企业网络架构部署

运维人员通过接入堡垒机的统一管理平台来对企业内部的信息资产进行运维操作，从而运维人员的所有运维操作都可以被堡垒机记录并审计，堡垒机上还可以通过配置各种权限来限制运维人员的操作

一、堡垒机的安装使用

Linux单机安装（在线安装）：

1、下载堡垒机：
curl -sSL https://resource.fit2cloud.com/jumpserver/jumpserver/releases/latest/download/quick_start.sh | bash
2、堡垒机操作
在cd /opt/jumpserver-installer-v3.10.3目录下启动

启动
./jmsctl.sh start

停止
./jmsctl.sh down

卸载

./jmsctl.sh uninstall

帮助

./jmsctl.sh -h

堡垒机的下载与使用就这两步。

二、堡垒机概念

堡垒机，即在一个特定的网络环境下，为了保障网络和数据不受来自外部和内部用户的入侵和破坏，而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为，以便集中报警、及时处理及审计定责。

三、堡垒机基本操作

1、登陆

安装完成后，防火墙开放80端口，访问80端口。登录页面如下，默认管理员账密：admin/admin，第一次成功登录后，会要求我们修改密码。

登陆网站为：“http://服务器ip地址:80”

2.功能说明

管理员登录成功后，进入主页，会默认进入控制台界面如下：

点击“按钮”，选择对应模式

JumpServer 有三种视图模式，分别为 ‘控制台’、‘审计台’、‘工作台’。各个视图下拥有不同功能，具体说明如下：
控制台

• 仪表盘：用于统计资产情况的数据仪表盘，便于管理人员查看资产、在线会话情况。
• 用户管理：管理 JumpServer 的用户、用户组以及角色。
• 资产管理：管理用户资产，包括主机资产、网域网关、系统用户（对应资产上的用户账号）、命令过滤等。
• 应用管理：管理相关应用，2.27版本支持对数据库以及 Kubernetes 的管理。
• 权限管理：对资产和应用进行相关权限授予。
• 作业中心：查看任务、监控任务。

审计台

• 仪表盘：用于统计资产情况的数据仪表盘，便于管理人员查看资产、在线会话情况。
• 会话审计：管理会话记录、命令记录、文件传输记录。
• 日志审计：查看 JumpServer 对应的登录日志、操作日志、改密日志以及批量命令执行日志。

工作台

• 概况：展示最近会话、个人信息、最近登录信息。
• 我的资产：管理当前用户所拥有的资产。
• 我的应用：管理当前用户自己的应用，2.27版本支持对数据库以及 Kubernetes 的管理。
• 批量命令：对指定主机批量执行对应命令。
• Web终端：使用Web终端连接并管理对应主机，相当于网页版的xshell、远程桌面管理。
• 文件管理：管理主机上的文件，管理对应主机下的文件时对应根路径默认会该登录用户的家目录或者用户目录下。

四、堡垒机基本使用流程

流程概括：创建用户–》创建资产–》授予运维账号对应资产的权限–》登录运维账号，查看对应资产

1、创建用户组：
控制台–>用户管理–>用户组–>创建

创建用户组基本信息：

添加指定用户到该用户组中。

• 管理用户组，在控制台->用户管理->用户组->点击对应用户组的 ‘更新’ 按钮，即可修改用户组名称、所拥有的用户。

2、创建用户
控制台–>用户管理–>用户列表–>创建

用户创建基本信息：

3、创建资产
控制台–>资产管理–>资产列表–>创建

这里根据表上方不同的选项创建不同的资产

4、授予运维账号对应资产的权限
控制台–>权限管理–>资产授权–>创建

资产授权相关内容：

5、授权用户登陆操作运维相关资产
普通用户登陆
登录后相关操作在：工作台–>我的资产–>右边的绿色按钮进行操作

五、相关资产创建示例

MySQL数据库应用：
准备一个可以连接数据库服务器，此处为linux主机（192.168.219.232）上的mysql数据库。
1、创建Mysql资产

2、授予用户相应的资产权限

3、运维人员登陆进行相关资产操作

六、堡垒机功能操作

1、命令过滤

• 创建命令过滤规则

控制台–>权限管理–>命令过滤–>命令组

• 创建命令过滤器并关联相关用户

控制台–>权限管理–>命令过滤–>命令过滤

• 用户登录后生效

2、会话审计

• 会话记录

在线会话：管理在线会话，可以终端会话，也可以监控会话。
历史会话：查看历史会话，回放或下载对应会话信息。
审计台–>会话记录

如果你对网络安全感兴趣，学习资源免费分享，保证100%免费！！！（黑客入门教程）

如果你对网络安全入门感兴趣，那么你需要的话可以

点击这里👉CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

👉网安（黑客）全套学习视频👈

我们在看视频学习的时候，不能光动眼动脑不动手，比较科学的学习方法是在理解之后运用它们，这时候练手项目就很适合了。

👉网安（黑客红蓝对抗）所有方向的学习路线👈

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

 👉嘿客必备开发工具👈

工欲善其事必先利其器。学习嘿客常用的开发软件都在这里了，给大家节省了很多时间。

这份完整版的网络安全（嘿客）全套学习资料已经上传至CSDN官方，朋友们如果需要点击下方链接也可扫描下方微信二v码获取网络工程师全套资料【保证100%免费】