银行堡垒机实施计划方案
堡垒机 实施方案
堡垒机实施方案一、背景介绍随着信息技术的不断发展,网络安全问题日益突出,各种网络攻击层出不穷,给企业的信息系统安全带来了严峻挑战。
为了加强网络安全防护,保障企业信息系统的安全稳定运行,我们决定引入堡垒机,并制定实施方案,以确保其有效运行。
二、堡垒机的作用堡垒机作为一种网络安全设备,主要用于对企业内部网络进行安全管控,实现对用户行为的监控、审计和管理。
其主要作用包括:1. 控制用户权限:通过堡垒机,可以对用户的操作权限进行精细化控制,避免用户越权操作,提高系统安全性。
2. 审计用户行为:堡垒机可以记录用户的操作行为,包括命令输入、文件操作等,对用户行为进行审计,以便及时发现异常行为。
3. 管理远程访问:对于需要远程访问内部网络的用户,堡垒机可以提供安全的通道,确保远程访问的安全性。
三、堡垒机实施方案1. 硬件设备采购:根据企业规模和需求,选购适当的堡垒机设备,并确保设备的稳定性和可靠性。
2. 网络架构设计:根据企业网络拓扑结构,合理设计堡垒机的部署位置和网络连接方式,确保其能够有效监控和管控内部网络。
3. 系统部署和配置:对堡垒机进行系统部署和配置,包括安装操作系统、安全补丁和相关软件,设置用户权限和审计策略等。
4. 用户培训和权限划分:对企业内部用户进行堡垒机的使用培训,同时根据用户的工作需要,合理划分用户权限,确保用户能够正常高效地使用堡垒机。
5. 运维管理:建立堡垒机的运维管理机制,包括定期对系统进行巡检和维护,及时处理系统异常和安全事件,保障堡垒机的稳定运行。
四、实施效果评估1. 安全性提升:通过堡垒机的实施,企业内部网络的安全性得到了有效提升,用户操作行为得到了管控和审计,大大降低了内部网络受到攻击的风险。
2. 提高工作效率:堡垒机的精细权限管理和远程访问管控,使得用户可以更加安全、便捷地进行工作,提高了工作效率。
3. 审计合规性:堡垒机的审计功能可以对用户的操作行为进行全面记录和审计,确保企业的信息系统合规性和安全性。
堡垒机项目实施方案
堡垒机项目实施方案一、项目背景。
随着企业信息化程度的不断提升,网络安全问题日益突出,为了保障企业信息系统的安全,我们决定启动堡垒机项目。
堡垒机是一种用于管理、控制和监控服务器远程访问的安全设备,可以有效防范内部人员的非法操作,提高系统的安全性和稳定性。
二、项目目标。
1. 建立统一的堡垒机管理平台,实现对服务器远程访问的全面监控和管控;2. 提高系统安全性,减少内部人员的非法操作风险;3. 简化运维流程,提高运维效率;4. 降低系统故障率,提高系统稳定性。
三、项目实施方案。
1. 硬件采购。
根据公司规模和实际需求,选择合适的堡垒机设备,并确保设备性能稳定、可靠。
2. 网络架构设计。
在现有网络架构的基础上,合理规划堡垒机的部署位置和网络连接方式,确保堡垒机与各个服务器之间的通信畅通无阻。
3. 系统部署。
按照网络架构设计方案,对堡垒机系统进行部署和配置,确保系统能够正常运行并满足实际需求。
4. 权限管理。
建立严格的权限管理机制,对用户进行身份认证和授权管理,确保用户只能访问其被授权的服务器和资源。
5. 日志监控。
配置日志监控系统,对用户操作行为进行记录和审计,及时发现异常操作并采取相应措施。
6. 系统维护。
建立定期的系统维护计划,对堡垒机系统进行定期检查和维护,确保系统的稳定性和安全性。
四、项目实施流程。
1. 确定项目组成员,明确各自职责和任务;2. 进行堡垒机设备的采购和网络架构设计;3. 进行系统部署和配置,完成权限管理和日志监控的设置;4. 进行系统测试和调优;5. 进行培训和知识传递;6. 正式投入使用,并进行后续的系统维护和监控。
五、项目风险及对策。
1. 设备选型不当、性能不足等问题,可能导致系统运行不稳定,应提前进行充分的设备评估和测试;2. 系统部署和配置不当,可能导致权限管理和日志监控不到位,应加强对系统部署和配置的审核和监督;3. 人员培训不足,可能导致系统无法得到有效利用,应加强对人员的培训和知识传递。
堡垒机解决方案
堡垒机解决方案一、背景介绍随着信息技术的快速发展,企业内部网络安全问题日益突出。
为了保护企业的核心数据和网络资源,堡垒机作为一种安全控制设备应运而生。
堡垒机主要用于对企业内部的服务器进行访问控制、审计和安全管理,有效提升企业的网络安全防护能力。
二、堡垒机解决方案的优势1. 强大的访问控制能力:堡垒机通过对用户进行身份认证、权限管理和访问控制,实现对服务器的精细化控制,确保惟独授权用户才干访问敏感数据和系统资源。
2. 完善的审计功能:堡垒机能够对用户的操作行为进行全面监控和记录,包括登录、命令执行、文件传输等操作,为企业提供安全审计和合规性管理的支持。
3. 高效的安全管理:堡垒机提供统一的安全管理平台,管理员可以对用户账号、权限、操作日志等进行集中管理,简化了安全管理的复杂性。
4. 灵便的扩展性:堡垒机支持多种认证方式,如密码认证、密钥认证、双因素认证等,同时也支持多种协议,如SSH、Telnet等,满足不同企业的安全需求。
5. 友好的用户界面:堡垒机提供直观、易用的用户界面,用户可以通过图形化界面进行操作,无需复杂的命令行操作,提高了用户的工作效率。
三、堡垒机解决方案的应用场景1. 企业内部服务器管理:堡垒机可以对企业内部的各类服务器进行统一管理和控制,包括Linux服务器、Windows服务器、数据库服务器等,提升服务器的安全性和管理效率。
2. 外部供应商访问控制:对于与外部供应商合作的企业,堡垒机可以对供应商的访问进行严格控制,确保惟独经过授权的供应商才干访问企业的关键系统和数据。
3. 远程运维管理:对于需要远程管理的企业,堡垒机可以提供安全的远程访问通道,管理员可以通过堡垒机远程登录服务器进行运维管理,同时实现对运维人员的权限控制和操作审计。
4. 云计算环境安全管理:在云计算环境中,堡垒机可以对云服务器进行访问控制和安全审计,保护云计算环境的安全性和稳定性。
四、堡垒机解决方案的实施步骤1. 需求分析:根据企业的实际需求,确定堡垒机的功能和配置要求,包括用户认证方式、权限管理策略、审计需求等。
堡垒机 方案
堡垒机方案堡垒机方案1. 引言堡垒机是一种网络安全设备,用于提供对企业内部网络的远程访问控制和身份认证管理。
堡垒机的作用类似于一个虚拟的门禁系统,可以监控和控制远程用户对内部服务器的访问权限,提高整个网络的安全性。
本文将介绍堡垒机的工作原理和实施方案,并提供一些实际应用中的注意事项。
2. 堡垒机的工作原理堡垒机主要由三个组成部分构成:认证服务器、访问控制服务器和审计服务器。
2.1 认证服务器认证服务器是堡垒机的核心组件,负责对用户进行身份认证。
当一个用户想要访问企业内部服务器时,首先需要通过认证服务器进行身份验证。
认证服务器会验证用户提供的用户名和密码,并根据预先配置的访问控制规则来决定用户是否有权访问服务器。
2.2 访问控制服务器访问控制服务器是堡垒机的另一个重要组成部分,用于监控和控制用户对内部服务器的访问权限。
一旦用户通过认证服务器的身份认证,访问控制服务器将会根据用户所属的用户组和角色来决定其在服务器上的具体访问权限。
访问控制服务器还可以记录用户的操作日志,以便审计和监控。
2.3 审计服务器审计服务器用于存储和管理堡垒机的审计日志。
当用户通过堡垒机访问服务器时,堡垒机会记录用户的操作行为,并将这些信息发送到审计服务器进行存储。
审计服务器可以对这些日志进行分析和报表生成,以便于安全团队进行安全事件的检测和应对。
3. 堡垒机的实施方案在实施堡垒机方案时,需要考虑以下几个方面:3.1 网络拓扑堡垒机的部署需要考虑网络拓扑,通常会将堡垒机部署在企业的网络边缘,作为企业内部网络和外部网络之间的隔离设备。
堡垒机需要和企业内部网络中的服务器进行连接,以提供远程访问和控制。
3.2 访问控制策略堡垒机的访问控制策略需要根据企业的实际需求进行定制。
通常情况下,可以根据用户所属的用户组和角色来确定其具体的访问权限。
访问控制策略应该精细化配置,确保用户只能访问其需要的服务器和服务,并限制其对其他资源的访问。
3.3 身份认证方式堡垒机可以支持多种身份认证方式,如基于用户名和密码的认证、基于密钥的认证等。
堡垒机技术实施方案
堡垒机技术实施方案一、背景介绍。
随着信息化建设的不断深入,企业内部网络安全问题日益凸显,各种网络攻击和数据泄露事件层出不穷,因此,构建一个安全可靠的网络环境变得尤为重要。
堡垒机作为一种重要的网络安全设备,可以有效地提高网络安全性,保护企业重要数据和系统的安全。
二、堡垒机技术实施方案。
1. 硬件选型。
在进行堡垒机技术实施时,首先需要根据企业的实际需求和规模选择合适的硬件设备。
一般来说,堡垒机需要具备高性能的处理器、大容量的存储空间以及稳定可靠的网络接口,以满足大量用户同时访问的需求。
2. 网络拓扑规划。
在进行堡垒机技术实施时,需要对企业内部网络进行合理的拓扑规划。
一般来说,堡垒机需要部署在企业的核心网络位置,以便对整个内部网络进行管控和监控,同时需要与防火墙、交换机等网络设备进行连接,构建起完善的网络安全防护体系。
3. 访问控制策略。
堡垒机的核心功能之一是进行严格的访问控制,对用户进行身份认证和权限管理。
在实施堡垒机技术时,需要根据企业的实际需求,制定合理的访问控制策略,包括用户的身份认证方式、权限的分级管理、操作日志的记录和审计等,以确保企业内部网络的安全。
4. 安全审计和监控。
堡垒机作为企业网络安全的重要组成部分,需要具备完善的安全审计和监控功能。
在进行堡垒机技术实施时,需要对安全审计和监控系统进行合理的配置,包括对用户操作行为的实时监控、异常行为的自动报警和应急处理等,以及对操作日志和安全事件的记录和分析,及时发现和处理安全隐患。
5. 灾备和容灾设计。
在实施堡垒机技术时,需要考虑灾备和容灾设计,以确保堡垒机系统的高可用性和稳定性。
一般来说,可以采用主备或者集群的方式进行部署,同时需要对系统进行定期的备份和恢复测试,以应对突发情况的发生。
6. 培训和管理。
在堡垒机技术实施完成后,需要对企业内部的管理员和用户进行合适的培训和管理。
管理员需要熟悉堡垒机的操作和管理,以保证系统的正常运行和安全管理;用户需要了解堡垒机的使用方法和注意事项,以确保其安全使用企业内部系统和数据。
银行堡垒机实施方案
银行分行运维审计平台实施方案文档版本3.4 (2022-04-25)银行总行科技开发部运维中心第2页, 共38页修订记录/Change History文档版本3.4 (2022-04-25) 银行总行科技开发部运维中心第3页, 共38页目录1 文档说明 (5)1.1 概述 .................................................................................................................................................... 5 1.2 运维操作现状 . (5)2 物理部署规划 (6)2.1 设备硬件信息 ..................................................................................................................................... 6 2.2 软件信息............................................................................................................................................. 7 2.3 系统LOGO ............................................................................................................................................ 7 2.4 地址规划............................................................................................................................................. 7 2.5 部署规划 (7)3 应用部署实施 (8)3.1 堡垒机上线说明 ................................................................................................................................. 8 3.2 设备初始化 ......................................................................................................................................... 8 3.2.1 上架加电 ................................................................................................................................... 8 3.2.2 网络配置 ................................................................................................................................... 8 3.3 堡垒机配置修改方式 ......................................................................................................................... 9 3.3.1 目录树调整 ............................................................................................................................... 9 3.3.2 设备类型添加及修改 ............................................................................................................. 10 3.3.3 堡垒机用户导入及用户配置.................................................................................................. 11 3.3.4 主机设备帐号导入 ................................................................................................................. 14 3.3.5 系统帐号赋权 ......................................................................................................................... 18 3.3.6 应用发布服务器添加 ............................................................................................................. 19 3.4 堡垒机应用发布配置 ....................................................................................................................... 21 3.4.1 应用发布用户配置 ................................................................................................................. 21 3.4.2 应用用户组授权 ..................................................................................................................... 22 3.5 数据留存配置 ................................................................................................................................... 23 3.5.1 审计数据留存 ......................................................................................................................... 23 3.5.2 设备配置留存 ......................................................................................................................... 24 3.5.3 定时任务配置 ......................................................................................................................... 25 3.5.4 动态令牌使用手册 .. (26)1、证书导入 (26)文档版本3.4 (2022-04-25)银行总行科技开发部运维中心第4页, 共38页2、证书绑定 ..................................................................................................................................... 26 3、运维人员使用 ............................................................................................................................. 27 3.6 应急方案. (29)4 系统测试 (30)4.1 TELNET 访问操作管理 ...................................................................................................................... 30 4.2 SFTP 访问操作管理 .......................................................................................................................... 30 4.3 SSH 访问操作管理 ............................................................................................................................ 31 4.4 RDP 访问操作管理 ............................................................................................................................ 31 4.5 FTP 访问操作管理 . (31)5 集中管控平台 (32)5.1 集中管控平台功能 ........................................................................................................................... 32 5.2 设备硬件信息 ................................................................................................................................... 32 5.3 软件信息........................................................................................................................................... 32 5.4 地址规划........................................................................................................................................... 32 5.5 部署规划........................................................................................................................................... 33 5.6 集中管控平台部署 ........................................................................................................................... 33 5.7 系统上线需求 ................................................................................................................................... 33 5.8 系统安装. (34)6 双机部署模式 (35)6.1 双机部署模式功能 ........................................................................................................................... 35 6.2 上线条件........................................................................................................................................... 35 6.3 地址规划........................................................................................................................................... 36 6.4 上线步骤. (36)文档版本3.4 (2022-04-25)银行总行科技开发部运维中心第5页, 共38页1文档说明1.1 麒麟开源堡垒机使用概述随着我行业务范围和营业网点的不断延伸扩大,各类特色业务系统和基础网络设备随之上线运行,切实有效的保障了各分行业务的稳定性、安全性和灵活性。
堡垒机部署方案
堡垒机部署方案随着信息化建设的快速发展,企业对于网络安全的需求越来越重视。
为了加强对于内部网络的管理和控制,堡垒机(Bastion Host)作为一种高级的网络安全设备,被广泛应用于各个行业。
本文将为您介绍堡垒机部署方案,以保障企业网络安全运行。
一、引言网络安全问题是当前面临的重要挑战之一,各种攻击和入侵威胁企业信息资产安全。
堡垒机作为一种专为网络安全而设计的安全设备,通过集中管理和授权认证,保护内部网络的安全性。
合理的堡垒机部署方案是确保企业信息资产安全的必要步骤。
二、堡垒机的定义与功能堡垒机是一种用于管理和控制网络访问权限的服务器,具备以下功能:1. 审计和监控:堡垒机通过审计和监控所有用户的操作行为,及时发现异常和风险活动。
2. 权限控制:通过堡垒机,管理员可以根据具体需求,对用户进行细粒度的访问权限控制。
3. 会话管理:堡垒机可以管理和记录用户的会话信息,确保敏感数据不会泄露。
三、堡垒机部署方案根据企业的实际需求和网络环境,可以选择多种堡垒机部署方案。
下面为您介绍两种常见的方案。
1. 单一入口式部署方案该方案适用于中小型企业或网络规模较小的公司。
堡垒机设置为唯一的入口,所有的访问流量都必须经过堡垒机进行管理和控制。
具体步骤如下:(1)在企业的边界网关上配置堡垒机的IP地址和端口映射规则,将外部访问请求导向堡垒机。
(2)配置堡垒机的访问控制策略,例如黑白名单控制、协议控制等。
(3)配置堡垒机的认证方式,可以使用证书认证、用户名/密码认证等。
(4)监控和审计堡垒机的访问日志,及时发现和处置异常行为。
2. 多节点分布式部署方案该方案适用于大型企业或网络规模较大的公司,为了提高系统的可用性和容错性,可以将堡垒机部署在多个节点上,实现负载均衡和高可用性。
具体步骤如下:(1)根据网络拓扑和业务需求,确定各个堡垒机节点的位置。
(2)配置负载均衡设备,将外部访问请求分发给各个堡垒机节点。
(3)配置堡垒机节点的数据同步机制,确保数据的一致性和高可用性。
金融机构堡垒机管理制度
金融机构堡垒机管理制度是指金融机构为了保障信息系统的安全而制定的一套管理规范,主要包括以下内容:
1. 堡垒机的定义和作用:明确堡垒机的概念和功能,以及其在信息系统安全中的重要性。
2. 堡垒机的管理职责:明确堡垒机的管理职责,包括管理人员的职责和权限。
3. 堡垒机的使用规范:制定堡垒机的使用规范,包括登录、操作、退出等方面的规定。
4. 堡垒机的安全管理:加强堡垒机的安全管理,包括密码管理、权限管理、日志管理等方面的规定。
5. 堡垒机的应急处理:制定堡垒机的应急处理预案,包括故障处理、应急响应等方面的规定。
6. 堡垒机的监督检查:建立堡垒机的监督检查机制,定期对堡垒机的使用情况进行检查和评估。
通过制定金融机构堡垒机管理制度,可以有效地保障信息系统的安全,防止信息泄露和系统被攻击等安全问题的发生。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
银行分行运维审计平台实施方案修订记录/Change History目录1 文档说明 (5)1.1概述 (5)1.2运维操作现状 (5)2 物理部署规划 (6)2.1设备硬件信息 (6)2.2软件信息 (7)2.3系统LOGO (7)2.4地址规划 (7)2.5部署规划 (7)3 应用部署实施 (8)3.1堡垒机上线说明 (8)3.2设备初始化 (8)3.2.1上架加电 (8)3.2.2网络配置 (8)3.3堡垒机配置修改方式 (9)3.3.1目录树调整 (9)3.3.2设备类型添加及修改 (10)3.3.3堡垒机用户导入及用户配置 (11)3.3.4主机设备导入 (14)3.3.5系统赋权 (17)3.3.6应用发布服务器添加 (19)3.4堡垒机应用发布配置 (21)3.4.1应用发布用户配置 (21)3.4.2应用用户组授权 (22)3.5数据留存配置 (23)3.5.1审计数据留存 (23)3.5.2设备配置留存 (24)3.5.3定时任务配置 (25)3.5.4动态令牌使用手册 (26)1、证书导入 (26)2、证书绑定 (26)3、运维人员使用 (27)3.6应急方案 (29)4 系统测试 (30)4.1 TELNET访问操作管理 (30)4.2 SFTP访问操作管理 (30)4.3 SSH访问操作管理 (30)4.4 RDP访问操作管理 (31)4.5 FTP访问操作管理 (31)5 集中管控平台 (31)5.1集中管控平台功能 (31)5.2设备硬件信息 (32)5.3软件信息 (32)5.4地址规划 (32)5.5部署规划 (32)5.6集中管控平台部署 (33)5.7系统上线需求 (33)5.8系统安装 (34)6 双机部署模式 (35)6.1双机部署模式功能 (35)6.2上线条件 (35)6.3地址规划 (35)6.4上线步骤 (35)1 文档说明1.1 麒麟开源堡垒机使用概述随着我行业务围和营业网点的不断延伸扩大,各类特色业务系统和基础网络设备随之上线运行,切实有效的保障了各分行业务的稳定性、安全性和灵活性。
但与此同时,随着业务系统应用围越来越广、数据越来越多,所需日常维护的系统和设备也在日益增长,科技运维部门面临的网络、系统安全稳定运行的压力也随之增加。
当前运维管理中存在的主要问题是,技术人员和维护人员的日常管理和维护都是直接登录业务系统、设备进行操作,没有针对运维操作进行统一管理、统一审计、统一分析的系统,造成运维操作没有办法进行监控分析,进而造成部数据信息泄露、违规操作、恶意操作、密码外泄等一系列重大安全隐患。
随着监管对于日常运维工作审计记录的监管需求以及XX银行本身运维规化管理的需求,实现分行骨干设备的运维操作的审计需求迫在眉睫。
本次堡垒机项目使用麒麟开源堡垒机,麒麟开源堡垒机产品功能强大稳定性高,经过测试可以完全满足银行的使用需要。
1.2 运维操作现状当前分行均已部署了ACS设备,实现了网络统一管理、权限控制、及命令记录功能。
但因为缺少专业的运维管理系统,对于运维操作的监控,还存在一定的盲区,主要表现为:➢运维操作方式多样、分散,缺乏有效集中管理;➢运维操作缺乏技术手段来约束;➢对运维操作行为的审计方式不直观;➢共享账号的情况普遍,给访问者定位带来难题。
2 物理部署规划2.1 设备硬件信息2.2 软件信息2.3 系统LOGO堡垒机LOGO在安装时,都已经被设置为XX银行运维审计平台,以与其它系统进行区分。
2.4 地址规划参照分行部署规,运维审计堡垒机及应用发布平台,需要分行分配在基础服务器区域,分配【199.XX.XX.XX】的地址,两台设备分别需要分配IP地址,且两个地址需要在一个子网。
2.5 部署规划⏹堡垒机、应用发布平台各需要2U的机柜空间位置⏹堡垒机、应用发布平台需要部署在基础服务器接入区⏹堡垒机、应用发布平台个需要2*10A电源3 应用部署实施3.1 堡垒机上线说明堡垒机在发往用户前,已经完成如下设置:●设备IP地址、网关、应用发布连接●设备、人员、权限关系、目录结构的前期调研和导入●密码规则策略设置●数据留存策略设置堡垒机现场上线实施步骤包括:●设备上架、加电●网络连通性测试●系统功能测试●现场培训注:堡垒机出厂时,已经完成了数据导入、权限策略设置、应用发布设置和IP 等环境设置,如果有实时时发生更改,请按下面相应描述章节进行修改3.2 设备初始化⏹上架加电⏹设置IP地址、网络掩码、网管3.2.1 上架加电第一步、分别将堡垒机和应用发布服务器按照部署位置,将主机安装固定到机柜中。
第二步、将随机携带的电源线插到主机后面板的电源插座上。
第三步、将电源线的另一端插到机柜为主机提供交流电源的插座上。
3.2.2 网络配置发货前,堡垒机和应用发布IP默认已经按客户要求配置完毕,如果需要现场修改可以按如下步骤:堡垒机和应用发布服务器网卡默认IP为:使用eth1进行登录,以避免配置错误后无法登入,堡垒机的管理口为console,通过https访问可以得到键盘显示器的界面,如果堡垒机出现硬件故障或两个网卡都不通时,使用管理口登录。
完成上架加电操作后,打开堡垒机的电源按钮,堡垒机开机启动,等待两分钟,启动完成后,使用笔记本通过网线连接堡垒机,笔记本IP地址配置为172.16.210.2/30后使用网线直接连接到堡垒机eth1口,然后使用浏览器打开https://172.16.210.1用户名输入admin 密码12345678,进入堡垒机系统,在【系统配置】-【网络配置】中修改网卡的IP地址信息,更改为规划好的eth0 IP地址。
应用发布IP eth1地址默认为172.16.210.1/30,可以直接使用mstsc rdp到应用发布服务器对IP地址进行修改。
3.3 堡垒机配置修改方式堡垒机上线,已经完成项如下:⏹目录树导入、设置⏹堡垒机用户导入表,建立主⏹设备、设备用户导入,建立从⏹飞塔防火墙应用从导入⏹设备授权设置到现场,有可能会对某些设备进行相应的调整,调整方法如下:3.3.1 目录树调整单击导航树中【资源管理】中的【资产管理】,选择“目录管理”页签,单击“增加新节点”;根据所要创建的组类型选择“所属目录”与“属性”;系统已经默认安装了标准的目录结构,只需要对目录结构进行相应的修改即可以完成本步设置图 1说明:“节点名”输入节点的名称,“所属目录”新创建目录所属那个父组;设备组目录结构与分行ACS一致,目录树可以无限级目录,堡垒机配置前必须先将目录树配置完毕才能进行用户和设备的导入,用户和设备导入时,必须有配置好的目录树。
3.3.2 设备类型添加及修改设备类型配置,主要是加入分行有的,但堡垒机中不存在的设备类型,否则导入时无法写成正确的设备类型(为了方便管理,设备类型最好不要涉及型号,只设置厂商即可,比如Cisco的 2960交换机、3950交换机,可以统一放在Cisco类型的设备中)单击导航树中【资源管理】中的【资产管理】,选择“系统类型”页签,单击“增加”;图 2说明:“主机/网络”选项中,主机代表操作系统类型设备,网络代表路由交换类型设备,“系统类型”框中填写设备的类型,中文、英文都支持;3.3.3 堡垒机用户导入及用户配置导入表格填写,将附件一.运维人员导入表格按如下要求进行填写用户名:运维人员登录堡垒机时的名称,要求唯一(必须填写)密码: 运维人员登录堡垒机时的密码(必须填写)真实:运维人员的真实(必须填写)电子:运维人员的电子地址(选择填写)用户权限:统一配置为普通用户(必须填写)组名:目录结构中的资源组名称,如果出现同样名称的资源组,则导入时需要用组名(id)方式,比如出现重名的first组,如果你想在界面中这个组加入,则组名为first(221)手机:运维人员的手机(选择填写)工作单位:运维人员的工作单位(选择填写)工作部门:运维人员的工作部门(选择填写)USBKEY:为动态口令的令牌ID,如果用户需要动态令牌,则在动态令牌列表文件中选择一个未使用的动态令牌给用户后面的其它选项:一般不需要填写,所有的用户按模版复制即可用户导入表确认无误后,使用admin用户登录前台,在资源管理-资产管理-用户管理菜单,点击右下方的导入按钮在导入界面中,将加密的勾勾上,点击浏览按钮,选择找到需要导入的用户表后,点击提交按钮,即可以将所有的用户导入到堡垒机中点入确定后,会给用户提示,表中哪些用户没有导入成功及未成功的理由用户导入后,如果有个另的用户需要修改或添加,可以在用户管理菜单进行操作单击导航树中【资源管理】中的【资产管理】,选择“用户管理”页签,单击“添加用户”,填写用户的基本信息、权限信息及其他信息;图 3图 43.3.4 主机设备导入主机设备导入前提与堡垒机导入前提一致,必须先做好目录树。
按附件二主机设备表中的要求收集分行的主机设备,并且填好,主机导入时,会自动创建主机主机名:主机的名称IP主机的IP地址服务器组:服务器所属组的ID号,因为目录中允许同名称的组,因此,服务器组用ID号替代,可以在资产管理-资源管理-目录节点中查看ID号,如下图:系统类型:主机的操作系统类型,必须在第一章中添加的或系统自带的中选择添加系统用户:系统用户名,如果不想托管,则这项不填当前密码:系统播放的密码,如果不想托管,则这项可以不填登录协议:目前支持telnet/ssh1/ssh/ftp/rdp/vnc/x11 ,可以在这些登录方式中选择相应的端口:登录协议连接的目标端口过期时间:这个系统的过期时间,如果超过过期时间,则不在允许登录自动修改密码:是否对这个进行自动修改密码(默认为否)主:自动修改密码时只使用一个登录修改主机上所有的用户密码,如果是主,则填是,主一般为root权限或可以sudo 为root自动登录:默认填是堡垒机用户:XX项目中均填否Sftp用户:如果是SSH服务,则设置这个SSH用户是否可以使用SFTP服务,是为允许,否为不允许公私钥用户:如果是SSH服务,设置这个SSH用户认证是不是使用公私钥方式,是或否在资源管理-资产管理-设备管理中,点击导入按钮勾上加密按钮,并点击浏览按钮找到主机设备列表的表格后,点击提交按钮,会将所有的设备导入单台设备的添加、修改可以在设备管理菜单完成单击导航树中【资源管理】中的【资产管理】,选择“设备管理”页签,单击“添加”,填写基本信息;图 5单击导航树中【资源管理】中的【资产管理】,选择“设备管理”页签,指定设备的操作栏中单击“用户”,图 6单击“添加新用户”;图 7根据实际情况填写下图信息;3.3.5 系统赋权堡垒机(主)、主机系统(从)导入完成后,需要进行赋权操作,赋权后堡垒机(主)登录到堡垒机才能跳转到相应的设备。