《天玥网络安全审计系统(业务堡垒机)产品介绍.ppt》由会员分享,可在线阅读,更多相关《天玥网络安全审计系统(业务堡垒机)产品介绍.ppt(48页珍藏版)》请在三一办公上搜索。
1、天玥网络安全审计系统(堡垒机)培训教材之,产品介绍,传统运维工作,关键问题,共享帐号,访问控制,权限控制,操作审计,关键问题-共享账号,帐号不具有唯一性密码难以管理责任难以认定,节约了帐号管理成本降低了本地溢出的风险,共享账号,关键问题-访问控制,关键问题-权限控制,IP层的访问控制措施,rootpassword,rm-rf xx.xxtelnet xx.xx.xxdelete from xx,关键问题-操作审计,时间1源IP1源MAC1系统账号1commands,时间2源IP2源MAC2系统账号2commands,时间3源IP3源MAC3系统账号3commands,用户账单被修改,1.无法分
2、析跳转行为;2.无法实现操作日志与用户身份的关联;,需求描述-1,集中管理集中管理用户、设备、系统账号;集中管理用户、系统账号的密码;所有用户集中登录、集中认证;集中配置账号密码策略、访问控制策略;集中管理所有用户操作记录;访问控制根据用户角色设置分组访问控制策略;实现“用户系统系统账号”的对应关系;实现实体级的访问控制授权;,需求描述-2,权限控制可设置以命令为基础的权限控制策略;实现命令级别的实体内授权;操作审计以用户身份为依据,真实完整的记录每个用户的所有操作行为;精确到命令的审计机制;对用户的操作进行仿真回放;记录加密维护协议SSH数据。,设计原理-安全小区模型,name,who,wh
3、ere/what,收垃圾,锄草工,住户,住户,name,操作管理-核心要素与内容,各种操作命令,天玥IV型的主要功能,操作管理,天玥IV工作原理,认证,身份识别,堡垒机程序记录用户屏幕操作,集中管理集中登录,需要从网络层做访问控制,保证所有的用户只能通过天玥IV来访问所有的资源。,集中管理二次登录,Device2:IP2Device3:IP3,Device1:IP1account2account3,Device1:IP1,account1,集中管理身份管理,系统认证,=,天玥IV,传统的系统认证,使用天玥IV后的认证管理,集中管理角色管理,根据工作职能给用户分配角色;账号管理员配置管理员审计管
4、理员普通用户真正实现三权分立。,集中管理部门管理,完善的分级权限管理:根据人员、资源所处部门(系统)的不同,实现二级部门的分权限管理。二级部门内的管理员只能管理本部门内的资源。,集中管理自然人账号管理,为维护人员分配惟一标识其身份的账号;账号属性管理:登录名真实姓名邮箱地址(接收初始化密码)有效期限所属部门账号状态(活动/禁用)角色,集中管理设备管理,集中管理所有资源:设备名称IP地址登录协议/端口所属部门设备类型可定制化的自动登录脚本(用户堡垒机到设备的二次登录)对跳转设备(Oracle/BSC等)的支持,集中管理系统账号管理,集中管理所有设备内部的系统账号;系统账号名称系统账号密码(如果启
5、用,可由堡垒机完成到设备的二次登录)定期修改该账号的密码所属设备修改密码时采用的密码策略,集中管理账号口令管理,用户口令管理:创建用户时,可按用户密码策略给该用户生成强壮的口令;该口令可以通过预设邮箱发送给用户,也可以由管理员手工管理并通知该用户;设备账号口令管理:新增设备账号时,需手工同步该账号的密码;然后即可按照不同级别的设备账号密码策略进行定期修改,并以加密的方式发送给密码保管员。,集中管理密码策略管理,集中管理数据的导入导出,可以对用户列表、设备列表、设备账号列表、部门列表进行批量导入导出,节省管理员管理成本;提供导入模版供下载参考。,访问控制,who-用户,where-可访问设备,a
6、ccount-设备权限,严格的访问控制列表,访问控制创建访问控制列表,先创建分组,再选择分组内所管辖的用户与资源账号。,访问控制执行访问控制策略,用户使用自己的账号登录天玥IV时,天玥IV只反馈给该用户所属分组范围内设备。,可按用户或分组创建命令防火墙策略;可调整防火墙策略的优先级;严格限制用户进入设备之后的命令执行。,权限控制创建命令防火墙策略,权限控制执行命令防火墙策略,操作审计会话与命令审计,可显示会话的开始、结束时间、用户名、源IP、会话状态,可查看该会话的命令、命令输出,并对会话进行回放。回放过程中可进行暂停、继续。支持各种功能键(TAB,上下箭头,回退等)扩展后的命令和输出结果。可
7、区分用户的输入命令和输出结果;输入与输出分开,输出信息可以显示概要。可对实时会话进行标识。,操作审计会话回放,操作审计SFTP操作审计,可记录会话开始时间、登录用户名、源IP地址,可查看sftp会话的细节(访问目录、上传下载文件信息等)。,操作审计精确检索,可按时间段、目标主机、系统账号、用户和关键字为条件进行查询。支持通配符。,操作审计完美呈现,可按用户或分组进行报表展示,可显示具体用户或分组的web登录次数、ssh登录次数、sftp登录次数以及ssh命令数量。可生成多种审计视图。,系统自管理AD域账号同步,提供API接口,可以被其他管理平台调用;提供与LDAP账号数据库同步的接口。,系统自
8、管理SSH证书管理,针对ssh设备,可生成设备账号的ssh证书,这样堡垒机与ssh设备可直接通过证书交互完成二次认证,比密码认证更加安全。,系统自管理双机热备与数据同步,通过HA保证系统的高可用性;主备系统之间可以进行手工与自动数据同步。,系统自管理邮件服务器配置,通过配置第三方的邮件服务器,可以给普通用户发送口令密码,给密码保管员发送设备账号修改后的密码。,适用场景,解决用户在维护大量Unix/Linux主机、网络设备时面临的集中控制、帐号与口令的管理、操作记录等问题,特别是针对加密协议SSH的记录。支持telnet和SSH设备,扩展支持命令行方式的Oracle维护、图形化的sftp工具。适用行业:电信运营商金融门户网站运营商网络游戏服务提供商。,部署方式单级部署,天玥IV单级部署示意图,Internet,HA,部署方式分布式部署,天玥IV分布式部署示意图,业务人员,内部维护人员外包人员,内部工作人员,集中监控平台,产品优势,最广泛的UNIX平台支持,完整清晰的操作记录,精确的搜索与快速实施,一体化合归性解决方案,最佳实践,成功案例,新疆移动(网管中心/新业务开发中心)广东移动(省计费中心)福建移动(省网管中心/信息中心)佛山移动(网管中心/IDC)珠海移动(网管中心)广东电信(智能网)广东网通(DCN)河北网通(网管网),
