NAT網關(NAT Gateway)是用戶業務中常見的網絡部署方式,用戶在實際使用時可能會存在資產部署NAT網關之后再通過堡壘機對資產的運維行為進行安全管控。本文介紹在NAT網關場景下如何通過堡壘機實現資產的安全運維。
背景信息
為避免公網IP過分暴露遭受外部網絡攻擊或解決IP地址不足問題,部分用戶會部署NAT網關進行地址轉換來隱藏和保護內部資產。基于該場景,堡壘機提供實現NAT網關場景下對資產運維的行為管控及審計的解決方案。
解決方案
堡壘機在NAT網關場景下的運維安全管控提供以下兩種解決方案:
方案一:網絡域方式
堡壘機企業雙擎版支持網絡域功能。管理員可以將公網NAT網關的彈性公網IP作為代理服務器地址,然后在堡壘機內添加代理服務器,并通過堡壘機導入資產,以實現堡壘機在NAT網關場景下對資產運維的行為管控及審計。
方案二:直連方式
堡壘機支持新建多個相同IP的資產,并通過設置不同目標端口區分目標資產。在NAT網關場景下,被運維資產的地址是通過NAT網關的彈性公網IP+不同端口進行區分,管理員可以在堡壘機新建資產時,將每個資產地址配置為NAT網關的彈性公網IP+對應端口,并通過備注區分目標資產,以實現堡壘機在NAT網關場景下對資產運維的行為管控及審計。
相比較直連方式,通過網絡域方式,可在配置網絡域后直接導入原主機的真實IP信息且無需更改,在資產管理及運維上更加便捷。
網絡域方式
前提條件
已創建公網NAT網關并綁定彈性公網IP。具體操作,請參見創建和管理公網NAT網關實例。
已為公網NAT網關創建DNAT條目。具體操作,請參見創建和管理DNAT條目。
創建DNAT條目是將公網NAT網關上的彈性公網IP映射給服務器,后續會將該服務器作為代理服務器。
操作步驟
登錄堡壘機控制臺,在頂部菜單欄,選擇堡壘機所在的地域。
在堡壘機實例列表,定位到目標實例,單擊管理。
為堡壘機添加資產。具體操作,請參見新建主機。
配置網絡域。
在左側導航欄,選擇資產管理 > 網絡域。
在網絡域頁面,單擊新建網絡域。
在新建網絡域面板,配置網絡域名稱,選擇連接方式為代理。
單擊主代理服務器下方的添加代理服務器,在彈出的對話框中,配置主代理服務器的參數。
配置項
描述
代理方式
選擇代理方式,推薦使用SSH代理。
服務器地址
填寫代理服務器的IP地址。
服務器端口
填寫代理服務器的端口。
主機賬戶
填寫登錄代理服務器的賬戶。
密碼
填寫代理服務器賬戶的密碼。
移入資產至網絡域。
在網絡域頁面的網絡域列表中,定位到目標網絡域。在操作列,單擊移入主機。
在移入主機對話框,選中目標主機,單擊移入。
在彈出的提示框,單擊移入。
配置完成后,即可通過堡壘機運維資產。具體操作,請參見運維概述。
直連方式
前提條件
已通過公網NAT網關的DNAT功能實現資產對外提供服務。具體操作,請參見通過公網NAT網關DNAT功能實現ECS對外提供服務。
操作步驟
登錄堡壘機控制臺,在頂部菜單欄,選擇堡壘機所在的地域。
在堡壘機實例列表,定位到目標實例,單擊管理。
在左側導航欄,選擇資產管理 > 主機
在主機頁面,選擇導入其他來源主機 > 新建主機。
在新建主機面板,參考下表配置主要參數,單擊創建。
配置項
描述
操作系統
選擇linux。
主機IP
填寫NAT網關綁定的彈性公網IP。
備注
輸入資產的備注信息,便于后續識別。
在主機列表,定位到您的創建的主機,單擊主機名稱。
在服務端口頁簽,輸入您資產在NAT網關映射的端口,單擊更新。
配置完成后,即可通過堡壘機運維資產。具體操作,請參見運維概述。