银行堡垒机实施方案

1、 银行运维审计平台实施方案文档密级：内部资料银行分行运维审计平台实施方案修订记录/Change History日期修订版本描述作者2016-2-16V1.0独立实施方案，完善测试部分麒麟目录1 文档说明51.1 概述51.2 运维操作现状52 物理部署规划62.1 设备硬件信息62.2 软件信息72.3 系统LOGO72.4 地址规划72.5 部署规划73 应用部署实施83.1 堡垒机上线说明83.2 设备初始化83.2.1 上架加电93.2.2 网络配置93.3 堡垒机配置修改方式93.3.1 目录树调整103.3.2 设备类型添加及修改113.3.3 堡垒机用户导入及用户配置113.3.4

2、 主机设备帐号导入143.3.5 系统帐号赋权183.3.6 应用发布服务器添加203.4 堡垒机应用发布配置223.4.1 应用发布用户配置223.4.2 应用用户组授权233.5 数据留存配置243.5.1 审计数据留存243.5.2 设备配置留存253.5.3 定时任务配置263.5.4 动态令牌使用手册271、证书导入272、证书绑定283、运维人员使用283.6 应急方案304 系统测试314.1 TELNET访问操作管理314.2 SFTP访问操作管理314.3 SSH访问操作管理324.4 RDP访问操作管理324.5 FTP访问操作管理325 集中管控平台335.1 集中管控平

3、台功能335.2 设备硬件信息335.3 软件信息335.4 地址规划335.5 部署规划345.6 集中管控平台部署345.7 系统上线需求355.8 系统安装356 双机部署模式366.1 双机部署模式功能366.2 上线条件366.3 地址规划376.4 上线步骤371 文档说明1.1 麒麟开源堡垒机使用概述随着我行业务范围和营业网点的不断延伸扩大，各类特色业务系统和基础网络设备随之上线运行，切实有效的保障了各分行业务的稳定性、安全性和灵活性。但与此同时，随着业务系统应用范围越来越广、数据越来越多，所需日常维护的系统和设备也在日益增长，科技运维部门面临的网络、系统安全稳定运行的压力也随之

4、增加。当前运维管理中存在的主要问题是，技术人员和维护人员的日常管理和维护都是直接登录业务系统、设备进行操作，没有针对运维操作进行统一管理、统一审计、统一分析的系统，造成运维操作没有办法进行监控分析，进而造成内部数据信息泄露、违规操作、恶意操作、密码外泄等一系列重大安全隐患。随着监管对于日常运维工作审计记录的监管需求以及XX银行本身运维规范化管理的需求，实现分行骨干设备的运维操作的审计需求迫在眉睫。本次堡垒机项目使用麒麟开源堡垒机，麒麟开源堡垒机产品功能强大稳定性高，经过测试可以完全满足银行的使用需要。1.2 运维操作现状当前分行均已部署了ACS设备，实现了网络帐号统一管理、权限控制、及命令记录

5、功能。但因为缺少专业的运维管理系统，对于运维操作的监控，还存在一定的盲区，主要表现为：Ø 运维操作方式多样、分散，缺乏有效集中管理；Ø 运维操作缺乏技术手段来约束；Ø 对运维操作行为的审计方式不直观；Ø 共享账号的情况普遍，给访问者定位带来难题。2 物理部署规划2.1 设备硬件信息运维审计系统包括堡垒机和应用发布服务器两台设备，物理参数如下：设备型号硬件参数堡垒机麒麟开源堡垒机CPU 64位 3G/16G内存/2T硬盘/交流电/2U应用发布服务器麒麟应用发布模块CPU 64位 3G/32G内存/2T硬盘/交流电/2U2.2 软件信息设备操作系统软件版本L

6、icenses数堡垒机CentosV1.1100000个应用发布服务器Windows server 2008V1.32.3 系统LOGO堡垒机LOGO在安装时，都已经被设置为XX银行运维审计平台，以与其它系统进行区分。2.4 地址规划参照分行部署规范，运维审计堡垒机及应用发布平台，需要分行分配在基础服务器区域，分配【199.XX.XX.XX】的地址，两台设备分别需要分配IP地址，且两个地址需要在一个子网。示例如下设备名称所属区域产品型号IP堡垒机内网UOM-1000A应用发布服务器内网Modul-APP-RELEAS-HW2.5 部署规划n 堡垒机、应用发布

7、平台各需要2U的机柜空间位置n 堡垒机、应用发布平台需要部署在基础服务器接入区n 堡垒机、应用发布平台个需要2*10A电源3 应用部署实施3.1 堡垒机上线说明堡垒机在发往用户前，已经完成如下设置:l 设备IP地址、网关、应用发布连接l 设备、人员、权限关系、目录结构的前期调研和导入l 密码规则策略设置l 数据留存策略设置堡垒机现场上线实施步骤包括:l 设备上架、加电l 网络连通性测试l 系统功能测试l 现场培训注：堡垒机出厂时，已经完成了数据导入、权限策略设置、应用发布设置和IP等环境设置，如果有实时时发生更改，请按下面相应描述章节进行修改3.2 设备初始化n 上架加电n 设置IP地址、网络

8、掩码、网管3.2.1 上架加电第一步、分别将堡垒机和应用发布服务器按照部署位置，将主机安装固定到机柜中。第二步、将随机携带的电源线插到主机后面板的电源插座上。第三步、将电源线的另一端插到机柜为主机提供交流电源的插座上。3.2.2 网络配置发货前，堡垒机和应用发布IP默认已经按客户要求配置完毕，如果需要 现场修改可以按如下步骤：堡垒机和应用发布服务器网卡默认IP为：设备名称网卡名称IP访问方式堡垒机Eth0分行提供的IPhttps、ssh堡垒机 Eth1/30https、ssh堡垒机 管理口/30https应用发布 Eth0分行提供的IPRDP应用

9、发布 Eth0/30RDP本次工程，堡垒机和应用发布都要求使用eth0口，修改堡垒机和应用发布IP时，使用eth1进行登录，以避免配置错误后无法登入，堡垒机的管理口为console，通过https访问可以得到键盘显示器的界面，如果堡垒机出现硬件故障或两个网卡都不通时，使用管理口登录。完成上架加电操作后，打开堡垒机的电源按钮，堡垒机开机启动，等待两分钟，启动完成后，使用笔记本通过网线连接堡垒机，笔记本IP地址配置为/30后使用网线直接连接到堡垒机eth1口，然后使用浏览器打开 用户名输入admin 密码1234

10、5678，进入堡垒机系统，在【系统配置】-【网络配置】中修改网卡的IP地址信息，更改为规划好的eth0 IP地址。 应用发布IP eth1地址默认为/30，可以直接使用mstsc rdp到应用发布服务器对IP地址进行修改。3.3 堡垒机配置修改方式堡垒机上线，已经完成项如下：n 目录树导入、设置n 堡垒机用户导入表，建立主帐号n 设备、设备用户导入，建立从帐号n 飞塔防火墙应用从帐号导入n 设备授权设置 到现场，有可能会对某些设备进行相应的调整，调整方法如下：3.3.1 目录树调整单击导航树中【资源管理】中的【资产管理】，选择“目录管理”页签，单击“增加新节点”；根据所

11、要创建的组类型选择“所属目录”与“属性”；系统已经默认安装了标准的目录结构，只需要对目录结构进行相应的修改即可以完成本步设置图 1说明：“节点名”输入节点的名称，“所属目录”新创建目录所属那个父组；设备组目录结构与分行ACS一致，目录树可以无限级目录，堡垒机配置前必须先将目录树配置完毕才能进行用户和设备的导入，用户和设备导入时，必须有配置好的目录树。3.3.2 设备类型添加及修改设备类型配置，主要是加入分行有的，但堡垒机中不存在的设备类型，否则导入时无法写成正确的设备类型（为了方便管理，设备类型最好不要涉及型号，只设置厂商即可，比如Cisco的 2960交换机、3950交换机，可以统一放在Ci

12、sco类型的设备中）单击导航树中【资源管理】中的【资产管理】，选择“系统类型”页签，单击“增加”；图 2说明：“主机/网络”选项中，主机代表操作系统类型设备，网络代表路由交换类型设备，“系统类型”框中填写设备的类型，中文、英文都支持；3.3.3 堡垒机用户导入及用户配置导入表格填写，将附件一.运维人员导入表格按如下要求进行填写用户名:运维人员登录堡垒机时的名称，要求唯一（必须填写）密码: 运维人员登录堡垒机时的密码 （必须填写）真实姓名：运维人员的真实姓名 （必须填写）电子邮箱：运维人员的电子邮箱地址（选择填写）用户权限：统一配置为 普通用户 （必须填写）组名：目录结构中的资源组名称，如果出现

13、同样名称的资源组，则导入时需要用组名(id)方式，比如出现重名的first组，如果你想在界面中这个组加入，则组名为first(221)手机号码：运维人员的手机号码（选择填写）工作单位：运维人员的工作单位（选择填写）工作部门：运维人员的工作部门（选择填写）USBKEY:为动态口令的令牌ID，如果用户需要动态令牌，则在动态令牌列表文件中选择一个未使用的动态令牌给用户后面的其它选项：一般不需要填写，所有的用户按模版复制即可用户导入表确认无误后,使用admin用户登录前台，在 资源管理-资产管理-用户管理菜单，点击右下方的导入按钮在导入界面中，将加密的勾勾上，点击浏览按钮，选择找到需要导入的用户表后，

14、点击提交按钮，即可以将所有的用户导入到堡垒机中点入确定后，会给用户提示，表中哪些用户没有导入成功及未成功的理由用户导入后，如果有个另的用户需要修改或添加，可以在用户管理菜单进行操作单击导航树中【资源管理】中的【资产管理】，选择“用户管理”页签，单击“添加用户”，填写用户的基本信息、权限信息及其他信息；图 3图 43.3.4 主机设备帐号导入主机设备帐号导入前提与堡垒机帐号导入前提一致，必须先做好目录树。按附件二主机设备帐号表中的要求收集分行的主机帐号设备，并且填好，主机帐号导入时，会自动创建主机主机名：主机的名称IP主机的IP地址服务器组：服务器所属组的ID号，因为目录中允许同名称的组，因此，

15、服务器组用ID号替代，可以在资产管理-资源管理-目录节点中查看ID号，如下图：系统类型：主机的操作系统类型，必须在第一章中添加的或系统自带的中选择添加系统用户：系统用户名，如果不想托管，则这项不填当前密码：系统播放的密码，如果不想托管，则这项可以不填登录协议：目前支持telnet/ssh1/ssh/ftp/rdp/vnc/x11 ，可以在这些登录方式中选择相应的端口： 登录协议连接的目标端口过期时间：这个系统帐号的过期时间，如果超过过期时间，则不在允许登录自动修改密码：是否对这个帐号进行自动修改密码（默认为否）主帐号：自动修改密码时只使用一个帐号登录修改主机上所有的用户密码，如果是主帐号，则填

16、是，主帐号一般为root权限或可以sudo 为root自动登录：默认填是堡垒机用户：XX项目中均填否Sftp用户 ：如果是SSH服务，则设置这个SSH用户是否可以使用SFTP服务，是为允许，否为不允许公私钥用户：如果是SSH服务，设置这个SSH用户认证是不是使用公私钥方式，是或否在资源管理-资产管理-设备管理中，点击导入按钮勾上加密按钮，并点击浏览按钮找到主机设备列表的表格后，点击提交按钮，会将所有的设备帐号导入单台设备的添加、修改可以在设备管理菜单完成单击导航树中【资源管理】中的【资产管理】，选择“设备管理”页签，单击“添加”，填写基本信息；图 5单击导航树中【资源管理】中的【资产管理】，选

17、择“设备管理”页签，指定设备的操作栏中单击“用户”，图 6单击“添加新用户”；图 7根据实际情况填写下图信息；3.3.5 系统帐号赋权堡垒机帐号（主帐号）、主机系统帐号（从帐号）导入完成后，需要进行赋权操作，赋权后堡垒机帐号（主帐号）登录到堡垒机才能跳转到相应的设备。前期设备授权关系调研表中包含所有的权限关系，按表进行设置。赋权操作如果一个堡垒机帐号（主帐号）有大量从帐号的权限，则赋权是在系统用户组菜单完成的，如果为堡垒机帐号（主帐号）临时添加一个从帐号的赋权，则也可以在主机设备帐号菜单中完成。赋权操作最好按用户组的方式进行赋，即将权限相同的用户放在同一个用户组中，然后为这个用户组创建一个系统

18、用户组，将这些用户拥有权限的主机设备帐号都加到这个组中，然后将这个系统用户组绑定给这个用户组，如果每个用户的权限都不一样，也可以为单独的用户划分系统用户组后进行授权。单击导航树中【资源管理】中的【授权权限】，选择“系统用户组”页签，单击“添加新组”；填写“系统用户组”名，选中“未选设备”中系统用户添加到“已选设备”，确定已经选中想要赋权的堡垒机用户组的所有系统帐号后，点击保存；单击导航树中【资源管理】中的【授权权限】，选择“系统用户组”页签，单击“操作”栏中“授权”，勾选“授权组”或“授权用户”，配置完成单击“保存修改”；授权后，组中的用户或被授权的用户，就拥有了这个系统用户组中所有的主机系统

19、帐号的权限。3.3.6 应用发布服务器添加前提：安装好应用发布服务器，确定好应用发布服务器的IP地址，并且已经打通堡垒机访问应用发布服务器的TCP 3389、8888端口，应用发布服务器到堡垒机的TCP 3306端口单击导航树中【资源管理】中的【资产管理】，选择“设备管理”页签，单击“添加”，在主机名中写应用发布服务器，在IP地址中写入应用发布服务器IP，主要类型为WINDOWS，设备组选一个用户许可的设备组。配置完成单击“保存修改”；为应用发布服务器增加一个应用发布帐号单击导航树中【资源管理】中的【应用发布】，选择“应用发布”页签，单击“添加”；配置完成单击“保存修改”；A. 单击导航树中【

20、资源管理】中的【应用发布】，选择“应用程序”页签，单击“添加”；增加IE程序安装位置；配置完成单击“保存修改”；说明：程序地址：是应用发布服务器上IE浏览器程序安装位置；3.4 堡垒机应用发布配置3.4.1 应用发布用户配置A. 单击导航树中【资源管理】中的【应用发布】，选择“应用发布”页签，单击操作栏中“应用发布”；B. 单击“添加”，填写应用名称、选择服务器及填写被访设备URL；配置完成单击“保存修改”；说明：如果需要添加的设备比较多，先单击“导出”，填写导出表，再单击“导入”；完成设备的批量添加；3.4.2 应用用户组授权A. 单击导航树中【资源管理】中的【授权权限】，选择“应用用户组”

21、页签，单击“添加新组”；添加需要的应用用户，单击“保存”；B. 单击“绑定”；C. 勾选绑定组或绑定用户；单击“保存修改”；3.5 数据留存配置3.5.1 审计数据留存系统内置存贮为2T，通常情况下，可以够100个运维人员使用半年左右，所有的运维人员操作都会被系统进行留存记录，当2T空间满的时候，系统会根据系统配置-系统参数中的配置项存贮无空间时操作进行操作，如果选择覆盖，则会删除早期的LOG进行记录，如果选择停止操作，则系统将不在接受新的运维连接请求，并且发送告警给堡垒机管理员。这里将策略设置为覆盖旧文件。系统也可以使用自动删除功能，指定自动删除多久以前的审计数据，使用audit帐号登录到系

22、统，在自动删除菜单中，可以指定系统自动删除的周期，默认情况下，系统不会自动删除审计日志，除非指定了删除周期并且启动了删除程序。点击下列各种服务后面的编辑按钮，在弹出的对话框中填入希望自动删除的周期，点保存即可。系统出厂时默认为删除一年前的日志，建议按默认的配置。系统可以将录相文件及配置信息自动定时同步到远端服务器上，使用admin登录，在系统管理-数据同步菜单，点新建按钮，按下面要求输入信息，系统即会将审计录相和配置信息进行自动同步，同步方式为增量同步，每天凌晨进行同步。3.5.2 设备配置留存系统配置可以使用手工备份和自动备份二种模式。手工备份在系统管理-配置备份菜单，点击生成备份按钮，即可

23、以将配置手工备份到本机，如果想要恢复时，点击恢复将下载的备份文件上传即可以进行恢复。在系统管理-数据同步菜单，点击新建，在同步模式中选择资产权限，即可以实现自动备份，输入备份目标服务器IP、SSH端口、用户名、密码及备份目录后，系统会每天一次将备份文件上传到备份目标服务器。3.5.3 定时任务配置系统自动删除、自动备份等操作，默认情况下，服务都未启动，如果想要让配置的参数生效，必须在定时任务中将服务启动。在菜单系统配置-系统管理-定时任务中，可以配置自动备份、自动删除启动时间周期。以审计文件备份为例，如果服务后面的勾勾上，表示服务为启动状态，如果未勾，则表示服务为未启动状态，备份调度表示服务启

24、动的周期，如果为*号表示每次都启动，如下例中，审计备份文件每天晚上1点5分会启动进行备份。3.5.4 动态令牌使用手册系统内置动态令牌系统，可以使用动态口令进行登录，动态令牌目前运行硬件Usbkey令牌和手机令牌二种模式，手机令牌目前支持Apple手机和安卓二种系统。动态令牌使用需要先将令牌证书导入，令牌证书导入后，在将令牌与相应的用户绑定起来，即可以使用，手机令牌用户还需要安装手机令牌软件。1、证书导入其它-usbkey列表菜单，点击最下方的导入USBKEY按钮打开USBKEY导入界面，先点击浏览找到证书位置，在点提交，即可以将所有证书导入到堡垒机中。2、证书绑定证书导入后，需要将证书绑定给

25、相应的用户，用户绑定后，即必须使用静态密码+动态密码的登录方式，新建用户或点编辑用户，在动态口令卡找到为用户绑定的动态口令卡ID，点确定按钮即完成绑定，注意用户与口令卡是一对一的关系。3、运维人员使用绑定以后运维人员登录堡垒机页面或使用工具直接登录必须使用静态口令+动态口令为密码来进行登录，令牌分为USBKEY令牌与手机令牌二种。USBKEY令牌使用方式：将USBKEY令牌插入电脑USBKEY口，即可以出现一个名称为动态口令U盘，双击里面的password.exe程序，即可以令牌程序令牌的初始密码为123456，输入密码后电脑右上角即可以出现令牌的悬浮窗口，可以用鼠标点右键方式对密码进行复制粘

26、贴手机令牌使用方式：安卓手机只需要使用手机助手将附件3中的token-app软件复制到手机上，点击安装即可完成安装。 苹果手机使用浏览器打开连接 打开后，会弹出程序安装界面如下：点击install application即可完成安装，苹果手机安装完毕后，需要在设置-通用-描述文件添加对FindToken的信任才能使用动态令牌。手机令牌用户首次 登录时，登录成功后会进入一个二维码界面，二维码中间含有用户动态口令密钥信息，用户需要打开APP，APP首次登录密码为123456，登录修改密码后，点击APP上方的二维码扫描按钮，开启摄像头扫描二维码，二维码扫描后，手机的APP会出现动态口令显示界面，每1

27、5秒产生一个动态口令，用户将一个动态口令输入到手机二维码验证页面下方的动态口令TEXT，成功后，系统会退出，以后用户登录需要使用静态口令+手机生成的动态口令才能登录。3.6 应急方案因本方案以单机方式部署，且堡垒机本身不具备bypass功能。当堡垒机发生故障时，管理员登录到应用发布服务器，创建一个共用帐号发给运维人员登录使用，运维人员使用终端通过公用帐号RDP到应用发布服务器上，在应用发布服务器上打开运维工具进行运维。堡垒机恢复后，删除应用发布服务器共用帐号。 应用发布服务器发生故障时，分行提供一台其它windows2003或2008服务器，在这台服务器上创建一个共用帐号，在堡垒机上添加这个共

28、用帐号，并且把这个共用帐号授权给所有运维人员，运维人员需要使用应用发布时，先通过堡垒机登录到备用Windows服务器上，打开相应的工具进行运维。4 系统测试4.1 TELNET访问操作管理1. 点击“资源管理”-“资产管理”，进入设备列表项，找到 Linux设备，为Linux 设备建立一个telnet帐号，并且将这个帐号与test运维帐号进行绑定2. 使用test帐号登录运维监管系统，可以看到上步建立的telnet系统帐号，点击右侧的putty进行登录，可以以telnet方式登录到Linux系统3. 在系统里运行一些命令退出4. 用超级管理员登录监管系统，在行为操作审计中可以查看到刚才的访问，

29、并且二种展现方式“查看”、“Putty”都能正常显示操作结果或者过程。4.2 SFTP访问操作管理1. 点击“资源管理”-“资产管理”，进入设备列表项，找到 Linux设备，为Linux 设备建立一sftp帐号，并且将这个帐号与test运维帐号进行绑定2. 使用test帐号登录运维监管系统，可以看到上步建立的sftp系统帐号，点击右侧的winscp进行登录，可以以sftp方式登录到Linux系统3. 将一个文件从本地上传到Linux系统后退出用超级管理员登录监管系统，在行为操作审计中可以查看到刚才的访问，并且二种展现方式“查看”可以看到刚才上传的文件名，点击下载可以将文件下载到本地4.3 SS

30、H访问操作管理1.点击“资源管理”-“资产管理”，进入设备列表项，找到 Linux设备，为Linux 设备建立一个ssh帐号，并且将这个帐号与test运维帐号进行绑定2.使用test帐号登录运维监管系统，可以看到上步建立的telnet系统帐号，点击右侧的putty进行登录，可以以ssh方式登录到Linux系统3.在系统里运行一些命令退出4.用超级管理员登录监管系统，在行为操作审计中可以查看到刚才的访问，并且二种展现方式“查看”、“Putty”都能正常显示操作结果或者过程。4.4 RDP访问操作管理1. 点击“资源管理”-“资产管理”，进入设备列表项，找到 Windows 2003或2008设备

31、，为设备建立一个rdp(2008选择rdp2008)帐号，并且将这个帐号与test运维帐号进行绑定2. 使用test帐号登录运维监管系统，可以看到上步建立的telnet系统帐号，点击右侧的“本”地进行登录，可以以RDP方式登录到系统3. 在系统里运行一些操作退出4. 用超级管理员登录监管系统，在行为操作审计中可以查看到刚才的访问，并且点击右侧“本地”都能正常显示操作结果或者过程。4.5 FTP访问操作管理1.点击“资源管理”-“资产管理”，进入设备列表项，找到 Linux设备，为Linux 设备建立一ftp帐号，并且将这个帐号与test运维帐号进行绑定2.使用test帐号登录运维监管系统，可以

32、看到上步建立的ftp系统帐号，点击右侧的winscp进行登录，可以以ftp方式登录到Linux系统3.将一个文件从本地上传到Linux系统后退出4.用超级管理员登录监管系统，在行为操作审计中可以查看到刚才的访问，并且二种展现方式“查看”可以看到刚才上传的文件名，点击下载可以将文件下载到本地5 集中管控平台5.1 集中管控平台功能集中管控平台可以实现在一个界面上管理多台堡垒机，将堡垒机纳入集中管控平台管理以后，管理员可以直接在集中管控平台上对堡垒机的资产、权限进行设置，并且可以在集中管控平台上输出各种报表，不需要在到每一台堡垒机上进行操作，大大减化了操作过程。同时对于运维人员，也不需要记录多台堡

33、垒机IP和帐号，只需要登录到集中管控平台，就可以看到自己能登录的所有设备，也减化了运维人员的操作过程。5.2 设备硬件信息集中管控平台物理参数如下：设备型号硬件参数集中管控平台UOM-MGT-3000CPU 64位 3G/32G内存/2T硬盘/交流电/2U5.3 软件信息设备操作系统软件版本Licenses数集中管控平台CentosV1.0200个5.4 地址规划两台设备分别需要分配3个IP地址，且三个地址需要在一个子网，其中二个IP地址为管理地址，一个IP地址为HA地址，HA地址为用户访问地址，二台设备使用NRRP协议对HA地址进行管理，当主服务器出现问题时，HA地址会自动飘移到从服务器。设

34、备名称所属区域IP掩码网关主服务器总行从服务器总行HA地址总行5.5 部署规划n 设备为2U n 每台需要2*10A电源 450W功率5.6 集中管控平台部署集中管控平台部署在XX银行总部，使用HA架构解决单点故障，集中管控平台主要用于总部管理人员进行报表输出和分析，同时，总部有一些运维人员需要跨多个省进行运维操作时，也可以通过集中管控平台。集中管控平台共计二台，采用HA架构，二台集中管控平台使用NRRP协议共同使用一个热备份IP，当主服务器出现问题时，从服务器会自动将热备份IP切换到本机，进行服务接管，以保证不会出现单点故障。5.7 系统上线需求集中管控平台需要与各分行堡垒机进行交互访问，并

35、且与总行运维人员、总行管理人员终端进行交互访问，不需要与分行服务器进行交互访问，访问策略如下：集中管控平台访问策略需求明细源地址目的地址端口方向描述集中管控平台各分行堡垒机SNMP单向状态获取集中管控平台各分行堡垒机TCP 3306单向数据获取集中管控平台各分行堡垒机TCP 443单向WebPortal命令传送集中管控平台各分行应用发布SNMP单向状态获取总行运维终端 集中管控平台TCP 443单向WEB 访问 总行运维终端相应分行堡垒机TCP 20、21、22、23、 3389、590X单向访问目标服务器ftp、ssh、telnet、rdp、vnc、x11，如果没有相应的服务可以关闭相应的端

36、口5.8 系统安装集中管控平台配置主要需要如下几步1.配置IP，在系统配置-网络配置中进行IP配置2.添加被管理的堡垒机及应用发布服务器3.添加帐号并设置帐号权限6 双机部署模式6.1 双机部署模式功能二台堡垒机采用主从方式，共同使用一个浮动IP，默认情况下浮动IP在主堡垒机上，运维人员访问堡垒机时使用浮动IP，当主堡垒机出现硬件或软件服务问题时，从堡垒机会将浮动IP启动，继续提供服务。二台主机会自动实时同步配置和审计数据。双机模式可以有效解决单点故障，当一台堡垒机出现软、硬件问题时，从堡垒机可以自动启动并且接替主堡垒机提供服务，不会造成业务中断影响。6.2 上线条件二台堡垒机使用VRRP协议进行通讯，因此二台堡垒机必须安装在同一个网段，共计需要三个IP