麒麟開源堡壘機工做原理

1 前言

運維堡壘機，主要功能爲認證、受權、審計，而各廠商又略有不一樣，麒麟開源堡壘機是一套完整的開源堡壘機系統，具備通用商業堡壘機全部功能模塊，安裝方便，使用簡單，總體性能、易用性都與商業硬件堡壘機徹底同樣。

2 堡壘機的概念和種類

堡壘機從使用拓樸上說，分爲網關型堡壘機和運維審計堡壘機二種，下面對這二種堡壘機進行說明。

2.1 網關型堡壘機

通常採用二層透明橋方式接入網絡，通常拓樸位置在運維用戶前方，運維用戶作運維時,流量經過網關堡壘機，堡壘機對用戶的操做進行審計。這種堡壘機在2012年前在國外的一些廠商曾經這樣設計，國內廠商不多有這樣設計。
由於這種堡壘機上線須要修改網絡拓樸，而且難實現SSO、應用發佈等功能，所以，目前已經很是少見，市場佔有率不到1%。

2.2 運維審計型堡壘機

目前通用堡壘機爲旁路接入模式，物理上旁路、邏輯上串行，用戶想要運維時，必須經過堡壘機進行跳轉登陸。這種堡壘機爲通用模式，由於不修改網絡拓樸而且能夠實現SSO、應用發佈等多種功能，已經成爲國內堡壘機的主流模式。
麒麟開源堡壘機採用這種模式開發設計

3 麒麟開源堡壘機工做原理

3.1 麒麟開源堡壘機設計原理

麒麟開源堡壘機對於運維操做人員至關於一臺代理服務器（Proxy Server），其工做流程以下圖所示：

1） 運維人員在操做過程當中首先鏈接到堡壘機，而後向堡壘機提交操做請求；
2） 該請求經過堡壘機的權限檢查後，堡壘機的應用代理模塊將代替用戶鏈接到目標設備完成該操做，以後目標設備將操做結果返回給堡壘機，最後堡壘機再將操做結果返回給運維操做人員。

經過這種方式，堡壘機邏輯上將運維人員與目標設備隔離開來，創建了從「運維人員->堡壘機用戶帳號->受權->目標設備帳號->目標設備」的管理模式，解決操做權限控制和行爲審計問題的同時，也解決了加密協議和圖形協議等沒法經過協議還原進行審計的問題。

3.2 麒麟開源堡壘機工做原理

麒麟開源堡壘機工做原理示意圖以下：

使用場景中堡壘機的使用人員一般可分爲管理人員、運維操做人員、審計人員三類用戶。管理員最重要的職責是根據相應的安全策略和運維人員應有的操做權限來配置堡壘機的安全策略。堡壘機管理員登陸堡壘機後，在堡壘機內部，「策略管理」組件負責與管理員進行交互，並將管理員輸入的安全策略存儲到堡壘機內部的策略配置庫中。
「應用代理」組件是堡壘機的核心，負責中轉運維操做用戶的操做並與堡壘機內部其餘組件進行交互。「應用代理」組件收到運維人員的操做請求後調用「策略管理」組件對該操做行爲進行覈查，覈查依據即是管理員已經配置好的策略配置庫，如這次操做不符合安全策略「應用代理」組件將拒絕該操做行爲的執行。
運維人員的操做行爲經過「策略管理」組件的核查以後「應用代理」組件則代替運維人員鏈接目標設備完成相應操做，並將操做返回結果返回給對應的運維操做人員；同時這次操做過程被提交給堡壘機內部的「審計模塊」，而後這次操做過程被記錄到審計日誌數據庫中。
最後當須要調查運維人員的歷史操做記錄時，由審計員登陸堡壘機進行查詢，而後「審計模塊」從審計日誌數據庫中讀取相應日誌記錄並展現在審計員交互界面上。