等保一体机实施分享+日志审计系统+堡垒机注意事项
  

炫炫 273038人觉得有帮助

{{ttag.title}}
:大哭: 上周楼主被派去某烟厂实施一台等保一体机,分享给还没接触过的兄弟们,不多废话,进入主题

一.等保一体机基本组件介绍
等保一体机实际上有两个组件

1、安全资源池管理平台(使用方法类似于超融合)
2、云安全服务平台(类似于超融合里某台主机)

下面先进安全资源池管理平台看下 接入一体机eth0(默认地址忘了:求解: 好像是10.251.251.100)

可以看到界面处非常像超融合平台,我们一样需要像超融合一样配置管理IP 一样有虚拟网络物理出口(不需要另外配置 用于给云安全服务平台,下面简称CSSP作为桥接口)


接下来进入CSSP(默认地址是10.251.251.251,默认桥接eth0),这里是重点,结合上图可以看到在安全资源池中是无法编辑拓扑的,添加物理出口这个功能是在CSSP中
虚拟网络设备也是在CSSP中设置桥接方式,例如我这里的堡垒机是从堡垒机的eth2桥接到物理出口的eth1!

看到这边,很多实施过超融合的小伙伴应该就很清楚了,可以这么理解,CSSP本身只是一台虚拟机,作为工具使用,快捷的添加虚拟网络设备,去做桥接。可以这么去想象,我们如果有一台防火墙做透明部署,一端桥接物理接口的eth0,一端桥接物理接口的eth1,数据从eth0流入,从eth1流出,那防火墙应该是可以正常使用的

同理,既然CSSP本身是一台虚拟机,那他也需要管理接口
然后根据已添加的网络设备,做一个整体的观察可以看到3台网络设备均单臂部署,桥接到物理出口的eth1
而CSSP本身是桥接到物理接口的eth0

再参照安全资源池里的虚拟网络图

可以分析出等保一体机的基本桥接模式,那剩下来就剩下一些基本的配置操作,不再说明了

二.日志审计系统
可以看到,日志审计系统里面按照是按照之前桥接的拓扑,使用的eth3接口作为单臂口

普通的配置方法也不再另加说明,可自行参照LAS快速安装手册http://bbs.sangfor.com.cn/forum.php?mod=attachment&aid=MzQzNjQzfDgyY2YzZGYwfDE1NjU3MTk3NjV8MTYwNzEyfDY3MTk3


因为是等保一体机里的版本,所以镜像数据采集功能是没有的,我这边就只设置了采集syslog和snmp
在网络设备中配置了syslog指向后需要在数据采集中进行设置
一般交换机例如华为交换机设置syslog:
[Switch]info-center  loghost source  Vlanif  1          #配置信息中心日志主机发送源为vlanif1
[Switch]info-center loghost 10.81.60.173             #配置信息中心日志主机的IP为192.168.133.129

一般交换机例如华为交换机设置snmpTrap
snmp-agent vesion all 启用全版本snmp
snmp trap enable
snmp-agent target-host trap address udp-domain 172.16.149.253 params securityname public
/允许向网管工作站(NMS)192.168.1.1发送Trap报文,使用的团体名为public/

收集到日志后在资产状况处其他服务器可快捷添加资产
告警日志检索和事件日志检索需要自定义告警规则和事件规则不然是不会显示有的
日志审计基本注意事项就是这些,其余参照用户手册和快速实施手册基本可以完成实施:傻笑:楼主很烂就不多说了,直接到堡垒机吧

三.堡垒机基本实施
堡垒机有5种账号,admin/系统管理员/安全管理员/日志管理员/运维人员
其中admin账号仅能用来创建其他账号以及做部分配置(网卡IP在此账号配置)

系统管理员拥有以下权限--只讲解重点部分
创建组织的权限
创建应用服务器(发布WEB资源,例如运维人员接入后登录XX防火墙的WEB界面)
用户可选的认证方式权限
告警归纳生成的权限及日志外发权限

安全管理员拥有权限
创建运维人员,设定登录认证方式给用户颁发证书的权限
定义资源组和用户组的权限
给资源组添加资源的时候记得按检索,不然会显示一片空白
定义资源权限
设置资源访问的审批权限
设置资源的双人审批(即一人访问另一人审批或者互相审批)
定义非法命令 示范如dis cu
定义资源可访问时间

日志管理员拥有权限
查看他人操作日志
回放他人操作记录
生成运维报表--需要模板

基线核查的没啥需要注意的,用着问题太多。。。

429375d52f68f7a54b.png (61.63 KB, 下载次数: 689)

429375d52f68f7a54b.png

74365d530368e1697.png (52.54 KB, 下载次数: 665)

74365d530368e1697.png

109805d5305153c63c.png (67.37 KB, 下载次数: 698)

109805d5305153c63c.png

打赏鼓励作者,期待更多好文!

打赏
4人已打赏

SANGFOR_XSec 发表于 2019-8-15 16:02
  
手动点赞!!!
droprains 发表于 2019-8-22 08:44
  
好长~ 谢谢分享!
玖零网络 发表于 2019-8-23 09:32
  
安全资源池管理平台 这个感觉 不错,对工作很有帮助
无路赛 发表于 2019-8-29 13:32
  
楼主的las什么版本的,链接访问不了
新手097872 发表于 2019-9-4 09:58
  
设置的日志保留时间都没啊???
一个无趣的人 发表于 2020-3-9 22:36
  
楼主,是你让我深深地理解了‘人外有人,天外有天’这句话。谢谢你!在看完这帖子以后,我没有立即回复,因为我生怕我庸俗不堪的回复会玷污了这社区少有的帖子。但是我还是回复了,因为觉得如果不能在如此精彩的帖子后面留下自己的网名,那我会遗憾终生的!
韩_鹏 发表于 2020-3-10 20:26
  
最近也接到了Xsec的工作,实施内容跟楼主一样,向来学习学习。
顺便分享一下自己的研究成果。
大家交流交流

等保一体机.png (150.35 KB, 下载次数: 640)

等保一体机.png
红旗sangfor 发表于 2020-3-10 20:50
  
这么好的帖子,倘若别人看不到,那么不是浪费楼主的心血吗? 经过痛苦的思想斗争,我终于下定决心,我要把这个帖子一直往上顶,往上顶到所有人都看到为止!
韩_鹏 发表于 2020-3-10 20:55
  
我在社区摸爬滚打这么多年,所谓阅人无数,就算没有见过猪走路,也总明白猪肉是啥味道的。一看到楼主的气势,我就觉得楼主同在社区里灌水的那帮小混子有着本质的差别,你一定就是传说中的最强技术牛。
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
干货满满
每日一问
技术笔记
新版本体验
【 社区to talk】
功能体验
技术咨询
产品连连看
标准化排查
GIF动图学习
2023技术争霸赛专题
每周精选
信服课堂视频
通用技术
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版达人