VPN和堡壘機用戶使用手冊

VPN和堡壘機使用手冊VPN使用步驟VPN和堡壘機組合適用遠程運維主機接入，主要用于運維人員和開發(fā)人員通過遠程桌面和SSH登陸主機進行操作，原則上非運維人員不能使用該方式接入。登陸主要有訪問政務云名美管理網(wǎng)、政務云電信東涌管理網(wǎng)、政務外網(wǎng)業(yè)務幾種典型應用場景。典型應用場景訪問政務云名美管理網(wǎng)使用瀏覽器訪問地址44；首次打開后會有提示要先下載并安裝客戶端，如下圖：按提示下載安裝完畢后，打開客戶端，輸入服務器地址：44；如下圖：輸入完畢后在賬號欄處，輸入自己的賬號用戶名和初始密碼，如下圖：輸入用戶名和密碼后點擊登錄，準入認證通過后，首臺終端登錄會提示綁定硬件特征碼，點擊提交申請。首次登錄成功后系統(tǒng)會提示進行密碼修改（如下圖）。按頁面的密碼設(shè)置要求，在“新密碼”和“確認密碼”輸入文本框中輸入新密碼，點擊“確定”完成密碼的修改。登錄54:1024（使用ie瀏覽器打開該鏈接）下載安裝華為自帶SSLVPN軟件:secoclient-win-64-1；下載地方：登錄后點擊->用戶選項->下載網(wǎng)絡(luò)擴展客戶端軟件。啟動secoclient軟件，首次啟動需要創(chuàng)建連接，見下圖：網(wǎng)關(guān)地址：54端口1024登錄堡壘機，進行相關(guān)資源訪問，見下圖：堡壘機地址：2/登錄成功后界面如下：典型應用場景訪問政務云東涌管理網(wǎng)使用瀏覽器訪問地址44；首次打開后會有提示要先下載并安裝客戶端，如下圖：按提示下載安裝完畢后，打開客戶端，輸入服務器地址：44；如下圖：輸入完畢后在賬號欄處，輸入自己的賬號用戶名和初始密碼，如下圖：輸入用戶名和密碼后點擊登錄，準入認證通過后，首臺終端登錄會提示綁定硬件特征碼，點擊提交申請。首次登錄成功后系統(tǒng)會提示進行密碼修改（如下圖）。按頁面的密碼設(shè)置要求，在“新密碼”和“確認密碼”輸入文本框中輸入新密碼，點擊“確定”完成密碼的修改。登錄48:1024（使用ie瀏覽器打開該鏈接）下載安裝華為自帶SSLVPN軟件:secoclient-win-64-1下載地方：登錄后點擊->用戶選項->下載網(wǎng)絡(luò)擴展客戶端軟件。啟動secoclient軟件，首次啟動需要創(chuàng)建連接，見下圖：網(wǎng)關(guān)地址：48端口1024登錄堡壘機，進行相關(guān)資源訪問，見下圖：堡壘機地址：登錄成功后界面如下：典型應用場景訪問政務外網(wǎng)資源原則上政務外網(wǎng)VPN不能直接訪問業(yè)務系統(tǒng)，如有特殊情況需要開通政務外網(wǎng)業(yè)務訪問，步驟如下：使用瀏覽器訪問地址44；首次打開后會有提示要先下載并安裝客戶端，如下圖：按提示下載安裝完畢后，打開客戶端，輸入服務器地址：44；如下圖：輸入完畢后在賬號欄處，輸入自己的賬號用戶名和初始密碼，如下圖：輸入用戶名和密碼后點擊登錄，準入認證通過后，首臺終端登錄會提示綁定硬件特征碼，點擊提交申請。首次登錄成功后系統(tǒng)會提示進行密碼修改。按頁面的密碼設(shè)置要求，在“新密碼”和“確認密碼”輸入文本框中輸入新密碼，點擊“確定”完成密碼的修改。成功登陸后，打開瀏覽器即可訪問申請的資源（如訪問藍鯨工單系統(tǒng)）。典型應用場景訪問其他堡壘機其他堡壘機包含：名稱登陸網(wǎng)址政數(shù)局政務外網(wǎng)堡壘機70政數(shù)局九號樓堡壘機52政數(shù)局互聯(lián)網(wǎng)區(qū)堡壘機9政數(shù)局H3C堡壘機49重堡壘5/使用瀏覽器訪問地址44；首次打開后會有提示要先下載并安裝客戶端按提示下載安裝完畢后，打開客戶端，輸入服務器地址：44；輸入完畢后在賬號欄處，輸入自己的賬號用戶名和初始密碼，如下圖：輸入用戶名和密碼后點擊登錄，準入認證通過后，首臺終端登錄會提示綁定硬件特征碼，點擊提交申請。首次登錄成功后系統(tǒng)會提示進行密碼修改（如下圖）。按頁面的密碼設(shè)置要求，在“新密碼”和“確認密碼”輸入文本框中輸入新密碼，點擊“確定”完成密碼的修改。成功登陸后，打開瀏覽器訪問其他堡壘機地址，堡壘機使用步驟堡壘機操作步驟VPN和堡壘機組合適用遠程運維主機接入，主要用于運維人員和開發(fā)人員通過遠程桌面和SSH登陸主機進行操作。登陸政務云名美和東涌管理網(wǎng)撥通VPN后堡壘機的使用步驟如下；打開瀏覽器訪問堡壘機地址（僅支持谷歌、火狐瀏覽器或者ie11），輸入賬號密碼登錄首次輸入賬號密碼登錄成功會提示綁定OTP二次認證綁定，如下圖用戶使用OTP軟件掃描二維碼后（此二維碼僅顯示一次，可截屏保留），輸入當前手機動態(tài)碼即可完成手機令牌的綁定。以FreeOTP為例，點擊下圖中的按鈕可以進行二維碼掃描：

點擊有登陸堡壘機用戶名的條目可以顯示動態(tài)碼，如下圖：在堡壘機動態(tài)碼輸入框內(nèi)輸入動態(tài)碼，如果成功登陸，就可以完成綁定：登錄成功后可看到堡壘機申請資源下載堡壘機遠程訪問插件插件下載完成后點擊需要進行管理的服務器堡壘機連接跳板機如果需要堡壘機連接跳板機再跳轉(zhuǎn)至政務云的其他設(shè)備。主要場景如下：Windows跳板機連接windows主機：打開windows遠程桌面，政務云上主機輸入地址“IP地址:63333”(注意IP地址為政務云主機的業(yè)務私網(wǎng)地址，端口為63333。同個租戶的主機用業(yè)務私網(wǎng)地址直接訪問，無需開通防火墻)Windows跳板機連接Linux主機：自行安裝ssh連接工具，連接地址為業(yè)務私網(wǎng)地址，端口默認。同個租戶的主機用業(yè)務私網(wǎng)地址直接訪問，無需開通防火墻Linux跳板機連接Linux主機：命令行直接連目標主機，連接地址為業(yè)務私網(wǎng)地址，端口默認。同個租戶的主機用業(yè)務私網(wǎng)地址直接訪問，無需開通防火墻若出現(xiàn)報錯如下：使用參數(shù)“-oCiphers=+3des-cbc”解決故障排查VPN故障排查登錄深信服VPN（easyconnect）客戶端后無法訪問目標1、右鍵點擊VPN客戶端圖標，檢查客戶端連接狀態(tài)，是否分配虛擬IP地址，如下圖。若虛擬IP地址欄顯示“未分配”，請重啟電腦或卸載客戶端重新安裝即可。2、電腦重啟或客戶端重裝還是顯示虛擬IP地址“未分配”，下載深信服VPN客戶端修復工具，點擊快速修復，下載連接：44/com/win/svpntool.zip3、仍有問題的話再聯(lián)系政數(shù)局安全運維團隊處理。登錄華為VPN（SecoClient）報錯顯示VPN可能無法到達，檢查VPN配置是否正確或檢查深信服VPN狀態(tài)是否獲取虛擬IP地址。顯示連接網(wǎng)關(guān)被拒絕，需聯(lián)系VPN管理員配置。顯示認證失敗，請確認密碼是否輸入正確。若需重置密碼請?zhí)峤话踩兏鼏沃刂妹艽a。VPN賬號被禁用、忘記密碼、賬號過期、硬件特征碼上限導致無法登錄1、VPN賬號三個月未登錄系統(tǒng)則自動禁用該賬號，需提交安全變更工單重新啟用。2、忘記密碼需重置密碼請?zhí)峤话踩兏鼏沃刂谩?、賬號有效期默認一年，過期需提交安全并更單延長有效期。4、登錄提示用戶硬件特征碼上限，需提交安全變更單申請清空硬件特征碼重新綁定。堡壘機故障排查堡壘機傳輸數(shù)據(jù)緩慢1.通過堡壘機登陸運維主機傳輸數(shù)據(jù)時，采用vpn方式網(wǎng)絡(luò)帶寬有限制。經(jīng)管理員實測政務云管理網(wǎng)數(shù)據(jù)拷貝上傳速率為2Mbps，如傳輸數(shù)據(jù)緩慢需檢查本地互聯(lián)網(wǎng)網(wǎng)絡(luò)狀況。2.通過遠程桌面?zhèn)鬏敂?shù)據(jù)建議文件大小不超過1個G。如超過1G文件，建議申請堡壘機的ftp傳輸或申請互聯(lián)網(wǎng)點對點傳輸（防火墻工單）。遠程桌面操作卡頓掉線，體驗差1.因為安全原因，堡壘機的政務云管理網(wǎng)遠程超時時間為25分鐘，超時沒任何操作的將自動斷開。如需保持連接需25分鐘內(nèi)至少操作一次2.終端切勿鎖屏、待機等，由于windows的保護機制，鎖屏待機等將導致VPN斷開連接。用戶更換手機丟失OPT二次密碼堡壘機啟用OTP雙重認證，在每次登陸時需要先輸入密碼，再輸入動態(tài)密碼。再堡壘機賬號首次登陸，可手機綁定動態(tài)密碼二維碼，此二維碼需要個人保存，如更換手機或者遺失二維碼，需要重新提交堡壘機工單，重置雙重認證，綁定新的二維碼。賬號過期或忘記密碼賬號過期請在藍鯨提交安全業(yè)務變更單申請延長賬號有效期。忘記密碼請在藍鯨提交安全業(yè)務變更單重置密碼。密碼過期導致無法登錄堡壘機初始密碼有效期三個月，在密碼過期前十天會提示更換密碼，如逾期未更改，賬號便無法登錄，需要提出業(yè)務變更密碼延長有效期。如忘記堡壘機密碼，需要提出堡壘機變更單重置密碼。密碼即將過期用戶可自行提前修改密碼，方式如下：堡壘機右上角進入個人設(shè)置輸入“當前密碼”+“空格”+“動態(tài)驗證碼”，動態(tài)驗證碼從手機段獲取修改個人密碼堡壘機遠程連接Windows服務器報錯問題提示如下請在藍鯨上提交日常協(xié)助，并聯(lián)系云平臺組王瀟處理具體流程如下：連接windows服務器，一直卡在遠程連接界面如下圖，請在藍鯨上提交日常協(xié)助，并聯(lián)系云平臺組王瀟具體流程如下：連接linux服務器點擊“打開齊治客戶端”后無反應先檢查本機終端是否安裝ssh遠程連接工具，推薦使用xshell，不建議使用CRT。（xshell不支持綠色版的）更改遠程連接工具堡壘機右上角進入個人設(shè)置輸入“當前密碼”+“空格”+“動態(tài)驗證碼”，動態(tài)驗證碼從手機段獲取修改ssh遠程連接工具，xshell、putty等使用SSH、RDP、FTP等服務時，問題提示“請求操作需要提升”如下圖所示：解決辦法：修改以下目錄紅框中兩個文件屬性，設(shè)置“以管理員身份運行該程序”賬號鎖定怎么辦？1小時內(nèi)輸入密碼錯誤五次導致賬號鎖定，提交安全業(yè)務變更單解鎖或等待60分鐘后賬號自動解鎖。使用FileZilla傳大文件很容易中斷怎么辦