1、深信服堡垒机OSM简单实施深信服堡垒机OSM简单实施什么是堡垒机堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、及时处理及审计定责。1.首先呢来简单的了解下堡垒机OSM这个产品,堡垒机呢经常出现再我们去实施等保的项目中,通俗点来说就是便于使用的客户集中管控客户组网中的一些设备,它能够更安全更便捷的对客户的网络设备进行“宏观调控”,类似于起到一个安全的跳板机的作用;逻辑部署的拓扑图如下:2.环境介绍:客户希望通过OSM实现对内网服务器,防火墙,VPN,核心
2、交换机以及楼层交换机的集中管控;3.需求分析:内网服务器可以添加对应的资源发布,防火墙、VPN这种web界面形式基于B/S访问的需要搭载配套的应用发布服务器才能实现访问,核心交换以及楼层交换这一块通过选择发布对应厂商的网络设备即可;4.配置思路:明确需求后就是上架通电干配置了:旁挂部署再核心上,配置个能和内网互通的地址即可;首次登陆设备需将自己电脑网卡配置成10.251.251.X/24的地址(堡垒机默认登陆地址为eht0:10.251.251.10/24);改好后使用浏览器访问https:/10.251.251.10 ;使用默认用户名密码*/*登陆即可。登陆超级管理员创建系统管理员,安全管理
3、员,安全审计员:配置接口的IP地址:使用*用户登录控制台,进入【运维管理】-【用户】菜单,创立三员账号:添加系统管理员用户sys*并赋予“系统管理员”角色添加安全管理员用户sec*并赋予“安全管理员”角色添加安全审计员用户sysAudit并赋予“安全审计员”角色使用安全管理员账号进行运维配置:创建用户:(根据客户需求去创建用户)创建资源:WEB界面访问方式需创建B/S应用;客户端资源建立C/S;其它的按需创建;如:授权:新增一条授权策略:添加需要授权给的用户,资源和资源账号:根据自身需求创建授权策略即可:1. 单点登陆配置:客户需要通过OSM运维安全资源池(web应用),运维过程运维人员并不知
4、道安全资源池的账号密码,需要由OSM单点登录到安全资源池里。1、首先使用浏览器打开安全资源池资源,使用F12(开发者工具)查看对应的账号、密码、登录按钮等属性信息,属性信息有id时写id的值,没有id时写name的值。注意:目标BS应用为标准form表单,可以很明确的提取到账号、密码、登录按钮属性,动态的form表单(例如选择认证方式动态变化的BS登录场景和带验证码的BS)或者非form表单的登录实现场景不支持配置单点登录将提取到的对应的属性信息配置到BS资源界面的对应属性里:配置BS资源用于单点登录的账号和口令,从而实现BS资源代填账号密码登录,配置完成后需在授权界面将配置好的账号授权给运维
5、用户(如果选择资源授权方式则【是否可授权】勾选后会自动授权):选择单点登陆代填账户名和密码:更多更细节具体的配置可以参考资源发布的文档:应用发布服务器这一块的话因为是安装再服务器上的,所以没法截图,不过我们可以把它看成是跳板机,用来承载B/S资源,一般情况下是通过虚拟机镜像模板部署在虚拟环境中,需要根据实际情况,跟客户确定好部署环境后找客服要模板,按需下载;没有虚拟话环境的话,要么是找一个空闲的服务器装一个VM 或者 直接物理机重装系统,然后重新搭建配置好应用发布服务器后需要以系统管理员的身份登陆设备,在【系统配置】-【关联服务】-【应用发布】新增应用发布服务器进行相关配置;具体可以参考应用发布服务器配置文档:总结:Sangfor的堡垒机可以实现的功能有很多,首先呢要去配置好网络,在创立三员账号,通过系统管理员创建用户,发布资源,绑定授权(这个就感觉有点类似于VPN了),再根据客户需求配置好对应的资源类型。根据不同场景进行不同方案的配置。因为之前也没搞过,所以也是边学习边搞,有需改进的地方欢迎大家多提建议。
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1