銀行堡壘機(jī)實(shí)施方案

1、v1.0可編輯可修改銀行分行運(yùn)維審計(jì)平臺(tái)實(shí)施方案銀行總行科技開發(fā)部運(yùn)維中心32 文檔版本(2020-07-09)第47頁，共45頁修訂記錄 /Change History日期修訂版本描述作者2016-2-16獨(dú)立實(shí)施方案，完善測(cè)試部分麒麟目錄1文檔說明.6.1.1麒麟開源堡壘機(jī)使用概述 61.2 運(yùn)維操作現(xiàn)狀 72物理部署規(guī)劃 8.2.1 設(shè)備硬件信息 82.2軟件信息 82.3 系統(tǒng) LOGQ 92.4地址規(guī)劃 92.5部署規(guī)劃 93應(yīng)用部署實(shí)施103.1堡壘機(jī)上線說明 103.2設(shè)備初始化103.2.1 上架加電113.2.2 網(wǎng)絡(luò)配置113.3堡壘機(jī)配置修改方式 123.3.1 目錄樹調(diào)

2、整 123.3.2 設(shè)備類型添加及修改 133.3.3 堡壘機(jī)用戶導(dǎo)入及用戶配置 133.3.4 主機(jī)設(shè)備帳號(hào)導(dǎo)入 173.3.5 系統(tǒng)帳號(hào)賦權(quán) 213.3.6 應(yīng)用發(fā)布服務(wù)器添加 233.4堡壘機(jī)應(yīng)用發(fā)布配置 253.4.1 應(yīng)用發(fā)布用戶配置 253.4.2 應(yīng)用用戶組授權(quán)263.5數(shù)據(jù)留存配置273.5.1 審計(jì)數(shù)據(jù)留存 273.5.2 設(shè)備配置留存 293.5.3 定時(shí)任務(wù)配置 303.5.4 動(dòng)態(tài)令牌使用手冊(cè) 311、證書導(dǎo)入 312、證書綁定 323、運(yùn)維人員使用 323.6應(yīng)急方案344系統(tǒng)測(cè)試. TELNET訪問操作管理354.2 SFTP訪問操作管理364.3 S

3、SH訪問操作管理 364.4 RDP訪問操作管理364.5 FTP訪問操作管理375集中管控平臺(tái)385.1集中管控平臺(tái)功能 385.2設(shè)備硬件信息 385.3軟件信息385.4地址規(guī)劃 395.5部署規(guī)劃395.6集中管控平臺(tái)部署 395.7系統(tǒng)上線需求405.8系統(tǒng)安裝416雙機(jī)部署模式426.1雙機(jī)部署模式功能 426.2上線條件426.3地址規(guī)劃426.4上線步驟43文檔說明1.1麒麟開源堡壘機(jī)使用概述隨著我行業(yè)務(wù)范圍和營業(yè)網(wǎng)點(diǎn)的不斷延伸擴(kuò)大，各類特色業(yè)務(wù)系統(tǒng)和基礎(chǔ)網(wǎng)絡(luò)設(shè)備隨之上 線運(yùn)行，切實(shí)有效的保障了各分行業(yè)務(wù)的穩(wěn)定性、安全性和靈活性。但與此同時(shí)，隨著業(yè)務(wù)系 統(tǒng)應(yīng)用范圍越來越廣、數(shù)據(jù)

4、越來越多，所需日常維護(hù)的系統(tǒng)和設(shè)備也在日益增長(zhǎng)，科技運(yùn)維部 門面臨的網(wǎng)絡(luò)、系統(tǒng)安全穩(wěn)定運(yùn)行的壓力也隨之增加。當(dāng)前運(yùn)維管理中存在的主要問題是，技術(shù)人員和維護(hù)人員的日常管理和維護(hù)都是直接登錄 業(yè)務(wù)系統(tǒng)、設(shè)備進(jìn)行操作，沒有針對(duì)運(yùn)維操作進(jìn)行統(tǒng)一管理、統(tǒng)一審計(jì)、統(tǒng)一分析的系統(tǒng)，造 成運(yùn)維操作沒有辦法進(jìn)行監(jiān)控分析，進(jìn)而造成內(nèi)部數(shù)據(jù)信息泄露、違規(guī)操作、惡意操作、密碼 外泄等一系列重大安全隱患。隨著監(jiān)管對(duì)于日常運(yùn)維工作審計(jì)記錄的監(jiān)管需求以及XX銀行本身運(yùn)維規(guī)范化管理的需求,實(shí)現(xiàn)分行骨干設(shè)備的運(yùn)維操作的審計(jì)需求迫在眉睫。本次堡壘機(jī)項(xiàng)目使用麒麟開源堡壘機(jī)，麒麟開源堡壘機(jī)產(chǎn)品功能強(qiáng)大穩(wěn)定性高，經(jīng)過測(cè)試 可以完全滿足

5、銀行的使用需要。1.2運(yùn)維操作現(xiàn)狀當(dāng)前分行均已部署了 ACS設(shè)備，實(shí)現(xiàn)了網(wǎng)絡(luò)帳號(hào)統(tǒng)一管理、權(quán)限控制、及命令記錄功能。 但因?yàn)槿鄙賹I(yè)的運(yùn)維管理系統(tǒng)，對(duì)于運(yùn)維操作的監(jiān)控，還存在一定的盲區(qū)，主要表現(xiàn)為：運(yùn)維操作方式多樣、分散，缺乏有效集中管理；運(yùn)維操作缺乏技術(shù)手段來約束；對(duì)運(yùn)維操作行為的審計(jì)方式不直觀；共享賬號(hào)的情況普遍，給訪問者定位帶來難題。物理部署規(guī)劃2.1設(shè)備硬件信息運(yùn)維審計(jì)系統(tǒng)包括堡壘機(jī)和應(yīng)用發(fā)布服務(wù)器兩臺(tái)設(shè)備，物理參數(shù)如下:設(shè)備型號(hào)硬件參數(shù)堡壘機(jī)麒麟開源堡壘機(jī)CPU 64位3G/16G內(nèi)存/2T硬盤/交流電/2U應(yīng)用發(fā)布服務(wù)器麒麟應(yīng)用發(fā)布模塊CPU 64位3G/32G內(nèi)存/2T硬盤/交流

6、電/2U2.2軟件信息設(shè)備操作系統(tǒng)軟件版本Licenses 數(shù)堡壘機(jī)Cen tos100000 個(gè)應(yīng)用發(fā)布服務(wù)器Win dows server 20082.3 系統(tǒng) LOGO堡壘機(jī)LOG簾安裝時(shí)，都已經(jīng)被設(shè)置為 XX銀行運(yùn)維審計(jì)平臺(tái)，以與其它系統(tǒng)進(jìn)行區(qū)分。2.4地址規(guī)劃參照分行部署規(guī)范，運(yùn)維審計(jì)堡壘機(jī)及應(yīng)用發(fā)布平臺(tái)，需要分行分配在基礎(chǔ)服務(wù)器區(qū)域，分 配【】的地址，兩臺(tái)設(shè)備分別需要分配ip地址，且兩個(gè)地址需要在一個(gè)子網(wǎng)。示例如下設(shè)備名稱所屬區(qū)域產(chǎn)品型號(hào)IP堡壘機(jī)內(nèi)網(wǎng)UOM-1000A應(yīng)用發(fā)布服務(wù)器內(nèi)網(wǎng)Modul-APP-RELEAS-HW2.5部署規(guī)劃堡壘機(jī)、應(yīng)用發(fā)布平臺(tái)各需要 2U的機(jī)柜空間位

7、置堡壘機(jī)、應(yīng)用發(fā)布平臺(tái)需要部署在基礎(chǔ)服務(wù)器接入?yún)^(qū)堡壘機(jī)、應(yīng)用發(fā)布平臺(tái)個(gè)需要 2*10A電源應(yīng)用部署實(shí)施3.1堡壘機(jī)上線說明堡壘機(jī)在發(fā)往用戶前，已經(jīng)完成如下設(shè)置：設(shè)備ip地址、網(wǎng)關(guān)、應(yīng)用發(fā)布連接設(shè)備、人員、權(quán)限關(guān)系、目錄結(jié)構(gòu)的前期調(diào)研和導(dǎo)入密碼規(guī)則策略設(shè)置數(shù)據(jù)留存策略設(shè)置堡壘機(jī)現(xiàn)場(chǎng)上線實(shí)施步驟包括：設(shè)備上架、加電網(wǎng)絡(luò)連通性測(cè)試系統(tǒng)功能測(cè)試現(xiàn)場(chǎng)培訓(xùn)注：堡壘機(jī)出廠時(shí)，已經(jīng)完成了數(shù)據(jù)導(dǎo)入、權(quán)限策略設(shè)置、應(yīng)用發(fā)布設(shè)置和ip等環(huán)境設(shè)置，如果有實(shí)時(shí)時(shí)發(fā)生更改，請(qǐng)按下面相應(yīng)描述章節(jié)進(jìn)行修改3.2設(shè)備初始化上架加電設(shè)置IP地址、網(wǎng)絡(luò)掩碼、網(wǎng)管3.2.1 上架加電第一步、分別將堡壘機(jī)和應(yīng)用發(fā)布服務(wù)器按照部署位置，

8、將主機(jī)安裝固定到機(jī)柜中。第二步、將隨機(jī)攜帶的電源線插到主機(jī)后面板的電源插座上。第三步、將電源線的另一端插到機(jī)柜為主機(jī)提供交流電源的插座上。3.2.2 網(wǎng)絡(luò)配置發(fā)貨前，堡壘機(jī)和應(yīng)用發(fā)布 ip默認(rèn)已經(jīng)按客戶要求配置完畢，如果需要現(xiàn)場(chǎng)修改可以按如下步驟：堡壘機(jī)和應(yīng)用發(fā)布服務(wù)器網(wǎng)卡默認(rèn)ip為:設(shè)備名稱網(wǎng)卡名稱IP訪問方式堡壘機(jī)EthO分行提供的IPhttps、ssh堡壘機(jī)Eth1、ssh堡壘機(jī)管理口應(yīng)用發(fā)布EthO分行提供的IPRDP應(yīng)用發(fā)布Eth0本次工程，堡壘機(jī)和應(yīng)用發(fā)布都要求使用 ethO 口，修改堡壘機(jī)和應(yīng)用發(fā)布IP時(shí)，使用ethl 進(jìn)行登錄，以避免配置錯(cuò)誤后無法登入，堡壘機(jī)的管理口為con

9、sole，通過https訪問可以得到鍵盤顯示器的界面，如果堡壘機(jī)出現(xiàn)硬件故障或兩個(gè)網(wǎng)卡都不通時(shí)，使用管理口登錄。完成上架加電操作后，打開堡壘機(jī)的電源按鈕，堡壘機(jī)開機(jī)啟動(dòng)，等待兩分鐘，啟動(dòng)完成后，使用筆記本通過網(wǎng)線連接堡壘機(jī)，筆記本IP地址配置為后使用網(wǎng)線直接連接到堡壘機(jī) ethl 口, 然后使用瀏覽器打開 用戶名輸入admin密碼，進(jìn)入堡壘機(jī)系統(tǒng)，在【系統(tǒng)配置】-【網(wǎng)絡(luò)配置】 中修改網(wǎng)卡的IP地址信息，更改為規(guī)劃好的 ethO IP地址。應(yīng)用發(fā)布IP ethl地址默認(rèn)為，可以直接使用mstsc rdp到應(yīng)用發(fā)布服務(wù)器對(duì)IP地址進(jìn)行修改。3.3堡壘機(jī)配置修改方式堡壘機(jī)上線，已經(jīng)完成項(xiàng)如下：目錄樹

10、導(dǎo)入、設(shè)置堡壘機(jī)用戶導(dǎo)入表，建立主帳號(hào)設(shè)備、設(shè)備用戶導(dǎo)入，建立從帳號(hào)飛塔防火墻應(yīng)用從帳號(hào)導(dǎo)入設(shè)備授權(quán)設(shè)置到現(xiàn)場(chǎng)，有可能會(huì)對(duì)某些設(shè)備進(jìn)行相應(yīng)的調(diào)整，調(diào)整方法如下：3.3.1目錄樹調(diào)整單擊導(dǎo)航樹中【資源管理】中的【資產(chǎn)管理】，選擇“目錄管理”頁簽，單擊“增加新節(jié)點(diǎn)”根據(jù)所要?jiǎng)?chuàng)建的組類型選擇“所屬目錄”與“屬性”；系統(tǒng)已經(jīng)默認(rèn)安裝了標(biāo)準(zhǔn)的目錄結(jié)構(gòu)，只需要對(duì)目錄結(jié)構(gòu)進(jìn)行相應(yīng)的修改即可以完成本步設(shè)置詁*呂test員直均奮插述壬部打F全制#1益丨壬舊口靈1*-31址E CitrixaJ2S test21匸和 free s !jtbco im5-少?。?耳孚g呂旨冷inEi”寥m'環(huán)MM如JET圖1

11、說明：“節(jié)點(diǎn)名”輸入節(jié)點(diǎn)的名稱，“所屬目錄”新創(chuàng)建目錄所屬那個(gè)父組；設(shè)備組目錄結(jié)構(gòu)與分行ACS 致，目錄樹可以無限級(jí)目錄，堡壘機(jī)配置前必須先將目錄樹配置完畢才能進(jìn)行用戶和設(shè)備的導(dǎo)入，用戶和設(shè)備導(dǎo)入時(shí)，必須有配置好的目錄樹。3.3.2設(shè)備類型添加及修改設(shè)備類型配置，主要是加入分行有的，但堡壘機(jī)中不存在的設(shè)備類型，否則導(dǎo)入時(shí)無法寫成正確的設(shè)備類型（為了方便管理， 設(shè)備類型最好不要涉及型號(hào)，只設(shè)置廠商即可， 比如Cisco的2960交換機(jī)、3950交換機(jī)，可以統(tǒng)一放在 Cisco類型的設(shè)備中）單擊導(dǎo)航樹中【資源管理】中的【資產(chǎn)管理】，選擇“系統(tǒng)類型”頁簽，單擊“增加”；目錄管理用戶®性RA

12、DnS用戶超隸用戶切換晞令主機(jī)網(wǎng)絡(luò)說明：“主機(jī)/網(wǎng)絡(luò)”選項(xiàng)中，主機(jī)代表操作系統(tǒng)類型設(shè)備，網(wǎng)絡(luò)代表路由交換類型設(shè)備,“系統(tǒng)類型”框中填寫設(shè)備的類型，中文、英文都支持;3.3.3 堡壘機(jī)用戶導(dǎo)入及用戶配置導(dǎo)入表格填寫，將附件一.運(yùn)維人員導(dǎo)入表格按如下要求進(jìn)行填寫ABDEFGH1冃戶若密碼電子郵箱用戶聯(lián)限組宕手機(jī)號(hào)帝工作邑位工作部門test酒試帳號(hào)con普涯庫戶rL33LL50F286民牛銀行技術(shù)部用戶名：運(yùn)維人員登錄堡壘機(jī)時(shí)的名稱，要求唯一（必須填寫）密碼：運(yùn)維人員登錄堡壘機(jī)時(shí)的密碼（必須填寫）真實(shí)姓名：運(yùn)維人員的真實(shí)姓名（必須填寫）電子郵箱：運(yùn)維人員的電子郵箱地址（選擇填寫）用戶權(quán)限：統(tǒng)一配置為

13、 普通用戶（必須填寫）組名：目錄結(jié)構(gòu)中的資源組名稱，如果出現(xiàn)同樣名稱的資源組，則導(dǎo)入時(shí)需要用組名（id）方式,比如出現(xiàn)重名的first 組，如果你想在界面中這個(gè)組加入，則組名為first（221）朗戶菅理設(shè)備管理用戶JE性SSHU 鑰吐:|悟潞漆1圾17?全部0Q門"由151用戶» ¥(*1全郁21I手機(jī)號(hào)碼：運(yùn)維人員的手機(jī)號(hào)碼（選擇填寫）工作單位：運(yùn)維人員的工作單位（選擇填寫）工作部門：運(yùn)維人員的工作部門（選擇填寫）USBKEY為動(dòng)態(tài)口令的令牌ID，如果用戶需要?jiǎng)討B(tài)令牌，則在動(dòng)態(tài)令牌列表文件中選擇一個(gè)未 使用的動(dòng)態(tài)令牌給用戶 后面的其它選項(xiàng)：一般不需要填寫，所有

14、的用戶按模版復(fù)制即可用戶導(dǎo)入表確認(rèn)無誤后，使用admin用戶登錄前臺(tái)，在資源管理-資產(chǎn)管理-用戶管理菜單，點(diǎn)擊右下方的導(dǎo)入按鈕 £)1用；月盟日H啦口兀直世iq,t顯不峑勻禾I耳示藏勺肚idtam4欣:n'1141術(shù)Wil4*；+S-mt】松pusivmdposnotd;DKS未？疇初血丄目山ii視.輕計(jì)用戶=L.J 5 區(qū)引；I【遢Nila I IIILtf"Lin卑i 詛 I在導(dǎo)入界面中，將加密的勾勾上，點(diǎn)擊瀏覽按鈕，選擇找到需要導(dǎo)入的用戶表后，點(diǎn)擊提交按鈕，即可以將所有的用戶導(dǎo)入到堡壘機(jī)中丈件力】密17|:.U3er3kAzlm nltralcr1 創(chuàng)賢.iH

15、T? i-d 空面卜十,11慈QJ點(diǎn)入確定后，會(huì)給用戶提示，表中哪些用戶沒有導(dǎo)入成功及未成功的理由成臣I添加用戶；* acticnlJaction2,action3Fartion4Partion5. actionfe.,ftnjiaoFbianhui.bsfit 1, b 弓 fitg ccs? ss, ch fliych2D27, chen chen, ch enweLcskj-houxinj u n 龍 uied .dusm.duzhantx.fenghaojenghaotesst.fsdbl/sdbjgaowp.ggzqi an.guoxLhanyu.haogthongcq.huangx

16、 hus ngzw, hu a ng_qx. huyuFjh uzl,jame5,zhangPlaixq.liangjmbcrJcin”liaciJcintU5tiglinpyin££liperT g.linji.liujy,liuyk<liydiyp,longp 匚,lvyp,magj"magl.mngxynniaopf,nis q, pa nyu r pen gjcTq ia rrind rentt, renwx, renjjchjeri-zh Lrrcr5 ang ning.sh enxyafresjfiuriartunjtiac.suohw.tia

17、nqiang,u 占 Lin.hei,v/dnggEnMPri g h y.wa nglei ,wa rg myrwa ngsherg he, wa n g we i ,v/a ng_ch.wa n g_yl,wei tong.werjbHWvibing.wvich.wuqc.Kiall.jciacndjXiayCjXiejZjXubyjXUw.)cu _phryanggjohyargLjing,ydngjlPyangkuo,yanglintyarglu,yargshan,ya ngweiyeyq.yryzuqs.zhaiyu.zhangchong.zhangijCrZhangjp.zha n

18、gqj, zhang-xc.zhachjzhaohy.zhaoleihodjjhoulvyinghodqtzhodtaop zhuxzrzoupeng蔣力05墩的用戶；gm由即:用戶所屋目錄K能為空guandj!戶肝屬目錄更齟為空sunns:用亠所層目錄不能為空xuxs用戶所便目靈不能為空用戶導(dǎo)入后，如果有個(gè)另的用戶需要修改或添加，可以在用戶管理菜單進(jìn)行操作單擊導(dǎo)航樹中【資源管理】中的【資產(chǎn)管理】，選擇“用戶管理”頁簽，單擊“添加用戶”，填寫用戶的基本信息、權(quán)限信息及其他信息；圖43.3.4主機(jī)設(shè)備帳號(hào)導(dǎo)入主機(jī)設(shè)備帳號(hào)導(dǎo)入前提與堡壘機(jī)帳號(hào)導(dǎo)入前提一致，必須先做好目錄樹。按附件二主機(jī)設(shè)備帳號(hào)表中

19、的要求收集分行的主機(jī)帳號(hào)設(shè)備，并且填好，主機(jī)帳號(hào)導(dǎo)入時(shí)，會(huì)自動(dòng) 創(chuàng)建主機(jī)主機(jī)名：主機(jī)的名稱ip主機(jī)的ip地址服務(wù)器組：服務(wù)器所屬組的ID號(hào)，因?yàn)槟夸浿性试S同名稱的組，因此，服務(wù)器組用ID號(hào)替代,可以在資產(chǎn)管理-資源管理-目錄節(jié)點(diǎn)中查看ID號(hào)，如下圖：系統(tǒng)類型：主機(jī)的操作系統(tǒng)類型，必須在第一章中添加的或系統(tǒng)自帶的中選擇添加系統(tǒng)用戶：系統(tǒng)用戶名，如果不想托管，則這項(xiàng)不填當(dāng)前密碼：系統(tǒng)播放的密碼，如果不想托管，則這項(xiàng)可以不填登錄協(xié)議：目前支持telnet/ssh1/ssh/ftp/rdp/vnc/x11，可以在這些登錄方式中選擇相應(yīng)的端口：登錄協(xié)議連接的目標(biāo)端口過期時(shí)間：這個(gè)系統(tǒng)帳號(hào)的過期時(shí)間，如果

20、超過過期時(shí)間，則不在允許登錄自動(dòng)修改密碼：是否對(duì)這個(gè)帳號(hào)進(jìn)行自動(dòng)修改密碼（默認(rèn)為否）主帳號(hào)：自動(dòng)修改密碼時(shí)只使用一個(gè)帳號(hào)登錄修改主機(jī)上所有的用戶密碼，如果是主帳號(hào)，則填是，主帳號(hào)一般為root權(quán)限或可以sudo為root自動(dòng)登錄：默認(rèn)填是堡壘機(jī)用戶：XX項(xiàng)目中均填否Sftp用戶：如果是SSH服務(wù)，則設(shè)置這個(gè) SSH用戶是否可以使用 SFTP服務(wù)，是為允許，否為 不允許公私鑰用戶：如果是 SSH服務(wù)，設(shè)置這個(gè)SSH用戶認(rèn)證是不是使用公私鑰方式，是或否 在資源管理-資產(chǎn)管理-設(shè)備管理中，點(diǎn)擊導(dǎo)入按鈕設(shè)宿自甲BN5典永孑沖JIIhl 嚴(yán)卄nrEbjudm.-niNET斗勢(shì)起嚴(yán)不idllNET命HF詐

21、也運(yùn)奮帀戶DNSNET運(yùn)AT因戶NET邛w®匸碧用戶DM承ne叢不越Jl胡啟肝冊(cè)MT'鈿 1, NNET3 52180024 Jr-吿丁-:明常=#冃戶弓聯(lián).中MU. DICOdB廠商嚶用MET迄瘞宙戶1誠L從確1電i'T”ni戶首頁上-頁1下頁家?guī)夗搄歸空網(wǎng)I廠 目己聊？寸勾上加密按鈕，并點(diǎn)擊瀏覽按鈕找到主機(jī)設(shè)備列表的表格后，點(diǎn)擊提交按鈕，會(huì)將所有的設(shè)備 帳號(hào)導(dǎo)入設(shè)備管理目錄管理用戶JS性系統(tǒng)類型c選鶴力讖的立曲下嶷匚袁面-星近諭間的曲<|2O14-2O15WM凹5級(jí)目錄修改 園曲領(lǐng)丈賓 色RADIUS探贈(zèng)躺諼討切民生銀行運(yùn)建審計(jì)平臺(tái)（堡金機(jī)）實(shí)施方案-唯窖紺

22、f v3,0訐庫| 噫 audit-devices-20151129單臺(tái)設(shè)備的添加、修改可以在設(shè)備管理菜單完成單擊導(dǎo)航樹中【資源管理】中的【資產(chǎn)管理】，選擇“設(shè)備管理”頁簽，單擊“添加”，填寫基本信息;圖5單擊導(dǎo)航樹中【資源管理】中的【資產(chǎn)管理】，選擇“設(shè)備管理”頁簽，指定設(shè)備的操作欄中單擊“用戶”，圖6單擊“添加新用戶圖7根據(jù)實(shí)際情況填寫下圖信息;用戶名原中繆碼匚竺戶登錄方式端口3369過刪姮1'擊選擇日期或選親不過期1歹1用朋鋪命令擾權(quán)用戶admin 再?zèng)Q輸入原惜密碼RADIU5舄戶認(rèn)證：廠肋咖朗皇我自動(dòng)啟用自動(dòng)修改密碼您跌審碼主贓號(hào)自動(dòng)餐錄;揉作記錄:公鈣私鑰認(rèn)證:IP冒虢先犍盤

23、記錄:遴向加謹(jǐn)：出向加謹(jǐn)：3.3.5系統(tǒng)帳號(hào)賦權(quán)堡壘機(jī)帳號(hào)（主帳號(hào)）、主機(jī)系統(tǒng)帳號(hào)（從帳號(hào)）導(dǎo)入完成后，需要進(jìn)行賦權(quán)操作，賦權(quán)后堡 壘機(jī)帳號(hào)（主帳號(hào)）登錄到堡壘機(jī)才能跳轉(zhuǎn)到相應(yīng)的設(shè)備。前期設(shè)備授權(quán)關(guān)系調(diào)研表中包含所有的權(quán)限關(guān)系，按表進(jìn)行設(shè)置。賦權(quán)操作如果一個(gè)堡壘機(jī)帳號(hào)（主帳號(hào)）有大量從帳號(hào)的權(quán)限，則賦權(quán)是在系統(tǒng)用戶組菜 單完成的，如果為堡壘機(jī)帳號(hào)（主帳號(hào)）臨時(shí)添加一個(gè)從帳號(hào)的賦權(quán)，貝他可以在主機(jī)設(shè)備帳 號(hào)菜單中完成。賦權(quán)操作最好按用戶組的方式進(jìn)行賦，即將權(quán)限相同的用戶放在同一個(gè)用戶組中，然后為 這個(gè)用戶組創(chuàng)建一個(gè)系統(tǒng)用戶組，將這些用戶擁有權(quán)限的主機(jī)設(shè)備帳號(hào)都加到這個(gè)組中，然后將這個(gè)系統(tǒng)用戶組綁

24、定給這個(gè)用戶組，如果每個(gè)用戶的權(quán)限都不一樣，也可以為單獨(dú)的用戶劃 分系統(tǒng)用戶組后進(jìn)行授權(quán)。單擊導(dǎo)航樹中【資源管理】中的【授權(quán)權(quán)限】，選擇“系統(tǒng)用戶組”頁簽，單擊“添加新組”填寫“系統(tǒng)用戶組”名，選中“未選設(shè)備”中系統(tǒng)用戶添加到“已選設(shè)備”，確定已經(jīng)選中想要賦I i_12? uv l_nn22UjDMiHMJtET95 騎衛(wèi) 42_ IK 卻衛(wèi) 42_RDP_aai9_fE®9gi- j h r - lev b : h 玷旳_TH ：門E附麗叩工至晡壬權(quán)的堡壘機(jī)用戶組的所有系統(tǒng)帳號(hào)后，點(diǎn)擊保存；12? Q J127 0 a i_i27 c o i12? aQ l_hp_2 I壬密ipi

25、aa <1? o d門亦應(yīng)心¥仁1鏈127J&JI ji 眾.業(yè)127 0 0 1_127.fi C. LOif1S5 3O1 129_liitfil 3339_|t 矚如.蠅為拼歩思叩亂Rnp_33sa_JlS mr耳廠Hr兩H *借和R lf.$r翳 3r n 1 -_1!S53I' a 1 二濃：_卡歪19B WLG M JMHEW MDFlffi-SC-i 1 MrJ-RSE?fti rer.sL231iS19920 1_T±fc3SSit 1 _5ah_22_R5j1M300 iFJfi寧業(yè)號(hào)匸尊樹柿&1_«ih_33_J應(yīng)

26、1iir. t 1莎 tslF49S 35 D寧止J&ti隘曲機(jī)1W M.D 14_HmhnC5fl»Hl32 -w'：益 氏求 1«2O.>. 19_H寧址醫(yī)曲代交諛機(jī)1_2騎_£2一吒藍(lán) l«30 0J5J*ieL23_Jie i»c o 13岡寧甲謝將署柱入Jill機(jī)叮1*】_恬烹 15!?3 315 兀hi 空址瑋 3IS -表 1M1L 1_85 九仝?!擊 1W M r g-RTd刑祀199.3E. is jrraass 習(xí)推 x 竦tfi2_i 曲心彳i® 3onz_B? ±jfieS3j

27、s>_a_iLE1W3C of rrMrSI由護(hù)？謹(jǐn) 1H93DJhaDJfl冠站1S入忘哄U妙_應(yīng)_竝單擊導(dǎo)航樹中【資源管理】中的【授權(quán)權(quán)限】，選擇“系統(tǒng)用戶組”頁簽，單擊“操作”欄中“授權(quán)”，勾選“授權(quán)組”或“授權(quán)用戶”，配置完成單擊“保存修改”；一電出"二靈*盤曲S至* TS旳41円1迓屜i琳iihrt-E0*STI_-zrPrSLJt,Jfc巳訂M作空司曲空|r碗和槪*斟心r H艸二鏈魄呼用尸1 miHn羅畫雪1星弓1|廠 k-' hprraciitL hrr g fF 腮hm -1 mihai李:廠$na me鄲呼to啊于話宦i| 廠 tea muf * 廉廠

28、 g zhiffwmidafljp 対* i廠訴恵知卜眄阿撤|匸1 _knatdHu<rB QU i沁h(yuǎn)"1l山b廠 psnmjSQ 曲廠 EEJblT-tssrillfMDllJ1廠戊勺：:帕r ot蝦aMiO融耳茁s!i趴二|r廿-iiiff:<if：rJiHijiLitraiU畑出2遺：0艸呃1-皿內(nèi)-mt詛 #14iCj廠血3 >L込眄丄址咄勒嶼1尊4*2門舸f試1的2WFMILT肚L-r U=|-asrni.l|lli31' +1片3：】叭爲(wèi)1閃廠比抽泊咲烈盟口 工 娉 adHIibU"l*：q vtWiiUJ_aBbh:e«：

29、4Tlll2-|rr U-tl.M4-L»3 JtMkjD 3眄曲；敏帕(血1 piiSTZEd： p£ ±7- : J廠 q?cr. wur-hMi' 13 'l廠島 1廠4 ytr嚴(yán)熱音僅妬*廠帀')1廠 IrtMfftMQL卜壬需飛1尸1*11曲旺擊391r kfcwr棄電1hn杖1*吐為1時(shí)詢授權(quán)后，組中的用戶或被授權(quán)的用戶，就擁有了這個(gè)系統(tǒng)用戶組中所有的主機(jī)系統(tǒng)帳號(hào)的權(quán)限。3.3.6應(yīng)用發(fā)布服務(wù)器添加前提：安裝好應(yīng)用發(fā)布服務(wù)器，確定好應(yīng)用發(fā)布服務(wù)器的ip地址，并且已經(jīng)打通堡壘機(jī)訪問應(yīng)用發(fā)布服務(wù)器的TCP 3389、8888端口，應(yīng)

30、用發(fā)布服務(wù)器到堡壘機(jī)的TCP 3306端口單擊導(dǎo)航樹中【資源管理】中的【資產(chǎn)管理】，選擇“設(shè)備管理”頁簽，單擊“添加”，在主機(jī)名中寫應(yīng)用發(fā)布服務(wù)器，在 IP地址中寫入應(yīng)用發(fā)布服務(wù)器IP，主要類型為 WINDOWS設(shè)備組選一個(gè)用戶許可的設(shè)備組。配置完成單擊“保存修改”；為應(yīng)用發(fā)布服務(wù)器增加一個(gè)應(yīng)用發(fā)布帳號(hào)單擊導(dǎo)航樹中【資源管理】中的【應(yīng)用發(fā)布】 ，選擇“應(yīng)用發(fā)布”頁簽，單擊“添加”；配置完成單擊“保存修改”；A. 單擊導(dǎo)航樹中【資源管理】中的【應(yīng)用發(fā)布】，選擇“應(yīng)用程序”頁簽，單擊“添加”；增加IE程序安裝位置；配置完成單擊“保存修改”；說明：程序地址：是應(yīng)用發(fā)布服務(wù)器上 IE瀏覽器程序安裝位置

31、;3.4堡壘機(jī)應(yīng)用發(fā)布配置3.4.1應(yīng)用發(fā)布用戶配置A.單擊導(dǎo)航樹中【資源管理】中的【應(yīng)用發(fā)布】，選擇“應(yīng)用發(fā)布”頁簽，單擊操作欄 中“應(yīng)用發(fā)布”；r旭.on 上-BH E-d 京m cwn 】TC1 】導(dǎo)口工1B. 單擊“添加”，填寫應(yīng)用名稱、選擇服務(wù)器及填寫被訪設(shè)備 URL配置完成單擊“保存修改”；說明：如果需要添加的設(shè)備比較多，先單擊“導(dǎo)出”，填寫導(dǎo)出表，再單擊“導(dǎo)入”；完 成設(shè)備的批量添加;3.4.2應(yīng)用用戶組授權(quán)A.單擊導(dǎo)航樹中【資源管理】中的【授權(quán)權(quán)限】，選擇“應(yīng)用用戶組”頁簽，單擊“添加新組”；添加需要的應(yīng)用用戶，單擊“保存”199 M.J口t釋i心 30 ；屯他 M.J *?_

32、P.lSuL =PlSQl_19B1 io.2 蛀eLfilt躺風(fēng)_1« *1衛(wèi) <290F審和詢訂吒円麗廳冋；埒_伽V02心19$ M1.Z粧LEJH3査寧斯誤幡社區(qū)寺卄3審闿善_r B9.»Z4Z155 M.JAlt_ m J ? 2 *2190 JU fnlZ.E r 3limnigg wj.2 足疋jz業(yè)鬥1301 j.21帥遠(yuǎn)5于創(chuàng)剛叭陪ME_i« M 2空«B M 2 船JEjmeg陽（Jii0旳 SSh8_1« 3O3 « 也丄如.工吧x_MD 皿空2LEJT?”dFfMU許1i1ld9如.2心£_誹*。

33、怦防罠垢Kt1S91 M.2蛙-_音寧曲汕花凱遲主行3080811犧見樓 m 30.2 嗎Qia&悄馬*i豪 1 轉(zhuǎn) & a 2 z伯孚豹.足42-左_南寧潤(rùn)忖且射瞅凰_檔蟲越l«D山丁丄工范滬£幣Alt諱J C2 WIE>DE mM.Pil得奮0 2 4?199駒.2 42巳#:寧I山學(xué)用坯叵亠與MK白詈M3H 2.4?1?0腳盤-<2_£_5F HE扯炳則f_1旳3 2擬199 M Z 42_乏_匚聞也西陰kK _哪 2 4?苗豪卻息化EJtTfrL加：US_*賈住 mW.2«_lTTLT.A.Q? ' a.TWx

34、sju 他 口沖2-巳旺口芳上忙光d 訓(xùn) W 去 回 加.2坨工21初丈熄畑丸12_伸住：|20mh .242 nrflix?e,wa 1；憲 tfi-R"Mt19 恥 r 嶺JISH6斯j業(yè)奪 mTM iM.aa 2 ©催 軸空4J- IE M N甘亍豐剎#11苗n爭(zhēng)總掃I 195 M S- 42 I刑 強(qiáng)NY悒 加井C*th祜UM M：24J liiSC J4? IF. i|_1 M 1C J «I刊酣g斗£圧如古幻41凰ifelli _1 冠J E 42B.單擊“綁定”；倉用戶曲亟麗阪 章即應(yīng)曲恒科r'Tti；dri XU,3床粗叔館XHP

35、科汁迅審arai ts 柄 苕；i'園 時(shí)徐圧垢京誦-C. 勾選綁定組或綁定用戶；單擊“保存修改”；劃鼻用UW吁甘納AuMm廠ml* UrtBf Wfij 也If 酣"igc-i#"|J KlJjtlBJtc廠廠干=去.:廠葉亠砂預(yù)廠電詹*lr chhm暉 g._ IwpW：廠 miMartn廠 LkIhuiEIH、丨廠揚(yáng).廠血電*二3R車1_廠|&4|.吠：!刊陽.r屮|.19如*|古三r 亦Mg曲1、叵氏科向rr吟叭|r 1舟冊(cè)|：|耐：山F ；亦和時(shí)申叩.尸屮皿inz?.r耳州I 廠 jaMHNimhi川r.M-nnK.buf itkiniwr 腳舸|

36、*|百的jwHjrBHdlftitXli*44-ln£2JiP|i廠沁Ifit®| 廣 jnlfrfiMZ齊Hit珂.r Jupiikiru*"齊忡鬥 iw* i廠 L-飛T廠 ir-niPTblBIZill'廠 丁辛幻fe.LjjfcoppEUi廠宣電1廣rm * 科“3.5數(shù)據(jù)留存配置3.5.1審計(jì)數(shù)據(jù)留存系統(tǒng)內(nèi)置存貯為2T,通常情況下，可以夠100個(gè)運(yùn)維人員使用半年左右，所有的運(yùn)維人員操作 都會(huì)被系統(tǒng)進(jìn)行留存記錄，當(dāng) 2T空間滿的時(shí)候，系統(tǒng)會(huì)根據(jù)系統(tǒng)配置 -系統(tǒng)參數(shù)中的配置項(xiàng)存貯無 空間時(shí)操作進(jìn)行操作，如果選擇覆蓋，則會(huì)刪除早期的LOG進(jìn)行記錄，如果

37、選擇停止操作，則系統(tǒng)將不在接受新的運(yùn)維連接請(qǐng)求，并且發(fā)送告警給堡壘機(jī)管理員。這里將策略設(shè)置為覆蓋舊文件是否顯示血腔話的”錄入"否-桶詵空i耶寸操作-覆蓋舊文件匕鼓送密碼文件加密密瑪：覆蠡舊艾件系統(tǒng)也可以使用自動(dòng)刪除功能，指定自動(dòng)刪除多久以前的審計(jì)數(shù)據(jù)，使用audit帳號(hào)登錄到系統(tǒng)，在自動(dòng)刪除菜單中，可以指定系統(tǒng)自動(dòng)刪除的周期，默認(rèn)情況下，系統(tǒng)不會(huì)自動(dòng)刪除 審計(jì)日志，除非指定了刪除周期并且啟動(dòng)了刪除程序。點(diǎn)擊下列各種服務(wù)后面的編輯按鈕，在彈出的對(duì)話框中填入希望自動(dòng)刪除的周期，點(diǎn)保存 即可。系統(tǒng)出廠時(shí)默認(rèn)為刪除一年前的日志，建議按默認(rèn)的配置H 豐誅a啦日巻1?.肝p te：/ IRSFT

38、PTiftflWJ憫E上* 'IteIS)山悴怖m(xù)j >ac個(gè)* in&丹“文件聊* '加w但近TXT蘇w履iw* Wfl血*曲系統(tǒng)可以將錄相文件及配置信息自動(dòng)定時(shí)同步到遠(yuǎn)端服務(wù)器上，使用admin登錄，在系統(tǒng) 管理-數(shù)據(jù)同步菜單，點(diǎn)新建按鈕，按下面要求輸入信息，系統(tǒng)即會(huì)將審計(jì)錄相和配置信息進(jìn)行 自動(dòng)同步，同步方式為增量同步，每天凌晨進(jìn)行同步。3.5.2設(shè)備配置留存系統(tǒng)配置可以使用手工備份和自動(dòng)備份二種模式。手工備份在系統(tǒng)管理-配置備份菜單，點(diǎn)擊生成備份按鈕，即可以將配置手工備份到本機(jī), 如果想要恢復(fù)時(shí)，點(diǎn)擊恢復(fù)將下載的備份文件上傳即可以進(jìn)行恢復(fù)?？?Z 利；CP

39、ifel =T凹BtFU 曲在系統(tǒng)管理-數(shù)據(jù)同步菜單，點(diǎn)擊新建，在同步模式中選擇資產(chǎn)權(quán)限， 即可以實(shí)現(xiàn)自動(dòng)備份, 輸入備份目標(biāo)服務(wù)器IP、SSH端口、用戶名、密碼及備份目錄后，系統(tǒng)會(huì)每天一次將備份文件 上傳到備份目標(biāo)服務(wù)器。同毎糧犬：査咅儀嗯同些地扯 1悶帕汀|砸?guī)】?亠系絨舟戶-root至巫用戶巒阿*爛認(rèn)稱用戶曙碼：怎品備飴目錄：N辭癮：亦-詣存睫改毛訪同£3.5.3定時(shí)任務(wù)配置系統(tǒng)自動(dòng)刪除、自動(dòng)備份等操作，默認(rèn)情況下，服務(wù)都未啟動(dòng)，如果想要讓配置的參數(shù)生效，必須在定時(shí)任務(wù)中將服務(wù)啟動(dòng)。在菜單系統(tǒng)配置-系統(tǒng)管理-定時(shí)任務(wù)中，可以配置自動(dòng)備份、自動(dòng)刪除啟動(dòng)時(shí)間周期。以審計(jì)文件備份為例

40、，如果服務(wù)后面的勾勾上，表示服務(wù)為啟動(dòng)狀態(tài)，如果未勾，則表示服務(wù)為未啟動(dòng)狀態(tài)，備份調(diào)度表示服務(wù)啟動(dòng)的周期，如果為 *號(hào)表示每次都啟動(dòng)，如下例中，審 計(jì)備份文件每天晚上1點(diǎn)5分會(huì)啟動(dòng)進(jìn)行備份。取務(wù)狀態(tài)系統(tǒng)曲配蚩備扭敎據(jù)同歩軟件升級(jí)團(tuán)標(biāo)上倩申計(jì)文甘菱衲匚J21審計(jì)文樣帝份聃農(nóng)5 - p1朋T天 *咼主址耶吿基昔芳自肚1別岳脈労怙株° -小時(shí)'無 r自訂刖無紡J9既.打鐘：mw天出存臟i審計(jì)丈桿昴附盒即封i謄署善普他，_盒即口勿硼滋,n3.5.4動(dòng)態(tài)令牌使用手冊(cè)Usbkey令牌和系統(tǒng)內(nèi)置動(dòng)態(tài)令牌系統(tǒng)，可以使用動(dòng)態(tài)口令進(jìn)行登錄，動(dòng)態(tài)令牌目前運(yùn)行硬件手機(jī)令牌二種模式，手機(jī)令牌目前支持A

41、pple手機(jī)和安卓二種系統(tǒng)。動(dòng)態(tài)令牌使用需要先將令牌證書導(dǎo)入，令牌證書導(dǎo)入后，在將令牌與相應(yīng)的用戶綁定起來, 即可以使用，手機(jī)令牌用戶還需要安裝手機(jī)令牌軟件。1、證書導(dǎo)入其它-usbkey列表菜單，點(diǎn)擊最下方的導(dǎo)入U(xiǎn)SBKEY按鈕導(dǎo)入U(xiǎn)甜KE¥打開USBKEY導(dǎo)入界面，先點(diǎn)擊瀏覽找到證書位置，在點(diǎn)提交，即可以將所有證書導(dǎo)入到堡壘機(jī)中。2、證書綁定證書導(dǎo)入后，需要將證書綁定給相應(yīng)的用戶， 用戶綁定后，即必須使用靜態(tài)密碼+動(dòng)態(tài)密碼 的登錄方式，新建用戶或點(diǎn)編輯用戶，在動(dòng)態(tài)口令卡找到為用戶綁定的動(dòng)態(tài)口令卡 ID，點(diǎn)確定 按鈕即完成綁定，注意用戶與口令卡是一對(duì)一的關(guān)系。3、運(yùn)維人員使用綁定以

42、后運(yùn)維人員登錄堡壘機(jī)頁面或使用工具直接登錄必須使用靜態(tài)口令+動(dòng)態(tài)口令為密碼來進(jìn)行登錄，令牌分為 USBKEY令牌與手機(jī)令牌二種。USBKEY令牌使用方式：將USBKEY令牌插入電腦USBKEY口，即可以出現(xiàn)一個(gè)名稱為動(dòng)態(tài)口令U盤，雙擊里面的程序，即可以令牌程序令牌的初始密碼為123456,輸入密碼后電腦右上角即可以出現(xiàn)令牌的懸浮窗口，可以用鼠標(biāo)點(diǎn)右鍵方式對(duì)密碼進(jìn)行復(fù)制粘貼動(dòng)態(tài)口令動(dòng)態(tài)密馮程序 2秒動(dòng)態(tài)善告；使甬忑地NTR服務(wù)器!手機(jī)令牌使用方式：安卓手機(jī)只需要使用手機(jī)助手將附件3中的token-app軟件復(fù)制到手機(jī)上，點(diǎn)擊安裝即可完成安裝。蘋果手機(jī)使用瀏覽器打開連接打開后，會(huì)彈出程序安裝界面如

43、下：點(diǎn)擊in stall applicatio n即可完成安裝，蘋果手機(jī)安裝完畢后，需要在設(shè)置-通用-描述文件添加對(duì)FindToken的信任才能使用動(dòng)態(tài)令牌。手機(jī)令牌用戶首次 登錄時(shí)，登錄成功后會(huì)進(jìn)入一個(gè)二維碼界面，二維碼中間含有用戶動(dòng)態(tài)口令密鑰信息，用戶需要打開APP APP首次登錄密碼為123456,登錄修改密碼后，點(diǎn)擊 APP上方的二維碼掃描按鈕，開啟攝像頭掃描二維碼，二維碼掃描后，手機(jī)的APP會(huì)出現(xiàn)動(dòng)態(tài)口令顯示界面，每15秒產(chǎn)生一個(gè)動(dòng)態(tài)口令，用戶將一個(gè)動(dòng)態(tài)口令輸入到手機(jī)二維碼驗(yàn)證頁面下方的 動(dòng)態(tài)口令TEXT成功后，系統(tǒng)會(huì)退出，以后用戶登錄需要使用靜態(tài)口令+手機(jī)生成的動(dòng)態(tài)口令才能登錄。用

44、戶名：testapp下_個(gè)密碼將在2秒后更新2015-12-01 01:083.6應(yīng)急方案因本方案以單機(jī)方式部署，且堡壘機(jī)本身不具備bypass功能當(dāng)堡壘機(jī)發(fā)生故障時(shí)，管理員登錄到應(yīng)用發(fā)布服務(wù)器，創(chuàng)建一個(gè)共用帳號(hào)發(fā)給運(yùn)維 人員登錄使用，運(yùn)維人員使用終端通過公用帳號(hào) RDP到應(yīng)用發(fā)布服務(wù)器上，在應(yīng)用發(fā)布 服務(wù)器上打開運(yùn)維工具進(jìn)行運(yùn)維。堡壘機(jī)恢復(fù)后，刪除應(yīng)用發(fā)布服務(wù)器共用帳號(hào)。應(yīng)用發(fā)布服務(wù)器發(fā)生故障時(shí)，分行提供一臺(tái)其它windows2003或2008服務(wù)器，在 這臺(tái)服務(wù)器上創(chuàng)建一個(gè)共用帳號(hào)，在堡壘機(jī)上添加這個(gè)共用帳號(hào)，并且把這個(gè)共用帳號(hào) 授權(quán)給所有運(yùn)維人員，運(yùn)維人員需要使用應(yīng)用發(fā)布時(shí)，先通過堡壘機(jī)

45、登錄到備用 Win dows服務(wù)器上，打開相應(yīng)的工具進(jìn)行運(yùn)維。系統(tǒng)測(cè)試4.1 TELNET訪問操作管理1. 點(diǎn)擊"資源管理”-"資產(chǎn)管理”，進(jìn)入設(shè)備列表項(xiàng)，找到Linux設(shè)備，為L(zhǎng)inux設(shè)備建立一個(gè)tel net帳號(hào)，并且將這個(gè)帳號(hào)與test運(yùn)維帳號(hào)進(jìn)行綁定2. 使用test帳號(hào)登錄運(yùn)維監(jiān)管系統(tǒng)，可以看到上步建立的telnet系統(tǒng)帳號(hào)，點(diǎn)擊右側(cè)的 putty進(jìn)行登錄，可以以tel net方式登錄到Lin ux系統(tǒng)3. 在系統(tǒng)里運(yùn)行一些命令退出4. 用超級(jí)管理員登錄監(jiān)管系統(tǒng)，在行為操作審計(jì)中可以查看到剛才的訪問，并且二種展現(xiàn)方式“查看”、“ Putty ”都能正常顯示操作結(jié)

46、果或者過程。4.2 SFTP訪問操作管理1. 點(diǎn)擊"資源管理”-“資產(chǎn)管理”，進(jìn)入設(shè)備列表項(xiàng)，找到Linux 設(shè)備，為L(zhǎng)inux設(shè)備建立一sftp帳號(hào)，并且將這個(gè)帳號(hào)與test運(yùn)維帳號(hào)進(jìn)行綁定2. 使用test帳號(hào)登錄運(yùn)維監(jiān)管系統(tǒng)，可以看到上步建立的sftp系統(tǒng)帳號(hào)，點(diǎn)擊右側(cè)的winscp進(jìn)行登錄，可以以sftp方式登錄到Linux系統(tǒng)3. 將一個(gè)文件從本地上傳到 Linux系統(tǒng)后退出用超級(jí)管理員登錄監(jiān)管系統(tǒng)，在行為操作審計(jì)中可以查看到剛才的訪問，并且二種展現(xiàn)方式“查 看”可以看到剛才上傳的文件名，點(diǎn)擊下載可以將文件下載到本地4.3 SSH訪問操作管理1. 點(diǎn)擊"資源管理”

47、-“資產(chǎn)管理”，進(jìn)入設(shè)備列表項(xiàng)，找到Linux設(shè)備，為L(zhǎng)inux設(shè)備建立一個(gè)ssh帳號(hào)，并且將這個(gè)帳號(hào)與test運(yùn)維帳號(hào)進(jìn)行綁定2. 使用test帳號(hào)登錄運(yùn)維監(jiān)管系統(tǒng)，可以看到上步建立的telnet系統(tǒng)帳號(hào)，點(diǎn)擊右側(cè)的 putty進(jìn)行登錄，可以以 ssh方式登錄到Linux系統(tǒng)3. 在系統(tǒng)里運(yùn)行一些命令退出4. 用超級(jí)管理員登錄監(jiān)管系統(tǒng)，在行為操作審計(jì)中可以查看到剛才的訪問，并且二種展現(xiàn)方式“查看”、“Putty ”都能正常顯示操作結(jié)果或者過程。4.4 RDP訪問操作管理1. 點(diǎn)擊“資源管理”-“資產(chǎn)管理”，進(jìn)入設(shè)備列表項(xiàng)，找到Windows 2003或2008設(shè)備，為設(shè)備建立一個(gè)rdp（20

48、08選擇rdp2008）帳號(hào)，并且將這個(gè)帳號(hào)與test運(yùn)維帳號(hào)進(jìn)行綁定2. 使用test帳號(hào)登錄運(yùn)維監(jiān)管系統(tǒng)，可以看到上步建立的tel net系統(tǒng)帳號(hào)，點(diǎn)擊右側(cè)的“本”地進(jìn)行登錄，可以以 RDP方式登錄到系統(tǒng)3. 在系統(tǒng)里運(yùn)行一些操作退出4. 用超級(jí)管理員登錄監(jiān)管系統(tǒng)，在行為操作審計(jì)中可以查看到剛才的訪問，并且點(diǎn)擊右側(cè)“本地” 都能正常顯示操作結(jié)果或者過程。4.5 FTP訪問操作管理1. 點(diǎn)擊“資源管理”-“資產(chǎn)管理”，進(jìn)入設(shè)備列表項(xiàng)，找到Linux設(shè)備，為L(zhǎng)inux設(shè)備建立一ftp帳號(hào)，并且將這個(gè)帳號(hào)與test運(yùn)維帳號(hào)進(jìn)行綁定2. 使用test帳號(hào)登錄運(yùn)維監(jiān)管系統(tǒng)，可以看到上步建立的 ftp

49、系統(tǒng)帳號(hào)，點(diǎn)擊右側(cè)的 winscp進(jìn) 行登錄，可以以ftp方式登錄到Linux系統(tǒng)3. 將一個(gè)文件從本地上傳到Linux系統(tǒng)后退出4. 用超級(jí)管理員登錄監(jiān)管系統(tǒng)，在行為操作審計(jì)中可以查看到剛才的訪問，并且二種展現(xiàn)方式“查看”可以看到剛才上傳的文件名，點(diǎn)擊下載可以將文件下載到本地集中管控平臺(tái)5.1集中管控平臺(tái)功能集中管控平臺(tái)可以實(shí)現(xiàn)在一個(gè)界面上管理多臺(tái)堡壘機(jī)，將堡壘機(jī)納入集中管控平臺(tái)管理以 后，管理員可以直接在集中管控平臺(tái)上對(duì)堡壘機(jī)的資產(chǎn)、權(quán)限進(jìn)行設(shè)置，并且可以在集中管控 平臺(tái)上輸出各種報(bào)表，不需要在到每一臺(tái)堡壘機(jī)上進(jìn)行操作，大大減化了操作過程。同時(shí)對(duì)于運(yùn)維人員，也不需要記錄多臺(tái)堡壘機(jī)ip和帳號(hào)

50、，只需要登錄到集中管控平臺(tái)，就可以看到自己能登錄的所有設(shè)備，也減化了運(yùn)維人員的操作過程。5.2設(shè)備硬件信息集中管控平臺(tái)物理參數(shù)如下:設(shè)備型號(hào)硬件參數(shù)集中管控平臺(tái)UOM-MGT-3000CPU64位3G/32G內(nèi)存/2T硬盤/交流電/2U5.3軟件信息設(shè)備操作系統(tǒng)軟件版本Licenses 數(shù)集中管控平臺(tái)Cen tos200個(gè)5.4地址規(guī)劃兩臺(tái)設(shè)備分別需要分配 3個(gè)IP地址，且三個(gè)地址需要在一個(gè)子網(wǎng)，其中二個(gè)IP地址為管理地址，一個(gè)IP地址為HA地址，HA地址為用戶訪問地址，二臺(tái)設(shè)備使用NRRP協(xié)議對(duì)HA地址進(jìn)行管理，當(dāng)主服務(wù)器出現(xiàn)問題時(shí)，HA地址會(huì)自動(dòng)飄移到從服務(wù)器。設(shè)備名稱所屬區(qū)域IP掩碼網(wǎng)關(guān)

51、主服務(wù)器總行從服務(wù)器總行HA地址總行5.5部署規(guī)劃設(shè)備為2U每臺(tái)需要2*10A電源450W功率5.6集中管控平臺(tái)部署集中管控平臺(tái)部署在 XX銀行總部，使用 HA架構(gòu)解決單點(diǎn)故障，集中管控平臺(tái)主要用于總 部管理人員進(jìn)行報(bào)表輸出和分析，同時(shí)，總部有一些運(yùn)維人員需要跨多個(gè)省進(jìn)行運(yùn)維操作時(shí)， 也可以通過集中管控平臺(tái)。集中管控平臺(tái)共計(jì)二臺(tái)，采用HA架構(gòu)，二臺(tái)集中管控平臺(tái)使用NRRP協(xié)議共同使用一個(gè)熱備份IP，當(dāng)主服務(wù)器出現(xiàn)問題時(shí)，從服務(wù)器會(huì)自動(dòng)將熱備份IP切換到本機(jī)，進(jìn)行服務(wù)接管，以保證不會(huì)出現(xiàn)單點(diǎn)故障。5.7系統(tǒng)上線需求集中管控平臺(tái)需要與各分行堡壘機(jī)進(jìn)行交互訪問，并且與總行運(yùn)維人員、總行管理人員終端進(jìn)行交互訪問，不需要與分行服務(wù)器進(jìn)行交互訪問，訪問策略如下: