當(dāng)今企業(yè)業(yè)務(wù)迅速發(fā)展，企業(yè)內(nèi)部網(wǎng)絡(luò)規(guī)模也隨之不斷擴(kuò)大，網(wǎng)絡(luò)中有大量的服務(wù)器、交換機(jī)、安全設(shè)備和系統(tǒng)需要進(jìn)行日常的運(yùn)維管理，而“用戶名+口令”是一種比較常見的身份認(rèn)證方式。

隨著運(yùn)維設(shè)備和系統(tǒng)數(shù)量的逐漸增多，特別是當(dāng)數(shù)量增加到成百上千時(shí)，管理員經(jīng)常需要在多個(gè)設(shè)備和系統(tǒng)之間切換，每次切換都需要輸入用戶名和口令進(jìn)行登錄，給工作帶來不便，影響工作效率。為了方便記憶，管理員所采用較簡單的口令或?qū)⒍鄠€(gè)設(shè)備和系統(tǒng)設(shè)置成相同口令，將有可能遭受口令猜測等惡意攻擊，存在安全風(fēng)險(xiǎn)。

采用“USB Key+口令“的雙因子登錄方式，可以增強(qiáng)身份認(rèn)證的安全性。但是，往往現(xiàn)有的雙因子身份認(rèn)證產(chǎn)品，對(duì)服務(wù)器、交換機(jī)等設(shè)備存在兼容性問題，或者根本不支持服務(wù)器、交換機(jī)等設(shè)備運(yùn)行環(huán)境。所以，采用“運(yùn)維堡壘主機(jī)+雙因子”的身份認(rèn)證方式，既可以提高運(yùn)維管理效率，又能夠提高身份認(rèn)證的安全性。

運(yùn)維堡壘主機(jī)用于企業(yè)內(nèi)部網(wǎng)絡(luò)單點(diǎn)登錄的主機(jī)應(yīng)用系統(tǒng)，提供身份認(rèn)證、權(quán)限劃分、安全審計(jì)等功能。管理員在運(yùn)維管理過程中，首先要統(tǒng)一登錄到運(yùn)維堡壘主機(jī)上，然后從運(yùn)維堡壘主機(jī)再登錄到目標(biāo)設(shè)備或系統(tǒng)進(jìn)行日常操作。

CA集成

當(dāng)然，傳統(tǒng)意義上的運(yùn)維堡壘主機(jī)實(shí)現(xiàn)的單點(diǎn)登錄功能，依然采用“用戶名+口令”的身份認(rèn)證方式，還需要進(jìn)一步將運(yùn)維堡壘主機(jī)與CA系統(tǒng)進(jìn)行集成，將原有運(yùn)維堡壘主機(jī)上的身份認(rèn)證交由CA系統(tǒng)完成，從而實(shí)現(xiàn)“USB Key+口令”的雙因子身份認(rèn)證方式。

主要認(rèn)證過程包括：

1.管理員通過認(rèn)證端口向運(yùn)維堡壘主機(jī)發(fā)送HTTPS請(qǐng)求，進(jìn)入證書認(rèn)證登錄界面。登錄界面加載時(shí)，調(diào)用接口程序，通過控件讀取證書信息。

2.管理員使用USB Key并輸入口令，此時(shí)通過接口程序?qū)诹钸M(jìn)行驗(yàn)證。若口令正確，則出現(xiàn)證書選擇窗口。

3.管理員選擇證書并登錄運(yùn)維堡壘主機(jī)，此時(shí)通過接口程序讀取證書中的帳戶信息。

瀏覽器代理

通過運(yùn)維堡壘主機(jī)登錄并管理目標(biāo)設(shè)備，本質(zhì)上都是采用SSH等命令行工具或Windows遠(yuǎn)程桌面的連接方式實(shí)現(xiàn)，對(duì)于需要通過瀏覽器頁面直接進(jìn)行登錄并管理的情況，如：郵件系統(tǒng)配置頁面，應(yīng)部署瀏覽器代理服務(wù)器，補(bǔ)充現(xiàn)有的連接方式，提供IE等瀏覽器的代理服務(wù)，從而覆蓋運(yùn)維管理工作中的所有連接方式，所有運(yùn)維管理工作都集中通過運(yùn)維堡壘主機(jī)進(jìn)行，避免游離在運(yùn)維堡壘主機(jī)之外的“失控”情況出現(xiàn)。

雙機(jī)

所有運(yùn)維管理工作都集中通過運(yùn)維堡壘主機(jī)進(jìn)行，這就意味著可能出現(xiàn)單點(diǎn)故障，存在運(yùn)行風(fēng)險(xiǎn)。所以十分有必要將運(yùn)維堡壘主機(jī)部署為雙機(jī)熱備，可根據(jù)運(yùn)維管理規(guī)模，選擇采用主-備切換方式或雙主機(jī)切換方式。

這樣，一旦單臺(tái)運(yùn)維堡壘主機(jī)出現(xiàn)運(yùn)行故障，另一臺(tái)運(yùn)維堡壘主機(jī)能夠自動(dòng)接管，繼續(xù)提供服務(wù)，確保連續(xù)性和可用性。

應(yīng)用效果

PC服務(wù)器、小機(jī)、安全設(shè)備、交換機(jī)、業(yè)務(wù)應(yīng)用等設(shè)備和系統(tǒng)均可以通過運(yùn)維堡壘主機(jī)，實(shí)現(xiàn)單點(diǎn)登錄，免去多個(gè)設(shè)備和系統(tǒng)之間繁瑣的切換登錄，簡化運(yùn)維管理工作，提高工作效率；通過與CA系統(tǒng)的集成，實(shí)現(xiàn)“USB Key+口令”的“雙因子”認(rèn)證登錄，防范弱口令猜測等安全風(fēng)險(xiǎn)，明顯提高運(yùn)維管理身份認(rèn)證的安全性。