堡垒机阿里云双机使用方案.doc

堡垒机阿里云双机使用方案.doc:..麒麟开源堡垒机阿里云双机部署方案麒麟开源日期:2016-6-22目录1概述 54方案比较 ,非VPC网络用户无法对系统IP进行修改增加,因此堡垒机双机模式无法应用在阿里云非VPC用户中。,并且将运维用户区分为公司内网用户和移动(互联网)用户二种,二种用户访问堡垒机的方式不同,其中公司内网为町信任来源地址,可以直接使用运维协议访问堡垒机,而移动(互联网)用户必须使SSLVPN接入内网后,才能访问堡垒机,这样主要是防止堡皋机的ssh、https、rdp等端口在公网上开放以造成的扫描攻击事件。,1麒麟开源堡垒机物理环境准备要求用户需要有阿里云SLB服务,并且在阿里云安装二台堡垒机。:端口号映射位置服务说明TCP8443二台堡垒机移动用户(互联网)SSLVPN服务TCP443二台堡垒机堡垒机前台界面web服务TCP22二台堡垒机堡垒机SSH代理服务TCP3389二台堡金机堡垒机RDP/VNC/X11/应用发布代理服务TCP3390二台堡垒机堡垒机RDP/VNC/X11/应用发布回放端口阿里云SLB至少需要探测以上端口,当发现某一个端口出现问题时,及时切断出问题堡垒机的服务。:公司内网移动用户运维终端开发终端阿里云网络I运维协议金erSSLVPNHttps/ss淤dp/应用发布阿里云SLB系统Idp/应用发布双机同步阿里云服务器IIg Https/sshWdp/应用发布Https/ssh/rdgM^用发布、堡垒机01 .Https/ssrVPN运维协U堡垒机02其中红色箭头为移动(互联网)用户访问流,绿色箭头为公司内网(对信任源)用户访问流O阿里云系统将公司内网出网IP设置为信任地址,信任地址可以肓接访问到SLB映射地址的TCP22、443、3389、3390端口,可以直接使用堡垒机。,移动用八需要安装麒麟VPN客八端,当移动用户需要使用堡垒机时,先使用SSLVPN通过SLB连接到堡垒机,然后才能访问堡垒机,这样町以保证整个系统不对公网暴露以保证安全性。,并口DNS需要支持负载均衡。