亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        基于云桌面的分布式堡壘研究

        2017-07-01 20:07:32邱素貞蔡大海
        科技與創(chuàng)新 2017年11期
        關(guān)鍵詞:云桌面計(jì)算資源

        邱素貞+蔡大海

        摘 要:通過分析現(xiàn)有堡壘機(jī)的應(yīng)用實(shí)踐和技術(shù)瓶頸,提出了在云桌面環(huán)境下的分布式云堡壘技術(shù),闡述了“分布式云堡壘”的原理、設(shè)計(jì)方法和實(shí)際效果,以解決現(xiàn)有堡壘機(jī)計(jì)算資源消耗過大、延時(shí)嚴(yán)重的應(yīng)用問題,并增強(qiáng)訪問過程中的控制能力,細(xì)化日志審計(jì)粒度。

        關(guān)鍵詞:云桌面;分布式堡壘;嵌入式代理;計(jì)算資源

        中圖分類號(hào):TP334.7 文獻(xiàn)標(biāo)識(shí)碼:A DOI:10.15913/j.cnki.kjycx.2017.11.071

        為了保障IT資源遠(yuǎn)程運(yùn)維管理方式的安全性,堡壘機(jī)技術(shù)被大量使用。但現(xiàn)有堡壘機(jī)技術(shù)存在性能、過程控制命中率、日志審計(jì)粒度等諸多問題。筆者通過研究在云桌面環(huán)境下的分布式云堡壘技術(shù),可有效解決現(xiàn)有堡壘機(jī)計(jì)算資源消耗過大、延時(shí)嚴(yán)重的應(yīng)用問題,并增強(qiáng)訪問過程控制能力,細(xì)化日志審計(jì)粒度。

        1 堡壘機(jī)應(yīng)用現(xiàn)狀分析

        由于網(wǎng)絡(luò)規(guī)模龐大,遠(yuǎn)程運(yùn)維和管理是最為高效的必然選擇。為了確保遠(yuǎn)程運(yùn)維的安全,目前,大部分企業(yè)已構(gòu)建4A平臺(tái),實(shí)現(xiàn)集中賬號(hào)管理、授權(quán)管理、認(rèn)證管理和審計(jì)管理,并已經(jīng)得到全面應(yīng)用和推廣。在日常的運(yùn)維操作過程中,運(yùn)維人員都需要通過4A平臺(tái)的集中接入通道——堡壘機(jī)連接到被管資源中進(jìn)行維護(hù)操作。4A平臺(tái)總體架構(gòu)如圖1所示。

        在4A平臺(tái)架構(gòu)下,4A平臺(tái)門戶為用戶訪問提供前端Portal服務(wù),堡壘主機(jī)則作為后端統(tǒng)一接入通道,為用戶資源訪問提供集中接入通道服務(wù)。根據(jù)技術(shù)形態(tài),堡壘主機(jī)分為字符堡壘主機(jī)和圖形堡壘主機(jī),相互結(jié)合使用。

        1.1 字符堡壘主機(jī)

        字符堡壘主機(jī)通過邏輯串行的方式部署在網(wǎng)絡(luò)中,對(duì)命令行方式的訪問操作(比如通過telnet、SSH等協(xié)議)進(jìn)行協(xié)議代理和轉(zhuǎn)發(fā),對(duì)操作指令進(jìn)行審計(jì)和過程控制。

        1.2 圖形堡壘主機(jī)

        通過虛擬化發(fā)布技術(shù)對(duì)圖形化操作工具(比如pl_sql、toad、C/S應(yīng)用客戶端)進(jìn)行集中發(fā)布,以圖形錄像方式對(duì)操作行為進(jìn)行記錄,同時(shí),還能夠?qū)S護(hù)的工具進(jìn)行限制。

        隨著堡壘機(jī)的規(guī)模使用,在應(yīng)用、性能、審計(jì)等方面存在一些問題,而這些問題一直無法得到有效解決,主要體現(xiàn)在以下5方面:①圖形堡壘提供客戶端工具發(fā)布和訪問服務(wù),部分客戶端工具需要消耗大量的CPU和內(nèi)存,占用服務(wù)器資源過大,造成系統(tǒng)訪問和操作響應(yīng)緩慢。②圖形堡壘以圖形錄像方式對(duì)用戶操作行為進(jìn)行記錄審計(jì),圖形錄像日志不便于檢索和關(guān)聯(lián)分析,影響審計(jì)效果。③字符堡壘主機(jī)支持的協(xié)議有限,僅支持SSH、TELNET等有限的協(xié)議,使用范圍有限,不支持Oracle等私有協(xié)議解析和審計(jì)。④基于堡壘主機(jī)實(shí)現(xiàn)的金庫模式存在準(zhǔn)確度不高,而且依賴維護(hù)工具。⑤隨著云桌面深入推廣,云桌面系統(tǒng)和圖形堡壘形成了2層虛擬化嵌套的結(jié)構(gòu),產(chǎn)生了操作延時(shí)。

        鑒于以上問題,需要研究建立一套基于云桌面環(huán)境的堡壘主機(jī)系統(tǒng),以解決上述性能、審計(jì)等方面的問題。

        2 分布式云堡壘設(shè)計(jì)與實(shí)現(xiàn)

        2.1 技術(shù)原理設(shè)計(jì)

        在運(yùn)維環(huán)境中,運(yùn)維人員使用的個(gè)人終端都是采用的Windows操作系統(tǒng)。隨著云桌面的應(yīng)用推廣,運(yùn)維人員均通過虛擬桌面訪問生產(chǎn)網(wǎng)絡(luò)。

        為了解決云桌面系統(tǒng)和圖形堡壘所形成的2層虛擬化嵌套結(jié)構(gòu)所產(chǎn)生的操作延時(shí)問題,可以通過直接對(duì)云桌面操作系統(tǒng)進(jìn)行控制,以減少虛擬化次數(shù),同時(shí),通過對(duì)操作系統(tǒng)底層驅(qū)動(dòng)對(duì)用戶的維護(hù)和操作過程進(jìn)行監(jiān)控,通過協(xié)議分析技術(shù)還原操作的整個(gè)過程,可達(dá)到精確管控和字符審計(jì)的目的。

        通過在虛擬桌面模板中內(nèi)嵌分布式云堡壘模塊,可實(shí)現(xiàn)對(duì)虛擬桌面的應(yīng)用授權(quán)、訪問控制和操作審計(jì),減少圖像堡壘機(jī)虛擬化發(fā)布所造成的延時(shí),并通過操作系統(tǒng)底層驅(qū)動(dòng)監(jiān)控機(jī)制,提升審計(jì)能力,降低傳統(tǒng)堡壘機(jī)單點(diǎn)故障風(fēng)險(xiǎn)。

        2.2 分布式云堡壘架構(gòu)設(shè)計(jì)

        2.2.1 分布式云堡壘采用分布式架構(gòu)

        由云桌面操作系統(tǒng)嵌入式代理、云堡壘服務(wù)引擎和管理中心組成。分布式云堡壘體系架構(gòu)圖如圖2所示。

        2.2.2 云桌面操作系統(tǒng)嵌入式代理

        云桌面操作系統(tǒng)或者之上部署的客戶端工具所產(chǎn)生的所有操作行為都要通過底層驅(qū)動(dòng)轉(zhuǎn)化為網(wǎng)絡(luò)通信協(xié)議,云堡壘嵌入式代理部署在操作系統(tǒng)層通過SPI技術(shù)捕獲操作系統(tǒng)的底層驅(qū)動(dòng)及通信協(xié)議,并將這些協(xié)議轉(zhuǎn)發(fā)給服務(wù)引擎進(jìn)行深入分析,從而判斷是否是違規(guī)操作。云堡壘嵌入式代理以底層驅(qū)動(dòng)方式存在,對(duì)使用人員無感知,并將與堡壘主機(jī)的交互過程,比如越權(quán)操作的阻斷提醒等通過驅(qū)動(dòng)技術(shù)與Windows操作系統(tǒng)融合,以操作系統(tǒng)提醒的方式展現(xiàn)給運(yùn)維人員,提高了系統(tǒng)的親和度和管控能力。

        2.2.3 服務(wù)引擎

        服務(wù)引擎是“分布式云堡壘”的核心功能模塊,通過協(xié)議捕獲、協(xié)議分析、策略匹配、協(xié)議重組、協(xié)議轉(zhuǎn)發(fā)、執(zhí)行反饋等功能對(duì)嵌入式代理轉(zhuǎn)發(fā)的協(xié)議進(jìn)行深入分析,實(shí)現(xiàn)基于策略的管控,并將分析的結(jié)果反饋給嵌入式代理。

        2.2.4 管理中心

        負(fù)責(zé)對(duì)“分布式云堡壘”的日常運(yùn)行進(jìn)行配置管理和策略定義,在4A平臺(tái)中進(jìn)行統(tǒng)一管理。

        2.3 分布式云堡壘技術(shù)設(shè)計(jì)

        “分布式云堡壘”的具體設(shè)計(jì)主要包括代理層、服務(wù)引擎層和管理層。

        2.3.1 代理層

        代理層是“分布式云堡壘”的核心,主要包括嵌入式代理、協(xié)議分析、身份認(rèn)證、訪問控制和日志審計(jì)組件。嵌入式代理采用SPI技術(shù),當(dāng)云桌面本地啟動(dòng)客戶端調(diào)用操作系統(tǒng)API接口時(shí),嵌入式代理中的數(shù)據(jù)接收模塊就會(huì)主動(dòng)阻斷客戶端與API的通信,將數(shù)據(jù)流指向數(shù)據(jù)發(fā)送模塊,發(fā)送給上層的協(xié)議分析模塊。同時(shí),可提供對(duì)傳統(tǒng)協(xié)議解析信息(源IP地址、端口號(hào)、從賬號(hào)、操作指令)的擴(kuò)展,增加了主賬號(hào)、終端IP地址、應(yīng)用程序等信息,以實(shí)現(xiàn)事中的訪問控制和日志關(guān)聯(lián)審計(jì)。

        2.3.2 服務(wù)層

        服務(wù)層為代理層提供協(xié)議解釋、策略服務(wù)和集中化日志存儲(chǔ)服務(wù)。協(xié)議解析主要包括預(yù)存儲(chǔ)和匹配步驟。預(yù)存儲(chǔ)是將網(wǎng)絡(luò)協(xié)議的特征字符信息存儲(chǔ)到內(nèi)容存儲(chǔ)器中,將存儲(chǔ)器中的特征字符信息相對(duì)應(yīng)的返回值存儲(chǔ)在隨機(jī)存儲(chǔ)器中。匹配步驟是將待識(shí)別的數(shù)據(jù)包提取包頭數(shù)據(jù),將包頭數(shù)據(jù)與內(nèi)容存儲(chǔ)器中的特征字符信息進(jìn)行匹配,確定與待識(shí)別數(shù)據(jù)包相匹配的特征字符信息后,從隨機(jī)存儲(chǔ)器中獲取相對(duì)應(yīng)的返回值,根據(jù)所確定的特征字符信息和相對(duì)應(yīng)的返回值生成網(wǎng)絡(luò)協(xié)議識(shí)別結(jié)果。通過統(tǒng)計(jì)分析和協(xié)議解析的結(jié)果形成統(tǒng)計(jì)分析日志存入數(shù)據(jù)庫中。策略服務(wù)則為代理層提供用戶身份鑒別、訪問權(quán)限控制、日志審計(jì)等策略更新服務(wù)。

        2.3.3 管理層

        管理層主要對(duì)云堡壘相關(guān)的用戶賬號(hào)認(rèn)證、授權(quán)、審計(jì)等提供統(tǒng)一管理以及版本統(tǒng)一發(fā)布功能。

        3 分布式云堡壘應(yīng)用效果

        分布式云堡壘上線后,對(duì)云桌面終端通信進(jìn)行隔離,所有到生產(chǎn)資源的通信訪問全部由通信網(wǎng)關(guān)代理完成。這種通信全代理方式,在滿足當(dāng)前業(yè)務(wù)功能(防繞行、審計(jì)、金庫)的基礎(chǔ)上,為將來拓展更多的通信相關(guān)的業(yè)務(wù)功能奠定了基礎(chǔ)。

        隨著分布式云堡壘技術(shù)在云桌面環(huán)境內(nèi)的推廣應(yīng)用,取得了以下應(yīng)用效果:①將堡壘嵌入到云桌面操作系統(tǒng)內(nèi),減少了虛擬化發(fā)布環(huán)節(jié)所消耗的計(jì)算資源,大大減少了資源訪問延時(shí);②拓展了協(xié)議支持范圍,同時(shí),能對(duì)通信的數(shù)據(jù)進(jìn)行上行和下行的雙向管控;③在操作系統(tǒng)協(xié)議層進(jìn)行監(jiān)控,提高了現(xiàn)有金庫模式的命中率,提升了管控的安全水平;④解決了虛擬化發(fā)布只能記錄圖形日志,不方便檢索,也不能進(jìn)行深度關(guān)聯(lián)分析;⑤將原有字符堡壘主機(jī)、圖形堡壘主機(jī)的功能整合,方便部署和管理;⑥能更好地適用于未來桌面云化的發(fā)展趨勢,同時(shí),也能夠靈活地部署在現(xiàn)有網(wǎng)絡(luò)架構(gòu)中。

        4 結(jié)束語

        本文分析了現(xiàn)有堡壘機(jī)技術(shù)在運(yùn)維中所存在的問題,并結(jié)合云桌面技術(shù)推廣應(yīng)用,設(shè)計(jì)了在云桌面環(huán)境下的分布式云堡壘技術(shù)架構(gòu),有效減少了虛擬發(fā)布所需的計(jì)算資源消耗,降低了訪問延時(shí)出現(xiàn)的可用性,并提升了日志審計(jì)能力,降低了網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)。

        參考文獻(xiàn)

        [1]吳耀芳,來學(xué)嘉.基于應(yīng)用代理的運(yùn)維堡壘機(jī)研究[J].微型電腦應(yīng)用,2013,29(08).

        [2]趙瑞霞,王會(huì)平.構(gòu)建堡壘主機(jī)抵御網(wǎng)絡(luò)攻擊[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2010(08).

        [3]鄧小榕,陳龍,王國胤.安全審計(jì)數(shù)據(jù)的綜合審計(jì)分析方法[J].重慶郵電學(xué)院學(xué)報(bào)(自然科學(xué)版),2005,17(05).

        〔編輯:張思楠〕

        文章編號(hào):2095-6835(2017)11-0073-02

        猜你喜歡
        云桌面計(jì)算資源
        基于模糊規(guī)劃理論的云計(jì)算資源調(diào)度研究
        改進(jìn)快速稀疏算法的云計(jì)算資源負(fù)載均衡
        一種作業(yè)調(diào)度和計(jì)算資源動(dòng)態(tài)分配方法
        基于Wi-Fi與Web的云計(jì)算資源調(diào)度算法研究
        耦合分布式系統(tǒng)多任務(wù)動(dòng)態(tài)調(diào)度算法
        云計(jì)算在職業(yè)院校中的應(yīng)用與思考
        基于虛擬云桌面構(gòu)建高校財(cái)務(wù)網(wǎng)絡(luò)的探討
        基于云桌面的多媒體培訓(xùn)教室的安全性保障
        關(guān)于機(jī)房云桌面管理的探索
        云環(huán)境下的經(jīng)管類實(shí)驗(yàn)教學(xué)平臺(tái)的研究與設(shè)計(jì)
        av区无码字幕中文色| 911国产在线观看精品| 色婷婷综合一区二区精品久久| 大香蕉国产av一区二区三区 | 99久久精品国产一区色| 91超精品碰国产在线观看| 亚洲熟女乱综合一区二区| 亚洲精品456| 有码中文字幕一区二区| 国语对白福利在线观看| 97久久精品无码一区二区天美| 亚洲AⅤ无码日韩AV中文AV伦| 黄色国产一区在线观看| 极品尤物人妻堕落沉沦| 国产真实老熟女无套内射| 亚州无线国产2021| 久久精品国产亚洲av沈先生| 久久精品丝袜高跟鞋| 一本久久a久久精品亚洲| 成人精品国产亚洲欧洲| 国产精品一区二区夜色不卡| 国产精品久久久久免费观看| 精品综合久久久久久97超人| 久久精品国产亚洲AV香蕉吃奶 | 亚洲欧洲日产国码久在线观看| 中文字幕亚洲乱码熟女1区2区| 午夜精品久久久久久久| 亚洲人成人77777网站| 杨幂国产精品一区二区| 偷拍一区二区盗摄视频| 色偷偷av男人的天堂| 亚洲线精品一区二区三区八戒| 久久久精品网站免费观看| 在线亚洲高清揄拍自拍一品区 | 色欲欲www成人网站| 亚洲最大日夜无码中文字幕| 国产美女自拍国语对白| 免费在线观看播放黄片视频| 久久不见久久见免费影院www| 午夜福利不卡无码视频| 桃色一区一区三区蜜桃视频|