一、背景

? ? ?????上一篇文章介紹了“Jumpserver開源堡壘機(jī)的LDAP同步配置和MFA多因子認(rèn)證功能的優(yōu)化”收到一位小伙伴的私信感覺他對堡壘機(jī)的概念都不是那么的清晰，那可不就是曾經(jīng)第一次接觸堡壘機(jī)的我嗎，于是我便想再寫點(diǎn)什么。

????????我們都知道堡壘機(jī)的最大作用其實(shí)是是保障網(wǎng)絡(luò)和數(shù)據(jù)不受外部入侵和內(nèi)部破壞，通過對運(yùn)維操作進(jìn)行集中管理，實(shí)現(xiàn)對運(yùn)維人員的身份鑒別、權(quán)限控制和操作行為審計(jì)。通過堡壘機(jī)，可以監(jiān)控運(yùn)維人員對資源（主機(jī)/網(wǎng)絡(luò)設(shè)備/數(shù)據(jù)庫/安全設(shè)備）的操作行為，以便集中報(bào)警、及時(shí)處理和審計(jì)定責(zé)。堡壘機(jī)能夠解決“運(yùn)維混亂”的問題，讓運(yùn)維有序，并提高運(yùn)維安全。

????????說白了就是限制數(shù)據(jù)訪問源，并且對授權(quán)后的用戶的行為進(jìn)行控制審計(jì)（如拒絕高危命令rm、reboot等，以及對你的所有操作都進(jìn)行錄像監(jiān)控處理），以保障數(shù)據(jù)的安全性，防止你刪庫跑路。

????????除了上述的正常場景外，其實(shí)它還可以給我們的日常運(yùn)維和業(yè)務(wù)需求的管理提供更多的便利性。這當(dāng)然也是我使用Jumpserver的原因之一。下面我將介紹一下我所能想到的并且公司正在使用的應(yīng)用場景！

二、應(yīng)用場景

場景一

信息部管理員或者是第三方廠商人員需要遠(yuǎn)程管理服務(wù)器進(jìn)行調(diào)試

????????通過堡壘機(jī)可以使用RDP或者SSH的方式可以遠(yuǎn)程管理我們的服務(wù)器、數(shù)據(jù)庫與網(wǎng)絡(luò)安全設(shè)備等（這也是應(yīng)用最廣的一個(gè)場景了，在此就不過多介紹了）

場景二

?公司內(nèi)普通用戶特殊內(nèi)網(wǎng)訪問需求

????????公司辦公設(shè)備內(nèi)外網(wǎng)隔離，但是同時(shí)外網(wǎng)的電腦可能偶爾又有訪問內(nèi)網(wǎng)資源的需求，然后根據(jù)最小權(quán)限開放原則，又不想針對此類業(yè)務(wù)單獨(dú)開放安全策略，于是為了做好權(quán)限控制我們選擇了讓用戶通過堡壘機(jī)訪問到內(nèi)網(wǎng)的一臺(tái)服務(wù)器，通過這臺(tái)服務(wù)器給用戶提供內(nèi)網(wǎng)資源，這樣既滿足了用戶的需求，又保障了安全性。

場景三

代替SSLVPN實(shí)現(xiàn)遠(yuǎn)程訪問內(nèi)網(wǎng)資源

????????我們都知道有些內(nèi)網(wǎng)資源（如我們的web網(wǎng)管平臺(tái)ADcampus）可能因?yàn)槟承┰虿辉试S做NATserver讓你在外網(wǎng)訪問,但是又需要有應(yīng)急通道保障在特定場景下可以訪問。

????????如果你們也很窮沒有VPN設(shè)備也沒有授權(quán)，那或許你也可以和我們一樣通過Jumpserver解決你的困擾。然后在出口設(shè)備針對Jumpserver做外網(wǎng)映射，順便加個(gè)域名解析，讓你可以在公網(wǎng)用域名進(jìn)行訪問Jumpserver進(jìn)而實(shí)現(xiàn)訪問內(nèi)網(wǎng)資源。

????????有人可能會(huì)覺得你這是在脫了褲子放屁多此一舉，但其實(shí)不是的，因?yàn)槟悻F(xiàn)在是只做一個(gè)jumpserver的外網(wǎng)映射就可以實(shí)現(xiàn)訪問內(nèi)網(wǎng)所有的資源，而不需要將你需要訪問的所有內(nèi)網(wǎng)資源都去做外網(wǎng)映射暴露在公網(wǎng)。

三、解決方案

????????針對以上三個(gè)場景我們都給出了相應(yīng)的解決方案，當(dāng)然主要可能還是大概講了一個(gè)思路過程，具體配置的話還是得需要參考官網(wǎng)的文檔手冊。

場景一解決方案

????????通過堡壘機(jī)可以使用RDP或者SSH的方式可以遠(yuǎn)程管理我們的服務(wù)器、數(shù)據(jù)庫與網(wǎng)絡(luò)安全設(shè)備等，原文鏈接。

1、在資產(chǎn)管理添加你需要遠(yuǎn)程訪問的資源Windows/Linux等

2、在賬戶管理添加系統(tǒng)賬戶

3、在權(quán)限管理新增資產(chǎn)授權(quán)，控制哪個(gè)賬戶可以訪問哪些資源

4、通過web終端實(shí)現(xiàn)資源訪問

具體的配置案例可參考官方文檔，我在此僅作簡單介紹

場景二解決方案

1、按場景一解決方案說明新增一臺(tái)Windows server 2016服務(wù)器；

2、服務(wù)器新增多個(gè)系統(tǒng)賬號設(shè)置允許多賬戶同時(shí)登錄，避免出現(xiàn)多個(gè)賬戶同時(shí)在線擠掉對方的情況；

3、為避免不同的堡壘機(jī)用戶同時(shí)使用訪問同一個(gè)window系統(tǒng)賬號，授權(quán)方式選擇（手動(dòng)賬號）讓用戶自行填寫賬號密碼

場景三解決方案

????????如果對于需要訪問很多內(nèi)網(wǎng)資源的用戶，我們可以按場景二解決方案的形式進(jìn)行資產(chǎn)授權(quán)；

????????如果對于只是需要訪問某個(gè)web服務(wù)的用戶，我們可以采用應(yīng)用授權(quán)的形式，具體操作如下（具體的配置案例可參考官方文檔，我在此僅作簡單介紹）：

1、資產(chǎn)管理新增web資源URL，以vsphere管理平臺(tái)為例

2、在系統(tǒng)設(shè)置-遠(yuǎn)程應(yīng)用-市場應(yīng)用下載并上傳Firefox瀏覽器

（我使用谷歌瀏覽器的時(shí)候出現(xiàn)了錯(cuò)誤，頁面無法加載，原因暫時(shí)未知，因此建議使用火狐瀏覽器）

3、添加應(yīng)用發(fā)布機(jī)

添加的時(shí)候注意協(xié)議端口（我的遠(yuǎn)程端口重新設(shè)置了不是默認(rèn)的3389）

Core服務(wù)地址要修改成你生產(chǎn)使用的地址

4、部署并發(fā)布應(yīng)用即可

5、訪問效果

四、總結(jié)

????????但其實(shí)我發(fā)現(xiàn)他這個(gè)應(yīng)用發(fā)布的實(shí)現(xiàn)方式，好像就是還是通過rdp的方式遠(yuǎn)程到了服務(wù)器，然后給你打開了火狐瀏覽器幫你在導(dǎo)航欄輸入了你的web資源url，只是給你做了背景隱藏，無法操作服務(wù)器的其他任何東西，所以如果你此時(shí)最小化瀏覽器界面，那么你將無法再找到這個(gè)頁面了，希望后續(xù)官網(wǎng)可以優(yōu)化此功能吧！

總而言之，勉強(qiáng)能用！

????????以上大概就是我為什么要使用Jumpserver的原因吧。

????????另外相比于商業(yè)堡壘機(jī)，開源堡壘機(jī)可以大大降低企業(yè)的采購成本。由于源代碼公開，企業(yè)可以根據(jù)自身需求進(jìn)行定制化開發(fā)，避免了不必要的費(fèi)用支出。同時(shí)，由于開源社區(qū)的活躍度較高，企業(yè)可以從中獲取到豐富的技術(shù)支持和經(jīng)驗(yàn)分享，降低了維護(hù)成本。

????????還有就是Jumpserver的部署過程相對簡單，企業(yè)可以根據(jù)官方文檔或社區(qū)支持快速完成部署工作。同時(shí)，Jumpserver提供了友好的管理界面，使得管理員可以方便地進(jìn)行設(shè)備管理、用戶管理、策略配置等操作。這大大降低了企業(yè)的部署和管理成本。

好了

今天的分享就到這里了

下一次不知道什么時(shí)候見了

主打的就是一個(gè)隨心所欲

不過倒是想研究一下開源網(wǎng)盤nextcloud的域賬號認(rèn)證，且自助通過郵箱賬戶重置域賬戶密碼

下篇文章見吧！

原文鏈接文章來源地址http://www.zghlxwxcb.cn/news/detail-805281.html

到了這里，關(guān)于我為什么使用Jumpserver開源堡壘機(jī)？以我的應(yīng)用場景為你解答。的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！