一种用户无感知的图像堡垒机方法及系统技术方案

本发明专利技术公开一种用户无感知的图像堡垒机方法及系统，方法包括以下步骤：步骤1，用户输入用户名和密码登陆客户端；步骤2，客户端身份验证通过后从管理平台获取可访问的WINDOWS资产列表信息进行展示；步骤3，用户选定实际WINDOWS资产，并连接实际WINDOWS资产；步骤4，客户端通过WFP驱动将访问流量重定向连接到代理服务器；步骤5，代理服务器的RDP服务端接收访问流量，并是否得到授权访问；步骤6，RDP服务端获取用户连接到实际WINDOWS资产的连接信息；步骤7，代理服务器的RDP服务端与连接并转发访问流量至实际WINDOWS资产；步骤8，代理服务器的RDP服务端对转发的RDP协议进行审计录像。本发明专利技术对用户操作windows进行无感知的审计及权限控制。

A user-insensitive image fortress method and system

The invention discloses a user-insensitive image fortress method and system, which comprises the following steps: step 1, user input username and password to login to the client; step 2, client authentication through the management platform to obtain accessible WINDOWS assets list information for display; step 3, user select the actual WINDOWS assets, and connect the actual WINDOWS assets; Step 4, the client redirects the access traffic to the proxy server through WFP driver; Step 5, the RDP server of the proxy server receives the access traffic and whether it is authorized to access it; Step 6, the RDP server obtains the connection information of the user to the actual WINDOWS asset; Step 7, the RDP server of the proxy server connects to the actual WINDOWS asset and forwards the access traffic to the actual WINDOWS asset; Step 8, the RDP server of the proxy server audits and videos the forwarded RDP protocol. The invention performs senseless auditing and authority control for user operating windows.

【技术实现步骤摘要】
一种用户无感知的图像堡垒机方法及系统
本专利技术涉及网络安全
，尤其涉及一种用户无感知的图像堡垒机方法及系统。
技术介绍
在传统堡垒机网络结构中，如果用户需要访问windows服务器，需要先访问web系统，然后在web系统上访问windows服务器。这样子如果需要记住账号密码（单点登录功能），就需要将账号密码托管到堡垒机，而且访问windows服务器就必须先登录web系统，增加了使用步骤。如果可以直接使用mstsc工具访问windows服务器，又可以保持堡垒机具有的审计和录像功能，这将大大提高系统的易用性。
技术实现思路
本专利技术的目的在于提供一种用户无感知的图像堡垒机方法及系统。本专利技术采用的技术方案是：一种用户无感知的图像堡垒机方法，采用的系统包括客户端、管理平台、代理服务器和WINDOWS资产；客户端分别与管理平台和代理服务器通信连接，管理平台连接代理服务器，管理平台上预设有可访问的WINDOWS资产列表信息，代理服务器上设有RDP服务端；方法包括以下步骤：步骤1，用户输入用户名和密码登陆客户端步骤2，客户端身份验证通过后从管理平台获取可访问的WINDOWS资产列表信息进行展示；步骤3，用户选定实际WINDOWS资产，并连接实际WINDOWS资产；步骤4，客户端通过WFP驱动将访问流量重定向连接到代理服务器；步骤5，代理服务器的RDP服务端接收访问流量，并查询管理平台验证当前用户是否得到授权访问该实际WINDOWS资产；步骤6，RDP服务端获取用户连接到实际WINDOWS资产的ip地址、远程桌面服务端口、用户名以及密码信息；步骤7，代理服务器的RDP服务端与实际WINDOWS资产建立连接，并转发访问流量至实际WINDOWS资产；步骤8，代理服务器的RDP服务端对用户对经由该RDP服务端转发至实际WINDOWS资产的对RDP协议进行审计录像。进一步地，步骤1中所述WINDOWS资产为WINDOWS服务器。进一步地，步骤2中客户端通过查询管理平台进行身份验证；当身份验证不通过时，由客户端提示登录失败原因。进一步地，步骤3中用户通过mstsc工具访问实际WINDOWS资产。进一步地，步骤3中用户通过mstsc工具输入ip访问WINDOWS资产。进一步地，步骤5中代理服务器通过查询管理平台进行授权验证；当授权验证不通过是，断开与客户端的连接，并通知客户端报错。进一步地，本专利技术还公开了一种用户无感知的图像堡垒机系统，其包括客户端、管理平台、代理服务器和WINDOWS资产；管理平台分别连接客户端和代理服务器，管理平台上预设有可访问的WINDOWS资产列表信息，客户端和代理服务器通信连接，客户端用于用户的登录访问建立并与选定的实际WINDOWS资产访问连接，客户端配置为可通过WFP将用户发往选定的实际WINDOWS资产的访问流量重定向至代理服务器；代理服务器上设有RDP服务端，RDP服务端配置为可获取用户连接到实际WINDOWS资产的ip地址、远程桌面服务端口、用户名和密码信息；RDP服务端与实际WINDOWS资产的代理连接并审计录制用户经由该代理连接发往实际WINDOWS资产的RDP协议。进一步地，所述客户端提供mstsc工具供用户访问实际WINDOWS资产。本专利技术采用以上技术方案，通过利用微软提供的WFP拦截网络数据技术，将用户访问实际windows服务器流量重定向到代理服务器，代理服务器提供一个RDP服务端功能，使用户连接上代理服务的RDP服务端，RDP服务端获取到用户实际连接的windows服务器ip地址，远程桌面服务端口，用户名以及密码等信息，再由RDP服务端连接到实际的windows服务器完成RDP连接，同时RDP服务端提供审计和录像功能。本专利技术使用WFP技术重定向用户的RDP流量到图形堡垒机再转发到windows服务器，实现对用户操作windows服务器行为进行无感知的审计以及权限控制，用户无需配置即可使用。本专利技术优化了用户体验，整个过程中，堡垒机对于用户来说是透明的，虽然rdp连接经过了堡垒机，但是用户在使用过程中是无感知的。附图说明以下结合附图和具体实施方式对本专利技术做进一步详细说明；图1为本专利技术一种用户无感知的图像堡垒机方法的流程示意图；图2为本专利技术一种用户无感知的图像堡垒机系统的结构示意图。具体实施方式如图1或2所示，本专利技术公开了一种用户无感知的图像堡垒机方法，采用的系统包括客户端、管理平台、代理服务器和WINDOWS资产；客户端分别与管理平台和代理服务器通信连接，管理平台连接代理服务器，管理平台上预设有可访问的WINDOWS资产列表信息，代理服务器上设有RDP服务端，其中RDP(RemoteDesktopProtocol)远程桌面协议；方法包括以下步骤：步骤1，用户输入用户名和密码登陆客户端步骤2，客户端身份验证通过后从管理平台获取可访问的WINDOWS资产列表信息进行展示；步骤3，用户选定实际WINDOWS资产，并连接实际WINDOWS资产；步骤4，客户端通过WFP驱动将访问流量重定向连接到代理服务器；其中，WFP是一种微软提供的截网络通信的方案；步骤5，代理服务器的RDP服务端接收访问流量，并查询管理平台验证当前用户是否得到授权访问该实际WINDOWS资产；步骤6，RDP服务端获取用户连接到实际WINDOWS资产的ip地址、远程桌面服务端口、用户名以及密码信息；步骤7，代理服务器的RDP服务端与实际WINDOWS资产建立连接，并转发访问流量至实际WINDOWS资产；步骤8，代理服务器的RDP服务端对用户对经由该RDP服务端转发至实际WINDOWS资产的对RDP协议进行审计录像。进一步地，步骤1中所述WINDOWS资产为WINDOWS服务器。进一步地，步骤2中客户端通过查询管理平台进行身份验证；当身份验证不通过时，由客户端提示登录失败原因。进一步地，步骤3中用户通过mstsc工具访问实际WINDOWS资产，其中Mstsc(Microsoftterminalservicesclient)微软终端服务客户端，通常称为远程桌面客户端。进一步地，步骤3中用户通过mstsc工具输入ip访问WINDOWS资产。进一步地，步骤5中代理服务器通过查询管理平台进行授权验证；当授权验证不通过是，断开与客户端的连接，并通知客户端报错。进一步地，本专利技术还公开了一种用户无感知的图像堡垒机系统，其包括客户端、管理平台、代理服务器和WINDOWS资产；管理平台分别连接客户端和代理服务器，管理平台上预设有可访问的WINDOWS资产列表信息，客户端和代理服务器通信连接，客户端用于用户的登录访问建立并与选定的实际WINDOWS资产访问连接，客户端配置为可通过WFP将用户发往选定的实际WINDOWS资产的访问流量重定向至代理服务器；代理服务器上设有RDP服务端，RDP服务端配置为可获取用户连接到实际WINDOWS资产的ip地址、远程桌面服务端口、用户名和密码信息；RDP服务端与实际WINDOWS资产的代理连接并审计录制用户经由该代理连接发往实际WINDOWS资产的RDP协议。进一步地，所述客户端提供mstsc工具供用户访问实际WINDOWS资产。本专利技术采用以上技术方案，通过利用微软提供的WFP拦截网络数据技术，将用本文档来自技高网...

【技术保护点】
1. 一种用户无感知的图像堡垒机方法，采用的系统包括客户端、管理平台、代理服务器和WINDOWS资产；客户端分别与管理平台和代理服务器通信连接，管理平台连接代理服务器，管理平台上预设有可访问的WINDOWS资产列表信息，代理服务器上设有RDP服务端，其特征在于：方法包括以下步骤：步骤1，用户输入用户名和密码登陆客户端步骤2，客户端身份验证通过后从管理平台获取可访问的WINDOWS资产列表信息进行展示；步骤3，用户选定实际WINDOWS资产，并连接实际WINDOWS资产；步骤4，客户端通过WFP驱动将访问流量重定向连接到代理服务器；步骤5，代理服务器的RDP服务端接收访问流量，并查询管理平台验证当前用户是否得到授权访问该实际WINDOWS资产；步骤6，RDP服务端获取用户连接到实际WINDOWS资产的ip地址、远程桌面服务端口、用户名以及密码信息；步骤7，代理服务器的RDP服务端与实际WINDOWS资产建立连接，并转发访问流量至实际WINDOWS资产；步骤8，代理服务器的RDP服务端对用户对经由该RDP服务端转发至实际WINDOWS资产的对RDP协议进行审计录像。

【技术特征摘要】
1.一种用户无感知的图像堡垒机方法，采用的系统包括客户端、管理平台、代理服务器和WINDOWS资产；客户端分别与管理平台和代理服务器通信连接，管理平台连接代理服务器，管理平台上预设有可访问的WINDOWS资产列表信息，代理服务器上设有RDP服务端，其特征在于：方法包括以下步骤：步骤1，用户输入用户名和密码登陆客户端步骤2，客户端身份验证通过后从管理平台获取可访问的WINDOWS资产列表信息进行展示；步骤3，用户选定实际WINDOWS资产，并连接实际WINDOWS资产；步骤4，客户端通过WFP驱动将访问流量重定向连接到代理服务器；步骤5，代理服务器的RDP服务端接收访问流量，并查询管理平台验证当前用户是否得到授权访问该实际WINDOWS资产；步骤6，RDP服务端获取用户连接到实际WINDOWS资产的ip地址、远程桌面服务端口、用户名以及密码信息；步骤7，代理服务器的RDP服务端与实际WINDOWS资产建立连接，并转发访问流量至实际WINDOWS资产；步骤8，代理服务器的RDP服务端对用户对经由该RDP服务端转发至实际WINDOWS资产的对RDP协议进行审计录像。2.根据权利要求1所述的一种用户无感知的图像堡垒机方法，其特征在于：步骤1中所述WINDOWS资产为WINDOWS服务器。3.根据权利要求1所述的一种用户无感知的图像堡垒机方法，其特征在于：步骤2中客户端通过查询管理平台进行身份验证；当身份验证不通过时，由客户端提示登录失败原因。...

【专利技术属性】
技术研发人员：胡荣，汤义成，黄丽荣，林文芯，
申请(专利权)人：中电福富信息科技有限公司，
类型：发明
国别省市：福建,35