https://blog.csdn.net/jsj18700625723/article/details/131580238
https://blog.csdn.net/yangbindxj/article/details/125321568
堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。
堡垒机作用
-
安全:
MFA双重认证
服务器账号密码托管(不知道密码就不会丢失密码)
禁止危险命令
服务器唯一远程连接入口 -
审计:
操作命令记录
操作视频记录
上传文件下载文件记录
追溯的保障和事故分析的依据 -
资产管理:
账号管理
资产管理
资产可以批量操作
随时导出表格 弃用表格管理 -
权限管理:
权限细分到组
权限细分到个人
防止误操作和权限滥用
工作原理
运维人员在操作过程中首先连接到堡垒机,然后向堡垒机提交操作请求;
该请求通过堡垒机的权限检查后,堡垒机的应用代理模块将代替用户连接到目标设备完成该操作,之后目标设备将操作结果返回给堡垒机,最后堡垒机再将操作结果返回给运维操作人员。
通过这种方式,堡垒机逻辑上将运维人员与目标设备隔离开来,建立了从“运维人员->堡垒机用户账号->授权->目标设备账号->目标设备”
部署方式
单机部署(旁路部署)
堡垒机主要都是旁路部署,旁挂在交换机旁边,只要能访问所有设备即可
采用旁路部署、逻辑串联的部署方式,不改变用户网络结构,无需在服务器上安装插件;操作简单支持浏览器登录,支持用户端登录堡垒机;
双机热备
对外提供一个虚拟IP
主备自动切换,设备状态实时监测,主机宕机之后运维业务试试切换到备机,保证业务的连续性; 配置数据同步,配置数据同步更新.确保主机配置信息保持一致.避免备机切换时数据丢失;审计数据备份,运维日志定期同步.主机审计数据互为备份,避免主机宕机之后无法查看历史日志
负载均衡
整个集群对外提供一个虚拟IP地址
代理管理支持扩展协议代理服务器部署在各个合适的网络节点提供协议代理运维通道;运维负载运维用户登陆堡垒机后,智能分配运维代理通道,实现运维业务的负载均衡;统一管理多台负载均衡堡垒机实现界面统一管理,权限集中管控、审计数据集中存储和展示
堡垒机的常见运维方式
B/S运维:通过浏览器运维。
C/S运维:通过客户端软件运维,比如Xshell,CRT等。
H5运维:直接在网页上可以打开远程桌面,进行运维。无需安装本地运维工具,只要有浏览器就可以对常用协议进行运维操作,支持ssh、telnet、rlogin、rdp、vnc协议
网关运维:采用SSH网关方式,实现代理直接登录目标主机,适用于运维自动化场景。
堡垒机使用
开源堡垒机jumpserver
https://blog.csdn.net/2303_78436387/article/details/139115440