堡垒机-麒麟开源堡垒机银行行业 设计方案

linziyuan

1 需求分析1.1 需求分析

为改善银行分行运维审计的现状，落实监管需求，强化运维操作管理，部署一套运维审计平台成为解决这些问题的最优方案。

运维审计平台需要能满足如下功能：

Ø 提供集中、有效的运维操作管理；

Ø 具备技术手段来实现对运维操作的约束；

Ø 提供可视化的运维操作行为的审计方式；

Ø 通过审计信息来完善账号的操作管理；

Ø 运维审计记录保存一年以上。

1.2 实施范围

Ø 一级分行本部内网网络设备

Ø 二级分行内网网络设备

Ø 支行内网网络设备

Ø 社区银行内网网络设备

Ø 自助银行网络设备

Ø 基础服务器

Ø 其他服务器及设备（按需）

2 项目目标

通过建设统一的运维管理平台，实现对人员、设备、操作的统一管理，及运维管理的白盒透明化，实现认证、权限、审计、口令的集中管理，最终形成一个完整安全的运维环境，有效防止信息泄露、密码丢失、恶意及误操作、不按规范操作等安全事件的产生。同时将各项运维管理规章制度，能以可监控的方式进行管理落地。

2.1 集中帐号管理

n 实现对用户帐号的统一管理和维护

n 解决用户帐号共享问题

n 解决帐号锁定问题

2.2 集中身份认证和访问控制

n 提供集中身份认证服务

n 实现用户密码管理，满足SOX法案内控管理的要求

n 实现对用户的统一接入访问控制功能

2.3 集中授权管理

n 实现统一的授权管理

n 授权流程化管理

2.4 单点登录

n 单点登录

n 规范操作流程

2.5 实名运维审计

n 实现集中的日志审计功能

n 辅助审查

3 应用部署规划

3.1 访问流程

接入堡垒机以后，ssh、telnet、rdp等运维操作改由PC运维终端先连接到堡垒机，在从堡垒机跳转到业务服务器，https、http、数据库等应用协议，改为由PC运维终端先通过堡垒机连接到应用发布服务器，在应用发布服务器上打开IE、数据库客户端等连接到业务服务器。

WebPortal方式，用户希望进行运维操作时，需要先使用IE，在URL里输入:

https://堡垒机IP

工具登录方式sessions导入界面如下：

3.2 设备组分级

分行设备组采用树状分级至上而下为一级、二级、三级、四级、五级，整体设备组分级图如下：

3.3 账户分级3.3.1 账户分类

Ø 主账号：用于登陆堡垒机，即堡垒机的登陆账号

Ø 从账号：用于登陆账号使用，即网络设备及服务器的登陆账号

3.3.2 主账号分类

运维堡垒机设置了五个用户角色：超级管理员、审计管理员、配置管理员、分组管理员、和普通用户

4.3.3 普通用户分组

序号	组名	可管理设备
1	总行附属及海外机构运维中心	全部分行网络设备、总行管理的基础服务器
2	分行管理员组	所辖所有网络设备
3	二级分行管理员组	所辖所有网络网络设备（除上联）
4	分行监控组	所辖所有网络设备
5	总行合作公司运维组	全部分行网络设备、总行管理的基础服务器
6	分行外包运维组	所辖社区银行网络设备
7	总行网管组	二台网管服务器
8	服务器运维分行人员组	基础服务器、生产服务器、开发服务器、办公服务器
9	服务器运维总行人员组	总行管理的基础服务器

3.4 认证方式

主账号采用双因素认证的方式，本次主要采用以下方式：

Ø 方式一: 实名帐号，密码+硬件令牌动态口令：

Ø 方式二: 实名帐号，密码+手机令牌动态口令：

堡垒机上线会自带200个手机令牌（支持安卓和IOS系统）和5个USBKEY硬件令牌，处于方便性考虑，建议优先使用手机令牌，如果遇到特殊情况在使用硬件令牌。

3.5 密码规则

Œ用户必须更改首次登录的初始密码

用户密码符合复杂度要求（8～32 个字符，含大小写字符，特殊字符和数字）

Ž用户密码有效期设置为强制90天更改，80天后提醒修改

用户密码不能包含4个以上连续的相同字符

用户密码不能和之前设置的5次历史密码相同

‘用户密码恶意尝试3次后账户将自动禁用

3.6 目标设备管理

1.堡垒机对于设备帐号的管理方式：

2.堡垒机支持的设备类型：

3.7 数据留存策略

1.需要将日志留存策略设置为1年

2.同时需要使用外接存贮进行日志备份。堡垒机可以使用ftp或SFTP的方式将日志外发到外接存贮上，外发方式为增量备份，每天凌晨2点将前一天的审计数据上发到外接存贮上。

3.堡垒机具有FTP/SFTP上传下载文件审计（记录功能）为了不至堡垒机被FTP/SFTP审计文件占光存储，FTP/SFTP上传下载文件记录设置为10M以内，即，只记录10M以内的上传下载文件，10M以上的只记录文件名，不保存文件。

4.如果硬盘已满，将策略设置为覆盖旧文件（当系统空间满了以后，系统会自动删除文件，将系统硬盘留出5%的空间进行记录）

3.8 配置备份

1.配置备份分为手工备份和自动备份二种方式，自动备份可以备份在分行提供的外接存贮服务器上，使用SFTP或FTP协议，手工备份由堡垒机管理员登录到前台，在堡垒机界面上进行配置备份。

2.自动配置备份要求每天备份一次，时间为每天凌晨2点。

3.手工配置备份要求每周备份一次。

3.9 访问策略

由于运维审计设备需要与网络设备、服务器等设备进行交流，因此需要在相关防火墙上开通如下访问策略：

访问策略需求明细
源地址	目的地址	端口	方向	描述
堡垒机/应用发布	NTP-Server	NTP	单向	时钟同步
运维终端	堡垒机	Tcp443、2288	单向	堡垒机运维管理
运维终端	堡垒机	TCP 20，21	单向	FTP服务使用
运维终端	堡垒机	TCP 22	单向	TERLNET、SSH服务
运维终端	堡垒机	Tcp 3389,3390	单向	RDP及审计使用
堡垒机	分行网络设备、服务器带外、带内管理区	TCP 20、21、22、23、 3389、590X	单向	访问目标服务器ftp、ssh、telnet、rdp、vnc、x11，如果没有相应的服务可以关闭相应的端口
堡垒机	应用发布服务器	TCP 3389	单向	堡垒机连接应用发布桌面
应用发布服务器	堡垒机	TCP 3306	单向	堡垒机连接应用发布数据库
应用发布服务器	堡垒机	TCP 8888	单向	帐号同步端口
应用发布服务器IP	分行网络设备、服务器带外、带内管理区	相关端口（根据实际情况）	单向	相关对应用发布服务器发布的应用端口，比如如果发布了http，则开放80，如果发布了https 则开放443等

3.10 开发环境策略规划

1.采用跳板机方式，即为分行开发人员建立若干Windows服务器做为跳板机，开发人员登录到跳板机进行开发

2.开发人员登录到跳板机时，不允许使用RDP剪切板、不允许使用RDP磁盘映射

3.如果开发人员还有运维权限，为开发人员建立二个帐号，一个用于运维，一个用于开发，以避免误操作

4.以保证代码安全，另外应用发布服务器因为涉及对象并不针对代码保护，因此开发人员不要将代码保存在应用发布服务器上。

5.跳板机上需要安装杀毒软件，以避免病毒传递

3.11 访问控制

1. 网络设备使用ACS 对运维人员登录的来源IP进行限制，只允许堡垒机和应用发布IP来源才能登录网络设备

2.飞塔防火墙采用VTY限制方式，只允许堡垒机和应用发布IP才能访问飞塔防火墙进行管理运维

3.服务器管理通过防火墙策略限制，只允许堡垒机、应用发布服务器IP才能进行运维管理

3.12 集中管理规划

1.部署模式：

集中管理服务器共计二台，部署在总部，用于监管和管理各分行堡垒机，二台集中管理服务器采用HA模式，二台之间相互备份，采用VRRP协议，当主用服务器出问题时，从服务器将启动服务IP接替主服务器提供服务。

部署图如下：

2.使用人员

3.集中管理服务器主要功能

报表功能：

集中管理服务器上可以实现报表打印，报表打印功能只能生成不同堡垒机上的报表，不能生成多个堡垒机的联合报表。报表输出格式包括堡垒机上所有的报表格式。

集中监控：

集中管理服务器还可以监控堡垒机、应用发布服务器当前状态，并且设置阀值，当系统超过阀值时，进行告警，设置阀值如下：

CPU   80%

内存  85%

硬盘  85%

SWAP  70%

SSH并发   600个

RDP并发   500个

或堡垒机、应用发布不能监控

当系统运行时，如果某项指标超过上述阀值将进行告警。

监控告警方式采用邮件方式，需要开通分行堡垒机到邮件服务器的TCP 25端口策略。

3.13 双机部署规划

双机部署模式说明：

双机模式中，二台堡垒机一台主机一台备机，二台机器的配置数据和审计录相实时自动同步，二台堡垒机使用VRRP协议监听一个热备份IP，默认情况下，热备份IP在主服务器上，当主服务器出现软、硬件问题时，热备份IP会自动切到从机上，从机接替主机进行服务。

双机模式可以共同使用同一台或多台应用发布服务器。

双机模式逻辑拓朴图如下：

环境要求：

主、从堡垒机需要在同一个网段，共计需要三个IP，主堡垒机管理IP一个、从堡垒机管理IP一个、浮动IP一个，主从之间通过VRRP协议进行监控

同步参数：

主帐号、主帐号口令、主帐号所有信息、设备信息、从帐号、从帐号口令、权限绑定关系、各种策略为实时同步，即修改一台堡垒机后立即同步到另一台

审计录相 每5分钟同步一次

切换参数：

切换时间：当一台主机出现问题时，切换时间不超过1秒

切换状态：二台主机不支持sessions同步，当发生切换时，所有的连接都会断开，需要重新连接

切换条件：当从机在VRRP中找不到主机时会启动切换、主机重要服务down机时会发生切换

抢占配置：系统默认为抢占模式，即主机下线修理恢复后，上线时会自动将主用抢占回来

4 物理部署规划5.1 设备硬件信息

运维审计系统包括堡垒机和应用发布服务器两台设备，物理参数如下：

设备	型号	硬件参数
服务器一	DELL	CPU 64位 3G/16G内存/2T硬盘/交流电/2U
服务器二	DELL	CPU 64位 3G/32G内存/2T硬盘/交流电/2U

4.2 软件信息

设备	软件系统	软件版本
堡垒机服务器	麒麟堡垒机	V1.1
应用发布服务器	麒麟应用发布	V1.3

4.3 系统LOGO

堡垒机LOGO在安装时，都已经被设置为银行运维审计平台，以与其它系统进行区分。

4.4 地址规划

参照分行部署规范，运维审计堡垒机及应用发布平台，需要分行分配在基础服务器区域，分配【177.XX.XX.XX】的地址，两台设备分别需要分配IP地址，且两个地址需要在一个子网。

示例如下

设备名称	所属区域	IP
堡垒机	内网	177.1.1.1
应用发布平台	内网	177.1.1.2

4.5 部署规划

n 堡垒机、应用发布平台各需要2U的机柜空间位置

n 堡垒机、应用发布平台需要部署在基础服务器接入区

n 堡垒机、应用发布平台个需要2*10A电源