银行堡垒机实施方案Word文件下载.docx
《银行堡垒机实施方案Word文件下载.docx》由会员分享,可在线阅读,更多相关《银行堡垒机实施方案Word文件下载.docx(39页珍藏版)》请在冰豆网上搜索。
2.4地址规划 7
2.5部署规划 7
3应用部署实施 8
3.1堡垒机上线说明 8
3.2设备初始化 8
3.2.1上架加电 9
3.2.2网络配置 9
3.3堡垒机配置修改方式 9
3.3.1目录树调整 10
3.3.2设备类型添加及修改 11
3.3.3堡垒机用户导入及用户配置 11
3.3.4主机设备帐号导入 14
3.3.5系统帐号赋权 18
3.3.6应用发布服务器添加 20
3.4堡垒机应用发布配置 22
3.4.1应用发布用户配置 22
3.4.2应用用户组授权 23
3.5数据留存配置 24
3.5.1审计数据留存 24
3.5.2设备配置留存 25
3.5.3定时任务配置 26
3.5.4动态令牌使用手册 27
1、证书导入 27
2、证书绑定 28
3、运维人员使用 28
3.6应急方案 30
4系统测试 31
4.1TELNET访问操作管理 31
4.2SFTP访问操作管理 31
4.3SSH访问操作管理 32
4.4RDP访问操作管理 32
4.5FTP访问操作管理 32
5集中管控平台 33
5.1集中管控平台功能 33
5.2设备硬件信息 33
5.3软件信息 33
5.4地址规划 33
5.5部署规划 34
5.6集中管控平台部署 34
5.7系统上线需求 35
5.8系统安装 35
6双机部署模式 36
6.1双机部署模式功能 36
6.2上线条件 36
6.3地址规划 37
6.4上线步骤 37
1文档说明
1.1麒麟开源堡垒机使用概述
随着我行业务范围和营业网点的不断延伸扩大,各类特色业务系统和基础网络设备随之上线运行,切实有效的保障了各分行业务的稳定性、安全性和灵活性。
但与此同时,随着业务系统应用范围越来越广、数据越来越多,所需日常维护的系统和设备也在日益增长,科技运维部门面临的网络、系统安全稳定运行的压力也随之增加。
当前运维管理中存在的主要问题是,技术人员和维护人员的日常管理和维护都是直接登录业务系统、设备进行操作,没有针对运维操作进行统一管理、统一审计、统一分析的系统,造成运维操作没有办法进行监控分析,进而造成内部数据信息泄露、违规操作、恶意操作、密码外泄等一系列重大安全隐患。
随着监管对于日常运维工作审计记录的监管需求以及XX银行本身运维规范化管理的需求,实现分行骨干设备的运维操作的审计需求迫在眉睫。
本次堡垒机项目使用麒麟开源堡垒机,麒麟开源堡垒机产品功能强大稳定性高,经过测试可以完全满足银行的使用需要。
1.2运维操作现状
当前分行均已部署了ACS设备,实现了网络帐号统一管理、权限控制、及命令记录功能。
但因为缺少专业的运维管理系统,对于运维操作的监控,还存在一定的盲区,主要表现为:
Ø
运维操作方式多样、分散,缺乏有效集中管理;
运维操作缺乏技术手段来约束;
对运维操作行为的审计方式不直观;
共享账号的情况普遍,给访问者定位带来难题。
2物理部署规划
2.1设备硬件信息
运维审计系统包括堡垒机和应用发布服务器两台设备,物理参数如下:
设备
型号
硬件参数
堡垒机
麒麟开源堡垒机
CPU64位3G/16G内存/2T硬盘/交流电/2U
应用发布服务器
麒麟应用发布模块
CPU64位3G/32G内存/2T硬盘/交流电/2U
2.2软件信息
操作系统
软件版本
Licenses数
Centos
V1.1
100000个
Windowsserver2008
V1.3
2.3系统LOGO
堡垒机LOGO在安装时,都已经被设置为XX银行运维审计平台,以与其它系统进行区分。
2.4地址规划
参照分行部署规范,运维审计堡垒机及应用发布平台,需要分行分配在基础服务器区域,分配【199.XX.XX.XX】的地址,两台设备分别需要分配IP地址,且两个地址需要在一个子网。
示例如下
设备名称
所属区域
产品型号
IP
内网
UOM-1000A
199.1.1.1
Modul-APP-RELEAS-HW
199.1.1.2
2.5部署规划
n堡垒机、应用发布平台各需要2U的机柜空间位置
n堡垒机、应用发布平台需要部署在基础服务器接入区
n堡垒机、应用发布平台个需要2*10A电源
3应用部署实施
3.1堡垒机上线说明
堡垒机在发往用户前,已经完成如下设置:
l设备IP地址、网关、应用发布连接
l设备、人员、权限关系、目录结构的前期调研和导入
l密码规则策略设置
l数据留存策略设置
堡垒机现场上线实施步骤包括:
l设备上架、加电
l网络连通性测试
l系统功能测试
l现场培训
注:
堡垒机出厂时,已经完成了数据导入、权限策略设置、应用发布设置和IP等环境设置,如果有实时时发生更改,请按下面相应描述章节进行修改
3.2设备初始化
n上架加电
n设置IP地址、网络掩码、网管
3.2.1上架加电
第一步、分别将堡垒机和应用发布服务器按照部署位置,将主机安装固定到机柜中。
第二步、将随机携带的电源线插到主机后面板的电源插座上。
第三步、将电源线的另一端插到机柜为主机提供交流电源的插座上。
3.2.2网络配置
发货前,堡垒机和应用发布IP默认已经按客户要求配置完毕,如果需要现场修改可以按如下步骤:
堡垒机和应用发布服务器网卡默认IP为:
网卡名称
访问方式
Eth0
分行提供的IP
https、ssh
Eth1
172.16.210.1/30
管理口
172.16.210.5/30
https
应用发布
Eth0
RDP
本次工程,堡垒机和应用发布都要求使用eth0口,修改堡垒机和应用发布IP时,使用eth1进行登录,以避免配置错误后无法登入,堡垒机的管理口为console,通过https访问可以得到键盘显示器的界面,如果堡垒机出现硬件故障或两个网卡都不通时,使用管理口登录。
完成上架加电操作后,打开堡垒机的电源按钮,堡垒机开机启动,等待两分钟,启动完成后,
使用笔记本通过网线连接堡垒机,笔记本IP地址配置为172.16.210.2/30后使用网线直接连接到堡垒机eth1口,然后使用浏览器打开https:
//172.16.210.1用户名输入admin密码12345678,进入堡垒机系统,在【系统配置】-【网络配置】中修改网卡的IP地址信息,更改为规划好的eth0IP地址。
应用发布IPeth1地址默认为172.16.210.1/30,可以直接使用mstscrdp到应用发布服务器对IP地址进行修改。
3.3堡垒机配置修改方式
堡垒机上线,已经完成项如下:
n目录树导入、设置
n堡垒机用户导入表,建立主帐号
n设备、设备用户导入,建立从帐号
n飞塔防火墙应用从帐号导入
n设备授权设置
到现场,有可能会对某些设备进行相应的调整,调整方法如下:
3.3.1目录树调整
单击导航树中【资源管理】中的【资产管理】,选择“目录管理”页签,单击“增加新节点”;
根据所要创建的组类型选择“所属目录”与“属性”;
系统已经默认安装了标准的目录结构,只需要对目录结构进行相应的修改即可以完成本步设置
图1
说明:
“节点名”输入节点的名称,“所属目录”新创建目录所属那个父组;
设备组目录结构与分行ACS一致,目录树可以无限级目录,堡垒机配置前必须先将目录树配置完毕才能进行用户和设备的导入,用户和设备导入时,必须有配置好的目录树。
3.3.2设备类型添加及修改
设备类型配置,主要是加入分行有的,但堡垒机中不存在的设备类型,否则导入时无法写成正确的设备类型(为了方便管理,设备类型最好不要涉及型号,只设置厂商即可,比如Cisco的2960交换机、3950交换机,可以统一放在Cisco类型的设备中)
单击导航树中【资源管理】中的【资产管理】,选择“系统类型”页签,单击“增加”;
图2
“主机/网络”选项中,主机代表操作系统类型设备,网络代表路由交换类型设备,“系统类型”框中填写设备的类型,中文、英文都支持;
3.3.3堡垒机用户导入及用户配置
导入表格填写,将附件一.运维人员导入表格按如下要求进行填写
用户名:
运维人员登录堡垒机时的名称,要求唯一(必须填写)
密码:
运维人员登录堡垒机时的密码(必须填写)
真实姓名:
运维人员的真实姓名(必须填写)
电子邮箱:
运维人员的电子邮箱地址(选择填写)
用户权限:
统一配置为普通用户(必须填写)
组名:
目录结构中的资源组名称,如果出现同样名称的资源组,则导入时需要用组名(id)方式,比如出现重名的first组,如果你想在界面中这个组加入,则组名为first(221)
手机号码:
运维人员的手机号码(选择填写)
工作单位:
运维人员的工作单位(选择填写)
工作部门:
运维人员的工作部门(选择填写)
USBKEY:
为动态口令的令牌ID,如果用户需要动态令牌,则在动态令牌列表文件中选择一个未使用的动态令牌给用户
后面的其它选项:
一般不需要填写,所有的用户按模版复制即可
用户导入表确认无误后,使用admin用户登录前台,在资源管理-资产管理-用户管理菜单,点击右下方的导入按钮
在导入界面中,将加密的勾勾上,点击浏览按钮,选择找到需要导入的用户表后,点击提交按钮,即可以将所有的用户导入到堡垒机中
点入确定后,会给用户提示,表中哪些用户没有导入成功及未成功的理由
用户导入后,如果有个另的用户需要修改或添加,可以在用户管理菜单进行操作
单击导航树中【资源管理】中的【资产管理】,选择“用户管理”页签,单击“添加用户”,填写用户的基本信息、权限信息及其他信息;
图3
图4
3.3.4主机设备帐号导入
主机设备帐号导入前提与堡垒机帐号导入前提一致,必须先做好目录树。
按附件二主机设备帐号表中的要求收集分行的主机帐号设备,并且填好,主机帐号导入时,会自动创建主机
主机名:
主机的名称
IP主机的IP地址
服务器组:
服务器所属组的ID号,因为目录中允许同名称的组,因此,服务器组用ID号替代,可以在资产管理-资源管理-目录节点中查看ID号,如下图:
系统类型:
主机的操作系统类型,必须在第一章中添加的或系统自带的中选择添加
系统用户:
系统用户名
升级会员 