搜索
1•现状与需求•原理与功能•典型部署•成功案例3操作人员++系统与设备++传统运维工作三楼楼长系统账号系统管理员数据库管理员安全管理员厂商代维人员系统账号4关键问题关键问题共享帐号访问控制权限控制操作审计5关键问题-共享账号帐号不具有唯一性密码难以管理责任难以认定节约了帐号管理成本降低了本地溢出的风险共享账号6关键问题-访问控制usernamepasswordusernamepassword7关键问题-权限控制IP层的访问控制措施rootpasswordrm-rfxx.xxtelnetxx.xx.xxdeletefromxx……8关键问题-操作审计时间1源IP1源MAC1系统账号1commands时间2源IP2源MAC2系统账号2commands时间3源IP3源MAC3系统账号3commands用户账单被修改1.无法分析跳转行为;2.无法实现操作日志与用户身份的关联;9需求描述-1•集中管理–集中管理用户、设备、系统账号;–集中管理用户、系统账号的密码;–所有用户集中登录、集中认证;–集中配置账号密码策略、访问控制策略;–集中管理所有用户操作记录;•访问控制–根据用户角色设置分组访问控制策略;–实现“用户-系统-系统账号”的对应关系;–实现实体级的访问控制授权;10需求描述-2•权限控制–可设置以命令为基础的权限控制策略;–实现命令级别的实体内授权;•操作审计–以用户身份为依据,真实完整的记录每个用户的所有操作行为;–精确到命令的审计机制;–对用户的操作进行仿真回放;–记录加密维护协议SSH数据。•现状与需求•原理与功能•典型部署•成功案例12设计原理-安全小区模型草坪垃圾筒垃圾筒花园住户namename园丁namewhowhere/what收垃圾锄草工住户住户name13各种资源操作管理-核心要素与内容各种角色的人各种操作命令集中管理访问控制权限控制审计14天玥IV型的主要功能按职能定义策略用户与资源对应执行访问控制策略选择用户或分组按权限定义命令选择响应方式按部门分配资源集中管理各种资源集中管理账号口令按条件进行检索按条件生成报表按条件进行回放集中管理权限控制访问控制操作审计操作管理15天玥IV工作原理天玥IV认证,身份识别Web登录SSH客户端登录参数配置口令修改自服务界面会话浏览会话回放日志查询报表展现审计界面全局策略密码策略用户管理设备管理账号管理部门管理授权管理权限控制配置界面SSH/telnet设备ShellPortal根据分组授权显示设备列表通过代填登录定期修改口令堡垒机程序记录用户屏幕操作16集中管理-集中登录需要从网络层做访问控制,保证所有的用户只能通过天玥IV来访问所有的资源。17集中管理-二次登录天玥IVDevice2:IP2Device3:IP3……主账号登录Device1:IP1account2account3……SSH/telnet设备Device1:IP1,telnet服务Device1:IP1堡垒机模拟telnet/SSH终端,代填IP1地址与account1账号的口令,完成从账号的登录。account118集中管理-身份管理系统认证=系统账号系统授权+天玥IV用户帐号身份认证+系统帐号系统授权+19集中管理-角色管理•根据工作职能给用户分配角色;–账号管理员–配置管理员–审计管理员–普通用户•真正实现三权分立。20集中管理-部门管理•完善的分级权限管理:根据人员、资源所处部门(系统)的不同,实现二级部门的分权限管理。二级部门内的管理员只能管理本部门内的资源。21集中管理-自然人账号管理•为维护人员分配惟一标识其身份的账号;•账号属性管理:–登录名–真实姓名–邮箱地址(接收初始化密码)–有效期限–所属部门–账号状态(活动/禁用)–角色22集中管理-设备管理•集中管理所有资源:–设备名称–IP地址–登录协议/端口–所属部门–设备类型–可定制化的自动登录脚本(用户堡垒机到设备的二次登录)–对跳转设备(Oracle/BSC等)的支持23集中管理-系统账号管理•集中管理所有设备内部的系统账号;–系统账号名称–系统账号密码(如果启用,可由堡垒机完成到设备的二次登录)–定期修改该账号的密码–所属设备–修改密码时采用的密码策略24集中管理-账号口令管理•用户口令管理:–创建用户时,可按用户密码策略给该用户生成强壮的口令;–该口令可以通过预设邮箱发送给用户,也可以由管理员手工管理并通知该用户;•设备账号口令管理:–新增设备账号时,需手工同步该账号的密码;–然后即可按照不同级别的设备账号密码策略进行定期修改,并以加密的方式发送给密码保管员。25集中管理-密码策略管理26集中管理-数据的导入导出•可以对用户列表、设备列表、设备账号列表、部门列表进行批量导入导出,节省管理员管理成本;•提供导入模版供下载参考。27访问控制who----用户where---可访问设备account---设备权限严格的访问控制列表28访问控制-创建访问控制列表•先创建分组,再选择分组内所管辖的用户与资源账号。29访问控制-执行访问控制策略•用户使用自己的账号登录天玥IV时,天玥IV只反馈给该用户所属分组范围内设备。30•可按用户或分组创建命令防火墙策略;•可调整防火墙策略的优先级;•严格限制用户进入设备之后的命令执行。权限控制-创建命令防火墙策略31权限控制-执行命令防火墙策略32操作审计-会话与命令审计•可显示会话的开始、结束时间、用户名、源IP、会话状态,可查看该会话的命令、命令输出,并对会话进行回放。•回放过程中可进行暂停、继续。•支持各种功能键(TAB,上下箭头,回退等)扩展后的命令和输出结果。•可区分用户的输入命令和输出结果;输入与输出分开,输出信息可以显示概要。•可对实时会话进行标识。33操作审计-会话回放34操作审计-SFTP操作审计•可记录会话开始时间、登录用户名、源IP地址,可查看sftp会话的细节(访问目录、上传下载文件信息等)。35操作审计-精确检索•可按时间段、目标主机、系统账号、用户和关键字为条件进行查询。支持通配符。36操作审计-完美呈现•可按用户或分组进行报表展示,可显示具体用户或分组的web登录次数、ssh登录次数、sftp登录次数以及ssh命令数量。•可生成多种审计视图。37系统自管理-AD域账号同步•提供API接口,可以被其他管理平台调用;•提供与LDAP账号数据库同步的接口。38系统自管理-SSH证书管理•针对ssh设备,可生成设备账号的ssh证书,这样堡垒机与ssh设备可直接通过证书交互完成二次认证,比密码认证更加安全。39系统自管理-双机热备与数据同步•通过HA保证系统的高可用性;•主备系统之间可以进行手工与自动数据同步。40系统自管理-邮件服务器配置•通过配置第三方的邮件服务器,可以给普通用户发送口令密码,给密码保管员发送设备账号修改后的密码。•现状与需求•原理与功能•典型部署•成功案例42适用场景•解决用户在维护大量Unix/Linux主机、网络设备时面临的集中控制、帐号与口令的管理、操作记录等问题,特别是针对加密协议SSH的记录。•支持telnet和SSH设备,扩展支持命令行方式的Oracle维护、图形化的sftp工具。•适用行业:–电信运营商–金融–门户网站运营商–网络游戏服务提供商–。。。。。。43部署方式-单级部署天玥IV单级部署示意图天玥IV-主用户终端Internet文件服务器Web服务器数据库系统应用服务器核心服务器区天玥IV-备HA44部署方式-分布式部署天玥IV分布式部署示意图A地办公系统C地业务系统业务人员B地IT支撑系统内部维护人员外包人员内部工作人员集中监控平台45产品优势•服务器:AIX、HPUX、SUN、SCOUNIX、Linux•网络设备:CISCO、JUNIPER、华为•存储设备:Netapp、EMC等•交换传输设备:华为、NOKIA、西门子等最广泛的UNIX平台支持•键盘输入命令和屏幕的输出结果•多台机器间跳转操作的关联记录•支持加密传输(SSH)的操作记录•支持文本编辑软件(vi)操作记录•支持各种交互式命令(SQL)操作•支持各种功能键的扩展(TAB,ESC补齐,回退,删除,上下箭头等)•支持命令的粘贴•支持组合命令完整清晰的操作记录•命令的具体时间点和时间段•用户账号,系统账号,服务器•输入的命令与输出结果做全文检索•不需要用户端安装代理软件•不需要被管理设备上安装代理软件•不需要调整用户网络•所有配置只在一台设备上完成精确的搜索与快速实施一体化合归性解决方案最佳实践•现状与需求•原理与功能•典型部署•成功案例47成功案例•新疆移动(网管中心/新业务开发中心)•广东移动(省计费中心)•福建移动(省网管中心/信息中心)•佛山移动(网管中心/IDC)•珠海移动(网管中心)•广东电信(智能网)•广东网通(DCN)•河北网通(网管网)48欢迎光临启明星辰大厦参观指导!谢谢!