1、天玥網絡安全審計系統（堡壘機）培訓教材之產品介紹天玥網絡安全審計系統（堡壘機）培訓教材之產品介紹天玥網絡安全審計系統(業務堡壘機)產品介紹解讀課件操作人員系統與設備傳統運維工作三樓樓長系統賬號系統管理員數據庫管理員安全管理員廠商代維人員系統賬號操作人員系統與設備傳統運維工作三樓樓長系統賬號系統管關鍵問題關鍵問題共享帳號訪問控制權限控制操作審計關鍵問題關鍵共享訪問權限操作關鍵問題-共享賬號帳號不具有唯一性密碼難以管理責任難以認定節約了帳號管理成本降低了本地溢出的風險共享賬號關鍵問題-共享賬號帳號不具有唯一性節約了帳號管理成本共享賬號關鍵問題-訪問控制usernamepasswordusernam

2、epassword關鍵問題-訪問控制usernameusername關鍵問題-權限控制IP層的訪問控制措施rootpasswordrm -rf xx.xxtelnet xx.xx.xxdelete from xx關鍵問題-權限控制IP層的訪問控制措施rootrm -rf 關鍵問題-操作審計時間1源IP1源MAC1系統賬號1commands時間2源IP2源MAC2系統賬號2commands時間3源IP3源MAC3系統賬號3commands用戶賬單被修改1.無法分析跳轉行為；2.無法實現操作日志與用戶身份的關聯；關鍵問題-操作審計時間1時間2時間3用戶賬單1.無法分析跳轉需求描述-1集中管理集中管

3、理用戶、設備、系統賬號；集中管理用戶、系統賬號的密碼；所有用戶集中登錄、集中認證；集中配置賬號密碼策略、訪問控制策略；集中管理所有用戶操作記錄；訪問控制根據用戶角色設置分組訪問控制策略；實現“用戶系統系統賬號”的對應關系；實現實體級的訪問控制授權；需求描述-1集中管理需求描述-2權限控制可設置以命令為基礎的權限控制策略；實現命令級別的實體內授權；操作審計以用戶身份為依據，真實完整的記錄每個用戶的所有操作行為；精確到命令的審計機制；對用戶的操作進行仿真回放；記錄加密維護協議SSH數據。需求描述-2權限控制天玥網絡安全審計系統(業務堡壘機)產品介紹解讀課件設計原理-安全小區模型草坪垃圾筒垃圾筒花園

4、住戶namename園丁namewhowhere/what收垃圾鋤草工住戶住戶name設計原理-安全小區模型草坪垃圾筒垃圾筒花園住戶namenam各種資源操作管理-核心要素與內容各種角色的人各種操作命令集中管理訪問控制權限控制審計各種資源操作管理-核心要素與內容各種角色的人各種操作命令集中天玥IV型的主要功能按職能定義策略用戶與資源對應執行訪問控制策略選擇用戶或分組按權限定義命令選擇響應方式按部門分配資源集中管理各種資源集中管理賬號口令按條件進行檢索按條件生成報表按條件進行回放集中管理權限控制訪問控制操作審計操作管理天玥IV型的主要功能按職能定義策略用戶與資源對應執行訪問控制天玥IV工作原理天

5、玥IV認證，身份識別Web登錄SSH客戶端登錄參數配置口令修改自服務界面會話瀏覽會話回放日志查詢報表展現審計界面全局策略密碼策略用戶管理設備管理賬號管理部門管理授權管理權限控制配置界面SSH/telnet設備Shell Portal根據分組授權顯示設備列表通過代填登錄定期修改口令堡壘機程序記錄用戶屏幕操作天玥IV工作原理天玥IV認證，身份識別Web登錄SSH客戶端集中管理集中登錄需要從網絡層做訪問控制，保證所有的用戶只能通過天玥IV來訪問所有的資源。集中管理集中登錄需要從網絡層做訪問控制，保證所有的用戶只能集中管理二次登錄天玥IVDevice2:IP2Device3:IP3主賬號登錄Devic

6、e1:IP1account2account3SSH/telnet設備Device1:IP1，telnet服務Device1:IP1堡壘機模擬telnet/SSH終端，代填IP1地址與account1賬號的口令，完成從賬號的登錄。account1集中管理二次登錄天玥IV主賬號登錄Device1:IP1S集中管理身份管理系統認證=系統賬號系統授權天玥IV傳統的系統認證使用天玥IV后的認證管理用戶帳號身份認證系統帳號系統授權集中管理身份管理系統認證=系統賬號系統授權天玥IV傳統的集中管理角色管理根據工作職能給用戶分配角色；賬號管理員配置管理員審計管理員普通用戶真正實現三權分立。集中管理角色管理根據工

7、作職能給用戶分配角色；集中管理部門管理完善的分級權限管理：根據人員、資源所處部門（系統）的不同，實現二級部門的分權限管理。二級部門內的管理員只能管理本部門內的資源。集中管理部門管理完善的分級權限管理：根據人員、資源所處部門集中管理自然人賬號管理為維護人員分配惟一標識其身份的賬號；賬號屬性管理：登錄名真實姓名郵箱地址（接收初始化密碼）有效期限所屬部門賬號狀態（活動/禁用）角色集中管理自然人賬號管理為維護人員分配惟一標識其身份的賬號；集中管理設備管理集中管理所有資源：設備名稱IP地址登錄協議/端口所屬部門設備類型可定制化的自動登錄腳本（用戶堡壘機到設備的二次登錄）對跳轉設備（Oracle/BSC等

8、）的支持集中管理設備管理集中管理所有資源：集中管理系統賬號管理集中管理所有設備內部的系統賬號；系統賬號名稱系統賬號密碼（如果啟用，可由堡壘機完成到設備的二次登錄）定期修改該賬號的密碼所屬設備修改密碼時采用的密碼策略集中管理系統賬號管理集中管理所有設備內部的系統賬號；集中管理賬號口令管理用戶口令管理：創建用戶時，可按用戶密碼策略給該用戶生成強壯的口令；該口令可以通過預設郵箱發送給用戶，也可以由管理員手工管理并通知該用戶；設備賬號口令管理：新增設備賬號時，需手工同步該賬號的密碼；然后即可按照不同級別的設備賬號密碼策略進行定期修改，并以加密的方式發送給密碼保管員。集中管理賬號口令管理用戶口令管理：集

9、中管理密碼策略管理集中管理密碼策略管理集中管理數據的導入導出可以對用戶列表、設備列表、設備賬號列表、部門列表進行批量導入導出，節省管理員管理成本；提供導入模版供下載參考。集中管理數據的導入導出可以對用戶列表、設備列表、設備賬號列訪問控制who-用戶where-可訪問設備account-設備權限嚴格的訪問控制列表訪問控制who-用戶where-可訪問設備acco訪問控制創建訪問控制列表先創建分組，再選擇分組內所管轄的用戶與資源賬號。訪問控制創建訪問控制列表先創建分組，再選擇分組內所管轄的用訪問控制執行訪問控制策略用戶使用自己的賬號登錄天玥IV時，天玥IV只反饋給該用戶所屬分組范圍內設備。訪問控制

10、執行訪問控制策略用戶使用自己的賬號登錄天玥IV時，可按用戶或分組創建命令防火墻策略；可調整防火墻策略的優先級；嚴格限制用戶進入設備之后的命令執行。權限控制創建命令防火墻策略可按用戶或分組創建命令防火墻策略；權限控制創建命令防火墻策權限控制執行命令防火墻策略權限控制執行命令防火墻策略操作審計會話與命令審計可顯示會話的開始、結束時間、用戶名、源IP、會話狀態，可查看該會話的命令、命令輸出，并對會話進行回放?；胤胚^程中可進行暫停、繼續。支持各種功能鍵（TAB，上下箭頭，回退等）擴展后的命令和輸出結果?？蓞^分用戶的輸入命令和輸出結果；輸入與輸出分開，輸出信息可以顯示概要。可對實時會話進行標識。 操作審

11、計會話與命令審計可顯示會話的開始、結束時間、用戶名、操作審計會話回放操作審計會話回放操作審計SFTP操作審計可記錄會話開始時間、登錄用戶名、源IP地址，可查看sftp會話的細節（訪問目錄、上傳下載文件信息等）。 操作審計SFTP操作審計可記錄會話開始時間、登錄用戶名、源操作審計精確檢索可按時間段、目標主機、系統賬號、用戶和關鍵字為條件進行查詢。支持通配符。 操作審計精確檢索可按時間段、目標主機、系統賬號、用戶和關鍵操作審計完美呈現可按用戶或分組進行報表展示，可顯示具體用戶或分組的web登錄次數、ssh登錄次數、sftp登錄次數以及ssh命令數量?？缮啥喾N審計視圖。 操作審計完美呈現可按用戶或

12、分組進行報表展示，可顯示具體用戶系統自管理AD域賬號同步提供API接口，可以被其他管理平臺調用；提供與LDAP賬號數據庫同步的接口。系統自管理AD域賬號同步提供API接口，可以被其他管理平臺系統自管理SSH證書管理針對ssh設備，可生成設備賬號的ssh證書，這樣堡壘機與ssh設備可直接通過證書交互完成二次認證，比密碼認證更加安全。 系統自管理SSH證書管理針對ssh設備，可生成設備賬號的s系統自管理雙機熱備與數據同步通過HA保證系統的高可用性；主備系統之間可以進行手工與自動數據同步。系統自管理雙機熱備與數據同步通過HA保證系統的高可用性；系統自管理郵件服務器配置通過配置第三方的郵件服務器，可以

13、給普通用戶發送口令密碼，給密碼保管員發送設備賬號修改后的密碼。系統自管理郵件服務器配置通過配置第三方的郵件服務器，可以給天玥網絡安全審計系統(業務堡壘機)產品介紹解讀課件適用場景解決用戶在維護大量Unix/Linux主機、網絡設備時面臨的集中控制、帳號與口令的管理、操作記錄等問題，特別是針對加密協議SSH的記錄。支持telnet和SSH設備，擴展支持命令行方式的Oracle維護、圖形化的sftp工具。適用行業：電信運營商金融門戶網站運營商網絡游戲服務提供商。適用場景解決用戶在維護大量Unix/Linux主機、網絡設備部署方式單級部署天玥IV單級部署示意圖天玥IV主用戶終端Internet文件服

14、務器Web服務器數據庫系統應用服務器核心服務器區天玥IV備HA部署方式單級部署天玥IV單級部署示意圖天玥IV主用戶終端部署方式分布式部署天玥IV分布式部署示意圖A地辦公系統C地業務系統業務人員B地IT支撐系統內部維護人員外包人員內部工作人員集中監控平臺部署方式分布式部署天玥IV分布式部署示意圖A地辦公系統C地產品優勢服務器：AIX、HPUX、SUN、SCO UNIX、Linux網絡設備：CISCO、JUNIPER、華為存儲設備：Netapp 、 EMC等交換傳輸設備：華為、NOKIA、西門子等最廣泛的UNIX平臺支持鍵盤輸入命令和屏幕的輸出結果多臺機器間跳轉操作的關聯記錄支持加密傳輸（SSH）的操作記錄支持文本編輯軟件（vi）操作記錄支持各種交互式命令（SQL）操作支持各種功能鍵的擴展（ TAB，ESC補齊，回退,刪除,上下箭頭等）支持命令的粘貼支持組合命令完整清晰的操作記錄命令的具體時間點和時間段用戶賬號，系統賬號，服務器輸入的命令與輸出結果做全文檢索不需要用戶端安裝代理軟件不需要被管理設備上安裝代理軟件不需要調整用戶網絡所有配置只在一臺設備上完成精確的搜索與快速實施一體化合歸性解決方案最佳實踐產品優勢服務器