天玥網絡安全審計系統（堡壘機）培訓教材之產品介紹操作人員＋＋系統與設備＋＋傳統運維工作三樓樓長系統賬號系統管理員數據庫管理員安全管理員廠商代維人員系統賬號關鍵問題關鍵問題共享帳號訪問控制權限控制操作審計關鍵問題-共享賬號帳號不具有唯一性密碼難以管理責任難以認定節約了帳號管理本錢降低了本地溢出的風險共享賬號關鍵問題-訪問控制usernamepasswordusernamepassword關鍵問題-權限控制IP層的訪問控制措施rootpasswordrm-rfxx.xxtelnetdeletefromxx……關鍵問題-操作審計時間1源IP1源MAC1系統賬號1commands時間2源IP2源MAC2系統賬號2commands時間3源IP3源MAC3系統賬號3commands用戶賬單被修改1.無法分析跳轉行為；2.無法實現操作日志與用戶身份的關聯；需求描述-1集中管理集中管理用戶、設備、系統賬號；集中管理用戶、系統賬號的密碼；所有用戶集中登錄、集中認證；集中配置賬號密碼策略、訪問控制策略；集中管理所有用戶操作記錄；訪問控制根據用戶角色設置分組訪問控制策略；實現“用戶－系統－系統賬號〞的對應關系；實現實體級的訪問控制授權；需求描述-2權限控制可設置以命令為根底的權限控制策略；實現命令級別的實體內授權；操作審計以用戶身份為依據，真實完整的記錄每個用戶的所有操作行為；精確到命令的審計機制；對用戶的操作進行仿真回放；記錄加密維護協議SSH數據。設計原理-平安小區模型草坪垃圾筒垃圾筒花園住戶namename園丁namewhowhere/what收垃圾鋤草工住戶住戶name各種資源操作管理-核心要素與內容各種角色的人各種操作命令集中管理訪問控制權限控制審計天玥IV型的主要功能按職能定義策略用戶與資源對應執行訪問控制策略選擇用戶或分組按權限定義命令選擇響應方式按部門分配資源集中管理各種資源集中管理賬號口令按條件進行檢索按條件生成報表按條件進行回放集中管理權限控制訪問控制操作審計操作管理天玥IV工作原理天玥IV認證，身份識別Web登錄SSH客戶端登錄參數配置口令修改自服務界面會話瀏覽會話回放日志查詢報表展現審計界面全局策略密碼策略用戶管理設備管理賬號管理部門管理授權管理權限控制配置界面SSH/telnet設備ShellPortal根據分組授權顯示設備列表通過代填登錄定期修改口令堡壘機程序記錄用戶屏幕操作集中管理－集中登錄需要從網絡層做訪問控制，保證所有的用戶只能通過天玥IV來訪問所有的資源。集中管理－二次登錄天玥IVDevice2:IP2Device3:IP3……主賬號登錄Device1:IP1account2account3……SSH/telnet設備Device1:IP1，telnet服務Device1:IP1堡壘機模擬telnet/SSH終端，代填IP1地址與account1賬號的口令，完成從賬號的登錄。account1集中管理－身份管理系統認證=系統賬號系統授權＋天玥IV傳統的系統認證使用天玥IV后的認證管理用戶帳號身份認證＋系統帳號系統授權＋集中管理－角色管理根據工作職能給用戶分配角色；賬號管理員配置管理員審計管理員普通用戶真正實現三權分立。集中管理－部門管理完善的分級權限管理：根據人員、資源所處部門〔系統〕的不同，實現二級部門的分權限管理。二級部門內的管理員只能管理本部門內的資源。集中管理－自然人賬號管理為維護人員分配惟一標識其身份的賬號；賬號屬性管理：登錄名真實姓名郵箱地址〔接收初始化密碼〕有效期限所屬部門賬號狀態〔活動/禁用〕角色集中管理－設備管理集中管理所有資源：設備名稱IP地址登錄協議/端口所屬部門設備類型可定制化的自動登錄腳本〔用戶堡壘機到設備的二次登錄〕對跳轉設備〔Oracle/BSC等〕的支持集中管理－系統賬號管理集中管理所有設備內部的系統賬號；系統賬號名稱系統賬號密碼〔如果啟用，可由堡壘機完成到設備的二次登錄〕定期修改該賬號的密碼所屬設備修改密碼時采用的密碼策略集中管理－賬號口令管理用戶口令管理：創立用戶時，可按用戶密碼策略給該用戶生成強壯的口令；該口令可以通過預設郵箱發送給用戶，也可以由管理員手工管理并通知該用戶；設備賬號口令管理：新增設備賬號時，需手工同步該賬號的密碼；然后即可按照不同級別的設備賬號密碼策略進行定期修改，并以加密的方式發送給密碼保管員。集中管理－密碼策略管理集中管理－數據的導入導出可以對用戶列表、設備列表、設備賬號列表、部門列表進行批量導入導出，節省管理員管理本錢；提供導入模版供下載參考。訪問控制who----用戶where---可訪問設備account---設備權限嚴格的訪問控制列表訪問控制－創立訪問控制列表先創立分組，再選擇分組內所管轄的用戶與資源賬號。訪問控制－執行訪問控制策略用戶使用自己的賬號登錄天玥IV時，天玥IV只反響給該用戶所屬分組范圍內設備。可按用戶或分組創立命令防火墻策略；可調整防火墻策略的優先級；嚴格限制用戶進入設備之后的命令執行。權限控制－創立命令防火墻策略權限控制－執行命令防火墻策略操作審計－會話與命令審計可顯示會話的開始、結束時間、用戶名、源IP、會話狀態，可查看該會話的命令、命令輸出，并對會話進行回放?；胤胚^程中可進行暫停、繼續。支持各種功能鍵〔TAB，上下箭頭，回退等〕擴展后的命令和輸出結果?？蓞^分用戶的輸入命令和輸出結果；輸入與輸出分開，輸出信息可以顯示概要?？蓪崟r會話進行標識。操作審計－會話回放操作審計－SFTP操作審計可記錄會話開始時間、登錄用戶名、源IP地址，可查看sftp會話的細節〔訪問目錄、上傳下載文件信息等〕。操作審計－精確檢索可按時間段、目標主機、系統賬號、用戶和關鍵字為條件進行查詢。支持通配符。操作審計－完美呈現可按用戶或分組進行報表展示，可顯示具體用戶或分組的web登錄次數、ssh登錄次數、sftp登錄次數以及ssh命令數量?？缮啥喾N審計視圖。系統自管理－AD域賬號同步提供API接口，可以被其他管理平臺調用；提供與LDAP賬號數據庫同步的接口。系統自管理－SSH證書管理針對ssh設備，可生成設備賬號的ssh證書，這樣堡壘機與ssh設備可直接通過證書交互完成二次認證，比密碼認證更加平安。系統自管理－雙機熱備與數據同步通過HA保證系統的高可用性；主備系統之間可以進行手工與自動數據同步。系統自管理－郵件效勞器配置通過配置第三方的郵件效勞器，可以給普通用戶發送口令密碼，給密碼保管員發送設備賬號修改后的密碼。適用場景解決用戶在維護大量Unix/Linux主機、網絡設備時面臨的集中控制、帳號與口令的管理、操作記錄等問題，特別是針對加密協議SSH的記錄。支持telnet和SSH設備，擴展支持命令行方式的Oracle維護、圖形化的sftp工具。適用行業：電信運營商金融門戶網站運營商網絡游戲效勞提供商。。。。。。部署方式－單級部署天玥IV單級部署示意圖天玥IV－主用戶終端Internet文件服務器Web服務器數據庫系統應用服務器核心服務器區天玥IV－備HA部署方式－分布式部署天玥IV分布式部署示意圖A地辦公系統C地業務系統業務人員B地IT支撐系統內部維護人員外包人員內部工作人員集中監控平臺產品優勢服務器：AIX、HPUX、SUN、SCOUNIX、Linux網絡設備：CISCO、JUNIPER、華為存儲設備：Netapp

、EMC等交換傳輸設備：華為、NOKIA、西門子等最廣泛的UNIX平臺支持鍵盤輸入命令和屏幕的輸出結果多臺機器間跳轉操作的關聯記錄支持加密傳輸（SSH）的操作記錄支持文本編輯軟件（vi）操作記錄支持各種交互式命令（SQL）操作支持各種功能鍵的擴展（TAB，ESC補齊，回退,刪除,上下箭頭等）支持命令的粘貼支持組合命令完整清晰的操作記錄命令的具體時間點和時間段用戶賬號，系統賬號，服務器輸入的命令與輸出結果做全文檢索不需要用戶端安裝代理軟件不需要被管理設備上安裝代理軟件不