NAT网关(NAT Gateway)是用户业务中常见的网络部署方式,用户在实际使用时可能会存在资产部署NAT网关之后再通过堡垒机对资产的运维行为进行安全管控。本文介绍在NAT网关场景下如何通过堡垒机实现资产的安全运维。
背景信息
为避免公网IP过分暴露遭受外部网络攻击或解决IP地址不足问题,部分用户会部署NAT网关进行地址转换来隐藏和保护内部资产。基于该场景,堡垒机提供实现NAT网关场景下对资产运维的行为管控及审计的解决方案。
解决方案
堡垒机在NAT网关场景下的运维安全管控提供以下两种解决方案:
方案一:网络域方式
堡垒机企业双擎版支持网络域功能。管理员可以将公网NAT网关的弹性公网IP作为代理服务器地址,然后在堡垒机内添加代理服务器,并通过堡垒机导入资产,以实现堡垒机在NAT网关场景下对资产运维的行为管控及审计。
方案二:直连方式
堡垒机支持新建多个相同IP的资产,并通过设置不同目标端口区分目标资产。在NAT网关场景下,被运维资产的地址是通过NAT网关的弹性公网IP+不同端口进行区分,管理员可以在堡垒机新建资产时,将每个资产地址配置为NAT网关的弹性公网IP+对应端口,并通过备注区分目标资产,以实现堡垒机在NAT网关场景下对资产运维的行为管控及审计。
相比较直连方式,通过网络域方式,可在配置网络域后直接导入原主机的真实IP信息且无需更改,在资产管理及运维上更加便捷。
网络域方式
前提条件
已创建公网NAT网关并绑定弹性公网IP。具体操作,请参见创建和管理公网NAT网关实例。
已为公网NAT网关创建DNAT条目。具体操作,请参见创建和管理DNAT条目。
创建DNAT条目是将公网NAT网关上的弹性公网IP映射给服务器,后续会将该服务器作为代理服务器。
操作步骤
登录堡垒机控制台,在顶部菜单栏,选择堡垒机所在的地域。
在堡垒机实例列表,定位到目标实例,单击管理。
为堡垒机添加资产。具体操作,请参见新建主机。
配置网络域。
在左侧导航栏,选择资产管理 > 网络域。
在网络域页面,单击新建网络域。
在新建网络域面板,配置网络域名称,选择连接方式为代理。
单击主代理服务器下方的添加代理服务器,在弹出的对话框中,配置主代理服务器的参数。
配置项
描述
代理方式
选择代理方式,推荐使用SSH代理。
服务器地址
填写代理服务器的IP地址。
服务器端口
填写代理服务器的端口。
主机账户
填写登录代理服务器的账户。
密码
填写代理服务器账户的密码。
移入资产至网络域。
在网络域页面的网络域列表中,定位到目标网络域。在操作列,单击移入主机。
在移入主机对话框,选中目标主机,单击移入。
在弹出的提示框,单击移入。
配置完成后,即可通过堡垒机运维资产。具体操作,请参见运维概述。
直连方式
前提条件
已通过公网NAT网关的DNAT功能实现资产对外提供服务。具体操作,请参见通过公网NAT网关DNAT功能实现ECS对外提供服务。
操作步骤
登录堡垒机控制台,在顶部菜单栏,选择堡垒机所在的地域。
在堡垒机实例列表,定位到目标实例,单击管理。
在左侧导航栏,选择资产管理 > 主机
在主机页面,选择导入其他来源主机 > 新建主机。
在新建主机面板,参考下表配置主要参数,单击创建。
配置项
描述
操作系统
选择linux。
主机IP
填写NAT网关绑定的弹性公网IP。
备注
输入资产的备注信息,便于后续识别。
在主机列表,定位到您的创建的主机,单击主机名称。
在服务端口页签,输入您资产在NAT网关映射的端口,单击更新。
配置完成后,即可通过堡垒机运维资产。具体操作,请参见运维概述。