堡壘機,即在一個特定的網絡環境下,爲了保障網絡和數據不受來自外部和內部用戶的入侵和破壞,而運用各種技術手段實時收集和監控網絡環境中每一個組成部分的系統狀態、安全事件、網絡活動,以便集中報警、記錄、分析、處理的一種技術手段。
堡壘機工作流程:
1) 運維人員在操作過程中首先連接到堡壘機,然後向堡壘機提交操作請求;
2) 該請求通過堡壘機的權限檢查後,堡壘機的應用代理模塊將代替用戶連接到目標設備完成該操作,之後目標設備將操作結果返回給堡壘機,最後堡壘機再將操作結果返回給運維操作人員。
通過這種方式,堡壘機邏輯上將運維人員與目標設備隔離開來,建立了從“運維人員->堡壘機用戶賬號->授權->目標設備賬號->目標設備”的管理模式,解決操作權限控制和行爲審計問題的同時,也解決了加密協議和圖形協議等無法通過協議還原進行審計的問題。
詳細配置步驟:
場景:
A是我本人使用的電腦
B是一臺Linux堡壘機(IP:10.30.2.202;賬戶爲:root1)
C是內網生產環境的一臺Linux服務器(IP:192.168.1.103;賬號爲root2)
A可以訪問到B,B可以訪問到C,但是A不能直接訪問到C,首先通過SecureCRT連接到跳板服務器上,再進行端口轉發,將端口“映射”出來。
1) 新建一個會話,配置本機A到堡壘機B的連接(配置堡壘機B的IP,端口,用戶名)
2)端口轉發->添加
3)配置遠程端口轉發
名稱:自定義;
本地端口:1024-65535都可;(將遠程主機的端口映射到本地端口)
遠程主機:需要連接的服務器C的IP地址
遠程主機端口:1024-65535都可;
3)配置遠程端口轉發
名稱:自定義;
本地端口:1024-65535都可;(將遠程主機的端口映射到本地端口)
遠程主機:需要連接的服務器C的IP地址
遠程主機端口:1024-65535都可;
4)保持上面那個會話的連接,再新建一個會話連接本地的端口。
主機名:127.0.0.1(本地IP)
端口:上一個會話遠程映射到本地的端口
用戶名:服務器C的用戶名
5)重新連接這兩個會話窗口,通過第二個窗口即可以登陸到服務器C進行操作了
後話:假如數據庫的服務器也需要通過堡壘機連接時,堡壘機的設置方法同上123,一定要保持第一個會話窗口不要關閉,然後再配置數據庫連接工具,IP爲本機的IP,端口爲映射到本機的端口。
5)重新連接這兩個會話窗口,通過第二個窗口即可以登陸到服務器C進行操作了
後話:假如數據庫的服務器也需要通過堡壘機連接時,堡壘機的設置方法同上123,一定要保持第一個會話窗口不要關閉,然後再配置數據庫連接工具,IP爲本機的IP,端口爲映射到本機的端口。