1、 銀行運維審計平臺實施方案文檔密級：內部資料銀行分行運維審計平臺實施方案修訂記錄/Change History日期修訂版本描述作者2016-2-16V1.0獨立實施方案，完善測試部分麒麟目錄1 文檔說明51.1 概述51.2 運維操作現狀52 物理部署規劃62.1 設備硬件信息62.2 軟件信息72.3 系統LOGO72.4 地址規劃72.5 部署規劃73 應用部署實施83.1 堡壘機上線說明83.2 設備初始化83.2.1 上架加電93.2.2 網絡配置93.3 堡壘機配置修改方式93.3.1 目錄樹調整103.3.2 設備類型添加及修改113.3.3 堡壘機用戶導入及用戶配置113.3.4

2、 主機設備帳號導入143.3.5 系統帳號賦權183.3.6 應用發布服務器添加203.4 堡壘機應用發布配置223.4.1 應用發布用戶配置223.4.2 應用用戶組授權233.5 數據留存配置243.5.1 審計數據留存243.5.2 設備配置留存253.5.3 定時任務配置263.5.4 動態令牌使用手冊271、證書導入272、證書綁定283、運維人員使用283.6 應急方案304 系統測試314.1 TELNET訪問操作管理314.2 SFTP訪問操作管理314.3 SSH訪問操作管理324.4 RDP訪問操作管理324.5 FTP訪問操作管理325 集中管控平臺335.1 集中管控平

3、臺功能335.2 設備硬件信息335.3 軟件信息335.4 地址規劃335.5 部署規劃345.6 集中管控平臺部署345.7 系統上線需求355.8 系統安裝356 雙機部署模式366.1 雙機部署模式功能366.2 上線條件366.3 地址規劃376.4 上線步驟371 文檔說明1.1 麒麟開源堡壘機使用概述隨著我行業務范圍和營業網點的不斷延伸擴大，各類特色業務系統和基礎網絡設備隨之上線運行，切實有效的保障了各分行業務的穩定性、安全性和靈活性。但與此同時，隨著業務系統應用范圍越來越廣、數據越來越多，所需日常維護的系統和設備也在日益增長，科技運維部門面臨的網絡、系統安全穩定運行的壓力也隨之

4、增加。當前運維管理中存在的主要問題是，技術人員和維護人員的日常管理和維護都是直接登錄業務系統、設備進行操作，沒有針對運維操作進行統一管理、統一審計、統一分析的系統，造成運維操作沒有辦法進行監控分析，進而造成內部數據信息泄露、違規操作、惡意操作、密碼外泄等一系列重大安全隱患。隨著監管對于日常運維工作審計記錄的監管需求以及XX銀行本身運維規范化管理的需求，實現分行骨干設備的運維操作的審計需求迫在眉睫。本次堡壘機項目使用麒麟開源堡壘機，麒麟開源堡壘機產品功能強大穩定性高，經過測試可以完全滿足銀行的使用需要。1.2 運維操作現狀當前分行均已部署了ACS設備，實現了網絡帳號統一管理、權限控制、及命令記錄

5、功能。但因為缺少專業的運維管理系統，對于運維操作的監控，還存在一定的盲區，主要表現為：Ø 運維操作方式多樣、分散，缺乏有效集中管理；Ø 運維操作缺乏技術手段來約束；Ø 對運維操作行為的審計方式不直觀；Ø 共享賬號的情況普遍，給訪問者定位帶來難題。2 物理部署規劃2.1 設備硬件信息運維審計系統包括堡壘機和應用發布服務器兩臺設備，物理參數如下：設備型號硬件參數堡壘機麒麟開源堡壘機CPU 64位 3G/16G內存/2T硬盤/交流電/2U應用發布服務器麒麟應用發布模塊CPU 64位 3G/32G內存/2T硬盤/交流電/2U2.2 軟件信息設備操作系統軟件版本L

6、icenses數堡壘機CentosV1.1100000個應用發布服務器Windows server 2008V1.32.3 系統LOGO堡壘機LOGO在安裝時，都已經被設置為XX銀行運維審計平臺，以與其它系統進行區分。2.4 地址規劃參照分行部署規范，運維審計堡壘機及應用發布平臺，需要分行分配在基礎服務器區域，分配【199.XX.XX.XX】的地址，兩臺設備分別需要分配IP地址，且兩個地址需要在一個子網。示例如下設備名稱所屬區域產品型號IP堡壘機內網UOM-1000A應用發布服務器內網Modul-APP-RELEAS-HW2.5 部署規劃n 堡壘機、應用發布

7、平臺各需要2U的機柜空間位置n 堡壘機、應用發布平臺需要部署在基礎服務器接入區n 堡壘機、應用發布平臺個需要2*10A電源3 應用部署實施3.1 堡壘機上線說明堡壘機在發往用戶前，已經完成如下設置:l 設備IP地址、網關、應用發布連接l 設備、人員、權限關系、目錄結構的前期調研和導入l 密碼規則策略設置l 數據留存策略設置堡壘機現場上線實施步驟包括:l 設備上架、加電l 網絡連通性測試l 系統功能測試l 現場培訓注：堡壘機出廠時，已經完成了數據導入、權限策略設置、應用發布設置和IP等環境設置，如果有實時時發生更改，請按下面相應描述章節進行修改3.2 設備初始化n 上架加電n 設置IP地址、網絡

8、掩碼、網管3.2.1 上架加電第一步、分別將堡壘機和應用發布服務器按照部署位置，將主機安裝固定到機柜中。第二步、將隨機攜帶的電源線插到主機后面板的電源插座上。第三步、將電源線的另一端插到機柜為主機提供交流電源的插座上。3.2.2 網絡配置發貨前，堡壘機和應用發布IP默認已經按客戶要求配置完畢，如果需要 現場修改可以按如下步驟：堡壘機和應用發布服務器網卡默認IP為：設備名稱網卡名稱IP訪問方式堡壘機Eth0分行提供的IPhttps、ssh堡壘機 Eth1/30https、ssh堡壘機 管理口/30https應用發布 Eth0分行提供的IPRDP應用

9、發布 Eth0/30RDP本次工程，堡壘機和應用發布都要求使用eth0口，修改堡壘機和應用發布IP時，使用eth1進行登錄，以避免配置錯誤后無法登入，堡壘機的管理口為console，通過https訪問可以得到鍵盤顯示器的界面，如果堡壘機出現硬件故障或兩個網卡都不通時，使用管理口登錄。完成上架加電操作后，打開堡壘機的電源按鈕，堡壘機開機啟動，等待兩分鐘，啟動完成后，使用筆記本通過網線連接堡壘機，筆記本IP地址配置為/30后使用網線直接連接到堡壘機eth1口，然后使用瀏覽器打開 用戶名輸入admin 密碼1234

10、5678，進入堡壘機系統，在【系統配置】-【網絡配置】中修改網卡的IP地址信息，更改為規劃好的eth0 IP地址。 應用發布IP eth1地址默認為/30，可以直接使用mstsc rdp到應用發布服務器對IP地址進行修改。3.3 堡壘機配置修改方式堡壘機上線，已經完成項如下：n 目錄樹導入、設置n 堡壘機用戶導入表，建立主帳號n 設備、設備用戶導入，建立從帳號n 飛塔防火墻應用從帳號導入n 設備授權設置 到現場，有可能會對某些設備進行相應的調整，調整方法如下：3.3.1 目錄樹調整單擊導航樹中【資源管理】中的【資產管理】，選擇“目錄管理”頁簽，單擊“增加新節點”；根據所

11、要創建的組類型選擇“所屬目錄”與“屬性”；系統已經默認安裝了標準的目錄結構，只需要對目錄結構進行相應的修改即可以完成本步設置圖 1說明：“節點名”輸入節點的名稱，“所屬目錄”新創建目錄所屬那個父組；設備組目錄結構與分行ACS一致，目錄樹可以無限級目錄，堡壘機配置前必須先將目錄樹配置完畢才能進行用戶和設備的導入，用戶和設備導入時，必須有配置好的目錄樹。3.3.2 設備類型添加及修改設備類型配置，主要是加入分行有的，但堡壘機中不存在的設備類型，否則導入時無法寫成正確的設備類型（為了方便管理，設備類型最好不要涉及型號，只設置廠商即可，比如Cisco的 2960交換機、3950交換機，可以統一放在Ci

12、sco類型的設備中）單擊導航樹中【資源管理】中的【資產管理】，選擇“系統類型”頁簽，單擊“增加”；圖 2說明：“主機/網絡”選項中，主機代表操作系統類型設備，網絡代表路由交換類型設備，“系統類型”框中填寫設備的類型，中文、英文都支持；3.3.3 堡壘機用戶導入及用戶配置導入表格填寫，將附件一.運維人員導入表格按如下要求進行填寫用戶名:運維人員登錄堡壘機時的名稱，要求唯一（必須填寫）密碼: 運維人員登錄堡壘機時的密碼 （必須填寫）真實姓名：運維人員的真實姓名 （必須填寫）電子郵箱：運維人員的電子郵箱地址（選擇填寫）用戶權限：統一配置為 普通用戶 （必須填寫）組名：目錄結構中的資源組名稱，如果出現

13、同樣名稱的資源組，則導入時需要用組名(id)方式，比如出現重名的first組，如果你想在界面中這個組加入，則組名為first(221)手機號碼：運維人員的手機號碼（選擇填寫）工作單位：運維人員的工作單位（選擇填寫）工作部門：運維人員的工作部門（選擇填寫）USBKEY:為動態口令的令牌ID，如果用戶需要動態令牌，則在動態令牌列表文件中選擇一個未使用的動態令牌給用戶后面的其它選項：一般不需要填寫，所有的用戶按模版復制即可用戶導入表確認無誤后,使用admin用戶登錄前臺，在 資源管理-資產管理-用戶管理菜單，點擊右下方的導入按鈕在導入界面中，將加密的勾勾上，點擊瀏覽按鈕，選擇找到需要導入的用戶表后，

14、點擊提交按鈕，即可以將所有的用戶導入到堡壘機中點入確定后，會給用戶提示，表中哪些用戶沒有導入成功及未成功的理由用戶導入后，如果有個另的用戶需要修改或添加，可以在用戶管理菜單進行操作單擊導航樹中【資源管理】中的【資產管理】，選擇“用戶管理”頁簽，單擊“添加用戶”，填寫用戶的基本信息、權限信息及其他信息；圖 3圖 43.3.4 主機設備帳號導入主機設備帳號導入前提與堡壘機帳號導入前提一致，必須先做好目錄樹。按附件二主機設備帳號表中的要求收集分行的主機帳號設備，并且填好，主機帳號導入時，會自動創建主機主機名：主機的名稱IP主機的IP地址服務器組：服務器所屬組的ID號，因為目錄中允許同名稱的組，因此，

15、服務器組用ID號替代，可以在資產管理-資源管理-目錄節點中查看ID號，如下圖：系統類型：主機的操作系統類型，必須在第一章中添加的或系統自帶的中選擇添加系統用戶：系統用戶名，如果不想托管，則這項不填當前密碼：系統播放的密碼，如果不想托管，則這項可以不填登錄協議：目前支持telnet/ssh1/ssh/ftp/rdp/vnc/x11 ，可以在這些登錄方式中選擇相應的端口： 登錄協議連接的目標端口過期時間：這個系統帳號的過期時間，如果超過過期時間，則不在允許登錄自動修改密碼：是否對這個帳號進行自動修改密碼（默認為否）主帳號：自動修改密碼時只使用一個帳號登錄修改主機上所有的用戶密碼，如果是主帳號，則填

16、是，主帳號一般為root權限或可以sudo 為root自動登錄：默認填是堡壘機用戶：XX項目中均填否Sftp用戶 ：如果是SSH服務，則設置這個SSH用戶是否可以使用SFTP服務，是為允許，否為不允許公私鑰用戶：如果是SSH服務，設置這個SSH用戶認證是不是使用公私鑰方式，是或否在資源管理-資產管理-設備管理中，點擊導入按鈕勾上加密按鈕，并點擊瀏覽按鈕找到主機設備列表的表格后，點擊提交按鈕，會將所有的設備帳號導入單臺設備的添加、修改可以在設備管理菜單完成單擊導航樹中【資源管理】中的【資產管理】，選擇“設備管理”頁簽，單擊“添加”，填寫基本信息；圖 5單擊導航樹中【資源管理】中的【資產管理】，選

17、擇“設備管理”頁簽，指定設備的操作欄中單擊“用戶”，圖 6單擊“添加新用戶”；圖 7根據實際情況填寫下圖信息；3.3.5 系統帳號賦權堡壘機帳號（主帳號）、主機系統帳號（從帳號）導入完成后，需要進行賦權操作，賦權后堡壘機帳號（主帳號）登錄到堡壘機才能跳轉到相應的設備。前期設備授權關系調研表中包含所有的權限關系，按表進行設置。賦權操作如果一個堡壘機帳號（主帳號）有大量從帳號的權限，則賦權是在系統用戶組菜單完成的，如果為堡壘機帳號（主帳號）臨時添加一個從帳號的賦權，則也可以在主機設備帳號菜單中完成。賦權操作最好按用戶組的方式進行賦，即將權限相同的用戶放在同一個用戶組中，然后為這個用戶組創建一個系統

18、用戶組，將這些用戶擁有權限的主機設備帳號都加到這個組中，然后將這個系統用戶組綁定給這個用戶組，如果每個用戶的權限都不一樣，也可以為單獨的用戶劃分系統用戶組后進行授權。單擊導航樹中【資源管理】中的【授權權限】，選擇“系統用戶組”頁簽，單擊“添加新組”；填寫“系統用戶組”名，選中“未選設備”中系統用戶添加到“已選設備”，確定已經選中想要賦權的堡壘機用戶組的所有系統帳號后，點擊保存；單擊導航樹中【資源管理】中的【授權權限】，選擇“系統用戶組”頁簽，單擊“操作”欄中“授權”，勾選“授權組”或“授權用戶”，配置完成單擊“保存修改”；授權后，組中的用戶或被授權的用戶，就擁有了這個系統用戶組中所有的主機系統

19、帳號的權限。3.3.6 應用發布服務器添加前提：安裝好應用發布服務器，確定好應用發布服務器的IP地址，并且已經打通堡壘機訪問應用發布服務器的TCP 3389、8888端口，應用發布服務器到堡壘機的TCP 3306端口單擊導航樹中【資源管理】中的【資產管理】，選擇“設備管理”頁簽，單擊“添加”，在主機名中寫應用發布服務器，在IP地址中寫入應用發布服務器IP，主要類型為WINDOWS，設備組選一個用戶許可的設備組。配置完成單擊“保存修改”；為應用發布服務器增加一個應用發布帳號單擊導航樹中【資源管理】中的【應用發布】，選擇“應用發布”頁簽，單擊“添加”；配置完成單擊“保存修改”；A. 單擊導航樹中【

20、資源管理】中的【應用發布】，選擇“應用程序”頁簽，單擊“添加”；增加IE程序安裝位置；配置完成單擊“保存修改”；說明：程序地址：是應用發布服務器上IE瀏覽器程序安裝位置；3.4 堡壘機應用發布配置3.4.1 應用發布用戶配置A. 單擊導航樹中【資源管理】中的【應用發布】，選擇“應用發布”頁簽，單擊操作欄中“應用發布”；B. 單擊“添加”，填寫應用名稱、選擇服務器及填寫被訪設備URL；配置完成單擊“保存修改”；說明：如果需要添加的設備比較多，先單擊“導出”，填寫導出表，再單擊“導入”；完成設備的批量添加；3.4.2 應用用戶組授權A. 單擊導航樹中【資源管理】中的【授權權限】，選擇“應用用戶組”

21、頁簽，單擊“添加新組”；添加需要的應用用戶，單擊“保存”；B. 單擊“綁定”；C. 勾選綁定組或綁定用戶；單擊“保存修改”；3.5 數據留存配置3.5.1 審計數據留存系統內置存貯為2T，通常情況下，可以夠100個運維人員使用半年左右，所有的運維人員操作都會被系統進行留存記錄，當2T空間滿的時候，系統會根據系統配置-系統參數中的配置項存貯無空間時操作進行操作，如果選擇覆蓋，則會刪除早期的LOG進行記錄，如果選擇停止操作，則系統將不在接受新的運維連接請求，并且發送告警給堡壘機管理員。這里將策略設置為覆蓋舊文件。系統也可以使用自動刪除功能，指定自動刪除多久以前的審計數據，使用audit帳號登錄到系

22、統，在自動刪除菜單中，可以指定系統自動刪除的周期，默認情況下，系統不會自動刪除審計日志，除非指定了刪除周期并且啟動了刪除程序。點擊下列各種服務后面的編輯按鈕，在彈出的對話框中填入希望自動刪除的周期，點保存即可。系統出廠時默認為刪除一年前的日志，建議按默認的配置。系統可以將錄相文件及配置信息自動定時同步到遠端服務器上，使用admin登錄，在系統管理-數據同步菜單，點新建按鈕，按下面要求輸入信息，系統即會將審計錄相和配置信息進行自動同步，同步方式為增量同步，每天凌晨進行同步。3.5.2 設備配置留存系統配置可以使用手工備份和自動備份二種模式。手工備份在系統管理-配置備份菜單，點擊生成備份按鈕，即可

23、以將配置手工備份到本機，如果想要恢復時，點擊恢復將下載的備份文件上傳即可以進行恢復。在系統管理-數據同步菜單，點擊新建，在同步模式中選擇資產權限，即可以實現自動備份，輸入備份目標服務器IP、SSH端口、用戶名、密碼及備份目錄后，系統會每天一次將備份文件上傳到備份目標服務器。3.5.3 定時任務配置系統自動刪除、自動備份等操作，默認情況下，服務都未啟動，如果想要讓配置的參數生效，必須在定時任務中將服務啟動。在菜單系統配置-系統管理-定時任務中，可以配置自動備份、自動刪除啟動時間周期。以審計文件備份為例，如果服務后面的勾勾上，表示服務為啟動狀態，如果未勾，則表示服務為未啟動狀態，備份調度表示服務啟

24、動的周期，如果為*號表示每次都啟動，如下例中，審計備份文件每天晚上1點5分會啟動進行備份。3.5.4 動態令牌使用手冊系統內置動態令牌系統，可以使用動態口令進行登錄，動態令牌目前運行硬件Usbkey令牌和手機令牌二種模式，手機令牌目前支持Apple手機和安卓二種系統。動態令牌使用需要先將令牌證書導入，令牌證書導入后，在將令牌與相應的用戶綁定起來，即可以使用，手機令牌用戶還需要安裝手機令牌軟件。1、證書導入其它-usbkey列表菜單，點擊最下方的導入USBKEY按鈕打開USBKEY導入界面，先點擊瀏覽找到證書位置，在點提交，即可以將所有證書導入到堡壘機中。2、證書綁定證書導入后，需要將證書綁定給

25、相應的用戶，用戶綁定后，即必須使用靜態密碼+動態密碼的登錄方式，新建用戶或點編輯用戶，在動態口令卡找到為用戶綁定的動態口令卡ID，點確定按鈕即完成綁定，注意用戶與口令卡是一對一的關系。3、運維人員使用綁定以后運維人員登錄堡壘機頁面或使用工具直接登錄必須使用靜態口令+動態口令為密碼來進行登錄，令牌分為USBKEY令牌與手機令牌二種。USBKEY令牌使用方式：將USBKEY令牌插入電腦USBKEY口，即可以出現一個名稱為動態口令U盤，雙擊里面的password.exe程序，即可以令牌程序令牌的初始密碼為123456，輸入密碼后電腦右上角即可以出現令牌的懸浮窗口，可以用鼠標點右鍵方式對密碼進行復制粘

26、貼手機令牌使用方式：安卓手機只需要使用手機助手將附件3中的token-app軟件復制到手機上，點擊安裝即可完成安裝。 蘋果手機使用瀏覽器打開連接 打開后，會彈出程序安裝界面如下：點擊install application即可完成安裝，蘋果手機安裝完畢后，需要在設置-通用-描述文件添加對FindToken的信任才能使用動態令牌。手機令牌用戶首次 登錄時，登錄成功后會進入一個二維碼界面，二維碼中間含有用戶動態口令密鑰信息，用戶需要打開APP，APP首次登錄密碼為123456，登錄修改密碼后，點擊APP上方的二維碼掃描按鈕，開啟攝像頭掃描二維碼，二維碼掃描后，手機的APP會出現動態口令顯示界面，每1

27、5秒產生一個動態口令，用戶將一個動態口令輸入到手機二維碼驗證頁面下方的動態口令TEXT，成功后，系統會退出，以后用戶登錄需要使用靜態口令+手機生成的動態口令才能登錄。3.6 應急方案因本方案以單機方式部署，且堡壘機本身不具備bypass功能。當堡壘機發生故障時，管理員登錄到應用發布服務器，創建一個共用帳號發給運維人員登錄使用，運維人員使用終端通過公用帳號RDP到應用發布服務器上，在應用發布服務器上打開運維工具進行運維。堡壘機恢復后，刪除應用發布服務器共用帳號。 應用發布服務器發生故障時，分行提供一臺其它windows2003或2008服務器，在這臺服務器上創建一個共用帳號，在堡壘機上添加這個共

28、用帳號，并且把這個共用帳號授權給所有運維人員，運維人員需要使用應用發布時，先通過堡壘機登錄到備用Windows服務器上，打開相應的工具進行運維。4 系統測試4.1 TELNET訪問操作管理1. 點擊“資源管理”-“資產管理”，進入設備列表項，找到 Linux設備，為Linux 設備建立一個telnet帳號，并且將這個帳號與test運維帳號進行綁定2. 使用test帳號登錄運維監管系統，可以看到上步建立的telnet系統帳號，點擊右側的putty進行登錄，可以以telnet方式登錄到Linux系統3. 在系統里運行一些命令退出4. 用超級管理員登錄監管系統，在行為操作審計中可以查看到剛才的訪問，

29、并且二種展現方式“查看”、“Putty”都能正常顯示操作結果或者過程。4.2 SFTP訪問操作管理1. 點擊“資源管理”-“資產管理”，進入設備列表項，找到 Linux設備，為Linux 設備建立一sftp帳號，并且將這個帳號與test運維帳號進行綁定2. 使用test帳號登錄運維監管系統，可以看到上步建立的sftp系統帳號，點擊右側的winscp進行登錄，可以以sftp方式登錄到Linux系統3. 將一個文件從本地上傳到Linux系統后退出用超級管理員登錄監管系統，在行為操作審計中可以查看到剛才的訪問，并且二種展現方式“查看”可以看到剛才上傳的文件名，點擊下載可以將文件下載到本地4.3 SS

30、H訪問操作管理1.點擊“資源管理”-“資產管理”，進入設備列表項，找到 Linux設備，為Linux 設備建立一個ssh帳號，并且將這個帳號與test運維帳號進行綁定2.使用test帳號登錄運維監管系統，可以看到上步建立的telnet系統帳號，點擊右側的putty進行登錄，可以以ssh方式登錄到Linux系統3.在系統里運行一些命令退出4.用超級管理員登錄監管系統，在行為操作審計中可以查看到剛才的訪問，并且二種展現方式“查看”、“Putty”都能正常顯示操作結果或者過程。4.4 RDP訪問操作管理1. 點擊“資源管理”-“資產管理”，進入設備列表項，找到 Windows 2003或2008設備

31、，為設備建立一個rdp(2008選擇rdp2008)帳號，并且將這個帳號與test運維帳號進行綁定2. 使用test帳號登錄運維監管系統，可以看到上步建立的telnet系統帳號，點擊右側的“本”地進行登錄，可以以RDP方式登錄到系統3. 在系統里運行一些操作退出4. 用超級管理員登錄監管系統，在行為操作審計中可以查看到剛才的訪問，并且點擊右側“本地”都能正常顯示操作結果或者過程。4.5 FTP訪問操作管理1.點擊“資源管理”-“資產管理”，進入設備列表項，找到 Linux設備，為Linux 設備建立一ftp帳號，并且將這個帳號與test運維帳號進行綁定2.使用test帳號登錄運維監管系統，可以

32、看到上步建立的ftp系統帳號，點擊右側的winscp進行登錄，可以以ftp方式登錄到Linux系統3.將一個文件從本地上傳到Linux系統后退出4.用超級管理員登錄監管系統，在行為操作審計中可以查看到剛才的訪問，并且二種展現方式“查看”可以看到剛才上傳的文件名，點擊下載可以將文件下載到本地5 集中管控平臺5.1 集中管控平臺功能集中管控平臺可以實現在一個界面上管理多臺堡壘機，將堡壘機納入集中管控平臺管理以后，管理員可以直接在集中管控平臺上對堡壘機的資產、權限進行設置，并且可以在集中管控平臺上輸出各種報表，不需要在到每一臺堡壘機上進行操作，大大減化了操作過程。同時對于運維人員，也不需要記錄多臺堡

33、壘機IP和帳號，只需要登錄到集中管控平臺，就可以看到自己能登錄的所有設備，也減化了運維人員的操作過程。5.2 設備硬件信息集中管控平臺物理參數如下：設備型號硬件參數集中管控平臺UOM-MGT-3000CPU 64位 3G/32G內存/2T硬盤/交流電/2U5.3 軟件信息設備操作系統軟件版本Licenses數集中管控平臺CentosV1.0200個5.4 地址規劃兩臺設備分別需要分配3個IP地址，且三個地址需要在一個子網，其中二個IP地址為管理地址，一個IP地址為HA地址，HA地址為用戶訪問地址，二臺設備使用NRRP協議對HA地址進行管理，當主服務器出現問題時，HA地址會自動飄移到從服務器。設

34、備名稱所屬區域IP掩碼網關主服務器總行從服務器總行HA地址總行5.5 部署規劃n 設備為2U n 每臺需要2*10A電源 450W功率5.6 集中管控平臺部署集中管控平臺部署在XX銀行總部，使用HA架構解決單點故障，集中管控平臺主要用于總部管理人員進行報表輸出和分析，同時，總部有一些運維人員需要跨多個省進行運維操作時，也可以通過集中管控平臺。集中管控平臺共計二臺，采用HA架構，二臺集中管控平臺使用NRRP協議共同使用一個熱備份IP，當主服務器出現問題時，從服務器會自動將熱備份IP切換到本機，進行服務接管，以保證不會出現單點故障。5.7 系統上線需求集中管控平臺需要與各分行堡壘機進行交互訪問，并

35、且與總行運維人員、總行管理人員終端進行交互訪問，不需要與分行服務器進行交互訪問，訪問策略如下：集中管控平臺訪問策略需求明細源地址目的地址端口方向描述集中管控平臺各分行堡壘機SNMP單向狀態獲取集中管控平臺各分行堡壘機TCP 3306單向數據獲取集中管控平臺各分行堡壘機TCP 443單向WebPortal命令傳送集中管控平臺各分行應用發布SNMP單向狀態獲取總行運維終端 集中管控平臺TCP 443單向WEB 訪問 總行運維終端相應分行堡壘機TCP 20、21、22、23、 3389、590X單向訪問目標服務器ftp、ssh、telnet、rdp、vnc、x11，如果沒有相應的服務可以關閉相應的端

36、口5.8 系統安裝集中管控平臺配置主要需要如下幾步1.配置IP，在系統配置-網絡配置中進行IP配置2.添加被管理的堡壘機及應用發布服務器3.添加帳號并設置帳號權限6 雙機部署模式6.1 雙機部署模式功能二臺堡壘機采用主從方式，共同使用一個浮動IP，默認情況下浮動IP在主堡壘機上，運維人員訪問堡壘機時使用浮動IP，當主堡壘機出現硬件或軟件服務問題時，從堡壘機會將浮動IP啟動，繼續提供服務。二臺主機會自動實時同步配置和審計數據。雙機模式可以有效解決單點故障，當一臺堡壘機出現軟、硬件問題時，從堡壘機可以自動啟動并且接替主堡壘機提供服務，不會造成業務中斷影響。6.2 上線條件二臺堡壘機使用VRRP協議進行通訊，因此二臺堡壘機必須安裝在同一個網段，共計需要三個IP