淺談SSL VPN和堡壘機在遠程技術運維中的應用

盧方建

摘 要：我院作為三級市級婦幼保健院，在信息系統的發展上緊跟時代的步伐，醫療主要的系統包括HIS、LIS、PACS、EMR、信息集成平臺、自助機和OA辦公自動化等，內外網采用網閘方式隔離，保障內部網絡安全。上線的系統越來越多，后期需要運維援助的情況也多，但很多系統廠家技術人員都不提供現場駐點辦公，甚至不在同一個城市，所以遠程運維援助就成了首選。這樣的操作是存在很大的安全隱患，結合我院實際情況，通過部署SSL VPN和堡壘機，為遠程運維援助提供安全通道，制定合理的解決方案。

關鍵詞：運維援助 SSL VPN 堡壘機

一、SSL VPN

（一）SSL VPN是什么

SSL VPN，全稱Secure Socket Layer Virtual Private Network，即加密套接字協議層虛擬專用網絡，指的是用戶利用瀏覽器內置的SSL封包處理功能，用瀏覽器通過SSL VPN網關連接到單位內部部署的SSL VPN服務器，通過網絡封包轉向的方式，讓用戶可以在遠程計算機執行應用程序，讀取單位內部服務器數據和信息。它采用標準的安全套接層SSL對傳輸中的數據包進行加密，從而在應用層保護了數據的安全性。

（二）SSL VPN的工作原理

1.SSL協議

SSL協議主要由SSL記錄協議和SSL握手協議組成，兩協議為應用訪問連接提供認證、加密和防篡改功能。第一層SSL記錄協議是為數據的傳輸提供數據壓縮、加密等功能;第二層SSL握手協議用于進行身份驗證登錄，如檢測用戶的賬號密碼是否正確等。

2.VPN技術

VPN是為支持外部網絡訪問內部網絡的應用，進行用戶身份驗證、客戶端設備的安全性、訪問后清除客戶端緩存、服務器端日志跟蹤，保證傳輸過程安全，提高系統安全性。

二、堡壘機

（一）堡壘機是什么

堡壘機，又稱安全運維審計系統，是在一個特定的網絡環境下，為了保障網絡和數據不受入侵和攻擊而采取各種技術手段監控和記錄運維人員對服務器、網絡設備、安全設備、數據庫、日志等的操作行為，方便集中報警處理和審計定責的系統。

（二）堡壘機的功能

堡壘機包含核心系統運維和安全審計管控兩大功能，從技術實現上講，通過切斷終端計算機對網絡和服務器資源的直接訪問，而采用協議代理的方式，接管了終端計算機對網絡和服務器的訪問。

1.登錄功能：支持對數據庫、網絡設備、安全設備等一系列授權賬號進行密碼的自動化周期更改，提高密碼管理水平，讓使用者不用記住大量系統密碼，就可實現自動登錄目標設備。

2.賬號管理：設備能做到統一賬戶管理策略，可實現對所有服務器、網絡設備、安全設備等賬號的集中管理，監控賬號整個生命周期，對設備進行個性化角色設置，滿足審計需求。

3.身份認證：設備提供統一的對用戶進行認證接口，支持動態口令、靜態密碼、硬件key、生物特征等多種身份認證模式，可靈活的定制接口，還可與第三方認證服務器之間結合;安全的認證模式，有效提高了認證的安全性。

4.資源授權：設備提供基于用戶、目標設備、時間、協議類型IP、行為等要素實現細粒度的操作授權，最大限度保護用戶資源的安全

5.訪問控制：設備支持細粒度的訪問控制能夠最大限度地保護用戶資源的安全，對不同用戶進行不同策略的制定，嚴防非法、越權訪問事件的發生。

6.操作審計：設備能夠對字符串、圖形、文件傳輸、數據庫等全程操作行為審計;通過設備錄像方式實時監控運維人員對操作系統、安全設備、網絡設備、數據庫等進行的各種操作，對違規行為進行事中控制;還可對終端指令信息進行精確搜索和錄像精確定位。

三、SSL VPN和堡壘機在遠程技術運維中的應用

（一）機房管理員

要實現遠程運維人員通過SSL VPN和堡壘機對內部服務器進行運維，機房管理員要根據實際情況對兩個系統進行設置。針對SSL VPN，要根據不同的系統運維人員分配不同的賬號，同時，堡壘機記錄該運維人員在服務器上的一切操作，如果有違法越權危險操作，會觸發警告機關，甚至中斷遠程操作。

（二）運維人員

遠程運維人員如果需要訪問服務器，首先訪問SSL VPN，在外網的瀏覽器上輸入SSL VPN的地址，通過輸入機房管理員授權的賬號和靜態密碼，進入SSL VPN，再選擇對應的服務器連接上去，就可對該服務器進行操作。如果需要對多臺相關服務器進行運維，要向機房管理員申請，通過添加授權的服務器，才能訪問多臺服務器。

（三）SSL VPN和堡壘機發揮的作用

SSL VPN開通了一條外網訪問進單位網絡的加密的專用通道，這個通道需要授權和口令才能使用;堡壘機是針對網絡使用者進來后對授權服務器的所有操作進行的審計，降低人為安全風險，保障單位利益。

四、結語

通過合理的分配VPN的賬號和堡壘機的授權，讓遠程運維既簡單又安全。

參考文獻

[1]余維萍.淺談虛擬專用網絡VPN的應用安全[J].數碼世界，2018（09）：156.