天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)(業(yè)務(wù)堡壘機(jī))產(chǎn)品介紹解讀課件

1、天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)（堡壘機(jī)）培訓(xùn)教材之產(chǎn)品介紹天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)（堡壘機(jī)）培訓(xùn)教材之產(chǎn)品介紹天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)(業(yè)務(wù)堡壘機(jī))產(chǎn)品介紹解讀課件操作人員系統(tǒng)與設(shè)備傳統(tǒng)運(yùn)維工作三樓樓長(zhǎng)系統(tǒng)賬號(hào)系統(tǒng)管理員數(shù)據(jù)庫(kù)管理員安全管理員廠商代維人員系統(tǒng)賬號(hào)操作人員系統(tǒng)與設(shè)備傳統(tǒng)運(yùn)維工作三樓樓長(zhǎng)系統(tǒng)賬號(hào)系統(tǒng)管關(guān)鍵問題關(guān)鍵問題共享帳號(hào)訪問控制權(quán)限控制操作審計(jì)關(guān)鍵問題關(guān)鍵共享訪問權(quán)限操作關(guān)鍵問題-共享賬號(hào)帳號(hào)不具有唯一性密碼難以管理責(zé)任難以認(rèn)定節(jié)約了帳號(hào)管理成本降低了本地溢出的風(fēng)險(xiǎn)共享賬號(hào)關(guān)鍵問題-共享賬號(hào)帳號(hào)不具有唯一性節(jié)約了帳號(hào)管理成本共享賬號(hào)關(guān)鍵問題-訪問控制usernamepasswordusernam

2、epassword關(guān)鍵問題-訪問控制usernameusername關(guān)鍵問題-權(quán)限控制IP層的訪問控制措施rootpasswordrm -rf xx.xxtelnet xx.xx.xxdelete from xx關(guān)鍵問題-權(quán)限控制IP層的訪問控制措施rootrm -rf 關(guān)鍵問題-操作審計(jì)時(shí)間1源IP1源MAC1系統(tǒng)賬號(hào)1commands時(shí)間2源IP2源MAC2系統(tǒng)賬號(hào)2commands時(shí)間3源IP3源MAC3系統(tǒng)賬號(hào)3commands用戶賬單被修改1.無(wú)法分析跳轉(zhuǎn)行為；2.無(wú)法實(shí)現(xiàn)操作日志與用戶身份的關(guān)聯(lián)；關(guān)鍵問題-操作審計(jì)時(shí)間1時(shí)間2時(shí)間3用戶賬單1.無(wú)法分析跳轉(zhuǎn)需求描述-1集中管理集中管

3、理用戶、設(shè)備、系統(tǒng)賬號(hào)；集中管理用戶、系統(tǒng)賬號(hào)的密碼；所有用戶集中登錄、集中認(rèn)證；集中配置賬號(hào)密碼策略、訪問控制策略；集中管理所有用戶操作記錄；訪問控制根據(jù)用戶角色設(shè)置分組訪問控制策略；實(shí)現(xiàn)“用戶系統(tǒng)系統(tǒng)賬號(hào)”的對(duì)應(yīng)關(guān)系；實(shí)現(xiàn)實(shí)體級(jí)的訪問控制授權(quán)；需求描述-1集中管理需求描述-2權(quán)限控制可設(shè)置以命令為基礎(chǔ)的權(quán)限控制策略；實(shí)現(xiàn)命令級(jí)別的實(shí)體內(nèi)授權(quán)；操作審計(jì)以用戶身份為依據(jù)，真實(shí)完整的記錄每個(gè)用戶的所有操作行為；精確到命令的審計(jì)機(jī)制；對(duì)用戶的操作進(jìn)行仿真回放；記錄加密維護(hù)協(xié)議SSH數(shù)據(jù)。需求描述-2權(quán)限控制天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)(業(yè)務(wù)堡壘機(jī))產(chǎn)品介紹解讀課件設(shè)計(jì)原理-安全小區(qū)模型草坪垃圾筒垃圾筒花園

4、住戶namename園丁namewhowhere/what收垃圾鋤草工住戶住戶name設(shè)計(jì)原理-安全小區(qū)模型草坪垃圾筒垃圾筒花園住戶namenam各種資源操作管理-核心要素與內(nèi)容各種角色的人各種操作命令集中管理訪問控制權(quán)限控制審計(jì)各種資源操作管理-核心要素與內(nèi)容各種角色的人各種操作命令集中天玥IV型的主要功能按職能定義策略用戶與資源對(duì)應(yīng)執(zhí)行訪問控制策略選擇用戶或分組按權(quán)限定義命令選擇響應(yīng)方式按部門分配資源集中管理各種資源集中管理賬號(hào)口令按條件進(jìn)行檢索按條件生成報(bào)表按條件進(jìn)行回放集中管理權(quán)限控制訪問控制操作審計(jì)操作管理天玥IV型的主要功能按職能定義策略用戶與資源對(duì)應(yīng)執(zhí)行訪問控制天玥IV工作原理天

5、玥IV認(rèn)證，身份識(shí)別Web登錄SSH客戶端登錄參數(shù)配置口令修改自服務(wù)界面會(huì)話瀏覽會(huì)話回放日志查詢報(bào)表展現(xiàn)審計(jì)界面全局策略密碼策略用戶管理設(shè)備管理賬號(hào)管理部門管理授權(quán)管理權(quán)限控制配置界面SSH/telnet設(shè)備Shell Portal根據(jù)分組授權(quán)顯示設(shè)備列表通過代填登錄定期修改口令堡壘機(jī)程序記錄用戶屏幕操作天玥IV工作原理天玥IV認(rèn)證，身份識(shí)別Web登錄SSH客戶端集中管理集中登錄需要從網(wǎng)絡(luò)層做訪問控制，保證所有的用戶只能通過天玥IV來(lái)訪問所有的資源。集中管理集中登錄需要從網(wǎng)絡(luò)層做訪問控制，保證所有的用戶只能集中管理二次登錄天玥IVDevice2:IP2Device3:IP3主賬號(hào)登錄Devic

6、e1:IP1account2account3SSH/telnet設(shè)備Device1:IP1，telnet服務(wù)Device1:IP1堡壘機(jī)模擬telnet/SSH終端，代填I(lǐng)P1地址與account1賬號(hào)的口令，完成從賬號(hào)的登錄。account1集中管理二次登錄天玥IV主賬號(hào)登錄Device1:IP1S集中管理身份管理系統(tǒng)認(rèn)證=系統(tǒng)賬號(hào)系統(tǒng)授權(quán)天玥IV傳統(tǒng)的系統(tǒng)認(rèn)證使用天玥IV后的認(rèn)證管理用戶帳號(hào)身份認(rèn)證系統(tǒng)帳號(hào)系統(tǒng)授權(quán)集中管理身份管理系統(tǒng)認(rèn)證=系統(tǒng)賬號(hào)系統(tǒng)授權(quán)天玥IV傳統(tǒng)的集中管理角色管理根據(jù)工作職能給用戶分配角色；賬號(hào)管理員配置管理員審計(jì)管理員普通用戶真正實(shí)現(xiàn)三權(quán)分立。集中管理角色管理根據(jù)工

7、作職能給用戶分配角色；集中管理部門管理完善的分級(jí)權(quán)限管理：根據(jù)人員、資源所處部門（系統(tǒng)）的不同，實(shí)現(xiàn)二級(jí)部門的分權(quán)限管理。二級(jí)部門內(nèi)的管理員只能管理本部門內(nèi)的資源。集中管理部門管理完善的分級(jí)權(quán)限管理：根據(jù)人員、資源所處部門集中管理自然人賬號(hào)管理為維護(hù)人員分配惟一標(biāo)識(shí)其身份的賬號(hào)；賬號(hào)屬性管理：登錄名真實(shí)姓名郵箱地址（接收初始化密碼）有效期限所屬部門賬號(hào)狀態(tài)（活動(dòng)/禁用）角色集中管理自然人賬號(hào)管理為維護(hù)人員分配惟一標(biāo)識(shí)其身份的賬號(hào)；集中管理設(shè)備管理集中管理所有資源：設(shè)備名稱IP地址登錄協(xié)議/端口所屬部門設(shè)備類型可定制化的自動(dòng)登錄腳本（用戶堡壘機(jī)到設(shè)備的二次登錄）對(duì)跳轉(zhuǎn)設(shè)備（Oracle/BSC等

8、）的支持集中管理設(shè)備管理集中管理所有資源：集中管理系統(tǒng)賬號(hào)管理集中管理所有設(shè)備內(nèi)部的系統(tǒng)賬號(hào)；系統(tǒng)賬號(hào)名稱系統(tǒng)賬號(hào)密碼（如果啟用，可由堡壘機(jī)完成到設(shè)備的二次登錄）定期修改該賬號(hào)的密碼所屬設(shè)備修改密碼時(shí)采用的密碼策略集中管理系統(tǒng)賬號(hào)管理集中管理所有設(shè)備內(nèi)部的系統(tǒng)賬號(hào)；集中管理賬號(hào)口令管理用戶口令管理：創(chuàng)建用戶時(shí)，可按用戶密碼策略給該用戶生成強(qiáng)壯的口令；該口令可以通過預(yù)設(shè)郵箱發(fā)送給用戶，也可以由管理員手工管理并通知該用戶；設(shè)備賬號(hào)口令管理：新增設(shè)備賬號(hào)時(shí)，需手工同步該賬號(hào)的密碼；然后即可按照不同級(jí)別的設(shè)備賬號(hào)密碼策略進(jìn)行定期修改，并以加密的方式發(fā)送給密碼保管員。集中管理賬號(hào)口令管理用戶口令管理：集

9、中管理密碼策略管理集中管理密碼策略管理集中管理數(shù)據(jù)的導(dǎo)入導(dǎo)出可以對(duì)用戶列表、設(shè)備列表、設(shè)備賬號(hào)列表、部門列表進(jìn)行批量導(dǎo)入導(dǎo)出，節(jié)省管理員管理成本；提供導(dǎo)入模版供下載參考。集中管理數(shù)據(jù)的導(dǎo)入導(dǎo)出可以對(duì)用戶列表、設(shè)備列表、設(shè)備賬號(hào)列訪問控制who-用戶where-可訪問設(shè)備account-設(shè)備權(quán)限嚴(yán)格的訪問控制列表訪問控制who-用戶where-可訪問設(shè)備acco訪問控制創(chuàng)建訪問控制列表先創(chuàng)建分組，再選擇分組內(nèi)所管轄的用戶與資源賬號(hào)。訪問控制創(chuàng)建訪問控制列表先創(chuàng)建分組，再選擇分組內(nèi)所管轄的用訪問控制執(zhí)行訪問控制策略用戶使用自己的賬號(hào)登錄天玥IV時(shí)，天玥IV只反饋給該用戶所屬分組范圍內(nèi)設(shè)備。訪問控制

10、執(zhí)行訪問控制策略用戶使用自己的賬號(hào)登錄天玥IV時(shí)，可按用戶或分組創(chuàng)建命令防火墻策略；可調(diào)整防火墻策略的優(yōu)先級(jí)；嚴(yán)格限制用戶進(jìn)入設(shè)備之后的命令執(zhí)行。權(quán)限控制創(chuàng)建命令防火墻策略可按用戶或分組創(chuàng)建命令防火墻策略；權(quán)限控制創(chuàng)建命令防火墻策權(quán)限控制執(zhí)行命令防火墻策略權(quán)限控制執(zhí)行命令防火墻策略操作審計(jì)會(huì)話與命令審計(jì)可顯示會(huì)話的開始、結(jié)束時(shí)間、用戶名、源IP、會(huì)話狀態(tài)，可查看該會(huì)話的命令、命令輸出，并對(duì)會(huì)話進(jìn)行回放?；胤胚^程中可進(jìn)行暫停、繼續(xù)。支持各種功能鍵（TAB，上下箭頭，回退等）擴(kuò)展后的命令和輸出結(jié)果?？蓞^(qū)分用戶的輸入命令和輸出結(jié)果；輸入與輸出分開，輸出信息可以顯示概要?？蓪?duì)實(shí)時(shí)會(huì)話進(jìn)行標(biāo)識(shí)。 操作審

11、計(jì)會(huì)話與命令審計(jì)可顯示會(huì)話的開始、結(jié)束時(shí)間、用戶名、操作審計(jì)會(huì)話回放操作審計(jì)會(huì)話回放操作審計(jì)SFTP操作審計(jì)可記錄會(huì)話開始時(shí)間、登錄用戶名、源IP地址，可查看sftp會(huì)話的細(xì)節(jié)（訪問目錄、上傳下載文件信息等）。 操作審計(jì)SFTP操作審計(jì)可記錄會(huì)話開始時(shí)間、登錄用戶名、源操作審計(jì)精確檢索可按時(shí)間段、目標(biāo)主機(jī)、系統(tǒng)賬號(hào)、用戶和關(guān)鍵字為條件進(jìn)行查詢。支持通配符。 操作審計(jì)精確檢索可按時(shí)間段、目標(biāo)主機(jī)、系統(tǒng)賬號(hào)、用戶和關(guān)鍵操作審計(jì)完美呈現(xiàn)可按用戶或分組進(jìn)行報(bào)表展示，可顯示具體用戶或分組的web登錄次數(shù)、ssh登錄次數(shù)、sftp登錄次數(shù)以及ssh命令數(shù)量?？缮啥喾N審計(jì)視圖。 操作審計(jì)完美呈現(xiàn)可按用戶或

12、分組進(jìn)行報(bào)表展示，可顯示具體用戶系統(tǒng)自管理AD域賬號(hào)同步提供API接口，可以被其他管理平臺(tái)調(diào)用；提供與LDAP賬號(hào)數(shù)據(jù)庫(kù)同步的接口。系統(tǒng)自管理AD域賬號(hào)同步提供API接口，可以被其他管理平臺(tái)系統(tǒng)自管理SSH證書管理針對(duì)ssh設(shè)備，可生成設(shè)備賬號(hào)的ssh證書，這樣堡壘機(jī)與ssh設(shè)備可直接通過證書交互完成二次認(rèn)證，比密碼認(rèn)證更加安全。 系統(tǒng)自管理SSH證書管理針對(duì)ssh設(shè)備，可生成設(shè)備賬號(hào)的s系統(tǒng)自管理雙機(jī)熱備與數(shù)據(jù)同步通過HA保證系統(tǒng)的高可用性；主備系統(tǒng)之間可以進(jìn)行手工與自動(dòng)數(shù)據(jù)同步。系統(tǒng)自管理雙機(jī)熱備與數(shù)據(jù)同步通過HA保證系統(tǒng)的高可用性；系統(tǒng)自管理郵件服務(wù)器配置通過配置第三方的郵件服務(wù)器，可以

13、給普通用戶發(fā)送口令密碼，給密碼保管員發(fā)送設(shè)備賬號(hào)修改后的密碼。系統(tǒng)自管理郵件服務(wù)器配置通過配置第三方的郵件服務(wù)器，可以給天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)(業(yè)務(wù)堡壘機(jī))產(chǎn)品介紹解讀課件適用場(chǎng)景解決用戶在維護(hù)大量Unix/Linux主機(jī)、網(wǎng)絡(luò)設(shè)備時(shí)面臨的集中控制、帳號(hào)與口令的管理、操作記錄等問題，特別是針對(duì)加密協(xié)議SSH的記錄。支持telnet和SSH設(shè)備，擴(kuò)展支持命令行方式的Oracle維護(hù)、圖形化的sftp工具。適用行業(yè)：電信運(yùn)營(yíng)商金融門戶網(wǎng)站運(yùn)營(yíng)商網(wǎng)絡(luò)游戲服務(wù)提供商。適用場(chǎng)景解決用戶在維護(hù)大量Unix/Linux主機(jī)、網(wǎng)絡(luò)設(shè)備部署方式單級(jí)部署天玥IV單級(jí)部署示意圖天玥IV主用戶終端Internet文件服

14、務(wù)器Web服務(wù)器數(shù)據(jù)庫(kù)系統(tǒng)應(yīng)用服務(wù)器核心服務(wù)器區(qū)天玥IV備HA部署方式單級(jí)部署天玥IV單級(jí)部署示意圖天玥IV主用戶終端部署方式分布式部署天玥IV分布式部署示意圖A地辦公系統(tǒng)C地業(yè)務(wù)系統(tǒng)業(yè)務(wù)人員B地IT支撐系統(tǒng)內(nèi)部維護(hù)人員外包人員內(nèi)部工作人員集中監(jiān)控平臺(tái)部署方式分布式部署天玥IV分布式部署示意圖A地辦公系統(tǒng)C地產(chǎn)品優(yōu)勢(shì)服務(wù)器：AIX、HPUX、SUN、SCO UNIX、Linux網(wǎng)絡(luò)設(shè)備：CISCO、JUNIPER、華為存儲(chǔ)設(shè)備：Netapp 、 EMC等交換傳輸設(shè)備：華為、NOKIA、西門子等最廣泛的UNIX平臺(tái)支持鍵盤輸入命令和屏幕的輸出結(jié)果多臺(tái)機(jī)器間跳轉(zhuǎn)操作的關(guān)聯(lián)記錄支持加密傳輸（SSH）的操作記錄支持文本編輯軟件（vi）操作記錄支持各種交互式命令（SQL）操作支持各種功能鍵的擴(kuò)展（ TAB，ESC補(bǔ)齊，回退,刪除,上下箭頭等）支持命令的粘貼支持組合命令完整清晰的操作記錄命令的具體時(shí)間點(diǎn)和時(shí)間段用戶賬號(hào)，系統(tǒng)賬號(hào)，服務(wù)器輸入的命令與輸出結(jié)果做全文檢索不需要用戶端安裝代理軟件不需要被管理設(shè)備上安裝代理軟件不需要調(diào)整用戶網(wǎng)絡(luò)所有配置只在一臺(tái)設(shè)備上完成精確的搜索與快速實(shí)施一體化合歸性解決方案最佳實(shí)踐產(chǎn)品優(yōu)勢(shì)服務(wù)器