任务9.1-堡垒机安装

目录ContentsPart01任务目标Part02任务描述Part04任务实施任务9.1-堡垒机安装Part03知识储备项目9-堡垒机配置与应用任务目标知识目标技能目标素养目标1.了解堡垒机的基本功能。2.理解堡垒机的工作原理。3.了解堡垒机的部署模式1.树立严谨的网络安全责任意识与合规观念。2.培养规范的操作习惯与系统化的故障排查思维。1.掌握麒麟堡垒机系统安装。任务描述本任务要完成的工作：公司为保障内网服务器和网络核心设备的安全，保障网络和数据不受来自外部和内部用户的入侵和破坏。项目经理安排小锐安装麒麟堡垒机系统，实现内网服务器和网络核心设备监控和记录操作行为。我们在《功勋》中看到，有大国重器的时代所需，就有于敏、孙家栋、黄旭华一心报国的奋斗；有人民群众的生计所系，就有袁隆平、屠呦呦呕心沥血的钻研；有父老乡亲的家国所依，就有申纪兰、李延年、张富清满腔热血的赤诚。功勋人物的故事，是千万个问路人的缩影，而无数个平凡的同路人，进行着不平凡的奋斗，成就着壮丽的篇章。知识储备9.1.2堡垒机的功能9.1.1堡垒机简介9.1.3堡垒机的工作原理9.1.4堡垒机的部署模式9.1.5麒麟堡垒机的安装方式9.1.1堡垒机简介堡垒机在企业安全防护中扮演着核心角色，通过集中控制访问权限、实时监控操作行为、提供详细审计日志，有效隔离外部风险，保障内部资源安全，是确保企业网络和数据安全的重要防线。堡垒机是一种部署于特定网络环境中的安全管控设备，其核心目的是保障网络与数据不受来自内外部用户的非法入侵和破坏。它通过综合运用多种技术手段，实时监控并详细记录运维人员对服务器、网络设备、安全设备、数据库等关键资源的操作行为，以实现集中告警、及时干预和事后审计定责。堡垒机主要用于实现以下两方面作用：一是访问控制，即明确指定哪些用户能够登录哪些资产，从而实现事前防范和事中控制；二是操作审计，通过录像等方式全面记录登录资产后的所有操作，确保事后可追溯，便于审计与定责。9.1.1堡垒机简介常用的堡垒机种类主要有硬件堡垒机、软件堡垒机和云堡垒机三种。硬件堡垒机是一种物理设备，需要部署在网络中，通常由专业的网络安全公司提供。软件堡垒机可以安装在现有的服务器上，提供与硬件堡垒机类似的功能。云堡垒机是一种基于云的服务，用户可以通过互联网访问云堡垒机，而无需在自己的网络中部署任何硬件或软件。常用的堡垒机产品主要有JumpServer、麒麟堡垒机、安恒信息堡垒机、阿里云堡垒机、腾讯云堡垒机等，这些产品基本都提供了提供了包括身份认证、授权管理、操作审计等功能。本任务以麒麟堡垒机为例介绍堡垒机的部署。9.1.2堡垒机的功能堡垒机的主要功能涵盖以下几个核心方面：身份认证：提供统一的用户身份认证机制，支持集成外部认证源如AD、LDAP、Radius等，并可结合动态口令卡、USBKey等多种强认证方式，确保用户身份可信。角色授权：支持基于角色的资源访问授权，可对用户、特权账户进行权限分配与临时限制，并配备细粒度的授权策略，包括时间规则、登录规则和命令规则，实现权限管理的精细化与控制力。监控与审计：实时监控所有运维操作行为，支持对高风险会话进行实时阻断；对所有操作进行完整审计记录，实现日志集中存储与异地备份，保障数据可追溯性与安全性。正因为其强调对运维过程的“可控性”与“审计能力”，堡垒机也常被称为“运维审计系统”。9.1.3堡垒机的工作原理堡垒机的工作原理如下：运维人员首先登录并连接到堡垒机，向其提交操作请求。该请求经过堡垒机的权限验证后，由堡垒机中的应用代理模块代为建立与目标设备的连接，并执行相应操作。目标设备将操作结果返回至堡垒机，堡垒机再最终将该结果反馈给运维人员。如图所示。堡垒机原理示意图9.1.4堡垒机的部署模式堡垒机的部署模式主要有单机部署、双机高可靠部署和集群部署。单机部署单机部署。堡垒机主要是旁路部署，旁挂在交换机旁边，只要能访问所有设备即可。单机部署特点是旁路部署，逻辑串联；不影响现有网络结构。如图所示。9.1.4堡垒机的部署模式堡垒机的部署模式主要有单机部署、双机高可靠部署和集群部署。双机高可靠部署双机高可靠部署。旁路部署两台堡垒机，中间有心跳线连接，用于同步数据，对外提供一个虚拟IP地址。双机高可靠部署部署特点是两台硬件堡垒机，一主一备，当主机出现故障时，备机自动接管服务。如图所示。9.1.4堡垒机的部署模式堡垒机的部署模式主要有单机部署、双机高可靠部署和集群部署。集群部署。当需要管理的设备数量很多时，可以将N多台堡垒机进行集群部署。其中两台堡垒机一主一备，其他N-2台堡垒机作为集群节点，给主机上传同步数据，整个集群对外提供一个虚拟IP地址。集群部署特点是两台硬件堡垒机，一主一备、提供单一虚拟IP（virtualIP）当主机出现故障时，备机自动接管服务。9.1.5堡垒机的部署模式麒麟堡垒机的安装方式。麒麟堡垒机的安装方式分为安装包安装方式和ISO安装方式两种。系统安装需求为内存>=2G、CPU>=1核、硬盘>=10G（如果系统内存小于2G，必须具有swap1G以上才能正常运行）。1.安装包安装方式首先最小化安装一个Centos7.x或使用云模版最小化Centos7.X。然后下载安装包，下载链接为/centos7.tar.gz，具体安装过程如下。将安装包centos7.tar.gz上传到系统/tmp/目录cd/tmp/tarxpvfcentos7.tar.gz依次运行以下三个命令进行安装：bashyum.sh//必须有yum源并且保证yum已经可以成功安装包bashinstall.shinit69.1.5堡垒机的部署模式麒麟堡垒机的安装方式。2.ISO安装方式首先下载ISO文件，下载链接为/open.iso，硬件服务器只支持STAT硬盘，将ISO记录成光盘（注意不支持U盘）后，进行一键安装，或将ISO文件挂在虚机上进行一键安装。系统安装完成后会自动重启，后台登录方式为ssh，端口号为2288，用户名root，密码blj2015BLJ，登录后请修改root密码。任务实施实施场景XUN公司内网的核心交换机由第三方工程师进行定期运维，为保障公司网络和数据不受来自外部和内部用户的入侵和破坏。项目经理安排小锐安装麒麟堡垒机系统，实现网络核心交换机监控，并记录操作行为。具体配置任务如下：（1）麒麟堡垒机的安装。任务实施实施设备（1）USG6000V防火墙1台（2）Client机2台。（3）S5700交换机2台（4）AR2220路由器1台（5）Server服务器2台（6）云接口2个，绑定运维人员客户端的虚拟网卡和堡垒机虚拟网卡。（7）麒麟堡垒机ISO文件（8）VMwareWorkstationPro软件。任务实施实施过程1）创建虚拟机。（1）运行“VMwareWorkstationPro”软件，在“主页”页面，单击“创建新的虚拟机”,选择“自定义高级”，单击“下一步”；（2）在页面“选择虚拟机硬件兼容性”，默认系统参数，单击“下一步”；（3）在页面“安装客户机操作系统”，选择“稍后安装操作系统”，单击“下一步；（4）在页面“安装客户机操作系统”，选择“Linux”，选择“Cento764位”，单击“下一步”；（5）在页面“命名虚拟机”，“虚拟机名称”输入为堡垒机，“位置”输入为D:\BLJ，单击“下一步”；（6）在页面“处理器配置”，“处理器数量”输入为1，“每个处理器的内核数量”输入为2，单击“下一步”；（7）在在页面“此虚拟机内存”，“此虚拟机内存”输入为4096，单击“下一步”；（8）在页面“网络类型”，选择“使用网络地址转换NAT”，单击“下一步”；（9）在页面“选择I/O控制器类型”，选择“LSILogic(推荐)”，单击“下一步”；（10）在页面“选择磁盘类型”，选择“SATA”，单击“下一步”；（11）在页面“选择磁盘”，选择“创建新虚拟磁盘”，单击“下一步”；（12）在页面“指定磁盘容量”，最大磁盘大小输入为300，单击“下一步”；（13）在页面“指定磁盘文件”，默认系统参数，单击“下一步”；（14）在页面“已准备好创建虚拟机”，单击“自定义硬件”；（15）在页面“硬件”，单击“添加”，选择“网络适配器”，单击“完成”，选择新添加的网卡“网络适配器2”，单击“网络连接”中的“自定义（U）：特定虚拟网络”，选择“VMnet1（仅主机模式）”；（16）在页面“硬件”，选择“新CD/DVD”，在“连接”中选择“使用ISO映像文件”，单击“浏览”，找到麒麟堡垒机的镜像ISO文件，单击“打开”；（17）在页面“硬件”，单击“关闭”；（18）在页面“已准备好创建虚拟机”，单击“完成”，创建了一台新的虚拟机，如图所示。任务实施实施过程2）安装麒麟堡垒机。（1）选择“堡垒机”,单击“开启此虚拟机”，如图所示。堡垒机安装界面任务实施实施过程2）安装麒麟堡垒机。（2）选择“installblj<2Tdiskuse”，此时出现麒麟堡垒机安装过程的页面，等待麒麟堡垒机安装完成，安装成功后，系统重启进入命令行登录界面，如图所示。麒麟堡垒机登录界面任务实施实施过程2）安装麒麟堡垒机。（3）在麒麟堡垒机的命令行登录界面输入用户名root，密码blj2015BLJ，登录成功后，进入linux命令行界面，修改网卡信息。[root@Audit~]#vi/etc/sysconfig/network-scripts/ifcfg-eth0DEVICE=eth0//本任务eth0为堡垒机管理口ONBOOT=yesIPADDR=00//绑定VMnet8（NAT）NETMASK=

[root@Audit~]#vi/etc/sysconfig/network-scripts/ifcfg-eth1DEVICE=eth1//本任务eth1为堡垒机业务口ONBOOT=yesIPADDR=00////绑定VMnet1NETMASK=GATEWAY=54[root@Audit~]#systemctlrestartnetwork任务实施实施过程2）安装麒麟堡垒机。（4）在物理机上打开IE