關於堡壘機的原理以及如何配置

堡壘機，即在乙個特定的網路環境下，為了保障網路和資料不受來自外部和內部使用者的入侵和破壞，而運用各種技術手段實時收集和監控網路環境中每乙個組成部分的系統狀態、安全事件、網路活動，以便集中報警、記錄、分析、處理的一種技術手段。

堡壘機工作流程：

1) 運維人員在操作過程中首先連線到堡壘機，然後向堡壘機提交操作請求;

2) 該請求通過堡壘機的許可權檢查後，堡壘機的應用**模組將代替使用者連線到目標裝置完成該操作，之後目標裝置將操作結果返回給堡壘機，最後堡壘機再將操作結果返回給運維操作人員。

通過這種方式，堡壘機邏輯上將運維人員與目標裝置隔離開來，建立了從「運維人員->堡壘機使用者賬號->授權->目標裝置賬號->目標裝置」的管理模式，解決操作許可權控制和行為審計問題的同時，也解決了加密協議和圖形協議等無法通過協議還原進行審計的問題

詳細配置步驟：

場景：a是我本人使用的電腦

b是一台linux堡壘機（ip：10.30.2.202；賬戶為：root1）

c是內網生產環境的一台linux伺服器（ip：192.168.1.103；賬號為root2）

a可以訪問到b，b可以訪問到c，但是a不能直接訪問到c，

首先通過securecrt連線到跳板伺服器上，再進行埠**，將埠「對映」出來

。1）新建乙個會話，配置本機a到堡壘機b的連線（配置堡壘機b的ip,埠，使用者名稱）

2）埠**->新增

3）配置遠端埠**

名稱：自定義；

本地埠：1024-65535都可；（將遠端主機的埠對映到本地埠）

遠端主機：需要連線的伺服器c的ip位址

遠端主機埠：

1024-65535都可；

4）保持上面那個會話的連線，再新建乙個會話連線本地的埠。

主機名：127.0.0.1（本地ip）

埠：上乙個會話遠端對映到本地的埠

使用者名稱：伺服器c的使用者名稱

5）重新連線這兩個會話視窗，通過第二個視窗即可以登陸到伺服器c進行操作了

後話：假如資料庫的伺服器也需要通過堡壘機連線時，堡壘機的設定方法同上123，一定要保持第乙個會話視窗不要關閉，然後再配置資料庫連線工具，ip為本機的ip，埠為對映到本機的埠。