NAT场景下的堡垒机运维最佳实践

NAT网关(NAT Gateway)是用户业务中常见的网络部署方式,用户在实际使用时可能会存在资产部署NAT网关之后再通过堡垒机对资产的运维行为进行安全管控。本文介绍在NAT网关场景下如何通过堡垒机实现资产的安全运维。

背景信息

为避免公网IP过分暴露遭受外部网络攻击或解决IP地址不足问题,部分用户会部署NAT网关进行地址转换来隐藏和保护内部资产。基于该场景,堡垒机提供实现NAT网关场景下对资产运维的行为管控及审计的解决方案。

解决方案

堡垒机在NAT网关场景下的运维安全管控提供以下两种解决方案:

  • 方案一:网络域方式

    堡垒机企业双擎版支持网络域功能。管理员可以将公网NAT网关的弹性公网IP作为代理服务器地址,然后在堡垒机内添加代理服务器,并通过堡垒机导入资产,以实现堡垒机在NAT网关场景下对资产运维的行为管控及审计。

  • 方案二:直连方式

    堡垒机支持新建多个相同IP的资产,并通过设置不同目标端口区分目标资产。在NAT网关场景下,被运维资产的地址是通过NAT网关的弹性公网IP+不同端口进行区分,管理员可以在堡垒机新建资产时,将每个资产地址配置为NAT网关的弹性公网IP+对应端口,并通过备注区分目标资产,以实现堡垒机在NAT网关场景下对资产运维的行为管控及审计。

相比较直连方式,通过网络域方式,可在配置网络域后直接导入原主机的真实IP信息且无需更改,在资产管理及运维上更加便捷。

image..png

网络域方式

前提条件

操作步骤

  1. 登录堡垒机控制台,在顶部菜单栏,选择堡垒机所在的地域。

  2. 在堡垒机实例列表,定位到目标实例,单击管理

  3. 为堡垒机添加资产。具体操作,请参见新建主机

  4. 配置网络域。

    1. 在左侧导航栏,选择资产管理 > 网络域

    2. 网络域页面,单击新建网络域

    3. 新建网络域面板,配置网络域名称,选择连接方式代理

    4. 单击主代理服务器下方的添加代理服务器,在弹出的对话框中,配置主代理服务器的参数。

      配置项

      描述

      代理方式

      选择代理方式,推荐使用SSH代理。

      服务器地址

      填写代理服务器的IP地址。

      服务器端口

      填写代理服务器的端口。

      主机账户

      填写登录代理服务器的账户。

      密码

      填写代理服务器账户的密码。

  5. 移入资产至网络域。

    1. 网络域页面的网络域列表中,定位到目标网络域。在操作列,单击移入主机

    2. 移入主机对话框,选中目标主机,单击移入

    3. 在弹出的提示框,单击移入

配置完成后,即可通过堡垒机运维资产。具体操作,请参见运维概述

直连方式

前提条件

已通过公网NAT网关的DNAT功能实现资产对外提供服务。具体操作,请参见通过公网NAT网关DNAT功能实现ECS对外提供服务

操作步骤

  1. 登录堡垒机控制台,在顶部菜单栏,选择堡垒机所在的地域。

  2. 在堡垒机实例列表,定位到目标实例,单击管理

  3. 在左侧导航栏,选择资产管理 > 主机

  4. 主机页面,选择导入其他来源主机 > 新建主机

  5. 新建主机面板,参考下表配置主要参数,单击创建

    配置项

    描述

    操作系统

    选择linux。

    主机IP

    填写NAT网关绑定的弹性公网IP。

    备注

    输入资产的备注信息,便于后续识别。

  6. 在主机列表,定位到您的创建的主机,单击主机名称。

  7. 服务端口页签,输入您资产在NAT网关映射的端口,单击更新

配置完成后,即可通过堡垒机运维资产。具体操作,请参见运维概述