麒麟开源堡垒机工做原理

1 前言

运维堡垒机，主要功能为认证、受权、审计，而各厂商又略有不一样，麒麟开源堡垒机是一套完整的开源堡垒机系统，具备通用商业堡垒机全部功能模块，安装方便，使用简单，总体性能、易用性都与商业硬件堡垒机彻底同样。

2 堡垒机的概念和种类

堡垒机从使用拓朴上说，分为网关型堡垒机和运维审计堡垒机二种，下面对这二种堡垒机进行说明。

2.1 网关型堡垒机

通常采用二层透明桥方式接入网络，通常拓朴位置在运维用户前方，运维用户作运维时,流量经过网关堡垒机，堡垒机对用户的操做进行审计。这种堡垒机在2012年前在国外的一些厂商曾经这样设计，国内厂商不多有这样设计。
由于这种堡垒机上线须要修改网络拓朴，而且难实现SSO、应用发布等功能，所以，目前已经很是少见，市场占有率不到1%。

2.2 运维审计型堡垒机

目前通用堡垒机为旁路接入模式，物理上旁路、逻辑上串行，用户想要运维时，必须经过堡垒机进行跳转登陆。这种堡垒机为通用模式，由于不修改网络拓朴而且能够实现SSO、应用发布等多种功能，已经成为国内堡垒机的主流模式。
麒麟开源堡垒机采用这种模式开发设计

3 麒麟开源堡垒机工做原理

3.1 麒麟开源堡垒机设计原理

麒麟开源堡垒机对于运维操做人员至关于一台代理服务器（Proxy Server），其工做流程以下图所示：

1） 运维人员在操做过程当中首先链接到堡垒机，而后向堡垒机提交操做请求；
2） 该请求经过堡垒机的权限检查后，堡垒机的应用代理模块将代替用户链接到目标设备完成该操做，以后目标设备将操做结果返回给堡垒机，最后堡垒机再将操做结果返回给运维操做人员。

经过这种方式，堡垒机逻辑上将运维人员与目标设备隔离开来，创建了从“运维人员->堡垒机用户帐号->受权->目标设备帐号->目标设备”的管理模式，解决操做权限控制和行为审计问题的同时，也解决了加密协议和图形协议等没法经过协议还原进行审计的问题。

3.2 麒麟开源堡垒机工做原理

麒麟开源堡垒机工做原理示意图以下：

使用场景中堡垒机的使用人员一般可分为管理人员、运维操做人员、审计人员三类用户。管理员最重要的职责是根据相应的安全策略和运维人员应有的操做权限来配置堡垒机的安全策略。堡垒机管理员登陆堡垒机后，在堡垒机内部，“策略管理”组件负责与管理员进行交互，并将管理员输入的安全策略存储到堡垒机内部的策略配置库中。
“应用代理”组件是堡垒机的核心，负责中转运维操做用户的操做并与堡垒机内部其余组件进行交互。“应用代理”组件收到运维人员的操做请求后调用“策略管理”组件对该操做行为进行核查，核查依据即是管理员已经配置好的策略配置库，如这次操做不符合安全策略“应用代理”组件将拒绝该操做行为的执行。
运维人员的操做行为经过“策略管理”组件的核查以后“应用代理”组件则代替运维人员链接目标设备完成相应操做，并将操做返回结果返回给对应的运维操做人员；同时这次操做过程被提交给堡垒机内部的“审计模块”，而后这次操做过程被记录到审计日志数据库中。
最后当须要调查运维人员的历史操做记录时，由审计员登陆堡垒机进行查询，而后“审计模块”从审计日志数据库中读取相应日志记录并展现在审计员交互界面上。