基于主備模式的堡壘機網(wǎng)絡(luò)架構(gòu)①

龔文濤, 郎穎瑩

1(中國石油大學(xué)(華東) 信息化建設(shè)處,青島 266580)

2(中國石油大學(xué)(華東) 教育發(fā)展中心,青島 266580)

伴隨網(wǎng)絡(luò)信息科技的突飛猛進發(fā)展,信息網(wǎng)絡(luò)安全等級保護制度[1]的日益被社會的各個企事業(yè)單位重視和落實,針對企事業(yè)單位內(nèi)部的局域網(wǎng)絡(luò)中存在的各種安全性問題[2],有諸多企事業(yè)單位采取諸多先進的信息科技管理理念和技術(shù)來加強單位的網(wǎng)絡(luò)安全管理[3]. 針對高校來說,需要防護和保護的系統(tǒng)眾多,包括學(xué)校主頁、教務(wù)系統(tǒng)、財務(wù)系統(tǒng)、人事系統(tǒng)、資產(chǎn)設(shè)備管理系統(tǒng)、圖書管理系統(tǒng)、檔案管理系統(tǒng)等諸多業(yè)務(wù)應(yīng)用系統(tǒng)[4].

除開保護這些信息系統(tǒng)本身之外,還需對各個負責(zé)應(yīng)用信息系統(tǒng)運維二級單位的網(wǎng)絡(luò)系統(tǒng)管理員和相配套的公司技術(shù)人員加強管理. 堡壘機[5]作為其中一種重要的技術(shù)手段和解決方案,能夠較好滿足企事業(yè)單位內(nèi)部各個安全維度的安全管理需求.

堡壘機[6],又稱之為訪問控制網(wǎng)關(guān),其主要是用來防護特定區(qū)域網(wǎng)絡(luò)內(nèi)的網(wǎng)絡(luò)信息系統(tǒng)的一種設(shè)備,堡壘機主要是保護兩個層面,一個是外部的用戶訪問入侵和惡意破壞,另一個層面是防護內(nèi)部用戶對網(wǎng)絡(luò)信息資源的訪問入侵和惡意破壞,依托多種技術(shù)措施和手段來實時監(jiān)控和搜集堡壘機防護范圍內(nèi)的網(wǎng)絡(luò)環(huán)境下的每個組成元素的使用狀況、系統(tǒng)實況、操作流程、網(wǎng)絡(luò)時間、網(wǎng)絡(luò)行為等,為網(wǎng)絡(luò)信息化建設(shè)者和網(wǎng)絡(luò)安全管理人員提供行為審計、操作備案,以便后期的規(guī)范管理.

堡壘機的分類多種多樣,從功能角度看,堡壘機主要具備如下兩個功能[4-6]：

(1) 安全設(shè)計管理和控制功能： 依托堡壘機能夠起到一定的安全審計功能,包括事前防御、事中預(yù)警的各種有效風(fēng)險控制策略,也是事后追溯偶的重要證據(jù)源頭.

(2) 核心系統(tǒng)運維管理功能： 通過切斷和阻隔普通終端用戶對核心網(wǎng)絡(luò)信息系統(tǒng)和服務(wù)器的直接訪問,而是需要首先登錄堡壘機,再依托堡壘機登錄和管理其他的服務(wù)器,終端用戶會依托協(xié)議代理的模式協(xié)助終端用對核心網(wǎng)絡(luò)信息系統(tǒng)和服務(wù)器的訪問和操作.

1 堡壘機技術(shù)原理和功能分析

1.1 網(wǎng)絡(luò)信息資源監(jiān)管問題分析

伴隨網(wǎng)絡(luò)信息技術(shù)的日益深入應(yīng)用,各種網(wǎng)絡(luò)信息系統(tǒng)越來越多,園區(qū)網(wǎng)的規(guī)模越來越大,數(shù)量 越來越多,數(shù)量龐大和業(yè)務(wù)繁雜的網(wǎng)絡(luò)信息系統(tǒng)為園區(qū)網(wǎng)的網(wǎng)絡(luò)建設(shè)者和網(wǎng)絡(luò)安全管理員帶來各種如下的壓力和風(fēng)險：

(1) 多個用戶使用同一套賬號和密碼： 系統(tǒng)構(gòu)建之處,因為業(yè)務(wù)部署需要和人力資源有限,僅有的系統(tǒng)超級管理員賬號唯一,而需要使用的運維管理用戶眾多,使得這些管理員共同這一套超級管理員的賬號和密碼,使得后期監(jiān)管出現(xiàn)真空地帶,沒法對賬號的具體使用人員進行限定和控制,進而存在實名認證不嚴的風(fēng)險.

(2) 一個用戶使用多套賬號和密碼： 因為信息系統(tǒng)規(guī)模大、數(shù)量多,而運維的人員有限,有的用戶需要身兼數(shù)職,包括系統(tǒng)管理員、運維員、安全管理員、審計員、數(shù)據(jù)庫操作員等多重身份和角色重疊,需要從多套網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)信息系統(tǒng)之間多重的切換,增加管理員的記憶負擔(dān),并降低工作效率,并帶來多套用戶和密碼的泄露隱患.

(3) 缺乏統(tǒng)一標準化的授權(quán)管理系統(tǒng)： 業(yè)務(wù)的眾多帶來的就是管理環(huán)節(jié)和業(yè)務(wù)操作次數(shù)頻繁,使得權(quán)限分配難度加大,難以做到精細化的管理控制,對核心的業(yè)務(wù)系統(tǒng)只能實現(xiàn)粗放似管理,難以對某一個用戶對某一個系統(tǒng)的某一項操作做到細粒度的訪問控制授權(quán).

(4) 無法做到訪問控制內(nèi)容審計： 傳統(tǒng)的網(wǎng)絡(luò)安全審計設(shè)備無法對用戶常見的SSH和RDP等加密和圖形化的操作協(xié)議執(zhí)行內(nèi)容審計操作,使得各項核心的主要操作無據(jù)可查,對核心信息系統(tǒng)的管理帶來巨大的風(fēng)險和隱患.

1.2 堡壘機技術(shù)原理分析

“堡壘”寓意一般是用于防守的堅固建筑物或形容難于攻破的物體,“堡壘機”則寓意為專門預(yù)防攻擊而設(shè)定的主機,通過將用于堡壘防護用的主機安全加固后,使其足以防御一般,網(wǎng)絡(luò)攻擊,并將其布設(shè)在核心網(wǎng)絡(luò)信息資源的前端,使其作為堅強的“堡壘”,在提供正常服務(wù)前提下,確保其防護的資源安全.

結(jié)合堡壘機的概念和應(yīng)用需求分析,堡壘機實現(xiàn)的技術(shù)原理一般如下： 堡壘機需要搜集和保存運維人員對核心網(wǎng)絡(luò)資源的操作行為,分析其操作內(nèi)容來實現(xiàn)精細化的權(quán)限控制和后臺操作行為審計,一般堡壘機還可以通過代理技術(shù)完成堡壘機如下管理機制：

首先是運維員登錄和連接到堡壘機,并向堡壘機提出操作申請; 其次是堡壘機通過核驗操作員的身份和權(quán)限之后,依托堡壘機自備的代理模塊將替用戶連接到核心的網(wǎng)絡(luò)信息資源,并提供操作平臺; 最后,核心網(wǎng)絡(luò)信息資源將操作結(jié)果反饋給堡壘機,操作完成.

依托堡壘機管理機制,完成了邏輯上面運維管理人員和核心網(wǎng)絡(luò)信息資源的分離,構(gòu)建基于網(wǎng)絡(luò)管理員、堡壘機賬號、授權(quán)訪問控制、目標設(shè)備的管理機制,解決圖形協(xié)議和加密協(xié)議無法通過協(xié)議還原審計的難題.

1.3 堡壘機核心功能概述

堡壘機的核心功能很多,有代表性的主要體現(xiàn)在如下方面：

(1) 支持賬號和權(quán)限的細粒度管理,對賬號能夠配置詳細和精確的訪問控制策略,對網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備、主機設(shè)備及安全賬號之間進行集中管理和細粒度關(guān)聯(lián),使得用戶與系統(tǒng)和操作之間做到一一對應(yīng),以滿足細粒度訪問控制授權(quán)的安全需求.

(2) 支持用戶運維全生命周期的操作審計,用戶依托賬號登入堡壘機后,能夠借助堡壘機管理平臺,登入管理員分配給他的網(wǎng)絡(luò)信息系統(tǒng)資源,配置相關(guān)的協(xié)議要求,實現(xiàn)核心服務(wù)器資源的訪問控制,這個訪問控制過程將被堡壘機全生命周期記錄和備案.

(3) 靈活的資源授權(quán)管理： 堡壘機為設(shè)備提供各種靈活的細粒度資源管理功能,包括對服務(wù)器資源的對象IP、操作協(xié)議類型、協(xié)議端口進行設(shè)定,并且依據(jù)對賬號的IP限制和賬號有效期的設(shè)定,可以實現(xiàn)對訪問控制主體的靈活控制,確保訪問控制中網(wǎng)絡(luò)信息系統(tǒng)的安全.

2 基于主備模式的堡壘機網(wǎng)絡(luò)架構(gòu)

2.1 基于主備模式的堡壘機網(wǎng)絡(luò)架構(gòu)設(shè)計

常見的單機堡壘機部署適合小規(guī)模的園區(qū)網(wǎng),主要網(wǎng)絡(luò)架構(gòu)包括堡壘機單機一臺、園區(qū)網(wǎng)核心、用戶及服務(wù)器區(qū). 這種布局模式適應(yīng)用戶規(guī)模小、服務(wù)器數(shù)量少的應(yīng)用場景,對堡壘機的雙機冗余與服務(wù)連續(xù)性要求不高,這種網(wǎng)絡(luò)架構(gòu)部署的優(yōu)點是成本低,部署快,對網(wǎng)絡(luò)架構(gòu)影響小,不足之處是存在單點故障.

針對較大規(guī)模的園區(qū)網(wǎng)安全需求,基于單點模式下堡壘機網(wǎng)絡(luò)架構(gòu)的無法滿足,故此,需要部署基于主機、備用機等雙機模式和冗余網(wǎng)絡(luò)架構(gòu). 以某高校為例,經(jīng)過多年的信息化建設(shè),已建成五百余臺服務(wù)器,且已建成獨立初具規(guī)模的數(shù)據(jù)中心,但是存在運維人員規(guī)模大、對堡壘機實時性服務(wù)和持續(xù)性服務(wù)要求高等部署需求,故此需要部署雙機模式.

結(jié)合主備模式堡壘機網(wǎng)絡(luò)架構(gòu)部署要求,考慮到有數(shù)據(jù)中心、學(xué)校核心、應(yīng)用防火墻等要素,特此設(shè)計主備模式堡壘機網(wǎng)絡(luò)架構(gòu),如圖1所示.

圖1 基于主備模式的堡壘機構(gòu)拓撲圖

堡壘機位于數(shù)據(jù)中心轄區(qū)內(nèi),與需要保護的機器路由可達,并無縫銜接到現(xiàn)有的WEB應(yīng)用防火墻WAF的防護體系之內(nèi),故此,需要將堡壘機的網(wǎng)絡(luò)架構(gòu)嵌套應(yīng)用防火墻之內(nèi),為數(shù)據(jù)中心和外界網(wǎng)絡(luò)構(gòu)筑安全防護框架,所有途徑堡壘機的流量需要經(jīng)過WAF進行分析和保護,提升堡壘機的安全防護水平.

堡壘機雙機的配置,最好是配置專屬的單獨局域網(wǎng),從數(shù)量層面來說,部署基于冗余主、備的堡壘機系統(tǒng)至少需要三個IP地址資源,以此來配置主機IP、備機IP、浮動IP. 主機IP和備機IP需要配置之前確保IP接入交換機分配的端口和Vlan配置正確,且需要保證IP地址資源沒有被占用.

2.2 基于主備模式的堡壘機網(wǎng)絡(luò)配置分析

基于主備模式堡壘機主要部署在數(shù)據(jù)中心下,但是需要通過學(xué)校核心和數(shù)據(jù)中心之間的應(yīng)用防火墻之中,故此,主要的配置步驟需要一方面在學(xué)校核心上配置靜態(tài)路由,一邊需要在數(shù)據(jù)中心層面配置策略路由,并要考慮冗余. 數(shù)據(jù)中心包括核心1和核心2,網(wǎng)絡(luò)配置如下：

在數(shù)據(jù)中心1上配置堡壘機網(wǎng)絡(luò)：

在數(shù)據(jù)中心2上配置堡壘機網(wǎng)絡(luò)：

學(xué)校核心需要為堡壘機的三個核心IP配置靜態(tài)路由,主機IP為10.10.110.1; 備機IP為10.10.110.2;虛擬IP為10.10.110.3,第一IP的靜態(tài)路由配置如下：

2.3 基于主備模式的堡壘機操作權(quán)限設(shè)計

堡壘機操作的角色分類包括3類： 堡壘機審計員、堡壘機操作員、堡壘機系統(tǒng)管理員,各個操作角色定位如下：

堡壘機審計員： 記錄和審計各個堡壘機中操作的日志,確保對堡壘機所有的操作有記錄并可追溯.

堡壘機操作員： 堡壘機操作員依據(jù)堡壘機管理員給其分配的網(wǎng)絡(luò)信息系統(tǒng)資源進行運維管理,確保在堡壘機防護體系下對網(wǎng)絡(luò)信息系統(tǒng)按照要求和規(guī)則運維,確保業(yè)務(wù)是在堡壘機的監(jiān)管范圍內(nèi).

堡壘機系統(tǒng)管理員： 堡壘機系統(tǒng)管理主要有如下幾個核心功能,一個是對堡壘機操作員的管理,包括新增、刪除、修改所有操作員的屬性.

綜上所述,在堡壘機操作的角色分類之中,權(quán)限最復(fù)雜和應(yīng)用最廣泛的就是堡壘機系統(tǒng)管理員,其還可以對操作資源進行管理,包括新增網(wǎng)絡(luò)信息系統(tǒng)資源,并且對其中的操作方式和協(xié)議進行配置,比如對Windows操作系統(tǒng)來說,主要是配置其遠程桌面協(xié)議(RDP,Remote Desktop Protocol),RDP協(xié)議是一個多通道(multi-channel)的協(xié)議,能夠為堡壘機提供遠程桌面服務(wù). 對Linux操作系統(tǒng)來說,主要是配置其Secure Shell服務(wù),簡稱SSH協(xié)議,其由IETF(互聯(lián)網(wǎng)工程任務(wù)組,Internet Engineering Task Force)的網(wǎng)絡(luò)小組(Network Working Group)所制定,SSH為建立在應(yīng)用層基礎(chǔ)上的安全協(xié)議,能夠為Linux類操作系統(tǒng)提供操作和管理Linux系統(tǒng)的相關(guān)服務(wù).

2.4 基于主備模式的堡壘機測試案例

測試案例一. 堡壘機的對操作行為的審計功能測試. 通過堡壘機的審計功能模塊,能夠方便對近期操作的堡壘機行為審計展示和追溯,如圖2所示,能方便展示出堡壘機操作員的登錄時間、登錄ip地址、登錄的資源、操作的策略等元素信息,較好解決網(wǎng)絡(luò)信息安全的監(jiān)管不到位的問題,方便對堡壘機的行為審計.

測試案例二. 堡壘機單機故障.

測試過程： 假設(shè)一臺堡壘機出現(xiàn)故障,網(wǎng)絡(luò)不通,業(yè)務(wù)不通,交替測試的結(jié)果顯示,另一臺工作正常,并不影響堡壘機的整體業(yè)務(wù),足以證實其主備機的穩(wěn)定.

主備堡壘機單點故障時到虛IP的網(wǎng)絡(luò)測試如下：C：Usersadministrator>tracert 10.10.110.3

通過最多 30 個躍點跟蹤：

到baoleiji [10.10.110.3] 的路由：

通過tracert的網(wǎng)絡(luò)測試可驗證在單臺堡壘機出現(xiàn)故障時,虛IP的網(wǎng)絡(luò)一直暢通,業(yè)務(wù)不受影響.

圖2 堡壘機操作行為審計界面

3 總結(jié)

本文分析和總結(jié)了堡壘機相關(guān)的概念和功能定位,探討堡壘機的工作機理,對堡壘機增強高校園區(qū)網(wǎng)內(nèi)的各項有力措施進行分析和闡述,分析和討論基于單點的堡壘機架構(gòu)和基于主備的堡壘機架構(gòu)優(yōu)缺點,并對基于主機、備機的堡壘機網(wǎng)絡(luò)架構(gòu)進行設(shè)計和配置,給出基于冗余的堡壘機網(wǎng)絡(luò)架構(gòu)設(shè)計核心環(huán)節(jié),并給出數(shù)據(jù)中心、學(xué)校核心的配置代碼,最終分析和總結(jié)堡壘機中三種常見角色及角色功能定位.

1王棟,來風(fēng)剛,李靜. 數(shù)據(jù)中心IT運維審計體系研究. 電力信息化,2012,10(1)： 20-23.

2杜寧寧,趙慶亮. 淺談信息安全審計在金融行業(yè)的實踐. 中國內(nèi)部審計,2012,(4)： 66-68.

3蔡蔚. “互聯(lián)網(wǎng)+”時代網(wǎng)絡(luò)安全分析與管理策略研究. 信息安全與技術(shù),2015,(9)： 8-11.

4韓榮杰,于曉誼. 基于堡壘主機概念的運維審計系統(tǒng). 信息化建設(shè),2012,(1)： 56-59.

5鐘平,王會林. 高校網(wǎng)絡(luò)安全實驗室建設(shè)探索. 實驗室科學(xué),2010,13(1)： 122-124.

6洪允德,高強. 計算機網(wǎng)絡(luò)安全課程實驗教學(xué)探索. 中國教育技術(shù)裝備,2014,(22)： 146-148. [doi： 10.3969/j.issn.1671-489X.2014.22.146]