本帖最后由 山东_朱文鑫 于 2021-7-3 10:59 编辑
哈喽哇,哈哈我又来了,我是超级大白,今日份是勇敢牛牛,不怕苦难!工作经验分享感谢大哥们参阅
这次要说的是一个安全管理不离它一说就知道它是啥的设备,没错今天就说堡垒机,说一说深信服的堡垒机OSM运维安全管理系统分享一下个人的学习经验,至于后续的详细配置过程等等也会慢慢发出来,对于设备的掌握还是不要仅仅局限于配置也要懂它的原理以及是干嘛的,这样对于自己也是一个较大的提升。
为什么刚刚说堡垒机是安全管理不离它,一说就知道它是啥的设备,因为在用户的运维管理当中他是有着举足轻重的地位,无论是对于运维人员的运管理,还是对于国家新的网络安全法律规定,到最后堡垒机,安全基线核查,以及日志审计,成为了等保测评”三剑客“,堡垒机不仅仅方便了运维人员的设备管理,提高了设备使用的安全系数,以及也帮助运维更加清晰的划分责任,符合了国家的网络安全法律要求。
那么什么是等保测评?又是通过哪些国家法律为准则的呢? 等保测评全称是信息安全等级保护测评,是经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。
《信息安全等级保护管理办法》第七条规定:
信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。 说白了,就是为了在复杂的网络环境下提高国民网络安全的级别,提高国家网络安全,避免一些不必要的生命财产损失。
同样随着国民网络安全意识的提高,在网络机房的建设过程中越来越多的设备,越来越多的账号密码,也成为了运维人员头大的事情,很容易出现账号密码忘记、手动更新EXCEL密码本不及时等等导致在使用设备过程中出现越来越多的问题,也同样在设备的使用以及配置的权限职责等等导致网络环境难以管理,出现连续找人的状况。
同样也是在这样复杂的网络环境下堡垒机开始应运而生,运维人员多样性,第三方代维人员帐号共享现象普遍存在,系统层只能审计到系统帐号的登录、操作,而无法审计到自然人
操作不可控,不可视,找不到相关的运维记录,网络事故定责难,查看日志格式不统一等等问题。
而堡垒主机就像是一种被加固的可以防御进攻的计算机,具备坚强的安全防护能力。集成了统一的用户登录认证与授权,拦截非法访问和恶意攻击,对运维人员的运维请求进行代理、分析与转发。
OSM运维安全管理系统设备对账号集中管理,运维人员透明,减少设备间切换时的工作量,登录账号不共用,符合等级保护相关要求,加强了设备的安全性,结合口令策略
通过设备进行权限的集中管理,多种策略分发,角色权限划分,以及根据不同的资源赋予不同的资源访问权限,以及审计的集中管理,很大程度上解决了客户以及运维人员的运维压力等问题。
深信服OSM运维安全管理系统的部署环境包括以下两种:
(1)同区域部署 资源相对集中的用户(多数设备在同一区域内),堡垒主机通常与被管理设备部署在同一区域,访问控制策略设定在该区域接入交换机(或防火墙)上。
(2)核心区域部署 用户资源相对比较分散,分布在各区域内,通常将堡垒主机部署在核心交换机上,便于访问网络中各个位置。访问控制策略设定在核心交换机(或防火墙)以及各区域的接入交换机(或防火墙上)。 OSM堡垒机通过搭建应用发布服务器对于windows服务器、linux/unix服务器、网络交换设备等可以直接利用资源本身的远程桌面协议(3389、22等)或文件传输协议(FTP/SFTP)等直接访问。(如果不搭建应用发布服务器,用户只能通过堡垒主机访问服务器以及网络设备资源(利用rdp及crt字符工具方式);不能对B/S类及C/S类资源进行管理访问;如果不具有应用发布服务器,则无法通过堡垒进行数据库等cs类及防火墙等bs类资源的运维审计。)像windows的远程访问以及Linux服务器的SSH访问,网络设备的访问等可以直接发布资源使用,而像浏览器网页登陆管理以及系统的软件应用等那就需要搭建应用发布服务器来使用,所以并不一定搭建应用发布服务器,根据需求搭建就可以了。
C/S结构,即Client/Server(客户机/服务器)结构,是大家熟知的软件系统体系结构,通过将任务合理分配到Client端和Server端,降低了系统的通讯开销,可以充分利用两端硬件环境的优势。
B/S结构,即Browser/Server(浏览器/服务器)结构,是随着Internet技术的兴起,对C/S结构的一种变化或者改进的结构。在这种结构下,用户界面完全通过WWW浏览器实现。 应用发布服务器搭建比较繁琐复杂,如果自己不行建议400协助,也可以问小助手姐姐寻求应用发布服务器已经搭建好的虚拟化模板,但是这个模板是虽然是常用格式,但是华为云是不支持的,虽然格式符合但是无法导入使用。 OSM部署进网络环境后的规范化部署是要配置访问控制的,当然主要是参考客户需求自行选择就可以了。
配合用户网络中的访问控制策略(如acl)对访问进行控制,避免用户在网络中绕行堡垒主机。
策略效果:目标设备运维端口只接受堡垒主机发起的请求。
常用的端口列表如下:
注意VNC,数据库或者应用类的端口,请根据实际情况而定。FTP如果是被动协商,还会动态协商出一个端口,此模式下注意端口开放的范围
堡垒机类似于作为跳板机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。
OSM安全运维网关的部署并不难就是单臂或者说旁路部署,需求就是访问者与堡垒机、堡垒机与资源之间的通信保障是正常的,那么下一篇我们就说一说OSM堡垒机的详细部署过程,这次的学习分享就到这里了,后续超级大白的帖子可以根据标题前缀分辨是学习分享贴还是技术配置贴,并且在帖子下完善一些小的分享,还是得谢谢各位大牛的捧场,有过之处可以直接私信我加以更改,如果有好的方式方法可以分享,向大哥们学习!!!!!!!!!!!!!!
励志分享超清壁纸语句~~: 所有的努力,不是为了让别人觉得你了不起,而是为了能让自己打心眼里看得起自己。 好的今天就到这里,老样子,感谢各位大神的参阅,孩子为了挣豆子不容易,孩子家里穷没豆子吃饭了!!!
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2021-6-27 20:23
坚持每日学习打卡
技术专家1级 
