[发明专利]堡垒机出口链路优化系统及方法

说明书

本发明提供了一种堡垒机出口链路优化系统及方法，其中的系统包括堡垒机及出口集群；所述出口集群包括互为邻居的多个出口服务器，所述多个出口服务器分布在不同运营商中，且每个出口服务器配置有本运营商所有的运营商服务器地址；所述堡垒机通过所述出口服务器所配置有的运营商服务器地址，登录运营商服务器。本发明可提高堡垒机的安全性和工作效率。

技术领域

本发明涉及互联网技术领域，特别是涉及一种堡垒机出口链路优化系统及方法。

背景技术

为了对海量服务器远程登录进行集中管理，众多企业均使用了堡垒机。堡垒机，即在一个特定的网络环境下，为了保障网络和数据不受来自外部和内部用户的入侵和破坏，而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动，以便集中报警、及时处理及审计定责。

堡垒机部署在机房内部，在办公室的操作人员需要登录堡垒机才能够访问生产环境的服务器。堡垒机能够对操作人员进行权限控制及记录其操作。如果操作人员存在误操作、违规操作导致操作事故，堡垒机可以快速定位原因与责任人。目前堡垒机登录运营商服务器方法是从堡垒机本机直接登录。

在以上登录方法中，存在技术缺陷：

第一，由于部分运营商服务器处在没有内网的外网中，堡垒机需要一个外网ip，才能够由堡垒机登录这些服务器。堡垒机存在一个外网ip，处于公网的任何人都可以嗅探出这个堡垒机的存在，如果堡垒机的操作系统或应用软件存在漏洞，黑客就可以直接攻击到堡垒机，一旦堡垒机遭到入侵，堡垒机下的服务器将受到极大的安全威胁。

第二，海量运营商服务器处于全国各个省市、各个运营商内，堡垒机只有一个内网出口和一个外网出口，在链路上没有任何优化。举例，如果堡垒机在联通网络内部，生产服务器在教育网内部，这时将会出现联通访问教育网，将会出现连接缓慢或者连接失败，造成工作效率的降低。

发明内容

为了提高堡垒机的安全性和工作效率，本发明实施例提供一种堡垒机出口链路优化系统及方法。

根据本发明一个方面，提供一种堡垒机出口链路优化系统，包括：堡垒机及出口集群；所述出口集群包括互为邻居的多个出口服务器，所述多个出口服务器分布在不同运营商中，且每个出口服务器配置有本运营商所有的运营商服务器地址；所述堡垒机通过所述出口服务器所具有的运营商服务器地址，登录运营商服务器。

优选的，述堡垒机与所述出口服务器之间建立隧道互联。

优选的，所述堡垒机设置第一出口服务器为默认网关，从而建立所述堡垒机与所述第一出口服务器的链路连接；所述第一出口服务器与其他出口服务器运行相同的路由协议并互相建立为邻居。

优选的，所述堡垒机具体用于，使用ip tunnel命令增加GRE模式虚拟网卡，并注明远程地址与本地地址；使用ip link启用GRE模式虚拟网卡；使用ip addr在GRE模式虚拟网卡中增加peer地址为第一出口服务器；更改默认网关为peer地址。

优选的，所述第一出口服务器与其他出口服务器运行OSPF协议，并互相建立为OSPF邻居。

根据本发明的另一方面，提供一种堡垒机出口链路优化方法，包括：设置堡垒机与出口集群联通，其中，所述出口集群包括互为邻居的多个出口服务器，所述多个出口服务器分布在不同运营商中，且每个出口服务器配置有本运营商所有的运营商服务器地址；所述堡垒机通过所述出口服务器所配置的运营商服务器地址，登录运营商服务器。

优选的，还包括：所述堡垒机与所述出口服务器之间建立隧道互联。

优选的，还包括：设置所述堡垒机的默认网关为第一出口服务器，从而建立所述堡垒机与所述第一出口服务器的链路连接；设置所述第一出口服务器与其他出口服务器运行相同的路由协议并互相建立为邻居。