麒麟来源堡垒机设计原理-创新互联

1序言

为遂昌等地区用户提供了全套网页设计制作服务,及遂昌网站建设行业解决方案。主营业务为网站设计制作、成都网站设计、遂昌网站设计,以传统方式定制建设网站,并提供域名空间备案等一条龙服务,秉承以专业、用心的态度为用户提供真诚的服务。我们深信只要达到每一位用户的要求,就会得到认可,从而选择与我们长期合作。这样,我们也可以走得更远!

运维堡垒机,主要功能为认证、授权、审计,而各厂商又略有不同,×××是一套完整的开源堡垒机系统,具有通用商业堡垒机一切功能模块,安装便利,运用简单,功能全面、易用性都与商业硬件堡垒机完全一样。

2堡垒机的概念和品种
   堡垒机从运用拓朴上说,分为两种。

2.1网关型堡垒机

一般选用二层透明桥方法接入网络,一般拓朴方位在运维用户前方,运维用户做运维时,流量经过网关堡垒机,堡垒机对用户的操作进行审计。这种堡垒机曾经在2012年前在国外的一些厂商从么设计,国内厂商很少有这么设计。因为这种堡垒机上线需要修改网络拓朴,而且难实现SSO、使用发布等功能,因而,现在已十分少见,市场占有率不到1%。

2.2运维审计型堡垒机

现在通用堡垒机为旁路接入形式,物理上旁路、逻辑上串行,用户想要运维时,有必要经过堡垒机进行跳转登录。这种堡垒机为通用形式,因为不修正网络拓朴而且能够完结SSO、使用发布等多种功能,现已成为国内堡垒机的干流形式。

×××选用这种形式开发设计。

3×××工作原理

3.1×××规划原理

×××对于运维操作人员相当于一台代理服务器(Proxy Server),其工作流程如下图所示:

麒麟来源堡垒机设计原理

图1.堡垒机工作流程示意图

1)运维人员在操作过程中首先要衔接到堡垒机,然后向堡垒机提交操作恳求;
2)该请求经过堡垒机的权限检查后,堡垒机的使用代理模块将替代用户衔接到目标设备完成此操作,以后目标设备将操作成果返回给堡垒机,最终堡垒机再将操作成果返回给运维操作人员。

经过这种方法,堡垒机逻辑上将运维人员与目标设备阻隔开来,建立了从“运维人员->堡垒机用户账号->授权->目标设备账号->目标设备”的管理形式,处理操作权限控制和做法审计疑问的同时,也处理了加密协议和图形协议等无法经过协议还原进行审计的问题。

3.2×××工作原理
×××工作原理示意图如下:

麒麟来源堡垒机设计原理
图2.堡垒机工作原理示意图

在实际运用场景中堡垒机的运用人员一般可分为管理人员、运维操作人员、审计人员三类用户。

管理员最重要的责任是根据相应的安全战略和运维人员应有的操作权限来装备堡垒机的安全策略。堡垒机管理员登录堡垒机后,在堡垒机内部,“策略管理”组件负责与管理员进行交互,并将管理员输入的安全策略存储到堡垒机内部的战略装备库中。

“应用代理”组件是堡垒机的核心,负责中转运维操作用户的操作并与堡垒机内部其他组件进行交互。“应用代理”组件收到运维人员的操作请求后调用“策略管理”组件对该操作行为进行核查,核查依据便是管理员已经配置好的策略配置库,如此次操作不符合安全策略“应用代理”组件将拒绝该操作行为的执行。

运维人员的操作行为通过“策略管理”组件的核查之后“应用代理”组件则代替运维人员连接目标设备完成相应操作,并将操作返回结果返回给对应的运维操作人员,同时此次操作过程被提交给堡垒机内部的“审计模块”,然后此次操作过程被记录到审计日志数据库中。

最后当需要调查运维人员的历史操作记录时,由审计员登录堡垒机进行查询,然后“审计模块”从审计日志数据库中读取相应日志记录并展示在审计员交互界面上。

另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


标题名称:麒麟来源堡垒机设计原理-创新互联
网页URL:http://pwwzsj.com/article/coghpj.html