堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、记录、分析、处理的一种技术手段。
堡垒机工作流程:
1) 运维人员在操作过程中首先连接到堡垒机,然后向堡垒机提交操作请求;
2) 该请求通过堡垒机的权限检查后,堡垒机的应用代理模块将代替用户连接到目标设备完成该操作,之后目标设备将操作结果返回给堡垒机,最后堡垒机再将操作结果返回给运维操作人员。
通过这种方式,堡垒机逻辑上将运维人员与目标设备隔离开来,建立了从“运维人员->堡垒机用户账号->授权->目标设备账号->目标设备”的管理模式,解决操作权限控制和行为审计问题的同时,也解决了加密协议和图形协议等无法通过协议还原进行审计的问题。
详细配置步骤:
场景:
A是我本人使用的电脑
B是一台Linux堡垒机(IP:10.30.2.202;账户为:root1)
C是内网生产环境的一台Linux服务器(IP:192.168.1.103;账号为root2)
A可以访问到B,B可以访问到C,但是A不能直接访问到C,首先通过SecureCRT连接到跳板服务器上,再进行端口转发,将端口“映射”出来。
1) 新建一个会话,配置本机A到堡垒机B的连接(配置堡垒机B的IP,端口,用户名)
2)端口转发->添加
3)配置远程端口转发
名称:自定义;
本地端口:1024-65535都可;(将远程主机的端口映射到本地端口)
远程主机:需要连接的服务器C的IP地址
远程主机端口:1024-65535都可;
3)配置远程端口转发
名称:自定义;
本地端口:1024-65535都可;(将远程主机的端口映射到本地端口)
远程主机:需要连接的服务器C的IP地址
远程主机端口:1024-65535都可;
4)保持上面那个会话的连接,再新建一个会话连接本地的端口。
主机名:127.0.0.1(本地IP)
端口:上一个会话远程映射到本地的端口
用户名:服务器C的用户名
5)重新连接这两个会话窗口,通过第二个窗口即可以登陆到服务器C进行操作了
后话:假如数据库的服务器也需要通过堡垒机连接时,堡垒机的设置方法同上123,一定要保持第一个会话窗口不要关闭,然后再配置数据库连接工具,IP为本机的IP,端口为映射到本机的端口。
5)重新连接这两个会话窗口,通过第二个窗口即可以登陆到服务器C进行操作了
后话:假如数据库的服务器也需要通过堡垒机连接时,堡垒机的设置方法同上123,一定要保持第一个会话窗口不要关闭,然后再配置数据库连接工具,IP为本机的IP,端口为映射到本机的端口。
