提高运维管理效率和安全性

当今企业业务迅速发展，企业内部网络规模也随之不断扩大，网络中有大量的服务器、交换机、安全设备和系统需要进行日常的运维管理，而“用户名+口令”是一种比较常见的身份认证方式。

随着运维设备和系统数量的逐渐增多，特别是当数量增加到成百上千时，管理员经常需要在多个设备和系统之间切换，每次切换都需要输入用户名和口令进行登录，给工作带来不便，影响工作效率。为了方便记忆，管理员所采用较简单的口令或将多个设备和系统设置成相同口令，将有可能遭受口令猜测等恶意攻击，存在安全风险。

采用“USB Key+口令“的双因子登录方式，可以增强身份认证的安全性。但是，往往现有的双因子身份认证产品，对服务器、交换机等设备存在兼容性问题，或者根本不支持服务器、交换机等设备运行环境。所以，采用“运维堡垒主机+双因子”的身份认证方式，既可以提高运维管理效率，又能够提高身份认证的安全性。

运维堡垒主机用于企业内部网络单点登录的主机应用系统，提供身份认证、权限划分、安全审计等功能。管理员在运维管理过程中，首先要统一登录到运维堡垒主机上，然后从运维堡垒主机再登录到目标设备或系统进行日常操作。

CA集成

当然，传统意义上的运维堡垒主机实现的单点登录功能，依然采用“用户名+口令”的身份认证方式，还需要进一步将运维堡垒主机与CA系统进行集成，将原有运维堡垒主机上的身份认证交由CA系统完成，从而实现“USB Key+口令”的双因子身份认证方式。

主要认证过程包括：

1.管理员通过认证端口向运维堡垒主机发送HTTPS请求，进入证书认证登录界面。登录界面加载时，调用接口程序，通过控件读取证书信息。

2.管理员使用USB Key并输入口令，此时通过接口程序对口令进行验证。若口令正确，则出现证书选择窗口。

3.管理员选择证书并登录运维堡垒主机，此时通过接口程序读取证书中的帐户信息。

浏览器代理

通过运维堡垒主机登录并管理目标设备，本质上都是采用SSH等命令行工具或Windows远程桌面的连接方式实现，对于需要通过浏览器页面直接进行登录并管理的情况，如：邮件系统配置页面，应部署浏览器代理服务器，补充现有的连接方式，提供IE等浏览器的代理服务，从而覆盖运维管理工作中的所有连接方式，所有运维管理工作都集中通过运维堡垒主机进行，避免游离在运维堡垒主机之外的“失控”情况出现。

双机

所有运维管理工作都集中通过运维堡垒主机进行，这就意味着可能出现单点故障，存在运行风险。所以十分有必要将运维堡垒主机部署为双机热备，可根据运维管理规模，选择采用主-备切换方式或双主机切换方式。

这样，一旦单台运维堡垒主机出现运行故障，另一台运维堡垒主机能够自动接管，继续提供服务，确保连续性和可用性。

应用效果

PC服务器、小机、安全设备、交换机、业务应用等设备和系统均可以通过运维堡垒主机，实现单点登录，免去多个设备和系统之间繁琐的切换登录，简化运维管理工作，提高工作效率；通过与CA系统的集成，实现“USB Key+口令”的“双因子”认证登录，防范弱口令猜测等安全风险，明显提高运维管理身份认证的安全性。