邱素貞+蔡大海

摘 要：通過分析現(xiàn)有堡壘機(jī)的應(yīng)用實(shí)踐和技術(shù)瓶頸，提出了在云桌面環(huán)境下的分布式云堡壘技術(shù)，闡述了“分布式云堡壘”的原理、設(shè)計(jì)方法和實(shí)際效果，以解決現(xiàn)有堡壘機(jī)計(jì)算資源消耗過大、延時(shí)嚴(yán)重的應(yīng)用問題，并增強(qiáng)訪問過程中的控制能力，細(xì)化日志審計(jì)粒度。

關(guān)鍵詞：云桌面；分布式堡壘；嵌入式代理；計(jì)算資源

中圖分類號(hào)：TP334.7 文獻(xiàn)標(biāo)識(shí)碼：A DOI：10.15913/j.cnki.kjycx.2017.11.071

為了保障IT資源遠(yuǎn)程運(yùn)維管理方式的安全性，堡壘機(jī)技術(shù)被大量使用。但現(xiàn)有堡壘機(jī)技術(shù)存在性能、過程控制命中率、日志審計(jì)粒度等諸多問題。筆者通過研究在云桌面環(huán)境下的分布式云堡壘技術(shù)，可有效解決現(xiàn)有堡壘機(jī)計(jì)算資源消耗過大、延時(shí)嚴(yán)重的應(yīng)用問題，并增強(qiáng)訪問過程控制能力，細(xì)化日志審計(jì)粒度。

1 堡壘機(jī)應(yīng)用現(xiàn)狀分析

由于網(wǎng)絡(luò)規(guī)模龐大，遠(yuǎn)程運(yùn)維和管理是最為高效的必然選擇。為了確保遠(yuǎn)程運(yùn)維的安全，目前，大部分企業(yè)已構(gòu)建4A平臺(tái)，實(shí)現(xiàn)集中賬號(hào)管理、授權(quán)管理、認(rèn)證管理和審計(jì)管理，并已經(jīng)得到全面應(yīng)用和推廣。在日常的運(yùn)維操作過程中，運(yùn)維人員都需要通過4A平臺(tái)的集中接入通道——堡壘機(jī)連接到被管資源中進(jìn)行維護(hù)操作。4A平臺(tái)總體架構(gòu)如圖1所示。

在4A平臺(tái)架構(gòu)下，4A平臺(tái)門戶為用戶訪問提供前端Portal服務(wù)，堡壘主機(jī)則作為后端統(tǒng)一接入通道，為用戶資源訪問提供集中接入通道服務(wù)。根據(jù)技術(shù)形態(tài)，堡壘主機(jī)分為字符堡壘主機(jī)和圖形堡壘主機(jī)，相互結(jié)合使用。

1.1 字符堡壘主機(jī)

字符堡壘主機(jī)通過邏輯串行的方式部署在網(wǎng)絡(luò)中，對(duì)命令行方式的訪問操作（比如通過telnet、SSH等協(xié)議）進(jìn)行協(xié)議代理和轉(zhuǎn)發(fā)，對(duì)操作指令進(jìn)行審計(jì)和過程控制。

1.2 圖形堡壘主機(jī)

通過虛擬化發(fā)布技術(shù)對(duì)圖形化操作工具（比如pl_sql、toad、C/S應(yīng)用客戶端）進(jìn)行集中發(fā)布，以圖形錄像方式對(duì)操作行為進(jìn)行記錄，同時(shí)，還能夠?qū)S護(hù)的工具進(jìn)行限制。

隨著堡壘機(jī)的規(guī)模使用，在應(yīng)用、性能、審計(jì)等方面存在一些問題，而這些問題一直無法得到有效解決，主要體現(xiàn)在以下5方面：①圖形堡壘提供客戶端工具發(fā)布和訪問服務(wù)，部分客戶端工具需要消耗大量的CPU和內(nèi)存，占用服務(wù)器資源過大，造成系統(tǒng)訪問和操作響應(yīng)緩慢。②圖形堡壘以圖形錄像方式對(duì)用戶操作行為進(jìn)行記錄審計(jì)，圖形錄像日志不便于檢索和關(guān)聯(lián)分析，影響審計(jì)效果。③字符堡壘主機(jī)支持的協(xié)議有限，僅支持SSH、TELNET等有限的協(xié)議，使用范圍有限，不支持Oracle等私有協(xié)議解析和審計(jì)。④基于堡壘主機(jī)實(shí)現(xiàn)的金庫模式存在準(zhǔn)確度不高，而且依賴維護(hù)工具。⑤隨著云桌面深入推廣，云桌面系統(tǒng)和圖形堡壘形成了2層虛擬化嵌套的結(jié)構(gòu)，產(chǎn)生了操作延時(shí)。

鑒于以上問題，需要研究建立一套基于云桌面環(huán)境的堡壘主機(jī)系統(tǒng)，以解決上述性能、審計(jì)等方面的問題。

2 分布式云堡壘設(shè)計(jì)與實(shí)現(xiàn)

2.1 技術(shù)原理設(shè)計(jì)

在運(yùn)維環(huán)境中，運(yùn)維人員使用的個(gè)人終端都是采用的Windows操作系統(tǒng)。隨著云桌面的應(yīng)用推廣，運(yùn)維人員均通過虛擬桌面訪問生產(chǎn)網(wǎng)絡(luò)。

為了解決云桌面系統(tǒng)和圖形堡壘所形成的2層虛擬化嵌套結(jié)構(gòu)所產(chǎn)生的操作延時(shí)問題，可以通過直接對(duì)云桌面操作系統(tǒng)進(jìn)行控制，以減少虛擬化次數(shù)，同時(shí)，通過對(duì)操作系統(tǒng)底層驅(qū)動(dòng)對(duì)用戶的維護(hù)和操作過程進(jìn)行監(jiān)控，通過協(xié)議分析技術(shù)還原操作的整個(gè)過程，可達(dá)到精確管控和字符審計(jì)的目的。

通過在虛擬桌面模板中內(nèi)嵌分布式云堡壘模塊，可實(shí)現(xiàn)對(duì)虛擬桌面的應(yīng)用授權(quán)、訪問控制和操作審計(jì)，減少圖像堡壘機(jī)虛擬化發(fā)布所造成的延時(shí)，并通過操作系統(tǒng)底層驅(qū)動(dòng)監(jiān)控機(jī)制，提升審計(jì)能力，降低傳統(tǒng)堡壘機(jī)單點(diǎn)故障風(fēng)險(xiǎn)。

2.2 分布式云堡壘架構(gòu)設(shè)計(jì)

2.2.1 分布式云堡壘采用分布式架構(gòu)

由云桌面操作系統(tǒng)嵌入式代理、云堡壘服務(wù)引擎和管理中心組成。分布式云堡壘體系架構(gòu)圖如圖2所示。

2.2.2 云桌面操作系統(tǒng)嵌入式代理

云桌面操作系統(tǒng)或者之上部署的客戶端工具所產(chǎn)生的所有操作行為都要通過底層驅(qū)動(dòng)轉(zhuǎn)化為網(wǎng)絡(luò)通信協(xié)議，云堡壘嵌入式代理部署在操作系統(tǒng)層通過SPI技術(shù)捕獲操作系統(tǒng)的底層驅(qū)動(dòng)及通信協(xié)議，并將這些協(xié)議轉(zhuǎn)發(fā)給服務(wù)引擎進(jìn)行深入分析，從而判斷是否是違規(guī)操作。云堡壘嵌入式代理以底層驅(qū)動(dòng)方式存在，對(duì)使用人員無感知，并將與堡壘主機(jī)的交互過程，比如越權(quán)操作的阻斷提醒等通過驅(qū)動(dòng)技術(shù)與Windows操作系統(tǒng)融合，以操作系統(tǒng)提醒的方式展現(xiàn)給運(yùn)維人員，提高了系統(tǒng)的親和度和管控能力。

2.2.3 服務(wù)引擎

服務(wù)引擎是“分布式云堡壘”的核心功能模塊，通過協(xié)議捕獲、協(xié)議分析、策略匹配、協(xié)議重組、協(xié)議轉(zhuǎn)發(fā)、執(zhí)行反饋等功能對(duì)嵌入式代理轉(zhuǎn)發(fā)的協(xié)議進(jìn)行深入分析，實(shí)現(xiàn)基于策略的管控，并將分析的結(jié)果反饋給嵌入式代理。

2.2.4 管理中心

負(fù)責(zé)對(duì)“分布式云堡壘”的日常運(yùn)行進(jìn)行配置管理和策略定義，在4A平臺(tái)中進(jìn)行統(tǒng)一管理。

2.3 分布式云堡壘技術(shù)設(shè)計(jì)

“分布式云堡壘”的具體設(shè)計(jì)主要包括代理層、服務(wù)引擎層和管理層。

2.3.1 代理層

代理層是“分布式云堡壘”的核心，主要包括嵌入式代理、協(xié)議分析、身份認(rèn)證、訪問控制和日志審計(jì)組件。嵌入式代理采用SPI技術(shù)，當(dāng)云桌面本地啟動(dòng)客戶端調(diào)用操作系統(tǒng)API接口時(shí)，嵌入式代理中的數(shù)據(jù)接收模塊就會(huì)主動(dòng)阻斷客戶端與API的通信，將數(shù)據(jù)流指向數(shù)據(jù)發(fā)送模塊，發(fā)送給上層的協(xié)議分析模塊。同時(shí)，可提供對(duì)傳統(tǒng)協(xié)議解析信息（源IP地址、端口號(hào)、從賬號(hào)、操作指令）的擴(kuò)展，增加了主賬號(hào)、終端IP地址、應(yīng)用程序等信息，以實(shí)現(xiàn)事中的訪問控制和日志關(guān)聯(lián)審計(jì)。

2.3.2 服務(wù)層

服務(wù)層為代理層提供協(xié)議解釋、策略服務(wù)和集中化日志存儲(chǔ)服務(wù)。協(xié)議解析主要包括預(yù)存儲(chǔ)和匹配步驟。預(yù)存儲(chǔ)是將網(wǎng)絡(luò)協(xié)議的特征字符信息存儲(chǔ)到內(nèi)容存儲(chǔ)器中，將存儲(chǔ)器中的特征字符信息相對(duì)應(yīng)的返回值存儲(chǔ)在隨機(jī)存儲(chǔ)器中。匹配步驟是將待識(shí)別的數(shù)據(jù)包提取包頭數(shù)據(jù)，將包頭數(shù)據(jù)與內(nèi)容存儲(chǔ)器中的特征字符信息進(jìn)行匹配，確定與待識(shí)別數(shù)據(jù)包相匹配的特征字符信息后，從隨機(jī)存儲(chǔ)器中獲取相對(duì)應(yīng)的返回值，根據(jù)所確定的特征字符信息和相對(duì)應(yīng)的返回值生成網(wǎng)絡(luò)協(xié)議識(shí)別結(jié)果。通過統(tǒng)計(jì)分析和協(xié)議解析的結(jié)果形成統(tǒng)計(jì)分析日志存入數(shù)據(jù)庫中。策略服務(wù)則為代理層提供用戶身份鑒別、訪問權(quán)限控制、日志審計(jì)等策略更新服務(wù)。

2.3.3 管理層

管理層主要對(duì)云堡壘相關(guān)的用戶賬號(hào)認(rèn)證、授權(quán)、審計(jì)等提供統(tǒng)一管理以及版本統(tǒng)一發(fā)布功能。

3 分布式云堡壘應(yīng)用效果

分布式云堡壘上線后，對(duì)云桌面終端通信進(jìn)行隔離，所有到生產(chǎn)資源的通信訪問全部由通信網(wǎng)關(guān)代理完成。這種通信全代理方式，在滿足當(dāng)前業(yè)務(wù)功能（防繞行、審計(jì)、金庫）的基礎(chǔ)上，為將來拓展更多的通信相關(guān)的業(yè)務(wù)功能奠定了基礎(chǔ)。

隨著分布式云堡壘技術(shù)在云桌面環(huán)境內(nèi)的推廣應(yīng)用，取得了以下應(yīng)用效果：①將堡壘嵌入到云桌面操作系統(tǒng)內(nèi)，減少了虛擬化發(fā)布環(huán)節(jié)所消耗的計(jì)算資源，大大減少了資源訪問延時(shí)；②拓展了協(xié)議支持范圍，同時(shí)，能對(duì)通信的數(shù)據(jù)進(jìn)行上行和下行的雙向管控；③在操作系統(tǒng)協(xié)議層進(jìn)行監(jiān)控，提高了現(xiàn)有金庫模式的命中率，提升了管控的安全水平；④解決了虛擬化發(fā)布只能記錄圖形日志，不方便檢索，也不能進(jìn)行深度關(guān)聯(lián)分析；⑤將原有字符堡壘主機(jī)、圖形堡壘主機(jī)的功能整合，方便部署和管理；⑥能更好地適用于未來桌面云化的發(fā)展趨勢，同時(shí)，也能夠靈活地部署在現(xiàn)有網(wǎng)絡(luò)架構(gòu)中。

4 結(jié)束語

本文分析了現(xiàn)有堡壘機(jī)技術(shù)在運(yùn)維中所存在的問題，并結(jié)合云桌面技術(shù)推廣應(yīng)用，設(shè)計(jì)了在云桌面環(huán)境下的分布式云堡壘技術(shù)架構(gòu)，有效減少了虛擬發(fā)布所需的計(jì)算資源消耗，降低了訪問延時(shí)出現(xiàn)的可用性，并提升了日志審計(jì)能力，降低了網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)。

參考文獻(xiàn)

[1]吳耀芳，來學(xué)嘉.基于應(yīng)用代理的運(yùn)維堡壘機(jī)研究[J].微型電腦應(yīng)用，2013，29（08）.

[2]趙瑞霞，王會(huì)平.構(gòu)建堡壘主機(jī)抵御網(wǎng)絡(luò)攻擊[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2010（08）.

[3]鄧小榕，陳龍，王國胤.安全審計(jì)數(shù)據(jù)的綜合審計(jì)分析方法[J].重慶郵電學(xué)院學(xué)報(bào)（自然科學(xué)版），2005，17（05）.

〔編輯：張思楠〕

文章編號(hào)：2095-6835（2017）11-0073-02