明御堡垒机系统技术介绍

1、明御运维审计与风险控制系统（堡垒机）产品介绍技术创新，变革未来目录产品实施产品售后产品介绍产品介绍 - 设备外观DAS-USM150DAS-USM200产品介绍 - 设备外观DAS-USM800产品介绍 - 设备外观默认出厂所有接口都一个bond里；即：接任何一个接口都可以访问；出厂IP：/24；接口的bond是主备模式（即谁先亮灯谁就占了管理IP）。Admin口，即默认管理口HA口，即双机热备的心跳口其他接口，既能做管理口，又是备用接口。console口，即串口；可修改密码、IP、策略等；可查看系统的启动状态。产品介绍 - 产品界面产品介绍 - 常用功能产品介绍 - 常用功能功能描述备注超级

2、管理员拥有系统全部功能模块的最高管理权限，并且唯一的用户是admin角色固定、不可变更三权分立：运维管理员、审计管理员、系统管理员、禁用admin部门管理员拥有“部门、用户、资产、授权、审计、工单、运维”功能模块的管理权限运维管理员拥有“部门、用户、资产、授权、工单、运维”配置的权限审计管理员拥有“审计”的权限系统管理员拥有“系统”管理权限密码管理员拥有设置“安全码keyB”权限审计员拥有被审计管理员授权后查看审计日志权限运维员拥有被超级管理员/部门管理员/运维管理员授权后可以运维的权限认证分类认证名称功能描述备注双因素认证手机APP口令内置手机APP动态口令验证码机制，安装手机APP并且绑定

3、用户验证密钥即可，口令30秒自动变更一次免费动态令牌内置动态令牌认证引擎，用户绑定动态令牌卡（硬件）即可，口令1分钟自动变更一次硬件收费USBkey内置USBkey认证引擎，用户绑定USBkey（硬件）即可，登录堡垒机时须在PC上插入USBkey才可登录，仅支持IE浏览器硬件收费双因素认证+认证接口短信口令提供短信网关对接的接口，在堡垒机中设置好webservice参数，对接成功之后即可使用手机接收口令登录堡垒机仅提供接口认证接口AD提供AD域对接的接口，在堡垒机中设置好AD域服务器信息，登录堡垒机时输入AD域的用户名、密码仅提供接口LDAP提供LDAP对接的接口，在堡垒机中设置好LDAP服务

4、器信息，登录堡垒机时输入LDAP的用户名、密码仅提供接口RADIUS提供RADIUS对接的接口，在堡垒机中设置好RADIUS服务器信息，登录堡垒机时输入RADIUS的用户名、密码及动态密码；支持安盟、众人、动联、RSA等主流认证品牌。仅提供接口本地认证静态密码自带本地静态密码认证方式，使用堡垒机的用户名和密码登录即可默认产品介绍 - 常用功能协议资产类型默认端口备注SSHlinux、unix、交换机、路由器22堡垒机默认支持telnet交换机、路由器23RDPwindows server 2003/2008/2012/20163389SFTP文件服务器22FTP文件服务器21/20VNCwin

5、dows、linux、unix5900oracleoracle数据库服务器（10g/11g/12c）1521MSSQLSQL server数据库服务器1433mySQLmysql数据库服务器3306DB2DB2数据库服务器50000应用发布IE浏览器、VMware vSphere Client等待定结合应用中心实现产品介绍 - 可管理的资产目 录产品实施产品售后产品介绍12实施步骤 - 可参考实施方案网络部署示意图 部署特点：物理旁路、逻辑网关通过ACL或托管密码防止绕过堡垒机快速配置步骤 主机运维步骤 查看审计步骤 目 录产品介绍产品售后产品实施产品售后 - 十问十答序号问题应答1堡垒机的I

6、P或密码忘记了怎么办？（1）可通过堡垒机的console口界面修改密码和IP。（2）如果admin忘记了，则需要向我们的技术负责人申请堡垒机 的临时密码2通过堡垒机登录主机失败？（1）检查PC至堡垒机的端口是否正常。（2）检查堡垒机至服务器的端口是否正常。（3）如果以上都正常，则抓包给我们看看3堡垒机部署在什么位置合适？建议部署在核心交换处，个别特殊情况可接在防火墙上（但比较麻烦）4堡垒机试用有效期过了怎么办？向我们区域的负责人申请或购买5应用服务器（应用中心）是干嘛用的？应用中心是用于结合堡垒机对一些特殊的应用程序实现审计6堡垒机该怎么升级？堡垒机只提供手工升级7堡垒机坏了怎么办？（1）如果

7、只有一台堡垒机，就需要定期做好系统配置和审计日志备份工作。（2）如果堡垒机坏了，就需要及时联系项目负责人进行处理。（3）但是建议上双机热备（HA）8正在测试的堡垒机里数据可以导到新的堡垒机里吗？支持，前提是需要确保两台堡垒机的软件版本一致。9客户说，我不会配置ACL，你帮我做吧？如果非常非常懂防火墙、路由器、交换机及客户的网络环境，可以考虑做；但不推荐去做。10客户有个特殊的应用程序需要审计怎么办？通过应用发布服务器解决。产品排错 - “三点一线、直连测试”三点一线：PC堡垒机主机1、确保PC与堡垒机的端口，可达。2、确保堡垒机与主机的端口，可达。（1）管理员可以在网络诊断页面排查；（2）运维员可以在字符C/S界面排查。3、如果以上都正常，则在堡垒