堡垒外网ip查询

堡垒机快速入门目录前言11.
信息完善与帐号创建.
21.
1.
Web登录方式.
21.
2.
完善管理员信息.
21.
3.
创建堡垒机用户帐号.
32.
资源录入.
42.
1.
添加主机.
42.
2.
添加资源主机帐号.
72.
2.
1.
手动登录帐号.
72.
2.
2.
自动登录帐号.
72.
2.
3.
提权登录.
83.
授权.
93.
1.
访问策略.
94.
堡垒机需要开放的端口.
134.
1.
入方向.
134.
2.
堡垒机出方向.
145.
网络诊断.
156.
堡垒机后台控制台.
151前言堡垒机旨在为IT审计员、IT顾问和安全专家提供可靠的服务器和应用发布管理安全解决方案,帮助IT决策者应对各类法令法规(如SOX、PCI、企业内控管理、等级保护、ISO/IEC27001等),同时帮助IT运维人员更高效地执行自动化运维和资源监控操作.
本手册编写以帮助用户了解系统使用、根据使用场景构建出属于自己的云计算安全管控系统.
要成为一个合格的堡垒机系统管理员,必须具备以下技能:基本的系统管理(Windows、Linux、Unix以及各类网络设备)知识熟悉计算机网络、TCP/IP协议以及常用网络术语21.
信息完善与帐号创建1.
1.
Web登录方式堡垒机web界面登录:https://堡垒机IP默认端口:443(安全组开放对应端口才能访问web端,堡垒机需要开放的端口服务可参见文档第4节)登录名:admin默认密码:admin1.
2.
完善管理员信息首次以admin帐号登录,在页面右上角,点击帐号右边的下拉按钮,进入[个人中心/编辑],显示当前个人帐号信息,在页面中可以编辑,如图1-1、1-2所示.
图1-13图1-21.
3.
创建堡垒机用户帐号进入到[用户/用户管理]菜单栏,点击页面右边的"新建",其中"*"标记的红色部分为必填项,登录名、密码、姓名、手机、邮箱、请参考页面上提示信息进行填写,角色和部门以及认证类型根据实际情况进行选择.
如图1-3所示.
图1-342.
资源录入2.
1.
添加主机进入到[资源/主机管理]菜单栏,录入主机信息分为单个录入与批量添加,批量添加又存在2种方法:一种为本地表格模版导入,另一种从云平台导入(适用于云主机).
单台主机录入,点击页面右边的"新建"如图2-1所示.
图2-1单台录入设备时,会提示,是否需要立即添加该资源主机上的系统帐号.
如图2-2所示,如若需要添加,按照提示填写即可,否则选择"以后添加"5图2-2本地模版导入则点击页面右边的"导入",提示需要下载模版,点击下载,模版如图2-3、2-4所示6图2-3图2-4直接从云上导入主机,如图2-5所示.
图2-572.
2.
添加资源主机帐号2.
2.
1.
手动登录帐号进入到[资源/资源帐号]菜单,点击页面右边的"新建",出现编辑框,拉选登录方式为"手动登录",关联相关的资源主机即可.
需要注意的是,此时,资源账户这一栏并不是必填项,如果不填,添加的帐号为"Empty",即手动登录,访问资源时需要手动输入账户名和密码.
如果填写了资源帐号,添加的帐号为填写的帐号,访问资源时需要输入对应系统帐号的密码.
图2-62.
2.
2.
自动登录帐号自动登录帐号,其实就是已经把密码托管给了堡垒机的资源主机系统帐号,因此在访问资源主机时,堡垒机会将管理员托管进去的密码自动发给对应的资源主机,以实现无需人工手动输入密码的过程.
选择登录方式为"自动登录",关联对应的资源主机,填写需要托管密码的系统帐号,然后将该帐号的密码托管给堡垒机,如图2-7所示.
8图2-72.
2.
3.
提权登录提权登录的概念为,当一个普通用户登录到目标资源主机上时,进行一次身份切换,登录到特权帐号.
选择该方式时,需要先填写特权帐号密码,然后选取做切换的普通帐号.
如图2-8所示.
图2-893.
授权3.
1.
访问策略在创建完堡垒机用户以及将服务器资源信息纳入堡垒机之后,需要创建一条策略将对应的堡垒机用户与对应的资源主机进行关联起来.
进入[策略/访问控制策略],如图3-1所示,可以查看备份记录列表.
图3-1编辑创建[访问策略]对话框,先输入一个名称,然后可以设置该访问策略的有效期与生效时间,有效期不设置时为一直生效.
限制文件的上传、下载以及文件管理、RDP剪切板等功能,然后点击下一步,去关联对应的堡垒机用户和相关的资源主机与账户,支持直接关联组.
如图3-2和3-3所示.
10图3-211图3-3此时我们使用test帐号去登录堡垒机,可以看到,刚才我们配置的策略已经生效,如图3-4,12图3-4登录效果,如图3-5图3-5以上为堡垒机基础使用所需要满足的条件,简单来说分为4点:堡垒机用户资源主机资源主机的系统帐号访问策略13核心思路:通过访问策略控制指定的堡垒机用户能够在什么时候使用指定的系统帐号访问指定的资源主机.
4.
堡垒机需要开放的端口4.
1.
入方向功能地址是否必须开放对应IP协议端口WEB访问堡垒机系统https://IP是堡垒机内网或者外网IPTCP443SSH客户端访问参考手册里面的下载自动登录配置文档操作是堡垒机内网或者外网IPTCP2222FTP客户端访问参考用户手册里面FTP/SFTP登录业务需求开启堡垒机内网或者外网IPTCP2121FTP服务端口参考用户手册里面FTP/SFTP登录业务需求开启堡垒机内网或者外网IPTCP20000-21000Oracle协议代理服务参考用户手册里面数据库登录业务需求开启堡垒机内网或者外网IPTCP1521Mysql协议代理服务参考用户手册里面数据库登录业务需求开启堡垒机内网或者外网IPTCP33306MSsql协议代理服务参考用户手册里面数据库登录业务需求开启堡垒机内网或者外网IPTCP1433DB2协议代理服务参考用户手册里面数据库登录业务需求开启堡垒机内网或者外网IPTCP5000014TFTP服务参考用户手册业务需求开启堡垒机内网或者外网IPUDP69SNMP服务参考用户手册业务需求开启堡垒机内网或者外网IPUDP1614.
2.
堡垒机出方向堡垒机出方向需要访问的外网服务端口(备注:因防火墙和安全组无法直接放通域名地址,所以放通对应IP之后一定需要开放DNS服务器地址和相应端口)功能地址是否必须开放对应IP协议端口许可服务器license.
yunxz.
org是101.
200.
220.
200TCP9443漫道短信服务sdk.
entinfo.
cnsdk2.
entinfo.
cn需要短信服务验证,开启此端口,并且需要ping通短信域名115.
182.
203.
188119.
254.
88.
62TCP8061阿里大鱼短信服务dysmsapi.
aliyuncs.
com需要短信服务验证,开启此端口,并且需要ping通短信域名多个ip集群TCP8015DNS域名解析100.
125.
1.
250114.
114.
114.
114需要短信服务验证,开启此端口,并且需要ping通短信域名UDP535.
网络诊断在web页面[系统/系统维护]菜单,点击"网络诊断"选项可以在发生故障时进行网络排查,有"ping"、"路由追踪"、"TCP端口检测"三种排查方式可供使用,如图5-1所示.
图5-16.
堡垒机后台控制台通过22端口登录到堡垒机后台,账号:admin,密码:vFr$4mJu&7!
16登录后台后,将会有配置选项,不同版本可能有少许差异.
如图6-1所示.
图6-1控制台选项1:设置控制台登入用户密码.
控制台选项2:网络配置.
控制台选项3:网络服务器修改(启动、关闭、重启).
控制台选项4:配置系统DNS.
控制台选项5:配置主机名.
控制台选项6:配置主机时间.
控制台选项7:解除WEB端系统IP锁定.
控制台选项8:查看系统服务状态以及系统资源状态.
控制台选项9:恢复出厂设置.
控制台选项10:重置WEB管理员admin的登入信息.
(重置admin用户密码)控制台选项11:重启系统.
控制台选项12:关闭系统.
控制台选项13:退出控制台.
17更多配置相关,请参考《用户手册》.