流電/2U應(yīng)用發(fā)布服務(wù)器麒麟應(yīng)用發(fā)布模塊CPU 64位 3G/32G內(nèi)存/2T硬盤/交流電/2U2.2 軟件信息設(shè)備操作系統(tǒng)軟件版本Licenses數(shù)堡壘機(jī)CentosV1.1100000個(gè)應(yīng)用發(fā)布服務(wù)器Windows server 2008V1.32.3 系統(tǒng)LOGO堡壘機(jī)LOGO在安裝時(shí)，都已經(jīng)被設(shè)置為XX銀行運(yùn)維審計(jì)平臺(tái)，以與其它系統(tǒng)進(jìn)行區(qū)分。2.4 地址規(guī)劃參照分行部署規(guī)范，運(yùn)維審計(jì)堡壘機(jī)及應(yīng)用發(fā)布平臺(tái)，需要分行分配在基礎(chǔ)服務(wù)器區(qū)域，分配【199.XX.XX.XX】的地址，兩臺(tái)設(shè)備分別需要分配IP地址，且兩個(gè)地址需要在一個(gè)子網(wǎng)。示例如下設(shè)備名稱所屬區(qū)域產(chǎn)品型號(hào)IP堡壘機(jī)內(nèi)網(wǎng)UOM-1000A應(yīng)用發(fā)布服務(wù)器內(nèi)網(wǎng)Modul-APP-RELEAS-HW2.5 部署規(guī)劃n 堡壘機(jī)、應(yīng)用發(fā)布平臺(tái)各需要2U的機(jī)柜空間位置n 堡壘機(jī)、應(yīng)用發(fā)布平臺(tái)需要部署在基礎(chǔ)服務(wù)器接入?yún)^(qū)n 堡壘機(jī)、應(yīng)用發(fā)布平臺(tái)個(gè)需要2*10A電源3 應(yīng)用部署實(shí)施3.1 堡壘機(jī)上線說明堡壘機(jī)在發(fā)往用戶前，已經(jīng)完成如下設(shè)置:l 設(shè)備IP地址、網(wǎng)關(guān)、應(yīng)用發(fā)布連接l 設(shè)備、人員、權(quán)限關(guān)系、目錄結(jié)構(gòu)的前期調(diào)研和導(dǎo)入l 密碼規(guī)則策略設(shè)置l 數(shù)據(jù)留存策略設(shè)置堡壘機(jī)現(xiàn)場上線實(shí)施步驟包括:l 設(shè)備上架、加電l 網(wǎng)絡(luò)連通性測試l 系統(tǒng)功能測試l 現(xiàn)場培訓(xùn)注：堡壘機(jī)出廠時(shí)，已經(jīng)完成了數(shù)據(jù)導(dǎo)入、權(quán)限策略設(shè)置、應(yīng)用發(fā)布設(shè)置和IP等環(huán)境設(shè)置，如果有實(shí)時(shí)時(shí)發(fā)生更改，請(qǐng)按下面相應(yīng)描述章節(jié)進(jìn)行修改3.2 設(shè)備初始化n 上架加電n 設(shè)置IP地址、網(wǎng)絡(luò)掩碼、網(wǎng)管3.2.1 上架加電第一步、分別將堡壘機(jī)和應(yīng)用發(fā)布服務(wù)器按照部署位置，將主機(jī)安裝固定到機(jī)柜中。第二步、將隨機(jī)攜帶的電源線插到主機(jī)后面板的電源插座上。第三步、將電源線的另一端插到機(jī)柜為主機(jī)提供交流電源的插座上。3.2.2 網(wǎng)絡(luò)配置發(fā)貨前，堡壘機(jī)和應(yīng)用發(fā)布IP默認(rèn)已經(jīng)按客戶要求配置完畢，如果需要 現(xiàn)場修改可以按如下步驟：堡壘機(jī)和應(yīng)用發(fā)布服務(wù)器網(wǎng)卡默認(rèn)IP為：設(shè)備名稱網(wǎng)卡名稱IP訪問方式堡壘機(jī)Eth0分行提供的IPhttps、ssh堡壘機(jī) Eth1/30https、ssh堡壘機(jī) 管理口/30https應(yīng)用發(fā)布 Eth0分行提供的IPRDP應(yīng)用發(fā)布 Eth0/30RDP本次工程，堡壘機(jī)和應(yīng)用發(fā)布都要求使用eth0口，修改堡壘機(jī)和應(yīng)用發(fā)布IP時(shí)，使用eth1進(jìn)行登錄，以避免配置錯(cuò)誤后無法登入，堡壘機(jī)的管理口為console，通過https訪問可以得到鍵盤顯示器的界面，如果堡壘機(jī)出現(xiàn)硬件故障或兩個(gè)網(wǎng)卡都不通時(shí)，使用管理口登錄。完成上架加電操作后，打開堡壘機(jī)的電源按鈕，堡壘機(jī)開機(jī)啟動(dòng)，等待兩分鐘，啟動(dòng)完成后，使用筆記本通過網(wǎng)線連接堡壘機(jī)，筆記本IP地址配置為/30后使用網(wǎng)線直接連接到堡壘機(jī)eth1口，然后使用瀏覽器打開 用戶名輸入admin 密碼12345678，進(jìn)入堡壘機(jī)系統(tǒng)，在【系統(tǒng)配置】-【網(wǎng)絡(luò)配置】中修改網(wǎng)卡的IP地址信息，更改為規(guī)劃好的eth0 IP地址。 應(yīng)用發(fā)布IP eth1地址默認(rèn)為/30，可以直接使用mstsc rdp到應(yīng)用發(fā)布服務(wù)器對(duì)IP地址進(jìn)行修改。3.3 堡壘機(jī)配置修改方式堡壘機(jī)上線，已經(jīng)完成項(xiàng)如下：n 目錄樹導(dǎo)入、設(shè)置n 堡壘機(jī)用戶導(dǎo)入表，建立主帳號(hào)n 設(shè)備、設(shè)備用戶導(dǎo)入，建立從帳號(hào)n 飛塔防火墻應(yīng)用從帳號(hào)導(dǎo)入n 設(shè)備授權(quán)設(shè)置 到現(xiàn)場，有可能會(huì)對(duì)某些設(shè)備進(jìn)行相應(yīng)的調(diào)整，調(diào)整方法如下：3.3.1 目錄樹調(diào)整單擊導(dǎo)航樹中【資源管理】中的【資產(chǎn)管理】，選擇“目錄管理”頁簽，單擊“增加新節(jié)點(diǎn)”；根據(jù)所要?jiǎng)?chuàng)建的組類型選擇“所屬目錄”與“屬性”；系統(tǒng)已經(jīng)默認(rèn)安裝了標(biāo)準(zhǔn)的目錄結(jié)構(gòu)，只需要對(duì)目錄結(jié)構(gòu)進(jìn)行相應(yīng)的修改即可以完成本步設(shè)置圖 1說明：“節(jié)點(diǎn)名”輸入節(jié)點(diǎn)的名稱，“所屬目錄”新創(chuàng)建目錄所屬那個(gè)父組；設(shè)備組目錄結(jié)構(gòu)與分行ACS一致，目錄樹可以無限級(jí)目錄，堡壘機(jī)配置前必須先將目錄樹配置完畢才能進(jìn)行用戶和設(shè)備的導(dǎo)入，用戶和設(shè)備導(dǎo)入時(shí)，必須有配置好的目錄樹。3.3.2 設(shè)備類型添加及修改設(shè)備類型配置，主要是加入分行有的，但堡壘機(jī)中不存在的設(shè)備類型，否則導(dǎo)入時(shí)無法寫成正確的設(shè)備類型（為了方便管理，設(shè)備類型最好不要涉及型號(hào)，只設(shè)置廠商即可，比如Cisco的 2960交換機(jī)、3950交換機(jī)，可以統(tǒng)一放在Cisco類型的設(shè)備中）單擊導(dǎo)航樹中【資源管理】中的【資產(chǎn)管理】，選擇“系統(tǒng)類型”頁簽，單擊“增加”；圖 2說明：“主機(jī)/網(wǎng)絡(luò)”選項(xiàng)中，主機(jī)代表操作系統(tǒng)類型設(shè)備，網(wǎng)絡(luò)代表路由交換類型設(shè)備，“系統(tǒng)類型”框中填寫設(shè)備的類型，中文、英文都支持；3.3.3 堡壘機(jī)用戶導(dǎo)入及用戶配置導(dǎo)入表格填寫，將附件一.運(yùn)維人員導(dǎo)入表格按如下要求進(jìn)行填寫用戶名:運(yùn)維人員登錄堡壘機(jī)時(shí)的名稱，要求唯一（必須填寫）密碼: 運(yùn)維人員登錄堡壘機(jī)時(shí)的密碼 （必須填寫）真實(shí)姓名：運(yùn)維人員的真實(shí)姓名 （必須填寫）電子郵箱：運(yùn)維人員的電子郵箱地址（選擇填寫）用戶權(quán)限：統(tǒng)一配置為 普通用戶 （必須填寫）組名：目錄結(jié)構(gòu)中的資源組名稱，如果出現(xiàn)同樣名稱的資源組，則導(dǎo)入時(shí)需要用組名(id)方式，比如出現(xiàn)重名的first組，如果你想在界面中這個(gè)組加入，則組名為first(221)手機(jī)號(hào)碼：運(yùn)維人員的手機(jī)號(hào)碼（選擇填寫）工作單位：運(yùn)維人員的工作單位（選擇填寫）工作部門：運(yùn)維人員的工作部門（選擇填寫）USBKEY:為動(dòng)態(tài)口令的令牌ID，如果用戶需要?jiǎng)討B(tài)令牌，則在動(dòng)態(tài)令牌列表文件中選擇一個(gè)未使用的動(dòng)態(tài)令牌給用戶后面的其它選項(xiàng)：一般不需要填寫，所有的用戶按模版復(fù)制即可用戶導(dǎo)入表確認(rèn)無誤后,使用admin用戶登錄前臺(tái)，在 資源管理-資產(chǎn)管理-用戶管理菜單，點(diǎn)擊右下方的導(dǎo)入按鈕在導(dǎo)入界面中，將加密的勾勾上，點(diǎn)擊瀏覽按鈕，選擇找到需要導(dǎo)入的用戶表后，點(diǎn)擊提交按鈕，即可以將所有的用戶導(dǎo)入到堡壘機(jī)中點(diǎn)入確定后，會(huì)給用戶提示，表中哪些用戶沒有導(dǎo)入成功及未成功的理由用戶導(dǎo)入后，如果有個(gè)另的用戶需要修改或添加，可以在用戶管理菜單進(jìn)行操作單擊導(dǎo)航樹中【資源管理】中的【資產(chǎn)管理】，選擇“用戶管理”頁簽，單擊“添加用戶”，填寫用戶的基本信息、權(quán)限信息及其他信息；圖 3圖 43.3.4 主機(jī)設(shè)備帳號(hào)導(dǎo)入主機(jī)設(shè)備帳號(hào)導(dǎo)入前提與堡壘機(jī)帳號(hào)導(dǎo)入前提一致，必須先做好目錄樹。按附件二主機(jī)設(shè)備帳號(hào)表中的要求收集分行的主機(jī)帳號(hào)設(shè)備，并且填好，主機(jī)帳號(hào)導(dǎo)入時(shí)，會(huì)自動(dòng)創(chuàng)建主機(jī)主機(jī)名：主機(jī)的名稱IP主機(jī)的IP地址服務(wù)器組：服務(wù)器所屬組的ID號(hào)，因?yàn)槟夸浿性试S同名稱的組，因此，服務(wù)器組用ID號(hào)替代，可以在資產(chǎn)管理-資源管理-目錄節(jié)點(diǎn)中查看ID號(hào)，如下圖：系統(tǒng)類型：主機(jī)的操作系統(tǒng)類型，必須在第一章中添加的或系統(tǒng)自帶的中選擇添加系統(tǒng)用戶：系統(tǒng)用戶名，如果不想托管，則這項(xiàng)不填當(dāng)前密碼：系統(tǒng)播放的密碼，如果不想托管，則這項(xiàng)可以不填登錄協(xié)議：目前支持telnet/ssh1/ssh/ftp/rdp/vnc/x11 ，可以在這些登錄方式中選擇相應(yīng)的端口： 登錄協(xié)議連接的目標(biāo)端口過期時(shí)間：這個(gè)系統(tǒng)帳號(hào)的過期時(shí)間，如果超過過期時(shí)間，則不在允許登錄自動(dòng)修改密碼：是否對(duì)這個(gè)帳號(hào)進(jìn)行自動(dòng)修改密碼（默認(rèn)為否）主帳號(hào)：自動(dòng)修改密碼時(shí)只使用一個(gè)帳號(hào)登錄修改主機(jī)上所有的用戶密碼，如果是主帳號(hào)，則填是，主帳號(hào)一般為root權(quán)限或可以sudo 為root自動(dòng)登錄：默認(rèn)填是堡壘機(jī)用戶：XX項(xiàng)目中均填否Sftp用戶 ：如果是SSH服務(wù)，則設(shè)置這個(gè)SSH用戶是否可以使用SFTP服務(wù)，是為允許，否為不允許公私鑰用戶：如果是SSH服務(wù)，設(shè)置這個(gè)SSH用戶認(rèn)證是不是使用公私鑰方式，是或否在資源管理-資產(chǎn)管理-設(shè)備管理中，點(diǎn)擊導(dǎo)入按鈕勾上加密按鈕，并點(diǎn)擊瀏覽按鈕找到主機(jī)設(shè)備列表的表格后，點(diǎn)擊提交按鈕，會(huì)將所有的設(shè)備帳號(hào)導(dǎo)入單臺(tái)設(shè)備的添加、修改可以在設(shè)備管理菜單完成單擊導(dǎo)航樹中【資源管理】中的【資產(chǎn)管理】，選擇“設(shè)備管理”頁簽，單擊“添加”，填寫基本信息；圖 5單擊導(dǎo)航樹中【資源管理】中的【資產(chǎn)管理】，選擇“設(shè)備管理”頁簽，指定設(shè)備的操作欄中單擊“用戶”，圖 6單擊“添加新用戶”；圖 7根據(jù)實(shí)際情況填寫下圖信息；3.3.5 系統(tǒng)帳號(hào)賦權(quán)堡壘機(jī)帳號(hào)（主帳號(hào)）、主機(jī)系統(tǒng)帳號(hào)（從帳號(hào)）導(dǎo)入完成后，需要進(jìn)行賦權(quán)操作，賦權(quán)后堡壘機(jī)帳號(hào)（主帳號(hào)）登錄到堡壘機(jī)才能跳轉(zhuǎn)到相應(yīng)的設(shè)備。前期設(shè)備授權(quán)關(guān)系調(diào)研表中包含所有的權(quán)限關(guān)系，按表進(jìn)行設(shè)置。賦權(quán)操作如果一個(gè)堡壘機(jī)帳號(hào)（主帳號(hào)）有大量從帳號(hào)的權(quán)限，則賦權(quán)是在系統(tǒng)用戶組菜單完成的，如果為堡壘機(jī)帳號(hào)（主帳號(hào)）臨時(shí)添加一個(gè)從帳號(hào)的賦權(quán)，則也可以在主機(jī)設(shè)備帳號(hào)菜單中完成。賦權(quán)操作最好按用戶組的方式進(jìn)行賦，即將權(quán)限相同的用戶放在同一個(gè)用戶組中，然后為這個(gè)用戶組創(chuàng)建一個(gè)系統(tǒng)用戶組，將這些用戶擁有權(quán)限的主機(jī)設(shè)備帳號(hào)都加到這個(gè)組中，然后將這個(gè)系統(tǒng)用戶組綁定給這個(gè)用戶組，如果每個(gè)用戶的權(quán)限都不一樣，也可以為單獨(dú)的用戶劃分系統(tǒng)用戶組后進(jìn)行授權(quán)。單擊導(dǎo)航樹中【資源管理】中的【授權(quán)權(quán)限】，選擇“系統(tǒng)用戶組”頁簽，單擊“添加新組”；填寫“系統(tǒng)用戶組”名，選中“未選設(shè)備”中系統(tǒng)用戶添加到“已選設(shè)備”，確定已經(jīng)選中想要賦權(quán)的堡壘機(jī)用戶組的所有系統(tǒng)帳號(hào)后，點(diǎn)擊保存；單擊導(dǎo)航樹中【資源管理】中的【授權(quán)權(quán)限】，選擇“系統(tǒng)用戶組”頁簽，單擊“操作”欄中“授權(quán)”，勾選“授權(quán)組”或“授權(quán)用戶”，配置完成單擊“保存修改”；授權(quán)后，組中的用戶或被授權(quán)的用戶，就擁有了這個(gè)系統(tǒng)用戶組中所有的主機(jī)系統(tǒng)帳號(hào)的權(quán)限。3.3.6 應(yīng)用發(fā)布服務(wù)器添加前提：安裝好應(yīng)用發(fā)布服務(wù)器，確定好應(yīng)用發(fā)布服務(wù)器的IP地址，并且已經(jīng)打通堡壘機(jī)訪問應(yīng)用發(fā)布服務(wù)器的TCP 3389、8888端口，應(yīng)用發(fā)布服務(wù)器到堡壘機(jī)的TCP 3306端口單擊導(dǎo)航樹中【資源管理】中的【資產(chǎn)管理】，選擇“設(shè)備管理”頁簽，單擊“添加”，在主機(jī)名中寫應(yīng)用發(fā)布服務(wù)器，在IP地址中寫入應(yīng)用發(fā)布服務(wù)器IP，主要類型為WINDOWS，設(shè)備組選一個(gè)用戶許可的設(shè)備組。配置完成單擊“保存修改”；為應(yīng)用發(fā)布服務(wù)器增加一個(gè)應(yīng)用發(fā)布帳號(hào)單擊導(dǎo)航樹中【資源管理】中的【應(yīng)用發(fā)布】，選擇“應(yīng)用發(fā)布”頁簽，單擊“添加”；配置完成單擊“保存修改”；A. 單擊導(dǎo)航樹中【資源管理】中的【應(yīng)用發(fā)布】，選擇“應(yīng)用程序”頁簽，單擊“添加”；增加IE程序安裝位置；配置完成單擊“保存修改”；說明：程序地址：是應(yīng)用發(fā)布服務(wù)器上IE瀏覽器程序安裝位置；3.4 堡壘機(jī)應(yīng)用發(fā)布配置3.4.1 應(yīng)用發(fā)布用戶配置A. 單擊導(dǎo)航樹中【資源管理】中的【應(yīng)用發(fā)布】，選擇“應(yīng)用發(fā)布”頁簽，單擊操作欄中“應(yīng)用發(fā)布”；B. 單擊“添加”，填寫應(yīng)用名稱、選擇服務(wù)器及填寫被訪設(shè)備URL；配置完成單擊“保存修改”；說明：如果需要添加的設(shè)備比較多，先單擊“導(dǎo)出”，填寫導(dǎo)出表，再單擊“導(dǎo)入”；完成設(shè)備的批量添加；3.4.2 應(yīng)用用戶組授權(quán)A. 單擊導(dǎo)航樹中【資源管理】中的【授權(quán)權(quán)限】，選擇“應(yīng)用用戶組”頁簽，單擊“添加新組”；添加需要的應(yīng)用用戶，單擊“保存”；B. 單擊“綁定”；C. 勾選綁定組或綁定用戶；單擊“保存修改”；3.5 數(shù)據(jù)留存配置3.5.1 審計(jì)數(shù)據(jù)留存系統(tǒng)內(nèi)置存貯為2T，通常情況下，可以夠100個(gè)運(yùn)維人員使用半年左右，所有的運(yùn)維人員操作都會(huì)被系統(tǒng)進(jìn)行留存記錄，當(dāng)2T空間滿的時(shí)候，系統(tǒng)會(huì)根據(jù)系統(tǒng)配置-系統(tǒng)參數(shù)中的配置項(xiàng)存貯無空間時(shí)操作進(jìn)行操作，如果選擇覆蓋，則會(huì)刪除早期的LOG進(jìn)行記錄，如果選擇停止操作，則系統(tǒng)將不在接受新的運(yùn)維連接請(qǐng)求，并且發(fā)送告警給堡壘機(jī)管理員。這里將策略設(shè)置為覆蓋舊文件。系統(tǒng)也可以使用自動(dòng)刪除功能，指定自動(dòng)刪除多久以前的審計(jì)數(shù)據(jù)，使用audit帳號(hào)登錄到系統(tǒng)，在自動(dòng)刪除菜單中，可以指定系統(tǒng)自動(dòng)刪除的周期，默認(rèn)情況下，系統(tǒng)不會(huì)自動(dòng)刪除審計(jì)日志，除非指定了刪除周期并且啟動(dòng)了刪除程序。點(diǎn)擊下列各種服務(wù)后面的編輯按鈕，在彈出的對(duì)話框中填入希望自動(dòng)刪除的周期，點(diǎn)保存即可。系統(tǒng)出廠時(shí)默認(rèn)為刪除一年前的日志，建議按默認(rèn)的配置。系統(tǒng)可以將錄相文件及配置信息自動(dòng)定時(shí)同步到遠(yuǎn)端服務(wù)器上，使用admin登錄，在系統(tǒng)管理-數(shù)據(jù)同步菜單，點(diǎn)新建按鈕，按下面要求輸入信息，系統(tǒng)即會(huì)將審計(jì)錄相和配置信息進(jìn)行自動(dòng)同步，同步方式為增量同步，每天凌晨進(jìn)行同步。3.5.2 設(shè)備配置留存系統(tǒng)配置可以使用手工備份和自動(dòng)備份二種模式。手工備份在系統(tǒng)管理-配置備份菜單，點(diǎn)擊生成備份按鈕，即可以將配置手工備份到本機(jī)，如果想要恢復(fù)時(shí)，點(diǎn)擊恢復(fù)將下載的備份文件上傳即可以進(jìn)行恢復(fù)。在系統(tǒng)管理-數(shù)據(jù)同步菜單，點(diǎn)擊新建，在同步模式中選擇資產(chǎn)權(quán)限，即可以實(shí)現(xiàn)自動(dòng)備份，輸入備份目標(biāo)服務(wù)器IP、SSH端口、用戶名、密碼及備份目錄后，系統(tǒng)會(huì)每天一次將備份文件上傳到備份目標(biāo)服務(wù)器。3.5.3 定時(shí)任務(wù)配置系統(tǒng)自動(dòng)刪除、自動(dòng)備份等操作，默認(rèn)情況下，服務(wù)都未啟動(dòng)，如果想要讓配置的參數(shù)生效，必須在定時(shí)任務(wù)中將服務(wù)啟動(dòng)。在菜單系統(tǒng)配置-系統(tǒng)管理-定時(shí)任務(wù)中，可以配置自動(dòng)備份、自動(dòng)刪除啟動(dòng)時(shí)間周期。以審計(jì)文件備份為例，如果服務(wù)后面的勾勾上，表示服務(wù)為啟動(dòng)狀態(tài)，如果未勾，則表示服務(wù)為未啟動(dòng)狀態(tài)，備份調(diào)度表示服務(wù)啟動(dòng)的周期，如果為*號(hào)表示每次都啟動(dòng)，如下例中，審計(jì)備份文件每天晚上1點(diǎn)5分會(huì)啟動(dòng)進(jìn)行備份。3.5.4 動(dòng)態(tài)令牌使用手冊(cè)系統(tǒng)內(nèi)置動(dòng)態(tài)令牌系統(tǒng)，可以使用動(dòng)態(tài)口令進(jìn)行登錄，動(dòng)態(tài)令牌目前運(yùn)行硬件Usbkey令牌和手機(jī)令牌二種模式，手機(jī)令牌目前支持Apple手機(jī)和安卓二種系統(tǒng)。動(dòng)態(tài)令牌使用需要先將令牌證書導(dǎo)入，令牌證書導(dǎo)入后，在將令牌與相應(yīng)的用戶綁定起來，即可以使用，手機(jī)令牌用戶還需要安裝手機(jī)令牌軟件。1、證書導(dǎo)入其它-usbkey列表菜單，點(diǎn)擊最下方的導(dǎo)入U(xiǎn)SBKEY按鈕打開USBKEY導(dǎo)入界面，先點(diǎn)擊瀏覽找到證書位置，在點(diǎn)提交，即可以將所有證書導(dǎo)入到堡壘機(jī)中。2、證書綁定證書導(dǎo)入后，需要將證書綁定給相應(yīng)的用戶，用戶綁定后，即必須使用靜態(tài)密碼+動(dòng)態(tài)密碼的登錄方式，新建用戶或點(diǎn)編輯用戶，在動(dòng)態(tài)口令卡找到為用戶綁定的動(dòng)態(tài)口令卡ID，點(diǎn)確定按鈕即完成綁定，注意用戶與口令卡是一對(duì)一的關(guān)系。3、運(yùn)維人員使用綁定以后運(yùn)維人員登錄堡壘機(jī)頁面或使用工具直接登錄必須使用靜態(tài)口令+動(dòng)態(tài)口令為密碼來進(jìn)行登錄，令牌分為USBKEY令牌與手機(jī)令牌二種。USBKEY令牌使用方式：將USBKEY令牌插入電腦USBKEY口，即可以出現(xiàn)一個(gè)名稱為動(dòng)態(tài)口令U盤，雙擊里面的password.exe程序，即可以令牌程序令牌的初始密碼為123456，輸入密碼后電腦右上角即可以出現(xiàn)令牌的懸浮窗口，可以用鼠標(biāo)點(diǎn)右鍵方式對(duì)密碼進(jìn)行復(fù)制粘貼手機(jī)令牌使用方式：安卓手機(jī)只需要使用手機(jī)助手將附件3中的token-app軟件復(fù)制到手機(jī)上，點(diǎn)擊安裝即可完成安裝。 蘋果手機(jī)使用瀏覽器打開連接/XdKGtu 打開后，會(huì)彈出程序安裝界面如下：點(diǎn)擊install application即可完成安裝，蘋果手機(jī)安裝完畢后，需要在設(shè)置-通用-描述文件添加對(duì)FindToken的信任才能使用動(dòng)態(tài)令牌。手機(jī)令牌用戶首次 登錄時(shí)，登錄成功后會(huì)進(jìn)入一個(gè)二維碼界面，二維碼中間含有用戶動(dòng)態(tài)口令密鑰信息，用戶需要打開APP，APP首次登錄密碼為123456，登錄修改密碼后，點(diǎn)擊APP上方的二維碼掃描按鈕，開啟攝像頭掃描二維碼，二維碼掃描后，手機(jī)的APP會(huì)出現(xiàn)動(dòng)態(tài)口令顯示界面，每15秒產(chǎn)生一個(gè)動(dòng)態(tài)口令，用戶將一個(gè)動(dòng)態(tài)口令輸入到手機(jī)二維碼驗(yàn)證頁面下方的動(dòng)態(tài)口令TEXT，成功后，系統(tǒng)會(huì)退出，以后用戶登錄需要使用靜態(tài)口令+手機(jī)生成的動(dòng)態(tài)口令才能登錄。3.6 應(yīng)急方案因本方案以單機(jī)方式部署，且堡壘機(jī)本身不具備bypass功能。當(dāng)堡壘機(jī)發(fā)生故障時(shí)，管理員登錄到應(yīng)用發(fā)布服務(wù)器，創(chuàng)建一個(gè)共用帳號(hào)發(fā)給運(yùn)維人員登錄使用，運(yùn)維人員使用終端通過公用帳號(hào)RDP到應(yīng)用發(fā)布服務(wù)器上，在應(yīng)用發(fā)布服務(wù)器上打開運(yùn)維工具進(jìn)行運(yùn)維。堡壘機(jī)恢復(fù)后，刪除應(yīng)用發(fā)布服務(wù)器共用帳號(hào)。 應(yīng)用發(fā)布服務(wù)器發(fā)生故障時(shí)，分行提供一臺(tái)其它windows2003或2008服務(wù)器，在這臺(tái)服務(wù)器上創(chuàng)建一個(gè)共用帳號(hào)，在堡壘機(jī)上添加這個(gè)共用帳號(hào)，并且把這個(gè)共用帳號(hào)授權(quán)給所有運(yùn)維人員，運(yùn)維人員需要使用應(yīng)用發(fā)布時(shí)，先通過堡壘機(jī)登錄到備用Windows服務(wù)器上，打開相應(yīng)的工具進(jìn)行運(yùn)維。4 系統(tǒng)測試4.1 TELNET訪問操作管理1. 點(diǎn)擊“資源管理”-“資產(chǎn)管理”，進(jìn)入設(shè)備列表項(xiàng)，找到 Linux設(shè)備，為Linux 設(shè)備建立一個(gè)telnet帳號(hào)，并且將這個(gè)帳號(hào)與test運(yùn)維帳號(hào)進(jìn)行綁定2. 使用test帳號(hào)登錄運(yùn)維監(jiān)管系統(tǒng)，可以看到上步建立的telnet系統(tǒng)帳號(hào)，點(diǎn)擊右側(cè)的putty進(jìn)行登錄，可以以telnet方式登錄到Linux系統(tǒng)3. 在系統(tǒng)里運(yùn)行一些命令退出4. 用超級(jí)管理員登錄監(jiān)管系統(tǒng)，在行為操作審計(jì)中可以查看到剛才的訪問，并且二種展現(xiàn)方式“查看”、“Putty”都能正常顯示操作結(jié)果或者過程。4.2 SFTP訪問操作管理1. 點(diǎn)擊“資源管理”-“資產(chǎn)管理”，進(jìn)入設(shè)備列表項(xiàng)，找到 Linux設(shè)備，為Linux 設(shè)備建立一sftp帳號(hào)，并且將這個(gè)帳號(hào)與test運(yùn)維帳號(hào)進(jìn)行綁定2. 使用test帳號(hào)登錄運(yùn)維監(jiān)管系統(tǒng)，可以看到上步建立的sftp系統(tǒng)帳號(hào)，點(diǎn)擊右側(cè)的winscp進(jìn)行登錄，可以以sftp方式登錄到Linux系統(tǒng)3. 將一個(gè)文件從本地上傳到Linux系統(tǒng)后退出用超級(jí)管理員登錄監(jiān)管系統(tǒng)，在行為操作審計(jì)中可以查看到剛才的訪問，并且二種展現(xiàn)方式“查看”可以看到剛才上傳的文件名，點(diǎn)擊下載可以將文件下載到本地4.3 SSH訪問操作管理1.點(diǎn)擊“資源管理”-“資產(chǎn)管理”，進(jìn)入設(shè)備列表項(xiàng)，找到 Linux設(shè)備，為Linux 設(shè)備建立一個(gè)ssh帳號(hào)，并且將這個(gè)帳號(hào)與test運(yùn)維帳號(hào)進(jìn)行綁定2.使用test帳號(hào)登錄運(yùn)維監(jiān)管系統(tǒng)，可以看到上步建立的telnet系統(tǒng)帳號(hào)，點(diǎn)擊右側(cè)的putty進(jìn)行登錄，可以以ssh方式登錄到Linux系統(tǒng)3.在系統(tǒng)里運(yùn)行一些命令退出4.用超級(jí)管理員登錄監(jiān)管系統(tǒng)，在行為操作審計(jì)中可以查看到剛才的訪問，并且二種展現(xiàn)方式“查看”、“Putty”都能正常顯示操作結(jié)果或者過程。4.4 RDP訪問操作管理1. 點(diǎn)擊“資源管理”-“資產(chǎn)管理”，進(jìn)入設(shè)備列表項(xiàng)，找到 Windows 2003或2008設(shè)備，為設(shè)備建立一個(gè)rdp(2008選擇rdp2008)帳號(hào)，并且將這個(gè)帳號(hào)與test運(yùn)維帳號(hào)進(jìn)行綁定2. 使用test帳號(hào)登錄運(yùn)維監(jiān)管系統(tǒng)，可以看到上步建立的telnet系統(tǒng)帳號(hào)，點(diǎn)擊右側(cè)的“本”地進(jìn)行登錄，可以以RDP方式登錄到系統(tǒng)3. 在系統(tǒng)里運(yùn)行一些操作退出4. 用超級(jí)管理員登錄監(jiān)管系統(tǒng)，在行為操作審計(jì)中可以查看到剛才的訪問，并且點(diǎn)擊右側(cè)“本地”都能正常顯示操作結(jié)果或者過程。4.5 FTP訪問操作管理1.點(diǎn)擊“資源管理”-“資產(chǎn)管理”，進(jìn)入設(shè)備列表項(xiàng)，找到 Linux設(shè)備，為Linux 設(shè)備建立一ftp帳號(hào)，并且將這個(gè)帳號(hào)與test運(yùn)維帳號(hào)進(jìn)行綁定2.使用test帳號(hào)登錄運(yùn)維監(jiān)管系統(tǒng)，可以看到上步建立的ftp系統(tǒng)帳號(hào)，點(diǎn)擊右側(cè)的winscp進(jìn)行登錄，可以以ftp方式登錄到Linux系統(tǒng)3.將一個(gè)文件從本地上傳到Linux系統(tǒng)后退出4.用超級(jí)管理員登錄監(jiān)管系統(tǒng)，在行為操作審計(jì)中可以查看到剛才的訪問，并且二種展現(xiàn)方式“查看”可以看到剛才上傳的文件名，點(diǎn)擊下載可以將文件下載到本地5 集中管控平臺(tái)5.1 集中管控平臺(tái)功能集中管控平臺(tái)可以實(shí)現(xiàn)在一個(gè)界面上管理多臺(tái)堡壘機(jī)，將堡壘機(jī)納入集中管控平臺(tái)管理以后，管理員可以直接在集中管控平臺(tái)上對(duì)堡壘機(jī)的資產(chǎn)、權(quán)限進(jìn)行設(shè)置，并且可以在集中管控平臺(tái)上輸出各種報(bào)表，不需要在到每一臺(tái)堡壘機(jī)上進(jìn)行操作，大大減化了操作過程。同時(shí)對(duì)于運(yùn)維人員，也不需要記錄多臺(tái)堡壘機(jī)IP和帳號(hào)，只需要登錄到集中管控平臺(tái)，就可以看到自己能登錄的所有設(shè)備，也減化了運(yùn)維人員的操作過程。5.2 設(shè)備硬件信息集中管控平臺(tái)物理參數(shù)如下：設(shè)備型號(hào)硬件參數(shù)集中管控平臺(tái)UOM-MGT-3000CPU 64位 3G/32G內(nèi)存/2T硬盤/交流電/2U5.3 軟件信息設(shè)備操作系統(tǒng)軟件版本Licenses數(shù)集中管控平臺(tái)CentosV1.0200個(gè)5.4 地址規(guī)劃兩臺(tái)設(shè)備分別需要分配3個(gè)IP地址，且三個(gè)地址需要在一個(gè)子網(wǎng)，其中二個(gè)IP地址為管理地址，一個(gè)IP地址為HA地址，HA地址為用戶訪問地址，二臺(tái)設(shè)備使用NRRP協(xié)議對(duì)HA地址進(jìn)行管理，當(dāng)主服務(wù)器出現(xiàn)問題時(shí)，HA地址會(huì)自動(dòng)飄移到從服務(wù)器。設(shè)備名稱所屬區(qū)域IP掩碼網(wǎng)關(guān)主服務(wù)器總行從服務(wù)器總行HA地址總行5.5 部署規(guī)劃n 設(shè)備為2U n 每臺(tái)需要2*10A電源 450W功率5.6 集中管控平臺(tái)部署集中管控平臺(tái)部署在XX銀行總部，使用HA架構(gòu)解決單點(diǎn)故障，集中管控平臺(tái)主要用于總部管理人員進(jìn)行報(bào)表輸出和分析，同時(shí)，總部有一些運(yùn)維人員需要跨多個(gè)省進(jìn)行運(yùn)維操作時(shí)，也可以通過集中管控平臺(tái)。集中管控平臺(tái)共計(jì)二臺(tái)，采用HA架構(gòu)，二臺(tái)集中管控平臺(tái)使用NRRP協(xié)議共同使用一個(gè)熱備份IP，當(dāng)主服務(wù)器出現(xiàn)問題時(shí)，從服務(wù)器會(huì)自動(dòng)將熱備份IP切換到本機(jī)，進(jìn)行服務(wù)接管，以保證不會(huì)出現(xiàn)單點(diǎn)故障。5.7 系統(tǒng)上線需求集中管控平臺(tái)需要與各分行堡壘機(jī)進(jìn)行交互訪問，并且與總行運(yùn)維人員、總行管理人員終端進(jìn)行交互訪問，不需要與分行服務(wù)器進(jìn)行交互訪問，訪問策略如下：集中管控平臺(tái)訪問策略需求明細(xì)源地址目的地址端口方向描述集中管控平臺(tái)各分行堡壘機(jī)SNMP單向狀態(tài)獲取集中管控平臺(tái)各分行堡壘機(jī)TCP 3306單向數(shù)據(jù)獲取集中管控平臺(tái)各分行堡壘機(jī)TCP 443單向WebPortal命令傳送集中管控平臺(tái)各分行應(yīng)用發(fā)布SNMP單向狀態(tài)獲取總行運(yùn)維終端 集中管控平臺(tái)TCP 443單向WEB 訪問 總行運(yùn)維終端相應(yīng)分行堡壘機(jī)TCP 20、21、22、23、 3389、590X單向訪問目標(biāo)服務(wù)器ftp、ssh、telnet、rdp、vnc、x11，如果沒有相應(yīng)的服務(wù)可以關(guān)閉相應(yīng)的端口5.8 系統(tǒng)安裝集中管控平臺(tái)配置主要需要如下幾步1.配置IP，在系統(tǒng)配置-網(wǎng)絡(luò)配置中進(jìn)行IP配置2.添加被管理的堡壘機(jī)及應(yīng)用發(fā)布服務(wù)器3.添加帳號(hào)并設(shè)置帳號(hào)權(quán)限6 雙機(jī)部署模式6.1 雙機(jī)部署模式功能二臺(tái)堡壘機(jī)采用主從方式，共同使用一個(gè)浮動(dòng)IP，默認(rèn)情況下浮動(dòng)IP在主堡壘機(jī)上，運(yùn)維人員訪問堡壘機(jī)時(shí)使用浮動(dòng)IP，當(dāng)主堡壘機(jī)出現(xiàn)硬件或軟件服務(wù)問題時(shí)，從堡壘機(jī)會(huì)將浮動(dòng)IP啟動(dòng)，繼續(xù)提供服務(wù)。二臺(tái)主機(jī)會(huì)自動(dòng)實(shí)時(shí)同步配置和審計(jì)數(shù)據(jù)。雙機(jī)模式可以有效解決單點(diǎn)故障，當(dāng)一臺(tái)堡壘機(jī)