信息安全产品配置与应用-课件 项目9-堡垒机配置与应用

目录ContentsPart01任务目标Part02任务描述Part04任务实施任务9.1-堡垒机安装Part03知识储备项目9-堡垒机配置与应用任务目标知识目标技能目标素养目标1.了解堡垒机的基本功能。2.理解堡垒机的工作原理。3.了解堡垒机的部署模式1.树立严谨的网络安全责任意识与合规观念。2.培养规范的操作习惯与系统化的故障排查思维。1.掌握麒麟堡垒机系统安装。任务描述本任务要完成的工作：公司为保障内网服务器和网络核心设备的安全，保障网络和数据不受来自外部和内部用户的入侵和破坏。项目经理安排小锐安装麒麟堡垒机系统，实现内网服务器和网络核心设备监控和记录操作行为。我们在《功勋》中看到，有大国重器的时代所需，就有于敏、孙家栋、黄旭华一心报国的奋斗；有人民群众的生计所系，就有袁隆平、屠呦呦呕心沥血的钻研；有父老乡亲的家国所依，就有申纪兰、李延年、张富清满腔热血的赤诚。功勋人物的故事，是千万个问路人的缩影，而无数个平凡的同路人，进行着不平凡的奋斗，成就着壮丽的篇章。知识储备9.1.2堡垒机的功能9.1.1堡垒机简介9.1.3堡垒机的工作原理9.1.4堡垒机的部署模式9.1.5麒麟堡垒机的安装方式9.1.1堡垒机简介堡垒机在企业安全防护中扮演着核心角色，通过集中控制访问权限、实时监控操作行为、提供详细审计日志，有效隔离外部风险，保障内部资源安全，是确保企业网络和数据安全的重要防线。堡垒机是一种部署于特定网络环境中的安全管控设备，其核心目的是保障网络与数据不受来自内外部用户的非法入侵和破坏。它通过综合运用多种技术手段，实时监控并详细记录运维人员对服务器、网络设备、安全设备、数据库等关键资源的操作行为，以实现集中告警、及时干预和事后审计定责。堡垒机主要用于实现以下两方面作用：一是访问控制，即明确指定哪些用户能够登录哪些资产，从而实现事前防范和事中控制；二是操作审计，通过录像等方式全面记录登录资产后的所有操作，确保事后可追溯，便于审计与定责。9.1.1堡垒机简介常用的堡垒机种类主要有硬件堡垒机、软件堡垒机和云堡垒机三种。硬件堡垒机是一种物理设备，需要部署在网络中，通常由专业的网络安全公司提供。软件堡垒机可以安装在现有的服务器上，提供与硬件堡垒机类似的功能。云堡垒机是一种基于云的服务，用户可以通过互联网访问云堡垒机，而无需在自己的网络中部署任何硬件或软件。常用的堡垒机产品主要有JumpServer、麒麟堡垒机、安恒信息堡垒机、阿里云堡垒机、腾讯云堡垒机等，这些产品基本都提供了提供了包括身份认证、授权管理、操作审计等功能。本任务以麒麟堡垒机为例介绍堡垒机的部署。9.1.2堡垒机的功能堡垒机的主要功能涵盖以下几个核心方面：身份认证：提供统一的用户身份认证机制，支持集成外部认证源如AD、LDAP、Radius等，并可结合动态口令卡、USBKey等多种强认证方式，确保用户身份可信。角色授权：支持基于角色的资源访问授权，可对用户、特权账户进行权限分配与临时限制，并配备细粒度的授权策略，包括时间规则、登录规则和命令规则，实现权限管理的精细化与控制力。监控与审计：实时监控所有运维操作行为，支持对高风险会话进行实时阻断；对所有操作进行完整审计记录，实现日志集中存储与异地备份，保障数据可追溯性与安全性。正因为其强调对运维过程的“可控性”与“审计能力”，堡垒机也常被称为“运维审计系统”。9.1.3堡垒机的工作原理堡垒机的工作原理如下：运维人员首先登录并连接到堡垒机，向其提交操作请求。该请求经过堡垒机的权限验证后，由堡垒机中的应用代理模块代为建立与目标设备的连接，并执行相应操作。目标设备将操作结果返回至堡垒机，堡垒机再最终将该结果反馈给运维人员。如图所示。堡垒机原理示意图9.1.4堡垒机的部署模式堡垒机的部署模式主要有单机部署、双机高可靠部署和集群部署。单机部署单机部署。堡垒机主要是旁路部署，旁挂在交换机旁边，只要能访问所有设备即可。单机部署特点是旁路部署，逻辑串联；不影响现有网络结构。如图所示。9.1.4堡垒机的部署模式堡垒机的部署模式主要有单机部署、双机高可靠部署和集群部署。双机高可靠部署双机高可靠部署。旁路部署两台堡垒机，中间有心跳线连接，用于同步数据，对外提供一个虚拟IP地址。双机高可靠部署部署特点是两台硬件堡垒机，一主一备，当主机出现故障时，备机自动接管服务。如图所示。9.1.4堡垒机的部署模式堡垒机的部署模式主要有单机部署、双机高可靠部署和集群部署。集群部署。当需要管理的设备数量很多时，可以将N多台堡垒机进行集群部署。其中两台堡垒机一主一备，其他N-2台堡垒机作为集群节点，给主机上传同步数据，整个集群对外提供一个虚拟IP地址。集群部署特点是两台硬件堡垒机，一主一备、提供单一虚拟IP（virtualIP）当主机出现故障时，备机自动接管服务。9.1.5堡垒机的部署模式麒麟堡垒机的安装方式。麒麟堡垒机的安装方式分为安装包安装方式和ISO安装方式两种。系统安装需求为内存>=2G、CPU>=1核、硬盘>=10G（如果系统内存小于2G，必须具有swap1G以上才能正常运行）。1.安装包安装方式首先最小化安装一个Centos7.x或使用云模版最小化Centos7.X。然后下载安装包，下载链接为/centos7.tar.gz，具体安装过程如下。将安装包centos7.tar.gz上传到系统/tmp/目录cd/tmp/tarxpvfcentos7.tar.gz依次运行以下三个命令进行安装：bashyum.sh//必须有yum源并且保证yum已经可以成功安装包bashinstall.shinit69.1.5堡垒机的部署模式麒麟堡垒机的安装方式。2.ISO安装方式首先下载ISO文件，下载链接为/open.iso，硬件服务器只支持STAT硬盘，将ISO记录成光盘（注意不支持U盘）后，进行一键安装，或将ISO文件挂在虚机上进行一键安装。系统安装完成后会自动重启，后台登录方式为ssh，端口号为2288，用户名root，密码blj2015BLJ，登录后请修改root密码。任务实施实施场景XUN公司内网的核心交换机由第三方工程师进行定期运维，为保障公司网络和数据不受来自外部和内部用户的入侵和破坏。项目经理安排小锐安装麒麟堡垒机系统，实现网络核心交换机监控，并记录操作行为。具体配置任务如下：（1）麒麟堡垒机的安装。任务实施实施设备（1）USG6000V防火墙1台（2）Client机2台。（3）S5700交换机2台（4）AR2220路由器1台（5）Server服务器2台（6）云接口2个，绑定运维人员客户端的虚拟网卡和堡垒机虚拟网卡。（7）麒麟堡垒机ISO文件（8）VMwareWorkstationPro软件。任务实施实施过程1）创建虚拟机。（1）运行“VMwareWorkstationPro”软件，在“主页”页面，单击“创建新的虚拟机”,选择“自定义高级”，单击“下一步”；（2）在页面“选择虚拟机硬件兼容性”，默认系统参数，单击“下一步”；（3）在页面“安装客户机操作系统”，选择“稍后安装操作系统”，单击“下一步；（4）在页面“安装客户机操作系统”，选择“Linux”，选择“Cento764位”，单击“下一步”；（5）在页面“命名虚拟机”，“虚拟机名称”输入为堡垒机，“位置”输入为D:\BLJ，单击“下一步”；（6）在页面“处理器配置”，“处理器数量”输入为1，“每个处理器的内核数量”输入为2，单击“下一步”；（7）在在页面“此虚拟机内存”，“此虚拟机内存”输入为4096，单击“下一步”；（8）在页面“网络类型”，选择“使用网络地址转换NAT”，单击“下一步”；（9）在页面“选择I/O控制器类型”，选择“LSILogic(推荐)”，单击“下一步”；（10）在页面“选择磁盘类型”，选择“SATA”，单击“下一步”；（11）在页面“选择磁盘”，选择“创建新虚拟磁盘”，单击“下一步”；（12）在页面“指定磁盘容量”，最大磁盘大小输入为300，单击“下一步”；（13）在页面“指定磁盘文件”，默认系统参数，单击“下一步”；（14）在页面“已准备好创建虚拟机”，单击“自定义硬件”；（15）在页面“硬件”，单击“添加”，选择“网络适配器”，单击“完成”，选择新添加的网卡“网络适配器2”，单击“网络连接”中的“自定义（U）：特定虚拟网络”，选择“VMnet1（仅主机模式）”；（16）在页面“硬件”，选择“新CD/DVD”，在“连接”中选择“使用ISO映像文件”，单击“浏览”，找到麒麟堡垒机的镜像ISO文件，单击“打开”；（17）在页面“硬件”，单击“关闭”；（18）在页面“已准备好创建虚拟机”，单击“完成”，创建了一台新的虚拟机，如图所示。任务实施实施过程2）安装麒麟堡垒机。（1）选择“堡垒机”,单击“开启此虚拟机”，如图所示。堡垒机安装界面任务实施实施过程2）安装麒麟堡垒机。（2）选择“installblj<2Tdiskuse”，此时出现麒麟堡垒机安装过程的页面，等待麒麟堡垒机安装完成，安装成功后，系统重启进入命令行登录界面，如图所示。麒麟堡垒机登录界面任务实施实施过程2）安装麒麟堡垒机。（3）在麒麟堡垒机的命令行登录界面输入用户名root，密码blj2015BLJ，登录成功后，进入linux命令行界面，修改网卡信息。[root@Audit~]#vi/etc/sysconfig/network-scripts/ifcfg-eth0DEVICE=eth0//本任务eth0为堡垒机管理口ONBOOT=yesIPADDR=00//绑定VMnet8（NAT）NETMASK=

[root@Audit~]#vi/etc/sysconfig/network-scripts/ifcfg-eth1DEVICE=eth1//本任务eth1为堡垒机业务口ONBOOT=yesIPADDR=00////绑定VMnet1NETMASK=GATEWAY=54[root@Audit~]#systemctlrestartnetwork任务实施实施过程2）安装麒麟堡垒机。（4）在物理机上打开IE浏览器，输入00/，出现“此网站的安全证书存在问题”页面，单击“继续浏览此网站(不推荐)”。进入麒麟堡垒机WEB界面，如图所示。麒麟堡垒机WEB界面任务小结本任务介绍了堡垒机的概念、功能、工作原理以用常用部署模式等知识。通过实施堡垒机的安装任务，掌握堡垒机安装方法，深化了对堡垒机工作原理的理解，在安装麒麟堡垒机系统时需关注麒麟堡垒机安装方式，虚拟网卡规划及配置等技术要点，保证麒麟堡垒机的正常运行。思考题1.简述堡垒机的工作原理。谢谢观看！目录ContentsPart01任务目标Part02任务描述Part04任务实施任务9.2-堡垒机配置Part03知识储备项目9-堡垒机配置与应用任务目标知识目标技能目标素养目标1.了解麒麟堡垒机的应用场景。2.了解麒麟堡垒机系统配置过程。1.培养严谨细致的工作态度，建立运维安全合规意识。2.养成规范化文档记录习惯。1.掌握麒麟堡垒机系统配置与应用。2.掌握用户、资产、权限策略等核心资源的配置与管理。3.掌握通过堡垒机进行正常运维操作和会话审计。任务描述本任务要完成的工作：公司为保障内网服务器和网络核心设备的安全，保障网络和数据不受来自外部和内部用户的入侵和破坏。项目经理安排小锐安装麒麟堡垒机系统，实现内网服务器和网络核心设备监控和记录操作行为。习总书记指出：“没有网络安全就没有国家安全，没有信息化就没有现代化。”这一论述将网络安全上升到国家安全的层面，足以看出网络安全的重要性。知识储备9.2.2麒麟堡垒机系统配置9.2.1麒麟堡垒机应用简介9.2.1麒麟堡垒机应用简介麒麟堡垒机是用于对第三方或者内部运维管理员的运维操作行为进行集中管控审计的系统。可以帮助客户规范运维操作行为、控制并降低安全风险、满足等级保护级其他法规对IT内控合规性的要求。麒麟堡垒机集中管理运维账号、资产设备，集中控制运维操作行为，能够实现实时监控、阻断、告警，以及事后的审计与统计分析。支持常用的运维工具协议（如SSH、telnet、ftp、sftp、RDP、VNC等），并可以应用发布的方式支持图形化运维工具。麒麟堡垒机支持旁路模式和VPN模式两种方式，物理上旁路部署，灵活方面。在操作方式上，不改变用户的操作习惯，仍然可以使用自己本机的运维工具。9.2.2麒麟堡垒机系统配置麒麟堡垒机系统设置主要包括三个步骤：（1）添加用户组和web用户为每个运维人员创建一个web用户，并将每个用户分配用户组。在添加用户时，堡垒机web用户帐号一般可以直接在界面上创建，如果帐号多于10个，可以使用EXCEL导入功能进行批量导入。（2）添加设备组和设备添加需要管理的设备，并分配设备组。在添加设备时，正确选择设备类型，然后配置IP地址、协议、设备组等。Unix/Linux资源是通过SSH协议22端口访问到资源的，如果22端口有修改也需要到堡垒机中进行修改到对应的端口。windows资源是通过RDP协议3389端口访问到资源的，如果3389端口有修改堡垒机中也需要进行修改到对应的端口。网络设备资源一般是交换机路由器这些设备，通过SSH或者telnet协议。9.2.2麒麟堡垒机系统配置麒麟堡垒机系统设置主要包括三个步骤：（3）授权通过绑定权限，指定哪一个web用户能登录哪一台设备进行操作。麒麟堡垒机通过给每个用户建立一个堡垒机帐号（主帐号），并且将设备帐号（从帐号）分配给主帐号完成授权，同时授权时可以绑定来源IP限制、可运行命令限制、可登录时间限制规则。麒麟堡垒机有管理员、分组管理员、审计员等角色，管理员可以对设备、用户、权限进行配置并且标记，同时所有的配置过程都会被记录，记录可以由审计员进行审计，因此，管理员必须按要求写严格的访问控制规则。任务实施实施场景XUN公司内网的核心交换机由第三方工程师进行定期运维，为保障公司网络和数据不受来自外部和内部用户的入侵和破坏。项目经理安排小锐配置麒麟堡垒机系统，实现网络核心交换机监控，并记录操作行为。具体配置任务如下：（1）根据拓扑图完成防火墙、路由器、交换机和主机的网络参数的基本配置。（2）配置防火墙各接口所属安全区域。（3）创建安全策略trust_untrust，放行trust区域到untrust区域的流量。创建安全策略any_dmz，放行trust和untrust区域到dmz区域的流量。创建安全策略dmz_trust，放行dmz到trust区域的流量。（4）配置NAPT方式的源NAT，对总部内网主机访问Internet的报文源地址进行转换。（5）配置NATServer，将出口防火墙的出口公网地址映射为麒麟堡垒机业务口的IP地址。（6）配置麒麟堡垒机，添加Web用户为admin01，用户组为admins,添加设备组为devices,添加管理的设备,配置主机名为SW1，设备类型为HuaWei，IPv4地址为，设备组为devices。为被管理的设备SW1绑定用户admin01，同时配置被管理的设备SW1的SSH登录用户名和密码。（7）在运维人员客户端使用SSH工具通过麒麟堡垒机登录SW1主机并执行巡检相关命令的操作。任务实施实施设备（1）USG6000V防火墙1台（2）Client机2台。（3）S5700交换机2台（4）AR2220路由器1台（5）Server服务器2台（6）麒麟堡垒机1台（7）云接口2个，绑定运维人员客户端虚拟网卡和麒麟堡垒机虚拟网卡。任务实施实施过程1）配置Client1、Client2的网络基本参数，以Client1为例，如图所示。Client1参数配置任务实施实施过程1）配置内网HTTP服务器和公网HTTP服务器的网络参数，开启HTTP服务，以内网HTTP服务器为例，如图所示。内网HTTP服务器网络参数配置内网HTTP服务器配置任务实施实施过程3）配置防火墙FW1网络基本参数，配置命令如下。[FW1]interfaceGigabitEthernet1/0/1[FW1-GigabitEthernet1/0/1]ipaddress5424[FW1-GigabitEthernet1/0/1]service-manageallpermit[FW1-GigabitEthernet1/0/1]interfaceGigabitEthernet1/0/2[FW1-GigabitEthernet1/0/2]ipaddress24[FW1-GigabitEthernet1/0/2]interfaceGigabitEthernet1/0/0[FW1-GigabitEthernet1/0/0]ipaddress5424[FW1-GigabitEthernet1/0/0]interfaceGigabitEthernet1/0/3[FW1-GigabitEthernet1/0/3]ipaddress5424[FW1-GigabitEthernet1/0/3]quit任务实施实施过程4）划分防火墙FW1的安全区域，将FW1的GE1/0/1口加入trust区域，GE1/0/2口加入untrust区域，GE1/0/0、GE1/0/3口加入dmz区域。配置命令如下。[FW1]firewallzonetrust[FW1-zone-trust]addinterfaceGigabitEthernet1/0/1[FW1-zone-trust]quit[FW1]firewallzoneuntrust[FW1-zone-untrust]addinterfaceGigabitEthernet1/0/2[FW1-zone-untrust]quit[FW1]firewallzonedmz[FW1-zone-dmz]addinterfaceGigabitEthernet1/0/0[FW1-zone-dmz]addinterfaceGigabitEthernet1/0/3[FW1-zone-dmz]quit任务实施实施过程5）配置防火墙FW1的安全策略，配置命令如下。[FW1]security-policy[FW1-policy-security]rulenametrust_untrust[FW1-policy-security-rule-trust_untrust]source-zonetrust[FW1-policy-security-rule-trust_untrust]destination-zoneuntrust[FW1-policy-security-rule-trust_untrust]actionpermit[FW1-policy-security-rule-trust_untrust]quit[FW1-policy-security]rulenameany_dmz//trust、untrust访问dmz的安全策略[FW1-policy-security-rule-any_dmz]source-zonetrust[FW1-policy-security-rule-any_dmz]source-zoneuntrust[FW1-policy-security-rule-any_dmz]destination-zonedmz[FW1-policy-security-rule-any_dmz]destination-address24[FW1-policy-security-rule-any_dmz]destination-address24[FW1-policy-security-rule-any_dmz]actionpermit[FW1-policy-security-rule-any_dmz]quit[FW1-policy-security]rulenamedmz_trust[FW1-policy-security-rule-dmz_trust]source-zonedmz[FW1-policy-security-rule-dmz_trust]destination-zonetrust[FW1-policy-security-rule-dmz_trust]actionpermit[FW1-policy-security-rule-dmz_trust]quit任务实施实施过程6）FW1上配置EasyIP方式访问外网，对内网主机访问Internet的报文源地址进行转换。配置命令如下。[FW1]nat-policy[FW1-policy-nat]rulenamenat_gz[FW1-policy-nat-rule-nat_gz]source-zonetrust[FW1-policy-nat-rule-nat_gz]destination-zoneuntrust[FW1-policy-nat-rule-nat_gz]actionsource-nateasy-ip[FW1-policy-nat-rule-nat_gz]quit[FW1-policy-nat]quit[FW1]iproute-static0547）FW1上配置NATServer，使内网FTP服务器能够对外网提供FTP服务。[FW1]natserverweb_serverprotocoltcpglobalinside00任务实施实施过程8）配置路由器AR1，模拟Internet环境。配置命令如下。[AR1]interfaceGigabitEthernet0/0/0[AR1-GigabitEthernet0/0/0]ipadd5424[AR1-GigabitEthernet0/0/0]quit[AR1]interfaceGigabitEthernet0/0/1[AR1-GigabitEthernet0/0/1]ipadd24[AR1-GigabitEthernet0/0/1]quit[AR1]intGigabitEthernet0/0/2[AR1-GigabitEthernet0/0/2]ipadd24[AR1-GigabitEthernet0/0/2]quit任务实施实施过程9）配置交换机SW1，在SW1上创建VLAN10、VLAN20、VLAN50，并将GE0/0/1口加入VLAN10，GE0/0/2加入VLAN20，GE0/0/24加入VLAN50。配置VLAN10的VLANIF接口IP为54/24,配置VLAN20的VLANIF接口IP为54/24，配置VLAN50的VLANIF接口IP为/24。[SW1]vlanbatch102050[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]portlink-typeaccess[SW1-GigabitEthernet0/0/1]portdefaultvlan10[SW1-GigabitEthernet0/0/1]quit[SW1]interfaceGigabitEthernet0/0/2[SW1-GigabitEthernet0/0/2]portlink-typeaccess[SW1-GigabitEthernet0/0/2]portdefaultvlan20[SW1-GigabitEthernet0/0/2]quit[SW1]interfaceGigabitEthernet0/0/24[SW1-GigabitEthernet0/0/24]portlink-typeaccess[SW1-GigabitEthernet0/0/24]portdefaultvlan50[SW1-GigabitEthernet0/0/24]quit[SW1]interfaceVlanif10[SW1-Vlanif10]ipadd5424[SW1-Vlanif10]quit[SW1]interfaceVlanif20[SW1-Vlanif20]ipadd5424[SW1-Vlanif20]quit[SW1]interfaceVlanif50[SW1-Vlanif50]ipadd24[SW1-Vlanif50]quit任务实施实施过程10）交换机SW1与防火墙FW1采用OSPF动态路由协议互联。配置命令如下。[SW1]ospf1//在SW1上启用OSPF路由协议，区域号为0，进程号为1，宣告所有部门的子网[SW1-ospf-1]area0[SW1-ospf-1-area-]network54[SW1-ospf-1-area-]network54[SW1-ospf-1-area-]network[SW1-ospf-1-area-]quit[SW1-ospf-1]quit[FW1]ospf1//在FW1上启用OSPF路由协议，区域号为0，进程号为1，宣告/24[FW1-ospf-1]area0[FW1-ospf-1-area-]network54[FW1-ospf-1-area-]quit[FW1-ospf-1]default-route-advertisealways//防火墙FW1配置了默认路由，强制通告默认路由[FW1-ospf-1]quit任务实施实施过程11）总部Client1使用httpClient可以正常访问公网HTTP服务器，访问IP为00，如图所示。Client1访问公网HTTP服务器任务实施实施过程12）运维人员客户端通过云接口与物理主机的虚拟网卡相连，物理主机的虚拟网卡IP地址配置50/24，网关为54。云接口具体配置如图所示。运维人员客户端使用云接口配置任务实施实施过程13）麒麟堡垒机通过云接口与物理主机的虚拟网卡相连，物理主机的虚拟网卡使用“VMwareNetworkAdapterVMnet1”，IP地址配置/24，不配置网关。云接口具体配置如图所示。麒麟堡垒机使用云接口配置任务实施实施过程14）配置麒麟堡垒机。（1）本任务配置堡垒机通过SSH监控和记录SW1核心交换机操作行为，所以SW1核心交换机需开启SSH服务。[SW1]rsalocal-key-paircreate[SW1]stelnetserverenable[SW1]aaa[SW1-aaa]local-useradminpasswordcipherabc@123[SW1-aaa]local-useradminservice-typessh[SW1-aaa]local-useradminprivilegelevel15[SW1-aaa]quit[SW1]user-interfacevty04[SW1-ui-vty0-4]authentication-modeaaa[SW1-ui-vty0-4]protocolinboundssh[SW1-ui-vty0-4]quit[SW1]sshuseradminauthentication-typepassword[SW1]sshuseradminservice-typestelnet任务实施实施过程14）配置麒麟堡垒机。（2）为保证运维人员客户端可以通过ENSP云接口访问麒麟堡垒机，在物理主机上增加一条静态路由，以Windows操作系统为例。以管理员身份运行cmd.exe命令。C:\windows\system32>routeadd00mask5554（3）在麒麟堡垒机WEB界面，输入用户名admin，口令12345678，进入麒麟堡垒机首页，如图所示。任务实施实施过程14）配置麒麟堡垒机。（4）选择“资源管理->web用户”选项，单击“用户组管理”,单击“添加新节点”，节点名输入为admins，属性选择“用户”，单击“确认”，如图所示。添加用户组页面任务实施实施过程14）配置麒麟堡垒机。（5）选择“资源管理->web用户”选项，单击“用户管理”,单击“添加用户”，用户名输入为admin01，真实姓名输入为小锐，密码输入为abc@1234，分配用户组admins，其余选项为系统默认，单击“保存修改”，如图所示。添加成功后，如图所示。添加用户页面添加了admin01用户任务实施实施过程14）配置麒麟堡垒机。