一种用户无感知的字符堡垒机方法及系统技术方案

本发明专利技术公开一种用户无感知的字符堡垒机方法及系统，方法包括以下步骤：步骤1，用户验证登陆客户端并获取可访问的运维设备列表信息；步骤2，用户选定实际运维设备并输入用户名和密码连接实际运维设备；步骤3，桶WFP驱动判断该实际运维设备是否在监管平台的设备列表中；是则，重定向到代理服务器；步骤4，用户连接代理服务器的ssh连接服务，并发送选定运维设备的连接信息给代理服务器；步骤5，代理服务器获取用户名以及密码，并获取该实际运维设备的IP信息，步骤6，字符审计模块连接实际运维设备；步骤7，字符审计模块对用户经由该ssh连接发往实际运维设备的字符操作进行审计录制。本发明专利技术对用户的运维操作进行无感知的审计及权限控制。

【技术实现步骤摘要】
一种用户无感知的字符堡垒机方法及系统
本专利技术涉及网络安全
，尤其涉及一种用户无感知的字符堡垒机方法及系统。
技术介绍
SSH网络安全访问协议是市面上堡垒机系统必备的一个功能，目前大部分的堡垒机系统都需要托管实际运维设备用户名密码来实现连接实际运维设备，然后通过Web界面访问实际运维设备，或者需由跳转设备连接实际运维设备。在用户的使用过程中，与非使用堡垒机进行ssh访问时明显增加了一定的步骤。如何让用户直接用ssh客户端访问实际运维设备，又可以保持堡垒机所具有的SSH访问控制和审计的功能成为了技术人员的研究方向。
技术实现思路
本专利技术的目的在于提供一种用户无感知的字符堡垒机方法及系统。本专利技术采用的技术方案是：一种用户无感知的字符堡垒机方法，其包括以下步骤：步骤1，用户验证登陆客户端并从监管平台获取可访问的运维设备列表信息；步骤2，用户选定实际运维设备，并输入用户名和密码连接实际运维设备；步骤3，客户端通过WFP驱动判断该实际运维设备是否在监管平台下发的设备列表中；是则，在重定向层中重定向tcp连接到代理服务器并执行步骤4；否则，由客户端提示无权登录选定实际运维设备；步骤4本文档来自技高网...

【技术保护点】
1.一种用户无感知的字符堡垒机方法，采用的系统包括客户端、监管平台、代理服务器和实际运维设备；客户端分别与监管平台、代理服务器和实际运维设备通信连接，监管平台上预设有可访问的运维设备列表信息，代理服务器上设有ssh连接服务、bash程序和字符审计模块，其特征在于：方法包括以下步骤：步骤1，用户验证登陆客户端并从监管平台获取可访问的运维设备列表信息；步骤2，用户选定实际运维设备，并输入用户名和密码连接实际运维设备；步骤3，客户端通过WFP驱动判断该实际运维设备是否在监管平台下发的设备列表中；是则，在重定向层中重定向tcp连接到代理服务器并执行步骤4；否则，由客户端提示无权登录选定实际运维设备；步...

【技术特征摘要】
1.一种用户无感知的字符堡垒机方法，采用的系统包括客户端、监管平台、代理服务器和实际运维设备；客户端分别与监管平台、代理服务器和实际运维设备通信连接，监管平台上预设有可访问的运维设备列表信息，代理服务器上设有ssh连接服务、bash程序和字符审计模块，其特征在于：方法包括以下步骤：步骤1，用户验证登陆客户端并从监管平台获取可访问的运维设备列表信息；步骤2，用户选定实际运维设备，并输入用户名和密码连接实际运维设备；步骤3，客户端通过WFP驱动判断该实际运维设备是否在监管平台下发的设备列表中；是则，在重定向层中重定向tcp连接到代理服务器并执行步骤4；否则，由客户端提示无权登录选定实际运维设备；步骤4，用户连接代理服务器的配置好的ssh连接服务，并发送选定运维设备的连接信息给代理服务器；代理服务器配置为允许任何用户名及密码登录并成功连接ssh连接，步骤5，ssh连接成功后，代理服务器获取用户名以及密码，并调用bash程序获取用户通过客户端发送的连接信息，并判断获取该实际运维设备的IP信息，步骤6，bash程序整合获取实际运维设备的IP信息、用户名和密码，并调用字符审计模块使用整合后的信息连接实际运维设备；步骤7，字符审计模块对用户经由该ssh连接发往实际运维设备的字符操作进行审计录制。2.根据权利要求1所述的一种用户无感知的字符堡垒机方法，其特征在于：步骤1中用户使用crt客户端。3.根据权利要求1所述的一种用户无感知的字符堡垒机方法，其特征在于：步骤4中代理服务器采用linux系统，并通过修改linux系统的nsswatch.conf文件，允许通过任何用户名及密码登录并成功连接ssh。4.根据权利要求3所述...

【专利技术属性】
技术研发人员：陈贻劲，陈仙住，揭水宝，陈磊，
申请(专利权)人：中电福富信息科技有限公司，
类型：发明
国别省市：福建,35