钟磊，杨明，梁业裕，宁建创

（中国移动通信集团广西有限公司，南宁 530022）

基于云桌面的分布式堡垒研究

钟磊，杨明，梁业裕，宁建创

（中国移动通信集团广西有限公司，南宁 530022）

本文通过分析现有堡垒机的应用实践和技术瓶颈，提出了在云桌面环境下的分布式云堡垒技术，阐述了分布式云堡垒的原理、设计方法和实际效果。以解决现有堡垒机计算资源消耗过大，延时严重的应用问题，并增强访问过程控制能力，细化日志审计粒度，增强企业内控水平。

云桌面；分布式堡垒；嵌入式代理

为保障IT资源远程运维管理方式的安全性，堡垒机技术被大量使用。在运营商应用中，现有堡垒机技术存在性能、过程控制命中率、日志审计粒度等诸多问题。

我们通过研究在云桌面环境下的分布式云堡垒技术，可有效解决现有堡垒机计算资源消耗过大，延时严重的应用问题，并增强访问过程控制能力，细化日志审计粒度，增强企业内控水平。

1 堡垒机应用现状分析

运营商网络规模庞大，远程运维和管理是最为高效的必然选择。为确保远程运维的安全，我省已构建4A平台，实现集中账号管理、授权管理、认证管理和审计管理，并已经得到全面的应用推广。在日常的运维操作过程中，运维人员都需要通过4A平台的集中接入通道——堡垒机连接到被管资源中进行维护操作。4A平台总体架构如图1所示。

图1 4A平台总体架构

在4A平台架构下，4A平台门户为用户访问提供前端Portal服务，堡垒主机则作为后端统一接入通道，为用户资源访问提供集中接入通道服务。根据技术形态，堡垒主机分为字符堡垒主机和图形堡垒主机两类，并相互结合使用。

字符堡垒主机：字符堡垒主机通过逻辑串行的方式部署在网络中，对命令行方式的访问操作（如通过Telnet、SSH等协议）进行协议代理和转发，对操作指令进行审计和过程控制。

图形堡垒主机：通过虚拟化发布技术对图形化操作工具（如pl_sql、toad、C/S应用客户端）进行集中发布，以图形录像方式对操作行为进行记录，同时还能够对维护的工具进行限制。

随着堡垒机的规模使用，在应用、性能、审计等方面存在一些问题，而这些问题一直无法得到有效解决，主要体现在以下几方面。

（1）图形堡垒提供客户端工具发布和访问服务，部分客户端工具需要消耗大量的CPU和内存，占用服务器资源过大，造成系统访问和操作响应缓慢。

（2）图形堡垒以图形录像方式对用户操作行为进行记录审计，图形录像日志不便于检索和关联分析，影响审计效果。

（3）字符堡垒主机支持的协议有限，仅支持SSH，Telnet等有限的协议，使用范围有限，不支持Oracle等私有协议解析和审计。

（4）基于堡垒主机实现的金库模式存在准确度不高，而且依赖维护工具的问题。

（5） 随着云桌面深入推广，云桌面系统和图形堡垒形成了两层虚拟化嵌套的结构，产生更大的操作延时。

鉴于以上问题，需要研究建立一套基于云桌面环境的堡垒主机系统以解决上述性能、审计等方面问题。

2 分布式云堡垒设计与实现

2.1 技术原理设计

在运营商的运维环境中，运维人员使用的个人终端都是采用Windows操作系统。并且随着云桌面的应用推广，运维人员均通过虚拟桌面访问生产网络。

为了解决云桌面系统和图形堡垒所形成的两层虚拟化嵌套结构所产生操作延时问题，可以通过直接对云桌面操作系统进行控制，以减少虚拟化次数，同时通过对操作系统底层驱动对用户的维护和操作过程进行监控，通过协议分析技术还原操作的整个过程，从而达到精确管控和字符审计的目标。

图2 分布式云堡垒原理图

通过在虚拟桌面模板中内嵌分布式云堡垒模块如图2所示，实现对虚拟桌面的应用授权、访问控制和操作审计，减少图像堡垒机虚拟化发布所造成的延时，并通过操作系统底层驱动监控机制，提升审计能力，降低传统堡垒机单点故障风险。

2.2 分布式云堡垒架构设计

分布式云堡垒采用分布式架构，由云桌面操作系统嵌入式代理、云堡垒服务引擎和管理中心3部分组成。

分布式云堡垒体系架构如图3所示。

图3 分布式云堡垒采用分布式架构

云桌面操作系统嵌入式代理：云桌面操作系统或者之上部署的客户端工具所产生的所有操作行为都要通过底层驱动转化为网络通信协议，云堡垒嵌入式代理部署在操作系统层通过SPI技术捕获操作系统的底层驱动及通信协议，并将这些协议转发给服务引擎做深入分析，从而判断是否是违规操作。云堡垒嵌入式代理以底层驱动方式存在，对使用人员无感知，并且将与堡垒主机有交互过程，如越权操作的阻断提醒等通过驱动技术与Windows操作系统融合，以操作系统提醒的方式展现给运维人员，提高了系统的亲和度和管控能力。

服务引擎：服务引擎是“分布式云堡垒”的核心功能模块，通过协议捕获、协议分析、策略匹配、协议重组、协议转发、执行反馈等功能对嵌入式代理转发的协议进行深入分析，实现基于策略的管控。并将分析的结果反馈给嵌入式代理。

管理中心：负责对“分布式云堡垒”的日常运行进行配置管理和策略定义，在 4A平台中进行统一管理。

2.3 分布式云堡垒技术设计

分布式云堡垒的具体设计实现如图4所示。

图4 分布式云堡垒设计实现结构

云堡垒的设计主要包括3部分，分别为代理层、服务引擎层和管理层。

2.3.1 代理层

服务层是分布式云堡垒的核心，主要包括嵌入式代理、协议分析、身份认证、访问控制和日志审计组件。

嵌入式代理采用SPI技术，当云桌面本地启动客户端调用操作系统API接口时，嵌入式代理中的数据接收模块就会主动阻断客户端与API的通信，将数据流指向数据发送模块，发送给上层的协议分析模块。同时，提供对传统协议解析信息（源IP地址、端口号、从账号、操作指令）扩展，增加了主账号、终端IP地址、应用程序等信息。以实现事中的访问控制和日志关联审计。

2.3.2 服务层

服务层为代理层提供协议解释、策略服务和集中化日志存储服务。

协议解析主要包括预存储和匹配步骤。预存储是将网络协议的特征字符信息存储到内容存储器中，将存储器中的特征字符信息相对应的返回值存储在随机存储器中。匹配步骤是将待识别的数据分组提取分组头数据，将分组头数据与内容存储器中的特征字符信息进行匹配，确定与待识别数据分组相匹配的特征字符信息后，从随机存储器中获取相对应的返回值，根据所确定的特征字符信息和相对应的返回值生成网络协议识别结果。通过统计分析和协议解析的结果形成统计分析日志存入数据库中。

策略服务则为代理层提供用户身份鉴别、访问权限控制、日志审计等策略更新服务。

2.3.3 管理层

管理层主要对云堡垒相关的用户账号认证、授权、审计等提供统一管理，以及版本统一发布功能。

3 分布式云堡垒应用效果

分布式云堡垒上线后，对云桌面终端通信进行隔离，所有到生产资源的通信访问全部由通信网关代理完成。这种通信全代理方式，在满足当前业务功能（防绕行、审计、金库）的基础上，为将来拓展更多的通信相关的业务功能奠定了基础。

随着分布式云堡垒技术在云桌面环境内的推广应用，取得了如下应用效果。

（1）将堡垒嵌入到云桌面操作系统内，减少了虚拟化发布环节所消耗的计算资源，大大减少了资源访问延时。

（2）拓展了协议支持范围，同时能对通信的数据进行上行和下行的双向管控。

（3） 在操作系统协议层进行监控，提高了现有金库模式的命中率，提升了管控安全水平。

（4） 解决了虚拟化发布只能记录图形日志，不方便检索，也不能做深度关联分析的问题。

（5） 将原有字符堡垒主机、图形堡垒主机的功能整合，方便部署和管理，可用性风险更低。

（6） 能更好的适用未来桌面云化的发展趋势，同时也能够灵活的部署在现有网络架构中。

4 结束语

本文分析了现有堡垒机技术在运维中所存在的问题，并结合电信运营商业务特点和云桌面技术推广应用，设计了在云桌面环境下的分布式云堡垒技术架构。有效减少虚拟发布所需的计算资源消耗和占用，降低访问延时提升可用性，并提升了日志审计能力，降低网络信息安全风险。

[1] 吴耀芳，来学嘉. 基于应用代理的运维堡垒机研究[J]. 微型电脑应用, 2013,29(8).

[2] 赵瑞霞，王会平. 构建堡垒主机抵御网络攻击[J]. 网络安全技术与应用, 2010(8):26-27.

[3] 邓小榕，陈龙，王国胤. 安全审计数据的综合审计分析方法[J].重庆邮电学院学报(自然科学版), 2005,17(5).

News

大联大友尚集团推出ST NFC阅读器芯片和探索套件

6月8日，大联大控股宣布其旗下友尚推出意法半导体（ST）探索套件ST25R3911B-DISCO整合ST25R3911B NFC阅读器芯片和STM32L476RE超低功耗微控制器，能够缩短非接应用的研发周期，取得优异的通信距离、速度和能效，采用简化的设计和更低的材料成本。其探索套件电路板为设计人员提供一个射频电路布局参考设计，利用附加的STM32微控制器软件，电路板可以快速上电运行，用作HF阅读器或NFC发起设备。

作为此次大联大友尚推出的意法半导体新探索套件的核心，ST25R3911B NFC阅读器芯片为设计人员提供产品差异化功能，有助于简化功能集成，精简产品制造过程，确保优异的用户体验。阅读器芯片的功耗优化功能也十分出色，包括动态功率输出，为发起设备与接受设备通信提供所需的最小电能，从而避免电能浪费，这项节能特性对于便携设备和支付终端机是一个重要优势。电容唤醒功能可以检测卡的存在，睡眠模式功耗低于5μA，有助于节省设备的电池电量。

（曾淑君)

Based on the distributed fortress cloud desktop research

ZHONG Lei, YANG Ming, LIANG Ye-yu, NING Jian-chuang
(China Mobile Group Guangxi Co., Ltd., Nanning 530022, China)

This paper analyzes the practical application and technical bottlenecks of existing fortress machine, proposes distributed fortress technical solutions in a cloud desktop environment, describes the distributed fortress principle, design method and the actual results. To solve the existing fort computing excessive consumption of resources, serious delay problems, and enhance the ability to control access to the process, ref i ne the audit log size, enhance internal control.

cloud desktop; distributed fort; embedded broker

TP39

A

1008-5599（2017）06-0058-04

2016-09-27