服務(wù)器安全堡壘機(jī)原理

堡壘機(jī)原理是什么？從功能上講，堡壘機(jī)綜合了核心系統(tǒng)運(yùn)維和安全審計(jì)管控兩大主功能；從技術(shù)上講，通過切斷終端計(jì)算機(jī)對(duì)網(wǎng)絡(luò)和服務(wù)器資源的直接訪問，采用協(xié)議代理的方式，接管了終端計(jì)算機(jī)對(duì)網(wǎng)絡(luò)和服務(wù)器的訪問。

堡壘機(jī)登錄的原理

堡壘機(jī)實(shí)際上是旁路在網(wǎng)絡(luò)交換機(jī)節(jié)點(diǎn)上的硬件設(shè)備，實(shí)現(xiàn)運(yùn)維人員遠(yuǎn)程訪問維護(hù)服務(wù)器的跳板，即物理上并聯(lián)，邏輯上串聯(lián)。

簡單的說，服務(wù)器運(yùn)維人員原先是直接通過遠(yuǎn)程訪問技術(shù)進(jìn)行服務(wù)器維護(hù)和操作，這期間不免有一些誤操作或越權(quán)操作，而堡壘機(jī)作為遠(yuǎn)程運(yùn)維的跳板，使運(yùn)維人員間接通過堡壘機(jī)對(duì)遠(yuǎn)程服務(wù)運(yùn)維操作。

圖形界面操作的原理

堡壘機(jī)的核心技術(shù)實(shí)際上就是微軟的RDP協(xié)議，通過對(duì)RDP協(xié)議的解析，實(shí)現(xiàn)遠(yuǎn)程運(yùn)維操作的圖形審計(jì)。那圖形界面的操作是如何記錄下來的？

云堡壘機(jī)內(nèi)部也是Windows操作系統(tǒng)（有時(shí)候是Windows+Linux），客戶端RDP到堡壘機(jī)后，又再一次啟動(dòng)了新的RDP，這時(shí)堡壘機(jī)的windows桌面就是遠(yuǎn)程訪問服務(wù)器時(shí)的桌面，只需要把這時(shí)的桌面情況記錄下來就可以了。

字符操作審計(jì)的原理

如FTP，實(shí)際上堡壘機(jī)內(nèi)部內(nèi)置了FTP客戶端程序，也是客戶端主機(jī)先RDP到堡壘機(jī)，再由堡壘機(jī)啟動(dòng)FTP客戶端程序訪問遠(yuǎn)程服務(wù)器，這樣還是由堡壘機(jī)作為跳板，間接地把FTP命令傳送到服務(wù)器，并把服務(wù)器的響應(yīng)信息反饋給客戶端主機(jī)，中間的操作過程全都被記錄了下來。

遠(yuǎn)程視頻訪問的協(xié)議還有VNC，但由于VNC是一對(duì)一的訪問，即同一時(shí)間一個(gè)客戶端主機(jī)只能訪問一臺(tái)遠(yuǎn)程服務(wù)器，而RDP協(xié)議允許多個(gè)客戶端同時(shí)訪問同一個(gè)遠(yuǎn)程服務(wù)器，所以一般市場上的堡壘機(jī)廠商都是通過解析RDP協(xié)議實(shí)現(xiàn)運(yùn)維審計(jì)的。

以上是域名頻道對(duì)于堡壘機(jī)原理的整理介紹