基于主備模式的堡壘機(jī)網(wǎng)絡(luò)架構(gòu)①

龔文濤, 郎穎瑩

1(中國石油大學(xué)(華東) 信息化建設(shè)處,青島 266580)

2(中國石油大學(xué)(華東) 教育發(fā)展中心,青島 266580)

伴隨網(wǎng)絡(luò)信息科技的突飛猛進(jìn)發(fā)展,信息網(wǎng)絡(luò)安全等級保護(hù)制度[1]的日益被社會的各個企事業(yè)單位重視和落實,針對企事業(yè)單位內(nèi)部的局域網(wǎng)絡(luò)中存在的各種安全性問題[2],有諸多企事業(yè)單位采取諸多先進(jìn)的信息科技管理理念和技術(shù)來加強(qiáng)單位的網(wǎng)絡(luò)安全管理[3]. 針對高校來說,需要防護(hù)和保護(hù)的系統(tǒng)眾多,包括學(xué)校主頁、教務(wù)系統(tǒng)、財務(wù)系統(tǒng)、人事系統(tǒng)、資產(chǎn)設(shè)備管理系統(tǒng)、圖書管理系統(tǒng)、檔案管理系統(tǒng)等諸多業(yè)務(wù)應(yīng)用系統(tǒng)[4].

除開保護(hù)這些信息系統(tǒng)本身之外,還需對各個負(fù)責(zé)應(yīng)用信息系統(tǒng)運維二級單位的網(wǎng)絡(luò)系統(tǒng)管理員和相配套的公司技術(shù)人員加強(qiáng)管理. 堡壘機(jī)[5]作為其中一種重要的技術(shù)手段和解決方案,能夠較好滿足企事業(yè)單位內(nèi)部各個安全維度的安全管理需求.

堡壘機(jī)[6],又稱之為訪問控制網(wǎng)關(guān),其主要是用來防護(hù)特定區(qū)域網(wǎng)絡(luò)內(nèi)的網(wǎng)絡(luò)信息系統(tǒng)的一種設(shè)備,堡壘機(jī)主要是保護(hù)兩個層面,一個是外部的用戶訪問入侵和惡意破壞,另一個層面是防護(hù)內(nèi)部用戶對網(wǎng)絡(luò)信息資源的訪問入侵和惡意破壞,依托多種技術(shù)措施和手段來實時監(jiān)控和搜集堡壘機(jī)防護(hù)范圍內(nèi)的網(wǎng)絡(luò)環(huán)境下的每個組成元素的使用狀況、系統(tǒng)實況、操作流程、網(wǎng)絡(luò)時間、網(wǎng)絡(luò)行為等,為網(wǎng)絡(luò)信息化建設(shè)者和網(wǎng)絡(luò)安全管理人員提供行為審計、操作備案,以便后期的規(guī)范管理.

堡壘機(jī)的分類多種多樣,從功能角度看,堡壘機(jī)主要具備如下兩個功能[4-6]：

(1) 安全設(shè)計管理和控制功能： 依托堡壘機(jī)能夠起到一定的安全審計功能,包括事前防御、事中預(yù)警的各種有效風(fēng)險控制策略,也是事后追溯偶的重要證據(jù)源頭.

(2) 核心系統(tǒng)運維管理功能： 通過切斷和阻隔普通終端用戶對核心網(wǎng)絡(luò)信息系統(tǒng)和服務(wù)器的直接訪問,而是需要首先登錄堡壘機(jī),再依托堡壘機(jī)登錄和管理其他的服務(wù)器,終端用戶會依托協(xié)議代理的模式協(xié)助終端用對核心網(wǎng)絡(luò)信息系統(tǒng)和服務(wù)器的訪問和操作.

1 堡壘機(jī)技術(shù)原理和功能分析

1.1 網(wǎng)絡(luò)信息資源監(jiān)管問題分析

伴隨網(wǎng)絡(luò)信息技術(shù)的日益深入應(yīng)用,各種網(wǎng)絡(luò)信息系統(tǒng)越來越多,園區(qū)網(wǎng)的規(guī)模越來越大,數(shù)量 越來越多,數(shù)量龐大和業(yè)務(wù)繁雜的網(wǎng)絡(luò)信息系統(tǒng)為園區(qū)網(wǎng)的網(wǎng)絡(luò)建設(shè)者和網(wǎng)絡(luò)安全管理員帶來各種如下的壓力和風(fēng)險：

(1) 多個用戶使用同一套賬號和密碼： 系統(tǒng)構(gòu)建之處,因為業(yè)務(wù)部署需要和人力資源有限,僅有的系統(tǒng)超級管理員賬號唯一,而需要使用的運維管理用戶眾多,使得這些管理員共同這一套超級管理員的賬號和密碼,使得后期監(jiān)管出現(xiàn)真空地帶,沒法對賬號的具體使用人員進(jìn)行限定和控制,進(jìn)而存在實名認(rèn)證不嚴(yán)的風(fēng)險.

(2) 一個用戶使用多套賬號和密碼： 因為信息系統(tǒng)規(guī)模大、數(shù)量多,而運維的人員有限,有的用戶需要身兼數(shù)職,包括系統(tǒng)管理員、運維員、安全管理員、審計員、數(shù)據(jù)庫操作員等多重身份和角色重疊,需要從多套網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)信息系統(tǒng)之間多重的切換,增加管理員的記憶負(fù)擔(dān),并降低工作效率,并帶來多套用戶和密碼的泄露隱患.

(3) 缺乏統(tǒng)一標(biāo)準(zhǔn)化的授權(quán)管理系統(tǒng)： 業(yè)務(wù)的眾多帶來的就是管理環(huán)節(jié)和業(yè)務(wù)操作次數(shù)頻繁,使得權(quán)限分配難度加大,難以做到精細(xì)化的管理控制,對核心的業(yè)務(wù)系統(tǒng)只能實現(xiàn)粗放似管理,難以對某一個用戶對某一個系統(tǒng)的某一項操作做到細(xì)粒度的訪問控制授權(quán).

(4) 無法做到訪問控制內(nèi)容審計： 傳統(tǒng)的網(wǎng)絡(luò)安全審計設(shè)備無法對用戶常見的SSH和RDP等加密和圖形化的操作協(xié)議執(zhí)行內(nèi)容審計操作,使得各項核心的主要操作無據(jù)可查,對核心信息系統(tǒng)的管理帶來巨大的風(fēng)險和隱患.

1.2 堡壘機(jī)技術(shù)原理分析

“堡壘”寓意一般是用于防守的堅固建筑物或形容難于攻破的物體,“堡壘機(jī)”則寓意為專門預(yù)防攻擊而設(shè)定的主機(jī),通過將用于堡壘防護(hù)用的主機(jī)安全加固后,使其足以防御一般,網(wǎng)絡(luò)攻擊,并將其布設(shè)在核心網(wǎng)絡(luò)信息資源的前端,使其作為堅強(qiáng)的“堡壘”,在提供正常服務(wù)前提下,確保其防護(hù)的資源安全.

結(jié)合堡壘機(jī)的概念和應(yīng)用需求分析,堡壘機(jī)實現(xiàn)的技術(shù)原理一般如下： 堡壘機(jī)需要搜集和保存運維人員對核心網(wǎng)絡(luò)資源的操作行為,分析其操作內(nèi)容來實現(xiàn)精細(xì)化的權(quán)限控制和后臺操作行為審計,一般堡壘機(jī)還可以通過代理技術(shù)完成堡壘機(jī)如下管理機(jī)制：

首先是運維員登錄和連接到堡壘機(jī),并向堡壘機(jī)提出操作申請; 其次是堡壘機(jī)通過核驗操作員的身份和權(quán)限之后,依托堡壘機(jī)自備的代理模塊將替用戶連接到核心的網(wǎng)絡(luò)信息資源,并提供操作平臺; 最后,核心網(wǎng)絡(luò)信息資源將操作結(jié)果反饋給堡壘機(jī),操作完成.

依托堡壘機(jī)管理機(jī)制,完成了邏輯上面運維管理人員和核心網(wǎng)絡(luò)信息資源的分離,構(gòu)建基于網(wǎng)絡(luò)管理員、堡壘機(jī)賬號、授權(quán)訪問控制、目標(biāo)設(shè)備的管理機(jī)制,解決圖形協(xié)議和加密協(xié)議無法通過協(xié)議還原審計的難題.

1.3 堡壘機(jī)核心功能概述

堡壘機(jī)的核心功能很多,有代表性的主要體現(xiàn)在如下方面：

(1) 支持賬號和權(quán)限的細(xì)粒度管理,對賬號能夠配置詳細(xì)和精確的訪問控制策略,對網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備、主機(jī)設(shè)備及安全賬號之間進(jìn)行集中管理和細(xì)粒度關(guān)聯(lián),使得用戶與系統(tǒng)和操作之間做到一一對應(yīng),以滿足細(xì)粒度訪問控制授權(quán)的安全需求.

(2) 支持用戶運維全生命周期的操作審計,用戶依托賬號登入堡壘機(jī)后,能夠借助堡壘機(jī)管理平臺,登入管理員分配給他的網(wǎng)絡(luò)信息系統(tǒng)資源,配置相關(guān)的協(xié)議要求,實現(xiàn)核心服務(wù)器資源的訪問控制,這個訪問控制過程將被堡壘機(jī)全生命周期記錄和備案.

(3) 靈活的資源授權(quán)管理： 堡壘機(jī)為設(shè)備提供各種靈活的細(xì)粒度資源管理功能,包括對服務(wù)器資源的對象IP、操作協(xié)議類型、協(xié)議端口進(jìn)行設(shè)定,并且依據(jù)對賬號的IP限制和賬號有效期的設(shè)定,可以實現(xiàn)對訪問控制主體的靈活控制,確保訪問控制中網(wǎng)絡(luò)信息系統(tǒng)的安全.

2 基于主備模式的堡壘機(jī)網(wǎng)絡(luò)架構(gòu)

2.1 基于主備模式的堡壘機(jī)網(wǎng)絡(luò)架構(gòu)設(shè)計

常見的單機(jī)堡壘機(jī)部署適合小規(guī)模的園區(qū)網(wǎng),主要網(wǎng)絡(luò)架構(gòu)包括堡壘機(jī)單機(jī)一臺、園區(qū)網(wǎng)核心、用戶及服務(wù)器區(qū). 這種布局模式適應(yīng)用戶規(guī)模小、服務(wù)器數(shù)量少的應(yīng)用場景,對堡壘機(jī)的雙機(jī)冗余與服務(wù)連續(xù)性要求不高,這種網(wǎng)絡(luò)架構(gòu)部署的優(yōu)點是成本低,部署快,對網(wǎng)絡(luò)架構(gòu)影響小,不足之處是存在單點故障.

針對較大規(guī)模的園區(qū)網(wǎng)安全需求,基于單點模式下堡壘機(jī)網(wǎng)絡(luò)架構(gòu)的無法滿足,故此,需要部署基于主機(jī)、備用機(jī)等雙機(jī)模式和冗余網(wǎng)絡(luò)架構(gòu). 以某高校為例,經(jīng)過多年的信息化建設(shè),已建成五百余臺服務(wù)器,且已建成獨立初具規(guī)模的數(shù)據(jù)中心,但是存在運維人員規(guī)模大、對堡壘機(jī)實時性服務(wù)和持續(xù)性服務(wù)要求高等部署需求,故此需要部署雙機(jī)模式.

結(jié)合主備模式堡壘機(jī)網(wǎng)絡(luò)架構(gòu)部署要求,考慮到有數(shù)據(jù)中心、學(xué)校核心、應(yīng)用防火墻等要素,特此設(shè)計主備模式堡壘機(jī)網(wǎng)絡(luò)架構(gòu),如圖1所示.

圖1 基于主備模式的堡壘機(jī)構(gòu)拓?fù)鋱D

堡壘機(jī)位于數(shù)據(jù)中心轄區(qū)內(nèi),與需要保護(hù)的機(jī)器路由可達(dá),并無縫銜接到現(xiàn)有的WEB應(yīng)用防火墻WAF的防護(hù)體系之內(nèi),故此,需要將堡壘機(jī)的網(wǎng)絡(luò)架構(gòu)嵌套應(yīng)用防火墻之內(nèi),為數(shù)據(jù)中心和外界網(wǎng)絡(luò)構(gòu)筑安全防護(hù)框架,所有途徑堡壘機(jī)的流量需要經(jīng)過WAF進(jìn)行分析和保護(hù),提升堡壘機(jī)的安全防護(hù)水平.

堡壘機(jī)雙機(jī)的配置,最好是配置專屬的單獨局域網(wǎng),從數(shù)量層面來說,部署基于冗余主、備的堡壘機(jī)系統(tǒng)至少需要三個IP地址資源,以此來配置主機(jī)IP、備機(jī)IP、浮動IP. 主機(jī)IP和備機(jī)IP需要配置之前確保IP接入交換機(jī)分配的端口和Vlan配置正確,且需要保證IP地址資源沒有被占用.

2.2 基于主備模式的堡壘機(jī)網(wǎng)絡(luò)配置分析

基于主備模式堡壘機(jī)主要部署在數(shù)據(jù)中心下,但是需要通過學(xué)校核心和數(shù)據(jù)中心之間的應(yīng)用防火墻之中,故此,主要的配置步驟需要一方面在學(xué)校核心上配置靜態(tài)路由,一邊需要在數(shù)據(jù)中心層面配置策略路由,并要考慮冗余. 數(shù)據(jù)中心包括核心1和核心2,網(wǎng)絡(luò)配置如下：

在數(shù)據(jù)中心1上配置堡壘機(jī)網(wǎng)絡(luò)：

在數(shù)據(jù)中心2上配置堡壘機(jī)網(wǎng)絡(luò)：

學(xué)校核心需要為堡壘機(jī)的三個核心IP配置靜態(tài)路由,主機(jī)IP為10.10.110.1; 備機(jī)IP為10.10.110.2;虛擬IP為10.10.110.3,第一IP的靜態(tài)路由配置如下：

2.3 基于主備模式的堡壘機(jī)操作權(quán)限設(shè)計

堡壘機(jī)操作的角色分類包括3類： 堡壘機(jī)審計員、堡壘機(jī)操作員、堡壘機(jī)系統(tǒng)管理員,各個操作角色定位如下：

堡壘機(jī)審計員： 記錄和審計各個堡壘機(jī)中操作的日志,確保對堡壘機(jī)所有的操作有記錄并可追溯.

堡壘機(jī)操作員： 堡壘機(jī)操作員依據(jù)堡壘機(jī)管理員給其分配的網(wǎng)絡(luò)信息系統(tǒng)資源進(jìn)行運維管理,確保在堡壘機(jī)防護(hù)體系下對網(wǎng)絡(luò)信息系統(tǒng)按照要求和規(guī)則運維,確保業(yè)務(wù)是在堡壘機(jī)的監(jiān)管范圍內(nèi).

堡壘機(jī)系統(tǒng)管理員： 堡壘機(jī)系統(tǒng)管理主要有如下幾個核心功能,一個是對堡壘機(jī)操作員的管理,包括新增、刪除、修改所有操作員的屬性.

綜上所述,在堡壘機(jī)操作的角色分類之中,權(quán)限最復(fù)雜和應(yīng)用最廣泛的就是堡壘機(jī)系統(tǒng)管理員,其還可以對操作資源進(jìn)行管理,包括新增網(wǎng)絡(luò)信息系統(tǒng)資源,并且對其中的操作方式和協(xié)議進(jìn)行配置,比如對Windows操作系統(tǒng)來說,主要是配置其遠(yuǎn)程桌面協(xié)議(RDP,Remote Desktop Protocol),RDP協(xié)議是一個多通道(multi-channel)的協(xié)議,能夠為堡壘機(jī)提供遠(yuǎn)程桌面服務(wù). 對Linux操作系統(tǒng)來說,主要是配置其Secure Shell服務(wù),簡稱SSH協(xié)議,其由IETF(互聯(lián)網(wǎng)工程任務(wù)組,Internet Engineering Task Force)的網(wǎng)絡(luò)小組(Network Working Group)所制定,SSH為建立在應(yīng)用層基礎(chǔ)上的安全協(xié)議,能夠為Linux類操作系統(tǒng)提供操作和管理Linux系統(tǒng)的相關(guān)服務(wù).

2.4 基于主備模式的堡壘機(jī)測試案例

測試案例一. 堡壘機(jī)的對操作行為的審計功能測試. 通過堡壘機(jī)的審計功能模塊,能夠方便對近期操作的堡壘機(jī)行為審計展示和追溯,如圖2所示,能方便展示出堡壘機(jī)操作員的登錄時間、登錄ip地址、登錄的資源、操作的策略等元素信息,較好解決網(wǎng)絡(luò)信息安全的監(jiān)管不到位的問題,方便對堡壘機(jī)的行為審計.

測試案例二. 堡壘機(jī)單機(jī)故障.

測試過程： 假設(shè)一臺堡壘機(jī)出現(xiàn)故障,網(wǎng)絡(luò)不通,業(yè)務(wù)不通,交替測試的結(jié)果顯示,另一臺工作正常,并不影響堡壘機(jī)的整體業(yè)務(wù),足以證實其主備機(jī)的穩(wěn)定.

主備堡壘機(jī)單點故障時到虛IP的網(wǎng)絡(luò)測試如下：C：Usersadministrator>tracert 10.10.110.3

通過最多 30 個躍點跟蹤：

到baoleiji [10.10.110.3] 的路由：

通過tracert的網(wǎng)絡(luò)測試可驗證在單臺堡壘機(jī)出現(xiàn)故障時,虛IP的網(wǎng)絡(luò)一直暢通,業(yè)務(wù)不受影響.

圖2 堡壘機(jī)操作行為審計界面

3 總結(jié)

本文分析和總結(jié)了堡壘機(jī)相關(guān)的概念和功能定位,探討堡壘機(jī)的工作機(jī)理,對堡壘機(jī)增強(qiáng)高校園區(qū)網(wǎng)內(nèi)的各項有力措施進(jìn)行分析和闡述,分析和討論基于單點的堡壘機(jī)架構(gòu)和基于主備的堡壘機(jī)架構(gòu)優(yōu)缺點,并對基于主機(jī)、備機(jī)的堡壘機(jī)網(wǎng)絡(luò)架構(gòu)進(jìn)行設(shè)計和配置,給出基于冗余的堡壘機(jī)網(wǎng)絡(luò)架構(gòu)設(shè)計核心環(huán)節(jié),并給出數(shù)據(jù)中心、學(xué)校核心的配置代碼,最終分析和總結(jié)堡壘機(jī)中三種常見角色及角色功能定位.

1王棟,來風(fēng)剛,李靜. 數(shù)據(jù)中心IT運維審計體系研究. 電力信息化,2012,10(1)： 20-23.

2杜寧寧,趙慶亮. 淺談信息安全審計在金融行業(yè)的實踐. 中國內(nèi)部審計,2012,(4)： 66-68.

3蔡蔚. “互聯(lián)網(wǎng)+”時代網(wǎng)絡(luò)安全分析與管理策略研究. 信息安全與技術(shù),2015,(9)： 8-11.

4韓榮杰,于曉誼. 基于堡壘主機(jī)概念的運維審計系統(tǒng). 信息化建設(shè),2012,(1)： 56-59.

5鐘平,王會林. 高校網(wǎng)絡(luò)安全實驗室建設(shè)探索. 實驗室科學(xué),2010,13(1)： 122-124.

6洪允德,高強(qiáng). 計算機(jī)網(wǎng)絡(luò)安全課程實驗教學(xué)探索. 中國教育技術(shù)裝備,2014,(22)： 146-148. [doi： 10.3969/j.issn.1671-489X.2014.22.146]