邱素貞+蔡大海

摘 要：通過分析現(xiàn)有堡壘機的應用實踐和技術瓶頸，提出了在云桌面環(huán)境下的分布式云堡壘技術，闡述了“分布式云堡壘”的原理、設計方法和實際效果，以解決現(xiàn)有堡壘機計算資源消耗過大、延時嚴重的應用問題，并增強訪問過程中的控制能力，細化日志審計粒度。

關鍵詞：云桌面；分布式堡壘；嵌入式代理；計算資源

中圖分類號：TP334.7 文獻標識碼：A DOI：10.15913/j.cnki.kjycx.2017.11.071

為了保障IT資源遠程運維管理方式的安全性，堡壘機技術被大量使用。但現(xiàn)有堡壘機技術存在性能、過程控制命中率、日志審計粒度等諸多問題。筆者通過研究在云桌面環(huán)境下的分布式云堡壘技術，可有效解決現(xiàn)有堡壘機計算資源消耗過大、延時嚴重的應用問題，并增強訪問過程控制能力，細化日志審計粒度。

1 堡壘機應用現(xiàn)狀分析

由于網(wǎng)絡規(guī)模龐大，遠程運維和管理是最為高效的必然選擇。為了確保遠程運維的安全，目前，大部分企業(yè)已構建4A平臺，實現(xiàn)集中賬號管理、授權管理、認證管理和審計管理，并已經(jīng)得到全面應用和推廣。在日常的運維操作過程中，運維人員都需要通過4A平臺的集中接入通道——堡壘機連接到被管資源中進行維護操作。4A平臺總體架構如圖1所示。

在4A平臺架構下，4A平臺門戶為用戶訪問提供前端Portal服務，堡壘主機則作為后端統(tǒng)一接入通道，為用戶資源訪問提供集中接入通道服務。根據(jù)技術形態(tài)，堡壘主機分為字符堡壘主機和圖形堡壘主機，相互結合使用。

1.1 字符堡壘主機

字符堡壘主機通過邏輯串行的方式部署在網(wǎng)絡中，對命令行方式的訪問操作（比如通過telnet、SSH等協(xié)議）進行協(xié)議代理和轉發(fā)，對操作指令進行審計和過程控制。

1.2 圖形堡壘主機

通過虛擬化發(fā)布技術對圖形化操作工具（比如pl_sql、toad、C/S應用客戶端）進行集中發(fā)布，以圖形錄像方式對操作行為進行記錄，同時，還能夠對維護的工具進行限制。

隨著堡壘機的規(guī)模使用，在應用、性能、審計等方面存在一些問題，而這些問題一直無法得到有效解決，主要體現(xiàn)在以下5方面：①圖形堡壘提供客戶端工具發(fā)布和訪問服務，部分客戶端工具需要消耗大量的CPU和內(nèi)存，占用服務器資源過大，造成系統(tǒng)訪問和操作響應緩慢。②圖形堡壘以圖形錄像方式對用戶操作行為進行記錄審計，圖形錄像日志不便于檢索和關聯(lián)分析，影響審計效果。③字符堡壘主機支持的協(xié)議有限，僅支持SSH、TELNET等有限的協(xié)議，使用范圍有限，不支持Oracle等私有協(xié)議解析和審計。④基于堡壘主機實現(xiàn)的金庫模式存在準確度不高，而且依賴維護工具。⑤隨著云桌面深入推廣，云桌面系統(tǒng)和圖形堡壘形成了2層虛擬化嵌套的結構，產(chǎn)生了操作延時。

鑒于以上問題，需要研究建立一套基于云桌面環(huán)境的堡壘主機系統(tǒng)，以解決上述性能、審計等方面的問題。

2 分布式云堡壘設計與實現(xiàn)

2.1 技術原理設計

在運維環(huán)境中，運維人員使用的個人終端都是采用的Windows操作系統(tǒng)。隨著云桌面的應用推廣，運維人員均通過虛擬桌面訪問生產(chǎn)網(wǎng)絡。

為了解決云桌面系統(tǒng)和圖形堡壘所形成的2層虛擬化嵌套結構所產(chǎn)生的操作延時問題，可以通過直接對云桌面操作系統(tǒng)進行控制，以減少虛擬化次數(shù)，同時，通過對操作系統(tǒng)底層驅動對用戶的維護和操作過程進行監(jiān)控，通過協(xié)議分析技術還原操作的整個過程，可達到精確管控和字符審計的目的。

通過在虛擬桌面模板中內(nèi)嵌分布式云堡壘模塊，可實現(xiàn)對虛擬桌面的應用授權、訪問控制和操作審計，減少圖像堡壘機虛擬化發(fā)布所造成的延時，并通過操作系統(tǒng)底層驅動監(jiān)控機制，提升審計能力，降低傳統(tǒng)堡壘機單點故障風險。

2.2 分布式云堡壘架構設計

2.2.1 分布式云堡壘采用分布式架構

由云桌面操作系統(tǒng)嵌入式代理、云堡壘服務引擎和管理中心組成。分布式云堡壘體系架構圖如圖2所示。

2.2.2 云桌面操作系統(tǒng)嵌入式代理

云桌面操作系統(tǒng)或者之上部署的客戶端工具所產(chǎn)生的所有操作行為都要通過底層驅動轉化為網(wǎng)絡通信協(xié)議，云堡壘嵌入式代理部署在操作系統(tǒng)層通過SPI技術捕獲操作系統(tǒng)的底層驅動及通信協(xié)議，并將這些協(xié)議轉發(fā)給服務引擎進行深入分析，從而判斷是否是違規(guī)操作。云堡壘嵌入式代理以底層驅動方式存在，對使用人員無感知，并將與堡壘主機的交互過程，比如越權操作的阻斷提醒等通過驅動技術與Windows操作系統(tǒng)融合，以操作系統(tǒng)提醒的方式展現(xiàn)給運維人員，提高了系統(tǒng)的親和度和管控能力。

2.2.3 服務引擎

服務引擎是“分布式云堡壘”的核心功能模塊，通過協(xié)議捕獲、協(xié)議分析、策略匹配、協(xié)議重組、協(xié)議轉發(fā)、執(zhí)行反饋等功能對嵌入式代理轉發(fā)的協(xié)議進行深入分析，實現(xiàn)基于策略的管控，并將分析的結果反饋給嵌入式代理。

2.2.4 管理中心

負責對“分布式云堡壘”的日常運行進行配置管理和策略定義，在4A平臺中進行統(tǒng)一管理。

2.3 分布式云堡壘技術設計

“分布式云堡壘”的具體設計主要包括代理層、服務引擎層和管理層。

2.3.1 代理層

代理層是“分布式云堡壘”的核心，主要包括嵌入式代理、協(xié)議分析、身份認證、訪問控制和日志審計組件。嵌入式代理采用SPI技術，當云桌面本地啟動客戶端調(diào)用操作系統(tǒng)API接口時，嵌入式代理中的數(shù)據(jù)接收模塊就會主動阻斷客戶端與API的通信，將數(shù)據(jù)流指向數(shù)據(jù)發(fā)送模塊，發(fā)送給上層的協(xié)議分析模塊。同時，可提供對傳統(tǒng)協(xié)議解析信息（源IP地址、端口號、從賬號、操作指令）的擴展，增加了主賬號、終端IP地址、應用程序等信息，以實現(xiàn)事中的訪問控制和日志關聯(lián)審計。

2.3.2 服務層

服務層為代理層提供協(xié)議解釋、策略服務和集中化日志存儲服務。協(xié)議解析主要包括預存儲和匹配步驟。預存儲是將網(wǎng)絡協(xié)議的特征字符信息存儲到內(nèi)容存儲器中，將存儲器中的特征字符信息相對應的返回值存儲在隨機存儲器中。匹配步驟是將待識別的數(shù)據(jù)包提取包頭數(shù)據(jù)，將包頭數(shù)據(jù)與內(nèi)容存儲器中的特征字符信息進行匹配，確定與待識別數(shù)據(jù)包相匹配的特征字符信息后，從隨機存儲器中獲取相對應的返回值，根據(jù)所確定的特征字符信息和相對應的返回值生成網(wǎng)絡協(xié)議識別結果。通過統(tǒng)計分析和協(xié)議解析的結果形成統(tǒng)計分析日志存入數(shù)據(jù)庫中。策略服務則為代理層提供用戶身份鑒別、訪問權限控制、日志審計等策略更新服務。

2.3.3 管理層

管理層主要對云堡壘相關的用戶賬號認證、授權、審計等提供統(tǒng)一管理以及版本統(tǒng)一發(fā)布功能。

3 分布式云堡壘應用效果

分布式云堡壘上線后，對云桌面終端通信進行隔離，所有到生產(chǎn)資源的通信訪問全部由通信網(wǎng)關代理完成。這種通信全代理方式，在滿足當前業(yè)務功能（防繞行、審計、金庫）的基礎上，為將來拓展更多的通信相關的業(yè)務功能奠定了基礎。

隨著分布式云堡壘技術在云桌面環(huán)境內(nèi)的推廣應用，取得了以下應用效果：①將堡壘嵌入到云桌面操作系統(tǒng)內(nèi)，減少了虛擬化發(fā)布環(huán)節(jié)所消耗的計算資源，大大減少了資源訪問延時；②拓展了協(xié)議支持范圍，同時，能對通信的數(shù)據(jù)進行上行和下行的雙向管控；③在操作系統(tǒng)協(xié)議層進行監(jiān)控，提高了現(xiàn)有金庫模式的命中率，提升了管控的安全水平；④解決了虛擬化發(fā)布只能記錄圖形日志，不方便檢索，也不能進行深度關聯(lián)分析；⑤將原有字符堡壘主機、圖形堡壘主機的功能整合，方便部署和管理；⑥能更好地適用于未來桌面云化的發(fā)展趨勢，同時，也能夠靈活地部署在現(xiàn)有網(wǎng)絡架構中。

4 結束語

本文分析了現(xiàn)有堡壘機技術在運維中所存在的問題，并結合云桌面技術推廣應用，設計了在云桌面環(huán)境下的分布式云堡壘技術架構，有效減少了虛擬發(fā)布所需的計算資源消耗，降低了訪問延時出現(xiàn)的可用性，并提升了日志審計能力，降低了網(wǎng)絡信息安全風險。

參考文獻

[1]吳耀芳，來學嘉.基于應用代理的運維堡壘機研究[J].微型電腦應用，2013，29（08）.

[2]趙瑞霞，王會平.構建堡壘主機抵御網(wǎng)絡攻擊[J].網(wǎng)絡安全技術與應用，2010（08）.

[3]鄧小榕，陳龍，王國胤.安全審計數(shù)據(jù)的綜合審計分析方法[J].重慶郵電學院學報（自然科學版），2005，17（05）.

〔編輯：張思楠〕

文章編號：2095-6835（2017）11-0073-02