2024年4月12日发(作者:)

目录

一. 概述 ............................................................................................. 1

1.1背景分析 ..................................................................................... 1

1.2运维现状分析 ............................................................................. 2

1.3存在的问题 ................................................................................ 2

1.4问题分析 .................................................................................... 3

二. 解决方案 ..................................................................................... 3

2.1.实现目标 ................................................................................... 3

2.2运维人员需求 ............................................................................. 3

2.3部署拓扑 .................................................................................... 4

2.4 部署说明 ................................................................................... 4

2.5堡垒机的配置:.......................................................................... 5

2.6.防火墙的配置: ........................................................................ 5

2.7 交换机的配置 ............................................................................ 5

2.8应急措施 .................................................................................... 6

530运维堡垒机解决方案

一. 概述

1.1背景分析

随着信息技术的不断发展和信息化建设的不断进步,业务

应用、办公系统、商务平台的不断推出和投入运行,信息系统在企

业的运营中全面渗透。统管理员压力太大等因素,人为误操作的可

能性时有发生,这会对部门或者企业声誉造成重大影响,并严重影

响其经济运行效能。黑客/恶意访问也有可能获取系统权限,闯入部

门或企业内部网络,造成不可估量的损失。如何提高系统运维管理

水平,满足相关标准要求,防止黑客的入侵和恶意访问,跟踪服务

器上用户行为,降低运维成本,提供控制和审计依据,越来越成为

企业关心的问题。

1.2运维现状分析

530政务外网中现有各大厂商的网络设备,安全设备和服务器,其

日常运维过程中普遍存在以下现状:

·用户访问方式以内部远程访问为主,运维操作的访问方式又以

SSH/TELNET/RDP/VNC/HTTP/HTTPS为主;

·用户凭借设备上的账号完成身份认证授权,难以保障账号的安全

性;

·密码管理复杂,无法有效落实密码定期修改的规定;

·运维人员的操作行为无审计,事故发生后无法快速定位事故原因

和责任人;

1.3存在的问题

用户身份不唯一,用户登录后台设备时,仍然可以使用共享账

号(root、administrator等)访问,从而无法准确识别用户的身

份;

缺乏严格的访问控制,任何人登录到后台其中一台设备后,就

可以访问到后台各种设备;

重复枯燥的密码管理工作,大大降低了工作效率的同时,人员

的流动还会导致密码存在外泄的风险;

难于限制用户登录到后台设备后的操作权限;

无法知道当前的运维状况,也不知道哪些操作是违规的或者有

风险的;

缺乏有效的技术手段来监管代维人员的操作;