概况：

文章插图

(图片可点击放大查看)
企业网络大多数堡垒机部署时，为了不改变现有的网络拓扑结构，采用旁路部署的方案，通过在防火墙或者交换机上配置ACL策略限制用户区PC直接访问服务器区主机IP或者端口（SSH,RDP等等），实现强制员工只能通过堡垒机访问服务器
谈到堡垒机就避不开堡垒机被绕过问题，我这边列举如下几种堡垒机被绕过的场景
例如：如下拓扑图，4台服务器已经托管到堡垒机，可以直接通过堡垒机调用本地工具进行运维


文章插图

(图片可点击放大查看)


文章插图

(图片可点击放大查看)


文章插图

(图片可点击放大查看)
服务器区防火墙或者交换机上没有做ACL，以及当ACL策略做的细粒度不够，导致用户区PC可以直接绕过堡垒机,直接远程服务器


文章插图

(图片可点击放大查看)
如图如示，黑色虚线为本来的访问路径，需要通过堡垒机才能访问Server_A
红色虚线代表现在绕过堡垒机直接访问Server_A
另外一种场景就是，先通过堡垒机访问A服务器，然后再在A服务器上去访问B服务器，这样就绕过了堡垒机间接访问了B服务器
如下拓扑图所示


文章插图

(图片可点击放大查看)
先通过堡垒机访问Server_A 192.168.31.18,由于root密码都是堡垒机进行托管,不知道Server_B 192.168.31.232的root密码 员工可以通过创建免密登录，
ssh-keygen -b 2048

文章插图

(图片可点击放大查看)
再通过堡垒机访问一次Server_B 192.168.31.232 将上一步生成公钥内容导入到192.168.31.232的
/root/.ssh/authorized_keys


文章插图

(图片可点击放大查看)
这样以后就访问ServerB就只用通过堡垒机访问Server_A，再在Server_A上直接SSH到Server_B


文章插图

(图片可点击放大查看)
虽然Server_A的上的操作都可以被堡垒机审计（堡垒机录像回放）， 但是假设刚好Server_A没有被堡垒机托管，只把Server_B用堡垒机托管了，那这种绕过堡垒机的方式就会导致Server_B上的所有运维操作没有被审计到
Server_A是开发环境，Server_B是生产环境，万一对生产环境Server_B造成了破坏时,日志也被删除，这时就很难回溯了
再往深想一下：如果Server_A------->Server_B-------->Server_E-------->Server_F-------->.......这样多跳几次呢？如何防范？
当然Windows服务器RDP也会出现这种场景 先通过堡垒机访问Server_C 192.168.31.82 再mstsc远程到Server_D 192.168.31.116


文章插图

(图片可点击放大查看)
针对第1种和第2种场景如何进行彻底避免呢？
我这边的一种解决办法就是在针对Linux服务器上做对SSH访问控制，只允许堡垒机访问服务器的SSH，其他IP访问SSH全部阻断

• 电脑主机电源维修 计算机电源维修技术
• 电脑主机声音特别大 录音时电脑机箱声音大
• 电脑主机声音大是怎么回事 电脑主机声音大是什么原因
• 最后的堡垒任务 最后的堡垒任务在哪
• 免费虚拟主机管理系统php php虚拟主机作用
• 电脑一般放在什么位置风水好 电脑主机风水放哪边
• 没有主机怎么插u盘 u盘插电脑没有磁盘
• 守望先锋堡垒联赛皮肤 守望先锋联赛皮肤返场
• 戴尔主机进u盘启动 戴尔主机进入u盘启动
• 电脑主机一阵一阵的嗡嗡响 电脑主机很响怎么回事