明御堡垒机系统技术介绍
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
内置动态令牌认证引擎,用户绑定动态令牌卡(硬件)即可,口令1分钟 自动变更一次
内置USBkey认证引擎,用户绑定USBkey(硬件)即可,登录堡垒机时 须在PC上插入USBkey才可登录,仅支持IE浏览器
提供短信网关对接的接口,在堡垒机中设置好webservice参数,对接成 功之后即可使用手机接收口令登录堡垒机
运维人员
开发人员 其他人员
网络
防火墙 交换机
管理IP 堡垒机
Windows Unix类 服务器 服务器
数据库 服务器
文件 服务器
其他 服务器
物理链路 逻辑链路
快速配置步骤
主机运维步骤
查看审计步骤
目
• 产品介绍 • 产品实施 • 产品售后
录
产品售后 - 十问十答
序号
问题
1 堡垒机的IP或密码忘记了怎么办?
1.添加用户 2.添加主机 3.添加授权
配置
运维调试
1.确保网络可达 2.确保协议可登录 3.熟悉网络排查 4.检查审计日志
产品培训
1.留下常用手册 2.培训管理员 3.培训运维员
运行与验收
1.使用磨合期 2.产品验收 3.产品巡检
调试
培训
使用
12
网络部署示意图
部署特点:
物理旁路、逻辑网关 通过ACL或托管密码防止绕过堡垒机
8 正在测试的堡垒机里数据可以导到新的堡垒机里吗? 支持,前提是需要确保两台堡垒机的软件版本一致。
9 客户说,我不会配置ACL,你帮我做吧? 10 客户有个特殊的应用程序需要审计怎么办?
如果非常非常懂防火墙、路由器、交换机及客户的网络环境,可以考虑做;但不推荐去做。 通过应用发布服务器解决。
产品排错 - “三点一线、直连测试”
产品排错 - 登录windows失败 20
产品排错 - 登录linux/unix失败 21
谢谢聆听!
HA口,即双机热备的心跳口
console口,即串口; 可修改密码、IP、策略等; 可查看系统的启动状态。
Admin口,即默认管理口
其他接口,既能做管理口, 又是备用接口。
产品介绍 - 产品界面
产品介绍 - 常用功能
产品介绍 - 常用功能
超级管理员 部门管理员 运维管理员
功能描述 拥有系统全部功能模块的最高管理权限,并且唯一的用户是admin
资产类型 linux、unix、交换机、路由器
交换机、路由器 windows server 2003/2008/2012/2016
文件服务器 文件服务器 windows、linux、unix oracle数据库服务器(10g/11g/12c) SQL server数据库服务器 mysql数据库服务器 DB2数据库服务器 IE浏览器、VMware vSphere Client等
2 通过堡垒机登录主机失败?
3 堡垒机部署在什么位置合适?
应答
(1)可通过堡垒机的console口界面修改密码和IP。 (2)如果admin忘记了,则需要向我们的技术负责人申请堡垒机 的临时密码
(1)检查PC至堡垒机的端口是否正常。 (2)检查堡垒机至服务器的端口是否正常。 (3)如果以上都正常,则抓包给我们看看
备注 免费 硬件收费 硬件收费 仅提供接口 仅提供接口 仅提供接口 仅提供接口
本地认证
静态密码
自带本地静态密码认证方式,使用堡垒机的用户名和密码登录即可
默认
产品介绍 - 可管理的资产
协议 SSH telnet RDP SFTP FTP VNC oracle MSSQL mySQL DB2 应用发布
提供AD域对接的接口,在堡垒机中设置好AD域服务器信息,登录堡垒机 时输入AD域的用户名、密码
提供LDAP对接的接口,在堡垒机中设置好LDAP服务器信息,登录堡垒 机时输入LDAP的用户名、密码
提供RADIUS对接的接口,在堡垒机中设置好RADIUS服务器信息,登录 堡垒机时输入RADIUS的用户名、密码及动态密码;支持安盟、众人、动 联、RSA等主流认证品牌。
建议部署在核心交换处,个别特殊情况可接在防火墙上(但比较麻烦)
4 堡垒机试用有效期过了怎么办?
向我们区域的负责人申请或购买
5 应用服务器(应用中心)是干嘛用的?
应用中心是用于结合堡垒机对一些特殊的应用程序实现审计
6 堡垒机该怎么升级?
堡垒机只提供手工升级
7 堡垒机坏了怎么办?
(1)如果只有一台堡垒机,就需要定期做好系统配置和审计日志备份工作。 (2)如果堡垒机坏了,就需要及时联系项目负责人进行处理。 (3)但是建议上双机热备(HA)
三点一线:PC<--ห้องสมุดไป่ตู้->堡垒机<---->主机
1、确保PC与堡垒机的端口,可达。 2、确保堡垒机与主机的端口,可达。 (1)管理员可以在网络诊断页面排查; (2)运维员可以在字符C/S界面排查。 3、如果以上都正常,则在堡垒机页面抓包给我们。
直连测试:
1、PC<----->主机,是否正常。 2、主机A<----->主机B,是否正常。 3、如果以上都正常,则在堡垒机页面抓包给我们。
默认端口 22 23
3389 22
21/20 5900 1521 1433 3306 50000 待定
备注 堡垒机默认支持 结合应用中心实现
目
• 产品介绍 • 产品实施 • 产品售后
录
实施步骤 - 可参考实施方案
环境准备
1.部署位置 2.设备上架 3.收集信息 4.配置设备 5.检查许可
准备
添加数据
审计员 运维员
拥有被审计管理员授权后查看审计日志权限 拥有被超级管理员/部门管理员/运维管理员授权后可以运维的权限
产品介绍 - 常用功能
认证分类 双因素认证
双因素认证+认 证接口
认证接口
认证名称 手机APP口令
动态令牌 USBkey 短信口令
AD LDAP RADIUS
功能描述
内置手机APP动态口令验证码机制,安装手机APP并且绑定用户验证密钥 即可,口令30秒自动变更一次
拥有“部门、用户、资产、授权、审计、工单、运维”功能模块的管理权 限
拥有“部门、用户、资产、授权、工单、运维”配置的权限
备注
审计管理员 拥有“审计”的权限 系统管理员 拥有“系统”管理权限 密码管理员 拥有设置“安全码keyB”权限
角色固定、不可变 更三权分立:运维 管理员、审计管理 员、系统管理员、 禁用admin
明御运维审计与风险控制系统(堡垒机) 产品介绍
技术创新,变革未来
目录
• 产品介绍 • 产品实施 • 产品售后
产品介绍 - 设备外观
DAS-USM150 DAS-USM200
产品介绍 - 设备外观
DAS-USM800
产品介绍 - 设备外观
默认出厂所有接口都一个bond里; 即:接任何一个接口都可以访问; 出厂IP:172.16.1.2/24; 接口的bond是主备模式(即谁先亮灯 谁就占了管理IP)。
内置USBkey认证引擎,用户绑定USBkey(硬件)即可,登录堡垒机时 须在PC上插入USBkey才可登录,仅支持IE浏览器
提供短信网关对接的接口,在堡垒机中设置好webservice参数,对接成 功之后即可使用手机接收口令登录堡垒机
运维人员
开发人员 其他人员
网络
防火墙 交换机
管理IP 堡垒机
Windows Unix类 服务器 服务器
数据库 服务器
文件 服务器
其他 服务器
物理链路 逻辑链路
快速配置步骤
主机运维步骤
查看审计步骤
目
• 产品介绍 • 产品实施 • 产品售后
录
产品售后 - 十问十答
序号
问题
1 堡垒机的IP或密码忘记了怎么办?
1.添加用户 2.添加主机 3.添加授权
配置
运维调试
1.确保网络可达 2.确保协议可登录 3.熟悉网络排查 4.检查审计日志
产品培训
1.留下常用手册 2.培训管理员 3.培训运维员
运行与验收
1.使用磨合期 2.产品验收 3.产品巡检
调试
培训
使用
12
网络部署示意图
部署特点:
物理旁路、逻辑网关 通过ACL或托管密码防止绕过堡垒机
8 正在测试的堡垒机里数据可以导到新的堡垒机里吗? 支持,前提是需要确保两台堡垒机的软件版本一致。
9 客户说,我不会配置ACL,你帮我做吧? 10 客户有个特殊的应用程序需要审计怎么办?
如果非常非常懂防火墙、路由器、交换机及客户的网络环境,可以考虑做;但不推荐去做。 通过应用发布服务器解决。
产品排错 - “三点一线、直连测试”
产品排错 - 登录windows失败 20
产品排错 - 登录linux/unix失败 21
谢谢聆听!
HA口,即双机热备的心跳口
console口,即串口; 可修改密码、IP、策略等; 可查看系统的启动状态。
Admin口,即默认管理口
其他接口,既能做管理口, 又是备用接口。
产品介绍 - 产品界面
产品介绍 - 常用功能
产品介绍 - 常用功能
超级管理员 部门管理员 运维管理员
功能描述 拥有系统全部功能模块的最高管理权限,并且唯一的用户是admin
资产类型 linux、unix、交换机、路由器
交换机、路由器 windows server 2003/2008/2012/2016
文件服务器 文件服务器 windows、linux、unix oracle数据库服务器(10g/11g/12c) SQL server数据库服务器 mysql数据库服务器 DB2数据库服务器 IE浏览器、VMware vSphere Client等
2 通过堡垒机登录主机失败?
3 堡垒机部署在什么位置合适?
应答
(1)可通过堡垒机的console口界面修改密码和IP。 (2)如果admin忘记了,则需要向我们的技术负责人申请堡垒机 的临时密码
(1)检查PC至堡垒机的端口是否正常。 (2)检查堡垒机至服务器的端口是否正常。 (3)如果以上都正常,则抓包给我们看看
备注 免费 硬件收费 硬件收费 仅提供接口 仅提供接口 仅提供接口 仅提供接口
本地认证
静态密码
自带本地静态密码认证方式,使用堡垒机的用户名和密码登录即可
默认
产品介绍 - 可管理的资产
协议 SSH telnet RDP SFTP FTP VNC oracle MSSQL mySQL DB2 应用发布
提供AD域对接的接口,在堡垒机中设置好AD域服务器信息,登录堡垒机 时输入AD域的用户名、密码
提供LDAP对接的接口,在堡垒机中设置好LDAP服务器信息,登录堡垒 机时输入LDAP的用户名、密码
提供RADIUS对接的接口,在堡垒机中设置好RADIUS服务器信息,登录 堡垒机时输入RADIUS的用户名、密码及动态密码;支持安盟、众人、动 联、RSA等主流认证品牌。
建议部署在核心交换处,个别特殊情况可接在防火墙上(但比较麻烦)
4 堡垒机试用有效期过了怎么办?
向我们区域的负责人申请或购买
5 应用服务器(应用中心)是干嘛用的?
应用中心是用于结合堡垒机对一些特殊的应用程序实现审计
6 堡垒机该怎么升级?
堡垒机只提供手工升级
7 堡垒机坏了怎么办?
(1)如果只有一台堡垒机,就需要定期做好系统配置和审计日志备份工作。 (2)如果堡垒机坏了,就需要及时联系项目负责人进行处理。 (3)但是建议上双机热备(HA)
三点一线:PC<--ห้องสมุดไป่ตู้->堡垒机<---->主机
1、确保PC与堡垒机的端口,可达。 2、确保堡垒机与主机的端口,可达。 (1)管理员可以在网络诊断页面排查; (2)运维员可以在字符C/S界面排查。 3、如果以上都正常,则在堡垒机页面抓包给我们。
直连测试:
1、PC<----->主机,是否正常。 2、主机A<----->主机B,是否正常。 3、如果以上都正常,则在堡垒机页面抓包给我们。
默认端口 22 23
3389 22
21/20 5900 1521 1433 3306 50000 待定
备注 堡垒机默认支持 结合应用中心实现
目
• 产品介绍 • 产品实施 • 产品售后
录
实施步骤 - 可参考实施方案
环境准备
1.部署位置 2.设备上架 3.收集信息 4.配置设备 5.检查许可
准备
添加数据
审计员 运维员
拥有被审计管理员授权后查看审计日志权限 拥有被超级管理员/部门管理员/运维管理员授权后可以运维的权限
产品介绍 - 常用功能
认证分类 双因素认证
双因素认证+认 证接口
认证接口
认证名称 手机APP口令
动态令牌 USBkey 短信口令
AD LDAP RADIUS
功能描述
内置手机APP动态口令验证码机制,安装手机APP并且绑定用户验证密钥 即可,口令30秒自动变更一次
拥有“部门、用户、资产、授权、审计、工单、运维”功能模块的管理权 限
拥有“部门、用户、资产、授权、工单、运维”配置的权限
备注
审计管理员 拥有“审计”的权限 系统管理员 拥有“系统”管理权限 密码管理员 拥有设置“安全码keyB”权限
角色固定、不可变 更三权分立:运维 管理员、审计管理 员、系统管理员、 禁用admin
明御运维审计与风险控制系统(堡垒机) 产品介绍
技术创新,变革未来
目录
• 产品介绍 • 产品实施 • 产品售后
产品介绍 - 设备外观
DAS-USM150 DAS-USM200
产品介绍 - 设备外观
DAS-USM800
产品介绍 - 设备外观
默认出厂所有接口都一个bond里; 即:接任何一个接口都可以访问; 出厂IP:172.16.1.2/24; 接口的bond是主备模式(即谁先亮灯 谁就占了管理IP)。