银行堡垒机实施方案.docx

银行运维审计平台实施方案
文档密级：内部资料
文档版本 (2022-04-27)
银行总行科技开发部运维中心
第39页, 共39页
银行分行运维审计平台
实施方案
备硬件信息
运维审计系统包括堡垒机和应用发布服务器两台设备，物理参数如下：
设备
型号
硬件参数
堡垒机
麒麟开源堡垒机
CPU 64位 3G/16G内存/2T硬盘/交流电/2U
银行运维审计平台实施方案
文档密级：内部资料
文档版本 (2022-04-27)
银行总行科技开发部运维中心
第7页, 共42页
应用发布服务器
麒麟应用发布模块
CPU 64位 3G/32G内存/2T硬盘/交流电/2U
软件信息
设备
操作系统
软件版本
Licenses数
堡垒机
Centos

100000个
应用发布服务器
Windows server 2008
系统LOGO
堡垒机LOGO在安装时，都已经被设置为XX银行运维审计平台，以与其它系统进行区分。
地址规划
参照分行部署标准，运维审计堡垒机及应用发布平台，需要分行分配在基础服务器区域，分配【】的地址，两台设备分别需要分配IP地址，且两个地址需要在一个子网。
例如如下
设备名称
所属区域
产品型号
IP
堡垒机
内网
UOM-1000A
应用发布服务器
内网
Modul-APP-RELEAS-HW
部署规划
堡垒机、应用发布平台各需要2U的机柜空间位置
堡垒机、应用发布平台需要部署在基础服务器接入区
银行运维审计平台实施方案
文档密级：内部资料
文档版本 (2022-04-27)
银行总行科技开发部运维中心
第8页, 共42页
堡垒机、应用发布平台个需要2*10A电源
应用部署实施
堡垒机上线说明
堡垒机在发往用户前，已经完成如下设置:
设备IP地址、网关、应用发布连接
设备、人员、权限关系、目录结构的前期调研和导入
密码规则策略设置
数据留存策略设置
堡垒机现场上线实施步骤包括:
设备上架、加电
网络连通性测试
系统功能测试
现场培训
注：堡垒机出厂时，已经完成了数据导入、权限策略设置、应用发布设置和IP等环境设置，如果有实时时发生更改，请按下面相应描述章节进行修改
设备初始化
上架加电
银行运维审计平台实施方案
文档密级：内部资料
文档版本 (2022-04-27)
银行总行科技开发部运维中心
第9页, 共42页
设置IP地址、网络掩码、网管
上架加电
第一步、分别将堡垒机和应用发布服务器按照部署位置，将主机安装固定到机柜中。
第二步、将随机携带的电源线插到主机后面板的电源插座上。
第三步、将电源线的另一端插到机柜为主机提供交流电源的插座上。
网络配置
发货前，堡垒机和应用发布IP默认已经按客户要求配置完毕，如果需要 现场修改可以按如下步骤：
堡垒机和应用发布服务器网卡默认IP为：
设备名称
网卡名称
IP
访问方式
堡垒机
Eth0
分行提供的IP
s、ssh
堡垒机
Eth1
s、ssh
堡垒机
管理口
s
应用发布
Eth0
分行提供的IP
RDP
应用发布
Eth0
1/30
RDP
本次工程，堡垒机和应用发布都要求使用eth0口，修改堡垒机和应用发布IP时，使用eth1进行登录，以防止配置错误后无法登入，堡垒机的管理口为console，通过 s访问可以得到键盘显示器的界面，如果堡垒机出现硬件故障或两个网卡都不通时，使用管理口登录。
完成上架加电操作后，打开堡垒机的电源按钮，堡垒机开机启动，等待两分钟，启动完成后，
使用笔记本通过网线连接堡垒机，笔记本IP地址配置为1/30后使用网线直接连接到堡垒机eth1口，然后使用浏览器打开 用户名输入admin 密码12345678，进入堡垒机系统，在【系统配置】-【网络配置】中修改网卡的IP地址信息，更改为规划好的eth0 IP地址。
应用发布IP eth1地址默认为1，可以直接使用mstsc rdp到应用发布服务器对IP地址进行修改。
堡垒机配置修改方式
堡垒机上线，已经完成项如下：
目录树导入、设置
银行运维审计平台实施方案
文档密级：内部资料
文档版本 (2022-04-27)
银