1) 运维人员在操作过程中首先连接到堡垒机,然后向堡垒机提交操作请求;
2) 该请求通过堡垒机的权限检查后,堡垒机的应用代理模块将代替用户连接到目标设备完成该操作,之后目标设备将操作结果返回给堡垒机,最后堡垒机再将操作结果返回给运维操作人员。
通过这种方式,堡垒机逻辑上将运维人员与目标设备隔离开来,建立了从“运维人员->堡垒机用户账号->授权->目标设备账号->目标设备”的管理模式,解决操作权限控制和行为审计问题的同时,也解决了加密协议和图形协议等无法通过协议还原进行审计的问题
详细配置步骤:
场景:
A是我本人使用的电脑
B是一台Linux堡垒机(IP:10.30.2.202;账户为:root1)
C是内网生产环境的一台Linux服务器(IP:192.168.1.103;账号为root2)
A可以访问到B,B可以访问到C,但是A不能直接访问到C,首先通过SecureCRT连接到跳板服务器上,再进行端口转发,将端口“映射”出来。
1) 新建一个会话,配置本机A到堡垒机B的连接(配置堡垒机B的IP,端口,用户名)
2)端口转发->添加
3)配置远程端口转发
名称:自定义;
本地端口:1024-65535都可;(将远程主机的端口映射到本地端口)
远程主机:需要连接的服务器C的IP地址
远程主机端口:1024-65535都可;
4)保持上面那个会话的连接,再新建一个会话连接本地的端口。
主机名:127.0.0.1(本地IP)
端口:上一个会话远程映射到本地的端口
用户名:服务器C的用户名
5)重新连接这两个会话窗口,通过第二个窗口即可以登陆到服务器C进行操作了
后话:假如数据库的服务器也需要通过堡垒机连接时,堡垒机的设置方法同上123,一定要保持第一个会话窗口不要关闭,然后再配置数据库连接工具,IP为本机的IP,端口为映射到本机的端口。
扫一扫
3106
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
