邱素贞+蔡大海

摘 要：通过分析现有堡垒机的应用实践和技术瓶颈，提出了在云桌面环境下的分布式云堡垒技术，阐述了“分布式云堡垒”的原理、设计方法和实际效果，以解决现有堡垒机计算资源消耗过大、延时严重的应用问题，并增强访问过程中的控制能力，细化日志审计粒度。

关键词：云桌面；分布式堡垒；嵌入式代理；计算资源

中图分类号：TP334.7 文献标识码：A DOI：10.15913/j.cnki.kjycx.2017.11.071

为了保障IT资源远程运维管理方式的安全性，堡垒机技术被大量使用。但现有堡垒机技术存在性能、过程控制命中率、日志审计粒度等诸多问题。笔者通过研究在云桌面环境下的分布式云堡垒技术，可有效解决现有堡垒机计算资源消耗过大、延时严重的应用问题，并增强访问过程控制能力，细化日志审计粒度。

1 堡垒机应用现状分析

由于网络规模庞大，远程运维和管理是最为高效的必然选择。为了确保远程运维的安全，目前，大部分企业已构建4A平台，实现集中账号管理、授权管理、认证管理和审计管理，并已经得到全面应用和推广。在日常的运维操作过程中，运维人员都需要通过4A平台的集中接入通道——堡垒机连接到被管资源中进行维护操作。4A平台总体架构如图1所示。

在4A平台架构下，4A平台门户为用户访问提供前端Portal服务，堡垒主机则作为后端统一接入通道，为用户资源访问提供集中接入通道服务。根据技术形态，堡垒主机分为字符堡垒主机和图形堡垒主机，相互结合使用。

1.1 字符堡垒主机

字符堡垒主机通过逻辑串行的方式部署在网络中，对命令行方式的访问操作（比如通过telnet、SSH等协议）进行协议代理和转发，对操作指令进行审计和过程控制。

1.2 图形堡垒主机

通过虚拟化发布技术对图形化操作工具（比如pl_sql、toad、C/S应用客户端）进行集中发布，以图形录像方式对操作行为进行记录，同时，还能够对维护的工具进行限制。

随着堡垒机的规模使用，在应用、性能、审计等方面存在一些问题，而这些问题一直无法得到有效解决，主要体现在以下5方面：①图形堡垒提供客户端工具发布和访问服务，部分客户端工具需要消耗大量的CPU和内存，占用服务器资源过大，造成系统访问和操作响应缓慢。②图形堡垒以图形录像方式对用户操作行为进行记录审计，图形录像日志不便于检索和关联分析，影响审计效果。③字符堡垒主机支持的协议有限，仅支持SSH、TELNET等有限的协议，使用范围有限，不支持Oracle等私有协议解析和审计。④基于堡垒主机实现的金库模式存在准确度不高，而且依赖维护工具。⑤随着云桌面深入推广，云桌面系统和图形堡垒形成了2层虚拟化嵌套的结构，产生了操作延时。

鉴于以上问题，需要研究建立一套基于云桌面环境的堡垒主机系统，以解决上述性能、审计等方面的问题。

2 分布式云堡垒设计与实现

2.1 技术原理设计

在运维环境中，运维人员使用的个人终端都是采用的Windows操作系统。随着云桌面的应用推广，运维人员均通过虚拟桌面访问生产网络。

为了解决云桌面系统和图形堡垒所形成的2层虚拟化嵌套结构所产生的操作延时问题，可以通过直接对云桌面操作系统进行控制，以减少虚拟化次数，同时，通过对操作系统底层驱动对用户的维护和操作过程进行监控，通过协议分析技术还原操作的整个过程，可达到精确管控和字符审计的目的。

通过在虚拟桌面模板中内嵌分布式云堡垒模块，可实现对虚拟桌面的应用授权、访问控制和操作审计，减少图像堡垒机虚拟化发布所造成的延时，并通过操作系统底层驱动监控机制，提升审计能力，降低传统堡垒机单点故障风险。

2.2 分布式云堡垒架构设计

2.2.1 分布式云堡垒采用分布式架构

由云桌面操作系统嵌入式代理、云堡垒服务引擎和管理中心组成。分布式云堡垒体系架构图如图2所示。

2.2.2 云桌面操作系统嵌入式代理

云桌面操作系统或者之上部署的客户端工具所产生的所有操作行为都要通过底层驱动转化为网络通信协议，云堡垒嵌入式代理部署在操作系统层通过SPI技术捕获操作系统的底层驱动及通信协议，并将这些协议转发给服务引擎进行深入分析，从而判断是否是违规操作。云堡垒嵌入式代理以底层驱动方式存在，对使用人员无感知，并将与堡垒主机的交互过程，比如越权操作的阻断提醒等通过驱动技术与Windows操作系统融合，以操作系统提醒的方式展现给运维人员，提高了系统的亲和度和管控能力。

2.2.3 服务引擎

服务引擎是“分布式云堡垒”的核心功能模块，通过协议捕获、协议分析、策略匹配、协议重组、协议转发、执行反馈等功能对嵌入式代理转发的协议进行深入分析，实现基于策略的管控，并将分析的结果反馈给嵌入式代理。

2.2.4 管理中心

负責对“分布式云堡垒”的日常运行进行配置管理和策略定义，在4A平台中进行统一管理。

2.3 分布式云堡垒技术设计

“分布式云堡垒”的具体设计主要包括代理层、服务引擎层和管理层。

2.3.1 代理层

代理层是“分布式云堡垒”的核心，主要包括嵌入式代理、协议分析、身份认证、访问控制和日志审计组件。嵌入式代理采用SPI技术，当云桌面本地启动客户端调用操作系统API接口时，嵌入式代理中的数据接收模块就会主动阻断客户端与API的通信，将数据流指向数据发送模块，发送给上层的协议分析模块。同时，可提供对传统协议解析信息（源IP地址、端口号、从账号、操作指令）的扩展，增加了主账号、终端IP地址、应用程序等信息，以实现事中的访问控制和日志关联审计。

2.3.2 服务层

服务层为代理层提供协议解释、策略服务和集中化日志存储服务。协议解析主要包括预存储和匹配步骤。预存储是将网络协议的特征字符信息存储到内容存储器中，将存储器中的特征字符信息相对应的返回值存储在随机存储器中。匹配步骤是将待识别的数据包提取包头数据，将包头数据与内容存储器中的特征字符信息进行匹配，确定与待识别数据包相匹配的特征字符信息后，从随机存储器中获取相对应的返回值，根据所确定的特征字符信息和相对应的返回值生成网络协议识别结果。通过统计分析和协议解析的结果形成统计分析日志存入数据库中。策略服务则为代理层提供用户身份鉴别、访问权限控制、日志审计等策略更新服务。

2.3.3 管理层

管理层主要对云堡垒相关的用户账号认证、授权、审计等提供统一管理以及版本统一发布功能。

3 分布式云堡垒应用效果

分布式云堡垒上线后，对云桌面终端通信进行隔离，所有到生产资源的通信访问全部由通信网关代理完成。这种通信全代理方式，在满足当前业务功能（防绕行、审计、金库）的基础上，为将来拓展更多的通信相關的业务功能奠定了基础。

随着分布式云堡垒技术在云桌面环境内的推广应用，取得了以下应用效果：①将堡垒嵌入到云桌面操作系统内，减少了虚拟化发布环节所消耗的计算资源，大大减少了资源访问延时；②拓展了协议支持范围，同时，能对通信的数据进行上行和下行的双向管控；③在操作系统协议层进行监控，提高了现有金库模式的命中率，提升了管控的安全水平；④解决了虚拟化发布只能记录图形日志，不方便检索，也不能进行深度关联分析；⑤将原有字符堡垒主机、图形堡垒主机的功能整合，方便部署和管理；⑥能更好地适用于未来桌面云化的发展趋势，同时，也能够灵活地部署在现有网络架构中。

4 结束语

本文分析了现有堡垒机技术在运维中所存在的问题，并结合云桌面技术推广应用，设计了在云桌面环境下的分布式云堡垒技术架构，有效减少了虚拟发布所需的计算资源消耗，降低了访问延时出现的可用性，并提升了日志审计能力，降低了网络信息安全风险。

参考文献

[1]吴耀芳，来学嘉.基于应用代理的运维堡垒机研究[J].微型电脑应用，2013，29（08）.

[2]赵瑞霞，王会平.构建堡垒主机抵御网络攻击[J].网络安全技术与应用，2010（08）.

[3]邓小榕，陈龙，王国胤.安全审计数据的综合审计分析方法[J].重庆邮电学院学报（自然科学版），2005，17（05）.

〔编辑：张思楠〕

文章编号：2095-6835（2017）11-0073-02