網(wǎng)堡壘機(jī)部署方案

1、目錄概述 21.1 背景分析 21.2 運(yùn)維現(xiàn)狀分析 21.3 存在的問題 31.4 問題分析 4解決方案 42.1. 實(shí)現(xiàn)目標(biāo) 42.2 運(yùn)維人員需求 52.3 部署拓?fù)?62.4 部署說明 62.5 堡壘機(jī)的配置： 72.6. 防火墻的配置： 72.7 交換機(jī)的配置 82.8 應(yīng)急措施 8530 運(yùn)維堡壘機(jī)解決方案概述1.1 背景分析隨著信息技術(shù)的不斷發(fā)展和信息化建設(shè)的不斷進(jìn)步， 業(yè)務(wù)應(yīng) 用、辦公系統(tǒng)、 商務(wù)平臺的不斷推出和投入運(yùn)行， 信息系統(tǒng)在企業(yè)的 運(yùn)營中全面滲透。 統(tǒng)管理員壓力太大等因素， 人為誤操作的可能性時 有發(fā)生，這會對部門或者企業(yè)聲譽(yù)造成重大影響， 并嚴(yán)重影響其經(jīng)濟(jì) 運(yùn)行效能

2、。黑客 / 惡意訪問也有可能獲取系統(tǒng)權(quán)限，闖入部門或企業(yè) 內(nèi)部網(wǎng)絡(luò)， 造成不可估量的損失。 如何提高系統(tǒng)運(yùn)維管理水平， 滿足 相關(guān)標(biāo)準(zhǔn)要求，防止黑客的入侵和惡意訪問， 跟蹤服務(wù)器上用戶行為， 降低運(yùn)維成本，提供控制和審計(jì)依據(jù)，越來越成為企業(yè)關(guān)心的問題。1.2 運(yùn)維現(xiàn)狀分析530政務(wù)外網(wǎng)中現(xiàn)有各大廠商的網(wǎng)絡(luò)設(shè)備，安全設(shè)備和服務(wù)器，其日 常運(yùn)維過程中普遍存在以下現(xiàn)狀：用戶訪問方式以內(nèi)部遠(yuǎn)程訪問為主，運(yùn)維操作的訪問方式又以SSH/TELNET/RDP/VNC/HTTP/HTT為主;用戶憑借設(shè)備上的賬號完成身份認(rèn)證授權(quán)， 難以保障賬號的安全性 密碼管理復(fù)雜，無法有效落實(shí)密碼定期修改的規(guī)定；運(yùn)維人員的操

3、作行為無審計(jì)，事故發(fā)生后無法快速定位事故原因和 責(zé)任人；1.3存在的問題-用戶身份不唯一，用戶登錄后臺設(shè)備時，仍然可以使用共享賬號（root、administrator 等）訪問，從而無法準(zhǔn)確識別用戶的身份；-缺乏嚴(yán)格的訪問控制，任何人登錄到后臺其中一臺設(shè)備后，就可 以訪問到后臺各種設(shè)備；*重復(fù)枯燥的密碼管理工作，大大降低了工作效率的同時，人員的 流動還會導(dǎo)致密碼存在外泄的風(fēng)險；難于限制用戶登錄到后臺設(shè)備后的操作權(quán)限；*無法知道當(dāng)前的運(yùn)維狀況，也不知道哪些操作是違規(guī)的或者有風(fēng) 險的；-缺乏有效的技術(shù)手段來監(jiān)管代維人員的操作；*操作無審計(jì)，因操作引起設(shè)備故障的時候無法快速定位故障的原 因和責(zé)任人

4、；1.4問題分析*運(yùn)維操作不規(guī)范；*運(yùn)維操作不透明；-運(yùn)維操作不可控；二.解決方案2.1.實(shí)現(xiàn)目標(biāo)在530政務(wù)外網(wǎng)內(nèi)部署堡壘機(jī)，使所有廠商的運(yùn)維人員，網(wǎng)管人員都通過登錄堡壘機(jī)去管理網(wǎng)絡(luò)設(shè)備，安全設(shè)備和服務(wù)器主機(jī)等資源。實(shí)現(xiàn)以下效果：實(shí)現(xiàn)維護(hù)接入的集中化管理。對運(yùn)行維護(hù)進(jìn)行統(tǒng)一管理，包括設(shè) 備賬號管理、運(yùn)維人員身份管理；-實(shí)現(xiàn)運(yùn)維操作審計(jì)，對運(yùn)維人員的操作進(jìn)行全程監(jiān)控和記錄， 實(shí)現(xiàn) 運(yùn)維操作的安全審計(jì)能夠制定靈活的運(yùn)維策略和權(quán)限管理，實(shí)現(xiàn)運(yùn)維人員統(tǒng)一權(quán)限管 理，解決操作者合法訪問操作資源的問題，避免可能存在的越權(quán)訪問， 建立有效的訪問控制；*實(shí)現(xiàn)運(yùn)維日志記錄，記錄運(yùn)維操作的日志信息，包括對被管理

5、資源的詳細(xì)操作行為 ；2.2 運(yùn)維人員需求運(yùn)維人員通過登錄堡壘機(jī)，以SSH/TELNET/RDP/VNC/HTTP/HTTPS問方式管理設(shè)備。2.3部署拓?fù)浔緳C(jī)非運(yùn)維人員運(yùn)維人員ternetCisco 出口7604入口加密機(jī)I主入口防火墻Cisco 岀口 6524_ 王f:xr 運(yùn)維人員一非運(yùn)維人員管理區(qū)其它應(yīng)急丿訪問路徑2.4部署說明* 1.如部署拓?fù)渌荆緳C(jī)部署在 530網(wǎng)的入口防火墻上，在入 口防火墻上做訪問控制策略，只允許運(yùn)維人員的地址只能通過堡壘機(jī) 訪問管理區(qū)。非運(yùn)維人員不作策略，直接通過防火墻訪問非管理區(qū)域。* 2.在思科6524上配置訪問控制列表，只允許入口防火墻的下聯(lián)地址

6、（IP4）訪問管理區(qū)域地址范圍（SP1）,禁止其他所有地址訪問 管理區(qū)。* 3.在530網(wǎng)的統(tǒng)一入口的備用防火墻上同時也部署一臺堡壘機(jī)做 為冗余，實(shí)現(xiàn)高可用性。* 4.運(yùn)維人員維護(hù)被管理服務(wù)器或者網(wǎng)絡(luò)設(shè)備時，首先以WEB方式 登錄堡壘機(jī)，然后通過堡壘機(jī)上展現(xiàn)的訪問資源列表直接訪問授權(quán)的 資源。2.5堡壘機(jī)的配置：* 1.在堡壘機(jī)上的E2 口配置IP2,在E3 口上配置IP3。* 2堡壘機(jī)的E2 口和E3 口都連接在防火墻上。-2.用管理員賬號登錄堡壘機(jī)，給每個運(yùn)維人員添加一個主賬號。-3.在資源管理中添加需要被管理的設(shè)備，給每臺設(shè)備開放需要被 訪問端口，比如，telnet/ssh/http。-

7、4.在資源列表中添加每臺設(shè)備的登錄賬號和密碼。* 5.新建策略，在授權(quán)管理中關(guān)聯(lián) 主賬號和被管理的設(shè)備。* 6主備兩臺堡壘機(jī)做HA,實(shí)現(xiàn)冗余。2.6.防火墻的配置：* 1.在防火墻做目的NAT轉(zhuǎn)換策略，將目的地址IP1轉(zhuǎn)換成堡壘機(jī) 上地址IP2,并啟用策略。只允許運(yùn)維人員通過 KEY訪問目的地址IP1 時，才將轉(zhuǎn)換成目的地址為堡壘機(jī)上的IP2,對非運(yùn)維熱源不做策略， 直接通過防火墻訪問非管理區(qū)網(wǎng)絡(luò)。* 2.在防火墻做源NAT轉(zhuǎn)換策略，源為運(yùn)維人員的IP地址。對運(yùn) 維人員的通過key獲得的IP地址轉(zhuǎn)換成IP4,不啟用策略。2.7交換機(jī)的配置-1.在交換機(jī)上做訪問控制，只允許 IP4訪問管理區(qū)的地址范圍（Spi）,禁止其他任何地址訪問。-2.在交換機(jī)的VTY線路下調(diào)用訪問控制策略。2.8應(yīng)急措施當(dāng)堡壘機(jī)出現(xiàn)故障時，* 1.在防