CN109672744A - 一种用户无感知的图像堡垒机方法及系统 - Google Patents
一种用户无感知的图像堡垒机方法及系统 Download PDFInfo
- Publication number
- CN109672744A CN109672744A CN201811623900.6A CN201811623900A CN109672744A CN 109672744 A CN109672744 A CN 109672744A CN 201811623900 A CN201811623900 A CN 201811623900A CN 109672744 A CN109672744 A CN 109672744A
- Authority
- CN
- China
- Prior art keywords
- windows
- user
- assets
- client
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/563—Data redirection of data network streams
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Technology Law (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开一种用户无感知的图像堡垒机方法及系统,方法包括以下步骤:步骤1,用户输入用户名和密码登陆客户端;步骤2,客户端身份验证通过后从管理平台获取可访问的WINDOWS资产列表信息进行展示;步骤3,用户选定实际WINDOWS资产,并连接实际WINDOWS资产;步骤4,客户端通过WFP驱动将访问流量重定向连接到代理服务器;步骤5,代理服务器的RDP服务端接收访问流量,并是否得到授权访问;步骤6,RDP服务端获取用户连接到实际WINDOWS资产的连接信息;步骤7,代理服务器的RDP服务端与连接并转发访问流量至实际WINDOWS资产;步骤8,代理服务器的RDP服务端对转发的RDP协议进行审计录像。本发明对用户操作windows进行无感知的审计及权限控制。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种用户无感知的图像堡垒机方法及系统。
背景技术
在传统堡垒机网络结构中,如果用户需要访问windows服务器,需要先访问web系统,然后在web系统上访问windows服务器。这样子如果需要记住账号密码(单点登录功能),就需要将账号密码托管到堡垒机,而且访问windows服务器就必须先登录web系统,增加了使用步骤。如果可以直接使用mstsc工具访问windows服务器,又可以保持堡垒机具有的审计和录像功能,这将大大提高系统的易用性。
发明内容
本发明的目的在于提供一种用户无感知的图像堡垒机方法及系统。
本发明采用的技术方案是:
一种用户无感知的图像堡垒机方法,采用的系统包括客户端、管理平台、代理服务器和WINDOWS资产;客户端分别与管理平台和代理服务器通信连接,管理平台连接代理服务器,管理平台上预设有可访问的WINDOWS资产列表信息,代理服务器上设有RDP服务端;方法包括以下步骤:
步骤1,用户输入用户名和密码登陆客户端
步骤2,客户端身份验证通过后从管理平台获取可访问的WINDOWS资产列表信息进行展示;
步骤3,用户选定实际WINDOWS资产,并连接实际WINDOWS资产;
步骤4,客户端通过WFP驱动将访问流量重定向连接到代理服务器;
步骤5,代理服务器的RDP服务端接收访问流量,并查询管理平台验证当前用户是否得到授权访问该实际WINDOWS资产;
步骤6,RDP服务端获取用户连接到实际WINDOWS资产的ip地址、远程桌面服务端口、用户名以及密码信息;
步骤7,代理服务器的RDP服务端与实际WINDOWS资产建立连接,并转发访问流量至实际WINDOWS资产;
步骤8,代理服务器的RDP服务端对用户对经由该RDP服务端转发至实际WINDOWS资产的对RDP协议进行审计录像。
进一步地,步骤1中所述WINDOWS资产为WINDOWS服务器。
进一步地,步骤2中客户端通过查询管理平台进行身份验证;当身份验证不通过时,由客户端提示登录失败原因。
进一步地,步骤3中用户通过mstsc工具访问实际WINDOWS资产。
进一步地,步骤3中用户通过mstsc工具输入ip访问WINDOWS资产。
进一步地,步骤5中代理服务器通过查询管理平台进行授权验证;当授权验证不通过是,断开与客户端的连接,并通知客户端报错。
进一步地,本发明还公开了一种用户无感知的图像堡垒机系统,其包括客户端、管理平台、代理服务器和WINDOWS资产;管理平台分别连接客户端和代理服务器,管理平台上预设有可访问的WINDOWS资产列表信息,客户端和代理服务器通信连接,客户端用于用户的登录访问建立并与选定的实际WINDOWS资产访问连接,客户端配置为可通过WFP将用户发往选定的实际WINDOWS资产的访问流量重定向至代理服务器;代理服务器上设有RDP服务端,RDP服务端配置为可获取用户连接到实际WINDOWS资产的ip地址、远程桌面服务端口、用户名和密码信息;RDP服务端与实际WINDOWS资产的代理连接并审计录制用户经由该代理连接发往实际WINDOWS资产的RDP协议。
进一步地,所述客户端提供mstsc工具供用户访问实际WINDOWS资产。
本发明采用以上技术方案,通过利用微软提供的WFP拦截网络数据技术,将用户访问实际windows服务器流量重定向到代理服务器,代理服务器提供一个RDP服务端功能,使用户连接上代理服务的RDP服务端,RDP服务端获取到用户实际连接的windows服务器ip地址,远程桌面服务端口,用户名以及密码等信息,再由RDP服务端连接到实际的windows服务器完成RDP连接,同时RDP服务端提供审计和录像功能。本发明使用WFP技术重定向用户的RDP流量到图形堡垒机再转发到windows服务器,实现对用户操作windows服务器行为进行无感知的审计以及权限控制,用户无需配置即可使用。本发明优化了用户体验,整个过程中,堡垒机对于用户来说是透明的,虽然rdp连接经过了堡垒机,但是用户在使用过程中是无感知的。
附图说明
以下结合附图和具体实施方式对本发明做进一步详细说明;
图1为本发明一种用户无感知的图像堡垒机方法的流程示意图;
图2为本发明一种用户无感知的图像堡垒机系统的结构示意图。
具体实施方式
如图1或2所示,本发明公开了一种用户无感知的图像堡垒机方法,采用的系统包括客户端、管理平台、代理服务器和WINDOWS资产;客户端分别与管理平台和代理服务器通信连接,管理平台连接代理服务器,管理平台上预设有可访问的WINDOWS资产列表信息,代理服务器上设有RDP服务端,其中RDP( Remote Desktop Protocol)远程桌面协议;方法包括以下步骤:
步骤1,用户输入用户名和密码登陆客户端
步骤2,客户端身份验证通过后从管理平台获取可访问的WINDOWS资产列表信息进行展示;
步骤3,用户选定实际WINDOWS资产,并连接实际WINDOWS资产;
步骤4,客户端通过WFP驱动将访问流量重定向连接到代理服务器;其中,WFP是一种微软提供的截网络通信的方案;
步骤5,代理服务器的RDP服务端接收访问流量,并查询管理平台验证当前用户是否得到授权访问该实际WINDOWS资产;
步骤6,RDP服务端获取用户连接到实际WINDOWS资产的ip地址、远程桌面服务端口、用户名以及密码信息;
步骤7,代理服务器的RDP服务端与实际WINDOWS资产建立连接,并转发访问流量至实际WINDOWS资产;
步骤8,代理服务器的RDP服务端对用户对经由该RDP服务端转发至实际WINDOWS资产的对RDP协议进行审计录像。
进一步地,步骤1中所述WINDOWS资产为WINDOWS服务器。
进一步地,步骤2中客户端通过查询管理平台进行身份验证;当身份验证不通过时,由客户端提示登录失败原因。
进一步地,步骤3中用户通过mstsc工具访问实际WINDOWS资产,其中Mstsc(Microsoft terminal services client)微软终端服务客户端,通常称为远程桌面客户端。
进一步地,步骤3中用户通过mstsc工具输入ip访问WINDOWS资产。
进一步地,步骤5中代理服务器通过查询管理平台进行授权验证;当授权验证不通过是,断开与客户端的连接,并通知客户端报错。
进一步地,本发明还公开了一种用户无感知的图像堡垒机系统,其包括客户端、管理平台、代理服务器和WINDOWS资产;管理平台分别连接客户端和代理服务器,管理平台上预设有可访问的WINDOWS资产列表信息,客户端和代理服务器通信连接,客户端用于用户的登录访问建立并与选定的实际WINDOWS资产访问连接,客户端配置为可通过WFP将用户发往选定的实际WINDOWS资产的访问流量重定向至代理服务器;代理服务器上设有RDP服务端,RDP服务端配置为可获取用户连接到实际WINDOWS资产的ip地址、远程桌面服务端口、用户名和密码信息;RDP服务端与实际WINDOWS资产的代理连接并审计录制用户经由该代理连接发往实际WINDOWS资产的RDP协议。
进一步地,所述客户端提供mstsc工具供用户访问实际WINDOWS资产。
本发明采用以上技术方案,通过利用微软提供的WFP拦截网络数据技术,将用户访问实际windows服务器流量重定向到代理服务器,代理服务器提供一个RDP服务端功能,使用户连接上代理服务的RDP服务端,RDP服务端获取到用户实际连接的windows服务器ip地址,远程桌面服务端口,用户名以及密码等信息,再由RDP服务端连接到实际的windows服务器完成RDP连接,同时RDP服务端提供审计和录像功能。本发明使用WFP技术重定向用户的RDP流量到图形堡垒机再转发到windows服务器,实现对用户操作windows服务器行为进行无感知的审计以及权限控制,用户无需配置即可使用。本发明优化了用户体验,整个过程中,堡垒机对于用户来说是透明的,虽然rdp连接经过了堡垒机,但是用户在使用过程中是无感知的。
Claims (8)
1. 一种用户无感知的图像堡垒机方法,采用的系统包括客户端、管理平台、代理服务器和WINDOWS资产;客户端分别与管理平台和代理服务器通信连接,管理平台连接代理服务器,管理平台上预设有可访问的WINDOWS资产列表信息,代理服务器上设有RDP服务端,其特征在于:方法包括以下步骤:
步骤1,用户输入用户名和密码登陆客户端
步骤2,客户端身份验证通过后从管理平台获取可访问的WINDOWS资产列表信息进行展示;
步骤3,用户选定实际WINDOWS资产,并连接实际WINDOWS资产;
步骤4,客户端通过WFP驱动将访问流量重定向连接到代理服务器;
步骤5,代理服务器的RDP服务端接收访问流量,并查询管理平台验证当前用户是否得到授权访问该实际WINDOWS资产;
步骤6,RDP服务端获取用户连接到实际WINDOWS资产的ip地址、远程桌面服务端口、用户名以及密码信息;
步骤7,代理服务器的RDP服务端与实际WINDOWS资产建立连接,并转发访问流量至实际WINDOWS资产;
步骤8,代理服务器的RDP服务端对用户对经由该RDP服务端转发至实际WINDOWS资产的对RDP协议进行审计录像。
2.根据权利要求1所述的一种用户无感知的图像堡垒机方法,其特征在于:步骤1中所述WINDOWS资产为WINDOWS服务器。
3.根据权利要求1所述的一种用户无感知的图像堡垒机方法,其特征在于:步骤2中客户端通过查询管理平台进行身份验证;当身份验证不通过时,由客户端提示登录失败原因。
4.根据权利要求1所述的一种用户无感知的图像堡垒机方法,其特征在于:步骤3中用户通过mstsc工具访问实际WINDOWS资产。
5.根据权利要求4所述的一种用户无感知的图像堡垒机方法,其特征在于:步骤3中用户通过mstsc工具输入ip访问WINDOWS资产。
6.根据权利要求1所述的一种用户无感知的图像堡垒机方法,其特征在于:步骤5中代理服务器通过查询管理平台进行授权验证;当授权验证不通过是,断开与客户端的连接,并通知客户端报错。
7.一种用户无感知的图像堡垒机系统,应用了权利要求1-6任一所述的一种用户无感知的图像堡垒机系方法;其特征在于:系统包括客户端、管理平台、代理服务器和WINDOWS资产;管理平台分别连接客户端和代理服务器,管理平台上预设有可访问的WINDOWS资产列表信息,客户端和代理服务器通信连接,客户端用于用户的登录访问建立并与选定的实际WINDOWS资产访问连接,客户端配置为可通过WFP将用户发往选定的实际WINDOWS资产的访问流量重定向至代理服务器;代理服务器上设有RDP服务端,RDP服务端配置为可获取用户连接到实际WINDOWS资产的ip地址、远程桌面服务端口、用户名和密码信息;RDP服务端与实际WINDOWS资产的代理连接并审计录制用户经由该代理连接发往实际WINDOWS资产的RDP协议。
8.根据权利要求1所述的一种用户无感知的图像堡垒机系统,其特征在于:所述客户端提供mstsc工具供用户访问实际WINDOWS资产。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811623900.6A CN109672744A (zh) | 2018-12-28 | 2018-12-28 | 一种用户无感知的图像堡垒机方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811623900.6A CN109672744A (zh) | 2018-12-28 | 2018-12-28 | 一种用户无感知的图像堡垒机方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109672744A true CN109672744A (zh) | 2019-04-23 |
Family
ID=66146452
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811623900.6A Pending CN109672744A (zh) | 2018-12-28 | 2018-12-28 | 一种用户无感知的图像堡垒机方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109672744A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110515689A (zh) * | 2019-08-28 | 2019-11-29 | 成都安恒信息技术有限公司 | 用于堡垒机rdp cs运维的图形用户界面实现系统及方法 |
| CN111709043A (zh) * | 2020-06-19 | 2020-09-25 | 浪潮云信息技术股份公司 | 一种图形化操作系统的命令控制方法 |
| CN112528337A (zh) * | 2020-12-21 | 2021-03-19 | 中电福富信息科技有限公司 | 一种基于wfp的对数据库高危命令实时授权的方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102571773A (zh) * | 2011-12-27 | 2012-07-11 | 浙江省电力公司 | 一种信息安全综合审计系统和方法 |
| CN104219330A (zh) * | 2014-09-29 | 2014-12-17 | 北京神州绿盟信息安全科技股份有限公司 | 一种基于web代理进行录屏审计的方法及系统 |
| CN106453309A (zh) * | 2016-10-11 | 2017-02-22 | 北京天融信网络安全技术有限公司 | 一种安全审计的方法和pc终端 |
| US20170118167A1 (en) * | 2015-10-22 | 2017-04-27 | Oracle International Corporation | Whitelist construction |
| CN107528811A (zh) * | 2016-06-21 | 2017-12-29 | 中兴通讯股份有限公司 | 请求的响应方法及装置 |
| CN108173838A (zh) * | 2017-12-26 | 2018-06-15 | 福建星瑞格软件有限公司 | 一种对网络设备访问的控制审计方法 |
-
2018
- 2018-12-28 CN CN201811623900.6A patent/CN109672744A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102571773A (zh) * | 2011-12-27 | 2012-07-11 | 浙江省电力公司 | 一种信息安全综合审计系统和方法 |
| CN104219330A (zh) * | 2014-09-29 | 2014-12-17 | 北京神州绿盟信息安全科技股份有限公司 | 一种基于web代理进行录屏审计的方法及系统 |
| US20170118167A1 (en) * | 2015-10-22 | 2017-04-27 | Oracle International Corporation | Whitelist construction |
| CN107528811A (zh) * | 2016-06-21 | 2017-12-29 | 中兴通讯股份有限公司 | 请求的响应方法及装置 |
| CN106453309A (zh) * | 2016-10-11 | 2017-02-22 | 北京天融信网络安全技术有限公司 | 一种安全审计的方法和pc终端 |
| CN108173838A (zh) * | 2017-12-26 | 2018-06-15 | 福建星瑞格软件有限公司 | 一种对网络设备访问的控制审计方法 |
Non-Patent Citations (1)
| Title |
|---|
| WHYWIN: "小白接触堡垒机", 《CSDN》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110515689A (zh) * | 2019-08-28 | 2019-11-29 | 成都安恒信息技术有限公司 | 用于堡垒机rdp cs运维的图形用户界面实现系统及方法 |
| CN110515689B (zh) * | 2019-08-28 | 2022-05-31 | 成都安恒信息技术有限公司 | 用于堡垒机rdp cs运维的图形用户界面实现系统及方法 |
| CN111709043A (zh) * | 2020-06-19 | 2020-09-25 | 浪潮云信息技术股份公司 | 一种图形化操作系统的命令控制方法 |
| CN111709043B (zh) * | 2020-06-19 | 2022-09-27 | 浪潮云信息技术股份公司 | 一种图形化操作系统的命令控制方法 |
| CN112528337A (zh) * | 2020-12-21 | 2021-03-19 | 中电福富信息科技有限公司 | 一种基于wfp的对数据库高危命令实时授权的方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101990183B (zh) | 保护用户信息的方法、装置及系统 | |
| US9356895B2 (en) | Message transmission system and method for a structure of a plurality of organizations | |
| US20040003084A1 (en) | Network resource management system | |
| EP2036304B1 (en) | Secure communication network user mobility apparatus and methods | |
| US7536392B2 (en) | Network update manager | |
| AU2020202168B2 (en) | Method and system related to authentication of users for accessing data networks | |
| US10116628B2 (en) | Server-paid internet access service | |
| CA2372647A1 (en) | System and method for administrating a wireless communication network | |
| US20090077649A1 (en) | Secure messaging system and method | |
| CN101005503A (zh) | 用于侦听客户端和服务之间的通信的方法和数据处理系统 | |
| CN107426174A (zh) | 一种可信执行环境的访问控制系统及方法 | |
| CN101488857B (zh) | 认证服务虚拟化 | |
| CN109672744A (zh) | 一种用户无感知的图像堡垒机方法及系统 | |
| KR20150137518A (ko) | 하이브리드 클라우드기반 ict서비스시스템 및 그 방법 | |
| CN110138779B (zh) | 一种基于多协议反向代理的Hadoop平台安全管控方法 | |
| EP1517510B1 (en) | Moving principals across security boundaries without service interruptions | |
| CA3040804C (en) | Portal aggregation service mapping subscriber device identifiers to portal addresses to which connection and authentication requests are redirected and facilitating mass subscriber apparatus configuration | |
| CN111245791B (zh) | 一种通过反向代理实现管理和it服务的单点登录方法 | |
| EP4169219B1 (en) | Methods, system and communication devices related to lawful interception | |
| Subenthiran et al. | Requirements for identity management in next generation networks | |
| CN114710335A (zh) | 一种用户认证的方法、防火墙和ad域控服务器 | |
| CN116796305A (zh) | 一种数据中心访问方法、装置、设备及介质 | |
| CN117768530A (zh) | 一种基于轻量级微服务架构的网关中间件 | |
| Sudhakar et al. | A Security Approach and Prevention Technique against ARP Poisoning | |
| CA2601654A1 (en) | Secure messaging system and method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190423 |
|
| RJ01 | Rejection of invention patent application after publication |