一种用户无感知的图像堡垒机方法及系统与流程

本发明涉及网络安全技术领域，尤其涉及一种用户无感知的图像堡垒机方法及系统。

背景技术：

在传统堡垒机网络结构中，如果用户需要访问windows服务器，需要先访问web系统，然后在web系统上访问windows服务器。这样子如果需要记住账号密码（单点登录功能），就需要将账号密码托管到堡垒机，而且访问windows服务器就必须先登录web系统，增加了使用步骤。如果可以直接使用mstsc工具访问windows服务器，又可以保持堡垒机具有的审计和录像功能，这将大大提高系统的易用性。

技术实现要素：

本发明的目的在于提供一种用户无感知的图像堡垒机方法及系统。

本发明采用的技术方案是：

一种用户无感知的图像堡垒机方法，采用的系统包括客户端、管理平台、代理服务器和windows资产；客户端分别与管理平台和代理服务器通信连接，管理平台连接代理服务器，管理平台上预设有可访问的windows资产列表信息，代理服务器上设有rdp服务端；方法包括以下步骤：

步骤1，用户输入用户名和密码登陆客户端

步骤2，客户端身份验证通过后从管理平台获取可访问的windows资产列表信息进行展示；

步骤3，用户选定实际windows资产，并连接实际windows资产；

步骤4，客户端通过wfp驱动将访问流量重定向连接到代理服务器；

步骤5，代理服务器的rdp服务端接收访问流量，并查询管理平台验证当前用户是否得到授权访问该实际windows资产；

步骤6，rdp服务端获取用户连接到实际windows资产的ip地址、远程桌面服务端口、用户名以及密码信息；

步骤7，代理服务器的rdp服务端与实际windows资产建立连接，并转发访问流量至实际windows资产；

步骤8，代理服务器的rdp服务端对用户对经由该rdp服务端转发至实际windows资产的对rdp协议进行审计录像。

进一步地，步骤1中所述windows资产为windows服务器。

进一步地，步骤2中客户端通过查询管理平台进行身份验证；当身份验证不通过时，由客户端提示登录失败原因。

进一步地，步骤3中用户通过mstsc工具访问实际windows资产。

进一步地，步骤3中用户通过mstsc工具输入ip访问windows资产。

进一步地，步骤5中代理服务器通过查询管理平台进行授权验证；当授权验证不通过是，断开与客户端的连接，并通知客户端报错。

进一步地，本发明还公开了一种用户无感知的图像堡垒机系统，其包括客户端、管理平台、代理服务器和windows资产；管理平台分别连接客户端和代理服务器，管理平台上预设有可访问的windows资产列表信息，客户端和代理服务器通信连接，客户端用于用户的登录访问建立并与选定的实际windows资产访问连接，客户端配置为可通过wfp将用户发往选定的实际windows资产的访问流量重定向至代理服务器；代理服务器上设有rdp服务端，rdp服务端配置为可获取用户连接到实际windows资产的ip地址、远程桌面服务端口、用户名和密码信息；rdp服务端与实际windows资产的代理连接并审计录制用户经由该代理连接发往实际windows资产的rdp协议。

进一步地，所述客户端提供mstsc工具供用户访问实际windows资产。

本发明采用以上技术方案，通过利用微软提供的wfp拦截网络数据技术，将用户访问实际windows服务器流量重定向到代理服务器，代理服务器提供一个rdp服务端功能，使用户连接上代理服务的rdp服务端，rdp服务端获取到用户实际连接的windows服务器ip地址，远程桌面服务端口，用户名以及密码等信息，再由rdp服务端连接到实际的windows服务器完成rdp连接，同时rdp服务端提供审计和录像功能。本发明使用wfp技术重定向用户的rdp流量到图形堡垒机再转发到windows服务器，实现对用户操作windows服务器行为进行无感知的审计以及权限控制，用户无需配置即可使用。本发明优化了用户体验，整个过程中，堡垒机对于用户来说是透明的，虽然rdp连接经过了堡垒机，但是用户在使用过程中是无感知的。

附图说明

以下结合附图和具体实施方式对本发明做进一步详细说明；

图1为本发明一种用户无感知的图像堡垒机方法的流程示意图；

图2为本发明一种用户无感知的图像堡垒机系统的结构示意图。

具体实施方式

如图1或2所示，本发明公开了一种用户无感知的图像堡垒机方法，采用的系统包括客户端、管理平台、代理服务器和windows资产；客户端分别与管理平台和代理服务器通信连接，管理平台连接代理服务器，管理平台上预设有可访问的windows资产列表信息，代理服务器上设有rdp服务端，其中rdp(remotedesktopprotocol)远程桌面协议；方法包括以下步骤：

步骤1，用户输入用户名和密码登陆客户端

步骤2，客户端身份验证通过后从管理平台获取可访问的windows资产列表信息进行展示；

步骤3，用户选定实际windows资产，并连接实际windows资产；

步骤4，客户端通过wfp驱动将访问流量重定向连接到代理服务器；其中，wfp是一种微软提供的截网络通信的方案；

步骤5，代理服务器的rdp服务端接收访问流量，并查询管理平台验证当前用户是否得到授权访问该实际windows资产；

步骤6，rdp服务端获取用户连接到实际windows资产的ip地址、远程桌面服务端口、用户名以及密码信息；

步骤7，代理服务器的rdp服务端与实际windows资产建立连接，并转发访问流量至实际windows资产；

步骤8，代理服务器的rdp服务端对用户对经由该rdp服务端转发至实际windows资产的对rdp协议进行审计录像。

进一步地，步骤1中所述windows资产为windows服务器。

进一步地，步骤2中客户端通过查询管理平台进行身份验证；当身份验证不通过时，由客户端提示登录失败原因。

进一步地，步骤3中用户通过mstsc工具访问实际windows资产，其中mstsc(microsoftterminalservicesclient)微软终端服务客户端，通常称为远程桌面客户端。

进一步地，步骤3中用户通过mstsc工具输入ip访问windows资产。

进一步地，步骤5中代理服务器通过查询管理平台进行授权验证；当授权验证不通过是，断开与客户端的连接，并通知客户端报错。

进一步地，本发明还公开了一种用户无感知的图像堡垒机系统，其包括客户端、管理平台、代理服务器和windows资产；管理平台分别连接客户端和代理服务器，管理平台上预设有可访问的windows资产列表信息，客户端和代理服务器通信连接，客户端用于用户的登录访问建立并与选定的实际windows资产访问连接，客户端配置为可通过wfp将用户发往选定的实际windows资产的访问流量重定向至代理服务器；代理服务器上设有rdp服务端，rdp服务端配置为可获取用户连接到实际windows资产的ip地址、远程桌面服务端口、用户名和密码信息；rdp服务端与实际windows资产的代理连接并审计录制用户经由该代理连接发往实际windows资产的rdp协议。

进一步地，所述客户端提供mstsc工具供用户访问实际windows资产。

本发明采用以上技术方案，通过利用微软提供的wfp拦截网络数据技术，将用户访问实际windows服务器流量重定向到代理服务器，代理服务器提供一个rdp服务端功能，使用户连接上代理服务的rdp服务端，rdp服务端获取到用户实际连接的windows服务器ip地址，远程桌面服务端口，用户名以及密码等信息，再由rdp服务端连接到实际的windows服务器完成rdp连接，同时rdp服务端提供审计和录像功能。本发明使用wfp技术重定向用户的rdp流量到图形堡垒机再转发到windows服务器，实现对用户操作windows服务器行为进行无感知的审计以及权限控制，用户无需配置即可使用。本发明优化了用户体验，整个过程中，堡垒机对于用户来说是透明的，虽然rdp连接经过了堡垒机，但是用户在使用过程中是无感知的。