通过堡垒机连接内网服务器

最新推荐文章于 2024-03-16 16:49:01 发布
最新推荐文章于 2024-03-16 16:49:01 发布
阅读量3.5k 收藏 5
点赞数
文章标签: 运维 操作系统 git
原文链接:http://www.cnblogs.com/chenchen-tester/p/9679702.html
版权

堡垒机简要说明:

* 真正的服务器不允许 ssh 直接连接,需要通过堡垒机进行连接

* 堡垒机只允许建立隧道,不能登录系统

* 连接真实服务器的网络拓扑:

  1. SSH Client -> Castle (make local tunnel)

  2. SSh Client -> local tunnel -> Real Server

堡垒机主机信息:

主机: IP

端口: port

协议: SSH V2

Win10连接步骤:

准备条件:

  • 本地使用git生成私钥对,.ssh文件,然后把公钥发给有权限操作MFA认证的相关人员,进行MFA认证,得到secret key
  • 手机端下载authenticator,然后添加token

添加token如下图所示:

 

1、  安装xhsell,然后打开xshell,新建站点,在连接窗口,输入堡垒机IP、port

 

2、  进入用户身份验证页面,进行如下配置,连接方法选择 Public Key,用户名:堡垒机用户名,用户密钥:本地私钥(.ssh目录下的id_rsa,没有此文件的请先生成,Ps:生成后的公钥进行MFA认证)

  

3、  建立连接隧道,如图所示

 

 

4、  点击确定后,进行连接,弹出如下图弹窗,去手机端打开authenticator

 

输入随机生成的动态验证码,点击确定

5、  隧道建立成功,如下图所示

 

6、  隧道建好后,就可以开始连接内部服务器了,新建站点,设置代理

 

连接成功

 

转载于:https://www.cnblogs.com/chenchen-tester/p/9679702.html

weixin_34166472
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
客户通过堡垒连接内部服务器
Joyce
03-10 7533
通常情况下,当我们连接的时候为了保证安全性。通常会使用跳板(也称堡垒)。而跳板的OS一般会是windows,而电信会有一批堡垒是linux。当我们连接放在内上的oracle的时候,很多一部分人是直接去房接显示屏连接。下面主要介绍下客户通过堡垒连接内部服务器的过程。 通过跳板的桌面连接方法-端口转发 在有跳板B的情况下,从A访问C的桌面 主A:192.168.0.100
堡垒无法连接win2012R2或win10.docx
09-24
堡垒无法连接装有win10或win2012R2的虚拟服务器时,需要设置下windows配置。工作经验总结,希望能帮助络管理员们!
络安全概述(ppt-105页).pptx
06-09
双重宿主主体系结构是围绕双重宿主主构筑的。 双重宿主主至少有两个络接口,它位于内部络和外部络之间,这样的主可以充当与这些接口相连的络之间的路由器,它能从一个络接收IP数据包并将之发往另一络。然而实现双重宿主主的防火墙体系结构禁止这种发送功能,完全阻止了内外络之间的IP通信。 两个络之间的通信可通过应用层数据共享和应用层代理服务的方法实现。一般情况下采用代理服务的方法。 106 第7讲 保密通信(一) IPSec FW Page 1 1 防火墙概述 基本概念 关键技术 体系结构 络隔离 2 基本概念 防火墙概念 William Cheswick和Steve Beilovin(1994):防火墙是放置在两个络之间的一组组件,这组组件共同具有下列性质: 只允许本地安全策略授权的通信信息通过 双向通信信息必须通过防火墙 防火墙本身不会影响信息的流通 防火墙是位于两个信任程度不同的络之间(如企业内部络和Internet之间)的软件或硬件设备的组合,它对两个络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。 传统防火墙概念特指络层实现 3 防火墙缺陷 使用不便,认为防火墙给人虚假的安全感 对用户不完全透明,可能带来传输延迟、瓶颈及单点失效 不能替代墙内的安全措施 不能防范恶意的知情者 不能防范不通过它的连接 不能防范全新的威胁 不能有效地防范数据驱动式的攻击 当使用端-端加密时,其作用会受到很大的限制 4 关键技术 数据包过滤 依据事先设定的过滤规则,对所接收的每个数据包做允许拒绝的决定。 数据包过滤优点: 速度快,性能高 对用户透明 数据包过滤缺点: 维护比较困难(需要对TCP/IP了解) 安全性低(IP欺骗等) 不提供有用的日志,或根本就不提供 不防范数据驱动型攻击 不能根据状态信息进行控制 不能处理络层以上的信息 无法对络上流动的信息提供全面的控制 互连的物理介质 应用层 表示层 会话层 传输层 应用层 表示层 会话层 传输层 络层 数据链路层 物理层 络层 数据链路层 物理层 络层 数据链路层 物理层 5 NAT (Network Address Translation) 络地址转就是在防火墙上装一个合法IP地址集,然后 当内部某一用户要访问Internet时,防火墙动态地从地址集中选一个未分配的地址分配给该用户; 同时,对于内部的某些服务器如Web服务器络地址转换器允许为其分配一个固定的合法地址。 地址翻译主要用在两个方面: 络管理员希望隐藏内部络的IP地址。这样互联上的主无法判断内部络的情况。 内部络的IP地址是无效的IP地址。 这种情况主要是因为现在的IP地址不够用,要申请到足够多的合法IP地址很难办到,因此需要翻译IP地址。 6 源IP 目的IP 10.0. 0.108 202.112. 108.50 源IP 目的IP 202.112. 108.3 202.112.108.50 源IP 目的IP 202.112. 108.50 202.112. 108.3 源IP 目的IP 202.112. 108.50 10.0. 0.108 防火墙关 7 应用层代理 关理解应用协议,可以实施更细粒度的访问控制 对每一类应用,都需要一个专门的代理 灵活性不够 客 户 服务器 发送请求 转发请求 请求响应 转发响应 8 体系结构 双宿主主体系 双重宿主主的特性: 安全至关重要(唯一通道),其用户口令控制安全是关键。 必须支持很多用户的访问(中转站),其性能非常重要。 缺点:双重宿主主是隔开内外络的唯一屏障,一旦它被入侵,内部络便向入侵者敞开大门。 Internet 防火墙 双重宿主主 内部络 …… 9 屏蔽主体系 屏蔽主体系结构由防火墙和内部络的堡垒承担安全责任。一般这种防火墙较简单,可能就是简单的路由器。 典型构成:包过滤路由器+堡垒。 包过滤路由器配置在内部和外部之间,保证外部系统对内部络的操作只能经过堡垒堡垒配置在内部络上,是外部络主连接到内部络主的桥梁,它需要拥有高等级的安全。 因特 10 屏蔽子体系 组成:屏蔽子体系结构在本质上与屏蔽主体系结构一样,但添加了额外的一层保护体系——周边络。堡垒位于周边络上,周边络和内部络被内部路由器分开。 周边络:一个防护层,在其上可放置一些信息服务器,它们是牺牲主,可能会受到攻击,因此又被称为非军事区(DMZ)。周边络的作用:即使堡垒被入侵者控制,它仍可消除对内部的侦听。例: netxray等的工作原理。 11 Internet 周边络 内部络 …… 外部路由器 堡垒
实战指南:使用XShell通过堡垒(跳板)连接服务器、数据库(完整版详解教程)
热门推荐
qq_46170664的博客
04-23 1万+
使用XShell通过堡垒(跳板)配置连接服务器、数据库。
堡垒/跳板连接服务器
最新发布
qq_63333972的博客
03-16 1343
实验中需要注意:1.如果配完IP地址以后,一直掉线,可能是IP地址冲突了,可以通过另外一台正常的设备去arping一下,查看具体情况,但是要注意IP地址配置一定要符合规定2.如果加固ssh服务的时候,重启失败可能是因为SElinux没有关闭,可以重新检查关闭SElinux3.如果堡垒连不上,可能是sshd服务没有开启成功,或者是firewalld没有关闭,iptables规则链不正确,通过查看iptables规则链情况和防火墙开启DNAT和SNAT服务的脚本,注意端口和协议一定不要出错。
localtunnel实现内穿透
weaJung的博客
05-09 1721
1. 内穿透是什么? 对于前端领域的同学来说,指在公上访问到部署在本地的服务器上的项目。 应用场景:前端同学在公司内部署了一个项目,老板在外出差想访问我在本地的一个项目,这时候百年可使用内穿透,使用公访问本地启动的服务。 2. 工具localtunnel 生成唯一可在公访问的url,该url会代理本地运行的web服务请求,localtunnel是部署在国外的,访问比较满。 优势:部署方便,不需要部署测试环境,为了方便向世界暴露你的项目,而且修改起来也是很方便。 3.使用方法 全局安装localt
堡垒ssh通道常驻【现连数据库】
Rocky|Think
06-17 2131
场景 为了数据安全,大多数据库不对外开放,本地器如果需要连接数据库,基本都是通过ssh通道的方式来连接。 基本原理是这样的: 你工作的电脑(客户端),是在一个外环境下我们计作【A】好了; 数据库【比方说是mysql】所在的服务器在一个内环境下(或者只有内才能连接),我们计作【B】; 堡垒和数据库在同一个内,但可以通过外访问,计作【C】; 我们通过Navicat或是datagrip等客户端访问数据库的时候 过程是这样的: 1、A会先通过ssh来连接C(一般是22端口); 2、A告诉C,让C来访
通过Xshell连接有跳板/堡垒服务器
博哥的二进制世界
06-10 7716
通过Xshell连接有跳板/堡垒服务器
jumpserver配置+公服务器经过堡垒管理内中的服务
qq_57377057的博客
08-28 4024
jumpserver具体配置 jumpserver是一款非常强大的软件,可以保证后端服务器的安全,难点主要在部署jumpserver中,后续的配置也比较绕,理清思路就能很快熟练运用。
前端简单易操作的内穿透工具localtunnel
SUperstarkd的博客
04-22 1965
生成唯一可在公访问的url,该url会代理本地运行的web服务请求,localtunnel是部署在国外的,访问比较慢。优势:部署方便,不需要部署测试环境,为了方便向世界暴露你的项目,而且修改起来也是很方便。
络安全-应用设计题.doc
06-09
服务器配置:分成外部服务器与内部一级、二级服务器,将内部服务器设置高安全系数,外 部服务器仅作为站的外围措施的存放进行进行简单设置。之后把一级服务器与外部服 务器连接实现存储重要数据。 二级服务器作为...
防火墙-实验报告.doc
03-11
防火墙体系结构 屏蔽主防火墙体系结构:在该结构中,分组过滤路由器或防火墙与 Internet 相连,同时一个堡垒安装在内部络,通过在分组过滤路由器或防火墙上 过滤规则的设置,使堡垒成为 Internet 上其它...
络安全的关键技术有哪些.doc
06-09
防火墙产品主要有堡垒,包过滤路由器,应用层关(代理服务器)以及电路 层关,屏 蔽主防火墙,双宿主等类型. 虽然防火墙是保护络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过 防火墙 以外...
络安全保障措施.docx
06-09
防火墙产品主要有堡垒,包过滤路由器,应用层关代理服务器以及电路层关,屏蔽主防火墙,双宿主等类型. 病毒防护技术 病毒历来是信息系统安全的主要问题之一。由于络的广泛互联,病毒的传播途径和速度大大...
堡垒小记
weixin_45641605的博客
10-12 225
基于阿里云堡垒进行用户管理 阿里云Admin账号新增用户/ 授权有Admin信息的子账号进行操作 一、新建用户 阿里云----RAM用户管理中心—新增用户账号(对用户进行授权) 二、阿里云堡垒管理 在堡垒管理UI界面导入RAM新增的用户,导入堡垒管理系统中,此时只是添加了用户,需要在堡垒系统中授权用户管理的资源 三、用户登录堡垒 使用ssh的方式进行连接堡垒 发现无法连接,不显示堡垒的信息 排错: 发现在堡垒系统中没有ssh私钥信息 需要配置新增用户的私钥信息 使用ssh-keygen 生
JumpServer V3版本 第三方用户如何使用SSH协议登录堡垒
JiangLaoBi的博客
05-21 2749
(1)先登陆到堡垒页面,在账号的个人信息中点击重置并下载密钥,将密钥放在指定在英文目录下,因为终端连接的时候,要使用到密钥。(2)使用xshell登录,需要页面设置一下,在页面工具处点击用户密钥管理者,将第一步获取的密钥输入。(1)使用本地的终端登录,如果账号设置了MFA。登录的时候会要求输入。点击重置并下载密钥后,名称应自动刷新出来,如果没出来,多点击几次。(1)ssh-keygen -t rsa (终端生成密钥对)将获取的公钥放至页面处ssh公钥里。点击用户密钥导入对用用户的密钥登录。
Linux局域内,使用堡垒中的运维账号推送公钥到可以ping通的所有器上,实现ssh免密登录
倔强的踩坑小白
12-05 916
前提:主ip和密码文件已经提供,并且ip和密码保证正确,格式如下: 192.168.107.182:123456 192.168.107.183:123456 192.168.107.184:123456 Linux局域内,使用运维账号推送公钥,实现ssh免密登录,本文实现方案分为两个步骤: 1、堡垒管理员(root)账号,创建运维用户(我这里命名为master),安装expect...
堡垒上内 socket 访问端口
qq_40813329的博客
03-14 2477
堡垒 即在一个特定的络环境下,为了保障络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控络环境中每一个组成部分的系统状态、安全事件、络活动,以便集中报警、及时处理及审计定责。 也把堡垒称为跳板,简易的跳板功能简单,核心功能是远程登录服务器和日志审计,但堡垒还有资产管理(CMDB)、监控及用户权限等功能。 目前比较优秀的开源软件有Jumpserver、Teleport、GateOne、CrazyEye等;商业的堡垒功能更为强大,有齐治、Citrix XenApp等
阿里云服务器连接服务器
08-19
********* NAT关:如果您的内服务器没有公IP,您可以通过阿里云的NAT关服务将阿里云服务器与内服务器进行连接。NAT关允许内服务器通过共享的公IP地址访问互联,并提供了安全的数据传输。 3. 专线接入:如果您有大量的数据需要在阿里云服务器和内服务器之间传输,可以考虑使用阿里云的专线接入服务。专线接入提供了高速、稳定的连接,可以满足对数据传输速度和安全性有较高要求的场景。 请根据您的具体需求选择适合的方法来连接阿里云服务器和内服务器。如果需要更详细的操作步骤,您可以参考阿里云官方文档或咨询阿里云客服。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值