堡垒机工作原理

1 前言

运维堡垒机，主要功能为认证、授权、审计，而各厂商又略有不同，麒麟开源堡垒机是一套完整的开源堡垒机系统，具有通用商业堡垒机所有功能模块，安装方便，使用简单，整体性能、易用性都与商业硬件堡垒机完全一样。

2 麒麟开源堡垒机的概念和种类

堡垒机从使用拓朴上说，分为二种

2.1 网关型堡垒机

一般采用二层透明桥方式接入网络，一般拓朴位置在运维用户前方，运维用户做运维时，流量通过网关堡垒机，堡垒机对用户的操作进行审计。这种堡垒机在2012年前在国外的一些厂商曾经这样设计，国内厂商很少有这样设计。

因为这种堡垒机上线需要修改网络拓朴，并且难实现SSO、应用发布等功能，因此，目前已经非常少见，市场占有率不到1%。

2.2 运维审计型堡垒机

目前通用堡垒机为旁路接入模式，物理上旁路、逻辑上串行，用户想要运维时，必须通过堡垒机进行跳转登录。这种堡垒机为通用模式，因为不修改网络拓朴并且可以实现SSO、应用发布等多种功能，已经成为国内堡垒机的主流模式。

麒麟开源堡垒机采用这种模式开发设计

3 麒麟开源堡垒机工作原理

3.1 麒麟开源堡垒机设计原理

麒麟开源堡垒机对于运维操作人员相当于一台代理服务器（Proxy Server），其工作流程如下图所示：

图1. 堡垒机工作流程示意图

1） 运维人员在操作过程中首先连接到堡垒机，然后向堡垒机提交操作请求；

2） 该请求通过堡垒机的权限检查后，堡垒机的应用代理模块将代替用户连接到目标设备完成该操作，之后目标设备将操作结果返回给堡垒机，最后堡垒机再将操作结果返回给运维操作人员。

通过这种方式，堡垒机逻辑上将运维人员与目标设备隔离开来，建立了从“运维人员->堡垒机用户账号->授权->目标设备账号->目标设备”的管理模式，解决操作权限控制和行为审计问题的同时，也解决了加密协议和图形协议等无法通过协议还原进行审计的问题。

3.2 麒麟开源堡垒机工作原理

麒麟开源堡垒机工作原理示意图如下：

图2. 堡垒机工作原理示意图

在实际使用场景中堡垒机的使用人员通常可分为管理人员、运维操作人员、审计人员三类用户。

管理员最重要的职责是根据相应的安全策略和运维人员应有的操作权限来配置堡垒机的安全策略。堡垒机管理员登录堡垒机后，在堡垒机内部，“策略管理”组件负责与管理员进行交互，并将管理员输入的安全策略存储到堡垒机内部的策略配置库中。

“应用代理”组件是堡垒机的核心，负责中转运维操作用户的操作并与堡垒机内部其他组件进行交互。“应用代理”组件收到运维人员的操作请求后调用“策略管理”组件对该操作行为进行核查，核查依据便是管理员已经配置好的策略配置库，如此次操作不符合安全策略“应用代理”组件将拒绝该操作行为的执行。

运维人员的操作行为通过“策略管理”组件的核查之后“应用代理”组件则代替运维人员连接目标设备完成相应操作，并将操作返回结果返回给对应的运维操作人员；同时此次操作过程被提交给堡垒机内部的“审计模块”，然后此次操作过程被记录到审计日志数据库中。

最后当需要调查运维人员的历史操作记录时，由审计员登录堡垒机进行查询，然后“审计模块”从审计日志数据库中读取相应日志记录并展示在审计员交互界面上。