銀行堡壘機(jī)實施方案

1、v1.0可編輯可修改銀行分行運(yùn)維審計平臺實施方案銀行總行科技開發(fā)部運(yùn)維中心32 文檔版本(2020-07-09)第47頁，共45頁修訂記錄 /Change History日期修訂版本描述作者2016-2-16獨立實施方案，完善測試部分麒麟目錄1文檔說明.6.1.1麒麟開源堡壘機(jī)使用概述 61.2 運(yùn)維操作現(xiàn)狀 72物理部署規(guī)劃 8.2.1 設(shè)備硬件信息 82.2軟件信息 82.3 系統(tǒng) LOGQ 92.4地址規(guī)劃 92.5部署規(guī)劃 93應(yīng)用部署實施103.1堡壘機(jī)上線說明 103.2設(shè)備初始化103.2.1 上架加電113.2.2 網(wǎng)絡(luò)配置113.3堡壘機(jī)配置修改方式 123.3.1 目錄樹調(diào)

2、整 123.3.2 設(shè)備類型添加及修改 133.3.3 堡壘機(jī)用戶導(dǎo)入及用戶配置 133.3.4 主機(jī)設(shè)備帳號導(dǎo)入 173.3.5 系統(tǒng)帳號賦權(quán) 213.3.6 應(yīng)用發(fā)布服務(wù)器添加 233.4堡壘機(jī)應(yīng)用發(fā)布配置 253.4.1 應(yīng)用發(fā)布用戶配置 253.4.2 應(yīng)用用戶組授權(quán)263.5數(shù)據(jù)留存配置273.5.1 審計數(shù)據(jù)留存 273.5.2 設(shè)備配置留存 293.5.3 定時任務(wù)配置 303.5.4 動態(tài)令牌使用手冊 311、證書導(dǎo)入 312、證書綁定 323、運(yùn)維人員使用 323.6應(yīng)急方案344系統(tǒng)測試. TELNET訪問操作管理354.2 SFTP訪問操作管理364.3 S

3、SH訪問操作管理 364.4 RDP訪問操作管理364.5 FTP訪問操作管理375集中管控平臺385.1集中管控平臺功能 385.2設(shè)備硬件信息 385.3軟件信息385.4地址規(guī)劃 395.5部署規(guī)劃395.6集中管控平臺部署 395.7系統(tǒng)上線需求405.8系統(tǒng)安裝416雙機(jī)部署模式426.1雙機(jī)部署模式功能 426.2上線條件426.3地址規(guī)劃426.4上線步驟43文檔說明1.1麒麟開源堡壘機(jī)使用概述隨著我行業(yè)務(wù)范圍和營業(yè)網(wǎng)點的不斷延伸擴(kuò)大，各類特色業(yè)務(wù)系統(tǒng)和基礎(chǔ)網(wǎng)絡(luò)設(shè)備隨之上 線運(yùn)行，切實有效的保障了各分行業(yè)務(wù)的穩(wěn)定性、安全性和靈活性。但與此同時，隨著業(yè)務(wù)系 統(tǒng)應(yīng)用范圍越來越廣、數(shù)據(jù)

4、越來越多，所需日常維護(hù)的系統(tǒng)和設(shè)備也在日益增長，科技運(yùn)維部 門面臨的網(wǎng)絡(luò)、系統(tǒng)安全穩(wěn)定運(yùn)行的壓力也隨之增加。當(dāng)前運(yùn)維管理中存在的主要問題是，技術(shù)人員和維護(hù)人員的日常管理和維護(hù)都是直接登錄 業(yè)務(wù)系統(tǒng)、設(shè)備進(jìn)行操作，沒有針對運(yùn)維操作進(jìn)行統(tǒng)一管理、統(tǒng)一審計、統(tǒng)一分析的系統(tǒng)，造 成運(yùn)維操作沒有辦法進(jìn)行監(jiān)控分析，進(jìn)而造成內(nèi)部數(shù)據(jù)信息泄露、違規(guī)操作、惡意操作、密碼 外泄等一系列重大安全隱患。隨著監(jiān)管對于日常運(yùn)維工作審計記錄的監(jiān)管需求以及XX銀行本身運(yùn)維規(guī)范化管理的需求,實現(xiàn)分行骨干設(shè)備的運(yùn)維操作的審計需求迫在眉睫。本次堡壘機(jī)項目使用麒麟開源堡壘機(jī)，麒麟開源堡壘機(jī)產(chǎn)品功能強(qiáng)大穩(wěn)定性高，經(jīng)過測試 可以完全滿足

5、銀行的使用需要。1.2運(yùn)維操作現(xiàn)狀當(dāng)前分行均已部署了 ACS設(shè)備，實現(xiàn)了網(wǎng)絡(luò)帳號統(tǒng)一管理、權(quán)限控制、及命令記錄功能。 但因為缺少專業(yè)的運(yùn)維管理系統(tǒng)，對于運(yùn)維操作的監(jiān)控，還存在一定的盲區(qū)，主要表現(xiàn)為：運(yùn)維操作方式多樣、分散，缺乏有效集中管理；運(yùn)維操作缺乏技術(shù)手段來約束；對運(yùn)維操作行為的審計方式不直觀；共享賬號的情況普遍，給訪問者定位帶來難題。物理部署規(guī)劃2.1設(shè)備硬件信息運(yùn)維審計系統(tǒng)包括堡壘機(jī)和應(yīng)用發(fā)布服務(wù)器兩臺設(shè)備，物理參數(shù)如下:設(shè)備型號硬件參數(shù)堡壘機(jī)麒麟開源堡壘機(jī)CPU 64位3G/16G內(nèi)存/2T硬盤/交流電/2U應(yīng)用發(fā)布服務(wù)器麒麟應(yīng)用發(fā)布模塊CPU 64位3G/32G內(nèi)存/2T硬盤/交流

6、電/2U2.2軟件信息設(shè)備操作系統(tǒng)軟件版本Licenses 數(shù)堡壘機(jī)Cen tos100000 個應(yīng)用發(fā)布服務(wù)器Win dows server 20082.3 系統(tǒng) LOGO堡壘機(jī)LOG簾安裝時，都已經(jīng)被設(shè)置為 XX銀行運(yùn)維審計平臺，以與其它系統(tǒng)進(jìn)行區(qū)分。2.4地址規(guī)劃參照分行部署規(guī)范，運(yùn)維審計堡壘機(jī)及應(yīng)用發(fā)布平臺，需要分行分配在基礎(chǔ)服務(wù)器區(qū)域，分 配【】的地址，兩臺設(shè)備分別需要分配ip地址，且兩個地址需要在一個子網(wǎng)。示例如下設(shè)備名稱所屬區(qū)域產(chǎn)品型號IP堡壘機(jī)內(nèi)網(wǎng)UOM-1000A應(yīng)用發(fā)布服務(wù)器內(nèi)網(wǎng)Modul-APP-RELEAS-HW2.5部署規(guī)劃堡壘機(jī)、應(yīng)用發(fā)布平臺各需要 2U的機(jī)柜空間位

7、置堡壘機(jī)、應(yīng)用發(fā)布平臺需要部署在基礎(chǔ)服務(wù)器接入?yún)^(qū)堡壘機(jī)、應(yīng)用發(fā)布平臺個需要 2*10A電源應(yīng)用部署實施3.1堡壘機(jī)上線說明堡壘機(jī)在發(fā)往用戶前，已經(jīng)完成如下設(shè)置：設(shè)備ip地址、網(wǎng)關(guān)、應(yīng)用發(fā)布連接設(shè)備、人員、權(quán)限關(guān)系、目錄結(jié)構(gòu)的前期調(diào)研和導(dǎo)入密碼規(guī)則策略設(shè)置數(shù)據(jù)留存策略設(shè)置堡壘機(jī)現(xiàn)場上線實施步驟包括：設(shè)備上架、加電網(wǎng)絡(luò)連通性測試系統(tǒng)功能測試現(xiàn)場培訓(xùn)注：堡壘機(jī)出廠時，已經(jīng)完成了數(shù)據(jù)導(dǎo)入、權(quán)限策略設(shè)置、應(yīng)用發(fā)布設(shè)置和ip等環(huán)境設(shè)置，如果有實時時發(fā)生更改，請按下面相應(yīng)描述章節(jié)進(jìn)行修改3.2設(shè)備初始化上架加電設(shè)置IP地址、網(wǎng)絡(luò)掩碼、網(wǎng)管3.2.1 上架加電第一步、分別將堡壘機(jī)和應(yīng)用發(fā)布服務(wù)器按照部署位置，

8、將主機(jī)安裝固定到機(jī)柜中。第二步、將隨機(jī)攜帶的電源線插到主機(jī)后面板的電源插座上。第三步、將電源線的另一端插到機(jī)柜為主機(jī)提供交流電源的插座上。3.2.2 網(wǎng)絡(luò)配置發(fā)貨前，堡壘機(jī)和應(yīng)用發(fā)布 ip默認(rèn)已經(jīng)按客戶要求配置完畢，如果需要現(xiàn)場修改可以按如下步驟：堡壘機(jī)和應(yīng)用發(fā)布服務(wù)器網(wǎng)卡默認(rèn)ip為:設(shè)備名稱網(wǎng)卡名稱IP訪問方式堡壘機(jī)EthO分行提供的IPhttps、ssh堡壘機(jī)Eth1、ssh堡壘機(jī)管理口應(yīng)用發(fā)布EthO分行提供的IPRDP應(yīng)用發(fā)布Eth0本次工程，堡壘機(jī)和應(yīng)用發(fā)布都要求使用 ethO 口，修改堡壘機(jī)和應(yīng)用發(fā)布IP時，使用ethl 進(jìn)行登錄，以避免配置錯誤后無法登入，堡壘機(jī)的管理口為con

9、sole，通過https訪問可以得到鍵盤顯示器的界面，如果堡壘機(jī)出現(xiàn)硬件故障或兩個網(wǎng)卡都不通時，使用管理口登錄。完成上架加電操作后，打開堡壘機(jī)的電源按鈕，堡壘機(jī)開機(jī)啟動，等待兩分鐘，啟動完成后，使用筆記本通過網(wǎng)線連接堡壘機(jī)，筆記本IP地址配置為后使用網(wǎng)線直接連接到堡壘機(jī) ethl 口, 然后使用瀏覽器打開 用戶名輸入admin密碼，進(jìn)入堡壘機(jī)系統(tǒng)，在【系統(tǒng)配置】-【網(wǎng)絡(luò)配置】 中修改網(wǎng)卡的IP地址信息，更改為規(guī)劃好的 ethO IP地址。應(yīng)用發(fā)布IP ethl地址默認(rèn)為，可以直接使用mstsc rdp到應(yīng)用發(fā)布服務(wù)器對IP地址進(jìn)行修改。3.3堡壘機(jī)配置修改方式堡壘機(jī)上線，已經(jīng)完成項如下：目錄樹

10、導(dǎo)入、設(shè)置堡壘機(jī)用戶導(dǎo)入表，建立主帳號設(shè)備、設(shè)備用戶導(dǎo)入，建立從帳號飛塔防火墻應(yīng)用從帳號導(dǎo)入設(shè)備授權(quán)設(shè)置到現(xiàn)場，有可能會對某些設(shè)備進(jìn)行相應(yīng)的調(diào)整，調(diào)整方法如下：3.3.1目錄樹調(diào)整單擊導(dǎo)航樹中【資源管理】中的【資產(chǎn)管理】，選擇“目錄管理”頁簽，單擊“增加新節(jié)點”根據(jù)所要創(chuàng)建的組類型選擇“所屬目錄”與“屬性”；系統(tǒng)已經(jīng)默認(rèn)安裝了標(biāo)準(zhǔn)的目錄結(jié)構(gòu)，只需要對目錄結(jié)構(gòu)進(jìn)行相應(yīng)的修改即可以完成本步設(shè)置詁*呂test員直均奮插述壬部打F全制#1益丨壬舊口靈1*-31址E CitrixaJ2S test21匸和 free s !jtbco im5-少?。?耳孚g呂旨冷inEi”寥m'環(huán)MM如JET圖1

11、說明：“節(jié)點名”輸入節(jié)點的名稱，“所屬目錄”新創(chuàng)建目錄所屬那個父組；設(shè)備組目錄結(jié)構(gòu)與分行ACS 致，目錄樹可以無限級目錄，堡壘機(jī)配置前必須先將目錄樹配置完畢才能進(jìn)行用戶和設(shè)備的導(dǎo)入，用戶和設(shè)備導(dǎo)入時，必須有配置好的目錄樹。3.3.2設(shè)備類型添加及修改設(shè)備類型配置，主要是加入分行有的，但堡壘機(jī)中不存在的設(shè)備類型，否則導(dǎo)入時無法寫成正確的設(shè)備類型（為了方便管理， 設(shè)備類型最好不要涉及型號，只設(shè)置廠商即可， 比如Cisco的2960交換機(jī)、3950交換機(jī)，可以統(tǒng)一放在 Cisco類型的設(shè)備中）單擊導(dǎo)航樹中【資源管理】中的【資產(chǎn)管理】，選擇“系統(tǒng)類型”頁簽，單擊“增加”；目錄管理用戶®性RA

12、DnS用戶超隸用戶切換晞令主機(jī)網(wǎng)絡(luò)說明：“主機(jī)/網(wǎng)絡(luò)”選項中，主機(jī)代表操作系統(tǒng)類型設(shè)備，網(wǎng)絡(luò)代表路由交換類型設(shè)備,“系統(tǒng)類型”框中填寫設(shè)備的類型，中文、英文都支持;3.3.3 堡壘機(jī)用戶導(dǎo)入及用戶配置導(dǎo)入表格填寫，將附件一.運(yùn)維人員導(dǎo)入表格按如下要求進(jìn)行填寫ABDEFGH1冃戶若密碼電子郵箱用戶聯(lián)限組宕手機(jī)號帝工作邑位工作部門test酒試帳號con普涯庫戶rL33LL50F286民牛銀行技術(shù)部用戶名：運(yùn)維人員登錄堡壘機(jī)時的名稱，要求唯一（必須填寫）密碼：運(yùn)維人員登錄堡壘機(jī)時的密碼（必須填寫）真實姓名：運(yùn)維人員的真實姓名（必須填寫）電子郵箱：運(yùn)維人員的電子郵箱地址（選擇填寫）用戶權(quán)限：統(tǒng)一配置為

13、 普通用戶（必須填寫）組名：目錄結(jié)構(gòu)中的資源組名稱，如果出現(xiàn)同樣名稱的資源組，則導(dǎo)入時需要用組名（id）方式,比如出現(xiàn)重名的first 組，如果你想在界面中這個組加入，則組名為first（221）朗戶菅理設(shè)備管理用戶JE性SSHU 鑰吐:|悟潞漆1圾17?全部0Q門"由151用戶» ¥(*1全郁21I手機(jī)號碼：運(yùn)維人員的手機(jī)號碼（選擇填寫）工作單位：運(yùn)維人員的工作單位（選擇填寫）工作部門：運(yùn)維人員的工作部門（選擇填寫）USBKEY為動態(tài)口令的令牌ID，如果用戶需要動態(tài)令牌，則在動態(tài)令牌列表文件中選擇一個未 使用的動態(tài)令牌給用戶 后面的其它選項：一般不需要填寫，所有

14、的用戶按模版復(fù)制即可用戶導(dǎo)入表確認(rèn)無誤后，使用admin用戶登錄前臺，在資源管理-資產(chǎn)管理-用戶管理菜單，點擊右下方的導(dǎo)入按鈕 £)1用；月盟日H啦口兀直世iq,t顯不峑勻禾I耳示藏勺肚idtam4欣:n'1141術(shù)Wil4*；+S-mt】松pusivmdposnotd;DKS未？疇初血丄目山ii視.輕計用戶=L.J 5 區(qū)引；I【遢Nila I IIILtf"Lin卑i 詛 I在導(dǎo)入界面中，將加密的勾勾上，點擊瀏覽按鈕，選擇找到需要導(dǎo)入的用戶表后，點擊提交按鈕，即可以將所有的用戶導(dǎo)入到堡壘機(jī)中丈件力】密17|:.U3er3kAzlm nltralcr1 創(chuàng)賢.iH

15、T? i-d 空面卜十,11慈QJ點入確定后，會給用戶提示，表中哪些用戶沒有導(dǎo)入成功及未成功的理由成臣I添加用戶；* acticnlJaction2,action3Fartion4Partion5. actionfe.,ftnjiaoFbianhui.bsfit 1, b 弓 fitg ccs? ss, ch fliych2D27, chen chen, ch enweLcskj-houxinj u n 龍 uied .dusm.duzhantx.fenghaojenghaotesst.fsdbl/sdbjgaowp.ggzqi an.guoxLhanyu.haogthongcq.huangx

16、 hus ngzw, hu a ng_qx. huyuFjh uzl,jame5,zhangPlaixq.liangjmbcrJcin”liaciJcintU5tiglinpyin££liperT g.linji.liujy,liuyk<liydiyp,longp 匚,lvyp,magj"magl.mngxynniaopf,nis q, pa nyu r pen gjcTq ia rrind rentt, renwx, renjjchjeri-zh Lrrcr5 ang ning.sh enxyafresjfiuriartunjtiac.suohw.tia

17、nqiang,u 占 Lin.hei,v/dnggEnMPri g h y.wa nglei ,wa rg myrwa ngsherg he, wa n g we i ,v/a ng_ch.wa n g_yl,wei tong.werjbHWvibing.wvich.wuqc.Kiall.jciacndjXiayCjXiejZjXubyjXUw.)cu _phryanggjohyargLjing,ydngjlPyangkuo,yanglintyarglu,yargshan,ya ngweiyeyq.yryzuqs.zhaiyu.zhangchong.zhangijCrZhangjp.zha n

18、gqj, zhang-xc.zhachjzhaohy.zhaoleihodjjhoulvyinghodqtzhodtaop zhuxzrzoupeng蔣力05墩的用戶；gm由即:用戶所屋目錄K能為空guandj!戶肝屬目錄更齟為空sunns:用亠所層目錄不能為空xuxs用戶所便目靈不能為空用戶導(dǎo)入后，如果有個另的用戶需要修改或添加，可以在用戶管理菜單進(jìn)行操作單擊導(dǎo)航樹中【資源管理】中的【資產(chǎn)管理】，選擇“用戶管理”頁簽，單擊“添加用戶”，填寫用戶的基本信息、權(quán)限信息及其他信息；圖43.3.4主機(jī)設(shè)備帳號導(dǎo)入主機(jī)設(shè)備帳號導(dǎo)入前提與堡壘機(jī)帳號導(dǎo)入前提一致，必須先做好目錄樹。按附件二主機(jī)設(shè)備帳號表中

19、的要求收集分行的主機(jī)帳號設(shè)備，并且填好，主機(jī)帳號導(dǎo)入時，會自動 創(chuàng)建主機(jī)主機(jī)名：主機(jī)的名稱ip主機(jī)的ip地址服務(wù)器組：服務(wù)器所屬組的ID號，因為目錄中允許同名稱的組，因此，服務(wù)器組用ID號替代,可以在資產(chǎn)管理-資源管理-目錄節(jié)點中查看ID號，如下圖：系統(tǒng)類型：主機(jī)的操作系統(tǒng)類型，必須在第一章中添加的或系統(tǒng)自帶的中選擇添加系統(tǒng)用戶：系統(tǒng)用戶名，如果不想托管，則這項不填當(dāng)前密碼：系統(tǒng)播放的密碼，如果不想托管，則這項可以不填登錄協(xié)議：目前支持telnet/ssh1/ssh/ftp/rdp/vnc/x11，可以在這些登錄方式中選擇相應(yīng)的端口：登錄協(xié)議連接的目標(biāo)端口過期時間：這個系統(tǒng)帳號的過期時間，如果

20、超過過期時間，則不在允許登錄自動修改密碼：是否對這個帳號進(jìn)行自動修改密碼（默認(rèn)為否）主帳號：自動修改密碼時只使用一個帳號登錄修改主機(jī)上所有的用戶密碼，如果是主帳號，則填是，主帳號一般為root權(quán)限或可以sudo為root自動登錄：默認(rèn)填是堡壘機(jī)用戶：XX項目中均填否Sftp用戶：如果是SSH服務(wù)，則設(shè)置這個 SSH用戶是否可以使用 SFTP服務(wù)，是為允許，否為 不允許公私鑰用戶：如果是 SSH服務(wù)，設(shè)置這個SSH用戶認(rèn)證是不是使用公私鑰方式，是或否 在資源管理-資產(chǎn)管理-設(shè)備管理中，點擊導(dǎo)入按鈕設(shè)宿自甲BN5典永孑沖JIIhl 嚴(yán)卄nrEbjudm.-niNET斗勢起嚴(yán)不idllNET命HF詐

21、也運(yùn)奮帀戶DNSNET運(yùn)AT因戶NET邛w®匸碧用戶DM承ne叢不越Jl胡啟肝冊MT'鈿 1, NNET3 52180024 Jr-吿丁-:明常=#冃戶弓聯(lián).中MU. DICOdB廠商嚶用MET迄瘞宙戶1誠L從確1電i'T”ni戶首頁上-頁1下頁家?guī)夗搄歸空網(wǎng)I廠 目己聊？寸勾上加密按鈕，并點擊瀏覽按鈕找到主機(jī)設(shè)備列表的表格后，點擊提交按鈕，會將所有的設(shè)備 帳號導(dǎo)入設(shè)備管理目錄管理用戶JS性系統(tǒng)類型c選鶴力讖的立曲下嶷匚袁面-星近諭間的曲<|2O14-2O15WM凹5級目錄修改 園曲領(lǐng)丈賓 色RADIUS探贈躺諼討切民生銀行運(yùn)建審計平臺（堡金機(jī)）實施方案-唯窖紺

22、f v3,0訐庫| 噫 audit-devices-20151129單臺設(shè)備的添加、修改可以在設(shè)備管理菜單完成單擊導(dǎo)航樹中【資源管理】中的【資產(chǎn)管理】，選擇“設(shè)備管理”頁簽，單擊“添加”，填寫基本信息;圖5單擊導(dǎo)航樹中【資源管理】中的【資產(chǎn)管理】，選擇“設(shè)備管理”頁簽，指定設(shè)備的操作欄中單擊“用戶”，圖6單擊“添加新用戶圖7根據(jù)實際情況填寫下圖信息;用戶名原中繆碼匚竺戶登錄方式端口3369過刪姮1'擊選擇日期或選親不過期1歹1用朋鋪命令擾權(quán)用戶admin 再決輸入原惜密碼RADIU5舄戶認(rèn)證：廠肋咖朗皇我自動啟用自動修改密碼您跌審碼主贓號自動餐錄;揉作記錄:公鈣私鑰認(rèn)證:IP冒虢先犍盤

23、記錄:遴向加謹(jǐn)：出向加謹(jǐn)：3.3.5系統(tǒng)帳號賦權(quán)堡壘機(jī)帳號（主帳號）、主機(jī)系統(tǒng)帳號（從帳號）導(dǎo)入完成后，需要進(jìn)行賦權(quán)操作，賦權(quán)后堡 壘機(jī)帳號（主帳號）登錄到堡壘機(jī)才能跳轉(zhuǎn)到相應(yīng)的設(shè)備。前期設(shè)備授權(quán)關(guān)系調(diào)研表中包含所有的權(quán)限關(guān)系，按表進(jìn)行設(shè)置。賦權(quán)操作如果一個堡壘機(jī)帳號（主帳號）有大量從帳號的權(quán)限，則賦權(quán)是在系統(tǒng)用戶組菜 單完成的，如果為堡壘機(jī)帳號（主帳號）臨時添加一個從帳號的賦權(quán)，貝他可以在主機(jī)設(shè)備帳 號菜單中完成。賦權(quán)操作最好按用戶組的方式進(jìn)行賦，即將權(quán)限相同的用戶放在同一個用戶組中，然后為 這個用戶組創(chuàng)建一個系統(tǒng)用戶組，將這些用戶擁有權(quán)限的主機(jī)設(shè)備帳號都加到這個組中，然后將這個系統(tǒng)用戶組綁

24、定給這個用戶組，如果每個用戶的權(quán)限都不一樣，也可以為單獨的用戶劃 分系統(tǒng)用戶組后進(jìn)行授權(quán)。單擊導(dǎo)航樹中【資源管理】中的【授權(quán)權(quán)限】，選擇“系統(tǒng)用戶組”頁簽，單擊“添加新組”填寫“系統(tǒng)用戶組”名，選中“未選設(shè)備”中系統(tǒng)用戶添加到“已選設(shè)備”，確定已經(jīng)選中想要賦I i_12? uv l_nn22UjDMiHMJtET95 騎衛(wèi) 42_ IK 卻衛(wèi) 42_RDP_aai9_fE®9gi- j h r - lev b : h 玷旳_TH ：門E附麗叩工至晡壬權(quán)的堡壘機(jī)用戶組的所有系統(tǒng)帳號后，點擊保存；12? Q J127 0 a i_i27 c o i12? aQ l_hp_2 I壬密ipi

25、aa <1? o d門亦應(yīng)心¥仁1鏈127J&JI ji 眾.業(yè)127 0 0 1_127.fi C. LOif1S5 3O1 129_liitfil 3339_|t 矚如.蠅為拼歩思叩亂Rnp_33sa_JlS mr耳廠Hr兩H *借和R lf.$r翳 3r n 1 -_1!S53I' a 1 二濃：_卡歪19B WLG M JMHEW MDFlffi-SC-i 1 MrJ-RSE?fti rer.sL231iS19920 1_T±fc3SSit 1 _5ah_22_R5j1M300 iFJfi寧業(yè)號匸尊樹柿&1_«ih_33_J應(yīng)

26、1iir. t 1莎 tslF49S 35 D寧止J&ti隘曲機(jī)1W M.D 14_HmhnC5fl»Hl32 -w'：益 氏求 1«2O.>. 19_H寧址醫(yī)曲代交諛機(jī)1_2騎_£2一吒藍(lán) l«30 0J5J*ieL23_Jie i»c o 13岡寧甲謝將署柱入Jill機(jī)叮1*】_恬烹 15!?3 315 兀hi 空址瑋 3IS -表 1M1L 1_85 九仝?!擊 1W M r g-RTd刑祀199.3E. is jrraass 習(xí)推 x 竦tfi2_i 曲心彳i® 3onz_B? ±jfieS3j

27、s>_a_iLE1W3C of rrMrSI由護(hù)？謹(jǐn) 1H93DJhaDJfl冠站1S入忘哄U妙_應(yīng)_竝單擊導(dǎo)航樹中【資源管理】中的【授權(quán)權(quán)限】，選擇“系統(tǒng)用戶組”頁簽，單擊“操作”欄中“授權(quán)”，勾選“授權(quán)組”或“授權(quán)用戶”，配置完成單擊“保存修改”；一電出"二靈*盤曲S至* TS旳41円1迓屜i琳iihrt-E0*STI_-zrPrSLJt,Jfc巳訂M作空司曲空|r碗和槪*斟心r H艸二鏈魄呼用尸1 miHn羅畫雪1星弓1|廠 k-' hprraciitL hrr g fF 腮hm -1 mihai李:廠$na me鄲呼to啊于話宦i| 廠 tea muf * 廉廠

28、 g zhiffwmidafljp 対* i廠訴恵知卜眄阿撤|匸1 _knatdHu<rB QU i沁h(yuǎn)"1l山b廠 psnmjSQ 曲廠 EEJblT-tssrillfMDllJ1廠戊勺：:帕r ot蝦aMiO融耳茁s!i趴二|r廿-iiiff:<if：rJiHijiLitraiU畑出2遺：0艸呃1-皿內(nèi)-mt詛 #14iCj廠血3 >L込眄丄址咄勒嶼1尊4*2門舸f試1的2WFMILT肚L-r U=|-asrni.l|lli31' +1片3：】叭爲(wèi)1閃廠比抽泊咲烈盟口 工 娉 adHIibU"l*：q vtWiiUJ_aBbh:e«：

29、4Tlll2-|rr U-tl.M4-L»3 JtMkjD 3眄曲；敏帕(血1 piiSTZEd： p£ ±7- : J廠 q?cr. wur-hMi' 13 'l廠島 1廠4 ytr嚴(yán)熱音僅妬*廠帀')1廠 IrtMfftMQL卜壬需飛1尸1*11曲旺擊391r kfcwr棄電1hn杖1*吐為1時詢授權(quán)后，組中的用戶或被授權(quán)的用戶，就擁有了這個系統(tǒng)用戶組中所有的主機(jī)系統(tǒng)帳號的權(quán)限。3.3.6應(yīng)用發(fā)布服務(wù)器添加前提：安裝好應(yīng)用發(fā)布服務(wù)器，確定好應(yīng)用發(fā)布服務(wù)器的ip地址，并且已經(jīng)打通堡壘機(jī)訪問應(yīng)用發(fā)布服務(wù)器的TCP 3389、8888端口，應(yīng)

30、用發(fā)布服務(wù)器到堡壘機(jī)的TCP 3306端口單擊導(dǎo)航樹中【資源管理】中的【資產(chǎn)管理】，選擇“設(shè)備管理”頁簽，單擊“添加”，在主機(jī)名中寫應(yīng)用發(fā)布服務(wù)器，在 IP地址中寫入應(yīng)用發(fā)布服務(wù)器IP，主要類型為 WINDOWS設(shè)備組選一個用戶許可的設(shè)備組。配置完成單擊“保存修改”；為應(yīng)用發(fā)布服務(wù)器增加一個應(yīng)用發(fā)布帳號單擊導(dǎo)航樹中【資源管理】中的【應(yīng)用發(fā)布】 ，選擇“應(yīng)用發(fā)布”頁簽，單擊“添加”；配置完成單擊“保存修改”；A. 單擊導(dǎo)航樹中【資源管理】中的【應(yīng)用發(fā)布】，選擇“應(yīng)用程序”頁簽，單擊“添加”；增加IE程序安裝位置；配置完成單擊“保存修改”；說明：程序地址：是應(yīng)用發(fā)布服務(wù)器上 IE瀏覽器程序安裝位置

31、;3.4堡壘機(jī)應(yīng)用發(fā)布配置3.4.1應(yīng)用發(fā)布用戶配置A.單擊導(dǎo)航樹中【資源管理】中的【應(yīng)用發(fā)布】，選擇“應(yīng)用發(fā)布”頁簽，單擊操作欄 中“應(yīng)用發(fā)布”；r旭.on 上-BH E-d 京m cwn 】TC1 】導(dǎo)口工1B. 單擊“添加”，填寫應(yīng)用名稱、選擇服務(wù)器及填寫被訪設(shè)備 URL配置完成單擊“保存修改”；說明：如果需要添加的設(shè)備比較多，先單擊“導(dǎo)出”，填寫導(dǎo)出表，再單擊“導(dǎo)入”；完 成設(shè)備的批量添加;3.4.2應(yīng)用用戶組授權(quán)A.單擊導(dǎo)航樹中【資源管理】中的【授權(quán)權(quán)限】，選擇“應(yīng)用用戶組”頁簽，單擊“添加新組”；添加需要的應(yīng)用用戶，單擊“保存”199 M.J口t釋i心 30 ；屯他 M.J *?_

32、P.lSuL =PlSQl_19B1 io.2 蛀eLfilt躺風(fēng)_1« *1衛(wèi) <290F審和詢訂吒円麗廳冋；埒_伽V02心19$ M1.Z粧LEJH3査寧斯誤幡社區(qū)寺卄3審闿善_r B9.»Z4Z155 M.JAlt_ m J ? 2 *2190 JU fnlZ.E r 3limnigg wj.2 足疋jz業(yè)鬥1301 j.21帥遠(yuǎn)5于創(chuàng)剛叭陪ME_i« M 2空«B M 2 船JEjmeg陽（Jii0旳 SSh8_1« 3O3 « 也丄如.工吧x_MD 皿空2LEJT?”dFfMU許1i1ld9如.2心£_誹*。

33、怦防罠垢Kt1S91 M.2蛙-_音寧曲汕花凱遲主行3080811犧見樓 m 30.2 嗎Qia&悄馬*i豪 1 轉(zhuǎn) & a 2 z伯孚豹.足42-左_南寧潤忖且射瞅凰_檔蟲越l«D山丁丄工范滬£幣Alt諱J C2 WIE>DE mM.Pil得奮0 2 4?199駒.2 42巳#:寧I山學(xué)用坯叵亠與MK白詈M3H 2.4?1?0腳盤-<2_£_5F HE扯炳則f_1旳3 2擬199 M Z 42_乏_匚聞也西陰kK _哪 2 4?苗豪卻息化EJtTfrL加：US_*賈住 mW.2«_lTTLT.A.Q? ' a.TWx

34、sju 他 口沖2-巳旺口芳上忙光d 訓(xùn) W 去 回 加.2坨工21初丈熄畑丸12_伸?。簗20mh .242 nrflix?e,wa 1；憲 tfi-R"Mt19 恥 r 嶺JISH6斯j業(yè)奪 mTM iM.aa 2 ©催 軸空4J- IE M N甘亍豐剎#11苗n爭總掃I 195 M S- 42 I刑 強(qiáng)NY悒 加井C*th祜UM M：24J liiSC J4? IF. i|_1 M 1C J «I刊酣g斗£圧如古幻41凰ifelli _1 冠J E 42B.單擊“綁定”；倉用戶曲亟麗阪 章即應(yīng)曲恒科r'Tti；dri XU,3床粗叔館XHP

35、科汁迅審arai ts 柄 苕；i'園 時徐圧垢京誦-C. 勾選綁定組或綁定用戶；單擊“保存修改”；劃鼻用UW吁甘納AuMm廠ml* UrtBf Wfij 也If 酣"igc-i#"|J KlJjtlBJtc廠廠干=去.:廠葉亠砂預(yù)廠電詹*lr chhm暉 g._ IwpW：廠 miMartn廠 LkIhuiEIH、丨廠揚(yáng).廠血電*二3R車1_廠|&4|.吠：!刊陽.r屮|.19如*|古三r 亦Mg曲1、叵氏科向rr吟叭|r 1舟冊|：|耐：山F ；亦和時申叩.尸屮皿inz?.r耳州I 廠 jaMHNimhi川r.M-nnK.buf itkiniwr 腳舸|

36、*|百的jwHjrBHdlftitXli*44-ln£2JiP|i廠沁Ifit®| 廣 jnlfrfiMZ齊Hit珂.r Jupiikiru*"齊忡鬥 iw* i廠 L-飛T廠 ir-niPTblBIZill'廠 丁辛幻fe.LjjfcoppEUi廠宣電1廣rm * 科“3.5數(shù)據(jù)留存配置3.5.1審計數(shù)據(jù)留存系統(tǒng)內(nèi)置存貯為2T,通常情況下，可以夠100個運(yùn)維人員使用半年左右，所有的運(yùn)維人員操作 都會被系統(tǒng)進(jìn)行留存記錄，當(dāng) 2T空間滿的時候，系統(tǒng)會根據(jù)系統(tǒng)配置 -系統(tǒng)參數(shù)中的配置項存貯無 空間時操作進(jìn)行操作，如果選擇覆蓋，則會刪除早期的LOG進(jìn)行記錄，如果

37、選擇停止操作，則系統(tǒng)將不在接受新的運(yùn)維連接請求，并且發(fā)送告警給堡壘機(jī)管理員。這里將策略設(shè)置為覆蓋舊文件是否顯示血腔話的”錄入"否-桶詵空i耶寸操作-覆蓋舊文件匕鼓送密碼文件加密密瑪：覆蠡舊艾件系統(tǒng)也可以使用自動刪除功能，指定自動刪除多久以前的審計數(shù)據(jù)，使用audit帳號登錄到系統(tǒng)，在自動刪除菜單中，可以指定系統(tǒng)自動刪除的周期，默認(rèn)情況下，系統(tǒng)不會自動刪除 審計日志，除非指定了刪除周期并且啟動了刪除程序。點擊下列各種服務(wù)后面的編輯按鈕，在彈出的對話框中填入希望自動刪除的周期，點保存 即可。系統(tǒng)出廠時默認(rèn)為刪除一年前的日志，建議按默認(rèn)的配置H 豐誅a啦日巻1?.肝p te：/ IRSFT

38、PTiftflWJ憫E上* 'IteIS)山悴怖m(xù)j >ac個* in&丹“文件聊* '加w但近TXT蘇w履iw* Wfl血*曲系統(tǒng)可以將錄相文件及配置信息自動定時同步到遠(yuǎn)端服務(wù)器上，使用admin登錄，在系統(tǒng) 管理-數(shù)據(jù)同步菜單，點新建按鈕，按下面要求輸入信息，系統(tǒng)即會將審計錄相和配置信息進(jìn)行 自動同步，同步方式為增量同步，每天凌晨進(jìn)行同步。3.5.2設(shè)備配置留存系統(tǒng)配置可以使用手工備份和自動備份二種模式。手工備份在系統(tǒng)管理-配置備份菜單，點擊生成備份按鈕，即可以將配置手工備份到本機(jī), 如果想要恢復(fù)時，點擊恢復(fù)將下載的備份文件上傳即可以進(jìn)行恢復(fù)。刊 Z 利；CP

39、ifel =T凹BtFU 曲在系統(tǒng)管理-數(shù)據(jù)同步菜單，點擊新建，在同步模式中選擇資產(chǎn)權(quán)限， 即可以實現(xiàn)自動備份, 輸入備份目標(biāo)服務(wù)器IP、SSH端口、用戶名、密碼及備份目錄后，系統(tǒng)會每天一次將備份文件 上傳到備份目標(biāo)服務(wù)器。同毎糧犬：査咅儀嗯同些地扯 1悶帕汀|砸?guī)】?亠系絨舟戶-root至巫用戶巒阿*爛認(rèn)稱用戶曙碼：怎品備飴目錄：N辭癮：亦-詣存睫改毛訪同£3.5.3定時任務(wù)配置系統(tǒng)自動刪除、自動備份等操作，默認(rèn)情況下，服務(wù)都未啟動，如果想要讓配置的參數(shù)生效，必須在定時任務(wù)中將服務(wù)啟動。在菜單系統(tǒng)配置-系統(tǒng)管理-定時任務(wù)中，可以配置自動備份、自動刪除啟動時間周期。以審計文件備份為例

40、，如果服務(wù)后面的勾勾上，表示服務(wù)為啟動狀態(tài)，如果未勾，則表示服務(wù)為未啟動狀態(tài)，備份調(diào)度表示服務(wù)啟動的周期，如果為 *號表示每次都啟動，如下例中，審 計備份文件每天晚上1點5分會啟動進(jìn)行備份。取務(wù)狀態(tài)系統(tǒng)曲配蚩備扭敎據(jù)同歩軟件升級團(tuán)標(biāo)上倩申計文甘菱衲匚J21審計文樣帝份聃農(nóng)5 - p1朋T天 *咼主址耶吿基昔芳自肚1別岳脈労怙株° -小時'無 r自訂刖無紡J9既.打鐘：mw天出存臟i審計丈桿昴附盒即封i謄署善普他，_盒即口勿硼滋,n3.5.4動態(tài)令牌使用手冊Usbkey令牌和系統(tǒng)內(nèi)置動態(tài)令牌系統(tǒng)，可以使用動態(tài)口令進(jìn)行登錄，動態(tài)令牌目前運(yùn)行硬件手機(jī)令牌二種模式，手機(jī)令牌目前支持A

41、pple手機(jī)和安卓二種系統(tǒng)。動態(tài)令牌使用需要先將令牌證書導(dǎo)入，令牌證書導(dǎo)入后，在將令牌與相應(yīng)的用戶綁定起來, 即可以使用，手機(jī)令牌用戶還需要安裝手機(jī)令牌軟件。1、證書導(dǎo)入其它-usbkey列表菜單，點擊最下方的導(dǎo)入USBKEY按鈕導(dǎo)入U甜KE¥打開USBKEY導(dǎo)入界面，先點擊瀏覽找到證書位置，在點提交，即可以將所有證書導(dǎo)入到堡壘機(jī)中。2、證書綁定證書導(dǎo)入后，需要將證書綁定給相應(yīng)的用戶， 用戶綁定后，即必須使用靜態(tài)密碼+動態(tài)密碼 的登錄方式，新建用戶或點編輯用戶，在動態(tài)口令卡找到為用戶綁定的動態(tài)口令卡 ID，點確定 按鈕即完成綁定，注意用戶與口令卡是一對一的關(guān)系。3、運(yùn)維人員使用綁定以

42、后運(yùn)維人員登錄堡壘機(jī)頁面或使用工具直接登錄必須使用靜態(tài)口令+動態(tài)口令為密碼來進(jìn)行登錄，令牌分為 USBKEY令牌與手機(jī)令牌二種。USBKEY令牌使用方式：將USBKEY令牌插入電腦USBKEY口，即可以出現(xiàn)一個名稱為動態(tài)口令U盤，雙擊里面的程序，即可以令牌程序令牌的初始密碼為123456,輸入密碼后電腦右上角即可以出現(xiàn)令牌的懸浮窗口，可以用鼠標(biāo)點右鍵方式對密碼進(jìn)行復(fù)制粘貼動態(tài)口令動態(tài)密馮程序 2秒動態(tài)善告；使甬忑地NTR服務(wù)器!手機(jī)令牌使用方式：安卓手機(jī)只需要使用手機(jī)助手將附件3中的token-app軟件復(fù)制到手機(jī)上，點擊安裝即可完成安裝。蘋果手機(jī)使用瀏覽器打開連接打開后，會彈出程序安裝界面如

43、下：點擊in stall applicatio n即可完成安裝，蘋果手機(jī)安裝完畢后，需要在設(shè)置-通用-描述文件添加對FindToken的信任才能使用動態(tài)令牌。手機(jī)令牌用戶首次 登錄時，登錄成功后會進(jìn)入一個二維碼界面，二維碼中間含有用戶動態(tài)口令密鑰信息，用戶需要打開APP APP首次登錄密碼為123456,登錄修改密碼后，點擊 APP上方的二維碼掃描按鈕，開啟攝像頭掃描二維碼，二維碼掃描后，手機(jī)的APP會出現(xiàn)動態(tài)口令顯示界面，每15秒產(chǎn)生一個動態(tài)口令，用戶將一個動態(tài)口令輸入到手機(jī)二維碼驗證頁面下方的 動態(tài)口令TEXT成功后，系統(tǒng)會退出，以后用戶登錄需要使用靜態(tài)口令+手機(jī)生成的動態(tài)口令才能登錄。用

44、戶名：testapp下_個密碼將在2秒后更新2015-12-01 01:083.6應(yīng)急方案因本方案以單機(jī)方式部署，且堡壘機(jī)本身不具備bypass功能當(dāng)堡壘機(jī)發(fā)生故障時，管理員登錄到應(yīng)用發(fā)布服務(wù)器，創(chuàng)建一個共用帳號發(fā)給運(yùn)維 人員登錄使用，運(yùn)維人員使用終端通過公用帳號 RDP到應(yīng)用發(fā)布服務(wù)器上，在應(yīng)用發(fā)布 服務(wù)器上打開運(yùn)維工具進(jìn)行運(yùn)維。堡壘機(jī)恢復(fù)后，刪除應(yīng)用發(fā)布服務(wù)器共用帳號。應(yīng)用發(fā)布服務(wù)器發(fā)生故障時，分行提供一臺其它windows2003或2008服務(wù)器，在 這臺服務(wù)器上創(chuàng)建一個共用帳號，在堡壘機(jī)上添加這個共用帳號，并且把這個共用帳號 授權(quán)給所有運(yùn)維人員，運(yùn)維人員需要使用應(yīng)用發(fā)布時，先通過堡壘機(jī)

45、登錄到備用 Win dows服務(wù)器上，打開相應(yīng)的工具進(jìn)行運(yùn)維。系統(tǒng)測試4.1 TELNET訪問操作管理1. 點擊"資源管理”-"資產(chǎn)管理”，進(jìn)入設(shè)備列表項，找到Linux設(shè)備，為Linux設(shè)備建立一個tel net帳號，并且將這個帳號與test運(yùn)維帳號進(jìn)行綁定2. 使用test帳號登錄運(yùn)維監(jiān)管系統(tǒng)，可以看到上步建立的telnet系統(tǒng)帳號，點擊右側(cè)的 putty進(jìn)行登錄，可以以tel net方式登錄到Lin ux系統(tǒng)3. 在系統(tǒng)里運(yùn)行一些命令退出4. 用超級管理員登錄監(jiān)管系統(tǒng)，在行為操作審計中可以查看到剛才的訪問，并且二種展現(xiàn)方式“查看”、“ Putty ”都能正常顯示操作結(jié)

46、果或者過程。4.2 SFTP訪問操作管理1. 點擊"資源管理”-“資產(chǎn)管理”，進(jìn)入設(shè)備列表項，找到Linux 設(shè)備，為Linux設(shè)備建立一sftp帳號，并且將這個帳號與test運(yùn)維帳號進(jìn)行綁定2. 使用test帳號登錄運(yùn)維監(jiān)管系統(tǒng)，可以看到上步建立的sftp系統(tǒng)帳號，點擊右側(cè)的winscp進(jìn)行登錄，可以以sftp方式登錄到Linux系統(tǒng)3. 將一個文件從本地上傳到 Linux系統(tǒng)后退出用超級管理員登錄監(jiān)管系統(tǒng)，在行為操作審計中可以查看到剛才的訪問，并且二種展現(xiàn)方式“查 看”可以看到剛才上傳的文件名，點擊下載可以將文件下載到本地4.3 SSH訪問操作管理1. 點擊"資源管理”

47、-“資產(chǎn)管理”，進(jìn)入設(shè)備列表項，找到Linux設(shè)備，為Linux設(shè)備建立一個ssh帳號，并且將這個帳號與test運(yùn)維帳號進(jìn)行綁定2. 使用test帳號登錄運(yùn)維監(jiān)管系統(tǒng)，可以看到上步建立的telnet系統(tǒng)帳號，點擊右側(cè)的 putty進(jìn)行登錄，可以以 ssh方式登錄到Linux系統(tǒng)3. 在系統(tǒng)里運(yùn)行一些命令退出4. 用超級管理員登錄監(jiān)管系統(tǒng)，在行為操作審計中可以查看到剛才的訪問，并且二種展現(xiàn)方式“查看”、“Putty ”都能正常顯示操作結(jié)果或者過程。4.4 RDP訪問操作管理1. 點擊“資源管理”-“資產(chǎn)管理”，進(jìn)入設(shè)備列表項，找到Windows 2003或2008設(shè)備，為設(shè)備建立一個rdp（20

48、08選擇rdp2008）帳號，并且將這個帳號與test運(yùn)維帳號進(jìn)行綁定2. 使用test帳號登錄運(yùn)維監(jiān)管系統(tǒng)，可以看到上步建立的tel net系統(tǒng)帳號，點擊右側(cè)的“本”地進(jìn)行登錄，可以以 RDP方式登錄到系統(tǒng)3. 在系統(tǒng)里運(yùn)行一些操作退出4. 用超級管理員登錄監(jiān)管系統(tǒng)，在行為操作審計中可以查看到剛才的訪問，并且點擊右側(cè)“本地” 都能正常顯示操作結(jié)果或者過程。4.5 FTP訪問操作管理1. 點擊“資源管理”-“資產(chǎn)管理”，進(jìn)入設(shè)備列表項，找到Linux設(shè)備，為Linux設(shè)備建立一ftp帳號，并且將這個帳號與test運(yùn)維帳號進(jìn)行綁定2. 使用test帳號登錄運(yùn)維監(jiān)管系統(tǒng)，可以看到上步建立的 ftp

49、系統(tǒng)帳號，點擊右側(cè)的 winscp進(jìn) 行登錄，可以以ftp方式登錄到Linux系統(tǒng)3. 將一個文件從本地上傳到Linux系統(tǒng)后退出4. 用超級管理員登錄監(jiān)管系統(tǒng)，在行為操作審計中可以查看到剛才的訪問，并且二種展現(xiàn)方式“查看”可以看到剛才上傳的文件名，點擊下載可以將文件下載到本地集中管控平臺5.1集中管控平臺功能集中管控平臺可以實現(xiàn)在一個界面上管理多臺堡壘機(jī)，將堡壘機(jī)納入集中管控平臺管理以 后，管理員可以直接在集中管控平臺上對堡壘機(jī)的資產(chǎn)、權(quán)限進(jìn)行設(shè)置，并且可以在集中管控 平臺上輸出各種報表，不需要在到每一臺堡壘機(jī)上進(jìn)行操作，大大減化了操作過程。同時對于運(yùn)維人員，也不需要記錄多臺堡壘機(jī)ip和帳號

50、，只需要登錄到集中管控平臺，就可以看到自己能登錄的所有設(shè)備，也減化了運(yùn)維人員的操作過程。5.2設(shè)備硬件信息集中管控平臺物理參數(shù)如下:設(shè)備型號硬件參數(shù)集中管控平臺UOM-MGT-3000CPU64位3G/32G內(nèi)存/2T硬盤/交流電/2U5.3軟件信息設(shè)備操作系統(tǒng)軟件版本Licenses 數(shù)集中管控平臺Cen tos200個5.4地址規(guī)劃兩臺設(shè)備分別需要分配 3個IP地址，且三個地址需要在一個子網(wǎng)，其中二個IP地址為管理地址，一個IP地址為HA地址，HA地址為用戶訪問地址，二臺設(shè)備使用NRRP協(xié)議對HA地址進(jìn)行管理，當(dāng)主服務(wù)器出現(xiàn)問題時，HA地址會自動飄移到從服務(wù)器。設(shè)備名稱所屬區(qū)域IP掩碼網(wǎng)關(guān)

51、主服務(wù)器總行從服務(wù)器總行HA地址總行5.5部署規(guī)劃設(shè)備為2U每臺需要2*10A電源450W功率5.6集中管控平臺部署集中管控平臺部署在 XX銀行總部，使用 HA架構(gòu)解決單點故障，集中管控平臺主要用于總 部管理人員進(jìn)行報表輸出和分析，同時，總部有一些運(yùn)維人員需要跨多個省進(jìn)行運(yùn)維操作時， 也可以通過集中管控平臺。集中管控平臺共計二臺，采用HA架構(gòu)，二臺集中管控平臺使用NRRP協(xié)議共同使用一個熱備份IP，當(dāng)主服務(wù)器出現(xiàn)問題時，從服務(wù)器會自動將熱備份IP切換到本機(jī)，進(jìn)行服務(wù)接管，以保證不會出現(xiàn)單點故障。5.7系統(tǒng)上線需求集中管控平臺需要與各分行堡壘機(jī)進(jìn)行交互訪問，并且與總行運(yùn)維人員、總行管理人員終端進(jìn)行交互訪問，不需要與分行服務(wù)器進(jìn)行交互訪問，訪問策略如下: