一.等保一体机基本组件介绍
等保一体机实际上有两个组件
1、安全资源池管理平台(使用方法类似于超融合)
2、云安全服务平台(类似于超融合里某台主机)
下面先进安全资源池管理平台看下 接入一体机eth0(默认地址忘了:求解: 好像是10.251.251.100)
可以看到界面处非常像超融合平台,我们一样需要像超融合一样配置管理IP 一样有虚拟网络物理出口(不需要另外配置 用于给云安全服务平台,下面简称CSSP作为桥接口)
接下来进入CSSP(默认地址是10.251.251.251,默认桥接eth0),这里是重点,结合上图可以看到在安全资源池中是无法编辑拓扑的,添加物理出口这个功能是在CSSP中
虚拟网络设备也是在CSSP中设置桥接方式,例如我这里的堡垒机是从堡垒机的eth2桥接到物理出口的eth1!
看到这边,很多实施过超融合的小伙伴应该就很清楚了,可以这么理解,CSSP本身只是一台虚拟机,作为工具使用,快捷的添加虚拟网络设备,去做桥接。可以这么去想象,我们如果有一台防火墙做透明部署,一端桥接物理接口的eth0,一端桥接物理接口的eth1,数据从eth0流入,从eth1流出,那防火墙应该是可以正常使用的
同理,既然CSSP本身是一台虚拟机,那他也需要管理接口
然后根据已添加的网络设备,做一个整体的观察可以看到3台网络设备均单臂部署,桥接到物理出口的eth1
而CSSP本身是桥接到物理接口的eth0
再参照安全资源池里的虚拟网络图
可以分析出等保一体机的基本桥接模式,那剩下来就剩下一些基本的配置操作,不再说明了
�二.日志审计系统
可以看到,日志审计系统里面按照是按照之前桥接的拓扑,使用的eth3接口作为单臂口
因为是等保一体机里的版本,所以镜像数据采集功能是没有的,我这边就只设置了采集syslog和snmp
在网络设备中配置了syslog指向后需要在数据采集中进行设置
一般交换机例如华为交换机设置syslog:
[Switch]info-center loghost source Vlanif 1 #配置信息中心日志主机发送源为vlanif1
[Switch]info-center loghost 10.81.60.173 #配置信息中心日志主机的IP为192.168.133.129
一般交换机例如华为交换机设置snmpTrap
snmp-agent vesion all 启用全版本snmp
snmp trap enable
snmp-agent target-host trap address udp-domain 172.16.149.253 params securityname public
/允许向网管工作站(NMS)192.168.1.1发送Trap报文,使用的团体名为public/
收集到日志后在资产状况处其他服务器可快捷添加资产
告警日志检索和事件日志检索需要自定义告警规则和事件规则不然是不会显示有的
日志审计基本注意事项就是这些,其余参照用户手册和快速实施手册基本可以完成实施:傻笑:楼主很烂就不多说了,直接到堡垒机吧
三.堡垒机基本实施
堡垒机有5种账号,admin/系统管理员/安全管理员/日志管理员/运维人员
其中admin账号仅能用来创建其他账号以及做部分配置(网卡IP在此账号配置)
系统管理员拥有以下权限--只讲解重点部分
创建组织的权限
创建应用服务器(发布WEB资源,例如运维人员接入后登录XX防火墙的WEB界面)
用户可选的认证方式权限
告警归纳生成的权限及日志外发权限
安全管理员拥有权限
创建运维人员,设定登录认证方式给用户颁发证书的权限
定义资源组和用户组的权限
给资源组添加资源的时候记得按检索,不然会显示一片空白
定义资源权限
设置资源访问的审批权限
设置资源的双人审批(即一人访问另一人审批或者互相审批)
定义非法命令 示范如dis cu
定义资源可访问时间
日志管理员拥有权限
查看他人操作日志
回放他人操作记录
生成运维报表--需要模板
基线核查的没啥需要注意的,用着问题太多。。。
发表于 2019-8-14 02:50
