银行堡垒机实施计划方案

1、银行分行运维审计平台实施方案修订记录/ChangeHistory日期修订版本描述作者2016-2-16V1.0独立实施方案，完善测试部分麒麟目录1文档说明.5.1.1 概述51.2 运维操彳现状52物理部署规划6.5.1 设备硬件信息65.2 软件信息75.3 系统LOGQ75.4 地址规划75.5 部署规划73应用部署实施 堡垒机上线说明81.2.2 设备初始化81 上架加电81 网络配置91.3.2 堡垒机配置修改方式91 目录树调整101 设备类型添加及修改101 堡垒机用户导入及用户配置111 主机设备导入141 系统赋权181 应用发布服务器添加191.4.2 堡垒机应

2、用发布配置211 应用发布用户配置211 应用用户组授权221.5.2 数据留存配置231 审计数据留存231 设备配置留存241 定时任务配置251 动态令牌使用手册261、证书导入262、证书绑定273、运维人员使用271.6.2 应急方案294系统测试3Q5.3.3 TELNET访问操作管理305.4.3 SFTP访问操作管理305.5.3 SSH访问操作管理305.6.3 RDP访问操作管理315.7.3 FTP访问操作管理315集中管控平台325.1 集中管控平台功能325.2 设备硬件信息325.3 软件信息325.4 地址规划325.5 部署规划335.6 集中管控平台部署335

3、.7 系统上线需求335.8 系统安装346双机部署模式35双机部署模式功能35上线条件35地址规划35上线步骤361文档说明麒麟开源堡垒机使用概述随着我行业务围和营业网点的不断延伸扩大，各类特色业务系统和基础网络设备随之上线运行，切实有效的保障了各分行业务的稳定性、安全性和灵活性。但与此同时，随着业务系统应用围越来越广、数据越来越多，所需日常维护的系统和设备也在日益增长，科技运维部门面临的网络、系统安全稳定运行的压力也随之增加。当前运维管理中存在的主要问题是，技术人员和维护人员的日常管理和维护都是直接登录业务系统、设备进行操作，没有针对运维操作进行统一管理、统一审计、统一分析的系统，造成运维

4、操作没有办法进行监控分析，进而造成部数据信息泄露、违规操作、恶意操作、密码外泄等一系列重大安全隐患。随着监管对于日常运维工作审计记录的监管需求以及XX银行本身运维规化管理的需求，实现分行骨干设备的运维操作的审计需求迫在眉睫。本次堡垒机项目使用麒麟开源堡垒机，麒麟开源堡垒机产品功能强大稳定性高，经过测试可以完全满足银行的使用需要。运维操作现状当前分行均已部署了ACS设备，实现了网络统一管理、权限控制、及命令记录功能。但因为缺少专业的运维管理系统，对于运维操作的监控，还存在一定的盲区，主要表现为：?运维操作方式多样、分散，缺乏有效集中管理；?运维操作缺乏技术手段来约束；?对运维操作行为的审计方式不

5、直观；?共享账号的情况普遍，给访问者定位带来难题。物理部署规划设备硬件信息运维审计系统包括堡垒机和应用发布服务器两台设备，物理参数如下:设备型号硬件参数堡垒机麒麟开源堡垒机CPU64位3G/16G存/2T硬盘/交流电/2U应用发布服务器麒麟应用发布模块CPU64位3G/32G存/2T硬盘/交流电/2U软件信息设备操作系统软件版本Licenses数堡垒机CentosV1.1100000个应用发布服务器Windowsserver2008V1.3系统LOGO堡垒机LOGOE安装时，都已经被设置为XX银行运维审计平台，以与其它系统进行区分。地址规划参照分行部署规，运维审计堡垒机及应用发布平台，需要分行

6、分配在基础服务器区域，分配199.XX.XX.XX的地址，两台设备分别需要分配IP地址，且两个地址需要在一个子网。示例如下设备名称所属区域产品型号IP堡垒机网UOM-1000A应用发布服务器网Modul-APP-RELEAS-HW部署规划堡垒机、应用发布平台各需要2U的机柜空间位置堡垒机、应用发布平台需要部署在基础服务器接入区堡垒机、应用发布平台个需要2*10A电源应用部署实施堡垒机上线说明堡垒机在发往用户前，已经完成如下设置：设备ip地址、网关、应用发布连接设备、人员、权限关系、目录结构的前期调研和导入密码规则策略设置数据留存策略设置堡垒机现场上线实施步骤

7、包括：设备上架、加电网络连通性测试系统功能测试现场培训注：堡垒机出厂时，已经完成了数据导入、权限策略设置、应用发布设置和ip等环境设置，如果有实时时发生更改，请按下面相应描述章节进行修改设备初始化上架加电设置IP地址、网络掩码、网管上架加电第一步、分别将堡垒机和应用发布服务器按照部署位置，将主机安装固定到机柜中。第二步、将随机携带的电源线插到主机后面板的电源插座上。第三步、将电源线的另一端插到机柜为主机提供交流电源的插座上。网络配置发货前，堡垒机和应用发布ip默认已经按客户要求配置完毕，如果需要现场修改可以按如下步骤：堡垒机和应用发布服务器网卡默认ip为：设备名称网卡名称IP访问方式堡垒机Et

8、h0分行提供的IPhttps、ssh堡垒机Eth1/30https、ssh堡垒机管理口/30https应用发布Eth0分行提供的IPRDP应用发布Eth0/30RDP本次工程，堡垒机和应用发布都要求使用eth0口，修改堡垒机和应用发布IP时，使用ethl进行登录，以避免配置错误后无法登入，堡垒机的管理口为console,通过https访问可以得到键盘显示器的界面，如果堡垒机出现硬件故障或两个网卡都不通时，使用管理口登录。完成上架加电操作后，打开堡垒机的电源按钮，堡垒机开机启动，等待两分钟，启动完成后，使用笔记本通过网线连接

9、堡垒机，笔记本IP地址配置为/30后使用网线直接连接到堡垒机ethl口，然后使用浏览器打开用户名输入admin密码1234567&进入堡垒机系统，在【系统配置】-【网络配置】中修改网卡的IP地址信息，更改为规划好的eth0IP地址。应用发布IPeth1地址默认为/30,可以直接使用mstscrdp到应用发布服务器对IP地址进行修改。堡垒机配置修改方式堡垒机上线，已经完成项如下：目录树导入、设置堡垒机用户导入表，建立主设备、设备用户导入，建立从飞塔防火墙应用从导入设备授权设置到现场，有可能会对某些设备进行相应的

10、调整，调整方法如下:目录树调整单击导航树中【资源管理】中的【资产管理】，选择“目录管理”页签，单击“增加新节点”根据所要创建的组类型选择“所属目录”与“属性”；系统已经默认安装了标准的目录结构，只需要对目录结构进行相应的修改即可以完成本步设置节步丹兔蛙到窗无-陛用户展性系姒型RA1H15册test而井军部卬I-至Ntr巷1工1刁目录4姿网年罂:集二Citrixtast2i好字hrs：巨/f1白中二注1刍岳WMN:城网ETESliest?说明：“节点名”输入节点的名称，“所属目录”新创建目录所属那个父组；设备组目录结构与分行ACS一致，目录树可以无限级目录，堡垒机配置前必须先将目录树配置完毕才能

11、进行用户和设备的导入，用户和设备导入时，必须有配置好的目录树。设备类型添加及修改设备类型配置，主要是加入分行有的，但堡垒机中不存在的设备类型，否则导入时无法写成正确的设备类型（为了方便管理，设备类型最好不要涉及型号，只设置厂商即可，比如Cisco的2960交换机、3950交换机，可以统一放在Cisco类型的设备中）单击导航树中【资源管理】中的【资产管理】，选择“系统类型”页签，单击“增加”；目录管理用户属性RADIU3用户系统类出超级用户哪命令主机网络说明：“主机/网络”选项中，主机代表操作系统类型设备，网络代表路由交换类型设备,“系统类型”框中填写设备的类型，中文、英文都支持;堡垒机用户导入

12、及用户配置导入表格填写，将附件一.运维人员导入表格按如下要求进行填写用户名test3密码1234557B百灾姓名测试帐片电子邮箱ionE用户双限昔鹏用户手机号用133iL50T286工作毡传工作部门民生银行技术部用户名：运维人员登录堡垒机时的名称，要求唯一（必须填写）密码：运维人员登录堡垒机时的密码（必须填写）真实：运维人员的真实（必须填写）电子：运维人员的电子地址（选择填写）用户权限：统一配置为普通用户（必须填写）组名：目录结构中的资源组名称，如果出现同样名称的资源组，则导入时需要用组名（id）方式,比如出现重名的first组，如果你想在界面中这个组加入，则组名为网尸管理麦爸管理用户属性fi

13、rst(221)系统类型&SH公私钥|项flvT全都Q口旧Cite卜51用户9万hIftntT全部口1手机：运维人员的手机（选择填写）工作单位：运维人员的工作单位（选择填写）工作部门：运维人员的工作部门（选择填写）USBKEM动态口令的令牌ID,如果用户需要动态令牌，则在动态令牌列表文件中选择一个未使用的动态令牌给用户后面的其它选项：一般不需要填写，所有的用户按模版复制即可用户导入表确认无误后，使用admin用户登录前台，在资源管理-资产管理-用户管理菜单，点击右下方的导入按钮制行首并目茉曾T用户JEW杂鼓挑型SSI1公社蜗RADHB用户用户将：城旧显开;空目濡与品食以.心皿咯购三画tw亦TM

14、M加岷Jiri员纪剌鹏我不pasGErdpasEBKiDNS群翁全亦不时期|闫丽丽I*旧限州讪II：回耐IV:*L切诊I与工r冲用户在导入界面中，将加密的勾勾上，点击浏览按钮，选择找到需要导入的用户表后，点击提交按钮，即可以将所有的用户导入到堡垒机中IJVL?AdministrstorkL宜呼力网比昼Fsmall首Google-Chrome言逢寅20151Xppk2m54L23adit-d匕抬-ZCLll;011士-LiJStA事下戳越二是田士同出心lT*尊吧朝图AAS砌蜃圈片龙栏J音乐:提交I正面:与1|里霎卓天P成功添加用户；,actionl.actjon2ctionS.actionact

15、ion5.actiondnjiaD.bidnhui.bsfitIjbfit2rcc5ss5jchaiych2027,chenchen,chenw*ircskj_hoijxinjurrrcuied,dum,duzh.fantx.fertghao.fenghaotestjf5dbl.f&db.gaowp.ggzqian,gJOMl.Fanyu.hacigLhongcqjhuangxy.huargzw.hjangqx.huyLin.huzljames.shang.IgixqJiangjnnJi3oxin.liacrKinte5tJigl.lirTpyJinz&Jlipeng,lirui.liijjy

16、,liuyk,liyd,liypJorigpcJvyp,magLi.magl,niergxy,miaopf,ni5q.panyu,pengjc,qianin.rentt,renwx,renj&ch.renzhljrsangningrshenxya.stressr5unan,iuruxiao,suohw.tianqiang,u弓un,he,wanggen.wanghy.wanglei.wangrnwangshergheangwei.wargh.wangljweitong,wenjb,wubing.wuch.wuqc.xiall.Kiaona.Kiayc,xiejz.suby,)cuJw.xu.p

17、h.yangguo7arigjing.yangjI.yangkuo7argliyariglu.yangshanHyargwei.yeyq.yiyz.yuqs.zhdiyuhangchonghdngjc.zhangjpjihangqj,zhangjcc.zhaohj.zhaohy.zhaolei?zhodj|.zhouIvyirrq.zhuqtzhoutao,zhuxz,zoupen添加失般的用户；gashem用户所重目录K能力空guandj：用户所属目录不能为空sunn午耗户所.翟目录K能为空JOJMU：用户所属目录不能为空用户导入后，如果有个另的用户需要修改或添加，可以在用户管理菜单进行操作

18、单击导航树中【资源管理】中的【资产管理】，选择“用户管理”页签，单击“添加用户”，填写用户的基本信息、权限信息及其他信息；矍的凸*-1会吗.一小工猫#相通省工五.祖MftS甲6*一码.件:和工-工作门有辑爆。-物无*|-4flT咒IP主机的IP地址服务器组：服务器所属组的ID号，因为目录中允许同名称的组，因此，服务器组用ID号替代,可以在资产管理-资源管理-目录节点中查看ID号，如下图:系统类型：主机的操作系统类型，必须在第一章中添加的或系统自带的中选择添加系统用户：系统用户名，如果不想托管，则这项不填当前密码：系统播放的密码，如果不想托管，则这项可以不填登录协议：目前支持telnet/ssh

19、1/ssh/ftp/rdp/vnc/x11,可以在这些登录方式中选择相应的端口：登录协议连接的目标端口过期时间：这个系统的过期时间，如果超过过期时间，则不在允许登录自动修改密码：是否对这个进行自动修改密码（默认为否）主：自动修改密码时只使用一个登录修改主机上所有的用户密码，如果是主，则填是，主一般为root权限或可以sudo为root自动登录：默认填是堡垒机用户：XX项目中均填否S即用户：如果是SSH服务，则设置这个SSH用户是否可以使用SFTP服务，是为允许，否为不允许公私钥用户：如果是SSH服务，设置这个SSH用户认证是不是使用公私钥方式，是或否目录首局用户JStt嘉料室*。区鼠蚣私烟RA

20、lHWffiF在虹脏I防至as|r皆用：格B也FDNS加定塾不勺”管理员厂里用*嫡bWjq口砧楠兄初列慰审计气F再,钺1厂1bldtbubl|lrikbiiiLNET和工昨科r耐皆理黑鬟花前fiBNET栩定乖不:运雄口户二.胡IH旨肉为DN5柳冠承不如“胃怨cId道有期：使房NET条阳定*不建度雄用尸舀颌1J趣nurq?我牛迸用NET*阳定菽不必熊法盟用户pd璃RdpisrAittd越忙东不迫罪虫料管虾：A碘,SHEr带催1耳NET沫骐是夫不力立运错月户,禁用-n15NET的4幽辟-修1枇不力”三哨用户星望照.曾rwlumcnitzTNET乐不旧立这错臼户西独J碎|r|暮41再;“出仄用.百斗

21、士；壁触11：6一方上更力中用尸声币1币1丁!常通员二在资源管理-资产管理-设备管理中，点击导入按钮勾上加密按钮，并点击浏览按钮找到主机设备列表的表格后，点击提交按钮，会将所有的设备导入上管理1垂1目录管理|用户JE性1系统类型（SSH公私钥|&文件加密犷潮览.，.!1提交d选择要加哉的文叶桌面搜案克妻下就H桌面-夏日访问的位置西201心2D15项目清算回5强目录改囱簿！题大奖也RADIUS!*开稣或理1民生强行运津审计平台量钊）空施方案懂客科技v3,0Jaudit-devi20151129单台设备的添加、修改可以在设备管理菜单完成单击导航树中【资源管理】中的【资产管理】，选择“设备管理”页签

22、，单击“添加”，填写基本信息;1M户，“，看.*用户lfessll公lAlrtt!用尸毁刎户生*口鼻iff.*|百*矮型p3t可5碘1*zI*号幸的良医口和热白制广土生野桂同，：!口耳耐IL】一凰累|更用，耳儿片口_二1匐祟工自三直.由工薨）1日面一上大于”在翻1钻HfftUSC口.?in.FTysiCi:口宅上4弊同型=MIK再芝椿r开看用日喝|如阳1用ET*日朝min|瞿用，用怔土在望限HI式|*回皿瓯qj啥*lMnS-HEIxltBFiritLLitn如ErtFUttopiS-VJVCiUA.口jT4-IHlhJNCl甘际收由RJ号单击导航树中【资源管理】中的【资产管理】，选择“设备管理

23、”页签，指定设备的操作栏中单击“用户”，单击“添加新用户KADIU5用户认证；厂间不口用nEnlnn根据实际情况填写下图信息;用户名原从解码再次输入原始密码登录方式RDP,端口1338g_遒寸同II图击选择日期或谖永不述疸用户终端默了命令授权用户admin/应时口密榄式自动启用自动修改密码修改岳科主帐碧自幼登录；掷乍记录：公用和期认证：g砸关：键盘记录：蜘加遢出向加遢系统赋权堡垒机（主）、主机系统（从）导入完成后，需要进行赋权操作，赋权后堡垒机（主）登录到堡垒机才能跳转到相应的设备。前期设备授权关系调研表中包含所有的权限关系，按表进行设置。赋权操作如果一个堡垒机（主）有大量从的权限，则赋权是在

24、系统用户组菜单完成的，如果为堡垒机（主）临时添加一个从的赋权，则也可以在主机设备菜单中完成。赋权操作最好按用户组的方式进行赋，即将权限相同的用户放在同一个用户组中，然后为这个用户组创建一个系统用户组，将这些用户拥有权限的主机设备都加到这个组中，然后将这个系统用户组绑定给这个用户组，如果每个用户的权限都不一样，也可以为单独的用户划分系统用户组后进行授权。单击导航树中【资源管理】中的【授权权限】，选择“系统用户组”页签，单击“添加新组”填写“系统用户组”名，选中“未选设备”中系统用户添加到“已选设备”，确定已经选中想要赋1Z7051-127Q0佃Q#11Z7.4I01叫耻23吒密127091_12

25、7.C01却Q巾01353（11L.1权的堡垒机用户组的所有系统后，点击保存；二yr-h：-、In：10ft第J窗庄_R0叱翼IM1即M口1Ji宁上事定善1731IJ139MDIJg宁上联常由热93#_富*宓-：I-：-拓I1纪。洱1：尸10宁业WE次修机卜_由呻，侬L1:魂-北警机心1联典111Kl仔式85?爱g装机亍业I；捱S及巩1Am口LJ停仲CLIT白丁学儒睛甚hliKF1JB3D口心工内于且阳褂界榻人关接机生lit、I廿，巾而斯:三4LKHL:，二；门1X3ir二七闩:三屿*希三松.iw.sc.D.i.mwstftti.ssi.iJ-k3CDJ酢HSGit?中Pl冷肝雷1B03IUk

26、KJ_S刊I号瘙交三跖_；讨=时1/酬PMMD厂U的m仙刹霜5厂5轴/41釉工切lrfc-tyzMiLj.iflijjiaaE斗1国辑工口口|匚沟国叩H心ljIAL140jE%式I.|isy-iLFiiEL-L卜/3二.为|中h.ra-UL-L1CP.JWfLfl*Mrimu|rHH|j:“I黑哨rHft由七小则rUuj-MQitu回I缶口*利就此注|帆:rJXid-rim-L-rMdl：34iy4Mi29(juMiu.pisrpzed：pesiwzEd二e-bamhG芈也击|叮|ilEJVLW桂一rtzz二hi二王幽甲HXH不守第11卜怖卷青r)*iMEwL站中王Ei.LwiKac王五哥rr

27、kmiw#律：1腼闻授权后，组中的用户或被授权的用户，就拥有了这个系统用户组中所有的主机系统的权限3.3.6应用发布服务器添加前提：安装好应用发布服务器，确定好应用发布服务器的ip地址，并且已经打通堡垒机访问应用发布服务器的TCP3389、8888端口，应用发布服务器到堡垒机的TCP3306端口单击导航树中【资源管理】中的【资产管理】，选择“设备管理”页签，单击“添加”，在主机名中写应用发布服务器，在IP地址中写入应用发布服务器IP,主要类型为WINDOWS设备组选一个用户许可的设备组。配置完成单击“保存修改”用E罩自景口理用尸岫耳现身睾林会R朗mnnAffip茫叱银营?t用户乐同/里上0JM

28、工利白&wfe需aft*s星!taw1M3D.nJEIM宜李aTi无一n；无ms王国王t五处无一咱一TPTTTflSn?Z明T.-ST彳*HQ哮聚DZIUlm将则出后里5修二|：一】加是赛4,富n鸟”一爪通是且志也融是旧至ilx(A-FOItt心讨口触1TELNETlia设1匚理九|.君口21口m迎RCSM口事前Ji洒曲一口311|rirviKW谏41学评鹏苞去指E阡拉触两三电:口oom口8口毛DD1国期目金犍仃越日bi依吁下婚包口叩口埒Q-圜际目枷”金帼控MP*归强度尸.融碉dnefrM器如33BS港口阖磬就9J为应用发布服务器增加一个应用发布单击导航树中【资源管理】中的【应用发布】，选择“

29、应用发布”页签，单击“添加”；配置完成单击“保存修改”；发布珊务器名稀应用发布用务器口1发布排舞器氏2-服务器描述保存，一A.单击导航树中【资源管理】中的【应用发布】，选择“应用程序”页签，单击“添加”；增加IE程序安装位置；配置完成单击“保存修改”；应用名称程序地址自动鳖录图标IE相逑保存修改|说明：程序地址：是应用发布服务器上IE浏览器程序安装位置;堡垒机应用发布配置应用发布用户配置A.单击导航树中【资源管理】中的【应用发布】，选择“应用发布”页签，单击操作栏中“应用发布”；B.单击“添加”，填写应用名称、选择服务器及填写被访设备URL配置完成单击“保存修改”；说明：如果需要添加